regulación europea de protección de datos y como oracle ...3enterprise data quality 4application...
TRANSCRIPT
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. |
Regulación Europea de Protección de Datosy como Oracle puede ayudar
Xavier MartorellSecurity Sales ExecutiveOracle Iberia
Copyright © 2017, Oracle and/or its affiliates. All rights reserved. 2
¿Están protegidos debidamente?
Algunas preguntasiniciales
¿Dónde están los datos?1
2
¿Debo invertir?3
¿Por dónde empiezo?4
Protección de Datos
Copyright © 2017, Oracle and/or its affiliates. All rights reserved. 3
Dispositivos InfraestructuraAplicacionesContenidosUsuarios
Cloud Service ProvidersClientes
¿Dónde se almacenan los datos?
Copyright © 2017, Oracle and/or its affiliates. All rights reserved. 4
¿Dónde reside la información sensible?
79%de las empresas están implementando activamente soluciones en la nube para entornos de nube pública, privada o híbrida
Fuente 2016 Cloud Security Research Report, Crowd Researc:h Partner
Copyright © 2017, Oracle and/or its affiliates. All rights reserved. 5
La Base de Datos como foco de amenazas
Support
Actores
Hackers
OS Admin
DBA
Test & Dev
End-UsersRansomware
Procedimiento
SQL Injection
XSS / Malware
Robo de credenciales
Privilege Escalation
Network Sniffing
Physical Theft
Almacenamiento
Objetivos
Aplicaciones
Middleware
Bases de Datos
Sistema operativo
Network
Backup
Copyright © 2017, Oracle and/or its affiliates. All rights reserved. 6
La importancia de invertir en Seguridad TI
• Garantía de cumplimiento
• Reducción del riesgo
• Protección de marca
• Reducción de costes en controlesSegún un estudio liderado por Clusit y PMI (NIC Northern Italy Chapter) en 2015, las inversiones en seguridad fueron debidas a: 47.8% por razones de cumplimiento y 48% por razones de reducción de riesgo.
... y para permitir la transformación empresarial y digital
La innovación no es posible sin seguridad
¿por dónde empiezo?
Copyright © 2017, Oracle and/or its affiliates. All rights reserved. 8
Cumplimiento normativo
LOPD GDPR (Mayo18)SANCIONES
DPO
CONSENTIMIENTO
NOTIFICACIÓN
PRIVACIDAD desde el DISEÑO y por DEFECTO
Assessments de Seguridad
Entre 900€ y 600.000€
No es obligatorio
Tácito
No existe obligación
Depende tipo de dato y ttmo.
DPIAs no obligatorio
Hasta 20M€
Obligatorio en múltiples supuestos
Clara acción afirmativa
Obligación comunicación en 72h
Cada Cia. debe diseñar y aplicar
Obligatorio para ciertos tratamientos
Copyright © 2018, Oracle and/or its affiliates. All rights reserved. |
Los incidentes de ciberseguridad aparecen de forma evidente en los informes internacionales y en prensa
.. y existen muchas otras leyes europeas importantes, por nombrar algunas:
– Directiva sobre seguridad de redes y sistemas de información (NIS)
– Ley 20/2017, del 27 Octubre, de derechos y deberes de usuarios y profesionales del sistema sanitario sobre la historia clínica
– Reglamento sobre identificación electrónica y servicios de confianza (eIDAS)
– Directiva sobre servicios de pago en el mercado interior (PSD2)
9
GDPR -Nueva ley de privacidad y seguridad
CAUSA EFECTO
Copyright © 2018, Oracle and/or its affiliates. All rights reserved. |
¿Qué tienen estas leyes y regulaciones en común?
10
1. Requieren enfoque multidisciplinar (de legal a tecnológico)
2. Debe abordarse de manera integral, no uno por uno
3. Responsabilidad de entidades y consejos de administración
4. Requieren de una buena TI y buena seguridad
5. Hacia mejores prácticas y conceptos internacionales
Copyright © 2018, Oracle and/or its affiliates. All rights reserved. |
Garantizar la seguridad al sujeto del dato
Garantizar los derechos al sujeto del dato
11
Ruta hacia GDPR – A vista de pájaro
Derecho a serinformado
1 2Derecho de
Acesos
3Derecho de
Rectificación
4Derecho de
Borrado
5Derecho a
restringir el procesamiento
6Derecho a la
Portabilidad de Datos
7Derecho a Oponerse
8Derecho a decisiones
automatizada y elaboración de
perfiles
Proteger la información
1 2Control de Aceso
3Monitorizar, Bloquear y
Auditar
4Configuraciones
Seguras
Copyright © 2018, Oracle and/or its affiliates. All rights reserved. |
Ruta hacia GDPR – Tareas y actividadesM
AN
TEN
ER (
CR
EAR
) U
N R
EGIS
TRO
DE
PR
OC
ESA
MIE
NTO
(A
.30
)
DESCUBRIMIENTO DE DATOS SENSIBLES
CREAR INVENTARIO DE PROGRAMAS Y
SISTEMAS
LA APLICACIÓN Y EL ALCANCE DE
LOS DATOS ESTÁN
DISPONIBLES Y DEFINIDOS DE
FORMA INCREMENTAL
Metadata y Data Discovery completamente automatizable.
