Odvzem: V tej epizodi Hot Technologies gostitelj Eric Kavanagh razpravlja o reviziji baz podatkov in skladnosti z analitiki Robin Bloor in Dez Blanchfield, pa tudi Bullett Manale iz IDERA.
Trenutno niste prijavljeni. Če si želite ogledati video, se prijavite ali prijavite.
Eric Kavanagh: Dame in gospodje, pozdravljeni in še enkrat dobrodošli nazaj v Hot Technologies! Ja, res, 2016. 2016. V tej oddaji so bili tretje leto njene zelo zanimive stvari. Letos smo se zibali in kotalili. To je Eric Kavanagh, vaš gostitelj. Današnja tema - to je odlična tema, saj ima veliko aplikacij v številnih panogah, odkrito povedano - "Kdo, kaj, kje in kako: zakaj želite vedeti." Ja, res, se bomo pogovarjali o vseh tistih zabavnih stvareh. Pokaže se resnično tvoj diapozitiv. Utripi me na @eric_kavanagh. Poskušam ponovno tvitniti vse omembe in ponovno tvitniti vse, kar mi kdo pripomni. Sicer pa naj bo tako.
Vroče je, da! Celotna oddaja je zasnovana tako, da pomaga organizacijam in posameznikom razumeti določene vrste tehnologije. Tu smo zasnovali celoten program Hot Hot Technologies kot način definiranja določene vrste programske opreme ali določenega trenda ali določene vrste tehnologije. Razlog je v tem, ker odkrito povedano v svetu programske opreme pogosto dobite te tržne izraze, ki se jih ne veže, včasih pa lahko odkrito podrejo pojme, ki naj bi jih opisali.
V tej oddaji vam resnično želimo pomagati razumeti, kaj je določena vrsta tehnologije, kako deluje, kdaj jo lahko uporabljate, kdaj je morda ne bi smeli uporabljati in vam dati čim več podrobnosti. Danes imamo tri predstavnike: naš zelo lastni Robin Bloor, glavni analitik v skupini Bloor; naš znanstvenik s podatki, ki prihaja iz Sydneyja v Avstraliji na drugi strani planeta, Dez Blanchfield, in eden izmed naših najljubših gostov Bullett Manale, direktor prodajnega inženiringa IDERA.
Tu rečem samo nekaj stvari, pri čemer razumem, kdo počne kaj s tem podatkom, to je podobno kot upravljanje, kajne? Če razmišljate o vseh predpisih v panogah, kot so zdravstvena oskrba in finančne storitve, na teh področjih, so te stvari izjemno pomembne. Vedeti morate, kdo se je dotaknil informacije, kdo je kaj spremenil, kdo je dostopal do nje, kdo jo je naložil, na primer. Kakšna je roda, kakšna je v teh podatkih? Lahko ste prepričani, da bodo vsa ta vprašanja v prihodnjih letih iz različnih vrst razlogov ostala pomembna. Ne samo za skladnost, čeprav HIPAA, Sarbanes-Oxley in Dodd-Frank, in vsi ti predpisi so zelo pomembni, ampak tudi samo zato, da v svojem poslu razumete, kdo kaj počne, kje, kdaj, zakaj in kako. To je dobra stvar, bili bodo pozorni.
Pojdi, vzemi ga, Robin Bloor.
Robin Bloor: V redu, hvala za uvod, Eric. Mislim, da to področje upravljanja mislim, da upravljanje IT ni bila beseda, ki ste jo slišali malo po letu 2000, mislim. Pojavil se je predvsem zato, ker mislim, da je vsekakor prišlo predvsem zaradi zakonodaje o skladnosti, ki velja. Predvsem HIPAA in Sarbanes-Oxley. To je pravzaprav veliko. Zato so organizacije spoznale, da morajo imeti niz pravil in nabor postopkov, ker je to po zakonu potrebno. Dolgo pred tem, zlasti v bančnem sektorju, je bilo veliko pobud, ki ste se jih morali držati, odvisno od vrste banke in zlasti od mednarodnih bankirjev. Začelo se je celotno usklajevanje Bazela, in sicer pred določenim sklopom pobud po letu 2000. Po mojem mnenju sem se pogovarjal o temi upravljanja kot uvodu v osredotočenost spremljanja tega, kdo dobi podatke.
Upravljanje podatkov, včasih sem se razgledoval približno pet ali šest let nazaj, pogledal po definicijah in sploh ni bil dobro opredeljen. Postane bolj jasno in jasno, kaj dejansko pomeni. Resničnost razmer je bila ta, da so bili v določenih mejah vsi podatki dejansko že urejeni, vendar formalnih pravil zanj ni bilo.Obstajala so posebna pravila, ki so bila posebej narejena v bančni industriji za takšno početje, vendar je spet šlo za spoštovanje. Tako ali drugače je bilo dokazovanje, da ste pravzaprav - povezana z tveganjem, zato je bilo njegovo dokazovanje, da ste sposobna banka.
Če zdaj pogledate na izziv upravljanja, se začne z dejstvom gibanja velikih podatkov. Dobili smo vse več virov podatkov. Obseg podatkov je seveda težava s tem. Zlasti začeli smo veliko, veliko, več delati z nestrukturiranimi podatki. Začelo je postati nekaj, kar je del celotne analitične igre. In zaradi analitike so pomembni podatki in poreklo. Z vidika uporabe analitike podatkov, ki je na kakršen koli način povezan s kakršno koli skladnostjo, morate resnično vedeti, od kod prihajajo podatki in kako to, kakšni so.
Šifriranje podatkov je začelo postajati vprašanje, postalo je večje vprašanje takoj, ko smo šli na Hadoop, ker ideja o podatkovnem jezeru, v katero hranimo veliko podatkov, kar naenkrat pomeni, da imate ogromno območje ranljivosti ljudi, ki jih lahko dobijo pri tem. Šifriranje podatkov je postalo veliko bolj izrazito. Preverjanje pristnosti je bilo vedno težava. V starejšem okolju, v glavnem okolju, so imeli tako čudovito varnostno zaščito po obodu; overjanje nikoli ni bilo veliko vprašanje. Kasneje je to postalo večje vprašanje in njegova veliko večja težava zdaj, ker smo dobili tako zelo razširjena okolja. Spremljanje dostopa do podatkov je postalo težava. Zdi se, da se spominjam različnih orodij, ki so nastala pred približno desetimi leti. Mislim, da so večino teh poganjale pobude za skladnost. Zato smo dobili tudi vsa pravila skladnosti, poročanje o skladnosti.
Kar pride na misel je, da tudi v devetdesetih letih, ko ste delali klinična preskušanja v farmacevtski industriji, niste smeli samo dokazati, od kod prihajajo podatki - očitno je to zelo pomembno, če preizkušate droge v različnih slabostih, če želite vedeti, komu se sodi in kakšni so končni podatki okoli njega - morali ste zagotoviti revizijo programske opreme, ki je dejansko ustvarila podatke. To je najstrožji sklad, kar sem jih kdajkoli videl, v smislu dokazovanja, da stvari dejansko ne namerno ali po naključju nereda zajebavate. V zadnjem času je postalo vprašanje, zlasti upravljanje življenjskega cikla podatkov. Vse to je na nek način izziv, saj veliko tega ni bilo dobro opravljeno. V mnogih okoliščinah je to potrebno storiti.
Temu pravim podatkovna piramida. Prej sem se nekako pogovarjal o tem. Zdi se mi zelo zanimiv način gledanja na stvari. Podatki si lahko mislijo, da imajo plasti. Surovi podatki, če želite, so v resnici le signali ali meritve, posnetki, dogodki, večinoma posamezni zapisi. Mogoče transakcije, izračuni in združevanje seveda ustvarjajo nove podatke. Na njih je mogoče razmišljati na ravni podatkov. Ko pa podatke dejansko povežete, postanejo informacije. Postane uporabnejši, seveda pa postane bolj ranljiv za ljudi, ki ga hecajo ali zlorabljajo. Opredelim, da kot ustvarjanje resnično s strukturiranjem podatkov lahko predstavljam podatke z glosarji, shemami, ontologijami na informacijah. Ti dve spodnji plasti sta tisto, kar obdelujemo na tak ali drugačen način. Zgoraj temu pravim sloj znanja, ki ga sestavljajo pravila, politike, smernice, postopek. Nekatere od njih lahko dejansko ustvarijo vpogledi, odkriti v analitiki. Veliko jih je dejansko pravil, ki se jih morate držati. To je sloj upravljanja, če želite. Tu se na tak ali drugačen način, če ta plast ni pravilno poseljena, spodaj ne uporabljata dva sloja. Končna točka tega je razumevanje nečesa, kar biva samo v ljudeh. Računalnikom tega še ni uspelo, k sreči. V nasprotnem primeru bom brez službe.
