Database Security. Protegendo Contra Mega Violações. Troy Kitch Sr. Principal Director, Security Software Oracle. Longinus Timochenco CISO SBC Brasil

Database Security Protegendo Contra Mega Violações Troy Kitch Sr. Principal Director, Security Software Oracle Longinus Timochenco CISO SBC Brasil Junho 23, 2015 Copyright 2015, Oracle and/or its affiliates. All rights reserved. Oracle Public

Safe Harbor Statement The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle s products remains at the sole discretion of Oracle. Copyright 2015, Oracle and/or its affiliates. All rights reserved. Oracle Public 3

Agenda 1 2 3 4 5 Violação e Compliance A Era da Mega Violação Proteção Centralizada vs. Proteção por Perímetro Riscos Fora, Vulnerabilidades Dentro Soluções Oracle Database Security Copyright 2015, Oracle and/or its affiliates. All rights reserved. Oracle Public 4

Dois Motivos Pelos Quais Clientes Compram Oracle Database Security Mitigar Violações de Dados Endereçar Conformidade Regulatória Copyright 2015, Oracle and/or its affiliates. All rights reserved. Oracle Public 5

A Era das Mega Violações 200M Credit Bureau Mar 14 150M + Code HiTech Oct 13 56M Retailer Sep 14 98M Retailer DEC 13 150M ecommerce May 14 76M Fin Svcs Oct 14 80M Healthcare Feb 15 Telecom OCT 13 2M SA Banks OCT 13 20M Credit Bureau 12M Telecom Jan 14 22M Education July 14 Immigration June 14.5M Credit Cards Personal Records Copyright 2015, Oracle and/or its affiliates. All rights reserved. Oracle Public 6

Vetore Típicos de Ataque Ataque SQL Injection Credenciais Roubadas Hacking Força Bruta Malware Social Attacks Command & Control Copyright 2015, Oracle and/or its affiliates. All rights reserved. Oracle Public 7

Como o Caso Sony Mudou a Segurança Copyright 2015, Oracle and/or its affiliates. All rights reserved. Oracle Oracle Public Company Confidential Shared Under Terms of OPN NDA 8

Camadas de TI mais Vulneráveis a Ataques Alocação de Recursos para Proteger a Camada de TI Database 52% Database 15% Network 34% Network 67% Application 11% Application 15% Middleware 4% Middleware 3% Source: CSO Online MarketPulse, 2013 Copyright 2015, Oracle and/or its affiliates. All rights reserved. Oracle Public 9

Os Riscos Estão Fora As Vulnerabilidades Exploradas Estão Dentro 99% 74% 60% 76% DAS VULNERABILIDADES COMPROMETIDAS 1 ANO APÓS O LANÇAMENTO DO PATCH DAS EMPRESAS LEVAM MAIS DE 3 MESES PARA APLICAR PATCHES DAS EMPRESAS AMEAÇADAS EM MINUTOS USARAM PASSWORDS FRACOS, ROUBADOS OU PERDIDOS Source: 2014 IOUG Data Security Survey; 2015, 2014 Verizon Data Breach Investigations Report Copyright 2015, Oracle and/or its affiliates. All rights reserved. Oracle Public 10

Oracle Database Controles de Segurança PREVENTIVA DETECTIVA ADMINISTRATIVA Criptografia e Redaction Monitoração da Atividade Gerenciamento de Chaves Mascaramento & Subsetting Controles Operacionais DBA Database Firewall Auditoria e Relatórios Descoberta de Privilégios e Dados Sensíveis Gerenciamento de Configuração Copyright 2015, Oracle and/or its affiliates. All rights reserved. Oracle Public 11

Controles Preventivos de Segurança Users Data Redaction ssn:xxx-xx-4321 dob:xx/xx/xxxx Applications Privileged Users Controles de BD Access denied Insufficient Privilege Key Vault Criptografia De Dados *7#$%!!@!%afb ##<>*$#@34 Subsetting De Dados Região, Ano Tamanho Dev/Test Parceiros, BI Data Masking ssn:423-55-3571 dob: 12/01/1987 Copyright 2015, Oracle and/or its affiliates. All rights reserved. Oracle Public 12

