Adicionar à colecção (s) Adicionar a salvo
  1. Engenharia
  2. Ciência da computação
  3. Bancos de dados

Baixar apresentação (PDF - Português)

Propaganda 
Database Security
Protegendo Contra Mega Violações
Troy Kitch
Sr. Principal Director, Security Software
Oracle
Longinus Timochenco
CISO
SBC Brasil
Junho 23, 2015
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Oracle Public
Safe Harbor Statement
The following is intended to outline our general product direction. It is intended for
information purposes only, and may not be incorporated into any contract. It is not a
commitment to deliver any material, code, or functionality, and should not be relied upon
in making purchasing decisions. The development, release, and timing of any features or
functionality described for Oracle’s products remains at the sole discretion of Oracle.
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Oracle Public
3
Agenda
1
Violação e Compliance
2
A Era da Mega Violação
3
Proteção Centralizada vs. Proteção por Perímetro
4
Riscos Fora, Vulnerabilidades Dentro
5
Soluções Oracle Database Security
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Oracle Public
4
Dois Motivos Pelos Quais Clientes Compram Oracle
Database Security
Mitigar Violações de Dados
Endereçar Conformidade Regulatória
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Oracle Public
5
A Era das Mega Violações
200M
Credit Bureau
Mar ‘14
150M +
Code
HiTech
Oct ‘13
56M
Retailer
Sep ‘14
76M
Fin Svcs
98M
Oct ‘14
Retailer
DEC ‘13
150M
Telecom
OCT ‘13
Credit Bureau
2M
12M
22M
Education
July ‘14
Telecom
80M
Jan ‘14
Healthcare
eCommerce
May ‘14
20M
Feb ‘15
.5M
SA Banks
OCT ‘13
Credit
Cards
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Oracle Public
Immigration
June’14
Personal
Records
6
Vetore Típicos de Ataque
Ataque SQL Injection
Hacking Força Bruta
Social Attacks
Credenciais Roubadas
Malware
Command & Control
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Oracle Public
7
Como o Caso Sony Mudou a Segurança
Oracle
Company Confidential – Shared Under Terms of OPN NDA
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Oracle
Public
8
Camadas de TI mais Vulneráveis a Ataques
52%
Database
34%
Network
11%
Application
Middleware
Alocação de Recursos para Proteger a Camada de TI
4%
15%
Database
67%
Network
15%
Application
Middleware
3%
Source: CSO Online MarketPulse, 2013
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Oracle Public
9
Os Riscos Estão Fora
As Vulnerabilidades Exploradas Estão Dentro
99%
DAS VULNERABILIDADES
COMPROMETIDAS 1 ANO
APÓS O LANÇAMENTO
DO PATCH
74%
DAS EMPRESAS
LEVAM MAIS DE
3 MESES
PARA APLICAR
PATCHES
60%
DAS EMPRESAS
AMEAÇADAS
EM MINUTOS
76%
USARAM PASSWORDS
FRACOS,
ROUBADOS
OU PERDIDOS
Source: 2014 IOUG Data Security Survey; 2015, 2014 Verizon Data Breach Investigations Report
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Oracle Public
10
Oracle Database – Controles de Segurança
PREVENTIVA
DETECTIVA
ADMINISTRATIVA
Criptografia e Redaction
Monitoração da Atividade
Gerenciamento de Chaves
Mascaramento & Subsetting
Database Firewall
Descoberta de Privilégios e
Dados Sensíveis
Controles Operacionais DBA
Auditoria e Relatórios
Gerenciamento de
Configuração
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Oracle Public
11
Controles Preventivos de Segurança
Data
Redaction
Users
ssn:xxx-xx-4321
dob:xx/xx/xxxx
Applications
Dev/Test
Parceiros, BI
Controles
de BD
Access denied
“Insufficient
Privilege”
Privileged Users
Key Vault
Criptografia
De Dados
Subsetting
De Dados
Data
Masking
*7#$%!!@!%afb
##<>*$#@34
Região, Ano
Tamanho
ssn:423-55-3571
dob: 12/01/1987
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Oracle Public
12
Controles Detectivos de Segurança
Database Firewall
✔
SYBASE
!
Users
Applications
Network
Events
Audit Data
Alerts
!