Crear un registro de procesamiento centralizado, que incluya todos los sistemas e inventario de software y procesos, además de información adicional proveniente de la evaluación de seguridad.
El glosario y el linaje (ciclo de vida) de datos se pueden actualizar de forma incremental con información delta.
Gobierno de datos
12
Copyright © 2018, Oracle and/or its affiliates. All rights reserved. |
Ruta hacia GDPR – Tareas y actividades
13
MA
NTE
NER
(C
REA
R)
UN
REG
ISTR
O D
E P
RO
CES
AM
IEN
TO (
A.3
0)
DESCUBRIMIENTO DE DATOS SENSIBLES
CREAR INVENTARIO DE PROGRAMAS Y
SISTEMAS
LA APLICACIÓN Y EL ALCANCE DE
LOS DATOS ESTÁN
DISPONIBLES Y DEFINIDOS DE
FORMA INCREMENTAL
CONTROL DE ACCESO
PROTEGER EL DATO
MONITORIZA, BLOQUEA Y AUDITA
CONFIGURACIÓN SEGURA
IMP
LEM
ENTA
R L
AS
MED
IDA
S A
DEC
UA
DA
S D
E SE
GU
RID
AD
(A
.32
, A
.25
)
Modernizar la administración de identidades para garantizar la autenticación y autorización tanto para el usuario de negocios como para el personal de TI
Proteger los datos donde sea que estén (cifrado A.32) y evitar el uso de datos reales cuando no sean necesarios (A.5 y A.26)
Recolectar, asegurar y analizar registros de auditoría e implementar defensas de límites
Configuraciones seguras, remediar vulnerabilidades y controlar las líneas base de producción
Gobierno de datos Seguridad del dato
Copyright © 2018, Oracle and/or its affiliates. All rights reserved. |
Ruta hacia GDPR – Tareas y actividades
14
MA
NTE
NER
(C
REA
R)
UN
REG
ISTR
O D
E P
RO
CES
AM
IEN
TO (
A.3
0)
DOCUMENTAR Y MANTENER CUMPLIMIENTO (A.24)
EVALUAR LAS MODIFICACIONES DE APLICACIÓN REQUERIDAS PARA GARANTIZAR LOS DERECHOS DEL ASUNTO DE DATOS (A.15-20)
APLICAR ADECUADO TI Y ADECUADA SEGURIDAD A TRAVÉS DE LA PILA (A.32, A.25)
DESCUBRIMIENTO DE DATOS SENSIBLES
CREAR INVENTARIO DE PROGRAMAS Y
SISTEMAS
ADAPTAR EL PROCESO DE RESPUESTA A INCIDENTES (A.33; A.34) Y LAS PRÁCTICAS DE RIESGO DE LA COMPAÍA, INCLUIDA LA DPIA (A.35)
LA APLICACIÓN Y EL ALCANCE DE
LOS DATOS ESTÁN
DISPONIBLES Y DEFINIDOS DE
FORMA INCREMENTAL
CONTROL DE ACCESO
PROTEGER EL DATO
MONITORIZA, BLOQUEA Y AUDITA
CONFIGURACIÓN SEGURA
IMP
LEM
ENTA
R L
AS
MED
IDA
S A
DEC
UA
DA
S D
E SE
GU
RID
AD
(A
.32
, A
.25
)
¿Cómo podemos ayudar desde Oracle?
