Uso aceptable y empleados de Oracle

Oracle tiene requisitos formales para el uso de la red corporativa de Oracle, sistemas informáticos, sistemas de telefonía, tecnologías de mensajería, acceso a internet, datos empresariales, datos de clientes y otros recursos de la empresa disponibles para empleados, contratistas y visitantes de Oracle.

Principios generales de seguridad para comunicaciones

Las comunicaciones desde y hacia la red corporativa de Oracle deben pasar por dispositivos de seguridad de red en el límite de la red. El acceso de terceros a la red corporativa de Oracle está sujeto a aprobación previa. Las conexiones remotas a la red corporativa de Oracle deben utilizar exclusivamente soluciones de red privada virtual (VPN) aprobadas. Para obtener más información sobre las prácticas de gestión de red de Oracle, consulta Network Communications Security.

Controles de acceso

Las operaciones están organizadas en grupos funcionales, donde cada función es desempeñada por grupos separados de empleados. Ejemplos de grupos funcionales incluyen desarrolladores, administradores de bases de datos, administradores de sistemas e ingenieros de redes. Obtén más información sobre los Controles de Acceso de Oracle.

Gestión de vulnerabilidades

Oracle tiene requisitos formales diseñados para identificar, analizar y remediar las vulnerabilidades técnicas de seguridad que puedan afectar nuestros sistemas empresariales y tu entorno de Oracle Cloud Services.

Los equipos de TI, seguridad y desarrollo de Oracle deben monitorear boletines relevantes de proveedores e industria, incluidas las propias recomendaciones de seguridad de Oracle, para identificar y evaluar parches de seguridad relevantes. Además, Oracle exige que se realicen escaneos de vulnerabilidades de forma periódica, utilizando sistemas de escaneo automatizados, en los sistemas internos y expuestos externamente que gestiona. Los entornos de servicios en la nube están sujetos a pruebas de penetración dependiendo del nivel de riesgo del sistema.

La prioridad estratégica de Oracle para el manejo de vulnerabilidades descubiertas en Oracle Cloud es remediar estos problemas según su gravedad y el posible impacto en los servicios de Oracle Cloud. El puntaje base del Common Vulnerability Scoring System (CVSS) es uno de los criterios utilizados para evaluar la gravedad relativa de las vulnerabilidades. Oracle exige que las vulnerabilidades de seguridad identificadas se registren y rastreen en un sistema de seguimiento de defectos.

Oracle busca completar las actividades de remediación de servicios en la nube, incluyendo pruebas, implementación y reinicio/reaprovisionamiento (si se requiere), dentro de las ventanas de mantenimiento planificadas. Sin embargo, puede llevarse a cabo mantenimiento adicional de seguridad fuera de las ventanas de mantenimiento programadas, como se describe en las políticas de alojamiento y entrega de Oracle Cloud y, según corresponda, en la documentación de pilar asociada.

Oracle Software Security Assurance es la metodología de Oracle para incorporar seguridad en el diseño, construcción, prueba y mantenimiento de sus productos, ya sea que se utilicen en las instalaciones del cliente o se entreguen a través de Oracle Cloud.

Clientes e investigadores de seguridad pueden reportar vulnerabilidades de seguridad sospechosas a Oracle: Cómo reportar vulnerabilidades de seguridad a Oracle o enviando una solicitud de servicio en su sistema de soporte designado.

La Política de pruebas de seguridad del cliente de Oracle describe las actividades de prueba de seguridad (por ejemplo, pruebas de penetración, escaneos de vulnerabilidades) que los clientes de Oracle pueden realizar sobre sus productos on-premises de Oracle y servicios de Oracle Cloud.

Monitoreo y protección de la información del registro de auditoría

Oracle exige que los propietarios de sistemas capturen y conserven registros de ciertas actividades relacionadas con la seguridad en sistemas operativos, aplicaciones, bases de datos y dispositivos de red. Los sistemas deben registrar el acceso a los sistemas y aplicaciones de Oracle, así como alertas del sistema, mensajes de consola y errores del sistema. Oracle implementa controles diseñados para proteger contra problemas operativos, incluidos medios de archivos de registro que se agoten, fallas al registrar eventos y/o sobrescritura de registros.

La política de Oracle exige que las líneas de negocio monitoreen los registros con fines de investigación de eventos de seguridad y análisis forense. Las actividades anómalas identificadas deben integrarse en los procesos de gestión de eventos de seguridad de la línea de negocio propietaria de ese sistema. El acceso a los registros de seguridad se proporciona según la necesidad de saber y el menor privilegio posible. Cuando sea posible, los archivos de registro se protegen mediante criptografía sólida además de otros controles de seguridad, y se monitorea el acceso. Se requiere que los registros generados por sistemas accesibles desde internet se reubiquen en sistemas que no sean accesibles desde internet.

Gestión de activos

La Política de Inventario de Activos de Sistemas de Información de Oracle exige un inventario preciso de todos los sistemas de información y dispositivos que contienen activos de información durante todo su ciclo de vida a través de un sistema de inventario aprobado por la empresa. Esta política define los atributos de identificación requeridos que deben registrarse para hardware de servidor, software, datos almacenados en sistemas de información e información necesaria para recuperación ante desastres y continuidad del negocio.

Tecnología de comunicaciones

Oracle TI gestiona soluciones corporativas para la colaboración y comunicación dentro de Oracle y con proveedores externos. Las políticas de Oracle exigen que los empleados utilicen estas herramientas corporativas aprobadas al manejar información confidencial. Cada una de estas soluciones aprovecha controles de seguridad preventivos y de detección como tecnologías antimalware y antivirus.

Oracle ha definido lineamientos para intercambiar información de forma segura con proveedores y otros terceros.

Adquisiciones

Las empresas que Oracle adquiere deben alinearse con estas prácticas de seguridad como parte del proceso de integración. La duración y el resultado de cada aspecto del proceso de integración depende del tamaño, complejidad, compromisos contractuales previos y requisitos regulatorios aplicables a los productos, servicios, personal y operaciones de la empresa adquirida.