Il convegno è dedicato a ”Gli strumenti di sicurezza dell’IS Governance e il GRC – Governance Risk & Compliance” ed è l’occasione per presentare le esperienze ai partner della Community e le soluzioni ai clienti - target (IT Manager e CIO, DBA…), ma anche per conoscere le opinioni dei principali attori del mercato sul tema della sicurezza dei sistemi informativi e del governo aziendale, della gestione del rischio e della conformità alla normativa.

Per AlmavivA, Andrea Mercurio interviene nella Sessione Information Technology sul tema “L’attuazione della conformità alla Privacy nell’amministrazione dei DB”.

La partecipazione all’Oracle Security Symposium è gratuita, ma vincolata da un limitato numero di posti. È possibile iscriversi online da subito.

 

 

 

TITOLO INTERVENTO: L’attuazione della conformità alla Privacy nell’amministrazione dei DB

ABSTRACT: "Le organizzazioni impegnate nel trattamento e custodia dei dati, da anni pianificano interventi per rendere effettive le norme sulla privacy e realizzare le aspettative di sicurezza dei cittadini nel momento in cui affidano loro i dati che li riguardano. Come possono, quindi, coniugarsi prassi discrezionali e potenzialmente pericolose e illegali quali le richieste che pervengono ai DBA di metter mano a tabelle e schemi dei database, di allestire copie dei dati di esercizio su ambienti di test-collaudo, di memorizzare su nastro dati lasciati in chiaro, con i buoni propositi dei Security Manager in materia?

In questa presentazione vedremo cosa ha significato e come sia stato possibile, in uno scenario variegato e complesso quale quello di uno dei più grandi istituti previdenziali pubblici italiani, realizzare i principi del need-to-know e della separazione dei ruoli, vietando, con Oracle Vault, l’esecuzione di statement SQL ad opera dei DBA sulle posizioni pensionistiche gestite dall’Istituto e confinando ad un ruolo di security la facoltà di definire su quali oggetti del DB restringere l’accesso ed attivare le funzioni di auditing.

Vedremo inoltre come sia stato possibile estendere le garanzie di riservatezza dei dati dalle istanze vive dei database fino alle copie su nastro, cifrandoli con Oracle Transparent Data Encryption (TDE) ed impedendo agli incaricati della custodia dello storage di poter accedere, indisturbati, alla loro lettura nel tempo di retention, o, peggio, di eseguire on demand il restore dei dati d’esercizio su altri ambienti del ciclo di vita del software.

Le soluzioni Oracle, in definitiva, consentono all'Istituto di assicurare l'integrità e la riservatezza delle proprie basi dati, distribuendo il complesso scenario del controllo dell'accesso tra il layer application e quello dei dati, e, al tempo stesso, di estendere la security a tutta la filiera del trattamento e alla catena dello storage, in maniera trasparente, senza richiedere modifiche al codice."

RELATORE: Andrea Mercurio - Responsabile del Security Competence Center del Gruppo AlmavivA