Izņemšana: Saimnieks Ēriks Kavanaghs apspriež datubāzu revīziju un atbilstību analītiķiem Robinam Blooram un Dezam Blanšfīldam, kā arī IDERA Bulletai Manālei šajā Hot Technologies epizodē.
Pašlaik neesat pieteicies. Lai redzētu video, lūdzu, pierakstieties vai reģistrējieties.
Ēriks Kavanaghs: Dāmas un kungi, sveicināti un vēlreiz sveicam Hot Technologies! Jā, patiešām, no 2016. gada. Šīs izrādes trešajā gadā tā bija ļoti aizraujoša. Mēs šogad esam šūpojuši un ripinājuši. Tas ir jūsu saimnieks Ēriks Kavanaghs. Šodienas tēma - šī ir lieliska tēma, tai ir daudz lietojumu daudzās nozarēs, atklāti sakot - “Kas, ko, kur un kā: kāpēc jūs vēlaties zināt?”. Jā, patiešām, mēs runāsim par visu šo jautro lietu. Tur ir slaids par tavu patiesību, uzklikšķiniet man uz vietni @eric_kavanagh. Es mēģinu atkārtot visu pieminēšanu un atkārtot visu, ko kāds man sūta. Pretējā gadījumā tā būtu.
Tas ir karsts, jā! Viss šovs šeit ir paredzēts, lai palīdzētu organizācijām un indivīdiem izprast konkrētus tehnoloģiju veidus. Mēs šeit, Hot Technologies, izstrādājām visu programmu kā veidu, kā definēt īpašu programmatūras veidu, noteiktu tendenci vai noteikta veida tehnoloģiju. Iemesls ir tāpēc, ka, atklāti sakot, programmatūras pasaulē, jūs bieži iegūsit šos mārketinga terminus, kuri kļūst par bandītiem, un dažreiz viņi var atklāti sakodot jēdzienus, kurus bija paredzēts aprakstīt.
Šajā izrādē mēs patiešām cenšamies palīdzēt jums saprast, kas ir noteikts tehnoloģijas veids, kā tā darbojas, kad jūs to varat izmantot, kad jums to varbūt nevajadzētu izmantot, un sniedziet jums tik daudz detaļu, cik vien iespējams. Mums šodien ir trīs vadītāji: mūsu pašu Robins Bloors, galvenais Bloor grupas analītiķis; mūsu datu zinātnieks, kurš piezvanīja no Sidnejas, Austrālijas, planētas otrā pusē, Dezs Blanšfīlds, un viens no mūsu iecienītākajiem viesiem Bullets Manale, IDERA pārdošanas tehnikas direktors.
Es tikai saku šeit pāris lietas, saprotot, kas ar kādu datu kopumu rīkojas, un tas ir tāpat kā pārvaldība, vai ne? Ja jūs domājat par visiem noteikumiem, kas attiecas uz nozarēm, piemēram, veselības aprūpi un finanšu pakalpojumiem, šajās jomās, tas ir neticami svarīgi. Jums jāzina, kurš pieskārās informācijai, kurš kaut ko mainīja, kurš tam piekļuva, kurš to augšupielādēja, piemēram. Kas ir ciltsgrāmata, kāda ir šo datu providence? Varat būt drošs, ka visi šie jautājumi turpmākajos gados būs nozīmīgi visu veidu iemeslu dēļ. Ne tikai par atbilstību, kaut arī HIPAA, kā arī Sarbanes-Oxley un Dodd-Frank, un visi šie noteikumi ir ļoti nozīmīgi, bet arī tikai tāpēc, lai jūs savā biznesā saprastu, kas dara, kur, kad, kāpēc un kā. Šīs ir labas lietas, kurām būs jāpievērš uzmanība.
Ejiet uz priekšu, atņemiet to, Robin Bloor.
Robins Bloors: Labi, labi, paldies par ievads, Ēriks. Šī pārvaldības joma, es domāju, pārvaldība IT nebija vārds, ko jūs dzirdējāt tikai nedaudz pēc 2000. gada, es domāju. Tas radās galvenokārt tāpēc, ka, manuprāt, jebkurā gadījumā tas notika galvenokārt tāpēc, ka bija spēkā esošie tiesību akti par atbilstību. Īpaši HIPAA un Sarbanes-Oxley. Theres patiesībā ir daudz no tā. Tādēļ organizācijas saprata, ka tām ir jābūt noteikumu kopumam un procedūru kopumam, jo tas ir nepieciešams saskaņā ar likumu. Ilgi pirms tam, jo īpaši banku nozarē, bija dažādas iniciatīvas, kurām jums bija jāpakļaujas atkarībā no tā, kāda banka jūs esat, un jo īpaši no starptautiskajiem baņķieriem. Viss Bāzeles prasībām atbilstošais sākums bija ceļš pirms šī konkrētā iniciatīvu kopuma pēc 2000. gada. Tas viss patiešām attiecas uz pārvaldību. Es domāju, ka es gribētu runāt par pārvaldības tēmu kā ievadu uzmanības pievēršanai tam, kurš iegūst datus.
Datu pārvaldība, es mēdzu skatīties apkārt, es domāju apmēram pirms pieciem vai sešiem gadiem, meklēt definīcijas, un tā vispār nebija precīzi definēta. Tas kļūst skaidrāks un skaidrāks par to, ko tas patiesībā nozīmē. Situācijas realitāte bija tāda, ka, ievērojot noteiktas robežas, visi dati faktiski tika pārvaldīti iepriekš, taču tam nebija oficiālu noteikumu.Bija īpaši noteikumi, kas īpaši banku nozarē tika izstrādāti, lai darītu līdzīgus darījumus, bet atkal tas vairāk attiecās uz noteikumu ievērošanu. Vienā vai otrā veidā pierādot, ka jūs faktiski esat - tā veida saistīta ar risku, tāpēc darījums bija pierādījums tam, ka esat dzīvotspējīga banka.
Ja paskatās uz pārvaldības izaicinājumu tagad, tas sākas ar lielo datu kustības faktu. Mums ir arvien vairāk datu avotu. Datu apjoms, protams, ir problēma ar to. Jo īpaši mēs sākām darīt daudz, daudz, vairāk ar nestrukturētiem datiem. Tas sāka kļūt par kaut ko visu analītikas spēles daļu. Analītikas dēļ datu izcelsme un ciltslietas ir svarīgas. Patiešām, no datu analītikas izmantošanas veida, kas saistīts ar jebkāda veida atbilstību, jums tiešām ir jābūt zināšanām par to, no kurienes dati ir iegūti un kā tam ir jābūt tādam, kāds tas ir.
Datu šifrēšana sāka kļūt par problēmu, kļuva par lielāku problēmu, tiklīdz devāmies uz Hadoop, jo ideja par datu ezeru, kurā mēs glabātu daudz datu, pēkšņi nozīmē, ka jums ir milzīga neaizsargātības zona cilvēkiem, kuri var iegūt pie tā. Datu šifrēšana kļuva daudz pamanāmāka. Autentifikācija vienmēr bija problēma. Vecākā vidē, stingri lieldatoru vidē, viņiem bija tik lieliska perimetra drošības aizsardzība; autentifikācija nekad nebija īsta problēma. Vēlāk tas kļuva par lielāku problēmu, un tagad tas kļuva daudz aktuālāks, jo mēs esam ieguvuši tik ļoti izplatītu vidi. Datu piekļuves uzraudzība, kas kļuva par problēmu. Liekas, ka es atceros dažādus instrumentus, kas parādījās pirms apmēram desmit gadiem. Es domāju, ka lielāko daļu no tiem virzīja atbilstības iniciatīvas. Tāpēc mums ir arī visi atbilstības noteikumi, ziņošana par atbilstību.
Prātā nāk tas, ka pat 90. gados, kad jūs veicāt klīniskos pētījumus farmācijas nozarē, jums ne tikai bija jāspēj pierādīt, no kurienes nāk dati - acīmredzami, tas ir ļoti svarīgi, ja jūs izmēģināt narkotikas dažādos mīnusos, lai zinātu, kurš tiek tiesāts un kādi ir tā apkārtējie konjunktūras dati - jums bija jāspēj nodrošināt programmatūras revīzija, kas faktiski izveidoja datus. Tas ir visnopietnākais atbilstības apliecinājums, kādu jebkad esmu redzējis, pierādot, ka patiesībā jūs apzināti vai nejauši izjaucat lietas. Pēdējā laikā par problēmu ir kļuvusi datu aprites cikla pārvaldība. Tie visi savā ziņā ir izaicinājumi, jo daudzi no tiem nav izdarīti labi. Daudzos apstākļos tas ir jādara.
To es saucu par datu piramīdu. Es esmu par to runājis iepriekš. Man tas šķiet ļoti interesants lietu aplūkošanas veids. Var domāt, ka datiem ir slāņi. Neapstrādāti dati, ja vēlaties, lielākoties ir tikai signāli vai mērījumi, ieraksti, notikumi, atsevišķi ieraksti. Iespējams, ka darījumi, aprēķini un apkopojumi, protams, rada jaunus datus. Tos var domāt datu līmenī. Turklāt, tiklīdz jūs faktiski savienojat datus kopā, tā kļūst par informāciju. Tas kļūst noderīgāks, bet, protams, tas kļūst neaizsargātāks pret cilvēkiem, kuri to uzlauž vai ļaunprātīgi izmanto. Es to definēju kā tādu, kas tiek izveidots, izmantojot datu strukturēšanu, lai varētu vizualizēt datus, izmantojot informācijas glosārijus, shēmas, ontoloģijas. Šie divi apakšējie slāņi ir tas, ko mēs vienā vai otrā veidā apstrādājam. To es saucu par zināšanu slāni, kas sastāv no noteikumiem, politikas, vadlīnijām, procedūras. Daļu no tiem patiesībā var radīt atziņas, kas atklātas analītikā. Daudzi no tiem patiesībā ir politika, kas jums jāievēro. Šis ir pārvaldes slānis, ja vēlaties. Tas ir, ja vienā vai otrā veidā šis slānis nav pareizi apdzīvots, tad divi zemāk esošie slāņi netiek pārvaldīti. Pēdējais punkts šajā jautājumā ir izpratne par kaut ko tādu, kas piemīt tikai cilvēkiem. Diemžēl datoriem to vēl nav izdevies izdarīt, par laimi. Pretējā gadījumā es nebūšu darbā.
