Subido pordcordova923
PPT, PDF612 vistas

Catedra De Riesgos Oracle

El documento describe cómo la tecnología puede facilitar el cumplimiento de los controles de seguridad de la información definidos en los estándares ISO 27001 e ISO 27002. Explica cómo herramientas como Oracle Database Vault y Oracle Identity Management ayudan a controlar el acceso a datos y a cumplir con requisitos como la LOPD española sobre registro y auditoría de accesos.

Incrustar presentación

Descargado 23 veces
La tecnología como facilitador del cumplimiento de los controles de un SGSI. Aproximación práctica de las soluciones que ofrecen las herramientas tecnológicas Blas Piñero Uribe, CISA Oracle Consulting
 
Estandares de seguridad IT
Gestión de la Seguridad IT: ISO 27001
La evolución de los estándares
ISO27001 Sistema de Gestión de la Seguridad de la Información (SGSI) Adopta la metodologia PDCA,
PDCA Model
En la actualidad La serie ISO 27000 reemplazara a ISO 17799 y a UNE 71502: 27000: Definiciones y términos (draft) 27001: Implantación del SGSI (Certificable) evolución de BS-7799-2 y equivale a UNE 71502 27002: Transcripción de ISO 17799:2005, catalogo de buenas practicas. 27003: Guía de implementación (draft). 27004: Indicadores y metricas (draft). 27005: Gestión y evaluación de riesgos (draft).
ISO27001 Define un marco para el establecimiento de objetivos y establece las directrices y principios de accion en lo referente a seguridad de la información Tiene en cuenta requerimientos legales, de negocio y contractuales Se alinea el contexto estrategico de gestión del riesgo de la organizacion en el que se desarrolla el SGSI 4) Establece los criterios de evaluación del riesgo
ISO 27002 Con origen en la norma británica BS7799-1, constituye un código de buenas prácticas para la Gestión de la Seguridad de la Información. Establece la base común para desarrollar normas de seguridad dentro de las organizaciones. Define diez dominios de control que cubren por completo la Gestión de la Seguridad de la Información. 36 objetivos de control y 127 controles.
Dominios ISO 27002 Política de Seguridad Organización de Seguridad Clasificación y Control de Activos Aspectos humanos de la seguridad Seguridad Física y Ambiental Gestión de Comunicaciones y Operaciones Sistema de Control de Accesos Desarrollo y Mantenimiento de Sistemas Plan de Continuidad del Negocio Cumplimiento Legal
 
