De personalul Techopedia, 14 septembrie 2016
Take away : Gazda Eric Kavanagh discută despre auditul bazelor de date și conformitatea cu analiștii Robin Bloor și Dez Blanchfield, precum și Bullett Manale al IDERA în acest episod din Hot Technologies.
În prezent nu sunteți autentificat. Vă rugăm să vă conectați sau să vă înregistrați pentru a vedea videoclipul.
Eric Kavanagh: Doamnelor și domnilor, salut și bun venit înapoi, încă o dată, la Hot Technologies! Da, într-adevăr, din 2016. Suntem în anul trei al acestui spectacol, sunt lucruri foarte interesante. Ne-am balansat și ne-am rostogolit anul acesta. Este Eric Kavanagh, gazda ta. Subiectul de astăzi - acesta este un subiect minunat, are o mulțime de aplicații într-o serie de industrii, destul de sincer - „Cine, ce, unde și cum: de ce vrei să știi”. Da, într-adevăr, vom vorbi despre toate aceste lucruri distractive. Există un diapozitiv despre al tău, accesează-mă pe Twitter @eric_kavanagh. Încerc să re-tweetez toate mențiunile și să re-tweetez orice îmi trimite cineva. Altfel, așa să fie.
E cald, da, într-adevăr! Întregul spectacol de aici este conceput pentru a ajuta organizațiile și indivizii să înțeleagă anumite tipuri de tehnologie. Am conceput aici întregul program, Hot Technologies, ca un mod de a defini un anumit tip de software, sau un anumit trend, sau un anumit tip de tehnologie. Motivul se datorează faptului că sincer, în lumea software-ului, veți obține adesea acești termeni de marketing, care se îmbină și uneori, ei pot să păstreze sincer conceptele pe care intenționau să le descrie.
În acest spectacol încercăm cu adevărat să vă ajutăm să înțelegeți ce este un anumit tip de tehnologie, cum funcționează, când puteți să o utilizați, când nu ar trebui să o utilizați și să vă oferim cât mai multe detalii. Vom avea astăzi trei prezentatori: chiar propriul nostru Robin Bloor, analist șef aici la Bloor Group; omul nostru de științe de date care a sunat din Sydney, Australia de pe cealaltă parte a planetei, Dez Blanchfield, și unul dintre oaspeții noștri preferați Bullett Manale, director de inginerie de vânzări la IDERA.
Voi spune doar câteva lucruri aici, înțelegând cine face ceea ce cu ce informație, bine, asta este un fel de guvernare, nu? Dacă vă gândiți la toate reglementările din industrii, cum ar fi asistența medicală și serviciile financiare, pe domeniile respective, chestiile respective sunt incredibil de importante. Trebuie să știți cine a atins informația, cine a schimbat ceva, cine a accesat-o, cine a încărcat-o, de exemplu. Care este linia, care este providența acestor date? Puteți fi sigur că toate aceste probleme vor rămâne proeminente în anii următori, din tot felul de motive. Nu doar pentru conformitate, deși HIPAA, și Sarbanes-Oxley și Dodd-Frank și toate aceste reglementări sunt foarte semnificative, ci și pentru a înțelege în afacerea dvs. cine face ce, unde, când, de ce și cum. Este o chestie bună, vom fi atenți.
Du-te mai departe, ia-o, Robin Bloor.
Robin Bloor: Bine, mulțumesc pentru introducerea respectivă, Eric. Cred că acest domeniu de guvernare este că guvernarea în domeniul IT nu a fost un cuvânt pe care l-ați auzit până puțin după anul 2000, cred. S-a produs în primul rând pentru că, cred, oricum, s-a produs în primul rând pentru că există legislație de conformitate care se desfășura. În special HIPAA și Sarbanes-Oxley. De fapt, există multe. Prin urmare, organizațiile și-au dat seama că trebuie să aibă un set de reguli și un set de proceduri, deoarece în condițiile legii era necesar să se facă acest lucru. Cu mult înainte de asta, în special în sectorul bancar, au existat diverse inițiative pe care trebuiați să le ascultați în funcție de ce tip de bancă ați fost și, în special, de bancherii internaționali. Întregul acord de la Basel a început un drum, cu mult înaintea acelui set de inițiative de după anul 2000. Totul se bazează într-adevăr pe guvernanță. M-am gândit că voi vorbi despre subiectul guvernării ca o introducere în atenția de a urmări cine primește datele.
Guvernarea datelor, mă uitam în jur, cred că acum cinci sau șase ani, caut definiții și nu era deloc bine definită. Este din ce în ce mai clar în ceea ce înseamnă de fapt. Realitatea situației era că, în anumite limite, toate datele erau de fapt guvernate anterior, dar nu existau reguli formale pentru aceasta. Au existat reguli speciale care au fost făcute în special în industria bancară pentru a face chestii de genul acesta, dar din nou asta a fost mai degrabă legat de conformitate. Într-un fel sau altul dovedește că ești de fapt - este un fel de asociat cu riscul, așa că dovedește că erai o bancă viabilă era afacerea.
Dacă te uiți la provocarea de guvernare acum, începe cu un fapt al mișcării de date mari. Avem un număr tot mai mare de surse de date. Volumul de date, desigur, este o problemă. În special, am început să facem mult, mult, mai mult cu date nestructurate. A început să devină ceva care face parte din întregul joc de analiză. Și din cauza analitice, proveniența și linia este importantă. Într-adevăr, din punctul de vedere al utilizării analizei de date în orice mod legat de orice fel de conformitate, trebuie să aveți cu adevărat cunoștințe de unde provin datele și cum a ajuns să fie ceea ce este.
Criptarea datelor a început să devină o problemă, să devină o problemă mai mare de îndată ce ne-am dus la Hadoop, deoarece ideea unui lac de date în care stocăm o mulțime de date, înseamnă brusc că ai o zonă uriașă de vulnerabilitate a persoanelor care pot primi la aceasta. Criptarea datelor a devenit mult mai importantă. Autentificarea a fost întotdeauna o problemă. În mediul mai vechi, mediul strict mainframe, aveau o protecție perimetrică atât de minunată; autentificarea nu a fost niciodată o mare problemă. Mai târziu, a devenit o problemă mai mare și acum este mult mai mare, deoarece avem medii atât de mult distribuite. Monitorizarea accesului la date, care a devenit o problemă. Par să-mi amintesc diverse instrumente care au apărut acum zece ani. Cred că majoritatea dintre acestea au fost determinate de inițiative de conformitate. Prin urmare, avem, de asemenea, toate regulile de conformitate, raportarea conformității.
Ceea ce mi-a venit în minte este că, încă din anii 90, când făceai studii clinice în industria farmaceutică, nu numai că trebuia să poți dovedi de unde provin datele - evident că este foarte important, dacă încerci scoateți un medicament în diverse contexte, pentru a ști cine este încercat și ce date contextuale din jurul său - a trebuit să puteți oferi un audit al software-ului care a creat efectiv datele. Este cea mai severă măsură de conformitate pe care am văzut-o vreodată, în ceea ce privește dovedirea că nu încurci lucrurile în mod deliberat sau accidental. În ultimele timpuri, în special gestionarea ciclului de viață a datelor a devenit o problemă. Toate acestea sunt într-un fel provocări, deoarece multe dintre acestea nu au fost făcute bine. În multe circumstanțe este necesar să le faci.
Asta numesc piramida datelor. Am mai discutat până acum. Mi se pare un mod foarte interesant de a privi lucrurile. Vă puteți gândi la date ca având straturi. Datele brute, dacă doriți, sunt cu adevărat doar semnale sau măsurători, înregistrări, evenimente, înregistrări unice mai ales. Eventual, tranzacțiile, calculele și agregările creează date noi. Pot fi gândite la nivelul datelor. Mai presus de asta, odată ce conectați efectiv datele împreună, acestea devin informații. Devine mai util, dar, desigur, devine mai vulnerabil la persoanele care îl hackează sau îl abuzează. O definesc ca fiind creată, într-adevăr, prin structurarea datelor, fiind capabil să vizualizeze datele având glosare, scheme, ontologii ale informației. Aceste două straturi inferioare sunt ceea ce procesăm într-un fel sau altul. Mai sus, asta numesc stratul de cunoștințe constând din reguli, politici, orientări, procedură. Unele dintre ele pot fi de fapt create de perspective descoperite în analitice. Multe dintre ele sunt de fapt politici pe care trebuie să le respecți. Acesta este stratul, dacă doriți, de guvernare. Aici, într-un fel sau altul, dacă acest strat nu este populat corespunzător, cele două straturi de mai jos nu sunt gestionate. Ultimul punct despre aceasta este înțelegerea în ceva care rezidă doar în ființele umane. Calculatoarele nu au reușit încă să facă asta, din fericire. Altfel, aș rămâne fără un loc de muncă.