Pārvaldības impērija - es to savācu, es domāju, ka tam vajadzēja būt apmēram pirms deviņiem mēnešiem, iespējams, daudz agrāk. Būtībā es to uzlaboju, bet, tiklīdz mēs sākām uztraukties par pārvaldību, tad korporatīvo datu centrā bija ne tikai datu rezervuārs, datu ezeru resursi, bet arī dažādi vispārīgi serveri, speciālistu datu serveri. To visu vajadzēja pārvaldīt. Kad jūs faktiski apskatījāt arī dažādas dimensijas - datu drošību, datu tīrīšanu, metadatu atklāšanu un metadatu pārvaldību, biznesa glosārija izveidi, datu kartēšanu, datu līniju, datu dzīves cikla pārvaldību - tad veiktspējas uzraudzības pārvaldību, pakalpojumu līmeņa pārvaldību , sistēmas pārvaldība, kuru jūs, iespējams, faktiski nesaistāt ar pārvaldību, bet gan zināmu - tagad, kad mēs devāmies uz ātrāku un ātrāku pasauli ar arvien vairāk datu plūsmām, faktiski spēja kaut ko izdarīt ar noteiktu veiktspēju faktiski ir nepieciešamība un sāk kļūt par darbības noteikumu, nevis par kaut ko citu.
Apkopojot atbilstības pieaugumu, es vēroju, kā tas notiek daudzus, daudzus gadus, bet vispārējā datu aizsardzība faktiski nāca Eiropā 1990. gados. Kopš tā laika tas ir kļuvis arvien modernāks un modernāks. Tad visas šīs lietas sāka iepazīstināt vai arī tās tika padarītas sarežģītākas. GRC, kas ir pārvaldības risks un atbilstība, notiek kopš banku darbības Bāzelē. ISO ir izstrādājusi dažāda veida darbību standartus. Es visu laiku zinu, ka esmu darbojies IT jomā - tas ir bijis ilgs laiks - ASV valdība ir īpaši aktīvi izstrādājusi dažādus tiesību aktus: SOX, The Gramm-Leach-Bliley, HIPAA, FISMA, FERPA. Jūs esat ieguvis arī lielisko NIST organizāciju, kas rada daudzus standartus, īpaši drošības standartus, ļoti noderīgus. Datu aizsardzības likumiem Eiropā ir atšķirības vietējā mērogā. Tas, ko jūs, piemēram, varat darīt ar personas datiem Vācijā, atšķiras no tā, ko varat darīt Slovākijas Republikā, Slovēnijā vai jebkur. Viņi nesen ieviesa - un es domāju, ka es to pieminēšu, jo man tas šķiet uzjautrinoši - Eiropa ievieš ideju par tiesībām tikt aizmirstam. Tas ir, vajadzētu būt noilgumam attiecībā uz publiski pieejamiem datiem, kas faktiski ir personas dati. Es domāju, ka tas ir jautrs. No IT viedokļa tas būs ļoti, ļoti grūti, ja tas sāks kļūt par efektīvu likumdošanu. Kopsavilkumā es teiktu sekojošo: Tā kā IT dati un pārvaldība ātri attīstās, ātri jāattīstās arī pārvaldībai, un tā attiecas uz visām pārvaldības jomām.
To sakot, es nododu bumbu Dezam.
Ēriks Kavanaghs: Jā, patiešām, tāpēc Dez Blanchfield, atņemiet to. Robins, es esmu kopā ar tevi, cilvēks, es mirstu, lai redzētu, kā tiek izspēlētas šīs tiesības tikt aizmirstam. Es domāju, ka tas nebūs tikai izaicinošs, bet būtībā neiespējams. Tas ir tikai pārkāpums gaidīt, ka valdības aģentūras to īstenos. Dez, atņem to.
Dez Blanchfield: Tas patiešām ir tēma citai diskusijai. Mums šeit ir ļoti līdzīgs izaicinājums Āzijas un Klusā okeāna reģionā, un jo īpaši Austrālijā, kur pārvadātājiem un interneta pakalpojumu sniedzējiem tiek prasīts reģistrēt visu, kas saistīts ar internetu, un spēt to reģistrēt un regurgitēt gadījumā, ja kāds interesents dara kaut ko nepareizi. Tas ir likums, un jums tas ir jāievēro. Izaicinājums, tāpat kā kādam Google Google lietotājam ASV var likt izdzēst manu meklēšanas vēsturi vai ko citu, tā varētu būt atbilstība Eiropas likumiem, īpaši Vācijas privātuma likumiem. Austrālijā, ja aģentūra vēlas jūs izpētīt, mobilo sakaru operatoram jāspēj sniegt sīku informāciju par veiktajiem zvaniem un meklēšanas vēsturi, kas ir sarežģīti, taču tā ir pasaule, kurā mēs dzīvojam. Tam ir daudz iemeslu. Ļaujiet man vienkārši ielēkt manējā.
Es apzināti padarīju titullapu grūti lasāmu. Jums tas tiešām ir jāskatās smagi. Atbilstība, kas atbilst noteikumu kopumam, specifikācijām, vadības ierīcēm, politikām, standartiem vai likumiem ar dumjš, netīrs fons. Tas ir tāpēc, ka jums patiešām bija grūti to aplūkot, lai iegūtu sīkāku informāciju un izvilktu informāciju no tā pārklājuma, kas ir tabulu un rindu un kolonnu sērija, vai nu datu bāze, shēma vai Visio makets. Tas ir tas, kāda veida atbilstība jūtas ikdienā. Tas ir diezgan grūti ienirt detaļās un izvilkt attiecīgos informācijas fragmentus, kas jums nepieciešami, lai varētu apstiprināt, ka esat saderīgs. Ziņot par to, uzraudzīt to un pārbaudīt.
Patiesībā es domāju, ka tas ir patiešām labs veids, kā to vizualizēt, kad mēs sev uzdodam jautājumu "Vai jūs esat saderīgs?" "Vai tu esi pārliecināts?" "Nu, pierādiet to!" Tā ir patiešām jautra lieta, kas, iespējams, ir mazliet angliski ķeltu, bet es esmu pārliecināts, ka tā ir veikusi savu ceļu visā pasaulē uz ASV, tāpēc tā ir: "Wheres Wally?" Wally ir mazs varonis, kurš šajos karikatūru zīmējumos nonāk grāmatu formā. Parasti ļoti liela mēroga attēli ar A3 vai lielāku. Tātad, tabulas izmēra zīmējumi. Viņš ir mazs raksturs, kurš nēsā mežģīnes un sarkanbalts svītrainu kreklu. Spēles ideja ir tāda, ka jūs skatāties šo attēlu un jūs aplūkojaties lokos, lai mēģinātu atrast Wally. Viņš tajā bildē kaut kur atrodas. Kad jūs domājat par to, kā atklāt un aprakstīt un ziņot par atbilstību, tas daudzējādā ziņā patīk, piemēram, spēlējot “Wheres Wally”. Ja skatāties uz šo attēlu, to gandrīz nav iespējams atrast. Bērni tam pavada stundas, un man vakar bija ļoti jautri to darīt. Apskatot to, šajās karikatūrās mēs atrodam veselu cilvēku loku, kas tur apzināti izvietoti ar līdzīgiem svītrainas beanijas un džersija Wally apģērba gabaliem vai vilnas augšdaļu. Bet tie izrādās nepatiesi pozitīvi.
Tas ir līdzīgs izaicinājums, ar kuru mēs saskaramies. Apskatot lietas, dažreiz kaut kas, mūsuprāt, tas tā ir, nemaz nav noticis. Kādam varētu būt piekļuve datu bāzei, un viņiem vajadzētu būt piekļuvei datu bāzei, taču veids, kādā viņi to izmanto, nedaudz atšķiras no tā, ko mēs sagaidām. Mēs varētu izlemt, ka tas ir kaut kas, kas mums jāaplūko. Izpētot to, mēs atklājam, ka patiesībā tas ir ļoti derīgs lietotājs. Viņi vienkārši dara kaut ko dīvainu. Varbūt tas ir PC pētnieks vai kas zina. Citos gadījumos tas varētu būt tieši pretēji. Realitāte, kad es atkal eju uz priekšu, ir Wally. Ja šajā augstas izšķirtspējas gadījumā jūs izskatījāties ļoti smagi, ir viens varonis, kurš patiesībā valkā pareizo apģērbu. Visi pārējie ir tikai izskatīgi un līdzīgi. Atbilstība jūtas ļoti līdzīga. Lielākā daļa cilvēku, kurus es pazīstu, strādā uzņēmumu kontrolē un atbilstības un politikas jomās. Visās jomās, neatkarīgi no tā, vai tā ir tehnoloģija, vai tā finansē, vai darbojas, kā arī risks. Bieži vien attēlā Wally ir ļoti grūti redzēt Wally, jūs redzēsit kokus vai malku.
Jautājums, ko mēs sev uzdodam, domājot par tādām lietām kā atbilstība, ir "liels darījums, kas varētu noiet greizi, ja mēs ne visai izpildīsim atbilstību?" Šodienas diskusijās, īpaši saistībā ar datu bāzēm un piekļuves kontrolei datiem, es jums sniegšu ļoti reālus modināšanas izsaukumu piemērus par to, kas var noiet greizi ļoti īsā formā. Ja mēs domājam par datu pārkāpumiem un visi esam iepazinušies ar datu pārkāpumiem, mēs tos dzirdam plašsaziņas līdzekļos un mēs apstājamies un smejamies, jo cilvēki domā par tā tirgiem. Tās personīgās lietas. Tas ir Ešlijs Madisons un cilvēki, kuri vēlas iegūt randiņus ārpus attiecībām un laulībām. Tā krāpšanās konti. Tās visas šīs dīvainās lietas vai kāds nejaušs Eiropas vai Krievijas ISP vai hostinga uzņēmums tiek uzlauzts. Runājot par tādām lietām kā MySpace un šiem desmit labākajiem, aplūkojot šos skaitļus, es vēlos, lai jūs saprastu: 1,1 miljardu cilvēku informācija par šiem desmit pārkāpumiem. Jā, pastāv pārklāšanās, iespējams, ka cilvēki, kuriem ir MySpace konts un Dropbox konts, kā arī Tumblr konts, ļauj to vienkārši noapaļot līdz miljardam cilvēku.