Reports
Audit Data,
Event Logs
Policies
Audit Vault
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Oracle Public
13
Controles Administrativos de Segurança
Análise de
Privilégios
Scan de
Configuração
Busca de Dados
Sensíveis
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Oracle Public
14
14
SPC Brasil
Segurança no maior banco de dados de cartões de pagamento da América Latina
Desafios
Serviços Financeiros
Classificação de Crédito
• 133M+ ciidadãos
• 1.2 million empresas.
Maior bano de dados de crédito
em LAD
Dados em tempo real sobre os
pagamentos de cartão de crédito e
inadimplência, prospecção de
negócios, análise de crédito e muito
mais
 Proteger dados sensíveis de clientes em não-produção
 Reduzir a exposição de dados sensíveis a usuários não autorizados
 Endereçar requirementos regulatórios para acesso a dados
 Rastreabilidade de acesso a dados sensíveis e usuários privilegiados
Solução
 Oracle Data Masking and Subsetting
 Proteger não-produção para teste e desenvolvimento
 Oracle Audit Vault and Database Firewall
 Relatórios consolidados, alertas e auditorias
 Monitoração e auditoria constante de sistemas
 Endereçar requerimentos regulatórios
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Oracle Public
15
Classifque
Dados e
Usuários
ESTRATÉGIA
DE SEGURANÇA
DE DADOS
Mapeie
Controles
Antecipe-se
às Ameaças
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Oracle Public
16
Mapeie os Controles de Segurança aos Dados
PLATINUM
GOLD
SILVER
BRONZE
Totalmente
Sensível e Restrito
Não Sensíveis
Portais Internos…
Corporativo
Interno
Transações,
Test/dev …
Regulamentado
Compliance
PII, PCI,
PHI, SOX…
Resultados,
Campanhas
Código Fonte…
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Oracle Public
17
Mapeie os Controles de Segurança aos Dados
PLATINUM
GOLD
Controlado
SILVER
Acesso Seguro
BRONZE
Controlar operações no DB
Dados Seguros
Configuração Segura
Redaction
Analizar privilégios
Criptografar Dados
Restringir acesso DBA Bloquear tráfego não autorizado
Scan e patch
Criptografar Pacotes
Monitorar tráfego SQL
Configuração Segura
Mascaramento e Subset
Auditar Atividade
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Oracle Public
18
Em toda a
Empresa
CONFIGURAÇÕES
PADRÃO
Planejamento e
Gerenciamento
ROADMAP
Benefícios de
Mapear os
Controles
aos Dados
Alta Segurança
A Baixo Custo
SEGURANÇA
SIMPLIFICADA
CONTROLES
DE
SEGURANÇA
$
Alinhado com o
Valor dos Dados
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Oracle Public
19
Bancos de Dados são o segundo
alvo mais comum de ataques
(Verizon DBIR 2014)
52% enxergam o BD o mais
vulnerável a um ataque
(CSO Online 2013)
65% dos dados no mundo residem
em Banco de Dados Oracle
(Oracle PR April 2012)
80% dos ataques usaram
credenciais perdidas ou roubadas
(Verizon DBIR 2014)
PROTEGER DADOS E APLICAÇÕES DE DENTRO PARA FORA
ECONOMIZA TEMPO, DINHEIRO E REDUZ O RISCO
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Oracle Public
20
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Oracle Public
21
PUBLIC INFORMATION
SABER
UM POUCO MAIS
SOBRE NÓS
Controles Internos
Longinus Timochenco
CISO
PUBLIC
INFORMATION
This document has been classified by the Information Security and access is authorized only for public use.
Agenda





Olá a todos,
Eu sou o CID
Negócio SPC BRASIL
Estrutura Controles Internos
Cenários Segurança da Informação
Benefícios solução de Segurança Oracle
Encerramento.
Linha do Tempo – SPC BRASIL
1955
1995
Armazenagem de informações
de inadimplência em fichas de
papel
2000
2002
Linha do Tempo – SPC BRASIL
1955
1995
Início da discussão para a
interligação das CDLs
2000
2002
Linha do Tempo – SPC BRASIL
1955
1995
Bancos de dados interligados.
Nasce o SPC BRASIL
2000
2002
Linha do Tempo – SPC BRASIL
1955
1995
Implantação do sistema
de consulta
2000
2002
SPC BRASIL
O SPC BRASIL é
Um provedor de serviços e soluções
que auxiliam empresas a proteger-se
de prejuízos, maximizarem seus
lucros e promover ações de vendas
e cobrança
MISSÃO
Nossa missão é prover soluções para que as empresas associadas vendam
mais e recebam, e gerar receitas novas para nossa rede de negócios,
proporcionando assim o fortalecimento e a perenidade das nossas
entidades.