Imperiul de guvernare - Am pus problema împreună, cred că trebuie să fi fost acum nouă luni, posibil cu mult mai devreme decât atât. Practic, am îmbunătățit-o, dar imediat ce am început să ne preocupăm de guvernare, atunci, în ceea ce privește centrul de date corporativ, nu exista doar rezervor de date, resurse pentru lacuri de date, dar și servere generale de diferite tipuri, servere de date specializate. Toate acestea trebuiau guvernate. Când te-ai uitat, de asemenea, la diversa dimensiune - securitatea datelor, curățarea datelor, descoperirea metadatelor și gestionarea metadatelor, crearea unui glosar de afaceri, mapare a datelor, linie de date, gestionarea ciclului de viață a datelor - apoi, managementul monitorizării performanței, gestionarea nivelului serviciilor, managementul sistemului, pe care s-ar putea să nu-l asociați de fapt cu guvernanța, dar un lucru sigur - acum că mergem într-o lume mai rapidă și mai rapidă, cu tot mai multe fluxuri de date, faptul că, de fapt, a putea face ceva cu o anumită performanță este de fapt o necesitate începe să devină o regulă de funcționare și nu orice altceva.
Rezumând în ceea ce privește creșterea conformității, am urmărit că acest lucru se întâmplă pe parcursul mai multor ani, dar protecția generală a datelor a apărut de fapt în anii '90 în Europa. S-a obținut mai mult și mai sofisticat de atunci. Apoi, toate aceste lucruri au început să se prezinte sau să se facă mai sofisticate. GRC, acesta este riscul de guvernare și conformitatea, se întâmplă de când băncile au făcut Basel. ISO a creat standarde pentru diferite tipuri de operații. Știu tot timpul că am fost în IT - a trecut mult timp - guvernul SUA a activat în special în crearea diverselor legislații: SOX, există Gramm-Leach-Bliley, HIPAA, FISMA, FERPA. De asemenea, ai o minunată organizație NIST care creează multe standarde, în special standarde de securitate, foarte utile. Legile privind protecția datelor în Europa au variații locale. Ce poți face cu datele personale din Germania, de exemplu, este diferit de ceea ce poți face în Republica Slovacă, sau în Slovenia sau oriunde. Au introdus recent - și m-am gândit să menționez acest lucru, deoarece mi se pare amuzant - Europa introduce ideea dreptului de a fi uitat. Adică, ar trebui să existe o statistică a limitărilor referitoare la date publice care sunt de fapt date personale. Cred că este hilar. Din punct de vedere IT, acest lucru va fi foarte, foarte dificil dacă începe să devină o legislație eficientă. În rezumat, aș spune următoarele: Deoarece datele IT și managementul evoluează rapid, guvernanța trebuie să evolueze rapid și se aplică tuturor domeniilor de guvernare.
Spunând că voi trece mingea lui Dez.
Eric Kavanagh: Da, într-adevăr, deci Dez Blanchfield, ia-o. Robin, sunt cu tine, omule, mor să văd cum se joacă acest drept de a fi uitat. Cred că nu va fi doar provocator, dar practic imposibil. Este doar o încălcare a așteptării să fie exercitată de agențiile guvernamentale. Dez, ia-o.
Dez Blanchfield: Este într-adevăr și acesta este un subiect pentru o altă discuție. Avem o provocare foarte asemănătoare aici în Asia-Pacific, și în special în Australia, unde operatorii de transport și ISP sunt obligați să înregistreze tot ce are legătură cu internetul și să-l poată înregistra și regurgita în cazul în care cineva de interes face ceva greșit. Este o lege și trebuie să te conformezi cu ea. Provocarea, la fel cum s-ar putea spune că cineva din Google din SUA să-mi șteargă istoricul de căutare sau orice altceva, ar putea fi respectarea legislației europene, în special a dreptului la confidențialitate german. În Australia, dacă o agenție dorește să te cerceteze, un operator de transport trebuie să poată furniza detalii despre apelurile și istoricul de căutare efectuat, ceea ce este o provocare, dar este lumea în care trăim. Există o mulțime de motive pentru asta. Lasă-mă să sar în a mea.
Mi-am făcut în mod intenționat pagina de titlu greu de citit. Trebuie să te uiți cu greu la textul respectiv. Conformitate, conform unui set de reguli, specificații, controale, politici, standarde sau legi, cu un fundal prost, dezordonat. Asta pentru că trebuie să te uiți cu adevărat la greu pentru a obține detaliile și a extrage informații din ceea ce este suprapus, care este o serie de tabele și rânduri și coloane, fie o bază de date, o schemă sau o machetă în Visio. Aceasta este ceea ce se simte conformitatea zi de zi. Este destul de greu să te arunce în detalii și să extrageți informațiile relevante de care ai nevoie pentru a putea confirma dacă respecti. Raportează-l, monitorizează-l și testează-l.
De fapt, m-am gândit o modalitate foarte bună de a vizualiza acest lucru atunci când ne punem întrebarea „Sunteți conform?” "Esti sigur?" "Ei, dovedește-l!" Există un lucru cu adevărat amuzant, care este poate un pic mai anglo-celtic, dar sunt sigură că a făcut drumul în jurul lumii în SUA, așa că este: „Unde este Wally?” Wally este un mic personaj care intră în aceste desene de desene animate sub formă de cărți. De obicei, imagini la scară foarte mare cu A3 sau mai mari. Deci, desene de dimensiuni de masă. Este un personaj mic care poartă o beanie și o cămașă cu dungi alb-roșii. Ideea jocului este să te uiți la această imagine și să te uiți în jur în cercuri pentru a încerca să găsești Wally. El este în poza aceea undeva. Când te gândești la cum să descoperi și să descrii și să raportezi asupra conformității, în multe feluri este ca și cum ai juca „Where’s Wally.” Dacă te uiți la această imagine, este aproape imposibil să găsești personajul. Copiii petrec ore întregi în asta și m-am distrat foarte mult făcând asta chiar ieri. Când o privim, găsim o mulțime de oameni în aceste desene animate, așezate în mod deliberat acolo cu piese similare din ținuta Wally dintr-o beană cu dungi și un tricou sau top de lână. Dar se dovedesc a fi false pozitive.
Aceasta este o provocare similară pe care o avem cu respectarea. Când ne uităm la lucruri, uneori credem că acesta este cazul, nu este cazul deloc. Cineva ar putea avea acces la o bază de date și ar trebui să aibă acel acces la o bază de date, dar modul în care îl folosește este ușor diferit de ceea ce ne așteptăm. S-ar putea să decidem că acesta este ceva la care trebuie să privim. Când ne uităm la ea, aflăm, de fapt, că este un utilizator foarte valid. Ei fac doar ceva ciudat. Poate este un cercetător de PC sau cine știe. În alte cazuri, s-ar putea să fie invers. Realitatea, când merg din nou, există Wally. Dacă arătați cu adevărat din greu în această rezoluție înaltă, există un personaj care poartă de fapt ținuta potrivită. Toate celelalte sunt doar aspecte similare și simțitoare. Conformitatea se simte foarte mult așa. Cei mai mulți oameni pe care îi cunosc, lucrează în domenii de control și conformitate și politici ale afacerilor. Într-o gamă largă de domenii, fie că este vorba de tehnologie, fie că este vorba de finanțare, operațiune și riscuri. Adesea este foarte greu să vezi Wally în imagine, vei vedea copacii sau lemnul.
Întrebarea pe care ne-o punem noi, când ne gândim la lucruri precum conformarea, este „O afacere mare, ce ar putea merge greșit dacă nu îndeplinim destul de mult conformitatea?” În contextul discuției de astăzi, în special în baza de date și controlul accesului la date, vă voi oferi câteva exemple de apeluri de trezire foarte reale despre ceea ce poate merge greșit într-o formă succintă foarte scurtă. Dacă ne gândim la încălcări de date și suntem cu toții familiarizați cu încălcările de date, le auzim în mass-media și ne cam oprim și râdem, pentru că oamenii cred că este vorba despre piețe. Este lucruri personale. Ashley Madison și oamenii care caută să obțină date în afara relațiilor și căsătoriilor. Este conturi fling. Toate aceste lucruri ciudate sau unele ISP aleatoriei europene sau rusești sau ale companiei de găzduire sunt hacked. Când vine vorba de lucruri precum MySpace și aceste top zece, când te uiți la aceste numere, ceea ce vreau să-ți dai seama este acesta: 1, 1 miliarde de detalii despre aceste zece încălcări. Și da, există suprapuneri, probabil sunt oameni care au un cont MySpace și un cont Dropbox și un cont Tumblr, dar hai să-l rotunjim până la un miliard de oameni.
Aceste zece încălcări din ultimii zece ani - nici măcar un deceniu, în majoritatea cazurilor, însumează aproximativ o șapte parte din populația lumii de ființe umane, dar mai realist, aproximativ 50 la sută din numărul de persoane sunt conectate la internet, peste un miliard de persoane. Acestea se datorează faptului că conformitatea nu a fost îndeplinită în unele cazuri. În cele mai multe cazuri, au fost controale de acces la baza de date, controlul accesului la anumite seturi de date și sisteme și rețele. Acesta este un control înfricoșător al realității. Dacă nu te înspăimântă, când te uiți la primii zece și poți vedea că acesta este un - sau poți vedea că este vorba de un miliard de persoane, ființe umane reale la fel ca noi, la acest apel chiar acum. Dacă aveți un cont LinkedIn, dacă aveți un cont Dropbox, sau un cont Tumblr sau dacă ați cumpărat de la produsele Adobe sau chiar ați descărcat gratuit vizualizatorul Adobe. Este complet posibil, nu este posibil, este în întregime probabil ca detaliile dvs., prenumele, prenumele, adresa dvs. de e-mail, eventual chiar și adresa companiei dvs. de lucru sau adresa de domiciliu sau cardul dvs. de credit să fie de fapt acolo din cauza unei încălcări care a avut loc din cauza controalelor, care nu au fost neapărat gestionate bine sub formă de gestionare a datelor, guvernare a datelor.
