Gouvernance et protection des données sensibles
Agenda La Gouvernance Archivage, Test et Anonymisation Protection des données Les solutions complémentaires
Les solutions IBM Data Governance Optim Data Growth Solution Optim Test Data Management Information Lifecycle Mgmt Data Retention Data Retirement Data Security Prevent Access Restrict Access Monitor Access DB2 Data Governance Guardium Tivoli Compliance InSight Manager Audit Audit Access Audit Privileges Audit Users Data Privacy Mask Data Encrypt Data Optim Data Privacy IBM Data Encryption for IMS and DB2 DB2 Encryption
Regulatory Compliance Il existe des normes sur les bonnes pratiques Ces normes varient en fonction de l industrie et des pays dans lesquelles elles s appliquent Les plus souvent rencontrées PCI European Personal Data Protection Directive Sarbanes-Oxley (SOX) HIPAA Data Breach Disclosure Laws Gramm-Leach-Bliley Basel II
Sécurité des données sensibles Hackers TJ Maxx >90 million credit and debit card numbers stolen Estimated costs $1bn over five years ($117m costs in 2Q 07 alone) Insiders Coca-Cola Secretary gained access to a new recipe and tried to sell it to Pepsi Physical Thieves Accenture Unencrypted tape stolen 58 taxpayers and 460 bank accounts Litigation ongoing Private Customer Data Trade Secret Private Employee Data
Archivage, Test et Anonymisation avec OPTIM
Les grandes fonctions d OPTIM Archiver (Optim Data Growth) Gérer les données de Test (Test Data Management) Maquiller (Data Masking Option) le Test et le Maquillage de données sont très souvent associés
Solution centrale de gestion des données d entreprise, déploiements de règles d extraction, de stockage et de protection des données applicatives de leur création jusqu à leur purge définitive
Point Fort : Objet métier complet Commande Représente un ensemble cohérent de données Commande, Client, expédition, paiement. Sous-ensemble référentiellement INTACT de données et de meta-données Permet de créer des photos arrêtées (snapshots) d objets métier complexes Objets HETEROGENES et REPARTIS (bases, applications, plateformes)
OPTIM Archivage * Production Archives Données anciennes Courant Universal Access to Application Data Application Application XML ODBC / JDBC Objets Métier Complets : Référence inaltérable de données cohérentes Indépendant des média de stockage : stratégie ILM Format inaltérable pour les projets de mise aux normes d auditabilité * Optim sur z/os : disponible H2 2011 / sur distribué disponible avec classic federation
Pourquoi Archiver Raisons Performances Métier / Performance des Applications Disponibilité Respect du cadre législatif (SOX, droit à l oubli CNIL ) Simplification d infrastructure Projets ILM Points de recherche de ROI Productivité Interruptions de service minimales Arrêt de la course aux ressources Stabiliser les budgets stockage et processeurs Stocker la bonne données au bon coût Eviter les pénalités
Les 2 types de projets d Archivage Applications «vivantes»: on archive et on purge les données les plus anciennes et l application continue à être opérationnelle Décommissionnement: on archive tout et on arrête les systèmes le ROI est souvent très important dans ce cas là
OPTIM gestion des données de test Production ou Clone de production Créer des environnements de données de test ciblées, à leur juste taille, vite et à moindre coût que le clonage de production. Maintenir, Rafraichir, Réinitialiser les environnements de test Comparer les données pour détecter les anomalies et les régression pour une meilleure qualité de test Extract Accélérer le déploiement en raccourcissant le cycle de test. Dev Extract Files Load Insert / Update Compare Formation Test
Pourquoi s intéresser aux données de tests? Qualité Données de test corrompues Cas de test mal identifiés Approche Tests automatisés Parallélisme Effet Tunnel Multi-projets Stockage Réduire les espaces disque Intégration à n projet de contrôle des coûts Contraintes légales (Masking) Protection des données personnelles ou confidentielles ou réglementaires Productivité des équipes de développement DBAs Testeurs Indépendance vis-à-vis des experts. Baisse des coûts de maintenance à chaud Raccourcissement des cycles de test Réduction des côuts de stockage
