• No se han encontrado resultados

SEGURIDAD DE LA INFORMACIÓN

N/A
N/A
Info
Descargar
Protected

Academic year: 2021

Share "SEGURIDAD DE LA INFORMACIÓN"

Copied!
9
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 9 página )

Texto completo

(1)

S

EGURIDAD DE LA

INFORMACIÓN

Preparado por ORACLE Argentina

Autores: Luis Carlos Montoya Fecha: Agosto de 2001

(2)

Luis Carlos Montoya

Personal

Fecha y Lugar de Nacimiento: 26 de Diciembre de 1960. Lomas de Zamora, Buenos Aires, Argentina

DNI: 18778018

email: [email protected]

Empresa: Oracle Argentina S.A.

Puesto: Senior Sales Consultant, Sector Público

Título Universitario: Ingeniero en Ciencias de la Computación e Informática. Educación

Universitaria: Universidad de Costa Rica, San José, Costa Rica Secundario: Colegio de San Luis Gonzaga, Cartago, Costa Rica Primaria: Escuela Jesús Jiménez, Cartago, Costa Rica Experiencia

Profesional

Junio 1996 - Agosto 2001 Oracle Argentina S.A., Buenos Aires, Argentina

Agosto 1994 - Junio 1996 Oracle Central America & Caribbean, San José, Costa Rica 1987-1994 CONARE (Consejo Nacional de Rectores, Costa Rica).

1984-1987 Analista de Sistemas Independiente.

Casi 20 años de experiencia laboral en sistemas de información y un total de siete años trabajando para Oracle Corporation.

Actualmente trabaja para la Unidad de Negocios del Sector Público de Oracle Argentina S.A. como Consultor Técnico especialista en Plataforma Internet, Productos de Tecnología Oracle y base de datos.

(3)

Seguridad y Control de Acceso

En esta sección vamos a mencionar ciertos aspectos que deben ser considerados cuando se trata de la seguridad de la información y más aún cuando se espera brindar acceso vía web y sobre Internet. Se deben considerar, al menos, la autenticación de usuarios y servidores, la privacidad de los Datos, la integridad de la información y la protección de los servidores

El control de acceso y la autenticación es el mecanismo que asegura que los clientes y los servidores son reconocidos y aceptados entre ellos según el tipo de transacción requerida. Las distintas transacciones que se realizan actualmente sobre conexiones de Internet requieren distintos tipos de autenticación:

• Si el usuario simplemente desea consultar información pública la autenticación no es necesaria.

• Si se está realizando una compra a través de la red, el comprador necesita confiar en que el vendedor es realmente quién dice ser y él, a su vez, garantizará la seguridad de la información que el cliente incluye en la transacción. El vendedor debe confiar en que el comprador está autorizado a utilizar la tarjeta (o método de pago involucrado) y que, en verdad, pagará por los bienes o servicios solicitados. • Si se está efectuando una transacción digital muy delicada y sensible todos los

involucrados en ella deben ser conocidos entre si de forma segura y confiable. El primer nivel de protección en un sistema se realiza a través de un código de usuario y una palabra clave. Si la palabra clave del usuario es adivinada o interceptada el acceso a toda la información y privilegios del usuario son obtenidos.

Si el usuario debe acceder a múltiples servidores y bases de datos generalmente requiere de varias palabras clave. Esta situación genera esquemas de identificación de palabras claves muy simples e inclusive lleva a la escritura en papel o en algún documento de dichas palabras clave lo que permite su utilización por personas no autorizadas.

Otro reto para la seguridad es garantizar la autenticación entre servicios, como pueden ser entre dos bases de datos que requieren completar una transacción en común. Idealmente la autenticación en la redes deberían permitir y garantizar el envío de las credenciales del usuario.

Existen varias técnicas que aseguran la autenticación y control del acceso por parte de los usuarios a la información sensible.

(4)

Ejemplo de Autenticación con Tarjeta

Server ® Paso 1: Se ingresa Id. Usuario e información del token Token Security Server Paso 2: Se verifica el token suministrado Paso 3: El servidor de seguridad aprueba el token, Oracle autentica al usuario

y permite su ingreso

U suario

D atos

Otra posibilidad es la utilización de dispositivos biométricos y tecnología RADIUS que garanticen la autenticidad y seguridad

Integración con dispositivos Biométricos

Server ®

Paso 1: El usuario ingresa su clave y su huella digital. Oracle Advanced Security

valida la huella y autentica al usuario. Paso 2: Oracle provee el ingreso al usuario dependiendo de la autenticación de su huella digital.

