martes nov 09, 2010

Soluciones de Oracle para el cumplimiento de la LOPD (2/2)

<script type="text/freezescript">var gaJsHost = (("https:" == document.location.protocol) ? "https://ssl." : "http://www."); document.write(unescape("%3Cscript src='" + gaJsHost + "google-analytics.com/ga.js' type='text/javascript'%3E%3C/script%3E")); </script> <script type="text/freezescript"> try { var pageTracker = _gat._getTracker("UA-4618459-4"); pageTracker._trackPageview(); } catch(err) {}</script>

En la primera parte de esta entrada, hacía referencia al informe de la AEPD sobe el cumplimiento de la LOPD en los hospitale e incluía un cuadro sobre las aportaciones concretas de Oracle a distintos preceptos del reglamento en el apartado de tratamiento automatizado, relegando a esta entrada una breve descripción de las propuestas allí incluidas.

Oracle Database Vault, es un completo portafolio de soluciones de seguridad de bases de datos con el que las organizaciones pueden proteger proactivamente los datos almacenados en bases de datos Oracle de ser accedidos por usuarios privilegiados, permitiendo el cumplimiento reguroso de las regulaciones de protección de datos, Dispone de políticas multicriterio basadas en factores como la hora del día, la dirección IP, el nombre de la aplicación o el método de autenticación.

Identity and Access Management Suite Plus es un solución completa, reconocida como la mejor de su clase, que ofrece un coste de propiedad muy bajo al ser una solución integrada para centralizar la seguridad de las aplicaciones y de los web services. Tiene como componentes Oracle Access Manager 11g (solución centralizada y automatizada de single sign-on (SSO) para gestionar quién tiene acceso a qué información a lo largo de toda la infraestructura de TI), Oracle Identity Manager 11g (avanzada solución de administración de roles y usuarios que automatiza el proceso de crear, modificar y borrar tanto las cuentas de usuarios como las asignaciones de atributos de las mismas a lo largo de toda la organización) y Oracle Identity Federation 11g (servidor de federación de multiprotocolos que permite la interoperabilidad segura de identidades a través de diferentes organizaciones).

Oracle Database Firewall es la primera línea de defensa, con una monitorización en tiempo real de la actividad de la base de datos en la red. Una precisa tecnología basada en la gramática SQL bloquea transacciones no autorizadas apoyándose en políticas de listas blancas, negras y de excepciones, ayudando a prevenir ataques internos y externos. Es fácil de desplegar y no necesita cambios en las aplicaciones ni bases de datos existentes.

Oracle Data Masking, ayuda a cumplir las normativas en los entornos que no son el de producción, permitendo sustituir con valores realistas los datos privados en las bases de datos que se descargan para entornos de desarrollo, pruebas  o prerproducción. Para ello usa una librería de plantillas y reglas de formatos que permiten transformar los datos manteniendo la integridad de referencias para las aplicaciones.

Oracle Secure Backup, permite gestionar el backup de entornos complejos de cientos de servidores y cintas físicas o virtuales con diferentes períodos de retención ubicados en diferentes CPD a través de un interfaz común y con gestión basada en políticas que permite un control fino sobre las cintas y los dominios de backup. Permite la encriptación de cintas, asegurando la normativa de seguridad cuando estas salen fuera de los entornos controlados de CPD.

Oracle Audit Vault automatiza el tedioso proceso de recolección de datos, monitorización y reporte de auditorías. La monitorización no sólo cubre las bases de datos Oracle, sino que contempla también Microsoft SQL Server, IBM DB2 UDB y Sybase ASE. El sistema proporciona informes con fotos instantáneas de los usuarios, privilegios y perfiles de Oracle Database que permiten a los auditores seguir los cambios en los accesos a las bases de datos y disponer de informes predefinidos para cumplir las exigencias de las regulaciones, asi como capacidades de generación de gráficos.

Oracle Label Security es una herramienta potente y fácil de usar para clasificar los datos y controlar el acceso a los mismos en base a su clasificación por aquellos que realmente han de poder acceder a ellos. La granularidad es a nivel de filas y está integrado con otros productos de seguridad de Oracle como Oracle Database Vault y Oracle Identity Management.

Virtual Private Database (VPD) es una funcionalidad de Oracle Database 11g Enterprise Edition. Está indicada cuando los privilegios estándar de los objetos y los roles asociados son insuficientes para asegurar los requisitos de seguridad. VPD se puese usar en combinación con la funcionalidad "contexto de aplicación" para asegurar una seguridad sofisticada a nivel de filas o columnas. Un ejemplo de uso sencillo de VPD sería restringir el acceso a datos de pacientes de consultas externas en horas nocturnas y un ejemplo más sofisticado podría ser restringir el acceso a la tabla de órdenes médicas en base a un disparador iniciado al login sensible al contexto de la aplicación.

