Documentación TGB Opciones Seguridad

Un

a p

ub

lica

ció

n d

e O

racl

e

PROTEGER LA INFORMACIÓN DESDE EL ORIGEN

C

M

Y

CM

MY

CY

CMY

K

seguridad final.ai 1 07/10/2010 10:30:35seguridad final.ai 1 07/10/2010 10:30:35

staffDirección.Carmen Pizarro

Redacción Ana García Huerta

Diseño

Jon Callón

índice

Editorial...................................... 2

Proteger la información desde la fuente......................................... 3

La opinión de IDC........................ 4

Algunos ejemplos graves de pérdida de datos........................ 4

Cuestión de sensibilidad............ 5

Un partner, un proyecto................... 6

La visión de los expertos................ 8

A cada necesidad una opción........ 13

La economía mundial se enfrenta actualmente a un entorno de recesión económica.En casi todos los países y sectores vemos empresas cuyos negocios se ven afectados por la caída del consumo, por las dificultades de acceso al crédito y por otras circunstancias.

En este entorno económico, la facturación de las empresas se ve afectada. Por ello, se han visto obligadas a optimizar sus estructuras de costes a fin de mantener estables sus márgenes. En esta situación, se requiere la contribución de todas las áreas y departamentos empresariales, incluyendo el departamento de TI.

Hoy queremos mostrarle cómo podemos colaborar en la reducción de los costes del área de TI de su empresa, utilizando piezas clave de nuestra tecnología básica, de la que la base de datos con sus opciones reforzadas en materia de seguridad, almacenamiento, alta disponibilidad y administración de sistemas es el elemento fundamental.

Este documento es el primero de una serie en el que queremos mostrar las ventajas que supone la utilización de las Opciones de base de datos que Oracle ofrece. La seguridad es el primer punto a tratar y en estas páginas encontrará información de su interés para reducir los riesgos en este campo y ajustarse al cumplimiento legal.

En esta línea, un informe de PricewaterhouseCoopers señala que la protección de datos se ha convertido en una prioridad estratégica para gran parte de los CEOs durante la crisis económica, por lo que los responsables de TI y seguridad también deberían enfocar sus prioridades en esa misma dirección.

El informe destaca, además, que las empresas con una buena gestión de la seguridad estarán preparadas para abordar, en los próximos años, tres aspectos claves para su éxito futuro: la protección de los datos, los riesgos asociados al networking y el cloud computing.

En Oracle queremos ayudarle a anular cualquier riesgo en materia de seguridad controlando los cambios planificados e imprevistos de la infraestructura, llevando a cabo un seguimiento y una auditoría de todas las actividades y garantizando las copias de los datos de producción durante el ciclo de vida, entre otras muchas funciones de seguridad.En este sentido, las opciones de seguridad de la base de datos Oracle con sus múltiples módulos es su aliada. En este documento le invitamos a profundizar en el conocimiento de su alcance.

editorial

2

Ricardo MartínezDirector Oracle Mediana Empresa

C

M

Y

CM

MY

CY

CMY

K


14 3

La seguridad de los datos ha sido una de las preocupaciones clave de las organizaciones de TI desde hace tiempo, una preocupación que no para de crecer. Para las compañías que experimentan una pérdida de datos, los costes financieros, legales y de reputación pueden llegar a ser muy elevados. Además, las regulaciones en la materia (como es el caso de la LOPD) obligan a las compañías a adoptar medidas que protejan la información sensible y monitoricen el acceso a esa información.

Actualmente, diferentes estudios muestran que las empresas europeas no son conscientes de todas las consecuencias que derivan del problema. Al mismo tiempo, España tiene la política más estricta de Europa en cuanto a la regulación legal sobre la protección de datos de carácter personal, con las sanciones y multas más grandes y persecución judicial si fuera necesario. El riesgo de no obedecer la ley LOPD es lo primero de lo que son conscientes las empresas españolas.

Hoy en día las compañías han de protegerse no sólo contra las intrusiones externas, sino también ante amenazas internas. En esta línea, el noveno estudio conjunto del Computer Security Institute y el FBI publicado en junio de 2009 muestra que más del 70% de los ataques y las pérdidas de información los perpetran los empleados que tienen acceso a los datos en algún nivel. En respuesta a esto, muchos departamentos de TI están trabajando para salvaguardar los datos sensibles de sus bases de datos.

En el estudio publicado durante el tercer trimestre de 2009 por PriceWaterhouseCoopers queda patente que, además del incremento del riesgo y de la mayor complejidad regulatoria, la situación de inestabilidad económica ha impactado en la función de seguridad y ha intensificado su importancia en las compañías. A

nivel global, el 65% de las empresas asegura disponer de una estrategia global de seguridad de la información. En muchos casos la seguridad se percibe como una ayuda a la hora de mitigar posibles riesgos asociados a aspectos como la globalización. Todo esto ha contribuido a alinear los objetivos de los responsables de seguridad con los propios de la compañía y, por lo tanto, los responsables empresariales han dotado a la seguridad de la información de una cierta relevancia.

El 44% de los entrevistados disponía de políticas de prevención de pérdida de datos, en comparación al 29% del año anterior. Aún así, la localización y control de los datos más importantes es una asignatura pendiente para muchas compañías. Seis de cada diez encuestados asegura que en su empresa no se ha realizado un inventario detallado de dónde se recolectan, transmiten y alojan los datos de clientes o empleados.

La situación en España difiere del resto de los países. El 65% de los encuestados a nivel nacional indica que en la actual situación de recesión han aumentado las amenazas a la seguridad de la información de sus organizaciones. Sin embargo, pese a este aumento del riesgo, el 52% de las organizaciones nacionales encuestadas indica que en 2010 disminuirá o se mantendrá estable la inversión en seguridad.

foto

Proteger la información desde la fuenteD. Otros productos de Oracle que ayudan a la gestión de seguridad

Con ellos, las empresas disfrutan de una mayor agilidad de gestión, reducción de costes y seguridad en el control de los usuarios que acceden a los sistemas y las aplicaciones.

Oracle Identity Management

Permite gestionar todo el ciclo de vida de las identidades de los usuarios.

Oracle Enterprise User Security

Permite a los usuarios creados y gestionados autentificarse contra la base de datos mediante la actualización de roles.

C. Monitorización

Con estas opciones de seguridad de la base de datos, las empresas podrán hacer el seguimiento y auditoría de las acciones ejecutadas sobre la información de la base de datos. Así, las amenazas se detectan más eficazmente y se reducen los costes de TI al gestionar los parámetros auditados a través de todas las bases de datos desde una única consola.

Oracle Audit Vault

La auditoría puede ayudar a la detección temprana de problemas, reduciendo el impacto financiero de las brechas en la información. Oracle Audit Vault recoge y consolida transparentemente los datos auditados, ofreciendo una noción valiosa acerca de quién hizo qué a cuáles datos y en qué momento, incluyendo a los usuarios privilegiados que cuentan con acceso directo a la base de datos.

Con Oracle Audit Vault, las organizaciones se encuentran en una mejor posición para reforzar las políticas de privacidad, protegerse de las amenazas internas y cumplir los requisitos normativos.

Oracle Total Recall

Oracle Total Recall complementa a Oracle Audit Vault permitiendo a las organizaciones acceso instantáneo a los datos históricos necesarios para realizar análisis o para corregir errores.

Oracle Configuration Management Pack

Para asegurar la protección de la base de datos, Oracle Configuration Management Pack incorpora funciones adaptables de búsqueda y comparación; seguimiento de cambios en los históricos; marcos de definición de procedimientos y evaluaciones de compatibilidad con las normativas de protección.

C

M

Y

CM

MY

CY

CMY

K


13

La opinión de IDC

4

Documentos confidenciales de los trasplantados entre 1998 y marzo de 2007 fueron hallados tirados junto a un contenedor de basura situado a 300 metros del hospital.

El responsable de la fuga de datos médicos de 173 personas trasplantadas en el hospital Clínic infringió, además de la Ley de Protección de Datos, "las normas básicas del centro, las reglas deontológicas y, sobre todo, el sentido común". Lo dijo ayer el consejero delegado del hospital catalán, Raimon Belenes, quien asumió toda la responsabilidad de unos hechos que tildó de "graves y preocupantes". Belenes advirtió de que el centro será "muy riguroso" y que emprenderá "acciones judiciales" si detecta un "comportamiento malicioso" en el autor de la negligencia.

El País, 4 de noviembre de 2009

El hospital Clínic de Barcelona prevé llevar ante el juez la pérdida de datos de

trasplantes. El centro no evitó la fuga de datos médicos de 173 personas

trasplantadas.