Să aruncăm o privire când îl privim în detaliu. Există un ecran din ele, sunt vreo 50 - ceva acolo. Există alte 15. Există aproximativ 25. Acestea sunt încălcări ale datelor care sunt listate pe un site web numit haveibeenpwned.com. Aceasta este ceea ce ar putea merge greșit, dacă ceva simplu este controlul care a avut acces la date în baze de date din diferite câmpuri și rânduri și coloane și diferite aplicații din afacerea dvs., nu este gestionat corect. Aceste organizații sunt acum bazate pe date. Majoritatea datelor trăiesc într-o bază de date într-o anumită formă. Când te gândești la asta, acea listă de încălcări pe care tocmai am privit-o și sperăm că ți-a oferit un duș rece într-un sens, prin faptul că te-ai gândit „Hmm, asta e foarte real” și, probabil, te-a impactat. În 2012, această încălcare a LinkedIn, de exemplu, majoritatea profesioniștilor au un cont LinkedIn în aceste zile și este posibil ca detaliile dvs. să fie pierdute. Au ieșit pe internet încă din 2012. Ne-am spus doar despre asta în 2016. Ce s-a întâmplat cu informațiile dvs. în acei patru ani? Ei bine, este interesant și putem vorbi despre asta separat.
Gestionarea bazelor de date și a sistemelor - vorbesc adesea despre ceea ce consider primele cinci provocări în gestionarea acestor lucruri. La început, foarte sus și clasez acestea în ordinea preferințelor de la mine, dar și ordinea de impact, numărul unu este securitatea și conformitatea. Controalele și mecanismele și politicile din jurul controlului cine are ce acces la ce sistem, pentru ce motiv și scop. Raportarea în acest sens și monitorizarea acesteia, examinarea sistemelor, examinarea bazelor de date și a vedea cine poate accesa de fapt înregistrări, câmpuri individuale și înregistrări.
Gândiți-vă la asta într-o formă foarte simplă. Să vorbim despre managementul bancar și al averii ca exemplu. Când vă înscrieți pentru un cont bancar, să spunem doar un cont de numerar normal pentru un card EFTPOS, sau un cont de numerar sau un cont de cec. Completați un formular și există o mulțime de informații foarte private în acea bucată de hârtie pe care o completați sau o faceți online și care intră într-un sistem informatic. Acum, dacă cineva din marketing vrea să vă contacteze și să vă trimită o broșură, ar trebui să li se permită să vă vadă prenumele, prenumele și adresa personală, de exemplu și potențial numărul dvs. de telefon, dacă vor să vă sune la rece și vand ceva. Probabil că nu ar trebui să vadă suma totală de bani obținută în bancă din mai multe motive. Dacă cineva te privește din punct de vedere al riscului sau încearcă să te ajute să faci ceva precum obținerea unor rate de dobândă mai bune pe contul tău, respectiva persoană probabil vrea să vadă câți bani ai în bancă, astfel încât să poată ofera-ti nivelurile adecvate de rentabilitate a banilor. Acești doi indivizi au roluri foarte diferite și motive foarte diferite pentru aceste roluri și scopuri pentru aceste roluri. Ca urmare, trebuie să vedeți informații diferite în înregistrarea dvs., dar nu toate înregistrările.
Acestea sunt controlate în jurul raportului diferit de ecrane sau forme obișnuite pe care le au în aplicațiile utilizate pentru gestionarea contului. Dezvoltarea pentru aceștia, menținerea acestora, administrarea acestora, raportarea în jurul acestora, precum și guvernanța și conformitatea înconjurată în jurul celor precum bulele de bule, toate sunt o provocare foarte mare. Aceasta este doar provocarea numărul unu în gestionarea datelor și sistemelor. Atunci când mergem mai adânc în stâlpul în ceea ce privește performanța și monitorizarea, precum și detectarea și răspunsul la incidență, gestionarea și administrarea sistemului și conformitatea în jurul lor, proiectarea și dezvoltarea sistemelor din conformitate, devine mult mai dificilă.
Gestionarea întregului aspect privind reducerea riscurilor și îmbunătățirea securității. Cele mai importante cinci provocări ale mele în acest spațiu - și îmi plac imaginile care vin cu un birou vamal atunci când intri într-o țară - îți prezintă pașaportul și te verifică și se uită la sistemul lor de calculator pentru a vedea dacă ar trebui trece sau nu. Dacă nu ar trebui, te-au pus în următorul avion înapoi acasă. În caz contrar, te lasă să te întorci și îți pun întrebări de genul: "Veniți într-o vacanță? Sunteți aici un turist? Ești aici pentru muncă? Ce fel de muncă urmează să vezi? Unde vei rămâne? ? Cât timp aveți? Aveți destui bani pentru a vă acoperi cheltuielile și costurile? Sau aveți de gând să deveniți un risc pentru țara în care vă aflați și ar putea fi nevoiți să vă îngrijească și să vă hrănească? "
Există câteva probleme în jurul acestui spațiu de date, gestionarea protecției datelor. De exemplu, în spațiul bazei de date, trebuie să ne gândim la atenuarea bypass-urilor bazei de date. Dacă datele sunt în baza de date, într-un mediu normal și există sisteme de control și mecanisme în jurul valorii de acest lucru. Ce se întâmplă dacă o descărcare a datelor se face în mai multe SQL și este salvată pe bandă? Bazele de date sunt descărcate în formă brută și sunt salvate uneori. Uneori este făcut din motive tehnice, din motive de dezvoltare. Să zicem doar că a fost preluat un depozit de DB și a fost susținut la casetă. Ce se întâmplă dacă se întâmplă să pun mâna pe banda respectivă și să o refac? Și am o copie brută a bazei de date în SQL. Este un fișier MP, este text, îl pot citi. Toate parolele stocate în acel dump nu au control asupra mea, deoarece acum am acces la conținutul real al bazei de date, fără ca motorul bazei de date să îl protejeze. Așadar, pot ocoli din punct de vedere tehnic securitatea platformei bazei de date care este construită în motor cu conformitate, iar managementul riscurilor să mă oprească să mă uit la date. Pentru că potențialul dezvoltator, administrator de sistem, am pus mâna pe o descărcare completă a bazei de date care ar trebui folosită pentru copii de rezervă.
Utilizarea necorespunzătoare a datelor - poate determina pe cineva să se conecteze ca cont elevat și să mă lase să stau la ecran, căutând informații sau lucruri similare. Audit proprietar, acces și utilizare a datelor, vizualizare sau modificări ale acestora. Apoi, raportarea în jurul acelui control și conformitatea necesară. Monitorizarea traficului și a accesului și așa mai departe, blocarea amenințărilor care provin din locații externe și servere. De exemplu, dacă datele sunt prezentate printr-un formular pe o pagină web de pe internet, injecțiile lor SQL au fost protejate prin firewall-uri și controale conceptuale? Există o poveste lungă detaliată care merge în spatele acestui lucru. Puteți vedea aici că doar unele dintre aceste lucruri absolut fundamentale despre care ne gândim în atenuarea și gestionarea riscurilor în jurul datelor din bazele de date. De fapt, este relativ ușor să faceți o parte din acestea dacă sunteți la diferite niveluri de stive ale tehnologiilor. Provocarea devine din ce în ce mai grea pe măsură ce obțineți tot mai multe date și mai multe baze de date. Mai mult și mai provocator cu persoanele care trebuie să gestioneze sistemele și să monitorizeze utilizarea acestora, urmăresc detaliile relevante care se referă în special la lucrurile despre care a vorbit Robin, în jurul unor lucruri precum conformarea personală. Persoanele fizice au controale și mecanisme în jurul lor care se conformează - dacă faceți ceva greșit, puteți fi concediat. Dacă mă loghez pe măsură ce contul meu vă permite să-l vedeți, asta ar trebui să fie o infracțiune de foc. Acum v-am oferit acces la date pe care nu ar fi trebuit să le vedeți normal.
