SlideShare ist ein Scribd-Unternehmen logo
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Safe Harbor Statement
The following is intended to outline our general product direction. It is intended for
information purposes only, and may not be incorporated into any contract. It is not a
commitment to deliver any material, code, or functionality, and should not be relied upon
in making purchasing decisions. The development, release, and timing of any features or
functionality described for Oracle’s products remains at the sole discretion of Oracle.
Oracle Direct Security Day 2015 2
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Share with
Bitte Fragen
über den
WebEx-Chat
#ODSD2015
OracleDirect Security Day 2015
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 4
OD Sec Day: Die heutige Tages-Agenda
OracleDirect Security Day 2015
• 10:00 Uhr: Negib Marhoul
Zugunsten einer ganzheitlichen
Sicherheit – Security by Design
• 11:15 Uhr: Martin Obst
Von Oracle entwickelt, im
Enterprise Manager bereits
integriert und direkt nutzbar
• 13:00 Uhr: Carsten Mützlitz
Typische Angriffsszenarien und
deren Auswirkungen
Der Security Smoke Test
• 14:15 Uhr: Michal Soszynski
Störungsfreiheit kritischer IT-
Infrastrukturen
• 15:30 Uhr: Suvad Sahovic
Eine geniale Lösung für das
Benutzermanagement in kurzer
Zeit implementiert
• 16:45 Uhr: Wolfgang Hennes
Sichere Speicherung von Daten
in der Cloud und Live-Hack auf
eine ungeschützte Datenbank
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Oracle Direct Security Day 2015
Das Informationssicherheitskonzept beruht auf einem Risikomodell und beleuchtet die
Organisation und die Prozesse
INFORMATIONSSICHERHEIT als Prozess
Sicherheitsprozess
Initialaktivitäten
Laufende Aktivitäten
Umsetzungen / Betrieb
Prozesse
Sicherheitsstrategie
Risikomanagement
Sicherheitsmgmt.
Schutz
Informationswerte
(Vetraulichkeit,
Integrität)
Sicherstellung der
Verfügbarkeit
Disaster Recovery
/Business
Continuity Planning
Monitoring
Auditing
Bereiche
Technisch
Physisch Organisatorisch
Systeme
(HW& OS)
Netze Software Daten
Build
Operate
Ablauf
Schwachstellenanalyse, Bedrohungsprofil, Risikobewertung, Maßnahmenpriorisierung
Risikomanagement
Security Policy, Standards & Procedures
Sicherheits-
organisation
Zugriffssicherung, Authentisierung, Kryptographie, PKI, VPN Sicherheitszonen
Zugangskontrollen
Zutrittsicherungs-
sytemeFirewalls
Netzwerkdesign
Clustering
Netzwerkmgmt.
Virenschutz-
management
Sichere OS
System-
Aktualisierung
SW-Design
Verbindlichkeit
Datenklassifik.
Datenträger
System-
performance
Monitoring
CM
Hot-Backup Gebäudesicherheit
Personelle Sicherheit
Arbeitsplatz
Schutz vor Elem-
entarereignissen
Notfallpläne
(Contingency Plans)
Intrusion Detection Systems
Gebäude-
überwachung
Videoaufzeichnung
Activity Logging
Sicherheitsaudits
Vulnerability Checks
Sicherheitsmanagement
Security Vision, Strategie für den Umgang mit unternehmenskritischen Infrastrukturen und Informationswerten
Governance
HR-Prozesse
Betriebl. Praktiken
Awareness
Training
Backup, Backup-Facitilites
Logging, Evaluierung, Behandlung von Sicherheitsvorfällen
System Recovery
Informationssicherheit ist
ein Prozess, der alle Teile
eines Unternehmens be-
trifft. Es reicht nicht zu
denken: “Die IT Abteilung
wird mich schon schützen”
5
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Negib Marhoul
Oracle Systemberatung Potsdam
SECURITY
Inside-Out
Zugunsten einer ganzheitlichen
Sicherheit – Security By Design
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Agenda für die nächsten 30-45 Minuten
OracleDirect Security Day 2015 7
Informationssicherheit als Prozess
Datensicherheit im Data Warehouse
Mit den richtigen Maßnahmen zur
angemessenen Sicherheit
1
2
3
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Oracle Direct Security Day 2015
Das Informationssicherheitskonzept beruht auf einem Risikomodell und beleuchtet die
Organisation und die Prozesse
INFORMATIONSSICHERHEIT als Prozess
Sicherheitsprozess
Initialaktivitäten
Laufende Aktivitäten
Umsetzungen / Betrieb
Prozesse
Sicherheitsstrategie
Risikomanagement
Sicherheitsmgmt.
Schutz
Informationswerte
(Vetraulichkeit,
Integrität)
Sicherstellung der
Verfügbarkeit
Disaster Recovery
/Business
Continuity Planning
Monitoring
Auditing
Bereiche
Technisch
Physisch Organisatorisch
Systeme
(HW& OS)
Netze Software Daten
Build
Operate
Ablauf
Schwachstellenanalyse, Bedrohungsprofil, Risikobewertung, Maßnahmenpriorisierung
Risikomanagement
Security Policy, Standards & Procedures
Sicherheits-
organisation
Zugriffssicherung, Authentisierung, Kryptographie, PKI, VPN Sicherheitszonen
Zugangskontrollen
Zutrittsicherungs-
sytemeFirewalls
Netzwerkdesign
Clustering
Netzwerkmgmt.
Virenschutz-
management
Sichere OS
System-
Aktualisierung
SW-Design
Verbindlichkeit
Datenklassifik.
Datenträger
System-
performance
