Firmy Oracle i KPMG opublikowały raport na temat zagrożeń w chmurze

Firmy Oracle i KPMG LLP przeprowadziły niedawno globalne badanie z udziałem 450 specjalistów ds. informatycznych. Jego wyniki dowodzą, że przedsiębiorstwa mają trudności z ochroną swoich danych przed rosnącą liczbą naruszeń bezpieczeństwa. 
Raport z badania Oracle i KPMG na temat zagrożeń w chmurze na rok 2018 dowodzi, że 90% specjalistów ds. bezpieczeństwa informacji klasyfikuje ponad połowę danych ich firm w chmurze jako dane wrażliwe. Co więcej, 97% dysponuje zdefiniowanymi regułami na potrzeby chmury, zdecydowana większość (82%) niepokoi się jednak o to, czy pracownicy ich przestrzegają.

Dla przedsiębiorstw przechowujących dane wrażliwe w chmurze kluczem do ich monitorowania i ochrony jest zoptymalizowana strategia bezpieczeństwa. 40% respondentów stwierdziło wręcz, że wykrywanie incydentów związanych z bezpieczeństwem w chmurze i reagowanie na nie należy obecnie do ich najważniejszych wyzwań w dziedzinie cyberbezpieczeństwa. W ramach starań ukierunkowanych na sprostanie temu wyzwaniu 4 na 10 firm zatrudniły wyspecjalizowanych architektów zabezpieczeń w chmurze, a 84% stawia na szerzej zakrojoną automatyzację, aby skutecznie chronić się przed wyrafinowanymi atakami. 

Inne kluczowe wnioski: 
•  Zmieniające się środowisko zagrożeń niesie ze sobą wyzwania — tylko 14% ankietowanych jest w stanie skutecznie analizować zdecydowaną większość posiadanych danych na temat zdarzeń dotyczących bezpieczeństwa oraz na nie reagować.
•  Wydatki na cyberbezpieczeństwo rosną — 89% ankietowanych szacuje, że ich przedsiębiorstwo zwiększy inwestycje w cyberbezpieczeństwo w następnym roku finansowym.
•  Niespójność reguł stosowanych w chmurze — 26% respondentów jako jedno z najważniejszych wyzwań wskazało brak spójnych reguł w infrastrukturach IT.
•  Użytkownicy mobilni oznaczają dla firm wyzwania w dziedzinie zarządzania tożsamością i dostępem — 36% ankietowanych stwierdziło, że urządzenia i aplikacje mobilne utrudniają kontrolę i monitorowanie tożsamości i dostępu.
•  Potencjalne wsparcie ze strony automatyzacji — 29% respondentów korzysta z automatycznego uczenia w ograniczonym zakresie, 18% robi to w dużym stopniu, a 24% wprowadza automatyczne uczenie do istniejących już narzędzi zabezpieczających.

Dowiedz się więcej 
Raport Oracle i KPMG na temat zagrożeń w chmurze do pobrania
Więcej informacji na temat usług Oracle Cloud Security
Więcej informacji na temat usług KPMG w zakresie cyberbezpieczeństwa

KPMG LLP, firma świadcząca usługi audytorskie, podatkowe i doradcze, jest niezależnym przedsiębiorstwem wchodzącym w skład KPMG International Cooperative. Spółki członkowskie należące do KPMG International zatrudniają 197 000 specjalistów w 154 krajach.

Cloud Access Security Broker – prezentacja na żywo

Webinarium dla partnerów Oracle, 27 kwietnia b.r.

• Twoje aplikacje oraz aplikacje Twoich klientów często działają w środowiskach chmurowych różnych dostawców. Czy jesteś pewien, że są bezpieczne?
• Czy masz wgląd w rzeczywiste oraz potencjalne zagrożenia? 
• Czy wiesz, w jaki sposób na nie reagować, zwłaszcza w kontekście wyzwań, jakie przed przedsiębiorstwami stawia rozporządzenie RODO?

Zapraszamy na seminarium internetowe, podczas którego odpowiemy między innymi na powyższe pytania prezentując usługę Oracle Cloud Access Security Broker (CASB).

Jest to narzędzie, które umożliwia:

• Zrozumienie sposobu wykorzystania chmury, zachowania użytkowników, zachodzących zdarzeń i związanych z nimi ryzyk
• Kontrolę konfiguracji usług chmurowych oraz zapewnienie zgodności z regulacjami
• Wykrywanie anomalii w zachowaniu użytkowników
• Rozpoznanie szarej strefy IT

Dowiesz się w jaki sposób możesz rozwijać tę usługę z korzyścią dla swoich klientów. Będziesz miał również możliwość zobaczyć demo i zadać pytania naszym ekspertom. Godzinne spotkanie poprowadzą: Krzysztof Grabczak oraz Marcin Kozak z Oracle Polska.

W programie:

• Zarządzanie ryzykiem przy przetwarzaniu danych w chmurze
• Propozycja Oracle - kontrola bezpieczeństwa
• Pokaz usługi Cloud Access Security Broker

Serdecznie zapraszamy!
Data: 27 kwietnia 2018 (piątek)
Czas: 10:30–11:30
RSVP: Maria Kosińska, Channel Manager
tel. +48 22 690 87 33; mobile +420 22 143 84 57; maria.kosinska@oracle.com

ZAREJESTRUJ SIĘ

Oracle uznany za lidera w raporcie Gartnera „Magiczny kwadrant dla rozwiązań do zarządzania tożsamością”

W raporcie firmy Gartner pt. „Magiczny kwadrant dla rozwiązań do zarządzania tożsamością, 2018”* Oracle został uplasowany w polu liderów. To już piąte z rzędu takie wyróżnienie, które potwierdza skuteczność i innowacyjność usług zwiększających bezpieczeństwo w chmurze, wprowadzonych w ubiegłym roku. 

„Bezpieczeństwo i tożsamość szybko stały się obszarami o bardzo newralgicznym znaczeniu. Nie może ich zignorować żadne przedsiębiorstwo, które chce odnieść sukces i zapewnić ciągłość codziennych operacji” — komentuje Eric Olden, wiceprezes Oracle, dyrektor działu bezpieczeństwa i tożsamości. „W minionym roku firma Oracle rozszerzyła funkcjonalność swoich rozwiązań, dzięki czemu zabezpieczenia Oracle coraz lepiej wspierają przedsiębiorstwa w zarządzaniu incydentami związanymi z bezpieczeństwem oraz ich analizowaniu i niwelowaniu”.

W grudniu 2017 firma Oracle przedstawiła pierwszą usługę cloud native do zarządzania tożsamością, przeznaczoną dla środowisk chmur hybrydowych. Można ją zintegrować z aplikacjami Oracle SaaS, Oracle Identity Security Operations Center (Identity SOC, obejmującą usługi Oracle Identity Cloud Service i Oracle CASB Cloud Service) oraz pakietem Oracle Management Cloud. Ponadto Oracle rozszerzył swoje funkcje zarządzania tożsamością klientów w usłudze Oracle Identity Cloud Service i umożliwił ich integrację z rozwiązaniami Oracle Marketing Cloud i Oracle Data Cloud.

Według firmy Gartner „liderzy w dziedzinie zarządzania tożsamością udostępniają kompleksowy zestaw narzędzi do administrowania tożsamością i dostępem. Należą do nich dostawcy, którzy z powodzeniem zbudowali znaczną bazę klientów, wypracowali solidny i zdecydowanie rosnący strumień przychodów, a przy tym mają wysoko ocenianą rentowność. Liderzy mają również wyraźną wizję (i zdolność do jej realizacji) w zakresie przewidywania wymagań dotyczących technologii, metodologii lub sposobów dostarczania produktów. Osiągają wysoki poziom satysfakcji klientów z ogólnych funkcji zarządzania tożsamością i/lub powiązanej obsługi i wsparcia”.

Oferowany przez Oracle zintegrowany pakiet zabezpieczeń — obejmujący usługi Oracle Identity SOC i rozwiązanie Oracle Management Cloud — pomoże przedsiębiorstwom przewidywać, ograniczać, wykrywać i usuwać cyberzagrożenia oraz rozwiązywać problemy z wydajnością aplikacji i infrastruktury. Zintegrowany pakiet Oracle wykorzystuje sztuczną inteligencję do takich celów, jak analizowanie danych telemetrycznych dotyczących bezpieczeństwa i operacji oraz automatyczne rozwiązywanie problemów. 