Există conformitate personală, există conformitate corporativă, companiile au politici și reguli și controale pe care le-au stabilit singure, astfel încât compania să funcționeze bine și să ofere un profit pe profit și un profit bun pentru investitori și acționari. Apoi, există adesea orașul sau statul sau național, federal, așa cum ați spus controale și legi americane. Apoi sunt cele globale. Unele dintre cele mai mari incidente din lume, în cazul în care Sarbanes-Oxley place, două persoane cărora li se cere să găsească modalități de a proteja datele și sistemele. Există Basel în Europa și există o gamă largă de controale în Australia, în special în jurul platformelor de bursă și credențiale, și apoi confidențialitate la nivel individual sau companie. Când fiecare dintre acestea este stivuit cum ați văzut pe unul dintre site-urile pe care le-a avut Robin, ele devin aproape un munte aproape imposibil de urcat. Costurile cresc și suntem în punctul în care abordarea tradițională inițială pe care o cunoașteți, precum ființele umane care măsoară controlul, nu mai este o abordare adecvată, deoarece scara este prea mare.
Avem un scenariu în care conformitatea este ceea ce numesc acum o problemă permanentă. Și acesta este faptul că obișnuiam să avem un moment în timp, fie lunar, fie trimestrial, fie anual, unde am analiza starea noastră de națiune și am ajuta la respectarea și controlul. Asigurarea că anumite persoane au acces și nu au un anumit acces în funcție de permisiunile lor. Acum este un caz al vitezei lucrurilor cu care se mișcă lucrurile, a ritmului cu care se schimbă lucrurile, a scării la care acționăm. Conformitatea este o problemă permanentă, iar criza financiară mondială a fost doar un exemplu în care controalele relevante, iar măsurile de securitate și conformitate ar fi putut evita un scenariu în care am avut un tren de marfă scăzut cu un anumit comportament. Doar crearea unei situații cu întreaga lume în mod eficient știind că va merge rupt și falimentat. Pentru a face acest lucru, avem nevoie de instrumentele potrivite. Aruncarea ființelor umane în tren, aruncarea corpurilor nu mai este o abordare valabilă, deoarece scara este prea mare și lucrurile se mișcă prea repede. Discuția de astăzi, cred că vom avea, se referă la tipurile de instrumente care trebuie aplicate în acest sens. În special instrumentele pe care IDERA ni le poate oferi, care ar trebui să facă acest lucru. Și cu asta în minte, o voi înmâna lui Bullett pentru a-i parcurge materialul său și a ne arăta abordarea lor și instrumentele pe care le au pentru a rezolva această problemă pe care v-am prezentat-o acum.
Cu asta, Bullett, vă voi înmâna.
Bullett Manale: Sună grozav, mulțumesc. Vreau să vorbesc despre câteva diapozitive și vreau să vă arăt un produs pe care îl folosim pentru bazele de date SQL Server special pentru a ajuta situațiile de conformitate. Într-adevăr, provocarea într-o mulțime de cazuri - voi trece peste câteva dintre acestea - acesta este doar portofoliul nostru de produse, o să trec prin asta destul de repede. În ceea ce privește într-adevăr unde se va adresa acest produs și cum se raportează la respectarea respectivă, întotdeauna am extins acest lucru ca la prima diapozitivă, deoarece este un generic „Hei, care este responsabilitatea unui DBA?” Unul dintre lucruri controlează și monitorizează accesul utilizatorului și, de asemenea, este capabil să genereze rapoarte. Asta va face legătura cu când vorbești cu auditorul tău, cât de dificil poate fi acest proces, va varia în funcție de dacă o vei face pe cont propriu sau dacă vei folosi un terț instrument pentru a ajuta.
În general, când vorbesc cu administratorii bazelor de date, de nenumărate ori nu au fost niciodată implicați într-un audit. Trebuie să îi educi în ceea ce înseamnă că trebuie să faci. În legătură cu tipul de conformitate care trebuie să fie îndeplinit și să poți dovedi că respecti de fapt regulile așa cum se aplică la acel nivel de conformitate. Mulți oameni nu o primesc la început. Ei cred: „Oh, pot doar să cumpăr un instrument care să mă facă să mă conformez”. Realitatea este că nu este cazul. Aș dori să pot spune că produsul nostru magic, după cum știți, apăsând butonul ușor, v-a oferit capacitatea de a vă asigura că respectați. Realitatea este că trebuie să vă configurați mediul în funcție de controale, în ceea ce privește modul în care oamenii accesează datele, că totul trebuie elaborat cu aplicația pe care o aveți. În cazul în care datele care sunt sensibile sunt stocate, ce tip de cerință de reglementare este. Apoi, de asemenea, trebuie să lucrați cu un ofițer de conformitate intern, de asemenea, pentru a vă asigura că respectați toate regulile.
Este foarte complicat. Dacă te uiți la toate cerințele de reglementare, ai crede că așa ar fi cazul, dar realitatea este că există un numitor comun aici. În cazul nostru cu instrumentul pe care vi-l arăt astăzi, produsul Compliance Manager, procesul în situația noastră ar fi că, în primul rând, trebuie să ne asigurăm că colectăm datele traseelor de audit, legate în cazul în care datele sunt în baza de date sensibile. Puteți colecta totul, nu? Aș putea să ies și să spun că vreau să colectez fiecare tranzacție care se întâmplă în această bază de date. Realitatea este că, probabil, aveți doar o fracțiune mică sau un procent mic de tranzacții care sunt în realitate legate de datele sensibile. Dacă este conform PCI, acesta va fi în jurul informațiilor despre cardul de credit, proprietarii cărților de credit, informațiile lor personale. S-ar putea să existe o mulțime de alte tranzacții în ceea ce privește cererea dvs., care nu au vreo legătură cu cerințele de reglementare ale PCI.
Din acest punct de vedere, primul lucru când vorbesc cu DBA este să spun: „Provocarea numărul unu nu încearcă să obții un instrument care să facă aceste lucruri pentru tine. Doar știu unde sunt acele date sensibile și cum blocăm aceste date în jos? ”Dacă aveți asta, dacă puteți răspunde la această întrebare, atunci sunteți la jumătate de casă, în condițiile în care puteți arăta că respectați, presupunând că urmați controalele corecte. Să spunem pentru o secundă că urmați controalele corecte și le-ați spus auditorilor că acesta este cazul. Următoarea parte a procesului este, în mod evident, posibilitatea de a furniza un traseu de audit care arată și validă acele controale care funcționează efectiv. Apoi, după aceea, asigurându-vă că salvați datele. De obicei, cu lucruri precum PCI și conformitatea HIPAA și aceste tipuri de lucruri, vorbești de șapte ani de păstrare. Vorbești despre o mulțime de tranzacții și o mulțime de date.
Dacă păstrați, colectați fiecare tranzacție, chiar dacă doar cinci la sută din tranzacții sunt legate de datele sensibile, vorbiți despre un cost destul de mare asociat cu nevoia de a stoca aceste date timp de șapte ani. Aceasta este una dintre cele mai mari provocări, cred că este să îți dai capul oamenilor în jurul valorii de a spune, asta este un cost într-adevăr inutil, evident. De asemenea, este mult mai ușor dacă putem doar să ne concentrăm în mod granular pe zonele sensibile din baza de date. În plus, veți dori, de asemenea, controale în jurul unor informații sensibile. Nu doar pentru a afișa în termeni de traseu de audit, ci și pentru a putea lega lucrurile înapoi la acțiunile care se întâmplă și pentru a putea fi notificat în timp real, astfel încât să puteți fi conștienți de acest lucru.
Exemplul pe care îl folosesc întotdeauna și este posibil să nu fie neapărat legat de niciun tip de cerință de reglementare, ci doar să pot urmări, de exemplu, cineva trebuia să renunțe la tabelul asociat cu salarizarea. Dacă se întâmplă asta, modul în care afli despre asta, dacă nu urmărești asta, nimeni nu este plătit. E prea târziu. Vrei să știi când tabelul respectiv este scăzut, chiar când este scăzut, pentru a evita orice lucruri rele care se întâmplă ca urmare a faptului că un angajat nemulțumit merge și șterge tabelul care este legat direct de salarizare.
Cu acest lucru, trucul este găsirea numitorului comun sau utilizarea acelui numitor comun pentru a cartografia care este nivelul de conformitate. Cam asta încercăm să facem cu acest instrument. Practic, abordăm: nu vom prezenta un raport specific PCI, specific stocurilor; numitorul comun este că aveți o aplicație care utilizează SQL Server pentru a stoca datele sensibile în baza de date. Odată ce ai trecut peste asta, spui: „Da, acesta este într-adevăr principalul lucru pe care trebuie să ne concentrăm - unde sunt acele date sensibile și cum sunt accesate?” După ce aveți acest lucru, există o mulțime de rapoarte pe care le oferim care pot oferi această dovadă, pe care o veți face, în conformitate cu conformitatea.
Revenind la întrebările adresate de un auditor, prima întrebare va fi: Cine are acces la date și cum obțin acest acces? Puteți dovedi că persoanele potrivite accesează datele și persoanele greșite nu? Puteți dovedi, de asemenea, că traseul de audit în sine este ceva în care pot avea încredere ca sursă imuabilă de informații? Dacă vă ofer un traseu de audit, care este fabricat, nu-mi este foarte bine ca auditor să vă corecți auditul dacă informațiile sunt fabricate. Avem nevoie de dovezi în acest sens, de obicei din perspectiva auditului.
Parcurgând aceste întrebări, un pic mai detaliat. Provocarea cu prima întrebare este, trebuie să știți, așa cum am spus, unde sunt acele date sensibile pentru a raporta cine accesează acestea. Acesta este de obicei un tip de descoperire și într-adevăr aveți mii de aplicații diferite, care există acolo, aveți tone de cerințe de reglementare diferite. În cele mai multe cazuri, doriți să lucrați cu ofițerul de conformitate dacă aveți unul sau cel puțin cineva care ar avea informații suplimentare în ceea ce privește situația în care datele mele sensibile sunt în aplicație. Avem un instrument pe care îl avem, este un instrument gratuit, se numește SQL Column Search. Le spunem clienților noștri potențiali și utilizatorilor interesați de această întrebare, pot să-l descarce. Ceea ce va face este să caute, practic, informațiile din baza de date care vor fi probabil sensibile în natură.
Apoi, după ce faceți asta, trebuie să înțelegeți cum accesează oamenii aceste date. Și asta va fi, încă o dată, care sunt conturile în care sunt grupurile Active Directory, care sunt utilizatorii bazei de date, există un rol de apartenență asociat. Și ținând cont, bineînțeles, că toate aceste lucruri despre care vorbim trebuie să fie aprobate de auditor, deci dacă spuneți: „Așa se blochează datele”, atunci auditorii pot veni înapoi și spune: „Ei bine, o faci greșit.” Dar să spunem că ei spun „Da, asta arată bine. Închideți suficient datele. ”
Trecând la următoarea întrebare, care va fi, puteți dovedi că persoanele potrivite accesează aceste date? Cu alte cuvinte, puteți să le spuneți că sunt controalele dvs., acestea sunt controalele pe care le urmați, dar, din păcate, auditorii nu sunt persoane fizice de încredere. Ei doresc dovada acesteia și vor să o poată vedea pe calea auditului. Și acest lucru se întoarce la acel lucru numitor comun. Indiferent dacă este vorba despre PCI, SOX, HIPAA, GLBA, Basel II, oricare ar fi, realitatea este că, de obicei, se vor pune aceleași tipuri de întrebări. Obiectul cu informațiile sensibile, cine a accesat acel obiect în ultima lună? Aceasta ar trebui să corespundă controalelor mele și, în cele din urmă, ar trebui să pot trece auditul meu, arătând acele tipuri de rapoarte.
Și deci, ceea ce am făcut este că am compilat aproximativ 25 de rapoarte care urmează aceleași tipuri de zone ca acel numitor comun. Deci nu avem un raport pentru PCI sau pentru HIPAA sau pentru SOX, avem rapoarte care, încă o dată, se confruntă cu acel numitor comun. Și, deci, nu contează cu adevărat ce cerință de reglementare încercați să îndepliniți, în cele mai multe cazuri veți putea răspunde la orice întrebare care vă este propusă de acel auditor. Și vor să vă spună cine, ce, când și unde din fiecare tranzacție. Știți, utilizator, ora la care a avut loc tranzacția, declarația SQL în sine, aplicația din care a provenit, toate acele lucruri bune și, de asemenea, să puteți automatiza livrarea acestor informații către rapoarte.
Și apoi, încă o dată, odată ce ai trecut de asta și ai furnizat-o auditorului, atunci următoarea întrebare va fi, dovedește-o. Și când spun că o dovedesc, vreau să spun că proba de audit în sine este ceva în care putem avea încredere. Și modul în care facem acest lucru în instrumentul nostru este că avem valori hash și valori CRC care se leagă direct de evenimentele de pe traseul de audit. Și atunci ideea este că, dacă cineva iese și șterge o înregistrare sau dacă cineva iese și elimină sau adaugă ceva pe pista de audit sau schimbă ceva în traseul de audit în sine, putem demonstra că aceste date, integritatea datele în sine, au fost încălcate. Și deci 99, 9 la sută din timp dacă ai închis baza de date a traseului nostru de audit, nu te vei confrunta cu această problemă, deoarece atunci când verificăm acea verificare de integritate, în mod esențial, vom dovedi auditorului că datele în sine nu au fost modificat și șters sau adăugat la scrierea originală de la serviciul de administrare în sine.
Așadar, este un fel de prezentare generală a tipurilor de întrebări tipice pe care vi le-ați adresat. Acum, instrumentul pe care trebuie să-l abordăm foarte mult se numește SQL Compliance Manager și face toate acele lucruri în ceea ce privește urmărirea tranzacțiilor, cine, ce, când și unde tranzacțiile, fiind capabil să facă asta într-un un număr de domenii diferite. Conectări, autentificări eșuate, modificări de schemă, în mod evident acces la date, activitate selectată, toate acele lucruri care se întâmplă în motorul bazei de date. Și putem, de asemenea, să alertăm utilizatorii cu privire la condiții specifice, foarte granulare, dacă este cazul. De exemplu, cineva iese și vede efectiv tabelul care conține toate numerele cărții mele de credit. Nu schimbă datele, ci doar le privesc. În această situație, pot alerta și îi pot anunța pe oameni că asta se întâmplă, nu șase ore mai târziu, când zgâriem jurnalele, ci în timp real. Practic este atât timp cât ne este nevoie să procesăm tranzacția printr-un serviciu de administrare.
Așa cum am menționat anterior, am văzut că acestea sunt utilizate într-o varietate de cerințe de reglementare diferite și nu este într-adevăr - știi, orice cerință de reglementare, încă o dată, atâta timp cât numitorii comuni, aveți date sensibile într-un SQL Server baza de date, acesta este un instrument care ar ajuta în acest tip de situație. La cele 25 de rapoarte care sunt încorporate, acum realitatea este că putem face acest instrument bun pentru auditor și răspunde la fiecare întrebare pe care o pune, dar DBA-urile sunt cele care trebuie să o facă să funcționeze. Deci, există și această gândire, știți bine, dintr-o perspectivă de întreținere trebuie să ne asigurăm că SQL funcționează așa cum ne dorim. De asemenea, trebuie să fim capabili să intrăm și să analizăm lucrurile care vor fi capabile să ieșim și să ne uităm la alte informații, știți, în ceea ce privește arhivarea datelor, automatizarea acestora și generația generală ea însăși a produsului. Acestea sunt lucruri pe care, evident, le luăm în considerare.
Ceea ce aduce arhitectura în sine. Așadar, în partea dreaptă a ecranului, avem instanțele SQL pe care le administrăm, de la 2000 până la 2014, pregătindu-ne să lansăm o versiune pentru 2016. Cea mai mare livrare de pe acest ecran este că managementul serverul în sine face toată ridicarea grea. Colectăm doar datele, folosind API-ul de urmă, încorporat cu SQL Server. Aceste informații sunt înclinate către serverul nostru de gestionare. Acest server de administrare în sine identifică și dacă există evenimente legate de orice tip de tranzacții pe care nu le dorim, trimitând alerte și acele tipuri de lucruri, apoi populăm datele dintr-un depozit. De acolo putem rula rapoarte, am putea să ieșim și să vedem efectiv informațiile din rapoarte sau chiar din consola aplicației.
Așadar, ceea ce voi merge înainte și voi face este să mă parcurg, real repede și vreau doar să punctez un lucru rapid înainte de a sări în produs, există un link pe site-ul în acest moment, sau la prezentare, asta te va duce la acel instrument gratuit pe care l-am menționat mai devreme. Acest instrument gratuit este, așa cum am spus, că va ieși în căutarea unei baze de date și va încerca să găsească zonele care arată ca date sensibile, numere de securitate socială, numere de cărți de credit, pe baza denumirilor coloanelor sau tabelelor, sau bazat pe modul în care arată formatul datelor și puteți personaliza asta, astfel încât să evidențiați acest lucru.
Acum, în cazul nostru, dă-mi voie să merg mai departe și să-mi împărtășesc ecranul, dă-mi o secundă aici. Bine, și totuși, ceea ce am vrut să vă duc mai întâi este că vreau să vă duc în aplicația Compliance Manager în sine și o să parcurg acest lucru destul de repede. Dar aceasta este aplicația și puteți vedea că am câteva baze de date aici și vă voi arăta cât de ușor este să intrați și să-i spuneți ce doriți să auditați. Din punctul de vedere al modificărilor de schemă, schimbări de securitate, activități administrative, DML, Select, avem toate opțiunile disponibile, putem filtra și în jos. Acest lucru se întoarce la cele mai bune practici de a putea spune: „Chiar am nevoie de acest tabel, deoarece conține numerele cardului meu de credit. Nu am nevoie de celelalte tabele care conțin informații despre produs, toate celelalte lucruri care nu sunt în raport cu nivelul de conformitate pe care încerc să îl îndeplinesc. "
Avem, de asemenea, capacitatea de a capta date și de a le arăta în termeni de valorile câmpurilor care se schimbă. Într-o mulțime de instrumente veți avea ceva care vă va oferi posibilitatea de a capta instrucțiunea SQL, de a arăta utilizatorului, de a arăta aplicația, ora și data, toate lucrurile astea bune. Dar, în unele cazuri, instrucțiunea SQL în sine nu vă va oferi suficiente informații pentru a vă putea spune care este valoarea câmpului înainte de a se produce modificarea, precum și valoarea câmpului după ce a avut loc modificarea. Și în unele situații ai nevoie de asta. Aș putea dori să urmăresc, de exemplu, informațiile despre dozarea medicului pentru medicamentele rețetate. S-a trecut de la 50mg la 80mg la 120mg, aș putea urmări asta folosind înainte și după.
