Autors: Techopedia Staff, 2016. gada 14. septembris
Takeaway: Uzņēmējs Ēriks Kavanaghs apspriež datu bāzes auditu un atbilstību analītiķiem Robinam Blooram un Dezam Blanšfīldam, kā arī IDERA Bulletai Manālei šajā Hot Technologies epizodē.
Pašlaik neesat pieteicies. Lai redzētu video, lūdzu, pierakstieties vai reģistrējieties.
Ēriks Kavanagh: dāmas un kungi, sveicināti un vēlreiz sveicam Hot Hot Technologies! Jā, patiešām, no 2016. gada. Mēs esam šīs izstādes trešajā gadā, tas ir ļoti aizraujoši. Šogad esam šūpojuši un ripinājuši. Tas ir jūsu saimnieks Ēriks Kavanaghs. Šodienas tēma - šī ir lieliska tēma, tai ir daudz lietojumu daudzās nozarēs, atklāti sakot - “Kas, ko, kur un kā: kāpēc jūs vēlaties zināt?”. Jā, patiešām, mēs runāsim par visu šo jautro lietu. Tur ir slaids par tavu patiesību, mani uzpūta Twitter @eric_kavanagh. Es cenšos atkārtot visu pieminēšanu un pārveidot visu, ko kāds man sūta. Pretējā gadījumā tā būtu.
Ir karsts, jā! Viss šovs šeit ir paredzēts, lai palīdzētu organizācijām un indivīdiem izprast konkrētus tehnoloģiju veidus. Mēs šeit, Hot Technologies, izstrādājām visu programmu kā veidu, kā definēt īpašu programmatūras veidu, noteiktu tendenci vai noteikta veida tehnoloģiju. Iemesls ir tas, ka atklāti sakot, programmatūras pasaulē jūs bieži iegūsit šos mārketinga terminus, kas kļūst par bandītiem, un dažreiz viņi var atklāti sakodot jēdzienus, kurus bija paredzēts aprakstīt.
Šajā izrādē mēs patiešām cenšamies palīdzēt jums saprast, kas ir noteikts tehnoloģijas veids, kā tā darbojas, kad varat to izmantot, kad jums to nevajadzētu izmantot, un sniedz jums pēc iespējas vairāk informācijas. Mums šodien būs trīs vadītāji: mūsu pašu Robins Bloors, galvenais Bloor grupas analītiķis; mūsu datu zinātnieks, kurš piezvanīja no Sidnejas, Austrālijas, planētas otrā pusē, Dezs Blanšfīlds, un viens no mūsu iecienītākajiem viesiem Bullets Manale, IDERA pārdošanas tehnikas direktors.
Es teikšu tikai dažas lietas šeit, saprotot, kas ko dara ar kādu datu kopumu, un tas ir tāds kā pārvaldība, vai ne? Ja jūs domājat par visiem noteikumiem, kas attiecas uz nozarēm, piemēram, veselības aprūpi un finanšu pakalpojumiem, šajās jomās, tas ir neticami svarīgi. Jums jāzina, kurš pieskārās informācijai, kurš kaut ko mainīja, kurš tam piekļuva, kurš to augšupielādēja, piemēram. Kāda ir ciltsgrāmata, kāda ir šo datu providence? Varat būt drošs, ka visi šie jautājumi turpmākajos gados būs nozīmīgi visu veidu iemeslu dēļ. Ne tikai atbilstības nodrošināšanai, kaut arī HIPAA, kā arī Sarbanes-Oxley un Dodd-Frank, un visi šie noteikumi ir ļoti nozīmīgi, bet arī tikai tāpēc, lai jūs savā biznesā saprastu, kas ko dara, kur, kad, kāpēc un kā. Šīs ir labas lietas, kurām mēs pievērsīsim uzmanību.
Ejiet uz priekšu, atņemiet to, Robin Bloor.
Robins Bloors: Labi, labi, paldies par šo ievads, Ēriks. Šī pārvaldības joma, es domāju, pārvaldība IT nebija vārds, ko jūs dzirdējāt tikai nedaudz pēc 2000. gada, es domāju. Tas radās galvenokārt tāpēc, ka, manuprāt, jebkurā gadījumā tas radās galvenokārt tāpēc, ka tur tika izstrādāti atbilstības tiesību akti. Īpaši HIPAA un Sarbanes-Oxley. To patiesībā ir daudz. Tāpēc organizācijas saprata, ka tām ir jābūt noteikumu kopumam un procedūru kopumam, jo tas ir nepieciešams saskaņā ar likumu. Ilgi pirms tam, jo īpaši banku nozarē, bija dažādas iniciatīvas, kurām jums bija jāpakļaujas atkarībā no tā, kāda banka jūs esat, un jo īpaši no starptautiskajiem baņķieriem. Viss Bāzeles prasībām atbilstošais sākums bija ceļš pirms šī konkrētā iniciatīvu kopuma pēc 2000. gada. Tas viss patiešām attiecas uz pārvaldību. Es domāju, ka es runāšu par pārvaldības tēmu kā ievadu uzmanības pievēršanai tam, kurš iegūst datus.
Datu pārvaldība, es savulaik skatījos apkārt, es domāju apmēram pirms pieciem vai sešiem gadiem, meklēju definīcijas, un tā vispār nebija precīzi definēta. Kļūst skaidrāks un skaidrāks par to, ko tas patiesībā nozīmē. Situācijas realitāte bija tāda, ka, ievērojot noteiktas robežas, visi dati faktiski tika pārvaldīti iepriekš, taču tam nebija oficiālu noteikumu. Bija īpaši noteikumi, kas īpaši banku nozarē tika izstrādāti, lai darītu līdzīgus darījumus, bet atkal tas vairāk attiecās uz noteikumu ievērošanu. Vienā vai otrā veidā pierādot, ka jūs patiesībā esat - tas ir sava veida saistīts ar risku, tāpēc darījums ir pierādījums tam, ka jūs esat dzīvotspējīga banka.
Ja paskatās uz pārvaldības izaicinājumu tagad, tas sākas ar lielo datu kustības faktu. Mums ir arvien vairāk datu avotu. Datu apjoms, protams, ir problēma ar to. Jo īpaši mēs sākām darīt daudz, daudz, vairāk ar nestrukturētiem datiem. Tas sāka kļūt par kaut ko visu analītikas spēles daļu. Analītikas dēļ datu izcelsme un ciltslietas ir svarīgas. Patiešām, no datu analītikas izmantošanas veida, kas saistīts ar jebkāda veida atbilstību, jums tiešām ir jābūt zināšanām par to, no kurienes dati ir iegūti un kā tam ir jābūt tādam, kāds tas ir.
Datu šifrēšana sāka kļūt par problēmu, kļuva par lielāku problēmu, tiklīdz devāmies uz Hadoop, jo ideja par datu ezeru, kurā mēs glabātu daudz datu, pēkšņi nozīmē, ka jums ir milzīga neaizsargātības zona cilvēkiem, kuri var iegūt pie tā. Datu šifrēšana kļuva daudz pamanāmāka. Autentifikācija vienmēr bija problēma. Vecākā vidē, stingri lieldatoru vidē, viņiem bija tik lieliska perimetra drošības aizsardzība; autentifikācija nekad nebija īsta problēma. Vēlāk tas kļuva par lielāku jautājumu, un tagad tas ir daudz aktuālāks, jo mums ir tik izplatīta vide. Datu piekļuves uzraudzība, kas kļuva par problēmu. Liekas, ka es atceros dažādus instrumentus, kas parādījās pirms apmēram desmit gadiem. Es domāju, ka lielāko daļu no tiem virzīja atbilstības iniciatīvas. Tāpēc mums ir arī visi atbilstības noteikumi, ziņošana par atbilstību.
Prātā ienāca tas, ka pat deviņdesmitajos gados, kad veicāt klīniskos pētījumus farmācijas nozarē, jums ne tikai bija jāprot pierādīt, no kurienes nāk dati - acīmredzot, tas ir ļoti svarīgi, ja mēģināt lai uzzinātu, kurš tiek tiesāts un kādi ir kontekstuālie dati ap to - jums bija jāspēj nodrošināt programmatūras rediģēšana, kas faktiski izveidoja datus. Tas ir visnopietnākais atbilstības apliecinājums, ko jebkad esmu redzējis, lai pierādītu, ka patiesībā nejaucat lietas apzināti vai nejauši. Pēdējā laikā par problēmu ir kļuvusi datu aprites cikla pārvaldība. Tie visi savā ziņā ir izaicinājumi, jo daudzi no tiem nav izdarīti labi. Daudzos apstākļos tas ir jādara.
To es saucu par datu piramīdu. Esmu jau iepriekš par to runājis. Man tas šķiet ļoti interesants lietu aplūkošanas veids. Var domāt, ka datiem ir slāņi. Neapstrādāti dati, ja vēlaties, lielākoties ir tikai signāli vai mērījumi, ieraksti, notikumi, atsevišķi ieraksti. Iespējams, ka darījumi, aprēķini un apkopojumi, protams, rada jaunus datus. Tos var domāt datu līmenī. Turklāt, tiklīdz jūs faktiski savienojat datus kopā, tā kļūst par informāciju. Tas kļūst noderīgāks, bet, protams, tas kļūst neaizsargātāks pret cilvēkiem, kuri to uzlauž vai ļaunprātīgi izmanto. Es to definēju kā tādu, kas tiek izveidots, izmantojot datu strukturēšanu, lai varētu vizualizēt datus, izmantojot informācijas glosārijus, shēmas, ontoloģijas. Šie divi apakšējie slāņi ir tas, ko mēs vienā vai otrā veidā apstrādājam. To es saucu par zināšanu slāni, kas sastāv no noteikumiem, politikas, vadlīnijām, procedūras. Daļu no tiem patiesībā var radīt atziņas, kas atklātas analītikā. Daudzi no tiem patiesībā ir politika, kas jums jāievēro. Šis ir pārvaldes slānis, ja vēlaties. Šajā gadījumā vienā vai otrā veidā, ja šis slānis nav pareizi apdzīvots, divi zemāk esošie slāņi netiek pārvaldīti. Pēdējais punkts šajā jautājumā ir izpratne par kaut ko tādu, kas piemīt tikai cilvēkiem. Diemžēl datoriem to vēl nav izdevies izdarīt. Pretējā gadījumā es paliktu bez darba.
