Από το προσωπικό της Techopedia, 14 Σεπτεμβρίου 2016
Takeaway: Ο οικοδεσπότης Eric Kavanagh συζητά τον έλεγχο των βάσεων δεδομένων και τη συμμόρφωση με τους αναλυτές Robin Bloor και Dez Blanchfield καθώς και Bullett Manale της IDERA σε αυτό το επεισόδιο Hot Technologies.
Δεν έχετε εισέλθει αυτήν τη στιγμή. Συνδεθείτε ή εγγραφείτε για να δείτε το βίντεο.
Eric Kavanagh: Κυρίες και κύριοι, γεια σου και καλωσορίζω πίσω, για άλλη μια φορά, στις Hot Technologies! Ναι, το 2016. Είμαστε στην τρίτη χρονιά αυτής της εκπομπής, είναι πολύ συναρπαστικό πράγμα. Έχουμε κουνιστά και έλασης φέτος. Αυτός είναι ο Eric Kavanagh, ο οικοδεσπότης σας. Το θέμα για σήμερα - αυτό είναι ένα μεγάλο θέμα, έχει πολλές εφαρμογές σε διάφορες βιομηχανίες, ειλικρινά - "Ποιος, τι, πού και πώς: Γιατί θέλετε να ξέρετε". Ναι, πράγματι, πρόκειται να μιλήσουμε για όλα αυτά τα πράγματα διασκέδασης. Υπάρχει μια διαφάνεια για την αληθινή σου, με χτύπησε στο Twitter @eric_kavanagh. Προσπαθώ να επαναδημοσιεύσω όλες τις αναφορές και να επαναδημοσιεύσω οτιδήποτε κάποιος μου στέλνει. Διαφορετικά, έτσι είναι.
Είναι ζεστό, ναι πραγματικά! Η όλη επίδειξη εδώ έχει σχεδιαστεί για να βοηθήσει οργανισμούς και άτομα να κατανοήσουν συγκεκριμένα είδη τεχνολογίας. Σχεδιάσαμε εδώ ολόκληρο το πρόγραμμα, Hot Technologies, ως έναν τρόπο καθορισμού ενός συγκεκριμένου είδους λογισμικού, μιας συγκεκριμένης τάσης ή ενός συγκεκριμένου είδους τεχνολογίας. Ο λόγος είναι επειδή ειλικρινά, στον κόσμο του λογισμικού, θα πάρετε συχνά αυτούς τους όρους μάρκετινγκ που παίρνουν συνηθισμένοι και μερικές φορές μπορούν να απογοητεύσουν ειλικρινά τις έννοιες που επρόκειτο να περιγράψουν.
Σε αυτή την εκπομπή προσπαθούμε πραγματικά να σας βοηθήσουμε να καταλάβετε τι είναι ένα συγκεκριμένο είδος τεχνολογίας, πώς λειτουργεί, πότε μπορείτε να το χρησιμοποιήσετε, πότε δεν πρέπει να το χρησιμοποιήσετε ίσως και να σας δώσουμε όσο το δυνατόν περισσότερη λεπτομέρεια. Θα έχουμε τρεις παρουσιαστές σήμερα: ο δικός μας Robin Bloor, επικεφαλής αναλυτής στην ομάδα Bloor. ο δικός μας επιστήμονας δεδομένων που καλεί από το Σίδνεϊ, την Αυστραλία στην άλλη πλευρά του πλανήτη, τον Dez Blanchfield και έναν από τους αγαπημένους μας φίλους Bullett Manale, διευθυντή της μηχανικής πωλήσεων στο IDERA.
Θα πω μόνο μερικά πράγματα εδώ, καταλαβαίνοντας ποιος κάνει τι με ποιο κομμάτι δεδομένων, αυτό είναι σαν τη διακυβέρνηση, έτσι; Εάν σκέφτεστε για όλους τους κανονισμούς γύρω από τις βιομηχανίες, όπως η υγειονομική περίθαλψη και οι χρηματοπιστωτικές υπηρεσίες, σε αυτούς τους τομείς, τα πράγματα είναι απίστευτα σημαντικά. Πρέπει να ξέρετε ποιος άγγιξε τις πληροφορίες, ποιος άλλαξε κάτι, ποιος το έδωσε πρόσβαση, ποιος το ανέβασε, για παράδειγμα. Ποια είναι η γενεαλογία, ποια είναι η πρόνοια αυτών των δεδομένων; Μπορείτε να είστε βέβαιοι ότι όλα αυτά τα ζητήματα θα παραμείνουν εμφανή τα επόμενα χρόνια για όλους τους λόγους. Όχι μόνο για τη συμμόρφωση, αν και η HIPAA, και ο Sarbanes-Oxley και ο Dodd-Frank, και όλοι αυτοί οι κανονισμοί είναι πολύ σημαντικοί, αλλά και μόνο έτσι καταλαβαίνεις στην επιχείρησή σου ποιος κάνει τι, πού, πότε, γιατί και πώς. Αυτό είναι καλό πράγμα, θα δώσουμε προσοχή.
Πάρε μπροστά, πάρτε το μακριά, Robin Bloor.
Robin Bloor: Εντάξει, ευχαριστώ πολύ για αυτή την εισαγωγή, Eric. Αυτός ο τομέας διακυβέρνησης είναι, εννοώ, η διακυβέρνηση στον τομέα της πληροφορικής δεν ήταν μια λέξη που ακούσατε λίγο μετά το έτος 2000, νομίζω. Προέκυψε κυρίως επειδή νομίζω ότι ούτως ή άλλως, συνέβη κυρίως επειδή υπάρχει νομοθεσία συμμόρφωσης που συνέβαινε. Ιδιαίτερα HIPAA και Sarbanes-Oxley. Υπάρχει πραγματικά πολλά. Ως εκ τούτου, οι οργανώσεις συνειδητοποίησαν ότι έπρεπε να έχουν ένα σύνολο κανόνων και ένα σύνολο διαδικασιών, επειδή ήταν απαραίτητο βάσει του νόμου να το κάνει αυτό. Πολύ νωρίτερα, ειδικά στον τραπεζικό τομέα, υπήρξαν διάφορες πρωτοβουλίες που έπρεπε να υπακούσετε ανάλογα με το είδος της τράπεζας που είχατε και ιδιαίτερα με τους διεθνείς τραπεζίτες. Το σύνολο της συμμόρφωσης της Βασιλείας άρχισε να λειτουργεί, πριν από αυτή τη συγκεκριμένη δέσμη πρωτοβουλιών μετά το έτος 2000. Όλα τα πράγματα καταλήγουν πραγματικά στη διακυβέρνηση. Νόμιζα ότι θα μιλήσω για το θέμα της διακυβέρνησης ως μια εισαγωγή στο επίκεντρο του να παρακολουθούμε ποιος παίρνει τα δεδομένα.
Δεδομένων της διακυβέρνησης, έβλεπα να κοιτάζω γύρω μου σκέφτομαι πριν από πέντε ή έξι χρόνια, να κοιτάξουμε γύρω μας για τους ορισμούς και δεν ήταν καθόλου σαφής. Γίνεται σαφέστερο και σαφέστερο ως προς το τι πραγματικά σημαίνει. Η πραγματικότητα της κατάστασης ήταν ότι μέσα σε ορισμένα όρια, όλα τα δεδομένα ήταν στην πραγματικότητα ρυθμισμένα στο παρελθόν, αλλά δεν υπήρχαν τυπικοί κανόνες γι 'αυτό. Υπήρχαν ειδικοί κανόνες που έγιναν ιδιαίτερα στον τραπεζικό κλάδο για να κάνουν τέτοια πράγματα, αλλά πάλι αυτό ήταν περισσότερο για τη συμμόρφωση. Με τον ένα ή τον άλλο τρόπο που αποδεικνύει ότι ήσαστε στην πραγματικότητα - είναι ένα είδος που συνδέεται με τον κίνδυνο, έτσι αποδεικνύει ότι ήταν μια βιώσιμη τράπεζα ήταν η συμφωνία.
Αν κοιτάξετε τώρα την πρόκληση της διακυβέρνησης, αρχίζει με ένα γεγονός της μεγάλης κίνησης δεδομένων. Έχουμε έναν αυξανόμενο αριθμό πηγών δεδομένων. Ο όγκος δεδομένων φυσικά είναι ένα ζήτημα με αυτό. Συγκεκριμένα, αρχίσαμε να κάνουμε πολλά, πολλά, περισσότερα με μη δομημένα δεδομένα. Άρχισε να γίνεται κάτι που είναι μέρος του συνόλου του παιχνιδιού των αναλυτών. Και εξαιτίας των αναλυτικών στοιχείων, η προέλευση των δεδομένων και οι γενεαλογίες είναι σημαντικές. Πραγματικά από την άποψη της χρήσης αναλυτικών δεδομένων με οποιονδήποτε τρόπο που σχετίζεται με οποιοδήποτε είδος συμμόρφωσης, πρέπει πραγματικά να γνωρίζετε από πού προέρχονται τα δεδομένα και πώς φτάνει να είναι αυτό που είναι.
Η κρυπτογράφηση δεδομένων άρχισε να γίνεται ένα ζήτημα, έγινε ένα μεγαλύτερο ζήτημα μόλις πήγαμε στον Hadoop επειδή η ιδέα μιας λίμνης δεδομένων στην οποία αποθηκεύουμε πολλά δεδομένα, ξαφνικά σημαίνει ότι έχετε μια τεράστια περιοχή ευπάθειας των ανθρώπων που μπορούν να πάρουν σε αυτό. Η κρυπτογράφηση των δεδομένων έγινε πολύ πιο εμφανής. Ο έλεγχος ταυτότητας ήταν πάντα ένα ζήτημα. Στο παλαιότερο περιβάλλον, σε αυστηρά περιβάλλοντα mainframe, είχαν τέτοια υπέροχη προστασία της περιμέτρου ασφαλείας. ο έλεγχος ταυτότητας δεν ήταν ποτέ πολύ θέμα. Αργότερα έγινε ένα μεγαλύτερο πρόβλημα και είναι πολύ περισσότερο ένα ζήτημα τώρα, επειδή έχουμε τέτοια εξαιρετικά κατανεμημένα περιβάλλοντα. Παρακολούθηση πρόσβασης σε δεδομένα, που έγινε θέμα. Φαίνω να θυμάμαι διάφορα εργαλεία που δημιουργήθηκαν πριν από περίπου δέκα χρόνια. Νομίζω ότι τα περισσότερα από αυτά προωθήθηκαν από πρωτοβουλίες συμμόρφωσης. Επομένως, έχουμε επίσης όλους τους κανόνες συμμόρφωσης, την αναφορά συμμόρφωσης.
Το πράγμα που έχει έρθει στο μυαλό είναι ότι ακόμα και τη δεκαετία του 1990, όταν κάνατε κλινικές δοκιμές στη φαρμακευτική βιομηχανία, όχι μόνο έπρεπε να είστε σε θέση να αποδείξετε από πού προέρχονταν τα δεδομένα - προφανώς είναι πολύ σημαντικό, εάν προσπαθείτε να αποκτήσετε φάρμακα σε διάφορα περιβάλλοντα, να γνωρίζετε ποιος δοκιμάζεται και ποια είναι τα δεδομένα που βρίσκονται γύρω από αυτό - θα έπρεπε να είστε σε θέση να παράσχετε έναν έλεγχο του λογισμικού που όντως δημιούργησε τα δεδομένα. Είναι το πιο σοβαρό κομμάτι συμμόρφωσης που έχω δει ποτέ οπουδήποτε, όσον αφορά την απόδειξη ότι δεν ενοχλείτε τα πράγματα σκόπιμα ή τυχαία. Τον τελευταίο καιρό, ιδιαίτερα η διαχείριση του κύκλου ζωής των δεδομένων έχει γίνει ένα ζήτημα. Όλα αυτά είναι κατά κάποιο τρόπο προκλήσεις, επειδή πολλά από αυτά δεν έχουν γίνει καλά. Σε πολλές περιπτώσεις είναι απαραίτητο να τα κάνετε.
Αυτό λέω την πυραμίδα δεδομένων. Έχω μιλήσει μέσα από αυτό πριν από λίγο. Θεωρώ πολύ ενδιαφέρουσα την εξέταση των πραγμάτων. Μπορείτε να σκεφτείτε τα δεδομένα ως έχουν στρώματα. Τα ακατέργαστα δεδομένα, αν θέλετε, είναι πραγματικά μόνο σήματα ή μετρήσεις, εγγραφές, γεγονότα, μεμονωμένα αρχεία κυρίως. Ενδεχομένως οι συναλλαγές, οι υπολογισμοί και οι συνόψεις δημιουργούν φυσικά νέα δεδομένα. Μπορούν να θεωρηθούν στο επίπεδο των δεδομένων. Πάνω από αυτό, μόλις συνδέσετε τα δεδομένα μαζί, γίνεται πληροφόρηση. Γίνεται πιο χρήσιμος, αλλά φυσικά γίνεται πιο ευάλωτος στους ανθρώπους που το χτυπάνε ή το κακοποίησαν. Ορίζω ότι, όπως δημιουργείται, πραγματικά, μέσω της δομής των δεδομένων, είναι σε θέση να οπτικοποιήσει τα δεδομένα που έχουν γλωσσάρια, σχήματα, οντολογίες στις πληροφορίες. Αυτά τα δύο χαμηλότερα στρώματα είναι αυτά που επεξεργαζόμαστε με τον ένα ή τον άλλο τρόπο. Πάνω απ 'αυτό λέω το επίπεδο γνώσεων που αποτελείται από κανόνες, πολιτικές, κατευθυντήριες γραμμές, διαδικασία. Ορισμένες από τις οποίες μπορεί να δημιουργηθούν από τις ιδέες που ανακαλύφθηκαν στην ανάλυση. Πολλοί από αυτούς είναι στην πραγματικότητα πολιτικές που πρέπει να τηρήσετε. Αυτό είναι το επίπεδο, αν θέλετε, της διακυβέρνησης. Αυτό είναι όπου, με τον ένα ή τον άλλο τρόπο, εάν αυτό το στρώμα δεν είναι σωστά γεμάτο, τότε τα δύο παρακάτω επίπεδα δεν διαχειρίζονται. Το τελευταίο σημείο για αυτό είναι, κατανόηση σε κάτι που κατοικεί μόνο στα ανθρώπινα όντα. Οι υπολογιστές δεν κατάφεραν να το κάνουν ακόμα, ευτυχώς. Διαφορετικά, θα ήθελα να είμαι εκτός εργασίας.