Copyright © 2018, Oracle and/or its affiliates. All rights reserved. |
Oracle y GDPR
–Participación en organizaciones industriales con iniciativas de GDPR
–Organiza conferencias presenciales y on line fomentar la concienciación
–Desde 2015 – Participación activa en observatorio GDPR y blog colectivo externo (europrivacy.info)
–Mejora de productos y servicios para ayudar en el cumplimiento GDPR
– Iniciativas de servicios y cooperación con partners
16
Copyright © 2018, Oracle and/or its affiliates. All rights reserved. |
Ruta hacia GDPR – Tareas y actividades
17
MA
NTE
NER
(C
REA
R)
UN
REG
ISTR
O D
E P
RO
CES
AM
IEN
TO (
A.3
0)
DOCUMENTAR Y MANTENER CUMPLIMIENTO (A.24)
EVALUAR LAS MODIFICACIONES DE APLICACIÓN REQUERIDAS PARA GARANTIZAR LOS DERECHOS DEL ASUNTO DE DATOS (A.15-20)
APLICAR ADECUADO TI Y ADECUADA SEGURIDAD A TRAVÉS DE LA PILA (A.32, A.25)
DESCUBRIMIENTO DE DATOS SENSIBLES
CREAR INVENTARIO DE PROGRAMAS Y
SISTEMAS
ADAPTAR EL PROCESO DE RESPUESTA A INCIDENTES (A.33; A.34) Y LAS PRÁCTICAS DE RIESGO DE LA COMPAÍA, INCLUIDA LA DPIA (A.35)
LA APLICACIÓN Y EL ALCANCE DE
LOS DATOS ESTÁN
DISPONIBLES Y DEFINIDOS DE
FORMA INCREMENTAL
CONTROL DE ACCESO
PROTEGER EL DATO
MONITORIZA, BLOQUEA Y AUDITA
CONFIGURACIÓN SEGURA
IMP
LEM
ENTA
R L
AS
MED
IDA
S A
DEC
UA
DA
S D
E SE
GU
RID
AD
(A
.32
, A
.25
)
Copyright © 2018, Oracle and/or its affiliates. All rights reserved. |
Ruta hacia GDPR – Detalle de productos
18
MA
NTE
NER
(C
REA
R)
UN
REG
ISTR
O D
E P
RO
CES
AM
IEN
TO (
A.3
0)
DOCUMENTAR Y MANTENER CUMPLIMIENTO (A.24)
EVALUAR LAS MODIFICACIONES DE APLICACIÓN REQUERIDAS PARA GARANTIZAR LOS DERECHOS DEL ASUNTO DE DATOS (A.15-20)
APLICAR ADECUADO TI Y ADECUADA SEGURIDAD A TRAVÉS DE LA PILA (A.32, A.25)
DESCUBRIMIENTO DE DATOS SENSIBLES
CREAR INVENTARIO DE PROGRAMAS Y
SISTEMAS
ADAPTAR EL PROCESO DE RESPUESTA A INCIDENTES (A.33; A.34) Y LAS PRÁCTICAS DE RIESGO DE LA COMPAÍA, INCLUIDA LA DPIA (A.35)
LA APLICACIÓN Y EL ALCANCE DE
LOS DATOS ESTÁN
DISPONIBLES Y DEFINIDOS DE
FORMA INCREMENTAL
CONTROL DE ACCESO
PROTEGER EL DATO
MONITORIZA, BLOQUEA Y AUDITA
CONFIGURACIÓN SEGURA
IMP
LEM
ENTA
R L
AS
MED
IDA
S A
DEC
UA
DA
S D
E SE
GU
RID
AD
(A
.32
, A
.25
)1
2 3 4 16
10 11
12 13
5
15
14
6 7 8 9
2221 23 24
17 18 19 20
Product / Suite
1 Enterprise Manager - Automatic Discovery
2 Enterprise Metadata Management
3 Enterprise Data Quality
4 Application Data Modeling - Sensitive Data Discovery
5 Identity Governance
6 Access Management
7 Centralized Directory
8 Identity Cloud Service
9 Database Vault
10 Advanced Security and Key Vault
11 Database Masking and Subsetting
12 Audit Vault & DB Firewall
13 Security Monitoring and Analytics
14 Cloud Access Security Broker
15 Enterprise Manager - Configuration and Compliance pack
16 Configuration and Compliance Cloud Service
17 Data Guard and Real Application Cluster
18 Exadata and Supercluster
19 Zero Data Loss Recovery Appliance & ZFS
20 SPARC / Solaris
21 Customer Data Management Cloud Service
22 Policy Automation
23 Analytics Cloud
24 BI Enterprise Edition
25 Data Integration
Copyright © 2018, Oracle and/or its affiliates. All rights reserved. |
Gobierno de Datos – Mapa de productos
19
Oracle Data Integration
Integration Adapters, Data Mapping, Data
Transformation, Data Movement
Oracle EnterpriseMetadata
Management
Data Lineage, DataDictionary, MetadataManagement, Impact
Analysis, SemanticUsage Analysis
Oracle Policy Automation
Business Rules Modeling, Business Rules execution (Business Users
and Applications), Business Rules Monitoring and Impact Analysis
Oracle Enterprise Data Quality
Data Profiling, Data Discovery, Data Assesment, Data Enrichment, Data Remediation, Data Standardization,