Coloane sensibile este un alt lucru în care ne ocupăm cu multe, de exemplu, cu conformitatea PCI. În situația de aici aveți date atât de sensibile în natură încât doar uitându-mă la informațiile respective, nu trebuie să o schimb, să o șterge sau să o adaug, pot provoca daune ireparabile. Numere de cărți de credit, numere de securitate socială, tot felul de lucruri bune pe care le putem identifica pe coloane sensibile și legăm alertele la acesta. Dacă cineva iese și se uită la informațiile pe care le-am putea, evident, am putea alerta și trimite un e-mail sau genera o capcană SNMP și aceste tipuri de lucruri.
Acum, în unele cazuri, veți ajunge într-o situație în care s-ar putea să aveți o excepție. Și ce vreau să spun prin asta, aveți o situație în care aveți un utilizator care are un cont de utilizator care ar putea fi legat de un tip de job ETL care se execută în miez de noapte. Este un proces documentat și pur și simplu nu trebuie să includ informațiile tranzacționale pentru contul de utilizator. În acest caz, vom avea un utilizator de încredere. Apoi, în alte situații, am folosi funcția de auditare a utilizatorilor privilegiați, care este, în esență, dacă am primit, să spunem, de exemplu, o aplicație, iar aplicația respectivă face deja audituri, a utilizatorilor care parcurg aplicația, adică grozav, am deja ceva de referit în ceea ce privește auditul meu. Dar pentru lucrurile care sunt legate, de exemplu, de utilizatorii privilegiați, cei care pot intra în studioul de gestionare a SQL Server să se uite la datele din baza de date, asta nu o va reduce. Și deci este locul unde am putea defini cine sunt utilizatorii noștri privilegiați, fie prin Role Membership, fie prin conturile Active Directory, grupuri, conturile lor autentificate SQL, unde vom putea alege toate aceste tipuri diferite de opțiuni și apoi de acolo asigurați-vă că pentru acei utilizatori privilegiați putem specifica tipurile de tranzacții pe care suntem interesați să le audităm.
Acestea sunt tot felul de opțiuni diferite pe care le aveți și nu voi parcurge toate tipurile diferite de lucruri pe baza constrângerilor de timp aici pentru această prezentare. Dar vreau să vă arăt cum putem vedea datele și cred că vă va plăcea cum funcționează, deoarece există două modalități prin care putem face asta. O pot face în mod interactiv și, atunci, când vorbim cu persoane care sunt interesate de acest instrument pentru eventualele lor controale interne, vor doar să știe ce se întâmplă în multe cazuri. Nu au neapărat auditori care vin pe site. Vor doar să știe: „Hei, vreau să merg după această masă și să văd cine a atins-o în ultima săptămână sau luna trecută sau orice altceva ar putea fi.” În acest caz puteți vedea cât de repede putem face asta.
În cazul bazei de date privind asistența medicală, am un tabel numit Registrul pacienților. Iar tabelul respectiv, dacă aș fi doar grupat după obiect, ar putea începe foarte repede să se restrângă unde căutăm. Poate vreau să grupez pe categorii și apoi poate după eveniment. Și când fac asta, puteți vedea cât de repede apare acest lucru, și există tabelul meu de înregistrări ale pacientului chiar acolo. Și cum mă descurc, putem vedea acum activitatea DML, putem vedea că am avut o mie de inserții de DML, iar când deschidem una dintre aceste tranzacții putem vedea informațiile relevante. Cine, ce, ce, când, unde și tranzacția, declarația SQL, evident, aplicația reală folosită pentru a efectua tranzacția, contul, ora și data.
Acum, dacă te uiți la următoarea filă aici, fila Detalii, aceasta revine la cea de-a treia întrebare despre care vorbim, dovedind că integritatea datelor nu a fost încălcată. Deci, practic, la fiecare eveniment, avem un calcul secret pentru valoarea noastră de hash, iar acest lucru se va lega apoi de când vom face verificarea integrității noastre. De exemplu, dacă ar fi să ies la instrument, să intru în meniul de audit și trebuia să ies și să spun, să verificăm integritatea depozitului, aș putea indica baza de date unde se află pista de audit, va rula. printr-o verificare a integrității care să corespundă valorilor hash și valorilor CRC la evenimentele reale și ne va spune că nu s-au găsit probleme. Cu alte cuvinte, datele din traseul de audit nu au fost modificate, deoarece au fost inițial scrise de serviciul de management. Aceasta este, evident, o modalitate de a interacționa cu datele. Cealaltă cale ar fi prin rapoartele în sine. Și deci, vă voi oferi un singur exemplu rapid de raport.
Și încă o dată, aceste rapoarte, în modul în care am venit cu ele, nu sunt specifice niciunui tip de standard precum PCI, HIPAA, SOX sau ceva de genul. Încă o dată, este numitorul comun al ceea ce facem și, în acest caz, dacă ne întoarcem la acel exemplu de înregistrări ale pacientului, am putea să ieșim și să spunem, în cazul nostru aici, căutăm la baza de date de îngrijire a sănătății și în cazul nostru dorim să ne concentrăm în mod specific asupra acelui tabel pe care îl cunoaștem conține informații private, în cazul nostru, legate de pacienții noștri. Și deci, permiteți-mi să văd dacă pot să-l tastez aici și vom merge înainte și vom rula raportul respectiv. Și vom vedea atunci, evident, de acolo toate datele relevante asociate obiectului respectiv. Și în cazul nostru ne arată pentru o perioadă de o lună. Dar am putea să ne întoarcem șase luni, un an, oricât am păstrat datele.
Acestea sunt tipurile de modalități prin care ați putea dovedi auditorului, dacă veți face acest lucru, că urmați controalele. După ce ați identificat acest lucru, atunci este evident că este un lucru bun în ceea ce privește trecerea auditului dvs. și puteți demonstra că urmați controalele și totul funcționează.
Ultimul lucru despre care am vorbit despre asta am vrut să demonstrez este în secțiunea de administrare. Există, de asemenea, controale din punctul de vedere al acestui instrument în sine pentru a putea seta controale pentru a vă asigura că, dacă cineva face ceva ce nu trebuie să facă, pot fi informat. Și vă voi oferi câteva exemple acolo. Am un cont de conectare legat de un serviciu și care are nevoie de permisiuni ridicate pentru a face ceea ce face. Ceea ce nu vreau este să intre cineva și să folosească acel cont în Management Studio și, apoi, știi, să-l folosească pentru lucruri care nu erau destinate. Am avea două criterii aici pe care le-am putea aplica. Aș putea spune: „Uite, suntem într-adevăr interesați de acest lucru, să spunem, cu aplicația PeopleSoft”, doar ca exemplu, bine?
Acum că am făcut asta, ceea ce spun aici este, sunt curios să știu orice autentificări legate de contul pe care mă pregătesc să îl specific, dacă aplicația care este utilizată pentru a vă autentifica cu acest cont nu este PeopleSoft, atunci asta va fi o majorare pentru alarma. Și, evident, trebuie să specificăm însuși numele contului, așa că, în cazul nostru, să apelăm doar la acest Cont Privat, pentru faptul că este privilegiat. Acum, odată ce am făcut asta, atunci când vom face acest lucru aici, acum vom fi capabili să specificăm ce am dori să se întâmple atunci când se va întâmpla acest lucru și pentru fiecare tip de eveniment sau, ar trebui să spun, alert, puteți să aveți o notificare separată persoanei care este responsabilă pentru respectiva informație.
De exemplu, dacă este vorba despre informații despre salarii, s-ar putea să meargă la directorul meu de HR. În acest caz, tratând aplicația PeopleSoft, va fi administratorul aplicației respective. Oricare ar fi cazul. Aș putea să-mi pun adresa de e-mail, să personalizez mesajul de alertă efectiv și toate aceste lucruri bune. Încă o dată, acest lucru revine la a fi capabil să vă asigurați că puteți arăta că urmați controalele dvs. și că aceste controale funcționează așa cum sunt destinate. Din ultima perspectivă aici, doar în ceea ce privește întreținerea, avem capacitatea de a lua aceste date și de a le pune offline. Pot arhiva datele și le pot programa și am putea să facem aceste lucruri foarte ușor, în sensul că veți putea, ca DBA, să folosiți acest instrument, să îl configurați și să pășește-te departe de ea Nu există o mulțime de mână care vor avea loc odată ce ai setat așa cum trebuie. Așa cum am spus, partea cea mai grea despre oricare dintre acestea, cred, nu este să configurați ceea ce doriți auditul, ci să știți ce doriți să configurați pentru a verifica.
