PDF de programación - ORACLE AUDIT VAULT

ORACLE AUDIT VAULT
Trust-but-Verify

Informe Ejecutivo de Oracle
Abril de 2007

ORACLE AUDIT VAULT
Introducción
Desafíos de Privacidad y Cumplimiento
Desafíos de Amenazas Internas
Oracle Audit Vault
Simplificación de Informes de Cumplimiento
Informes de Seguridad y Cumplimiento
Detección Temprana con Alertas de Oracle Audit Vault
Alertas de Audit Vault
Costos Más Bajos de IT con las Políticas de Oracle Audit Vault
Seguridad de Oracle Audit Vault
Escalabilidad de Oracle Audit Vault
Conclusión


3
3
4
5
6
6
7
7
8
8
9
9



2

Introducción
La auditoría está alcanzando un rol cada vez más importante en las áreas de
cumplimiento, privacidad y seguridad. Satisfacer las regulaciones de cumplimiento como
las de Sarbanes-Oxley y mitigar los riesgos relacionados con las amenazas internas son
algunos de los desafíos de seguridad más importantes a los que se enfrentan las empresas
de hoy. Actualmente, el uso de los datos de auditoría como recurso de seguridad continúa
siendo un proceso manual que requiere que el personal de auditoría y de seguridad de IT
primero recopile los datos de auditoría y luego realice investigaciones sobre una gran
cantidad de datos de auditoría dispersos utilizando scripts personalizados y otros
métodos. Oracle Audit Vault automatiza el proceso de análisis y recopilación de la
información de auditoría, convirtiendo los datos de auditoría en un recurso de seguridad
clave para ayudar a abordar los actuales desafíos de cumplimiento y seguridad.


Desafíos de Privacidad y Cumplimiento
Los gobiernos de todo el mundo han promulgado una gran cantidad de regulaciones
relacionadas con los controles financieros, la asistencia médica y la privacidad.



AMÉRICA
• Sarbanes-Oxley (SOX)
• Healthcare Insurance Portability and
Accountability Act - HIPAA (Ley de
Transferencia y Responsabilidad de Seguros
Médicos)
• CA SB 1386 y otras Leyes Federales de
Privacidad
• Payment Card Industry Data Security Act
(Ley de Seguridad de Datos de Tarjetas de
Pago)
• FDA CFR 21 Sección 11
• FISMA -Federal Info Security Mgmt Act (Ley
Federal de Administración de Seguridad de
la Información)

EUROPA, MEDIO ORIENTE Y ÁFRICA
• Directivas de Privacidad de la UE
• UK Companies Act de 2006 APAC (Ley de
Sociedades del Reino Unido)
• Financial Instruments and Exchange Law
(J-SOX) (Ley de Intercambio e Instrumentos
Financieros)
• CLERP 9: Audit Reform and Corporate
Disclosure Act (Australia) (Ley de Privacidad
Corporativa y Reforma de Auditorías)

GLOBAL
• Estándares Internacionales de Contabilidad
• Basilea II (Banca Global)
• Pautas COECD sobre Corporate
Governance

3

Figura 1: Desafíos de Privacidad y Cumplimiento



Cada regulación tiene sus propias características y requerimientos. La ley Sarbanes-Oxley
(SOX) requiere que los ejecutivos certifiquen la precisión de los estados financieros. Las
regulaciones de SOX exigen sólidos controles internos para respaldar los estados

financieros. La ley Healthcare Insurance Portability and Accountability Act (HIPAA)
requiere la protección de la información sensible relacionada con el área de asistencia
médica. Asimismo, la ley Payment Card Industry Data Security Act (PCI) exige que los
ejecutivos monitoreen el acceso a los datos personales de los propietarios de tarjetas.

Las claves para respaldar las regulaciones de privacidad y cumplimiento son las políticas
y procedimientos de seguridad adecuados para controlar el acceso, la encriptación, la
confección de informes y el monitoreo. Las políticas de control de acceso son importantes
para imponer políticas need-to-know (necesidad de conocimiento) respecto de los datos
de aplicaciones, especialmente para usuarios altamente privilegiados como los DBA. Las
políticas de encriptación son un aspecto importante en cuanto a la protección de la
información para los datos relacionados con la privacidad, como por ejemplo, los
números de tarjeta de crédito o del seguro social en los medios subyacentes de
almacenamiento. Se han publicado numerosos casos de gran relevancia con relación a la
pérdida de cintas de backup y unidades de disco. El proceso de informes y monitoreo
ayuda a imponer la frase trust-but-verify (“confíe, pero verifique”) al realizar una
auditoría de las actividades de todos los usuarios, especialmente de los usuarios
privilegiados. Asimismo, estos datos de auditoría pueden utilizarse para alertar al
personal de seguridad de IT sobre problemas que podrían violar una regulación de
cumplimiento específica.

