Securización Bases de Datos Distribuidasx

Anuncio
SECURIZACIÓN DE BASES
BASES DE DATOS DISTRIBUIDAS
DISTRIBUIDAS
Implantado en: Las Bases de Datos del Sistema de Gestión Procesal en 37 sedes remotas.
ANTECEDENTES/PROBLEMÁTICA
ANTECEDENTES/PROBLEMÁTICA
La Subdirección General de Nuevas Tecnologías de Justicia (SGNTJ), dependiente de la Secretaría General
de la Administración de Justica, ejerce las funciones de planificación estratégica, dirección y ejecución de
la modernización tecnológica de los juzgados y tribunales, del Ministerio Fiscal y de los registros
administrativos de apoyo a la actividad judicial, así como la coordinación de las actuaciones en esta
materia con otras administraciones, órganos del Estado, corporaciones profesionales e instituciones
públicas.
Dado el servicio que actualmente proporciona el Ministerio de Justicia a las diferentes entidades y a los
ciudadanos, es necesario potenciar con diferentes medidas y herramientas el aseguramiento de la
confidencialidad, autenticidad e integridad de la información. Se ha visto necesario implementar
estrategias que cubran los procesos en donde la información sea el activo primordial. Estas estrategias
deben tener como punto primordial el establecimiento de políticas, controles de seguridad, tecnologías y
procedimientos para detectar amenazas que puedan explotar vulnerabilidades y que pongan en riesgo
dicho activo, es decir, que ayuden a proteger y salvaguardar tanto la información como los sistemas que
la almacenan y administran.
Estos procesos de modernización implican la generación y la gestión de una magnitud considerable de
información que debe ser compartida entre las distintas administraciones públicas y agentes involucrados
en la Administración de Justicia, con vistas a la implantación de los módulos del nuevo Sistema de Gestión
Procesal, que sustentan la puesta en marcha del Expediente Judicial Electrónico.
En la gestión y el trasiego de esta información, es necesario que se lleve a cabo un tratamiento seguro de
los datos, cumpliendo los estándares y legislación aplicable en materia de seguridad, tanto general (LOPD,
etc.) como específica de la Administración de Justicia (Ley Orgánica del Poder Judicial de 6/1985, Ley
18/2011, de 5 de julio, reguladora del uso de las tecnologías de la información y la comunicación en la
Administración de Justicia, en lo referente al Esquema Judicial de Interoperabilidad y Seguridad, etc.), que
entre otras cosas requieren que los datos y los documentos informatizados tenga la misma validez y
Asociación @asLAN. Asociación de Proveedores de Red y Telecomunicaciones
Europa Empresarial, C/Rozabella 6 Edificio Paris, Oficina 8. 28290 Las Rozas. Madrid. Tel: +34 918315070
@asLAN_es – #PremiosAAPP - #ASLAN2016
eficacia que los originales y que se preserve, la confidencialidad, privacidad y seguridad de los datos de
carácter personal.
OBJETIVOS PERSEGUIDOS
PERSEGUIDOS
La Subdirección General de Nuevas Tecnologías de la Justicia dispone de una solución de gestión de bases
de datos de tecnología Oracle, como producto software que administra la capa de datos de las
aplicaciones que dan servicio a las sedes judiciales del Ministerio de Justicia, entre las que se encuentra el
nuevo Sistema de Gestión Procesal.
En consecuencia, a lo largo del año 2015, se decidió acometer el proyecto relativo al suministro y
despliegue de productos Oracle de Securización de BBDD para atender a las necesidades de seguridad
sobre sus Bases de datos distribuidas.
Partíamos de una situación caracterizada por un sistema de gestión procesal distribuido que operaba con
equipos descentralizados y cuya transmisión de datos se realizaba a través de las redes de
comunicaciones de la Administración de Justicia de un modo no securizado. Por otra parte, el
almacenamiento de la información en los discos de los servidores se realizaba sin la provisión de medidas
de seguridad adecuadas y no existía control de acceso de los usuarios a la Base de Datos, aunque sí a las
aplicaciones.