Monitoring
CM
Hot-Backup Gebäudesicherheit
Personelle Sicherheit
Arbeitsplatz
Schutz vor Elem-
entarereignissen
Notfallpläne
(Contingency Plans)
Intrusion Detection Systems
Gebäude-
überwachung
Videoaufzeichnung
Activity Logging
Sicherheitsaudits
Vulnerability Checks
Sicherheitsmanagement
Security Vision, Strategie für den Umgang mit unternehmenskritischen Infrastrukturen und Informationswerten
Governance
HR-Prozesse
Betriebl. Praktiken
Awareness
Training
Backup, Backup-Facitilites
Logging, Evaluierung, Behandlung von Sicherheitsvorfällen
System Recovery
Informationssicherheit ist
ein Prozess, der alle Teile
eines Unternehmens be-
trifft. Es reicht nicht zu
denken: “Die IT Abteilung
wird mich schon schützen”
8
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Agenda für die nächsten 30-45 Minuten
OracleDirect Security Day 2015 9
Informationssicherheit als Prozess
Datensicherheit im Data Warehouse
Mit den richtigen Maßnahmen zur
angemessenen Sicherheit
1
2
3
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Herausforderung und Ziele im Data Warehouse Projekt
Ein DWH ist ein langlebiges Softwareprojekt im Unternehmen
Zentrale Datenbasis zur Unternehmenssteuerung
Fachlich verständlicher und schneller Zugriff
auf alle Kennzahlen im Unternehmen
Historisierte Daten und vom operativen System entkoppelt
Oracle Direct Security Day 2015 10
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Hier gelten die
selben
Sicherheitsanforderungen
Mit dem
Sicherheitsmanagement
wurde definiert:
Mandantenfähigkeit
Oracle Direct Security Day 2015 11
Entwicklung eines Data Warehouse Systems
Definition der
Geschäftsziele
MJ
A
C
A
Q
L
Vorberechnete
Kennzahlen
JSON
Unstructured
JSON Data
Data Mining
Statistikdaten
Oracle R
Stern Modell
Entwicklung des
Informationsmodell
File
(FS/HDFS)
Datenbanken
Anwendungen
Bestimmung
der Quellen
Entwicklung der
Datenbewirtschaftungsprozesse
(Performance & effiziente Datenhaltung)
Der Sicherheitsprozess muss Bestandteil der DWH Entwicklung werden!
z.B. Mandantenfähigkeit durchgängig entwickeln
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Applications
Zentrale
Zugriffsüber
wachung
Users
Zugriffs
kontrolle
Privileged Users
Mandanten
fähigkeit
12
DURCHGÄNGIGE SICHERHEIT
Am Beispiel Mandatenfähigkeit
Oracle Direct Security Day 2015
Die selben
Sicherheits-
anforderungen
In Memory
weitere
Entwicklungen
Die selben
Sicherheits-
anforderungen
Big Data
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
DEMO - Mandatenfähigkeit im DWH Umfeld
Oracle Direct Security Day 2015 13
• Simulation eines Zugriff auf das DWH von
unterschiedlich privilegierten Anwendern
• Umsetzung der Sicherheitsstandards auch
nach einer Weiterentwicklung des DWH
Systems
• Der Sicherheitsprozess wird in die DWH
Entwicklung eingebunden und
Maßnahmen umgesetzt
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Agenda für die nächsten 30-45 Minuten
OracleDirect Security Day 2015 14
Informationssicherheit als Prozess
Datensicherheit im Data Warehouse
Mit den richtigen Maßnahmen zur
angemessenen Sicherheit
1
2
3
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Oracle Direct Security Day 2015 15
Security by Design KORRIDOR
Durch angemessene technische Maßnahmen
Security By
Design
Technische
Funktion
WENIG SECURITY
VIEL SECURITY
SECURITY BY DESIGN
KORRIDOR
chronologische
Softwareentwicklung
- Den Sicherheitsprozess in die
DWH-Entwicklung einbinden!
- Praktikabel
- Verfügbar
- Effizient
Security By
Design
IT SICHERHEITS
VORGABEN
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 16
OD Sec Day: Die heutige Tages-Agenda
OracleDirect Security Day 2015
• 11:15 Uhr: Martin Obst
Von Oracle entwickelt, im
Enterprise Manager bereits
integriert und direkt nutzbar
• 13:00 Uhr: Carsten Mützlitz
Typische Angriffsszenarien und
deren Auswirkungen
Der Security Smoke Test
• 14:15 Uhr: Michal Soszynski
Störungsfreiheit kritischer IT-
Infrastrukturen
• 15:30 Uhr: Suvad Sahovic
Eine geniale Lösung für das
Benutzermanagement in kurzer
Zeit implementiert
• 16:45 Uhr: Wolfgang Hennes
Sichere Speicherung von Daten
in der Cloud und Live-Hack auf
eine ungeschützte Datenbank
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Safe Harbor Statement
The preceding is intended to outline our general product direction. It is intended for
information purposes only, and may not be incorporated into any contract. It is not a
commitment to deliver any material, code, or functionality, and should not be relied upon
in making purchasing decisions. The development, release, and timing of any features or
functionality described for Oracle’s products remains at the sole discretion of Oracle.
17Oracle Direct Security Day 2015
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 18Oracle Direct Security Day 2015
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |

Weitere ähnliche Inhalte

Andere mochten auch

Wondergraphs
WondergraphsWondergraphs
Wondergraphs
iMinds conference
 
Neue Wege im Marketing: Psychoanalyse - Projektpräsentation Marketing-Club Br...
Neue Wege im Marketing: Psychoanalyse - Projektpräsentation Marketing-Club Br...Neue Wege im Marketing: Psychoanalyse - Projektpräsentation Marketing-Club Br...
Neue Wege im Marketing: Psychoanalyse - Projektpräsentation Marketing-Club Br...
Ostfalia - University of Applied Sciences; Media Management
 
5 Tipps für Journalisten zur Recherche mit Twitter
5 Tipps für Journalisten zur Recherche mit Twitter5 Tipps für Journalisten zur Recherche mit Twitter
5 Tipps für Journalisten zur Recherche mit Twitter
Thomas Matterne
 
Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Hardening Oracle Databases (German)
Hardening Oracle Databases (German)
Carsten Muetzlitz
 
Leipzig sportrechtstag 11_11_12
Leipzig sportrechtstag 11_11_12Leipzig sportrechtstag 11_11_12
Kurzvorstellung VCAT Consulting GmbH
Kurzvorstellung VCAT Consulting GmbHKurzvorstellung VCAT Consulting GmbH
Kurzvorstellung VCAT Consulting GmbH
VCAT Consulting GmbH
 
Groups 2010.02: Offenheit des Android-Betriebssystems (Digital Sustainability)
Groups 2010.02: Offenheit des Android-Betriebssystems (Digital Sustainability)Groups 2010.02: Offenheit des Android-Betriebssystems (Digital Sustainability)
Groups 2010.02: Offenheit des Android-Betriebssystems (Digital Sustainability)
Marcus Dapp
 
Groups 2010.12: Geht die 'beste' Demokratie nur online? (Digital Sustainability)
Groups 2010.12: Geht die 'beste' Demokratie nur online? (Digital Sustainability)Groups 2010.12: Geht die 'beste' Demokratie nur online? (Digital Sustainability)
Groups 2010.12: Geht die 'beste' Demokratie nur online? (Digital Sustainability)
Marcus Dapp
 
Unternehmenswerte schützen. 10 Regeln für den Krisenfall
Unternehmenswerte schützen. 10 Regeln für den KrisenfallUnternehmenswerte schützen. 10 Regeln für den Krisenfall
Unternehmenswerte schützen. 10 Regeln für den Krisenfall
André Wigger
 