Šie desmit nopietnākie pārkāpumi pēdējās desmit gadu laikā - pat ne desmit gadu laikā - vairumā gadījumu veido aptuveni vienu septīto daļu pasaules cilvēku, bet reālāk - apmēram 50 procenti cilvēku ir saistīti ar internets, vairāk nekā miljards cilvēku. Tie rodas tāpēc, ka dažos gadījumos nav ievērota atbilstība. Vairumā gadījumu tā bija piekļuves datu bāzēm kontrole, piekļuves kontrole noteiktām datu kopām, sistēmām un tīkliem. Šī ir biedējoša realitātes pārbaude. Ja tas jūs nebiedē, apskatot desmit labākos un redzot, ka tas ir - vai var redzēt, ka tas ir viens miljards cilvēku, īsti cilvēki, tāpat kā mēs, uz šo aicinājumu šobrīd. Ja jums ir LinkedIn konts, ja jums bija Dropbox konts vai Tumblr konts vai ja jūs iegādājāties no Adobe produktiem vai pat reģistrējāties, lejupielādējiet bezmaksas Adobe skatītāju. Tas ir pilnīgi iespējams, nav iespējams, ir pilnīgi iespējams, ka jūsu informācija, vārds un uzvārds, adrese, iespējams, pat darba uzņēmuma adrese vai mājas adrese vai kredītkarte faktiski pastāv, jo tiek pārkāpts notika kontroļu dēļ, kuras vienmēr tika labi pārvaldītas datu pārvaldības, datu pārvaldības veidā.
Apskatīsim to, kad mēs to aplūkosim patiesi detalizēti. Tur ir viens ekrāns, tur ir apmēram 50 kaut kas. Ir vēl 15. Ir arī vēl 25. Tie ir datu pārkāpumi, kas uzskaitīti vietnē haveibeenpwned.com. Tas, iespējams, varētu noiet greizi, ja kaut ko vienkāršu, piemēram, to, kas kontrolē to, kam ir piekļuve datiem datu bāzēs dažādos laukos un rindās un kolonnās, un dažādas lietojumprogrammas jūsu biznesā, netiek pareizi pārvaldīts. Šīs organizācijas tagad darbojas uz datiem. Lielākā daļa datu kādā veidā atrodas datu bāzē. Kad jūs domājat par to, tas pārkāpumu saraksts, kuru mēs tikko apskatījām, un, cerams, tas jums mazliet deva aukstu dušu tādā nozīmē, ka jūs domājāt “Hmm, tas ir ļoti reāli”, un tas, iespējams, jūs ir ietekmējis. Piemēram, 2012. gadā par šo LinkedIn pārkāpumu mūsdienās lielākajai daļai profesionāļu ir LinkedIn konts, un iespējams, ka jūsu informācija tiek pazaudēta. Viņi internetā ir redzami kopš 2012. gada. Par to mums tikai pastāstīja 2016. gadā. Kas ar jums notika šajos četros gados? Nu tas ir interesanti, un par to mēs varam runāt atsevišķi.
Datu bāzes un sistēmu pārvaldība - es bieži runāju par pieciem galvenajiem izaicinājumiem, pārvaldot šīs lietas. Augšējā, visaugstākajā un augstākā secībā tos vērtēju ne tikai pēc savas izvēles, bet arī pēc ietekmes secības, pirmais ir drošība un atbilstība. Kontrole un mehānismi, kā arī politika, kas kontrolē to, kam ir kāda piekļuve sistēmai, kāda iemesla dēļ un nolūkam. Ziņot par to un uzraudzīt to, ieskatīties sistēmās, izpētīt datu bāzes un redzēt, kurš faktiski var piekļūt ierakstiem, atsevišķiem laukiem un ierakstiem.
Padomājiet par to ļoti vienkāršā formā. Par vienu piemēru var runāt par banku un kapitāla pārvaldīšanu. Kad jūs reģistrējaties bankas kontam, ļaujiet vienkārši pateikt parastu naudas kontu EFTPOS kartei vai skaidras naudas kontu vai čeka kontu. Jūs aizpildāt veidlapu un tajā ir daudz ļoti privātas informācijas, kuru jūs aizpildāt vai jūs to darāt tiešsaistē un kas nonāk datorsistēmā. Tagad, ja kāds mārketinga pārstāvis vēlas sazināties ar jums un brošūru, viņiem vajadzētu ļaut redzēt jūsu vārdu un uzvārdu, kā arī personīgo adresi, piemēram, un, iespējams, jūsu tālruņa numuru, ja viņi vēlas jums auksti piezvanīt un pārdot tu kaut ko. Viņiem, iespējams, nevajadzētu redzēt kopējo naudas summu, ko esat ieguvis bankā vairāku iemeslu dēļ. Ja kāds uz jums raugās no riska viedokļa vai mēģina palīdzēt kaut ko darīt, piemēram, lai jūsu kontā iegūtu labākas procentu likmes, šī konkrētā persona, iespējams, vēlas redzēt, cik daudz naudas esat ieguvis bankā, lai viņi varētu jums piedāvāt atbilstošu procentu likmi par jūsu naudu. Šiem diviem indivīdiem ir ļoti atšķirīgas lomas un ļoti atšķirīgi šo lomu iemesli un šo lomu mērķi. Tā rezultātā savā ierakstā ir jāredz atšķirīga informācija, bet ne viss ieraksts.
Šīs vadīklas ap dažādiem parastajiem ekrāniem vai veidlapām, kas tām ir lietojumprogrammās, kuras tiek izmantotas jūsu konta pārvaldīšanai. Attīstība tiem, to uzturēšana, administrēšana, pārskatu sagatavošana, kā arī pārvaldība un atbilstība, kas ietverta tādos kā burbuļpapīrs, - tas ir ļoti, ļoti liels izaicinājums. Tas ir tikai izaicinājums numur viens datu un sistēmu pārvaldībā. Dziļāk iedziļinoties veiktspējā un uzraudzībā, kā arī sastopamības noteikšanā un reaģēšanā, sistēmas pārvaldībā un administrēšanā un atbilstībā ap tām, sistēmu projektēšanā un pilnveidošanā, ievērojot atbilstību, tas kļūst daudz grūtāk.
Visu risku samazināšanas un drošības uzlabošanas jautājumu risināšana. Mani pieci galvenie izaicinājumi šajā telpā - un man patīk attēli, kas nāk ar muitas punktu, kad jūs iebraucat valstī - viņi uzrāda jūsu pasi, viņi jūs pārbauda, un viņi skatās uz savu datorsistēmu, lai redzētu, vai jums vajadzētu nokārtot vai nē. Ja jums to nevajadzēja, viņi jūs aizvedīs uz nākamo lidmašīnu mājās. Pretējā gadījumā viņi ļauj jums atgriezties un uzdod jums šādus jautājumus: "Vai jūs dodaties brīvdienās? Vai jūs esat šeit tūrists? Vai jūs šeit strādājat? Kādu darbu jūs redzēsit? Kur jūs plānojat palikt?" ? Cik ilgi jūs dodaties? Vai esat saņēmis pietiekami daudz naudas, lai segtu savus izdevumus un izmaksas? Vai arī jūs kļūstat par risku valstij, kurā atrodaties, un viņiem, iespējams, nāksies jūs pieskatīt un pabarot? "
Ap šo datu telpu, kas pārvalda datu aizsardzību, ir dažas problēmas. Piemēram, datu bāzes telpā mums jādomā par datu bāzes apiešanas mazināšanu. Ja dati atrodas datu bāzē, normālā vidē, un ir arī vadības ierīces un mehānismi, kas ap to atrodas sistēmā. Kas notiek, ja datu izklāsts tiek veikts vairāk SQL un tiek dublēts lentē? Datubāzes tiek izgāztas neapstrādātā veidā un dažreiz tiek dublētas. Dažreiz tas tiek darīts tehnisku, attīstības iemeslu dēļ. Teiksim tikai to, ka tika pieņemts DB izlāde un tā dublējums tika izveidots lentē. Kas notiek, ja man gadās pieķerties pie šīs lentes un to atjaunot? Un Ive ieguva neapstrādātu datu bāzes kopiju SQL. Tā MP fails, tā, es to varu izlasīt. Visas paroles, kas tiek glabātas šajā izgāztuvē, mani nevar kontrolēt, jo tagad es varu piekļūt faktiskajam datu bāzes saturam bez datu bāzes dzinēja, kas to aizsargā. Tāpēc es tehniski varu apiet to datu bāzes platformas drošību, kas tiek būvēta motorā, un risku pārvaldību, lai neļautu man aplūkot datus. Tā kā potenciāli izstrādātājs, sistēmas administrators, Ive dabūja manas rokas datu bāzē, kas jāizmanto dublēšanai.
Datu ļaunprātīga izmantošana - potenciāla iespēja panākt, ka kāds piesakās kā paaugstināts konts, un ļauj man sēdēt pie ekrāna, meklēt informāciju vai tamlīdzīgas lietas.Datu piekļuves un izmantošanas patentēta revīzija, kā arī datu vai to izmaiņu skatīšana. Tad ziņojumi par šo kontroli un nepieciešamā atbilstība. Satiksmes un piekļuves uzraudzība utt., Bloķējot draudus, kas nāk no ārējām vietām un serveriem. Piemēram, ja dati tiek parādīti, izmantojot veidlapu tīmekļa vietnē internetā, vai viņu SQL injekcijas ir aizsargātas ar ugunsmūru un koncepciju vadību? Theres garš detalizēts stāsts, kas aiz tā visa. Šeit jūs varat redzēt, ka tikai dažas no šīm absolūti pamata lietām, par kurām mēs domājam, lai mazinātu un pārvaldītu datu apmaiņu datu bāzēs. To patiesībā ir samērā viegli izbraukt, ja atrodaties dažādos tehnoloģiju līmeņos. Izaicinājums kļūst grūtāks un grūtāks, jo jūs saņemat arvien vairāk datu un datu bāzu. Arvien vairāk un grūtāk cilvēkiem ir jāpārvalda sistēmas un jāuzrauga to izmantošana, izsekojiet būtisko informāciju, kas īpaši attiecas uz lietām, par kurām runāja Robins, ap tādām lietām kā personīgā atbilstība. Personām apkārt ir vadības ierīces un mehānismi, kas atbilst - ja jūs darāt kaut ko nepareizi, jūs potenciāli atlaistat. Ja es ieeju tā, ka mans konts ļauj jums to redzēt, tam vajadzētu būt aizvainojamam pārkāpumam. Tagad esmu devis jums piekļuvi datiem, kurus jūs parasti nebūtu redzējis.