Η αυτοκρατορία διακυβέρνησης - το έβαλα μαζί, νομίζω ότι πρέπει να ήταν πριν από περίπου εννέα μήνες, πιθανώς πολύ νωρίτερα από αυτό. Βασικά, το έχω ενισχύσει, αλλά μόλις αρχίσαμε να ανησυχούμε για τη διακυβέρνηση, τότε υπήρχε, από την άποψη του εταιρικού κόμβου δεδομένων, δεν υπήρχαν μόνο οι ταμιευτήρες δεδομένων, οι πηγές δεδομένων λιμνών, αλλά και οι γενικοί εξυπηρετητές διαφόρων ειδών, ειδικούς διακομιστές δεδομένων. Όλα τα οποία έπρεπε να κυβερνηθούν. Όταν εξετάσατε και τις διάφορες διαστάσεις - ασφάλεια δεδομένων, καθαρισμός δεδομένων, ανακάλυψη μεταδεδομένων και διαχείριση μεταδεδομένων, δημιουργία επιχειρηματικού γλωσσάριου, χαρτογράφηση δεδομένων, καταγραφή δεδομένων, διαχείριση κύκλου ζωής δεδομένων - στη συνέχεια, διαχείριση παρακολούθησης απόδοσης, , η διαχείριση του συστήματος, η οποία ίσως δεν σχετίζεται με τη διακυβέρνηση, αλλά είναι σίγουρο - τώρα που πηγαίνουμε σε έναν γρηγορότερο και γρηγορότερο κόσμο με όλο και περισσότερες ροές δεδομένων, όντας σε θέση να κάνουμε κάτι με μια συγκεκριμένη απόδοση είναι στην πραγματικότητα αναγκαιότητα αρχίζει να γίνεται ένας κανόνας λειτουργίας και όχι οτιδήποτε άλλο.
Συνοψίζοντας σε σχέση με την αύξηση της συμμόρφωσης, έβλεπα αυτό να συμβαίνει εδώ και πολλά χρόνια, αλλά η γενική προστασία δεδομένων ήρθε πραγματικά στην δεκαετία του '90 στην Ευρώπη. Μόλις πήρε περισσότερα και πιο εξελιγμένα από τότε. Στη συνέχεια, όλα αυτά τα πράγματα άρχισαν να εισάγονται ή να γίνονται πιο εξελιγμένα. GRC, αυτός είναι ο κίνδυνος διακυβέρνησης και η συμμόρφωση, συνεχίζεται από τότε που οι τράπεζες έκαναν τη Βασιλεία. Το ISO έχει δημιουργήσει πρότυπα διαφόρων ειδών λειτουργιών. Ξέρω για όλη την ώρα που βρισκόμουν στην τεχνολογία πληροφορικής - εδώ και πολύ καιρό - η κυβέρνηση των ΗΠΑ ήταν ιδιαίτερα δραστήρια στη δημιουργία διάφορων νομοθεσιών: SOX, υπάρχουν Gramm-Leach-Bliley, HIPAA, FISMA, FERPA. Έχετε επίσης τον υπέροχο οργανισμό NIST που δημιουργεί πολλά πρότυπα, ιδιαίτερα πρότυπα ασφαλείας, πολύ χρήσιμα. Οι νόμοι για την προστασία δεδομένων στην Ευρώπη έχουν τοπικές αποκλίσεις. Αυτό που μπορείτε να κάνετε με τα προσωπικά δεδομένα στη Γερμανία, για παράδειγμα, είναι διαφορετικό από αυτό που μπορείτε να κάνετε στη Σλοβακική Δημοκρατία, τη Σλοβενία ή οπουδήποτε. Εισήγαγαν πρόσφατα - και σκέφτηκα ότι θα το αναφέρω διότι το βρίσκω διασκεδαστικό - η Ευρώπη εισάγει την ιδέα του δικαιώματος να ξεχαστεί. Δηλαδή, θα έπρεπε να υπάρξει καταστατικό περιορισμού των δεδομένων που είναι δημόσιο, πράγμα που είναι προσωπικά δεδομένα. Νομίζω ότι είναι ξεκαρδιστική. Από την άποψη της πληροφορικής, αυτό θα είναι πολύ, πολύ δύσκολο εάν αρχίσει να γίνεται αποτελεσματική νομοθεσία. Συνοψίζοντας, θα έλεγα τα εξής: Επειδή τα δεδομένα και η διοίκηση της πληροφορικής εξελίσσονται γρήγορα, η διακυβέρνηση πρέπει επίσης να εξελιχθεί γρήγορα και να ισχύει για όλους τους τομείς της διακυβέρνησης.
Έχοντας πει ότι θα περάσω τη μπάλα στο Dez.
Eric Kavanagh: Ναι, πράγματι, ο Dez Blanchfield, πάρτε το μακριά. Ρομπίν, είμαι μαζί σου, άνθρωπος, πεθαίνω να βλέπω να παίζει αυτό το δικαίωμα να ξεχαστείς. Νομίζω ότι δεν πρόκειται να είναι απλώς δύσκολο αλλά ουσιαστικά αδύνατο. Είναι απλώς παραβίαση της αναμονής για την άσκηση από κυβερνητικές υπηρεσίες. Dez, πάρτε το μακριά.
Dez Blanchfield: Είναι πράγματι και αυτό είναι ένα θέμα για μια άλλη συζήτηση. Έχουμε μια πολύ παρόμοια πρόκληση εδώ στην Ασία-Ειρηνικό και ιδιαίτερα στην Αυστραλία, όπου οι μεταφορείς και οι πάροχοι ISP υποχρεούνται να καταγράφουν όλα όσα σχετίζονται με το διαδίκτυο και να είναι σε θέση να τα καταγράψουν και να τα ανατρέψουν σε περίπτωση που κάποιος που ενδιαφέρει κάνει κάτι λανθασμένο. Είναι ένας νόμος και πρέπει να το συμμορφώνεστε. Η πρόκληση, ακριβώς όπως κάποιος στο Google στις Η.Π.Α. μπορεί να πει να διαγράψει το ιστορικό αναζήτησης ή οτιδήποτε άλλο, θα μπορούσε να συμμορφωθεί με το ευρωπαϊκό δίκαιο, ειδικότερα με το γερμανικό νόμο περί ιδιωτικότητας. Στην Αυστραλία, εάν μια αντιπροσωπεία θέλει να σας κοιτάξει, ο μεταφορέας πρέπει να είναι σε θέση να παράσχει λεπτομέρειες σχετικά με τις κλήσεις και το ιστορικό αναζήτησης, το οποίο είναι προκλητικό, αλλά είναι ο κόσμος στον οποίο ζούμε. Υπάρχει μια δέσμη λόγων για αυτό. Επιτρέψτε μου να πηδήσω απλά στο δικό μου.
Σκόπιμα έκανα δύσκολη την ανάγνωση της σελίδας τίτλου μου. Πρέπει να κοιτάξετε σκληρά σε αυτό το κείμενο. Συμμόρφωση, σύμφωνα με ένα σύνολο κανόνων, προδιαγραφών, ελέγχων, πολιτικών, προτύπων ή νόμων, με ένα ανόητο, ακατάστατο υπόβαθρο. Αυτό οφείλεται στο γεγονός ότι πρέπει να το δούμε σκληρά για να πάρουμε τις λεπτομέρειες και να βγάλουμε πληροφορίες από αυτό που είναι επικαλυμμένο, η οποία είναι μια σειρά από πίνακες και σειρές και στήλες, είτε μια βάση δεδομένων, ένα σχέδιο ή μια μακέτα στο Visio. Αυτό είναι το είδος της συμμόρφωσης που αισθάνεται όπως καθημερινά. Είναι πολύ δύσκολο να βυθιστείς στις λεπτομέρειες και να βγάλεις τα σχετικά κομμάτια των πληροφοριών που χρειάζεσαι για να επιβεβαιώσεις ότι είσαι συμβατός. Αναφέρετε το θέμα, παρακολουθήστε το και δοκιμάστε το.
Στην πραγματικότητα, σκέφτηκα έναν πραγματικά καλό τρόπο να το απεικονίσετε αυτό όταν αναρωτιόμαστε την ερώτηση: "Είστε συμπαγής;" "Είσαι σίγουρος?" "Λοιπόν, αποδείξτε το!" Υπάρχει ένα πραγματικά διασκεδαστικό πράγμα που είναι ίσως λίγο περισσότερο αγγλο-κελτικό, αλλά είμαι βέβαιος ότι έχει κάνει τον τρόπο του σε όλο τον κόσμο στις ΗΠΑ, οπότε είναι: "Πού είναι ο Wally;" Ο Wally είναι ένας μικρός χαρακτήρας που μπαίνει σε αυτά τα σχέδια καρτών με τη μορφή βιβλίων. Συνήθως εικόνες μεγάλης κλίμακας A3 ή μεγαλύτερες. Έτσι, τα σχέδια μεγέθους τραπέζι. Είναι ένας μικρός χαρακτήρας που φοράει κασκόλ και ένα κόκκινο-λευκό ριγέ πουκάμισο. Η ιδέα του παιχνιδιού είναι να δούμε αυτή την εικόνα και κοιτάζετε γύρω από τους κύκλους για να προσπαθήσετε να βρείτε τον Wally. Είναι εκείνη η εικόνα εκεί κάπου. Όταν σκέφτεστε πώς να ανακαλύψετε και να περιγράψετε και να αναφέρετε τη συμμόρφωση, από πολλές απόψεις είναι σαν να παίζετε "Πού είναι ο Wally". Αν κοιτάξετε την εικόνα αυτή, είναι σχεδόν αδύνατο να βρείτε τον χαρακτήρα. Τα παιδιά ξοδεύουν ώρες σε αυτό και είχα μεγάλη διασκέδαση να το κάνω αυτό χθες. Όταν το εξετάζουμε, βρίσκουμε μια ολόκληρη ομάδα ανθρώπων σε αυτά τα κινούμενα σχέδια, που εσκεμμένα τοποθετούνται εκεί με παρόμοια κομμάτια από τη στολή Wally ενός ριγέ κασκόλ και μιας φανέλας ή μάλλινης κορυφής. Αλλά γίνονται ψευδώς θετικά.
Αυτή είναι μια παρόμοια πρόκληση που έχουμε με τη συμμόρφωση. Όταν κοιτάζουμε τα πράγματα, μερικές φορές κάτι που πιστεύουμε ότι συμβαίνει, δεν συμβαίνει καθόλου. Κάποιος μπορεί να έχει πρόσβαση σε μια βάση δεδομένων και υποτίθεται ότι έχει αυτή την πρόσβαση σε μια βάση δεδομένων, αλλά ο τρόπος με τον οποίο το χρησιμοποιούν είναι ελαφρώς διαφορετικό από αυτό που περιμένουμε. Μπορούμε να αποφασίσουμε ότι αυτό είναι κάτι που πρέπει να εξετάσουμε. Όταν το εξετάσουμε, διαπιστώνουμε ότι, στην πραγματικότητα, αυτός είναι ένας πολύ έγκυρος χρήστης. Κάνουν απλά κάτι παράξενο. Ίσως είναι ερευνητής PC ή ποιος ξέρει. Σε άλλες περιπτώσεις, θα μπορούσε να είναι το αντίθετο. Η πραγματικότητα, όταν προχωρώ ξανά, υπάρχει ο Wally. Αν φαινόταν πολύ δύσκολο σε αυτό το υψηλό ψήφισμα υπάρχει ένας χαρακτήρας που φοράει την κατάλληλη ενδυμασία. Όλοι οι άλλοι είναι μόνο lookalikes και αισθάνονται-alikes. Η συμμόρφωση είναι πολύ παρόμοια. Οι περισσότεροι άνθρωποι που γνωρίζω, εργάζονται στους τομείς ελέγχου και συμμόρφωσης και πολιτικής των επιχειρήσεων. Σε ολόκληρο το φάσμα των τομέων, είτε πρόκειται για τεχνολογία, είτε πρόκειται για χρηματοδότηση, είτε για λειτουργία, και για κίνδυνο. Συχνά είναι πολύ δύσκολο να δείτε τον Wally στην εικόνα, θα δείτε τα δέντρα ή το ξύλο.
Το ερώτημα που θέτουμε εμείς οι ίδιοι, όταν σκεφτόμαστε πράγματα όπως η συμμόρφωση, είναι "Μεγάλη διαπραγμάτευση, τι θα μπορούσε να πάει στραβά αν δεν ανταποκριθούμε πλήρως στη συμμόρφωση"; Στο πλαίσιο της σημερινής συζήτησης, ειδικά γύρω από τη βάση δεδομένων και τον έλεγχο της πρόσβασης στα δεδομένα, θα σας δώσω μερικά πολύ πραγματικά παραδείγματα κλήσεων αφύπνισης σχετικά με το τι μπορεί να πάει στραβά σε πολύ σύντομη συνοπτική μορφή. Αν σκεφτούμε παραβιάσεις δεδομένων και όλοι γνωρίζουμε τις παραβιάσεις των δεδομένων, τις ακούμε στα μέσα ενημέρωσης και κάπου σταματάμε και γελάμε γιατί οι άνθρωποι σκέφτονται ότι είναι αγορές. Είναι προσωπικά πράγματα. Είναι ο Ashley Madison και άνθρωποι που θέλουν να πάρουν ημερομηνίες έξω από τις σχέσεις και τους γάμους τους. Είναι λογαριασμοί fling. Είναι όλα αυτά τα περίεργα πράγματα ή κάποιος τυχαίος ευρωπαίος ή ρώσος πάροχος υπηρεσιών διαδικτύου ή φιλοξενώντας επιχείρηση παίρνει χάκερ. Όταν φτάνει σε πράγματα όπως το MySpace και αυτά τα δέκα κορυφαία, όταν κοιτάς αυτούς τους αριθμούς, αυτό που θέλω να συνειδητοποιήσεις είναι αυτό: οι λεπτομέρειες των 1, 1 δισεκατομμυρίων ανθρώπων σε αυτές τις δέκα πρώτες παραβιάσεις. Και ναι, υπάρχουν επικαλύψεις, πιθανότατα υπάρχουν άνθρωποι που έχουν λογαριασμό στο MySpace, έναν λογαριασμό Dropbox και έναν λογαριασμό Tumblr, αλλά ας το στρογγυλοποιήσουμε σε ένα δισεκατομμύριο ανθρώπους.