Groups 2010.01: Software-Freiheit vs. Verbot (Digital Sustainability)
Groups 2010.01: Software-Freiheit vs. Verbot (Digital Sustainability)Groups 2010.01: Software-Freiheit vs. Verbot (Digital Sustainability)
Groups 2010.01: Software-Freiheit vs. Verbot (Digital Sustainability)
Marcus Dapp
 
Digitalisierung für Einsteiger - Praxisorientierter Workshop für Unternehmer
Digitalisierung für Einsteiger - Praxisorientierter Workshop für UnternehmerDigitalisierung für Einsteiger - Praxisorientierter Workshop für Unternehmer
Digitalisierung für Einsteiger - Praxisorientierter Workshop für Unternehmer
VCAT Consulting GmbH
 
Channeling
ChannelingChanneling
Channeling
Roland Schopp
 
Statistik, Tätigkeitsbericht 2010
Statistik, Tätigkeitsbericht 2010Statistik, Tätigkeitsbericht 2010
Statistik, Tätigkeitsbericht 2010
Johannes Pfeffer
 
Ostern
OsternOstern
OsternIsaJDB
 
Technologieraum übergreifende Programmierung
Technologieraum übergreifende ProgrammierungTechnologieraum übergreifende Programmierung
Technologieraum übergreifende Programmierung
Falk Hartmann
 
SS2011
SS2011SS2011
SS2011
sarcubfer
 
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
Carsten Muetzlitz
 
Protocol Engineering: Beschreibung und Entwicklung von Kommunikationsprotokollen
Protocol Engineering: Beschreibung und Entwicklung von KommunikationsprotokollenProtocol Engineering: Beschreibung und Entwicklung von Kommunikationsprotokollen
Protocol Engineering: Beschreibung und Entwicklung von KommunikationsprotokollenFalk Hartmann
 

Andere mochten auch (20)

Wondergraphs
WondergraphsWondergraphs
Wondergraphs
 
Neue Wege im Marketing: Psychoanalyse - Projektpräsentation Marketing-Club Br...
Neue Wege im Marketing: Psychoanalyse - Projektpräsentation Marketing-Club Br...Neue Wege im Marketing: Psychoanalyse - Projektpräsentation Marketing-Club Br...
Neue Wege im Marketing: Psychoanalyse - Projektpräsentation Marketing-Club Br...
 
5 Tipps für Journalisten zur Recherche mit Twitter
5 Tipps für Journalisten zur Recherche mit Twitter5 Tipps für Journalisten zur Recherche mit Twitter
5 Tipps für Journalisten zur Recherche mit Twitter
 
Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Hardening Oracle Databases (German)
Hardening Oracle Databases (German)
 
Leipzig sportrechtstag 11_11_12
Leipzig sportrechtstag 11_11_12Leipzig sportrechtstag 11_11_12
Leipzig sportrechtstag 11_11_12
 
Kurzvorstellung VCAT Consulting GmbH
Kurzvorstellung VCAT Consulting GmbHKurzvorstellung VCAT Consulting GmbH
Kurzvorstellung VCAT Consulting GmbH
 
Groups 2010.02: Offenheit des Android-Betriebssystems (Digital Sustainability)
Groups 2010.02: Offenheit des Android-Betriebssystems (Digital Sustainability)Groups 2010.02: Offenheit des Android-Betriebssystems (Digital Sustainability)
Groups 2010.02: Offenheit des Android-Betriebssystems (Digital Sustainability)
 
Groups 2010.12: Geht die 'beste' Demokratie nur online? (Digital Sustainability)
Groups 2010.12: Geht die 'beste' Demokratie nur online? (Digital Sustainability)Groups 2010.12: Geht die 'beste' Demokratie nur online? (Digital Sustainability)
Groups 2010.12: Geht die 'beste' Demokratie nur online? (Digital Sustainability)
 
Unternehmenswerte schützen. 10 Regeln für den Krisenfall
Unternehmenswerte schützen. 10 Regeln für den KrisenfallUnternehmenswerte schützen. 10 Regeln für den Krisenfall
Unternehmenswerte schützen. 10 Regeln für den Krisenfall
 
Groups 2010.01: Software-Freiheit vs. Verbot (Digital Sustainability)
Groups 2010.01: Software-Freiheit vs. Verbot (Digital Sustainability)Groups 2010.01: Software-Freiheit vs. Verbot (Digital Sustainability)
Groups 2010.01: Software-Freiheit vs. Verbot (Digital Sustainability)
 
Digitalisierung für Einsteiger - Praxisorientierter Workshop für Unternehmer
Digitalisierung für Einsteiger - Praxisorientierter Workshop für UnternehmerDigitalisierung für Einsteiger - Praxisorientierter Workshop für Unternehmer
Digitalisierung für Einsteiger - Praxisorientierter Workshop für Unternehmer
 
Web 2
Web 2Web 2
Web 2
 
Channeling
ChannelingChanneling
Channeling
 
Statistik, Tätigkeitsbericht 2010
Statistik, Tätigkeitsbericht 2010Statistik, Tätigkeitsbericht 2010
Statistik, Tätigkeitsbericht 2010
 
Ostern
OsternOstern
Ostern
 
Technologieraum übergreifende Programmierung
Technologieraum übergreifende ProgrammierungTechnologieraum übergreifende Programmierung
Technologieraum übergreifende Programmierung
 
Burgos web[1]
Burgos web[1]Burgos web[1]
Burgos web[1]
 
SS2011
SS2011SS2011
SS2011
 
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
 
Protocol Engineering: Beschreibung und Entwicklung von Kommunikationsprotokollen
Protocol Engineering: Beschreibung und Entwicklung von KommunikationsprotokollenProtocol Engineering: Beschreibung und Entwicklung von Kommunikationsprotokollen
Protocol Engineering: Beschreibung und Entwicklung von Kommunikationsprotokollen
 

Ähnlich wie Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit dem selben Security Layer by Negib Marhoul

Implementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise ManagerImplementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise Manager
Martin Obst
 
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Whitepaper über  IT-Sicherheit in Industrie 4.0 Projekten der DST consulting Whitepaper über  IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Hans Peter Knaust
 
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"
Eileen Erdmann
 
Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521
ihrepartner.ch gmbh
 
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasDOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
Carsten Muetzlitz
 
"Erfolgreiche Strategien zur Migration veralteter Software" Präsentation vom ...
"Erfolgreiche Strategien zur Migration veralteter Software" Präsentation vom ..."Erfolgreiche Strategien zur Migration veralteter Software" Präsentation vom ...
"Erfolgreiche Strategien zur Migration veralteter Software" Präsentation vom ...
Bernhard Schimunek
 
Syntegris Unternehmensprofil
Syntegris UnternehmensprofilSyntegris Unternehmensprofil
Syntegris Unternehmensprofil
syntegris information solutions GmbH
 
Compliance und Governance in der DevOps-Acht
Compliance und Governance in der DevOps-AchtCompliance und Governance in der DevOps-Acht
Compliance und Governance in der DevOps-Acht
BATbern
 
Xidra 2016 DevOps
Xidra 2016 DevOpsXidra 2016 DevOps
Xidra 2016 DevOps
Eduard van den Bongard
 
Big Data Discovery + Analytics = Datengetriebene Innovation!
Big Data Discovery + Analytics = Datengetriebene Innovation!Big Data Discovery + Analytics = Datengetriebene Innovation!
Big Data Discovery + Analytics = Datengetriebene Innovation!
Harald Erb
 
Internet of Things Architecture
Internet of Things ArchitectureInternet of Things Architecture
Internet of Things Architecture
Christian Waha
 
Agile Methoden als Diagnose-Tool für den sicherheitskritischen Bereich
Agile Methoden als Diagnose-Tool für den sicherheitskritischen BereichAgile Methoden als Diagnose-Tool für den sicherheitskritischen Bereich
Agile Methoden als Diagnose-Tool für den sicherheitskritischen Bereich
Christoph Schmiedinger
 
ConSol Unternehmenspräsentation 2019
ConSol Unternehmenspräsentation 2019ConSol Unternehmenspräsentation 2019
ConSol Unternehmenspräsentation 2019
ConSol Consulting & Solutions Software GmbH
 
Der Weg in den vollautomatisierten SOC Betrieb
Der Weg in den vollautomatisierten SOC BetriebDer Weg in den vollautomatisierten SOC Betrieb
Der Weg in den vollautomatisierten SOC Betrieb
Splunk
 
Microsoft Kompendium IT-Compliance und -Security
Microsoft Kompendium IT-Compliance und -SecurityMicrosoft Kompendium IT-Compliance und -Security
Microsoft Kompendium IT-Compliance und -Security
Michael Hettich
 
Softwarequalität – Schlagwort oder Realität ?
Softwarequalität – Schlagwort oder Realität ?Softwarequalität – Schlagwort oder Realität ?
Softwarequalität – Schlagwort oder Realität ?
Ernest Wallmueller
 