IDC también está de acuerdo en que las organizaciones empiezan a valorar la importancia de ser proactivas en materia de seguridad, aunque en tiempos de dificultades económicas las empresas miran más que nunca con lupa sus inversiones.

En un estudio publicado en 2009, la consultora muestra que las organizaciones están empezando a darse cuenta del valor de tomar un enfoque proactivo hacia la seguridad, a pesar de que sólo un 19% de las compañías incrementó su gasto en TI de 2008 a 2009, mientras que un 41% recortó esta partida, principalmente debido a la actual recesión económica. El informe muestra, además, que casi un 60% de las organizaciones destinó una media de un 10% de sus presupuestos al área de seguridad.

Otro dato a destacar es que las organizaciones entrevistadas están cambiando su enfoque de inversión en soluciones de seguridad puntuales por uno más integral. Así, un 59% tiene planificado invertir en auditorías de seguridad, un 57% en prevención de pérdida de datos y un 52% en servicios de consultoría.

En este punto, las organizaciones creen que sufrirán fugas de datos en alguna etapa, aunque ésta será accidental en vez de maliciosa. El hecho de que un 57% de las compañías entrevistadas confirmara tener planificado invertir en tecnología de protección de datos, indica una amplia aceptación de la necesidad de complementar el enfoque de seguridad.

Por otra parte, las organizaciones (45%) creen que la fuga de datos es más probable que se produzca por errores humanos de los empleados que por hackers externos con intenciones maliciosas (15%).

La mayoría de los encuestados (85%) cree que la pérdida de datos a través de hacking externo es “muy improbable”, y un 55 % percibe que sólo tiene un “impacto moderado” o “ninguno” en sus negocios. Por su parte, más de un 60 % considera que es improbable que se vean afectados por un ataque de virus.

Además, IDC insiste en que con el incremento en los despidos en el actual clima económico, la probabilidad de que un empleado deliberadamente destruya o robe información sensible de la organización ha incrementado.

La mayor parte de las soluciones de seguridad está centrada en el perímetro (firewalls, VPNs, etc) y en los recursos (laptops, servidores). En definitiva, se protege la infraestructura que contiene la información y no los datos, algo que Oracle piensa que es un error de enfoque.

Algunos ejemplos graves de pérdida de datos….

A cada necesidad, una opción

Disponer de una plataforma de seguridad que garantice la integridad de los datos, evitando su pérdida y su uso indebido es, en sí misma, una de las principales necesidades de negocio para cualquier organización, independientemente de su tamaño. Oracle ha identificado cuatro eslabones básicos que cubrir en este ámbito para que las empresas puedan estar totalmente seguras de la protección de datos, monitorización y gestión de usuarios.

A. Control de acceso

Con ellas sólo accederá a los datos sensibles quien lo necesite y pueda hacerlo, controlando incluso el acceso a los usuarios internos con privilegios.

Oracle Database Vault

Actualmente existen múltiples normativas que obligan a las organizaciones a mantener controles internos para proteger a la información sensible (datos financieros, de salud e información de tarjetas de crédito) de accesos no autorizados o de cualquier tipo de modificación. Oracle Database Vault ayuda a las empresas a ser compatibles con esos requisitos con fuertes sistemas de control diseñados para proteger los datos frente a las amenazas del interior.

Oracle Label Security

Oracle Label Securiry es una herramienta poderosa y fácil de usar destinada a clasificar los datos y a suministrar acceso a datos basados en dichas clasificaciones. Es decir, una compañía estará capacitada para controlar, por ejemplo, el acceso de un usuario a una tabla de clientes, pero no a un conjunto específico de datos dentro de la tabla.

B. Protección de datosLos datos están completamente protegidos cumpliendo con todas las exigencias de privacidad de las normativas regulatorias.

Oracle Advanced Security

Con Oracle Advanced Security, las empresas pueden encriptar transparentemente todos los datos de una aplicación y todos los datos sensibles como números de tarjetas de crédito, números de la seguridad social o información de identificación personal.

Oracle Secure Backup

Oracle Secure Backup es una solución de backup integrada y fácil de usar que encripta los datos en la cinta para protegerlos contra el uso indebido de datos sensibles en caso de que dichas cintas de backup se pierdan o sean robadas.

Con un coste mínimo de entrada, Oracle Secure Backup es ideal tanto para pequeñas y medianas empresas como para grandes organizaciones.

Oracle Data Masking Pack

La capacidad para enmascarar los datos críticos es un elemento de creciente importancia dentro de las leyes de protección de datos de todo el mundo. Con Oracle Data Masking, la información sensible como los números de las tarjetas de crédito o de la seguridad social puede reemplazarse, permitiendo que los datos de producción se utilicen de forma segura para el desarrollo y análisis y se compartan con socios externos para propósitos que no tengan que ver con la producción.

C

M

Y

CM

MY

CY

CMY

K


Preguntas que su empresa debería hacerse en materia de seguridad

1. ¿Tiene identificada la información sensible de su organización?

2. ¿Sabe cuál es la información de valor para el negocio que han de proteger?

3. ¿Conoce qué información está sujeta a la legislación de protección de datos?

4. ¿Conoce cuáles son las medidas específicas de protección a las que obliga la normativa legal para la información sensible? ¿Las ha puesto en práctica?

5. ¿Está cifrada la información sensible cuando está almacenada en la base de datos? ¿Y cuando se transmite por la red? ¿Y en las cintas de back up?

6. ¿Es consciente de que el 70% de las vulneraciones de seguridad se llevan a cabo por su propio personal o por subcontratados?

7. Los administradores de la base de datos ¿tienen acceso a la información sensible?

5

Los datos financieros - números de cuentas bancarias, números de seguridad social, y otra información de identificación personal - es muy valiosa para los piratas informáticos, y su pérdida resulta costosa para los consumidores. El resultado es un daño grave en la reputación de las empresas implicadas y el abandono de la compañía por parte del cliente.

Enero de 2009

La violación del sistema Heartland Payment comprometió a 130 millones de

tarjetas de crédito y de débito

La base de datos de los clientes robada estaba almacenada en los soportes de backup de la empresa e incluía nombres, direcciones, números de teléfono, fechas de nacimiento, así como la dirección de correo electrónico. La empresa afirmó que la base de datos no contenía ninguna información financiera de carácter personal. El hecho se produjo en 2006 pero no se conoció hasta mediados de 2008. Hubo un gran escándalo en Alemania con la consecuente pérdida de clientes.

Deutsche Telekom pierde 17 millones de archivos

foto

Cuestión de sensibilidad

Seresco915 989 110www.seresco.es

Si desea más información sobre los partners especializados en

tema de seguridad, por favor, visite

http://partner.oracle.com/tecnica

12

características, fruto de la larga presencia de Oracle en el mercado son las que nos han llevado a apostar por sus soluciones.

5. ¿Qué valor añadido le ofrece su empresa a la

tecnología de opciones de bases de datos de Oracle?

Desde Seresco nos preocupa que los clientes que han confiado en nuestra experiencia como implantadores de soluciones Oracle nos vean como un partner tecnológico con capacidad de responder a sus demandas. La cercanía, el conocimiento de múltiples sectores y sus problemáticas y la experiencia contrastada son las principales aportaciones de Seresco.

6. ¿Podría darnos el ejemplo de alguna instalación de

opciones de base de datos en algún cliente concreto?

En un Ayuntamiento del norte de España, se ha implantado con éxito una solución de Single Sign-On, que permite acceder a las diferentes aplicaciones existentes en el Ayuntamiento mediante una única contraseña. De esta forma, los usuarios simplemente realizan un acceso a su equipo de escritorio, y automáticamente obtienen acceso a las diferentes aplicaciones existentes en la organización, sin necesidad de conocer ninguna contraseña adicional. En una segunda fase, el Ayuntamiento está valorando la instalación del sistema integral de Gestión de Identidades, que enlaza directamente con el proceso de Single Sign-On para automatizar los procesos de altas y bajas de usuarios en los sistemas de TI. Una vez instalado, el ciclo de vida completo del usuario queda controlado por este aplicativo, y los procesos de altas/bajas/modificaciones son automáticamente realizados en base a las reglas de negocio definidas en la organización.

7.¿Qué beneficios ha experimentado dicha

organizacióna raíz de ello?