Αυτές οι δέκα πρώτες παραβιάσεις για την τελευταία δεκαετία - ούτε και μια δεκαετία, στις περισσότερες περιπτώσεις - συνοψίζουν περίπου το ένα έβδομο του παγκόσμιου πληθυσμού ανθρώπων, αλλά πιο ρεαλιστικά, περίπου το 50% του αριθμού των ανθρώπων συνδέεται με internet, πάνω από ένα δισεκατομμύριο άτομα. Αυτά συμβαίνουν επειδή η συμμόρφωση δεν τηρήθηκε σε ορισμένες περιπτώσεις. Στις περισσότερες περιπτώσεις, οι έλεγχοι πρόσβασης σε βάση δεδομένων, ο έλεγχος πρόσβασης σε συγκεκριμένα σύνολα δεδομένων και τα συστήματα και τα δίκτυα. Αυτό είναι ένας τρομακτικός έλεγχος πραγματικότητας. Εάν δεν σας φοβίσει, όταν κοιτάξετε την πρώτη δεκάδα και μπορείτε να δείτε ότι αυτό είναι ένα - ή μπορεί να δει ότι αυτό είναι ένα δισεκατομμύριο άτομα, πραγματικά ανθρώπινα όντα όπως εμείς, σε αυτή την κλήση αυτή τη στιγμή. Εάν έχετε λογαριασμό στο LinkedIn, αν είχατε λογαριασμό Dropbox ή λογαριασμό Tumblr ή αν αγοράσατε από προϊόντα της Adobe ή ακόμα και κατέγραψε δωρεάν download Adobe viewer. Είναι απολύτως πιθανό, δεν είναι δυνατόν, είναι πιθανό ότι τα στοιχεία σας, το ονοματεπώνυμό σας, το επώνυμό σας, η διεύθυνση ηλεκτρονικού ταχυδρομείου σας, ενδεχομένως η διεύθυνση της εταιρείας εργασίας σας, η διεύθυνση κατοικίας σας ή η πιστωτική σας κάρτα, είναι πραγματικά εκεί έξω λόγω παραβίασης που πραγματοποιήθηκε εξαιτίας των ελέγχων, οι οποίοι δεν ήταν αναγκαστικά σε καλή διαχείριση με τη μορφή διαχείρισης δεδομένων, διακυβέρνηση δεδομένων.
Ας ρίξουμε μια ματιά σε αυτό όταν το εξετάζουμε λεπτομερώς. Υπάρχει μια οθόνη από αυτά, υπάρχει περίπου 50-κάτι εκεί. Υπάρχουν άλλα 15. Υπάρχει περίπου άλλα 25. Αυτά είναι παραβιάσεις δεδομένων που αναφέρονται σε έναν ιστότοπο που ονομάζεται hasibeenpwned.com. Αυτό είναι που θα μπορούσε να πάει στραβά, αν κάτι απλό ως έλεγχος που είχε πρόσβαση σε δεδομένα σε βάσεις δεδομένων σε διαφορετικά πεδία και γραμμές και στήλες και διαφορετικές εφαρμογές στην επιχείρησή σας, δεν διαχειρίζονται σωστά. Αυτές οι οργανώσεις είναι τώρα καθοδηγούμενες από δεδομένα. Τα περισσότερα δεδομένα ζουν σε μια βάση δεδομένων σε κάποια μορφή. Όταν το σκεφτείτε, αυτό το κατάλογο παραβιάσεων που μόλις εξετάσαμε και ελπίζουμε ότι σας έδωσε ένα κομμάτι από ένα ψυχρό ντους με μια έννοια, επειδή σκεφτήκατε "Χμμ, αυτό είναι πολύ πραγματικό" και αυτό σας έχει επηρεάσει ενδεχομένως. Το 2012, αυτή η παραβίαση του LinkedIn για παράδειγμα, οι περισσότεροι επαγγελματίες έχουν έναν λογαριασμό στο LinkedIn αυτές τις μέρες και είναι πιθανό ότι τα στοιχεία σας χάνονται. Έχουν βγει από το Διαδίκτυο από το 2012. Μόλις μας είπαν μόλις το 2016. Τι συνέβη με εσάς πληροφορίες σε αυτά τα τέσσερα χρόνια; Είναι ενδιαφέρον και μπορούμε να μιλήσουμε για αυτό ξεχωριστά.
Διαχείριση βάσεων δεδομένων και συστημάτων - Συχνά μιλάω για αυτά που θεωρώ τις πέντε κορυφαίες προκλήσεις όσον αφορά τη διαχείριση αυτών των πραγμάτων. Στην κορυφή της κατάταξης, κατά σειρά προτεραιότητας, αλλά και σε σειρά επιπτώσεων, η πρώτη είναι η ασφάλεια και η συμμόρφωση. Οι έλεγχοι και οι μηχανισμοί και οι πολιτικές γύρω από τον έλεγχο ποιος έχει πρόσβαση σε αυτό το σύστημα, για ποιο λόγο και σκοπό. Αναφέρουμε και παρακολουθούμε αυτό, εξετάζοντας τα συστήματα, εξετάζοντας τις βάσεις δεδομένων και βλέποντας ποιος μπορεί πραγματικά να έχει πρόσβαση σε αρχεία, μεμονωμένα πεδία και αρχεία.
Σκεφτείτε το με μια πολύ απλή φόρμα. Ας μιλήσουμε για τη διαχείριση τραπεζών και πλούτου ως ένα παράδειγμα. Όταν εγγραφείτε σε τραπεζικό λογαριασμό, ας πούμε απλώς έναν κανονικό λογαριασμό μετρητών για μια κάρτα EFTPOS ή έναν λογαριασμό μετρητών ή έναν λογαριασμό επιταγής. Μπορείτε να συμπληρώσετε μια φόρμα και υπάρχουν πολλές πολύ προσωπικές πληροφορίες σε αυτό το κομμάτι χαρτιού που συμπληρώνετε ή το κάνετε online και πηγαίνει σε ένα σύστημα υπολογιστή. Τώρα, αν κάποιος στο μάρκετινγκ θέλει να επικοινωνήσει μαζί σας και να σας στείλει ένα φυλλάδιο, θα πρέπει να επιτρέπεται να βλέπουν το όνομα, το επώνυμό σας και την προσωπική σας διεύθυνση, για παράδειγμα και ενδεχομένως τον αριθμό τηλεφώνου σας, εάν θέλουν να σας καλέσουν σου πω κάτι. Πιθανόν να μην δουν το συνολικό χρηματικό ποσό που έχετε στην τράπεζα για πολλούς λόγους. Εάν κάποιος σας κοιτάει από άποψη κινδύνου ή προσπαθεί να σας βοηθήσει να κάνετε κάτι σαν να έχετε καλύτερα επιτόκια στο λογαριασμό σας, αυτό το συγκεκριμένο άτομο πιθανώς θέλει να δει πόσα χρήματα έχετε στην τράπεζα, έτσι ώστε να μπορούν σας προσφέρουν τα κατάλληλα επιτόκια επιστροφής τόκων στα χρήματά σας. Αυτά τα δύο άτομα έχουν πολύ διαφορετικούς ρόλους και πολύ διαφορετικούς λόγους για αυτούς τους ρόλους και σκοπούς για αυτούς τους ρόλους. Ως αποτέλεσμα, πρέπει να δείτε διαφορετικές πληροφορίες στο αρχείο σας, αλλά όχι όλο το αρχείο.
Αυτοί οι έλεγχοι γύρω από τη διαφορετική αναφορά συνήθων οθονών ή τη μορφή που έχουν στις εφαρμογές που χρησιμοποιούνται για τη διαχείριση του λογαριασμού σας. Η ανάπτυξη για αυτούς, η διατήρηση αυτών, η διοίκηση αυτών, η αναφορά σε αυτά, η διακυβέρνηση και η συμμόρφωση που επικαλύπτονται γύρω από αυτά όπως το περιτύλιγμα με φυσαλίδες, όλα είναι μια πολύ μεγάλη πρόκληση. Αυτή είναι μόνο η πρώτη πρόκληση στη διαχείριση δεδομένων και συστημάτων. Όταν προχωρούμε βαθύτερα σε αυτήν την στοίβα σε επιδόσεις και παρακολούθηση και ανίχνευση και ανταπόκριση επίπτωσης, διαχείριση και διοίκηση του συστήματος και συμμόρφωση γύρω από αυτόν, ο σχεδιασμός και η ανάπτυξη των συστημάτων από τη συμμόρφωση, καθίσταται πολύ πιο δύσκολο.
Διαχείριση ολόκληρου του θέματος της μείωσης των κινδύνων και της βελτίωσης της ασφάλειας. Οι κορυφαίες πέντε προκλήσεις μου σε αυτό το διάστημα - και μου αρέσει η εικόνα που συνοδεύει ένα γραφείο τελωνείων όταν εισέρχεστε σε μια χώρα - παρουσιάζουν το διαβατήριό σας και σας ελέγχουν και εξετάζουν το σύστημα ηλεκτρονικών υπολογιστών τους για να δουν αν πρέπει περάσει ή όχι. Εάν δεν πρέπει, σας βάζουν στο επόμενο αεροπλάνο πίσω στο σπίτι. Διαφορετικά, σας αφήνουν πίσω και σας ρωτούν ερωτήματα όπως: "Έρχεστε διακοπές; Είστε εδώ ένας τουρίστας; Είστε εδώ για δουλειά; Τι είδους δουλειά πρόκειται να δείτε; "Πόσο καιρό έρχεστε; Έχετε αρκετά χρήματα για να καλύψετε τα έξοδά σας και τα κόστη σας; Ή μήπως πρόκειται να διακινδυνεύσετε τη χώρα στην οποία βρίσκεστε και ίσως να πρέπει να φροντίζουν για εσάς και να σας ταΐζουν;"
Υπάρχουν ορισμένα θέματα γύρω από αυτό το χώρο δεδομένων, που διαχειρίζονται την προστασία δεδομένων. Για παράδειγμα, στο χώρο της βάσης δεδομένων, πρέπει να σκεφτούμε τον μετριασμό των παρακαμπτηρίων βάσης δεδομένων. Εάν τα δεδομένα βρίσκονται στη βάση δεδομένων, σε ένα κανονικό περιβάλλον και υπάρχουν γύρω από το σύστημα και έλεγχοι και μηχανισμοί. Τι συμβαίνει εάν μια απόρριψη των δεδομένων γίνεται σε περισσότερες SQL και υποστηρίζεται σε κασέτα; Οι βάσεις δεδομένων απορρίπτονται σε ακατέργαστη μορφή και υποστηρίζονται μερικές φορές. Μερικές φορές γίνεται για τεχνικούς λόγους, για αναπτυξιακούς λόγους. Ας πούμε απλά ότι έχει αφαιρεθεί μια χωματερή DB και έχει δημιουργηθεί αντίγραφο ασφαλείας. Τι συμβαίνει αν συμβεί να πάρω τα χέρια μου σε αυτή την ταινία και να την επαναφέρω; Και έχω ένα πρωτογενές αντίγραφο της βάσης δεδομένων στο SQL. Είναι ένα αρχείο MP, είναι κείμενο, μπορώ να το διαβάσω. Όλοι οι κωδικοί πρόσβασης που είναι αποθηκευμένοι σε αυτήν την απόρριψη δεν έχουν κανένα έλεγχο πάνω μου, επειδή έχω πλέον πρόσβαση στο πραγματικό περιεχόμενο της βάσης δεδομένων χωρίς να προστατεύει ο μηχανισμός βάσης δεδομένων. Επομένως, μπορώ να παρακάμψω τεχνικά την ασφάλεια της πλατφόρμας βάσης δεδομένων που κατασκευάζεται στον κινητήρα με συμμόρφωση και τη διαχείριση των κινδύνων για να σταματήσω να εξετάζω τα δεδομένα. Επειδή δυνητικά ο προγραμματιστής, ο διαχειριστής του συστήματος, έχω τα χέρια μου σε μια πλήρη χωματερή της βάσης δεδομένων που θα πρέπει να χρησιμοποιηθεί για την δημιουργία αντιγράφων ασφαλείας.
Κατάχρηση των δεδομένων - ενδεχομένως να πάρει κάποιον να συνδεθεί ως ανώτερος λογαριασμός και να με αφήσει να καθίσω στην οθόνη, ψάχνοντας για πληροφορίες ή παρόμοια πράγματα. Ιδιωτικός έλεγχος, πρόσβαση και χρήση των δεδομένων και προβολή των δεδομένων ή αλλαγές στα δεδομένα. Στη συνέχεια, η αναφορά γύρω από αυτόν τον έλεγχο και η συμμόρφωση που απαιτείται. Παρακολουθήστε την κυκλοφορία και την πρόσβαση και ούτω καθεξής, αποκλείοντας απειλές που προέρχονται από εξωτερικές τοποθεσίες και διακομιστές. Για παράδειγμα, εάν τα δεδομένα παρουσιάζονται μέσω μιας φόρμας σε μια ιστοσελίδα στο διαδίκτυο, προστατεύονται οι ενέσεις SQL τους μέσω τείχους προστασίας και ελέγχων ιδεών; Υπάρχει μια μακρά λεπτομερής ιστορία που πηγαίνει πίσω από αυτό. Μπορείτε να δείτε εδώ ότι μόνο μερικά από αυτά τα απολύτως θεμελιώδη πράγματα που σκεφτόμαστε για τον μετριασμό και τη διαχείριση των κινδύνων γύρω από τα δεδομένα μέσα στις βάσεις δεδομένων. Είναι πραγματικά σχετικά εύκολο να περάσετε μερικά από αυτά αν είστε σε διαφορετικά επίπεδα στοίβας των τεχνολογιών. Η πρόκληση γίνεται όλο και πιο δύσκολη, καθώς λαμβάνετε όλο και περισσότερα δεδομένα και περισσότερες βάσεις δεδομένων. Περισσότερο και πιο δύσκολο οι άνθρωποι να διαχειρίζονται τα συστήματα και να παρακολουθούν τη χρήση τους, παρακολουθούν τις σχετικές λεπτομέρειες που αφορούν συγκεκριμένα τα πράγματα που μίλησε ο Robin, γύρω από θέματα όπως η προσωπική συμμόρφωση. Τα άτομα έχουν ελέγχους και μηχανισμούς γύρω από αυτούς που συμμορφώνονται - εάν κάνετε κάτι λάθος, είστε πιθανώς απολυμένοι. Αν συνδεθώ με τον λογαριασμό μου που θα σας επιτρέψει να το δείτε, αυτό θα πρέπει να είναι ένα αδίκημα κατάσβεσης. Τώρα έχω δώσει πρόσβαση σε δεδομένα που δεν θα έπρεπε να τα δείτε κανονικά.