Imperij upravljanja - to sem nekako sestavil, mislim, da je moralo biti pred približno devetimi meseci, morda precej prej. V bistvu sem ga nekako izboljšal, a takoj, ko smo se začeli ukvarjati z upravljanjem, potem glede na vozlišče podatkov o podjetjih ni bilo le zbiralnika podatkov, virov podatkovnih jezer, ampak tudi različnih različnih strežnikov, specializirani strežniki podatkov. Vse to je bilo treba urejati. Ko ste dejansko pogledali tudi različne dimenzije - varnost podatkov, čiščenje podatkov, odkrivanje metapodatkov in upravljanje metapodatkov, ustvarjanje poslovnega slovarja, preslikava podatkov, podatkovna vrstica, upravljanje življenjskega cikla podatkov - potem, upravljanje spremljanja uspešnosti, upravljanje ravni ravni , sistemsko upravljanje, ki ga morda dejansko ne povezujete z upravljanjem, vendar določeno - zdaj, ko boste šli v hitrejši in hitrejši svet z vedno več pretoki podatkov, je pravzaprav zmožen narediti nekaj z določeno uspešnostjo, je pravzaprav nuja in začne postanejo pravilo delovanja in ne kaj drugega.
Če povzamem v zvezi z rastjo skladnosti, sem opazoval, da se je to dogajalo že več let, vendar je splošno varstvo podatkov dejansko prišlo v devetdesetih letih prejšnjega stoletja v Evropi. Od takrat je le še bolj in bolj izpopolnjeno. Potem so se vse te stvari začele uvajati ali izpopolnjevati. GRC, to je tveganje upravljanja in skladnost, se dogaja, odkar so banke storile Basel. ISO ustvarja standarde najrazličnejših operacij. Ves čas vem, da sem bil v IT-ju - že dolgo - ameriška vlada je bila še posebej dejavna pri oblikovanju različnih zakonodaj: SOX, Theres Gramm-Leach-Bliley, HIPAA, FISMA, FERPA. Dobili ste tudi čudovito organizacijo NIST, ki ustvarja številne standarde, zlasti varnostne standarde, zelo koristne. Zakonodaja o varstvu podatkov v Evropi ima lokalne razlike. Na primer, kaj lahko storite z osebnimi podatki v Nemčiji, je drugačno od tistega, kar lahko storite v Slovaški republiki, Sloveniji ali kamor koli. Pred kratkim so se predstavili - in mislim, da sem to omenil, ker se mi zdi zabavno - Evropa uvaja idejo o pravici do pozabe. To pomeni, da bi morali biti javni podatki, ki so dejansko osebni podatki, zastarani. Mislim, da je to zabavno. Z vidika IT bo to zelo, zelo težko, če začne veljati zakonodaja. Če povzamem, povem naslednje: Ker se informacijski podatki in upravljanje hitro razvijajo, se mora tudi upravljanje hitro razvijati in velja za vsa področja upravljanja.
Ko sem rekel, da bom žogo poslal Dez.
Eric Kavanagh: Da, tako, Dez Blanchfield, vzemi ga. Robin, s tabo sem, človek, umiram, da vidim, kako se igra ta pravica do pozabe. Mislim, da to ne bo samo zahtevno, ampak v bistvu nemogoče. To je samo kršitev čakanja, ki jo bodo izvajale vladne agencije. Dez, vzemi ga.
Dez Blanchfield: To je res in to je tema za novo razpravo. Tu imamo zelo podoben izziv v Azijsko-Tihem oceanu, še posebej v Avstraliji, kjer morajo operaterji in ponudniki internetnih storitev zabeležiti vse, kar je povezano z internetom, in jih lahko posneti in znova izvesti, če kdo od interesov naredi kaj narobe. To je zakon in ga morate upoštevati. Izziv, kot bi lahko kdo v Googlu v ZDA naročil, naj izbriše mojo zgodovino iskanja ali kar koli drugega, morda bi bilo to v skladu z evropskim pravom, zlasti nemškim zakonom o zasebnosti. Če želi agencija v Avstralijo pogledati vas, mora letalski prevoznik posredovati podrobnosti o opravljenih klicih in zgodovini iskanja, kar je izziv, vendar je to svet, v katerem živimo. Za to obstaja kopica razlogov. Naj samo skočim v svoje.
Namensko sem naslovno stran težko bral. Morate resnično težko pogledati na to. Skladnost, skladna z naborom pravil, specifikacij, kontrol, politik, standardov ali zakonov z neumnim, zmedenim ozadjem. To je zato, ker si moraš resnično težko ogledati podrobnosti in izvleči podatke iz tega, kar je prekrivalo, to je niz tabel in vrstic in stolpcev, bodisi zbirka podatkov, shema ali skica v Visio. To je občutek skladnosti, kakršen je vsak dan. Precej težko se potopite v podrobnosti in izvlečete ustrezne podatke, ki jih potrebujete, da lahko potrdite, da ste skladni. Poročajte o tem, spremljajte ga in preizkusite.
Pravzaprav sem mislil, da je to res dober način, da to vizualiziram, ko si zastavimo vprašanje: "Ali ste skladni?" "Ali si prepričan?" "No, dokaži!" To je res zabavna stvar, ki je morda nekoliko bolj anglo-keltska, toda prepričan sem, da se je po vsem svetu podal v ZDA, zato je: "Wheres Wally?" Wally je majhen lik, ki se v teh risanih risbah zaplete v obliki knjig. Običajno slike velikega obsega A3 ali večje. Torej, risbe velikosti mize. Ima majhen lik, ki nosi čevlje in rdeče-belo črtasto majico. Ideja igre je, da pogledate to sliko in se v krogih ozrete naokoli, da poskusite najti Wallyja. Tu je nekje na tej sliki. Ko razmišljate o tem, kako odkriti in opisati ter poročati o skladnosti, je v mnogih pogledih to, da igrate "Wheres Wally". Če pogledate to sliko, je lik skoraj nemogoče najti. Otroci za to preživijo ure in včeraj sem se zelo zabaval. Ko ga pogledamo, najdemo cel kup ljudi v teh risanih filmih, namerno nameščenih tam s podobnimi kosi obleke Wally iz črtastega dresa in majice ali volnenega vrha. Vendar se izkažejo za lažno pozitivne.
To je podoben izziv kot skladnost. Ko smo gledali stvari, včasih kaj, za kar mislimo, da je tako, sploh ni tako. Nekdo bi lahko imel dostop do baze podatkov in naj bi imel ta dostop do baze podatkov, način, kako jo uporabljajo, pa je nekoliko drugačen od pričakovanja. Lahko se odločimo, da je to nekaj, kar moramo pogledati. Ko pogledamo vanjo, ugotovimo, v resnici je to zelo veljaven uporabnik. Samo nekaj čudnega delajo. Mogoče je njen PC raziskovalec ali kdo ve. V drugih primerih je lahko ravno obratno. Resničnost, ko grem spet naprej, je Wally. Če bi v tej visoki ločljivosti resnično težko gledali, je en lik, ki dejansko nosi primerno oblačilo. Vsi ostali so le luknjasti in podobni. Skladnost se počuti tako zelo. Večina ljudi, ki jih poznam, deluje na področjih nadzora in skladnosti ter politik podjetij. Na celotnem območju področij, ne glede na to, ali gre za tehnologijo, financiranje ali delovanje in tveganje. Pogosto je zelo težko videti Wallyja na sliki, videti drevesa ali les.
Vprašanje, ki si ga zastavljamo, ko razmišljamo o stvareh, kot je skladnost, je: "Veliko, kaj bi lahko šlo narobe, če ne bomo povsem izpolnjevali zahtev?" V okviru današnje razprave, zlasti glede podatkovne baze in nadzora dostopa do podatkov, vam bom dal nekaj zelo resničnih primerov klicev o budnosti o tem, kaj se lahko zgodi narobe v zelo kratki kratki obliki. Če pomislimo na kršitve podatkov in smo bili vsi seznanjeni s kršitvami podatkov, jih slišimo v medijih in se nekako ustavimo in se smejimo, ker ljudje mislijo na njegove trge. Njene osebne stvari. Ashley Madison in ljudje, ki si želijo, da bi dobili zmenke zunaj svojih odnosov in porok. Njeni računi. Vse te čudne stvari ali kakšen naključni evropski ali ruski ponudnik internetnih storitev ali gostujočega podjetja se zlomi. Ko pogledate te številke, želim doseči naslednje stvari: 1,1 milijarde ljudi je v teh desetih najbolj kršeno. In ja, obstajajo prekrivanja, verjetno so ljudje, ki imajo račun MySpace, račun Dropbox in račun Tumblr, le da jih lahko zaokrožijo na milijardo ljudi.