Cuando se realizan transacciones seguras sobre Internet se utilizan protocolos de seguridad basados en Infraestructuras de Clave Públicas (PKI) sobre SSL (Secure Socket Layer).

(5)

Soporte Estandar - SSL y PKI

Oracle Data Server El usuario se registra en su desktop y habilita su “wallet”

El usuario se autentica mediante certificados sobre SSL (con Net8)

Wallet Wallet

Client

Autenticación Certificada

Oracle provee una solución completa que permite la utilización de los distintos mecanismos de seguridad para la autenticación y control de acceso a la información que va desde el encriptamiento de los datos en el servidor, pasando por el encriptamiento de la información que viaja por las redes como también la utilización de códigos de usuario y palabras clave en forma directa o a través de directorios de información que utilizan protocolos LDAP para garantizar su seguridad.

Almacena usuarios, roles, bases de datos, wallets, certificados, información de configuración, etc.

Los servidores se registran ellos mismos

Crea claves y administra las credenciales y sus preferencias Wallet WalletWallet Wallet Wallet Wallet Wallet Wallet

Crea certificados y wallets para usuarios, bases de datos, DBA’s, LDAP

Administra usuarios y roles coorporativos

A dm inistración C oorporativa de los

usuarios con O racle8i

Oracle ServerOracle ServerOracle8i Oracle Internet Directory Oracle Certificate Authority Oracle Security Manager Oracle Wallet Manager

En el siguiente cuadro se especifican los requerimientos estándar de seguridad de la información y las soluciones del mercado disponibles en cada caso.

(6)

Requerim ientos de Seguridad

! Privacidad e Integridad en las

com unicaciones

! A utenticación del usuario

! C ontrol de A cceso

! A dm inistración de usuarios

! Flexibilidad y bajo C osto

Encriptamiento (RC4, DES, MD5, etc.) Certificados X.509v3, smartcards, biométrica Políticas granulares de Control de Acceso Integración con LDAP Directory Estándares de Seguridad (FIPS 140, Common Criteria)

Para cada una de estos requerimientos y según los estándares del mercado Oracle ha adaptado sus productos para dar soporte a estas normas, mecanismos y políticas. Asimismo, Oracle ha recibido la certificación correspondiente como proveedor calificado de productos que cumplen con estas normas de seguridad. En el siguiente cuadro se puede apreciar la propuesta Oracle para cada uno de los puntos anteriores.

Respuesta O racle a los Requerim ientos

Encriptamiento (RC4, DES, MD5, etc.) X.509v3, biométrico, smartcard Control de acceso granular Integración con LDAP Directory Estándares de Seguridad

Oracle8i e iAS

Oracle Advanced

Security

Oracle Internet

Directory

Oracle Label

Security

(7)

Auditoría

Este apartado analiza las posibilidades “automáticas” de auditoria de la base de datos y los distintos tipos de actividades que se realizan en el sistema que son sujetos de auditar, entre ellas:

• Modificaciones al modelo de datos (comandos DDL) • Modificación de los datos (comandos DML)

• Conexiones a la base de datos

Las actividades a auditar se configuran de manera flexible y pueden modificarse fácilmente.

Generación de pistas de auditoría y su análisis

La generación de pistas de auditoría nos permite mantener la historia de los cambios que se realizan a los datos e identificar: qué cambió, quién lo realizó y cuándo. A partir del análisis de esta información se puede llegar a determinar cómo cualquier dato o elemento obtuvo su valor actual.

Los usuarios al interactuar con la aplicación realizan la manipulación de los datos y a partir de la definición de las operaciones que se desean auditar, el módulo de auditoría registrará los cambios realizados.