Υπάρχει προσωπική συμμόρφωση, υπάρχει εταιρική συμμόρφωση, οι εταιρείες έχουν πολιτικές και κανόνες και ελέγχους που έχουν θέσει επάνω τους μόνο έτσι ώστε η εταιρεία να τρέχει καλά και να προσφέρει απόδοση κέρδους και καλή απόδοση στους επενδυτές και τους μετόχους. Στη συνέχεια, υπάρχει συχνά σε όλη την πόλη ή κρατική ή εθνική, ομοσπονδιακή όπως είπατε αμερικανική έλεγχο και νόμους. Τότε υπάρχουν παγκόσμιες. Μερικά από τα μεγαλύτερα περιστατικά στον κόσμο, όπως τα Sarbanes-Oxley, δύο άτομα που καλούνται να βρουν τρόπους για την προστασία των δεδομένων και των συστημάτων. Υπάρχει η Βασιλεία στην Ευρώπη και υπάρχει όλο το φάσμα των ελέγχων στην Αυστραλία, ιδιαίτερα γύρω από τις πλατφόρμες χρηματιστηριακών συναλλαγών και διαπιστευτηρίων, και στη συνέχεια την ιδιωτικότητα σε ατομικό ή εταιρικό επίπεδο. Όταν κάθε ένα από αυτά είναι στοιβαγμένο, όπως είδατε σε μία από τις τοποθεσίες που είχε ο Ρομπέν, γίνονται σχεδόν σχεδόν αδύνατο βουνό για να αναρριχηθεί. Το κόστος είναι υψηλό και είμαστε στο σημείο όπου η αρχική παραδοσιακή προσέγγιση που γνωρίζετε, όπως τα ανθρώπινα όντα που μετρά τον έλεγχο, δεν είναι πλέον η κατάλληλη προσέγγιση, επειδή η κλίμακα είναι πολύ μεγάλη.
Έχουμε ένα σενάριο όπου η συμμόρφωση είναι αυτό που ονομάζω τώρα ένα πάντοτε ζήτημα. Και αυτό συνηθίζαμε να έχουμε μια χρονική στιγμή, είτε σε μηνιαία είτε σε τριμηνιαία βάση ή ετησίως, όπου θα μπορούσαμε να αναθεωρήσουμε την κατάσταση του έθνους μας και να βοηθήσουμε στη συμμόρφωση και τον έλεγχο. Βεβαιωθείτε ότι ορισμένα άτομα είχαν κάποια πρόσβαση και δεν είχαν κάποια πρόσβαση ανάλογα με το ποιες ήταν οι άδειες τους. Τώρα είναι μια περίπτωση της ταχύτητας των πραγμάτων με τα οποία κινούνται τα πράγματα, του ρυθμού με τον οποίο αλλάζουν τα πράγματα, της κλίμακας στην οποία λειτουργούμε. Η συμμόρφωση είναι ένα πάντοτε ζήτημα και η παγκόσμια χρηματοπιστωτική κρίση ήταν ένα μόνο παράδειγμα, όπου οι σχετικοί έλεγχοι και τα μέτρα ασφάλειας και συμμόρφωσης θα μπορούσαν ενδεχομένως να αποφύγουν ένα σενάριο όπου είχαμε μια διαρκή εμπορευματική αμαξοστοιχία συγκεκριμένης συμπεριφοράς. Απλά δημιουργώντας μια κατάσταση με ολόκληρο τον κόσμο, γνωρίζοντας πραγματικά ότι θα έσπασε και θα χρεοκοπήσει. Για να γίνει αυτό, χρειαζόμαστε τα σωστά εργαλεία. Το να ρίχνεις ανθρώπους στο τραίνο, τα ρίχνουν σωμάτια δεν είναι πλέον μια έγκυρη προσέγγιση επειδή η κλίμακα είναι πολύ μεγάλη και τα πράγματα κινούνται πολύ γρήγορα. Η συζήτηση σήμερα, νομίζω ότι πρόκειται να έχουμε, αφορά τους τύπους εργαλείων που πρέπει να εφαρμοστούν σε αυτό. Συγκεκριμένα, τα εργαλεία που μπορεί να προσφέρει η IDERA σε εμάς πρέπει να το κάνουν. Και έχοντας αυτό κατά νου, θα το παραδώσω στη Bullett για να περπατήσει μέσα από το υλικό του και να μας δείξει την προσέγγισή τους και τα εργαλεία που πρέπει να λύσουν αυτό το πρόβλημα που έχουμε καταθέσει τώρα για εσάς.
Με αυτό, Bullett, θα σας το παραδώσω.
Bullett Manale: Ακούγεται υπέροχο, ευχαριστώ. Θέλω να μιλήσω για λίγες διαφάνειες και θέλω επίσης να σας δείξω ένα προϊόν που χρησιμοποιούμε για βάσεις δεδομένων του SQL Server ειδικά για να βοηθήσουμε με τις καταστάσεις συμμόρφωσης. Πραγματικά, η πρόκληση σε πολλές περιπτώσεις - πρόκειται να παραλείψω μερικά από αυτά - αυτό είναι μόνο το χαρτοφυλάκιό μας των προϊόντων, θα πάω να περάσω από αυτό αρκετά γρήγορα. Όσον αφορά την πραγματικότητα όπου το προϊόν πρόκειται να αντιμετωπίσει και πώς σχετίζεται με τη συμμόρφωση, πάντα τραβάω αυτό το θέμα σαν την πρώτη διαφάνεια επειδή είναι ένα είδος γενικής χρήσης, "Hey, ποια είναι η ευθύνη ενός DBA;" Ένα από τα πράγματα ελέγχει και παρακολουθεί την πρόσβαση των χρηστών και είναι επίσης σε θέση να παράγει αναφορές. Αυτό θα συνδέεται με όταν μιλάτε με τον ελεγκτή σας, πόσο δύσκολη αυτή η διαδικασία μπορεί να είναι να ποικίλλει ανάλογα με το εάν πρόκειται να το κάνετε μόνοι σας ή αν πρόκειται να χρησιμοποιήσετε ένα τρίτο μέρος εργαλείο για να βοηθήσει.
Σε γενικές γραμμές, όταν μιλάω με διαχειριστές βάσεων δεδομένων, πολλές φορές δεν έχουν συμμετάσχει ποτέ σε έλεγχο. Κάποιος πρέπει να τους εκπαιδεύσει σε πραγματικά τι είναι ότι πραγματικά πρέπει να κάνετε. Σχετικά με το είδος συμμόρφωσης που πρέπει να εκπληρωθεί και να είναι σε θέση να αποδείξει ότι ακολουθείτε πραγματικά τους κανόνες που ισχύουν σε αυτό το επίπεδο συμμόρφωσης. Πολλοί άνθρωποι δεν το παίρνουν στην αρχή. Σκέφτονται: "Ω, μπορώ να αγοράσω ένα εργαλείο που θα με κάνει συμπαγή." Η πραγματικότητα είναι ότι δεν συμβαίνει αυτό. Θα ήθελα να πω ότι το προϊόν μας μαγικά, από εσάς γνωρίζετε, χτυπώντας το κουμπί εύκολο, σας έδωσε τη δυνατότητα να βεβαιωθείτε ότι συμμορφώνεστε. Η πραγματικότητα είναι ότι πρέπει να έχετε δημιουργήσει το περιβάλλον σας όσον αφορά τους ελέγχους, από την άποψη του τρόπου με τον οποίο οι άνθρωποι έχουν πρόσβαση στα δεδομένα, ότι όλοι πρέπει να επεξεργαστούν με την εφαρμογή που έχετε. Όταν αυτό το ευαίσθητο αποθηκεύονται τα δεδομένα, τι είδους κανονιστική απαίτηση είναι. Στη συνέχεια, πρέπει επίσης να συνεργαστείτε με έναν εσωτερικό υπάλληλο συμμόρφωσης, καθώς και να είστε σε θέση να βεβαιωθείτε ότι ακολουθείτε όλους τους κανόνες.
Αυτό ακούγεται πολύ περίπλοκο. Εάν εξετάσετε όλες τις κανονιστικές απαιτήσεις, θα θελήσατε να πιστεύετε ότι θα συμβεί αυτό, αλλά η πραγματικότητα είναι ότι υπάρχει ένας κοινός παρονομαστής εδώ. Στην περίπτωση μας με το εργαλείο που θα σας παρουσιάσω σήμερα το προϊόν της Compliance Manager, η διαδικασία στην κατάσταση μας θα είναι ότι, πρώτα απ 'όλα, πρέπει να διασφαλίσουμε ότι συλλέγουμε τα δεδομένα των διαδρομών ελέγχου, τα σχετικά όπου τα δεδομένα βρίσκονται στη βάση δεδομένων που είναι ευαίσθητη. Μπορείτε να συλλέξετε τα πάντα, σωστά; Θα μπορούσα να βγω και να πω ότι θέλω να συλλέξω κάθε συναλλαγή που συμβαίνει σε αυτή τη βάση δεδομένων. Η πραγματικότητα είναι ότι πιθανόν να έχετε μόνο ένα μικρό κλάσμα ή ένα μικρό ποσοστό συναλλαγών που σχετίζονται πραγματικά με τα ευαίσθητα δεδομένα. Εάν πρόκειται για PCI συμμόρφωση, πρόκειται για πληροφορίες σχετικά με την πιστωτική κάρτα, για τους κατόχους των πιστωτικών καρτών, για τα προσωπικά τους στοιχεία. Μπορεί να υπάρχει ένας αριθμός άλλων συναλλαγών που σχετίζονται με την αίτησή σας, που δεν έχουν καμία σχέση με τις ρυθμιστικές απαιτήσεις της PCI.
Από αυτή τη σκοπιά, το πρώτο πράγμα που μιλάω με το DBA είναι ότι "η πρώτη πρόκληση δεν είναι να προσπαθήσουμε να πάρουμε ένα εργαλείο για να κάνουμε αυτά τα πράγματα για σας. Απλώς γνωρίζουμε πού είναι αυτά τα ευαίσθητα δεδομένα και πώς κλείνουμε αυτά τα δεδομένα; "Αν το έχετε, εάν μπορείτε να απαντήσετε σε αυτή την ερώτηση, τότε βρίσκεστε στα μισά του σπιτιού για να δείξετε ότι συμμορφώνεστε, υποθέτοντας ότι ακολουθείτε τους σωστούς ελέγχους. Ας πούμε για ένα δευτερόλεπτο ότι ακολουθείτε τους σωστούς ελέγχους και είπατε στους ελεγκτές ότι αυτό συμβαίνει. Το επόμενο μέρος της διαδικασίας είναι προφανώς σε θέση να παράσχει ένα ίχνος ελέγχου που δείχνει και επικυρώνει ότι οι έλεγχοι αυτοί λειτουργούν. Στη συνέχεια, μετά από αυτό με την εξασφάλιση ότι θα αποθηκεύσετε τα δεδομένα. Συνήθως με πράγματα όπως η συμμόρφωση με PCI και HIPAA, και αυτά τα είδη των πραγμάτων, μιλάτε για επταετή αξίωση διατήρησης. Μιλάτε για πολλές συναλλαγές και πολλά δεδομένα.
Εάν φυλάσσετε, συλλέγοντας κάθε συναλλαγή παρόλο που μόνο το 5% των συναλλαγών σχετίζονται με τα ευαίσθητα δεδομένα, μιλάτε για ένα αρκετά μεγάλο κόστος που συνδέεται με την αποθήκευση αυτών των δεδομένων για επτά χρόνια. Αυτή είναι μια από τις μεγαλύτερες προκλήσεις, νομίζω, είναι να βγάλουμε το κεφάλι των ανθρώπων γύρω από αυτό για να πούμε ότι είναι προφανώς ένα περιττό κόστος. Είναι επίσης πολύ πιο εύκολο αν μπορούμε απλά να επικεντρωθούμε λεπτομερώς στις ευαίσθητες περιοχές της βάσης δεδομένων. Εκτός από αυτό, θα θέλετε επίσης ελέγχους γύρω από ορισμένες από τις ευαίσθητες πληροφορίες επίσης. Όχι μόνο για να δείξετε από την άποψη ενός διαγράμματος ελέγχου, αλλά και για να μπορέσετε να συνδέσετε τα πράγματα πίσω στις ενέργειες που συμβαίνουν και να είστε σε θέση να ενημερωθείτε σε πραγματικό χρόνο, ώστε να μπορείτε να το γνωρίζετε.
Το παράδειγμα που χρησιμοποιώ πάντα και μπορεί να μην σχετίζεται απαραιτήτως με οποιοδήποτε είδος κανονιστικής απαίτησης, αλλά απλώς να μπορεί να παρακολουθεί, για παράδειγμα, κάποιος έπρεπε να εγκαταλείψει τον πίνακα που σχετίζεται με την μισθοδοσία. Εάν συμβεί αυτό, ο τρόπος με τον οποίο θα το μάθετε, αν δεν το παρακολουθείτε, κανείς δεν πληρώνεται. Είναι πολύ αργά. Θέλετε να μάθετε πότε θα πέσει αυτό το τραπέζι, σωστά όταν πέσει, για να αποφύγετε τυχόν κακά πράγματα που συμβαίνουν ως αποτέλεσμα κάποιου δυσαρεστημένου υπαλλήλου που πηγαίνει και διαγράφοντας τον πίνακα που συνδέεται άμεσα με την μισθοδοσία.
Με αυτό είπε, το τέχνασμα βρίσκει τον κοινό παρονομαστή ή χρησιμοποιώντας αυτόν τον κοινό παρονομαστή για να καταγράψει ποιο είναι το επίπεδο συμμόρφωσης. Αυτό είναι το είδος αυτού που προσπαθούμε να κάνουμε με αυτό το εργαλείο. Βασικά ακολουθούμε την προσέγγιση, δεν πρόκειται να σας παρουσιάσουμε μια αναφορά ειδικά για την PCI, ειδικά για τα αποθέματα. ο κοινός παρονομαστής είναι ότι έχετε μια εφαρμογή που χρησιμοποιεί τον SQL Server για την αποθήκευση των ευαίσθητων δεδομένων μέσα στη βάση δεδομένων. Μόλις φτάσετε στο σημείο αυτό λέτε: "Ναι αυτό είναι πραγματικά το κύριο πράγμα που πρέπει να επικεντρωθούμε - πού είναι αυτά τα ευαίσθητα δεδομένα και πώς γίνεται η πρόσβαση;" Μόλις το έχετε, υπάρχει ένας τόνος αναφορών που προσφέρουμε, οι οποίοι μπορούν να παράσχουν ότι η απόδειξη είναι, σύμφωνα με τη συμμόρφωση.
Επιστρέφοντας στις ερωτήσεις που θέτει ένας ελεγκτής, η πρώτη ερώτηση θα είναι: Ποιος έχει πρόσβαση στα δεδομένα και πώς αποκτούν αυτή την πρόσβαση; Μπορείτε να αποδείξετε ότι οι κατάλληλοι άνθρωποι έχουν πρόσβαση στα δεδομένα και δεν είναι οι λάθος άνθρωποι; Μπορείτε επίσης να αποδείξετε ότι το ίδιο το μονοπάτι ελέγχου είναι κάτι που μπορώ να εμπιστευτώ ως αμετάβλητη πηγή πληροφοριών; Εάν σας δίνω ένα ίχνος ελέγχου που έχει κατασκευαστεί, δεν μου κάνει πολύ καλό ως ελεγκτής για να διορθώσω τον έλεγχό σας εάν οι πληροφορίες κατασκευάζονται. Χρειαζόμαστε απόδειξη αυτού, συνήθως από την άποψη του ελέγχου.
Περνώντας μέσα από αυτά τα ερωτήματα, κάπως πιο λεπτομερείς. Η πρόκληση με την πρώτη ερώτηση είναι, πρέπει να ξέρετε, όπως είπα, όπου αυτά τα ευαίσθητα δεδομένα είναι για να αναφέρετε ποιος την έχει πρόσβαση. Αυτό είναι συνήθως κάποιο είδος ανακάλυψης και πραγματικά έχετε χιλιάδες διαφορετικές εφαρμογές που είναι εκεί έξω, έχετε αρκετούς διαφορετικούς ρυθμιστικούς κανόνες. Στις περισσότερες περιπτώσεις θέλετε να συνεργαστείτε με τον υπεύθυνο συμμόρφωσης εάν έχετε έναν ή τουλάχιστον κάποιον που θα έχει κάποια πρόσθετη διορατικότητα ως προς το πού πραγματικά τα ευαίσθητα δεδομένα μου βρίσκονται μέσα στην εφαρμογή. Έχουμε ένα εργαλείο που έχουμε, είναι ένα δωρεάν εργαλείο, ονομάζεται SQL Column Search. Λέμε στους υποψήφιους πελάτες μας και στους χρήστες που ενδιαφέρονται για το ερώτημα αυτό, μπορούν να το κατεβάσουν. Αυτό που πρόκειται να κάνει είναι ότι πρόκειται βασικά να ψάξει για τις πληροφορίες μέσα στη βάση δεδομένων που πρόκειται να είναι πιθανώς ευαίσθητες στη φύση.
Και αφού το κάνετε αυτό, πρέπει επίσης να κατανοήσετε τον τρόπο με τον οποίο οι άνθρωποι έχουν πρόσβαση στα δεδομένα αυτά. Και αυτό θα είναι, για άλλη μια φορά, σε ποιους λογαριασμούς βρίσκονται οι ομάδες Active Directory, στους οποίους συμμετέχουν οι χρήστες βάσεων δεδομένων, υπάρχει ένας ρόλος που σχετίζεται με τις συνδρομές. Και έχοντας κατά νου, βεβαίως, ότι όλα αυτά τα πράγματα για τα οποία μιλάμε πρέπει να εγκριθούν από τον ελεγκτή, οπότε αν λέτε, "Έτσι κλείνουμε τα δεδομένα", τότε οι ελεγκτές μπορούν να έρθουν πίσω και πείτε, "Λοιπόν, το κάνετε λάθος." Αλλά ας πούμε ότι λένε, "Ναι, αυτό φαίνεται καλό. Κλείνετε επαρκώς τα δεδομένα. "
Προχωρώντας στην επόμενη ερώτηση, που πρόκειται να είναι, μπορείτε να αποδείξετε ότι οι κατάλληλοι άνθρωποι έχουν πρόσβαση στα δεδομένα αυτά; Με άλλα λόγια, μπορείτε να πείτε τους ελέγχους σας είναι, αυτό είναι οι έλεγχοι που ακολουθείτε, αλλά δυστυχώς οι ελεγκτές δεν είναι πραγματικά εμπιστοσύνη άτομα. Επιθυμούν να το αποδείξουν και θέλουν να μπορούν να το δουν μέσα στο ίχνος ελέγχου. Και αυτό πηγαίνει πίσω σε όλο αυτό το κοινό παρονομαστή πράγμα. Είτε πρόκειται για PCI, SOX, HIPAA, GLBA, Βασιλεία ΙΙ, όποια και αν είναι η πραγματικότητα, είναι ότι οι ίδιοι τύποι ερωτήσεων πρόκειται συνήθως να ζητηθούν. Το αντικείμενο με τις ευαίσθητες πληροφορίες, που έχει πρόσβαση στο αντικείμενο αυτό τον τελευταίο μήνα; Αυτό θα έπρεπε να αντιστοιχίσει τους ελέγχους μου και θα έπρεπε να μπορέσω να περάσω τον έλεγχό μου τελικά, δείχνοντας αυτούς τους τύπους αναφορών.
Και αυτό που κάναμε είναι ότι έχουμε συγκεντρώσει περίπου 25 διαφορετικές αναφορές που ακολουθούν σε εκείνες τις ίδιες περιοχές όπως ο κοινός παρονομαστής. Επομένως, δεν έχουμε μια αναφορά για PCI ή για HIPAA ή για SOX, έχουμε αναφορές ότι, για άλλη μια φορά, έρχονται αντιμέτωποι με αυτόν τον κοινό παρονομαστή. Και έτσι δεν έχει σημασία τι κανονιστική απαίτηση που προσπαθείτε να εκπληρώσετε, στις περισσότερες περιπτώσεις θα είστε σε θέση να απαντήσετε ό, τι ερώτηση που σας έθεσε ο συγκεκριμένος ελεγκτής. ¶Και πρόκειται να σας πω ποιος, τι, πότε και πού σε κάθε συναλλαγή. Ξέρετε, ο χρήστης, ο χρόνος της συναλλαγής, η ίδια η δήλωση SQL, η εφαρμογή από την οποία προήλθε, όλα αυτά τα καλά πράγματα και, στη συνέχεια, και η αυτοματοποίηση της παράδοσης αυτών των πληροφοριών στις αναφορές.
Και τότε, για άλλη μια φορά, μόλις το περάσετε και το έχετε παράσχει στον ελεγκτή, τότε η επόμενη ερώτηση πρόκειται να το αποδείξει. Και όταν το λέω το αποδεικνύω, εννοώ να αποδείξω ότι το ίδιο το μονοπάτι ελέγχου είναι κάτι που μπορούμε να εμπιστευτούμε. Και ο τρόπος που το κάνουμε αυτό στο εργαλείο μας είναι ότι έχουμε τιμές κατακερματισμού και τιμές CRC που συνδέουν άμεσα τα ίδια τα γεγονότα στο εσωτερικό του διαγράμματος ελέγχου. Και έτσι λοιπόν η ιδέα είναι ότι αν κάποιος βγει και διαγράψει ένα ρεκόρ ή αν κάποιος βγει και αφαιρέσει ή προσθέσει κάτι στο ίχνος ελέγχου ή αλλάξει κάτι στο ίδιο το ίχνος ελέγχου, μπορούμε να αποδείξουμε ότι αυτά τα δεδομένα, η ακεραιότητα των τα ίδια τα δεδομένα, παραβιάστηκε. Και έτσι 99, 9 τοις εκατό του χρόνου, αν έχεις κλειδωμένη τη βάση δεδομένων των ελέγχων, δεν θα αντιμετωπίσεις αυτό το πρόβλημα γιατί όταν κάνουμε τον έλεγχο ακεραιότητας αποδεικνύουμε ουσιαστικά στον ελεγκτή ότι τα ίδια τα δεδομένα δεν έχουν άλλαξε και διαγράφηκε ή προστέθηκε από την αρχική γραφή της ίδιας της υπηρεσίας διαχείρισης.
Αυτή είναι μια γενική επισκόπηση των τυπικών ειδών ερωτήσεων που θα σας ζητηθούν. Τώρα, το εργαλείο που πρέπει να αντιμετωπίσουμε πολλά από αυτά ονομάζεται SQL Compliance Manager και κάνει όλα αυτά τα πράγματα όσον αφορά την παρακολούθηση των συναλλαγών, ποιος, τι, πότε και πού οι συναλλαγές είναι σε θέση να το κάνει σε μια αριθμό διαφορετικών περιοχών. Οι συνδέσεις, οι αποτυχημένες συνδέσεις, οι αλλαγές σχήματος, προφανώς η πρόσβαση σε δεδομένα, η επιλογή δραστηριότητας, όλα εκείνα τα πράγματα που συμβαίνουν μέσα στη μηχανή βάσης δεδομένων. Και είμαστε επίσης σε θέση να ειδοποιήσουμε τους χρήστες για συγκεκριμένες, πολύ κοκκώδεις συνθήκες, αν χρειαστεί. Για παράδειγμα, κάποιος πηγαίνει έξω και στην πραγματικότητα βλέπει τον πίνακα που περιέχει όλους τους αριθμούς της πιστωτικής μου κάρτας. Δεν αλλάζουν τα δεδομένα, απλά το κοιτάζουν. Σε αυτήν την κατάσταση μπορώ να ειδοποιήσω και μπορώ να αφήσω τους ανθρώπους να ξέρουν ότι αυτό συμβαίνει, όχι έξι ώρες αργότερα όταν βγάζουμε κούτσουρα, αλλά σε πραγματικό χρόνο. Είναι βασικά εφ 'όσον χρειαστεί να επεξεργαστούμε αυτή τη συναλλαγή μέσω μιας υπηρεσίας διαχείρισης.
Όπως ανέφερα προηγουμένως, έχουμε δει αυτό που χρησιμοποιείται σε μια ποικιλία διαφορετικών ρυθμιστικών απαιτήσεων και δεν είναι πραγματικά - ξέρετε, οποιαδήποτε ρυθμιστική απαίτηση, για άλλη μια φορά, όσο οι κοινοί παρανομαστές, έχετε ευαίσθητα δεδομένα σε έναν SQL Server βάση δεδομένων, αυτό είναι ένα εργαλείο που θα βοηθούσε σε αυτό το είδος της κατάστασης. Στις 25 εκθέσεις που είναι ενσωματωμένες, τώρα η πραγματικότητα είναι ότι μπορούμε να κάνουμε αυτό το εργαλείο καλό για τον ελεγκτή και να απαντά σε κάθε ερώτηση που ζητά, αλλά οι DBAs είναι αυτοί που πρέπει να το κάνουν να λειτουργήσει. Υπάρχει λοιπόν η σκέψη, γνωρίζετε καλά, από την άποψη της συντήρησης, πρέπει να βεβαιωθούμε ότι η SQL λειτουργεί με τον τρόπο που θέλουμε. Πρέπει επίσης να είμαστε σε θέση να εισέλθουμε και να δούμε τα πράγματα που θα μπορέσουν να βγουν έξω και να δούμε άλλα στοιχεία, ξέρετε, όσον αφορά την αρχειοθέτηση των δεδομένων, την αυτοματοποίηση αυτών και των γενικών εξόδων προϊόντος. Αυτά είναι πράγματα που προφανώς λαμβάνουμε υπόψη.
Η οποία αναδεικνύει την ίδια την αρχιτεκτονική. Έτσι στην δεξιά πλευρά της οθόνης έχουμε τις περιπτώσεις SQL που διαχειριζόμαστε, όλα από το 2000 μέχρι το 2014, ετοιμάζοντας να κυκλοφορήσουν μια έκδοση για το 2016. Το μεγαλύτερο download σε αυτή την οθόνη είναι ότι η διαχείριση ο ίδιος ο διακομιστής κάνει όλη τη βαριά ανύψωση. Συλλέγουμε ακριβώς τα δεδομένα, χρησιμοποιώντας το API εντοπισμού, ενσωματωμένο στον SQL Server. Αυτές οι πληροφορίες ανεβάζουν τον διακομιστή διαχείρισης. Αυτός ο ίδιος ο εξυπηρετητής διαχείρισης αναγνωρίζει και αν υπάρχουν γεγονότα που συνδέονται με τυχόν είδη συναλλαγών που δεν θέλουμε, στέλνουμε ειδοποιήσεις και αυτά τα είδη πραγμάτων και στη συνέχεια συγκεντρώνουμε τα δεδομένα μέσα σε ένα αποθετήριο. Από εκεί μπορούμε να εκτελούμε αναφορές, θα μπορούσαμε να βγούμε και να δούμε αυτές τις πληροφορίες στις αναφορές ή ακόμα και στην κονσόλα της εφαρμογής.
Λοιπόν αυτό που πρόκειται να προχωρήσω και να κάνω είναι ότι θα πάρω να μας περάσει, πραγματικά γρήγορα και θέλω απλώς να επισημάνω ένα γρήγορο πράγμα προτού να πηδήξουμε στο προϊόν, υπάρχει ένας σύνδεσμος στην ιστοσελίδα αυτή τη στιγμή, ή στην παρουσίαση, αυτό θα σας οδηγήσει σε αυτό το δωρεάν εργαλείο που ανέφερα προηγουμένως. Αυτό το δωρεάν εργαλείο, όπως είπα, πρόκειται να βγει και να εξετάσει μια βάση δεδομένων και να προσπαθήσει να βρει τις περιοχές που μοιάζουν με ευαίσθητα δεδομένα, αριθμούς κοινωνικής ασφάλισης, αριθμούς πιστωτικών καρτών, με βάση τις ονομασίες των στηλών ή των πινάκων, ή με βάση τον τρόπο εμφάνισης της μορφής των δεδομένων και μπορείτε επίσης να προσαρμόσετε αυτό το στοιχείο, έτσι ώστε να το επισημάνετε ακριβώς.
Τώρα, στη δική μας περίπτωση, επιτρέψτε μου να προχωρήσω και να μοιραστώ την οθόνη μου, δώστε μου ένα δευτερόλεπτο εδώ. Εντάξει, λοιπόν, αυτό που θα ήθελα να σας προωθήσω είναι ότι θα ήθελα να σας μεταφέρω στην εφαρμογή Compliance Manager και θα περάσω πολύ γρήγορα. Αλλά αυτή είναι η εφαρμογή και μπορείτε να δείτε ότι έχω δύο βάσεις δεδομένων εδώ και θα σας δείξω πόσο εύκολο είναι να εισέλθετε και να το πείτε τι ψάχνετε για έλεγχο. Από τη σκοπιά των αλλαγών του σχήματος, των αλλαγών ασφαλείας, των διοικητικών δραστηριοτήτων, της DML, της επιλογής, έχουμε όλες αυτές τις επιλογές διαθέσιμες σε εμάς, μπορούμε επίσης να φιλτράρουμε αυτό. Αυτό πηγαίνει πίσω στην καλύτερη πρακτική να μπορείς να πεις: "Χρειάζομαι πραγματικά αυτό το τραπέζι γιατί περιέχει τους αριθμούς της πιστωτικής μου κάρτας. Δεν χρειάζομαι τα άλλα τραπέζια που περιέχουν πληροφορίες για το προϊόν, όλα εκείνα τα άλλα πράγματα που δεν σχετίζονται με το επίπεδο συμμόρφωσης που προσπαθώ να συναντήσω. "
Έχουμε επίσης τη δυνατότητα να καταγράψουμε δεδομένα και να τα δούμε με βάση τις αξίες των πεδίων που αλλάζουν. Σε πολλά εργαλεία θα έχετε κάτι που θα σας δώσει τη δυνατότητα να καταγράψετε τη δήλωση SQL, να δείξετε στον χρήστη, να δείξετε την εφαρμογή, την ώρα και την ημερομηνία, όλα αυτά τα καλά πράγματα. Αλλά σε ορισμένες περιπτώσεις η ίδια η δήλωση SQL δεν πρόκειται να σας δώσει αρκετές πληροφορίες για να μπορέσετε να σας πούμε ποια ήταν η αξία του πεδίου πριν από την αλλαγή, καθώς και την αξία του πεδίου μετά την πραγματοποίηση της αλλαγής. Και σε ορισμένες περιπτώσεις το χρειάζεστε. Θα ήθελα να παρακολουθήσω, για παράδειγμα, τις πληροφορίες δοσολογίας ενός γιατρού για συνταγογραφούμενα φάρμακα. Πήγε από 50mg σε 80mg σε 120mg, θα ήμουν σε θέση να παρακολουθήσετε ότι χρησιμοποιώντας το πριν και μετά.