Informacje dodatkowe
Oracle Cloud Platform
Oracle Cloud Security
Oracle Cloud Security w serwisie Twitter oraz na Oracle Cloud Security Blog
Oracle Cloud w serwisie Facebook,  Twitter oraz na Oracle Cloud Blog
Pobierz raport Gartnera „Magiczny kwadrant dla rozwiązań do zarządzania tożsamością, 2018”

*) Gartner, “Magic Quadrant for Identity Governance and Administration”, Felix Gaehtgens, Kevin Kampman, Brian Iverson, 21 lutego 2018

Usługi publiczne w cyfrowym świecie

Oracle partnerem konferencji „Państwo 2.0”, 22-23 lutego 2018

Informatyzacja polskiego sektora publicznego to gorący temat, który od wielu lat pojawia się w artykułach, analizach i dyskusjach ekspertów. 
Zagadnienia takie, jak cyfryzacja, integracja systemów, polepszenie komunikacji z obywatelami, współpraca biznesu z administracją publiczną w obszarze wykorzystania najnowszych technologii, czy bezpieczeństwo danych osobowych, są kluczowe dla sprawnego działania urzędów w naszym kraju.

Firma IDG i redakcja Computerworld już po raz 8. organizują konferencję pod hasłem Państwo 2.0, poświęconą omawianiu powyższych problemów. Wśród partnerów tegorocznego wydarzenia jest firma Oracle Polska, której dyrektor generalny Adam Wojtkowski wygłosi referat w sesji plenarnej i weźmie udział w dyskusji panelowej. Uczestnicy konferencji będą mogli także odwiedzić stoisko Oracle, na którym eksperci Oracle będą demonstrowali najnowsze produkty i usługi Oracle dla sektora publicznego.

Tytuł wystąpienia Adama Wojtkowskiego, to "Usługi publiczne w cyfrowym świecie": „Użytkownicy przyzwyczajeni do cyfrowego świata oczekują od usług publicznych tego samego zakresu, wygody i dostępności. Z drugiej strony administracja publiczna musi sprostać regulacjom, ograniczeniom budżetowym, formalnym i wymogom bezpieczeństwa. Pokażemy jak technologie Oracle, a w szczególności rozwiązania chmurowe, mogą pomóc w rozwiązaniu tej pozornej sprzeczności.  Przedstawimy też ciekawe przykłady z Polski i ze świata.”

Patronat honorowy nad konferencją sprawują Komisja Europejska – Przedstawicielstwo w Polsce, Ministerstwo Cyfryzacji oraz Urząd Zamówień Publicznych.
Więcej szczegółów i rejestracja na stronie Konferencji

Prognozy Oracle na rok 2018 - systemy bezpieczeństwa w firmach będą w dużej mierze zautomatyzowane

Przedsiębiorstwa przywiązują coraz większą wagę do bezpieczeństwa, zwłaszcza że nowe regulacje, takie jak ogólne rozporządzenie o ochronie danych (RODO), przewidują kary za niedostosowanie się do wymagań w tym zakresie. Jednak mimo wielu podejmowanych środków firmy mają coraz większe problemy z cyberbezpieczeństwem. 

Środowiska informatyczne współczesnych przedsiębiorstw, obejmujące innowacyjne rozwiązania – takie, jak chmura, technologie mobilne, czy Internet Rzeczy, praktycznie nie mają granic. Nie można więc w nich zastosować tzw. totalnej ochrony. Działy informatyczne nie są już w stanie skutecznie chronić informacji biznesowych poprzez tworzenie „cyfrowych twierdz” i wprowadzanie ograniczeń dostępu. Dlatego firmy powinny zastosować najnowocześniejsze rozwiązania IT, które pomogą zachować bezpieczeństwo na akceptowalnym poziomie.

Na kłopoty – chmura

Ze względu na coraz bardziej złożone technologie i coraz bardziej zaawansowane taktyki hakerów starsze sieci, które były bezpieczne przez 20 lat, już takie nie są.  Francois Lancon, wiceprezes Oracle w regionie Dalekiego Wschodu, powiedział: „Gdybym dziś sprawował funkcję dyrektora ds. informatycznych, byłbym bardzo zaniepokojony stanem bezpieczeństwa środowiska informatycznego. Większość firm ma centra przetwarzania danych budowane przez ponad 20 lat z produktów 20 dostawców, które dział zaopatrzenia kupował na aukcjach po najniższych cenach”.
Firma Gartner zwraca uwagę nie tylko na problemy technologiczne. Już w 2016 roku przewidywała, że wszystkie najgroźniejsze przypadki naruszenia bezpieczeństwa danych będą powodowane przez klientów. Niedawne włamania (np. do systemu firmy Equifax) potwierdziło tę prognozę. 

Coraz więcej firm próbuje zapewnić sobie bezpieczeństwo za pomocą rozwiązań chmurowych. Jak wynika z badań przeprowadzonych przez Oracle, bardziej doświadczeni użytkownicy już wiedzą, że środowiska chmurowe są bezpieczniejsze niż lokalne.

Autonomiczne systemy obronne

Nowe technologie oparte na danych, jak Wszechobecny Internet, mogą tylko pogorszyć sytuację. Inne technologie, jak łańcuch bloków (blockchain), mogą natomiast pomóc w rozwiązaniu problemu. Do roku 2025 procesy autonomiczne staną się katalizatorem, który przyspieszy wdrażanie środowisk chmurowych w przedsiębiorstwach. 
Można przypuszczać, że systemy zabezpieczeń będą coraz częściej oparte na technologiach sztucznej inteligencji i automatycznego uczenia. Jak przewiduje Oracle, do 2025 roku 80% operacji w chmurze będzie całkowicie wolne od ryzyka dzięki szerszemu zastosowaniu inteligentnej automatyzacji na platformach chmurowych.  W wyniku zastosowania automatycznego uczenia i sztucznej inteligencji autonomiczne operacje będą z wyprzedzeniem określać wyniki, podejmować środki zaradcze i rozpoznawać ryzyko w czasie rzeczywistym.  Za największe problemy uważane są przestoje w pracy infrastruktury, zagrożenia bezpieczeństwa, luki w zabezpieczeniach i ochrona danych.

„Jeżeli chodzi o sposób zabezpieczania informacji, musimy zmienić priorytety i sposób myślenia” ― powiedział Larry Ellison na konferencji Oracle OpenWorld. „Potrzebujemy nowych systemów. Jeśli przeciwnikami komputerów będą nasi pracownicy, przegramy. Z komputerami muszą walczyć inne komputery, które nie będą się mylić”.

Trzy powody, by przenieść do chmury narzędzia do zarządzania ryzykiem i zgodnością z przepisami

Niemal 15 lat po uchwaleniu amerykańskiej ustawy Sarbanesa-Oxleya (SOX) przedsiębiorstwa nadal mają problemy ze stworzeniem mechanizmów uniemożliwiających pracownikom popełnianie oszustw.

Według raportu „Global profiles of the fraudster” („Profil korporacyjnego oszusta”) za rok 2016, opracowanego przez firmę konsultingową KPMG, wyłącznie w ubiegłym roku firmy z całego świata utraciły średnio 5% przychodów z powodu oszustw, z których 65% zostało popełnione przez pracowników, a 21% przez byłych pracowników. Zdaniem Briana Jensena, dyrektora ds. rozwiązań biznesowych w firmie KPMG, głównymi przyczynami problemów są niewystarczające mechanizmy kontrolne i wysokie koszty ich rozbudowy.
Na przykład wkrótce po wejściu w życie ustawy SOX, na zapewnienie zgodności z artykułem 404, dotyczącym wewnętrznych mechanizmów kontrolnych i procesów raportowania finansowego, przedsiębiorstwa średniej wielkości wydawały od 4,36 mln do 7,8 mln USD rocznie, a duże przedsiębiorstwa ponad 10 mln USD rocznie (według raportu „Economic Impact of SOX”).

Większość kosztów wynikała z konieczności zaprojektowania i wdrożenia nowych mechanizmów kontroli wewnętrznej i zarządzania nimi. W celu wdrożenia tych mechanizmów przedsiębiorstwa dokonały zakupu nowych pakietów oprogramowania wspomagającego nadzór, zarządzanie ryzykiem i zarządzanie zgodnością z przepisami (ang. governance, risk and compliance — GRC). Jednak to nie cena oprogramowania okazała się źródłem największych kosztów. Skonfigurowanie narzędzi GRC było bardzo pracochłonne, ponieważ takie funkcje trzeba było wbudować w lokalne aplikacje ERP. Wprowadzanie nowych mechanizmów kontrolnych do dotychczasowych złożonych procesów biznesowych wymaga rozbudowanej analizy, testów kontrolnych i przeglądów, aby zapewnić dostęp do systemów finansowych firmy odpowiednim osobom i we właściwy sposób określić zakres możliwych działań podejmowanych po uzyskaniu przez nie informacji.
Ponadto przedsiębiorstwa stawały przed koniecznością zakupu sprzętu i innych elementów infrastruktury niezbędnych do obsługi narzędzi GRC, czyli m.in. serwerów i miejsca w centrach przetwarzania danych.