Application Lifecycle Management _ Was bedeutet das?
Application Lifecycle Management _ Was bedeutet das?Application Lifecycle Management _ Was bedeutet das?
Application Lifecycle Management _ Was bedeutet das?
Minerva SoftCare GmbH
 

Ähnlich wie Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit dem selben Security Layer by Negib Marhoul (20)

Implementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise ManagerImplementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise Manager
 
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Whitepaper über  IT-Sicherheit in Industrie 4.0 Projekten der DST consulting Whitepaper über  IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
 
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"
 
Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521
 
Lean Collaboration
Lean CollaborationLean Collaboration
Lean Collaboration
 
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasDOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
 
"Erfolgreiche Strategien zur Migration veralteter Software" Präsentation vom ...
"Erfolgreiche Strategien zur Migration veralteter Software" Präsentation vom ..."Erfolgreiche Strategien zur Migration veralteter Software" Präsentation vom ...
"Erfolgreiche Strategien zur Migration veralteter Software" Präsentation vom ...
 
Syntegris Unternehmensprofil
Syntegris UnternehmensprofilSyntegris Unternehmensprofil
Syntegris Unternehmensprofil
 
Compliance und Governance in der DevOps-Acht
Compliance und Governance in der DevOps-AchtCompliance und Governance in der DevOps-Acht
Compliance und Governance in der DevOps-Acht
 
Xidra 2016 DevOps
Xidra 2016 DevOpsXidra 2016 DevOps
Xidra 2016 DevOps
 
Big Data Discovery + Analytics = Datengetriebene Innovation!
Big Data Discovery + Analytics = Datengetriebene Innovation!Big Data Discovery + Analytics = Datengetriebene Innovation!
Big Data Discovery + Analytics = Datengetriebene Innovation!
 
CCPP
CCPPCCPP
CCPP
 
Internet of Things Architecture
Internet of Things ArchitectureInternet of Things Architecture
Internet of Things Architecture
 
Agile Methoden als Diagnose-Tool für den sicherheitskritischen Bereich
Agile Methoden als Diagnose-Tool für den sicherheitskritischen BereichAgile Methoden als Diagnose-Tool für den sicherheitskritischen Bereich
Agile Methoden als Diagnose-Tool für den sicherheitskritischen Bereich
 
ConSol Unternehmenspräsentation 2019
ConSol Unternehmenspräsentation 2019ConSol Unternehmenspräsentation 2019
ConSol Unternehmenspräsentation 2019
 
Der Weg in den vollautomatisierten SOC Betrieb
Der Weg in den vollautomatisierten SOC BetriebDer Weg in den vollautomatisierten SOC Betrieb
Der Weg in den vollautomatisierten SOC Betrieb
 
2010 09 30 11-30 thomas marx
2010 09 30 11-30 thomas marx2010 09 30 11-30 thomas marx
2010 09 30 11-30 thomas marx
 
Microsoft Kompendium IT-Compliance und -Security
Microsoft Kompendium IT-Compliance und -SecurityMicrosoft Kompendium IT-Compliance und -Security
Microsoft Kompendium IT-Compliance und -Security
 
Softwarequalität – Schlagwort oder Realität ?
Softwarequalität – Schlagwort oder Realität ?Softwarequalität – Schlagwort oder Realität ?
Softwarequalität – Schlagwort oder Realität ?
 
Application Lifecycle Management _ Was bedeutet das?
Application Lifecycle Management _ Was bedeutet das?Application Lifecycle Management _ Was bedeutet das?
Application Lifecycle Management _ Was bedeutet das?
 

Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit dem selben Security Layer by Negib Marhoul