Ir gan personiskā atbilstība, gan korporatīvā atbilstība, uzņēmumiem ir politika un noteikumi, kā arī kontroles, kuras viņi paši sev uzliek tikai tāpēc, lai uzņēmums darbotos labi un nodrošinātu peļņu un labu peļņu investoriem un akcionāriem. Pēc tam, kad jūs teicāt, ka ASV kontrole un likumi, bieži vien pilsētas, štata vai valsts, federālā līmenī. Tad tie ir globāli. Daži no lielākiem negadījumiem pasaulē, kur patīk Sarbanes-Oxley, divi cilvēki, kuriem tiek lūgts nākt klajā ar veidiem, kā aizsargāt datus un sistēmas. Theres Bāzele Eiropā un visas kontroles iespējas Austrālijā, it īpaši biržās un akreditācijas platformās, un pēc tam privātums indivīda vai uzņēmuma līmenī. Kad katrs no tiem ir sakrauts, kā jūs redzējāt vienā no vietām, kurās atradās Robins, viņi kļūst par gandrīz neiespējamu kalnu, uz kura uzkāpt. Izmaksas kļūst augstas un atradās vietā, kur oriģinālā tradicionālā pieeja, piemēram, cilvēki, kas mēra kontroli, vairs nav piemērota pieeja, jo mērogs ir pārāk liels.
Mums ir scenārijs, kad atbilstība ir tā, ko es saucu par vienmēr aktuālu problēmu. Un tas ir, ka mums kādreiz, iespējams, bija laiks - vai nu mēnesī, vai ceturksnī, vai katru gadu, kur mēs pārskatītu mūsu nācijas stāvokli un palīdzētu ievērot un kontrolēt. Pārliecinoties, ka noteiktiem cilvēkiem ir noteikta pieeja un viņiem nav noteiktas piekļuves atkarībā no viņu atļaujām. Tagad tas ir saistīts ar lietu ātrumu, ar kādu lietas pārvietojas, tempu, kurā lietas mainās, mērogu, kurā darbojās. Atbilstība ir vienmēr aktuāls jautājums, un globālā finanšu krīze bija tikai viens piemērs, kur attiecīgā kontrole, kā arī drošības un atbilstības pasākumi varēja potenciāli izvairīties no scenārija, kad mums bija nobraucams kravas vilciens ar noteiktu rīcību. Tikai efektīvi izveidojot situāciju ar visu pasauli, zinot, ka tā bankrotēs un bankrotēs. Lai to izdarītu, mums ir vajadzīgi pareizie rīki. Cilvēku mešana vilcienā, ķermeņu mešana vairs nav derīga pieeja, jo mērogs ir pārāk liels un lietas virzās pārāk ātri. Es domāju, ka šodien notiks diskusija par instrumentu veidiem, kas tam jāpiemēro. Jo īpaši instrumenti, ko IDERA mums var piedāvāt, kam tas būtu jādara. Paturot to prātā, es došos to nodot Bullett, lai izietu cauri viņa materiāliem un parādītu mums viņu pieeju un rīkus, kas viņiem ir pieejami, lai atrisinātu šo problēmu, kuru mēs jums tagad iesniedzām.
Ar to, Bullett, es jums došu.
Bullett Manale: Izklausās lieliski, paldies. Es gribu runāt par dažiem slaidiem un es arī vēlos parādīt jums produktu, kuru mēs izmantojam SQL Server datu bāzēm, lai palīdzētu ar atbilstības situācijām. Patiešām, izaicinājums daudzos gadījumos - es gatavojos izlaist dažus no šiem - tas ir tikai mūsu produktu portfelis, es to diezgan ātri pārdzīvošu. Runājot par to, kur šis produkts tiks uzrunāts un kā tas ir saistīts ar atbilstību, es vienmēr to uzvelku kā pirmo slaidu, jo tā veida sugas vārds “Ei, kāda ir DBA atbildība?” Viena no lietām kontrolē un pārrauga lietotāju piekļuvi, kā arī spēja ģenerēt pārskatus. Tas būs atkarīgs no tā, vai runājat ar auditoru, cik sarežģīts var būt šis process, atkarībā no tā, vai jūs to darīsit pats, vai arī, ja palīdzēsit izmantot trešās puses rīku.
Parasti runājot ar datu bāzu administratoriem, viņi nekad nav bijuši iesaistīti revīzijā. Jums tie ir jāizglīto patiesībā par to, kas jums patiešām jādara. Saistīts ar to, kāda veida atbilstība ir jāizpilda, un spēja pierādīt, ka jūs faktiski ievērojat noteikumus, kas attiecas uz šo atbilstības līmeni. Daudzi cilvēki sākumā to nesaņem. Viņi domā: "Ak, es varu vienkārši iegādāties rīku, kas mani padarīs atbilstošu." Patiesībā tas tā nav. Es vēlētos, lai es varētu pateikt, ka, jūs zināt, mūsu produkts maģiski, nospiežot vienkāršo pogu, deva jums iespēju pārliecināties, ka jūs esat atbilstošs. Realitāte ir tāda, ka jums ir jābūt izveidotai videi, kas attiecas uz kontroles iespējām attiecībā uz to, kā cilvēki piekļūst datiem, un tas viss ir jāizstrādā, izmantojot jūsu lietojumprogrammu. Kāda veida sensitīvi dati tiek glabāti, kāda veida normatīvās prasības tas ir. Pēc tam arī jāstrādā kopā ar parasti iekšējās atbilstības amatpersonu, lai varētu pārliecināties, ka ievērojat visus noteikumus.
Tas izklausās patiešām sarežģīti. Ja skatāties uz visām normatīvajām prasībām, jūs domājat, ka tas tā būtu, bet patiesībā šeit ir kopsaucējs. Šajā gadījumā ar rīku, ko šodien jums parādīšu, atbilstības pārvaldnieka produktu, process mūsu situācijā būtu tāds, ka, pirmkārt, mums ir jāpārliecinās, ka tiek savākti audita taku dati, kas saistīti ar to, kur dati datu bāzē ir jutīga. Jūs varat visu savākt, vai ne? Es varētu iet ārā un teikt, ka gribu apkopot katru darījumu, kas notiek šajā datu bāzē. Realitāte ir tāda, ka jums, iespējams, ir tikai neliela daļa vai neliela daļa darījumu, kas faktiski ir saistīti ar slepeniem datiem. Ja tā PCI atbilstība būs saistīta ar kredītkartes informāciju, kredītkaršu īpašniekiem, viņu personisko informāciju. Var būt ļoti daudz citu darījumu, kas saistīti ar jūsu lietojumprogrammu, un tie patiesībā neietekmē PCI reglamentējošās prasības.
Raugoties no šī viedokļa, pirmā lieta, kad es runāju ar DBA, ir tā, ka es saku: “Izcilākais izaicinājums nav mēģinājums iegūt instrumentu, lai šīs lietas izdarītu jūsu labā. Tas ir tikai tas, ka zināt, kur atrodas sensitīvie dati un kā mēs tos bloķējam? ”Ja jums ir tas, ka, ja jūs varat atbildēt uz šo jautājumu, tad jūs esat pusceļā mājās, lai varētu parādīt, ka jūs ievērojat, pieņemot, ka sekojat pareizās vadības ierīces. Uz brīdi varēsim pateikt, ka jūs sekojat pareizajai kontrolei, un jūs auditoriem teicāt, ka tas ir šis gadījums. Nākamā procesa daļa acīmredzami ir spēja nodrošināt audita pierakstu, kas parāda un apstiprina šīs kontroles faktiski darbojas. Pēc tam sekojot līdzi, pārliecinieties, ka esat saglabājis šos datus. Parasti par lietām, piemēram, PCI un HIPAA ievērošanu, un par šāda veida lietām jūs runājat septiņu gadu saglabāšanas vērtībā. Jūs runājat par daudz darījumu un daudz datu.
Ja glabājat, vācot katru darījumu, kaut arī tikai pieci procenti darījumu ir saistīti ar sensitīviem datiem, jūs runājat par diezgan lielām izmaksām, kas saistītas ar šo datu glabāšanu septiņus gadus. Manuprāt, viens no lielākajiem izaicinājumiem ir likt cilvēkiem apieties, protams, tas ir tiešām nevajadzīgas izmaksas. Tas ir arī daudz vienkāršāk, ja mēs varam tikai koncentrēties uz jutīgajiem apgabaliem datu bāzē. Papildus tam jūs vēlēsities arī kontrolēt arī slepenu informāciju. Ne tikai lai parādītu revīzijas liecības, bet arī spētu sasaistīt lietas ar notiekošajām darbībām un spēt saņemt paziņojumu reālā laikā, lai jūs par to būtu informēts.
Piemērs, kuru es vienmēr izmantoju, un tas var nebūt saistīts ar kāda veida normatīvajām prasībām, bet tikai ar iespēju izsekot, piemēram, kādam bija jānolaiž tabula, kas saistīta ar algas lapu. Ja tas notiek, tas, kā jūs uzzinājāt, ja to nesekojat, neviens nesaņem atlīdzību. Tas ir par vēlu. Jūs vēlaties zināt, kad šī tabula tiek nomesta, tieši tad, kad tā tiek nomesta, lai izvairītos no sliktām lietām, kas notiek, kad kāds neapmierināts darbinieks iet un izdzēš galdu, kas ir piesaistīts tieši algas lapām.
Tas nozīmē, ka triks ir atrast kopsaucēju vai izmantot šo kopsaucēju, lai kartētu, kāds ir atbilstības līmenis. Tas ir veids, ko mēs cenšamies darīt ar šo rīku. Mēs galvenokārt izmantojam pieeju, kas negrasās jums parādīt ziņojumu, kas ir raksturīgs PCI, kas attiecas tieši uz krājumiem; kopsaucējs ir tas, ka jums ir lietojumprogramma, kas izmanto SQL Server, lai sensitīvos datus glabātu datu bāzē. Kad esat tikuši galā, sakāt: "Jā, tas tiešām ir vissvarīgākais, uz ko mums jākoncentrējas - kur ir šie sensitīvie dati un kā tiem piekļūst?" Kad tas būs izdarīts, tiks parādīts ļoti daudz mūsu piedāvāto pārskatu, kas var sniegt pierādījumu, ka jūs to izpildīsit.
Atgriežoties pie jautājumiem, kurus uzdod revidents, pirmie jautājumi būs šādi: Kam ir piekļuve datiem un kā viņi to iegūst? Vai jūs varat pierādīt, ka pareizajiem cilvēkiem ir piekļuve datiem un nepareiziem cilvēkiem nav? Vai jūs varat arī pierādīt, ka pati revīzijas liecība ir tāda, kurai varu uzticēties kā negrozāmam informācijas avotam? Ja es jums sniedzu revīzijas liecības, kas ir izveidotas, tas man kā auditoram patiešām nedara daudz labāku, lai labotu jūsu revīziju, ja informācija ir safabricēta. Mums tas ir vajadzīgs, parasti no revīzijas viedokļa.