„Przedsiębiorstwa do tej pory tak naprawdę nie zajmowały się zarządzaniem ryzykiem. Zarządzały serwerami obsługującymi rozwiązania GRC” — powiedział Brian Jensen. „Poświęcały czas na ich instalowanie i konfigurowanie, a także wprowadzanie uaktualnień i poprawek, a w końcu wymianę, mniej więcej raz na trzy, cztery lata”. Większość ról i mechanizmów kontrolnych wprowadzonych pierwotnie w przedsiębiorstwie nie była aktualizowana przez wiele lat. Corey West, główny księgowy firmy Oracle, powiedział: „Osiągnęliśmy punkt krytyczny. Najwyższy czas, by dokonać inwentaryzacji wszystkich dostępnych mechanizmów kontroli finansowej, a następnie je zaktualizować”. 
I teraz pojawia się pytanie: czy firmy powinny zaktualizować mechanizmy GRC w ramach lokalnych aplikacji ERP, czy przenieść te narzędzia do chmury? Aby pomóc klientom w podjęciu tej decyzji, prezentujemy trzy argumenty przemawiające za tym drugim rozwiązaniem. 

1. Większa automatyzacja
Projektowanie, odwzorowywanie i testowanie mechanizmów kontroli ryzyka jest bardzo pracochłonne — wymaga szczegółowego przeglądania zawartości różnych arkuszy kalkulacyjnych i dostępu do danych z wielu lat. Dlatego większość przedsiębiorstw czyni niezbędne kroki umożliwiające zachowanie zgodności z przepisami, ale niechętnie zajmuje się zmianą istniejących mechanizmów kontrolnych w celu dostosowania ich do wewnętrznych procedur i struktury organizacyjnej. Rozwiązanie chmurowe ma większość powyższych procesów już skonfigurowanych.

2. Niższe koszty infrastruktury, konserwacji i pracy
Oprócz serwerów, oprogramowania i przestrzeni w ośrodku obliczeniowym, niezbędnych do działania narzędzi GRC, największym źródłem kosztów są pracownicy niezbędni do obsługi takiej infrastruktury. Według firmy analitycznej SMB Group aż 50% kosztów obsługi oprogramowania ERP działającego w siedzibie przedsiębiorstwa to wynagrodzenie dla personelu informatycznego. W przypadku środowiska przetwarzania w chmurze wskaźnik ten może osiągnąć wartość 1%, a nawet mniej.

3. Skuteczniejsze mechanizmy kontroli
Ponieważ większość narzędzi do zarządzania ryzykiem znajduje się w arkuszach kalkulacyjnych zarządzanych przez wielu właścicieli z różnych działów przedsiębiorstwa, wszystkie pliki tego rodzaju muszą zostać zaktualizowane i skonsolidowane przed ich udostępnieniem kierownictwu do przeglądu. Wykonanie tego procesu może zająć wiele tygodni, dlatego firmy często rezygnują z przewidywania ryzyka i po prostu reagują na konkretne zdarzenia. Natomiast działające w chmurze narzędzia GRC są regularnie aktualizowane i zawierają najnowsze funkcje, dzięki czemu pozwalają firmom szybko identyfikować czynniki ryzyka i podejmować działania naprawcze jeszcze przed wystąpieniem problemów.

Autorką artykułu jest Sasha Banks-Louie z Oracle
Ilustracja: iStockphoto

Przeczytaj artykuł na Forbes Brand Voice
Udostępnij na LinkedIn

Oracle wprowadza nowe funkcje do pakietu Oracle Identity SOC

Oracle poinformował o rozszerzeniu swojej oferty rozwiązań zabezpieczających Oracle Identity Security Operations Center (SOC) - została ona wzbogacona o nowe funkcje, które ułatwią przedsiębiorstwom bezpieczne certyfikowanie tożsamości użytkowników, aplikacji i danych poufnych oraz zarządzanie nimi, jak również zapewnienie użytkownikom szerszego zakresu funkcji dostosowanych do potrzeb klientów. 

Podczas konferencji Oracle OpenWorld 2017 firma Oracle po raz pierwszy przedstawiła swój nowy zestaw zintegrowanych pakietów, obejmujący usługi Oracle Identity SOC i narzędzia Oracle Management Cloud. Zintegrowany pakiet Oracle wykorzystuje sztuczną inteligencję do takich celów, jak analizowanie danych telemetrycznych dotyczących bezpieczeństwa i operacji oraz automatyczne rozwiązywanie problemów. 

Pierwsza oferta cloud native do zarządzania tożsamością
Oracle przedstawił pierwszą usługę chmurową do zarządzania tożsamością, przeznaczoną dla środowisk chmur hybrydowych. Będzie ją można całkowicie i bezpośrednio zintegrować z aplikacjami Oracle SaaS, usługami Oracle Identity SOC (Oracle Identity Cloud Service, Oracle CASB Cloud Service) oraz rozwiązaniem Oracle Management Cloud. Taka kombinacja umożliwia wykorzystanie inteligentnych funkcji automatycznego uczenia oraz kanałów informacyjnych, za pośrednictwem których z usługi Oracle CASB Cloud Service przekazywane są dane dotyczące ryzyka związanego z używaniem aplikacji w chmurze. 

Pierwsze w branży rozwiązanie do zarządzania konfiguracją oparte na automatycznym uczeniu 
Firma Oracle wprowadziła również w usłudze Oracle Configuration and Compliance Cloud Service nową funkcję, która automatycznie wykrywa ustawienia konfiguracyjne w systemie przedsiębiorstwa w czasie rzeczywistym. Za pomocą automatycznego uczenia znajduje ustawienia odbiegające od normy, co umożliwia ich szybkie korygowanie. Oracle rozszerzył także funkcje analizy zachowań użytkowników i firm (user and entity behavior analytics ― UEBA) w całej ofercie. W szczególności usługa Oracle Security Monitoring and Analytics (SMA) Cloud Service wprowadza wzorce dostępu do danych na poziomie SQL, a następnie wykrywa anomalie w zachowaniach użytkownika, bazy danych lub aplikacji.

Rozszerzone zarządzanie tożsamością klientów 
Przedsiębiorstwa potrzebują rozwiązań do synchronizowania danych dotyczących klientów z informacjami marketingowymi. Mając to na uwadze, firma Oracle rozszerzyła swoje funkcje zarządzania tożsamością w usłudze Oracle Identity Cloud Service oraz umożliwiła ich integrację z rozwiązaniami Oracle Marketing Cloud i Oracle Data Cloud. Wraz z tymi rozwiązaniami przedsiębiorstwo może wykorzystywać wbudowane atrybuty usług Oracle Identity Cloud Service, które usprawniają zarządzanie zgodami klientów, profilami na portalach społecznościowych, preferencjami i działaniami. 

Informacje dodatkowe
•  Oracle Cloud Platform
•  Oracle Cloud Security
•  Oracle Cloud Marketplace
•  Oracle Cloud Security na blogu Oracle Cloud Security

Bezpieczeństwo w chmurze: odejście od modelu wspólnej odpowiedzialności jest groźne

Alexandra Anghel, Social Media Coordinator - Oracle EMEA Marketing

Wybierając usługę chmury lub oceniając jej dostawcę, firmy poświęcają mnóstwo czasu i zasobów na sprawdzenie funkcji, możliwości, infrastruktury i umów SLA. Ostatecznie przejście do modelu cloud computing jest poważną decyzją, oznaczającą rezygnację ze stosowanych od dawna praktyk i zaangażowanie w nowe modele biznesowe.

Więc dlaczego tak wiele firm przeocza jeden istotny element jeśli chodzi o bezpieczeństwo - wspólny model odpowiedzialności?
Prosimy dobrze nas zrozumieć. Nie twierdzimy, że firmy lekceważą kwestię bezpieczeństwa jako takiego. Uważamy jednak, że wiele z nich wpada w pułapkę podejścia „uruchom i zapomnij”. To oznacza, że po skonfigurowaniu usługi zgodnie z rozsądnymi wytycznymi dotyczącymi bezpieczeństwa, ustawieniu praw dostępu i uprawnień administratora oraz wyszkoleniu personelu pod kątem wymogów bezpieczeństwa (np. ochrona poświadczeń tożsamości), niektóre firmy już niezbyt dbają o ich aktualność. 

Jednak te same firmy podpisują umowy o usługi z klauzulami bezpieczeństwa zgodnymi z modelem wspólnej odpowiedzialności, według którego usługodawca odpowiada za utrzymywanie bezpiecznej i stale dostępnej usługi, a operator musi dbać o bezpieczeństwo jej użytkowania. Nie sugerujemy, że firmy rozmyślnie lekceważą postanowienia umowy, jednak w rzeczywistości (w świecie, w którym błądzić jest rzeczą ludzką) firmy z czasem oddalają się od początkowo dobrze zdefiniowanych ustawień i parametrów, ponieważ zarówno one, jak i ich pracownicy z biegiem czasu ulegają zmianom — albo dlatego, że po prostu nie mają odpowiednich zasobów. Szukanie powodów zmian w konfiguracji wprowadzonych 6 miesięcy wcześniej przez administratora, który już nie pracuje w firmie, wymaga czasu i nakładu pracy. Dlatego wielu administratorów IT po prostu działa zgodnie z zasadą „lepiej nie naprawiać czegoś, co nie jest zepsute” i tylko reaguje na ewentualne problemy. Do reakcji może skłonić na przykład nocny telefon od dyrektora, który właśnie zauważył, że nie ma już dostępu do ważnych danych potrzebnych na poranne zebranie zarządu.

