Oduzeti: Domaćin Eric Kavanagh razmatra reviziju baze podataka i usklađenost s analitičarima Robin Bloor i Dez Blanchfield kao i Bullett Manale iz IDERA-e u ovoj epizodi Hot Technologies.
Trenutno niste prijavljeni. Prijavite se ili prijavite da biste pogledali videozapis.
Eric Kavanagh: Dame i gospodo, pozdravljeni i još jednom dobrodošli natrag u Hot Technologies! Da, zaista, 2016. Bili su u trećoj godini ove emisije, njezine vrlo uzbudljive stvari. Ove godine smo se ljuljali i kotrljali. Ovo je Eric Kavanagh, tvoj domaćin. Danas tema - to je sjajna tema, ima puno primjena u raznim industrijama, iskreno - "Tko, što, gdje i kako: zašto želite znati." Da, stvarno smo htjeli razgovarati o svim tim zabavnim stvarima. Doista je slajd o vašem, nađite me na @eric_kavanagh. Nastojim ponovno tvitnuti sve napomene i revitalizirati sve što mi se netko dogodi. Inače neka tako bude.
Vruće je, da, zaista! Cijeli je show ovdje osmišljen kako bi pomogao organizacijama i pojedincima da razumiju određene vrste tehnologije. Ovdje smo osmislili cijeli program Hot Hot Technologies kao način definiranja određene vrste softvera ili određenog trenda ili određene tehnologije. Razlog je taj što, iskreno, u softverskom svijetu često dobivate ove marketinške pojmove koji se naprežu, a ponekad mogu iskreno gaditi pojmove koje su namjeravali opisati.
U ovoj smo se emisiji doista pokušavali pomoći razumijeti što je određena vrsta tehnologije, kako ona funkcionira, kada je možete koristiti, kada je možda ne biste trebali koristiti i pružiti vam što više detalja. Danas imamo tri prezentatora: našeg vlastitog Robin Bloor-a, glavnog analitičara iz grupe Bloor; naš znanstvenik za podatke koji dolazi iz Sydneya u Australiji s druge strane planeta, Dez Blanchfield, i jedan od naših najdražih gostiju Bullett Manale, direktor prodaje inženjeringa iz IDERA.
Ja samo kažem nekoliko stvari ovdje, razumijevajući tko radi što s kojim dijelom podataka, to je poput upravljanja, zar ne? Ako razmišljate o svim propisima u industriji, poput zdravstvene zaštite i financijskih usluga, na tim domenima, te su stvari nevjerojatno važne. Morate znati tko je dotaknuo informaciju, tko nešto promijenio, tko pristupio njemu, tko ih prenio, na primjer. Što je podrijetlo, u čemu je providnost tih podataka? Možete biti sigurni da će sva ova pitanja zbog raznih razloga ostati istaknuta u godinama koje dolaze. Ne samo radi usklađenosti, premda HIPAA, Sarbanes-Oxley i Dodd-Frank, i svi su ti propisi vrlo važni, već i jednostavno tako da u svom poslu razumijete tko radi što, gdje, kada, zašto i kako. Ovo su dobre stvari, obraćaju pažnju.
Samo naprijed, uzmi je, Robin Bloor.
Robin Bloor: U redu, hvala na uvodu, Eric. Mislim, ovo područje upravljanja je, mislim, upravljanje IT-om nije riječ koju ste čuli tek malo nakon 2000. godine, mislim. Do toga je došlo prvenstveno zato što se, u svakom slučaju, dogodilo prije svega zbog toga što se primjenjuje zakonodavstvo o usklađenosti. Posebno HIPAA i Sarbanes-Oxley. Zapravo je puno toga. Stoga su organizacije shvatile da moraju imati skup pravila i skup postupaka, jer je prema zakonu to bilo potrebno. Mnogo prije toga, posebno u bankarskom sektoru, postojale su razne inicijative kojima ste se morali pridržavati, ovisno o vrsti banke, a posebno međunarodnim bankarima. Počeo je čitav postupak sukladan Bazelu, mnogo prije tog određenog skupa inicijativa nakon 2000. godine. Sve se zapravo svodi na upravljanje. Mislio sam da ću razgovarati o temi upravljanja kao uvod u fokus praćenja onoga tko dobiva podatke.
Upravljanje podacima, nekada sam se osvrtao oko sebe, mislim prije pet-šest godina, osvrnuo se na definicije i uopće nije bio dobro definiran. Postaje sve jasnije i jasnije što to zapravo znači. Stvarnost situacije bila je ta da su u određenim granicama svi podaci zapravo prethodno uređeni, ali za to ne postoje formalna pravila.Postojala su posebna pravila koja su posebno izrađena u bankarskoj industriji za takve stvari, ali opet se to više odnosilo na poštivanje. Na jedan ili drugi način dokazivanje da ste zapravo bili povezan s rizikom, tako da je njegovo dokazivanje da ste održiva banka dogovor.
Ako sada pogledate na izazov upravljanja, započinje s činjenicom kretanja velikih podataka. Imamo sve veći broj izvora podataka. Obim podataka naravno je problem s tim. Konkretno, počeli smo mnogo, puno više, s nestrukturiranim podacima. Počelo je postajati nešto što je dio čitave analitičke igre. A zbog analitike važna je provjera podataka i podrijetla. Doista s gledišta upotrebe analitike podataka na bilo koji način koji je povezan s bilo kojom vrstom sukladnosti, doista morate imati znanje odakle su podaci došli i kako bi trebali biti kakvi jesu.
Šifriranje podataka počelo je postajati problem, postalo je veće pitanje čim smo otišli u Hadoop jer ideja o jezeru podataka u koju pohranjujemo puno podataka odjednom znači da imate ogromno područje ranjivosti ljudi koji mogu dobiti na tome. Šifriranje podataka postalo je mnogo izraženije. Autentifikacija je uvijek bila problem. U starijoj okolini, strogo mainframe okruženju, imali su tako divnu sigurnosnu zaštitu na perimetru; provjera autentičnosti nikada nije bila problem. Kasnije je to postalo veće i sada puno veće pitanje jer smo dobili tako široko raspodijeljeno okruženje. Praćenje pristupa podacima to je postalo problem. Čini se da se sjećam raznih alata koji su nastali prije desetak godina. Mislim da su većinu njih pokrenule inicijative za usklađivanje. Stoga smo dobili i sva pravila o sukladnosti, izvještavanje o usklađenosti.
Ono što pada na pamet je da još u 1990-ima, kada ste radili klinička ispitivanja u farmaceutskoj industriji, ne samo da ste morali dokazati odakle podaci dolaze - očito je to vrlo važno, ako pokušavate droga u raznim nedostacima, da biste znali kome se sudi i koji su konačni podaci oko njega - morali ste biti u mogućnosti pružiti reviziju softvera koji je ustvari stvorio podatke. To je najoštriji način na koji sam ikad vidio, u smislu dokazivanja da zapravo ne namjeravate slučajno ili slučajno zabrljati stvari. U posljednje vrijeme postalo je problem, posebno upravljanje životnim ciklusom podataka. Sve je to na neki način izazov, jer puno toga nije dobro izvedeno. U mnogim je okolnostima to potrebno učiniti.
To zovem piramida podataka. Prije sam nekako razgovarao o ovome. Smatram da je to vrlo zanimljiv način gledanja na stvari. Podatke možete smatrati slojevima. Sirovi podaci, ako želite, zapravo su samo signali ili mjerenja, snimke, događaji, uglavnom pojedinačni zapisi. Moguće je da transakcije, proračuni i objedinjavanja stvaraju nove podatke. Mogu se razmišljati na razini podataka. Povrh toga, jednom kada stvarno povežete podatke, oni postaju informacija. Postaje korisniji, ali naravno postaje ranjiviji na ljude koji ga hakiraju ili zlostavljaju. Definiram to kao stvaranje, stvarno strukturiranjem podataka, sposobnošću vizualizacije podataka s glosarima, shemama, ontologijama na informacijama. Ta dva donja sloja su ono što obrađujemo na ovaj ili onaj način. Iznad toga zovem sloj znanja koji se sastoji od pravila, politika, smjernica, postupaka. Neke od njih zapravo mogu biti stvorene uvidima koji su otkriveni analitikom. Mnogo njih zapravo su politike kojih se morate pridržavati. Ovo je sloj, ako želite, upravljanja. Ovo je mjesto na koji se, na ovaj ili onaj način, ako ovaj sloj nije pravilno naseljen, dva sloja ispod ne upravljaju. Posljednja poanta u vezi s tim je razumijevanje nečega što postoji samo u ljudskim bićima. Računala to još nisu uspjela, na sreću. Inače, ostajem bez posla.