Și cum am spus, natura fiarei cu auditul, trebuie să păstrați datele timp de șapte ani, deci nu are sens decât să vă concentrați în acele zone care sunt sensibile în natură. Dar dacă vrei să abordezi abordarea colectării a tot ceea ce poți face, nu poți fi considerată cea mai bună practică. Așadar, din acest punct de vedere, aș dori să reamintesc oamenilor că, dacă acest lucru este de interes, puteți accesa site-ul de la IDERA.com și descărcați o versiune a acestui lucru și puteți juca cu voi. În ceea ce privește instrumentul gratuit despre care am vorbit anterior, este bine, este gratuit, puteți să îl descărcați și să îl utilizați pentru totdeauna, indiferent dacă utilizați produsul Compliance Manager. Iar lucrul cel mai fain despre acel instrument de căutare a coloanelor este că descoperirile pe care le obțineți și, de fapt, pot arăta că, cred, veți putea exporta aceste date și apoi veți putea să le importați în Compliance Manager de asemenea. Nu o văd, știu că este aici, acolo este. Acesta este doar un exemplu în acest sens. Aici găsesc datele sensibile aferente.
Acum, acest caz am ieșit și am într-adevăr, mă uit la tot, dar ai doar o mulțime de lucruri pe care le putem verifica. Numere de carte de credit, adrese, nume, tot felul de lucruri. Și vom identifica unde se află în baza de date, iar de acolo puteți lua decizia dacă doriți sau nu să auditați informațiile respective. Dar, cu siguranță, este o modalitate de a vă face mult mai ușor să vă definiți domeniul dvs. de audit atunci când priviți un instrument de acest fel.
Voi merge înainte și se va închide cu asta și voi merge înainte și să-l transmit înapoi lui Eric.
Eric Kavanagh: Este o prezentare fantastică. Ador felul în care intri cu adevărat în detaliile gresie de acolo și ne arată ce se întâmplă. Deoarece la sfârșitul zilei există un sistem care va accesa unele înregistrări, asta vă va oferi un raport, asta vă va determina să vă spuneți povestea dvs., fie că este vorba de un autor de reglementare, de un auditor sau de cineva din echipa dvs., deci este bine să știți că sunteți pregătit dacă și când, sau cum și când, persoana respectivă vine să bată și, desigur, asta este situația neplăcută pe care încercați să o evitați. Dar dacă se va întâmpla și probabil că se va întâmpla în aceste zile, doriți să fiți sigur că aveți I-ul punctat și T-ul tău încrucișat.
Există o întrebare bună de la un membru al audienței pe care vreau să-l arunc în primul rând către tine, Bullett, și, dacă poate, un prezentator vrea să comenteze acest lucru, simte-te liber. Și atunci poate Dez va pune o întrebare și Robin. Deci, întrebarea este: este corect să spunem că pentru a face toate acele lucruri pe care le-ați menționat, trebuie să începeți un efort de clasificare a datelor la un nivel elementar? Trebuie să vă cunoașteți datele când apar ca un potențial element valoros și să faceți ceva în acest sens. Cred că ai fi de acord, Bullett, nu?
Bullett Manale: Da, absolut. Adică, trebuie să vă cunoașteți datele. Și îmi dau seama, recunosc că există o mulțime de aplicații care sunt acolo și există o mulțime de lucruri diferite care au piese în mișcare în organizația ta. Instrumentul de căutare pe coloane este foarte util în ceea ce privește un pas către direcția înțelegerii mai bune a datelor. Dar da, este foarte important. Adică, aveți opțiunea de a aborda firehose și de a verifica totul, dar este mult mai dificil în acest mod logistic atunci când vorbiți despre faptul că trebuie să stocați aceste date și să raportați împotriva acestor date. Și atunci mai aveți nevoie să știți unde se află acea informație, deoarece atunci când executați rapoartele dvs. va trebui să le arătați auditorilor și aceste informații. Așa că cred că, așa cum am spus, cea mai mare provocare când vorbesc cu administratorii bazelor de date este să știi, da.
Eric Kavanagh: Da, dar poate Robin te vom aduce într-adevăr rapid. Mi se pare că regula 80/20 se aplică aici, nu? Probabil că nu veți găsi toate sistemele de înregistrare care contează dacă sunteți într-o organizație de talie medie sau mare, dar dacă vă concentrați - cum sugera Bullett aici - PeopleSoft, de exemplu, sau alte sisteme de înregistrare care sunt predominant în întreprindere, este locul în care vă concentrați 80 la sută din efortul dvs. și apoi 20 la sută este pe celelalte sisteme care pot fi acolo undeva, nu?
Robin Bloor: Ei bine, sunt sigur, da. Adică, știți, cred că problema acestei tehnologii și cred că probabil merită să aveți un comentariu asupra acesteia, dar problema cu această tehnologie este, cum o implementați? Adică, este foarte sigur o lipsă de cunoștințe, să zicem, în majoritatea organizațiilor, chiar și numărul de baze de date care există. Știi, e foarte multă lipsă de inventar, să zicem. Știți, întrebarea este: să ne imaginăm că începem într-o situație în care nu există o conformitate deosebit de bine administrată, cum luați această tehnologie și o injectați în mediu, nu doar în tehnologie termeni, setarea lucrurilor, dar cum ar fi cine îl gestionează, cine stabilește ce? Cum să începi să faci acest lucru într-un adevărat lucru care să-și facă treaba?
Bullett Manale: Ei bine, adică este o întrebare bună. În multe cazuri, provocarea este că, trebuie să începeți să puneți întrebările chiar de la început. Am intrat într-o mulțime de companii unde, știți, poate sunt o companie privată și s-au achiziționat, există o inițială, mai întâi, un fel de denivelări rutiere, dacă doriți să o numiți așa. De exemplu, dacă tocmai acum am devenit o companie tranzacționată public din cauza achiziției, va trebui să mă întorc și probabil să îmi dau seama de unele lucruri.
Și, în unele cazuri, vorbim cu organizații care, chiar dacă sunt private, respectă regulile de conformitate SOX, pur și simplu pentru că, în cazul în care doresc să se dobândească, știu că trebuie să fie conforme. Cu siguranță nu doriți să abordați doar „Nu trebuie să-mi fac griji pentru asta.” Orice tip de conformitate cu reglementările, cum ar fi PCI sau SOX sau orice altceva, doriți să faceți investiția pentru a face cercetarea sau înțelegerea locului în care se află informațiile acelea sensibile, altfel s-ar putea să te descoperi că ai de-a face cu anumite amenzi semnificative și puternice. Și este mult mai bine doar să investești acel timp, știi, găsind aceste date și reușind să raportezi și să demonstrezi că controalele funcționează.
Da, în ceea ce privește configurarea, așa cum am spus, primul lucru pe care l-aș recomanda oamenilor care se pregătesc să se confrunte cu un audit, este doar să ieși și să facă o examinare înclinată a bazei de date și să-ți dai seama. știu, în eforturile lor cele mai bune, încercând să-ți dai seama unde sunt acele date sensibile. Iar cealaltă abordare ar fi să începeți cu o plasă poate mai mare în ceea ce privește obiectul auditului și apoi să vă limitați încet, odată ce, un fel, vă dați seama unde sunt acele zone din sistem care sunt legate de informații sensibile. Dar aș dori să vă pot spune că există un răspuns ușor la această întrebare. Probabil va varia destul de mult de la o organizație la cealaltă și tipul de conformitate și într-adevăr cum, știți, cât de multă structură au aplicațiile lor și câte au, aplicații diverse pe care le au, unele pot fi aplicații scrise personalizate, deci va depinde într-adevăr de situație într-o mulțime de cazuri.
Eric Kavanagh: Continuați, Dez, sunt sigur că aveți o întrebare sau două.
Dez Blanchfield: Sunt dornic să vă aduc câteva informații despre observațiile dvs. cu privire la impactul asupra organizațiilor, din punct de vedere al oamenilor, de fapt. Cred că unul dintre domeniile în care văd cea mai mare valoare pentru această soluție particulară este că atunci când oamenii se trezesc dimineața și merg la muncă la diferite niveluri ale organizației, se trezesc cu o serie de responsabilități sau un lanț de responsabilități. cu care trebuie să se ocupe. Și eu sunt dornic să aflu informații despre ceea ce vezi acolo și fără tipurile de instrumente despre care vorbești. Și contextul despre care vorbesc aici este de la președinte la nivelul consiliului de administrație la CEO și CIO și suita C. Și acum avem ofițeri de risc, care se gândesc mai mult la tipurile de lucruri despre care vorbim aici, în conformitate și guvernare, și acum avem noi șefi de joc, rol de șef de date, cine știe., chiar mai preocupat de asta.
Și din partea fiecăruia dintre ei, în jurul CIO, avem manageri IT pe de o parte cu, știți, conducere tehnică și apoi baze de date. Și în spațiul operațional avem manageri de dezvoltare și direcții de dezvoltare, apoi dezvoltări individuale, și, de asemenea, se bucură înapoi în stratul de administrare a bazelor de date. Ce vedeți în jurul reacției fiecăreia dintre aceste părți diferite ale activității la provocarea conformității și a raportării de reglementare și abordarea lor în acest sens? Vedeți că oamenii vin la asta cu o ardoare și pot vedea beneficiul pentru aceasta, sau vedeți că își trag cu reticență picioarele către acest lucru și doar, știți, o faceți pentru o căpușă în cutie? Și care sunt tipurile de răspunsuri pe care le vedeți odată ce vă văd software-ul?