Pārvaldības impērija - es to savācu, es domāju, ka tam vajadzēja būt apmēram pirms deviņiem mēnešiem, iespējams, daudz agrāk. Būtībā es to uzlaboju, bet, tiklīdz mēs sākām uztraukties par pārvaldību, tad korporatīvo datu centrā bija ne tikai datu rezervuārs, datu ezeru resursi, bet arī dažādi vispārīgi serveri, speciālistu datu serveri. To visu vajadzēja pārvaldīt. Kad jūs faktiski apskatījāt arī dažādas dimensijas - datu drošību, datu tīrīšanu, metadatu atklāšanu un metadatu pārvaldību, biznesa glosārija izveidi, datu kartēšanu, datu līniju, datu dzīves cikla pārvaldību - tad veiktspējas uzraudzības pārvaldību, pakalpojumu līmeņa pārvaldību, sistēmas pārvaldība, kuru jūs, iespējams, faktiski nesaistāt ar pārvaldību, bet gan zināmu - tagad, kad mēs ejam uz ātrāku un ātrāku pasauli ar arvien vairāk datu plūsmām, faktiski kaut kas ir jādara ar noteiktu veiktspēju, tā faktiski ir nepieciešamība un sāk kļūt par darbības noteikumu, nevis par kaut ko citu.
Apkopojot atbilstības pieaugumu, es vēroju, kā tas notiek daudzus, daudzus gadus, bet vispārējā datu aizsardzība faktiski nāca Eiropā 1990. gados. Kopš tā laika tas ir kļuvis arvien modernāks un modernāks. Tad visas šīs lietas sāka iepazīstināt vai arī tās tika padarītas sarežģītākas. GRC, tas ir pārvaldības risks un atbilstība, notiek kopš bankām Bāzeles darbības laikā. ISO ir izstrādājusi dažāda veida darbību standartus. Es visu laiku zinu, ka esmu darbojies IT jomā - tas ir bijis ilgs laiks - ASV valdība ir īpaši aktīvi izstrādājusi dažādus tiesību aktus: SOX, tur ir Gramm-Leach-Bliley, HIPAA, FISMA, FERPA. Jūs esat ieguvis arī lielisko NIST organizāciju, kas rada ļoti noderīgus daudzus standartus, īpaši drošības standartus. Datu aizsardzības likumiem Eiropā ir atšķirības vietējā mērogā. Tas, ko jūs, piemēram, varat darīt ar personas datiem Vācijā, atšķiras no tā, ko varat darīt Slovākijas Republikā, Slovēnijā vai jebkur. Viņi nesen ieviesa - un es domāju, ka to pieminēšu, jo man tas šķiet uzjautrinoši - Eiropa ievieš ideju par tiesībām tikt aizmirstam. Tas ir, vajadzētu būt noilgumam attiecībā uz publiski pieejamiem datiem, kas faktiski ir personas dati. Es domāju, ka tas ir jautrs. No IT viedokļa tas būs ļoti, ļoti grūti, ja tas sāks kļūt par efektīvu likumdošanu. Kopsavilkumā es teiktu sekojošo: Tā kā IT dati un pārvaldība ātri attīstās, ātri jāattīstās arī pārvaldībai, un tā attiecas uz visām pārvaldības jomām.
To sakot, es nodošu bumbu Dezam.
Ēriks Kavanaghs: Jā, tiešām, tāpēc Dez Blanchfield, atņemiet to. Robin, es esmu kopā ar tevi, cilvēk, es mirstu, lai redzētu, kā tiek izspēlētas šīs tiesības tikt aizmirstam. Es domāju, ka tas nebūs tikai izaicinošs, bet būtībā neiespējams. Tas ir tikai pārkāpums gaidīt, kad valdības aģentūras to īstenos. Dez, atņem to.
Dezs Blanšfīlds: Tas patiešām ir, un tas ir temats citai diskusijai. Mums šeit ir ļoti līdzīgs izaicinājums Āzijas un Klusā okeāna reģionā, un jo īpaši Austrālijā, kur pārvadātājiem un interneta pakalpojumu sniedzējiem tiek prasīts reģistrēt visu, kas saistīts ar internetu, un spēt to reģistrēt un regurgitēt gadījumā, ja kāds interesents dara kaut ko nepareizi. Tas ir likums, un jums tas ir jāievēro. Izaicinājums, tāpat kā kādam Google Google lietotājam ASV var likt izdzēst manu meklēšanas vēsturi vai ko citu, tā varētu būt atbilstība Eiropas likumiem, īpaši Vācijas privātuma likumiem. Austrālijā, ja aģentūra vēlas jūs izpētīt, mobilo sakaru operatoram jāspēj sniegt sīku informāciju par veiktajiem zvaniem un meklēšanas vēsturi, kas ir sarežģīti, taču tā ir pasaule, kurā mēs dzīvojam. Tam ir daudz iemeslu. Ļaujiet man tikai ielēkt manējā.
Es apzināti padarīju titullapu grūti lasāmu. Jums ir smagi jāskatās uz šo tekstu. Atbilstība, kas atbilst noteikumu kopumam, specifikācijām, vadības ierīcēm, politikām, standartiem vai likumiem ar dumjš, netīrs fons. Tas ir tāpēc, ka jums ir grūti to aplūkot, lai iegūtu sīkāku informāciju un izvilktu informāciju no pārklājuma, kas ir tabulu un rindu un kolonnu sērija, vai nu datu bāze, shēma vai Visio makets. Tāda veida atbilstības sajūta jūtas ikdienā. Ir diezgan grūti iedziļināties detaļās un izvilkt atbilstošos informācijas fragmentus, kas jums nepieciešami, lai varētu apstiprināt, ka esat atbilstošs. Ziņot par to, uzraudzīt to un pārbaudīt.
Patiesībā es domāju, ka tas ir patiešām labs veids, kā to vizualizēt, kad mēs sev uzdodam jautājumu "Vai jūs esat saderīgs?" "Vai tu esi pārliecināts?" "Nu, pierādiet to!" Ir patiešām jautra lieta, kas, iespējams, ir mazliet vairāk anglo-ķeltu, bet es esmu pārliecināts, ka tā ir ievirzījusies visā pasaulē uz ASV, tāpēc tā ir: "Kur ir Wally?" Wally ir mazs varonis, kurš šajos karikatūru zīmējumos nonāk grāmatu formā. Parasti ļoti liela mēroga attēli ar A3 vai lielāku. Tātad, galda izmēra zīmējumi. Viņš ir mazs raksturs, kurš nēsā mežģīnes un sarkanbalts svītrainu kreklu. Spēles ideja ir tāda, ka jūs skatāties šo attēlu un jūs aplūkojaties lokos, lai mēģinātu atrast Wally. Viņš ir tajā bildē kaut kur. Kad domājat par to, kā atklāt, aprakstīt un ziņot par atbilstību, daudzējādā ziņā tas ir līdzīgi kā spēlēt “Kur ir Wally”. Ja paskatās šo attēlu, varoni gandrīz nav iespējams atrast. Bērni tam pavada stundas, un man vakar bija ļoti jautri to darīt. Apskatot to, šajās karikatūrās mēs atrodam veselu cilvēku loku, kas tur apzināti izvietoti ar līdzīgiem svītrainas beanijas un džersija Wally apģērba gabaliem vai vilnas augšdaļu. Bet tie izrādās nepatiesi pozitīvi.
Tas ir līdzīgs izaicinājums, ar kuru mēs saskaramies. Kad mēs skatāmies uz lietām, dažreiz kaut kas mēs domājam, ka tas tā ir, nemaz tā nav. Kādam varētu būt piekļuve datu bāzei, un viņiem vajadzētu būt piekļuvei datu bāzei, taču veids, kādā viņi to izmanto, nedaudz atšķiras no tā, ko mēs sagaidām. Mēs varētu izlemt, ka tas ir kaut kas, kas mums jāaplūko. Izpētot to, mēs atrodam, ak, patiesībā, tas ir ļoti derīgs lietotājs. Viņi vienkārši dara kaut ko dīvainu. Varbūt tas ir datoru pētnieks vai kas zina. Citos gadījumos tas varētu būt tieši pretēji. Realitāte, kad es atkal eju uz priekšu, ir Wally. Ja jūs izskatījāties ļoti grūti šajā augstajā izšķirtspējā, tur ir viens varonis, kurš patiesībā valkā pareizo apģērbu. Visi pārējie ir tikai izskatīgi un līdzīgi. Atbilstība jūtas ļoti līdzīga. Lielākā daļa cilvēku, kurus es pazīstu, strādā uzņēmumu kontrolē un atbilstības un politikas jomās. Daudzās jomās, neatkarīgi no tā, vai tā ir tehnoloģija, vai tā ir finanses, vai darbība, un risks. Bieži vien ir ļoti grūti redzēt Wally attēlā, jūs redzēsit kokus vai koksni.
Jautājums, ko mēs sev uzdodam, domājot par tādām lietām kā atbilstība, ir "liels darījums, kas varētu noiet greizi, ja mēs gluži neatbilstam atbilstībai?" Šodienas diskusijas kontekstā, īpaši attiecībā uz datu bāzēm un piekļuves kontrolei datiem, es jums sniegšu dažus ļoti reālus modināšanas izsaukumu piemērus par to, kas var noiet greizi ļoti īsā formā. Ja mēs domājam par datu pārkāpumiem un mēs visi esam pazīstami ar datu pārkāpumiem, mēs tos dzirdam plašsaziņas līdzekļos un mēs apstājamies un smejamies, jo cilvēki domā, ka tas ir tirgus. Tās ir personiskas lietas. Tas ir Ešlijs Madisons un cilvēki, kuri vēlas iegūt randiņus ārpus savām attiecībām un laulībām. Tas ir krāpt kontus. Tās ir visas šīs dīvainās lietas vai tiek uzlauzts kāds nejaušs Eiropas vai Krievijas ISP vai hostinga uzņēmums. Runājot par tādām lietām kā MySpace un šiem desmit labākajiem, aplūkojot šos skaitļus, es gribu, lai jūs saprastu, ka: 1, 1 miljarda cilvēku informācija šajos desmit pārkāpumos. Jā, tur ir pārklāšanās, iespējams, ir cilvēki, kuriem ir MySpace konts un Dropbox konts, kā arī Tumblr konts, bet noapaļosim to līdz miljardam cilvēku.