Carstvo upravljanja - nekako sam to sastavio, mislim da je moralo biti prije otprilike devet mjeseci, vjerojatno puno ranije od toga. U osnovi, nekako sam to poboljšao, ali čim smo se počeli baviti upravljanjem, tada nije postojalo samo spremište podataka, resursi jezera podataka, već i opći poslužitelji raznih vrsta, u smislu korporacijskog centra podataka. specijalizirani poslužitelji podataka. Sve je to trebalo vladati. Kada ste dobro pogledali i razne dimenzije - sigurnost podataka, čišćenje podataka, otkrivanje metapodataka i metapodaci, kreiranje poslovnog pojmovnika, mapiranje podataka, generacija podataka, upravljanje životnim ciklusom podataka - tada, upravljanje praćenjem performansi, upravljanje razinom usluge , upravljanje sustavom, koje možda zapravo ne povezujete s upravljanjem, ali određeno - sada kada ste išli u brži i brži svijet s sve više protoka podataka, zapravo biti u mogućnosti napraviti nešto s određenom izvedbom zapravo je nužno i započinje postaju pravilo rada, a ne bilo što drugo.
Rezimirajući u pogledu rasta usklađenosti, promatrao sam to tijekom mnogih, mnogo godina, ali opća zaštita podataka zapravo je 1990-ih stigla u Europu. Od tada je samo dobilo više i sofisticiranije. Zatim su se sve ove stvari počele uvoditi ili postajati sofisticiranijima. GRC, taj rizik upravljanja i poštivanje zakona, traje još od vremena kada su banke učinile Basel. ISO stvara standarde raznih vrsta operacija. Znam za sve vrijeme da sam bio u IT-u - to je već dugo vremena - američka vlada bila je posebno aktivna u kreiranju različitih zakona: SOX, Theres Gramm-Leach-Bliley, HIPAA, FISMA, FERPA. Dobili ste i divnu NIST organizaciju koja stvara mnoge standarde, posebno sigurnosne standarde, vrlo korisne. Zakoni o zaštiti podataka u Europi imaju lokalne razlike. Na primjer, ono što možete učiniti s osobnim podacima u Njemačkoj razlikuje se od onoga što možete učiniti u Slovačkoj, Sloveniji ili Sloveniji. Predstavili su se nedavno - i pomislila sam da to spominjem jer smatram da je to zabavno - Europa uvodi ideju prava na zaborav. Odnosno, trebalo bi postojati zastara ograničenja javnih podataka koji su zapravo osobni podaci. Mislim da je to smiješno. S gledišta IT-a to će biti vrlo, vrlo teško ako se počnu provoditi na snazi zakonodavstvom. Ukratko, kažem sljedeće: Budući da se informacijski podaci i upravljanje razvijaju brzo, upravljanje se također mora brzo razvijati i odnosi se na sva područja upravljanja.
Nakon što sam rekao da ću ja loptu poslati Dez.
Eric Kavanagh: Da, doista, pa Dez Blanchfield, oduzmi to. Robin, ja sam s tobom, čovječe, umirem vidjeti kako se odigrava ovo pravo na zaborav. Mislim da to neće biti samo izazovno, već u osnovi nemoguće. To je samo kršenje čekanja na koje će izvršiti vladine agencije. Dez, odnesi to.
Dez Blanchfield: To je zaista i to je tema za drugu raspravu. Ovdje imamo vrlo sličan izazov u Azijsko-Pacifiku, a posebno u Australiji gdje se od operatora i davatelja internetskih usluga traži da evidentiraju sve što je povezano s internetom i da mogu snimati i ponovno regrutirati u slučaju da netko od interesa učini nešto pogrešno. To je zakon i morate ga se pridržavati. Izazov, baš kao što bi netko iz Googlea u SAD-u mogao dobiti brisanje moje povijesti pretraživanja ili bilo što drugo, moglo bi biti u skladu s europskim zakonom, posebno njemačkim zakonom o privatnosti. U Australiji, ako agencija želi pregledati vas, prijevoznik mora biti u mogućnosti pružiti detalje o obavljenim pozivima i povijesti pretraživanja, što je izazovno, ali to je svijet u kojem živimo. Za to postoji gomila razloga. Pusti me da skočim u svoje.
Namjerno sam svoju naslovnu stranicu teško pročitao. Morate stvarno jako teško gledati na to. Usklađenost, sukladno skupu pravila, specifikacija, kontrola, pravila, standarda ili zakona, sa blesavom, neurednom pozadinom. To je zato što vam je stvarno teško shvatiti detalje i izvući informacije iz onoga što se nalazi preko njih, a to je niz tablica i redaka i stupaca, bilo baze podataka, shema ili obrazac u Visio-u. To je takav kakav je osjećaj usklađenosti iz dana u dan. Teško je uroniti u detalje i izvući odgovarajuće dijelove informacija koje su vam potrebne da biste mogli potvrditi da su sukladni. Izvijestite o tome, nadgledajte ga i testirajte.
Zapravo sam mislio da je zaista dobar način da se to vizualizira kada sebi postavimo pitanje: "Jeste li sukladni?" "Jesi li siguran?" "Pa, dokaži!" To je stvarno zabavna stvar koja je možda malo više anglo-keltska, ali siguran sam da je prošao svoj svijet u SAD, pa glasi: "Wheres Wally?" Wally je mali lik koji upada u ove crtane crteže u obliku knjiga. Obično slike velikih dimenzija A3 ili veće. Dakle, crteži veličine tablice. Ima mali lik koji nosi zrno i crveno-bijelu prugastu majicu. Ideja igre je da pogledate ovu sliku i pogledate oko sebe kako biste pokušali pronaći Wallyja. Tu je negdje na toj slici. Kada razmišljate o tome kako otkriti i opisati i izvijestiti o poštivanju zakona, na mnogo načina to je poput igranja "Wheres Wally". Ako pogledate tu sliku, lik je gotovo nemoguće pronaći. Djeca na to troše sate i ja sam se jučer jako zabavljala radeći to. Kad ga pogledamo, nalazimo čitavu gomilu ljudi u tim crtićima, namjerno smještene tamo s sličnim komadima Wallyjeve odjeće u prugastom dresu i dresu ili vunenom vrhu. No, ispostavilo se da su lažno pozitivni.
To je sličan izazov koji imamo s poštivanjem. Kad smo gledali stvari, ponekad nešto za što mislimo da je to slučaj, nije li uopće slučaj. Netko može imati pristup bazi podataka i pretpostavljao je da ima taj pristup bazi podataka, ali način na koji je koriste je malo drugačiji od onoga što očekujemo. Mogli bismo odlučiti da je to nešto što moramo pogledati. Kad pogledamo u to, utvrdili smo, da, to je vrlo važan korisnik. Samo su nešto čudno radili. Možda je to PC istraživač ili tko zna. U drugim bi slučajevima moglo biti suprotno. Kad ponovo krenem naprijed, stvarnost je, Wally. Ako ste izgledali jako teško u ovoj visokoj rezoluciji, nalazi se jedan lik koji zapravo nosi odgovarajuću odjeću. Svi ostali su podjednako lookalikesi. Sukladnost je vrlo slična tome. Većina ljudi koje poznajem rade na područjima kontrole i poštivanja propisa i politika tvrtke. U cijelom nizu područja, bilo da je riječ o tehnologiji, bilo da je riječ o financiranju ili poslovanju i riziku. Često je vrlo teško vidjeti Wally na slici, vidjet ćete drveće ili šumu.
Pitanje koje si postavljamo kada razmišljamo o stvarima poput usklađenosti glasi: "Velika stvar, što bi moglo poći po zlu ako ne ispunimo usklađenost?" U okviru današnje rasprave, posebno oko baze podataka i kontrole pristupa podacima, dat ću vam nekoliko vrlo stvarnih primjera poziva za buđenje o tome što može poći po zlu u vrlo kratkom sažetom obliku. Ako pomislimo na kršenje podataka, a svi smo bili upoznati s kršenjima podataka, čujemo ih u medijima i nekako se zaustavljamo i smijamo se, jer ljudi misle da je to tržište. Osobne stvari. To je Ashley Madison i ljudi koji žele dobiti izlaze izvan svojih veza i brakova. Njegovi računi. Sve se ove čudne stvari ili neki slučajni europski ili ruski ISP ili hosting kompanija haraju. Kad dođete do stvari poput MySpacea i ovih deset najboljih, kada pogledate ove brojeve, ono što želim da shvatite je ovo: 1,1 milijardi ljudi detalji su u tih deset najboljih kršenja. I da, postoji preklapanje, vjerojatno postoje ljudi koji imaju MySpace račun, i Dropbox račun, i Tumblr račun, ali dopuštaju ih oko milijun ljudi.
