PDF de programación - Oracle Database Vault

Oracle Database Vault
Informe Ejecutivo de Oracle
Junio de 2007

Oracle Database Vault



INTRODUCCIÓN
Fortalecer los controles internos para cumplir con las normas, imponer las mejores prácticas
del sector y protegerse contra las amenazas internas son solo algunos de los desafíos a los que
se enfrentan las organizaciones en la actual economía global. A pesar de que los problemas
como las amenazas internas ciertamente no son nuevos, la preocupación por el acceso no
autorizado a la información sensible nunca ha sido mayor. El estudio sobre Seguridad y Delitos
Informáticos realizado por CSI/FBI 2005 documentó que más del 70% de los ataques y la
pérdida de datos del sistema de información eran cometidos por integrantes de la empresa, es
decir, por aquellas personas autorizadas por lo menos a algún nivel de acceso al sistema y sus
datos. Las violaciones a la seguridad realizadas por integrantes de la empresa pueden ser
mucho más costosas que los ataques desde el exterior de la empresa. El costo del robo de datos,
tanto desde un punto de vista financiero como de relaciones públicas, puede ser significativo.
Al mismo tiempo, permanecer en competencia en una economía global requiere la flexibilidad
de implementar sistemas de IT de manera eficiente y aún así adherirse a las mejores prácticas
del sector y los mandatos regulatorios como PCI, Sarbanes-Oxley y Basilea II.

Los controles de seguridad transparentes son críticos para el cumplimiento de las aplicaciones
existentes y las operaciones de IT con las regulaciones emergentes y existentes así como con
las mejores prácticas del sector. Modificar una aplicación existente puede ser un ejercicio
costoso y puede a su vez consumir mucho tiempo. Como resultado, nuevos productos de
seguridad deben brindar protección de manera transparente, sin la necesidad de modificaciones
en las aplicaciones existentes.

ORACLE DATABASE VAULT
Controlar el acceso a bases de datos, aplicaciones y datos requiere controles de
acceso sofisticados que son impuestos desde el interior de la base de datos. Oracle
Database Vault es la solución líder en el sector para proteger los datos de negocio.
Ya sea que se trate de aplicaciones cliente-servidor tradicionales o aplicaciones
basadas en la web, Oracle Database Vault brinda controles de seguridad flexibles,
transparentes y altamente adaptables sin realizar cambios en la aplicación. Oracle
Database Vault recientemente obtuvo el premio Excelencia Global en Seguridad de
Base de Datos 2007 en la Guía de Productos InfoSecurity.

Durante las últimas décadas, se han desarrollado miles de aplicaciones. Algunas de
estas aplicaciones son ampliamente utilizadas por RR. HH. o el procesamiento
financiero, y otras son aplicaciones personalizadas, diseñadas para solucionar un
problema de negocio específico del sector. En la actualidad, el usuario altamente
privilegiado puede encontrarse en muchos entornos de aplicación. Hoy, las
regulaciones y mejores prácticas requieren el establecimiento de controles estrictos
para usuarios altamente privilegiados y evitar el acceso a los datos utilizando
herramientas de información listas para usar. Oracle Database Vault está diseñado
para abordar estos desafíos utilizando controles de usuario altamente privilegiados y
políticas personalizadas de seguridad. Oracle Database Vault está disponible para
Oracle Database 9i versión 2, Oracle Database 10g versión 2 y Oracle Database 11g
versión 1. Oracle Database Vault ha sido validado con las Aplicaciones Oracle
PeopleSoft. Actualmente, se encuentra en curso la validación con otras aplicaciones,
entre ellas, Oracle E-Business Suite y Siebel.


Oracle Database Vault y Regulaciones
Oracle Database Vault Realms, separación de tareas, reglas de comando y factores
son aplicables a la reducción del riesgo general asociado con la disposición específica
de las regulaciones en todo el mundo. Las regulaciones como Sarbanes-Oxley
(SOX), la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA),
Basilea II y PCI tienen temas comunes que incluyen controles internos, separación



2

de tareas y estrictos controles de acceso a la información sensible. A pesar de que
muchos requerimientos de las regulaciones como SOX y HIPAA son procesales por
naturaleza, se necesitan soluciones técnicas para mitigar los riesgos asociados con
procesos como la modificación no autorizada de datos y el acceso no autorizado.