El principal beneficio es un aumento importante de la seguridad en los sistemas, desde el momento en que no es necesario que el usuario final recuerde multitud de credenciales diferentes para las diferentes aplicaciones. Disponemos de una única credencial de acceso al sistema, y que puede ser securizada adicionalmente con dispositivos criptográficos, para conseguir una mayor seguridad todavía. De manera secundaria, se consiguen importantes beneficios sobre los administradores de TI, ya que se rebajan en gran medida las peticiones de servicio de reseteo y cambio de contraseñas, gestión de cuentas, etc. Estas tareas quedan automatizadas con el sistema de gestión de identidades y Single Sign-On.

1. En su experiencia, ¿qué problemáticas encuentran

en el seno de las empresas en las que han trabajado?

Las problemáticas desde el punto de vista del negocio consisten en gestionar adecuadamente el acceso a la información, controlando que cada usuario tenga acceso a toda la información que necesita, cuando la necesita, y sólo a ella. Mantener un registro de estos accesos, y limitar el mal uso de esta información es el siguiente objetivo. Asimismo, es importante que esta información esté disponible cumpliendo con los requisitos que planteen las normativas legales.

2. ¿Cuál de ellas es la que más preocupa a las

empresas?

Uno de los aspectos que hemos detectado que más preocupa a las empresas en materia de seguridad es todo lo que se refiere a la gestión de identidades. En un momento en el que las organizaciones tienen que conseguir una homogeneización de sus infraestructuras es cuando más necesitan un acceso cómodo y sencillo a los recursos TI corporativos, el aprovisionamiento automatizado de contraseñas y derechos a usuarios, y mayores niveles de seguridad de la información. Contar con una solución que le ayude a organizar todo esto se convierte en prioritario. Otra de las preocupaciones se refiere a la protección de datos personales, sobre todo desde la entrada en vigor de la LOPD.

3. ¿Hay sensibilidad suficiente en la empresa española

ante los requisitos de protección de datos?

En la mayor parte de las empresas españolas existe una verdadera preocupación por cumplir los requisitos de la ley. Sin embargo a veces se encuentran con dificultades derivadas de las deficiencias de sus políticas de seguridad o de su infraestructura hardware o software. Hemos observado, por parte de los responsables de sistemas, un interés creciente por mejorar las políticas de cumplimiento no solo de la LOPD sino también de todas aquellas normativas de seguridad europeas que deben ser implantadas en nuestro país.

4. ¿Qué hace especial a la tecnología de opciones de

base de datos de Oracle en materia de seguridad?

La principal ventaja es la solidez de las soluciones, así como el conocimiento que posee tanto del mercado como de las necesidades de los clientes. Estas

C

M

Y

CM

MY

CY

CMY

K


11

Staitecwww.staitec.com

S21sec916 616 079www.s21sec.es

similar al que ya hemos vivido con los sistemas de implantación de calidad en las empresas hace años, y que ahora es un estándar.



La facilidad de implementación y despliegue en entornos productivos sin requerir grandes esfuerzos en la adaptación de las aplicaciones existentes en las empresas.



Complementa el ciclo completo del proceso (consultoría, auditoria, implantación de soluciones para el gap detectado).



Gracias a la implantación de las soluciones de cifrado de Oracle, algunos de nuestros clientes del sector financiero y comercio electrónico, garantizan la confidencialidad, integridad y disponibilidad de los datos críticos de sus clientes referentes al cumplimiento de normativas.

7.¿Qué beneficios han experimentado dichas empresas

a raíz de ello?

Por una parte dar cumplimiento a normativas y por otra, que a mi entender es más importante, dar confianza a sus clientes ya que los procesos se realizan de la forma más correcta y confidencial, además de ser un factor diferencial con respecto a la competencia o al sector.

1. En su experiencia , ¿qué problemáticas encuentran


Se suelen encontrar problemas en la correcta protección de los activos para evitar fugas de información de forma mal intencionada o no y, sobre todo, en materias de cumplimiento legal como LOPD o PCI DSS.


empresas?

Preocupa especialmente el riesgo del compromiso de sus activos que motive fraude o un daño en la imagen corporativa de la empresa.



No la suficiente, aún es necesario seguir predicando, si bien la empresa tiene ya clara la necesidad de implementar controles básicos como antivirus, firewall, copias de seguridad, usuarios/contraseñas, etc. Todavía queda mucho camino que recorrer para poder llegar a otros estadios como Cumplimiento de Legislación sobre Seguridad , seguir con la Gestión del Proceso de Seguridad, proseguir con la Gestión del Riesgo y finalizar con la Certificación. Todo esto es un proceso



Existe sensibilidad pero falta aún concienciación acerca del riesgo de seguridad que implica el incumplimiento de la LOPD. En muchos casos el cumplimiento de la LOPD no se percibe como la evidente oportunidad de mejora que es.



Sus prestaciones, fiabilidad y potencia.



Conocimiento y criterio especializado en el diseño e implementación de la solución basada en instrumentos Oracle. Esto se traduce en proyectos de implantación adecuados en tiempo y costes.



Implementación de un entorno de preproducción anonimizado mediante un proceso de Data Masking para el Departamento de Salud de una Comunidad Autónoma.

7.¿Qué beneficios ha experimentado dicho

departamento a raíz de ello?

Incremento de seguridad, cumplimiento estricto de la legislación, sobre todo en aquellos aspectos más complejos y disminución significativa del riesgo de pérdida de la confidencialidad de sus usuarios.



Ser capaz de diseñar una adecuada y correcta estrategia de seguridad que dé respuesta a los retos de seguridad concretos y específicos que plantea la LOPD constituye una problemática básica de las empresas con las que hemos trabajado. En nuestro caso proteger y mantener la privacidad de los datos que contienen información confidencial sea o no personal es la problemática de negocio más habitual. Esto se traduce en actuaciones que tienen como objetivo crear entornos seguros.


empresas?

En el caso de la protección de datos, disponer de soluciones fiables que permitan realizar procesos de disociación y enmascaramiento de base de datos seguros y eficientes en tiempo y costos. Estos procesos garantizan el derecho a la privacidad de los propietarios de los datos y a su vez incrementan la seguridad global del sistema.

6

¿Cuál es la filosofía de Vitalia?

Como especialista en rehabilitación de mayores mediante la estimulación cognitiva, me di cuenta de que había una gran necesidad de una metodología propia de trabajo en la atención a los problemas propios de la tercera edad. Creé así el método Hoffmann y abrimos en Madrid el primer centro de día hace ahora seis años.

Una vez creado el concepto, había que trasladar su lógica a una plataforma tecnológica. Quería profesionalizar el enfoque a la tercera edad tanto sanitaria como tecnológi-camente. El equipo humano que compone los centros responde a múltiples perfiles: médicos, enfermeros, fisiote-rapeutas, expertos en terapia ocupacional, neuropsicólo-gos, auxiliares de clínica, conductores, administrativos y todos ellos cumplen una función a partir de unos protoco-los específicos que queríamos sistematizar con ayuda de la tecnología. Al tiempo, el Método Hoffmann tiene una serie de pautas para cada tipo de patología que también había que trasladar al software.

Un partner, un proyecto

Catalina Hoffmann, directora general de Vitalia tu centro de día

Catalina Hoffmann, Directora General Vitalia tu centro de díawww.vitalia.com.es

Seguridad y protección de datos en el sector socio-sanitario

¿Cuáles eran las necesidades principales para crear la

plataforma?

Digitalizar, sistematizar, generar informes mensuales de todos los usuarios para todo el equipo, todo esto contando con una información accesible y protegida. Cuando regis-tré el Método Hoffmann no quería adaptar algo existente desde el punto de vista tecnológico. Quería algo propio e integral, una plataforma tecnológica altamente eficaz y segura para el sector socio-sanitario en la que se apoya tanto la parte organizativa, administrativa y empresarial como la que puramente se refiere a articular la esencia del negocio.

¿Hasta qué punto es importante la seguridad y el control

de acceso a la información?

Todo el mundo que trabaja en Vitalia, unos 15 por centro, tiene acceso de una forma o de otra a la plataforma tecno-lógica en el parámetro que le corresponde. Cada profesio-nal tiene su protocolo de actuación y existe una privacidad muy alta con distintos niveles de acceso. El terapeuta tiene su protocolo que puede cruzar con fisioterapia pero no con datos médicos o de gerencia. La protección de datos es vital, especialmente estos tan delicados y personales. En este punto la participación de Oracle y Adiante es crucial.

¿Por qué eligieron a Oracle como proveedor?

Adiante es una compañía especializada en protección de datos, control de accesos y niveles de seguridad que ha aportado su saber hacer al proyecto en la parte de seguri-dad. Ellos nos recomendaron Oracle como opción y nos gustó su vocación global.