ISO/IEC 17799:2005 vs LOPD/RMS
Ayudas Tecnologicas: Oracle Database Vault Adecuación LOPD – Control de acceso Art. 12.1 Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones. (Nivel básico) Art. 24.3 Los mecanismos que permiten el registro de los datos detallados en los párrafos anteriores estarán bajo el control directo del responsable de seguridad competente sin que se deba permitir, en ningún caso, la desactivación de los mismos. (Nivel alto) Características Bloqueo de acceso al DBA u otros usuarios privilegiados a datos corporativos (datos confidenciales, DBAs externos) Restricción de comandos privilegidos ( DBA) basado en filtrado de dirección IP Protección de los datos frente a modificaciones no autorizadas (Integridad) Fuerte control de acceso sobre los datos corporativos Cumplimiento Aplicación Control de acceso Segregación de funciones Adecuación marco normativo de seguridad corporativa – Procedimiento de control de acceso; Funciones y obligaciones del personal Adecuación UNE 72501 e ISO/IEC 27002 – A.11 Control de accesos; A.10.1.3 Segregación de funciones
¿Para que sirve Database Vault? Protege la Base de Datos con Separación de Derechos por Aplicación/Usuario/Objeto Permite implementar controles de visualización de los Datos de Aplicación por Usuario Permite limitar a los DBA’s y Super Usuarios el acceso a los Datos Sensibles o Protegidos por LOPD Permite administrar los Objetos, aún cuando se limite el acceso a los datos. Proporciona un conjunto de Informes de Seguridad para control y seguimiento de las medidas implementadas
Oracle Database Vault Realms DBA HR DBA HR HR Realm HR El administrador de la BD ve los datos de RRHH select * from HR.emp Eliminamos el riesgo de incumplimiento legal o robo de datos Fin FIN DBA El administrador de RRHH ve los datos de Financiero Eliminamos el riesgo derivado de la consolidacion de servidores Fin Realm Fin
Oracle Database Vault Rules & Multi-factor Authorization HR DBA DBA HR El administrador de la BD intenta un “ alter system ” remoto alter system……. Reglas basados en dirección IP bloquean la acción create … El administrador de RRHH realiza acciones no autorizadas en producción. 3pm Monday Reglas basadas en fecha/hora bloquean la acción HR Realm HR
ISO 27002 Dominio 7 CONTROL DE ACCESO Requisitos de la Organización para el control de acceso Administración del acceso de usuarios Responsabilidades de los usuarios Control de acceso de la Red Control de acceso al Sistema Operativo Control de acceso de las Aplicaciones Acceso y uso del Sistema de Monitoreo Computadoras móviles y trabajo a distancia
El problema de la gestión de identidades....
¿Qué es una identidad? Una identidad es un conjunto de identidades parciales. Cada identidad parcial corresponde a un rol en un entorno Gestion de Identidades
Ciclo de Vida de la Identidad Digital Nuevos Empleados entran en la Empresa Cambios y Soporte a Usuarios Empleados dejan la Empresa Cuentas & Políticas Registro/Creación Propagación Mantenimiento/Gestión Revocación
El problema de las identidades El problema: Islas de Información Cada Usuario tiene multiples identidades parciales, una en cada entorno. CONSECUENCIAS Multiples puntos de administración. Multiples administradores Inconsistencia de datos Falta de una “vista”unificada de la identidad
Oracle Identity Management
Auditoria de Acceso a datos Art. 24 REGISTRO DE ACCESO, exige (nivel alto): Identificación, Dia/hora, Fichero y resultado Identificación del registro accedido Mecanismos no desactivables Conservación dos años Informe mensual de revisiones de control- responsable Seguridad Corresponde al dominio 10 ISO
¿ Qué es Audit Vault? Herramienta de Seguridad enfocada a la Auditoria de Accesos a Datos y uso de Privilegios Se proporciona con el Núcleo de Base de Datos 10gR2 Dispone de un Intefaz Gráfico para Administrar las diferentes Políticas de Auditoria Permite Auditar B.D. 9iR2 a 10GR2 Protege, Consolida, Detecta, Monitoriza, Alerta
¿ Para qué Sirve Audit Vault ? Adaptación a la LOPD o ISO 27001 de manera no traumática Identifica Quién y Cuándo ha accedido a Datos Protegidos o Sensibles de la B.D. Identifica Quién y Cuándo ha realizado un uso inadecuado de Privilegios en B.D. Eficiente herramienta de Control y Seguimiento Permite análizar las trazas recopiladas mediante una herramienta de Reporting. Recopila Trazas de Múltiples orígenes (SqlServer, DB2 ..)
Funcionalidades Audit Vault
<Insert Picture Here> Preguntas…..

