Gobernanza del programa corporativo de seguridad de Oracle
Objetivos
Los programas de Seguridad Corporativa de Oracle están diseñados para proteger los activos de información de Oracle y de los clientes, tales como:
- Los sistemas críticos para la misión que los clientes utilizan para la nube, soporte técnico y otros servicios
- El código fuente de Oracle y otros datos sensibles frente a robo y alteraciones maliciosas
- Información personal y otra información sensible que Oracle recopila en el transcurso de sus actividades, incluidos datos de clientes, partners, proveedores y empleados en los sistemas de TI internos de Oracle
Estándares y certificaciones de la industria
Las políticas de seguridad de Oracle abarcan la gestión de la seguridad tanto para las operaciones internas de Oracle como para los servicios que Oracle brinda a sus clientes, y se aplican a todo el personal de Oracle, incluidos empleados y contratistas. Estas políticas están alineadas con los estándares ISO/IEC 27001:2022 (anteriormente conocido como ISO/IEC 17799:2005) e ISO/IEC 27002:2022 y guían toda las áreas de seguridad de Oracle.
Siguiendo las prácticas recomendadas para estándares de seguridad emitidas por la Organización Internacional de Normalización (ISO), el Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST) y otras fuentes de la industria, Oracle ha implementado una amplia variedad de controles preventivos, de detección y correctivos con el objetivo de proteger los activos de información.
Más información en el panel de Cloud Compliance.
Organizaciones de seguridad por línea de negocio
Las líneas de negocio (LoB) cuentan con equipos de seguridad que trabajan bajo la supervisión del director de seguridad de Oracle y revisan los productos, sistemas y servicios en la nube de su organización. Las LoB deben definir estándares técnicos de acuerdo con las políticas de seguridad de la información de Oracle, así como impulsar el cumplimiento de las políticas y estándares de Oracle dentro de su organización y equipos de servicios en la nube. Las LoB también deben cumplir con los requisitos y directrices del programa de seguridad corporativa. Este artículo no describe las organizaciones, estándares y programas específicos de las LoB.
Seguridad organizacional
La seguridad organizacional global de Oracle se describe en la política de la organización de seguridad de Oracle y la política de seguridad de la información de Oracle.
Los equipos y programas de seguridad corporativa definen políticas corporativas y proporcionan dirección global a los equipos de seguridad de las líneas de negocio (LoB), que son responsables de supervisar los productos, sistemas y servicios en la nube gestionados por su organización.
Comité de Supervisión de Seguridad de Oracle
El Comité de Supervisión de Seguridad de Oracle (OSOC) se reúne anualmente para debatir y revisar las iniciativas y directrices de seguridad. El comité reúne a la alta dirección de las líneas de negocio con las organizaciones de seguridad corporativa y ofrece una oportunidad para que los ejecutivos comuniquen la estrategia de seguridad en toda la organización global de Oracle.
Organizaciones de seguridad corporativa
- Director de seguridad
- Seguridad global de los productos
- Seguridad física global
- Arquitectura de seguridad corporativa
- Cumplimiento con la legislación comercial internacional vigente
Departamento jurídico de privacidad y seguridad
El departamento jurídico de privacidad y seguridad (P&SL) es responsable de ofrecer a las organizaciones de seguridad de Oracle asesoramiento legal sobre distintos aspectos relacionados con la privacidad de datos y la seguridad, como la respuesta a los eventos e incidentes de seguridad, el cumplimiento de la layes de protección de datos, obligaciones contractuales y requisitos de presentación de informes. Asimismo, debe coordinarse con el resto de departamentos jurídicos de Oracle en caso necesario.
Organizaciones de tecnología de la información de Oracle
Las organizaciones de tecnología de la información (TI) y DevOps en la nube de Oracle son responsables de la estrategia de seguridad de TI, el diseño de la arquitectura de las soluciones de seguridad, la ingeniería, la gestión de riesgos, las operaciones y el soporte de la infraestructura de seguridad, los estándares y el cumplimiento normativo, la inteligencia de amenazas cibernéticas, la solución de problemas y la evaluación técnica de la seguridad de las nuevas infraestructuras.