Ale w takiej sytuacji złość zarządu może być najmniejszym problemem. Takie odejścia od konfiguracji mogą zwiększać podatność firmy na atak. I narażać ją na poważne straty finansowe. Załóżmy, że niezadowolony pracownik fabryki przed odejściem z pracy zarejestrował firmę w dziesiątkach usług chmurowych, co odkryto dopiero wtedy, gdy do księgowości dotarły faktury na wysoką kwotę. Albo że dostawca hostingu danych padł ofiarą phishingu, co poskutkowało uzyskaniem przez hakera uprzywilejowanego dostępu do systemów dostawcy, żądaniem okupu, atakiem DDoS i ostatecznie upadkiem firmy. Katastrofa!

Jak temu zaradzić? Rozwijające się firmy często nie mają zasobów, aby sprostać wymogom wspólnej odpowiedzialności. No i czyż nie po to m.in. przechodzi się do chmury, aby firma nie musiała dopełniać tego rodzaju obowiązków? Rozwiązaniem może być automatyzacja zabezpieczeń w chmurze. Te funkcje pozwalają eliminować luki w stosowanych dotąd środkach bezpieczeństwa. Mogą ostrzegać o krytycznych zmianach w konfiguracji, ujawnionych poświadczeniach lub ryzykownych bądź odbiegających od normy zachowaniach, które są oznaką ataku.

Gdyby we wspomnianej fabryce lub u dostawcy hostingu były wdrożone jakiegoś typu zautomatyzowane zabezpieczenia chmury, to opisanych katastrofalnych skutków zapewne można by uniknąć. Rozwijające się firmy mają już dość stawiania czoła wyzwaniom, które nadmiernie obciążają ich ograniczone zasoby. Bezpieczeństwo w chmurze nie powinno do nich należeć.

Weź udział w naszym webinarium „Jak zapewnić bezpieczeństwo danych w organizacji?”.
Zarejestruj się TUTAJ

Zgodność z GDPR – przyspieszajmy!

Omówienie wyzwań, przed którymi staje dzisiaj biznes w związku z regulacjami GDPR/RODO, to główny temat seminarium zorganizowanego przez Oracle pod hasłem „Zgodność z GDPR – przyspieszajmy!”. Spotkanie zgromadziło blisko 80 przedstawicieli dużych firm – menedżerów z działów IT i bezpieczeństwa oraz liderów projektów RODO w tych organizacjach.

Zaproszeni prelegenci zarówno w swoich referatach, jak i podczas dyskusji zgodzili się, że GDPR ma ogromny wpływ na biznes. Zwracali przy tym uwagę na fakt, że bardzo trudno jest oszacować skalę tych wyzwań, do tego nadal istnieje wiele niejasności i problemów interpretacyjnych, które sprawiają, że pomimo wysiłków nie ma pewności, czy uda się spełnić wymogi rozporządzenia.

„GDPR to o wiele większe przedsięwzięcie, niż początkowo myśleliśmy. W większości realizowanych projektów jesteśmy na etapie rekomendacji lub ewentualnie na etapie analizy. Nie dotykamy jeszcze bezpośrednio systemów, a to właśnie w tym obszarze można spodziewać się największych trudności” – stwierdził w swojej prezentacji mecenas Marcin Maruta z Kancelarii Prawnej Maruta Wachta. 

Na dodatkowe wyzwania dotyczące specjalistów w zakresie ochrony informacji i danych osobowych zwracał uwagę dr Maciej Kawecki, zastępca dyrektora Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji i zarazem koordynator krajowej reformy ochrony danych osobowych. „Kończy się era prawników i informatyków specjalizujących się w ochronie danych osobowych i bezpieczeństwie informacji. Zaczyna się era ludzi, którzy łączą analitykę i prawo oraz prawo i aspekty techniczne. Obecnie prawnikom potrzebne są większe umiejętności analityczne, a analityków warto wysyłać na szkolenia z zakresu prawa. Podobnie ma się sprawa w przypadku informatyków, którym przydałyby się zarówno większe umiejętności analityczne, jak i wiedza prawna” – powiedział dr Maciej Kawecki.

Ze strony Oracle jako pierwszy wystąpił Adam Wojtkowski, Dyrektor Generalny Oracle Polska, który zachęcał, aby w kontekście GDPR brać pod uwagę rozwiązania chmurowe. Zwłaszcza że oferta Oracle wzbogacona została o mechanizmy uczenia maszynowego i sztucznej inteligencji, które automatycznie na bieżąco analizują zagrożenia i podejmują odpowiednie działania zapobiegawcze.

Adam Wojtkowski, Dyrektor Generalny Oracle Polska

„W wielu firmach nadal brakuje podstawowych zabezpieczeń albo popełniane są proste błędy. Wynika to z faktu, iż tempo zachodzących zmian jest tak duże, że pojedyncze osoby nie są w stanie za nimi nadążyć. Trudno zapewnić zgodność z GDPR, jeśli podstawowe zasady bezpieczeństwa nie są stosowane. Dlatego właśnie warto współpracować z wyspecjalizowaną organizacją. Wszystko, co poprawia bezpieczeństwo, usprawnia IT, przynosi korzyści także w kontekście GDPR” – przekonywał Alessandro Vallega, Business Development GDPR w Oracle EMEA.

Z kolei Krzysztof Grabczak, Enterprise Security and Identity Governance Sales Director w Oracle, zachęcał podczas dyskusji panelowej do wykorzystania narzędzi informatycznych w procesach inwentaryzacji zasobów, systemów i procesów. Ułatwiają one bowiem zdobycie wiedzy o tym, gdzie znajdują się dane osobowe. Zwrócił też uwagę na fakt, że znacznie przyspieszenie projektów GDPR można uzyskać dzięki automatyzacji i wsparciu narzędziowym, zapewnianym przez nowoczesne IT.

Jednym z tematów seminarium była prezentacja konkretnych projektów GDPR prowadzonych przez dział Oracle Security Solutions. Jako przykład przedstawiono wdrożenie w trzeciej największej na rynku włoskiej grupie bankowej UBI Banca. Poza usługami doradczymi i technicznymi Oracle przygotował tam narzędzia, które ułatwiają obsługę danych podczas całego cyklu ich użytkowania, m.in. wyszukiwanie danych osobowych w systemach IT. 

Więcej na temat rozwiązań Oracle dla GDPR można znaleźć na stronie Oracle Security Solutions

Udostępnij na LinkedIn

Droga do wdrożenia GDPR/RODO

Seminarium Oracle Security Solutions, 18 października, Warszawa

Nie ma chyba już menedżera odpowiedzialnego za bezpieczeństwo, technologie, regulacje czy ryzyko, który nie słyszałby o GDPR. Praktyka uczy, że wdrożenie nowych regulacji jest nietrywialnym wyzwaniem. Żaden system nie załatwi w pełni sprawy zgodności z GDPR, ale odpowiednie narzędzia i metody postępowania mogą wiele pomóc.

Zapraszamy do udziału w spotkaniu, w trakcie którego pokażemy dotychczasowe doświadczenia, ocenimy aktualny stan prac regulacyjnych oraz zademonstrujemy, w jaki sposób przy ustanowieniu odpowiednich punktów kontrolnych można lepiej zarządzać ryzykami i obszarem compliance.

Wybrane tematy spotkania

• Aktualny stan prac nad polskimi rozwiązaniami prawnymi implementującymi GDRP na krajowym gruncie prawnym (RODO)
• Ważne punkty kontrolne dla oceny bezpieczeństwa w kontekście regulacji GDPR
• Doświadczenia z obecnie prowadzonych projektów w zakresie nowych rozwiązań ochrony danych osobowych
• Potencjalne ryzyka i zarządzanie nimi w kontekście regulacji i przetwarzania danych
• Narzędzia zarządzania zagrożeniami, bezpieczeństwem danych i systemów w środowiskach chmur hybrydowych

Seminarium jest sprofilowane pod potrzeby i profil zainteresowań menedżerów bezpieczeństwa, compliance i liderów projektów RODO. 
Gościem specjalnym spotkania będzie dr Maciej Kawecki, Zastępca Dyrektora Departamentu Zarządzania Danymi i Koordynator krajowej reformy ochrony danych osobowych w Ministerstwie Cyfryzacji.