Anonymisation des Données Production Test Siebel / UDB Application / Sybase EBS / Oracle Maquillage, Fonctionnel, Cohérent des des données confidentielles Siebel / UDB Application / Sybase EBS / Oracle Substitution des information confidentielles par des valeurs fictives fonctionnellement valides Déploiement de nombreux algorithmes de maquillage Cohérence entre les environnements et les phases de test et entre les environnements de test Permet d envoyer des données pour les tests off-shore Protège les informations personnelles dans les environnements non-production
Maquillage des données CNI 267107814164 H/F F Prénom Julia Nom Roberts Naissance 28/10/1967 Rue 8942 Wilshire Blv Ville Versailles Dept Yvelines CP 78000 Tél (33) 0130565960(*) Account 4442-1698-2356 Semantique Lookup Age Hash Lookup Hashed Julia Fiona + 4 Jours Nouveau CNI Address1 Hash Address2 0130565960 0131677370 Algorithme Custom (Nais + CP) / Hash (CNI)
Anonymisation Pourquoi Parce que c est prévu par les dispositifs législatifs Parce que les fuites de données ont des effets d image et parfois financiers importants Points de ROI Difficile à quantifier Non paiement des pénalités Coûts de perte d image ou de données sensibles. Ce qui explique une adoption très lente par les petites entreprises.
Sécurisation de l environnement de production avec Guardium * * Guardium IMS : planifié pour fin 2011
Enjeux Majeurs sur la Protection des Données Où sont situées les données sensibles et qui y accède? Comment puis-je mettre en œuvre des politiques d accès et de contrôle de changements sur les bases de données critiques? Comment surveiller les vulnérabilités et verrouiller les configurations des bases de données? Comment simplifier et automatiser la mise en conformité?
Les raisons du monitoring des bases de données 1. Menaces Internes Identifier les changements non-autorisés Protéger contre les fuites de données 2. Menaces Externes Prévention des fraudes 3. Conformité Simplifier les process Réduction des couts
Règlements autour de la sécurité des bases de données DDL = Data Definition Language (changement( des structures de données es) DML = Data Manipulation Language (changement( ou accès au contenu des tables) DCL = Data Control Language (gestion( des droits d accès)
Répondre Aux Différents Responsables Responsable Securité Politiques en tempsréel Traçabilitésécurisédes Audits Data mining& forensics Conformité & Audit Séparation des tâches Rapports sur meilleurs pratiques Contrôles automatisés Application & Base de Données Impact Minimal Change management Optimisation de la Performance Guardium: une visibilité a 360
Surveillance et sécurisation des bases de données en temps réel DB2 SQL SQL Server Server Non-invasif Aucun changements sur le DBMS Impact minimal Ne s appuie pas sur les systèmes de log traditionnels des bases pouvant facilement être désactivés par les administrateurs Politiques Granulaires & surveillance Qui, Quoi, Quand, Comment Alertes temps Réel Surveillance de tous les activités, incluant les accès locaux des utilisateurs privilégiés
Plateformes supportées Bientôt IMS (programmé pour fin 2011) 24
Guardium for z Architecture simplifiée Distributed Environment Centralized audit repository Guardium Collector Windows-Based Policy Editor S-TAP for z z/os Policy Configuration Offload DS Audited Tables Audited Tables Audited Tables DB2 Subsystem
Exemple: Insert Statement Type 143 (Change = insert, update, delete)
Les autres solutions
Encryption des données Data Encryption Tool for DB2 & IMS : But: - encrypter les données sur disque pour sécuriser davantage les accès y compris hors DB2 ou IMS (accès direct sur disque) - rendre encore plus difficile la fuite de données en clair Complémentaire avec guardium pour z/os
IBM InfoSphere Guardium Data Encryption for DB2 & IMS InfoSphere Guardium Data Encryption Ensure compliance with data encryption Ensure compliance and protect enterprise data with encryption A single tool for both your IMS and DB2 databases. Requirements Protect sensitive enterprise information and avoid production data breaches Centralized policy and key management Protect data on portable media and render it unusable if stolen or lost Benefits Comply with government and industry regulations (for eg. PCI-DSS) Reduce internal and external risk and threat exposure Minimize impact on applications