  • 1. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
  • 2. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Safe Harbor Statement The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle. Oracle Direct Security Day 2015 2
  • 3. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Share with Bitte Fragen über den WebEx-Chat #ODSD2015 OracleDirect Security Day 2015
  • 4. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 4 OD Sec Day: Die heutige Tages-Agenda OracleDirect Security Day 2015 • 10:00 Uhr: Negib Marhoul Zugunsten einer ganzheitlichen Sicherheit – Security by Design • 11:15 Uhr: Martin Obst Von Oracle entwickelt, im Enterprise Manager bereits integriert und direkt nutzbar • 13:00 Uhr: Carsten Mützlitz Typische Angriffsszenarien und deren Auswirkungen Der Security Smoke Test • 14:15 Uhr: Michal Soszynski Störungsfreiheit kritischer IT- Infrastrukturen • 15:30 Uhr: Suvad Sahovic Eine geniale Lösung für das Benutzermanagement in kurzer Zeit implementiert • 16:45 Uhr: Wolfgang Hennes Sichere Speicherung von Daten in der Cloud und Live-Hack auf eine ungeschützte Datenbank
  • 5. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Oracle Direct Security Day 2015 Das Informationssicherheitskonzept beruht auf einem Risikomodell und beleuchtet die Organisation und die Prozesse INFORMATIONSSICHERHEIT als Prozess Sicherheitsprozess Initialaktivitäten Laufende Aktivitäten Umsetzungen / Betrieb Prozesse Sicherheitsstrategie Risikomanagement Sicherheitsmgmt. Schutz Informationswerte (Vetraulichkeit, Integrität) Sicherstellung der Verfügbarkeit Disaster Recovery /Business Continuity Planning Monitoring Auditing Bereiche Technisch Physisch Organisatorisch Systeme (HW& OS) Netze Software Daten Build Operate Ablauf Schwachstellenanalyse, Bedrohungsprofil, Risikobewertung, Maßnahmenpriorisierung Risikomanagement Security Policy, Standards & Procedures Sicherheits- organisation Zugriffssicherung, Authentisierung, Kryptographie, PKI, VPN Sicherheitszonen Zugangskontrollen Zutrittsicherungs- sytemeFirewalls Netzwerkdesign Clustering Netzwerkmgmt. Virenschutz- management Sichere OS System- Aktualisierung SW-Design Verbindlichkeit Datenklassifik. Datenträger System- performance Monitoring CM Hot-Backup Gebäudesicherheit Personelle Sicherheit Arbeitsplatz Schutz vor Elem- entarereignissen Notfallpläne (Contingency Plans) Intrusion Detection Systems Gebäude- überwachung Videoaufzeichnung Activity Logging Sicherheitsaudits Vulnerability Checks Sicherheitsmanagement Security Vision, Strategie für den Umgang mit unternehmenskritischen Infrastrukturen und Informationswerten Governance HR-Prozesse Betriebl. Praktiken Awareness Training Backup, Backup-Facitilites Logging, Evaluierung, Behandlung von Sicherheitsvorfällen System Recovery Informationssicherheit ist ein Prozess, der alle Teile eines Unternehmens be- trifft. Es reicht nicht zu denken: “Die IT Abteilung wird mich schon schützen” 5
  • 6. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Negib Marhoul Oracle Systemberatung Potsdam SECURITY Inside-Out Zugunsten einer ganzheitlichen Sicherheit – Security By Design
  • 7. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Agenda für die nächsten 30-45 Minuten OracleDirect Security Day 2015 7 Informationssicherheit als Prozess Datensicherheit im Data Warehouse Mit den richtigen Maßnahmen zur angemessenen Sicherheit 1 2 3
  • 8. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Oracle Direct Security Day 2015 Das Informationssicherheitskonzept beruht auf einem Risikomodell und beleuchtet die Organisation und die Prozesse INFORMATIONSSICHERHEIT als Prozess Sicherheitsprozess Initialaktivitäten Laufende Aktivitäten Umsetzungen / Betrieb Prozesse Sicherheitsstrategie Risikomanagement Sicherheitsmgmt. Schutz Informationswerte (Vetraulichkeit, Integrität) Sicherstellung der Verfügbarkeit Disaster Recovery /Business Continuity Planning Monitoring Auditing Bereiche Technisch Physisch Organisatorisch Systeme (HW& OS) Netze Software Daten Build Operate Ablauf Schwachstellenanalyse, Bedrohungsprofil, Risikobewertung, Maßnahmenpriorisierung Risikomanagement Security Policy, Standards & Procedures Sicherheits- organisation Zugriffssicherung, Authentisierung, Kryptographie, PKI, VPN Sicherheitszonen Zugangskontrollen Zutrittsicherungs- sytemeFirewalls Netzwerkdesign Clustering Netzwerkmgmt. Virenschutz- management Sichere OS System- Aktualisierung SW-Design Verbindlichkeit Datenklassifik. Datenträger System- performance Monitoring