Controles Detectivos de Segurança Users Database Firewall! SYBASE Applications Alerts! Network Events Audit Data Reports Policies Audit Vault Audit Data, Event Logs Copyright 2015, Oracle and/or its affiliates. All rights reserved. Oracle Public 13

Controles Administrativos de Segurança Análise de Privilégios Scan de Configuração Busca de Dados Sensíveis Copyright 2015, Oracle and/or its affiliates. All rights reserved. Oracle Public 14 14

SPC Brasil Segurança no maior banco de dados de cartões de pagamento da América Latina Serviços Financeiros Classificação de Crédito 133M+ ciidadãos 1.2 million empresas. Maior bano de dados de crédito em LAD Dados em tempo real sobre os pagamentos de cartão de crédito e inadimplência, prospecção de negócios, análise de crédito e muito mais Desafios Proteger dados sensíveis de clientes em não-produção Reduzir a exposição de dados sensíveis a usuários não autorizados Endereçar requirementos regulatórios para acesso a dados Rastreabilidade de acesso a dados sensíveis e usuários privilegiados Solução Oracle Data Masking and Subsetting Proteger não-produção para teste e desenvolvimento Oracle Audit Vault and Database Firewall Relatórios consolidados, alertas e auditorias Monitoração e auditoria constante de sistemas Endereçar requerimentos regulatórios Copyright 2015, Oracle and/or its affiliates. All rights reserved. Oracle Public 15

Classifque Dados e Usuários ESTRATÉGIA DE SEGURANÇA DE DADOS Mapeie Controles Antecipe-se às Ameaças Copyright 2015, Oracle and/or its affiliates. All rights reserved. Oracle Public 16

Mapeie os Controles de Segurança aos Dados BRONZE Não Sensíveis Portais Internos SILVER Corporativo Interno Transações, Test/dev GOLD Regulamentado Compliance PII, PCI, PHI, SOX PLATINUM Totalmente Sensível e Restrito Resultados, Campanhas Código Fonte Copyright 2015, Oracle and/or its affiliates. All rights reserved. Oracle Public 17

Mapeie os Controles de Segurança aos Dados PLATINUM GOLD SILVER BRONZE Dados Seguros Configuração Segura Criptografar Dados Controlado Acesso Seguro Controlar operações no DB Redaction Analizar privilégios Restringir acesso DBA Bloquear tráfego não autorizado Scan e patch Criptografar Pacotes Monitorar tráfego SQL Configuração Segura Mascaramento e Subset Auditar Atividade Copyright 2015, Oracle and/or its affiliates. All rights reserved. Oracle Public 18

Em toda a Empresa CONFIGURAÇÕES PADRÃO ROADMAP Planejamento e Gerenciamento Benefícios de Mapear os Controles aos Dados Alta Segurança A Baixo Custo SEGURANÇA SIMPLIFICADA CONTROLES DE SEGURANÇA $ Alinhado com o Valor dos Dados Copyright 2015, Oracle and/or its affiliates. All rights reserved. Oracle Public 19

Bancos de Dados são o segundo alvo mais comum de ataques (Verizon DBIR 2014) 52% enxergam o BD o mais vulnerável a um ataque (CSO Online 2013) 65% dos dados no mundo residem em Banco de Dados Oracle (Oracle PR April 2012) 80% dos ataques usaram credenciais perdidas ou roubadas (Verizon DBIR 2014) PROTEGER DADOS E APLICAÇÕES DE DENTRO PARA FORA ECONOMIZA TEMPO, DINHEIRO E REDUZ O RISCO Copyright 2015, Oracle and/or its affiliates. All rights reserved. Oracle Public 20

Copyright 2015, Oracle and/or its affiliates. All rights reserved. Oracle Public 21

PUBLIC INFORMATION SABER UM POUCO MAIS SOBRE NÓS Controles Internos Longinus Timochenco CISO PUBLIC INFORMATION This document has been classified by the Information Security and access is authorized only for public use.