Šie desmit nopietnākie pārkāpumi pēdējās desmit gadu laikā - pat ne desmit gadu laikā - vairumā gadījumu veido aptuveni vienu septīto daļu pasaules cilvēku, bet reālāk - apmēram 50 procenti cilvēku ir saistīti ar internets, vairāk nekā miljards cilvēku. Tie rodas tāpēc, ka dažos gadījumos nav ievērota atbilstība. Vairumā gadījumu tā bija piekļuves datu bāzēm kontrole, piekļuves kontrole noteiktām datu kopām, sistēmām un tīkliem. Šī ir biedējoša realitātes pārbaude. Ja tas jūs nebiedē, apskatot desmit labākos un redzot, ka tas ir - vai var redzēt, ka tas ir viens miljards cilvēku, īsti cilvēki, tāpat kā mēs, uz šo aicinājumu šobrīd. Ja jums ir LinkedIn konts, ja jums bija Dropbox konts vai Tumblr konts vai ja jūs iegādājāties no Adobe produktiem vai pat reģistrējāties, lejupielādējiet bezmaksas Adobe skatītāju. Pilnīgi iespējams, ka tas nav iespējams, ir pilnīgi iespējams, ka jūsu informācija, vārds, uzvārds, e-pasta adrese, iespējams, pat darba uzņēmuma adrese vai mājas adrese vai kredītkarte patiesībā ir atrodama pārkāpuma dēļ kas notika kontroles dēļ, kuras ne vienmēr bija labi pārvaldītas datu pārvaldības, datu pārvaldības veidā.
Apskatīsim to īsti detalizēti. Viņiem ir viens ekrāns, tur ir apmēram 50 kaut kas. Tur ir vēl 15. Tur ir apmēram vēl 25. Tie ir datu pārkāpumi, kas uzskaitīti vietnē haveibeenpwned.com. Tas, iespējams, varētu noiet greizi, ja kaut kas vienkāršs, piemēram, tas, kas kontrolē, kam ir piekļuve datiem datu bāzēs dažādos laukos un rindās un kolonnās, un dažādas lietojumprogrammas jūsu uzņēmumā, netiek pareizi pārvaldīts. Šīs organizācijas tagad vadās pēc datiem. Lielākā daļa datu kādā veidā atrodas datu bāzē. Kad jūs domājat par to, tas pārkāpumu saraksts, kuru mēs tikko apskatījām, un, cerams, tas jums ir devis mazliet aukstas dušas tādā nozīmē, ka jūs domājāt “Hmm, tas ir ļoti reāli”, un tas, iespējams, jūs ir ietekmējis. Piemēram, 2012. gadā par šo LinkedIn pārkāpumu mūsdienās lielākajai daļai profesionāļu ir LinkedIn konts, un iespējams, ka jūsu informācija tiek zaudēta. Viņi internetā ir redzami kopš 2012. gada. Mums par to tika pastāstīts tikai 2016. gadā. Kas ar jums notika šajos četros gados? Nu tas ir interesanti, un par to mēs varam runāt atsevišķi.
Datu bāzes un sistēmu pārvaldība - es bieži runāju par pieciem galvenajiem izaicinājumiem, pārvaldot šīs lietas. Pašā, pašā augšgalā, un es tos sarindoju ne tikai pēc savas izvēles, bet arī pēc ietekmes secības, pirmais ir drošība un atbilstība. Kontrole un mehānismi, kā arī politika, kas kontrolē to, kam ir kāda piekļuve sistēmai, kāda iemesla dēļ un nolūkam. Ziņot par to un uzraudzīt to, ieskatīties sistēmās, izpētīt datu bāzes un redzēt, kurš faktiski var piekļūt ierakstiem, atsevišķiem laukiem un ierakstiem.
Padomājiet par to ļoti vienkāršā formā. Par vienu piemēru runāsim par banku un līdzekļu pārvaldīšanu. Pierakstoties bankas kontā, pieņemsim, ka parasts naudas konts ir EFTPOS kartei, vai naudas konts, vai čeka konts. Jūs aizpildāt veidlapu, un tajā ir daudz ļoti privātas informācijas, kuru aizpildāt vai darāt tiešsaistē, un kas nonāk datorsistēmā. Tagad, ja kāds mārketinga pārstāvis vēlas ar jums sazināties un nosūtīt jums brošūru, viņiem vajadzētu ļaut redzēt jūsu vārdu un uzvārdu, kā arī personīgo adresi, piemēram, un, iespējams, jūsu tālruņa numuru, ja viņi vēlas jums auksti piezvanīt un kaut ko tev pārdot. Viņiem, iespējams, nevajadzētu redzēt kopējo naudas summu, ko esat dabūjis bankā vairāku iemeslu dēļ. Ja kāds uz jums raugās no riska viedokļa vai mēģina palīdzēt kaut ko darīt, piemēram, lai jūsu kontā iegūtu labākas procentu likmes, šī konkrētā persona, iespējams, vēlas redzēt, cik daudz naudas jums ir bankā, lai viņi varētu piedāvāt jums atbilstošu procentu atdeves līmeni no jūsu naudas. Šiem diviem indivīdiem ir ļoti atšķirīgas lomas un ļoti atšķirīgi šo lomu iemesli un šo lomu mērķi. Tā rezultātā savā ierakstā ir jāredz atšķirīga informācija, bet ne viss ieraksts.
Šīs vadīklas ap dažādiem parastajiem ekrāniem vai veidlapām, kas tām ir lietojumprogrammās, kuras tiek izmantotas jūsu konta pārvaldīšanai. Attīstība tiem, to uzturēšana, administrēšana, pārskatu sagatavošana, kā arī pārvaldība un atbilstība, kas ietverta tādos kā burbuļpapīrs, - tas ir ļoti, ļoti liels izaicinājums. Tas ir tikai izaicinājums numur viens datu un sistēmu pārvaldībā. Dziļāk iedziļinoties veiktspējā un uzraudzībā, kā arī sastopamības noteikšanā un reaģēšanā, sistēmas pārvaldībā un administrēšanā un atbilstībā ap tām, sistēmu projektēšanā un pilnveidošanā, ievērojot atbilstību, tas kļūst daudz grūtāk.
Visu risku samazināšanas un drošības uzlabošanas jautājumu risināšana. Mani pieci galvenie izaicinājumi šajā telpā - un man patīk attēli, kas nāk ar muitas punktu, kad jūs iebraucat valstī - viņi uzrāda jūsu pasi, viņi jūs pārbauda, un viņi skatās uz savu datorsistēmu, lai redzētu, vai jums vajadzētu iet vai ne. Ja jums nevajadzētu, viņi nogādā jūs nākamajā lidmašīnā mājās. Citādi viņi jūs atlaiž atpakaļ un uzdod jums šādus jautājumus: "Vai jūs dodaties brīvdienās? Vai jūs esat šeit tūrists? Vai jūs šeit strādājat? Kādu darbu jūs redzēsit? Kur jūs plānojat palikt?" ? Cik ilgi jūs dodaties? Vai esat saņēmis pietiekami daudz naudas, lai segtu savus izdevumus un izmaksas? Vai arī jūs kļūstat par risku valstij, kurā atrodaties, un viņiem, iespējams, nāksies jūs pieskatīt un pabarot? "
Ap šo datu telpu, kas pārvalda datu aizsardzību, ir dažas problēmas. Piemēram, datu bāzes telpā mums jādomā par datu bāzes apiešanas mazināšanu. Ja dati atrodas datu bāzē, normālā vidē, un sistēmā ir vadības ierīces un mehānismi. Kas notiek, ja datu izklāsts tiek veikts vairāk SQL un tiek dublēts lentē? Datubāzes tiek izgāztas neapstrādātā veidā un dažreiz tiek dublētas. Dažreiz tas tiek darīts tehnisku, attīstības iemeslu dēļ. Pieņemsim, ka tika pieņemts DB izgāzums, un tas ir dublēts lentē. Kas notiek, ja man gadās pieķerties pie šīs lentes un to atjaunot? Un es ieguvu neapstrādātu datu bāzes kopiju SQL. Tas ir MP fails, tas ir teksts, es to varu izlasīt. Visas paroles, kas tiek glabātas šajā izgāztuvē, mani nevar kontrolēt, jo tagad es piekļūstu faktiskajam datu bāzes saturam bez datu bāzes dzinēja, kas to aizsargā. Tāpēc es tehniski varu apiet datubāzes platformas drošību, kas tiek iebūvēta motorā, ievērojot atbilstību, un riska pārvaldību, lai apturētu mani aplūkot datus. Tā kā potenciāli izstrādātājs, sistēmas administrators, es esmu ieguvis visas iespējas datu bāzei, kas jāizmanto dublēšanai.
Datu ļaunprātīga izmantošana - potenciāla iespēja panākt, ka kāds piesakās kā paaugstināts konts, un ļauj man sēdēt pie ekrāna, meklēt informāciju vai tamlīdzīgas lietas. Datu piekļuves un izmantošanas patentēta revīzija, kā arī datu vai to izmaiņu skatīšana. Tad ziņojumi par šo kontroli un nepieciešamā atbilstība. Satiksmes un piekļuves uzraudzība utt., Bloķējot draudus, kas nāk no ārējām vietām un serveriem. Piemēram, ja dati tiek parādīti, izmantojot veidlapu tīmekļa vietnē internetā, vai viņu SQL injekcijas ir aizsargātas ar ugunsmūru un koncepciju vadību? Par to aiz muguras ir garš detalizēts stāsts. Šeit jūs varat redzēt, ka tikai dažas no šīm absolūti pamata lietām, par kurām mēs domājam, lai mazinātu un pārvaldītu datu apmaiņu datu bāzēs. Dažu no šīm jomām patiesībā ir salīdzinoši viegli iegūt, ja atrodaties dažādos tehnoloģiju līmeņos. Izaicinājums kļūst grūtāks un grūtāks, jo jūs saņemat arvien vairāk datu un datu bāzu. Arvien vairāk un grūtāk cilvēkiem ir jāpārvalda sistēmas un jāuzrauga to izmantošana, izsekojiet būtisko informāciju, kas īpaši attiecas uz lietām, par kurām runāja Robins, ap tādām lietām kā personīgā atbilstība. Privātpersonām ir tādas vadības ierīces un mehānismi, kas atbilst - ja jūs darāt kaut ko nepareizi, jūs potenciāli atlaidat. Ja es ieeju tā, ka mans konts ļauj jums to redzēt, tam vajadzētu būt aizvainojamam pārkāpumam. Tagad es jums esmu devis piekļuvi datiem, kurus jums nevajadzēja redzēt parasti.