Vitalia es una organización centrada en el cuidado y tratamiento especializado de la tercera edad en centros de día bajo una filosofía propia conocida como Método Hoffmann. Dicho método se sostiene en una innovadora plataforma tecnológica en la que Oracle y su partner Adiante, experto en implantar las opciones de seguridad de la base de datos de Oracle, han aportado su saber hacer.

C

M

Y

CM

MY

CY

CMY

K


7

La solución

Oracle Advanced Security y Oracle Database Vault, opcio-

nes de seguridad de base de datos para proteger la infor-

mación de Vitalia.

La seguridad de los datos es un aspecto crítico en la plata-forma tecnológica de Vitalia porque la naturaleza de la información que maneja está catalogada como datos que exigen un nivel de seguridad elevado según la Ley Orgáni-ca de Protección de Datos. Se trata además de una aplica-ción web alojada en servidores externos a las instalaciones del cliente, con lo cual era necesario garantizar que nadie sin los permisos adecuados pudiese acceder a la informa-ción del sistema.

La plataforma utiliza la base de datos Enterprise 11gR2 con la opción Oracle Advanced Security y en breve se implementará la opción Oracle Database Vault.

La plataforma que recoge el Método Hoffmann es un siste-ma muy exigente no sólo en aspectos de seguridad, también era necesario que fuera simple de utilizar y con unos requisitos de accesibilidad web adecuados. Para ello se realizó un exhaustivo estudio de los datos a proteger y las medidas de seguridad a implementar en la instalación de la base de datos y sus opciones.

Adiante Nuevas Tecnologías, S.L.915 392 [email protected]

El valor del partner

“Adiante ha contribuido en varios aspectos fundamentales

en lo que se refiere a la implantación de la opción Oracle

Advanced Security de la base de datos Oracle. Su

conocimiento técnico de los productos Oracle ha sido

determinante, así como su experiencia en las implicaciones

de la LOPD, principalmente en la parte de aplicaciones

tecnológicas para su cumplimiento”. Luis Mediero, gerente

de Adiante

Como expertos en soluciones de seguridad ¿qué problemáticas se encuentran en esta materia en el seno de las empresas en las que han trabajado?

Principalmente dos: el cumplimiento de la LOPD cuando sus ficheros son de nivel alto de protección o cuando desean mantener la confidencialidad de los datos almacenados. Cuando hablas con un director de sistemas o de calidad y les explicas lo fácil que es proteger la información de su empresa con soluciones como las de Oracle se quedan sorprendidos.

¿Cuál de ellas es la que más preocupa a las empresas?

Actualmente las empresas están muy sensibilizadas con los aspectos de la LOPD, aunque una empresa que tiene un departamento de I+D muy activo también se preocupa de que no haya fuga de información aunque esos datos no sean de carácter personal.

¿Hay sensibilidad suficiente en la empresa española ante los requisitos de protección de datos?

Los estudios de hace un par de años mostraban que sólo alrededor del 10% de las empresas españolas tenían registrados ficheros ante la Agencia Española de Protección de Datos. Teniendo en cuenta que el 100% de las empresas o autónomos con al menos 1 empleado deberían tener registrado algún fichero, se trata de datos verdaderamente bajos. Esta tendencia ha cambiado mucho durante el último año y medio, principalmente porque la agencia ya puede actuar de oficio y no necesita una denuncia para auditar a una empresa.

Informática El Corte Inglés913 874 946www.ieci.es

10

de los riesgos que corren si carecen de los mecanismos de seguridad que protejan sus datos.



El aspecto que más valoramos de Oracle es su capacidad de actualización, su flexibilidad para ir incorporando a sus soluciones los elementos necesarios para que sus soluciones se adapten a las nuevas normativas. El rendimiento tecnológico se le supone, de modo que en el ámbito de la seguridad, su capacidad para entender los cambios en las normativas y aplicarlos a su portfolio de soluciones es un valor inestimable.



IECISA tiene una consolidada y contrastada experiencia como integrador de soluciones de TI. En esta línea, trabajamos con todas las tecnologías existentes en todo tipo de compañías.



Tenemos experiencia en la implantación de diferentes opciones de seguridad de Oracle, entre ellas Advanced Security. En esta área trabajamos fundamentalmente con distintos organismos pertenecientes al sector público que han de cumplir certificaciones de seguridad especialmente estrictas debido a la naturaleza de su actividad.

En el sector privado tenemos experiencia en dos compañías aseguradoras que nos han confiado su adaptación para que su desempeño sea compatible con la LOPD.

7.¿Qué beneficios ha experimentado dichas empresas

a raíz de ello?

La situación de Oracle en el mercado habla por sí sola. Nos interesa muchísimo estar siempre al tanto de cualquiera de sus desarrollos porque se trata de soluciones que abarcan áreas no cubiertas por otros fabricantes.



La experiencia que hemos desarrollado a partir de la relación con nuestra comunidad de clientes podría resumirse en la necesidad de las organizaciones de cumplir sin fisuras las normativas vigentes. Se preocupan especialmente de los aspectos que tienen que ver con la protección de datos corporativos y con encontrar el modo de evitar los accesos no deseados y las modificaciones que pudieran producirse en la información a partir de ese intrusismo. También se sienten especialmente interesados en el cumplimiento de determinados requisitos de seguridad con auditorías previas a la puesta en producción.


empresas?

Sin duda, la principal inquietud tiene que ver con la posibilidad de que alguien no autorizado penetre en los sistemas de información de la compañía y llegue a modificar la información. Evitar la manipulación del capital informativo es un asunto muy importante para nuestros clientes.



No queremos generalizar pero la realidad nos dice que, salvo excepciones, no percibimos la suficiente sensibilidad ante los desafíos en materia de seguridad a los que están expuestas hoy en día las organizaciones. Desde nuestra posición intentamos llevar a cabo una función de difusión que, sin alarmismos, lleve a las empresas a tomar conciencia

C

M

Y

CM

MY

CY

CMY

K


8

La visión de los expertosLa comunidad de partners de Oracle aporta experiencia, visión y saber hacer en la

implantación de las soluciones del fabricante. Ellos viven el día a día de los proyectos

y conocen de primera mano cuáles son las necesidades concretas de sus clientes.

Hemos seleccionado una pequeña muestra de los partners de Oracle especializados

en seguridad, con experiencia en implantación de proyectos, y ellos van a comentar

qué es lo que preocupa a las empresas españolas en materia de seguridad de sus

datos.

GFI913 836 320www.gfi.es

Ibermática944 310 200 www.ibermatica.com

9



Las distintas Opciones que Oracle aporta no son excluyentes entre sí sino que se pueden complementar. Además son soluciones transparentes desde el punto de vista de la aplicación, es decir, no requieren modificación del código. También cabe destacar que son soluciones flexibles que se pueden llegar a configurar a un nivel de detalle muy fino; esto permite adaptar estas soluciones a las necesidades concretas de seguridad de cada cliente.



La tecnología de Oracle nos permite construir la seguridad de una forma paralela al desarrollo de los sistemas que desarrollamos para nuestros clientes. Esto nos permite centrarnos en el negocio del cliente y confiar la seguridad a una solución robusta, con costes acotados tanto en tiempo como en precio y con una fiabilidad probada en términos de seguridad.



Un caso muy interesante es el de una empresa aseguradora del sector Salud que provee servicios de valor añadido a las compañías aseguradoras facilitándoles enormemente los procesos de selección de riesgos. En este cliente se instaló Oracle Transparent Data Encryption que permite encriptar el contenido de las bases de datos, sin tener que modificar el código de las aplicaciones y Oracle Database Vault, que permite controlar el acceso a los datos, incluso restringiendo el acceso a los administradores de la base de datos y, además, audita los intentos de acceso no permitidos.

7.¿Qué beneficios ha experimentado dicha empresa a

raíz de ello?

Más que beneficios, en este caso concreto era, una exigencia concreta para cumplir con la legislación vigente, especialmente si hablamos de datos de carácter estrictamente personal como son los que se manejan a la hora de valorar el riesgo de un candidato a un seguro de vida. Cualquier divulgación no autorizada de este tipo de información es inaceptable, y desde el punto de vista legal se castiga con multas que tienen importes muy elevados.



En los últimos años las empresas se han visto obligadas a optimizar sus procesos de negocio haciéndolos más eficientes y más accesibles. Las empresas han abierto sus procesos de negocio para poner en marcha procedimientos B2B, B2C y B2E, así como para facilitar el acceso remoto de sus trabajadores a los recursos de la compañía. Esta apertura al mundo exterior, no se encuentra exenta de riesgos de seguridad que deben de ser estudiados y sobre los que se debe actuar definiendo nuevos procedimientos organizacionales y utilizando soluciones tecnológicas como las de Oracle.


empresas?