Ovih deset prvih kršenja posljednjeg desetljeća ili slično - čak ni desetljeće, u većini slučajeva - čine otprilike jednu sedmu svjetske populacije ljudi, ali realnije, oko 50 posto broja ljudi povezano je s Interneta, preko milijardu pojedinaca. Do toga dolazi jer u nekim slučajevima nije zadovoljeno poštovanje pravila. U većini slučajeva to su bile kontrole pristupa bazi podataka, kontrola pristupa određenim skupovima podataka, te sustavima i mrežama. Ovo je zastrašujuća provjera stvarnosti. Ako vas to ne plaši, kada pogledate prvih deset i vidite da je ovo - ili možete vidjeti da je to milijarda pojedinaca, pravih ljudskih bića baš poput nas, na ovaj poziv upravo sada. Ako imate LinkedIn račun, ako ste imali Dropbox račun ili Tumblr račun ili ako ste kupili od Adobe proizvoda ili čak registrirali besplatni Adobe preglednik. Sasvim je vjerovatno, nije moguće, potpuno je vjerojatno da su vaši detalji, vaše ime, prezime, adresa, potencijalno čak i adresa tvrtke ili kućna adresa ili kreditna kartica zapravo zbog kršenja koje se dogodio zbog kontrola koje se nužno nisu dobro upravljale u obliku upravljanja podacima, upravljanja podacima.
Pogledajmo ga kad ga promatramo u stvarnim detaljima. Postoji jedan ekran od njih, tamo je oko 50-nešto. Ima još 15. Ima oko 25. To su kršenja podataka koja su navedena na web mjestu zvanom haveibeenpwned.com. To bi moglo poći po zlu ako se jednostavno ne upravlja ispravnim postupkom koji kontrolira tko je imao pristup podacima u bazama podataka u različitim poljima i redacima i stupcima i različitim aplikacijama. Ove organizacije sada upravljaju podacima. Većina podataka živi u bazi podataka u nekom obliku. Kad razmislite o tome, taj popis kršenja koji smo upravo gledali, i nadamo se da vam je pružio malo hladnog tuša u određenom smislu, jer ste mislili da je "Hmm, to je vrlo stvarno", a potencijalno je utjecalo na vas. Na primjer, 2012. godine, primjerice, u slučaju kršenja LinkedIna, većina stručnjaka ima LinkedIn račun ovih dana i vjerovatno je da će se vaši podaci izgubiti. Na Internetu su od 2012. godine. Tek su nam o tome obaviješteni 2016. Što se s vama dogodilo u te četiri godine? Pa, zanimljivo je i o tome možemo razgovarati odvojeno.
Upravljanje bazama podataka i sustavima - često govorim o tome što smatram prvih pet izazova u upravljanju tim stvarima. U samom, samom vrhu i Im to rangira po redoslijedu od sebe, ali i po redoslijedu učinka, broj jedan je sigurnost i poštivanje. Kontrole i mehanizmi i politike oko kontrole tko ima kakav pristup kakvom sustavu, iz kojeg razloga i svrhe. Izvještavanje o tome i praćenje, uvid u sustave, gledanje u baze podataka i uvid u to tko zapravo može pristupiti zapisima, pojedinim poljima i zapisima.
Razmislite o tome u vrlo jednostavnom obliku. Ponovimo o bankarstvu i upravljanju bogatstvom kao jednim od primjera. Kada se prijavite na bankovni račun, recimo samo uobičajeni novčani račun za EFTPOS karticu ili gotovinski ili čekovni račun. Ispunite obrazac i postoji puno vrlo privatnih podataka u onom komadu papira koji ispunite ili radite na mreži, a koji ulazi u računalni sustav. Sad, ako netko iz marketinga želi kontaktirati vas i vi brošuru, treba im dozvoliti da vide vaše ime i prezime, te vašu osobnu adresu, na primjer, i potencijalni vaš telefonski broj ako vas žele hladno nazvati i prodati ti nešto. Vjerojatno ne bi trebali vidjeti ukupan iznos novca koji ste dobili u banci iz gomile razloga. Ako vas netko gleda s rizičnog stajališta ili vam pokušava pomoći da učinite nešto poput postizanja boljih kamatnih stopa na vašem računu, ta osoba vjerojatno želi vidjeti koliko novca imate u banci, pa vam može ponuditi odgovarajuće razine kamata vraćaju vaš novac. Te dvije osobe imaju vrlo različite uloge i vrlo različite razloge za te uloge i svrhe tih uloga. Kao rezultat toga, u vašem zapisu trebaju se vidjeti različite informacije, ali ne i svi podaci.
Ove kontrole upravljaju različitim izvješćem uobičajenih zaslona ili oblika koji imaju u aplikacijama za upravljanje računom. Razvoj za one, njihovo održavanje, njihovo upravljanje, izvještavanje oko njih i upravljanje i poštivanje zakona omotanih onima poput omota mjehurića, sve je to vrlo, vrlo velik izazov. To je samo izazov broj jedan u upravljanju podacima i sustavima. Kad dublje spustimo taj niz u izvedbu i nadzor, otkrivanje i reakciju pojave i reakciju, upravljanje i administraciju sustava te usklađenost oko njih, dizajn i razvoj sustava od usklađenosti, postaje puno teže.
Upravljanje cijelim pitanjem smanjenja rizika i poboljšanja sigurnosti. Mojih pet najboljih izazova na ovom prostoru - i sviđaju mi se slike koje idu s carinarnicom kad uđete u neku zemlju - predoče vašu putovnicu, pa vas provjere i pregledaju njihov računalni sustav kako bi vidjeli treba li proći ili ne. Ako ne bi trebao, smjestili su te na sljedeći avion kući. Inače vas vraćaju unutra i postavljaju vam pitanja poput: "Dolazite li na odmor? Jeste li ovdje turista? Jeste li ovdje zbog posla? Kakvu vrstu posla želite vidjeti? Gdje ćete odsjesti?" ? Koliko dugo dolazite? Imate li dovoljno novca da pokrijete svoje troškove i troškove? Ili ćete postati rizik državi u kojoj se nalazite i možda će morati paziti na vas i hraniti vas? "
Postoje problemi oko ovog prostora podataka koji upravljaju zaštitom podataka. Na primjer, u prostoru baze podataka, moramo razmišljati o ublažavanju zaobilaznica baze podataka. Ako su podaci u bazi podataka, u normalnom okruženju i postoje kontrole i mehanizmi oko njega u sustavu. Što se događa ako je deform podataka napravljen u više SQL-a i izrađen je sigurnosna kopija s trakom? Baze se izbacuju u sirovom obliku i podupiru se ponekad. Ponekad to radi iz tehničkih, razvojnih razloga. Recimo samo da je snimljen DB-ov deponij i izrađen sigurnosno kopiran na vrpcu. Što se događa ako se dogodi da uhvatim ruku na toj vrpci i vratim je? I dobio sam neobrađenu kopiju baze podataka u SQL-u. To je MP datoteka, njegova, mogu je pročitati. Sve lozinke koje su pohranjene na tom deponiju nemaju kontrolu nad mnom jer sada dobivam pristup stvarnom sadržaju baze podataka bez da ga baza podataka štiti. Na taj način mogu tehnički zaobići sigurnost platforme baze podataka koja se ugrađuje u motor u skladu s upravljanjem i upravljanjem rizikom kako bi me zaustavilo gledanje podataka. Budući da je potencijalni programer, administrator sustava, uhvatio sam se na cjeloviti zaslon baze podataka koja bi se trebala koristiti za izradu sigurnosnih kopija.
Zloupotreba podataka - potencijalno natjeranje nekoga da se prijavi kao povišen račun i pusti me da sjedim za ekranom, tražim informacije ili slične stvari.Vlastita revizija, pristup i uporaba podataka te pregled podataka ili njihove promjene. Zatim je potrebno izvješćivanje o toj kontroli i usklađenost. Nadgledanje prometa i pristupa itd., Blokiranje prijetnji koje dolaze s vanjskih lokacija i poslužitelja. Na primjer, ako se podaci prezentiraju putem obrasca na web stranici na internetu, jesu li njihove SQL injekcije zaštićene vatrozidima i kontrolama koncepta? Postoji duga detaljna priča koja stoji iza ovoga. Ovdje možete vidjeti da su samo neke od ovih apsolutno temeljnih stvari o kojima razmišljamo u ublažavanju i upravljanju rizikom oko podataka unutar baza podataka. Zapravo je relativno lako zaobići neke od ovih proizvoda ako ste na različitim razinama tehnoloških hrpa. Izazov postaje sve teži i teži jer dobivate sve više podataka i više baza podataka. Sve više i mnogo izazovnije ljudima koji moraju upravljati sustavima i nadzirati njihovu upotrebu, pratiti relevantne detalje koji se posebno odnose na stvari o kojima je Robin govorio, oko stvari poput osobne sukladnosti. Pojedinci imaju kontrole i mehanizme koji su u skladu s njima - ako učinite nešto pogrešno, potencijalno će vas otpustiti. Ako se prijavim na svoj račun kako biste to vidjeli, to bi trebao biti prekršaj za prekršaj. Sada sam vam dao pristup podacima koje ne biste trebali normalno vidjeti.