Se requería, pues, aumentar la disponibilidad, integridad, autenticidad, trazabilidad y confidencialidad de
los servicios e información que se suministra a los usuarios. A tal fin, se lleva a cabo la dotación de los
mecanismos de seguridad adecuados a los entornos de datos que se manejan y que permitan cumplir con
la legislación vigente en los aspectos operativos, garantizar a los usuarios la fiabilidad, confidencialidad y
aseguramiento de la información depositada en la SGNTJ, prevenir las fugas de información, y lograr la
simulación real en entornos de preproducción y de pruebas mediante mecanismos automatizados de
enmascaramiento de datos.
LÍNEAS DE TRABAJO – RECURSOS EMPLEADOS
Dentro del marco del Convenio IUS+RED el cual establece el marco de colaboración entre el Ministerio de
Justicia, el Ministerio de Industria, Energía y Turismo y la Entidad Pública Empresarial Red.es para el
desarrollo de Servicios Públicos Digitales en el ámbito procesal y del Registro Civil, se están llevando a
cabo proyectos relacionados con la Modernización de la Justicia.
Es a través de dicho Convenio y bajo la financiación de Fondos Europeos de Desarrollo Regional, cuando
la SGNTJ ha tenido la oportunidad de contratar el suministro y despliegue de licencias de productos de
tecnología ORACLE necesarios para dotar de tecnología de securización, auditoría, alta disponibilidad y
Asociación @asLAN. Asociación de Proveedores de Red y Telecomunicaciones
Europa Empresarial, C/Rozabella 6 Edificio Paris, Oficina 8. 28290 Las Rozas. Madrid. Tel: +34 918315070
@asLAN_es – #PremiosAAPP - #ASLAN2016
continuidad del servicio a bases de datos de 37 sedes remotas. Dicha implantación se ha desarrollado a
través de las líneas de trabajo que se exponen a continuación
Se incluye, asimismo, el servicio de soporte al control proactivo de la solución software de seguridad
desplegada que permite a la SGNTJ mantener, y en la medida de lo posible incrementar, la efectividad y
estabilidad en la explotación de los productos Oracle, a partir de una gestión preventiva y personalizada
Las líneas de trabajo que se han seguido son:
1. Diseño y planificación
Comprende el lanzamiento del servicio avanzado de despliegue, donde se detallan los objetivos, se
concreta el equipo de trabajo, se propone el modelo de trabajo y se elabora el plan director de proyecto,
que servirá como guía a lo largo de la ejecución del mismo. Incluye la organización del equipo técnico de
trabajo, recogida de información de los entornos y requisitos para el despliegue de los productos de
seguridad.
2. Asesoría de Seguridad
Se centra en el estudio de las necesidades y los principales retos de seguridad en la gestión de la
seguridad del dato conforme a lo establecido en el Esquema Nacional de Seguridad (ENS) de cara a la
obtención del grado de la madurez requerido en la gestión de la seguridad actual. Así mismo se garantiza
que los sistemas electrónicos de información y comunicación cumplen los requisitos mínimos de
seguridad fijados en las Bases del Esquema judicial de interoperabilidad y seguridad. Estos requisitos, de
conformidad con lo previsto en el artículo 54 de la Ley 18/2011, de 5 de julio, reguladora del uso de las
tecnologías de la información y la comunicación en la Administración de Justicia, serán desarrollados
mediante una guía técnica de seguridad, en línea con lo establecido en las Instrucciones Técnicas de
Seguridad de la Administración General del Estado.
3. Configuración Avanzada Data Masking
Se reemplaza la información sensible de los entornos de Preproducción por valores realistas y
coherentes, de forma que datos similares a los del entorno de producción, sean capaces de sufrir los
mismos filtros y validaciones que se llevarían a cabo en los entornos productivos, puedan ser utilizados de
Asociación @asLAN. Asociación de Proveedores de Red y Telecomunicaciones
Europa Empresarial, C/Rozabella 6 Edificio Paris, Oficina 8. 28290 Las Rozas. Madrid. Tel: +34 918315070
@asLAN_es – #PremiosAAPP - #ASLAN2016
forma segura en otros entornos, contribuyendo así a cumplir con las regulaciones de privacidad de datos
sin correr riesgos de fugas de datos.
4. Configuración Avanzada Advanced Security
Se incrementa la seguridad y protección de la información mediante:
Cifrado de datos para prevenir el acceso fraudulento a datos almacenados en ficheros de Base de
Datos, copias de seguridad, discos físicos, cintas, etc.
Gestión de claves en varias capas para permitir la segregación de funciones con soporte para
gestión centralizada de claves utilizando HSM/KMS.
