© 2011 IBM Corporation
Agenda
• La Gouvernance
• Archivage, Test et Anonymisation
• Protection des données
• Les solutions complémentaires
© 2011 IBM Corporation
Data Governance
Information Lifecycle Mgmt•Data Retention•Data Retirement
Data Security• Prevent Access• Restrict Access• Monitor Access
Data Privacy•Mask Data•Encrypt Data
Audit •Audit Access•Audit Privileges•Audit Users
Optim Data Privacy
IBM Data Encryption for IMS and DB2
DB2 Encryption
DB2
Optim Data Growth Solution
Optim Test Data Management
Guardium
Tivoli Compliance InSight Manager
Les solutions IBM “Data Governance”
© 2011 IBM Corporation
Regulatory Compliance
� Il existe des normes sur les bonnes pratiques
� Ces normes varient en fonction de l’industrie et des pays dans lesquelles elles s’appliquent
� Les plus souvent rencontrées
– PCI
– European Personal Data Protection Directive
– Sarbanes-Oxley (SOX)
– HIPAA
– Data Breach Disclosure Laws
– Gramm-Leach-Bliley
– Basel II
© 2011 IBM Corporation
Sécurité des données sensibles
• Hackers– TJ Maxx
� >90 million credit and debit card numbers stolen � Estimated costs $1bn over five years ($117m costs in 2Q’07
alone)
• Insiders– Coca-Cola
� Secretary gained access to a new recipe and tried to sell it to Pepsi
• Physical Thieves – Accenture
� Unencrypted tape stolen� 58 taxpayers and 460 bank accounts� Litigation ongoing
Private Customer
Data
Trade Secret
Private Employee
Data
© 2011 IBM Corporation
Les grandes fonctions d’OPTIM
• Archiver (Optim Data Growth)
• Gérer les données de Test (Test Data Management)
• Maquiller (Data Masking Option)
le Test et le Maquillage de données sont très souvent associés
© 2011 IBM Corporation
Solution centrale de gestion des données d’entreprise, déploiementsde règles d’extraction, de stockage et de protection des donnéesapplicatives de leur création jusqu’à leur purge définitive
© 2011 IBM Corporation
Commande
Point Fort : Objet métier complet
• Représente un ensemble cohérent de données – Commande, Client , expédition, paiement ….
• Sous-ensemble référentiellement INTACT de données et de meta-données
• Permet de créer des photos arrêtées (snapshots) d’objets métier complexes
• Objets HETEROGENES et REPARTIS (bases, applications, plateformes)
© 2011 IBM Corporation
Courant
Production Archives
Données
anciennes
• Objets Métier Complets : Référence inaltérable de données cohérentes
• Indépendant des média de stockage : stratégie ILM
• Format inaltérable pour les projets de mise aux normes d’auditabilité
Universal Access to Application Data
Application Application XML ODBC / JDBC
OPTIM – Archivage *
* Optim sur z/OS : disponible H2 2011 / sur distribué disponible avec classic federation
© 2011 IBM Corporation
Pourquoi Archiver
• Raisons
– Performances Métier / Performance des Applications
– Disponibilité
– Respect du cadre législatif (SOX, droit à l’oubli CNIL…)
– Simplification d’infrastructure
– Projets ILM
• Points de recherche de ROI
– Productivité
– Interruptions de service minimales
– Arrêt de la course aux ressources
– Stabiliser les budgets stockage et processeurs
– Stocker la bonne données au bon coût
– Eviter les pénalités
© 2011 IBM Corporation
Les 2 types de projets d’Archivage
• Applications « vivantes »: on archive et on purge les données les plus anciennes et l’application continue à être opérationnelle
• Décommissionnement: on archive tout et on arrête les systèmes
le ROI est souvent très important dans ce cas là
© 2011 IBM Corporation
OPTIM – gestion des données de test
• Créer des environnements de données de test ciblées, à leur juste taille, vite et àmoindre coût que le clonage de production.
• Maintenir, Rafraichir, Réinitialiser les environnements de test
• Comparer les données pour détecter les anomalies et les régression pour une meilleure qualité de test
• Accélérer le déploiement en raccourcissant le cycle de test.
Production ou
Clone de production
Extract
Extract Files
Dev
Test
Formation
LoadInsert / Update
Compare
© 2011 IBM Corporation
Pourquoi s’intéresser aux données de tests ?
• Qualité
– Données de test corrompues
– Cas de test mal identifiés
– Approche Tests automatisés
• Parallélisme
– Effet Tunnel
– Multi-projets
• Stockage
– Réduire les espaces disque
– Intégration à n projet de contrôle des coûts
• Contraintes légales (Masking)
– Protection des données personnelles
– … ou confidentielles ou réglementaires
• Productivité des équipes de développement
– DBAs
– Testeurs
– Indépendance vis-à-vis des experts.