Οι ευαίσθητες στήλες είναι ένα άλλο πράγμα που τρέχουμε σε πολλά, για παράδειγμα, με συμμόρφωση με PCI. Στην περίπτωση αυτή, έχετε δεδομένα που είναι τόσο ευαίσθητα στη φύση ότι απλά κοιτάζοντας αυτές τις πληροφορίες, δεν χρειάζεται να την αλλάξω, να τη διαγράψω ή να προσθέσω σε αυτήν, μπορώ να προκαλέσω ανεπανόρθωτη βλάβη. Αριθμοί πιστωτικών καρτών, αριθμοί κοινωνικής ασφάλισης, όλα αυτά τα καλά πράγματα μπορούμε να εντοπίσουμε ευαίσθητες στήλες και να δίνουμε ειδοποιήσεις σε αυτό. Αν κάποιος βγει και κοιτάξει τις πληροφορίες αυτές θα είμαστε σε θέση, προφανώς, να ειδοποιήσουμε και να στείλουμε ένα μήνυμα ηλεκτρονικού ταχυδρομείου ή να δημιουργήσουμε μια παγίδα SNMP και τέτοια πράγματα.
Τώρα, σε ορισμένες περιπτώσεις, θα συναντήσετε μια κατάσταση όπου ίσως έχετε μια εξαίρεση. Και τι εννοώ με αυτό, έχετε μια κατάσταση όπου έχετε έναν χρήστη που έχει έναν λογαριασμό χρήστη που μπορεί να συνδέεται με κάποιον τύπο εργασίας ETL που τρέχει στη μέση της νύχτας. Είναι μια τεκμηριωμένη διαδικασία και απλά δεν χρειάζεται να συμπεριλάβω αυτές τις πληροφορίες συναλλαγών για αυτόν τον λογαριασμό χρήστη. Σε αυτή την περίπτωση θα έχουμε έναν αξιόπιστο χρήστη. Και σε άλλες περιπτώσεις θα χρησιμοποιούσαμε το χαρακτηριστικό του Privileged User Auditing, το οποίο είναι ουσιαστικά, αν έχω, ας πούμε, για παράδειγμα, μια εφαρμογή, και η εφαρμογή που κάνει ήδη τον έλεγχο, των χρηστών που περνούν από την εφαρμογή, αυτό είναι μεγάλη, έχω ήδη κάτι που πρέπει να αναφέρω όσον αφορά τον έλεγχό μου. Αλλά για τα πράγματα που συνδέονται, για παράδειγμα, με τους προνομιούχους χρήστες μου, τους τύπους που μπορούν να πάνε στο στούντιο διαχείρισης του SQL Server για να δουν τα δεδομένα μέσα στη βάση δεδομένων, αυτό δεν πρόκειται να το κόψει. Και έτσι μπορούμε να καθορίσουμε ποιοι είναι οι προνομιούχοι χρήστες μας, είτε μέσω της ιδιότητας μέλους ρόλων είτε μέσω των λογαριασμών Active Directory, των ομάδων, των λογαριασμών που έχουν πιστοποιηθεί με SQL, όπου θα μπορέσουμε να επιλέξουμε όλους αυτούς τους διαφορετικούς τύπους επιλογών και τότε από εκεί σιγουρευτείτε ότι για αυτούς τους προνομιακούς χρήστες μπορούμε να καθορίσουμε τους τύπους συναλλαγών που μας ενδιαφέρουν για τον έλεγχο.
Αυτά είναι όλα τα είδη των διαφορετικών επιλογών που έχετε και δεν πρόκειται να περάσω από όλα τα διαφορετικά είδη τύπων με βάση τους χρονικούς περιορισμούς εδώ για αυτή την παρουσίαση. Αλλά θέλω να σας δείξω πώς μπορούμε να δούμε τα δεδομένα και νομίζω ότι θα σας αρέσει πώς αυτό λειτουργεί, γιατί υπάρχουν δύο τρόποι που μπορούμε να το κάνουμε. Μπορώ να το κάνω αλληλεπιδραστικά και έτσι όταν μιλάμε με ανθρώπους που ενδιαφέρονται για αυτό το εργαλείο, ίσως για τους δικούς τους εσωτερικούς ελέγχους, θέλουν απλώς να μάθουν τι συμβαίνει σε πολλές περιπτώσεις. Δεν έχουν αναγκαστικά ελεγκτές που έρχονται στην περιοχή. Απλώς θέλουν να μάθουν: "Hey, θέλω να πάω μετά από αυτό το τραπέζι και να δω ποιος το άγγιξε την τελευταία εβδομάδα ή τον περασμένο μήνα ή ό, τι μπορεί να είναι." Σε αυτή την περίπτωση μπορείτε να δείτε πόσο γρήγορα μπορούμε να το κάνουμε αυτό.
Στην περίπτωση της βάσης δεδομένων για την υγειονομική περίθαλψη, έχω ένα τραπέζι με τίτλο Patient Records. Και αυτό το τραπέζι, αν ήμουν μόνο για την ομάδα από το αντικείμενο, θα μπορούσε πολύ γρήγορα να αρχίσει να στενεύει όπου ψάχνουμε. Ίσως θέλω να ομαδοποιήσω ανά κατηγορία και έπειτα ίσως από την εκδήλωση. Και όταν το κάνω αυτό, μπορείτε να δείτε πόσο γρήγορα εμφανίζεται αυτό και υπάρχει ο πίνακας μου Records Patient εκεί. Και καθώς γυρίζω, μπορούμε τώρα να δούμε τη δραστηριότητα των ΟΘΔ, μπορούμε να δούμε ότι είχαμε χιλιάδες ένθετα ΟΘΔ και όταν ανοίξουμε μία από αυτές τις συναλλαγές μπορούμε να δούμε τις σχετικές πληροφορίες. Το ποιος, τι, πότε, πού η συναλλαγή, η δήλωση SQL, προφανώς, η πραγματική εφαρμογή που χρησιμοποιείται για την εκτέλεση της συναλλαγής, ο λογαριασμός, ο χρόνος και η ημερομηνία.
Τώρα, αν κοιτάξετε την επόμενη καρτέλα εδώ, στην καρτέλα "Λεπτομέρειες", αυτό πηγαίνει πίσω στην τρίτη ερώτηση που μιλάμε, αποδεικνύοντας ότι δεν έχει παραβιαστεί η ακεραιότητα των δεδομένων. Έτσι, ουσιαστικά κάθε συμβάν, έχουμε έναν μυστικό υπολογισμό για την τιμή κατακερματισμού, και αυτό θα επιστρέψει στη συνέχεια όταν θα κάνουμε τον έλεγχο της ακεραιότητάς μας. Για παράδειγμα, αν πήγαινα στο εργαλείο, πηγαίνετε στο ελεγκτικό μενού και έπρεπε να βγω έξω και να πω, ας ελέγξουμε την ακεραιότητα του αποθετηρίου, θα μπορούσα να δείξω στη βάση δεδομένων όπου είναι το ίχνος ελέγχου, θα τρέξει μέσω ενός ελέγχου ακεραιότητας που ταιριάζει με αυτές τις τιμές κατακερματισμού και τις τιμές CRC με τα πραγματικά γεγονότα και πρόκειται να μας πει ότι δεν έχουν βρεθεί προβλήματα. Με άλλα λόγια, τα δεδομένα στην διαδρομή ελέγχου δεν έχουν αλλοιωθεί, δεδομένου ότι αρχικά είχαν συνταχθεί από την υπηρεσία διαχείρισης. Αυτός είναι προφανώς ένας τρόπος αλληλεπίδρασης με τα δεδομένα. Ο άλλος τρόπος θα ήταν μέσα από τις ίδιες τις εκθέσεις. Και έτσι θα σας δώσω ένα γρήγορο παράδειγμα μιας έκθεσης.
Και για άλλη μια φορά, αυτές οι αναφορές, ο τρόπος με τον οποίο ήρθαμε μαζί τους, δεν είναι συγκεκριμένοι για κανένα τύπο προτύπου όπως PCI, HIPAA, SOX ή κάτι τέτοιο. Για άλλη μια φορά, είναι ο κοινός παρονομαστής του τι κάνουμε και σε αυτή την περίπτωση, εάν επιστρέψουμε στο παράδειγμα των ασθενών, θα μπορούσαμε να βγούμε έξω και να πούμε, στην περίπτωσή μας εδώ, ψάχνουμε στη βάση δεδομένων για την υγειονομική περίθαλψη και στην περίπτωσή μας θέλουμε να επικεντρωθούμε ειδικά σε αυτό το τραπέζι που γνωρίζουμε ότι περιέχει προσωπικές πληροφορίες, στην περίπτωσή μας, που σχετίζονται με τους ασθενείς μας. Και έτσι, επιτρέψτε μου να δω αν μπορώ να το πληκτρολογήσω εδώ, και θα προχωρήσουμε και θα εκτελέσουμε αυτή την έκθεση. Και θα δούμε τότε, προφανώς, από εκεί όλα τα σχετικά δεδομένα που σχετίζονται με αυτό το αντικείμενο. Και στην περίπτωσή μας μας δείχνει για ένα χρονικό διάστημα ενός μηνός. Αλλά θα μπορούσαμε να επιστρέψουμε έξι μήνες, ένα χρόνο, όσο καιρό διατηρούμε τα δεδομένα.
Αυτοί είναι οι τρόποι με τους οποίους θα μπορέσετε να αποδείξετε, αν θέλετε, στον ελεγκτή ότι παρακολουθείτε τους ελέγχους σας. Μόλις το εντοπίσετε, τότε προφανώς αυτό είναι καλό από την άποψη της επιτυχίας του ελέγχου σας και της ικανότητας να δείξετε ότι ακολουθείτε τους ελέγχους και ότι όλα λειτουργούν.
Το τελευταίο πράγμα στο είδος της συζήτησης για αυτό που ήθελα να αποδείξω είναι στο τμήμα διοίκησης. Υπάρχουν επίσης έλεγχοι από την άποψη ότι μέσα σε αυτό το εργαλείο θα μπορούσε να θέσει τους ελέγχους ώστε να είναι σε θέση να βεβαιωθείτε ότι αν κάποιος κάνει κάτι που δεν πρέπει να το κάνουν αυτό μπορώ να το γνωρίσω. Και θα σας δώσω μερικά παραδείγματα εκεί. Έχω λογαριασμό σύνδεσης που είναι συνδεδεμένος με μια υπηρεσία και αυτή η υπηρεσία χρειάζεται αυξημένα δικαιώματα για να κάνει ό, τι κάνει. Αυτό που δεν θέλω είναι κάποιος να μπαίνει και να χρησιμοποιεί αυτό το λογαριασμό στο Management Studio και στη συνέχεια να το χρησιμοποιήσει για πράγματα που δεν προορίζονταν. Θα μπορούσαμε να εφαρμόσουμε δύο κριτήρια. Θα μπορούσα να πω, "Κοίτα, μας ενδιαφέρει πραγματικά αυτό το έργο, ας πούμε, με την εφαρμογή PeopleSoft μας", ακριβώς ως παράδειγμα, εντάξει;
Τώρα που έχω κάνει αυτό, αυτό που λέω εδώ είναι ότι είμαι περίεργος να γνωρίζω οποιεσδήποτε συνδέσεις που συνδέονται με τον λογαριασμό που είμαι έτοιμος να καθορίσω αν η εφαρμογή που χρησιμοποιείται για να συνδεθεί με αυτόν τον λογαριασμό δεν είναι PeopleSoft, τότε αυτό θα είναι αύξηση για τον συναγερμό. Και προφανώς πρέπει να καθορίσουμε το ίδιο το όνομα του λογαριασμού, οπότε στην περίπτωσή μας να ονομάσουμε απλά αυτόν τον Προσωπικό Λογαριασμό, επειδή είναι προνομιακό. Τώρα μόλις το κάναμε αυτό, όταν το κάνουμε εδώ, τώρα θα μπορούσαμε να καθορίσουμε τι θα θέλαμε να συμβεί όταν συμβαίνει αυτό και για κάθε τύπο εκδήλωσης ή, θα ήθελα να πω, επιφυλακή, μπορείτε να έχουν ξεχωριστή ειδοποίηση στο πρόσωπο που είναι υπεύθυνο για αυτό το συγκεκριμένο κομμάτι δεδομένων.
Για παράδειγμα, αν πρόκειται για πληροφορίες σχετικά με τις αποδοχές, μπορεί να απευθυνθεί στον διευθυντή του HR. Σε αυτή την περίπτωση, που ασχολείται με την εφαρμογή PeopleSoft, πρόκειται να είναι ο διαχειριστής αυτής της εφαρμογής. Όποια και αν είναι η περίπτωση. Θα ήμουν σε θέση να θέσει στη διεύθυνση ηλεκτρονικού ταχυδρομείου μου, να προσαρμόσετε το πραγματικό μήνυμα προειδοποίησης και όλα αυτά τα καλά πράγματα. Για άλλη μια φορά, αυτό πηγαίνει όλοι πίσω στο να είναι σε θέση να βεβαιωθείτε ότι μπορείτε να δείξετε ότι παρακολουθείτε τα στοιχεία ελέγχου σας και ότι αυτά τα στοιχεία ελέγχου λειτουργούν με τον τρόπο που προορίζονται. Από την τελευταία προοπτική εδώ, μόνο όσον αφορά τη συντήρηση, έχουμε τη δυνατότητα να πάρουμε αυτά τα δεδομένα και να τα βάλουμε εκτός σύνδεσης. Μπορώ να αρχειοθετήσω τα δεδομένα και μπορώ να το προγραμματίσω και θα μπορούσαμε να κάνουμε αυτά τα πράγματα πολύ εύκολα με την έννοια ότι θα μπορούσατε πραγματικά να χρησιμοποιήσετε αυτό το εργαλείο, απομακρυνθείτε από αυτό Δεν υπάρχει μεγάλη χεριά που θα πραγματοποιηθεί μόλις το έχετε ρυθμίσει όπως θα έπρεπε. Όπως είπα, το πιο δύσκολο κομμάτι για κάποιο από αυτά, νομίζω, δεν δημιουργεί ό, τι θέλεις για έλεγχο, ξέρει τι θέλεις να δημιουργήσεις για έλεγχο.