Las actividades pueden auditarse desde dos puntos de vista:

• Quién las realizó: aquellos comandos ejecutados por un cierto usuario. Ej.: conexiones a la base de datos

• Qué objeto afectó: comandos realizados sobre un cierto objeto. Ej.: actualizaciones realizadas sobre domicilios

(8)

Funcionamiento del esquema de auditoría Manipula Analiza Base de Datos Objetos de la Aplicación Repositorio de Auditoría Re g is tra

En una aplicación hay distintas actividades que pueden auditarse, a saber: • Modificaciones a la estructura en la que residen los datos (modelo de datos) • Modificaciones a los datos

• Conexiones a la base de datos

Una vez seleccionados los distintos componentes a ser auditados, estos se deben especificar en el módulo de auditoría el cual creará en el repositorio de auditoría los objetos necesarios para registrar la información solicitada.

Los pasos para habilitar la auditoría son:

1. Identificar los objetos u estructuras de datos que deben ser auditadas con el fin de satisfacer los requerimientos de información necesarios para su posterior análisis 2. Determinar que elementos y acciones sobre dichos elementos se desea registrar. 3. Utilizar el módulo de auditoría para registrar la información definida en los puntos

anteriores y de esta manera habilitar la auditoría sobre dichos objetos.

4. Verificar que las pistas de auditoría definidas sirvan para el análisis que se desea realizar.

5. Repetir los pasos anteriores hasta lograr que la información generada en el repositorio de auditoría sea la deseada.

(9)

Para las modificaciones efectuadas a la estructura de datos: • Usuario que realiza la operación

• Tipo de operación • Objeto modificado

• Fecha y hora de la modificación

Para las modificaciones a los datos que se realizan sobre las tablas auditadas: • Usuario que realiza la operación

• Tipo de operación

• Fecha y hora de la modificación

• Módulo o transacción desde la cual se realiza la operación

• Valores nuevos de las columnas modificadas

Funcionamiento de la recolección de información de auditoría

Al elegir auditar una tabla existente en la aplicación el módulo creará en el repositorio una tabla conteniendo todos los campos de la tabla original más los campos con la información de auditoría. A partir de ese momento cada acción que se encuentre auditada y los usuarios ejecuten se registrará en el repositorio.

Es importante tener en cuenta que estas tablas pueden llegar a ser más grandes que las tablas auditadas y están particionadas por fecha de operación.

Análisis de la información recolectada

El análisis de la información recolectada se realiza mediante el acceso al repositorio de auditoría con herramientas de consulta (Ej.: Discoverer). Dicho análisis puede realizarse a partir de consultas pre-definidas o realizadas ad hoc.

Es posible que la información que se desea analizar no se encuentre en línea debido a que es necesario ir depurando la información almacenada en el repositorio por restricciones en el espacio disponible. En estos casos se deberá solicitar al operador del sistema la recuperación de la cinta de las particiones necesarias para luego proceder a analizar la información.

Referencias

Descargar ahora ( PDF - 9 página - 118.66 KB )

Documento similar

SOBRE LA TEORÍA DE LA DEMOCRACIA

De hecho, este sometimiento periódico al voto, esta decisión periódica de los electores sobre la gestión ha sido uno de los componentes teóricos más interesantes de la

LA CAPILLA DE MÚSICA DE LA COLEGIAL DE SAN NICOLÁS DE ALICANTE DURANTE EL SIGLO XVIII

Las manifestaciones musicales y su organización institucional a lo largo de los siglos XVI al XVIII son aspectos poco conocidos de la cultura alicantina. Analizar el alcance y

Capítulo 2

In medicinal products containing more than one manufactured item (e.g., contraceptive having different strengths and fixed dose combination as part of the same medicinal

Capítulo 7

Products Management Services (PMS) - Implementation of International Organization for Standardization (ISO) standards for the identification of medicinal products (IDMP) in

Anexo I

Products Management Services (PMS) - Implementation of International Organization for Standardization (ISO) standards for the identification of medicinal products (IDMP) in

Capítulo 8

This section provides guidance with examples on encoding medicinal product packaging information, together with the relationship between Pack Size, Package Item (container)

Anexo

Package Item (Container) Type : Vial (100000073563) Quantity Operator: equal to (100000000049) Package Item (Container) Quantity : 1 Material : Glass type I (200000003204)

segunda nota de aviso

Proporcione esta nota de seguridad y las copias de la versión para pacientes junto con el documento Preguntas frecuentes sobre contraindicaciones y