• Baisse des coûts de maintenance àchaud
• Raccourcissement des cycles de test
• Réduction des côuts de stockage
© 2011 IBM Corporation
Anonymisation des Données
Production
Maquillage,
Fonctionnel, Cohérent
des données
confidentielles
Maquillage,
Fonctionnel, Cohérent
des données
confidentielles
EBS / Oracle
Application /
Sybase
Siebel / UDB
Test
EBS / Oracle
Application /
Sybase
Siebel / UDB
• Substitution des information confidentielles par des valeurs fictives fonctionnellement valides
• Déploiement de nombreux algorithmes de maquillage
• Cohérence entre les environnements et les phases de test et entre les environnements de test
• Permet d’envoyer des données pour les tests off-shore
• Protège les informations personnelles dans les environnements non-production
© 2011 IBM Corporation
Maquillage des données
CNI 267107814164H/F FPrénom JuliaNom RobertsNaissance 28/10/1967Rue 8942 Wilshire BlvVille VersaillesDept YvelinesCP 78000Tél (33) 0130565960(*)
Account 4442-1698-2356
Semantique
Hash Lookup
Lookup
Age
Hashed
Nouveau CNI
Julia ���� Fiona
+ 4 Jours
Address1 ���� Hash ���� Address2
0130565960 ���� 0131677370
AlgorithmeCustom
(Nais + CP) / Hash (CNI) …
© 2011 IBM Corporation
Anonymisation
• Pourquoi
– Parce que c’est prévu par les dispositifs législatifs
– Parce que les fuites de données ont des effets d’image et parfois financiers importants
• Points de ROI
– Difficile à quantifier
– Non paiement des pénalités
– Coûts de perte d’image ou de données sensibles ….
– Ce qui explique une adoption très lente par les petites entreprises.
© 2011 IBM Corporation
Sécurisation de l’environnement de production avec Guardium *
* Guardium IMS : planifié pour fin 2011
© 2011 IBM Corporation
Enjeux Majeurs sur la Protection des Données
Où sont situées les données sensibles et
qui y accède?
Comment simplifier et automatiser la mise
en conformité?
Comment puis-je mettre en œuvre des politiques d’accès
et de contrôle de changements sur les bases de données
critiques?
Comment surveiller les vulnérabilités et verrouiller
les configurations des bases de données ?
© 2011 IBM Corporation
Les raisons du monitoring des bases de données
1. Menaces Internes
� Identifier les changementsnon-autorisés
� Protéger contre les fuites de données
2. Menaces Externes
� Prévention des fraudes
3. Conformité
� Simplifier les process
� Réduction des couts
© 2011 IBM Corporation
Règlements autour de la sécurité des bases de données
DDL = Data Definition Language (DDL = Data Definition Language (changementchangement des structures de des structures de donndonnééeses))
DML = Data Manipulation Language (DML = Data Manipulation Language (changementchangement ouou accaccèèss au au contenucontenu des tables)des tables)
DCL = Data Control Language (DCL = Data Control Language (gestiongestion des des droitsdroits dd’’accaccèèss))
© 2011 IBM Corporation
Répondre Aux Différents Responsables
Responsable
Securité
� Politiques en temps-
réel
� Traçabilité sécurisé des
Audits
� Data mining &
forensics
� Séparation des tâches
� Rapports sur meilleurs
pratiques
� Contrôles automatisés
� Impact Minimal
� Change management
� Optimisation de la
Performance
Guardium: une
visibilité a 360°
Conformité & Audit Application & Base de Données
© 2011 IBM Corporation
Surveillance et sécurisation des bases de données en temps réel
• Non-invasif
• Aucun changements sur le DBMS
• Impact minimal
• Ne s’appuie pas sur les systèmes de log traditionnels des bases pouvant facilement être désactivés par les administrateurs
• Politiques Granulaires & surveillance• Qui, Quoi, Quand, Comment
• Alertes temps Réel
• Surveillance de tous les activités, incluant les accès locaux des utilisateurs privilégiés
DB2DB2 SQL Server
SQL Server
© 2011 IBM Corporation
Guardium for z – Architecture simplifiée
z/OS
Windows-Based Policy EditorGuardium Collector
Audited
TablesAudited
TablesAudited
Tables
DB2Subsystem
S-TAP for z
Policy
Configuration
Offload DS
Distributed Environment
Centralized audit repository
© 2011 IBM Corporation
Encryption des données
• Data Encryption Tool for DB2 & IMS :
But:
- encrypter les données sur disque pour sécuriser davantage les accès y compris hors DB2 ou IMS (accès direct sur disque)
- rendre encore plus difficile la fuite de données en clair
Complémentaire avec guardium pour z/OS
© 2011 IBM Corporation
IBM InfoSphere Guardium Data Encryption for DB2 & IMS
� Protect sensitive enterprise information and avoid production data breaches
� Centralized policy and key management
� Protect data on portable media and render it unusable if stolen or lost
Requirements
Benefits
Ensure compliance with data encryption
� Comply with government and industry regulations (for eg. PCI-DSS)
� Reduce internal and external risk and threat exposure
� Minimize impact on applications
Ensure compliance and protect enterprise data with encryption
InfoSphereGuardium Data
Encryption
� A single tool for both your IMS
and DB2 databases.