3 questions clés pour les DBA

Un audit de conformité peut parfois sembler le pire cauchemar d’un administrateur de base de données, mais ce n’est pas obligatoire. La clé pour réussir un audit de base de données SQL Server est la préparation ; planifier à l’avance et surveiller attentivement l’utilisation de vos données dès le départ peut simplifier le processus d’audit.

C’est selon Bullett Manale, vice-président de l’ingénierie des ventes chez Idera. Dans un webinaire organisé par le fournisseur d’outils de base de données, Manale a discuté des meilleures pratiques d’audit de SQL Server, en particulier de ce que les auditeurs veulent vraiment savoir et de la meilleure façon de répondre à leurs questions.

Selon Manale, les auditeurs ont généralement trois questions principales pour les administrateurs de bases de données (DBA) :

  1. Qui a accès aux données sensibles d’une base de données ?
  2. Les bonnes personnes accèdent-elles aux données ?
  3. La piste d’audit utilisée pour valider les contrôles d’accès est-elle fiable ?

Pour éviter les problèmes lors des audits de bases de données liés à la conformité, les administrateurs de bases de données SQL Server devraient être en mesure de répondre à toutes ces questions, a déclaré Manale, qui les a traitées individuellement plus en détail.

Suivi de l’accès aux données sensibles de SQL Server

Au début d’un audit de conformité, les auditeurs voudront savoir qui a accès aux données sensibles et, plus important encore, comment ils ont obtenu cet accès, a déclaré Manale. Cela revient vraiment à savoir qui devrait et ne devrait pas avoir accès aux données, a-t-il ajouté.

Informations clés pour les audits de base de données SQL Server
Informations dont les administrateurs de base de données SQL Server ont besoin pour les audits de base de données

Selon Manale, savoir exactement où se trouvent les données pertinentes dans une base de données est la clé pour déterminer qui y a accès. Dans le cadre des meilleures pratiques d’audit de SQL Server, les administrateurs de base de données doivent comprendre comment les autorisations des utilisateurs sont appliquées aux parties des bases de données où les données sensibles sont stockées, a-t-il déclaré.

Des outils qui peuvent aider sont disponibles – Manale a noté qu’ils permettent aux administrateurs de base de données d’isoler et d’identifier les utilisateurs, ainsi que leurs droits et autorisations, brossant une image complète de qui a accès à quoi dans une base de données.

Avant de passer à leur deuxième question, les auditeurs doivent généralement savoir que toutes ces informations ont été validées par le responsable de la conformité d’une organisation.dit Manale.

Accès aux données pour les bonnes personnes uniquement

Même si la piste d’audit montre la conformité, de nombreux auditeurs ne feront pas confiance aux informations sans une certaine forme de vérification de l’intégrité de l’audit lui-même.

Bullett Manalevice-président de l’ingénierie des ventes, Idera

Les auditeurs veulent également s’assurer que les travailleurs utilisent correctement les données sensibles. Pour ce faire, a déclaré Manale, ils demanderont la preuve que les données ne sont consultées que par les bonnes personnes – des personnes qualifiées dont le travail nécessite les données en question. Il est tout aussi important de pouvoir prouver que les données ne sont pas accessibles aux mauvaises personnes, a-t-il ajouté.

Pour garantir aux auditeurs que la situation d’accès aux données est sous contrôle, les meilleures pratiques d’audit de SQL Server incluent la possibilité de fournir des enregistrements et des rapports détaillés sur le moment où les données ont été consultées et par qui. Manale a déclaré que le principal défi pour les administrateurs de bases de données n’est pas seulement de savoir qui, quoi, quand et où de chaque transaction liée à des ensembles de données particuliers, mais également de conserver ces enregistrements et de pouvoir les extraire au besoin.

Une piste d’audit complète et précise

Enfin, les auditeurs voudront s’assurer que la piste d’audit utilisée pour valider les contrôles d’accès aux données n’a pas été altérée. Afin de prouver cela, les administrateurs de base de données doivent être en mesure de montrer que les données d’audit n’ont pas changé, a déclaré Manale.

Cela peut être fait en utilisant des fonctions de hachage ou des contrôles de redondance cyclique, mais Manale a averti que cela peut être une tâche particulièrement compliquée car l’intégrité des données dans une base de données est essentielle pour réussir un audit SQL Server. « Même si la piste d’audit montre la conformité, de nombreux auditeurs ne feront pas confiance aux informations sans une certaine forme de vérification de l’intégrité de l’audit lui-même », a-t-il déclaré.

Pour adhérer aux meilleures pratiques d’audit de SQL Server, Manale a recommandé que les administrateurs de bases de données collectent et maintiennent une piste d’audit complète pour les transactions relatives aux données sensibles d’une base de données. Les données doivent être conservées conformément à une politique standard de conservation des données, généralement pendant au moins sept ans, a-t-il déclaré. Il a ajouté que des contrôles en temps réel devraient également être mis en place pour alerter les administrateurs de base de données lorsque les transactions ne respectent pas les normes d’utilisation des données de l’entreprise afin qu’ils puissent mettre un terme aux activités susceptibles de créer des risques de conformité.

Similaire  Pourquoi c'est indispensable et comment l'améliorer