Realms

Multi-Factor
Authorization

Separation
of Duty

Control de Usuarios con Altos Privilegios
Realms
• Evita que los usuarios con altos privilegios accedan

a los datos de aplicaciones


Separación de tareas
• Controla las acciones administrativas dentro de la
base de datos para evitar acciones que puedan
violar las normas y mejores prácticas


• Realiza informes relacionados con la seguridad en
Realms y otras imposiciones de Database Vault

Reports



Políticas Flexibles y Adaptables de
Seguridad Personalizada
Autorización de Factores Múltiples
• Crea Procesos Confiables para datos, definiendo
quién, cuándo, dónde y cómo se accede a las
aplicaciones, los datos y las bases de datos


Reglas de Comando
• Impone políticas operacionales sobre la base de

Seguridad de IT y recomendaciones internas o
externas de auditoría



Reports



F

Command

Rules



Sistema Operativo Habitual (Recomendado)



Figura 1. Generalidades sobre Oracle Database Vault

Oracle Database Vault (DBV) y Regulaciones

Requisito

datos

Regulación

302

Sarbanes-Oxley Artículo

Cambios no autorizados en los

Sarbanes-Oxley Artículo

404

Sarbanes-Oxley Artículo

409

Gramm-Leach-Bliley

HIPAA 164.306
HIPAA 164.312

Basilea II – Administración

de Riesgos Internos

CFR Sección 11

Ley de Privacidad de Japón

PCI – Requisito 7

PCI – Requisito 8.5.6

Modificación a datos, acceso no

autorizado

Negación de servicio, acceso no

autorizado

Acceso no autorizado, modificación

y/o revelación

Acceso no autorizado a los datos
Acceso no autorizado a los datos

Acceso no autorizado a los datos
Acceso no autorizado a los datos
Acceso no autorizado a los datos
Restringir el acceso a datos de
titulares de tarjeta por necesidad
de conocimiento de la empresa
Activar cuentas utilizadas por
proveedores para el mantenimiento
remoto solo durante el tiempo
necesario

¿DBV mitiga
este riesgo?

Sí

Sí
Sí
Sí
Sí
Sí
Sí

Sí
Sí
Sí

Sí

3

Brindar capacidades para restringir
el acceso a los datos de titulares
de tarjetas o bases de datos de
acuerdo con:
• dirección de IP/Mac
• Aplicación/servicio
• Cuentas/grupos de usuarios

Garantizar que cada entidad solo
tenga acceso al entorno de datos
de sus propios titulares de tarjeta

Sí

Sí

PCI – Compensación de

Controles para el Requisito

3.4

PCI – Requisito A.1: Los

proveedores hosting
protegen el entorno de
datos de los titulares de

tarjeta

Tabla 1. Generalidades sobre Oracle Database Vault y Regulaciones

Control de Usuarios con Altos Privilegios
Los administradores de base de datos y otros usuarios con altos privilegios tienen
un rol importante en el mantenimiento de la base de datos. El backup y la
recuperación, el ajuste de desempeño y la alta disponibilidad son parte de la
descripción de tareas de un DBA. No obstante, la capacidad de evitar que los
usuarios con altos privilegios dentro de la base de datos vean los datos de
aplicaciones sensibles se ha vuelto cada vez más importante. Asimismo, la
consolidación de aplicaciones requiere límites sólidos entre datos de negocio
sensibles, como aquellos que se encuentran en las aplicaciones financieras y de
recursos humanos.

Oracle Database Vault Realms
Oracle Database Vault Realms evita que los DBA, propietarios de aplicaciones y
otros usuarios privilegiados vean los datos de aplicaciones mediante el uso de sus
poderosos privilegios. Database Vault Realms activa controles preventivos,
ayudando a reducir el impacto potencial cuando se produce una violación a los
datos, permitiendo que el DBA realice su tarea con más eficiencia. Oracle Database
Vault Realms puede utilizarse para proteger toda una aplicación o un grupo
específico de tablas dentro de una aplicación, ofreciendo una seguridad altamente
flexible y adaptable.

Oracle Database Vault – Separación de Tareas
La separación de tareas de Oracle Database Vault permite un enfoque sistemático
hacia la seguridad que fortalece los controles internos dentro de la base de datos.
Listo para usar, Oracle Database Vault crea tres responsabilidades distintas dentro
de la base de datos.

Responsibility Description

Administración de Cuentas



Administrador de Seguridad La responsabilidad de administración de



Un usuario con la responsabilidad de

dministración de cuentas puede crear, eliminar
a

modificar usuarios de la base de datos. Se
o

e
vitará que los usuarios existentes con altos

p
rivilegios realicen actividades relacionadas con

l
a administración de cuentas.


eguridad está diseñada para permitir que los
s

suarios se conviertan en un administrador de
u

eguridad (Titular de Database Vault) de la base
s

e datos. Un administrador de seguridad puede
d

onfigurar Database Vault Realms, las Reglas de
c

omando, autorizar a otros usuarios a utilizarlos
C

y
ejecutar varios informes de seguridad

e
specíficos de Database Vault. Se evita que el

a
dministrador de seguridad autorice por su

c
uenta el acceso a datos de negocio seguros.



4







Administración de Recursos La responsabilidad de administración de recursos
permite que un usuario con los privilegios de un
DBA siga realizando el mantenimiento y la
administración normal asociada con la base d