Pastāv personīga atbilstība, tur ir korporatīva atbilstība, uzņēmumiem ir politika un noteikumi, kā arī kontrole, ko viņi ir uzstādījuši paši, lai uzņēmums darbotos labi un nodrošinātu peļņu un labu peļņu investoriem un akcionāriem. Pēc tam, kad jūs teicāt, ka ASV kontrole un likumi, bieži vien ir pilsētas mēroga, štata vai valsts, federāla. Tad ir globāli. Daži no lielākiem negadījumiem pasaulē, kur patīk Sarbanes-Oxley, divi cilvēki, kuriem tiek lūgts nākt klajā ar veidiem, kā aizsargāt datus un sistēmas. Eiropā ir Bāzele, un Austrālijā ir visas kontroles iespējas, it īpaši biržas un akreditācijas datu platformas, pēc tam privātums indivīda vai uzņēmuma līmenī. Kad katrs no tiem ir sakrauts, kā jūs redzējāt vienā no vietām, kurās atradās Robins, viņi kļūst par gandrīz neiespējamu kalnu, uz kura uzkāpt. Izmaksas kļūst augstas, un mēs atrodamies vietā, kur sākotnējā tradicionālā pieeja, kuru jūs zināt, piemēram, cilvēki, kas mēra kontroli, vairs nav piemērota pieeja, jo mērogs ir pārāk liels.
Mums ir scenārijs, kad atbilstība ir tā, ko es saucu par vienmēr aktuālu problēmu. Un tas ir, ka mums kādreiz, iespējams, bija laiks - vai nu mēnesī, vai ceturksnī, vai katru gadu, kur mēs pārskatītu mūsu nācijas stāvokli un palīdzētu ievērot un kontrolēt. Pārliecinieties, ka noteiktiem cilvēkiem ir noteikta pieeja un viņiem nav noteiktas piekļuves atkarībā no viņu atļaujām. Tagad tas attiecas uz lietu ātrumu, ar kādu lietas pārvietojas, tempu, kurā lietas mainās, mērogu, kādā mēs darbojamies. Atbilstība ir vienmēr aktuāls jautājums, un globālā finanšu krīze bija tikai viens piemērs, kur attiecīgā kontrole, kā arī drošības un atbilstības pasākumi varēja potenciāli izvairīties no scenārija, kad mums bija nobraucams kravas vilciens ar noteiktu rīcību. Tikai efektīvi izveidojot situāciju ar visu pasauli, zinot, ka tā bankrotēs un bankrotēs. Lai to izdarītu, mums ir vajadzīgi pareizie rīki. Cilvēku mešana vilcienā, ķermeņu mešana vairs nav derīga pieeja, jo mērogs ir pārāk liels un lietas virzās pārāk ātri. Mūsdienu diskusija, manuprāt, mums būs, ir par instrumentu veidiem, kas tam jāpiemēro. Jo īpaši instrumenti, ko IDERA mums var piedāvāt, kam tas būtu jādara. Un, ņemot to vērā, es došu to Bulletam, lai viņš izietu cauri viņa materiāliem un parādītu mums viņu pieeju un rīkus, kas viņiem ir, lai atrisinātu šo problēmu, kuru mēs tagad jums iesniedzām.
Ar to, Bullett, es jums došu.
Bullett Manale: izklausās lieliski, paldies. Es gribu runāt par dažiem slaidiem un es arī vēlos parādīt jums produktu, kuru mēs izmantojam SQL Server datu bāzēm, lai palīdzētu ar atbilstības situācijām. Patiešām, izaicinājums daudzos gadījumos - es izlaidīšu dažus no tiem - tas ir tikai mūsu produktu portfelis, es to diezgan ātri pārdomāšu. Runājot par to, kur šis produkts tiks adresēts un kā tas ir saistīts ar atbilstību, es vienmēr to uzvelku kā pirmo slaidu, jo tas ir sava veida vispārējs nosaukums “Hei, kāda ir DBA atbildība?” Viena no lietām kontrolē un pārrauga lietotāju piekļuvi, kā arī spēja ģenerēt pārskatus. Tas būs saistīts ar sarunu ar auditoru, cik sarežģīts var būt šis process, atkarībā no tā, vai jūs to darīsit pats vai arī ja izmantosit trešo personu līdzeklis, lai palīdzētu.
Parasti runājot ar datu bāzu administratoriem, viņi nekad nav bijuši iesaistīti revīzijā. Jums tie ir jāizglīto patiesībā par to, kas jums patiešām jādara. Saistīts ar to, kāda veida atbilstība ir jāizpilda, un spēja pierādīt, ka jūs patiešām ievērojat noteikumus, kas attiecas uz šo atbilstības līmeni. Daudzi cilvēki sākumā to nesaņem. Viņi domā: "Ak, es varu vienkārši iegādāties rīku, kas mani padarīs atbilstošu." Patiesībā tā nav. Es vēlētos, lai es varētu teikt, ka, jūs zināt, mūsu produkts maģiski, nospiežot vienkāršo pogu, deva jums iespēju pārliecināties, ka jūs ievērojat. Realitāte ir tāda, ka jums ir jābūt izveidotai videi, kas attiecas uz kontroles iespējām attiecībā uz to, kā cilvēki piekļūst datiem, un tas viss ir jāizstrādā, izmantojot jūsu lietojumprogrammu. Kāda veida sensitīvi dati tiek glabāti, kāda veida normatīvās prasības tas ir. Pēc tam arī jāstrādā kopā ar parasti iekšējās atbilstības amatpersonu, lai varētu pārliecināties, ka ievērojat visus noteikumus.
Tas izklausās patiešām sarežģīti. Ja paskatās visas normatīvās prasības, jūs domājat, ka tas tā ir, bet patiesībā šeit ir kopsaucējs. Mūsu gadījumā ar rīku, ko es šodien jums parādīšu, atbilstības pārvaldnieka produktu, process mūsu situācijā būtu tāds, ka, pirmkārt, mums ir jāpārliecinās, ka mēs apkopojam ar audita taku saistītos datus kur dati atrodas sensitīvā datu bāzē. Jūs varat visu savākt, vai ne? Es varētu iet ārā un teikt, ka gribu apkopot katru darījumu, kas notiek šajā datu bāzē. Realitāte ir tāda, ka jums, iespējams, ir tikai neliela daļa vai neliela daļa darījumu, kas faktiski ir saistīti ar slepeniem datiem. Ja tā ir PCI ievērošana, tā būs saistīta ar kredītkartes informāciju, kredītkaršu īpašniekiem, viņu personisko informāciju. Var būt daudz citu darījumu, kas saistīti ar jūsu lietojumprogrammu, kuriem faktiski nav nekādas ietekmes uz PCI normatīvajām prasībām.
Raugoties no šī viedokļa, pirmā lieta, kad es runāju ar DBA, ir tā, ka es saku: “Izaicinājums numur viens nav mēģināt iegūt instrumentu, lai šīs lietas izdarītu jūsu labā. Tas ir tikai zināt, kur atrodas šie sensitīvie dati un kā mēs tos bloķējam? ”Ja jums tas ir, ja jūs varat atbildēt uz šo jautājumu, tad jūs esat pusceļā mājās, jo spējat parādīt, ka jūs ievērojat, pieņemot, ka sekojat pareizajai kontrolei. Uz brīdi teiksim, ka jūs sekojat pareizajai kontrolei, un jūs auditoriem teicāt, ka tas tā ir. Nākamā procesa daļa acīmredzami ir spēja nodrošināt audita pierakstu, kas parāda un apstiprina šīs kontroles faktiski darbojas. Pēc tam sekojot līdzi, pārliecinieties, ka esat saglabājis šos datus. Parasti, runājot par PCI un HIPAA ievērošanu, kā arī par šāda veida lietām, jūs runājat par septiņu gadu saglabāšanu. Jūs runājat par daudziem darījumiem un daudz datu.
Ja glabājat, vācot katru darījumu, kaut arī tikai pieci procenti darījumu ir saistīti ar sensitīviem datiem, jūs runājat par diezgan lielām izmaksām, kas saistītas ar šo datu glabāšanu septiņus gadus. Manuprāt, tas ir viens no lielākajiem izaicinājumiem, sakārtojot cilvēkus, acīmredzot, tas tiešām ir nevajadzīgas izmaksas. Tas ir arī daudz vienkāršāk, ja mēs varam tikai koncentrēties uz jutīgajiem apgabaliem datu bāzē. Papildus tam jūs vēlēsities arī kontrolēt arī sensitīvu informāciju. Ne tikai lai parādītu revīzijas liecības, bet arī spētu sasaistīt lietas ar notiekošajām darbībām un spēt saņemt paziņojumu reālā laikā, lai jūs par to būtu informēts.
Piemērs, kuru es vienmēr izmantoju, un tas var nebūt saistīts ar kāda veida normatīvajām prasībām, bet tikai ar iespēju izsekot, piemēram, kādam bija jānolaiž tabula, kas saistīta ar algas lapu. Ja tas notiek, tas, kā jūs uzzinājāt par to, ja nesekojat tam, neviens nesaņem atlīdzību. Ir jau par vēlu. Jūs vēlaties zināt, kad šī tabula tiek nomesta, tieši tad, kad tā tiek nomesta, lai izvairītos no sliktām lietām, kas notiek, kad kāds neapmierināts darbinieks iet un izdzēš galdu, kas tieši piesaistīts algas lapai.
Tas nozīmē, ka triks ir atrast kopsaucēju vai izmantot šo kopsaucēju, lai kartētu, kāds ir atbilstības līmenis. Tieši to mēs cenšamies darīt ar šo rīku. Mēs pamatā izmantojam pieeju, un mēs nerādīsim jums ziņojumu, kas raksturīgs PCI un kas attiecas uz krājumiem; kopējais saucējs ir tas, ka jums ir lietojumprogramma, kas izmanto SQL Server, lai sensitīvos datus glabātu datu bāzē. Kad esat tikuši galā, sakāt: "Jā, tas tiešām ir vissvarīgākais, uz ko mums jākoncentrējas - kur ir šie sensitīvie dati un kā tiem piekļūst?" Kad tas būs izdarīts, būs pieejams ļoti daudz ziņojumu, ko mēs piedāvājam, un mēs varam pierādīt, ka tie tiks ievēroti.
Atgriežoties pie jautājumiem, kurus uzdod revidents, pirmais jautājums būs: Kam ir piekļuve datiem un kā viņi to iegūst? Vai jūs varat pierādīt, ka pareizajiem cilvēkiem ir piekļuve datiem un nepareiziem cilvēkiem nav? Vai jūs varat arī pierādīt, ka pati revīzijas liecība ir tāda, kurai varu uzticēties kā negrozāmam informācijas avotam? Ja es dodu jums audita taku, kas ir safabricēta, tas man, kā revidentam, īsti neveicina jūsu audita labošanu, ja informācija ir safabricēta. Mums tas ir vajadzīgs, parasti no revīzijas viedokļa.