Autenticación fuerte de los usuarios de Base de Datos para asegurar la identidad.
5. Configuración Avanzada Database Vault
Se reduce el riesgo de accesos internos indebidos y de amenazas externas mediante la revisión de
Políticas de Control de Acceso existentes, la aplicación de buenas prácticas de Auditoría y de Gobierno de
los Datos y agilizando el establecimiento de políticas de seguridad adecuadas.
Separación de funciones y cotos de seguridad.
Establecimiento de controles robustos sobre quién puede hacer qué dentro de la Base de Datos
asegurando los mínimos privilegios a los usuarios privilegiados.
Asegurar el gobierno de los datos.
Permitir consolidar de forma segura los datos de aplicaciones multi-territoriales.
Facilitar finalmente el reporting, análisis de privilegios y la agilización en la adopción de políticas
de seguridad adecuadas.
6. Configuración Avanzada Audit Vault & Database Firewall (AVDF)
Realización de una auditoría previa sobre la que se realiza la configuración avanzada con el fin de
incrementar la seguridad de los entornos de base de datos en las siguientes áreas:
Detecta y bloquea con exactitud cualquier actividad no autorizada en la base de datos basándose
en una política de cortafuegos.
Recopilación de datos de actividad y presentación en informes de auditoría territorializados.
Permite la activación proactiva de alertas y notificaciones.
De este modo se detectan automáticamente actividades no autorizadas en la Base de datos que violan las
políticas de seguridad e impide que los perpetradores cubran sus huellas.
Asociación @asLAN. Asociación de Proveedores de Red y Telecomunicaciones
Europa Empresarial, C/Rozabella 6 Edificio Paris, Oficina 8. 28290 Las Rozas. Madrid. Tel: +34 918315070
@asLAN_es – #PremiosAAPP - #ASLAN2016
7. Configuración Avanzada Oracle Active Data Guard
Permite mejorar la disponibilidad de los datos y la calidad del servicio en tiempo real trasladando las
actividades que acaparan muchos recursos desde una base de datos de producción hasta una o varias
bases de datos auxiliares sincronizadas. También se posibilita el acceso de sólo lectura a una base de
datos física auxiliar para realizar consultas, clasificar, generar informes, acceder vía web, etc., mientras se
aplican continuamente los cambios procedentes de la base de datos de producción.
Adicionalmente, permite utilizar rápidas copias de seguridad incrementales, al trasladar copias de
seguridad a una base de datos auxiliar, con las ventajas añadidas de una alta disponibilidad y protección
contra desastres en caso de cortes eléctricos, previstos o imprevistos, en el centro de producción.
En consecuencia, se asegura la continuidad del negocio reduciendo al mínimo el impacto del tiempo de
inactividad programado y no programado, además de ofrecer una alta disponibilidad al permitir realizar
consultas ad hoc, informes, backups o actividades de prueba, al tiempo que brindan protección contra
desastres.
8. Equipo de análisis e implantación
Los miembros del equipo que han sido necesarios para la ejecución del proyecto son los siguientes:
1 Director de Proyecto
1 Jefe de Proyecto
2 Consultores
2 Analistas
MEJORAS EN EFICIENCIA
EFICIENCIA Y REDUCCIONES
REDUCCIONES DE COSTE
En la descripción de las líneas de trabajo seguidas en el proyecto se han ido enumerando los beneficios
obtenidos, así mismo se pueden resumir en las siguientes mejoras:
Mayor rendimiento con el traslado de volúmenes de trabajo imprevistos a réplicas actualizadas
de la base de datos de producción.
Ahorro de tiempo en las puestas a disposición de datos para realizar entornos de pruebas, bases
de datos de test. etc., con operaciones simplificadas y sin cambios en las aplicaciones.
Reducción del coste ya que las bases de datos auxiliares ofrecen recuperación en caso de
desastre y puede servir como base de datos de prueba, sin necesidad de almacenamiento o
servidores adicionales.
Eliminación del riesgo puesto que la replicación de informes está siempre actualizada y en línea.
Asociación @asLAN. Asociación de Proveedores de Red y Telecomunicaciones
Europa Empresarial, C/Rozabella 6 Edificio Paris, Oficina 8. 28290 Las Rozas. Madrid. Tel: +34 918315070
@asLAN_es – #PremiosAAPP - #ASLAN2016
Protección de las investigaciones judiciales en curso, lo cual previene posibles filtraciones de
datos de usuarios finales.