ZAREJESTRUJ SIĘ

Nowości w Oracle CASB CS

Witold Świerzy

W marcu b.r. zainaugurowaliśmy na łamach naszego bloga cykl artykułów związanych z bezpieczeństwem w chmurach obliczeniowych (czytaj TUTAJ). Rozpoczęliśmy od omówienia dość nowego systemu w naszej chmurowej ofercie, a mianowicie – Oracle CASB (Cloud Access Security Broker). Dzisiaj z przyjemnością możemy zakomunikować, że system ten zebrał doskonałe opinie u naszych klientów, którzy - dzięki jego spójności oraz dużej łatwości wdrożenia i uruchomienia - są tym rozwiązaniem ogromnie zainteresowani. Po drugie, pojawiło się w tym środowisku wiele nowości, które dzisiaj prezentujemy. 

1. CASB dla Oracle SaaS
Oracle CASB CS od samego początku silnie wspierał warstwę SaaS. Warto tu choćby wspomnieć wsparcie dla MS Office 365 czy Salesforce. Brakowało jednakże obsługi macierzystych produktów tej warstwy chmury. Oracle postanowił to nadrobić, przygotowując wsparcie dla takich aplikacji SaaS, jak: HCM, ERP, CX, czy Sales. Warto przy tym wspomnieć, że mówimy tutaj o pełnej współpracy - takiej, jakiej należałoby oczekiwać od produktów tej samej firmy. Do dyspozycji użytkownika będzie nie tylko możliwość prostej rejestracji instancji danej aplikacji, ale także bogaty zestaw predefiniowanych polis, indykatorów oraz zdarzeń, które można obserwować. 

2. CASB for Data Protection
Aktywna ochrona dla danych i aplikacji w chmurze obliczeniowej obejmować będzie na początek takie środowiska, jak Box, Salesforce i MS Office 365. Oczywiście zakres tej ochrony zależy od charakteru środowiska – inaczej będzie to wyglądało dla Box-a, zorientowanego na składowanie danych i plików, inaczej dla MS Office 365, które jest środowiskiem pracy biurowej. Funkcjonalność modułu możemy podzielić na trzy kategorie:

• Ochrona w Czasie Rzeczywistym (Real-time protection) – obejmować będzie - w zależności od rodzaju i funkcjonalności chronionego środowiska - dodatkową ochronę przed niepożądanym współdzieleniem danych/plików, dynamiczną kontrolę dostępu uwzględniającą dane o lokalizacji użytkownika i poziomie ryzyka oraz możliwość zlokalizowania wszystkich danych/plików w oparciu o alerty naruszenia polis związanych z ich współdzieleniem;
• DLP - Data Leak Protection (Ochrona przed wyciekiem danych) – obejmować będzie m.in. możliwość definiowania reguł dotyczących blokowania załadunku bądź dzielenia niepożądanej zawartości, opcje kwarantanny i zarządzania incydentami wychwytywanymi przez system predefiniowanych polis;
• Anti-Malware – funkcja obejmująca m. in. ochronę przed załadunkiem zainfekowanych danych/plików oraz możliwość weryfikacji istniejących repozytoriów.

Wraz z ukazywaniem się omawianych nowości na rynku, będziemy informowali o ich oficjalnych cenach. Pamiętać należy ponadto, że artykuł niniejszy stanowi jedynie dość powierzchowne omówienie tych nowości, które już niebawem staną się dostępne dla naszych klientów. Nie wyczerpuje w żadnym wypadku listy planowanych nowych „ficzerów”. Plany bowiem mamy względem CASB CS obszerne i dalekosiężne – pokładamy w tym środowisku naprawdę duże nadzieje, gdyż łączy ono łatwość obsługi z elastycznością i dużymi możliwościami. Prosimy śledzić naszego Bloga!

Autor artykułu jest ekspertem Presales PaaS w Oracle Polska

Dowiedz się więcej
Strona produktu CASB CS
Aktualna lista możliwości systemu

Udostępnij na LinkedIn

Rozszerzenia usług zabezpieczeń w chmurze Oracle

Kontynuując rozwój pakietu usług chmurowych Oracle Identity Security Operation Center (SOC) Oracle wprowadza do niego szereg udoskonaleń w obszarach automatycznego uczenia, sztucznej inteligencji oraz technologii kontekstowych. 
Udoskonalenia te obejmują:
·  rozszerzenie usługi Oracle Identity Cloud Service o nowe możliwości dostępu adaptacyjnego zapewniające dynamiczną kontrolę dostępu do aplikacji,
·  zaawansowane monitorowanie ryzyka w oparciu o mechanizmy automatycznego uczenia,
·  rozszerzenia usługi Oracle CASB Cloud Service ułatwiające automatyczne wykrywanie zagrożeń w aplikacjach Oracle SaaS.

W odpowiedzi na coraz częstsze oraz coraz poważniejsze ataki na dane uwierzytelniające użytkowników, Oracle rozszerza usługę Oracle Identity Cloud Service o nowe możliwości, które wprowadzają bardziej zaawansowane podejście do kontroli dostępu. Dostęp adaptacyjny polega na uwzględnianiu dynamicznego kontekstu, co pozwala na zastosowanie środków kontroli dostępu odpowiednich dla danego poziomu ryzyka. Intuicyjne administrowanie regułami oraz zestandaryzowana integracja z komponentami Oracle Identity SOC sprawiają, że Oracle Identity Cloud Service sprawdza się doskonale w roli pakietu do dynamicznego zarządzania ryzykiem związanym z dostępem.

Ponadto Oracle CASB Cloud Service wykorzystuje techniki automatycznego uczenia do zaawansowanego wykrywania zagrożeń. Wbudowany mechanizm analizy zachowań użytkowników automatycznie wyznacza dla każdego użytkownika i dla każdej usługi chmurowej (np. Microsoft Office 365, czy Box) specyficzne historyczne poziomy odniesienia, z którymi stale porównywane są bieżące działania, co pozwala na lepsze wykrywanie anomalii i ryzykownych zachowań. W przypadku wykrycia odchyleń Oracle CASB Cloud Service koordynuje reakcję na incydent przy użyciu różnych opcji – np. może wywołać zewnętrzny system zarządzania zgłoszeniami i incydentami bądź zastosować rodzime zautomatyzowane procedury zaradcze.

Oracle CASB Cloud Service jest jak dotąd jedynym rozwiązaniem CASB, które zapewnia monitoring bezpieczeństwa i wykrywanie zagrożeń aplikacji Oracle SaaS, takich jak Oracle HCM Cloud, Oracle ERP Cloud czy Oracle CX Cloud Suite. Dzięki temu rozwiązaniu klienci mogą wykorzystać technologię automatycznego uczenia do jeszcze efektywniejszego monitorowania pod kątem ryzykownych zachowań użytkowników i potencjalnych ataków na konto lub dane uwierzytelniające, a także do sprawniejszego udostępniania bezpiecznej konfiguracji dla środowisk SaaS.

Więcej o Oracle Identity SOC 
Oracle Identity SOC to zintegrowana oferta obejmująca usługi Oracle CASB Cloud Service, Oracle Identity Cloud Service, Oracle Security and Monitoring Analytics Cloud Service oraz Oracle Configuration and Compliance Cloud Service. Usługi te zapewniają dwukierunkową kontrolę, obsługę szerokiego zakresu funkcji telemetrycznych (uwzględniających kontekst tożsamości), pozyskiwanie informacji przydatnych w działaniu oraz automatyczne reagowanie oparte na automatycznym uczeniu i zaawansowanych analizach. Więcej informacji na ten temat można znaleźć pod adresem www.oracle.com/security.

Udostępnij na LinkedIn

Tożsamość w Chmurze – na co możemy liczyć i co jest ważne

Marcin Kozak, Software Architect w dziedzinie Security, Oracle Polska

W otoczeniu zmieniających się regulacji, a w szczególności w przededniu fundamentalnej zmiany ustawy o ochronie danych osobowych, warto raz jeszcze spojrzeć na przetwarzane informacje zastanawiając się, czy chronimy je adekwatnie do ich wartości i jakie będą konsekwencje, jeśli zagrożenie się zmaterializuje. 

Warto pomyśleć o przetwarzanej informacji w kontekście jej cyklu życia, tj. jak dostaje się do naszego systemu, jak jest przetwarzana, przez kogo, i jak nasz system opuszcza. Taki sposób myślenia wskazuje, że istnieje wiele warstw wymagających dobrego przemyślenia. Myśląc o informacji w aspekcie jej utraty łatwiej nam będzie właściwie ocenić jej wartość, a co za tym idzie zastosować właściwe mechanizmy kontrolne, minimalizujące ryzyko związane ze zmaterializowaniem się określonego zagrożenia w którymkolwiek z obszarów przetwarzania. 

Jednym z istotniejszych elementów tej układanki jest weryfikacja tożsamości wszystkich, którzy korzystają z naszych usług oraz przydział właściwych dostępów (uprawnień), tak abyśmy mieli pewność, że obiekt jest uprawniony do wykorzystania tylko tych serwisów, do których faktycznie dostęp powinien posiadać. Takim obiektem, który podlega weryfikacji, może być użytkownik, a może być to także inny serwis. 