Iepazīstoties ar šiem jautājumiem, mazliet sīkāk. Pirmā jautājuma izaicinājums ir tāds, ka jums, tāpat kā es teicu, ir jāzina, kur šie sensitīvie dati ir, lai ziņotu par to, kurš tam piekļūst. Tas parasti ir dažu veidu atklājums, un tiešām jums ir tūkstošiem dažādu lietojumprogrammu, kas ir pieejamas, jums ir daudz dažādu normatīvo prasību. Vairumā gadījumu jūs vēlaties sadarboties ar savu atbilstības amatpersonu, ja jums ir tāds vai vismaz kāds, kam būtu kāds papildu ieskats attiecībā uz to, kur tiešām mani sensitīvie dati atrodas lietojumprogrammā. Mums ir rīks, kas mums ir, tas ir bezmaksas rīks, ko sauc par SQL sleju meklēšanu. Mēs potenciālajiem klientiem un lietotājiem, kurus interesē šis jautājums, mēs sakām, ka viņi to var lejupielādēt. Tas, ko mēs darīsim, būs tas, ka tas galvenokārt meklēs informāciju datu bāzē, kurai, iespējams, būs sensitīvs raksturs.
Pēc tam, kad esat to izdarījis, jums arī jāsaprot, kā cilvēki piekļūst šiem datiem. Un tas atkal būs tas, kuri konti ir tajās Active Directory grupās, kuri datu bāzes lietotāji ir iesaistīti, tur ir saistīta dalība lomā. Un, protams, paturot prātā, ka visas šīs lietas, par kurām mēs runājam, ir jāapstiprina revidentam, tāpēc, ja jūs sakāt: “Šādi mēs bloķējam datus”, tad auditori var ierasties atpakaļ un sakiet: “Nu, jūs darāt nepareizi.” Bet pieņemsim, ka viņi saka: “Jā, tas izskatās labi. Jūs pietiekami bloķējat datus. ”
Pārejot pie nākamā jautājuma, kas būs, vai jūs varat pierādīt, ka šiem datiem piekļūst pareizie cilvēki? Citiem vārdiem sakot, jūs varat pateikt viņiem, ka jūs kontrolējat, tā ir kontrole, kurai sekojat, taču diemžēl auditori īsti neuzticas personām. Viņi vēlas to pierādīt un vēlas redzēt to revīzijas liecībās. Un tas attiecas uz visu šo kopsaucēju. Neatkarīgi no tā, vai tas ir PCI, SOX, HIPAA, GLBA, Bāzele II, neatkarīgi no tā, kāda ir realitāte, parasti tiek uzdoti viena un tā paša veida jautājumi. Objekts ar slepenu informāciju, kurš ir piekļuvis šim objektam pēdējā mēneša laikā? Tam vajadzētu atbilst manai kontrolei, un man vajadzētu būt iespējai nokārtot savu revīziju, parādot šāda veida ziņojumus.
Tātad tas, ko mēs esam paveikuši, ir tas, ka mēs esam apkopojuši apmēram 25 dažādus ziņojumus, kas attiecas uz tām pašām jomām kā šis kopsaucējs. Tātad mums nav ziņojuma par PCI vai HIPAA, vai par SOX, mums ir ziņojumi, ka viņi atkal nonāk pretstatā šim kopsaucējam. Un tāpēc nav īsti svarīgi, kādu normatīvo prasību jūs mēģināt izpildīt, vairumā gadījumu jūs varēsit atbildēt uz jebkuru jautājumu, ko jums uzdeva šis revidents. Un viņi jums pateiks, kurš, kas, kad un kur veic katru darījumu. Jūs zināt, lietotājs, darījuma veikšanas laiks, pats SQL paziņojums, lietojumprogramma, no kuras tas nāk, viss labais, un pēc tam arī varēsit automatizēt šīs informācijas piegādi pārskatiem.
Un tad vēlreiz, kad esat tam ticis garām un esat to nodevis revidentam, tad nākamais jautājums būs, to pierādiet. Un kad es saku pierādīt, es domāju pierādīt, ka pati revīzijas liecība ir kaut kas, kam mēs varam uzticēties. Un kā mēs to darām savā instrumentā, mums ir hash vērtības un CRC vērtības, kas tieši saistītas ar pašiem notikumiem revīzijas liecību ietvaros. Un tā, ideja ir tāda, ka, ja kāds iziet un izdzēš ierakstu vai ja kāds iziet un noņem vai pievieno kaut ko revīzijas liecībai vai kaut ko maina pašā audita takā, mēs varam pierādīt, ka šie dati, paši dati tika pārkāpti. Tātad 99, 9 procenti laika, ja jums ir bloķēta mūsu audita taku datu bāze, ar šo problēmu jums neradīsies, jo, veicot šo integritātes pārbaudi, mēs revidentam būtībā pierādām, ka paši dati nav bijuši. mainīts un izdzēsts vai pievienots kopš paša pārvaldības pakalpojuma oriģinālajiem rakstiem.
Tas ir vispārējs pārskats par tipiskajiem jautājumiem, kas jums tiek uzdoti. Tagad rīks, ar kuru mums daudz jārisina, tiek saukts par SQL atbilstības pārvaldnieku, un tas dara visas šīs darbības darījumu izsekošanas ziņā, kurš, kas, kad un kur veicis darījumus, lai to varētu izdarīt dažādu jomu skaits. Pieteikšanās, neveiksmīgi pieteikumi, shēmas izmaiņas, acīmredzami piekļuve datiem, atlasītā darbība, visas tās lietas, kas notiek datu bāzes dzinējā. Un mēs arī vajadzības gadījumā varam brīdināt lietotājus par īpašiem, ļoti sīkiem nosacījumiem. Piemēram, kāds dodas ārā un faktiski skata tabulu, kurā ir visi mani kredītkaršu numuri. Viņi nemaina datus, viņi tikai to aplūko. Šajā situācijā es varu brīdināt un ļaušu ļaudīm zināt, ka tas notiek, nevis sešas stundas vēlāk, kad mēs nokasām žurnālus, bet reālā laikā. Būtībā tas notiek tik ilgi, cik vajadzīgs, lai mēs apstrādātu šo darījumu, izmantojot pārvaldības pakalpojumu.
Kā jau minēju iepriekš, mēs esam redzējuši, ka tas tiek izmantots daudzās dažādās normatīvajās prasībās, un tas īsti nezina - jūs zināt, jebkura normatīva prasība vēlreiz - ja vien kopsaucējiem jums ir sensitīvi dati SQL serverī datu bāze, tas ir rīks, kas palīdzētu šāda veida situācijās. Attiecībā uz 25 iebūvētajiem pārskatiem tagad realitāte ir tāda, ka mēs varam padarīt šo rīku par labu auditoram un atbildēt uz katru viņu uzdoto jautājumu, bet DBA ir tie, kas tam jādara darbam. Tātad ir arī tas, ka, domājot par uzturēšanu, mums ir jāpārliecinās, ka SQL darbojas tā, kā mēs vēlamies. Mums arī jāspēj ieiet un aplūkot lietas, kas varētu iet ārā, un apskatīt citu informāciju, jūs zināt, ciktāl tas attiecas uz datu arhivēšanu, to automatizāciju un virs galvas. pats produkts. Tās ir lietas, kuras mēs acīmredzami ņemam vērā.
Kas parāda pašu arhitektūru. Tātad labajā ekrāna pusē mēs esam ieguvuši mūsu pārvaldītos SQL gadījumus, sākot no 2000. gada līdz pat 2014. gadam, gatavojoties izlaist 2016. gada versiju. Vislielākais šī ekrāna aizvedums ir tas, ka vadība serveris pats veic visu smago celšanu. Mēs tikai apkopojam datus, izmantojot izsekošanas API, kas iebūvēta ar SQL Server. Šī informācija ir satriecoša mūsu pārvaldības serverī. Šis pārvaldības serveris pats identificē un, ja ir kādi notikumi, kas saistīti ar jebkāda veida darījumiem, kurus mēs nevēlamies, nosūta brīdinājumus un šāda veida lietas un pēc tam ievieto datus krātuvē. No turienes mēs varam palaist pārskatus, mēs varēsim iziet un faktiski redzēt šo informāciju pārskatos vai pat lietojumprogrammas konsolē.
Tāpēc es došos uz priekšu un ātri pārdomāšu mūs, un es tikai vēlos norādīt uz vienu ātru lietu, pirms mēs sākam ieiet izstrādājumā, šobrīd vietnē ir saite, vai prezentācijā, jūs aizvedīsit uz to bezmaksas rīku, kuru es jau minēju iepriekš. Šis bezmaksas rīks, kā jau teicu, tiks izmantots, apskatot datu bāzi un mēģinot atrast apgabalus, kas izskatās kā sensitīvi dati, sociālās apdrošināšanas numuri, kredītkaršu numuri, pamatojoties uz sleju vai tabulu nosaukumiem, vai balstoties uz to, kā izskatās datu formāts, un jūs varat arī to pielāgot, lai tikai to norādītu.
Tagad, mūsu gadījumā, ļaujiet man iet uz priekšu un dalīties ekrānā, dodiet man šeit vienu sekundi. Labi, un tāpēc es gribēju jūs uzrunāt vispirms ar to, ka gribu jūs aizvest pie pašas Compliance Manager lietojumprogrammas, un es diezgan ātri to pārdomāšu. Bet šī ir lietojumprogramma, un jūs varat redzēt, ka šeit ir pāris datu bāzu, un es tikai parādīšu, cik viegli ir ieiet, un pateikšu, ko vēlaties revidēt. Raugoties no shēmu izmaiņām, drošības izmaiņām, administratīvajām darbībām, DML, Select, mums ir visas šīs opcijas, kuras mēs varam arī filtrēt. Tas attiecas uz labāko praksi, kad var pateikt: “Man šī tabula tiešām ir vajadzīga tikai tāpēc, ka tajā ir manas kredītkartes numuri. Man nav vajadzīgas citas tabulas, kurās ir informācija par izstrādājumiem, visas tās citas lietas, kas nav saistītas ar atbilstības līmeni, kuru cenšos izpildīt. ”
Mums ir arī iespēja uztvert datus un parādīt tos mainīgo lauku vērtībās. Daudzos rīkos jums būs kaut kas tāds, kas ļaus jums uztvert SQL paziņojumu, parādīt lietotājam, parādīt lietojumprogrammu, laiku un datumu, visu šo labo. Bet dažos gadījumos pats SQL paziņojums nesniedz jums pietiekami daudz informācijas, lai jūs varētu pateikt, kāda bija lauka vērtība pirms izmaiņām, kā arī lauka vērtība pēc izmaiņām. Un dažās situācijās jums tas ir vajadzīgs. Es varētu vēlēties izsekot, piemēram, ārsta informācijai par recepšu medikamentiem. Tas gāja no 50 mg līdz 80 mg līdz 120 mg, es varētu izsekot tam, izmantojot pirms un pēc.