CM Hot-Backup Gebäudesicherheit Personelle Sicherheit Arbeitsplatz Schutz vor Elem- entarereignissen Notfallpläne (Contingency Plans) Intrusion Detection Systems Gebäude- überwachung Videoaufzeichnung Activity Logging Sicherheitsaudits Vulnerability Checks Sicherheitsmanagement Security Vision, Strategie für den Umgang mit unternehmenskritischen Infrastrukturen und Informationswerten Governance HR-Prozesse Betriebl. Praktiken Awareness Training Backup, Backup-Facitilites Logging, Evaluierung, Behandlung von Sicherheitsvorfällen System Recovery Informationssicherheit ist ein Prozess, der alle Teile eines Unternehmens be- trifft. Es reicht nicht zu denken: “Die IT Abteilung wird mich schon schützen” 8
  • 9. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Agenda für die nächsten 30-45 Minuten OracleDirect Security Day 2015 9 Informationssicherheit als Prozess Datensicherheit im Data Warehouse Mit den richtigen Maßnahmen zur angemessenen Sicherheit 1 2 3
  • 10. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Herausforderung und Ziele im Data Warehouse Projekt Ein DWH ist ein langlebiges Softwareprojekt im Unternehmen Zentrale Datenbasis zur Unternehmenssteuerung Fachlich verständlicher und schneller Zugriff auf alle Kennzahlen im Unternehmen Historisierte Daten und vom operativen System entkoppelt Oracle Direct Security Day 2015 10
  • 11. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Hier gelten die selben Sicherheitsanforderungen Mit dem Sicherheitsmanagement wurde definiert: Mandantenfähigkeit Oracle Direct Security Day 2015 11 Entwicklung eines Data Warehouse Systems Definition der Geschäftsziele MJ A C A Q L Vorberechnete Kennzahlen JSON Unstructured JSON Data Data Mining Statistikdaten Oracle R Stern Modell Entwicklung des Informationsmodell File (FS/HDFS) Datenbanken Anwendungen Bestimmung der Quellen Entwicklung der Datenbewirtschaftungsprozesse (Performance & effiziente Datenhaltung) Der Sicherheitsprozess muss Bestandteil der DWH Entwicklung werden! z.B. Mandantenfähigkeit durchgängig entwickeln
  • 12. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Applications Zentrale Zugriffsüber wachung Users Zugriffs kontrolle Privileged Users Mandanten fähigkeit 12 DURCHGÄNGIGE SICHERHEIT Am Beispiel Mandatenfähigkeit Oracle Direct Security Day 2015 Die selben Sicherheits- anforderungen In Memory weitere Entwicklungen Die selben Sicherheits- anforderungen Big Data
  • 13. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | DEMO - Mandatenfähigkeit im DWH Umfeld Oracle Direct Security Day 2015 13 • Simulation eines Zugriff auf das DWH von unterschiedlich privilegierten Anwendern • Umsetzung der Sicherheitsstandards auch nach einer Weiterentwicklung des DWH Systems • Der Sicherheitsprozess wird in die DWH Entwicklung eingebunden und Maßnahmen umgesetzt
  • 14. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Agenda für die nächsten 30-45 Minuten OracleDirect Security Day 2015 14 Informationssicherheit als Prozess Datensicherheit im Data Warehouse Mit den richtigen Maßnahmen zur angemessenen Sicherheit 1 2 3
  • 15. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Oracle Direct Security Day 2015 15 Security by Design KORRIDOR Durch angemessene technische Maßnahmen Security By Design Technische Funktion WENIG SECURITY VIEL SECURITY SECURITY BY DESIGN KORRIDOR chronologische Softwareentwicklung - Den Sicherheitsprozess in die DWH-Entwicklung einbinden! - Praktikabel - Verfügbar - Effizient Security By Design IT SICHERHEITS VORGABEN
  • 16. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 16 OD Sec Day: Die heutige Tages-Agenda OracleDirect Security Day 2015 • 11:15 Uhr: Martin Obst Von Oracle entwickelt, im Enterprise Manager bereits integriert und direkt nutzbar • 13:00 Uhr: Carsten Mützlitz Typische Angriffsszenarien und deren Auswirkungen Der Security Smoke Test • 14:15 Uhr: Michal Soszynski Störungsfreiheit kritischer IT- Infrastrukturen • 15:30 Uhr: Suvad Sahovic Eine geniale Lösung für das Benutzermanagement in kurzer Zeit implementiert • 16:45 Uhr: Wolfgang Hennes Sichere Speicherung von Daten in der Cloud und Live-Hack auf eine ungeschützte Datenbank
  • 17. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Safe Harbor Statement The preceding is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle. 17Oracle Direct Security Day 2015
  • 18. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 18Oracle Direct Security Day 2015
  • 19. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |