Gestion du Risque et Sécurité : Gérer les risques, la sécurité et la conformité aux réglementations. Cécile Benhamou Avant vente Information Management on System z cecile_benhamou@fr.ibm.com Stéphane Montri, Avant vente Information Management stephane.montri@fr.ibm.com
Agenda Protéger les accès aux données est une nécessité autant pour préserver le capital de votre entreprise que pour respecter les réglementations. La gestion des utilisateurs et des droits d'accès est devenue complexe, L'anonymisation des données à caractère privé est maintenant incontournable. Découvrez comment l'offre IBM vous permet de sécuriser vos accès, de les auditer pour permettre la détection de fraudes, et d'anonymiser vos données sensibles. Introduction L offre TIVOLI L offre OPTIM L offre Guardium Solutions complémentaires
Les nouveaux challenges de la sécurité Les technologies Toujours plus de points de connexion - Les nouveaux types points d accès aux systèmes - Les nouvelles exposition de services Le Cloud La complexité Comprendre les impacts de sécurité de chaque composant Gérer les différents composants Les données Une explosion de la donnée - La donnée vivante et au repos La conformité Nouvelles normes, nouvelles communications Maîtriser la confiance des clients et des auditeurs
Un framework de solutions de sécurité adressant 5 typologies d intérêt GRC GOVERNANCE, RISK MANAGEMENT AND COMPLIANCE Concevoir la politique de gestion pour être conforme aux normes et réglementations PEOPLE AND IDENTITY Maîtriser les risques liés aux accès aux ressources de l entreprise par les utilisateurs DATA AND INFORMATION Comprendre, déployer et tester les contrôles d accès et l utilisation des données sensibles APPLICATION AND PROCESS Garder les applications saines et exemptes de code malicieux et les protéger contre des usages frauduleux NETWORK, SERVER AND END POINT Optimiser la disponibilité des services en maîtrisant les risques inhérents aux composants serveurs PHYSICAL INFRASTRUCTURE Apporter de la valeur ajoutée aux composants physiques de l infrastructure de sécurité 9
Le Framework permet de couvrir les challenges des entreprises Framework GOVERNANCE, RISK MGMT, COMPLIANCE PEOPLE AND IDENTITY Typical enterprise activities Design de stratégie sécurité Test de pénétration & Vulnerability Assessment Assessment de conformité de sécurité Réponse à incident Gérer les identités Auditer, rapporter et gérer Contrôler les accès aux applications les accès aux ressources GRC DATA AND INFORMATION Protéger les données critiques Sécuriser les messages et filtrer le contenu Suivre les accès aux données Prévention des pertes de données Encryption des données APPLICATION AND PROCESS Intégrer la sécurité dans le cycle de développement Découvrir les vulnérabilités Embarquer les contrôles d accès Contribuer à la sécurité des architecture SOA NETWORK, SERVERS & ENDPOINTS Protéger les serveurs, les postes de travail, le réseau et les Mainframes Explorer les composants du système d information et gérer leur conformité aux règles de sécurité PHYSICAL INFRASTRUCTURE Fournir de la Vidéo Surveillance Mettre en œuvre un système de contrôle d accès Analyser les Capture Vidéo Gérer la sécurité des actifs
PEOPLE AND IDENTITY : Gestion des Identités et des Accès Besoins exprimés Offre IBM Security Gérer les Identités, les Accès et les Rôles Définir un niveau de regroupement et d abstraction qui soit significatif et pertinent en terme de fonction, d organisation, métiers, etc. Des utilisateurs privilégiés non contrôlés Des identités orphelines, des comptes dormants ou des comptes partagés utilisés pour des accès inappropriés à des ressources critiques Faillir à un Audit Identity Lifecycle Management: Tivoli Identity Manager et Tivoli Access Manager Identity Audit: Tivoli Compliance Insight Manager, Tivoli zsecure Audit Aide à l administration de la sécurité: Tivoli zsecure Suite: Comment faire profiter mon Business d une solution de gestion des identités et des rôles? Valeurs Ajoutées Réduire les couts, accroitre l efficacité et rendre possible l audit de la gestion des flux des utilisateurs entrant, utilisant et quittant l entreprise Décroitre les risques de fraude depuis l interne, la perte de données sensibles ou le comportement déviant Supporter la globalisation des opérations Enrichir la pertinence des outils de gestion des identités, des habilitations et d audit Améliorer l expérience des utilisateurs avec des applicatifs web en leur offrant des services tel que le SSO