Jutīgas kolonnas ir vēl viena lieta, ar kuru mēs daudz sastopamies, piemēram, ievērojot PCI. Šajā situācijā jums ir tik sensitīvi dati, ka, aplūkojot šo informāciju, man tā nav jāmaina, jāizdzēš vai jāpapildina, es varu nodarīt neatgriezenisku kaitējumu. Kredītkaršu numuri, sociālās apdrošināšanas numuri, visa veida labumi, kurus mēs varam identificēt slepenās slejās un piesaistīt brīdinājumus. Ja kāds aiziet un apskatīs šo informāciju, mēs, protams, varētu brīdināt un nosūtīt e-pastu vai ģenerēt SNMP slazdu un tādas lietas.
Tagad dažos gadījumos jūs nonāksit situācijā, kad jums varētu būt izņēmums. Un ko es ar to domāju, jums ir situācija, kad jums ir lietotājs, kuram ir lietotāja konts, kas varētu būt saistīts ar kāda veida ETL darbu, kas darbojas nakts vidū. Tas ir dokumentēts process, un man vienkārši nav jāiekļauj šī darījuma informācija par šo lietotāja kontu. Tādā gadījumā mums būtu uzticams lietotājs. Un tad citās situācijās mēs izmantotu priviliģēto lietotāju audita funkciju, kas būtībā ir tāda, ka, ja man ir, piemēram, teiksim, lietojumprogramma un šī lietojumprogramma jau veic lietotāju, kuri izmanto šo lietojumprogrammu, auditu, tas ir lieliski, man jau ir uz ko atsaukties revīzijas jomā. Bet attiecībā uz lietām, kuras ir saistītas, piemēram, maniem priviliģētajiem lietotājiem, puišiem, kuri var ieiet SQL Server pārvaldības studijā, lai apskatītu datus datu bāzē, tas nav jāsamazina. Un tāpēc mēs šeit varam noteikt, kuri ir mūsu priviliģētie lietotāji, izmantojot vai nu lomu lomu, vai izmantojot viņu Active Directory kontus, grupas, savus SQL autentificētos kontus, kur mēs varēsim izvēlēties visus šos dažāda veida opcijas un pēc tam pārliecinieties, ka šiem priviliģētajiem lietotājiem mēs varam norādīt darījumu veidus, kurus mēs esam ieinteresēti revidēt.
Tie ir visi dažādi varianti, kas jums ir, un es nedomāšu izskatīt visus dažāda veida lietas, kuru pamatā ir laika ierobežojumi šai prezentācijai. Bet es vēlos jums parādīt, kā mēs varam apskatīt datus, un es domāju, ka jums patiks, kā tas darbojas, jo to var izdarīt divējādi. Es to varu darīt interaktīvi, un tāpēc, runājot ar cilvēkiem, kurus interesē šis rīks, iespējams, viņu pašu iekšējai kontrolei, viņi vienkārši vēlas uzzināt, kas notiek daudzos gadījumos. Viņiem nav obligāti jābūt auditoriem, kas ierodas uz vietas. Viņi vienkārši vēlas zināt: “Ei, es gribu iet pie šī galda un redzēt, kurš to ir skāris pagājušajā nedēļā vai pagājušajā mēnesī, vai kas cits varētu būt.” Šajā gadījumā jūs varat redzēt, cik ātri mēs to varam izdarīt.
Veselības aprūpes datu bāzes gadījumā man ir tabula ar nosaukumu Pacientu reģistrs. Un šī tabula, ja es tikai sagrupētos pēc objekta, tas ļoti ātri varētu sākt sašaurināties tur, kur mēs meklējam. Varbūt es gribu sagrupēt pēc kategorijas un pēc tam varbūt pēc notikuma. Kad es to izdarīšu, jūs varat redzēt, cik ātri tas parādās, un turpat atrodas mana pacientu reģistru tabula. Kad es iedziļinājos, mēs tagad varam redzēt DML darbību, kā redzams, ka mums ir bijis tūkstoš DML ieliktņu, un, atverot kādu no šiem darījumiem, mēs varam redzēt būtisko informāciju. Kas, kas, kad, kad, kur veicis darījumu, SQL, acīmredzot, faktiskā lietojumprogramma, kas tiek izmantota darījuma veikšanai, konts, laiks un datums.
Ja jūs aplūkojat nākamo cilni šeit, cilni Detaļas, tas atgriežas pie trešā jautājuma, par kuru mēs runājam, un tas pierāda, ka nav pārkāpta datu integritāte. Tātad principā katram notikumam mums ir slepens savas hash vērtības aprēķins, un tas pēc tam tiks saistīts ar to, kad mēs pārbaudīsim integritāti. Piemēram, ja es gribētu iet uz rīku, iedziļināties audita izvēlnē, es gribētu iet ārā un teikt: pārbaudīsim repozitorija integritāti, es varētu norādīt uz datu bāzi, kur atrodas audita taka, tā darbosies veicot integritātes pārbaudi, saskaņojot šīs hash vērtības un CRC vērtības ar faktiskajiem notikumiem, un tas mums pateiks, ka problēmas nav atrastas. Citiem vārdiem sakot, dati audita liecībās nav ticami sagrozīti, jo tos sākotnēji uzrakstīja pārvaldības dienests. Tas acīmredzami ir viens no veidiem, kā mijiedarboties ar datiem. Otrs veids būtu pats ziņojums. Un tāpēc es došu tikai vienu ātru ziņojuma piemēru.
Un atkal šie ziņojumi, kā mēs tos izstrādājām, nav raksturīgi neviena veida standartiem, piemēram, PCI, HIPAA, SOX vai tamlīdzīgiem. Atkal tas ir kopsaucējs tam, ko mēs darām, un šajā gadījumā, ja mēs atgriezīsimies pie šī pacienta uzskaites piemēra, mēs varētu iet ārā un teikt, ka mūsu gadījumā šeit mēs meklējam veselības aprūpes datu bāzē, un šajā gadījumā mēs vēlamies īpaši koncentrēties uz to tabulu, kurā, kā mēs zinām, ir privāta informācija, kas šajā gadījumā ir saistīta ar mūsu pacientiem. Un tā, ļaujiet man redzēt, vai es varu to ierakstīt šeit, un mēs gatavojamies turpināt vadīt šo ziņojumu. Un mēs acīmredzot no turienes redzēsim visus attiecīgos datus, kas saistīti ar šo objektu. Un mūsu gadījumā tas tiek parādīts mēnesi ilgi. Bet mēs varētu atgriezties sešus mēnešus gadā, lai cik ilgi mēs saglabātu datus.
Tie ir tādi veidi, kā jūs, ja vēlaties, patiesībā varētu revidentam pierādīt, ka sekojat savām kontrolēm. Kad esat to identificējis, tas acīmredzami ir laba lieta, ja nokārtojat auditu un spējat parādīt, ka sekojat kontrolei un viss darbojas.
Pēdējā šāda veida saruna, ko es gribēju parādīt, ir administrācijas sadaļā. Ir arī vadīklas no paša šī instrumenta viedokļa, lai pats varētu iestatīt vadības ierīces, lai pārliecinātos, ka tad, ja kāds dara kaut ko tādu, kas viņiem nav paredzēts, es to varu informēt. Un es jums sniegšu pāris piemērus. Man ir pieteikšanās konts, kas ir saistīts ar pakalpojumu, un šim pakalpojumam ir vajadzīgas paaugstinātas atļaujas, lai to izdarītu. Es nevēlos, ka kāds ieiet un izmanto šo kontu Management Studio, un tad, jūs zināt, izmantojat to lietām, kurām tas nebija paredzēts. Mums šeit būtu divi kritēriji, kurus mēs varētu piemērot. Es varētu pateikt: “Lūk, mēs tiešām esam ieinteresēti šajā darbībā, teiksim, ar mūsu PeopleSoft lietojumprogrammu”, tikai kā piemērs, vai ne?
Tagad, kad esmu to izdarījis, es šeit saku, ka ir interesanti uzzināt visus pieteikumus, kas saistīti ar kontu, kuru gatavojos norādīt, ja lietojumprogramma, kas tiek izmantota, lai pieteiktos šajā kontā nav PeopleSoft, tad tas būs trauksmes signāls. Un acīmredzot mums ir jānorāda pats konta nosaukums, tāpēc mūsu gadījumā sauksim tikai šo Priv kontu, jo tas ir priviliģēts. Kad mēs to esam izdarījuši, tad, kad mēs to darām šeit, mēs tagad varētu norādīt, kā mēs gribētu notikt, kad tas notiek, un par katru notikumu veidu vai, man jāsaka, ka brīdinājumu, jūs varat ir atsevišķs paziņojums personai, kura ir atbildīga par konkrēto datu kopu.
Piemēram, ja tā ir informācija par algām, tā varētu nonākt pie mana personāla direktora. Šajā gadījumā, kas nodarbojas ar lietojumprogrammu PeopleSoft, tas būs šīs lietojumprogrammas administrators. Lai kāds arī nebūtu gadījums. Es varētu ievietot savu e-pasta adresi, pielāgot faktisko trauksmes ziņojumu un visu šo labo. Atkal tas viss atkārtojas pie tā, ka mēs varam pārliecināties, ka varat parādīt, ka sekojat savām vadības ierīcēm un ka šīs vadības ierīces darbojas tā, kā paredzēts. Raugoties no pēdējās perspektīvas, tikai attiecībā uz uzturēšanu, mums ir iespēja ņemt šos datus un novietot tos bezsaistē. Es varu arhivēt datus, un es varu tos ieplānot, un mēs varētu ļoti viegli izdarīt šīs lietas tādā nozīmē, ka jūs faktiski varētu būt DBA, kas izmanto šo rīku, iestatītu to un veida ejiet prom no tā. Nav daudz roku turēšanas, kas notiks pēc tam, kad būsit uzstādījis tā, kā vajadzētu. Kā es teicu, visgrūtākais elements, manuprāt, nav tā, ko vēlaties veikt revīzijā, tas ir zināt, ko vēlaties iestatīt auditam.
