impacto del ens propuesta oracle n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Impacto del ENS: Propuesta Oracle PowerPoint Presentation
Download Presentation
Impacto del ENS: Propuesta Oracle

Loading in 2 Seconds...

play fullscreen
1 / 19

Impacto del ENS: Propuesta Oracle - PowerPoint PPT Presentation


  • 110 Views
  • Uploaded on

Impacto del ENS: Propuesta Oracle. Roger Moreno Responsable Seguridad Oracle para AAPP y Sanidad 17 de Marzo 2011. AGENDA. Introducción: Cumplimiento de Normativas Nueva Era de Riesgos. Esquema Nacional de Seguridad. Propuesta Oracle. Proliferación de normativas. a.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Impacto del ENS: Propuesta Oracle' - sen


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
impacto del ens propuesta oracle

Impacto del ENS: Propuesta Oracle

Roger Moreno

Responsable Seguridad Oracle para AAPP y Sanidad

17 de Marzo 2011

agenda
AGENDA
  • Introducción: Cumplimiento de Normativas
  • Nueva Era de Riesgos.
  • Esquema Nacional de Seguridad.
  • Propuesta Oracle.
objetivo del esquema nacional de seguridad
Objetivo del Esquema Nacional de Seguridad

La finalidad del Esquema Nacional de Seguridad es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.

Persigue fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con

sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar al conocimiento de personas no autorizadas.

slide8
Las areas de foco en Seguridad - 2010Forrester: State Of Enterprise IT Security And Emerging Trends: 2009 To 2010
slide9

¿Cuál es la Fuente de las Fugas?:

2010 Data Breach Investigations Report

una paradoja
Una paradoja
  • La seguridad de los datos esta identificada como la primera prioridad en el ámbito de la Seguridad IT
  • La primera fuente de fugas de información (92%) son los servidores de base de datos
  • Sólo un 3% del presupuesto invertido en securizar las bases de datos
oracle user group encuesta 2010
Oracle User Group: encuesta 2010
  • Solo el 28% cifra sin excepciones la información persona identificable en las Base de Datos
  • Solo el 15% cifra sin excepciones las copias de Seguridad y exportaciones de las Base de Datos
  • El 76% no tiene medios para evitar que un usuario privilegiado pueda leer información sensible de la Base de Datos.
  • Solo el 25% de las empresas usan herramientas para monitorizar la actividad de las Base de Datos
  • El 39% no saben cuanto tiempo les llevaría detectar y rectificar un cambio no autorizado de la Base de Datos.
en qu consiste el ens
¿En qué consiste el ENS?
  • Ámbito de aplicación:
    • Obligatorio para las Administraciones Públicas (Administración General del Estado, Autonómicas y Locales),
    • Aplicable a todos los sistemas de información relacionados con el ejercicio de derechos y cumplimiento de deberes por medios electrónicos y con el acceso por medios electrónicos de los ciudadanos.
    • Excluidos los sistemas que tratan información clasificada.
  • Alcance: limitado a establecer los principios básicos y requisitos mínimos para una protección adecuada de la información.
  • Publicada el 29 de enero de 2010 en el BOE (11 de marzo publicada una corrección de errores)
  • Obligatorio para los nuevos sistemas. Los sistemas existentes se adecuarán en el plazo de 12 meses (2011), desde la entrada en vigor del ENS. Si no fuera posible, deberán formalizar un plan de adecuación no superior a 48 meses (2014).
principios b sicos del ens
Principios Básicos del ENS
  • Seguridad Integral: “La debilidad de un sistema la determina su punto más frágil”.
  • Gestión de Riesgos: “Establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, los riesgos a los que estén expuestos y las medidas de seguridad.”
  • Prevención, reacción y recuperación: “..las amenazas sobre el mismo no se materialicen, no afecten gravemente a la información que maneja, o los servicios que se prestan”.
  • Líneas de defensa: “Ganar tiempo….Reducir probabilidad…Minimizar el Impacto”
  • Reevaluación periódica.
  • Función diferenciada
ens requisitos m nimos
ENS: Requisitos Mínimos
  • Organización e implantación del proceso de seguridad
  • Análisis y gestión de los riesgos
  • Gestión de personal
  • Profesionalidad
  • Autorización y control de los accesos
  • Protección de las instalaciones
  • Adquisición de productos
  • Seguridad por defecto
  • Integridad y actualización del sistema
  • Protección de la información almacenada y en tránsito
  • Prevención ante otros sistemas de información interconectados
  • Registro de actividad
  • Incidentes de seguridad
  • Continuidad de la actividad
  • Mejora continua del proceso de seguridad

Todo órgano de la Administración Pública, incluso los ayuntamiento, deben disponer formalmente de una Política de Seguridad que cubra los siguientes requisitos mínimos, en función de los riesgos identificados:

la seguridad como un servicio

Auditoría

Autorización

Federación

Autenticación

ID Admin

Role Mgmt

Servicios de Directorio

Access Management

Identity Administration

Directory Services

La Seguridad como un Servicio

Oracle Apps

Aplicaciones 3os/Desarrollos

Proveedores Servicios Cloud

Servicios Web

Declarative Security Services

Almacén de Identidad, Credenciales, Políticas y Acceso al Dato.

BBDD

agile application security with service oriented security

IT

Desarrollador Ap.

Desarrollador Ap.

  • Define Políticas y Servicios
  • Construye la Aplicación

Incorpora la Seguridad a la Aplicación usando OPSS

Servicios de Identidad

Servicio de

Gestión Roles

Servicios de Aprovisionamiento

Servicios de

Autenticación

Servicios de

Autorización

Servicios de

Auditoría BBDD

Oracle WebLogic Suite-based Application Grid

Agile Application Security with Service-Oriented Security

Interfaz de AutoServicio

Oracle Identity Management

Policies

Despliega la Aplicación

Políticas de Autenticación & Autorización

Autenticaciónn

Portal

  • Autoservicio
  • SSO
slide18
ENS
  • Medidas de Seguridad:
    • Marco organizativo: Consultora Especializada
    • Marco operacional:
    • Medidas de protección:
  • Categorización de los sistemas:
    • Dimensiones: Disponibilidad, Autenticidad, Integridad, Confidencialidad y Trazabilidad
    • Niveles: Bajo, Medio y Alto
  • Auditoría de la seguridad:
    • Con carácter ordinario: al menos cada dos años, para verificar el cumplimiento de los requerimientos.
    • Con carácter extraordinario: cuando se produzcan cambios sustanciales en el sistema de información.
    • El Comité Sectorial de Administración Electrónica evaluará periódicamente el estado de la seguridad en las AAPP.
    • El Régimen sancionador se espera en breve.

+

Consultora Especializada