Weryfikacja tożsamości odbywa się w procesie uwierzytelniania, a weryfikacja uprawnień w procesie autoryzacji. Proces uwierzytelniania może być bardziej złożony niż tylko podanie prostego loginu i hasła. Możliwe są do zastosowania inne poświadczenia, np. biometryka, tokeny czy inne elementy związane z tym, czym jest obiekt, lub co posiada. Oczywiście proces może być bardziej zaawansowany, tj. wymagający wielostopniowego poświadczenia tożsamości. Różne typy silnego uwierzytelniania powodują minimalizację ryzyka w zakresie utraty poufności czy integralności informacji. Im bardziej złożone mechanizmy, tym ta pewność wyższa. Racjonalizm podpowiada nam jednak, że należy znaleźć zdrowy balans między tą pewnością, a złożonością, jaką przyjdzie nam zapłacić za realizację takiego mechanizmu. Nie od dzisiaj wiadomo, że złożoność ta może być odczuwalna przez użytkownika, jako element uprzykrzający działania biznesowe. Rozsądny kompromis jest zatem niezbędny.

Bezpieczeństwo informacji w Chmurze

Wszystkie te aspekty są dosyć proste do zrealizowania w środowisku, które dobrze kontrolujemy. W środowisku ‘on-premise’, czyli takim, które działa w naszej dobrze kontrolowalnej lokalizacji. Po prostu wszystko mamy ‘u siebie’. Co jednak, jeśli wykorzystujemy rozwiązania poza naszą strefą komfortu, korzystając z wielu już dzisiaj chmurowych możliwości? Jak przetwarzać informacje w takim modelu? Tutaj, podobnie jak w przypadku ‘on-premise’, elementy bezpieczeństwa informacji wymagają szczegółowej analizy.

W przypadku rozwiązań chmurowych warto zacząć od fundamentalnego elementu: Ustalenia, kto może korzystać z serwisu i do czego może mieć dostęp. Identyfikując użytkownika, idealnie byłoby, gdyby do tego celu można wykorzystać jakiegoś zaufanego Partnera Biznesowego, który potwierdzi tożsamość użytkownika i nie będzie konieczności zastanawiania się, czy faktycznie użytkownik jest tym, za kogo się podaje. Inną możliwością jest wykorzystanie własnych zasobów wiedzy, o ile takimi dysponujemy. Jeśli posiadamy repozytorium z profilem użytkownika, to swobodnie można z niego skorzystać. Sytuacja nieco się komplikuje, jeśli sprawa dotyczy nie tylko użytkowników wewnętrznych, których zazwyczaj dobrze znamy, ale użytkownika zewnętrznego, którego znamy mniej, a czasami w ogóle. Dodatkowym problemem jest kwestia skali - zwłaszcza, gdy trudno określić, jaka liczba z grupy kilkudziesięciu milionów potencjalnych użytkowników faktycznie skorzysta z naszych usług. Do tych aspektów dochodzi zagadnienie przydziału właściwych dostępów, czyli umożliwienie korzystania z usług. 

Tylko z tych rozważań widać, że temat nie jest prosty i najlepiej byłoby posiadać otwartą platformę pozwalającą na praktyczną realizację takich działań. Istnieje wiele sposobów na realizację tego typu platform bezpieczeństwa. Jednym z serwisów dostarczających te funkcjonalności jest Oracle Identity Cloud Service (IDCS) - pozwala on zarówno na potwierdzenie tożsamości gromadzonej w chmurze, jak i pełną integrację z repozytorium u klienta (na ilustracji pokazujemy typowy ekran Oracle IDCS).

W pierwszej roli serwis jest dostawcą tożsamości (tzw. identity provider), a w drugiej pośredniczy w tym procesie (tzw. identity bridge). Niezależnie od roli, serwis może być doskonałym rozwiązaniem dla wszelkich systemów i aplikacji chmurowych, stanowiąc dla nich pojedyncze źródło tożsamości, wykorzystywane przez wszystkich odbiorców. 

Oracle Identity Cloud Service posiada kilka bardzo istotnych cech, charakterystycznych dla tego typu serwisów:
•  Wsparcie dla standardowych protokołów OAuth, OpenID Connect, SAML, wykorzystywanych w procesie uwierzytelniania i autoryzacji,
•  Obsługę wielu dostawców tożsamości (tzw. identity provider),
•  Realizacja procesu silnego uwierzytelniania (tzw. MFA),
•  Realizacja procesu SSO dla usług w chmurze,
•  Realizacja procesu autoryzacji dla usług w chmurze.

O praktycznej implementacji poszczególnych funkcjonalności opowiemy w kolejnych artykułach z tej serii. 

C.D.N.

Udostępnij na LinkedIn

Dowiedz się więcej
Oracle Identity Cloud Service
Oracle Identity Cloud
Broszura na temat Oracle IDCS

Nowości Oracle Management Cloud w sferze bezpieczeństwa

Witold Świerzy, PaaS Expert Presales, Oracle Polska

Niniejszy artykuł jest kolejnym odcinkiem cyklu, który przybliża czytelnikowi kwestie związane z bezpieczeństwem usług Chmury Oracle (część pierwszą można przeczytać TUTAJ). Dziś przedstawiamy usługi Compliance Cloud Service oraz Security Monitoring and Analytics.

Poprzednim razem zajmowaliśmy się zagadnieniami monitorowania bezpieczeństwa na poziomie dostawcy chmury. Aby nasze systemy nadzorcze były kompletne i spójne, potrzebny jest jeszcze zestaw narzędzi nadzorujących pracę samych usług/wirtualnych maszyn.
Oracle w swojej ofercie chmurowej posiada system umożliwiający dogłębny monitoring poszczególnych wirtualnych maszyn i „tego co w nich”. Jest to, rzecz jasna, Oracle Management Cloud.

OMC do tej pory rozpatrywany był główne w kontekście strojenia wydajności i rozwiązywania problemów z nią związanych - zaszyte w nim algorytmy pozwalają na łatwą diagnostykę problemu nawet w bardzo złożonych systemach. Z drugiej strony, dzięki tym właśnie mechanizmom i umiejętności posługiwania się zdywersyfikowanymi źródłami danych zewnętrznych, można sobie wyobrazić OMC jako idealny wręcz system nadzorujący bezpieczeństwo tych usług. Compliance Cloud Service i Security Monitoring and Analytics są dwiema nowymi usługami w naszej ofercie umożliwiającymi takie właśnie wykorzystanie Oracle Management Cloud.

Compliance Cloud Service dostarcza możliwości oszacowania zgodności nadzorowanego systemu z istniejącymi standardami i polisami, jego podatności na zarządzanie konfiguracją. CCS umożliwia nadzór zarówno nad systemami umieszczonymi w chmurze, jak i rozwiązaniami tradycyjnymi „on-premise”. CCS, co ważne, ewoluuje wraz z nadzorowanymi systemami: testy ewaluacyjne przeprowadzane są wielokrotnie, w przypadku wykrycia nowych odstępstw od przyjętych standardów administratorzy informowani są bezzwłocznie. System akceptuje bogaty zestaw różnych kategorii informacji o przyjętych standardach/polisach: STIGs (Security Technical Implementation Guides), informacje dot. bezpieczeństwa systemów operacyjnych, zestaw „best practices” oferowanych przez dostawców rozwiązań chmurowych etc. Wyniki badania mogą stanowić źródło danych wejściowych do analiz dla następnej nowości omawianej w tym artykule – Security Monitoring and Analytics (SMA).

Security Monitoring and Analytics jest narzędziem analitycznym zorientowanym na problemy związane z bezpieczeństwem. Jak i pozostałe narzędzia zgrupowane w OMC, SMA może posługiwać się danymi generowanymi przez bardzo różnorodne systemy: usługi katalogowe, serwery aplikacji, bazy danych, systemy operacyjne (Linux, Windows, etc.), czy usługi sieciowe (DNS, DHCP). Dane te poddawane są szczegółowej analizie, rozpatrującej m.in. takie aspekty, jak:
·  tożsamość użytkowników, kontekst (np. odpowiedź na pytanie, czy użytkownik ma uprawnienia do wykonywania analizowanej operacji);
·  zagrożenie (np. jak bezpieczny jest URL, do którego użytkownik próbuje się odwołać, czy obserwowana komunikacja sieciowa odwołuje się do podejrzanych adresów IP, etc).
Wyniki analizy prezentowane są syntetycznie na głównej stronie systemu; możemy również, dzięki zastosowaniu metody „drill-down”, uzyskać informacje szczegółowe na temat wykrytego incydentu.