Omenjenih prvih deset kršitev v zadnjem desetletju ali tako - niti desetletje - v večini primerov - pomeni približno eno sedmo svetovne populacije človeških bitij, realneje pa je približno 50 odstotkov števila ljudi povezanih z internet, več kot milijarda posameznikov. To se zgodi, ker skladnost v nekaterih primerih ni bila izpolnjena. V večini primerov so šlo za nadzor dostopa do baze podatkov, nadzor dostopa do določenih nizov podatkov ter sistemov in omrežij. To je strašljivo preverjanje resničnosti. Če vas to ne prestraši, ko pogledate v prvo deseterico in vidite, da je to - ali lahko vidite, da gre za milijardo posameznikov, resničnih človeških bitij, kot smo mi, na ta poziv prav zdaj. Če imate račun LinkedIn, če ste imeli račun Dropbox ali račun Tumblr ali če ste kupili od izdelkov Adobe ali celo registrirali, prenesite brezplačni pregledovalnik Adobe. Po vsej verjetnosti ni mogoče, povsem verjetno je, da so vaši podatki, ime, priimek, naslov, morda celo naslov vašega delovnega podjetja ali domači naslov ali kreditna kartica pravzaprav zunaj kršitve, je prišlo zaradi nadzorov, ki niso bili nujno dobro vodeni v obliki upravljanja podatkov in upravljanja podatkov.
Naj si ga ogledamo, ko si ga ogledamo v resničnih podrobnostih. Tu je en zaslon, tam je približno 50-nekaj. Obstaja še 15. Obstaja še približno 25. To so kršitve podatkov, ki so navedene na spletni strani z imenom haveibeenpwned.com. To bi lahko šlo narobe, če česa preprostega, kot je nadzor nad uporabnikom, ki je imel dostop do podatkov v zbirkah podatkov na različnih poljih in vrsticah in stolpcih ter različnih aplikacijah v vašem podjetju, ne upravljate pravilno. Te organizacije zdaj temeljijo na podatkih. Večina podatkov živi v bazi podatkov v določeni obliki. Ko razmišljate o tem, je seznam kršitev, ki smo ga pravkar pogledali, in upajmo, da vam je dodal nekaj hladnega tuša v smislu, da ste mislili, "Hmm, to je resnično", in je lahko vplival na vas. Leta 2012 je na primer kršitev LinkedIna danes večina strokovnjakov imela LinkedIn račun in verjetno je, da bodo vaši podatki izgubljeni. Na spletu so že od leta 2012. O tem smo jim šele povedali leta 2016. Kaj se je z informacijami zgodilo v teh štirih letih? No, zanimivo in o tem lahko govorimo ločeno.
Upravljanje podatkovnih baz in sistemov - Pogosto govorim o tem, kar se mi zdi prvih pet izzivov pri upravljanju teh stvari. Na zelo, zelo vrhunskem in jih razvrščam po vrstnem redu, ampak tudi po vrstnem redu vpliva, številka ena je varnost in skladnost. Nadzor in mehanizmi ter politike glede nadzora nad tem, kdo ima dostop do katerega sistema, iz katerega razloga in namena. Poročanje o tem in spremljanje, pregledovanje sistemov, pregledovanje baz podatkov in videnje, kdo lahko dejansko dostopa do zapisov, posameznih polj in zapisov.
Razmislite o tem v zelo preprosti obliki. Naj kot primer navajamo bančništvo in upravljanje premoženja. Ko se prijavite na bančni račun, povejte le običajni denarni račun za kartico EFTPOS ali gotovinski račun ali čekovni račun. V tisti papir, ki ga izpolnite ali naredite prek spleta, izpolnite obrazec in v njem je veliko zelo zasebnih podatkov, ki segajo v računalniški sistem. Zdaj, če želi nekdo v marketingu stopiti v stik z vami in vam z brošuro, bi mu moral dovoliti, da na primer vidi vaše ime in priimek ter vaš osebni naslov in potencialno vašo telefonsko številko, če vas želi hladno poklicati in prodati ti nekaj. Verjetno ne bi videli skupnega zneska denarja, ki ste ga dobili v banki iz kopice razlogov. Če vas nekdo gleda s tveganega vidika ali vam skuša pomagati narediti nekaj, kot so boljše obrestne mere na vašem računu, ta določena oseba verjetno želi videti, koliko denarja imate v banki, zato vam lahko ponudi ustrezne stopnje obresti na vaš denar. Ti dve osebi imata zelo različne vloge in zelo različne razloge za te vloge ter namene teh vlog. Kot rezultat tega morate v svojem zapisu videti različne podatke, vendar ne vseh zapisov.
Ti nadzori v različnih poročilih običajnih zaslonov ali obrazcev, ki jih imajo v aplikacijah, ki se uporabljajo za upravljanje vašega računa. Razvoj za te, njihovo vzdrževanje, njihovo upravljanje, poročanje o njih in upravljanje in skladnost, ki so ovita okoli tistih, kot so oviranje mehurčkov, so vsi zelo velik izziv. To je samo izziv številka ena pri upravljanju podatkov in sistemov. Ko se s tem sklopom poglobimo v uspešnost in spremljanje ter odkrivanje in odzivnost pojavov, upravljanje in upravljanje sistema ter skladnost okoli njih, načrtovanje in razvoj sistemov od skladnosti, postane veliko težje.
Obvladovanje celotnega vprašanja zmanjšanja tveganj in izboljšanja varnosti. Moje pet najboljših izzivov na tem prostoru - in všeč so mi posnetki, ki so pri carinski pisarni, ko vstopate v državo - predložijo vaš potni list, in vas pregledajo, in pogledajo v njihov računalniški sistem, da vidijo, ali morate iti mimo oz. ne. Če ne bi smeli, te bodo postavili na naslednje letalo nazaj domov. V nasprotnem primeru vas vrnejo nazaj in vam zastavijo vprašanja, kot so: "Ali prihajate na počitnice? Ste tukaj turist? Ste tukaj zaradi službe? Kakšno delo boste videli? Kje se boste nastanili ? Kako dolgo prihajate? Ali imate dovolj denarja, da pokrijete svoje stroške in stroške? Ali boste postali tveganje za državo, v kateri ste, in morda bodo morali skrbeti za vas in vas nahraniti? "
Obstaja nekaj težav v tem prostoru podatkov, ki urejajo varstvo podatkov. Na primer v prostoru baze podatkov moramo razmišljati o blažitvi obvodov baz podatkov. Če so podatki v zbirki podatkov, v običajnem okolju in obstajajo kontrolniki in mehanizmi okoli tega v sistemu. Kaj se zgodi, če je izpis podatkov narejen v več SQL in varnostno kopiran v trak? Podatkovne baze se včasih odložijo v surovi obliki in so včasih varnostno kopirane. Včasih se to stori iz tehničnih, razvojnih razlogov. Naj povemo, da je bil posneten izpis podatkov DB in je varnostno kopirano v trak. Kaj se zgodi, če se bom prijel za ta trak in ga obnovil? In sem dobil surovo kopijo baze podatkov v SQL-u. Njegova MP datoteka, njena, lahko jo preberem. Vsa gesla, ki so shranjena na tem smetišču, nimajo nadzora nad mano, ker zdaj dobivam dostop do dejanske vsebine baze podatkov, ne da bi jo motor baze podatkov varoval. Tako lahko tehnično zaobidem varnost platforme baze podatkov, ki je vgrajena v motor, s skladnostjo in z obvladovanjem tveganj, da me ne bi več gledal na podatke. Ker sem potencialno razvijalca, sistemskega administratorja, sem dobil popolno smetišče baze podatkov, ki bi jo bilo treba uporabiti za varnostno kopiranje.
Zloraba podatkov - potencialno je, da se nekdo prijavi kot povišani račun in me pusti sedeti za zaslonom, iskati informacije ali podobne stvari.Lastniška revizija, dostop in uporaba podatkov ter ogled podatkov ali njihove spremembe. Nato je potrebno poročanje o tem nadzoru in skladnost. Spremljanje prometa in dostopa in tako naprej, blokiranje groženj, ki prihajajo z zunanjih lokacij in strežnikov. Na primer, če so podatki predstavljeni prek obrazca na spletni strani v internetu, ali so bile njihove injekcije SQL zaščitene s požarnimi zidovi in nadzorom koncepta? Za tem je dolga podrobna zgodba. Tu lahko vidite, da je le nekaj teh popolnoma temeljnih stvari, o katerih razmišljamo pri zmanjševanju in obvladovanju tveganja okoli podatkov znotraj podatkovnih baz. Nekatere od teh je dejansko razmeroma enostavno zaokrožiti, če ste na različnih ravneh tehnologij. Izziv postaja vse težji in težji, ko dobivate vse več podatkov in več baz podatkov. Bolj in bolj zahtevni so ljudje, ki morajo upravljati sisteme in spremljati njihovo uporabo, spremljati ustrezne podrobnosti, ki se nanašajo na stvari, o katerih je Robin govoril, okoli stvari, kot je osebna skladnost. Posamezniki imajo okoli sebe nadzor in mehanizme, ki ustrezajo - če storite kaj narobe, vas lahko odpustijo. Če se prijavim v svoj račun, če ga želite videti, bi to moralo biti kaznivo dejanje. Zdaj sem vam omogočil dostop do podatkov, ki jih ne bi smeli videti normalno.