Και όπως είπα, η φύση του θηρίου με τον έλεγχο, πρέπει να φυλάσσετε τα δεδομένα για επτά χρόνια, οπότε έχει νόημα μόνο να επικεντρωθεί σε εκείνες τις περιοχές που είναι ευαίσθητες στη φύση. Αλλά αν θέλετε να ακολουθήσετε την προσέγγιση της συλλογής όλων, μπορείτε απολύτως, δεν θεωρείται απλώς η καλύτερη πρακτική. Από αυτή την άποψη θα ήθελα απλώς να υπενθυμίσω στους ανθρώπους ότι αν αυτό είναι κάτι που σας ενδιαφέρει, μπορείτε να πάτε στην ιστοσελίδα του IDERA.com και να κατεβάσετε μια δοκιμή για αυτό και να παίξετε με τον εαυτό σας. Όσον αφορά το δωρεάν εργαλείο για το οποίο μιλήσαμε νωρίτερα, είναι δωρεάν, μπορείτε να το κατεβάσετε και να το χρησιμοποιήσετε για πάντα, ανεξάρτητα από το αν χρησιμοποιείτε το προϊόν της Compliance Manager. Και το δροσερό πράγμα σχετικά με αυτό το εργαλείο αναζήτησης στήλης είναι ότι τα ευρήματά μας που καταλήξατε και μπορώ πραγματικά να το δείξω αυτό, νομίζω, είναι ότι θα μπορέσετε να εξάγετε αυτά τα δεδομένα και, στη συνέχεια, να τα εισαγάγετε στο Compliance Manager επισης. Δεν το βλέπω, ξέρω ότι είναι εδώ, εκεί είναι. Αυτό είναι μόνο ένα παράδειγμα αυτού. Εδώ βρίσκουν τα σχετικά ευαίσθητα δεδομένα.
Τώρα, αυτή η περίπτωση έχω βγει και έχω πραγματικά, έχω μια ματιά σε όλα, αλλά έχετε έναν τόνο πράγματα που μπορούμε να ελέγξουμε. Αριθμοί πιστωτικών καρτών, διευθύνσεις, ονόματα, όλα αυτά τα πράγματα. Και θα προσδιορίσουμε πού βρίσκεται στη βάση δεδομένων και από εκεί μπορείτε να αποφασίσετε αν θέλετε ή όχι να ελέγξετε αυτές τις πληροφορίες. Αλλά είναι σίγουρα ένας τρόπος για να είναι πολύ πιο εύκολο για σας να καθορίσετε το πεδίο ελέγχου σας όταν εξετάζετε ένα εργαλείο σαν αυτό.
Απλώς θα προχωρήσω και θα κλείσω με αυτό, και θα προχωρήσω και θα το επιστρέψω στον Eric.
Eric Kavanagh: Αυτή είναι μια φανταστική παρουσίαση. Αγαπώ τον τρόπο με τον οποίο πραγματικά μπαίνεις στα χάλκινα στοιχεία εκεί και δείξε μας τι συμβαίνει. Επειδή στο τέλος της ημέρας υπάρχει κάποιο σύστημα το οποίο πρόκειται να αποκτήσει πρόσβαση σε κάποια αρχεία, που πρόκειται να σας δώσει μια αναφορά, αυτό θα σας κάνει να πείτε την ιστορία σας, είτε πρόκειται για έναν ρυθμιστή είτε για έναν ελεγκτή ή κάποιον στην ομάδα σας, οπότε είναι καλό που γνωρίζετε ότι είστε προετοιμασμένοι αν και πότε, ή όταν και πότε, το πρόσωπο αυτό έρχεται χτυπώντας, και φυσικά αυτή είναι η δυσάρεστη κατάσταση που προσπαθείτε να αποφύγετε. Αλλά αν συμβεί, και πιθανότατα θα συμβεί αυτές τις μέρες, θέλετε να είστε σίγουροι ότι έχετε σας διακεκομμένη και το Τ σας έχει διασχίσει.
Υπάρχει μια καλή ερώτηση από ένα μέλος του κοινού που θέλω να πετάξω ίσως πρώτα, Bullett, και έπειτα αν ίσως ένας παρουσιαστής θέλει να το σχολιάσει, αισθανθείτε ελεύθερος. Και τότε ίσως Dez να θέσει μια ερώτηση και ο Robin. Έτσι λοιπόν το ερώτημα είναι, είναι δίκαιο να πούμε ότι για να κάνετε όλα εκείνα τα πράγματα που αναφέρατε πρέπει να ξεκινήσετε μια προσπάθεια ταξινόμησης δεδομένων σε στοιχειώδες επίπεδο; Πρέπει να γνωρίζετε τα δεδομένα σας όταν εμφανίζεται ως ένα πολύτιμο δυνητικό περιουσιακό στοιχείο και να κάνετε κάτι γι 'αυτό. Νομίζω ότι θα συμφωνούσατε, Bullett, σωστά;
Bullett Manale: Ναι, απολύτως. Θέλω να πω ότι πρέπει να γνωρίζεις τα δεδομένα σου. Και συνειδητοποιώ ότι αναγνωρίζω ότι υπάρχουν πολλές εφαρμογές που είναι εκεί έξω και υπάρχουν πολλά διαφορετικά πράγματα που έχουν κινούμενα μέρη στον οργανισμό σας. Το εργαλείο αναζήτησης στηλών είναι πολύ χρήσιμο όσον αφορά το βήμα προς την κατεύθυνση της καλύτερης κατανόησης των δεδομένων. Αλλά ναι, είναι πολύ σημαντικό. Θέλω να πω ότι έχετε την επιλογή να ακολουθήσετε την προσέγγιση firehose και να ελέγξετε τα πάντα, αλλά είναι πολύ πιο δύσκολο γι 'αυτόν τον τρόπο από τη λογική, όταν μιλάτε για την αποθήκευση αυτών των δεδομένων και την αναφορά αυτών των δεδομένων. Και τότε πρέπει να ξέρετε πού ακριβώς είναι αυτό το κομμάτι των δεδομένων, επειδή όταν εκτελείτε τις αναφορές σας θα πρέπει να δείξετε στους ελεγκτές σας και αυτές τις πληροφορίες. Πιστεύω λοιπόν ότι, όπως είπα, η μεγαλύτερη πρόκληση όταν μιλάω με διαχειριστές βάσεων δεδομένων είναι να γνωρίζουμε, ναι.
Eric Kavanagh: Ναι, αλλά ίσως ο Robin θα σας φέρουμε πραγματικά γρήγορα. Μου φαίνεται ότι ο κανόνας 80/20 ισχύει εδώ, σωστά; Πιθανότατα δεν θα βρείτε κάθε σύστημα ρεκόρ που έχει σημασία εάν είστε σε κάποια μεσαία ή μεγάλη οργάνωση, αλλά εάν εστιάζετε - όπως λέει ο Bullett εδώ - PeopleSoft για παράδειγμα, ή άλλα συστήματα εγγραφής που είναι που κυριαρχεί στην επιχείρηση, εκεί εσείς εστιάζετε το 80% της προσπάθειάς σας και στη συνέχεια το 20% είναι στα άλλα συστήματα που μπορεί να είναι κάπου εκεί έξω, σωστά;
Robin Bloor: Λοιπόν είμαι σίγουρος, ναι. Θέλω να πω, ξέρετε, νομίζω ότι το πρόβλημα με αυτή την τεχνολογία και νομίζω ότι ίσως αξίζει να το σχολιάσετε, αλλά το πρόβλημα με αυτή την τεχνολογία είναι, πώς το εφαρμόζετε; Θέλω να πω, υπάρχει σίγουρα μια έλλειψη γνώσης, ας πούμε, στους περισσότερους οργανισμούς, ακόμη και για τον αριθμό των βάσεων δεδομένων που είναι εκεί έξω. Ξέρετε, υπάρχει μια άσχημη έλλειψη απογραφής, ας πούμε. Ξέρετε, η ερώτηση είναι, ας φανταστούμε ότι αρχίζουμε σε μια κατάσταση όπου δεν υπάρχει μια ιδιαίτερα καλά διαχειριζόμενη συμμόρφωση, πώς παίρνετε αυτή την τεχνολογία και την εισάγετε στο περιβάλλον, όχι μόνο μέσα, γνωρίζετε, την τεχνολογία όρους, που θέτουν πράγματα, αλλά όπως ποιος διαχειρίζεται, ποιος καθορίζει τι; Πώς ξεκινάτε να πατάτε αυτό σε ένα γνήσιο πράγμα που κάνει κάτι σαν δουλειά;
Bullett Manale: Καλά εννοώ, αυτό είναι μια καλή ερώτηση. Η πρόκληση σε πολλές περιπτώσεις είναι ότι, εννοώ, πρέπει να αρχίσετε να ρωτάτε σωστά τα ερωτήματα από την αρχή. Έχω τρέξει σε πολλές εταιρείες όπου, όπως ξέρετε, ίσως είναι μια ιδιωτική εταιρεία και έχουν αποκτηθεί, υπάρχει ένα πρώτο, είδος, πρώτον, είδος, χτύπημα δρόμου, αν θέλετε να το ονομάσετε αυτό. Για παράδειγμα, εάν έχω γίνει τώρα μια δημόσια διαπραγματεύσιμη εταιρεία λόγω της εξαγοράς θα πρέπει να πάω πίσω και πιθανώς να υπολογίσω κάποια πράγματα έξω.
Και σε μερικές περιπτώσεις μιλάμε με οργανώσεις που, αν και είναι ιδιωτικές, ακολουθούν τους κανόνες συμμόρφωσης SOX, απλώς και μόνο επειδή σε περίπτωση που θέλουν να αποκτηθούν, γνωρίζουν ότι πρέπει να συμμορφώνονται. Σίγουρα δεν θέλετε να ακολουθήσετε την προσέγγιση απλά, "δεν χρειάζεται να ανησυχώ για αυτό τώρα". Οποιοσδήποτε τύπος κανονιστικής συμμόρφωσης όπως PCI ή SOX ή οτιδήποτε άλλο, θέλετε να κάνετε την επένδυση για να κάνετε την έρευνα ή το την κατανόηση του πού είναι αυτές οι ευαίσθητες πληροφορίες, διαφορετικά μπορεί να βρεθείτε να ασχολείστε με κάποια σημαντικά, βαριά πρόστιμα. Και είναι πολύ καλύτερο να επενδύσετε εκείνο τον χρόνο, ξέρετε, βρίσκοντας ότι τα δεδομένα και να είναι σε θέση να καταγγείλει και να δείξει ότι οι έλεγχοι λειτουργούν.
Ναι, από την άποψη της δημιουργίας, όπως είπα, το πρώτο πράγμα που θα συνιστούσα στους ανθρώπους που ετοιμάζονται να υποβληθούν σε έλεγχο, είναι να βγούμε έξω και να κάνουμε μια συνοπτική εξέταση της βάσης δεδομένων και να υπολογίσουμε εσείς γνωρίζουν, με τις καλύτερες προσπάθειές τους, προσπαθώντας να καταλάβουν πού είναι αυτά τα ευαίσθητα δεδομένα. Και η άλλη προσέγγιση θα ήταν να ξεκινήσετε με ίσως ένα μεγαλύτερο δίκτυο όσον αφορά το τι είναι το αντικείμενο του ελέγχου και, στη συνέχεια, αργά να περιορίσετε το δρόμο σας κάτω από τη στιγμή που θα καταλάβετε πού βρίσκονται εκεί οι περιοχές εντός του συστήματος που σχετίζονται με ευαίσθητες πληροφορίες. Αλλά θα ήθελα να σας πω ότι υπάρχει εύκολη απάντηση σε αυτή την ερώτηση. Πρόκειται πιθανότατα να ποικίλλει αρκετά από το ένα οργανισμό στο άλλο και το είδος της συμμόρφωσης και πραγματικά πώς, ξέρετε, πόση δομή έχουν μέσα στις εφαρμογές τους και πόσες έχουν, διαφορετικές εφαρμογές που έχουν, μερικές μπορεί να είναι προσαρμοσμένες γραπτές εφαρμογές, οπότε πραγματικά εξαρτάται από την κατάσταση σε πολλές περιπτώσεις.
Eric Kavanagh: Προχωρήστε, Dez, είμαι σίγουρος ότι έχετε μια ερώτηση ή δύο.
Dez Blanchfield: Είμαι πρόθυμος να αποκτήσω απλώς μια εικόνα για τις παρατηρήσεις σας σχετικά με τον αντίκτυπο των οργανώσεων από την πλευρά των ανθρώπων, στην πραγματικότητα. Νομίζω ότι ένας από τους τομείς όπου βλέπω τη μεγαλύτερη αξία για αυτή τη συγκεκριμένη λύση είναι ότι όταν οι άνθρωποι ξυπνούν το πρωί και πηγαίνουν να εργαστούν σε διάφορα επίπεδα της οργάνωσης, ξυπνούν με μια σειρά ή μια αλυσίδα ευθύνης ότι πρέπει να αντιμετωπίσουν. Και είμαι πρόθυμος να πάρω κάποια εικόνα για το τι βλέπετε εκεί έξω με και χωρίς τα είδη εργαλείων που μιλάτε. Και το πλαίσιο για το οποίο μιλώ εδώ είναι από τον πρόεδρο του διοικητικού συμβουλίου μέχρι το CEO και το CIO και το C-suite. Και τώρα έχουμε επικεφαλής υπεύθυνων κινδύνου, που σκέφτονται περισσότερα για τα είδη των πραγμάτων που μιλάμε εδώ σε συμμόρφωση και διακυβέρνηση, και έπειτα έχουμε τώρα νέους επικεφαλής των ρόλων, κύριο υπεύθυνο δεδομένων, ποιος είναι, ξέρετε, ακόμη περισσότερο ανησυχούν για αυτό.