DATA AND INFORMATION Besoins exprimés Offre IBM Security Protection de la données et de l information Comment puis-je réduire les coûts associés au suivi et au contrôle du qui fait quoi et quand avec mes données? Comment m assurer que mes données sont disponibles et accessible pour mon business aujourd hui et demain? Les données sur les média mobiles peuvent être perdues ou volées Les données conservées en clair sont accessibles aisément Absence de politique pour mes données Des données non structurées Des failles légales, normatives ou éthiques dans l organisation Les coûts de la perte de données sur le business et l image de marque Faillir à un audit Valeurs Ajoutées Audit: Guardium - contrôle d accès et monitoring SIEM: Tivoli Compliance Insight Manager, Data Encryption: Data Encryption for IMS and DB2, Encryption Facility Data Classification: InfoSphere Information Analyzer, Cognos, Enterprise Content Management, Discovery and Classification Data Privacy and Masking: Optim Data Privacy Solution Réduire les coûts et accroître les possibilités de se conformer aux audits Fournir une solution a bon rapport qualité prix pour répondre aux exigences légales de collecte, de conservation et de traitement de l information de sécurité Assurer que la donnée est accessible à la bonne personne au bon moment Assurer que la donnée n est pas délibérément ou par inadvertance perdue ou corrompue Diminuer le nombre et la complexité des contrôles internes à l entreprise
L offre TIVOLI
Sécurité et Compliance Administration RACF et respect des règles de sécurité plus efficace Compliance and audit solution that enables you to automatically analyze and report on security events and detect security exposures Security Administration Enables more efficient and effective RACF administration, using significantly less resources Reduces the need for scarce, RACF-trained expertise through a Microsoft Windows based GUI for RACF administration Real-time mainframe threat monitoring allowing you to monitor intruders and identify mis-configurations that could hamper your compliance efforts Policy enforcement solution that enforces compliance to company and regulatory policies by preventing erroneous commands Provides security compliance management with automated audit reporting through a compliance dashboard and flexible report distribution Tivoli zsecure Alert Tivoli zsecure Audit Tivoli zsecure Command Verifier Tivoli Compliance and Insight Manager RACF z/os Tivoli zsecure CICS Tivoli Toolkit zsecure Manager for RACF z/vm z/vm Tivoli zsecure Admin Tivoli zsecure Visual Allows you to perform mainframe administrative tasks from a CICS environment, freeing up native-racf resources Adds a user-friendly layer that enables superior administration coupled with audit capabilities for the z/vm RACF feature
Intérêt de la Suite zsecure Simplification de l administration de la sécurité Réduction des temps nécessaires à l administration et des efforts et couts associés Administration décentralisée Respect des règles de sécurité Implémentation des bonnes pratiques zsecure Admin zsecure Visual zsecure CICS Toolkit zsecure Manager for RACF z/vm
Intérêt de la Suite zsecure Automatisation du monitoring, des audit et du respect des règles: Amélioration de la sécurité et de la gestion des risques Passage des audits plus facile Economie de temps et des couts associés zsecure Audit zsecure Alert zsecure Command Verifier Compliance and Insight Manager
zsecure Audit Analyse des systèmes z/os avec RACF, ACF2 ou Top Secret Cela permet de repérer des particularités, des failles, des exceptions - Profiles avec autorisations spéciales, modifications de ces profiles - Userids avec autorisations spéciales, userids qui n ont pas changé leur mot de passe depuis x jours, Analyse des événements DB2, CICS, IMS, WAS, etc Analyse via les blocs de contrôle z/os et les fichiers SMF Rapports personnalisables 13
zsecure Audit: rapport Please respond to Security Management Team 14
L offre OPTIM
Offre Optim Solution centrale de gestion des données d entreprise, déploiements de règles d extraction, de stockage et de protection des données applicatives de leur création jusqu à leur purge définitive
Les grandes fonctions d OPTIM Gérer les données de Test (Test Data Management) Extraction des données Maquiller (Data Masking Option) Archiver (Data Growth) Point fort: Objet métier complet Représente un ensemble cohérent de données Commande, Client, expédition, paiement. Sous-ensemble référentiellement INTACT de données et de meta-données Objets HETEROGENES et REPARTIS (bases, applications, plateformes)