Obstaja osebna skladnost, skladnost s podjetji, podjetja imajo politike in pravila ter nadzor, ki si ga določijo sami, tako da podjetje dobro deluje in vlagateljem in delničarjem zagotavlja donosnost dobička in dober donos. Nato so pogosto zvezni ali državni zvezni ali državni zvezni, kot ste rekli, ameriški nadzor in zakoni. Potem so tu globalne. Nekateri od večjih incidentov na svetu, kjer sta všeč Sarbanes-Oxley, dva posameznika, ki ju prosijo, naj zasnujeta načine, kako zaščititi podatke in sisteme. Theres Basel v Evropi in ima vse vrste nadzora v Avstraliji, zlasti okoli borznih in poverilnih platform, nato pa zasebnosti na ravni posameznika ali podjetja. Ko se vsako od teh zloži, kot ste jo videli na enem od mest, ki jih je imel Robin, postanejo skoraj nemogoča gora za vzpon. Stroški postanejo visoki in so bili takrat, ko izvirni tradicionalni pristop, ki ga poznate, na primer pri merjenju nadzora nad ljudmi, ni več primeren pristop, ker je obseg prevelik.
Imamo scenarij, kjer je skladnost tisto, čemur pravim zdaj, vedno aktualno vprašanje. In to je, da smo včasih imeli mesečno ali četrtletno ali letno točko, kjer bi pregledali stanje nacije in pomagali pri izpolnjevanju in nadzoru. Zagotavljanje, da so imeli določeni ljudje določen dostop in do določenega dostopa, odvisno od njihovih dovoljenj. Zdaj gre za hitrost stvari, s katero se stvari premikajo, hitrost spreminjanja stvari, obseg delovanja. Usklajenost je vedno aktualna tema in svetovna finančna kriza je bila le en primer, ko bi se ustrezni nadzor in ukrepi na področju varnosti in skladnosti lahko izognili scenariju, v katerem smo imeli odrešen tovorni vlak določenega vedenja. Samo ustvarjanje situacije s celim svetom, ki dejansko ve, da se bo pokvarilo in bankrotiralo. Za to potrebujemo prava orodja. Vmetavanje ljudi v vlak, metanje trupel ni več veljaven pristop, ker je skala prevelika in stvari se prehitro premikajo. Po mojem mnenju bomo danes razpravljali o vrstah orodij, ki jih lahko uporabimo pri tem. Zlasti orodja, ki nam jih lahko zagotovi IDERA, ki bi to morala storiti. In s tem v mislih bom dal Bullettu, da se sprehodi po njegovem materialu in nam pokaže njihov pristop ter orodja, ki jih imajo za rešitev te težave, ki smo jo zdaj vložili za vas.
S tem, Bullett, vam bom predal.
Bullett Manale: Sliši se super, hvala. Želim govoriti o nekaj diapozitivih in želim vam pokazati tudi izdelek, ki ga posebej uporabljamo za zbirke podatkov SQL Server za pomoč pri skladnosti. Resnično, izziv v veliko primerih - preskočil jih bom kar nekaj teh - to je samo naš portfelj izdelkov, skozi to bom šel precej hitro. Glede na to, kje se bo ta izdelek lotil in kako se nanaša na skladnost, to vedno potegnem kot prvi diapozitiv, ker je to vrsta splošnega: "Hej, kaj je odgovornost DBA?" nadzira in nadzira dostop uporabnikov in lahko tudi ustvarja poročila. To bo povezano s pogovorom z revizorjem, kako težaven je lahko postopek, ki se spreminja, odvisno od tega, ali ga boste opravili sami ali če boste za pomoč uporabili orodje drugega proizvajalca.
Na splošno gledam, ko govorim z skrbniki baz podatkov, velikokrat nikoli niso bili vključeni v revizijo. Nekako jih morate vzgajati, kaj resnično morate storiti. Glede na vrsto skladnosti, ki jo je treba izpolniti, in biti sposoben dokazati, da dejansko upoštevate pravila, kot velja za to raven skladnosti. Veliko ljudi na začetku tega ne dobi. Mislijo: "Oh, lahko samo kupim orodje, ki me bo naredilo skladnega." Resničnost pa ni tako. Želim si, da bi lahko rekel, da vam je naš izdelek na čaroben način, s pritiskom na enostaven gumb, omogočil, da se prepričate, da ste v skladu. Resničnost je ta, da morate imeti svoje okolje nastavljeno v smislu kontrol, glede na to, kako ljudje dostopajo do podatkov, da je treba vse razviti z aplikacijo, ki jo imate. Kjer se ti občutljivi podatki hranijo, kakšne vrste regulativne zahteve so. Nato je treba tudi sodelovati z običajno internim uradnikom za skladnost, da lahko zagotovite, da upoštevate vsa pravila.
To se sliši res zapleteno. Če pogledate vse regulativne zahteve, bi pomislili, da bi bilo tako, toda v resnici je tukaj skupni imenovalec. V našem primeru z orodjem, ki vam ga bom danes pokazal, izdelkom za upravljanje skladnosti, bi bil v naših razmerah takšen postopek, da moramo v prvi vrsti poskrbeti za zbiranje podatkov o revizijski sledi, povezanih s tem, kje so podatki je v bazi podatkov občutljiva. Vse lahko zbereš, kajne? Lahko bi šel ven in rekel, da želim zbrati vsako transakcijo, ki se zgodi v tej bazi podatkov. Resničnost je, da imate verjetno le majhen del ali majhen odstotek transakcij, ki so dejansko povezane z občutljivimi podatki. Če je PCI skladen, se bo ta nahajal okoli podatkov o kreditni kartici, lastnikov kreditnih kartic in njihovih osebnih podatkov. V zvezi z vašo prijavo lahko pride do številnih drugih transakcij, ki v resnici nimajo vpliva na regulativne zahteve PCI.
S tega stališča prva stvar, ko se pogovarjam z DBA, rečem: „Izziv številka ena ni, da bi poskušali dobiti orodje, ki bi to storilo za vas. Samo vem, kje so ti občutljivi podatki in kako jih zaklenemo? "Če imate to, če lahko odgovorite na to vprašanje, potem ste na pol poti, ko lahko pokažete, da ste v skladu, če predpostavljate, da sledite prave kontrole. Naj za trenutek povem, da sledite pravilnim nadzorom, in revizorjem ste povedali, da je tako. Naslednji del postopka je očitno zmožen zagotoviti revizijsko sled, ki pokaže in potrdi, da nadzor dejansko deluje. Nato sledite temu in poskrbite, da boste te podatke shranili. Ponavadi se s stvarmi, kot sta skladnost s PCI in HIPAA, in s takšnimi vrstami stvari pogovarjate o zadržanju sedem let. Govorite o veliko transakcijah in veliko podatkov.
Če hranite, zbirate vsako transakcijo, čeprav je le pet odstotkov transakcij povezanih z občutljivimi podatki, govorite o precej velikih stroških, povezanih s tem, da morate te podatke hraniti sedem let. Mislim, da je to eden največjih izzivov to, da bi se narodi usmerili okoli tega, da bi rekli, da je to očitno nepotreben strošek. Prav tako je veliko lažje, če se lahko le podrobno osredotočimo na občutljiva območja v bazi. Poleg tega si boste želeli nadzorovati tudi nekatere občutljive podatke. Ne samo za prikaz v revizijski sled, ampak tudi za to, da lahko stvari povežete z dejanji, ki se dogajajo, in da boste lahko obveščeni v realnem času, da boste lahko o tem seznanjeni.
Primer, ki ga vedno uporabljam, in morda ni nujno povezan s kakršno koli regulativno zahtevo, ampak samo zato, da bi lahko na primer sledil, je nekdo moral izpustiti tabelo, povezano z plačo. Če se to zgodi, potem nihče ne dobi plačila, če boste izvedeli za to, če tega ne spremljate. To je prepozno. Želite vedeti, kdaj se ta miza spusti, prav ko jo padejo, da se izognete slabim stvarem, ki se zgodijo kot rezultat nezadovoljnega zaposlenega in brisanje tabele, vezane neposredno na plačo.
Z omenjenim je trik v iskanju skupnega imenovalca ali uporabi tega skupnega imenovalca za preslikavo stopnje usklajenosti. To je tisto, kar poskušamo narediti s tem orodjem. V bistvu upoštevamo pristop, ne bomo vam pokazali poročila, značilnega za PCI, značilnega za zaloge; skupni imenovalec je, če imate aplikacijo, ki uporablja SQL Server za shranjevanje občutljivih podatkov v bazo podatkov. Ko vas nekako preseže, si rečete: "Ja, to je res glavna stvar, na katero se moramo osredotočiti - kje so ti občutljivi podatki in kako do njih dostopati?" Ko boste to prejeli, boste na voljo v številnih poročilih, ki lahko dokažejo to dokazilo.
