Este documento habla sobre la seguridad de Oracle y el cumplimiento con el Reglamento General de Protección de Datos (GDPR). Explica brevemente el GDPR y sus requisitos clave. Luego describe varias soluciones de seguridad de Oracle como Database Vault, Advanced Security Option (ASO), Audit Vault y Database Firewall que pueden ayudar a cumplir con el GDPR. Finalmente, cubre servicios como Express Services y diagnósticos de seguridad que Oracle ofrece.
Webinar: Soluciones Oracle para el cumplimiento de GDPR
1. Seguridad Oracle y GDPR
Ana Zazo Jiménez
Especialista en Seguridad de base de datos
Versión 1/ 15 Feb 2018
2. Agenda
1. Nueva regulación general de protección de datos: GDPR
2. Seguridad Oracle y GDPR
3. ¿Cómo cumplir con la normativa en plataforma Oracle?
4. Servicios Express
5. Diagnóstico de seguridad
2Seguridad Oracle y GDPR
4. • Aspectos clave del GDPR
Sustituye la actual Directiva 95/46/EC adoptada en España mediante la Ley orgánica de Protección
de Datos (LOPD) .
Los nuevos requisitos legales requerirán que las compañías reconsideren cómo manejan y protegen
sus datos personales.
Incluye un nuevo régimen de responsabilidad y sanción.
Entrada en vigor el 24 de mayo de 2018
• Posibles consecuencias graves
Multas de hasta el 4% de los ingresos anuales o 20 millones de euros
72 horas para notificación de violación de datos
http://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:31995L0046&from=ES
Nueva Regulación General de Protección de Datos:GDPR
4Seguridad Oracle y GDPR
6. • Esta Regulación requiere del cumplimiento en acceso y protección de datos desde los
siguientes principios clave:
Seguridad Oracle y GDPR
6Seguridad Oracle y GDPR
8. ¿Cómo cumplir con la normativa en plataforma Oracle?
8Seguridad Oracle y GDPR
9. ¿Cómo cumplir con la normativa en plataforma Oracle?
9Seguridad Oracle y GDPR
10. Mapeo de productos Oracle y GDPR
10Seguridad Oracle y GDPR
Database Vault
11. • Los DBAs pierden sus privilegios con el
usuario SYS.
• Permite un mejor gobierno del dato
mediante la segregación de derechos.
¿Qué protege Database Vault?
• Protege de accesos no deseados
(ejecución de queries, exports, etc.) a
esquemas protegidos.
Database Vault
11Seguridad Oracle y GDPR
12. Claves de implantación
• Producto que lleva coste en licencia.
• Se requiere que esté instalada o instalar DB Console.
• Database Vault es una opción que viene con la base de datos, sólo hay que activarla.
• Es transparente para los aplicativos.
Factores para la estimación del tiempo de implantación
• Número de entornos donde montar Database Vault (desarrollo, pre, prod).
• Número de esquemas de base de datos a proteger.
• Determinación e implantación de políticas de protección de esquemas (se establecerán
reuniones con los departamentos implicados).
Database Vault
12Seguridad Oracle y GDPR
13. Seguridad Oracle y GDPR
Prevención de riesgos
13Seguridad Oracle y GDPR
Data masking & subsetting
ASO (TDE, Data Redaction,
Label security)
14. • Se instala con la base de datos pero su
activación lleva coste de licencia.
• TDE,Label Security y Data Redaction,
forman parte de esta opción.
• Permite generar backups encriptados.
• Integración con otras tecnologías Oracle
(Ejemplo: Exadata, GoldenGate, etc).
Advanced Security Option (ASO)
14Seguridad Oracle y GDPR
15. ¿Qué ofrece TDE?
• El cifrado puede realizarse a nivel de
columna o a nivel de tablespace.
• Los tiempos de cifrado de datos son
inexistentes y los accesos a datos cifrados
son prácticamente inapreciables.
• La base de datos es la que gestiona la
encriptación y la desencriptación de los
datos.
• Se integra con otras tecnologías (Exadata,
GoldenGate).
ASO: Transparent Data Encryption (TDE)
Permite cifrar datos sensibles.
15Seguridad Oracle y GDPR
16. Claves de implantación
• Modificación del fichero sqlnet.ora.