Tu je osobna usklađenost, postoji korporativna usklađenost, tvrtke imaju politike i pravila i kontrole koje postavljaju na sebe upravo tako da tvrtka posluje dobro i osigurava povrat dobiti i dobar povrat investitorima i dioničarima. Tada su te države često u cijeloj državi ili na državnoj ili nacionalnoj saveznoj razini, kao što ste rekli, američke kontrole i zakoni. Onda su globalne. Neki od većih incidenata u svijetu, gdje se sviđa Sarbanes-Oxley, dvoje pojedinaca od kojih se traži da iznađu načine kako zaštititi podatke i sustave. Theres Basel u Europi i postoji sav raspon kontrola u Australiji, posebno oko burzi i vjerodajnice, a zatim privatnost na razini pojedinca ili tvrtke. Kad se svaki od njih složi kao što ste vidjeli na jednom od mjesta koja je Robin imao, oni postaju gotovo nemoguća planina za penjanje. Troškovi postaju visoki i bili su u trenutku kada izvorni tradicionalni pristup koji znate, poput mjerenja ljudskog bića, više nije prikladan pristup jer je skala prevelika.
Imamo scenarij u kojem je usklađenost ono što ja sada zovem uvijek aktuelno pitanje. A to je da smo nekada imali potencijalnu točku, bilo mjesečno ili tromjesečno ili godišnje, gdje bismo pregledavali stanje nacije i pomogli usklađivanju i kontroli. Pobrinite se da su određeni ljudi imali određeni pristup i nisu imali određeni pristup, ovisno o tome koja su im dopuštenja. Sada je slučaj brzine stvari kojom se stvari kreću, tempa kojim se stvari mijenjaju, razmjera kojim su se ponašale. Usklađenost je pitanje koje se uvijek postavlja, a globalna financijska kriza bila je samo jedan primjer gdje su relevantne kontrole i mjere sigurnosti i poštivanja mogu potencijalno izbjeći scenarij u kojem smo imali otklonjeni teretni vlak određenog ponašanja. Samo stvaranje situacije sa cijelim svijetom učinkovito znajući da će se ona raspasti i bankrotirati. Da bismo to postigli, trebaju nam pravi alati. Bacanje ljudi u vlak, bacanje tijela više nije valjan pristup jer je skala prevelika i stvari se kreću prebrzo. Danas, mislim da će se voditi rasprava o vrstama alata za primjenu na ovo. Konkretno alate koje nam IDERA može pružiti zbog toga. I imajući to na umu, dat ću ga Bullettu da prođe kroz njegov materijal i pokaže nam svoj pristup i alate koje imaju da riješe ovaj problem koji smo vam sada predstavili.
S tim, Bullett, predaću vam se.
Bullett Manale: Zvuči odlično, hvala. Želim razgovarati o nekoliko slajdova, a želim vam pokazati i proizvod koji koristimo za baze podataka SQL Server, posebno za pomoć u usklađivanju situacija. Zaista, izazov u mnogim slučajevima - preskočit ću ih nekoliko - ovo je samo naš portfelj proizvoda, koji ću proći kroz to prilično brzo. U smislu gdje će se ovaj proizvod odnositi i kako se odnosi na usklađenost, to uvijek izvlačim kao prvi slajd jer je njegov generički oblik: "Hej, što je odgovornost DBA?" Jedna od stvari kontrolira i nadzire pristup korisnika te također može generirati izvješća. To će se povezati kada razgovarate sa svojim revizorom, koliko će taj proces biti težak varirat će ovisno o tome hoćete li ga sami napraviti ili ćete za pomoć koristiti alat treće strane.
Općenito govoreći, kada razgovaram s administratorima baza podataka, puno puta nikada nisu bili uključeni u reviziju. Nekako ih morate educirati u ono što stvarno trebate raditi. Povezano s onom vrstom sukladnosti koju treba ispuniti i sposobno je dokazati da zapravo slijedi pravila jer se primjenjuje na tu razinu poštivanja. U početku ga mnogi ljudi ne shvataju. Oni misle: "Oh, mogu samo kupiti alat koji će me učiniti sukladnim." Stvarnost je, to nije slučaj. Volio bih da mogu reći da je naš proizvod na čarobni način na koji pritisnete lagan gumb dao mogućnost da se uvjerite u to. Realnost je da morate postaviti svoje okruženje u smislu kontrola, u smislu načina na koji ljudi pristupaju podacima, a sve to morate razraditi s aplikacijom koju imate. Gdje se ti osjetljivi podaci pohranjuju, o kojoj se vrsti regulatornog zahtjeva radi. Zatim će također trebati raditi s obično službenicima za interni nadzor da biste bili sigurni da slijedite sva pravila.
Zvuči stvarno komplicirano. Ako pogledate sve regulatorne zahtjeve, pomislite da bi to mogao biti slučaj, ali stvarnost je da ovdje postoji zajednički nazivnik. U našem slučaju s alatom koji ću vam danas pokazati, proizvodom Compliance Manager, proces u našoj situaciji bio bi taj da prije svega moramo biti sigurni da smo prikupljali podatke o revizorskom tragu, a odnose se na to gdje su podaci nalazi se u bazi podataka koja je osjetljiva. Možete prikupiti sve, zar ne? Mogao bih izaći i reći da želim prikupiti svaku transakciju koja se događa u ovoj bazi. Realnost je takva da vjerojatno imate samo mali dio ili mali postotak transakcija koje su zapravo povezane s osjetljivim podacima. Ako je PCI sukladan, on će se nalaziti oko podataka o kreditnoj kartici, vlasnika kreditnih kartica i njihovih osobnih podataka. Možda postoji mnoštvo drugih transakcija koje se odnose na vašu prijavu, a to zapravo nema nikakve veze sa regulatornim zahtjevima PCI-ja.
S tog stajališta, prva stvar kad razgovaram s DBA-om je ono što govorim: „Izazov broj jedan nije pokušaj nabaviti alat za sve te stvari. Samo znamo gdje su ti osjetljivi podaci i na koji način ih zaključujemo? "Ako to imate, ako možete odgovoriti na to pitanje, onda ste na pola puta kući u smislu da možete pokazati da ste u skladu, pod pretpostavkom da slijedite desne kontrole. Recimo na trenutak da pratite ispravne kontrole i rekli ste revizorima da je to slučaj. Sljedeći dio postupka očito je u mogućnosti pružiti revizorski trag koji pokazuje i potvrđuje da te kontrole zapravo rade. Zatim, slijedite to i osigurajte spremanje tih podataka. Obično sa stvarima poput PCI i HIPAA usklađenosti, i s takvim vrstama stvari, pričate o zadržavanju sedam godina. Govorite o puno transakcija i puno podataka.
Ako čuvate, prikupljate svaku transakciju iako je samo pet posto transakcija povezano s osjetljivim podacima, govorite o prilično velikim troškovima povezanim s tim da ih morate pohraniti sedam godina. Mislim da je to jedan od najvećih izazova u nabijanju naroda oko toga da kažu, to je očito nepotreban trošak. Također je puno lakše ako se možemo samo detaljno usredotočiti na osjetljiva područja unutar baze podataka. Uz to ćete htjeti i kontrolu oko nekih osjetljivih podataka. Ne samo da se prikažete u smislu revizijskog traga, već da biste mogli povezati stvari s događajima koji se događaju i biti u mogućnosti primati obavijesti u stvarnom vremenu, tako da možete biti svjesni toga.
Primjer koji uvijek koristim i koji možda nije nužno povezan s bilo kojom vrstom regulatornih zahtjeva, ali na primjer, samo da bi mogao pratiti, netko je morao ispustiti tablicu povezanu s platnom spiskom. Ako se to dogodi, način na koji saznate za to, ako to ne pratite, nitko neće biti plaćen. To je prekasno. Želite znati kada se ta tablica ispusti, točno kad padne, kako biste izbjegli bilo kakve loše stvari koje se dogode kao rezultat nezadovoljnog zaposlenika i brisanje tablice vezane izravno za platne spiskove.
Uz spomenuto, trik je pronaći zajednički nazivnik ili upotrijebiti taj zajednički nazivnik za mapiranje nivoa usklađenosti. To je ono što pokušavamo učiniti s ovim alatom. U osnovi prihvaćamo pristup, nećemo vam pokazati izvještaj specifičan za PCI, specifičan za dionice; zajednički nazivnik jeste da li imate aplikaciju koja koristi SQL Server za pohranu osjetljivih podataka u bazu podataka. Jednom kada se preokrenete, kažete: "Da, to je zaista glavna stvar na koju se moramo usredotočiti - gdje su tu osjetljivi podaci i kako im se pristupa?" Kad to budete imali, postoji količina izvještaja koja nudimo i koja mogu pružiti dokaz, i vi ćete biti u skladu.