Če se vrnem k vprašanjem, ki jih zastavi revizor, bodo prva vprašanja: Kdo ima dostop do podatkov in kako do tega dostopa? Ali lahko dokažete, da pravi ljudje dostopajo do podatkov, napačni pa ne? Ali lahko tudi dokažete, da je revizijska sled sama nekaj, čemur lahko zaupam kot nepremagljiv vir informacij? Če vam dam izdelovano revizijsko sled, mi kot revizor res ni prav dobro, da popravim vašo revizijo, če so podatki pridobljeni. Za to potrebujemo dokaz, običajno z vidika revidiranja.
Skozi ta vprašanja nekako bolj podrobno. Izziv pri prvem vprašanju je, da morate vedeti, kot sem rekel, kje so ti občutljivi podatki, da bi lahko poročali o tem, kdo do njih dostopa. To je ponavadi nekakšna vrsta odkritja in res imaš na tisoče različnih aplikacij, ki so tam zunaj, imaš na tone različnih regulativnih zahtev. V večini primerov želite sodelovati s svojim pooblaščencem za skladnost, če imate enega ali vsaj nekoga, ki bi imel nekaj dodatnega vpogleda v tem, kje so moji občutljivi podatki znotraj aplikacije. Imamo orodje, ki ga imamo, njegovo brezplačno orodje, ki se imenuje iskanje v stolpcu SQL. Našim potencialnim strankam in uporabnikom, ki jih to vprašanje zanima, lahko povemo, da ga lahko prenesejo. Njegov namen bo predvsem iskanje informacij v bazi podatkov, ki bodo po naravi verjetno občutljive.
Ko pa to storite, morate razumeti tudi, kako ljudje dostopajo do teh podatkov. Ponovno bo to, kateri računi, v katerih so aktivne skupine Active Directory, ki sodelujejo uporabniki baz podatkov, so s tem povezani člani vlog. In seveda ob upoštevanju, da mora vse te stvari, o katerih govorimo, odobriti revizor, tako da če rečete: "Tako zaklepamo podatke," potem lahko revizorji pridejo nazaj in reci: "No, delaš narobe." Toda recimo, da pravijo: "Ja, to izgleda dobro. Podatke dovolj zaklenete. "
Ali lahko nadaljujete na naslednje vprašanje, ali lahko dokažete, da pravi ljudje dostopajo do teh podatkov? Z drugimi besedami, lahko jim sporočite, da so vaši nadzori, to so kontrolniki, ki jim sledite, vendar žal revizorji niso resnično zaupljivi posamezniki. Želijo si dokaz o tem in ga želijo videti v revizijski sled. In to sega v celotno skupno ime imenovalca. Ne glede na to, ali gre za PCI, SOX, HIPAA, GLBA, Basel II, je resnično, da se običajno postavljajo iste vrste vprašanj. Predmet z občutljivimi informacijami, ki je do njega dostopil v zadnjem mesecu? To bi moralo ustrezati mojim nadzorom in moral bi biti sposoben, da na koncu opravim revizijo s prikazom teh vrst poročil.
Torej, kar smo storili, je, da smo sestavili približno 25 različnih poročil, ki sledijo na istih vrstah področij kot skupni imenovalec. Torej nimamo poročila za PCI ali za HIPAA ali za SOX, imamo poročila, ki se spet upirajo temu skupnemu imenovalcu. Tako da v resnici ni pomembno, katere regulativne zahteve poskušate izpolniti, v večini primerov boste lahko odgovorili na vsako vprašanje, ki vam ga zastavi ta revizor. In povedali vam bodo, kdo, kaj, kdaj in kje vsaka transakcija. Veste, uporabnik, čas, ko se je zgodila transakcija, sama izjava SQL, aplikacija, iz katere je prišla, vse te dobre stvari in potem lahko tudi samodejno pošljete te podatke poročilom.
In potem, ko enkrat to presežete in ste ga posredovali revizorju, bo naslednje vprašanje dokazano. In ko rečem, dokaži, mislim dokazati, da je sama revizijska sled nekaj, čemur lahko zaupamo. Način, kako to počnemo v svojem orodju, imamo vrednosti hash in vrednosti CRC, ki se neposredno prilegajo samim dogodkom v revizijski sled. In potem je ideja takšna, da če nekdo gre ven in izbriše zapis ali če nekdo gre ven in odstrani ali doda nekaj v revizijsko sled ali kaj spremeni v revizijski sled, lahko dokažemo, da so ti podatki, celovitost bili so kršeni sami podatki. In tako v 99,9 odstotka časa, če je naša baza podatkov revizijske sledi zaklenjena, ne boste naleteli na to težavo, ker ko izvedemo to preverjanje integritete, revizorju v bistvu dokažemo, da samih podatkov ni bilo spremenili in izbrisali ali dodali od prvotnega pisanja od same storitve upravljanja.
To je nekakšen splošni pregled značilnih vrst vprašanj, ki bi vam jih zastavili. Zdaj se orodje, ki ga moramo obravnavati, imenuje upravitelj skladnosti SQL in naredi vse te stvari v smislu sledenja transakcij, kdo, kaj, kdaj in kje transakcij, kako to lahko storite v število različnih področij. Prijave, neuspele prijave, spremembe sheme, očitno dostop do podatkov, izbira aktivnosti, vse tiste stvari, ki se dogajajo znotraj motorja baze podatkov. Po potrebi lahko uporabnike tudi opozorimo na posebne, zelo natančne pogoje. Na primer, nekdo gre ven in si ogleda tablico z vsemi številkami mojih kreditnih kartic. Ne spreminjajo podatkov, ampak samo gledajo. V tej situaciji lahko opozorim in sporočim ljudem, da se to dogaja, ne čez šest ur, ko sestavljamo hlode, ampak v realnem času. V bistvu traja toliko časa, da obdelamo transakcijo prek storitve upravljanja.
Kot sem že omenil, smo videli, da se to uporablja v različnih različnih regulativnih zahtevah in dejansko ni - saj veste, kakršne koli regulativne zahteve, še enkrat, če imate skupne imenovalce, občutljive podatke v SQL strežniku baze podatkov, to je orodje, ki bi pomagalo v takšnih razmerah. Na 25 vgrajenih poročil je zdaj resničnost, da lahko to orodje naredimo za revizorja in odgovori na vsa vprašanja, ki jih zastavljajo, vendar so DBA tisti, ki morajo to delovati. Torej je tudi to razmišljanje, dobro veste, z vidika vzdrževanja, da se prepričamo, ali SQL deluje tako, kot želimo. Prav tako moramo biti sposobni iti noter in si ogledati stvari, ki jih bomo lahko obiskali, in pogledati druge podatke, kar zadeva arhiviranje podatkov, avtomatizacijo tega in režijske stroške. samega izdelka. To so stvari, ki jih očitno upoštevamo.
Kar vzbuja samo arhitekturo. Na desni strani zaslona imamo primere SQL, ki jih upravljamo, vse od leta 2000 do leta 2014, pripravljamo se na izdajo različice za leto 2016. Največji zagon tega zaslona je upravljanje strežnik sam izvaja vse težke dvige. Pravkar zbiramo podatke z uporabo sledilnega API-ja, vgrajenega v SQL Server. Te informacije se nahajajo na našem strežniku za upravljanje. Sam strežnik za upravljanje sam identificira in če obstajajo dogodki, povezani s kakršnimi koli transakcijami, ki jih ne želimo, z opozorili in takšnimi stvarmi, nato pa podatke shranimo v skladišče. Od tam lahko zaženemo poročila, lahko bi šli ven in dejansko videli te podatke v poročilih ali celo v konzoli aplikacije.
Torej, kar bom storil, je, da nas hitro popeljemo skozi, in samo želim opozoriti na eno hitro, preden skočimo v izdelek, na spletni strani je zdaj povezava, ali na predstavitvi, to vas bo vodilo do tega brezplačnega orodja, ki sem ga omenil prej. Kot sem že rekel, to brezplačno orodje bo šlo ven in pogledalo bazo podatkov ter poskusilo najti področja, ki so videti kot občutljivi podatki, številke socialnega zavarovanja, številke kreditnih kartic, na podlagi poimenovanj stolpcev ali tabel, ali na podlagi videza oblike podatkov in si ga lahko prilagodite, tako da to samo poudarite.