Data Quality Case Management, Data Quality Dashboards
CDM + DaaS
Master Data Model & Extensibility, Data
Consolidation, Data Validation, Data De-duplication, Data Enrichment, Data Sharing
Marketing
Ventas
Servicio
Finanzas
Gestión Capital Humano
E-Commerce
Gestión cadena
suministro
Marketing
Ventas
Servicio
Finanzas
Gestión Capital Humano
E-Commerce
Gestión cadena
suministro
Copyright © 2018, Oracle and/or its affiliates. All rights reserved. |
Seguridad Bases de Datos – Principios básicos
• Seguridad Bases de Datos – Principios básicos
20
Nueva Regulación General de Protección
de Datos
EVALUACIÓN PREVENCIÓN DETECCIÓN SEGURIDAD EN EL DATO
Copyright © 2018, Oracle and/or its affiliates. All rights reserved. |
Seguridad Bases de Datos – Acciones concretas
EVALUACIÓN PREVENCIÓN DETECCIÓN SEGURIDAD EN EL DATO
Análisis de privilegiosControl de cuenta con
privilegios, Segregación de funciones
Seguimiento de actividad dentro y fuera
Seguridad basada en etiquetas
Configuración de Seguridad
Enmascaramiento de un subconjunto de datos
Monitorización centralizada
Soporte de seguridad a aplicaciones
Evaluación de SeguridadGestión de claves de
cifradoAlertas e Informes Seguridad a nivel de fila
Descubrimiento de Datos sensibles
Cifrado de Datos Registros de Auditoría de Base de Datos
Funciones de cifrado para aplicacionesRedacción de Datos
21
Copyright © 2018, Oracle and/or its affiliates. All rights reserved. |
Seguridad Bases de Datos – Mapa productos DBSEC
EVALUACIÓN PREVENCIÓN DETECCIÓN SEGURIDAD EN EL DATO
Análisis de privilegiosControl de cuenta con
privilegios, Segregación de funciones
Seguimiento de actividad dentro y fuera
Seguridad basada en etiquetas
Configuración de Seguridad
Enmascaramiento de un subconjunto de datos
Monitorización centralizada
Soporte de seguridad a aplicaciones
Evaluación de SeguridadGestión de claves de
cifradoAlertas e Informes Seguridad a nivel de fila
Descubrimiento de Datos sensibles
Cifrado de Datos Registros de Auditoría de Base de Datos
Funciones de cifrado para aplicacionesRedacción de Datos
22
Database Vault
Advanced Security
Key Vault
Data Masking and Subsetting
EM DB Life-Cycle Management Pack
DataMasking And Data Subsetting
Evaluación de Seguridad
Audit Vault and Database Firewall
Incluido
Label Security
(incluido en)DB Enterprise
Edition
Copyright © 2018, Oracle and/or its affiliates. All rights reserved. |
Seguridad Bases de Datos – Resumen
23
Key Vault
Enterprise Manager
Database Firewall
Auditoría de Datos y Registro de Eventos
Data Redaction
Eventos
Cifrado de red
Single Sign-on usando Oracle Identity Management
Cifrado de datos
AutenticaciónAvanzada
Audit Vault
Alertas
Informes
Políticas
Usuarios
Aplicaciones
DF11233 U*1$5Ha1qui %H1HSKQ112 A14FASqw34 £$1DF@£!1ah HH!DA45S& DD1
Controles de Acceso de grano finoDatabase VaultVirtual Private DatabaseLabel SecurityReal Application Security
Gestión de configuración y cumplimientoDescubrimiento de Datos Sensibles
Análisis de privilegios de Base de Datos
Data Masking y Subsetting
Evaluación
Detección
Prevención
Controles de Seguridad en Base de Datos
Copyright © 2018, Oracle and/or its affiliates. All rights reserved. | Oracle Public 24
Algunos proyectos de GDPR
Copyright © 2018, Oracle and/or its affiliates. All rights reserved. | Oracle Public 25
Algunos proyectos de seguridad
Copyright © 2018, Oracle and/or its affiliates. All rights reserved. | Confidential – Oracle Internal/Restricted/Highly Restricted 26
Copyright © 2018, Oracle and/or its affiliates. All rights reserved. | Confidential – Oracle Internal/Restricted/Highly Restricted 27