Más contenido relacionado

ODP
Iso 27000(2)
porBenet Oliver Noguera
 
PPTX
Iso 27000
porjulianabh
 
PPTX
Normas iso-27000
porPedhro Acuario
 
PDF
Iso 27000 evolución oct2015
porRicardo Urbina Miranda
 
PPTX
Familia ISO/IEC 27000 evolución a septiembre 2014
porRicardo Urbina Miranda
 
PDF
ISO 27000
porindeson12
 
PDF
Iso 27000
porosbui
 
PPTX
Iso 27000
porelianasig
 
Iso 27000(2)
porBenet Oliver Noguera
 
Iso 27000
porjulianabh
 
Normas iso-27000
porPedhro Acuario
 
Iso 27000 evolución oct2015
porRicardo Urbina Miranda
 
Familia ISO/IEC 27000 evolución a septiembre 2014
porRicardo Urbina Miranda
 
ISO 27000
porindeson12
 
Iso 27000
porosbui
 
Iso 27000
porelianasig
 

La actualidad más candente

PPTX
Iso 27k abril 2013
porMarvin Zumbado
 
PDF
Iso 27001 2013
porYango Alexander Colmenares
 
PPTX
Iso 27001 iso 27002
porTensor
 
PDF
Gestión de la Seguridad con la ISO/IEC 27001
porRamiro Cid
 
PPT
Curso SGSI
porJosé María Apellidos
 
PPTX
Presentación iso 27001
porJohanna Pazmiño
 
PDF
AI04 ISO/IEC 27001
porPedro Garcia Repetto
 
PPT
Certificacion Iso 27001 isec-segurity
porSecurinf.com Seguridad Informatica - Tecnoweb2.com
 
PPTX
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
porLuis Fernando Aguas Bucheli
 
PDF
NTC ISO/IEC 27001
porGeorge Gaviria
 
PPTX
Normal de ISO/IEC 27001
porBrayan A. Sanchez
 
ODP
Iso 27000
porkrn kdna cadena
 
PDF
ISO 27000
porLuis R Castellanos
 
PDF
Iso 27001 interpretación introducción
porMaria Jose Buigues
 
PPT
Diapositivas Seguridad En Los Sitemas De Informacion
porDegova Vargas
 
DOCX
Iso 27001 Jonathan Blas
porJonathanBlas
 
PPTX
Iso27000 bernardo martinez
porBernaMartinez
 
PPTX
Norma 27000
pornestor
 
PPTX
La norma iso 27001
poruniminuto
 
PDF
Ley Iso27001
porjdrojassi
 
Iso 27k abril 2013
porMarvin Zumbado
 
Iso 27001 2013
porYango Alexander Colmenares
 
Iso 27001 iso 27002
porTensor
 
Gestión de la Seguridad con la ISO/IEC 27001
porRamiro Cid
 
Curso SGSI
porJosé María Apellidos
 
Presentación iso 27001
porJohanna Pazmiño
 
AI04 ISO/IEC 27001
porPedro Garcia Repetto
 
Certificacion Iso 27001 isec-segurity
porSecurinf.com Seguridad Informatica - Tecnoweb2.com
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
porLuis Fernando Aguas Bucheli
 
NTC ISO/IEC 27001
porGeorge Gaviria
 
Normal de ISO/IEC 27001
porBrayan A. Sanchez
 
Iso 27000
porkrn kdna cadena
 
ISO 27000
porLuis R Castellanos
 
Iso 27001 interpretación introducción
porMaria Jose Buigues
 
Diapositivas Seguridad En Los Sitemas De Informacion
porDegova Vargas
 
Iso 27001 Jonathan Blas
porJonathanBlas
 
Iso27000 bernardo martinez
porBernaMartinez
 
Norma 27000
pornestor
 
La norma iso 27001
poruniminuto
 
Ley Iso27001
porjdrojassi
 

Similar a Catedra De Riesgos Oracle

PPTX
CONTROL DE ACCESOS FINAL informatica educqacion
porAllanLee81
 
PDF
1.2 autenticación y autorización
porDenys Flores
 
PDF
avanttic - webinar: Oracle Seguridad-Regulación (02-07-2015)
poravanttic Consultoría Tecnológica
 
PPTX
Presentación electiva v
porFran Deivis Rojas Marcano
 
PPTX
Rev. FAPE_Controles de SI en BD - Fase.pptx
porLILIANLEONJULIETTE
 
PPTX
SYBASE
porKimer Ushiñahua Pinchi
 
PPTX
Unidad 5 elementos de computación
porOyarce Katherine
 
PDF
avanttic - webinar: Oracle Seguridad-Gobierno de la Seguridad (25-06-2015)
poravanttic Consultoría Tecnológica
 
DOCX
cobaxinvanessa@gmail.com
porVanessaCobaxin
 
PPT
Proyecto Informático de Graduación SGSI ESPOL
porAlejandroOscarChambe
 
PPSX
Conferencia
porFredy Giovanni Duitama Martínez
 
PPTX
Conferencia
porFredy Giovanni Duitama Martínez
 
PPT
SEGUIRIDAD DE BASE DE DATOS
porArgenis Riofrío
 
PDF
Sesión 10 semana 13
porNoe Castillo
 
PDF
Soluciones Oracle para el cumplimiento de laLOPD en sanidad
porEloy M. Rodriguez
 