V našem primeru naj grem naprej in delim svoj zaslon, dajte mi eno sekundo. V redu, in tako sem najprej želel, da vas odpeljem do same aplikacije za upravljanje skladnosti in bom to zelo hitro prestal. Ampak to je aplikacija in vidite, da imam tukaj nekaj baz podatkov, in samo pokazal vam bom, kako enostavno je vstopiti in povedati, kaj želite revidirati. Z vidika sprememb sheme, varnostnih sprememb, administrativnih dejavnosti, DML, Izberi, na voljo so nam vse te možnosti, to lahko tudi filtriramo. To se vrača v najboljšo prakso, da lahko rečem: "Resnično potrebujem to tabelo, ker vsebuje številke mojih kreditnih kartic. Ne potrebujem drugih tabel, ki vsebujejo podatke o izdelkih, vse tiste druge stvari, ki niso v skladu s stopnjo skladnosti, ki jo poskušam izpolniti. "
Imamo tudi možnost, da zajemamo podatke in jih prikažemo glede na vrednosti polj, ki se spreminjajo.V številnih orodjih boste imeli nekaj, kar vam bo omogočilo, da zajamete izjavo SQL, pokaže uporabniku, pokaže aplikacijo, čas in datum ter vse te dobre stvari. Toda v nekaterih primerih izjava SQL sama po sebi ne bo dala dovolj informacij, da bi vam lahko povedala, kakšna je bila vrednost polja pred spremembo in vrednost polja po spremembi. In v nekaterih situacijah to potrebuješ. Morda bi želel na primer izslediti podatke o odmerjanju zdravil na recept pri zdravniku. Šlo je od 50mg do 80mg do 120mg, to bi lahko sledil uporabi pred in po.
Občutljivi stolpci so še ena stvar, s katero naletimo na veliko, na primer skladnost s PCI. V tem primeru imate podatke, ki so tako občutljive narave, da vam s pregledovanjem teh informacij ni treba spreminjati, brisati ali dodajati, da lahko povzročim nepopravljivo škodo. Številke kreditnih kartic, številke socialnega zavarovanja, vse take dobre stvari, s katerimi lahko prepoznamo občutljive stolpce in nanje privežemo opozorila. Če kdo odide in pogleda te informacije, bi ga očitno lahko opozorili in ustvarili past SNMP in take stvari.
V nekaterih primerih boste naleteli na situacijo, ko boste morda imeli izjemo. In s tem mislim, da imate situacijo, ko imate uporabnika, ki ima uporabniški račun, ki je lahko vezan na kakšno opravilo ETL, ki se izvaja sredi noči. To je dokumentiran postopek in preprosto mi ni treba vključevati teh transakcijskih podatkov za ta uporabniški račun. V tem primeru bi imeli zaupanja vrednega uporabnika. In potem bi v drugih situacijah uporabili funkcijo Privilegiranega pregledovanja uporabnikov, ki je v bistvu, če imam, recimo, aplikacijo, in ta aplikacija že izvaja revizijo, uporabnikov, ki gredo skozi aplikacijo, to je super, na revizijo se že imam kaj sklicevati. Ampak pri stvareh, ki so na primer povezani z mojimi privilegiranimi uporabniki, fantje, ki lahko zaidejo v studio za upravljanje SQL Server, da pogledajo podatke v bazi podatkov, jih ne bodo zmanjšali. In tu lahko določimo, kdo so naši privilegirani uporabniki bodisi prek članstva v vlogah bodisi prek njihovih računov Active Directory, skupin, njihovih računov, overjenih s SQL, kjer bomo lahko izbirali vse te različne možnosti in nato od tam zagotovite, da lahko za te privilegirane uporabnike določimo vrste transakcij, ki nas zanimajo.
To so različne možnosti, ki jih imate, in ne bom šel skozi različne vrste stvari na podlagi časovnih omejitev za to predstavitev. Želim vam pokazati, kako lahko vidimo podatke in mislim, da vam bo všeč, kako to deluje, ker to lahko storimo na dva načina. To lahko delam interaktivno in tako, ko se pogovarjamo z ljudmi, ki jih to orodje zanima, morda za svoje notranje kontrole, želijo vedeti, kaj se dogaja v številnih primerih. Ni nujno, da revizorji prihajajo na kraj. Samo želijo vedeti: "Hej, želim iti za to mizo in videti, kdo se je dotaknil v zadnjem tednu ali prejšnjem mesecu ali kaj drugega." V tem primeru lahko vidite, kako hitro lahko to storimo.
V primeru podatkovne zbirke zdravstvenega varstva imam tabelo z naslovom Evidenca bolnikov. In ta miza, če bi se samo združil po predmetu, bi se lahko zelo hitro začela zožiti, kjer iščemo. Mogoče bi rad združeval po kategorijah in potem morda po dogodkih. Ko to storim, lahko vidite, kako hitro se to prikaže, in tam je moja tabela bolnikov. Ko se pripravljam, zdaj lahko vidimo aktivnost DML, lahko vidimo, da smo imeli tisoč vstavkov DML in ko odpremo eno od teh transakcij, lahko vidimo ustrezne podatke. Kdo, kaj, kdaj, kje transakcije, stavek SQL, očitno dejanska aplikacija, ki se uporablja za izvedbo transakcije, račun, čas in datum.
Če zdaj pogledate naslednji zavihek tukaj, zavihek Podrobnosti, se to vrne na tisto tretje vprašanje, o katerem govorimo, ki dokazuje, da integriteta podatkov ni bila kršena. V bistvu imamo pri vsakem dogodku skriven izračun naše vrednosti hash-a in to se bo nato povezalo, ko bomo preverjali integriteto. Na primer, če bi šel ven v orodje, pojdel v meni za presojo in bi moral iti ven in reči, da preverimo celovitost skladišča, bi lahko pokazal na bazo podatkov, kjer je sled revizije, se bo izvajal s preverjanjem integritete primerjamo te hash vrednosti in vrednosti CRC z dejanskimi dogodki in povedal nam bo, da ni bilo najdenih težav. Z drugimi besedami, podatki v revizijski sledi niso bili poseženi, saj jih je sprva napisala služba za upravljanje. To je očitno en način za interakcijo s podatki. Druga pot bi bila prek samih poročil. Tako vam bom samo en primer poročila.
In še enkrat, ta poročila, tako kot smo jih pripravili, niso specifična za nobene vrste standardov, kot so PCI, HIPAA, SOX ali kaj podobnega. Še enkrat, to je skupni imenovalec tega, kar počnemo, in v tem primeru, če se vrnemo k temu primeru zapisov o bolnikih, bi lahko šli ven in rekli, da v našem primeru tukaj iščemo v bazi zdravstvenih storitev in v našem primeru se želimo posebej osredotočiti na tabelo, za katero vemo, da vsebuje zasebne podatke, v našem primeru povezane z našimi pacienti. In tako, da vidim, ali lahko tu vtipkam, in gremo naprej in vodimo to poročilo. In očitno bomo od tod videli vse ustrezne podatke, povezane s tem objektom. V našem primeru se prikazuje za mesec dni. Vendar bi se lahko vrnili za šest mesecev, leto, pa čeprav bi podatke hranili.
To so takšni načini, kako bi lahko revizorju dejansko dokazali, da sledite svojim nadzorom. Ko to ugotovite, je očitno to dobro v smislu, da opravite svojo revizijo in da lahko pokažete, da sledite nadzorom in vse deluje.
Zadnja stvar, o kateri sem želel dokazati, je v administrativnem delu. Z vidika tega orodja obstajajo tudi kontrole, s katerimi lahko nastavim kontrole, da se prepričam, da če nekdo počne nekaj, česar ne bi smel početi, se tega lahko zavedam. Tam vam bom dal nekaj primerov. Imam račun za prijavo, ki je vezan na storitev in ta storitev mora imeti višja dovoljenja za to, kar počne. Ne želim, da nekdo vstopi in uporabi ta račun v programu Management Studio in ga potem, veste, uporablja za stvari, za katere ni bil namenjen. Tu bi imeli dva merila, ki bi jih lahko uporabili. Lahko bi rekel: "Poglejte, res nas zanima to delo, recimo, z našo aplikacijo PeopleSoft", kot primer, v redu?
Zdaj, ko sem to storil, želim povedati, kakšne prijave so vezane na račun, ki ga pripravim na to, če je aplikacija, ki se uporablja za prijavo s tem računom ni PeopleSoft, potem bo to dvig alarma. In očitno moramo sami določiti ime računa, tako da v našem primeru pokličemo ta račun zasebnosti zaradi dejstva, da je privilegiran. Ko smo to storili, ko to storimo tukaj, bi lahko nato določili, kaj želimo, da se zgodi, ko se to zgodi, in za vsako vrsto dogodka ali, naj rečem, opozorilo, lahko imeti ločeno obvestilo osebi, ki je odgovorna za ta posamezen podatek.
Na primer, če gre za podatke o plači, gre morda mojemu direktorju za človekove pravice. V tem primeru, ki se ukvarja z aplikacijo PeopleSoft, bo skrbnik te aplikacije. Ne glede na to. Lahko bi dal svoj naslov, prilagodil dejansko opozorilo in vse take dobre stvari. Še enkrat se to vrne v to, da lahko zagotovite, da lahko pokažete, da sledite svojim nadzorom in da delujejo tako, kot so predvideni. Z zadnjega vidika, samo z vidika vzdrževanja, imamo te podatke, da te podatke vzamemo in pošljemo brez povezave. Podatke lahko arhiviram in jih lahko načrtujem, mi pa bi to lahko zelo enostavno naredili v smislu, da bi kot DBA dejansko lahko to storili s tem orodjem, ga nastavili in nekako pojdite stran od njega Ni veliko drža za roko, ki se bo zgodilo, ko ga boste postavili tako, kot mora biti. Kot sem že rekel, mislim, da najtežji del tega ni v tem, da nastavite tisto, kar želite reviziji, ampak veste, kaj želite nastaviti za revizijo.