Bullett Manale: Da, aceasta este o întrebare bună. Aș spune că acest produs, vânzările acestui produs, sunt conduse în mare parte de cineva care se află pe scaunul fierbinte, dacă asta are sens. În cele mai multe cazuri, acesta este DBA, și din perspectiva noastră, cu alte cuvinte, știu că apare un audit și vor fi responsabili, pentru că sunt DBA-uri, pentru a putea furniza informațiile pe care le va face auditorul cere. Ei pot face asta scriind propriile rapoarte și creând propriile lor urme personalizate și toate aceste tipuri de lucruri. Realitatea este că ei nu vor să facă asta. În majoritatea cazurilor, DBA nu așteaptă cu nerăbdare să înceapă acele conversații cu auditorul. Știi, aș prefera să-ți spun că putem apela la o companie și să-ți spun: „Hei, acesta este un instrument minunat și o să-l iubești”, și le arătăm toate funcțiile și le vor cumpăra.
Realitatea este că, de regulă, nu vor privi acest instrument decât dacă de fapt vor fi confruntați cu un audit sau pe cealaltă parte a monedei respective, dacă au avut un audit și au eșuat mizerabil și acum sunt i se spune să obțină ajutor sau vor fi amendați. Aș spune că, în termeni de, știți, în general, când arătați acest produs oamenilor, ei văd cu siguranță valoarea acestuia, deoarece le economisește o tonă de timp în ceea ce privește nevoia de a afla ce vor să raporteze., acele tipuri de lucruri. Toate aceste rapoarte sunt deja încorporate, mecanismele de alertă sunt în vigoare, iar apoi cu a treia întrebare este, de asemenea, într-o mulțime de cazuri, poate fi o provocare. Pentru că îți pot arăta rapoarte toată ziua, dar dacă nu îmi poți dovedi că aceste rapoarte sunt de fapt valabile atunci, știi, este o propunere mult mai dură pentru mine ca DBA să pot să arăt asta. Dar am elaborat tehnologia și tehnica de spălare și toate aceste tipuri de lucruri pentru a ne ajuta să ne asigurăm că se păstrează datele din integritatea sa a traseelor de audit.
Și așa sunt lucrurile cu care, acestea sunt observațiile mele în ceea ce privește majoritatea oamenilor cu care vorbim. Știți, cu siguranță, în diferite organizații, știți că, veți auzi despre, știți ca, de exemplu, Target, de exemplu, a avut o încălcare a datelor și, știți, vreau să spun, când alte organizații aud despre amenzi și acelea feluri de lucruri pe care oamenii încep, ridică o sprânceană, așa că sperăm că asta răspunde la întrebare.
Dez Blanchfield: Da, cu siguranță. Îmi imaginez că unele DBA-uri când văd în cele din urmă ce se poate face cu instrumentul își dau seama că și-au revenit nopțile și weekendurile. Reduceri de timp și costuri și alte lucruri pe care le văd când sunt aplicate instrumentele adecvate pentru această problemă, și este că, trei săptămâni am stat cu o bancă aici, în Australia. Sunt o bancă globală, o primă bancă de trei, sunt masive. Și au avut un proiect în care au fost nevoiți să raporteze cu privire la respectarea gestionării averii și în special a riscului și se uitau la 60 de săptămâni de muncă pentru câteva sute de ființe umane. Și atunci când li s-a arătat aprecierea unui instrument ca tine, care ar putea doar să automatizeze procesul, acest sens, aspectul de pe fețele lor când și-a dat seama că nu trebuie să petreacă X numărul de săptămâni cu sute de oameni care efectuează un proces manual a fost un fel de cum l-ar fi găsit pe Dumnezeu. Însă, chestiunea provocatoare era atunci cum să o pui în plan, așa cum a indicat dr. Robin Bloor, știi, acesta este ceva care devine un amestec de schimbare comportamentală, culturală. La nivelurile cu care aveți de-a face, care se ocupă de acest lucru direct la nivelul aplicației, ce fel de schimbări vedeți când încep să adopte un instrument pentru a face tipul de raportare și audit și controale pe care le puteți oferi, ca opus celor ce ar fi putut face manual? Cum arată asta când sunt de fapt puse în practică?
Bullett Manale: Vă întrebați, care este diferența în ceea ce privește gestionarea manuală față de acest instrument? Aceasta este întrebarea?
Dez Blanchfield: Ei bine, în special impactul afacerii. Deci, de exemplu, dacă încercăm să furnizăm conformitatea într-un proces manual, știți, ne ocupăm invariabil de mult timp cu o mulțime de ființe umane. Dar cred că, pentru a pune un anumit context în jurul întrebării, așa cum știți, vorbim despre o singură persoană care conduce acest instrument care înlocuiește potențial 50 de persoane și care poate face același lucru în timp real sau în ore față de luni? Este acest lucru, ce se dovedește a fi în general?
Bullett Manale: Ei bine, vreau să spun, este vorba de câteva lucruri. Unul are capacitatea de a răspunde la aceste întrebări. Unele dintre aceste lucruri nu se vor face foarte ușor. Așa că da, timpul necesar pentru a face lucrurile de făcut în casa, pentru a scrie rapoartele pe cont propriu, pentru a configura urmele sau evenimentele extinse pentru a aduna datele manual, ar putea dura mult timp. Într-adevăr, vă voi oferi câteva, adică, acest lucru nu se referă cu adevărat la bazele de date în general, dar ca imediat după ce Enron s-a întâmplat și SOX a devenit prevalent, am fost la una dintre cele mai mari companii petroliere din Houston și am contat pentru, Cred că a fost ca 25 la sută din costurile noastre de afaceri au fost legate de conformitate SOX.
Acum, asta a fost imediat după, și acesta a fost un fel de primul pas inițial la SOX, dar lucrul cu, aș spune, știți, beneficiați de multe beneficii folosind acest instrument în sensul că nu necesită mult de oameni care să facă asta și o mulțime de oameni diferiți să o facă. Și cum am spus, DBA nu este de obicei tipul care așteaptă cu nerăbdare să aibă acele conversații cu auditorii. Așadar, în multe cazuri, vom vedea că DBA poate descărca acest lucru și va putea furniza raportul interfațat auditorului și se pot elimina complet din ecuație, mai degrabă decât să fie implicați. Deci, știți, aceasta este o economie extraordinară și în ceea ce privește resursele atunci când puteți face asta.
Dez Blanchfield: Vorbești despre reduceri masive de costuri, nu? Organizațiile nu numai că elimină riscul și cheltuielile generale, dar vreau să spun că, în esență, vorbești despre o reducere semnificativă a costurilor, A) operațional și, de asemenea, B) în faptul că, știi, dacă pot furniza real raportarea timpului conformității că există riscul semnificativ de încălcare a datelor sau de o amendă legală sau de impact pentru nerespectarea respectivă, nu?
Bullett Manale: Da, absolut. Adică, pentru că nu sunt conforme, se întâmplă tot felul de lucruri rele. Ei pot utiliza acest instrument și ar fi grozav sau nu și vor afla cât de rău este într-adevăr. Deci, da, nu este doar instrumentul, în mod evident, vă puteți face verificările și orice, fără un instrument ca acesta. Așa cum am spus, va dura mult mai mult timp și cost.
Dez Blanchfield: E minunat. Așadar, Eric, o să-ți trec înapoi, pentru că cred că livrarea pentru mine este că, știi, genul de piață este fantastic. Dar, de asemenea, în esență, lucrurile își merită greutatea în aur, pe baza faptului că posibilitatea de a evita impactul comercial al unei probleme sau de a putea reduce timpul necesar pentru a raporta și a gestiona conformitatea îl face, știți, instrumentul se plătește singur prin sunetele lucrurilor.
Eric Kavanagh: Așa este. Păi, mulțumesc mult pentru timpul acordat astăzi, Bullett. Mulțumesc tuturor celor prezenți pentru timpul și atenția acordată, și Robin și Dez. O altă prezentare grozavă astăzi. Mulțumim prietenilor noștri de la IDERA că ne-au permis să vă aducem gratuit acest conținut. Vom arhiva acest webcast pentru vizualizare ulterioară. Arhiva este de obicei până în aproximativ o zi. Și anunțați-vă ce credeți despre noul nostru site web, insideanalysis.com. Un design cu totul nou, un aspect cu totul nou. Ne-ar plăcea să auzim feedback-ul tău și cu asta o să-ți iau rămas bun, oameni buni. Îmi poți trimite un e-mail. În caz contrar, vă vom prinde săptămâna viitoare. Avem șapte transmisiuni web în următoarele cinci săptămâni sau ceva de genul acesta. Vom fi ocupați. Și vom fi la Conferința Strata și la Summit-ul IBM Analyst din New York la sfârșitul acestei luni. Așadar, dacă ești pe acolo, oprește-te și spune salut. Ai grijă, oameni buni. Pa! Pa.