Presentación de mi proyecto de final de carrera en Oracle. Muestra un breve resumen del mismo, no incluye la parte teórica de auditoría de sistemas de información y se centra sobre todo en aspectos prácticos relacionados con la seguridad de los datos y en como se puede cumplir con la LOPD usando muchos de los productos de los que Oracle dispone.

2. PFC – Soluciones de Oracle para la Auditoría, Seguridad y Gobierno de TI Mario Redón Luz

3. Estructura del PFC <Insert Picture Here> Sobre Oracle Corporation Auditoría, Seguridad y Gobierno de TI Portfolio de Oracle Normativaslegales Casos de éxito en clientes Casosprácticos Conclusiones Referencias

5. Códigoético y normativa

6. Análisis de riesgo

7. Controles y tipos

8. Metodología de auditoría

9. Riesgo en el proceso de auditoría

10. Comunicación de resultados

12. Amenazas al accesológico y controles

14. Auditoría al acceso lógico

15. Auditoría a la infraestructura de red

16. Auditoría al acceso remoto

20. Amenazas internasSecurity Strategy The Ponemon Institute finds that Majority of 400 directors surveyed recognize that the right IT strategy is very important for Reinos of all reported security breaches were due to insiders 70% 70% 69% Compliance 66% Customer Satisfaction Average cost per record in a data breach $197 $197 57% Managing Risk Reglas y factores Source: Ponemon Institute Source: Corporate Board Member/ Deloitte Consulting, March 2007

23. El wave de la derecha no tiene en cuenta AuditVaultThe Forrester Wave™: Enterprise Database Auditing and Real-Time Protection, Q4 2007

25. Muy interesante el módulo Cloud backup

26. Beneficios:

27. Disponibilidad continua

28. Mayor confianza

30. Oracle InformationRights Management

31. Oracle Identity Management Suite (OIM, ORM, OAM, OWSM, eSSO, OID, etc.)

32. Oracle VMSecure data in development

35. Medidas de seguridad exigibles: nivel básico, medio y alto.

36. Sanciones: 601,01€ a los 601.012,10€En 2009: más de 17 mill.€. Sanción más elevada: 420k€. Importe medio: 42k€.

37. LOPD – Medidas de seguridad nivel básico

38. LOPD – Medidas de seguridad nivel medio

39. LOPD – Medidas de seguridad nivel alto

41. Cifrado de columnas en unatabla

42. Informes de auditoría

44. Cifrado entre cliente y servidor de BDRespuesta sin cifrar Artículo 104 Telecomunicaciones de la LOPD

45. Cifrado entre cliente y servidor de BDHabilitando el cifrado Debemosañadirlassiguienteslíneas en sqlnet.ora : SQLNET.ENCRYPTION_SERVER=REQUIRED SQLNET.ENCRYPTION_TYPES_SERVER=(AES256) Tendrá efecto en las nuevas conexiones

46. Cifrado entre cliente y servidor de BDResultado

47. Cifrado de la BD en discoIntroducción BD almacenada en ficheros *.dbf Formas de verlos (si se tiene acceso): Comando strings UNIX Herramientas DUL Servidor de bases de datos: Oracle 11g Enterprise EditionRelease 2 bajo Oracle Enterprise Linux 5.3 32bit Herramienta DUL: Recoveryfor Oracle 2.6 (Demo Version) bajo Microsoft Windows Vista 64bit Comando strings UNIX

48. Cifrado de la BD en discoConsecuencias Artículo 91 Control de acceso y Artículo 101 Gestión y distribución de soportes.

49. Cifrado de la BD en discoConfiguración del wallet Se recomienda que esté fuera de Oracle Home: chmod 750 wallets

52. SELECT  descifrar- Cuidado con los índices que estén cifrados

53. AuditVaultVisión general

54. AuditVaultTipos de colectores

56. Linux 2.6.9-34.0.1.0.11.ELsmp

57. Carga de trabajo CPU: 50%

58. Oracle Database EE 11.2

60. AuditVaultGuía de instalación

65. AuditVaultConfiguración – Desde el punto de vista del administrador – Bestpractices No compartir una cuenta entre múltiples usuarios Política cambio contraseñas DatabaseVault: activado por defecto Usar HTTPS y SSL

66. AuditVaultConfiguración – Desde el punto de vista del auditor Crear políticas y reglas Sentencias SQL Objetos de esquema de BD: tablas, vistas Privilegios Fine-grainedauditing Reglas de captura (REDO data) Crear y monitorizar alertas Ver y personalizar informes Responder a informes y alertas

67. AuditVaultInformes predefinidos

68. AuditVaultInformes de cumplimiento

69. AuditVaultData Access Report

70. AuditVaultData Access Report

71. AuditVaultResponder ante alertas e informes – Integración con BMC Remedy

72. Referencias ISACA, CISA Review Manual 2009, USA, 2009 ISACA, IS Standards, Guidelines and Procedures for Auditing and Control Professionals, USA, 2007,www.isaca.org/standards http://www.oracle.com/products/ http://www.oracle.com/security/ http://www.oracle.com/customers/ Normativas y leyes: LOPD, PCI DSS, SOX http://www.oracle.com/documentation/

73. ¡ Muchas gracias!