PPTX
Seguridad Base Datos
porJuandTs
 
PPTX
Seguridad base de datos
porJuandTs
 
PPTX
Seguridad Base De Datos
porangela zambrano
 
PDF
La Seguridad Y Los Controles Logicos
porNet-Learning - Soluciones para e-learning
 
PDF
T03 conceptos seguridad
porManuel Fernandez Barcell
 
CONTROL DE ACCESOS FINAL informatica educqacion
porAllanLee81
 
1.2 autenticación y autorización
porDenys Flores
 
avanttic - webinar: Oracle Seguridad-Regulación (02-07-2015)
poravanttic Consultoría Tecnológica
 
Presentación electiva v
porFran Deivis Rojas Marcano
 
Rev. FAPE_Controles de SI en BD - Fase.pptx
porLILIANLEONJULIETTE
 
SYBASE
porKimer Ushiñahua Pinchi
 
Unidad 5 elementos de computación
porOyarce Katherine
 
avanttic - webinar: Oracle Seguridad-Gobierno de la Seguridad (25-06-2015)
poravanttic Consultoría Tecnológica
 
cobaxinvanessa@gmail.com
porVanessaCobaxin
 
Proyecto Informático de Graduación SGSI ESPOL
porAlejandroOscarChambe
 
Conferencia
porFredy Giovanni Duitama Martínez
 
Conferencia
porFredy Giovanni Duitama Martínez
 
SEGUIRIDAD DE BASE DE DATOS
porArgenis Riofrío
 
Sesión 10 semana 13
porNoe Castillo
 
Soluciones Oracle para el cumplimiento de laLOPD en sanidad
porEloy M. Rodriguez
 
Seguridad Base Datos
porJuandTs
 
Seguridad base de datos
porJuandTs
 
Seguridad Base De Datos
porangela zambrano
 
La Seguridad Y Los Controles Logicos
porNet-Learning - Soluciones para e-learning
 
T03 conceptos seguridad
porManuel Fernandez Barcell
 

Más de dcordova923

PDF
Iso 27001 E Iso 27004
pordcordova923
 
PDF
Curso Iso27001
pordcordova923
 
PDF
Iso 27001 Los Controles
pordcordova923
 
PDF
Curso Seguridad Estandares ISO 27001
pordcordova923
 
PDF
Estandares ISO 27001
pordcordova923
 
PDF
Estandares ISO 27001 (4)
pordcordova923
 
DOC
Analisis De La Norma Iso 27001
pordcordova923
 
PDF
Auditoria De La Gestion De Las Tic
pordcordova923
 
PDF
Estandares ISO 27001
pordcordova923
 
PDF
Iso27k Iso27001 Overview From Howard Smith
pordcordova923
 
PDF
Iso 27001 Los Controles2
pordcordova923
 
PPT
Estandares ISO 27001 (3)
pordcordova923
 
DOCX
Estandares Iso 27001 (2)
pordcordova923
 
PDF
Presentacion 27001 V A
pordcordova923
 
PDF
Ttrsi Cardoso Arteaga Clara 07
pordcordova923
 
PDF
Ponencia148 1
pordcordova923
 
PDF
Iso22000y Efqm(Sgs)
pordcordova923
 
Iso 27001 E Iso 27004
pordcordova923
 
Curso Iso27001
pordcordova923
 
Iso 27001 Los Controles
pordcordova923
 
Curso Seguridad Estandares ISO 27001
pordcordova923
 
Estandares ISO 27001
pordcordova923
 
Estandares ISO 27001 (4)
pordcordova923
 
Analisis De La Norma Iso 27001
pordcordova923
 
Auditoria De La Gestion De Las Tic
pordcordova923
 
Estandares ISO 27001
pordcordova923
 
Iso27k Iso27001 Overview From Howard Smith
pordcordova923
 
Iso 27001 Los Controles2
pordcordova923
 
Estandares ISO 27001 (3)
pordcordova923
 
Estandares Iso 27001 (2)
pordcordova923
 
Presentacion 27001 V A
pordcordova923
 
Ttrsi Cardoso Arteaga Clara 07
pordcordova923
 
Ponencia148 1
pordcordova923
 
Iso22000y Efqm(Sgs)
pordcordova923
 

Último

PDF
(European Instructor Training): DevNet Associate
porVICTOR MAESTRE RAMIREZ
 
PPTX
accetalks - Noviembre 2025 - Prepárate para la llegada de PHP 8.5
poracceseo
 