Muchas empresas todavía interpretan que la mayoría de riesgos de seguridad provienen de posibles ataques como resultado de la apertura de sus procedimientos de negocio al mundo exterior, y se suele obviar la verdad, que una gran parte de los riesgos de seguridad se producen de forma interna en la propia red de la compañía o como resultado de una inapropiada segregación de tareas, funciones y roles en los procedimientos internos. La buena noticia es que esta realidad empieza a estar cada vez más presente en la empresa.



Nuestra experiencia nos dice que, aunque la protección de datos es una asignatura aprobada “raspando” para las grandes empresas, la mayoría de las PYMES responden ante esta problemática de una forma reactiva y después de haber sufrido algún problema al respecto.



Lo especial es precisamente que no es un nuevo software, sino Opciones de una tecnología extensamente conocida, la base de datos Oracle. Estas Opciones permiten incorporar los diferentes mecanismos y normativas que se necesiten y/o surjan, de una forma no intrusiva, sin sobrecarga, modular y transparente para las aplicaciones. Asimismo, no sólo incluyen opciones de administración de la seguridad, sino también auditoría y trazabilidad de aplicación de las normativas.



Hace más de 20 años que Ibermática empezó a trabajar con la tecnología de Oracle. Nosotros siempre hemos estado en una adaptación continua para entender, comprender y utilizar su tecnología en nuestros clientes. Por ello, el principal valor que podemos ofrecer es toda nuestra experiencia empresarial y el conocimiento que tenemos de los diversos productos: base de datos, desarrollo de aplicaciones, middleware, SOA, gestión de identidades…



Colaboramos con una compañía de ámbito nacional (que cuenta con cientos de miles de clientes) en su canal de venta online, utilizando los productos de seguridad de Oracle Audit Vault y Oracle Database Vault.

7.¿Qué beneficios ha experimentado dicha empresa a

raíz de ello?

Además de los evidentes, como son cumplir con la normativa legal en temas de seguridad y separar la figura de administrador de datos de la de administrador de base de datos, desde el minuto uno, el cliente se pudo centrar en mejorar sus procesos de venta online y dedicar todos sus recursos al negocio propiamente dicho.



La principal problemática reside en la diversificación tecnológica de los sistemas que soportan el negocio. Los sistemas deben entenderse entre sí y respetar las políticas de seguridad intrínsecas a cada uno de ellos. Además, el negocio de nuestros clientes está en continuo cambio y las TIC deben adaptarse a las nuevas necesidades. Lo que suele suceder es que las empresas adaptan sus sistemas al cambio, pero siempre dejan en segundo plano el tema de la seguridad.


empresas?

En la actualidad, las empresas dependen de la disponibilidad de los sistemas de información. Los administradores de seguridad saben, por experiencia propia, que las amenazas continúan en aumento, principalmente por parte de los hackers y los delincuentes, lo que les obliga a dedicar mucho tiempo y recursos a la gestión de la seguridad para sereficaces.



Creemos que la empresa está sensibilizada socialmente, pero no empresarialmente. Desde un punto de vista social y político, son conscientes de la importancia de cumplir los requisitos que la agencia de protección de datos establece. Sin embargo, cuando se quiere traducir esa sensibilidad a términos técnicos, entran en juego factores económicos y de negocio que influyen en la consecución de esos requerimientos. En este aspecto la ley va por delante de la implantación de las soluciones tecnológicas.

C

M

Y

CM

MY

CY

CMY

K


7

La solución

Oracle Advanced Security y Oracle Database Vault, opcio-

nes de seguridad de base de datos para proteger la infor-

mación de Vitalia.

La seguridad de los datos es un aspecto crítico en la plata-forma tecnológica de Vitalia porque la naturaleza de la información que maneja está catalogada como datos que exigen un nivel de seguridad elevado según la Ley Orgáni-ca de Protección de Datos. Se trata además de una aplica-ción web alojada en servidores externos a las instalaciones del cliente, con lo cual era necesario garantizar que nadie sin los permisos adecuados pudiese acceder a la informa-ción del sistema.

La plataforma utiliza la base de datos Enterprise 11gR2 con la opción Oracle Advanced Security y en breve se implementará la opción Oracle Database Vault.

La plataforma que recoge el Método Hoffmann es un siste-ma muy exigente no sólo en aspectos de seguridad, también era necesario que fuera simple de utilizar y con unos requisitos de accesibilidad web adecuados. Para ello se realizó un exhaustivo estudio de los datos a proteger y las medidas de seguridad a implementar en la instalación de la base de datos y sus opciones.

Adiante Nuevas Tecnologías, S.L.915 392 [email protected]

El valor del partner

“Adiante ha contribuido en varios aspectos fundamentales

en lo que se refiere a la implantación de la opción Oracle

Advanced Security de la base de datos Oracle. Su

conocimiento técnico de los productos Oracle ha sido

determinante, así como su experiencia en las implicaciones

de la LOPD, principalmente en la parte de aplicaciones

tecnológicas para su cumplimiento”. Luis Mediero, gerente

de Adiante

Como expertos en soluciones de seguridad ¿qué problemáticas se encuentran en esta materia en el seno de las empresas en las que han trabajado?

Principalmente dos: el cumplimiento de la LOPD cuando sus ficheros son de nivel alto de protección o cuando desean mantener la confidencialidad de los datos almacenados. Cuando hablas con un director de sistemas o de calidad y les explicas lo fácil que es proteger la información de su empresa con soluciones como las de Oracle se quedan sorprendidos.

¿Cuál de ellas es la que más preocupa a las empresas?

Actualmente las empresas están muy sensibilizadas con los aspectos de la LOPD, aunque una empresa que tiene un departamento de I+D muy activo también se preocupa de que no haya fuga de información aunque esos datos no sean de carácter personal.

¿Hay sensibilidad suficiente en la empresa española ante los requisitos de protección de datos?

Los estudios de hace un par de años mostraban que sólo alrededor del 10% de las empresas españolas tenían registrados ficheros ante la Agencia Española de Protección de Datos. Teniendo en cuenta que el 100% de las empresas o autónomos con al menos 1 empleado deberían tener registrado algún fichero, se trata de datos verdaderamente bajos. Esta tendencia ha cambiado mucho durante el último año y medio, principalmente porque la agencia ya puede actuar de oficio y no necesita una denuncia para auditar a una empresa.

Informática El Corte Inglés913 874 946www.ieci.es

10

de los riesgos que corren si carecen de los mecanismos de seguridad que protejan sus datos.



El aspecto que más valoramos de Oracle es su capacidad de actualización, su flexibilidad para ir incorporando a sus soluciones los elementos necesarios para que sus soluciones se adapten a las nuevas normativas. El rendimiento tecnológico se le supone, de modo que en el ámbito de la seguridad, su capacidad para entender los cambios en las normativas y aplicarlos a su portfolio de soluciones es un valor inestimable.



IECISA tiene una consolidada y contrastada experiencia como integrador de soluciones de TI. En esta línea, trabajamos con todas las tecnologías existentes en todo tipo de compañías.



Tenemos experiencia en la implantación de diferentes opciones de seguridad de Oracle, entre ellas Advanced Security. En esta área trabajamos fundamentalmente con distintos organismos pertenecientes al sector público que han de cumplir certificaciones de seguridad especialmente estrictas debido a la naturaleza de su actividad.

En el sector privado tenemos experiencia en dos compañías aseguradoras que nos han confiado su adaptación para que su desempeño sea compatible con la LOPD.

7.¿Qué beneficios ha experimentado dichas empresas

a raíz de ello?

La situación de Oracle en el mercado habla por sí sola. Nos interesa muchísimo estar siempre al tanto de cualquiera de sus desarrollos porque se trata de soluciones que abarcan áreas no cubiertas por otros fabricantes.



La experiencia que hemos desarrollado a partir de la relación con nuestra comunidad de clientes podría resumirse en la necesidad de las organizaciones de cumplir sin fisuras las normativas vigentes. Se preocupan especialmente de los aspectos que tienen que ver con la protección de datos corporativos y con encontrar el modo de evitar los accesos no deseados y las modificaciones que pudieran producirse en la información a partir de ese intrusismo. También se sienten especialmente interesados en el cumplimiento de determinados requisitos de seguridad con auditorías previas a la puesta en producción.


empresas?

Sin duda, la principal inquietud tiene que ver con la posibilidad de que alguien no autorizado penetre en los sistemas de información de la compañía y llegue a modificar la información. Evitar la manipulación del capital informativo es un asunto muy importante para nuestros clientes.



No queremos generalizar pero la realidad nos dice que, salvo excepciones, no percibimos la suficiente sensibilidad ante los desafíos en materia de seguridad a los que están expuestas hoy en día las organizaciones. Desde nuestra posición intentamos llevar a cabo una función de difusión que, sin alarmismos, lleve a las empresas a tomar conciencia

C

M

Y

CM

MY

CY

CMY

K


11

Staitecwww.staitec.com

S21sec916 616 079www.s21sec.es

similar al que ya hemos vivido con los sistemas de implantación de calidad en las empresas hace años, y que ahora es un estándar.



La facilidad de implementación y despliegue en entornos productivos sin requerir grandes esfuerzos en la adaptación de las aplicaciones existentes en las empresas.



Complementa el ciclo completo del proceso (consultoría, auditoria, implantación de soluciones para el gap detectado).



Gracias a la implantación de las soluciones de cifrado de Oracle, algunos de nuestros clientes del sector financiero y comercio electrónico, garantizan la confidencialidad, integridad y disponibilidad de los datos críticos de sus clientes referentes al cumplimiento de normativas.

7.¿Qué beneficios han experimentado dichas empresas

a raíz de ello?

Por una parte dar cumplimiento a normativas y por otra, que a mi entender es más importante, dar confianza a sus clientes ya que los procesos se realizan de la forma más correcta y confidencial, además de ser un factor diferencial con respecto a la competencia o al sector.



Se suelen encontrar problemas en la correcta protección de los activos para evitar fugas de información de forma mal intencionada o no y, sobre todo, en materias de cumplimiento legal como LOPD o PCI DSS.


empresas?

Preocupa especialmente el riesgo del compromiso de sus activos que motive fraude o un daño en la imagen corporativa de la empresa.



No la suficiente, aún es necesario seguir predicando, si bien la empresa tiene ya clara la necesidad de implementar controles básicos como antivirus, firewall, copias de seguridad, usuarios/contraseñas, etc. Todavía queda mucho camino que recorrer para poder llegar a otros estadios como Cumplimiento de Legislación sobre Seguridad , seguir con la Gestión del Proceso de Seguridad, proseguir con la Gestión del Riesgo y finalizar con la Certificación. Todo esto es un proceso



Existe sensibilidad pero falta aún concienciación acerca del riesgo de seguridad que implica el incumplimiento de la LOPD. En muchos casos el cumplimiento de la LOPD no se percibe como la evidente oportunidad de mejora que es.



Sus prestaciones, fiabilidad y potencia.



Conocimiento y criterio especializado en el diseño e implementación de la solución basada en instrumentos Oracle. Esto se traduce en proyectos de implantación adecuados en tiempo y costes.



Implementación de un entorno de preproducción anonimizado mediante un proceso de Data Masking para el Departamento de Salud de una Comunidad Autónoma.

7.¿Qué beneficios ha experimentado dicho

departamento a raíz de ello?

Incremento de seguridad, cumplimiento estricto de la legislación, sobre todo en aquellos aspectos más complejos y disminución significativa del riesgo de pérdida de la confidencialidad de sus usuarios.



Ser capaz de diseñar una adecuada y correcta estrategia de seguridad que dé respuesta a los retos de seguridad concretos y específicos que plantea la LOPD constituye una problemática básica de las empresas con las que hemos trabajado. En nuestro caso proteger y mantener la privacidad de los datos que contienen información confidencial sea o no personal es la problemática de negocio más habitual. Esto se traduce en actuaciones que tienen como objetivo crear entornos seguros.


empresas?

En el caso de la protección de datos, disponer de soluciones fiables que permitan realizar procesos de disociación y enmascaramiento de base de datos seguros y eficientes en tiempo y costos. Estos procesos garantizan el derecho a la privacidad de los propietarios de los datos y a su vez incrementan la seguridad global del sistema.

6

¿Cuál es la filosofía de Vitalia?

Como especialista en rehabilitación de mayores mediante la estimulación cognitiva, me di cuenta de que había una gran necesidad de una metodología propia de trabajo en la atención a los problemas propios de la tercera edad. Creé así el método Hoffmann y abrimos en Madrid el primer centro de día hace ahora seis años.

Una vez creado el concepto, había que trasladar su lógica a una plataforma tecnológica. Quería profesionalizar el enfoque a la tercera edad tanto sanitaria como tecnológi-camente. El equipo humano que compone los centros responde a múltiples perfiles: médicos, enfermeros, fisiote-rapeutas, expertos en terapia ocupacional, neuropsicólo-gos, auxiliares de clínica, conductores, administrativos y todos ellos cumplen una función a partir de unos protoco-los específicos que queríamos sistematizar con ayuda de la tecnología. Al tiempo, el Método Hoffmann tiene una serie de pautas para cada tipo de patología que también había que trasladar al software.

Un partner, un proyecto

Catalina Hoffmann, directora general de Vitalia tu centro de día

Catalina Hoffmann, Directora General Vitalia tu centro de díawww.vitalia.com.es

Seguridad y protección de datos en el sector socio-sanitario

¿Cuáles eran las necesidades principales para crear la

plataforma?

Digitalizar, sistematizar, generar informes mensuales de todos los usuarios para todo el equipo, todo esto contando con una información accesible y protegida. Cuando regis-tré el Método Hoffmann no quería adaptar algo existente desde el punto de vista tecnológico. Quería algo propio e integral, una plataforma tecnológica altamente eficaz y segura para el sector socio-sanitario en la que se apoya tanto la parte organizativa, administrativa y empresarial como la que puramente se refiere a articular la esencia del negocio.

¿Hasta qué punto es importante la seguridad y el control

de acceso a la información?

Todo el mundo que trabaja en Vitalia, unos 15 por centro, tiene acceso de una forma o de otra a la plataforma tecno-lógica en el parámetro que le corresponde. Cada profesio-nal tiene su protocolo de actuación y existe una privacidad muy alta con distintos niveles de acceso. El terapeuta tiene su protocolo que puede cruzar con fisioterapia pero no con datos médicos o de gerencia. La protección de datos es vital, especialmente estos tan delicados y personales. En este punto la participación de Oracle y Adiante es crucial.

¿Por qué eligieron a Oracle como proveedor?

Adiante es una compañía especializada en protección de datos, control de accesos y niveles de seguridad que ha aportado su saber hacer al proyecto en la parte de seguri-dad. Ellos nos recomendaron Oracle como opción y nos gustó su vocación global.

Vitalia es una organización centrada en el cuidado y tratamiento especializado de la tercera edad en centros de día bajo una filosofía propia conocida como Método Hoffmann. Dicho método se sostiene en una innovadora plataforma tecnológica en la que Oracle y su partner Adiante, experto en implantar las opciones de seguridad de la base de datos de Oracle, han aportado su saber hacer.

C

M

Y

CM

MY

CY

CMY

K


Preguntas que su empresa debería hacerse en materia de seguridad

1. ¿Tiene identificada la información sensible de su organización?

2. ¿Sabe cuál es la información de valor para el negocio que han de proteger?

3. ¿Conoce qué información está sujeta a la legislación de protección de datos?

4. ¿Conoce cuáles son las medidas específicas de protección a las que obliga la normativa legal para la información sensible? ¿Las ha puesto en práctica?

5. ¿Está cifrada la información sensible cuando está almacenada en la base de datos? ¿Y cuando se transmite por la red? ¿Y en las cintas de back up?

6. ¿Es consciente de que el 70% de las vulneraciones de seguridad se llevan a cabo por su propio personal o por subcontratados?

7. Los administradores de la base de datos ¿tienen acceso a la información sensible?

5

Los datos financieros - números de cuentas bancarias, números de seguridad social, y otra información de identificación personal - es muy valiosa para los piratas informáticos, y su pérdida resulta costosa para los consumidores. El resultado es un daño grave en la reputación de las empresas implicadas y el abandono de la compañía por parte del cliente.

Enero de 2009

La violación del sistema Heartland Payment comprometió a 130 millones de

tarjetas de crédito y de débito

La base de datos de los clientes robada estaba almacenada en los soportes de backup de la empresa e incluía nombres, direcciones, números de teléfono, fechas de nacimiento, así como la dirección de correo electrónico. La empresa afirmó que la base de datos no contenía ninguna información financiera de carácter personal. El hecho se produjo en 2006 pero no se conoció hasta mediados de 2008. Hubo un gran escándalo en Alemania con la consecuente pérdida de clientes.

Deutsche Telekom pierde 17 millones de archivos

foto

Cuestión de sensibilidad

Seresco915 989 110www.seresco.es

Si desea más información sobre los partners especializados en

tema de seguridad, por favor, visite

http://partner.oracle.com/tecnica

12

características, fruto de la larga presencia de Oracle en el mercado son las que nos han llevado a apostar por sus soluciones.



Desde Seresco nos preocupa que los clientes que han confiado en nuestra experiencia como implantadores de soluciones Oracle nos vean como un partner tecnológico con capacidad de responder a sus demandas. La cercanía, el conocimiento de múltiples sectores y sus problemáticas y la experiencia contrastada son las principales aportaciones de Seresco.



En un Ayuntamiento del norte de España, se ha implantado con éxito una solución de Single Sign-On, que permite acceder a las diferentes aplicaciones existentes en el Ayuntamiento mediante una única contraseña. De esta forma, los usuarios simplemente realizan un acceso a su equipo de escritorio, y automáticamente obtienen acceso a las diferentes aplicaciones existentes en la organización, sin necesidad de conocer ninguna contraseña adicional. En una segunda fase, el Ayuntamiento está valorando la instalación del sistema integral de Gestión de Identidades, que enlaza directamente con el proceso de Single Sign-On para automatizar los procesos de altas y bajas de usuarios en los sistemas de TI. Una vez instalado, el ciclo de vida completo del usuario queda controlado por este aplicativo, y los procesos de altas/bajas/modificaciones son automáticamente realizados en base a las reglas de negocio definidas en la organización.

7.¿Qué beneficios ha experimentado dicha

organizacióna raíz de ello?

El principal beneficio es un aumento importante de la seguridad en los sistemas, desde el momento en que no es necesario que el usuario final recuerde multitud de credenciales diferentes para las diferentes aplicaciones. Disponemos de una única credencial de acceso al sistema, y que puede ser securizada adicionalmente con dispositivos criptográficos, para conseguir una mayor seguridad todavía. De manera secundaria, se consiguen importantes beneficios sobre los administradores de TI, ya que se rebajan en gran medida las peticiones de servicio de reseteo y cambio de contraseñas, gestión de cuentas, etc. Estas tareas quedan automatizadas con el sistema de gestión de identidades y Single Sign-On.

1. En su experiencia, ¿qué problemáticas encuentran


Las problemáticas desde el punto de vista del negocio consisten en gestionar adecuadamente el acceso a la información, controlando que cada usuario tenga acceso a toda la información que necesita, cuando la necesita, y sólo a ella. Mantener un registro de estos accesos, y limitar el mal uso de esta información es el siguiente objetivo. Asimismo, es importante que esta información esté disponible cumpliendo con los requisitos que planteen las normativas legales.


empresas?

Uno de los aspectos que hemos detectado que más preocupa a las empresas en materia de seguridad es todo lo que se refiere a la gestión de identidades. En un momento en el que las organizaciones tienen que conseguir una homogeneización de sus infraestructuras es cuando más necesitan un acceso cómodo y sencillo a los recursos TI corporativos, el aprovisionamiento automatizado de contraseñas y derechos a usuarios, y mayores niveles de seguridad de la información. Contar con una solución que le ayude a organizar todo esto se convierte en prioritario. Otra de las preocupaciones se refiere a la protección de datos personales, sobre todo desde la entrada en vigor de la LOPD.



En la mayor parte de las empresas españolas existe una verdadera preocupación por cumplir los requisitos de la ley. Sin embargo a veces se encuentran con dificultades derivadas de las deficiencias de sus políticas de seguridad o de su infraestructura hardware o software. Hemos observado, por parte de los responsables de sistemas, un interés creciente por mejorar las políticas de cumplimiento no solo de la LOPD sino también de todas aquellas normativas de seguridad europeas que deben ser implantadas en nuestro país.



La principal ventaja es la solidez de las soluciones, así como el conocimiento que posee tanto del mercado como de las necesidades de los clientes. Estas

C

M

Y

CM

MY

CY

CMY

K


13

La opinión de IDC

4

Documentos confidenciales de los trasplantados entre 1998 y marzo de 2007 fueron hallados tirados junto a un contenedor de basura situado a 300 metros del hospital.

El responsable de la fuga de datos médicos de 173 personas trasplantadas en el hospital Clínic infringió, además de la Ley de Protección de Datos, "las normas básicas del centro, las reglas deontológicas y, sobre todo, el sentido común". Lo dijo ayer el consejero delegado del hospital catalán, Raimon Belenes, quien asumió toda la responsabilidad de unos hechos que tildó de "graves y preocupantes". Belenes advirtió de que el centro será "muy riguroso" y que emprenderá "acciones judiciales" si detecta un "comportamiento malicioso" en el autor de la negligencia.

El País, 4 de noviembre de 2009

El hospital Clínic de Barcelona prevé llevar ante el juez la pérdida de datos de

trasplantes. El centro no evitó la fuga de datos médicos de 173 personas

trasplantadas.

IDC también está de acuerdo en que las organizaciones empiezan a valorar la importancia de ser proactivas en materia de seguridad, aunque en tiempos de dificultades económicas las empresas miran más que nunca con lupa sus inversiones.

En un estudio publicado en 2009, la consultora muestra que las organizaciones están empezando a darse cuenta del valor de tomar un enfoque proactivo hacia la seguridad, a pesar de que sólo un 19% de las compañías incrementó su gasto en TI de 2008 a 2009, mientras que un 41% recortó esta partida, principalmente debido a la actual recesión económica. El informe muestra, además, que casi un 60% de las organizaciones destinó una media de un 10% de sus presupuestos al área de seguridad.

Otro dato a destacar es que las organizaciones entrevistadas están cambiando su enfoque de inversión en soluciones de seguridad puntuales por uno más integral. Así, un 59% tiene planificado invertir en auditorías de seguridad, un 57% en prevención de pérdida de datos y un 52% en servicios de consultoría.

En este punto, las organizaciones creen que sufrirán fugas de datos en alguna etapa, aunque ésta será accidental en vez de maliciosa. El hecho de que un 57% de las compañías entrevistadas confirmara tener planificado invertir en tecnología de protección de datos, indica una amplia aceptación de la necesidad de complementar el enfoque de seguridad.

Por otra parte, las organizaciones (45%) creen que la fuga de datos es más probable que se produzca por errores humanos de los empleados que por hackers externos con intenciones maliciosas (15%).

La mayoría de los encuestados (85%) cree que la pérdida de datos a través de hacking externo es “muy improbable”, y un 55 % percibe que sólo tiene un “impacto moderado” o “ninguno” en sus negocios. Por su parte, más de un 60 % considera que es improbable que se vean afectados por un ataque de virus.

Además, IDC insiste en que con el incremento en los despidos en el actual clima económico, la probabilidad de que un empleado deliberadamente destruya o robe información sensible de la organización ha incrementado.

La mayor parte de las soluciones de seguridad está centrada en el perímetro (firewalls, VPNs, etc) y en los recursos (laptops, servidores). En definitiva, se protege la infraestructura que contiene la información y no los datos, algo que Oracle piensa que es un error de enfoque.

Algunos ejemplos graves de pérdida de datos….

A cada necesidad, una opción

Disponer de una plataforma de seguridad que garantice la integridad de los datos, evitando su pérdida y su uso indebido es, en sí misma, una de las principales necesidades de negocio para cualquier organización, independientemente de su tamaño. Oracle ha identificado cuatro eslabones básicos que cubrir en este ámbito para que las empresas puedan estar totalmente seguras de la protección de datos, monitorización y gestión de usuarios.

A. Control de acceso

Con ellas sólo accederá a los datos sensibles quien lo necesite y pueda hacerlo, controlando incluso el acceso a los usuarios internos con privilegios.

Oracle Database Vault

Actualmente existen múltiples normativas que obligan a las organizaciones a mantener controles internos para proteger a la información sensible (datos financieros, de salud e información de tarjetas de crédito) de accesos no autorizados o de cualquier tipo de modificación. Oracle Database Vault ayuda a las empresas a ser compatibles con esos requisitos con fuertes sistemas de control diseñados para proteger los datos frente a las amenazas del interior.

Oracle Label Security

Oracle Label Securiry es una herramienta poderosa y fácil de usar destinada a clasificar los datos y a suministrar acceso a datos basados en dichas clasificaciones. Es decir, una compañía estará capacitada para controlar, por ejemplo, el acceso de un usuario a una tabla de clientes, pero no a un conjunto específico de datos dentro de la tabla.

B. Protección de datosLos datos están completamente protegidos cumpliendo con todas las exigencias de privacidad de las normativas regulatorias.