VALORES
Capacidade de entrega, Simplicidade, Paixão, Criatividade, Transparência,
Excelência, Capacidade de Foco, Humildade, Objetividade, Mente
Visionária, Capacidade de trabalho em Grupo.
VISÃO
Até 2021 nós seremos o melhor bureau de crédito e informações e a maior
rede de negócios do Brasil.
SPC BRASIL
SPC Brasil é um bureau de crédito e informações? E o
maior banco de dados da América Latina.
No entanto, nós fazemos muito mais do
que? Analisar crédito. Nossos serviços
ajudam as empresas a facilitar novos
negócios com segurança e construir a sua
história.
PUBLIC
INFORMATION
This document has been classified by the Information Security and access is authorized only for public use.
SPC BRASIL - SERVIÇOS
INTEGRAR /
PROCESSO DE DADOS
PUBLIC
INFORMATION
DESENVOLVER
PRODUTOS
PROMOVER
EDUCAÇÃO E
FORMAÇÃO
PROFISSIONAL
This document has been classified by the Information Security and access is authorized only for public use.
CICLO DE NEGÓCIOS
Temos soluções para todos os segmentos de mercado.
Serviços
PUBLIC
INFORMATION
Varejo
Atacado
Industria
This document has been classified by the Information Security and access is authorized only for public use.
Para quem os produtos SPC são feitos?
Empresas que precisam obter decisões seguras e rápidas, com base em critérios próprios,
vender com segurança, aumentar o limite de crédito de seus melhores clientes e
proteger-se contra inadimplência.
Informação Pública: este documento foi classificado pela área de Produtos e Inteligência de Mercado e o acesso está autorizado exclusivamente para Entidades e Clientes.
SPC BRASIL em números
180
MILHÕES
DE CADASTRO DE
PESSOA FÍSICA.
26
MILHÕES
DE CADASTRO DE
PESSOA JURÍDICA.
Informação Pública: este documento foi classificado pela área de Produtos e Inteligência de Mercado e o acesso está autorizado exclusivamente para Entidades e Clientes.
SPC BRASIL em números
Informação Pública: este documento foi classificado pela área de Produtos e Inteligência de Mercado e o acesso está autorizado exclusivamente para Entidades e Clientes.
SPC BRASIL em números
77 % em 1 segundo
18 % em 2 segundos
5 % em 3 segundos
Informação Pública: este documento foi classificado pela área de Produtos e Inteligência de Mercado e o acesso está autorizado exclusivamente para Entidades e Clientes.
Estrutura da Área Controles Internos
Presidência
Superintendência
Geral
Coletar evidências do cumprimento de
normas, legislação, etc
Auditoria interna;
Acompanhamento de auditoria externa.
Controles
Internos
Evitar o uso indevido da marca;
Investigação de fraudes;
Avaliação de Risco Corporativo.
Risco & Fraude
Segurança da
Informação
(Corporativo)
Compliance
Governança de Segurança da informação;
Políticas / Processos / Procedimentos.
INFORMAÇÃO INTERNA: este documento foi classificado pela área de Controles Internos e o acesso está autorizado exclusivamente para o SPC Brasil.
Por que Segurança da Informação?







Minimizar ou evitar danos ao negócio;
Maximizar retorno de Investimentos;
Aumentar a competitividade e consequentemente os lucros;
Atender requisitos legais;
Preservar imagem da organização;
Continuidade do negócio;
Proteger a informação de acordo com a necessidade do negócio.
INFORMAÇÃO INTERNA: este documento foi classificado pela área de Controles Internos e o acesso está autorizado exclusivamente para o SPC Brasil.
Cenário Segurança para Banco de Dados
(Padrão de mercado)
Segurança de Perímetro para Banco de Dados, como:
• Controles de Segurança Descentralizados;
• Autenticação de rede;
• Segmentação de rede;
• Firewall;
• IPS;
• Administração de Privilégios de contas;
• Logs.
INFORMAÇÃO INTERNA: este documento foi classificado pela área de Controles Internos e o acesso está autorizado exclusivamente para o SPC Brasil.