Και από την πλευρά του καθενός, γύρω από τον CIO, έχουμε διαχειριστές πληροφορικής από τη μια πλευρά με, όπως γνωρίζετε, τεχνικούς οδηγούς και στη συνέχεια οδηγεί σε βάση δεδομένων. Και στον επιχειρησιακό χώρο έχουμε τους διαχειριστές ανάπτυξης και τους οδηγούς εξέλιξης και στη συνέχεια τις ατομικές εξελίξεις και βγάζουν και πάλι πίσω στο επίπεδο διαχείρισης της βάσης δεδομένων. Τι βλέπετε γύρω από την αντίδραση καθενός από αυτά τα διαφορετικά μέρη της επιχείρησης στην πρόκληση της συμμόρφωσης και της κανονιστικής αναφοράς και της προσέγγισής τους σε αυτήν; Βλέπετε ότι οι άνθρωποι έρχονται σε αυτό με μια θάρρος και μπορούν να δουν το όφελος σε αυτό, ή βλέπετε ότι είναι απρόθυμα σέρνεται τα πόδια τους σε αυτό το πράγμα και απλά, ξέρετε, κάνει για ένα τσιμπούρι στο κουτί; Και ποια είναι τα είδη των απαντήσεων που βλέπετε μόλις δουν το λογισμικό σας;
Bullett Manale: Ναι, αυτό είναι μια καλή ερώτηση. Θα έλεγα ότι αυτό το προϊόν, οι πωλήσεις αυτού του προϊόντος, οδηγούνται κυρίως από κάποιον που βρίσκεται στο καυτό κάθισμα, αν αυτό έχει νόημα. Στις περισσότερες περιπτώσεις αυτό είναι το DBA και, από την πλευρά μας, με άλλα λόγια, γνωρίζουν ότι υπάρχει ένας έλεγχος που έρχεται και πρόκειται να είναι υπεύθυνοι, επειδή είναι οι DBAs, για να είναι σε θέση να παρέχουν τις πληροφορίες που ο ελεγκτής θα πάει παρακαλώ. Μπορούν να το κάνουν αυτό γράφοντας τις δικές τους αναφορές και δημιουργώντας τα δικά τους προσαρμοσμένα ίχνη και όλα αυτά τα είδη των πραγμάτων. Η πραγματικότητα είναι ότι δεν θέλουν να το κάνουν αυτό. Στις περισσότερες περιπτώσεις, οι DBA δεν προσδοκούν πραγματικά να ξεκινήσουν αυτές τις συνομιλίες με τον ελεγκτή. Ξέρετε, θα ήθελα να σας πω ότι μπορούμε να καλέσουμε μια εταιρεία και να πούμε, "Αυτό είναι ένα εξαιρετικό εργαλείο και θα το αγαπάτε", και να τους δείξει όλα τα χαρακτηριστικά και θα το αγοράσουν.
Η πραγματικότητα είναι ότι συνήθως δεν πρόκειται να εξετάσουν αυτό το εργαλείο αν δεν πρόκειται να βρεθούν αντιμέτωποι με έναν έλεγχο ή την άλλη πλευρά αυτού του νομίσματος διότι έχουν διενεργήσει έναν έλεγχο και το απέτυχαν δυστυχώς και τώρα είναι τους λένε να τους βοηθήσουν ή θα τους επιβληθούν πρόστιμα. Θα έλεγα ότι, όσον αφορά, γενικά, γενικά, όταν παρουσιάζετε αυτό το προϊόν στους λαούς, βλέπουν σίγουρα την αξία του, επειδή τους εξοικονομεί τόνο χρόνου από την άποψη ότι πρέπει να καταλάβουν τι θέλουν να αναφέρουν, αυτά τα πράγματα. Όλες αυτές οι αναφορές είναι ήδη ενσωματωμένες, υπάρχουν μηχανισμοί προειδοποίησης και, στη συνέχεια, το τρίτο ερώτημα είναι επίσης σε πολλές περιπτώσεις μια πρόκληση. Επειδή μπορώ να σας δείξω αναφορές όλη την ημέρα, αλλά αν δεν μπορείτε να μου αποδείξετε ότι αυτές οι αναφορές είναι πραγματικά έγκυρες τότε, ξέρετε, είναι πολύ πιο δύσκολη πρόταση για μένα ως DBA για να μπορέσω να το δείξω αυτό. Αλλά έχουμε επεξεργαστεί την τεχνολογία και την τεχνική κατακερματισμού και όλα αυτά τα πράγματα για να μπορέσουμε να διασφαλίσουμε τη διατήρηση των δεδομένων της ακεραιότητας των διαδρομών ελέγχου.
Και έτσι είναι αυτά τα πράγματα, αυτά είναι οι παρατηρήσεις μου όσον αφορά τους περισσότερους ανθρώπους με τους οποίους μιλάμε. Ξέρετε, σίγουρα, σε διαφορετικές οργανώσεις, ξέρετε ότι, θα ακούσετε, ξέρετε, ο Target, για παράδειγμα, είχε παραβίαση δεδομένων και, ξέρετε, εννοώ, όταν άλλοι οργανισμοί ακούν για τα πρόστιμα και αυτά είδη πράγματα που οι άνθρωποι ξεκινούν, εγείρει ένα φρύδι, οπότε ελπίζουμε ότι απαντά στην ερώτηση.
Dez Blanchfield: Ναι, σίγουρα. Μπορώ να φανταστώ μερικά DBAs όταν τελικά δουν τι μπορεί να γίνει με το εργαλείο είναι απλώς συνειδητοποιούν ότι έχουν πάρει αργά τις νύχτες τους και τα σαββατοκύριακα πίσω επίσης. Μείωση χρόνου και κόστους και άλλα πράγματα που βλέπω όταν εφαρμόζονται τα κατάλληλα εργαλεία σε αυτό το όλο πρόβλημα και αυτό είναι ότι τρεις εβδομάδες κάθισα με μια τράπεζα εδώ στην Αυστραλία. Είναι μια παγκόσμια τράπεζα, μια τρία κορυφαία τράπεζα, είναι τεράστια. Και είχαν ένα έργο όπου έπρεπε να αναφέρουν τη συμμόρφωση με τη διαχείριση πλούτου και ιδιαίτερα τους κινδύνους και έβλεπαν εργασία 60 εβδομάδων για μερικές εκατοντάδες ανθρώπους. Και όταν τους δείχνονταν τα παρόμοια με ένα εργαλείο σαν εσένα που θα μπορούσε απλά να αυτοματοποιήσει τη διαδικασία, αυτή η αίσθηση, το βλέμμα στα πρόσωπά τους όταν συνειδητοποίησαν ότι δεν έπρεπε να ξοδεύουν τον αριθμό X εβδομάδες με εκατοντάδες ανθρώπους που κάνουν χειρωνακτική διαδικασία ήταν σαν να βρήκαν τον Θεό. Όμως, το δύσκολο πράγμα ήταν τότε πώς να το βάλουμε στο σχέδιο, όπως έδειξε ο δρ. Robin Bloor, ξέρετε, αυτό είναι κάτι που γίνεται μίγμα της συμπεριφοράς, της πολιτιστικής μετατόπισης. Στα επίπεδα με τα οποία ασχολείστε, που ασχολούνται με αυτό άμεσα στο επίπεδο εφαρμογής, τι είδους αλλαγή βλέπετε όταν αρχίζουν να υιοθετούν ένα εργαλείο για να κάνουν το είδος αναφοράς και ελέγχων και ελέγχων που μπορείτε να προσφέρετε, όπως σε αντίθεση με ό, τι θα μπορούσαν να κάνουν με το χέρι; Τι μοιάζει με αυτό όταν όντως τεθεί σε εφαρμογή;
Bullett Manale: Ζητάς, ποια είναι η διαφορά όσον αφορά το χειρισμό αυτού με το χέρι σε σχέση με τη χρήση αυτού του εργαλείου; Είναι αυτή η ερώτηση;
Dez Blanchfield: Λοιπόν, ειδικά ο αντίκτυπος της επιχείρησης. Έτσι, για παράδειγμα, εάν προσπαθούμε να προσφέρουμε συμμόρφωση σε μια χειρωνακτική διαδικασία, ξέρετε, παίρνουμε πάρα πολύ χρόνο με πολλούς ανθρώπους. Αλλά υποθέτω ότι, για να θέσουμε κάποιο πλαίσιο γύρω από την ερώτηση, όπως γνωρίζετε, μιλάμε για ένα μόνο άτομο που τρέχει αυτό το εργαλείο αντικαθιστώντας δυνητικά 50 ανθρώπους και είναι σε θέση να κάνει το ίδιο πράγμα σε πραγματικό χρόνο ή σε ώρες έναντι μηνών; Είναι αυτό το είδος, τι γενικά αποδεικνύεται;
Bullett Manale: Καλά εννοώ, έρχεται κάτω σε μερικά πράγματα. Κάποιος έχει τη δυνατότητα να απαντήσει σε αυτές τις ερωτήσεις. Μερικά από αυτά τα πράγματα δεν πρόκειται να γίνουν πολύ εύκολα. Έτσι, ναι, ο χρόνος που χρειάζεστε για να κάνετε τα πράγματα στο σπίτι, να γράψετε τις αναφορές μόνοι σας, να ρυθμίσετε τα ίχνη ή τα εκτεταμένα γεγονότα για να μαζέψετε τα δεδομένα με το χέρι, μπορεί να χρειαστεί πολύ χρόνο. Πραγματικά, θα σας δώσω μερικές, εννοώ, αυτό δεν σχετίζεται πραγματικά με τις βάσεις δεδομένων σε γενικές γραμμές, αλλά όπως αμέσως μετά το Enron συνέβη και SOX έγινε επικρατούσα, ήμουν σε μια από τις μεγαλύτερες πετρελαϊκές εταιρείες στο Χιούστον, και υπολογίσαμε για, Νομίζω ότι ήταν σαν το 25 τοις εκατό των επιχειρηματικών μας δαπανών να σχετίζονται με τη συμμόρφωση SOX.
Τώρα που ήταν αμέσως μετά και αυτό ήταν το είδος του αρχικού πρώτου βήματος στο SOX, αλλά το πράγμα με, θα έλεγα, ξέρετε, παίρνετε πολλά οφέλη χρησιμοποιώντας αυτό το εργαλείο υπό την έννοια ότι δεν απαιτεί πολλά των ανθρώπων να το κάνουν αυτό και πολλοί διαφορετικοί τύποι ανθρώπων για να το κάνουν. Και όπως είπα, ο DBA δεν είναι συνήθως ο τύπος που πραγματικά ανυπομονεί να έχει αυτές τις συνομιλίες με τους ελεγκτές. Έτσι σε πολλές περιπτώσεις θα δούμε ότι το DBA μπορεί να αποφορτώσει αυτό το γεγονός και να είναι σε θέση να παρέχει την έκθεση που διασυνδέεται με τον ελεγκτή και μπορούν να απομακρυνθούν πλήρως από την εξίσωση αντί να χρειάζεται να συμμετάσχουν. Γνωρίζετε, λοιπόν, ότι είναι μια τεράστια εξοικονόμηση τόσο από πλευράς πόρων, όσο μπορείτε να το κάνετε αυτό.
Dez Blanchfield: Μιλάτε για τεράστιες μειώσεις του κόστους, σωστά; Οι οργανώσεις όχι μόνο απομακρύνουν τον κίνδυνο και τα γενικά έξοδα, αλλά ουσιαστικά μιλάτε για μια σημαντική μείωση του κόστους, Α) λειτουργικά και επίσης Β) στο γεγονός ότι, αν γνωρίζετε, σύμφωνα με την οποία ο κίνδυνος παραβίασης των δεδομένων ή το νόμιμο πρόστιμο ή ο αντίκτυπος για μη συμμόρφωση είναι σημαντικά μειωμένος;
Bullett Manale: Ναι, απολύτως. Θέλω να πω, επειδή δεν συμμορφώνεται με όλα τα κακά πράγματα που συμβαίνουν. Μπορούν να χρησιμοποιήσουν αυτό το εργαλείο και θα ήταν υπέροχο ή δεν το κάνουν και θα μάθουν πόσο κακή είναι πραγματικά. Έτσι, ναι, δεν είναι μόνο το εργαλείο προφανώς, μπορείτε να κάνετε τις επιταγές σας και τα πάντα χωρίς ένα τέτοιο εργαλείο. Όπως είπα, πρόκειται απλά για πολύ χρόνο και κόστος.
Dez Blanchfield: Αυτό είναι υπέροχο. Τόσο ο Eric, πρόκειται να περάσω πίσω σε εσένα, επειδή νομίζω ότι η λήψη για μένα είναι ότι, το ξέρετε, το είδος της αγοράς είναι φανταστικό. Αλλά επίσης, ουσιαστικά, το πράγμα αξίζει το βάρος του σε χρυσό με βάση το γεγονός ότι είναι σε θέση να αποφύγει τον εμπορικό αντίκτυπο ενός προβλήματος που λαμβάνει χώρα ή να είναι σε θέση να μειώσει το χρόνο που χρειάζεται για να αναφέρει και να διαχειριστεί τη συμμόρφωση κάνει ακριβώς, το εργαλείο πληρώνει για τον εαυτό του αμέσως από τους ήχους των πραγμάτων.
Eric Kavanagh: Αυτό είναι σωστό. Λοιπόν, ευχαριστώ πολύ για το χρόνο σου σήμερα, Bullett. Χάρη σε όλους σας εκεί έξω για το χρόνο και την προσοχή σας, και Robin και Dez. Μια άλλη μεγάλη παρουσίαση σήμερα. Χάρη στους φίλους μας στο IDERA, για να μας αφήσετε να σας προσφέρουμε αυτό το περιεχόμενο δωρεάν. Θα προβούμε σε αρχειοθέτηση αυτού του διαδικτυακού καναλιού για μεταγενέστερη προβολή. Το αρχείο είναι συνήθως μέσα σε περίπου μια μέρα. Και ενημερώστε μας τι σκέφτεστε για τη νέα ιστοσελίδα μας, insideanalysis.com. Ένα εντελώς νέο σχέδιο, μια εντελώς νέα εμφάνιση και αίσθηση. Θα θέλαμε να ακούσουμε τα σχόλιά σας και με αυτό θα σας αποχαιρετήσω, τους ανθρώπους. Μπορείτε να μου στείλετε email. Διαφορετικά, θα σας καλύψουμε την επόμενη εβδομάδα. Έχουμε επτά webcasts μέσα στις επόμενες πέντε εβδομάδες ή κάτι τέτοιο. Θα είμαστε απασχολημένοι. Και θα βρεθούμε στη Διάσκεψη Strata και στη Σύνοδο Κορυφής των Αναλυτών της IBM στη Νέα Υόρκη αργότερα αυτό το μήνα. Έτσι, αν είστε εκεί, σταματήστε και μιλήστε. Φροντίστε, παιδιά. Αντίο.
