Співробітники компанії «Техопедія», 14 вересня 2016 року
Винос: Ведучий Ерік Кавана обговорює аудит баз даних та відповідність аналітикам Робіну Блору та Дез Бланчфілду, а також Буллету Манале з IDERA в цьому епізоді "Гарячих технологій".
На даний момент ви не ввійшли в систему. Будь ласка, увійдіть або зареєструйтесь, щоб переглянути відео.
Ерік Кавана: Дами і панове, привіт і знову вітаємо Hot Hot Technologies! Так, справді, 2016. Ми вже в третьому році цього шоу, це дуже захоплюючі речі. Ми цього року гойдалися і котилися. Це Ерік Кавана, ваш господар. Тема на сьогодні - це чудова тема, вона має безліч застосувань у різних галузях, відверто кажучи - "Хто, що, де і як: чому ви хочете знати". Так, дійсно, ми поговоримо про всі ці цікаві речі. Там слайд про ваш справді, зачепив мене на Twitter @eric_kavanagh. Я намагаюся повторно твітнути всі згадки і повторно твітнути все, що хтось мені надсилає. Інакше так і буде.
Це спекотно, так, справді! Ціле шоу тут призначене для того, щоб допомогти організаціям та людям зрозуміти конкретні технології. Ми розробили тут всю програму Hot Technologies як спосіб визначення конкретного виду програмного забезпечення, або певного напряму, або певного виду технологій. Причина полягає в тому, що відверто кажучи, в світі програмного забезпечення ви часто отримуєте такі маркетингові умови, які стають обмеженими, а іноді вони можуть відверто бастардити поняття, які вони мали на меті описати.
У цьому шоу ми насправді намагаємось допомогти вам зрозуміти, що таке конкретний вид технології, як вона працює, коли ви можете її використовувати, коли, можливо, не варто її використовувати, і дамо вам якомога більше деталей, наскільки ми можливо. Сьогодні у нас буде три ведучі: наш власний Робін Блер, головний аналітик групи Bloor; наш науковець, який зателефонував із Сіднея, Австралія з іншого боку планети, Дез Бланчфілд, та один із наших улюблених гостей Буллетт Манале, директор з інженерії продажів IDERA.
Я просто скажу кілька речей тут, розуміючи, хто що робить з якою частиною даних, ну це на зразок управління, правда? Якщо ви думаєте про всі нормативно-правові акти, що стосуються галузей, таких як охорона здоров'я та фінансові послуги, у цих сферах, цей матеріал є надзвичайно важливим. Потрібно знати, хто торкнувся інформації, хто щось змінив, хто отримав доступ до неї, хто завантажив її, наприклад. Яка родина, яке провидіння цих даних? Ви можете бути впевнені, що всі ці питання залишатимуться важливими в наступні роки з усіляких причин. Не тільки для дотримання, хоча HIPAA, і Сарбанес-Окслі, і Додд-Франка, і всі ці правила дуже важливі, але також просто так, щоб ви зрозуміли у вашому бізнесі хто робить що, де, коли, чому і як. Це хороші речі, ми будемо звертати увагу.
Іди, забирай, Робін Блур.
Робін Блор: Гаразд, дякую за це вступ, Ерік. Я думаю, що ця сфера управління - це те, що управління в ІТ не було словом, про яке ви чули лише трохи після 2000 року. Це відбулося насамперед тому, що, я думаю, у будь-якому випадку воно відбулося насамперед через те, що діє законодавство про дотримання. Особливо HIPAA та Sarbanes-Oxley. Насправді це дуже багато. Тому організації зрозуміли, що вони повинні мати набір правил і сукупність процедур, оскільки це потрібно за законом. Задовго до цього, особливо в банківському секторі, існували різні ініціативи, яким ви повинні були підкорятися залежно від того, який ви банк, і особливо міжнародні банкіри. Весь розпорядження Базельського проекту розпочав шлях, до того, як почався цей конкретний набір ініціатив після 2000 року. Це все дійсно зводиться до управління. Я думав, що поговорять навколо теми управління як введення до фокусу уваги, як слідкувати за тим, хто отримує дані.
Управління даними, я колись оглядався, я думав, п'ять-шість років тому, оглянув визначення, і це зовсім не було чітко визначено. Стає все зрозуміліше і зрозуміліше, що це насправді означає. Реальність ситуації полягала в тому, що в певних межах усі дані фактично раніше керувалися, але формальних правил для неї не існувало. Існували спеціальні правила, які особливо застосовувались у банківській галузі для подібних дій, але це стосувалося дотримання вимог. Так чи інакше доводити, що ви насправді були - це щось пов'язане з ризиком, тому доведення, що ви життєздатний банк, було угодою.
Якщо дивитися на проблему управління зараз, це починається з факту руху великих даних. У нас збільшується кількість джерел даних. З цим, звичайно, є обсяг даних. Зокрема, ми почали робити багато, багато, більше з неструктурованими даними. Це стало тим, що є частиною всієї гри аналітики. Через аналітику важливе значення мають кореспонденція та джерела даних. Дійсно, з точки зору використання аналітики даних, будь-яким чином пов’язаного з будь-яким видом відповідності, ви дійсно повинні мати знання про те, звідки беруться дані та як вони повинні бути такими, якими вони є.
Шифрування даних почало ставати проблемою, стало більшою проблемою, як тільки ми вирушили до Hadoop, оскільки ідея озера даних, в якому ми зберігаємо багато даних, раптом означає, що у вас є величезна область вразливості людей, які можуть отримати на нього. Шифрування даних стало набагато помітнішим. Автентифікація завжди була проблемою. У старих умовах, суворо мейнфрейм, вони мали такий чудовий захист по периметру; аутентифікація ніколи насправді не була великою проблемою. Пізніше це стало більшою проблемою, і зараз це набагато більше, тому що у нас є такі широко розповсюджені середовища. Моніторинг доступу до даних став проблемою. Здається, я пам’ятаю різні інструменти, що з’явилися десь десять років тому. Я думаю, що більшість із них керувалися ініціативами щодо дотримання норм. Тому ми також отримали всі правила відповідності, звітність про відповідність.
Що пам'ятає те, що навіть у 90-х роках, коли ви робили клінічні випробування у фармацевтичній галузі, вам не тільки довелося довести, звідки беруться дані - очевидно, це дуже важливо, якщо ви намагаєтеся випускати наркотики в різних контекстах, щоб знати, кого судять і які контекстуальні дані навколо нього - ви повинні мати можливість забезпечити аудит програмного забезпечення, яке фактично створювало дані. Це найсуворіший доказ, який я коли-небудь бачив, з точки зору доведення, що ви насправді не нав'язуєте речі навмисно чи випадково. Останнім часом, зокрема, управління життєвим циклом даних стало проблемою. Все це певним чином є викликом, тому що багато з них не було зроблено добре. За багатьох обставин це потрібно робити.
Це те, що я називаю пірамідою даних. Я раніше щось про це говорив. Я вважаю це дуже цікавим способом дивитися на речі. Ви можете вважати, що дані мають шари. Сирі дані, якщо вам подобається, - це справді просто сигнали чи вимірювання, записи, події, здебільшого поодинокі записи. Можливо, транзакції, розрахунки та агрегації, звичайно, створюють нові дані. Їх можна продумати на рівні даних. Над цим, як тільки ви фактично з'єднуєте дані, вони стають інформацією. Він стає більш корисним, але, звичайно, стає більш вразливим для людей, які його хакують чи зловживають. Я визначаю, що як створене, насправді, шляхом структурування даних, можливість візуалізації даних, що мають глосарії, схеми, онтології інформації. Ці два нижні шари - це те, що ми обробляємо так чи інакше. Над цим я називаю шар знань, що складається з правил, політик, вказівок, процедур. Деякі з них можуть бути фактично створені за допомогою розуміння, виявленого в аналітиці. Багато з них насправді є політикою, якої ви повинні дотримуватися. Це шар, якщо вам подобається, управління. Тут, у той чи інший спосіб, якщо цей шар не є належним чином заповнений, то двома шарами нижче не управляється. Заключний пункт про це полягає в розумінні того, що є лише у людини. Комп'ютери ще не встигли цього зробити, на щастя. В іншому випадку я був би без роботи.