Iepazīstoties ar šiem jautājumiem, mazliet sīkāk. Pirmā jautājuma izaicinājums ir tāds, ka jums, tāpat kā es teicu, ir jāzina, kur šie sensitīvie dati ir, lai ziņotu par tiem, kuriem tas ir pieejams. Tas parasti ir dažu veidu atklājums, un tiešām jums ir tūkstošiem dažādu lietojumprogrammu, kas tur ir, jums ir daudz dažādu normatīvo prasību. Vairumā gadījumu jūs vēlaties sadarboties ar savu atbilstības amatpersonu, ja jums ir tāds vai vismaz kāds, kam būtu kāds papildu ieskats attiecībā uz to, kur tiešām mani sensitīvie dati atrodas lietojumprogrammā. Mums ir rīks, kas mums ir bezmaksas rīks, ko sauc par SQL sleju meklēšanu. Mēs potenciālajiem klientiem un lietotājiem, kurus interesē šis jautājums, mēs sakām, ka viņi to var lejupielādēt. Ko tas darīs, tas būs, galvenokārt, datu bāzē meklēt informāciju, kurai, iespējams, ir sensitīvs raksturs.
Pēc tam, kad esat to izdarījis, jums arī jāsaprot, kā cilvēki piekļūst šiem datiem. Un tas atkal būs tas, kuri konti ir tajās Active Directory grupās, kuri datu bāzes lietotāji ir iesaistīti, un ar to ir saistīta dalība lomā. Un, protams, paturot prātā, ka visas šīs lietas, par kurām mēs runājam, ir jāapstiprina revidentam, tāpēc, ja jūs sakāt: “Šādi mēs bloķējam datus”, tad auditori var ierasties atpakaļ un sakiet: “Nu, jūs darāt nepareizi.” Bet pieņemsim, ka viņi saka: “Jā, tas izskatās labi. Jūs pietiekami bloķējat datus. ”
Pārejot pie nākamā jautājuma, kas būs, vai jūs varat pierādīt, ka šiem datiem piekļūst pareizie cilvēki? Citiem vārdiem sakot, jūs varat pateikt viņiem, ka jūs kontrolējat, tas ir vadīklas, kuras jūs sekojat, bet diemžēl auditori īsti neuzticas personām. Viņi vēlas to pierādīt un vēlas redzēt to revīzijas liecībās. Un tas attiecas uz visu šo kopsaucēju. Neatkarīgi no tā, vai tas ir PCI, SOX, HIPAA, GLBA, Bāzele II, neatkarīgi no tā, kāda ir realitāte, parasti tiek uzdoti viena un tā paša veida jautājumi. Objekts ar slepenu informāciju, kurš ir piekļuvis šim objektam pēdējā mēneša laikā? Tam vajadzētu atbilst manai kontrolei, un man vajadzētu būt iespējai nokārtot savu revīziju, parādot šāda veida ziņojumus.
Un tā, ko mēs esam paveikuši, mēs esam apkopojuši apmēram 25 dažādus ziņojumus, kas seko tiem pašiem apgabaliem kā šis kopsaucējs. Tāpēc mums nav ziņojumu par PCI, par HIPAA vai SOX, mums ir ziņojumi, ka viņi atkal nonāk pretstatā šim kopsaucējam. Un tāpēc nav īsti svarīgi, kādu normatīvo prasību jūs mēģināt izpildīt, vairumā gadījumu jūs varēsit atbildēt uz jebkuru jautājumu, ko jums uzdeva šis revidents. Un viņi jums pateiks, kurš, kas, kad un kur veic katru darījumu. Jūs zināt, lietotājs, darījuma veikšanas laiks, pats SQL paziņojums, lietojumprogramma, no kuras tas nāk, viss labais, un pēc tam arī varēsit automatizēt šīs informācijas piegādi pārskatiem.
Un tad vēlreiz, kad esat tam ticis garām un esat to nodevis revidentam, nākamais jautājums būs, to pierādiet. Un kad es saku pierādīt, es domāju pierādīt, ka pati revīzijas liecība ir kaut kas, kam mēs varam uzticēties. Un kā mēs to darām savā instrumentā, mums ir hash vērtības un CRC vērtības, kas tieši saistītas ar pašiem notikumiem revīzijas liecību ietvaros. Un tā, ideja ir tāda, ka, ja kāds iziet un izdzēš ierakstu vai ja kāds iziet un noņem vai pievieno kaut ko revīzijas liecībai vai kaut ko maina pašā audita takā, mēs varam pierādīt, ka šie dati, paši dati tika pārkāpti. Tātad 99,9 procenti laika, ja jums ir bloķēta mūsu audita taku datu bāze, ar šo problēmu jums neradīsies, jo, veicot šo integritātes pārbaudi, mēs revidentam būtībā pierādām, ka paši dati nav bijuši. mainīts un izdzēsts vai pievienots kopš paša pārvaldības pakalpojuma oriģinālajiem rakstiem.
Tāds ir vispārīgs pārskats par tipiskajiem jautājumiem, kas jums tiek uzdoti. Tagad rīks, ar kuru mums daudz jārisina, tiek saukts par SQL atbilstības pārvaldnieku, un tas dara visas šīs darbības darījumu izsekošanas ziņā, kurš, kas, kad un kur veicis darījumus, lai to varētu izdarīt dažādu jomu skaits. Pieteikšanās, neveiksmīgi pieteikumi, shēmas izmaiņas, acīmredzami piekļuve datiem, atlasītā darbība, visas tās lietas, kas notiek datu bāzes dzinējā. Un mēs vajadzības gadījumā arī varam brīdināt lietotājus par īpašiem, ļoti sīkiem nosacījumiem. Piemēram, kāds dodas ārā un faktiski skata tabulu, kurā ir visi mani kredītkaršu numuri. Viņi nemaina datus, viņi tikai to aplūko. Šajā situācijā es varu brīdināt un ļauju ļaudīm uzzināt, ka tas notiek, nevis sešas stundas vēlāk, kad mēs nokasām žurnālus, bet reālā laikā. Parasti tas notiek tik ilgi, cik vajadzīgs, lai mēs apstrādātu šo darījumu, izmantojot pārvaldības pakalpojumu.
Kā jau minēju iepriekš, mēs esam redzējuši, ka tas tiek izmantots daudzās dažādās normatīvajās prasībās, un tas īsti nezina - jūs zināt, jebkura normatīva prasība vēlreiz - ja vien kopsaucējiem jums ir sensitīvi dati SQL serverī datu bāze, tas ir rīks, kas palīdzētu šāda veida situācijās. Attiecībā uz 25 iebūvētajiem pārskatiem tagad realitāte ir tāda, ka mēs varam padarīt šo rīku par labu auditoram un atbildēt uz katru viņu uzdoto jautājumu, bet DBA ir tie, kas tam jādara darbam. Tāpēc ir arī tas, ka, domājot par uzturēšanu, mums ir jāpārliecinās, ka SQL darbojas tā, kā mēs vēlamies. Mums arī jāspēj ieiet un aplūkot lietas, kas varētu iet ārā, un apskatīt citu informāciju, jūs zināt, ciktāl tas attiecas uz datu arhivēšanu, to automatizāciju un virs galvas. pats produkts. Tās ir lietas, kuras mēs acīmredzami ņemam vērā.
Kas parāda pašu arhitektūru. Tātad labajā ekrāna pusē mēs esam ieguvuši mūsu pārvaldītos SQL gadījumus, sākot no 2000. gada līdz pat 2014. gadam, gatavojoties izlaist 2016. gada versiju. Vislielākais šī ekrāna aizvedums ir tas, ka vadība serveris pats veic visu smago celšanu. Mēs tikai apkopojam datus, izmantojot izsekošanas API, kas iebūvēta ar SQL Server. Šī informācija ir satriecoša mūsu pārvaldības serverī. Šis pārvaldības serveris pats identificē un, ja ir kādi notikumi, kas saistīti ar jebkāda veida darījumiem, kurus mēs nevēlamies, izsūta brīdinājumus un šāda veida lietas un pēc tam ievieto datus krātuvē. No turienes mēs varam palaist pārskatus, mēs varēsim iziet un faktiski redzēt šo informāciju pārskatos vai pat lietojumprogrammas konsolē.
Tāpēc es došos uz priekšu un ātri pārdomāšu mūs, un es tikai vēlos norādīt uz vienu ātru lietu, pirms mēs sākam ieiet izstrādājumā, šobrīd vietnē ir saite, vai prezentācijā, jūs aizvedīsit uz to bezmaksas rīku, kuru es jau minēju iepriekš. Šis bezmaksas rīks, kā jau teicu, tiks izmantots, apskatot datu bāzi un mēģinot atrast apgabalus, kas izskatās kā sensitīvi dati, sociālās apdrošināšanas numuri, kredītkaršu numuri, balstoties uz sleju vai tabulu nosaukumiem, vai balstoties uz to, kā izskatās datu formāts, un jūs varat arī to pielāgot, lai tikai to norādītu.
Tagad, mūsu gadījumā, ļaujiet man iet uz priekšu un dalīties ekrānā, dodiet man šeit vienu sekundi. Labi, un tāpēc es gribēju jūs uzrunāt vispirms ar to, ka gribu jūs aizvest pie pašas Compliance Manager lietojumprogrammas, un es diezgan ātri to pārdomāšu. Bet šī ir lietojumprogramma, un jūs varat redzēt, ka man ir šeit pāris datu bāzes, un es tikai parādīšu, cik viegli ir ieiet, un pastāstīšu, ko jūs vēlaties revidēt. Raugoties no shēmu izmaiņām, drošības izmaiņām, administratīvajām darbībām, DML, Select, mums ir visas šīs opcijas, kuras mēs varam arī filtrēt. Tā ir labākā prakse, kad var teikt: “Man šī tabula tiešām ir vajadzīga tikai tāpēc, ka tajā ir manas kredītkartes numuri. Man nav vajadzīgas citas tabulas, kurās ir informācija par izstrādājumiem, visas tās lietas, kas nav saistītas ar atbilstības līmeni, kuru cenšos izpildīt. ”
Mums ir arī iespēja uztvert datus un parādīt tos mainīgo lauku vērtībās.Daudzos rīkos jums būs kaut kas tāds, kas ļaus jums uztvert SQL paziņojumu, parādīt lietotājam, parādīt lietojumprogrammu, laiku un datumu, visu šo labo. Bet dažos gadījumos pats SQL paziņojums nesniedz jums pietiekami daudz informācijas, lai varētu pateikt, kāda bija lauka vērtība pirms izmaiņām, kā arī lauka vērtība pēc izmaiņām. Un dažās situācijās tas jums ir nepieciešams. Es varētu vēlēties izsekot, piemēram, ārsta informācijai par recepšu medikamentiem. Tas gāja no 50 mg līdz 80 mg līdz 120 mg, es varētu izsekot tam, izmantojot pirms un pēc.