In kot sem že rekel, narava zveri z revizijo moraš podatke hraniti sedem let, zato se je smiselno osredotočiti le na tista področja, ki so občutljiva. Če pa želite pobrati vse, vsekakor lahko, to ne velja za najboljšo prakso. S tega stališča bi rad opomnil ljudi, da če je to nekaj, kar vas zanima, lahko obiščete spletno mesto na spletnem mestu IDERA.com in si naložite preizkus tega in se sami poigrate z njim. V zvezi z brezplačnim orodjem, o katerem smo govorili prej, je brezplačno, lahko ga prenesete in ga uporabite za vedno, ne glede na to, ali uporabljate izdelek Upravitelja skladnosti. Kul pri tem orodju za iskanje stolpcev je, da so naše ugotovitve, ki jih prikažete, in dejansko lahko pokažem, da mislim, da boste te podatke lahko izvažali ven in jih nato lahko uvažali v upravitelja skladnosti tudi. Ne vidim, vem, da je tukaj, tam je. To je samo primer tega. Tu najdemo povezane občutljive podatke.
Zdaj sem šel ven in res sem, vse bom pregledal, toda imate le nekaj stvari, ki jih lahko preverimo. Številke kreditnih kartic, naslovi, imena in vse te stvari. Ugotovili bomo, kje je v podatkovni zbirki, nato pa se boste od tam lahko odločili, ali želite te podatke revidirati ali ne. Vsekakor pa boste na ta način lažje določili obseg revizije, ko gledate takšno orodje.
Samo šel bom naprej in zaključil s tem, naprej pa ga bom poslal Eriku.
Eric Kavanagh: To je fantastična predstavitev. Všeč mi je način, kako resnično zajameš tam okrnjene podrobnosti in nam pokažeš, kaj se dogaja. Ker na koncu dneva obstaja neki sistem, ki bo imel dostop do nekaterih zapisov, vam bo dal poročilo, to bo, da boste lahko povedali svojo zgodbo, pa naj bo to regulatorju ali revizorju ali nekomu iz vaše ekipe , zato je dobro, če veste, da ste pripravljeni, če in kdaj, ali kot in kdaj, ta oseba prične trkati, in seveda je to neprijetna situacija, ki se ji poskušate izogniti. Če pa se zgodi in se bo verjetno zgodilo te dni, se želite prepričati, da imate svojo pikico I in T prečkano.
Obstaja dobro vprašanje člana občinstva, ki ga želim najprej vprašati, Bullett, nato pa, če morda kakšen voditelj to želi komentirati, se počutite svobodno. In potem bo morda Dez postavil vprašanje in Robin. Vprašanje je torej, ali je pošteno reči, da se lahko za vse tiste stvari, ki ste jih omenili, lotite klasifikacije podatkov na osnovni ravni? Svoje podatke morate poznati, ko se izkažejo kot dragoceno potencialno sredstvo, in nekaj storiti v zvezi s tem. Mislim, da se strinjaš, Bullett, kajne?
Bullett Manale: Ja, absolutno. Moral bi vedeti svoje podatke. In zavedam se, da se zavedam, da je na voljo veliko aplikacij in obstaja veliko različnih stvari, ki imajo gibljive dele v vaši organizaciji. Orodje za iskanje stolpcev je zelo koristno, če gremo korak v smeri boljšega razumevanja teh podatkov. Ampak ja, zelo pomembno je. Mislim, imate možnost, da začnete pristop k ognju in pregledate vse, vendar je logistično, če govorite o tem, da morate shraniti te podatke in poročati proti tem podatkom, veliko bolj zahtevno. In potem še vedno morate vedeti, kje je ta podatek, ker boste morali, ko boste pripravljali poročila, pokazati tudi svoje podatke revizorjem. Zato mislim, da je, kot sem rekel, največji izziv, ko se pogovarjam z skrbniki baz podatkov, veste.
Eric Kavanagh: Ja, toda morda vas bomo z Robinom hitro pripeljali. Zdi se mi, da tukaj velja pravilo 80/20, kajne? Verjetno ne boste našli vsakega sistema zapisov, ki je pomemben, če ste v kakšni srednji ali veliki organizaciji, vendar če se osredotočite na - kot je Bullett predlagal tukaj - PeopleSoft na primer, ali druge sisteme zapisov, ki so prevladujejo v podjetju, tam se osredotočite 80 odstotkov svojega truda in nato 20 odstotkov na druge sisteme, ki so morda nekje tam, kajne?
Robin Bloor: No, prepričan sem, ja. Mislim, veste, mislim, da je težava s to tehnologijo in mislim, da je verjetno vredno komentirati, ampak težava s to tehnologijo je, kako jo izvajate? Mislim, v večini organizacij je vsekakor pomanjkanje znanja o številu baz podatkov, ki so tam zunaj. Veste, zelo malo primanjkuje zalog, recimo. Veste, vprašanje je, predstavljajmo si, da začnemo v situaciji, ko ni posebej dobro vodene skladnosti, kako to tehnologijo prevzamete in jo vbrizgate v okolje, ne samo v, veste, tehnologijo pogoji, nastavitev stvari, ampak kot kdo upravlja, kdo določa kaj? Kako se začnete spoprijemati s tem v pristni stvari, ki opravlja svoje delo?
Bullett Manale: No, to je dobro vprašanje. Izziv v mnogih primerih je, da morate vprašanja zastaviti že na samem začetku. Naletel sem na veliko podjetij, v katerih so, morda veste, da so zasebna podjetja in so se pridobila, obstaja začetna, nekakšna prva vrsta cestnega udarca, če želite tako imenovati. Na primer, če sem ravno zaradi prevzema postal javno trgovano podjetje, se bom moral vrniti nazaj in verjetno razbrati nekaj stvari.
V nekaterih primerih se pogovarjamo z organizacijami, ki, čeprav so zasebne, upoštevajo pravila skladnosti s SOX, preprosto zato, ker v primeru, da se želijo pridobiti, vedo, da jih morajo upoštevati. Vsekakor nočete sprejeti pristopa zgolj: "Ni mi treba zdaj skrbeti za to." Vsako vrsto skladnosti s predpisi, kot je PCI ali SOX, ali kar koli drugega, želite vložiti v raziskave oz. razumevanje, kje so te občutljive informacije, sicer se lahko znajdete, da imate opravka z nekaterimi velikimi, zajetnimi globami. In veliko bolje je vložiti ta čas, saj veste, da najdete te podatke in lahko poročite proti njim in pokažete, da kontrole delujejo.
Ja, kar zadeva njegovo postavitev, kot sem rekel, prva stvar, ki bi jo priporočila ljudem, ki se pripravljajo na revizijo, je, da preprosto odidejo ven in na kratko pregledajo bazo podatkov in ugotovijo, da vem, da po svojih najboljših močeh poskušajo ugotoviti, kje so ti občutljivi podatki. Drugi pristop bi bil, da začnemo z morda večjo mrežo glede na obseg revizije, nato pa počasi zajezimo svojo pot navzdol, ko boste nekako ugotovili, kje so tista področja v sistemu, ki so povezana z občutljive informacije. Želim pa, da vam povem, da na to vprašanje enostavno odgovorim. Verjetno se bo precej razlikovalo od ene organizacije do druge in vrste skladnosti in kako to, veste, koliko strukture imajo v svojih aplikacijah in koliko imajo, raznolikih aplikacij, nekatere so lahko napisane po meri aplikacije , tako da bo resnično odvisno od razmer v veliko primerih.
Eric Kavanagh: Pojdi naprej, Dez, prepričan sem, da imaš vprašanje ali dve.
Dez Blanchfield: Pravzaprav bi rad samo dobil vpogled v vaša opažanja o vplivu na organizacije z vidika ljudi. Mislim, da je eno od področij, na katerem vidim največjo korist za to rešitev, ta, da se ljudje zjutraj zbudijo in delajo na različnih ravneh organizacije, se zbudijo z vrsto ali z verigo odgovornosti s katerimi se morajo spoprijeti. In želim si vpogledati v to, kaj vidite tam z in brez vrst orodij, o katerih govorite. In pregovor, o katerem govorim tukaj, je od predsedujočega upravnemu odboru do generalnega direktorja, direktorja za odnose z javnostmi in C-apartmaja. Zdaj imamo vodje tveganj, ki bolj razmišljajo o vrstah stvari, o katerih tukaj govorimo v skladu z ravnanjem in upravljanjem, in potem imamo nove vodje vlog, glavni vodja podatkov, kdo je, veste , še bolj zaskrbljeni zaradi tega.
