viernes, 18 de mayo de 2007

Seguridad Oracle

Hacía tiempo que no referenciaba a Sergio Hernando porque trato de hacer que mis post sean diferentes de los blog's a los que me siento más cercano para enriquecer mejor la blogsfera.

Muchas veces este blog también tiene el carácter de registro de eventos y recursos interesantes en materia de seguridad y de ahí que hoy quiera enlazar con los documentos que Sergio ha incluido en su post Introducción a la seguridad Oracle.

A menudo se entra en polémicas sobre los monopolios en la informática y siempre suele mentarse a Microsoft como la mayor amenaza en esta materia. Sin embargo, otras empresas de similar embergadura e importancia pasan totalmente desapercibidas en estas discusiones. Hemos de pensar que los diferentes componentes informáticos pueden ser agrupados en forma de arbol donde unos elementos dependen de otros. Este tipo de relaciones se suelen obtener en la realización de un análisis de riesgos. En general, las relaciones comunes de dependencias suelen ser:

1.- Los procesos de la organización dependen de la información y de las personas de la Entidad.
2.- La información puede estar ya en soporte papel o en soporte electrónico.
3.- Para este segundo caso, suele estar almacenada y gestionada en aplicaciones y sistemas gestores de bases de datos.
4.- Por debajo de estos, aparecen los sistemas operativos tanto de servidores como de equipos PC.
5.- Un activo horizontal que presta una funcionalidad a todas las piezas, suelen ser las redes de comunicaciones, necesarias para que los intercambios de información se encuentren operativos.
6.- Por debajo, ya solo quedan las ubicaciones físicas de la Organización, como el gran contenedor que aloja al resto de activos.

Visto esto en forma de pirámide, las dependencias pueden quedar definidas por el siguiente gráfico:


Lo que quiero destacar es que los sistemas gestores de bases de datos ocupan un lugar muy importante en esta pirámide. También en el gráfico podemos ver como garantizar "seguridad de la información" contempla muchos aspectos en función de la altura de la pirámide que tratamos de proteger y el tipo de elemento, abarcando áreas como la seguridad física, la seguridad lógica, la formación al personal, etc.

Como comenta Sergio, "Oracle tiene desplegados a lo largo y ancho del planeta una cantidad enorme de productos, que además suelen ocupar posiciones críticas en las infraestructuras de TI. Son, a fin de cuentas, productos especializados, y sin entrar en detalles sobre lo buenos o malos que pueden ser, son el respaldo de muchas compañías en lo que a tecnología se refiere."

Las guías de seguridad para Oracle pueden ser consultadas en
Getting Started: Security cuyo contenido es:
  • Step 1 Learn "common sense principles" for database security (from governmentsecurity.org)

  • Step 2 Read the Oracle Database Security checklist

  • Step 3 Learn how to encrypt your data

  • Step 4 Learn how to set up granular security via "sensitivity labels"

  • Step 5 Learn how to restrict data access to certain users

  • Step 6 Learn how to set up role-based security

  • Step 7 Learn how to use policy-based (or "fine grained") auditing

El enlace ha sido proporcionado por Xabié Caballé.
 
;