Oracle Advanced Security

Con Oracle Advanced Security, las empresas pueden encriptar transparentemente todos los datos de una aplicación y todos los datos sensibles como números de tarjetas de crédito, números de la seguridad social o información de identificación personal.

Oracle Secure Backup

Oracle Secure Backup es una solución de backup integrada y fácil de usar que encripta los datos en la cinta para protegerlos contra el uso indebido de datos sensibles en caso de que dichas cintas de backup se pierdan o sean robadas.

Con un coste mínimo de entrada, Oracle Secure Backup es ideal tanto para pequeñas y medianas empresas como para grandes organizaciones.

Oracle Data Masking Pack

La capacidad para enmascarar los datos críticos es un elemento de creciente importancia dentro de las leyes de protección de datos de todo el mundo. Con Oracle Data Masking, la información sensible como los números de las tarjetas de crédito o de la seguridad social puede reemplazarse, permitiendo que los datos de producción se utilicen de forma segura para el desarrollo y análisis y se compartan con socios externos para propósitos que no tengan que ver con la producción.

C

M

Y

CM

MY

CY

CMY

K


14 3

La seguridad de los datos ha sido una de las preocupaciones clave de las organizaciones de TI desde hace tiempo, una preocupación que no para de crecer. Para las compañías que experimentan una pérdida de datos, los costes financieros, legales y de reputación pueden llegar a ser muy elevados. Además, las regulaciones en la materia (como es el caso de la LOPD) obligan a las compañías a adoptar medidas que protejan la información sensible y monitoricen el acceso a esa información.

Actualmente, diferentes estudios muestran que las empresas europeas no son conscientes de todas las consecuencias que derivan del problema. Al mismo tiempo, España tiene la política más estricta de Europa en cuanto a la regulación legal sobre la protección de datos de carácter personal, con las sanciones y multas más grandes y persecución judicial si fuera necesario. El riesgo de no obedecer la ley LOPD es lo primero de lo que son conscientes las empresas españolas.

Hoy en día las compañías han de protegerse no sólo contra las intrusiones externas, sino también ante amenazas internas. En esta línea, el noveno estudio conjunto del Computer Security Institute y el FBI publicado en junio de 2009 muestra que más del 70% de los ataques y las pérdidas de información los perpetran los empleados que tienen acceso a los datos en algún nivel. En respuesta a esto, muchos departamentos de TI están trabajando para salvaguardar los datos sensibles de sus bases de datos.

En el estudio publicado durante el tercer trimestre de 2009 por PriceWaterhouseCoopers queda patente que, además del incremento del riesgo y de la mayor complejidad regulatoria, la situación de inestabilidad económica ha impactado en la función de seguridad y ha intensificado su importancia en las compañías. A

nivel global, el 65% de las empresas asegura disponer de una estrategia global de seguridad de la información. En muchos casos la seguridad se percibe como una ayuda a la hora de mitigar posibles riesgos asociados a aspectos como la globalización. Todo esto ha contribuido a alinear los objetivos de los responsables de seguridad con los propios de la compañía y, por lo tanto, los responsables empresariales han dotado a la seguridad de la información de una cierta relevancia.

El 44% de los entrevistados disponía de políticas de prevención de pérdida de datos, en comparación al 29% del año anterior. Aún así, la localización y control de los datos más importantes es una asignatura pendiente para muchas compañías. Seis de cada diez encuestados asegura que en su empresa no se ha realizado un inventario detallado de dónde se recolectan, transmiten y alojan los datos de clientes o empleados.

La situación en España difiere del resto de los países. El 65% de los encuestados a nivel nacional indica que en la actual situación de recesión han aumentado las amenazas a la seguridad de la información de sus organizaciones. Sin embargo, pese a este aumento del riesgo, el 52% de las organizaciones nacionales encuestadas indica que en 2010 disminuirá o se mantendrá estable la inversión en seguridad.

foto

Proteger la información desde la fuenteD. Otros productos de Oracle que ayudan a la gestión de seguridad

Con ellos, las empresas disfrutan de una mayor agilidad de gestión, reducción de costes y seguridad en el control de los usuarios que acceden a los sistemas y las aplicaciones.

Oracle Identity Management

Permite gestionar todo el ciclo de vida de las identidades de los usuarios.

Oracle Enterprise User Security

Permite a los usuarios creados y gestionados autentificarse contra la base de datos mediante la actualización de roles.

C. Monitorización

Con estas opciones de seguridad de la base de datos, las empresas podrán hacer el seguimiento y auditoría de las acciones ejecutadas sobre la información de la base de datos. Así, las amenazas se detectan más eficazmente y se reducen los costes de TI al gestionar los parámetros auditados a través de todas las bases de datos desde una única consola.

Oracle Audit Vault

La auditoría puede ayudar a la detección temprana de problemas, reduciendo el impacto financiero de las brechas en la información. Oracle Audit Vault recoge y consolida transparentemente los datos auditados, ofreciendo una noción valiosa acerca de quién hizo qué a cuáles datos y en qué momento, incluyendo a los usuarios privilegiados que cuentan con acceso directo a la base de datos.

Con Oracle Audit Vault, las organizaciones se encuentran en una mejor posición para reforzar las políticas de privacidad, protegerse de las amenazas internas y cumplir los requisitos normativos.

Oracle Total Recall

Oracle Total Recall complementa a Oracle Audit Vault permitiendo a las organizaciones acceso instantáneo a los datos históricos necesarios para realizar análisis o para corregir errores.

Oracle Configuration Management Pack

Para asegurar la protección de la base de datos, Oracle Configuration Management Pack incorpora funciones adaptables de búsqueda y comparación; seguimiento de cambios en los históricos; marcos de definición de procedimientos y evaluaciones de compatibilidad con las normativas de protección.

C

M

Y

CM

MY

CY

CMY

K


staffDirección.Carmen Pizarro

Redacción Ana García Huerta

Diseño

Jon Callón

índice

Editorial...................................... 2

Proteger la información desde la fuente......................................... 3

La opinión de IDC........................ 4

Algunos ejemplos graves de pérdida de datos........................ 4

Cuestión de sensibilidad............ 5

Un partner, un proyecto................... 6

La visión de los expertos................ 8

A cada necesidad una opción........ 13

La economía mundial se enfrenta actualmente a un entorno de recesión económica.En casi todos los países y sectores vemos empresas cuyos negocios se ven afectados por la caída del consumo, por las dificultades de acceso al crédito y por otras circunstancias.

En este entorno económico, la facturación de las empresas se ve afectada. Por ello, se han visto obligadas a optimizar sus estructuras de costes a fin de mantener estables sus márgenes. En esta situación, se requiere la contribución de todas las áreas y departamentos empresariales, incluyendo el departamento de TI.

Hoy queremos mostrarle cómo podemos colaborar en la reducción de los costes del área de TI de su empresa, utilizando piezas clave de nuestra tecnología básica, de la que la base de datos con sus opciones reforzadas en materia de seguridad, almacenamiento, alta disponibilidad y administración de sistemas es el elemento fundamental.

Este documento es el primero de una serie en el que queremos mostrar las ventajas que supone la utilización de las Opciones de base de datos que Oracle ofrece. La seguridad es el primer punto a tratar y en estas páginas encontrará información de su interés para reducir los riesgos en este campo y ajustarse al cumplimiento legal.

En esta línea, un informe de PricewaterhouseCoopers señala que la protección de datos se ha convertido en una prioridad estratégica para gran parte de los CEOs durante la crisis económica, por lo que los responsables de TI y seguridad también deberían enfocar sus prioridades en esa misma dirección.

El informe destaca, además, que las empresas con una buena gestión de la seguridad estarán preparadas para abordar, en los próximos años, tres aspectos claves para su éxito futuro: la protección de los datos, los riesgos asociados al networking y el cloud computing.

En Oracle queremos ayudarle a anular cualquier riesgo en materia de seguridad controlando los cambios planificados e imprevistos de la infraestructura, llevando a cabo un seguimiento y una auditoría de todas las actividades y garantizando las copias de los datos de producción durante el ciclo de vida, entre otras muchas funciones de seguridad.En este sentido, las opciones de seguridad de la base de datos Oracle con sus múltiples módulos es su aliada. En este documento le invitamos a profundizar en el conocimiento de su alcance.

editorial

2

Ricardo MartínezDirector Oracle Mediana Empresa

C

M

Y

CM

MY

CY

CMY

K


Un

a p

ub

lica

ció

n d

e O

racl

e

PROTEGER LA INFORMACIÓN DESDE EL ORIGEN

C

M

Y

CM

MY

CY

CMY

K


Documentación TGB Opciones Seguridad

Education

Transcript of Documentación TGB Opciones Seguridad