Jutīgas kolonnas ir vēl viena lieta, ar kuru mēs daudz sastopamies, piemēram, ievērojot PCI. Šajā situācijā jums ir tik sensitīvi dati, ka, aplūkojot šo informāciju, man tā nav jāmaina, jāizdzēš vai jāpapildina, es varu radīt neatgriezenisku kaitējumu. Kredītkaršu numuri, sociālās apdrošināšanas numuri, visa veida labumi, kurus mēs varam identificēt slepenās slejās un piesaistīt brīdinājumus. Ja kāds aiziet un apskatīs šo informāciju, mēs, protams, varētu brīdināt un radīt vai radīt SNMP slazdu un tādas lietas.
Tagad dažos gadījumos jūs nonāksit situācijā, kad jums varētu būt izņēmums. Un ko es ar to domāju, jums ir situācija, kad jums ir lietotājs, kuram ir lietotāja konts, kas varētu būt saistīts ar kāda veida ETL darbu, kas darbojas nakts vidū. Tas ir dokumentēts process, un man vienkārši nav jāiekļauj šī darījuma informācija par šo lietotāja kontu. Tādā gadījumā mums būtu uzticams lietotājs. Un tad citās situācijās mēs izmantotu priviliģēto lietotāju audita funkciju, kas būtībā ir tāda, ka, ja man ir, piemēram, teiksim, lietojumprogramma un šī lietojumprogramma jau veic lietotāju, kuri izmanto šo lietojumprogrammu, auditu, tas ir lieliski, man jau ir uz ko atsaukties revīzijas jomā. Bet attiecībā uz lietām, kas saistītas, piemēram, ar maniem priviliģētajiem lietotājiem, puišiem, kuri var ieiet SQL Server pārvaldības studijā, lai apskatītu datus datu bāzē, tas nav paredzēts. Un tāpēc mēs šeit varam noteikt, kuri ir mūsu priviliģētie lietotāji, izmantojot vai nu lomu lomu, vai izmantojot viņu Active Directory kontus, grupas, savus SQL autentificētos kontus, kur mēs varēsim izvēlēties visus šos dažāda veida opcijas un pēc tam pārliecinieties, ka šiem priviliģētajiem lietotājiem mēs varam norādīt darījumu veidus, kurus mēs esam ieinteresēti revidēt.
Šīs ir dažādas iespējas, kuras jums ir, un es neiedziļināšos visu veidu lietās, ņemot vērā šeit noteiktos laika ierobežojumus šai prezentācijai. Bet es vēlos jums parādīt, kā mēs varam apskatīt datus, un es domāju, ka jums patiks, kā tas darbojas, jo to var izdarīt divējādi. Es to varu darīt interaktīvi, un tāpēc, runājot ar cilvēkiem, kurus interesē šis rīks, iespējams, viņu pašu iekšējai kontrolei, viņi vienkārši vēlas uzzināt, kas notiek daudzos gadījumos. Viņiem nav obligāti jābūt auditoriem, kas ierodas uz vietas. Viņi vienkārši vēlas zināt: “Ei, es gribu iet pēc šī galda un redzēt, kurš to ir pieskāris pagājušajā nedēļā vai pagājušajā mēnesī, vai kas cits varētu būt.” Šajā gadījumā jūs varat redzēt, cik ātri mēs to varam izdarīt.
Veselības aprūpes datu bāzes gadījumā esmu ieguvis tabulu ar nosaukumu Pacientu reģistrs. Un, ja es tikai grupētu pēc objekta, tas varētu ļoti ātri sākt sašaurināties tur, kur mēs meklējam. Varbūt es gribu sagrupēt pēc kategorijas un pēc tam varbūt pēc notikuma. Kad es to izdarīšu, jūs varat redzēt, cik ātri tas parādās, un turpat ir mana pacientu reģistru tabula. Kad es iedziļinājos, mēs tagad varam redzēt DML darbību, kā redzams, ka mums ir bijis tūkstoš DML ieliktņu, un, atverot kādu no šiem darījumiem, mēs varam redzēt būtisko informāciju. Kas, kas, kad, kad, kur veicis darījumu, SQL, acīmredzot, faktiskā lietojumprogramma, kas tiek izmantota darījuma veikšanai, konts, laiks un datums.
Ja jūs aplūkojat nākamo cilni šeit, cilni Detaļas, tas atgriežas pie trešā jautājuma, par kuru mēs runājam, un tas pierāda, ka nav pārkāpta datu integritāte. Tātad principā katram notikumam mums ir slepens savas hash vērtības aprēķins, un tas pēc tam tiks saistīts ar to, kad mēs pārbaudīsim integritāti. Piemēram, ja es gribētu iet uz rīku, iedziļināties audita izvēlnē, es gribētu iet ārā un teikt: pārbaudīsim repozitorija integritāti, es varētu norādīt uz datu bāzi, kur atrodas audita taka, tā darbosies veicot integritātes pārbaudi, saskaņojot šīs hash vērtības un CRC vērtības ar faktiskajiem notikumiem, un tas mums pateiks, ka problēmas nav atrastas. Citiem vārdiem sakot, dati audita liecībās nav ticami izmainīti, jo tos sākotnēji uzrakstīja pārvaldības dienests. Tas acīmredzami ir viens no veidiem, kā mijiedarboties ar datiem. Otrs veids būtu pats ziņojums. Un tāpēc es došu tikai vienu īsu ziņojuma piemēru.
Un atkal šie ziņojumi, kā mēs tos izstrādājām, nav raksturīgi neviena veida standartiem, piemēram, PCI, HIPAA, SOX vai tamlīdzīgiem. Atkal tas ir kopsaucējs tam, ko mēs darām, un šajā gadījumā, ja mēs atgriezīsimies pie šī pacienta uzskaites piemēra, mēs varētu iet ārā un teikt, ka mūsu gadījumā šeit mēs meklējam veselības aprūpes datu bāzē, un šajā gadījumā mēs vēlamies īpaši koncentrēties uz to tabulu, kurā, kā mēs zinām, ir privāta informācija, kas šajā gadījumā ir saistīta ar mūsu pacientiem. Tāpēc ļaujiet man uzzināt, vai es varu to ierakstīt šeit, un mēs gatavojamies turpināt vadīt šo ziņojumu. Un tad mēs acīmredzot no turienes redzēsim visus attiecīgos datus, kas saistīti ar šo objektu. Un mūsu gadījumā tas parāda mūs mēneša laikā. Bet mēs varētu atgriezties sešus mēnešus gadā, lai cik ilgi mēs glabātu datus.
Šie ir veidi, kā jūs varētu, ja vēlaties, revidentam faktiski pierādīt, ka sekojat savām kontrolēm. Kad esat to identificējis, tas acīmredzami ir laba lieta, ja nokārtojat savu auditu un spējat parādīt, ka sekojat kontrolierīcēm un viss darbojas.
Pēdējā šāda veida saruna, ko es gribēju parādīt, ir administrācijas sadaļā. Ir arī vadīklas no paša šī rīka viedokļa, kas pats var iestatīt vadības ierīces, lai pārliecinātos, ka tad, ja kāds dara kaut ko tādu, kas viņiem nav paredzēts, es to varu informēt. Un es jums sniegšu dažus piemērus. Man ir pieteikšanās konts, kas ir saistīts ar pakalpojumu un šim pakalpojumam ir vajadzīgas paaugstinātas atļaujas. Es nevēlos, lai kāds ieiet un izmanto šo kontu Management Studio, un tad, jūs zināt, izmantojat to lietām, kurām tas nebija paredzēts. Mums šeit būtu divi kritēriji, kurus mēs varētu piemērot. Es varētu pateikt: “Lūk, mēs patiešām esam ieinteresēti šajā darbībā, teiksim, ar mūsu PeopleSoft lietojumprogrammu”, tikai kā piemēru, vai ne?
Tagad, kad esmu to izdarījis, es šeit saku, ka ir interesanti uzzināt visus pieteikumus, kas saistīti ar kontu, kuru gatavojos norādīt, ja lietojumprogramma, kas tiek izmantota, lai pieteiktos šajā kontā nav PeopleSoft, tad tas būs trauksmes signāls. Un acīmredzot mums ir jānorāda pats konta nosaukums, tāpēc mūsu gadījumā sauksim tikai šo Priv kontu, ņemot vērā faktu, ka tas ir priviliģēts. Kad mēs to esam izdarījuši, tad, kad mēs to darām šeit, mēs tagad varētu norādīt, kā mēs gribētu notikt, kad tas notiek, un par katru notikumu veidu vai, man jāsaka, ka brīdinājumu, jūs varat ir atsevišķs paziņojums personai, kura ir atbildīga par konkrēto datu kopu.
Piemēram, ja tā ir informācija par algām, tā varētu nonākt pie mana personāla direktora. Šajā gadījumā, kas nodarbojas ar lietojumprogrammu PeopleSoft, tas būs šīs lietojumprogrammas administrators. Lai kāds arī nebūtu gadījums. Es varētu ievietot savu adresi, pielāgot faktisko brīdinājumu un visu labo. Atkal tas viss atkārtojas pie tā, ka mēs varam pārliecināties, ka varat parādīt, ka sekojat savām vadības ierīcēm un ka šīs vadības ierīces darbojas, kā paredzēts. Raugoties no pēdējās perspektīvas, tikai attiecībā uz uzturēšanu, mums ir iespēja ņemt šos datus un novietot tos bezsaistē. Es varu arhivēt datus, un es varu tos ieplānot, un mēs varētu ļoti viegli izdarīt šīs lietas tādā nozīmē, ka jūs faktiski varētu būt DBA, kas izmanto šo rīku, iestatītu to un veida ejiet prom no tā. Nav daudz roku turēšanas, kas notiks pēc tam, kad būsit uzstādījis tā, kā vajadzētu. Kā jau teicu, visgrūtākais jautājums, manuprāt, ir nevis tā, lai iestatītu to, ko vēlaties veikt, bet tas ir, zinot, ko vēlaties iestatīt auditam.