Vratimo se na pitanja koja postavlja revizor, prva pitanja bit će: Tko ima pristup podacima i kako dobiva taj pristup? Možete li dokazati da pravi ljudi pristupaju podacima, a pogrešni ne? Možete li također dokazati da je sam revizorski trag nešto čemu se mogu vjerovati kao nepromjenjivi izvor informacija? Ako vam dam izvore za reviziju, to mi zapravo i nije puno kao revizor da zakrpi vašu reviziju ako su podaci izmišljeni. Potreban nam je dokaz, obično iz revizijske perspektive.
Kroz ta pitanja malo detaljnije. Izazov s prvim pitanjem je da, kao što sam rekao, morate znati gdje su ti osjetljivi podaci da biste mogli prijaviti tko im pristupa. To je obično neka vrsta otkrića i stvarno imate tisuće različitih aplikacija koje su vani, imate mnoštvo različitih regulatornih zahtjeva. U većini slučajeva želite raditi sa svojim službenikom za usklađivanje ako ga imate ili barem nekoga tko bi imao dodatni uvid u smislu gdje su moji osjetljivi podaci unutar aplikacije. Imamo alat koji imamo, besplatni alat, koji se naziva SQL pretraživanjem stupaca. Kažemo našim potencijalnim kupcima i korisnicima koji su zainteresirani za to pitanje da ih mogu preuzeti. Ono što će učiniti jest ići u potrazi za podacima u bazi podataka koji će po prirodi vjerojatno biti osjetljivi.
A kad jednom to učinite, također morate shvatiti kako ljudi pristupaju tim podacima. I opet će to biti, koji računi unutar kojih grupa Active Directory, koji su uključeni korisnici baze podataka, tu su povezana uloga. Imajući u vidu, naravno, da sve ove stvari o kojima govorimo mora biti odobren od strane revizora, pa ako kažete: "Na taj način zaključavamo podatke", tada revizori mogu doći natrag i reci: "Pa, radiš krivo." Ali recimo da oni kažu, "Da, to izgleda dobro. Dovoljno zaključavate podatke. "
Prelazeći na sljedeće pitanje, može li biti dokaz da pravi ljudi pristupaju tim podacima? Drugim riječima, možete im reći da su vaše kontrole to, to su kontrole koje slijedite, ali na žalost revizori nisu pravi pojedinci kojima vjerujete. Oni žele dokaz o tome i žele ga moći vidjeti u okviru revizije. A ovo se vraća u čitavu stvar zajedničkog nazivnika. Bilo da se radi o PCI, SOX, HIPAA, GLBA, Basel II, bez obzira na to, stvarnost je da će se postavljati iste vrste pitanja. Objekt s osjetljivim informacijama, kome je pristupio tom objektu u posljednjih mjesec dana? To bi trebalo uskladiti s mojim kontrolama i trebao bih biti u mogućnosti proći reviziju na kraju pokazujući one vrste izvještaja.
Dakle, ono što smo napravili jest da smo sastavili oko 25 različitih izvještaja koja slijede na iste vrste područja kao i onaj zajednički nazivnik. Dakle, nemamo izvještaj za PCI ili HIPAA ili za SOX, imamo izvješća koja se, opet, poklapaju s tim zajedničkim nazivnikom. Tako da zapravo nije važno koji regulatorni zahtjev pokušavate ispuniti, u većini slučajeva moći ćete odgovoriti na svako pitanje koje vam postavi taj revizor. I reći će vam tko, što, kada i gdje od svake transakcije. Znate, korisnika, vrijeme transakcije, samu SQL izjavu, aplikaciju iz koje potječe, sve te dobre stvari, a zatim ćete moći automatizirati isporuku tih podataka izvješćima.
A onda, još jednom, nakon što to pređete i osigurate revizoru, slijedeće pitanje će biti to i dokazati. A kad kažem dokazati, mislim dokazati da je sam revizorski trag nešto čemu možemo vjerovati. A način na koji to činimo u našem alatu imamo hash vrijednosti i CRC vrijednosti koje se izravno vraćaju na same događaje unutar revizijskog traga. Ideja je da, ako netko izađe i obriše zapis, ili ako netko izađe i ukloni ili doda nešto u revizijski trag ili nešto promijeni u samom revizorskom tragu, možemo dokazati da ti podaci, integritet prekršeni su i sami podaci. I tako 99,9 posto vremena ako zaključate našu bazu podataka o reviziji, nećete naići na taj problem jer kad pokrenemo provjeru integriteta, revizoru dokazujemo da sami podaci nisu promijenila i izbrisala ili dodala od originalnog pisanja od same usluge upravljanja.
To je vrsta općenitog pregleda tipičnih pitanja koja će vam se postaviti. Sada, alat kojem moramo puno toga odgovoriti naziva se SQL Compliance Manager i on radi sve one stvari u smislu praćenja transakcija, tko, što, kada i gdje transakcija, biti u mogućnosti to učiniti u broj različitih područja. Prijave, neuspjele prijave, promjene sheme, očito pristup podacima, odabir aktivnosti, sve one stvari koje se događaju u motoru baze podataka. A po potrebi možemo upozoriti i korisnike na specifične, vrlo detaljne uvjete. Na primjer, netko izlazi i zapravo pregledava stol koji sadrži sve brojeve moje kreditne kartice. Ne mijenjaju podatke, samo gledaju. U toj situaciji mogu upozoriti i mogu obavijestiti ljude da se to događa, ne šest sati kasnije kad stvaramo zapise, ali u stvarnom vremenu. U osnovi je potrebno sve dok transakciju trebamo obraditi putem usluge upravljanja.
Kao što sam već spomenuo, vidjeli smo da se to koristi u raznim regulatornim zahtjevima i zapravo ne - znate, bilo koji regulatorni zahtjev, još jednom, sve dok zajednički nazivnici imate osjetljive podatke u SQL Serveru baza podataka, ovo je alat koji bi vam pomogao u takvoj situaciji. Na 25 ugrađenih izvješća, sada je realnost da ovaj alat možemo učiniti dobrim za revizora i odgovarati na svako postavljeno pitanje, ali DBA su oni koji ga moraju natjerati da djeluje. Dakle, postoji i ovo razmišljanje, dobro znate, iz perspektive održavanja, moramo osigurati da SQL funkcionira na način koji želimo. Moramo također moći ući i pogledati stvari koje će biti u mogućnosti izaći i pogledati ostale podatke, što se tiče arhiviranja podataka, automatizacije toga i nadzemnih troškova samog proizvoda. To su stvari koje očito vodimo računa.
Što dovodi do same arhitekture. Dakle, na pravoj desnoj strani ekrana imamo primjerke SQL-a kojim upravljamo, sve od 2000. pa sve do 2014., spremajući se za izdavanje verzije za 2016. Najveći korak na ovom zaslonu je upravljanje server sam radi sve teške dizanje. Upravo prikupljamo podatke koristeći API u tragovima, ugrađen u SQL Server. Te se informacije prelamaju na našem poslužitelju za upravljanje. Taj sam poslužitelj za upravljanje identificira i postoje li neki događaji vezani za bilo koju vrstu transakcija koje ne želimo, upozoravajući na upozorenja i takve stvari, a zatim popunjava podatke u spremištu. Odatle možemo pokrenuti izvješća, mogli bismo izaći i zapravo vidjeti te podatke u izvješćima ili čak unutar konzole aplikacije.
Dakle, ono što ću učiniti naprijed je da ćemo nas brzo provesti, i želim samo naglasiti jednu brzu stvar prije nego što skočimo na proizvod, a na web stranici nalazi se poveznica upravo sada, ili na prezentaciji, to će vas odvesti do tog besplatnog alata koji sam ranije spomenuo. Taj će besplatni alat, kao što sam rekao, ići van i pogledati bazu podataka i pokušati pronaći područja koja izgledaju kao osjetljivi podaci, brojevi socijalnog osiguranja, brojevi kreditnih kartica na temelju naziva stupaca ili tablica, ili na temelju izgleda formata podataka, a možete ga i prilagoditi tako da to samo istaknete.
U našem slučaju, pusti me da podijelim svoj ekran, daj mi trenutak. U redu, i tako, prvo što sam vas želio povesti je da vas odvedem do same aplikacije Compliance Manager i brzo ću to proći. Ali ovo je aplikacija i vidite da ovdje imam nekoliko baza podataka i upravo ću vam pokazati kako je lako ući i reći što želite izvršiti reviziju. Sa stajališta promjena sheme, sigurnosnih promjena, administrativnih aktivnosti, DML-a, Odaberi, na raspolaganju su nam sve te mogućnosti, to možemo i filtrirati. Ovo se vraća u najbolju praksu da mogu reći: "Stvarno mi treba ta tablica samo zato što sadrži brojeve mojih kreditnih kartica. Ne trebaju mi druge tablice s podacima o proizvodima, sve one druge stvari koje nisu u odnosu na razinu usklađenosti koju pokušavam ispuniti. "
Također imamo mogućnost snimanja podataka i prikazivanja u smislu vrijednosti polja koja se mijenjaju.U puno će alata imati nešto što će vam omogućiti snimanje SQL izraza, prikazivanje korisnika, pokazivanje aplikacije, vremena i datuma, sve te dobre stvari. No, u nekim slučajevima sama SQL izjava neće dati dovoljno informacija da vam može reći koja je vrijednost polja bila prije promjene, kao i vrijednost polja nakon promjene. A u nekim situacijama to vam i treba. Na primjer, možda bih želio pratiti podatke o doziranju liječnika na lijekove na recept. Išlo je od 50 mg do 80 mg do 120 mg, to bih mogao pratiti koristeći prije i poslije.