CCS i SMA są częścią składową Oracle Management Cloud – dzięki takiemu „unixo-podobnemu” podejściu, w którym z relatywnie prostych składowych budujemy skomplikowany mechanizm, nie musimy troszczyć się o jego spójność i kompatybilność z pozostałymi elementami oferty. Z drugiej strony należy pamiętać, że usługi te nie powinny być traktowane jako konkurencja do naszego produktu CASB CS. Obydwie kategorie rozwiązań są komplementarne. CASB CS należy postrzegać jako narzędzie umożliwiające monitoring w warstwie Cloud Providera, natomiast CCS i SMA – jako narzędzia monitorujące już konkretne wirtualne maszyny, czy wręcz serwisy wewnątrz nich uruchomione (serwery aplikacji, baz danych, etc.).
C.D.N.

Udostępnij na LinkedIn
 
Dowiedz się więcej:
Oracle Compliance Cloud Service
Oracle Security Monitoring and Analytics
Oracle Management Cloud

Jak chronić się przed utratą danych biznesowych

W poprzedniej części artykułu na temat bezpieczeństwa omawiałem rolę backupu i archiwizacji w zabezpieczaniu firmowych danych operacyjnych. Dzisiaj przedstawię kilka innych aspektów tego ważnego dla firm zagadnienia.

Zjawiskiem szczególnie nagłaśnianym w mediach jest ryzyko utraty danych związane z zagrożeniami zewnętrznymi. Sabotaż gospodarczy, hakerzy wyłudzający okup za wykradzione lub zablokowane dane czy wreszcie tzw. “haktywiści”. Zagrożenia z zewnątrz są bardzo poważne i firmy skupiają się właśnie na zabezpieczeniu tych obszarów wykorzystując zabezpieczenia sieciowe. Zwracam jednak uwagę, że w całym łańcuchu zwanym “bezpieczeństwo”, najsłabszym ogniwem są zazwyczaj ludzie. Technologia powinna w dużym stopniu skupiać się na ochronie przed błędami popełnianymi przez pracowników firmy. Może to być na przykład niezadowolony administrator, który skasuje lub sprzeda dane. Inny przykład to pracownik firmy, który podłączy zainfekowany pendrive do komputera w sieci firmowej. Może to być też pracownik call-center, który pod wpływem ataku socjotechnicznego ujawni dane osobowe klienta. I wreszcie pracownik firmy w delegacji, któremu ktoś najzwyczajniej “przez ramię” będzie podglądał ekran laptopa. 

Sporo mówi się też o bezpieczeństwie danych przechowywanych w chmurze. Tak naprawdę zabezpieczanie usług w chmurze i danych we własnej serwerowni to tematy zbieżne. Najważniejsza rzecz tutaj, to zaufanie między klientem a usługodawcą. Przewagę mają niewątpliwie duzi dostawcy usług, gdyż potrafią oni dynamiczniej reagować na potencjalne zagrożenia. Jeśli pojawia się jakaś dziura w oprogramowaniu - tacy dostawcy wiedzą o tym najwcześniej, i są w stanie łatać środowiska w najszybszy sposób. Przeniesienie przetwarzania do chmury nie zwalnia nas od obowiązku dbania o bezpieczeństwo (szczególnie w modelu IaaS) gdzie tak naprawdę to użytkownicy zarządzają podobnym środowiskiem, tylko znajdującym się w innym Data Center. 

Ważne jest, aby dostawca usług chmurowych miał odpowiednio zbudowane centra danych, zabezpieczenie geograficzne to też bardzo ważna kwestia. Kolejna rzecz to dostępność oprogramowania związanego z bezpieczeństwem w swoim katalogu usług. Oracle budując swoje usługi chmurowe przykłada ogromną wagę do architektury HA/DR i buduje swoje centra w modelu “Availability Domains”, gdzie w geograficznej lokalizacji jest kilka centrów świadczących te same usługi. Usługi w katalogu Platform as a Service (PaaS) umożliwiają z kolei wykorzystanie oprogramowania do uwierzytelniania, kontroli dostępu, monitoringu i audytowania. Możliwe jest także przechowywanie kluczy umożliwiających deszyfrowanie danych po stronie klienta. 

Aby maksymalnie zwiększyć poziom bezpieczeństwa danych w centrach obliczeniowych, można zastosować najnowsze rozwiązanie Oracle, sprzęt wykorzystujący mechanizmy “Security in Silicon”. Procesory M7 i S7 mają funkcjonalność akceleracji szyfrowania a także mechanizmy weryfikujące dostęp do pamięci w trybie online. Wykorzystanie “Security in Silicon” pozwala zwiększyć bezpieczeństwo budowanych środowisk bez konieczności zakupu dodatkowych szyfratorów, a także bez narzutu na wydajność środowisk wykorzystujących szyfrowanie. 
 
Autorem artykuł jest Paweł Gregorczyk, kierownik Działu Wsparcia Sprzedaży Infrastruktury w Oracle Polska

Udostępnij na LinkedIn

Dowiedz się więcej
Oracle Cloud
Oracle SPARC
Software in Silicon
Bezpieczeństwo w chmurze

Poznaj Oracle IaaS – Webcast Oracle 6.04.2017

Usługi klasy IaaS (infrastruktura-jako-usługa), to warstwa Chmury, która jest nieco mniej znana niż PaaS oraz SaaS. W wydaniu Oracle mamy tu potężny pakiet usług chmurowych, zapewniających użytkownikom dostęp do kluczowych komponentów infrastruktury systemów informatycznych – takich, jak moc obliczeniowa, serwery wirtualne, pamięci masowe, komponenty sieciowe, a także kontenery i narzędzia do zarządzania środowiskiem.
  
Serdecznie zapraszamy na kolejny Webcast z serii Road To the Cloud, podczas którego eksperci Oracle będą przedstawiali najważniejsze elementy oferty Oracle IaaS – takie, jak:
·  Usługi obliczeniowe (General Purpose Compute), czyli w pełni skalowalne, zwirtualizowane środowisko obliczeniowe, obsługujące model multi-tenant, na którym można uruchamiać aplikacje biznesowe z przewidywalną i stałą wydajnością.
·  Pamięć masowa w chmurze – bezpieczne usługi storage, elastyczne, odporne na awarie i łatwe w użyciu, zapewniające niezawodny dostęp do danych korporacyjnych w dowolnym miejscu i czasie.
·  Ravello – unikatowy na rynku zestaw usług pozwalających na przenoszenie całych zwirtualizowanych środowisk do dowolnej Chmury – zarówno Oracle, jak innych dostawców, bez modyfikacji, przy pomocy przysłowiowych kilku kliknięć.
·  Oracle Cloud Machine – Chmura Oracle działająca w lokalnym centrum obliczeniowym, jedyna taka usługa na rynku. Cloud Machine, to fizyczna maszyna Oracle postawiona w siedzibie klienta, na której można korzystać z Chmury Oracle, zachowując zasady ładu korporacyjnego, wymagane prawem w konkretnych przypadkach.
 
Wybrane tematy prezentacji: 
·  Bezpieczna droga do chmury przy wykorzystaniu IaaS
·  Skalowalność i wydajność Oracle IaaS
·  Bezpieczeństwo w Chmurze Oracle
·  Jak długo trwa wdrożenie chmury – opis konkretnych projektów
 
Zarejestruj się już dzisiaj na Webcast z ekspertami Oracle, aby lepiej poznać wiodący na rynku pakiet usług Oracle, zapewniających dostęp do infrastruktury IT w Chmurze.
 
Data: 6 kwietnia 2017
Godzina: 11:00 CET
Czas trwania: 1 godzina

STRONA REJESTRACYJNA

Bezpieczeństwo w Oracle Cloud - Webcast 27 marca 2017

Kwestia bezpieczeństwa informacji odgrywa newralgiczną rolę przy projektowaniu i użytkowaniu systemów informatycznych – zwłaszcza gdy działają one w chmurze. 
Temat ten nabrał zwłaszcza znaczenia w erze cyfrowej, w której lawinowo rośnie ilość danych przetwarzanych przez systemy IT, a jednocześnie pojawia się ogromna pokusa ich pozyskania ze strony cyber-przestępców.
 
Serdecznie zapraszamy na Webcast Oracle, podczas którego wybitny ekspert z regionu Oracle EECIS Dimitris Theodoropoulos będzie omawiał kwestie bezpieczeństwa w chmurowych systemach IT. Podczas godzinnego wykładu zostaną zaprezentowane metody zabezpieczania platformy chmurowej, działających w tym środowisku aplikacji biznesowych oraz kwestie zgodności z regulacjami i ładem korporacyjnym.
 
Wybrane tematy Webcastu: 
·  Strategia Oracle dotycząca bezpieczeństwa w Chmurze
·  Przegląd usług Oracle Cloud, przeznaczonych do zabezpieczania danych
·  Zalety chmury hybrydowej w procesach zabezpieczania danych
·  Praktyki wdrażania zabezpieczeń dla infrastruktury IT
·  Przykłady konkretnych wdrożeń u klientów Oracle
 
Zarejestruj się na Webcast Oracle, aby poznać najnowsze rozwiązania informatyczne pozwalające na skuteczne zabezpieczanie danych w chmurze Oracle Cloud, we wszystkich jej warstwach: SaaS, PaaS oraz IaaS.
 