Un, kā es teicu, zvēra būtība ar revīziju jums ir jāsaglabā dati septiņus gadus, tāpēc ir jēga koncentrēties tikai tajās jomās, kurām ir sensitīvs raksturs. Bet, ja jūs vēlaties izmantot visu savākšanas pieeju, to noteikti varat, tas vienkārši netiek uzskatīts par labāko praksi. Tāpēc no šī viedokļa es gribētu tikai atgādināt ļaudīm, ka, ja tas ir kaut kas, kas interesē, varat apmeklēt IDERA.com vietni un lejupielādēt šī izmēģinājuma versiju un pats ar to paspēlēties. Runājot par bezmaksas rīku, par kuru mēs runājām iepriekš, tas ir, labi, ka tas ir bezmaksas, jūs varat lejupielādēt to un izmantot to mūžīgi neatkarīgi no tā, vai izmantojat Compliance Manager produktu. Un patīkami, ka šis sleju meklēšanas rīks ir tas, ka mūsu atklājumi, ar kuriem jūs nācāt klajā, un es faktiski to varu parādīt, manuprāt, ir tas, ka jūs varēsit eksportēt šos datus un pēc tam tos varēsit importēt atbilstības pārvaldniekā. arī. Es to neredzu, es zinu, ka tas ir šeit, tur tas ir. Šis ir tikai piemērs tam. Šajā vietā tā atrod saistītos sensitīvos datus.
Tagad esmu izgājis šo lietu, un es tiešām esmu uzmeklējis visu, bet jums ir tikai ļoti daudz lietu, kuras mēs varam pārbaudīt. Kredītkaršu numuri, adreses, vārdi un visa cita veida lietas. Un mēs identificēsim, kur tas atrodas datu bāzē, un tad no turienes jūs varēsit izlemt, vai tiešām vēlaties revidēt šo informāciju. Bet tas noteikti ir veids, kā jums daudz vieglāk noteikt audita jomu, kad skatāties uz tādu rīku kā šis.
Es tikai došos uz priekšu un noslēdzos ar to, un es iešu uz priekšu un nodošu to atpakaļ Ērikam.
Ēriks Kavanaghs: Tā ir fantastiska prezentācija. Man patīk, kā jūs patiešām iedziļināties tur esošajās drūmajās detaļās un parādīt mums, kas notiek. Tā kā dienas beigās ir kāda sistēma, kas piekļūs dažiem ierakstiem, tā būs jums atskaite, kas ļaus jums pastāstīt savu stāstu neatkarīgi no tā, vai tas būtu regulatoram vai revidentam, vai kādam no jūsu komandas, tāpēc ir labi, ka zināt, ka esat gatavs, kad un kad, vai kad un kad šī persona klauvē, un, protams, tā ir nepatīkama situācija, no kuras jūs mēģināt izvairīties. Bet, ja tas notiek, un tas, iespējams, notiks arī šajās dienās, jūs vēlaties būt pārliecināti, ka jums ir punktiņi un jūsu T ir šķērsoti.
Ir labs auditorijas locekļa jautājums, kuru es gribu izmest, iespējams, vispirms jums, Bullett, un tad, ja varbūt kāds raidījuma vadītājs vēlas to komentēt, jūtieties brīvi. Un tad varbūt Dezs uzdod jautājumu un Robinam. Tāpēc jautājums ir, vai ir taisnīgi teikt, ka, lai izdarītu visas jūsu pieminētās lietas, jums jāsāk datu klasifikācija elementārā līmenī? Jums jāzina savi dati, kad tie kļūst par vērtīgu potenciālu aktīvu, un kaut kas ar to jādara. Es domāju, ka jūs piekritīsit, Bullett, vai ne?
Bullett Manale: Jā, absolūti. Es domāju, ka esat iepazinies ar jūsu datiem. Un es saprotu, es apzinos, ka ir daudz lietojumprogrammu, kas pastāv, un ir daudz dažādu lietu, kurām jūsu organizācijā ir kustīgas daļas. Sleju meklēšanas rīks ir ļoti noderīgs, dodoties solī, lai labāk izprastu šos datus. Bet jā, tas ir ļoti svarīgi. Es domāju, ka jums ir iespēja izvēlēties Firehose pieeju un revidēt visu, bet tas ir tikai daudz sarežģītāk, loģistiski, runājot par to, ka šie dati ir jāuzglabā un jāatskaitās pret šiem datiem. Un tad jums joprojām ir jāzina, kur atrodas šie dati, jo, vadot pārskatus, jums būs jāparāda arī šī informācija auditoriem. Tāpēc es domāju, ka, kā jau teicu, lielākais izaicinājums, runājot ar datu bāzu administratoriem, ir zināt, jā.
Ēriks Kavanagh: Jā, bet varbūt Robin mēs jūs ātri nogādāsim. Man šķiet, ka šeit tiek piemērots 80/20 noteikums, vai ne? Jūs, iespējams, neatradīsit katru ierakstu sistēmu, kas ir svarīga, ja atrodaties vidēja vai liela organizācijā, bet gan, ja koncentrējaties uz - piemēram, ko šeit ierosināja Bullett - piemēram, PeopleSoft vai citas ierakstu sistēmas, kas ir pārsvarā uzņēmumā, tas ir, kur jūs koncentrējat 80 procentus no jūsu centieniem, un tad 20 procenti tiek veltīti citām sistēmām, kuras, iespējams, ir kaut kur tur, vai ne?
Robins Bloors: Es esmu pārliecināts, ka jā. Es domāju, jūs zināt, es domāju, ka šīs tehnoloģijas problēma, un es domāju, ka ir vērts to komentēt, bet šīs tehnoloģijas problēma ir, kā jūs to ieviesīsit? Es domāju, ka, protams, lielākajā daļā organizāciju trūkst zināšanu par pat tur esošo datu bāzu skaitu. Jūs zināt, teiksim, ka šausmīgi daudz trūkst krājumu. Jūs zināt, jautājums ir, iedomājieties, ka mēs sākam situācijā, kad nav īpaši labi pārvaldīta atbilstība, kā jūs lietojat šo tehnoloģiju un ievadāt to vidē, nevis tikai, jūs zināt, tehnoloģijā noteikumiem, izveidojot lietas, bet, piemēram, kurš to pārvalda, kas to nosaka? Kā jūs to sākat kurināt par īstu lietu, kas dara savu darbu?
Bullett Manale: Es domāju, tas ir labs jautājums. Daudzos gadījumos izaicinājums ir tas, ka es domāju, ka jums ir jāsāk uzdot jautājumus jau pašā sākumā. Esmu saskāries ar daudziem uzņēmumiem, kur viņi, jūs zināt, varbūt viņi ir privāti uzņēmumi un viņi ir ieguvuši, ir sākotnējs, pirmā veida, ceļa posms, ja vēlaties to saukt. Piemēram, ja es tikko kļuvu par publiski tirgotu uzņēmumu iegādes dēļ, man nāksies atgriezties un, iespējams, izdomāt dažas lietas.
Un dažos gadījumos mēs runājam ar organizācijām, kuras, kaut arī ir privātas, ievēro SOX atbilstības noteikumus, vienkārši tāpēc, ka gadījumā, ja tās vēlas iegūt, viņi zina, ka tām ir jābūt atbilstošām. Jūs noteikti nevēlaties izvēlēties pieeju “Man tagad par to nav jāuztraucas.” Jebkura veida atbilstība normatīvajiem aktiem, piemēram, PCI vai SOX vai kas cits, jūs vēlaties ieguldīt, veicot pētījumu vai izpratne par to, kur atrodas šī sensitīvā informācija, pretējā gadījumā jūs varētu nonākt pie ievērojama, dūšīga soda naudas. Un tas ir daudz labāk, ja ieguldāt šo laiku, jūs zināt, atrodot šos datus un spējot ziņot pret to un parādīt kontrolierīces darbojas.
Jā, runājot par tās izveidošanu, kā es teicu, pirmais, ko es ieteiktu cilvēkiem, kuri gatavojas veikt revīziju, ir vienkārši iziet un veikt kūrortu datu bāzes pārbaudi un izdomāt, ka jūs viņi cenšas noskaidrot, kur atrodas šie sensitīvie dati. Un cita pieeja būtu sākt ar varbūt lielāku tīklā revīzijas apjoma ziņā, un tad lēnām ierobežot savu ceļu, kad jūs, veida veida, izdomājat, kur atrodas sistēmas apgabali, kas ir saistīti ar slepena informācija. Bet es vēlos, lai es varētu jums pateikt, ka uz šo jautājumu ir viegli atbildēt. Iespējams, ka tas var būt atšķirīgs dažādās organizācijās un atbilstības veids, un patiesībā tas, kā jūs zināt, cik liela struktūra ir viņu lietojumprogrammām un cik daudzām ir dažādas lietojumprogrammas, dažas var būt pielāgotas rakstiskas lietojumprogrammas, tāpēc daudzos gadījumos tas tiešām būs atkarīgs no situācijas.
Ēriks Kavanaghs: dodieties uz priekšu, Dez, es esmu pārliecināts, ka jums ir jautājums vai divi.
Dezs Blanšfīlds: Es vēlos tikai iegūt nelielu ieskatu jūsu novērojumos par patieso ietekmi uz organizācijām no cilvēku viedokļa. Es domāju, ka viena no jomām, kurā, manuprāt, ir vislielākā vērtība šim konkrētajam risinājumam, ir tā, ka tad, kad cilvēki pamostas no rīta un dodas strādāt dažādos organizācijas līmeņos, viņi pamostas ar virkni atbildības vai virknes atbildības. ka viņiem ir jātiek galā. Un es vēlos iegūt nelielu ieskatu tajā, ko jūs redzat tur, ar un bez tiem rīku veidiem, par kuriem jūs runājat. Un konteksts, par kuru es šeit runāju, ir sākot no valdes priekšsēdētāja līdz izpilddirektoram un CIO un C komplektam. Un tagad mums ir galvenie risku virsnieki, kuri vairāk domā par lietām, par kurām mēs šeit runājam, ievērojot un pārvaldot, un tagad mums ir jauni lomu spēles priekšnieki, galvenais datu virsnieks, kurš, jūs zināt, , par to vēl vairāk uztraucas.
Un katra no tām pusē, ap CIO, mums vienā pusē ir IT vadītāji ar zināmiem tehniskiem vedieniem un pēc tam datu bāzes vedējiem. Operatīvajā telpā mums ir attīstības menedžeri un attīstības novadi, pēc tam individuālie attīstības virzieni, un tie arī nonāk atpakaļ datu bāzes administrēšanas slānī. Kā jūs redzat katras šīs dažādās uzņēmējdarbības daļas reakciju uz izaicinājumiem, kas saistīti ar atbilstības un normatīvo ziņojumu sagatavošanu, un viņu pieeju tam? Vai jūs redzat, ka cilvēki pie tā ierodas ar dedzību un var redzēt tā labumu, vai arī redzat, ka viņi negribīgi velk savas kājas šai lietai un, ziniet, to dara tikai ķeksīša dēļ? Kādas ir atbildes, ko redzat, kad viņi redz jūsu programmatūru?