Agenda Negócio SPC BRASIL Estrutura Controles Internos Cenários Segurança da Informação Benefícios solução de Segurança Oracle Encerramento. Olá a todos, Eu sou o CID

Linha do Tempo SPC BRASIL 1955 1995 2000 2002 Armazenagem de informações de inadimplência em fichas de papel

Linha do Tempo SPC BRASIL 1955 1995 2000 2002 Início da discussão para a interligação das CDLs

Linha do Tempo SPC BRASIL 1955 1995 2000 2002 Bancos de dados interligados. Nasce o SPC BRASIL

Linha do Tempo SPC BRASIL 1955 1995 2000 2002 Implantação do sistema de consulta

SPC BRASIL O SPC BRASIL é Um provedor de serviços e soluções que auxiliam empresas a proteger-se de prejuízos, maximizarem seus lucros e promover ações de vendas e cobrança

MISSÃO Nossa missão é prover soluções para que as empresas associadas vendam mais e recebam, e gerar receitas novas para nossa rede de negócios, proporcionando assim o fortalecimento e a perenidade das nossas entidades. VALORES Capacidade de entrega, Simplicidade, Paixão, Criatividade, Transparência, Excelência, Capacidade de Foco, Humildade, Objetividade, Mente Visionária, Capacidade de trabalho em Grupo. VISÃO Até 2021 nós seremos o melhor bureau de crédito e informações e a maior rede de negócios do Brasil.

SPC BRASIL SPC Brasil é um bureau de crédito e informações? E o maior banco de dados da América Latina. No entanto, nós fazemos muito mais do que? Analisar crédito. Nossos serviços ajudam as empresas a facilitar novos negócios com segurança e construir a sua história. PUBLIC INFORMATION This document has been classified by the Information Security and access is authorized only for public use.

SPC BRASIL - SERVIÇOS INTEGRAR / PROCESSO DE DADOS DESENVOLVER PRODUTOS PROMOVER EDUCAÇÃO E FORMAÇÃO PROFISSIONAL PUBLIC INFORMATION This document has been classified by the Information Security and access is authorized only for public use.

CICLO DE NEGÓCIOS Temos soluções para todos os segmentos de mercado. Serviços Varejo Atacado Industria PUBLIC INFORMATION This document has been classified by the Information Security and access is authorized only for public use.

Para quem os produtos SPC são feitos? Empresas que precisam obter decisões seguras e rápidas, com base em critérios próprios, vender com segurança, aumentar o limite de crédito de seus melhores clientes e proteger-se contra inadimplência. Informação Pública: este documento foi classificado pela área de Produtos e Inteligência de Mercado e o acesso está autorizado exclusivamente para Entidades e Clientes.

SPC BRASIL em números 180 MILHÕES DE CADASTRO DE PESSOA FÍSICA. 26 MILHÕES DE CADASTRO DE PESSOA JURÍDICA. Informação Pública: este documento foi classificado pela área de Produtos e Inteligência de Mercado e o acesso está autorizado exclusivamente para Entidades e Clientes.

SPC BRASIL em números Informação Pública: este documento foi classificado pela área de Produtos e Inteligência de Mercado e o acesso está autorizado exclusivamente para Entidades e Clientes.

SPC BRASIL em números 77 % em 1 segundo 18 % em 2 segundos 5 % em 3 segundos Informação Pública: este documento foi classificado pela área de Produtos e Inteligência de Mercado e o acesso está autorizado exclusivamente para Entidades e Clientes.

Estrutura da Área Controles Internos Presidência Superintendência Geral Evitar o uso indevido da marca; Investigação de fraudes; Avaliação de Risco Corporativo. Controles Internos Coletar evidências do cumprimento de normas, legislação, etc Auditoria interna; Acompanhamento de auditoria externa. Risco & Fraude Segurança da Informação (Corporativo) Compliance Governança de Segurança da informação; Políticas / Processos / Procedimentos. INFORMAÇÃO INTERNA: este documento foi classificado pela área de Controles Internos e o acesso está autorizado exclusivamente para o SPC Brasil.