Імперія управління - я якось це поєднував, я думаю, що це повинно було пройти дев'ять місяців тому, можливо, набагато раніше. В основному, я наче це покращив, але як тільки ми почали турбуватися про управління, тоді, з точки зору корпоративного центру даних, було не тільки резервуар даних, ресурси озера даних, але й загальні сервери різного роду, спеціалізовані сервери даних. Все це потрібно було керувати. Коли ви насправді також розглядали різні аспекти - безпеку даних, очищення даних, виявлення метаданих та керування метаданими, створення ділового словника, відображення даних, лінія даних, управління життєвим циклом даних - тоді управління моніторингом продуктивності, управління рівнем обслуговування, управління системою, яке ви можете насправді не асоціювати з управлінням, але певне - тепер, коли ми їдемо в більш швидкий і швидший світ з все більшим і більшою кількістю потоків даних, насправді бути в змозі зробити щось з певною продуктивністю - це насправді необхідність і починає ставати правилом роботи, а не чим іншим.
Підводячи підсумки за рівнем зростання відповідності, я спостерігав, як це відбувалося протягом багатьох, багатьох років, але загальний захист даних насправді з'явився в 90-х роках у Європі. Він просто отримав більше і складніші з того часу. Потім усі ці речі почали впроваджуватись або вдосконалюватися. GRC, такий ризик управління та дотримання, триває з тих пір, як банки зробили Базель. ISO створює стандарти різного роду операцій. Я знаю, що весь час я займався інформаційними технологіями - це вже давно - уряд США був особливо активним у створенні різних законодавчих актів: SOX, є Gramm-Leach-Bliley, HIPAA, FISMA, FERPA. Ви також отримали чудову організацію NIST, яка створює багато стандартів, особливо стандартів безпеки, дуже корисних. Закони про захист даних в Європі мають місцеві відмінності. Наприклад, те, що ви можете зробити з особистими даними в Німеччині, відрізняється від того, що ви можете зробити у Словацькій республіці, Словенії чи деінде. Вони нещодавно представились - і я думав, що це згадаю, бо мені це смішно - Європа вводить ідею права бути забутим. Тобто, повинен бути встановлений обмеження щодо публічних даних, які насправді є особистими даними. Я думаю, що це весело. З точки зору ІТ, це буде дуже, дуже важко, якщо воно почне ставати чинним законодавством. Підводячи підсумок, я б сказав наступне: Оскільки ІТ-дані та управління розвиваються швидко, управління також повинно швидко розвиватися, і воно стосується всіх областей управління.
Сказав, що передаю м'яч Дезу.
Ерік Кавана: Так, так, Дез Бланчфілд, забирай це. Робін, я з тобою, чоловіче, я вмираю, щоб побачити, як випливає це право бути забутим. Я думаю, що це буде не просто складно, а в принципі неможливо. Це просто порушення очікування на виконання державними установами. Дез, забирай це.
Дез Бланчфілд: Це дійсно і це тема для чергової дискусії. У нас є дуже схожий виклик тут, в Азіатсько-Тихоокеанському регіоні, особливо в Австралії, де оператори та провайдери послуг повинні реєструвати все, що стосується Інтернету, і мати змогу записувати та регенерувати його, якщо хтось із зацікавлених чинить щось не так. Це закон, і ви повинні його виконувати. Завдання, так як хтось із Google у США може сказати видалити мою історію пошуку чи будь-що інше, це може бути дотримання європейського законодавства, зокрема німецького закону про конфіденційність. В Австралії, якщо агентство хоче перевірити вас, перевізник повинен мати можливість надавати детальну інформацію про здійснені дзвінки та історію пошуку, що є складним завданням, але це світ, у якому ми живемо. Для цього є маса причин. Дозвольте мені просто вскочити в моє.
Я навмисно зробив свою титульну сторінку важкою для читання. Ви повинні дійсно важко дивитися на цей текст. Дотримання, відповідність набору правил, специфікацій, засобів контролю, політик, стандартів чи законів, з дурним, брудним фоном. Це тому, що вам справді важко розібратися в деталях і витягнути інформацію з того, що це накладено, це низка таблиць і рядків і стовпців, або база даних, схема або макет у Visio. Ось таке відчуття дотримується кожен день. Досить важко зануритися в деталі та витягнути відповідні шматочки інформації, необхідної для підтвердження відповідності. Повідомте про це, стежте за цим і перевіряйте.
Насправді я подумав дійсно вдалий спосіб візуалізувати це, коли ми ставимо собі запитання: "Чи ви сумісні?" "Ти впевнений?" "Ну, доведіть!" Є дійсно весела річ, яка, можливо, трохи більше англо-кельтська, але я впевнений, що вона пробилася по всьому світу в США, так це: "Де Wally?" Уоллі - маленький персонаж, який потрапляє у ці мультиплікаційні малюнки у вигляді книжок. Зазвичай дуже масштабні зображення формату A3 або більше. Отже, малюнки за розміром таблиці. Він маленький персонаж, який носить шапочку і червоно-білу смугасту сорочку. Ідея гри полягає в тому, щоб ви подивилися на цю картинку і оглядали по колах, щоб спробувати знайти Валлі. Він на цій картині там десь. Коли ви думаєте про те, як виявити та описати та повідомити про відповідність, багато в чому це як грати у "Where is Wally". Якщо ви подивитесь на цю картину, знайти персонажа майже неможливо. Діти витрачають години на це, і мені було дуже весело робити це вчора. Коли ми дивимось на це, ми знаходимо цілу купу людей у цих мультфільмах, навмисно розміщених там із подібними шматками вбрання Wally з смугастої шапочки та трикотажу, або вовняного верху. Але вони виявляються помилковими.
Це подібний виклик, який ми маємо з дотриманням. Коли ми дивимось на речі, іноді ми думаємо, що це так, зовсім не так. Хтось може мати доступ до бази даних, і вони повинні мати такий доступ до бази даних, але спосіб, яким вони користуються, трохи відрізняється від очікуваного. Ми можемо вирішити, що це щось, на що ми повинні звернути увагу. Коли ми заглянемо в нього, то виявимо, що насправді це дуже дійсний користувач. Вони просто роблять щось вигадливе. Можливо, це дослідник ПК або хто знає. В інших випадках може бути навпаки. Реальність, коли я знову йду вперед, є Wally. Якщо ви виглядали по-справжньому важко в цій високій роздільній здатності, є один персонаж, який насправді одягає відповідний одяг. Усі інші - це просто лукалікери та подібні до себе відчуття. Відповідність дуже схожа на це. Більшість людей, яких я знаю, працюють у сферах контролю та дотримання правил та політики діяльності. У цілому ряді областей, будь то технологія, чи це фінанси, чи операція, і ризик. Часто дуже важко побачити Уоллі на малюнку, ви побачите дерева чи деревину.
Питання, яке ми задаємо собі, коли думаємо про такі речі, як відповідність, - це "велика справа, що може піти не так, якщо ми не повністю виконаємо відповідність?" У контексті сьогоднішньої дискусії, зокрема навколо бази даних та контролю доступу до даних, я надам вам декілька справжніх справжніх прикладів дзвінка про те, що може піти не так у дуже короткій стислій формі. Якщо ми думаємо про порушення даних, і всі ми знайомі з порушеннями даних, ми чуємо їх у ЗМІ, і ми ніби зупиняємось і сміємося, бо люди думають, що це ринки збуту. Це особисті речі. Це Ешлі Медісон та люди, які шукають побачень поза своїми стосунками та шлюбами. Це кидати рахунки. Це всі ці дивні речі, або якийсь випадковий європейський чи російський провайдер або хостинг-компанія виламується. Коли ви добираєтесь до таких речей, як MySpace і ці десятки, коли ви дивитесь на ці цифри, я хочу, щоб ви це зрозуміли, це: 1, 1 мільярда деталей людей у цих перших десяти порушеннях. І так, є перекриття, напевно, є люди, які мають обліковий запис MySpace, і рахунок Dropbox, і обліковий запис Tumblr, але давайте просто заокруглемо їх до мільярда людей.
Ці десять найвищих порушень за останнє десятиліття або близько того - навіть не десятиліття, в більшості випадків - становлять приблизно одну сьому частину світового населення людини, але більш реально, приблизно 50 відсотків кількості людей пов'язані з Інтернет, понад мільярд людей. Вони виникають через те, що в деяких випадках дотримання вимог не було дотримано. У більшості випадків це були контролю доступу до бази даних, контроль доступу до певних наборів даних, а також систем і мереж. Це страшна перевірка реальності. Якщо вас це не лякає, коли ви дивитесь на першу десятку і бачите, що це - або бачите, що це мільярд людей, справжні люди, як і ми, на цей дзвінок зараз. Якщо у вас є обліковий запис LinkedIn, якщо у вас був обліковий запис Dropbox або Tumblr, або ви купували в продуктах Adobe або навіть зареєстрували, завантажуйте безкоштовний переглядач Adobe. Це цілком ймовірно, не можливо, цілком ймовірно, що ваші реквізити, ваше ім’я, прізвище, адреса електронної пошти, потенційно навіть адреса вашої робочої компанії, або ваша домашня адреса чи ваша кредитна картка, насправді є там через порушення що відбулося через елементи контролю, які не обов'язково були добре керовані у формі управління даними, управління даними.
Давайте поглянемо на це, коли ми подивимось це на реальні деталі. Є один екран з них, там приблизно 50-те. Є ще 15. Там ще близько 25. Це порушення даних, перелічені на веб-сайті під назвою haveibeenpwned.com. Це, можливо, може піти не так, якщо щось просте, як контроль доступу до даних у базах даних у різних полях та рядках та стовпцях та різних додатках у вашому бізнесі, не буде належним чином керовано. Зараз ці організації керуються даними. Більшість даних живе в базі даних в якійсь формі. Коли ви задумаєтесь над тим, той список порушень, який ми щойно подивилися, і, сподіваємось, вам це дало трохи холодного душу в сенсі, ви думали, що "Хм, це дуже реально", і це потенційно вплинуло на вас. Наприклад, у 2012 році, що стосується порушення LinkedIn, більшість професіоналів сьогодні має обліковий запис LinkedIn, і цілком ймовірно, що ваші дані будуть втрачені. Вони є в Інтернеті з 2012 року. Про це нам недавно розповіли лише в 2016 році. Що сталося з вами інформацією за ці чотири роки? Ну це цікаво, і про це ми можемо поговорити окремо.
Управління базами даних та системами - я часто говорю про те, що вважаю першими п’ятьма проблемами в управлінні цими речами. У самому, самому верхньому і я класифікую їх за уподобанням від себе, але також за порядком впливу, номер один - це безпека та відповідність. Контролі та механізми та політики щодо контролю того, хто має який доступ до якої системи, з якої причини та мети. Звітування про це та моніторинг цього, загляд в системи, перегляд баз даних та бачення того, хто може насправді отримувати доступ до записів, окремих полів та записів.
Подумайте про це в дуже простій формі. Давайте поговоримо про банківську діяльність та управління капіталом як один із прикладів. Коли ви підписуєтеся на банківський рахунок, скажімо, звичайний готівковий рахунок для картки EFTPOS або касовий рахунок або чековий рахунок. Ви заповнюєте форму, і в тому папері, який ви заповнюєте, або в Інтернеті, є дуже багато приватної інформації, яка надходить у комп'ютерну систему. Тепер, якщо хтось із маркетингу хоче зв’язатися з вами та надіслати вам брошуру, їм слід дозволити бачити ваше ім’я та прізвище та вашу особисту адресу, наприклад, а також потенційно ваш номер телефону, якщо вони хочуть холодно зателефонувати вам і продати тобі щось. Вони, мабуть, не повинні бачити загальну суму грошей, яку ви отримали в банку з-за ряду причин. Якщо хтось дивиться на вас з точки зору ризику або намагається допомогти вам зробити щось на зразок покращити відсоткові ставки на своєму рахунку, певна особа, ймовірно, хоче дізнатися, скільки грошей у вас у банку, щоб вони могли запропонувати вам відповідний рівень прибутку відсотків від своїх грошей. Ці дві особи мають дуже різні ролі та дуже різні причини цих ролей та цілі цих ролей. Як результат, потрібно бачити різну інформацію у вашому записі, але не всю запис.
Ці елементи керуються різними звітами звичайних екранів або форм, які вони мають у додатках, які використовуються для управління вашим обліковим записом. Розвиток для них, їх утримання, адміністрування, звітування навколо них та управління та дотримання цих вимог, таких як обгортання міхурів, - це дуже і дуже велике завдання. Ось лише проблема номер один в управлінні даними та системами. Коли ми заглиблюємось у цей стек у продуктивності та моніторингу, виявленні випадків і реагуванні на них, управлінні та адмініструванні системи, а також дотриманні навколо них, проектуванні та розробці систем від відповідності, стає набагато складніше.
Управління всім питанням зниження ризиків та підвищення безпеки. Мої п’ятірка викликів у цьому просторі - і мені подобаються зображення, які йдуть з митницею, коли ви в'їжджаєте в країну - вони представляють ваш паспорт, і вони перевіряють вас, і вони переглядають свою комп'ютерну систему, щоб побачити, чи варто вам пройти чи ні. Якщо ви не хочете, вони посадять вас на наступний літак додому. В іншому випадку вони відпускають вас назад, і вони задають вам запитання на кшталт: "Ви їдете на відпочинок? Ви тут турист? Ви тут на роботу? Яку роботу ви збираєтесь бачити? Де ви збираєтесь зупинитися? "Як довго ви їдете? Чи маєте у вас достатньо грошей, щоб покрити свої витрати? Або ви збираєтесь стати ризиком для країни, в якій перебуваєте, і їм, можливо, доведеться доглядати за вами і годувати вас?"
У цьому просторі даних є деякі проблеми управління захистом даних. Наприклад, у просторі бази даних нам потрібно думати про пом’якшення байпасів баз даних. Якщо дані знаходяться в базі даних, в нормальному середовищі, а в системі є елементи управління та механізми. Що станеться, якщо скидання даних буде зроблено в більшій кількості SQL і резервне копіювання на стрічку? Бази даних скидаються в сирому вигляді та інколи створюються резервними копіями. Іноді це робиться з технічних причин, з причин розвитку. Скажімо, було знято дамп БД і він створюється резервною копією на стрічку. Що станеться, якщо мені трапиться на цю стрічку і відновити її? І я отримав необроблену копію бази даних у SQL. Це файл MP, це текст, я можу його прочитати. Усі паролі, які зберігаються на цьому дампі, не мають контролю за мною, оскільки я отримую доступ до фактичного вмісту бази даних, не захищаючи її двигун бази даних. Тож я можу технічно обійти безпеку платформи бази даних, яка вбудована в двигун із дотриманням вимог, та управління ризиками, щоб зупинити мене на перегляді даних. Оскільки потенційно розробник, системний адміністратор, я маю на руках повний дамп бази даних, який слід використовувати для резервного копіювання.
Неправильне використання даних - потенційно змусити когось увійти в систему як піднесений обліковий запис і дати мені сидіти за екраном, шукати інформацію чи подібні речі. Власний аудит, доступ та використання даних та перегляд даних або їх зміна. Потім необхідна звітність навколо цього контролю та відповідність. Моніторинг трафіку та доступу тощо, блокування загроз, які надходять із зовнішніх локацій та серверів. Наприклад, якщо дані представлені через форму на веб-сторінці в Інтернеті, чи захищені їх ін'єкції SQL за допомогою брандмауерів та управління поняттями? За цим йде довга детальна історія. Тут ви бачите, що лише деякі ці абсолютно фундаментальні речі, про які ми думаємо, пом'якшуючи та керуючи ризиком навколо даних всередині баз даних. Насправді досить просто обійти деякі з них, якщо ви знаходитесь на різних рівнях технологій. Завдання стає все складніше і складніше, оскільки ви отримуєте все більше і більше даних, і більше баз даних. Більше і складніше з людьми, які мають керувати системами та контролювати їх використання, відстежувати відповідні деталі, що стосуються конкретно речей, про які розповідав Робін, навколо таких речей, як особиста відповідність. Люди мають навколо себе засоби управління та механізми, які відповідають - якщо ви щось зробите не так, вас потенційно звільняють. Якщо я ввійду в систему, як мій обліковий запис, ви побачите це, це має бути кримінальним злочином. Тепер я надав вам доступ до даних, які ви не мали бачити нормально.
Існує особиста відповідність, є корпоративна відповідність, компанії мають політику та правила, і контроль, який вони встановили на себе, так що компанія працює добре і забезпечує прибуток від прибутку та хороший прибуток інвесторам та акціонерам. Тоді часто є загальнодержавні чи загальнодержавні чи національні федеральні, як ви сказали, органи управління та закони США. Тоді є глобальні. Деякі з великих інцидентів у світі, де подобається Сарбанес-Окслі, двоє людей, яких просять придумати способи захисту даних та систем. У Європі є Базель, і в Австралії є всі можливості контролю, особливо навколо біржових та облікових платформ, а потім конфіденційність на рівні особистості чи компанії. Коли кожне з них укладається так, як ви бачили на одному з майданчиків, що мали Робін, вони стають майже майже неможливою горою піднятися. Витрати стають високими, і ми перебуваємо в тій точці, коли оригінальний традиційний підхід, який ви знаєте, як вимірювання контролю над людьми, вже не є відповідним підходом, оскільки масштаб занадто великий.
У нас є сценарій, коли відповідність - це те, що я називаю зараз, є актуальним питанням. І це те, що ми потенційно мали певний час, або щомісяця, або щоквартально, або щорічно, де ми б переглядали наш стан нації та допомагали дотримуватися та контролювати. Переконайтесь, що певні люди мали певний доступ та не мали певного доступу залежно від того, які саме дозволи були. Зараз мова йде про швидкість речей, з якою рухаються речі, темп, з яким змінюються речі, масштаб, з яким ми працюємо. Відповідність - це актуальне питання, і світова фінансова криза була лише одним із прикладів, коли відповідний контроль та заходи щодо забезпечення безпеки та дотримання вимог могли потенційно уникнути сценарію, коли у нас був урізаний вантажний потяг певної поведінки. Просто створивши ситуацію з усім світом, фактично знаючи, що вона зірветься і збанкрутує. Для цього нам потрібні правильні інструменти. Кидати людей у поїзд, кидати тіла вже не є правильним підходом, оскільки масштаб занадто великий і все рухається занадто швидко. Сьогоднішня дискусія, я думаю, ми будемо мати, про типи інструментів, які можна застосувати до цього. Зокрема, інструменти, які IDERA може надати нам для цього. І маючи це на увазі, я збираюся передати його Буллетту, щоб ознайомитись з його матеріалами та показати нам свій підхід та інструменти, які вони мають для вирішення цієї проблеми, яку ми зараз запропонували для вас.
З цим, Буллетт, я передамо тобі.
Bullett Manale: Звучить чудово, дякую. Я хочу поговорити про кілька слайдів, а також хочу показати вам продукт, який ми використовуємо для баз даних SQL Server спеціально для вирішення ситуацій відповідності. Дійсно, виклик у багатьох випадках - я буду пропускати декілька з них - це лише наш портфоліо продуктів, я проходжу це досить швидко. З точки зору того, де саме буде спрямований цей продукт і як він пов’язаний із дотриманням, я завжди піднімаю це як перший слайд, тому що це щось на зразок загального: "Ей, за що відповідальність DBA?" Одне з речей контролює та контролює доступ користувачів, а також може генерувати звіти. Це стосуватиметься, коли ви розмовляєте зі своїм аудитором, наскільки складним може бути цей процес, буде змінюватися залежно від того, чи збираєтесь ви це робити самостійно або якщо ви збираєтесь використовувати сторонній інструмент для допомоги.
Взагалі кажучи, коли я розмовляю з адміністраторами баз даних, то багато разів вони ніколи не брали участь в аудиті. Вам належить навчити їх дійсно те, що вам справді потрібно робити. Пов’язано з тим, який тип відповідності потрібно виконати і здатний довести, що ви насправді дотримуєтесь правил, оскільки це стосується цього рівня дотримання. Багато людей спочатку цього не розуміють. Вони думають: "О, я просто можу придбати інструмент, який зробить мене поступливим". Реальність така, це не так. Хочеться сказати, що наш продукт магічним шляхом, натискаючи на просту кнопку, дав вам можливість переконатися, що ви відповідаєте. Реальність полягає в тому, що ви повинні налаштувати своє оточення з точки зору елементів управління, з точки зору того, як люди отримують доступ до даних, що все має бути розроблено з додатком, який у вас є. Де зберігаються ці чутливі дані, який тип регуляторних вимог це. Тоді також потрібно працювати з типовим службовцем з питань дотримання норм, а також мати можливість переконатися, що ви дотримуєтесь усіх правил.
Це звучить справді складно. Якщо ви подивитесь на всі нормативні вимоги, ви б могли подумати, що це було б так, але реальність така, що тут є спільний знаменник. У нашому випадку з інструментом, який я збираюсь показати вам сьогодні, продуктом диспетчера відповідності, процес в нашій ситуації полягав би в тому, що ми, в першу чергу, повинні переконатися, що ми збираємо дані аудиторських записів, пов'язані про те, де дані знаходяться в чутливій базі даних. Ви можете зібрати все, правда? Я міг би вийти і сказати, що хочу зібрати кожну транзакцію, що відбувається в цій базі даних. Реальність полягає в тому, що ви, мабуть, маєте лише невелику частку або невеликий відсоток транзакцій, які насправді пов'язані з конфіденційними даними. Якщо це відповідність PCI, це стосуватиметься даних кредитної картки, власників кредитних карток та їх особистих даних. Можливо, існує багато інших транзакцій, що стосуються вашої заявки, які насправді не мають жодного стосунку до нормативних вимог PCI.
З цієї точки зору, перше, що я розмовляю з DBA - це я сказати: «Проблема номер один не намагається отримати інструмент для цього. Це просто знати, де знаходяться ці конфіденційні дані і як ми їх записуємо? "Якщо у вас є це, якщо ви можете відповісти на це питання, то ви вже на півдорозі з точки зору того, що зможете показати, що ви відповідаєте, припускаючи, що ви слідуєте правильним елементам управління. Скажімо на секунду, що ви стежите за правильним контролем, і ви сказали аудиторам, що це так. Наступна частина процесу, очевидно, здатна надати аудиторський слід, який показує та підтверджує, що ці елементи керування фактично працюють. Потім слідкуйте за тим, щоб зберегти ці дані. Зазвичай з такими речами, як дотримання вимог PCI та HIPAA, і тими речами ви говорите про тривалість семирічного зберігання. Ви говорите про безліч транзакцій та багато даних.
Якщо ви зберігаєте, збираєте кожну транзакцію, хоча лише п'ять відсотків транзакцій пов'язані з конфіденційними даними, ви говорите про досить велику вартість, пов’язану з необхідністю зберігання цих даних протягом семи років. Одне з найбільших проблем, я думаю, полягає в тому, щоб змусити людей говорити, що це, очевидно, непотрібні витрати. Це також набагато простіше, якщо ми можемо просто сфокусуватися на чутливих областях бази даних. На додаток до цього, ви також хочете контролювати деякі конфіденційну інформацію. Не просто показати в плані аудиту, а й мати можливість прив’язувати речі до дій, які відбуваються, і мати можливість отримувати сповіщення в режимі реального часу, щоб ви могли про це знати.
Приклад, який я завжди використовую, і він може бути не обов'язково пов'язаний з будь-яким типом регуляторних вимог, але просто вміти відстежувати, наприклад, хтось повинен скинути таблицю, пов’язану з заробітною платою. Якщо це трапиться, спосіб, яким ви дізнаєтесь про це, якщо ви цього не відстежуєте, нікому не виплачується. Це вже пізно. Ви хочете знати, коли ця таблиця випадає, прямо, коли її скидають, щоб уникнути поганих речей, які трапляються внаслідок того, що якийсь незадоволений працівник збирається та видаляє таблицю, прив’язану безпосередньо до фонду оплати праці.
З урахуванням сказаного, хитрість полягає у пошуку спільного знаменника або використанні цього спільного знаменника для визначення рівня відповідності. Це те, що ми намагаємося зробити з цим інструментом. Ми, як правило, підходимо, ми не збираємось показувати вам звіт, специфічний для PCI, характерний для акцій; загальний знаменник - це у вас програма, яка використовує SQL Server для зберігання конфіденційних даних у базі даних. Як тільки ви подолаєте це, ви скажете: "Так, це дійсно головне, на що нам потрібно зосередитись - де є ці конфіденційні дані та як до них звертаються?" Після того, як ви отримаєте це, ми пропонуємо тону звітів, які можуть надати це підтвердження, ви дотримуєтесь відповідності.
Повертаючись до питань, які задає аудитор, першим питанням буде: Хто має доступ до даних і як вони отримують цей доступ? Чи можете ви довести, що правильні люди отримують доступ до даних, а неправильні - ні? Чи можете ви також довести, що сам аудиторський слід - це те, чому я можу довіряти як непорушне джерело інформації? Якщо я даю вам створений аудиторський слід, це насправді не дуже корисно, як аудитор, щоб виправити ваш аудит, якщо інформація сформована. Нам потрібні докази цього, як правило, з аудиторської точки зору.
Перебираючи ці питання, трохи трохи детальніше. Завдання першого питання полягає в тому, що ви повинні знати, як я вже говорив, де знаходяться ці конфіденційні дані, щоб повідомити про те, хто має до нього доступ. Це зазвичай якийсь тип відкриття, і ви справді маєте тисячі різних застосунків, у вас є багато різних нормативних вимог. У більшості випадків ви хочете співпрацювати зі своїм співробітником з питань відповідності, якщо у вас є такий або принаймні хтось, хто мав би додаткове розуміння щодо місця, де мої конфіденційні дані знаходяться в програмі. У нас є інструмент, який у нас є, це безкоштовний інструмент, він називається SQL Column Search. Ми повідомляємо нашим потенційним клієнтам та користувачам, які зацікавлені в цьому питанні, і вони можуть його завантажити. Що буде робити - це в основному шукати інформацію в базі даних, яка буде, ймовірно, чутливою за своєю природою.
І тоді, коли ви це зробите, ви також повинні зрозуміти, як люди отримують доступ до цих даних. Знову ж таки, які облікові записи, в межах яких груп Active Directory, які беруть участь користувачі бази даних, пов’язані з цим членами ролей. І, маючи на увазі, звичайно, що всі ці речі, про які ми говоримо, повинні бути затверджені аудитором, так що якщо ви скажете: "Ось як ми фіксуємо дані", то аудитори можуть прийти назад і скажи: "Ну, ти робиш це неправильно". Але скажемо, що вони кажуть: "Так, це виглядає добре. Ви достатньо зафіксували дані. "
Переходячи до наступного питання, чи може ви бути, чи можете ви довести, що потрібні люди отримують доступ до цих даних? Іншими словами, ви можете сказати їм, що це ваше управління, це контролю, який ви виконуєте, але, на жаль, аудитори не є справжніми довірливими особами. Вони хочуть підтвердити це, і вони хочуть бачити це в рамках аудиторського сліду. І це повертається до всієї цієї загальної знаменниці. Будь це PCI, SOX, HIPAA, GLBA, Basel II, що б там не було, реальність полягає в тому, що зазвичай задаються одні і ті ж типи питань. Об'єкт із конфіденційною інформацією, який звернувся до цього об’єкта протягом останнього місяця? Це повинно відображатись до моїх контролів, і я маю змогу в кінцевому підсумку пройти аудит, показуючи такі типи звітів.
І тому, що ми зробили, ми склали близько 25 різних звітів, які випливають у тих самих областях, що і спільний знаменник. Таким чином, у нас немає звіту для PCI або HIPAA або SOX, ми маємо повідомлення про те, що вкотре вони йдуть проти цього загального знаменника. І тому насправді не має значення, яку нормативну вимогу ви намагаєтесь виконати, у більшості випадків ви зможете відповісти на будь-яке питання, яке поставить перед вами цей аудитор. І вони збираються сказати вам, хто, що, коли і де проводиться кожна транзакція. Ви знаєте, користувач, час трансакції, сам оператор SQL, додаток, з якого він вийшов, все це хороший матеріал, а потім також зможете автоматизувати доставку цієї інформації до звітів.
І тоді, ще раз, коли ви пройдете це і ви надали це аудитору, то наступне питання буде - доведіть це. І коли я кажу, що це підтверджую, я маю на увазі довести, що аудиторський слід - це те, чому ми можемо довіряти. І як ми це робимо в нашому інструменті, ми маємо хеш-значення та значення CRC, які безпосередньо пов'язані з самими подіями в рамках аудиторського сліду. Тож ідея полягає в тому, що якщо хтось виходить і видаляє запис, або якщо хтось виходить і видаляє або додає щось до аудиторського сліду або щось змінює в саму аудиторську стежку, ми можемо довести, що ці дані, цілісність самі дані були порушені. І тому 99, 9 відсотків часу, якщо ви заблокували нашу базу даних аудиту, ви не зіткнетесь з цією проблемою, оскільки, коли ми запустимо цю перевірку цілісності, ми по суті доводимо аудитору, що самі дані не були змінено та видалено або додано до моменту первісного написання від самої служби управління.
Отже, це загальний огляд типових питань, які вам будуть задані. Тепер інструмент, з яким нам доведеться вирішити багато з цього питання, називається SQL Compliance Manager, і він робить усі ці речі з точки зору відстеження транзакцій, хто, що, коли і де з транзакцій, будучи здатним це робити в кількість різних областей. Логіни, невдалі входи в систему, зміни схем, очевидно доступ до даних, вибір активності, всі ті речі, що відбуваються в двигуні бази даних. Ми також можемо попередити користувачів про конкретні, дуже детальні умови, якщо це буде потрібно. Наприклад, хтось виходить і насправді переглядає таблицю, яка містить всі номери моєї кредитної картки. Вони не змінюють дані, вони просто дивляться на них. У цій ситуації я можу попередити, і я можу повідомити людям про те, що це відбувається не через шість годин, коли ми чистимо журнали, а в реальному часі. В основному, поки нам потрібно обробити цю транзакцію через службу управління.
Як я вже згадував, ми бачили, що це використовується в різних різних регуляторних вимогах, і це насправді - ви знаєте, будь-яка нормативна вимога, ще раз, якщо у спільних знаменників у вас є конфіденційні дані на SQL Server База даних, це інструмент, який допоможе в подібній ситуації. На 25 звіт, які вбудовані, тепер реальність полягає в тому, що ми можемо зробити цей інструмент корисним для аудитора і відповісти на кожне запитання, яке вони задають, але ДБА - це ті, хто повинен змусити його працювати. Тож є і те, що ми добре розуміємо, з точки зору технічного обслуговування ми повинні переконатися, що SQL працює так, як ми хочемо. Ми також повинні мати можливість зайти і подивитися на речі, які будуть мати можливість виходити, і дивитись на іншу інформацію, ви знаєте, що стосується архівації даних, автоматизації цього та накладних витрат себе продукту. Це речі, які ми, очевидно, враховуємо.
Що виховує саму архітектуру. Тож у правій частині екрана у нас є екземпляри SQL, якими ми керуємо, і все, починаючи з 2000 року, аж до 2014 року, готуючись до випуску версії за 2016 рік. Найбільший випуск на цьому екрані полягає в тому, що управління сам сервер робить усі важкі підйоми. Ми просто збираємо дані, використовуючи API слідів, вбудований в SQL Server. Ця інформація підводиться до нашого сервера управління. Цей сервер управління сам ідентифікує, і якщо є якісь події, пов’язані з будь-якими видами транзакцій, які ми не хочемо, надсилаючи сповіщення та подібні речі, а потім заповнюючи дані у сховищі. Звідти ми можемо запускати звіти, ми зможемо вийти та насправді побачити цю інформацію у звітах чи навіть у консолі програми.
Тож, що я збираюся йти вперед, це те, що я швидко проведу нас, і я просто хочу зазначити одну швидку річ, перш ніж ми вскочимо в продукт, на веб-сайті є посилання прямо зараз, або на презентації, це приведе вас до того безкоштовного інструменту, про який я згадував раніше. Цей безкоштовний інструмент, як я вже казав, збирається вийти і подивитися на базу даних і спробувати знайти області, схожі на конфіденційні дані, номери соціального страхування, номери кредитних карток, виходячи з назв стовпців або таблиць, або на основі того, як виглядає формат даних, і ви також можете їх налаштувати, щоб просто вказати на це.
Тепер, у нашому випадку, дозвольте мені продовжити та поділитися своїм екраном, дайте мені одну секунду тут. Добре, і так, що я хотів вас спочатку взяти до себе, - це я хочу перенести вас до самого програми «Менеджер відповідності», і я пройду це досить швидко. Але це додаток, і ви можете бачити, що у мене тут є декілька баз даних, і я просто покажу вам, як легко зайти і розповісти, що ви хочете провести аудит. З точки зору змін схеми, змін безпеки, адміністративної діяльності, DML, Select, у нас є всі ці варіанти, які ми можемо також відфільтрувати. Це повертається до найкращої практики, коли можна сказати: «Мені справді потрібна лише ця таблиця, оскільки вона містить номери моїх кредитних карток. Мені не потрібні інші таблиці з інформацією про товар, всі ті інші речі, які не відносяться до рівня відповідності, який я намагаюся зустріти. "
Ми також маємо можливість захоплювати дані та показувати їх у вигляді значень полів, що змінюються. У багатьох інструментах у вас буде щось, що дасть вам можливість захоплювати оператор SQL, показувати користувача, показувати додаток, час та дату, і всі ці добрі речі. Але в деяких випадках сам оператор SQL не дасть вам достатньо інформації, щоб можна було сказати, яке значення поля було до того, як зміни відбулися, а також значення поля після зміни. І в деяких ситуаціях вам це потрібно. Я, можливо, захочу відстежити, наприклад, інформацію про дозування лікарських препаратів лікаря. Він пішов від 50мг до 80мг до 120мг, я міг би відстежувати це, використовуючи до і після.
Чутливі стовпці - це ще одна річ, до якої ми стикаємося, наприклад, з дотриманням PCI. У цій ситуації у вас є такі настільки чутливі за своєю природою дані, що, переглядаючи цю інформацію, мені не потрібно її змінювати, видаляти чи додавати, я можу завдати непоправної шкоди. Номери кредитних карток, номери соціального страхування, всі такі добрі речі, на яких ми можемо визначити чутливі стовпці та зв’язати сповіщення про це. Якщо хтось вийде і перегляне цю інформацію, ми, очевидно, зможемо попередити та надіслати електронний лист або створити SNMP-пастку та подібні речі.
Зараз у деяких випадках ви зіткнетесь із ситуацією, коли у вас може бути виняток. І що я маю на увазі під цим, у вас є ситуація, коли у вас є користувач, який має обліковий запис користувача, який може бути прив’язаний до якогось типу роботи ETL, який працює посеред ночі. Це документований процес, і мені просто не потрібно включати цю транзакційну інформацію для цього облікового запису користувача. У такому випадку у нас був би надійний користувач. І тоді в інших ситуаціях ми б використовували функцію привілейованого аудиту користувачів, яка є, по суті, якщо у мене є, скажімо, наприклад, додаток, і це додаток вже проводить аудит користувачів користувачів, які переглядають додаток, це чудово, я вже маю на що посилатися з точки зору мого аудиту. Але для речей, які пов'язані, наприклад, з моїми привілейованими користувачами, хлопцями, які можуть зайти в студію управління SQL Server, щоб переглянути дані в базі даних, це не збирається. І ось тут ми могли б визначити, хто наші привілейовані користувачі, або через членство в ролях, або через їхні акаунти Active Directory, групи, свої облікові записи, що підтверджують SQL, і ми зможемо вибрати всі ці різні типи параметрів і потім переконайтесь, що для цих пільгових користувачів ми можемо вказати типи транзакцій, які ми зацікавлені в аудиті.
Це всілякі різні варіанти, які у вас є, і я не збираюся переглядати всі різні типи речей, виходячи з обмежень у часі для цієї презентації. Але я хочу показати вам, як ми можемо переглядати дані, і я думаю, що вам сподобається, як це працює, тому що ми можемо це зробити двома способами. Я можу це робити інтерактивно, і тому, коли ми розмовляємо з людьми, які цікавляться цим інструментом, можливо, для власного внутрішнього контролю, вони просто хочуть знати, що відбувається у багатьох випадках. Вони не обов'язково мають аудиторів, які приходять на місце. Вони просто хочуть знати: "Ей, я хочу піти за цим столом і подивитися, хто його торкався за останній тиждень чи минулий місяць чи що б там не було". У цьому випадку ви можете бачити, як швидко ми можемо це зробити.
Що стосується бази даних про охорону здоров’я, я отримав таблицю під назвою "Пакети пацієнтів". І ця таблиця, якби я просто групувалась за об’єктом, вона може дуже швидко почати звужуватися там, де ми шукаємо. Можливо, я хочу групуватися за категоріями, а потім, можливо, за подією. І коли я це роблю, ви можете бачити, як швидко це з'являється, і там є моя таблиця "Пацієнтські записи". І коли я вивчаю, ми тепер можемо бачити активність DML, ми бачимо, що у нас було тисяча вставок DML, і коли ми відкриваємо одну з цих транзакцій, ми можемо побачити відповідну інформацію. Хто, що, що, коли, де відбувається транзакція, оператор SQL, очевидно, власне додаток, що використовується для здійснення транзакції, рахунок, час та дата.
Тепер, якщо ви подивитеся на наступну вкладку тут, на вкладку "Деталі", це повертається до того третього питання, про яке ми говоримо, доказуючи, що цілісність даних не була порушена. Таким чином, в основному для кожної події ми маємо секретний розрахунок для нашого хеш-значення, і це буде потім пов'язане, коли ми робимо нашу перевірку цілісності. Наприклад, якби я вийшов до інструменту, зайшов у меню аудиту, і я повинен був вийти і сказати, давайте перевіримо цілісність сховища, я міг би вказати на базу даних, де знаходиться слід аудиту, він запуститься за допомогою перевірки цілісності відповідності цих хеш-значень та значень CRC фактичним подіям, і це дозволить нам сказати, що проблем не знайдено. Іншими словами, дані в аудиторському слід не були підроблені, оскільки вони були спочатку записані службою управління. Очевидно, це один із способів взаємодії з даними. Інший спосіб - через самі звіти. І тому я просто надам вам один короткий приклад звіту.
І знову ж таки, ці звіти, як ми їх придумали, не характерні для будь-якого типу стандарту, таких як PCI, HIPAA, SOX або чогось подібного. Знову ж таки, це загальний знаменник того, що ми робимо, і в цьому випадку, якщо ми повернемося до цього прикладу записів пацієнтів, ми змогли б вийти і сказати: у нашому випадку тут ми шукаємо в базі даних охорони здоров’я, і в нашому випадку ми хочемо зосередитись саме на тій таблиці, за якою ми знаємо, що містить приватну інформацію, в нашому випадку, пов’язану з нашими пацієнтами. І так, дозвольте мені побачити, чи можу я ввести його тут, і ми збираємось продовжувати та запускати цей звіт. І ми побачимо, очевидно, звідти всі відповідні дані, пов'язані з цим об’єктом. І в нашому випадку це показує нам місячний проміжок часу. Але ми могли б повернутися півроку, рік, як би довго ми не зберігали дані.
Це такі способи, якими ви зможете насправді довести аудитору, що ви дотримуєтесь свого контролю. Визначивши це, очевидно, це добре з точки зору проходження аудиту та можливості показувати, що ви стежите за контролем і все працює.
Останнє, про що я хотів продемонструвати, - це в розділі адміністрації. Існує також контроль з точки зору всередині цього інструменту, що дозволяє встановлювати елементи контролю, щоб переконатися, що якщо хтось робить щось, чого він не повинен робити, я можу про це знати. І я наведу вам там кілька прикладів. У мене є обліковий запис для входу, який прив’язаний до сервісу, і для того, щоб робити це, потрібні підвищені дозволи. Я не хочу, щоб хтось зайшов і використовував цей обліковий запис у студії менеджменту, а потім, знаєте, використовував його для речей, на які він не призначався. Тут ми мали б два критерії, які ми могли б застосувати. Я можу сказати: "Подивіться, нас справді цікавить ця робота, скажімо, з нашою програмою PeopleSoft", лише як приклад, добре?
Тепер, коли я це зробив, про що я говорю тут, мені цікаво дізнатися про будь-які вхідні дані, прив’язані до облікового запису, який я готую вказати, якщо програма, яка використовується для входу з цим обліковим записом не PeopleSoft, то це буде підвищення для тривоги. І очевидно, що ми повинні вказати саме ім’я облікового запису, тому в нашому випадку давайте просто назвемо цей приватний рахунок для того, що він має пільгу. Тепер, коли ми зробили це, коли ми це робимо тут, ми змогли б потім вказати, що ми хотіли б, щоб це сталося, коли це відбувається, і для кожного типу подій, або, я повинен сказати, попередження, ви можете мати окреме повідомлення особі, яка відповідає за конкретний фрагмент даних.
Наприклад, якщо це інформація про зарплату, вона може перейти до мого директора з персоналу. У цьому випадку, маючи справу з програмою PeopleSoft, він буде адміністратором цієї програми. Як би там не було. Я міг би вписати свою електронну адресу, налаштувати фактичне сповіщення та всі подібні речі. Знову ж таки, це повертається до того, що ви можете переконатися, що ви можете показати, що ви керуєтесь своїми контролями, і що вони керують так, як вони призначені. З останньої точки зору, саме з точки зору технічного обслуговування ми маємо можливість взяти ці дані та розмістити їх у режимі офлайн. Я можу заархівувати дані, і я можу їх запланувати, і ми зможемо зробити це дуже легко, у тому сенсі, що ви насправді зможете, як DBA, це використовуючи цей інструмент, налаштувати його і подібний піти від нього Не так вже й багато рук, яке відбудеться, як тільки ви встановите його таким, яким воно має бути. Як я вже казав, найважча частина будь-якого з цього, я думаю, - це не налаштування того, що ви хочете аудиту, це знання того, що ви хочете налаштувати на аудит.
І як я вже сказав, природу звіра з аудитом, ти повинен зберігати дані протягом семи років, тому має сенс зосередитись лише на тих сферах, які є чутливими за своєю природою. Але якщо ви хочете підходити до збору всього, ви абсолютно можете, це просто не вважається найкращою практикою. Тож з цієї точки зору я просто хотів би нагадати людям, що якщо це щось цікаве, ви можете зайти на веб-сайт за адресою IDERA.com і завантажити пробну версію про це і пограти з нею самостійно. Що стосується безкоштовного інструменту, про який ми говорили раніше, це, ну, це безкоштовно, ви можете завантажити його та використовувати його назавжди, незалежно від того, чи використовуєте ви продукт Compliance Manager. І найцікавішим у цьому інструменті пошуку стовпців є те, що наші висновки, які ви придумали, і я фактично можу показати, що я думаю, що ви зможете експортувати ці дані, а потім зможете імпортувати їх у диспетчер відповідності так само. Я не бачу цього, я знаю, що це тут, воно є. Це лише приклад цього. Тут знаходиться пошук пов’язаних конфіденційних даних.
Зараз цей випадок я вийшов, і я справді переглядаю все, але у вас є лише багато речей, які ми можемо перевірити. Номери кредитних карток, адреси, імена та ін. І ми визначимо, де вона знаходиться в базі даних, а потім звідти ви зможете прийняти рішення щодо того, чи хочете ви насправді перевірити цю інформацію чи ні. Але це безумовно спосіб полегшити вам визначення сфери аудиту, коли ви дивитесь на такий інструмент.
Я просто піду вперед і закінчу з цим, і я вперед і передаю його Еріку.
Ерік Кавана: Це фантастична презентація. Мені подобається те, як ти насправді потрапляєш у тужливі деталі та показуєш нам, що відбувається. Оскільки в кінці дня існує якась система, яка збирається отримати доступ до деяких записів, це дасть вам звіт, це допоможе вам розповісти свою історію, будь то регулятору, аудитору чи комусь із вашої команди, тож добре, що ви знаєте, що ви готові, коли і коли, або як і коли, ця людина стукає, і, звичайно, це неприємна ситуація, якої ви намагаєтеся уникнути. Але якщо це станеться, і це, мабуть, відбудеться в ці дні, ви хочете бути впевнені, що у вас є пунктир і я перекреслений.
Є гарне запитання від аудиторії, яку я хочу винести, можливо, спершу, Буллет, а потім, якщо, можливо, ведучий захоче прокоментувати це, не соромтеся. І тоді, можливо, Дез задасть питання і Робіну. Отже, питання полягає в тому, чи справедливо сказати, що для виконання всіх тих речей, про які ви згадали, потрібно розпочати зусилля щодо класифікації даних на елементарному рівні? Вам потрібно знати свої дані, коли вони стають цінним потенційним активом, і щось робити з цим. Я думаю, ти погодишся, Буллет, правда?
Буллет Манале: Так, абсолютно. Я маю на увазі, ви повинні знати свої дані. І я розумію, я усвідомлюю, що існує багато додатків, які є там, і є багато різних речей, які мають рухомі частини у вашій організації. Інструмент пошуку стовпців дуже корисний для того, щоб зробити крок до того, щоб краще зрозуміти ці дані. Але так, це дуже важливо. Я маю на увазі, у вас є можливість скористатися підходом та перевірити все, але це набагато складніше логічно, коли ви говорите про необхідність зберігати ці дані та звітувати проти цих даних. І тоді вам все-таки потрібно знати, де знаходиться цей фрагмент даних, тому що, коли ви запускаєте звіти, вам також потрібно буде показати цій аудиторії цю інформацію. Тому я думаю, що, як я вже сказав, найбільша проблема, коли я розмовляю з адміністраторами баз даних, - це так.
Ерік Кавана: Так, але, можливо, Робін ми приведемо вас дуже швидко. Мені здається, тут діє правило 80/20, правда? Ви, мабуть, не збираєтеся знайти кожну систему записів, яка має значення, якщо ви знаходитесь в якійсь середній або великій організації, але якщо ви зосередьтесь на тому, - як Булет пропонував тут - PeopleSoft, наприклад, або інших системах запису, які є Переважаючи на підприємстві, саме там ви зосереджуєте 80 відсотків своїх зусиль, а потім 20 відсотків - на інших системах, які можуть бути десь там, правда?
Робін Блор: Ну я впевнений, так. Я маю на увазі, ви знаєте, я думаю, що проблема з цією технологією, і я думаю, що це, мабуть, варто прокоментувати, але проблема з цією технологією полягає в тому, як ви її реалізуєте? Я маю на увазі, в більшості організацій, безумовно, існує брак знань навіть щодо кількості баз даних, які там є. Ви знаєте, скажімо, дуже багато бракує товарних запасів. Ви знаєте, питання полягає в тому, що давайте уявимо, що ми починаємо в ситуації, коли немає особливо добре керованого дотримання, як ти сприймаєш цю технологію та впроваджуєш її в навколишнє середовище, а не лише в, знаєш, технології терміни, налаштування матеріалів, але як, хто ними керує, хто визначає що? Як ви починаєте вбирати це в справжню річ, яка робить свою роботу?
Буллет Манале: Ну я маю на увазі, це хороше питання. Проблема у багатьох випадках полягає в тому, що я маю на увазі, що ти повинен почати задавати питання вже на самому початку. Я зіткнувся з багатьма компаніями, де вони, знаєте, можливо, вони є приватною компанією, і вони придбали, є початковий, такий собі, по-перше, вид дорожнього удару, якщо ви хочете назвати це так. Наприклад, якщо я тільки зараз став публічно проданою компанією через придбання, мені доведеться повернутися назад і, ймовірно, розібратися з деякими речами.
І в деяких випадках ми розмовляємо з організаціями, які, знаєте, навіть якщо вони приватні, вони дотримуються правил дотримання SOX, просто тому, що, якщо вони хочуть придбати, вони знають, що вони повинні відповідати. Ви точно не хочете приймати підхід просто: "Мені зараз про це не потрібно хвилюватися". Будь-який тип регуляторних норм, таких як PCI або SOX, або будь-який інший, ви хочете зробити інвестиції в дослідження або розуміння того, де знаходиться ця конфіденційна інформація, інакше ви можете опинитися над якимись значними, здоровенними штрафами. І набагато краще просто вкласти цей час, знаєте, виявивши ці дані і зможете звітувати проти них і показати, що управління працює.
Так, з точки зору його налаштування, як я вже говорив, перше, що я рекомендував би людям, які готуються зіткнутися з аудитом, - це просто вийти на вулицю та провести короткий огляд бази даних, і з'ясувати, ви знайте, намагаючись зрозуміти, де ці чутливі дані. А другий підхід - почати з можливо більшої мережі з точки зору того, якою є сфера аудиту, а потім повільно обмежувати свій шлях вниз, як тільки ви, начебто, з'ясуєте, де ті сфери в системі пов'язані з конфіденційна інформація. Але я хотів би сказати вам, що на це питання легко відповісти. Мабуть, це може дуже відрізнятися від однієї організації до іншої та типу відповідності. Дійсно, як ви знаєте, скільки структури вони мають у своїх додатках і скільки у них різноманітних програм, деякі можуть бути написані на замовлення програми, тому це дійсно буде залежати від ситуації у багатьох випадках.
Ерік Кавана: Далі, Дез, я впевнений, що у вас є питання-два.
Дез Бланчфілд: Насправді я хочу лише трохи зрозуміти ваші спостереження щодо впливу на організації з точки зору людей. Я думаю, що одним із напрямків, де я бачу найбільшу цінність для цього конкретного рішення, є те, що коли люди прокидаються вранці та йдуть працювати на різних рівнях організації, вони прокидаються з низкою або ланцюжком відповідальності що вони мають мати справу. І я хочу отримати деяке розуміння того, що ви бачите там, із типом інструментів, про які ви говорите. І контекст, про який я тут говорю, - від голови правління до генерального директора та директора CIO та C-Suite. А тепер у нас є головні спеціалісти з питань ризику, які більше думають про типи речей, про які ми тут говоримо, щодо дотримання та управління, і тоді ми отримали нових шеф-ролей, головного співробітника даних, хто, знаєте, , ще більше стурбовані цим.
І на боці кожного з них, навколо CIO, у нас є ІТ-менеджери на одній стороні з, начебто ви знаєте, технічними підборами, а потім ведучими до бази даних. І в операційному просторі у нас є менеджери розвитку та лідери розвитку, а потім окремі розробки, і вони також повертаються назад до рівня адміністрування бази даних. Що ви бачите навколо реакції кожної з цих різних частин бізнесу на виклик дотримання та регуляторної звітності та їх підходу до цього? Ви бачите, що люди до цього ставляться із запалом і бачать користь від цього, чи бачите, що вони неохоче тягнуть ноги до цієї речі і просто, знаєте, роблять це для галочки в коробці? А які відповіді ви бачите, як тільки вони бачать ваше програмне забезпечення?
Буллет Манале: Так, це гарне питання. Я б сказав, що цей товар, продажі цього товару, здебільшого веде той, хто в гарячому сидінні, якщо це має сенс. У більшості випадків це DBA, і з нашої точки зору, іншими словами, вони знають, що наступає аудит, і вони несуть відповідальність, оскільки вони є DBA, щоб мати змогу надати інформацію, про яку збирається аудитор. запитати. Вони можуть це зробити, написавши власні звіти та створивши власні спеціальні сліди та всі подібні речі. Реальність полягає в тому, що вони не хочуть цього робити. У більшості випадків АБД не дуже сподіваються на початок цих розмов з аудитором. Знаєте, я скоріше скажу вам, що ми можемо зателефонувати в компанію і сказати: «Ей, це чудовий інструмент, і вам це сподобається», і покажіть їм усі можливості, і вони придбають його.
Реальність полягає в тому, що вони, як правило, не дивляться на цей інструмент, якщо вони насправді не зіткнуться з аудитом або іншою стороною цієї монети, якщо вони провели аудит і провалили його нещасно, і тепер вони їм сказали отримати допомогу або їх штрафуватимуть. Я б сказав, що з точки зору, ви знаєте, загалом, коли ви показуєте цей продукт людям, вони, безумовно, бачать його цінність, оскільки це заощаджує їм тону часу з точки зору того, що потрібно з'ясувати, про що вони хочуть повідомити., такі речі. Усі ці звіти вже вбудовані, механізми оповіщення діють, і тоді третє питання також у багатьох випадках може стати викликом. Тому що я можу показувати вам звіти протягом усього дня, але якщо ви не зможете довести мені, що ці звіти фактично дійсні, то, знаєте, для мене як ДБА це набагато жорсткіше пропозиція, щоб це могли показати. Але ми розробили технологію та техніку хешування, і всі ці речі, щоб допомогти забезпечити збереження даних у цілісності аудиторських стежок.
І тому це ті речі, які є моїми спостереженнями стосовно більшості людей, з якими ми розмовляємо. Ви знаєте, напевно, в різних організаціях, ви знаєте, як, ви чуєте про те, що ви знаєте, як, наприклад, у "Цільової" було порушення даних, і, знаєте, я маю на увазі, коли інші організації чують про штрафи та ті, види чого починаються люди, це піднімає брову, тож, сподіваємось, це відповідає на питання.
Дез Бланшфілд: Так, безумовно. Я можу уявити собі деякі DBA, коли вони, нарешті, бачать, що можна зробити з інструментом, просто розуміють, що вони також мають свої пізні ночі та вихідні. Скорочення часу та витрат та інші речі, які я бачу, коли відповідні інструменти застосовуються до всієї цієї проблеми, і це те, що я три тижні сидів у банку тут, в Австралії. Вони - глобальний банк, трійка найкращих, вони масові. І у них був проект, де вони мусили звітувати про відповідність управлінню багатством та особливому ризику, і вони розглядали роботу, яка стосується 60 тижнів для пари сотень людей. І коли їм показали подібний інструмент, як ти, який міг би просто автоматизувати процес, цей сенс виглядає на їхніх обличчях, коли вони зрозуміли, що їм не доведеться проводити X кількість тижнів із сотнями людей, які роблять ручний процес. начебто вони знайшли Бога. Але найважливішим питанням було те, як насправді вкласти це в план, як зазначив доктор Робін Блор, знаєте, це щось, що стає сумішшю поведінкового, культурного зрушення. На рівнях, з якими ви маєте справу, хто займається цим безпосередньо на рівні програми, які зміни ви бачите, коли вони починають застосовувати інструмент для того, щоб робити звіт та аудит та контролі, які ви можете запропонувати, як на відміну від того, що вони могли зробити вручну? Як це виглядає, коли вони насправді реалізуються на практиці?
Bullett Manale: Ви питаєте, яка різниця в плані поводження з цим вручну від використання цього інструменту? Це питання?
Дез Бланшфілд: Ну, конкретно, вплив на бізнес. Наприклад, якщо ми намагаємось забезпечити відповідність у ручному процесі, знаєте, ми незмінно потребуємо багато часу з великою кількістю людей. Але я здогадуюсь, якщо поставити певний контекст навколо питання, як ви знаєте, чи ми говоримо про одну людину, яка використовує цей інструмент, замінивши потенційно 50 людей, і зможе зробити те саме в реальному часі або за години проти місяців? Це такий вид, що це взагалі виявляється?
Буллет Манале: Ну я маю на увазі, це зводиться до пари речей. Перший - це можливість відповісти на ці питання. Деякі з цих речей зробити не дуже легко. Так, так, час, необхідний для того, щоб робити речі додому, писати звіти самостійно, встановлювати сліди або розширені події, щоб збирати дані вручну, може зайняти багато часу. Дійсно, я дам вам декілька, я маю на увазі, що це взагалі не стосується баз даних, але, як-от відразу після того, як сталася Enron і SOX стала поширеною, я був в одній з найбільших нафтових компаній Х'юстона, і ми розраховували, Я думаю, це було так, як 25 відсотків витрат на бізнес стосувалися дотримання SOX.
Тепер це було відразу після, і це було свого роду першим першим кроком на SOX, але справа з, я б сказав, ви знаєте, ви отримуєте багато користі, використовуючи цей інструмент у тому сенсі, що він не вимагає багато людей, які роблять це, і багато різних типів людей, які роблять це. І як я вже сказав, DBA - це не той хлопець, який насправді сподівається на розмови з аудиторами. Тож у багатьох випадках ми побачимо, що DBA може вивантажити це та зможе надати звіт взаємодію з аудитором, і вони можуть видалити себе повністю з рівняння, а не брати участь у цьому. Отже, ви знаєте, це і величезна економія, і з точки зору ресурсів, коли ви можете це зробити.
Дез Бланчфілд: Ви говорите про масштабне скорочення витрат, правда? Організації не лише знімають ризик та його накладні витрати, але я маю на увазі, по суті, ви говорите про значне скорочення витрат, A) оперативно, а також B) про те, що, знаєте, вони можуть реально забезпечити реальні дії. звітність про відповідність часу, що існує значно знижений ризик порушення даних або певного юридичного штрафу чи наслідків щодо невідповідності, правда?
Буллет Манале: Так, абсолютно. Я маю на увазі, що за недобросовісність трапляються всілякі погані речі. Вони можуть використовувати цей інструмент, і це було б чудово, або вони ні, і вони дізнаються, наскільки це насправді. Так що так, це не лише інструмент, очевидно, ви можете робити свої перевірки і все без такого інструменту. Як я вже казав, це просто забирає набагато більше часу та витрат.
Дез Бланшфілд: Це чудово. Отже, Еріку, я повернуся до тебе, тому що я думаю, що для мене це виведення, це те, що ти знаєш, такий ринок є фантастичним. Але також, по суті, річ вартує своєї ваги золота, виходячи з того, що можливість уникнути комерційного впливу проблеми, що має місце, або можливість скоротити час, необхідний для повідомлення та управління відповідності, просто робить це, ви знаєте, інструмент окупає себе одразу звуками речей.
Ерік Кавана: Це точно так. Ну, дякую за ваш сьогоднішній час, Буллетт. Дякую усім вам за ваш час та увагу, а також Робіну та Дезу. Ще одна чудова презентація сьогодні. Дякуємо нашим друзям в IDERA за те, що дозволили нам безкоштовно передавати вам цей вміст. Ми будемо архівувати цю веб-трансляцію для подальшого перегляду. Архів зазвичай зберігається протягом приблизно одного дня. І дайте нам знати, що ви думаєте про наш новий веб-сайт insideanalysis.com. Зовсім новий дизайн, цілком новий вигляд і стиль. Ми хотіли б почути ваші відгуки, і з цим я попрощаюся, люди. Ви можете мені надіслати електронний лист. Інакше ми наздоженемо вас наступного тижня. У нас протягом семи наступних п'яти тижнів у нас сім трансляцій чи щось подібне. Ми будемо зайняті. І ми будемо на Конференції Страт і на саміті IBM Analyst у Нью-Йорку пізніше цього місяця. Тож якщо ти там, заїжджай і привітайся. Бережіть, люди. Бувай.