Enterprise User Security es la combinación de la funcionalidad de Oracle Database Enterprise Edition combinada con Oracle Identity Management, y permite la posibilidad de gestionar los usuarios de las bases de datos y sus autorizaciones de forma centralizada, reduciendo de forma espectacular el coste de la provisión y restauración de contraseñas.También permite la gestión centralizada de las autorizaciones usando roles globales y sincronización entre Oracle Internet Directory y otros directorios.

Transparent Data Encryption es una funcionalidad proporcionada por Oracle Advanced Security con Oracle Database 11g Release 2 sin necesidad de modificar las aplicaciones. Los datos se encriptan automáticamente cuando se escriben en el disco y se desencriptan automáticamente cuando la aplicación los lee. La gestión de claves está incorporada, eliminando la tarea compleja de crear, gestionar y proteger las claves de encriptación.

Oracle Information Rights Management (IRM) forma parte de Oracle Universal Content Management y es una tecnología de seguridad de la información que protege y traza la información digital sensible en cualquier lugar en que se almacene y use. Para ello usa la encriptación para extender la gesitión de la información más allá del repositorio a cualquier copia de información sensible de la organización donde quiera que se almacene y use, bien sean portátiles, PCs y otros repositorios, dentro y fuera del firewall. Gestiona no sólo la lectura sino la impresión o las fotos instantáneas y funicona no documentos Microsoft Office y tanto con Oracle Universal Content Management como con Microsoft Sharepoint.


Oracle Universal Content Management ofrece una amplia gama de soluciones para las necesidades de todo tipo de gestión de contenidos, desde consolidaciones de servidores de ficheros a sofisticadas gestiones de contenidos web de diferentes servidores, proporcionando una herramienta robusta y escalable y una poderosa infraestructura que permite crear aplicaciones sesnsibles al contenido.

Respecto a las soluciones específicas de hardware, las citadas en el cuadro son:

Terminales Ultraligeras Sun Ray: El mayor riesgo de violaciones de la confidencialidad proviene de dentro de las propias organizaciones y muchas veces se produce sin especial malicia, por simple error o desconocimiento del usuario. Por ello los terminales ultraligeros Sun Ray con el uso de una tarjeta con firma electrónica como medio físico de acceso conciencian al usuario de su responsabilidad personal en la cadena de seguridad. Si a eso se añade que el sistema permite una conmutación casi instantánea de un usuario a otro en entornos compartidos y que al retirar la tarjeta se produce un bloqueo automático de la sesión, se crea una cultura de privacidad apoyada en un entorno que lo facilita.

Por otra parte la posibilidad de bloquear la conexión de dispositivos de almacenamiento extraible impide la extracción de datos no autorizados y cierra puertas a la entrada de software malicioso. Y para completar la aportación a las seguridad, se puede citar que cuando el enlace del puesto de trabajo con el CPD se hace por conexión inalámbrica el sistema permite el cifrado de las comunicaciones para evitar intrusismos.

Cabinas de Almacenamiento 6X00 con licencias "Data Replication": La cada vez más ingente cantidad de datos que se generan en los entornos sanitarios implican que el factor tiempo sea cada vez más crítico en la gestión de las copias de seguridad y, sobre todo, en la recuperación. La oferta de Oracle de cabinas de almacenamiento 6x00 con software de replicación de datos son una plataforma ideal para gestionar un primer nivel de respaldo a precios asequibles

Cabinas de Almacenamiento ZFS Storage: simplifican notablemente el despliegue del almacenamiento y el nivel de servicio para entornos de tabajo de manejo intensivo de datos. Incorporan una amplia gama de protocolos de conexión y de funcionalidades, entre ellas la replicacion, sin coste adicional, lo que facilita el cumplimiento de altos niveles de seguridad de la información.

Librerías SL24, SL48 y SL500 con tecnología LTO o con LTO Crypto-Ready:: El reglamento de la LOPD exige garantizar la integridad de la información con copias de respaldo y recuperación. Y las copias han de guardarse fuera del CPD en el caso del nivel alto de seguridad. Ello implica sistemas robustos, eficaces y con capacidad de encriptar las cintas que salgan fuera del CPD. La oferta de Oracle es la más amplia y con reconocido liderazgo de mercado.