$
Drivers de Negócios para Segurança de Dados
Proteger
dados
sensíveis
Real-time
Gerenciar
Compliance
Gestão de
custos
Integração e
Plano de
crescimento
INFORMAÇÃO INTERNA: este documento foi classificado pela área de Controles Internos e o acesso está autorizado exclusivamente para o SPC Brasil.
Desafios
•
•
•
•
•
•
•
•
•
•
Embaralhamento dos dados com performance;
Mudanças constantes de ameaças e compliance;
Blindar base de dados e informações sensíveis;
Gerenciar Performance em escala;
Proteger aplicativos com priorização de negócio;
Gestão de perfis e privilégios;
Firewall dentro do banco de dados;
Scan de vulnerabilidades;
Monitoramento de atividades e alertas preventivos;
Ambiente auditáveis.
INFORMAÇÃO INTERNA: este documento foi classificado pela área de Controles Internos e o acesso está autorizado exclusivamente para o SPC Brasil.
Cenário atual
Controle de Banco de dados Oracle e não Oracle
Database Firewall
Users
Allow
Log
Alert
Substitute
Block
Firewall
Events
Applications
Auditor
Security
Manager
Reports
Alerts
Mask
!
OS, Directory &
Custom Audit Logs
Custom Server
Policies
Audit/Event
Warehouse
INFORMAÇÃO INTERNA: este documento foi classificado pela área de Controles Internos e o acesso está autorizado exclusivamente para o SPC Brasil.
Benefícios - Oracle Database Security
Soluções de Segurança Oracle implementadas:
Mask, Audit Vault, Data Base Vault e Firewall.
Principais Benefícios:
• Maior integração com Banco de Dados Oracle, Exadata e Exalogic;
• Embaralhamento do nosso ambiente de banco de dados teste e homologação;
• Implementação de regras local para todos usuários e administradores no banco de
dados, aumentando a nossa camada de segurança e perímetro;
• Segurança e Conformidade;
• Trilha de Auditoria (rastreabilidade);
• Simplicidade para o ambiente e flexibilidade;
• Velocidade e Escalabilidade;
• Aumentando a confiança do ambiente internamente, clientes, parceiros e
auditorias de mercado.
INFORMAÇÃO INTERNA: este documento foi classificado pela área de Controles Internos e o acesso está autorizado exclusivamente para o SPC Brasil.
Dúvidas?
INFORMAÇÃO INTERNA: este documento foi classificado pela área de Controles Internos e o acesso está autorizado exclusivamente para o SPC Brasil
Agradecimentos
Equipes Oracle
Parceiro SERVICE
Equipes SPC BRASIL
INFORMAÇÃO INTERNA: este documento foi classificado pela área de Controles Internos e o acesso está autorizado exclusivamente para o SPC Brasil.
A Eficiência está na Simplicidade e
nem sempre na complexidade !!
Obrigado!
Contatos:
Longinus Timochenco
Chief Information Security Officer – CISO
Tel.: (11) 3016-0101 – ramal 263
Cel.: (11) 9-6410-3465
[email protected]
INFORMAÇÃO INTERNA: este documento foi classificado pela área de Controles Internos e o acesso está autorizado exclusivamente para o SPC Brasil
Documentos relacionados
administração de banco de dados
administração de banco de dados
AVISO DE RECRUTAMENTO E SELEÇAO
AVISO DE RECRUTAMENTO E SELEÇAO
MULTINACIONAL BRASILEIRA ATUANTE NOS RAMOS QUÍMICO
MULTINACIONAL BRASILEIRA ATUANTE NOS RAMOS QUÍMICO
MATRIZ CURRICULAR ESPECIALIZAÇÃO EM BANCO DE DADOS
MATRIZ CURRICULAR ESPECIALIZAÇÃO EM BANCO DE DADOS
Baixar Curriculo
Baixar Curriculo
Gerando Modelo Relacional do Oracle com SQL
Gerando Modelo Relacional do Oracle com SQL
Datas Projeto - FTP da PUC
Datas Projeto - FTP da PUC
Trabalho 1 - Organização Física de Bancos
Trabalho 1 - Organização Física de Bancos
T.E.S.I. Gerência de Banco de Dados
T.E.S.I. Gerência de Banco de Dados
CV - Vagas TI Brasil
CV - Vagas TI Brasil
Gestão Remota de Banco de Dados
Gestão Remota de Banco de Dados
1 - Unidas
1 - Unidas
Download
Propaganda