• Se activa mediante la creación de un wallet.
• Es muy importante custodiar la password de ese wallet porque la pérdida u olvido de la
misma producirían la imposibilidad de acceder al dato.
Factores para la estimación del tiempo de implantación
• Número de bases de datos y tamaño de las mismas. En función del tamaño variará el tiempo
de cifrado y por tanto se tendrán que determinar las ventanas para reducir los tiempos de
inactividad de los sistemas productivos o de negocio.
• Número de esquemas a securizar.
ASO: Transparent Data Encryption (TDE)
16Seguridad Oracle y GDPR
17. Claves de implantación
• Modificación del fichero sqlnet.ora.
• Su activación, permite el cifrado de datos vía red, en ambos sentidos (cliente/servidor ó
servidor/cliente).
• No implica realizar cambios en los aplicativos.
Factores para la estimación del tiempo de implantación
• Número de entornos
ASO: Cifrado de datos vía red
17Seguridad Oracle y GDPR
18. • Oracle Label Security es la solución más
avanzada para acceder a los datos a partir
de su clasificación.
• Está integrado con OIM(Oracle Identity
Management).
• Transparente a las aplicaciones.
• Gestionado desde Cloud Control.
ASO: Label Security
18Seguridad Oracle y GDPR
19. Claves de implantación
• Puede integrarse con Database Vault.
Factores para la estimación del tiempo de implantación
• Número de entornos.
• Número de esquemas a securizar.
• Número de objetos donde se quieren crear “etiquetas”.
ASO: Label Security
19Seguridad Oracle y GDPR
20. • Permite enmascarar datos en tiempo real,
mediante diferentes métodos.
• Es una opción muy útil en aplicaciones de
call center en donde los datos son read-
only o en entornos donde los datos
cambien constantemente.
• Integrado en OEM.
ASO: Data Redaction
20Seguridad Oracle y GDPR
21. Claves de implantación
• Utilidad dentro de ASO, que está disponible a partir de la 11.2.0.4.
Factores para la estimación del tiempo de implantación
• Número de entornos.
• Número de esquemas a securizar.
• Número de objetos donde se quiere aplicar Redaction.
ASO: Data Redaction
21Seguridad Oracle y GDPR
22. • Oracle Data Masking enmascara datos
sensibles de entornos productivos, para
poder ser usados en otros entornos no
productivos.
• Oracle Data Subsetting gestiona los datos
de prueba (ya enmascarados) en
porciones o conjuntos de datos.
• Soporte para bases de datos no Oracle.
Data Masking & Subsetting
22Seguridad Oracle y GDPR
23. Claves de implantación
• Es necesario disponer de la licencia del pack Data Masking & Subsetting.
• Para Subsetting se requiere una completa integridad referencial.
Factores para la estimación del tiempo de implantación
• Número de entornos.
• Número de bases de datos, esquemas y objetos a enmascar.
Data Masking & Subsetting
23Seguridad Oracle y GDPR
24. Respuesta a auditoria en minutos
24Seguridad Oracle y GDPR
Audit Vault & Database
Firewall
25. • Recopila y consolida los datos de
auditorías de manera transparente de,
quién hizo qué a cuáles datos y cuándo lo
hizo.
• Detecta amenazas anticipadas con el uso
de alertas.
• Puede integrarse con SIEM (System
Information Event Management).
Audit Vault
25Seguridad Oracle y GDPR
26. Claves de implantación
• Es necesario disponer de la licencia del pack Audit Vault & Database Firewall.
Factores para la estimación del tiempo de implantación
• Número de entornos.
• Número de esquemas.
• Importante identificar qué datos son los que se quieren auditar.
Audit Vault
26Seguridad Oracle y GDPR
27. Database Firewall
27Seguridad Oracle y GDPR
Applications
Block
Log
Allow
Alert
Substitute
• Bloquea todas las operaciones de
cualquier usuario que no esté autorizado .
• Soporta bases de datos Oracle, MySQL,
Microsoft SQL Server, Sybase, and IBM
DB2 cle.
28. Claves de implantación
• Es necesario disponer de la licencia del pack Audit Vault & Database Firewall.
• Válido para otras bases de datos que no son Oracle.