Ayuda a cumplir la legislación vigente de protección de datos.
CONCLUSIONES
CONCLUSIONES DE LA ENTIDAD
ENTIDAD
Se han implantado sistemas de enmascaramiento de datos, de modo que permiten generar entornos de
pruebas y desarrollo adecuadamente alterados. Entornos que van a presentar casuísticas iguales a las que
se producen en entornos productivos y no teóricas o simuladas como hasta entonces se realizaban.
Se han implementado sistemas de cifrado a nivel de disco empleando certificados digitales para los
mismos, de modo que la información en ellos depositada, aunque se logre acceder a los dispositivos
físicos, no sea explotable sin los certificados y contraseñas asignados. Ambos, certificados y contraseñas,
son custodiados por equipos distintos de la SGNTJ para que su manipulación no recaiga nunca en una sola
persona.
Se han establecido agrupaciones de usuarios con roles diferenciados, de manera que se aíslan las
funciones de administración propias de TI, de la capa de datos de negocio y de su explotación. Cada
grupo de usuarios pasa a cumplir las funciones que tiene encomendadas sin que pueda interferir en las
de otros usuarios, protegiendo a su vez los datos para que éstos solo sean visibles por las aplicaciones de
negocio o usuarios específicos autorizados para su operación/explotación.
Se activan trazas de auditoría en los conjuntos de acciones sobre la base de datos que se almacenan y
explotan desde un repositorio centralizado. Esto implica el seguimiento de aquéllas acciones permitidas
que requieren supervisión, así como de las no autorizadas.
Se ha establecido un sistema de replicación de datos de modo que se asegure la máxima continuidad del
negocio y que permita al Órgano Judicial disponer en todo momento de las distintas aplicaciones,
programas y datos. De este modo se consigue una mejora de la calidad del servicio trasladando las
actividades que acaparan muchos recursos desde una base de datos de producción hasta una o varias
bases de datos auxiliares sincronizadas. Asimismo, permite utilizar rápidas copias de seguridad
incrementales, al trasladar copias de seguridad a bases de datos auxiliares, con las ventajas añadidas de
una alta disponibilidad y protección contra desastres en caso de cortes eléctricos, previstos o imprevistos,
en el centro de producción.
A través de los servicios y productos enumerados se proporciona una mayor protección y seguridad en el
tratamiento de los datos de los ciudadanos, lo cual redunda en un beneficio para el ciudadano al saber
que sus datos solo estarán disponibles para aquéllas personas que deben de acceder a ellos y para los
Órganos Judiciales, que tendrán la seguridad que nadie no autorizado puede hacer uso de los mismos de
modo que pueda llegar a interferir investigaciones o deliberaciones.
Asociación @asLAN. Asociación de Proveedores de Red y Telecomunicaciones
Europa Empresarial, C/Rozabella 6 Edificio Paris, Oficina 8. 28290 Las Rozas. Madrid. Tel: +34 918315070
@asLAN_es – #PremiosAAPP - #ASLAN2016
Respecto a los elementos de continuidad del negocio, se despliegan productos de replicación de datos
que permiten asegurar en instalaciones secundarias en tiempo real las bases de datos, permitiendo
además (en dichas instalaciones secundarias) su explotación en modo lectura.
El proyecto expuesto ha sido tomado por Oracle como un referente, debido al éxito en el aseguramiento
de datos en sedes remotas, por ello en el último encuentro anual de seguridad, Oracle Security Day
Madrid, donde se trata la estrategia de seguridad de Oracle, de la seguridad en la Cloud y del retorno de
inversión, la SGNTJ ha sido invitada como ponente para para explicar su caso de protección de
información sensible en el proceso de transformación digital del Ministerio de Justicia.
La seguridad es un punto crítico en la estrategia digital de las empresas, por ello tiene que crear confianza
y proteger los procesos de negocio, de esta manera se ayuda a reducir las vulnerabilidades que se
producen en el uso de las tecnologías.
Asociación @asLAN. Asociación de Proveedores de Red y Telecomunicaciones
Europa Empresarial, C/Rozabella 6 Edificio Paris, Oficina 8. 28290 Las Rozas. Madrid. Tel: +34 918315070
@asLAN_es – #PremiosAAPP - #ASLAN2016
Descargar