Un, kā es teicu, zvēra būtība ar revīziju jums ir jāsaglabā dati septiņus gadus, tāpēc ir jēga koncentrēties tikai tajās jomās, kurām ir sensitīvs raksturs. Bet, ja jūs vēlaties izvēlēties visu savākt, jūs noteikti varat, to vienkārši neuzskata par labāko praksi. Tāpēc no šī viedokļa es gribētu tikai atgādināt ļaudīm, ka, ja tas ir kaut kas, kas interesē, jūs varat apmeklēt IDERA.com vietni un lejupielādēt šī izmēģinājuma versiju un pats ar to paspēlēties. Runājot par bezmaksas rīku, par kuru mēs jau runājām, tas ir, bez maksas, jūs varat lejupielādēt un izmantot to mūžīgi neatkarīgi no tā, vai izmantojat produktu Atbilstības pārvaldnieks. Un patīkami, ka šis sleju meklēšanas rīks ir tas, ka mūsu atklājumi, ar kuriem jūs nācāt klajā, un es faktiski to varu parādīt, manuprāt, ir tas, ka jūs varēsit eksportēt šos datus un pēc tam tos varēsit importēt atbilstības pārvaldniekā. arī. Es to neredzu, es zinu, ka tas ir šeit, tur tas ir. Šis ir tikai piemērs tam. Šeit tā atrod saistītos sensitīvos datus.
Tagad es esmu izgājis, un es tiešām esmu uzmeklējis visu, bet jums ir tikai ļoti daudz lietu, ko mēs varam pārbaudīt. Kredītkaršu numuri, adreses, vārdi un visa cita veida lietas. Un mēs identificēsim, kur tas atrodas datu bāzē, un pēc tam no turienes jūs varēsit izlemt, vai tiešām vēlaties revidēt šo informāciju. Bet tas noteikti ir veids, kā jums daudz vieglāk noteikt audita jomu, kad skatāties uz tādu rīku kā šis.
Es tikai došos uz priekšu un noslēdzos ar to, un es iešu uz priekšu un nodošu to atpakaļ Ērikam.
Ēriks Kavanaghs: Tā ir fantastiska prezentācija. Man patīk, kā jūs patiešām iedziļināties tur esošajās drūmajās detaļās un parādīt mums, kas notiek. Tā kā dienas beigās ir kāda sistēma, kas piekļūs dažiem ierakstiem, tā būs jums atskaite, kas ļaus jums pastāstīt savu stāstu neatkarīgi no tā, vai tas būtu regulatoram vai revidentam, vai kādam no jūsu komandas , tāpēc ir labi, ka zināt, ka esat gatavs, kad un kad, vai kad un kad šī persona klauvē, un, protams, tā ir nepatīkama situācija, no kuras jūs mēģināt izvairīties. Bet, ja tas notiks, un tas, iespējams, notiks šajās dienās, jūs vēlaties būt pārliecināts, ka jums ir iezīmēts mans punkts un jūsu T ir šķērsots.
Ir labs auditorijas locekļa jautājums, kuru es gribētu izmest, iespējams, vispirms jums, Bullett, un tad, ja varbūt kāds raidījuma vadītājs vēlas to komentēt, jūtieties brīvi. Un tad varbūt Dezs uzdod jautājumu un Robinam. Tāpēc jautājums ir, vai ir taisnīgi teikt, ka, lai izdarītu visas jūsu pieminētās lietas, jums jāsāk datu klasifikācija elementārā līmenī? Jums jāzina savi dati, kad tie kļūst par vērtīgu potenciālu aktīvu, un kaut kas ar to jādara. Es domāju, ka jūs piekrītat, Bullett, vai ne?
Bullett Manale: Jā, absolūti. Es domāju, ka jūs esat iepazinušies ar jūsu datiem. Un es saprotu, es apzinos, ka pastāv ļoti daudz lietojumprogrammu, un jūsu organizācijā ir daudz dažādu lietu, kurām ir kustīgas daļas. Sleju meklēšanas rīks ir ļoti noderīgs, dodoties solī, lai labāk izprastu šos datus. Bet jā, tas ir ļoti svarīgi. Es domāju, ka jums ir iespēja izvēlēties Firehose pieeju un revidēt visu, bet tas ir tikai daudz sarežģītāk, loģistiski, runājot par to, ka šie dati ir jāuzglabā un jāatskaitās pret tiem. Un tad jums joprojām ir jāzina, kur atrodas šie dati, jo, izpildot pārskatus, jums būs jāparāda arī šī informācija auditoriem. Tāpēc es domāju, ka, kā jau teicu, lielākais izaicinājums, runājot ar datu bāzu administratoriem, ir zināt, jā.
Ēriks Kavanaghs: Jā, bet varbūt Robins, mēs jūs ātri nogādāsim. Man šķiet, ka šeit tiek piemērots 80/20 noteikums, vai ne? Jūs, iespējams, neatradīsit katru ierakstu sistēmu, kas ir svarīga, ja atrodaties vidēja vai liela organizācijā, bet gan, ja koncentrējaties uz - piemēram, ko šeit ierosināja Bullett - piemēram, PeopleSoft vai citas ierakstu sistēmas, kas ir pārsvarā uzņēmumā, tas ir, kur jūs koncentrējat 80 procentus no jūsu centieniem, un tad 20 procenti tiek veltīti citām sistēmām, kuras, iespējams, ir kaut kur tur, vai ne?
Robins Bloors: Es esmu pārliecināts, ka jā. Es domāju, jūs zināt, es domāju, ka ir problēma ar šo tehnoloģiju, un es domāju, ka, iespējams, ir vērts to komentēt, bet šīs tehnoloģijas problēma ir, kā jūs to īstenojat? Es domāju, ka, protams, lielākajā daļā organizāciju trūkst zināšanu par pat tur esošo datu bāzu skaitu. Jūs zināt, teiksim, ka šausmīgi trūkst krājumu. Jūs zināt, jautājums ir, iedomājieties, ka mēs sākam situācijā, kad nav īpaši labi pārvaldīta atbilstība, kā jūs lietojat šo tehnoloģiju un ievadāt to vidē, nevis tikai, jūs zināt, tehnoloģijā noteikumiem, izveidojot lietas, bet, piemēram, kurš to pārvalda, kas to nosaka? Kā jūs to sākat kurināt par īstu lietu, kas dara savu darbu?
Bullett Manale: Es domāju, tas ir labs jautājums. Daudzos gadījumos izaicinājums ir tas, ka es domāju, ka jums ir jāsāk uzdot jautājumus jau pašā sākumā. Esmu iesaistījies daudzos uzņēmumos, kur viņi, jūs zināt, varbūt ir privāts uzņēmums un viņi ir iegādājušies, ir sākotnējs, pirmā veida, ceļa segums, ja vēlaties to saukt. Piemēram, ja es tikko kļuvu par publiski tirgotu uzņēmumu iegādes dēļ, man nāksies atgriezties un, iespējams, izdomāt dažas lietas.
Un dažos gadījumos mēs runājam ar organizācijām, kuras, kaut arī tās ir privātas, ievēro SOX atbilstības noteikumus, vienkārši tāpēc, ka, ja tās vēlas iegūt, viņi zina, ka tām ir jāievēro. Jūs noteikti nevēlaties izvēlēties pieeju “Man tagad par to nav jāuztraucas.” Jebkura veida atbilstība normatīvajiem aktiem, piemēram, PCI vai SOX vai kas cits, jūs vēlaties ieguldīt, veicot pētījumu vai izpratne par to, kur atrodas šī sensitīvā informācija, pretējā gadījumā jūs varētu nonākt pie ievērojama, dūšīga soda naudas. Un tas ir daudz labāk, ja ieguldāt šo laiku, jūs zināt, atrodot šos datus un spējot ziņot pret tiem un parādīt vadības ierīces, darbojas.
Jā, runājot par tās izveidošanu, kā es teicu, pirmais, ko es ieteiktu cilvēkiem, kuri gatavojas veikt revīziju, ir vienkārši iziet un veikt kūrortu datu bāzes pārbaudi un izdomāt, ka jūs viņi cenšas noskaidrot, kur atrodas šie sensitīvie dati. Un cita pieeja būtu sākt ar varbūt lielāku tīklā revīzijas apjoma ziņā, un tad lēnām ierobežot savu ceļu, kad jūs, veida veida, izdomājat, kur atrodas sistēmas apgabali, kas ir saistīti ar slepena informācija. Bet es vēlos, lai es varētu jums pateikt, ka uz šo jautājumu ir vienkārša atbilde. Iespējams, ka tas var būt atšķirīgs dažādās organizācijās un atbilstības veids, un patiesībā tas, kā jūs zināt, cik liela struktūra ir viņu lietojumprogrammām un cik daudzām ir dažādas lietojumprogrammas, dažas var būt pielāgotas rakstiskas lietojumprogrammas , tāpēc daudzos gadījumos tas tiešām būs atkarīgs no situācijas.
Ēriks Kavanaghs: Iet uz priekšu, Dez, es esmu pārliecināts, ka jums ir uzdots jautājums vai divi.
Dez Blanchfield: Es ļoti vēlos iegūt tikai nelielu ieskatu jūsu novērojumos par patieso ietekmi uz organizācijām no cilvēku viedokļa. Es domāju, ka viena no jomām, kurā, manuprāt, ir vislielākā vērtība šim konkrētajam risinājumam, ir tā, ka tad, kad cilvēki pamostas no rīta un dodas strādāt dažādos organizācijas līmeņos, viņi pamostas ar virkni atbildības vai virknes atbildības. ka viņiem ir jātiek galā. Un es vēlos iegūt nelielu ieskatu par to, ko jūs redzat tur ar un bez tiem rīku veidiem, par kuriem jūs runājat. Un con, par ko es šeit runāju, ir sākot no valdes priekšsēdētāja līdz izpilddirektoram un CIO un C-suite. Un tagad mums ir galvenie risku virsnieki, kuri vairāk domā par lietām, par kurām mēs šeit runājam, ievērojot un pārvaldot, un tagad mums ir jauni lomu spēles priekšnieki, galvenais datu virsnieks, kurš, jūs zināt, , par to vēl vairāk uztraucas.
Un katra no tām pusē, ap CIO, mums vienā pusē ir IT vadītāji ar zināmiem tehniskiem vedieniem un pēc tam datu bāzu vedējiem. Un operatīvajā telpā mums ir attīstības menedžeri un attīstības virzītāji, pēc tam individuāli izstrādnes, un viņi arī atgriežas datu bāzes administrēšanas slānī. Kā jūs redzat katras šīs dažādās uzņēmējdarbības daļas reakciju uz izaicinājumiem, kas saistīti ar atbilstības un normatīvo ziņojumu sagatavošanu, un viņu pieeju tam? Vai jūs redzat, ka cilvēki pie tā ierodas ar dedzību un redzat tā ieguvumu, vai arī redzat, ka viņi negribīgi velk savas pēdas uz šo lietu un vienkārši, jūs zināt, to dara, lai izdarītu ķeksīti lodziņā? Kādas ir atbildes, ko redzat, kad viņi redz jūsu programmatūru?