Por que Segurança da Informação? Minimizar ou evitar danos ao negócio; Maximizar retorno de Investimentos; Aumentar a competitividade e consequentemente os lucros; Atender requisitos legais; Preservar imagem da organização; Continuidade do negócio; Proteger a informação de acordo com a necessidade do negócio. INFORMAÇÃO INTERNA: este documento foi classificado pela área de Controles Internos e o acesso está autorizado exclusivamente para o SPC Brasil.

Cenário Segurança para Banco de Dados (Padrão de mercado) Segurança de Perímetro para Banco de Dados, como: Controles de Segurança Descentralizados; Autenticação de rede; Segmentação de rede; Firewall; IPS; Administração de Privilégios de contas; Logs. INFORMAÇÃO INTERNA: este documento foi classificado pela área de Controles Internos e o acesso está autorizado exclusivamente para o SPC Brasil.

$

Drivers de Negócios para Segurança de Dados Proteger dados sensíveis Real-time Gerenciar Compliance Gestão de custos Integração e Plano de crescimento INFORMAÇÃO INTERNA: este documento foi classificado pela área de Controles Internos e o acesso está autorizado exclusivamente para o SPC Brasil.

Desafios Embaralhamento dos dados com performance; Mudanças constantes de ameaças e compliance; Blindar base de dados e informações sensíveis; Gerenciar Performance em escala; Proteger aplicativos com priorização de negócio; Gestão de perfis e privilégios; Firewall dentro do banco de dados; Scan de vulnerabilidades; Monitoramento de atividades e alertas preventivos; Ambiente auditáveis. INFORMAÇÃO INTERNA: este documento foi classificado pela área de Controles Internos e o acesso está autorizado exclusivamente para o SPC Brasil.

Cenário atual Users Controle de Banco de dados Oracle e não Oracle Database Firewall Applications Auditor Reports Firewall Events Allow Log Alert Substitute Block Mask Security Manager Alerts Policies! Audit/Event Warehouse OS, Directory & Custom Audit Logs Custom Server INFORMAÇÃO INTERNA: este documento foi classificado pela área de Controles Internos e o acesso está autorizado exclusivamente para o SPC Brasil.

Benefícios - Oracle Database Security Soluções de Segurança Oracle implementadas: Mask, Audit Vault, Data Base Vault e Firewall. Principais Benefícios: Maior integração com Banco de Dados Oracle, Exadata e Exalogic; Embaralhamento do nosso ambiente de banco de dados teste e homologação; Implementação de regras local para todos usuários e administradores no banco de dados, aumentando a nossa camada de segurança e perímetro; Segurança e Conformidade; Trilha de Auditoria (rastreabilidade); Simplicidade para o ambiente e flexibilidade; Velocidade e Escalabilidade; Aumentando a confiança do ambiente internamente, clientes, parceiros e auditorias de mercado. INFORMAÇÃO INTERNA: este documento foi classificado pela área de Controles Internos e o acesso está autorizado exclusivamente para o SPC Brasil.

Dúvidas? INFORMAÇÃO INTERNA: este documento foi classificado pela área de Controles Internos e o acesso está autorizado exclusivamente para o SPC Brasil

Agradecimentos Equipes Oracle Parceiro SERVICE Equipes SPC BRASIL INFORMAÇÃO INTERNA: este documento foi classificado pela área de Controles Internos e o acesso está autorizado exclusivamente para o SPC Brasil.

A Eficiência está na Simplicidade e nem sempre na complexidade!! Obrigado! Contatos: Longinus Timochenco Chief Information Security Officer CISO Tel.: (11) 3016-0101 ramal 263 Cel.: (11) 9-6410-3465 Longinus.Timochenco@spcbrasil.org.br INFORMAÇÃO INTERNA: este documento foi classificado pela área de Controles Internos e o acesso está autorizado exclusivamente para o SPC Brasil