Bullett Manale: Jā, tas ir labs jautājums. Es teiktu, ka šo produktu, šī produkta pārdošanu, galvenokārt virza kāds, kurš atrodas karstā vietā, ja tam ir jēga. Vairumā gadījumu tā ir DBA, un, no mūsu skatupunkta, citiem vārdiem sakot, viņi zina, ka notiek audits, un viņi būs atbildīgi, jo tie ir DBA, lai varētu sniegt informāciju, uz kuru auditors gatavojas pajautā. Viņi to var izdarīt, rakstot paši savus pārskatus un izveidojot savas pielāgotās pēdas un visas tās lietas. Patiesībā viņi nevēlas to darīt. Vairumā gadījumu DBA īsti nepacietīgi gaida, kad sāksies šīs sarunas ar auditoru. Ziniet, es labprātāk jums saku, ka mēs varam vērsties pie uzņēmuma un teikt: “Ei, tas ir lielisks rīks, un jūs to mīlēsit”, parādīt viņiem visas funkcijas un viņi to nopirks.
Patiesībā viņi parasti neskatīsies uz šo rīku, ja vien viņiem faktiski nāksies saskarties ar revīziju vai monētas otru pusi, ja viņi jau ir veikuši revīziju un nožēlojami to neveiksmīgi, un tagad viņi ir kad viņiem tiek lūgts saņemt palīdzību, vai arī viņi tiks sodīti. Es teiktu, ka kopumā, jūs zināt, parādot šo produktu ļaudīm, viņi noteikti redz tā vērtību, jo tas viņiem ietaupa tonnu laika ziņā - viņiem ir jāizdomā, par ko viņi vēlas ziņot, tādas lietas. Visi šie ziņojumi jau ir iebūvēti, trauksmes celšanas mehānismi ir ieviesti, un tad arī trešais jautājums daudzos gadījumos var būt izaicinājums. Tā kā es varu jums parādīt pārskatus visas dienas garumā, bet, ja vien jūs varat man pierādīt, ka šie pārskati faktiski ir derīgi, tad, jūs zināt, man kā DBA tas ir daudz stingrāks piedāvājums, lai es varētu to parādīt. Bet mēs esam izstrādājuši tehnoloģiju un sajaukšanas paņēmienu, kā arī visas citas lietas, lai palīdzētu pārliecināties, ka dati, kas saglabāti revīzijas taku integritāti, tiek saglabāti.
Un tas ir tas, ko es novēroju attiecībā uz lielāko daļu cilvēku, ar kuriem mēs runājam. Jūs zināt, ka noteikti dažādās organizācijās jūs zināt, piemēram, dzirdēsit par, jūs zināt, piemēram, Target, piemēram, bija datu pārkāpumi, un, jūs zināt, es domāju, kad citas organizācijas dzird par soda naudām un tām veida lietas, ko cilvēki sāk, tas uzaci palielina, tāpēc, cerams, ka tas atbild uz jautājumu.
Dezs Blanšfīlds: Jā, noteikti. Es varu iedomāties dažas DBA, kad viņi beidzot redz, ko var paveikt ar rīku, tikai saprot, ka ir ieguvuši arī vēlu vakarus un nedēļas nogales. Laika, izmaksu samazināšana un citas lietas, ko es redzu, kad šai problēmai tiek piemēroti piemēroti rīki, tas ir, trīs nedēļas es sēdēju bankā šeit, Austrālijā. Viņi ir globāla banka, top trīs bankas, viņi ir milzīgi. Viņiem bija projekts, kurā viņiem bija jāsniedz ziņojums par viņu labklājības pārvaldības ievērošanu un sevišķi risku, un viņi apskatīja 60 nedēļu darbu pāris simtu cilvēku labā. Un, kad viņiem parādīja tādu rīku kā jūs, kas varētu tikai automatizēt procesu, patīk, šī izpratne viņu sejās, kad viņi saprata, ka nav jāpavada X nedēļu skaits simtiem cilvēku, kas veic manuālu procesu, bija tāda veida kā viņi būtu atraduši Dievu. Bet izaicinošais jautājums bija, kā to reāli ievietot plānā, kā jūs zināt Dr. Dr Robins Bloors, tas kaut kas kļūst par uzvedības un kultūras maiņas sajaukumu. Ar kādiem līmeņiem jūs nodarbojaties un kas tieši nodarbojas ar to lietojumprogrammu līmenī, kādas izmaiņas jūs redzat, kad viņi sāk izmantot rīku, lai veiktu pārskatus, auditu un kontroli, ko jūs varat piedāvāt, piemēram, pretstatā tam, ko viņi varētu būt darījuši manuāli? Kā tas izskatās, kad tos faktiski īsteno?
Bullett Manale: Vai jūs jautājat, kāda ir atšķirība, kā rīkoties ar šo manuāli, salīdzinot ar šī rīka izmantošanu? Vai tas ir jautājums?
Dezs Blanšfīlds: Nu, konkrēti, uzņēmējdarbības ietekme. Piemēram, ja mēs mēģinām panākt atbilstību manuālā procesā, jūs zināt, ka mums vienmēr ir vajadzīgs ilgs laiks, kad ir daudz cilvēku. Es domāju, ka, kā jūs zināt, jautājuma kontekstā, kas saistīts ar kontekstu, mēs runājam par to, ka viens cilvēks izmanto šo rīku, aizstājot potenciāli 50 cilvēkus un spējot darīt to pašu reālā laikā vai stundās, salīdzinot ar mēnešiem? Vai tas ir tāds, kas tas vispār izrādās?
Bullett Manale: Es domāju, ka tas attiecas uz pāris lietām. Viens ir spēja atbildēt uz šiem jautājumiem. Dažas no šīm lietām nav paredzēts izdarīt ļoti vienkārši. Jā, laiks, kas vajadzīgs, lai darītu pašmāju resursus, pats uzrakstītu pārskatus, izveidotu pēdas vai izvērstu notikumu, lai datus savāktu manuāli, varētu aizņemt daudz laika. Es tiešām jums sniegšu dažus, es domāju, tas patiesībā neattiecas uz datu bāzēm kopumā, bet tāpat kā uzreiz pēc tam, kad notika Enron un SOX kļuva izplatīts, es biju vienā no lielākajām naftas kompānijām Hjūstonā, un mēs rēķinājāmies ar, Es domāju, ka tas bija tāpat kā 25 procenti mūsu biznesa izmaksu bija saistīti ar SOX ievērošanu.
Tagad, tūlīt pēc tam, un tas bija sava veida pirmais solis SOX, taču lieta, ar kuru, es teiktu, jūs zināt, jūs gūstat daudz labuma, izmantojot šo rīku tādā nozīmē, ka tas neprasa daudz cilvēku, lai to izdarītu, un ļoti daudz dažādu cilvēku, lai to izdarītu. Un kā jau teicu, DBA parasti nav tas puisis, kurš ļoti cer uz šīm sarunām ar auditoriem. Tātad daudzos gadījumos mēs redzēsim, ka DBA to var izlādēt un sniegt auditoram saskarnes ziņojumu un viņi var pilnībā iziet no vienādojuma, nevis būt iesaistīti. Tātad, jūs zināt, tas ir milzīgs ietaupījums arī resursu ziņā, kad jūs to varat izdarīt.
Dezs Blanšfīlds: Jūs runājat par milzīgu izmaksu samazināšanu, vai ne? Organizācijas ne tikai novērš risku un ar to saistītos izdevumus, bet es būtībā domāju, ka jūs runājat par būtisku izmaksu samazinājumu, A) operatīvi un arī B) faktā, ka, jūs zināt, vai viņi faktiski var sniegt reālu atbilstības paziņošana par to, ka ir ievērojami samazināts datu pārkāpuma risks vai kāds likumīgs naudas sods vai ietekme uz neatbilstību, vai ne?
Bullett Manale: Jā, absolūti. Es domāju, ka tāpēc, ka tas neatbilst prasībām, notiek visādi slikti gadījumi. Viņi var izmantot šo rīku, un tas būtu lieliski, vai arī viņi to neizmanto, un viņi uzzinās, cik slikts tas patiesībā ir. Jā, tas acīmredzami ir ne tikai rīks, bet visas pārbaudes un visu var veikt bez tāda rīka kā šis. Kā es teicu, tas vienkārši prasīs daudz vairāk laika un izmaksu.
Dez Blanchfield: Tas ir lieliski. Tātad, Ēriks, es atgriezīšos pie jums, jo es domāju, ka manis pārņemtā izvēle ir tāda, ka, jūs zināt, šāda veida tirgus ir fantastisks. Bet būtībā arī tas, ka lieta ir zelta vērtībā, ir tā vērtējama, pamatojoties uz to, ka spēja izvairīties no notiekošās problēmas komerciālās ietekmes vai spēja samazināt laiku, kas nepieciešams ziņošanai un atbilstības pārvaldībai, padara to tikai, jūs zināt, rīks pats par sevi maksā pēc lietu skaņas.
Ēriks Kavaņahs: Tieši tā. Nu, liels paldies par jūsu šodienas laiku, Bullett. Paldies jums visiem par jūsu laiku un uzmanību, kā arī Robinai un Dezai. Vēl viena lieliska prezentācija šodien. Paldies mūsu IDERA draugiem, kuri ļāva mums atnest jums šo saturu bez maksas. Mēs arhivēsim šo tīmekļa apraidi vēlākai apskatei. Arhīvs parasti ir sagatavots aptuveni vienas dienas laikā. Un dariet mums zināmu, ko jūs domājat par mūsu jauno vietni insideanalysis.com. Pilnīgi jauns dizains, pilnīgi jauns izskats un sajūta. Mēs labprāt uzklausīsim jūsu atsauksmes un ar to es atvadīšos, ļaudis. Jūs varat man sūtīt e-pastu. Citādi mēs ar jums sazināsimies nākamnedēļ. Nākamo piecu nedēļu laikā mums ir septiņas tīmekļa pārraides vai kaut kas tamlīdzīgs. Mēs būsim aizņemti. Un mēs šajā mēnesī būsim Strata konferencē un IBM analītiķu samitā Ņujorkā. Tāpēc, ja jūs tur atrodaties, apstājieties un sakiet sveicienu. Rūpēties, ļaudis. Labdien!