PDF
TRANSFORMACIÓN DIGITAL
porAronChumaceroyahuana
 
PPTX
accetalks - Junio 2025 - Cómo optimizar tu web para la nueva era de la Inteli...
poracceseo
 
PDF
Estrategias de Disaster Recovery en AWS.
porCristian Julián Ramiro
 
PPTX
El uso de las TIC en la vida cotidiana.pptx
por251839936
 
(European Instructor Training): DevNet Associate
porVICTOR MAESTRE RAMIREZ
 
accetalks - Noviembre 2025 - Prepárate para la llegada de PHP 8.5
poracceseo
 
TRANSFORMACIÓN DIGITAL
porAronChumaceroyahuana
 
accetalks - Junio 2025 - Cómo optimizar tu web para la nueva era de la Inteli...
poracceseo
 
Estrategias de Disaster Recovery en AWS.
porCristian Julián Ramiro
 
El uso de las TIC en la vida cotidiana.pptx
por251839936
 

Catedra De Riesgos Oracle

  • 1.
    La tecnologíacomo facilitador del cumplimiento de los controles de un SGSI. Aproximación práctica de las soluciones que ofrecen las herramientas tecnológicas Blas Piñero Uribe, CISA Oracle Consulting
  • 2.
  • 3.
  • 4.
    Gestión de laSeguridad IT: ISO 27001
  • 5.
    La evolución delos estándares
  • 6.
    ISO27001 Sistema deGestión de la Seguridad de la Información (SGSI) Adopta la metodologia PDCA,
  • 7.
  • 8.
    En la actualidadLa serie ISO 27000 reemplazara a ISO 17799 y a UNE 71502: 27000: Definiciones y términos (draft) 27001: Implantación del SGSI (Certificable) evolución de BS-7799-2 y equivale a UNE 71502 27002: Transcripción de ISO 17799:2005, catalogo de buenas practicas. 27003: Guía de implementación (draft). 27004: Indicadores y metricas (draft). 27005: Gestión y evaluación de riesgos (draft).
  • 9.
    ISO27001 Define unmarco para el establecimiento de objetivos y establece las directrices y principios de accion en lo referente a seguridad de la información Tiene en cuenta requerimientos legales, de negocio y contractuales Se alinea el contexto estrategico de gestión del riesgo de la organizacion en el que se desarrolla el SGSI 4) Establece los criterios de evaluación del riesgo
  • 10.
    ISO 27002 Conorigen en la norma británica BS7799-1, constituye un código de buenas prácticas para la Gestión de la Seguridad de la Información. Establece la base común para desarrollar normas de seguridad dentro de las organizaciones. Define diez dominios de control que cubren por completo la Gestión de la Seguridad de la Información. 36 objetivos de control y 127 controles.
  • 11.
    Dominios ISO 27002 Política de Seguridad Organización de Seguridad Clasificación y Control de Activos Aspectos humanos de la seguridad Seguridad Física y Ambiental Gestión de Comunicaciones y Operaciones Sistema de Control de Accesos Desarrollo y Mantenimiento de Sistemas Plan de Continuidad del Negocio Cumplimiento Legal
  • 12.
  • 13.
  • 14.
    Ayudas Tecnologicas: OracleDatabase Vault Adecuación LOPD – Control de acceso Art. 12.1 Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones. (Nivel básico) Art. 24.3 Los mecanismos que permiten el registro de los datos detallados en los párrafos anteriores estarán bajo el control directo del responsable de seguridad competente sin que se deba permitir, en ningún caso, la desactivación de los mismos. (Nivel alto) Características Bloqueo de acceso al DBA u otros usuarios privilegiados a datos corporativos (datos confidenciales, DBAs externos) Restricción de comandos privilegidos ( DBA) basado en filtrado de dirección IP Protección de los datos frente a modificaciones no autorizadas (Integridad) Fuerte control de acceso sobre los datos corporativos Cumplimiento Aplicación Control de acceso Segregación de funciones Adecuación marco normativo de seguridad corporativa – Procedimiento de control de acceso; Funciones y obligaciones del personal Adecuación UNE 72501 e ISO/IEC 27002 – A.11 Control de accesos; A.10.1.3 Segregación de funciones