Osjetljivi stupci još su jedna stvar na koju nailazimo, primjerice, u skladu s PCI. U situaciji ovdje imate podatke tako osjetljive prirode da gledanjem tih podataka, ne moram ih mijenjati, brisati ili dodavati, mogu nanijeti nepopravljivu štetu. Brojevi kreditnih kartica, brojevi socijalnog osiguranja, sve te dobre stvari po kojima možemo prepoznati osjetljive stupce i vezati upozorenja. Ako bilo tko izađe i pogleda te podatke, očito bismo mogli upozoriti i generirati SNMP zamku i takve stvari.
Sada ćete u nekim slučajevima naići na situaciju u kojoj možda imate iznimku. I što pod tim mislim, imate situaciju u kojoj imate korisnika koji ima korisnički račun koji bi mogao biti vezan za neku vrstu ETL posla koji radi usred noći. To je dokumentiran postupak i jednostavno ne trebam uključivati te transakcijske podatke za taj korisnički račun. U tom slučaju imali bismo pouzdanog korisnika. A onda bismo u drugim situacijama koristili značajku Privilegirane revizije korisnika koja je u suštini, ako imam, recimo na primjer, aplikaciju, a ta aplikacija već vrši reviziju korisnika koji prolaze kroz aplikaciju, to je super, već se imam na šta referirati u smislu svoje revizije. Ali što se tiče, na primjer, mojih povlaštenih korisnika, dečki koji mogu ući u studio za upravljanje SQL Serverom i pogledati podatke u bazi podataka, neće ih smanjiti. I tako smo ovdje mogli definirati tko su naši povlašteni korisnici, bilo kroz članstvo u ulogama, bilo putem njihovih računa u Active Directoryu, grupama, njihovim SQL potvrđenim računima, gdje ćemo moći odabrati sve te različite vrste opcija i a zatim od tamo osigurajte da za te povlaštene korisnike možemo odrediti vrste transakcija koje smo zainteresirani za reviziju.
To su sve vrste različitih opcija koje imate, a ja neću prolaziti kroz sve različite vrste stvari na temelju vremenskih ograničenja ovdje za ovu prezentaciju. Ali želim vam pokazati kako možemo vidjeti podatke i mislim da će vam se svidjeti kako to funkcionira, jer to možemo učiniti na dva načina. Mogu to učiniti interaktivno, pa kad razgovaramo s ljudima koje ovaj alat zanima za svoje vlastite interne kontrole, oni samo žele znati što se događa u mnogim slučajevima. Nemaju nužno revizore koji dolaze na lice mjesta. Oni samo žele znati: "Hej, želim ići nakon ovog stola i vidjeti tko ga je dodirnuo u posljednjem tjednu ili prošlom mjesecu ili bilo što drugo." U ovom slučaju možete vidjeti kako brzo to možemo učiniti.
U slučaju baze podataka zdravstvene zaštite, imam tablicu pod nazivom Podaci o pacijentima. A ta bi se tablica, ako bih samo grupirala po objektu, vrlo brzo mogla započeti suziti gdje tražimo. Možda želim grupirati po kategoriji, a onda možda i po događaju. Kad to učinim, možete vidjeti kako se brzo prikazuje, a tu je i moja tablica podataka o pacijentima. I dok budem pregledao sada možemo vidjeti DML aktivnost, možemo vidjeti da smo imali tisuću umetnutih DML-a i kad otvorimo jednu od tih transakcija možemo vidjeti relevantne podatke. Tko, što, što, kada, gdje transakcija, SQL izjava, očito, stvarna aplikacija koja se koristi za obavljanje transakcije, račun, vrijeme i datum.
Ako pogledate sljedeću karticu ovdje, karticu Detalji, ovo se vraća na treće pitanje o kojem govorimo, dokazujejući da integritet podataka nije narušen. U osnovi, svaki događaj imamo tajni izračun za našu vrijednost hash-a, a to će se povezati s tim kada izvršimo provjeru integriteta. Na primjer, ako bih trebao izaći na alat, ući u meni za reviziju, a ja bih trebao izaći i reći, hajde da provjerimo integritet spremišta, mogao bih usmjeriti prema bazi podataka u kojoj se nalazi revizijski trag, pokrenut će se provjerom integriteta uspoređujući te hash vrijednosti i CRC vrijednosti sa stvarnim događajima, a to će nam reći da nisu pronađeni problemi. Drugim riječima, podaci u revizorskom zapisu nisu promijenjeni jer su ih izvorno napisali od strane službe za upravljanje. To je očigledno jedan od načina interakcije s podacima. Drugi način bi bio putem samih izvještaja. I zato ću vam dati jedan brzi primjer izvještaja.
I još jednom, ova izvješća, onako kako smo ih sastavili, nisu specifična za bilo koju vrstu standarda poput PCI, HIPAA, SOX ili nešto slično. Još jednom, to je zajednički nazivnik onoga što radimo, a u ovom slučaju, ako se vratimo na taj primjer evidencije pacijenata, mogli bismo izaći i reći, u našem slučaju ovdje, tražimo u bazi podataka zdravstvene zaštite i u našem slučaju želimo se posebno fokusirati na tablicu za koju znamo da sadrži privatne podatke, u našem slučaju, koji se odnose na naše pacijente. I tako, da vidim mogu li ga ovdje upisati i idemo dalje i vodit ćemo taj izvještaj. I vidjet ćemo, očito, odatle sve relevantne podatke povezane s tim objektom. A u našem slučaju pokazuje nam razdoblje od mjesec dana Ali mogli bismo se vratiti šest mjeseci, godinu dana, koliko god smo čuvali podatke.
To su takvi načini na koje biste mogli zapravo dokazati, ako hoćete, revizoru da slijedi vaše kontrole. Kad to prepoznate, očito je da je to dobra stvar koja prolazi vašu reviziju i može vam pokazati da pratite kontrole i sve što funkcionira.
Posljednja stvar o kojoj bih želio pokazati je u dijelu administracije. Postoje i kontrole sa stajališta samog ovog alata da mogu postaviti kontrole tako da mogu biti sigurni da ako netko radi nešto što ne bi trebao raditi, toga mogu biti svjesni. Dat ću vam nekoliko primjera. Imam račun za prijavu koji je vezan za uslugu i toj usluzi trebaju povećana dopuštenja za obavljanje onoga što radi. Ono što ne želim je da netko uđe i koristi taj račun u Management Studio-u i onda ga, znaš, koristi za stvari za koje nije bio namijenjen. Ovdje bismo imali dva kriterija koja bismo mogli primijeniti. Mogao bih reći, "Gledaj, zaista nas zanima ovo radeći, recimo, s našom PeopleSoft aplikacijom", samo kao primjer, ok?
Sad kad sam to učinio, ono što govorim ovdje, znatiželjno mi je znati koje su sve prijave koje su vezane za račun spreman sam odrediti je li aplikacija koja se koristi za prijavu s ovim računom nije PeopleSoft, to će biti povišica alarma. I očito moramo sami odrediti naziv računa, tako da u našem slučaju samo pozovimo ovaj Priv račun, zbog činjenice da je privilegiran. Kad bismo to učinili, kad ovo učinimo ovdje, sada bismo mogli odrediti što bismo željeli da se dogodi kada se to dogodi i za svaku vrstu događaja ili, trebao bih reći, upozorenje, možete imate zasebnu obavijest osobi koja je odgovorna za taj određeni podatak.
Na primjer, ako su podaci o plaćama, mogu otići mom direktoru za ljudske resurse. U ovom slučaju, baveći se PeopleSoft aplikacijom, to će biti administrator te aplikacije. Koji god da je slučaj. Mogao bih se obratiti na svoju adresu, prilagoditi stvarnu dojavu i sve takve dobre stvari. Još jednom, ovo se opet vraća u mogućnost da budete sigurni da možete pokazati da slijedite svoje kontrole i da one rade na način koji je namijenjen. Iz posljednje perspektive ovdje, samo u pogledu održavanja, imamo mogućnost da te podatke uzimamo i stavljamo izvan mreže. Mogu arhivirati podatke i mogu ih zakazati, a mi bismo to vrlo lako mogli napraviti u smislu da biste zapravo kao DBA zapravo mogli koristiti ovaj alat, postaviti ga i nekako hodajte od nje. Nema puno ruku koja će se održati nakon postavljanja onako kako bi trebalo biti. Kao što rekoh, mislim da je najteži dio u vezi s bilo čim od toga ne postavljanje onoga što želite reviziju, to je znati što želite postaviti za reviziju.
I kao što rekoh, priroda zvijeri s revizijom, podatke morate čuvati sedam godina, tako da se ima smisla usredotočiti samo na ona područja koja su osjetljiva po prirodi. Ali ako želite pristupiti prikupljanju svega, to apsolutno možete, to se ne smatra najboljom praksom. Tako da bih sa tog stajališta želio podsjetiti ljude da ako je to nešto što vas zanima možete otići na web stranicu na IDERA.com i preuzeti pokus s tim i sami se poigrati s njim. Što se tiče besplatnog alata o kojem smo ranije govorili, pa, besplatnog je, možete ga preuzeti i zauvijek ga koristiti, bez obzira da li koristite proizvod Compliance Manager. Sjajna stvar tog alata za pretraživanje stupaca je što su naša otkrića koja ste došli i zapravo mogu pokazati da, mislim da je to što ćete moći izvesti te podatke, a zatim ih moći uvesti u upravitelj usklađenosti također. Ne vidim ga, znam da je ovdje, evo ga. Ovo je samo primjer toga. Ovdje pronalaze povezani osjetljivi podaci.
Sada sam izašao i stvarno jesam, pregledam sve, ali imate samo tonu stvari koje možemo provjeriti. Brojevi kreditnih kartica, adrese, imena, sve takve stvari. I identificirat ćemo gdje se nalazi u bazi podataka i odatle možete donijeti odluku želite li ili ne želite te informacije revidirati. Ali to vam je definitivno način da vam olakšate definiranje opsega revizije kada gledate takav alat.
Samo ću nastaviti s tim i završiti s tim, a ja ću ga proslijediti Eriku.
Eric Kavanagh: To je fantastična prezentacija. Sviđa mi se način na koji stvarno otkrivate oštre detalje i pokazujete nam što se događa. Jer na kraju dana postoji neki sustav koji će pristupiti nekim zapisima, to će vam dati izvještaj, to će vas navesti da ispričate svoju priču, bilo da je to regulator ili revizor ili netko iz vašeg tima , dobro je da znate da ste spremni ako i kada, ili kao i kada ta osoba dođe kucati, i naravno, to je neugodna situacija koju pokušavate izbjeći. Ali ako se dogodi, a vjerojatno će se dogoditi ovih dana, želite biti sigurni da imate svoj ispisani i prekriženi vaš T.
Postoji dobro pitanje člana publike koje želim najprije izbaciti s vama, Bullett, a onda, ako možda prezentator želi to prokomentirati, slobodno se javite. A onda možda Dez postavi pitanje i Robin. Pitanje je, dakle, da li je pošteno reći da biste radili sve one stvari koje ste spomenuli morali pokrenuti napor s klasificiranjem podataka na elementarnoj razini? Morate znati svoje podatke kada se pojave kao vrijedna potencijalna imovina i učiniti nešto po tom pitanju. Mislim da se slažeš, Bullett, zar ne?
Bullett Manale: Da, apsolutno. Morali ste znati svoje podatke. I shvaćam, prepoznajem da postoji puno aplikacija i ima mnogo različitih stvari koje imaju pokretne dijelove u vašoj organizaciji. Alat za pretraživanje stupaca vrlo je koristan u smislu koraka u smjeru boljeg razumijevanja tih podataka. Ali da, vrlo je važno. Mislim, imate mogućnost da pristupite vatrootpornom pristupu i pregledate sve, ali na taj način je logistički puno izazovniji kada govorite o tome da morate pohraniti te podatke i izvještavati protiv tih podataka. A zatim još uvijek trebate znati gdje se nalazi taj podatak, jer kad pokrećete svoje izvještaje, morat ćete i svojim revizorima pokazati te podatke. Stoga mislim da je, kao što rekoh, najveći izazov kad razgovaram s administratorima baza podataka znati, da.
Eric Kavanagh: Da, ali možda će te Robin dovesti brzo. Čini mi se da se ovdje primjenjuje pravilo 80/20, zar ne? Vjerojatno nećete pronaći svaki sustav zapisa koji je bitan ako ste u nekoj srednjoj ili velikoj organizaciji, ali ako se usredotočite na - kao što je Bullett ovdje predložio - PeopleSoft na primjer, ili na druge sustave zapisa koji su koji prevladava u poduzeću, tamo se usredotočite 80 posto svog napora, a zatim 20 posto na druge sustave koji su možda negdje vani, zar ne?
Robin Bloor: Pa, siguran sam, da. Mislim, znate, mislim da je problem s ovom tehnologijom i mislim da je vrijedno komentara o tome, ali problem s ovom tehnologijom je, kako je implementirati? Mislim, definitivno nedostaje znanje, recimo, u većini organizacija o čak i broju baza podataka koje su vani. Znate, nedostaje inventara, recimo. Znate, pitanje je, zamislimo da započinjemo u situaciji kada ne postoji posebno dobro upravljana usklađenost, kako uzimati ovu tehnologiju i ubrizgati je u okoliš, a ne samo u, znate, tehnologiju izraze, postavljanje stvari, ali kao tko njima upravlja, tko određuje što? Kako to početi shvaćati u stvarnim stvarima koja rade svoj posao?
Bullett Manale: Pa, mislim, to je dobro pitanje. Izazov u mnogim slučajevima je taj, što morate početi postavljati pitanja već na samom početku. Naišao sam na puno tvrtki u kojima su oni, znate, možda oni privatna kompanija i oni su se stekli, tu je inicijalna, prvo, vrsta cestarine, ako je želite tako nazvati. Na primjer, ako sam tek sada zbog akvizicije postao javno trgovačka tvrtka morat ću se vratiti i vjerojatno smisliti neke stvari.
A u nekim slučajevima razgovaramo s organizacijama koje, iako su privatne, pridržavaju se pravila SOX-ove usklađenosti, jednostavno zato što u slučaju da se žele pribaviti znaju da moraju biti u skladu. Definitivno ne želite uzeti samo pristup, "Ne moram se brinuti zbog toga sada." Bilo koju vrstu usklađenosti s propisima poput PCI ili SOX ili bilo što drugo, želite uložiti u istraživanje ili razumijevanje otkud te osjetljive informacije, u protivnom bi se mogli naći s nekim značajnim, dubokim kaznama. I puno je bolje samo uložiti to vrijeme, znate, pronalazeći te podatke i moći izvještavati protiv njih i pokazati kako kontrole rade.
Da, u smislu postavljanja, kao što sam rekao, prvo što bih preporučio ljudima koji se spremaju da se suoče s revizijom, jeste samo izaći van i obaviti tačan pregled baze podataka i shvatiti, vi znaju, u svim svojim naporima pokušati otkriti gdje su ti osjetljivi podaci. A drugi bi pristup bio započeti s možda većom mrežom u smislu opsega revizije, a zatim polako obuzdati svoj put kad jednom, nekako, shvatite gdje su ta područja unutar sustava koja su povezana s osjetljive informacije. Ali volio bih da mogu reći da postoji jednostavan odgovor na to pitanje. Vjerojatno će se bitno razlikovati od jedne do druge organizacije i vrste usklađenosti te doista kako, znate, koliko strukture imaju unutar svojih aplikacija i koliko ima, različitih aplikacija koje imaju, neke mogu biti prilagođene pisane aplikacije , tako da će to zaista ovisiti o situaciji u mnogim slučajevima.
Eric Kavanagh: Samo naprijed, Dez, siguran sam da imaš pitanje ili dva.
Dez Blanchfield: Zapravo želim vidjeti uvid u vaša zapažanja o utjecaju na organizacije s gledišta ljudi. Mislim da je jedno od područja u kojem vidim najveću vrijednost ovog određenog rješenja to što se ljudi ujutro probude i odu na rad na različitim razinama organizacije, probude se s nizom odgovornosti ili lancem odgovornosti s kojima se moraju nositi. A ja želim vidjeti neki uvid u ono što vidite vani s i bez vrsta alata o kojima govorite. I kontra o kojoj ovdje govorim je od predsjedavajućeg u odboru do generalnog direktora i CIO-a i C-apartmana. I sada imamo glavne službenike za rizike koji više razmišljaju o vrstama stvari o kojima mi ovdje pričamo u skladu i upravljanju, a sada imamo nove šefove uloga, glavni službenik za podatke, tko je, znate , još više zabrinut zbog toga.
I sa strane svakog od njih, oko CIO-a, imamo IT menadžera s jedne strane, neke vrste tehničkih vodiča, a zatim vodeći baze podataka. A u operativnom prostoru imamo voditelje razvoja i razvojne potencijale, a zatim i pojedinačne razvoje, a oni se također vraćaju u sloj uprave baze podataka. Što vidite oko reakcije svakog od tih različitih dijelova poslovanja na izazov usklađenosti i regulatornog izvještavanja i njihov pristup tom poslu? Vidite li da ljudi ovo gledaju sa žarom i vide korist od toga ili vidite da nerado vuku nogu na tu stvar i jednostavno, znate, to radi za golicaj u kutiji? Koje su vrste odgovora na vaše računalo nakon što vide vaš softver?