No obstante, en la actualidad, utilizar la información de auditoría es un proceso costoso,
ineficiente y que lleva mucho tiempo debido al hecho de que los datos de auditoría se
distribuyen a través de múltiples sistemas. La información de auditoría debe consolidarse,
ser segura y fácilmente accesible por parte del personal de auditorías y seguridad de IT.


Desafíos de Amenazas Internas
La naturaleza cada vez más sofisticada del robo de información y las amenazas internas
exigen a las empresas no sólo proteger la información sensible, sino también monitorear
el acceso a esa información, con inclusión del acceso de usuarios privilegiados y con más
derechos. El estudio de Seguridad y Delitos Informáticos CSI/FBI 2005 ha demostrado
que más del 70% de los ataques y las pérdidas de datos de los sistemas de información se
ha llevado a cabo por parte de personas internas a la empresa, es decir, por aquellas
personas autorizadas con al menos algún nivel de acceso al sistema y sus datos. Las
violaciones internas de seguridad pueden resultar mucho más costosas que los ataques
producidos fuera de la empresa.

El análisis de varios incidentes ha demostrado que el impacto resultante podría haber sido
sustancialmente menor si se hubieran examinado los datos de las auditorías. No obstante,
se ha comprobado que utilizar los datos de auditoría es una tarea difícil debido a que los
datos de auditoría se encuentran distribuidos, lo cual dificulta el análisis, la confección de
informes y la emisión de alertas.

La protección de la información ha sido un tema de gran importancia para las empresas.
Teniendo en cuenta las numerosas violaciones a la información, muchas empresas están
adoptando el principio trust-but-verify, que destaca la confianza impuesta en los usuarios
para realizar sus tareas y obligaciones asignadas, mientras se garantiza el monitoreo de
sus acciones para verificar el cumplimiento de las políticas. La auditoría es un
componente importante de toda la arquitectura de seguridad con esquema defense-in-
depth (seguridad exhaustiva).



4


Oracle Audit Vault
Las empresas deben consolidar, administrar, monitorear y generar informes de los datos
de auditoría para obtener una visión completa del acceso a los datos empresariales. El
personal de auditoría y seguridad de IT debe tener la capacidad de analizar los datos en
tiempo y forma a través de todos los sistemas dispares. Oracle Audit Vault aborda este
requerimiento al consolidar los datos de auditoría de todos los sistemas en un repositorio
seguro, escalable y altamente disponible.

Oracle Audit Vault recopila los datos de auditoría de la base de datos desde tablas de
pistas de auditoría de la base de datos Oracle; las pistas de auditoría de la base de datos
desde archivos del sistema operativo, y los registros de transacciones desde la base de
datos para capturar cambios anteriores/posteriores en el valor de las transacciones de
Oracle9i Database versión 2, Oracle Database 10g versión 1 y Oracle Database 10g
versión 2. Las futuras versiones incluirán la capacidad de recopilar datos de auditoría de
fuentes de bases de datos que no sean de Oracle y crear recolectores de auditorías
personalizados para otras fuentes.



Provide Secure and
Scalable Repository

Lower Costs With

Audit Policies

Other Databases
Other Sources

Detect Threats

With Alerts

Simplify Compliance

Reporting

Reports

Security

Monitor Policies

Figura 2: Generalidades de Oracle Audit Vault



Al utilizar Oracle Audit Vault las empresas pueden consolidar la gran cantidad de datos
de auditoría de múltiples fuentes y así obtener una visión completa de los datos de
auditoría utilizando varios informes preestablecidos para analizar la información de las
auditorías. Asimismo, los datos de auditoría recopilados se analizan para detectar
cualquier actividad sospechosa y, cuando eso ocurre, emitir una alarma. La interface de
usuario gráfica de Oracle Audit Vault también permite a los Funcionarios de Seguridad
de IT y los Auditores de IT crear y proveer políticas de auditoría para las bases de datos.


(Future)

Oracle 9iR2

Oracle 10gR1

Oracle 10gR2



5

Algo fundamental en Oracle Audit Vault es el depósito de datos seguro creado sobre la
tecnología data warehousing de Oracle, líder en el sector, y con productos de seguridad
de la base de datos Oracle líder en el sector como Oracle Database Vault y Oracle
Advanced Security. Oracle Audit Vault incluye Oracle Partitioning para mejorar el
desempeño y la capacidad de administración.

Oracle Audit Vault ayuda a las empresas a mejorar su capacidad para cumplir con los
requisitos regulatorios, garantizando la recopilación y precisión de los datos de auditoría
y reduciendo el tiempo y los esfuerzos por demostrar que los controles obligatorios se
están cumpliendo efectivamente.


Simplificación de Informes de Cumplimiento
Oracle Audit Vault ofrece interfaces para reportar de manera eficiente las actividades de
los usuarios y los datos de auditoría de toda la empresa, y así simplificar y agilizar los
informes de cumplimiento. Con Oracle Audit Vault, los datos de auditoría dispersos
pueden consolidars