  • 15.
    ¿Para que sirveDatabase Vault? Protege la Base de Datos con Separación de Derechos por Aplicación/Usuario/Objeto Permite implementar controles de visualización de los Datos de Aplicación por Usuario Permite limitar a los DBA’s y Super Usuarios el acceso a los Datos Sensibles o Protegidos por LOPD Permite administrar los Objetos, aún cuando se limite el acceso a los datos. Proporciona un conjunto de Informes de Seguridad para control y seguimiento de las medidas implementadas
  • 16.
    Oracle Database Vault Realms DBA HR DBA HR HR Realm HR El administrador de la BD ve los datos de RRHH select * from HR.emp Eliminamos el riesgo de incumplimiento legal o robo de datos Fin FIN DBA El administrador de RRHH ve los datos de Financiero Eliminamos el riesgo derivado de la consolidacion de servidores Fin Realm Fin
  • 17.
    Oracle Database Vault Rules & Multi-factor Authorization HR DBA DBA HR El administrador de la BD intenta un “ alter system ” remoto alter system……. Reglas basados en dirección IP bloquean la acción create … El administrador de RRHH realiza acciones no autorizadas en producción. 3pm Monday Reglas basadas en fecha/hora bloquean la acción HR Realm HR
  • 18.
    ISO 27002 Dominio7 CONTROL DE ACCESO Requisitos de la Organización para el control de acceso Administración del acceso de usuarios Responsabilidades de los usuarios Control de acceso de la Red Control de acceso al Sistema Operativo Control de acceso de las Aplicaciones Acceso y uso del Sistema de Monitoreo Computadoras móviles y trabajo a distancia
  • 19.
    El problema dela gestión de identidades....
  • 20.
    ¿Qué es unaidentidad? Una identidad es un conjunto de identidades parciales. Cada identidad parcial corresponde a un rol en un entorno Gestion de Identidades
  • 21.
    Ciclo de Vidade la Identidad Digital Nuevos Empleados entran en la Empresa Cambios y Soporte a Usuarios Empleados dejan la Empresa Cuentas & Políticas Registro/Creación Propagación Mantenimiento/Gestión Revocación
  • 22.
    El problema delas identidades El problema: Islas de Información Cada Usuario tiene multiples identidades parciales, una en cada entorno. CONSECUENCIAS Multiples puntos de administración. Multiples administradores Inconsistencia de datos Falta de una “vista”unificada de la identidad
  • 23.
  • 24.
    Auditoria de Accesoa datos Art. 24 REGISTRO DE ACCESO, exige (nivel alto): Identificación, Dia/hora, Fichero y resultado Identificación del registro accedido Mecanismos no desactivables Conservación dos años Informe mensual de revisiones de control- responsable Seguridad Corresponde al dominio 10 ISO
  • 25.
    ¿ Qué esAudit Vault? Herramienta de Seguridad enfocada a la Auditoria de Accesos a Datos y uso de Privilegios Se proporciona con el Núcleo de Base de Datos 10gR2 Dispone de un Intefaz Gráfico para Administrar las diferentes Políticas de Auditoria Permite Auditar B.D. 9iR2 a 10GR2 Protege, Consolida, Detecta, Monitoriza, Alerta
  • 26.
    ¿ Para quéSirve Audit Vault ? Adaptación a la LOPD o ISO 27001 de manera no traumática Identifica Quién y Cuándo ha accedido a Datos Protegidos o Sensibles de la B.D. Identifica Quién y Cuándo ha realizado un uso inadecuado de Privilegios en B.D. Eficiente herramienta de Control y Seguimiento Permite análizar las trazas recopiladas mediante una herramienta de Reporting. Recopila Trazas de Múltiples orígenes (SqlServer, DB2 ..)
  • 27.
  • 28.
    <Insert Picture Here>Preguntas…..