Bullett Manale: Jā, tas ir labs jautājums. Es teiktu, ka šo produktu, tā pārdošanas apjomus, lielākoties veicina kāds, kurš atrodas karstajā vietā, ja tam ir jēga. Vairumā gadījumu tā ir DBA, un, no mūsu skatupunkta, citiem vārdiem sakot, viņi zina, ka notiek audits, un viņi būs atbildīgi, jo tie ir DBA, lai varētu sniegt informāciju, uz kuru auditors gatavojas pajautā. Viņi to var izdarīt, rakstot paši savus pārskatus un izveidojot savas pielāgotās pēdas un visas tās lietas. Patiesībā viņi nevēlas to darīt. Vairumā gadījumu DBA īsti nevēlas, lai sāktu šīs sarunas ar auditoru. Ziniet, es labprātāk jums saku, ka mēs varam piezvanīt uzņēmumam un pateikt: “Ei, tas ir lielisks rīks, un jums tas patiks”, un parādiet viņiem visas funkcijas, un viņi to nopirks.
Patiesībā viņi parasti neskatīsies uz šo rīku, ja vien viņiem faktiski nāksies saskarties ar revīziju vai monētas otru pusi, ja viņi jau ir veikuši revīziju un nožēlojami to neveiksmīgi, un tagad viņi ir kad viņiem tiek lūgts saņemt palīdzību, vai arī viņi tiks sodīti. Es teiktu, ka kopumā, jūs zināt, parādot šo produktu ļaudīm, viņi noteikti redz tā vērtību, jo tas viņiem ietaupa tonnu laika ziņā - viņiem ir jāizdomā, par ko viņi vēlas ziņot , tādas lietas. Visi šie ziņojumi jau ir iebūvēti, trauksmes celšanas mehānismi ir ieviesti, un tad arī trešais jautājums daudzos gadījumos var būt izaicinājums. Tā kā es varu jums parādīt pārskatus visas dienas garumā, bet, ja vien jūs varat man pierādīt, ka šie pārskati faktiski ir derīgi, tad, jūs zināt, man kā DBA tas ir daudz stingrāks priekšlikums, lai es varētu to parādīt. Bet mēs esam izstrādājuši tehnoloģiju un sajaukšanas paņēmienu, kā arī visas citas lietas, lai varētu palīdzēt pārliecināties, ka dati, kas saglabāti revīzijas taku integritāti, tiek saglabāti.
Un tas ir tas, ko es novēroju attiecībā uz lielāko daļu cilvēku, ar kuriem mēs runājam. Jūs zināt, ka noteikti dažādās organizācijās jūs zināt, piemēram, dzirdēsit par, jūs zināt, piemēram, Target, piemēram, bija datu pārkāpumi, un, jūs zināt, es domāju, kad citas organizācijas dzird par soda naudām un tām veida lietas, ko cilvēki sāk, tas uzaci palielina, tāpēc, cerams, ka tas atbild uz jautājumu.
Dez Blanchfield: Jā, noteikti. Es varu iedomāties dažas DBA, kad viņi beidzot redz, ko var paveikt ar rīku, tikai saprot, ka ir ieguvuši arī vēlu vakarus un nedēļas nogales. Laika un izmaksu samazināšana un citas lietas, kuras es redzu, kad šai problēmai tiek piemēroti piemēroti rīki, proti, trīs nedēļas es sēdēju bankā šeit, Austrālijā. Viņi ir globāla banka, trīs lielākās bankas, viņi ir apjomīgi. Viņiem bija projekts, kurā viņiem bija jāsniedz ziņojums par viņu labklājības pārvaldības ievērošanu un jo īpaši risku, un viņi apskatīja 60 nedēļu darbu pāris simtu cilvēku labā. Un, kad viņiem parādīja tādu rīku kā jūs, kas varētu tikai automatizēt procesu, patīk, šī izpratne viņu sejās, kad viņi saprata, ka nav jāpavada X nedēļu skaits simtiem cilvēku, kas veic manuālu procesu, bija tāda veida kā viņi būtu atraduši Dievu. Bet izaicinošais jautājums bija, kā to reāli ievietot plānā, kā jūs zināt Dr. Dr Robins Bloors, tas kaut kas kļūst par uzvedības un kultūras maiņas sajaukumu. Ar kādiem līmeņiem jūs nodarbojaties un kas tieši nodarbojas ar to lietojumprogrammu līmenī, kādas izmaiņas jūs redzat, kad viņi sāk izmantot rīku, lai veiktu pārskatus, auditu un kontroli, ko jūs varat piedāvāt, piemēram, pretstatā tam, ko viņi varētu būt darījuši manuāli? Kā tas izskatās, kad tos faktiski īsteno?
Bullett Manale: Vai jūs jautājat, kāda ir atšķirība, apstrādājot to ar rokām, salīdzinot ar šo rīku? Vai tas ir jautājums?
Dez Blanchfield: Nu, konkrēti, uzņēmējdarbības ietekme. Piemēram, ja mēs mēģinām panākt atbilstību manuālā procesā, jūs zināt, ka mums vienmēr ir nepieciešams ilgs laiks, kurā piedalās daudz cilvēku. Bet es domāju, ka, kā jūs zināt, lai apšaubītu šo jautājumu, vai mēs runājam par vienu cilvēku, kurš izmanto šo rīku, aizstājot potenciāli 50 cilvēkus un spējot to pašu izdarīt reālā laikā vai stundās, salīdzinot ar mēnešiem? Vai tas ir tāds, kas tas vispār izrādās?
Bullett Manale: Es domāju, ka tas attiecas uz pāris lietām. Viens ir spēja atbildēt uz šiem jautājumiem. Dažas no šīm lietām netiks paveiktas ļoti viegli. Jā, laiks, kas vajadzīgs, lai darītu pašmāju resursus, pats uzrakstītu pārskatus, izveidotu pēdas vai izvērstu notikumu, lai datus savāktu manuāli, varētu aizņemt daudz laika. Patiešām, es jums sniegšu dažus, es domāju, tas faktiski neattiecas uz datu bāzēm kopumā, bet tāpat kā uzreiz pēc tam, kad notika Enron un SOX kļuva izplatīts, es biju vienā no lielākajām naftas kompānijām Hjūstonā, un mēs rēķinājāmies ar , Es domāju, ka tas bija tāpat kā 25 procenti mūsu biznesa izmaksu bija saistīti ar SOX ievērošanu.
Tagad, tūlīt pēc tam, un tas bija sava veida pirmais solis SOX, taču lieta, ar kuru, es teiktu, jūs zināt, jūs gūstat daudz labuma, izmantojot šo rīku tādā nozīmē, ka tas neprasa daudz cilvēku, lai to izdarītu, un ļoti daudz dažādu cilvēku, lai to izdarītu. Un kā jau teicu, DBA parasti nav tas puisis, kurš ļoti cer uz šīm sarunām ar auditoriem. Tātad daudzos gadījumos mēs redzēsim, ka DBA to var izlādēt un spēt sniegt ziņojumu auditoram ar saskarni, un viņi var pilnībā iziet no vienādojuma, nevis būt iesaistīti. Tātad, jūs zināt, tas ir milzīgs ietaupījums arī resursu ziņā, kad jūs to varat izdarīt.
Dez Blanchfield: Jūs runājat par milzīgu izmaksu samazināšanu, vai ne? Organizācijas ne tikai novērš risku un ar to saistītos izdevumus, bet es būtībā domāju, ka jūs runājat par būtisku izmaksu samazinājumu, A) operatīvi un arī B) faktā, ka, jūs zināt, vai viņi faktiski var sniegt reālu atbilstības paziņošana par to, ka ir ievērojami samazināts datu pārkāpuma risks vai kāds likumīgs naudas sods vai ietekme uz neatbilstību, vai ne?
Bullett Manale: Jā, absolūti. Es domāju, ka, tā kā tas neatbilst prasībām, notiek visādi slikti gadījumi. Viņi var izmantot šo rīku, un tas būtu lieliski, vai neder, un viņi uzzinās, cik tas patiesībā ir slikts. Jā, tas acīmredzami ir ne tikai rīks, bet visas pārbaudes varat veikt arī bez tāda rīka kā šis. Kā jau teicu, tas prasīs daudz vairāk laika un izmaksu.
Dez Blanchfield: Tas ir lieliski. Tātad, Ēriks, es atgriezīšos pie jums, jo es domāju, ka manis pieņemtais priekšnesums ir tāds, ka, jūs zināt, šāda veida tirgus ir fantastisks. Bet būtībā arī tas, ka lieta ir zelta vērtībā, ir tā vērtējama, pamatojoties uz to, ka spēja izvairīties no notiekošās problēmas komerciālās ietekmes vai spēja samazināt laiku, kas nepieciešams ziņošanai un atbilstības pārvaldībai, padara to tikai, jūs zināt, rīks pats par sevi maksā pēc lietu skaņas.
Ēriks Kavanaghs: Tas ir tieši tā. Nu, liels paldies par jūsu šodienas laiku, Bullett. Paldies jums visiem par jūsu laiku un uzmanību, kā arī Robinai un Dezai. Vēl viena lieliska prezentācija šodien. Paldies mūsu IDERA draugiem, kuri ļāva mums atnest jums šo saturu bez maksas. Mēs arhivēsim šo tīmekļa apraidi vēlākai apskatei. Arhīvs parasti ir sagatavots aptuveni vienas dienas laikā. Un dariet mums zināmu, ko jūs domājat par mūsu jauno vietni insideanalysis.com. Pilnīgi jauns dizains, pilnīgi jauns izskats un sajūta. Mēs labprāt uzklausīsim jūsu atsauksmes un ar to es jums atvadīšos, ļaudis. Jūs varat mani. Pretējā gadījumā mēs ar jums sazināsimies nākamnedēļ. Nākamo piecu nedēļu laikā mums ir septiņas tīmekļa pārraides vai kaut kas tamlīdzīgs. Mēs būsim aizņemti. Un mēs šajā mēnesī būsim Strata konferencē un IBM analītiķu samitā Ņujorkā. Tātad, ja jūs atrodaties turpat blakus, apstājieties un sakiet sveicienu. Rūpēties, ļaudis. Labdien!