Bullett Manale: Da, to je dobro pitanje. Rekao bih da ovaj proizvod, prodajom ovog proizvoda, uglavnom upravlja netko tko je u vrućem sjedalu, ako to ima smisla. U većini slučajeva to je DBA, i iz naše perspektive, drugim riječima, oni znaju da dolazi revizija i da će biti odgovorni, jer oni su DBA-ovi, kako bi mogli pružiti informacije do kojih će revizor ići pitati. To mogu učiniti pisanjem vlastitih izvješća i stvaranjem vlastitih vlastitih tragova i svih takvih stvari. Realnost je da oni to ne žele učiniti. U većini slučajeva DBA-i se zapravo ne vesele započinjanju tih razgovora s revizorom. Znate, radije bih vam rekao da možemo nazvati kompaniju i reći: "Hej, ovo je sjajan alat i svidjet će vam se", pokazati im sve značajke i oni će ih kupiti.
Realnost je da oni obično neće gledati ovaj alat, osim ako se zapravo neće suočiti s revizijom ili s druge strane tog novčića, jesu li imali reviziju i nisu je jadno propustili, a sada jesu ako im se kaže da potraže pomoć ili će dobiti novčanu kaznu. Rekao bih da u odnosu na, znate općenito, kada ovaj proizvod ljudima pokažete, oni definitivno vide njegovu vrijednost jer im to štedi tonu vremena u smislu da moraju shvatiti o čemu žele izvještavati , takve stvari. Sva su ta izvješća već ugrađena, mehanizmi za uzbunu su uspostavljeni, a treće pitanje, također u puno slučajeva, može biti izazov. Zato što vam mogu pokazivati izvještaje cijeli dan, ali osim ako mi ne budete mogli dokazati da su ti izvještaji tada stvarno valjani, znate, puno je teži prijedlog za mene kao DBA da to mogu pokazati. Ali, razradili smo tehnologiju i tehniku raspršivanja i sve te vrste da bismo mogli osigurati čuvanje podataka u svojoj cjelovitosti revizijskih zapisa.
I to su stvari koje, to su moja zapažanja u odnosu na većinu ljudi s kojima razgovaramo. Znate, definitivno postoje u različitim organizacijama, za koje znate da ćete čuti, o njima znate, npr. Target je prekršio podatke i, mislim, mislim, kada druge organizacije čuju za novčane kazne i one razne stvari koje ljudi započnu, podiže obrvu, pa, nadamo se, to odgovara na pitanje.
Dez Blanchfield: Da, definitivno. Mogu zamisliti neke DBA-ove kad konačno vide što se može učiniti s alatom tek shvaćaju da imaju i kasne noći i vikende. Smanjenje vremena i troškova i ostale stvari koje vidim kada se primjenjuju odgovarajući alati za cijeli ovaj problem, a to je da sam tri tjedna sjedila s bankom ovdje u Australiji. Oni su globalna banka, prva tri banke, oni su masivni. I imali su projekt u kojem su morali izvijestiti o usklađenosti s upravljanjem bogatstvom i posebno riziku, i gledali su u 60-postotnom poslu za nekoliko stotina ljudskih bića. A kad su im pokazali slične alate kao što ste vi koji bi mogli automatizirati proces, taj osjećaj, izraz njihovih lica kada su shvatili da ne moraju provesti X broj tjedana sa stotinama ljudi koji rade ručni postupak kao da su našli Boga. Ali izazovno je bilo kako to zapravo staviti u plan, kao što je dr. Robin Bloor naznačio, znate, to je nešto što postaje mješavina pomaka u ponašanju i kulturi. Na razinama s kojima se bavite, koji se time izravno bavite na razini aplikacije, kakve promjene vidite kada počnu usvajati alat za obavljanje vrsta izvješćivanja i revizije i kontrola koje možete ponuditi, kao suprotno onome što su mogli učiniti ručno? Kako to izgleda kada se oni stvarno provode u praksi?
Bullett Manale: Pitate se, koja je razlika u pogledu ručnog rukovanja s ovim alatom? Je li to pitanje?
Dez Blanchfield: Pa, konkretno utjecaj posla. Na primjer, ako pokušavamo dostaviti sukladnost u ručnom postupku, znate, dugo vremena nam treba puno ljudi. Ali pretpostavljam, da postavimo neki problem oko toga, kao što znate, govorimo li o tome da jedna osoba koja koristi ovaj alat zamijeni potencijalno 50 ljudi i bude u stanju učiniti istu stvar u stvarnom vremenu ili satima u odnosu na mjesece? Je li to takav, što se to uopšte ispada?
Bullett Manale: Pa, mislim, svodi se na nekoliko stvari. Jedna je sposobnost odgovaranja na ta pitanja. Neke od tih stvari neće se učiniti vrlo lako. Pa da, vrijeme koje je potrebno da se stvari odrade kod kuće, samostalno pisanje izvještaja, postavljanje tragova ili proširenih događaja za ručno prikupljanje podataka moglo bi vam oduzeti mnogo vremena. Doista, dat ću vam malo, mislim, to se zapravo ne odnosi na baze podataka općenito, ali, baš nakon što se Enron dogodio i SOX je prevladao, bio sam u jednoj od većih naftnih kompanija u Houstonu, a računali smo na , Mislim da se činilo da je 25 posto naših poslovnih troškova bilo povezano sa SOX usklađenošću.
To je bilo odmah nakon toga i to je bio neka vrsta prvog koraka na SOX-u, ali stvar s, rekao bih, znate, da steknete veliku korist korištenjem ovog alata u smislu da ne zahtijeva puno ljudi koji to rade i puno različitih vrsta ljudi koji to rade. I kao što rekoh, DBA nije tip koji se stvarno veseli tim razgovorima s revizorima. Tako ćemo u mnogim slučajevima vidjeti da DBA to može prebaciti i moći pružiti međusobno spajanje izvješća revizoru, a oni se mogu potpuno ukloniti iz jednadžbe, a ne da moraju biti uključeni. Dakle, znate, to je i ogromna ušteda u smislu resursa kada to možete učiniti.
Dez Blanchfield: Govorite o ogromnom smanjenju troškova, zar ne? Organizacije ne samo da uklanjaju rizik i režijske troškove, nego zapravo mislim da govorite o značajnom smanjenju troškova, A) operativno i B) u činjenici da, znate, ako oni mogu stvarno pružiti stvarnu Izvješćivanje o usklađenosti s vremenom da je značajno smanjen rizik od kršenja podataka ili neke zakonske novčane kazne ili učinka zbog neusklađenosti, zar ne?
Bullett Manale: Da, apsolutno. Mislim, jer nisam sukladan, događaju se sve vrste loših stvari. Oni mogu upotrijebiti ovaj alat i bilo bi sjajno ili neće, i otkrit će koliko je to zaista loše. Pa da, to nije samo alat očito, možete provjeriti i sve bez ovog alata. Kao što rekoh, to će trebati mnogo više vremena i troškova.
Dez Blanchfield: To je odlično. Dakle, Eric, prebacit ću se s tobom, jer mislim da je za mene takav potez taj, tržište, fantastično. Ali u biti, stvar vrijedi zlata na osnovu toga što je u stanju izbjeći komercijalni utjecaj problema koji se događa ili biti u mogućnosti smanjiti vrijeme potrebno za prijavljivanje i upravljanje poštivanjem, samo to čini, znate, Alat se odmah isplaćuje zvucima stvari.
Eric Kavanagh: To je sasvim tačno. Hvala vam puno na vašem vremenu danas, Bullett. Hvala svima vama na vašem vremenu i pažnji, te Robin i Dez. Još jedna sjajna prezentacija danas. Zahvaljujemo našim prijateljima iz IDERA što su nam omogućili da vam besplatno donosimo ovaj sadržaj. Arhivirat ćemo ovu web prijenos radi kasnijeg pregleda. Arhiva se obično podiže u roku od otprilike jednog dana. I javite nam što mislite o našoj novoj web stranici, insideanalysis.com. Potpuno novi dizajn, potpuno novi izgled i dojam. Voljeli bismo čuti vaše komentare i s tim ću se pozdraviti, ljudi. Možete mi. Inače ćemo vas kontaktirati sljedeći tjedan. U sljedećih pet tjedana imamo sedam mrežnih prijenosa ili nešto slično. Zauzet ćemo. I bit ćemo na Strata konferenciji i samitu IBM analitičara u New Yorku kasnije ovog mjeseca. Pa ako ste negdje tamo, svratite i pozdravite se. Pazite, ljudi. Doviđenja.