Data: 27 marca 2017
Czas: 13:00 CET
Czas trwania: 1 godzina
 Szczegółowy program i rejestracja

Oracle Systems Tech Summit 2017

24 stycznia 2017, Hotel Bellotto, Warszawa, ul. Senatorska 13/15

Serdecznie zapraszamy na pierwszą w 2017 roku edycję konferencji Oracle Systems Tech Summit, poświęconą głównie zagadnieniom bezpieczeństwa przetwarzania danych w chmurze.

Podczas spotkania eksperci Oracle Polska omówią szereg tematów związanych z bezpieczeństwem systemów IT oraz synergią pomiędzy chmurą prywatną, publiczną i podejściem hybrydowym. Zaprezentowane też będą nowości w ofercie infrastrukturalnej Oracle.

Referaty programowe wygłoszą zaproszeni goście specjalni: Piotr Konieczny z portalu Niebezpiecznik.pl opowie o metodach ochrony danych osobowych, zaś aspekty bezpieczeństwa systemów IT w chmurze prywatnej i publicznej omówi Martien Ouwens, ekspert Oracle specjalizujący się w tematyce chmur hybrydowych.

Przedstawimy także przykład wdrożenia platformy Oracle oraz pokazy technologii na żywo, obejmujące takie zagadnienia, jak: porównanie wskaźników wydajności platform SPARC i x86 w szyfrowanym środowisku bazodanowym, mechanizmy macierzy ZFS Storage Appliance oraz usługi IaaS, jako narzędzia wspierające DevOps.

Prezentacje specjalistów Oracle będą prowadzone według nowego, interaktywnego modelu. Oto wybrane tematy:

• Efektywne metody budowania infrastruktury IT
• Wirtualizacja z głową - jak uniknąć "podatku" wirtualizacyjnego? 
• Wprowadzenie do Oracle Infrastructure-as-a-Service 
• Nowoczesna architektura pamięci masowej dla baz danych 

Na zakończenie spotkania odbędzie się kolacja, podczas której będzie okazja do wielu dyskusji w mniej formalnej atmosferze.

Szczegółowy program konferencji i REJESTRACJA

Warsztaty dla sektora finansowego 21-22 stycznia 2016

Epoka gospodarki cyfrowej przyniosła wiele wyzwań dla instytucji sektora finansowego. Gwałtowny rozwój nowoczesnych kanałów komunikacji pociągnął za sobą pojawienie się nowych, nieznanych wcześniej obyczajów konsumentów. 

Aby zapewnić sobie elastyczność działania, a swoim klientom doskonałą obsługę, firmy sektora dokonują obecnie gruntownej zmiany w procesach biznesowych, której głównym motorem jest szerokie zastosowanie najnowszych technologii IT. 

Serdecznie zapraszamy na bezpłatne dwudniowe warsztaty organizowane przez Oracle Polska wraz z "Miesięcznikiem Finansowym BANK", podczas których będziemy dyskutowali w gronie ekspertów na temat nowych trendów i standardów stosowanych w systemach informatycznych sektora finansowego. 
Przedstawimy także doświadczenia tych firm, które skutecznie wdrożyły nowe technologie dla usprawnienia swojej działalności.

Wybrane tematy prezentacji:
·  Zastosowanie modelu Chmury do budowy systemów IT.
·  Zalety platformy do zarządzania procesami biznesowymi (BPM).
·  Metody zabezpieczania informacji we wszystkich warstwach systemu IT.
·  Raportowanie i analizowanie danych biznesowych (Business Intelligence).

Spotkanie odbędzie się w dniach 21-22 stycznia 2016 w Hotelu Manor House, umiejscowionym w pięknym Pałacu Odrowążów w miejscowości Chlewiska koło Szydłowca.
Gościem specjalnym seminarium będzie Andrzej Kawiński, ekspert "Miesięcznika Finansowego BANK", prezes zarządu Instytutu Analiz i Prognoz Rynkowych, który wygłosi wystąpienie wprowadzające, jak również będzie moderatorem panelu dyskusyjnego na temat chmury i bezpieczeństwa informacji.

Więcej informacji i rejestracja
Katarzyna Cechowska, Miesięcznik BANK
tel. 22 623-84-53

Dane trzeba chronić tam, gdzie to najważniejsze

Alan Hartwell, szef działu rozwiązań bezpieczeństwa i zarządzania tożsamością w Oracle EMEA

Obawy o bezpieczeństwo dotyczą dziś praktycznie każdego działu współczesnych przedsiębiorstw. Wiele z tych obaw wiąże się ze wzrostem liczby ataków hakerskich — to zagrożenie, które wciąż znacznie wyprzedza inne formy ataków i rozwija się wraz z lukratywnym czarnym rynkiem informacji.

Od programów typu „RAM scraper”, które przechwytują dane z pamięci operacyjnej, po wirusy szyfrujące pliki — działalność hakerów rośnie coraz bardziej, ponieważ do grona przestępców dołączają szeregi ich naśladowców. Trend ten sprawia, że przedsiębiorstwa — a w szczególności ich relacyjne bazy danych — są bardziej podatne na ataki niż kiedykolwiek dotąd. Analiza typowych inwestycji w zabezpieczenia dowodzi jednak, że baza danych nie jest dla firm priorytetem. Takiego podejścia nie da się już dłużej obronić. Nadszedł czas, aby firmy zaczęły chronić dane tam, gdzie to najważniejsze.

Z opublikowanego niedawno raportu „Verizon 2014 Data Breach Investigation Report” wynika, że bazy danych są drugim co do popularności celem przestępców wewnątrz przedsiębiorstwa, ustępując tylko komputerom PC. Potwierdzają to osoby podejmujące decyzje w sprawach informatycznych, należące do organizacji Independent Oracle Users Group (IOUG) — 58% z nich twierdzi, że baza danych to punkt najbardziej podatny na ataki. Środowisko bazy danych staje się coraz częstszym celem hakerów przeprowadzających ataki typu SQL injection, w ramach których włączają oni w zapytania instrukcje SQL, aby pozyskiwać i modyfikować informacje w bazie. Skutkiem tego typu ataków bywają kradzieże lub manipulacje obejmujące całe tabele z rekordami danych pracowników i klientów. Czasem w atakach uczestniczą szpiedzy korporacyjni, którzy podszywają się pod pracowników i wstawiają swoje dane do kadrowych baz danych.

W związku z tym wydaje się dziwne, że przedsiębiorstwa nie traktują inwestycji w ochronę swoich baz danych priorytetowo. Jak wynika z badania IOUG, firmy zwykle inwestują największe środki w proste zabezpieczenia sieciowe (65%), w drugiej kolejności w zabezpieczenia serwerów (57%), a dopiero potem w ochronę bazy danych (56%). W zdecydowanym ograniczeniu ataków tego typu mogą pomóc na przykład zapory dla baz danych, które umożliwiają administratorom monitorowanie i blokowanie szkodliwego kodu SQL.

Niezbędne jest również bardziej prewencyjne podejście do bezpieczeństwa danych. Gdy przedsiębiorstwa zabezpieczają aplikacje, lecz pozostawiają bazę danych bez ochrony, ryzykują, że staną się celem ataków przez obejście aplikacji. Z badania IOUG wynika, że 71% firm nie wdrożyło narzędzi kontrolnych, które zapobiegałyby atakom tego typu. W ramach tego bardziej prewencyjnego podejścia do bezpieczeństwa danych administratorzy powinni określić, gdzie znajdują się dane poufne w całym przedsiębiorstwie, uwzględniając przy tym wszystkie środowiska. Nie jest to proste, jeśli weźmiemy pod uwagę, że przedsiębiorstwa wdrażają coraz większe i bardziej złożone systemy IT. 39% respondentów badania IOUG przyznaje, że nie jest w stanie wymienić wszystkich baz danych w swoim przedsiębiorstwie, które zawierają dane poufne i objęte regulacjami.

Po wskazaniu lokalizacji danych kluczową linią obrony cennych informacji zawartych w bazie staje się szyfrowanie. Dlatego niepokoi, że tylko 18% przedsiębiorstw szyfruje dane w spoczynku znajdujące się w ich bazach danych, a 51% nie wdrożyło nawet środków, które zapobiegałyby przypadkowym szkodom w bazie danych lub aplikacjach o znaczeniu newralgicznym.

Budowa strategii ochrony bazy danych jest pierwszym krokiem pozwalającym stworzyć kompleksowy system zabezpieczeń. Nawet gdy granice przedsiębiorstwa zostaną naruszone, ochrona poufnych danych, wykrywanie ataków typu SQL injection i zapobieganie im, monitorowanie aktywności w bazie danych, szyfrowanie danych w spoczynku i podczas ich przesyłania oraz maskowanie nieprodukcyjnych baz danych pozwala przedsiębiorstwom obniżyć ryzyko wyprowadzenia danych na zewnątrz.