Notas del editor

  • #17 Let’s first take a look at Database Vault Realms. Here we have a database, let’s assume that this is a consolidated database. As you would expect you have the DBA as well as several other applications, here we’ve included an HR and Financial application. One of the problems faced in this type of situation is that the DBA can, if he or she wished to do so, use their powerful privileges to take a look at application data. Even the possibility of this happening can be prevented using Database Vault Realms. Simply place a Realm around the HR application and the DBA will no longer be able to use his powerful privileges to access the application. The other situation is one I eluded to earlier. Application owners tend to have very powerful privileges. In a consolidated environment, it’s very likely that you’ll have more than one application and thus several powerful users in the database above and beyond the DBA. In this example, it’s possible for the HR DBA to look at the Financial application data. Obviously this wouldn’t be a good situation, especially if it was during the financial reporting quite period. Using a Database Vault Realm, the Financial application can be protected from powerful application owners. Summary, Realms can be easily applied to existing applications and with minimal performance impact.
  • #18 In addition, to Realms, Database Vault also delivers Command Rules and Multi-Factor Authorization. Command Rules provide the ability to instruct the database to evaluate conditions prior to allowing a database command to execute. Combined with Multi-Factor authorization, this provides an extremely powerful tool to limit and restrict access to databases and applications. Let’s take another example. Here I’m showing a database with a single application and the DBA. One of the common problems customers have faced from a compliance perspective is unauthorized activity in the database. This may mean that additional database accounts or application tables have been created. This can raise alarms with auditors because it can point toward lax internal controls. Using a command rule, Database Vault gives the ability to control the conditions under which a command is allowed to execute. For example, a command rule can be associated with the database “Alter System….” command. Perhaps your policy states that all ‘alter system’ commands have to be executed from a connection originating from the server hosting the database. The command rule can check the IP address and reject the command. So the rule based on IP address blocks the action. Perhaps a powerful application DBA creates a new table, command rules combined with multi-factor authorization can block this action. In summary, command rules and multi-factor provide the flexibility to meet operational security requirements.
  • #23 Disparidad de perfiles de usuario en directorios y aplicaciones para una única identidad Actualizacion muy costosa en recursos y pesada en ejecucion Posibilidad de datos erróneos sobre la misma identidad en los distintos directorios o bbdd
  • #24 To date Identity Management has been treated as a separate management solution—something bolted on to applications after they have been deployed. Identity Management has more closely resembled traditional systems management offerings and has been treated as an extension of such. This is changing. A new phase of identity management is dawning, one that delivers management of user identities as a service such that the applications themselves utilize the service as if it’s part of the applications’ business process. Exposing identity management as a re-usable service for all applications drives the realization of significant business efficiencies. For example, a common practice such as creation of new user profile when an employee is first entered into the HR system, should be the same profile utilized to create, approve and enable their companywide system credentials. Their access privileges and appropriate system accounts, determined automatically by their job responsibilities, are created —all as part of a single business process. This process is initiated by the HR administrator—not a separate team that synchronizes newly created account information into separate, independent identity repositories to perform account management functions. Should the role or employment status of this user be changed at any time by HR, access privilege changes or termination of access and disabling of accounts occurs automatically based on the defined business process and associated policies. This significantly speeds user account access and in-access, streamlines the entire business process, and will further drive down administrative costs. Oracle views Identity Management as an application management function—not a systems management one. Application Centric Identity Management is: Integrated out-of-the-box with your business applications, in particular your HRMS system, such that Identity Management easily enables the business processes your organization relies on today. An integral component of a wider application development and deployment framework that seamlessly works together, such that identity management is always-ready for new applications and thus rapidly deployed Architected for future SOA application environment, so that as more and more applications are deployed as loosely coupled services, they can rely on a set of standards-based, reusable security services