Factores para la estimación del tiempo de implantación
• Número de entornos.
• Número de esquemas, número de objetos sobre los que se quiere establecer políticas de
bloqueo de acceso.
Database Firewall
28Seguridad Oracle y GDPR
31. • Son un empaquetado de licencias más
servicios.
• Nosotros realizamos la implantación y
posteriormente se da formación a los
interlocutores.
• Tiempo: Acotado a unas semanas.
• Coste asociado: Unos pocos miles de
Euros.
¿Qué incluye este servicio?
• Despliegue en dos entornos.
• Formación a sistemas y desarrollo.
• Implantación acotada de algunas
funcionalidades.
Servicios Express
31Seguridad Oracle y GDPR
33. Diagnóstico de seguridad
Evaluación de Confidencialidad e Integridad
33Seguridad Oracle y GDPR
Configuración de
Seguridad
Protección de
Datos
Control
de Acceso
Monitorización,
Auditoria y Bloqueo
Conformidad regulatoria
Seguridad de datos
34. • El Diagnóstico de Seguridad es un servicio diseñado para aportar alto valor en muy poco
tiempo.
¿Qué es el Diagnóstico de Seguridad?
34Seguridad Oracle y GDPR
Recogida
de datos
Análisis Diagnóstico
Plan de
acción
35. • Como resultado del diagnostico se entregan una serie de informes que reflejan:
Descripción de la situación actual.
Puntos de control analizados.
Deficiencias detectadas y vulnerabilidades.
Adecuación normativa.
Recomendaciones.
Resultados tangibles
35Seguridad Oracle y GDPR
La aplicación de las medidas previstas por GDPR deben adaptarse, a las características de las organizaciones. Lo que puede ser adecuado para una organización que maneja datos de millones de interesados en tratamientos complejos que involucran información personal sensible o volúmenes importantes de datos sobre cada afectado, no es necesario para una pequeña empresa que lleva a cabo un volumen limitado de tratamientos de datos no sensibles.
Oracle ofrece un amplio portfolio de productos que ayudan a los clientes a cumplir con la nueva normativa tanto en su sistema on premise como en cloud.
Esta slide es un mapeo de términos de obligado cumplimiento de GDPR con su solución de seguridad Oracle. Las soluciones son válidas tanto para sistemas on-premises como cloud.
Administradores sin la responsabilidad de tener acceso a datos
Los administradores pueden seguir desempeñando sus tareas sin tener la responsabilidad de acceder a datos sensibles.
Evaluación de Riesgos de Seguridad
¿Qué protege Database Vault?
Control en la ejecución de commandosPermite controlar la ejecución de comandos según el perfil del usuario en cuestión , mediante la creación de reglas (Rule set).
Control de acceso Se pueden establer limitaciones por IP.
Políticas de seguridad transparentes a usuarios y aplicaciones
Aplicando las medidas de seguridad que marcan las normativas y políticas de empresa, abstienen a los clientes de tener que modificar sus aplicaciones y despreocuparse en saber desde dónde acceden los usuarios.
Se instala por defecto con la base de datos, pero se licencia a parte.
Permite cifrar datos sensibles.
No requiere de ningún software adicional ya que viene con la propia base de datos.
Oracle Label Security, es la solución más avanzada para acceder a los datos a partir de su clasificación.
Permite enmascarar datos en tiempo real, mediante diferentes métodos:
Full redaction
Partial redaction
Regular expression
Random redaction
No redaction
Es una opción muy útil en entornos de call center o productivos o lo que es lo mismo, en entornos donde los datos estén sufriendo muchos cambios.
Integrado en OEM.
Detección y conservación de la integridad referencial.
Provee una solución óptima para monitorizar el envío de SQLs desde la aplicación a la base de datos.
Ejemplo Data Masking-----> Tenemos las licencias de DM, y no la estas haciendo uso, nuestro servicio Express garantiza que se hagan uso de esas licencias porque los vamos a montar
y formamos sobre ello.
Permite identificar las vulnerabilidades de la capa más cercana a los datos: el motor de BBDD’s Oracle.
Permite identificar las vulnerabilidades de la capa más cercana a los datos: el motor de BBDD’s Oracle.