OPTIM gestion des données de test Production ou Clone de production Extract Créer des environnements de données de test ciblées, à leur juste taille, vite et à moindre coût que le clonage de production. Maintenir, Rafraichir, Réinitialiser les environnements de test Comparer les données pour détecter les anomalies et les régression pour une meilleure qualité de test Accélérer le déploiement en raccourcissant le cycle de test. Dev Extract Files Load Insert / Update Compare Formation Test
Anonymiser: pourquoi? A cause des réglementations European Personal Data Protection Directive PCI HIPAA Sarbanes-Oxley (SOX) Basel II Parce que les fuites de données ont des effets d image et parfois financiers importants
Anonymisation des Données Production Test Siebel / UDB Application / Sybase EBS / Oracle Maquillage, Fonctionnel, Cohérent des des données confidentielles Siebel / UDB Application / Sybase EBS / Oracle Substitution des information confidentielles par des valeurs fictives fonctionnellement valides Déploiement de nombreux algorithmes de maquillage Cohérence entre les environnements et les phases de test et entre les environnements de test Permet d envoyer des données pour les tests off-shore Protège les informations personnelles dans les environnements nonproduction
Anonymisation (Maquillage) des données CNI 267107814164 H/F F Prénom Julia Nom Roberts Naissance 28/10/1967 Rue 8942 Wilshire Blv Ville Versailles Dept Yvelines CP 78000 Tél (33) 0130565960(*) Account 4442-1698-2356 Semantique Lookup Age Hash Lookup Hashed Julia Fiona + 4 Jours Nouveau CNI Address1 Hash Address2 0130565960 0131677370 Algorithme Custom (Nais + CP) / Hash (CNI)
L offre Guardium
Enjeux Majeurs sur la Protection des Données Où sont situées les données sensibles et qui y accède? Comment puis-je mettre en œuvre des politiques d accès et de contrôle de changements sur les bases de données critiques? Comment surveiller les vulnérabilités et verrouiller les configurations des bases de données? Comment simplifier et automatiser la mise en conformité?
Les raisons du monitoring des bases de données 24
Règlementations autour de la sécurité des bases de données DDL = Data Definition Language (changement( des structures de données es) DML = Data Manipulation Language (changement( ou accès au contenu des tables) DCL = Data Control Language (gestion( des droits d accès)
Répondre aux différents responsables Responsable Sécurité Conformité & Audit Application & Base de Données Politiques en temps- réel Traçabilité sécurisé des Audits Data mining & forensics Séparation des tâches Rapports sur meilleurs pratiques Contrôles automatisés Impact Minimal Change management Optimisation de la Performance Guardium: une visibilité a 360
Surveillance et sécurisation des bases de données en temps réel Non-invasif Aucun changements sur le DBMS Impact minimal Ne s appuie pas sur les systèmes de log traditionnels des bases pouvant facilement être désactivés par les administrateurs Politiques Granulaires & surveillance Qui, Quoi, Quand, Comment Alertes temps Réel Surveillance de tous les activités, incluant les accès locaux des utilisateurs privilégiés
Exemple d architecture Central Management Policies pushed to collectors from central manager Aggregation Collectors aggregate data to central audit repository Distributed and system Z Unified collection structure Enforcement (S-Gate) Prevent privilege users from accessing sensitive information Heterogeneous Database support DB2, Oracle, SQL Server, Sybase, etc. S-TAP for z/os S-TAP for IMS S-TAP for VSAM Integration with LDAP, IAM, SIEM, CMDB, change management,
Plateformes supportées Plateformes Oracle Oracle (ASO, SSL) Versions 8i, 9i, 10g (r1, r2), 11g, 11gr2 9i, 10g (r1, r2), 11g Microsoft SQL Server Microsoft SharePoint 2007, 2010 IBM DB2 UDB (Windows, Unix, z/linux) 9.1, 9.5, 9.7 IBM DB2 Purescale 9.8 IBM DB2 for z/os 8.1, 9.1, 10.1 2000, 2005, 2005 x64, 2005 IA64, 2008, 2008 x64, 2008 IA64 IBM DB2 UDB for iseries (AS/400) V5R2, V5R3, V5R4, V6R1 IBM Informix 7, 9, 10, 11, 11.50 Sun MySQL and MySQL Cluster 4.1, 5.0, 5.1 Sybase ASE 12, 15, 15.5 Sybase IQ 12.6, 12.7, 15 Netezza NPS 4.5, 4.6, 5.0, 6.0 PostgreSQL 8,9 Teradata 6.x, 12, 13, 13.10 FTP 29
Architecture Guardium S-TAP for DB2 on z/os Distributed Environment Guardium Collector S-TAP Audit Server Administration Repository DB2 Subsystem TCP/IP STREAMING Process S-TAP Agent DB2 IFI Collection Audit Trace Audited Table Audited DB2 Subsystem ASC Audit SQL Collector z/os
Exemple: GRANT In that report we have different ways of grant execution including remote with JDBC, butch and DB2 call.
