Introducción
Durante la última década han aparecido diversas regulaciones que dictaminan estrictos controles internos y protección de la infrmación de identificación personal (PII). Constituyen ejemplos de estas regulaciones la ley Sarbanes‐Oxley (SOX), el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI), la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA), la Ley de Instrumentos Financieros y Bolsa (Japón), la Ley Basel II y la Directiva de la Unión Europea sobre Privacidad y Comunicaciones Electrónicas en Europa. La continua necesidad de nuevas regulaciones en todo el mundo combinada con la naturaleza cada vez más sofisticada del robo deinformación requiere de una sólida seguridad de datos.
Si a la fecha Internet ha venido acelerando el desarrollo de nuevas aplicaciones para todos los aspectos del procesamiento de ngocios, las regulaciones ahora requieren controles mucho más estrictos para la información delicada, tanto financiera como relacionada con la privacidad. Se requieren soluciones de seguridad transparentes para implementar los controles más estrictos porque la mayoría de las aplicciones se basan en la seguridad a nivel de aplicación para restringir el acceso a datos delicados. Los conceptos de seguridad como menor privilegio y necesidad de saber se consideraban menos importantes que la escalabilidad la alta disponibilidad. Los productos de Oracle en seguridad de datos complementan la seguridad a nivel de aplicación permitiendo a las organizacionesminimizar los costos asociados con el cumplimiento de las regulaciones y la implementación de los estrictos controles internos.
Oracle en sus 32 años de existencia ha venido innovando y fortaleciendo su portafolio de soluciones tanto en características emebidas en la Base de datos como funcionalidades con mayor nivel de especialización denominadas opciones, las cuales habilitan la adopción de mejores prácticas y facilitan el cumplimiento de requerimientos asociados con la aplicació de controles, monitoreo y administración de la plataforma Oracle. Este documento centra su atención en las opciones de Cifrado (Oracle Advanced Security Option), Segregación de deberes (Oracle Database Vault) y Mascaramiento de datos en ambientes de desarrollo y test (Oracle DataMasking) y los controles que pueden ser implementados para dar cumplimiento a marcos regulatorios globales y/o locales.
ORACLE DATABASE VAULT
Qué es Oracle Database Vault?
Oracle Database Vault es una opción de seguridad de la BD que se utiliza para proteger datos de la aplicación ante interaccione del DBA, mejora la protección de las estructuras de la base de datos ante cambios no autorizados y cuenta con una amplia variedad de cotroles de acceso para implementar requerimientos de seguridad de manera dinámica y flexible. Esas Características le ayudan a adherirse a Estándares relacionados con la separación de tareas, cumplimiento regulatorio y control interno. Se configura Oracle Database Vault para Gestionar la seguridad por las instancias individuales de Base de datos. Es posible usar Oracle Database Vault en instalaciones standalone de la BD Oracle Database y en ambientes. Oracle Real Application Clusters (RAC)
La configuración de Oracle Database Vault se hace de manera individual para gestionar la seguridad de cada instancia. Esta opción se instala en las versiones standalone de Oracle Database, en múltiples Oracle homes, y en ambientes de Oracle Real Application Cluster (RAC).
Oracle Database Vault requiere que las versiones de la base de datos sean Oracle 9i (9.2.0.8) Enterprise Edition u Oracle Database 10g Release 2 (10.2.0.3) Enterprise Edition o versiones superiores.
Cumplimiento de controles
Las opciones de seguridad de la base de datos Oracle, dan cumplimiento a un amplio rango de regulaciones y normativas entre las que se destacan las siguientes:
Oracle Database Vault y cumplimiento regulatorio
Los reinos definidos en Oracle Database Vault, Características para segregar deberes, el uso de reglas de comandos y el uso de factores son aplicables para reducir el riesgo mapeando los requerimientos expresos e regulaciones de alcance mundial. Regulaciones tales como Sarbanes‐Oxley (SOX), Healthcare Insurance Portability and Accountability Act (HIPAA), Basel II y PCI tienen requerimientos comunes que incluyen el uso de controles internos, separación de deberes y control fuerte para el acceso a información sensible del negocio. Mientras muchos requerimientos encuentran en regulaciones tales como SOX y HIPAA son Iniciativas de naturaleza procedimental, se requiere de las soluciones técnicas para mitigar esos riesgos asociados con ítems tales como modificaciones no autorizadas e los datos y accesos inapropiados.
Sarbanes Oxley Section 404
Para la regulación Sarbanes Oxley se aplican las mejores prácticas de Oracle para el aseguramiento de la base de datos cumplieno con los siguientes requerimientos:
•
Bloqueo y expiración de cuentas por defecto
•
Designar una cuenta específica de BD para la creación de usuarios
•
Database Vault
•
Usar un nuevo almacén externo para contraseñas donde sea posible realizar procesos en lotes.
•
Asignar una cuenta específica de BD para la administración de todas las políticas VPD (Virtual Private Database) que se tienen o se planean crear.
•
Designar una cuenta específica de BD para Gestionar todas las políticas FGA que se tienen o se planean crear.
Limitar conectividad como SYSDBA donde sea posible
•
Oracle está en el proceso de eliminar la dependencia de conexiones SYSDBA (en versiones 11g y superior)
•
Comenzar usando SYSOPER para operaciones shutdown / Startup.
Auditoría de Base de datos
•
Auditar operaciones del sys
Activar auditoria granular fina para tablas sensibles
•
Activar auditoria estándar
•
Considerar cuentas no propietarias al mínimo si su preocupación es desempeño.
•
Auditar todas las sentencias DDL
•
Integrar con la solución Oracle Audit Vault
Enterprise Manager Configuration Scanning
•
Escaneo básico de configuraciones en 10g R1
•
Mucho mejor en 10g R2 & superior.
•
El siguiente release –manejo de configuraciones estándar.
Consideraciones para nuevos desarrollos
•
No usar información tipo PII (personal Identifable Information) en llaves primarias o foráneas.
•
Grabar tablas y vistas que contengan datos PII.
•
Cumplimiento
•
Auditoría
•
Diseño de gestión de Usuarios con base en directorios.
•
Aplicar el uso de tecnologías de esquema compartido.
•
No usar “select user from dual” en “application code”
Diseño con nuevas tecnologías: Database Vault.
El flujo de tareas que se deben realizar para la protección de esquemas o base de datos con Oracle Database Vault son las siguintes: