Avtor osebja Techopedia, 14. septembra 2016
Odvzem: V tej epizodi Hot Technologies gostitelj Eric Kavanagh razpravlja o reviziji baz podatkov in skladnosti z analitiki Robin Bloor in Dez Blanchfield, pa tudi Bullett Manale iz IDERA.
Trenutno niste prijavljeni. Če si želite ogledati video, se prijavite ali prijavite.
Eric Kavanagh: Dame in gospodje, pozdravljeni in ponovno dobrodošli nazaj v Hot Technologies! Ja, resnično, 2016. V tej oddaji smo že tretje leto, zelo vznemirljive stvari. Letos smo se zibali in kotalili. To je Eric Kavanagh, vaš gostitelj. Današnja tema - to je odlična tema, saj ima veliko aplikacij v številnih panogah, odkrito povedano - "Kdo, kaj, kje in kako: zakaj želite vedeti." Da, res bomo govorili o vseh tistih zabavnih stvareh. Drsko o tvojem resnično, na Twitterju me objavi na @eric_kavanagh. Poskušam ponovno tvitniti vse omembe in ponovno tvitniti vse, kar mi kdo pošlje. Sicer pa naj bo tako.
Vroče je, da res! Celotna oddaja je zasnovana tako, da pomaga organizacijam in posameznikom razumeti določene vrste tehnologije. Tu smo zasnovali celoten program Hot Hot Technologies kot način definiranja določene vrste programske opreme ali določenega trenda ali določene vrste tehnologije. Razlog je v tem, ker odkrito povedano v svetu programske opreme pogosto pridete do teh trženjskih izrazov, ki so zajeti in včasih lahko odkrito podrejo pojme, ki naj bi jih opisali.
V tej oddaji si resnično želimo pomagati razumeti, kakšna tehnologija je, kako deluje, kdaj jo lahko uporabljate, kdaj je morda ne bi smeli uporabljati in vam dati čim več podrobnosti. Danes bomo imeli tri predstavnike: naš zelo lastni Robin Bloor, glavni analitik v skupini Bloor; naš znanstvenik s podatki, ki prihaja iz Sydneyja v Avstraliji na drugi strani planeta, Dez Blanchfield, in eden izmed naših najljubših gostov Bullett Manale, direktor prodajnega inženiringa IDERA.
Tukaj bom povedal samo nekaj stvari, ki razumejo, kdo počne kaj s tem podatkom, to je podobno kot upravljanje, kajne? Če razmišljate o vseh predpisih v panogah, kot so zdravstvena oskrba in finančne storitve, na teh področjih, so te stvari izjemno pomembne. Vedeti morate, kdo se je dotaknil informacije, kdo je kaj spremenil, kdo je dostopal do nje, kdo jo je naložil, na primer. Kaj je izvor, kakšna je vrsta teh podatkov? Lahko ste prepričani, da bodo vsa ta vprašanja v prihodnjih letih iz različnih vrst razlogov ostala pomembna. Ne samo zaradi skladnosti, čeprav HIPAA, Sarbanes-Oxley in Dodd-Frank, in vsi ti predpisi so zelo pomembni, ampak tudi samo zato, da v svojem poslu razumete, kdo kaj počne, kje, kdaj, zakaj in kako. To je dobra stvar, pozorni bomo.
Pojdi, vzemi ga, Robin Bloor.
Robin Bloor: V redu, hvala za uvod, Eric. Mislim, da to področje upravljanja mislim, da upravljanje IT ni bila beseda, ki ste jo slišali do nekaj po letu 2000, mislim. Prišlo je predvsem zato, ker mislim, da je vsekakor prišlo predvsem zato, ker je v veljavi zakonodaja o skladnosti. Predvsem HIPAA in Sarbanes-Oxley. Pravzaprav je veliko tega. Zato so organizacije spoznale, da morajo imeti niz pravil in nabor postopkov, ker je to po zakonu potrebno. Dolgo pred tem, zlasti v bančnem sektorju, je bilo veliko pobud, ki ste se jih morali držati, odvisno od vrste banke in zlasti od mednarodnih bankirjev. Začelo se je celotno usklajevanje Bazela, in sicer pred tem določenim sklopom pobud po letu 2000. Vse to resnično izhaja iz upravljanja. Mislil sem, da bom govoril o temi upravljanja kot uvodu v osredotočenost pozornosti, kdo dobi podatke.
Upravljanje podatkov, nekoč sem se razgledoval približno pet ali šest let nazaj, se oziral na definicije in sploh ni bil natančno opredeljen. Vse jasneje in jasneje je, kaj dejansko pomeni. Resničnost razmer je bila ta, da so bili v določenih mejah vsi podatki dejansko že urejeni, vendar formalnih pravil zanj ni bilo. Obstajala so posebna pravila, ki so bila posebej narejena v bančni industriji za takšno početje, vendar je spet šlo za spoštovanje. Tako ali drugače dokazujete, da ste pravzaprav bili - to je nekako povezano s tveganjem, zato je dokazilo, da ste sposobna banka, bil posel.
Če zdaj pogledate na izziv upravljanja, se začne z dejstvom gibanja velikih podatkov. Vse več virov imamo na voljo. Obseg podatkov je seveda težava s tem. Zlasti začeli smo veliko, veliko, več delati z nestrukturiranimi podatki. Začelo je postati nekaj, kar je del celotne analitične igre. In zaradi analitike so pomembni podatki in poreklo. Z vidika uporabe analitike podatkov, ki je na kakršen koli način povezan s kakršno koli skladnostjo, morate resnično vedeti, od kod prihajajo podatki in kako to, kakšni so.
Šifriranje podatkov je začelo postajati vprašanje, postalo je večje vprašanje takoj, ko smo šli na Hadoop, ker ideja o podatkovnem jezeru, v katero hranimo veliko podatkov, kar naenkrat pomeni, da imate ogromno območje ranljivosti ljudi, ki jih lahko dobijo pri tem. Šifriranje podatkov je postalo veliko bolj izrazito. Preverjanje pristnosti je bilo vedno težava. V starejšem okolju, v glavnem okolju, so imeli tako čudovito varnostno zaščito po obodu; overjanje nikoli ni bilo veliko vprašanje. Pozneje je to postalo večje vprašanje in zdaj je veliko več, ker imamo tako zelo razširjena okolja. Spremljanje dostopa do podatkov je postalo težava. Zdi se, da se spominjam različnih orodij, ki so nastala pred približno desetimi leti. Mislim, da so večino teh poganjale pobude za skladnost. Zato imamo tudi vsa pravila skladnosti, poročanje o skladnosti.
Kar nam pride na pamet je, da tudi v devetdesetih letih, ko ste delali klinična preskušanja v farmacevtski industriji, niste smeli samo dokazati, od kod prihajajo podatki - očitno je zelo pomembno, če poskušate Če želite vedeti, kdo se preizkuša in kakšni so kontekstualni podatki okoli njega, morate vedeti, kakšna so zdravila v različnih okoliščinah - morali ste zagotoviti revizijo programske opreme, ki je dejansko ustvarila podatke. To je najstrožji sklad, kar sem jih kdajkoli videl, v smislu dokazovanja, da stvari dejansko ne naklepate namerno ali po naključju. V zadnjem času je postalo vprašanje, zlasti upravljanje življenjskega cikla podatkov. Vse to je na nek način izziv, saj veliko tega ni bilo dobro opravljeno. V mnogih okoliščinah jih je treba storiti.
Temu pravim podatkovna piramida. Prej sem se že nekako pogovarjal o tem. Zdi se mi zelo zanimiv način gledanja na stvari. Podatki si lahko mislijo, da imajo plasti. Surovi podatki, če želite, so v resnici le signali ali meritve, posnetki, dogodki, večinoma posamezni zapisi. Mogoče transakcije, izračuni in združevanje seveda ustvarjajo nove podatke. Na njih je mogoče razmišljati na ravni podatkov. Ko pa podatke dejansko povežete, postanejo informacije. Postane uporabnejši, seveda pa postane bolj ranljiv za ljudi, ki ga hecajo ali zlorabljajo. Opredelim, da kot ustvarjanje resnično s strukturiranjem podatkov lahko predstavljam podatke z glosarji, shemami, ontologijami na informacijah. Ti dve spodnji plasti sta tisto, kar obdelujemo na tak ali drugačen način. Zgoraj temu pravim sloj znanja, ki ga sestavljajo pravila, politike, smernice, postopek. Nekatere od njih lahko dejansko ustvarijo vpogledi, odkriti v analitiki. Veliko jih je dejansko pravil, ki se jih morate držati. To je sloj upravljanja, če želite. Če ta sloj ni pravilno naseljen, se na tak ali drugačen način ne naseli, spodaj dveh slojev ne upravljate. Končna točka tega je razumevanje nečesa, kar biva samo v ljudeh. Računalnikom tega še ni uspelo, k sreči. V nasprotnem primeru bi bil brez službe.
Imperij upravljanja - to sem nekako sestavil, mislim, da je moralo biti pred približno devetimi meseci, morda precej prej. V bistvu sem ga nekako izboljšal, a takoj, ko smo se začeli ukvarjati z upravljanjem, potem glede na vozlišče podatkov o podjetjih ni bilo le zbiralnika podatkov, virov podatkovnih jezer, ampak tudi različnih različnih strežnikov, specializirani strežniki podatkov. Vse to je bilo treba urejati. Ko ste dejansko pogledali tudi različne razsežnosti - varnost podatkov, čiščenje podatkov, odkrivanje metapodatkov in upravljanje metapodatkov, ustvarjanje poslovnega slovarja, preslikava podatkov, podatkovna vrstica, upravljanje življenjskega cikla podatkov - potem, upravljanje spremljanja uspešnosti, upravljanje ravni ravni, sistemsko upravljanje, ki ga morda dejansko ne povezujete z upravljanjem, vendar določeno - zdaj, ko gremo v hitrejši in hitrejši svet z vedno več pretoki podatkov, dejansko lahko naredimo nekaj z določeno uspešnostjo, je pravzaprav nuja in začne postati pravilo delovanja in ne kaj drugega.
Če povzamem v zvezi z rastjo skladnosti, sem opazoval, da se je to dogajalo že več let, vendar je splošno varstvo podatkov dejansko prišlo v devetdesetih letih v Evropi. Od takrat je le še bolj in bolj izpopolnjeno. Potem so se vse te stvari začele uvajati ali izpopolnjevati. GRC, to je tveganje upravljanja in skladnost, se dogaja, odkar so banke storile Basel. ISO ustvarja standarde najrazličnejših operacij. Ves čas vem, da sem bil v IT-ju - že dolgo je - ameriška vlada je bila še posebej dejavna pri oblikovanju različnih zakonodaj: SOX, tam so Gramm-Leach-Bliley, HIPAA, FISMA, FERPA. Dobili ste tudi čudovito organizacijo NIST, ki ustvarja številne standarde, zlasti varnostne standarde, zelo koristne. Zakonodaja o varstvu podatkov v Evropi ima lokalne razlike. Na primer, kaj lahko storite z osebnimi podatki v Nemčiji, je drugačno od tistega, kar lahko storite v Slovaški republiki, Sloveniji ali kamor koli. Pred kratkim so se predstavili - in mislil sem, da bom to omenil, ker se mi zdi zabavno - Evropa uvaja idejo o pravici do pozabe. To pomeni, da bi morali biti javni podatki, ki so dejansko osebni podatki, zastarani. Mislim, da je to zabavno. Z vidika IT bo to zelo, zelo težko, če začne veljati zakonodaja. Če povzamem, bi rekel naslednje: Ker se informacijski podatki in upravljanje hitro razvijajo, se mora tudi upravljanje hitro razvijati in velja za vsa področja upravljanja.
Ko sem rekel, da bom žogo poslal Dezu.
Eric Kavanagh: Ja, tako Dez Blanchfield, vzemi ga. Robin, jaz sem s tabo, človek, umiram, da vidim, kako se igra ta pravica do pozabe. Mislim, da ne bo le izziv, ampak v osnovi nemogoče. Gre samo za kršitev čakanja, ki jo bodo izvajale vladne agencije. Dez, vzemi ga.
Dez Blanchfield: Res je in to je tema za novo razpravo. Tu imamo zelo podoben izziv v Azijsko-Tihem oceanu, še posebej v Avstraliji, kjer morajo operaterji in ponudniki internetnih storitev zabeležiti vse, kar je povezano z internetom, in jih lahko posneti in znova izvesti, če kdo od interesov naredi kaj narobe. To je zakon in ga morate upoštevati. Izziv, kot bi lahko kdo v Googlu v ZDA naročil, naj izbriše mojo zgodovino iskanja ali kar koli drugega, morda bi bilo to v skladu z evropskim pravom, zlasti nemškim zakonom o zasebnosti. Če želi agencija v Avstralijo pogledati vas, mora letalski prevoznik posredovati podrobnosti o opravljenih klicih in zgodovini iskanja, kar je izziv, vendar je to svet, v katerem živimo. Za to obstaja kopica razlogov. Naj samo skočim v svoje.
Namensko sem naslovno stran težko bral. Morate resnično težko pogledati to besedilo. Skladnost, skladna z naborom pravil, specifikacij, kontrol, politik, standardov ali zakonov z neumnim, zmedenim ozadjem. To je zato, ker morate resnično pogledati podrobnosti in izvleči informacije iz tega, kar je prekrivano, to je niz tabel in vrstic in stolpcev, bodisi zbirka podatkov, shema ali skica v Visio. Tako se zdi vsakodnevna skladnost. Težko se je potopiti v podrobnosti in izvleči ustrezne koščke informacij, ki jih potrebujete, da lahko potrdite, da ste skladni. Poročajte o tem, spremljajte ga in preizkusite.
Pravzaprav sem mislil, da je to res dober način, da to vizualiziram, ko si zastavimo vprašanje: "Ali ste skladni?" "Ali si prepričan?" "No, dokaži!" Obstaja res zabavna stvar, ki je morda nekoliko bolj anglo-keltska, toda prepričan sem, da se je po vsem svetu podal v ZDA, tako da je: "Kje je Wally?" Wally je majhen lik, ki se v teh risanih risbah zaplete v obliki knjig. Običajno slike velikega obsega A3 ali večje. Torej, risbe velikosti mize. Je majhen lik, ki nosi beanie in rdeče-belo črtasto majico. Ideja igre je, da pogledate to sliko in se v krogih ozrete naokoli, da poskusite najti Wallyja. Tam je nekje na tej sliki. Ko razmišljate o tem, kako odkriti in opisati ter poročati o skladnosti, je v mnogih pogledih igranje "Kje je Wally." Če pogledate to sliko, je lik skoraj nemogoče najti. Otroci za to preživijo ure in včeraj sem se zelo zabaval. Ko ga pogledamo, najdemo cel kup ljudi v teh risanih filmih, namerno nameščenih tam s podobnimi kosi obleke Wally iz črtastega dresa in majice ali volnenega vrha. Vendar se izkažejo za lažno pozitivne.
To je podoben izziv kot skladnost. Ko gledamo stvari, včasih se nam zdi, da je tako, sploh ni tako. Nekdo bi lahko imel dostop do baze podatkov in naj bi imel ta dostop do baze podatkov, vendar način uporabe, ki ga uporabljajo, je nekoliko drugačen od pričakovanja. Lahko bi se odločili, da je to nekaj, kar moramo pogledati. Ko pogledamo vanjo, ugotovimo, v resnici je to zelo veljaven uporabnik. Samo nekaj čudnega delajo. Mogoče je to raziskovalec računalnikov ali kdo ve. V drugih primerih je lahko ravno obratno. Resničnost, ko grem spet naprej, je Wally. Če ste v tej visoki ločljivosti izgledali resnično težko, je en lik, ki dejansko nosi primerno oblačilo. Vsi ostali so le luknjasti in podobni. Skladnost se počuti tako zelo. Večina ljudi, ki jih poznam, deluje na področjih nadzora in skladnosti ter politik podjetij. Na celotnem območju področij, ne glede na to, ali gre za tehnologijo, financiranje ali delovanje in tveganje. Pogosto je zelo težko videti Wallyja na sliki, videli boste drevesa ali les.
Vprašanje, ki si ga zastavljamo, ko razmišljamo o stvareh, kot je skladnost, je: "Veliko, kaj bi lahko šlo narobe, če skladnosti ne bomo povsem izpolnili?" V okviru današnje razprave, zlasti glede podatkovne baze in nadzora dostopa do podatkov, vam bom dal nekaj zelo resničnih primerov klicev o tem, kaj se lahko zgodi narobe v zelo kratki kratki obliki. Če pomislimo na kršitve podatkov in smo vsi že seznanjeni s kršitvami podatkov, jih slišimo v medijih in se nekako ustavimo in smejimo, ker ljudje mislijo, da gre za trge. To so osebne stvari. Ashley Madison in ljudje iščejo zmenke zunaj svojih odnosov in porok. To vrže račune. Vse te čudne stvari ali kakšen naključni evropski ali ruski ponudnik internetnih storitev ali gostujočega podjetja se zlomi. Ko pogledate te številke, se želim zavedati tega: 1, 1 milijarde ljudi v teh desetih najboljših kršitvah. In ja, prekrivanja so, verjetno obstajajo ljudje, ki imajo MySpace račun, račun Dropbox in račun Tumblr, a le zaokrožimo na milijardo ljudi.
Omenjenih prvih deset kršitev v zadnjem desetletju ali tako - niti desetletje - v večini primerov - pomeni približno eno sedmo svetovne populacije človeških bitij, realneje pa je približno 50 odstotkov števila ljudi povezanih z internet, več kot milijarda posameznikov. Do tega pride, ker skladnost v nekaterih primerih ni bila izpolnjena. V večini primerov so šlo za nadzor dostopa do baze podatkov, nadzor dostopa do določenih nizov podatkov ter sistemov in omrežij. To je strašljivo preverjanje resničnosti. Če vas to ne prestraši, ko pogledate na prvo deseterico in vidite, da je to - ali vidite, da gre za milijardo posameznikov, resničnih človeških bitij, kot smo mi, na ta poziv prav zdaj. Če imate račun LinkedIn, če ste imeli račun Dropbox ali račun Tumblr ali če ste kupili od izdelkov Adobe ali celo registrirali, prenesite brezplačni pregledovalnik Adobe. Po vsej verjetnosti ni mogoče, povsem verjetno je, da so vaši podatki, ime, priimek, e-poštni naslov, potencialno celo naslov vašega delovnega podjetja ali domači naslov ali kreditna kartica pravzaprav zaradi kršitve ki se je zgodil zaradi nadzora, ni bilo nujno, da se je dobro upravljalo v obliki upravljanja podatkov in upravljanja podatkov.
Oglejmo si jo, ko si jo bomo ogledali v resničnih podrobnostih. Ima en zaslon od njih, tam je približno 50-nekaj. Tu je še 15. Obstaja še približno 25. To so kršitve podatkov, ki so navedene na spletnem mestu z imenom haveibeenpwned.com. To bi lahko šlo narobe, če česa preprostega, kot je nadzor nad dostopom do podatkov v zbirkah podatkov na različnih poljih in vrsticah ter stolpcih in različnih aplikacijah v vašem podjetju, ne upravljate pravilno. Te organizacije zdaj temeljijo na podatkih. Večina podatkov živi v bazi podatkov v določeni obliki. Ko razmišljate o tem, je seznam kršitev, ki smo ga pravkar pogledali, in upajmo, da vam je dodal kanček hladnega tuša v smislu, da ste mislili, "Hmm, to je resnično", in je lahko vplival na vas. Leta 2012 je na primer kršitev LinkedIna danes večina strokovnjakov imela LinkedIn račun in verjetno se bodo izgubili vaši podatki. Na spletu so že od leta 2012. O tem smo pravkar povedali v letu 2016. Kaj se je s temi informacijami zgodilo v teh štirih letih? Pa je zanimivo in o tem lahko govorimo ločeno.
Upravljanje podatkovnih baz in sistemov - Pogosto govorim o tem, kar se mi zdi prvih pet izzivov pri upravljanju teh stvari. Na samem, zelo vrhunskem mestu in jih razvrščujem po želji po sebi, pa tudi po vrstnem redu vpliva, številka ena je varnost in skladnost. Nadzor in mehanizmi ter politike glede nadzora nad tem, kdo ima dostop do katerega sistema, iz katerega razloga in namena. Poročanje o tem in spremljanje, pregledovanje sistemov, pregledovanje baz podatkov in videnje, kdo lahko dejansko dostopa do zapisov, posameznih polj in zapisov.
Razmislite o tem v zelo preprosti obliki. Pogovorimo se o bančništvu in upravljanju s premoženjem kot o enem primeru. Ko se prijavite na bančni račun, recimo običajni gotovinski račun za EFTPOS kartico ali gotovinski račun ali čekovni račun. Izpolnite obrazec in na tem kosu papirja, ki ga izpolnite ali naredite prek spleta, je veliko zelo zasebnih informacij, ki segajo v računalniški sistem. Zdaj, če želi nekdo v marketingu stopiti v stik z vami in vam poslati brošuro, bi mu moral dovoliti, da vidi vaše ime in priimek ter vaš osebni naslov, na primer in potencialno vašo telefonsko številko, če vas želi hladno poklicati in ti nekaj prodal. Verjetno ne bi videli skupnega zneska denarja, ki ste ga dobili v banki iz kup razlogov. Če vas kdo gleda s tveganega vidika ali vam skuša pomagati narediti nekaj, kot so boljše obrestne mere na vašem računu, ta določena oseba verjetno želi videti, koliko denarja imate v banki, tako da lahko vam ponudimo ustrezne ravni obresti na svoj denar. Ti dve osebi imata zelo različne vloge in zelo različne razloge za te vloge ter namene teh vlog. Kot rezultat tega morate v svojem zapisu videti različne podatke, vendar ne vseh zapisov.
Ti nadzori v različnih poročilih običajnih zaslonov ali obrazcev, ki jih imajo v aplikacijah, ki se uporabljajo za upravljanje vašega računa. Razvoj za te, njihovo vzdrževanje, njihovo upravljanje, poročanje o njih in upravljanje in skladnost, ki so ovita okoli tistih, kot so oviranje mehurčkov, so vsi zelo velik izziv. To je samo izziv številka ena pri upravljanju podatkov in sistemov. Ko se s tem sklopom poglobimo v uspešnost in spremljanje ter odkrivanje in odzivnost pojavov, upravljanje in upravljanje sistema ter skladnost okoli njih, načrtovanje in razvoj sistemov od skladnosti, postane veliko težje.
Obvladovanje celotnega vprašanja zmanjšanja tveganj in izboljšanja varnosti. Moje pet največjih izzivov na tem prostoru - in všeč so mi posnetki, ki so pri carini, ko vstopate v državo - predložijo potni list in vas pregledajo, in pogledajo v njihov računalniški sistem, da vidijo, ali bi morali mimo ali ne. Če ne bi smeli, te napotijo na naslednje letalo nazaj domov. V nasprotnem primeru vas vrnejo nazaj in vam zastavijo vprašanja, kot so: "Ali prihajate na počitnice? Ste tukaj turist? Ste tukaj zaradi službe? Kakšno delo boste videli? Kje se boste nastanili ? Kako dolgo prihajate? Ali imate dovolj denarja, da pokrijete svoje stroške ali stroške? Ali boste postali tveganje za državo, v kateri ste, in morda bodo morali skrbeti za vas in vas nahraniti? "
Obstaja nekaj težav v tem prostoru podatkov, ki urejajo varstvo podatkov. Na primer v prostoru baze podatkov moramo razmišljati o blažitvi obvodov baz podatkov. Če so podatki v bazi podatkov, v običajnem okolju, v sistemu pa so krmilniki in mehanizmi. Kaj se zgodi, če je izpis podatkov narejen v več SQL in varnostno kopiran v trak? Podatkovne baze se včasih odložijo v surovi obliki in so včasih varnostno kopirane. Včasih se to stori iz tehničnih, razvojnih razlogov. Recimo, da je bil posneten izpis podatkov DB in je varnostno kopirano v trak. Kaj se zgodi, če se bom prijel za ta trak in ga obnovil? In imam surovo kopijo baze podatkov v SQL-u. To je MP datoteka, je besedilo, lahko jo preberem. Vsa gesla, ki so shranjena na tem smetišču, nimajo nadzora nad mano, ker zdaj dobivam dostop do dejanske vsebine baze podatkov, ne da bi jo varovalka varovala. Tako lahko tehnično zaobidem varnost platforme baze podatkov, ki je vgrajena v motor s skladnostjo, in upravljanje tveganj, da me ne bi več gledal na podatke. Ker potencialno razvijalec, sistemski skrbnik, imam na roki popoln izpis podatkovne baze, ki jo je treba uporabiti za varnostno kopiranje.
Zloraba podatkov - potencialno je, da se nekdo prijavi kot povišani račun in me pusti sedeti za zaslonom, iskati informacije ali podobne stvari. Lastniška revizija, dostop in uporaba podatkov ter ogled podatkov ali njihove spremembe. Nato je potrebno poročanje o tem nadzoru in skladnost. Spremljanje prometa in dostopa in tako naprej, blokiranje groženj, ki prihajajo z zunanjih lokacij in strežnikov. Na primer, če so podatki predstavljeni prek obrazca na spletni strani v internetu, ali so bile njihove injekcije SQL zaščitene s požarnimi zidovi in nadzorom koncepta? Za tem stoji dolga podrobna zgodba. Tu lahko vidite, da je le nekaj teh popolnoma temeljnih stvari, o katerih razmišljamo pri zmanjševanju in obvladovanju tveganja okoli podatkov znotraj podatkovnih baz. Nekatere od teh je dejansko razmeroma enostavno zaokrožiti, če ste na različnih nivojih tehnologij. Izziv postaja vse težji in težji, ko dobivate vse več podatkov in več baz podatkov. Bolj in bolj zahtevni so ljudje, ki morajo upravljati sisteme in spremljati njihovo uporabo, spremljati ustrezne podrobnosti, ki se nanašajo na stvari, o katerih je Robin govoril, okoli stvari, kot je osebna skladnost. Posamezniki imajo okoli sebe nadzor in mehanizme, ki ustrezajo - če storite nekaj narobe, vas bodo morda odpustili. Če se prijavim v svoj račun, če ga želite videti, bi to moralo biti kaznivo dejanje. Zdaj sem vam omogočil dostop do podatkov, ki jih ne bi smeli videti normalno.
Obstaja osebna skladnost, obstaja skladnost s podjetji, podjetja imajo politike in pravila ter nadzor, ki so si jih zastavili, tako da podjetje dobro deluje in vlagateljem in delničarjem zagotavlja donosnost dobička in dober donos. Potem so pogosto zvezni ali državni zvezni ali državni zvezni, kot ste rekli, ameriški nadzor in zakoni. Potem so tu globalni. Nekateri od večjih incidentov na svetu, kjer sta všeč Sarbanes-Oxley, dva posameznika, ki ju prosijo, naj zasnujeta načine, kako zaščititi podatke in sisteme. V Evropi obstaja Basel in v Avstraliji je vse vrste nadzora, zlasti okoli borznih in poverilnih platform, nato pa zasebnost na ravni posameznika ali podjetja. Ko se vsako od teh zloži, kot ste jo videli na enem od mest, ki jih je imel Robin, postanejo skoraj nemogoča gora za vzpon. Stroški postanejo visoki in že smo na mestu, ko izvirni tradicionalni pristop, ki ga poznate, na primer pri merjenju nadzora nad ljudmi, ni več primeren pristop, ker je obseg prevelik.
Imamo scenarij, kjer je skladnost tisto, čemur pravim zdaj, vedno aktualno vprašanje. In to je, da smo včasih imeli mesečno ali četrtletno ali letno točko, kjer bi pregledali stanje nacije in pomagali pri izpolnjevanju in nadzoru. Zagotavljanje, da so imeli določeni ljudje določen dostop in do določenega dostopa, odvisno od njihovih dovoljenj. Zdaj gre za hitrost stvari, s katero se stvari premikajo, tempo, s katerim se stvari spreminjajo, obseg, s katerim delujemo. Usklajenost je vedno aktualna tema in svetovna finančna kriza je bila le en primer, ko bi se ustrezni nadzor in ukrepi na področju varnosti in skladnosti lahko izognili scenariju, v katerem smo imeli odrešen tovorni vlak določenega vedenja. Samo ustvarjanje situacije s celim svetom, ki dejansko ve, da se bo pokvarilo in bankrotiralo. Za to potrebujemo prava orodja. Vmetavanje ljudi v vlak, metanje trupel ni več veljaven pristop, ker je skala prevelika in stvari se prehitro premikajo. Mislim, da bomo danes razpravljali o vrstah orodij, ki jih lahko uporabimo za to. Zlasti orodja, ki nam jih lahko zagotovi IDERA, ki bi to morala storiti. In s tem v mislih bom dal Bullettu, da sprehodi njegov material in nam pokaže njihov pristop in orodja, ki jih imajo na voljo za rešitev te težave, ki smo jo predložili za vas.
S tem, Bullett, vam bom predal.
Bullett Manale: Sliši se super, hvala. Želim govoriti o nekaj diapozitivih in želim vam pokazati tudi izdelek, ki ga posebej uporabljamo za zbirke podatkov SQL Server za pomoč pri skladnosti. Resnično, izziv v veliko primerih - preskočil bom nekaj teh - to je samo naš portfelj izdelkov, skozi to bom šel precej hitro. Glede tega, kje se bo ta izdelek lotil in kako se nanaša na skladnost, to vedno potegnem kot prvi diapozitiv, ker je nekako splošen: "Hej, kaj je odgovornost DBA?" Ena od stvari nadzira in nadzira dostop uporabnikov in lahko tudi ustvarja poročila. To bo povezano s tem, ko govorite s svojim revizorjem, kako težaven je lahko ta postopek, ki se bo spreminjal, odvisno od tega, ali ga boste izvajali sami ali če boste uporabljali tretjo osebo orodje za pomoč.
Na splošno, ko govorim z skrbniki baz podatkov, velikokrat nikoli niso bili vključeni v revizijo. Nekako jih morate vzgajati, kaj resnično morate storiti. Glede na vrsto skladnosti, ki jo je treba izpolniti, in zmožnost dokazovanja, da dejansko upoštevate pravila, kot velja za to raven skladnosti. Veliko ljudi tega sprva ne razume. Mislijo: "Oh, lahko samo kupim orodje, ki me bo naredilo skladnega." Realnost je, da ni tako. Želim si, da bi lahko rekel, da vam je naš izdelek na čaroben način, ko veste, da je enostavno pritisnil gumb, omogočil, da se prepričate, da ste v skladu. Resničnost je ta, da morate imeti svoje okolje nastavljeno v smislu kontrol, glede na to, kako ljudje dostopajo do podatkov, da je treba vse razviti z aplikacijo, ki jo imate. Kjer se ti občutljivi podatki hranijo, kakšne vrste regulativne zahteve so. Nato je treba sodelovati tudi z običajno internim uradnikom za skladnost, da boste lahko prepričani, da upoštevate vsa pravila.
To se sliši res zapleteno. Če pogledate vse regulativne zahteve, bi si mislili, da bi bilo tako, toda v resnici je tu skupni imenovalec. V našem primeru z orodjem, ki vam ga bom danes pokazal, izdelkom Upravljavec skladnosti, bi bil v naših razmerah takšen postopek, da moramo najprej in predvsem poskrbeti, da zbiramo podatke o revizijski sledi, kje so podatki v občutljivi bazi podatkov. Vse lahko zbereš, kajne? Lahko bi šel ven in rekel, da želim zbrati vsako transakcijo, ki se zgodi v tej bazi podatkov. Resničnost je, da imate verjetno le majhen del ali majhen odstotek transakcij, ki so dejansko povezane z občutljivimi podatki. Če gre za PCI skladnost, bo to okoli podatkov o kreditni kartici, lastnikov kreditnih kartic in njihovih osebnih podatkov. V zvezi z vašo prijavo lahko pride do številnih drugih transakcij, ki dejansko ne vplivajo na regulativne zahteve PCI.
S tega stališča prvo, ko govorim z DBA, rečem: „Izziv številka ena ne poskuša najti orodja za to. Samo vem, kje so ti občutljivi podatki in kako jih zaklenemo? "Če imate to, če lahko odgovorite na to vprašanje, potem ste na pol poti, ko lahko pokažete, da ste v skladu, ob predpostavki, da sledite pravi nadzor. Recimo za sekundo, da sledite pravilnim nadzorom in ste revizorjem povedali, da je tako. Naslednji del postopka je očitno zmožen zagotoviti revizijsko sled, ki pokaže in potrdi, da nadzor dejansko deluje. Nato sledite temu in poskrbite, da boste te podatke shranili. Običajno s stvarmi, kot so skladnost s PCI in HIPAA, in s takšnimi vrstami stvari govorite o hrambi sedem let. Govorite o veliko transakcijah in veliko podatkov.
Če hranite, zbirate vsako transakcijo, čeprav je le pet odstotkov transakcij povezanih z občutljivimi podatki, govorite o precej velikih stroških, povezanih s tem, da morate te podatke hraniti sedem let. Mislim, da je to eden največjih izzivov to, da si ljudi omislite, da so to pravi, očitno res nepotreben strošek. Prav tako je veliko lažje, če se lahko le podrobno osredotočimo na občutljiva območja v bazi. Poleg tega boste želeli imeti tudi nadzor nad nekaterimi občutljivimi informacijami. Ne samo za prikaz v revizijski sled, ampak tudi za to, da lahko stvari povežete z dejanji, ki se dogajajo, in da boste lahko obveščeni v realnem času, da boste lahko o tem seznanjeni.
Primer, ki ga vedno uporabljam, in morda ni nujno povezan s kakršno koli regulativno zahtevo, ampak samo zato, da bi lahko na primer sledil, je nekdo moral izpustiti tabelo, povezano z plačo. Če se to zgodi, vam nihče ne bo plačal, če boste izvedeli za to, če tega ne spremljate. Prepozno je. Želite vedeti, kdaj se ta miza spusti, prav, ko jo padejo, da se izognete slabim stvarem, ki se zgodijo kot rezultat nezadovoljnega zaposlenega in brisanje tabele, ki je vezana neposredno na plače.
Z omenjenim je trik v iskanju skupnega imenovalca ali uporabi tega skupnega imenovalca za preslikavo stopnje usklajenosti. To je tisto, kar poskušamo storiti s tem orodjem. V bistvu sprejemamo pristop, ne bomo vam pokazali poročila, ki je značilno za PCI, značilno za zaloge; skupni imenovalec je, če imate aplikacijo, ki uporablja SQL Server za shranjevanje občutljivih podatkov v bazo podatkov. Ko vas nekako preseže, si rečete: "Ja, to je resnično glavna stvar, na katero se moramo osredotočiti - kje so ti občutljivi podatki in kako do njih dostopati?" Ko boste to prejeli, vam ponujamo množico poročil, ki lahko dokažejo, da je dokaz, da boste v skladu s tem.
Če se vrnem k vprašanjem, ki jih zastavi revizor, bo prvo vprašanje: Kdo ima dostop do podatkov in kako do tega dostopa? Lahko dokažete, da pravi ljudje dostopajo do podatkov, napačni pa ne? Ali lahko tudi dokažete, da je revizijska sled sama nekaj, čemur lahko zaupam kot nepremagljiv vir informacij? Če vam dam izdelano revizijsko sled, mi kot revizor v resnici ne pomaga veliko, da popravim vašo revizijo, če so podatki pridobljeni. Za to potrebujemo dokaz, običajno z vidika revidiranja.
Skozi ta vprašanja nekako bolj podrobno. Izziv s prvim vprašanjem je, kot sem že povedal, vedeti, kje so ti občutljivi podatki, da bi lahko poročali o tem, kdo do njih dostopa. To je običajno nekakšna vrsta odkritja in resnično imaš na tisoče različnih aplikacij, ki so tam zunaj, na tone različnih regulativnih zahtev. V večini primerov želite sodelovati s svojim pooblaščencem za skladnost, če imate enega ali vsaj nekoga, ki bi imel nekaj dodatnega vpogleda v tem, kje so moji občutljivi podatki znotraj aplikacije. Imamo orodje, ki ga imamo, je brezplačno orodje, imenuje se iskanje v stolpcu SQL. Našim potencialnim strankam in uporabnikom, ki jih to vprašanje zanima, lahko povemo, da ga lahko prenesejo. Kar bo šlo, je to, da bo v bistvu iskal informacije v bazi podatkov, ki bodo po naravi verjetno občutljive.
Ko pa to storite, morate razumeti tudi, kako ljudje dostopajo do teh podatkov. In to bo še enkrat, pri katerih računih, v katerih skupinah Active Directory, pri katerih sodelujejo uporabniki baz podatkov, je s tem povezano članstvo vlog. In seveda ob upoštevanju, da mora vse te stvari, o katerih govorimo, odobriti revizor, tako da če rečete: "Tako zaklepamo podatke, " potem lahko revizorji pridejo nazaj in reci: "No, delaš narobe." Toda recimo, da pravijo: "Ja, to izgleda dobro. Podatke zaklenete dovolj. "
Ali lahko nadaljujete na naslednje vprašanje, ali lahko dokažete, da pravi ljudje dostopajo do teh podatkov? Z drugimi besedami, lahko jim sporočite, da so vaši nadzori, to so kontrolniki, ki jim sledite, vendar žal revizorji niso resnično zaupljivi posamezniki. Želijo si dokaz o tem in ga želijo videti v revizijski sled. In to sega v celotno skupno ime imenovalca. Ne glede na to, ali gre za PCI, SOX, HIPAA, GLBA, Basel II, je resnica, da se običajno postavljajo iste vrste vprašanj. Predmet z občutljivimi informacijami, ki je do njega dostopil v zadnjem mesecu? To bi moralo ustrezati mojim nadzorom in moral bi biti sposoben, da na koncu opravim revizijo s prikazom teh vrst poročil.
Torej, kar smo storili, je, da smo sestavili približno 25 različnih poročil, ki sledijo na istih vrstah področij kot tisti skupni imenovalec. Torej nimamo poročila za PCI ali za HIPAA ali za SOX, imamo poročila, da se zopet upirajo temu skupnemu imenovalcu. Tako da v resnici ni pomembno, katere regulativne zahteve poskušate izpolniti, v večini primerov boste lahko odgovorili na vsa vprašanja, ki vam jih bo postavil ta revizor. In povedali vam bodo, kdo, kaj, kdaj in kje pri vsaki transakciji. Veste, uporabnik, čas, ko se je zgodila transakcija, sama izjava SQL, aplikacija, iz katere je prišla, vse te dobre stvari in potem lahko tudi samodejno pošljete te podatke poročilom.
In potem, ko enkrat to presežete in ste to zagotovili revizorju, bo naslednje vprašanje dokazano. In ko rečem, dokaži, mislim dokazati, da je sama revizijska sled nekaj, čemur lahko zaupamo. Način, kako to počnemo v svojem orodju, imamo vrednosti hash in vrednosti CRC, ki se neposredno prilegajo samim dogodkom v revizijski sled. In potem je ideja takšna, da če nekdo gre ven in izbriše zapis ali če nekdo gre ven in odstrani ali doda nekaj v revizijsko sled ali nekaj spremeni v revizijski sled, lahko dokažemo, da so ti podatki, celovitost bili so kršeni sami podatki. In tako v 99, 9 odstotka časa, če je naša baza podatkov revizijske sledi zaklenjena, ne boste naleteli na to težavo, ker ko izvedemo to preverjanje integritete, revizorju v bistvu dokažemo, da samih podatkov ni bilo spremenili in izbrisali ali dodali od prvotnega pisanja od same storitve upravljanja.
To je nekakšen splošen pregled značilnih vrst vprašanj, ki bi vam jih zastavili. Zdaj se orodje, ki ga moramo obravnavati, imenuje upravitelj skladnosti SQL in naredi vse te stvari v smislu sledenja transakcij, kdo, kaj, kdaj in kje transakcij, kako to lahko storite v število različnih področij. Prijave, neuspele prijave, spremembe sheme, očitno dostop do podatkov, izbira aktivnosti, vse tiste stvari, ki se dogajajo znotraj motorja baze podatkov. Po potrebi lahko uporabnike tudi opozorimo na posebne, zelo natančne pogoje. Na primer, nekdo gre ven in si dejansko ogleda mizo, ki vsebuje vse številke mojih kreditnih kartic. Podatkov ne spreminjajo, samo gledajo. V tem primeru lahko opozorim in obvestim ljudi, da se to dogaja, ne šest ur pozneje, ko sestavljamo hlode, ampak v realnem času. V bistvu traja toliko časa, da obdelamo transakcijo s pomočjo storitve upravljanja.
Kot sem že omenil, smo videli, da se to uporablja v različnih različnih regulativnih zahtevah in dejansko ni - saj veste, kakršne koli regulativne zahteve, še enkrat, če imate skupne imenovalce, občutljive podatke v SQL strežniku baze podatkov, to je orodje, ki bi pomagalo v takšnih razmerah. Na 25 vgrajenih poročil je zdaj resničnost, da lahko to orodje naredimo za revizorja in odgovori na vsa vprašanja, ki jih zastavljajo, vendar so DBA tisti, ki morajo to delovati. Torej obstaja tudi to razmišljanje, dobro veste, z vidika vzdrževanja moramo zagotoviti, da SQL deluje tako, kot želimo. Prav tako moramo biti sposobni iti noter in si ogledati stvari, ki jih bomo lahko obiskali, in pogledati druge podatke, kar zadeva arhiviranje podatkov, avtomatizacijo tega in režijske stroške. samega izdelka. To so stvari, ki jih očitno upoštevamo.
Kar vzbuja samo arhitekturo. Na desni strani zaslona imamo primere SQL, ki jih upravljamo, vse od leta 2000 do leta 2014, pripravljamo se na izdajo različice za leto 2016. Največji zagon tega zaslona je upravljanje strežnik sam izvaja vse težke dvige. Pravkar zbiramo podatke z uporabo sledilnega API-ja, vgrajenega v SQL Server. Te informacije se nahajajo na našem strežniku za upravljanje. Sam strežnik za upravljanje sam identificira in če obstajajo dogodki, vezani na kakršne koli vrste transakcij, ki jih ne želimo, pošiljanje opozoril in takšne stvari, nato pa podatke pošlje v skladišče. Od tam lahko zaženemo poročila, lahko bi šli ven in dejansko videli te podatke v poročilih ali celo v konzoli aplikacije.
Torej, kar bom nadaljeval, je to, da nas bomo popeljali skozi, resnično hitro, in samo želim opozoriti na eno hitro, preden skočimo v izdelek, na spletni strani je zdaj povezava, ali na predstavitvi, to vas bo vodilo do tega brezplačnega orodja, ki sem ga omenil prej. Kot sem že rekel, to brezplačno orodje bo šlo ven in pogledalo bazo podatkov ter poskusilo najti področja, ki so videti kot občutljivi podatki, številke socialnega zavarovanja, številke kreditnih kartic, na podlagi poimenovanj stolpcev ali tabel, ali na podlagi videza oblike podatkov in si ga lahko prilagodite, tako da to samo poudarite.
V našem primeru naj grem naprej in delim svoj zaslon, dajte mi trenutek. V redu, in tako sem najprej želel, da vas odpeljem do same aplikacije za upravljanje skladnosti in bom to zelo hitro prestal. Ampak to je aplikacija in vidite, da imam tukaj nekaj baz podatkov in pokazal vam bom, kako enostavno je vstopiti in povedati, kaj iščete na reviziji. Z vidika sprememb sheme, varnostnih sprememb, administrativnih dejavnosti, DML, Izberi, na voljo so nam vse te možnosti, to lahko tudi filtriramo. To se vrača v najboljšo prakso, da lahko rečem: "To tabelo resnično potrebujem samo, ker vsebuje številke mojih kreditnih kartic. Ne potrebujem drugih tabel, ki vsebujejo podatke o izdelku, in vse tiste druge stvari, ki niso povezane s stopnjo skladnosti, ki jo poskušam izpolniti. "
Imamo tudi možnost, da zajemamo podatke in jih prikažemo glede na vrednosti polj, ki se spreminjajo. V številnih orodjih boste imeli nekaj, kar vam bo dalo možnost zajeti izjavo SQL, pokazati uporabnika, pokazati aplikacijo, čas in datum, vse te dobre stvari. Toda v nekaterih primerih izjava SQL sama po sebi ne bo dala dovolj informacij, da bi vam lahko povedala, kakšna je bila vrednost polja pred spremembo in vrednost polja po spremembi. In v nekaterih situacijah to potrebuješ. Morda bi želel na primer izslediti podatke o odmerjanju zdravnika na recept. Šlo je od 50mg do 80mg do 120mg, to bi lahko sledil uporabi pred in po.
Občutljivi stolpci so še ena stvar, s katero naletimo na veliko, na primer skladnost s PCI. V tem primeru imate podatke, ki so tako občutljive narave, da vam s pogledom na te podatke ni treba spreminjati, brisati ali dodajati, da lahko povzročim nepopravljivo škodo. Številke kreditnih kartic, številke socialnega zavarovanja, vse take dobre stvari, s katerimi lahko prepoznamo občutljive stolpce in nanje privežemo opozorila. Če kdo odide in pogleda te podatke, bi lahko očitno opozoril in poslal e-pošto ali ustvaril past SNMP in take stvari.
Zdaj boste v nekaterih primerih naleteli na situacijo, ko boste morda imeli izjemo. In s tem mislim, da imate situacijo, ko imate uporabnika, ki ima uporabniški račun, ki je lahko vezan na kakšno opravilo ETL, ki se izvaja sredi noči. To je dokumentiran postopek in preprosto mi ni treba vključevati teh transakcijskih podatkov za ta uporabniški račun. V tem primeru bi imeli zaupanja vrednega uporabnika. In potem bi v drugih situacijah uporabili funkcijo Privilegiranega pregledovanja uporabnikov, ki je v bistvu, če imam, recimo, aplikacijo, in ta aplikacija že izvaja revizijo, uporabnikov, ki gredo skozi aplikacijo, to je super, na revizijo se že imam kaj sklicevati. Toda za stvari, ki so na primer povezane z mojimi privilegiranimi uporabniki, fantje, ki lahko zaidejo v studio za upravljanje SQL Server, da pogledajo podatke v bazi podatkov, tega ne bodo zmanjšali. In tu lahko določimo, kdo so naši privilegirani uporabniki bodisi prek članstva v vlogah bodisi prek njihovih računov Active Directory, skupin, njihovih računov, overjenih s SQL, kjer bomo lahko izbirali vse te različne možnosti in nato od tam zagotovite, da lahko za te privilegirane uporabnike določimo vrste transakcij, ki nas zanimajo.
To so različne možnosti, ki jih imate, in ne bom šel skozi različne vrste stvari glede na časovne omejitve za to predstavitev. Vendar bi vam rad pokazal, kako lahko vidimo podatke in mislim, da vam bo všeč, kako to deluje, ker lahko to storimo na dva načina. To lahko delam interaktivno in tako, ko se pogovarjamo z ljudmi, ki jih to orodje zanima za morda lastne notranje kontrole, želijo samo vedeti, kaj se dogaja v veliko primerih. Ni nujno, da na njihovo mesto pridejo revizorji. Samo želijo vedeti: "Hej, želim iti po to mizo in videti, kdo se je je dotaknil v zadnjem tednu ali prejšnjem mesecu ali kaj drugega." V tem primeru lahko vidite, kako hitro lahko to storimo.
V primeru podatkovne zbirke zdravstvenega varstva imam tabelo z naslovom Evidenca bolnikov. In ta miza, če bi se samo združil po predmetu, bi se lahko zelo hitro začela zožiti, kjer iščemo. Mogoče bi rad združeval po kategorijah in potem morda po dogodkih. Ko to storim, lahko vidite, kako hitro se to prikaže, in tam je moja tabela bolnikov. Medtem ko preverjam, da lahko zdaj opazimo aktivnost DML, lahko vidimo, da smo imeli tisoč vstavkov DML in ko odpremo eno od teh transakcij, lahko vidimo ustrezne podatke. Kdo, kaj, kdaj, kje transakcije, stavek SQL, očitno dejanska aplikacija, ki se uporablja za izvedbo transakcije, račun, čas in datum.
Če pogledamo naslednji zavihek tukaj, zavihek Podrobnosti, to sega do tretjega vprašanja, o katerem govorimo, ki dokazuje, da integriteta podatkov ni bila kršena. V bistvu imamo pri vsakem dogodku skriven izračun naše vrednosti hash-a in to se bo nato povezalo, ko bomo preverjali integriteto. Na primer, če bi šel ven v orodje, pojdel v meni za presojo in bi moral iti ven in reči, da preverimo celovitost skladišča, bi lahko pokazal na bazo podatkov, kjer je sled revizije, se bo izvajal s preverjanjem integritete primerjamo te hash vrednosti in vrednosti CRC z dejanskimi dogodki in povedal nam bo, da ni bilo najdenih težav. Z drugimi besedami, podatki v revizijski sledi niso bili poseženi, saj jih je sprva napisala služba za upravljanje. To je očitno en način za interakcijo s podatki. Druga pot bi bila prek samih poročil. In tako vam bom samo en primer poročila.
In še enkrat, ta poročila, tako kot smo jih pripravili, niso specifična za nobene vrste standardov, kot so PCI, HIPAA, SOX ali kaj podobnega. Še enkrat, to je skupni imenovalec tega, kar počnemo, in v tem primeru, če se vrnemo k temu primeru zapisov o bolnikih, bi lahko šli ven in rekli, da v našem primeru tukaj iščemo v bazi zdravstvenih storitev in v našem primeru se želimo posebej osredotočiti na tabelo, za katero vemo, da vsebuje zasebne podatke, v našem primeru povezane z našimi pacienti. In tako, da vidim, ali lahko tu vtipkam, in gremo naprej in vodimo to poročilo. Očitno bomo od tam videli vse ustrezne podatke, povezane s tem objektom. In v našem primeru nam prikazuje mesec dni. Lahko pa bi se vrnili za šest mesecev, leto, pa vendar, koliko časa hranimo podatke.
To so takšni načini, kako bi lahko revizorju dejansko dokazali, da sledite svojim nadzorom. Ko to ugotovite, je očitno to dobro v smislu, da opravite svojo revizijo in da lahko pokažete, da sledite nadzorom in vse deluje.
Zadnja stvar, o kateri sem želel dokazati, je v administrativnem delu. Znotraj tega orodja obstajajo tudi kontrole, s katerimi lahko nastavim kontrole, da se lahko prepričam, da se lahko tega zavedam, če nekdo počne nekaj, česar ne bi smel početi. Tam bom dal nekaj primerov. Imam račun za prijavo, ki je vezan na storitev in ta storitev mora imeti povečana dovoljenja za to, kar počne. Nočem, da nekdo vstopi in uporabi ta račun v programu Management Studio in ga potem, veš, uporabi za stvari, za katere ni bil namenjen. Tu bi imeli dva merila, ki bi jih lahko uporabili. Lahko bi rekel: "Poglejte, res nas zanima to delo, recimo, z našo aplikacijo PeopleSoft, " kot primer, v redu?
Zdaj, ko sem to storil, želim povedati, kakšne prijave so vezane na račun, ki ga pripravim na to, če je aplikacija, ki se uporablja za prijavo s tem računom ni PeopleSoft, potem bo to dvig alarma. In očitno moramo sami določiti ime računa, zato v našem primeru pokličimo ta račun Priv, zaradi dejstva, da je privilegiran. Ko smo to storili, ko to storimo tukaj, bi lahko nato določili, kaj želimo, da se zgodi, ko se to zgodi, in za vsako vrsto dogodka ali, naj rečem, opozorilo, lahko imeti ločeno obvestilo osebi, ki je odgovorna za ta posamezen podatek.
Na primer, če gre za podatke o plačah, bi lahko šel mojemu direktorju za človekove pravice. V tem primeru se bo ukvarjal z aplikacijo PeopleSoft, skrbnik te aplikacije. Ne glede na to. Lahko bi vnesel svoj e-poštni naslov, prilagodil dejansko opozorilno sporočilo in vse take dobre stvari. Še enkrat se to vrne v to, da lahko zagotovite, da lahko pokažete, da sledite svojim nadzorom in da delujejo tako, kot so predvideni. Z zadnjega vidika, samo z vidika vzdrževanja, imamo te podatke, da te podatke vzamemo in pošljemo brez povezave. Podatke lahko arhiviram in jih lahko načrtujem, mi pa bi to lahko zelo enostavno naredili v smislu, da bi kot DBA dejansko lahko to storili s tem orodjem, ga nastavili in nekako pojdite stran od njega Ni veliko drža za roko, ki se bo zgodilo, ko ga boste postavili tako, kot mora biti. Kot sem že rekel, mislim, da je najtežji del tega v zvezi s tem, da ne nastavite tega, kar želite reviziji, ampak veste, kaj želite postaviti v revizijo.
In kot sem že rekel, narava zveri z revizijo moraš podatke hraniti sedem let, zato se je smiselno osredotočiti le na tista področja, ki so občutljiva. Če pa bi radi pristopili k zbiranju vsega, vsekakor lahko, to preprosto ne velja za najboljšo prakso. S tega stališča bi rad opomnil ljudi, da če je to nekaj, kar vas zanima, lahko obiščete spletno mesto na spletnem mestu IDERA.com in si naložite poskusno različico ter se sami poigrate z njim. V zvezi z brezplačnim orodjem, o katerem smo govorili prej, je to brezplačno, lahko ga prenesete in uporabite za vedno, ne glede na to, ali uporabljate izdelek upravitelja skladnosti. Kul pri tem orodju za iskanje stolpcev je, da so naše ugotovitve, ki jih prikažete, in dejansko lahko pokažem, da mislim, da boste te podatke lahko izvažali ven in jih nato lahko uvažali v upravitelja skladnosti tudi. Ne vidim, vem, da je tu, tam je. To je samo primer tega. Tu najdejo povezane občutljive podatke.
Zdaj sem šla ven in res sem, pregledala bom vse, toda imate le nekaj stvari, ki jih lahko preverimo. Številke kreditnih kartic, naslovi, imena in vse te stvari. Ugotovili bomo, kje je v podatkovni zbirki, nato pa se boste od tam lahko odločili, ali želite te podatke revidirati ali ne. Vsekakor pa je način, da si olajšate določitev obsega revizije, ko gledate takšno orodje.
Samo šel bom naprej in zaključil s tem, naprej pa ga bom poslal Eriku.
Eric Kavanagh: To je fantastična predstavitev. Všeč mi je način, kako se zares zapleteš v tamkajšnje podrobnosti in nam pokažeš, kaj se dogaja. Ker na koncu dneva obstaja neki sistem, ki bo imel dostop do nekaterih zapisov, vam bo dal poročilo, to bo, da boste lahko povedali svojo zgodbo, pa naj bo to regulatorju ali revizorju ali nekomu iz vaše ekipe, zato je dobro, če veste, da ste pripravljeni, če in kdaj, ali kot in kdaj, ta oseba prične trkati, in seveda je to neprijetna situacija, ki se ji poskušate izogniti. Če pa se zgodi in se bo najbrž zgodilo te dni, se želite prepričati, da imate piko na i jaz in vaš T prekrižen.
Vprašanje člana občinstva je dobro, ki ga želim najprej vprašati, Bullett, nato pa, če morda kakšen voditelj želi, da to komentira, se počutite svobodno. In potem bo morda Dez postavil vprašanje in Robin. Vprašanje je torej, ali je pošteno reči, da se lahko za vse tiste stvari, ki ste jih omenili, lotite klasifikacije podatkov na osnovni ravni? Svoje podatke morate poznati, ko se izkažejo kot dragoceno potencialno sredstvo, in nekaj storiti v zvezi s tem. Mislim, da bi se strinjal, Bullett, kajne?
Bullett Manale: Ja, absolutno. Mislim, vedeti moraš svoje podatke. In zavedam se, da se zavedam, da je veliko aplikacij, ki so na voljo, in veliko različnih stvari, ki imajo gibljive dele v vaši organizaciji. Orodje za iskanje stolpcev je zelo koristno, če gremo korak v smeri boljšega razumevanja teh podatkov. Ampak ja, zelo pomembno je. Mislim, imate možnost, da pristopite k ognjenemu pristopu in pregledate vse, vendar je logistično, če govorite o tem, da morate te podatke hraniti in poročati proti tem podatkom, veliko bolj zahtevno. In potem še vedno morate vedeti, kje je ta podatek, ker boste morali, ko boste vodili poročila, tudi svojim revizorjem pokazati te podatke. Zato mislim, da je, kot sem rekel, največji izziv, ko se pogovarjam z skrbniki baz podatkov, veste.
Eric Kavanagh: Ja, mogoče pa bomo Robina pripeljali zelo hitro. Zdi se mi, da tukaj velja pravilo 80/20, kajne? Verjetno ne boste našli vsakega sistema zapisov, ki je pomemben, če ste v kakšni srednji ali veliki organizaciji, vendar če se osredotočite na - kot je Bullett predlagal tukaj - PeopleSoft na primer, ali druge sisteme zapisov, ki so prevladujejo v podjetju, tam se osredotočite 80 odstotkov svojega truda in nato 20 odstotkov na druge sisteme, ki so morda nekje tam, kajne?
Robin Bloor: No, prepričan sem, da. Mislim, veste, mislim, da je težava s to tehnologijo in mislim, da jo je verjetno vredno komentirati, ampak težava s to tehnologijo je, kako jo izvajate? Mislim, v večini organizacij je vsekakor pomanjkanje znanja o številu baz podatkov, ki obstajajo tam. Saj veste, zalogaja je pomanjkanje zalog, recimo. Veste, vprašanje je, predstavljajmo si, da začnemo v situaciji, ko ni posebej dobro vodene skladnosti, kako to tehnologijo prevzamete in jo vbrizgate v okolje, ne samo v, veste, tehnologijo pogoji, nastavitev stvari, ampak kot kdo upravlja, kdo določa kaj? Kako se začnete spoprijemati s tem v pristni stvari, ki opravlja svoje delo?
Bullett Manale: No, to je dobro vprašanje. Izziv v mnogih primerih je, da morate vprašanja zastaviti že na samem začetku. Naletel sem na veliko podjetij, kjer so, veste, morda zasebno podjetje in so se pridobila, obstaja začetna, nekakšna, najprej nekakšna cestna ovira, če želite tako imenovati. Na primer, če sem šele pred kratkim postal javno trgovano podjetje zaradi prevzema, se bom moral vrniti nazaj in verjetno bom izluščil nekaj stvari.
V nekaterih primerih se pogovarjamo z organizacijami, ki, čeprav so zasebne, upoštevajo pravila skladnosti s SOX, preprosto zato, ker v primeru, da se želijo pridobiti, vedo, da jih morajo upoštevati. Vsekakor nočete sprejeti pristopa zgolj: "Ni mi treba zdaj skrbeti za to." Vsako vrsto skladnosti s predpisi, kot je PCI ali SOX, ali kar koli drugega, želite vložiti v raziskave oz. razumevanje, kje so te občutljive informacije, sicer se lahko znajdete, da imate opravka z nekaterimi velikimi, zajetnimi globami. In veliko bolje je, če vlagate ta čas, saj ugotovite, da so ti podatki sposobni poročati in pokazati, da kontrole delujejo.
Ja, kar zadeva njegovo postavitev, kot sem rekel, prva stvar, ki bi jo priporočila ljudem, ki se pripravljajo na revizijo, je, da preprosto odidejo ven in na kratko pregledajo bazo podatkov in ugotovijo, da vem, da po svojih najboljših močeh poskušajo ugotoviti, kje so ti občutljivi podatki. Drugi pristop bi bil, da začnemo z morda večjo mrežo glede na obseg revizije, nato pa počasi zajezimo svojo pot navzdol, ko boste nekako ugotovili, kje so tista področja v sistemu, ki so povezana z občutljive informacije. Vendar bi rad povedal, da na to vprašanje enostavno odgovorim. Verjetno se bo precej razlikovalo od ene organizacije do druge in vrste skladnosti in kako to, veste, koliko strukture imajo v svojih aplikacijah in koliko imajo, raznolikih aplikacij, nekatere so lahko napisane po meri aplikacije, tako da bo resnično odvisno od razmer v veliko primerih.
Eric Kavanagh: Nadaljuj, Dez, prepričan sem, da imaš vprašanje ali dve.
Dez Blanchfield: Pravzaprav želim samo vpogledati v vaša opažanja o vplivu na organizacije z vidika ljudi. Mislim, da je eno od področij, na katerem vidim največjo korist za to rešitev, ta, da se ljudje zjutraj zbudijo in delajo na različnih ravneh organizacije, se zbudijo z vrsto ali z verigo odgovornosti s katerimi se morajo spoprijeti. In želim si vpogledati v to, kaj vidite tam z in brez vrst orodij, o katerih govorite. In kontekst, o katerem govorim, je od predsedujočega upravnemu odboru do generalnega direktorja, direktorja za odnose z javnostmi in C-apartmaja. Zdaj imamo vodje tveganj, ki bolj razmišljajo o vrstah stvari, o katerih tukaj govorimo v skladu z ravnanjem in upravljanjem, in potem imamo nove vodje vlog, glavni vodja podatkov, kdo je, veste, še bolj zaskrbljeni zaradi tega.
Na strani vsakega od njih, okoli CIO, imamo na eni strani IT managerje, ki so, kot veste, tehnični vodi, nato pa vodenje baze podatkov. In v operativnem prostoru imamo vodje razvoja in razvojne potencialne rešitve, nato pa tudi posamezne razvojne dogodke, prav tako pa se vrtijo v plast upravljanja. Kaj opažate odziv vsakega od teh različnih delov podjetja na izziv skladnosti in regulativnega poročanja ter njihov pristop do tega? Ali vidite, da ljudje k temu prihajajo z vnemo in vidijo korist od tega, ali vidite, da neradi vlečejo nogi na to stvar in to, veste, počnejo zaradi klopa v škatli? In kakšni so odzivi, ki jih vidite, ko zagledajo vašo programsko opremo?
Bullett Manale: Ja, to je dobro vprašanje. Rekel bi, da ta izdelek, prodajo tega izdelka, večinoma vodi nekdo, ki je na vročem sedežu, če je to smiselno. V večini primerov je to DBA, in z naše perspektive, z drugimi besedami, vedo, da prihaja revizija in bodo odgovorni, ker so DBA, da bi lahko zagotovili informacije, ki jih bo revidiral vprašati. To lahko storijo tako, da napišejo lastna poročila in ustvarijo svoje sledove po meri in vse te vrste stvari. Realnost je taka, da tega ne želijo storiti. V večini primerov se akterji DBA v resnici ne veselijo pogovorov z revizorjem. Veste, raje bi vam rekel, da lahko pokličemo podjetje in rečemo: "Hej, to je odlično orodje in všeč vam bo, " in jim pokažite vse funkcije, ki jih bodo kupile.
Resničnost je, da tega orodja običajno ne bodo iskali, razen če se bodo dejansko soočili z revizijo ali drugo stran tega kovanca, če so imeli revizijo in je neuspešno odpovedala, in zdaj so bodo dobili pomoč ali pa jim bodo izrekli denarno kazen. Rekel bi, da glede na splošno veste, ko ta izdelek ljudem pokažete, vsekakor vidijo njegovo vrednost, saj jim to prihrani veliko časa, ker morajo ugotoviti, o čem želijo poročati., takšne stvari. Vsa ta poročila so že vgrajena, mehanizmi za opozarjanje so že vzpostavljeni, nato pa je s tretjim vprašanjem tudi v številnih primerih lahko izziv. Ker vam lahko prikažem poročila ves dan, toda če mi ne dokažete, so tedaj poročila dejansko veljavna, veste, to sem kot DBA veliko močnejši predlog, da to lahko pokažem. Vendar smo razvili tehnologijo in tehniko mešanja ter vse te vrste, da bi lahko zagotovili hranjenje podatkov v svoji integriteti revizijskih sledi.
In to so stvari, ki so moja opažanja glede večine ljudi, s katerimi se pogovarjamo. Veste, v različnih organizacijah zagotovo obstajajo znani všečki, boste slišali za, veste, kot je, da je Target na primer kršil podatke in, mislim, mislim, ko druge organizacije slišijo za globe in tiste vrste stvari, ki jih ljudje začnejo, dvigne obrv, zato upajmo, da odgovori na vprašanje.
Dez Blanchfield: Ja, vsekakor. Lahko si predstavljam, da nekateri DBA-ji, ko končno vidijo, kaj je mogoče storiti z orodjem, šele spoznajo, da imajo tudi pozne noči in vikende. Zmanjšanje časa in stroškov ter druge stvari, ki jih vidim, ko se za to težavo uporabijo ustrezna orodja, in to je to, tri tedne sem sedel pri banki tukaj v Avstraliji. So svetovna banka, prva tri banka, množične so. In imeli so projekt, v katerem so morali poročati o skladnosti z upravljanjem bogastva in zlasti o tveganju, zato so iskali 60-tedensko delo za nekaj sto ljudi. In ko so jim pokazali všeč orodje, kot si ti, ki bi lahko postopek samodejno avtomatiziralo, je bil ta občutek na njihovih obrazih, ko so ugotovili, da jim ni treba preživeti X tednov s stotimi ljudmi, ki delajo ročni postopek. kot bi našli Boga. Toda izzivalna stvar je bila, kako to dejansko načrtovati, kot je dejal dr. Robin Bloor, veste, to je nekaj, kar postane mešanica vedenjskih in kulturnih premikov. Na ravneh, s katerimi se ukvarjate, ki se s tem ukvarjate neposredno na ravni aplikacije, kakšne spremembe vidite, ko začnejo sprejemati orodje za izvajanje poročanja in revizije ter kontrol, ki jih lahko ponudite, kot v nasprotju s tem, kar bi morda storili ročno? Kako to izgleda, ko dejansko začnejo izvajati?
Bullett Manale: Sprašujete, kakšna je razlika v ročnem rokovanju s tem orodjem? Je to vprašanje?
Dez Blanchfield: No, konkretno vpliv poslovanja. Na primer, če poskušamo v ročnem postopku zagotoviti skladnost, veste, da z veliko ljudmi nenehno trajamo. Mislim, da če postavim nekaj konteksta okoli vprašanja, kot veste, ali govorimo o tem, da ena oseba, ki uporablja to orodje, nadomesti potencialno 50 ljudi in da lahko to isto počne v realnem času ali v urah v mesecih? Je to takšno, za kaj se na splošno izkaže?
Bullett Manale: No, vsekakor gre za nekaj stvari. Eden je sposobnost odgovarjati na ta vprašanja. Nekaterih od teh stvari ne bo mogoče storiti zelo enostavno. Ja, čas, potreben za domače stvari, samostojno pisanje poročil, nastavitev sledov ali razširjenih dogodkov za ročno zbiranje podatkov, bi lahko trajalo veliko časa. V resnici bom povedal nekaj, kar pomeni, to se na splošno ne nanaša na baze podatkov, ampak kot po tistem, ko se je Enron zgodil in SOX postal razširjen, sem bil v eni od večjih naftnih podjetij v Houstonu in smo računali na, Mislim, da je bilo približno 25 odstotkov naših poslovnih stroškov povezanih z izpolnjevanjem SOX.
To je bilo takoj za tem in to je bil nekakšen prvi korak pri SOX-u, toda stvar, s katero bi rekel, veste, z uporabo tega orodja dobite veliko korist v smislu, da ne potrebuje veliko ljudi, ki to počnejo, in veliko različnih vrst ljudi, ki to storijo. In kot sem že rekel, DBA običajno ni tip, ki se resnično veseli teh pogovorov z revizorji. Tako bomo v številnih primerih videli, da lahko DBA to odloži in lahko posreduje, da poročilo poroča revizorju in da se lahko popolnoma izvlečejo iz enačbe, namesto da bi bili vpleteni. Torej, veste, to je ogromen prihranek tudi v smislu virov, ko to lahko storite.
Dez Blanchfield: Govorite o množičnem znižanju stroškov, kajne? Organizacije ne samo odstranijo tveganje in režijske stroške, ampak v bistvu govorite o znatnem znižanju stroškov, A) operativno in tudi B) v dejstvu, da veste, če lahko dejansko zagotovijo resnično oz. čas poročanja o skladnosti, da je znatno zmanjšano tveganje kršitve podatkov ali kakšna pravna kazen ali učinek zaradi neskladnosti, kajne?
Bullett Manale: Ja, absolutno. Mislim, da zaradi neskladnosti se dogajajo vse vrste slabih stvari. To orodje lahko uporabljajo in bilo bi super, če pa ne, in ugotovili, kako hudo je. Torej ja, očitno ni samo orodje, lahko preverite in vse brez orodja, kot je to. Kot sem že rekel, trajalo bo veliko več časa in stroškov.
Dez Blanchfield: Super. Torej, Eric, vrnil se bom k tebi, ker mislim, da je zame to početje to, da veš, vrsta trga je fantastična. V bistvu pa je stvar zlata vredna, ker se lahko izognemo komercialnemu vplivu težave, ki se pojavlja, ali pa si lahko skrajša čas, potreben za poročanje in upravljanje skladnosti. orodje se takoj izplača ob zvokih stvari.
Eric Kavanagh: Točno tako. No, hvala za vaš čas, Bullett. Hvala vsem, ki ste bili tam, za vaš čas in pozornost, ter Robin in Dez. Še ena odlična predstavitev danes. Zahvaljujemo se našim prijateljem iz IDERA, ki so nam dovolili, da vam brezplačno prinesemo to vsebino. To spletno oddajo bomo arhivirali za poznejši ogled. Arhiv je običajno pripravljen v približno enem dnevu. In sporočite nam, kaj menite o naši novi spletni strani, insideanalysis.com. Popolnoma nov dizajn, popolnoma nov videz in občutek. Radi bi slišali vaše povratne informacije in s tem se bom poslovil, ljudje. Lahko mi pošljete e-pošto. Sicer vas bomo dohiteli naslednji teden. V naslednjih petih tednih imamo sedem spletnih oddaj ali kaj podobnega. Zasedeni bomo. In kasneje bomo na konferenci Strata in na vrhu IBM analitika v New Yorku. Če ste tam okoli, se ustavite in pozdravite. Pazite, ljudje. Adijo.