Exemple: Insert Statement Type 143 (Change = insert, update, delete)
Solutions complémentaires
Infosphere Discovery Buts: - redécouvrir les modèles de données sur les applications anciennes (nécessaire pour Optim) - localiser les données sensibles dans une base de données (nécessaire pour Optim et Guardium) Les sources de données peuvent être sur z/os ou sur des environnements distribués
IBM InfoSphere Discovery Exigences Découverte Accélération du déploiement des projets grâce à l'automatisation de la reconnaissance de vos données Définition des objets métier pour les applications d'archivage et de test Reconnaissance des règles de transformation de données et des relations hétérogènes Identification des données sensibles masquées à des fins de confidentialité Avantages Automatisation des activités manuelles permettant d'accélérer la durée de génération de valeur Déterminatin des relations entre les projets, permettant de diminuer les risques associés au projet Cohérence entre les les projets d'agenda d'informations 35 35
Guardium Data Redaction But: - Cacher les informations sensibles contenues dans des documents (PDF, image, document scannés) Les données sont effacées et un nouveau document est produit Complémentaire à l offre Optim Data Privacy et Optim Data Growth (Archive)
IBM InfoSphere Guardium Data Redaction Requirements Data Redaction Protect sensitive unstructured data in documents and forms Protect unstructured data in textual, graphical and form based documents Control data views with user role policies Automate batch workflow process with optional human review Before After Benefits Prevent unintentional data disclosure Comply with regulatory and corporate compliance standards Increase efficiency and reduce risk via automation
Encryption des données Data Encryption Tool for DB2 & IMS : But: - encrypter les données active sur disque pour sécuriser davantage les accès y compris hors DB2 ou IMS (accès direct sur disque) - rendre encore plus difficile la fuite de données en clair Encryption Facility for z/os : But: - encrypter les données z au repos sur disque ou cassette - rendre encore plus difficile la fuite de données en clair lors de transfert
IBM InfoSphere Guardium Data Encryption for DB2 & IMS Requirements InfoSphere Guardium Data Encryption Ensure compliance with data encryption Ensure compliance and protect enterprise data with encryption A single tool for both your IMS and DB2 databases. Protect sensitive enterprise information and avoid production data breaches Centralized policy and key management Protect data on portable media and render it unusable if stolen or lost Benefits Comply with government and industry regulations (for eg. PCI-DSS) Reduce internal and external risk and threat exposure Minimize impact on applications
Conclusion
Solutions IBM: une offre qui couvre tous les domaines de la sécurité How do you prevent unauthorized access? Do you know if anyone attempted an attack on the mainframe? How do you know your private customer data is encrypted with key mgmt? Is your mainframe security configured properly? Can your DB2 or IMS auditors get at the information they need? Can you prove that all critical data is backed up and recoverable? Do you know if administrators are abusing privileges? How do you know only authorized users are given user accounts? How did you protect your Web services applications? RACF z/os Communications Server IBM Security NIPS Optim Data Masking Solution Encryption Security zsecure Suite SKLM Guardium Tivoli zsecure Audit Tivoli zstorage Tivoli Security Information and Event Manager Tivoli Identity Manager Tivoli Access Manager Tivoli Federated Identity Mgr Platform Infrastructure Data Privacy Compliance and Audit Extended Enterprise *It is the customer's responsibility to identify, interpret and comply with any laws or regulatory requirements that affect its business. IBM does not represent that its products or services will ensure that the customer is in compliance with the law.
QUESTIONS? MERCI