Servidores SPARC T3 con coprocesador criptográfico en cada core: Cada vez más se dan servicios fuera de la zona de seguridad y la encriptación es requerida por el reglamento de la LOPD. El uso de servidores basados en procesadores SPARC T3 con coprocesadores criptográficos en cada uno de sus dieciséis cores permite suministrar los servicios seguros a gran número de usuarios externos sin impacto en el rendimiento ni costes adicionales.

<script src="http://platform.twitter.com/widgets.js" type="text/freezescript"></script>


lunes nov 08, 2010

Soluciones de Oracle para el cumplimiento de la LOPD (1/2)

<script type="text/freezescript">var gaJsHost = (("https:" == document.location.protocol) ? "https://ssl." : "http://www."); document.write(unescape("%3Cscript src='" + gaJsHost + "google-analytics.com/ga.js' type='text/javascript'%3E%3C/script%3E")); </script> <script type="text/freezescript"> try { var pageTracker = _gat._getTracker("UA-4618459-4"); pageTracker._trackPageview(); } catch(err) {}</script>

A finales de octubre la Agencia Española de Protección de Datos publicó el "Informe del Cumplimiento de la LOPD en Hospitales", fruto de una investigación de oficio lanzada en marzo mediante cuastionario enviado a cada uno de los 605 centros públicos y privados que componen el ámbito de competencias de la AEPD, al objeto de conocer el nivel de cumplimiento de la LOPD y de su normativa de desarrollo en centros hospitalarios, ante las 123 denuncias registradas en el 2009.

Por lo que se ve en el informe, quedan fuera del alcance todos los hospitales catalanes y los públicos de Madrid y el País Vasco, cuya competencia recae en sus respectivas agencias autonómicas. Desgraciadamente las ausencias son notables, por lo que los datos nacionales podrían variar si se hubiese cubierto la totalidad de las autonomías. 

No voy a comentar en detalle los resultados, pero en cualquier caso, al estar hablando de leyes el no cumplimiento al 100% es un problema, que en algún caso puede acarrear importantes sanciones. El cuestionario investigaba el cumplimiento de:

  • La inscripción de ficheros en el Registro General de Protección de Datos

  • El cumplimiento del deber de información al interesado y atención al ejercicio de derechos de acceso, rectificación, cancelación y oposición (ARCO)

  • La contratación de servicios de tratamiento de datos personales

  • Las medidas de seguridad y, específicamente sobre el documento de seguridad, funciones y obligaciones del personal, control y registro de acceso, comunicación de datos, gestión de incidencias, gestión de documentación en papel, soportes y documentos, copias de respaldo y recuperación y documentación en papel

  • Auditoría de medidas de seguridad

Como se ve, muchas son medidas administrativas, de gestión efectiva de derechos y de operación en papel y, las que nos incumben, de gestión automatizada de datos. Las conclusiones que señala el propio informe son que "en promedio, y con excepción de las comunidades de La Rioja y Murcia, el nivel de cumplimiento en los centros públicos es menor que en los centros privados", "la mayoría de hospitales (86%) han contratado actividades de tratamiento de datos personales" y que "la implantación de la Historia Clínica Electrónica alcanza al 55% de loshospitales requeridos, siendo mayor en los centros públicos que en los privados (67% frente a 44%)".

Más allá del informe, lo cierto es que los sistemas informatizados van ganando terreno y las buenas prácticas de seguridad y confidencialidad son una necesidad ineludible. Oracle ha ofrecido tradicionalmente soluciones punteras en estos temas, que quedan reforzadas con la incorporación del hardware de Sun, y, dado que una amplia parte del sector ha tenido que hacer un examen de conciencia estos pasados meses, vamos a recordar aquí las principales ofertas de Oracle para el cumplimiento de la LOPD y el Reglamento que lo desarrolla.

Próximamente Oracle lanzará su versión de Sanidad de su solución de gobernaza de la seguridad (Oracle Secure Governor- OSG) que posiblemente presentemos en febrero en el Inforsalud 2011. Pero como aperitivo, vamos a recopilar una amplia serie de soluciones software o hardware que enfocan requerimientos comcretos del reglamento de la LOPD. Estas soluciones son independientes, aunque se pueden combinar. Y, en algún caso, a la misma necesidad se puede dar solución por hardware o por software. En estas circunstancias, la conveniencia de una u otra depende de la situación de la instalación.

Para no cansar al lector dejo para una continuación de esta entrada la descripción más detallada de cada una de las soluciones propuestas en el cuadro.

<script src="http://platform.twitter.com/widgets.js" type="text/freezescript"></script>
About

Mi punto de vista desde mi posición en Oracle.

Los puntos de vista de este blog son míos y no necesariamente reflejan los de Oracle.

Search

Categories
Archives
« abril 2014
lunmarmiéjueviesábdom
 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
    
       
Hoy