Na strani vsakega od njih, okoli CIO, imamo na eni strani IT-menedžerje, ki so, kot veste, tehnični vodi in nato vodi do baze podatkov. V operativnem prostoru imamo vodje razvoja in razvojne potencialne rešitve, nato pa tudi posamezne razvojne dogodke, prav tako pa se vrnejo v plast upravljanja. Kaj opažate odziv vsakega od teh različnih delov podjetja na izziv skladnosti in regulativnega poročanja ter njihov pristop do tega? Ali opažate, da ljudje k temu prihajajo z vnemo in vidijo korist od tega, ali vidite, da neradi vlečejo noge k tej stvari in to samo, veste, počnejo zaradi klopa? In kakšni so odzivi, ki jih vidite, ko vidijo vašo programsko opremo?
Bullett Manale: Ja, to je dobro vprašanje. Rekel bi, da ta izdelek, prodajo tega izdelka, večinoma vodi nekdo, ki je na vročem sedežu, če je to smiselno. V večini primerov je to DBA, in z naše perspektive, z drugimi besedami, vedo, da prihaja revizija in bodo odgovorni, ker so DBA, da bi lahko zagotovili informacije, ki jih bo revidiral vprašati. To lahko storijo tako, da napišejo lastna poročila in ustvarijo svoje sledove po meri in vse te stvari. Realnost je taka, da tega ne želijo storiti. V večini primerov pooblaščeni zagovorniki DBA niso zelo veseli, da bodo začeli te pogovore z revizorjem. Veste, raje bi vam rekel, da lahko pokličemo podjetje in rečemo: "Hej, to je odlično orodje in to vam bo všeč", in jim pokažite vse funkcije, ki jih bodo kupile.
Resničnost je, da tega orodja običajno ne bodo iskali, razen če se bodo dejansko soočili z revizijo ali drugo stran tega kovanca, če so imeli revizijo in je neuspešno odpovedala, in zdaj so bodo dobili pomoč ali pa jim bodo izrekli denarno kazen. Rekel bi, da glede na splošno veste, ko ta izdelek ljudem pokažete, vsekakor vidijo njegovo vrednost, saj jim to prihrani veliko časa, ker morajo ugotoviti, o čem želijo poročati. , takšne stvari. Vsa ta poročila so že vgrajena, mehanizmi za opozarjanje so že vzpostavljeni, nato pa je s tretjim vprašanjem tudi v številnih primerih lahko izziv. Ker vam lahko prikažem poročila ves dan, toda če mi ne dokažete, da so ta poročila dejansko veljavna, veste, da sem to kot DBA veliko močnejši, da to lahko pokažem. Vendar smo razvili tehnologijo in tehniko mešanja in vse te vrste, da bi lahko zagotovili hranjenje podatkov v svoji integriteti revizijskih sledi.
In to so stvari, ki so moja opažanja glede večine ljudi, s katerimi se pogovarjamo. Veste, v različnih organizacijah zagotovo obstajajo znani všečki, boste slišali za, veste, kot je, da je Target na primer kršil podatke in, mislim, mislim, ko druge organizacije slišijo za globe in tiste vrste stvari, ki jih ljudje začnejo, dvigne obrv, zato upajmo, da odgovori na vprašanje.
Dez Blanchfield: Ja, vsekakor. Lahko si predstavljam, da nekateri akreditivi, ko končno vidijo, kaj je mogoče storiti z orodjem, šele spoznajo, da so dobili tudi pozne noči in vikende. Zmanjšanje časa in stroškov in druge stvari, ki jih vidim, ko se za to težavo uporabijo ustrezna orodja, in to je to, da sem tri tedne sedel pri banki tukaj v Avstraliji. So globalna banka, prva tri banka, množična so. In imeli so projekt, v katerem so morali poročati o skladnosti z upravljanjem bogastva in zlasti o tveganju, in iskali so 60-tedensko delo za nekaj sto ljudi. In ko so jim pokazali všeč orodje, kot si ti, ki bi lahko postopek samodejno avtomatiziralo, je bil ta občutek na njihovih obrazih, ko so ugotovili, da jim ni treba preživeti X tednov s stotimi ljudmi, ki delajo ročni postopek. kot bi našli Boga. Toda izzivalna stvar je bila, kako to dejansko načrtovati, kot je dejal dr. Robin Bloor, veste, to je nekaj, kar postane mešanica vedenjskih in kulturnih premikov. Na ravneh, s katerimi se ukvarjate, ki se s tem ukvarjate neposredno na ravni aplikacije, kakšne spremembe vidite, ko začnejo sprejemati orodje za izvajanje poročanja in revizije ter kontrol, ki jih lahko ponudite, kot v nasprotju s tem, kar bi morda storili ročno? Kako to izgleda, ko dejansko začnejo izvajati?
Bullett Manale: Se sprašujete, kakšna je razlika v ročnem ravnanju s tem orodjem in uporabo tega orodja? Je to vprašanje?
Dez Blanchfield: No, konkretno vpliv poslovanja. Na primer, če poskušamo v ročnem postopku spoštovati skladnost, veste, da z veliko ljudmi nenehno trajamo veliko časa. Predpostavljam pa, da bi zastavili nekaj vprašanj, kot veste, ali govorimo o tem, da ena oseba, ki uporablja to orodje, nadomesti potencialno 50 ljudi in da lahko to stori v realnem času ali v urah v mesecih? Je to takšno, za kaj se na splošno izkaže?
Bullett Manale: No, mislim, spušča se na nekaj stvari. Eden je sposobnost odgovarjati na ta vprašanja. Nekaterih od teh stvari ne bo mogoče narediti zelo enostavno. Ja, čas, potreben za domače stvari, samostojno pisanje poročil, nastavitev sledov ali razširjenih dogodkov za ročno zbiranje podatkov, bi lahko trajalo veliko časa. V resnici bom povedal nekaj, kar pomeni, da se to v resnici ne nanaša na baze podatkov, ampak podobno kot takoj, ko se je Enron zgodil in SOX postal razširjen, sem bil v eni večjih naftnih podjetij v Houstonu in smo računali na , Mislim, da je bilo približno 25 odstotkov naših poslovnih stroškov povezanih z izpolnjevanjem SOX.
To je bilo takoj za tem in to je bil nekakšen prvi korak pri SOX-u, toda stvar, s katero bi rekel, veste, z uporabo tega orodja dobite veliko korist v smislu, da ne potrebuje veliko ljudi, ki to počnejo, in veliko različnih vrst ljudi, ki to storijo. In kot sem že rekel, DBA običajno ni tip, ki se resnično veseli teh pogovorov z revizorji. V mnogih primerih bomo videli, da lahko DBA to odloži in lahko posreduje, da poročilo poroča revizorju in da se lahko popolnoma izvlečejo iz enačbe, namesto da bi morali sodelovati. Torej, veste, da so to tudi ogromni prihranki v smislu virov, ko to lahko storite.
Dez Blanchfield: Govorite o množičnem znižanju stroškov, kajne? Organizacije ne samo odstranijo tveganje in režijske stroške, ampak v bistvu govorite o znatnem znižanju stroškov, A) operativno in tudi B) v dejstvu, da veste, če lahko dejansko zagotovijo resnično oz. čas poročanja o skladnosti, da je znatno zmanjšano tveganje kršitve podatkov ali kakšna pravna kazen ali učinek zaradi neskladnosti, kajne?
Bullett Manale: Ja, absolutno. Mislim, da zaradi neskladnosti obstajajo vse vrste slabih stvari. To orodje lahko uporabljajo in bilo bi super ali pa ne in ugotovili bodo, kako hudo je v resnici. Torej ja, očitno ni samo orodje, lahko preverite in vse brez orodja, kot je to. Kot sem že rekel, to bo trajalo veliko več časa in stroškov.
Dez Blanchfield: To je super. Torej, Eric, vrnil se bom k tebi, ker mislim, da je zame to početje to, da veš, vrsta trga je fantastična. V bistvu pa je stvar zlata vredna, ker se lahko izognemo komercialnemu vplivu težave, ki se pojavlja, ali pa si lahko skrajša čas, potreben za poročanje in upravljanje skladnosti. orodje se takoj izplača ob zvokih stvari.
Eric Kavanagh: To je prav. No, hvala za vaš čas, Bullett. Hvala vsem, ki ste bili tam, za vaš čas in pozornost, ter Robin in Dez. Še ena odlična predstavitev danes. Zahvaljujemo se našim prijateljem iz IDERA, ki so nam dovolili, da vam brezplačno prinesemo to vsebino. To spletno oddajo bomo arhivirali za poznejši ogled. Arhiv je običajno pripravljen v približno enem dnevu. In sporočite nam, kaj menite o naši novi spletni strani, insideanalysis.com. Popolnoma nov dizajn, popolnoma nov videz in občutek. Radi bi slišali vaše povratne informacije in s tem se bom poslovil, ljudje. Lahko me. V nasprotnem primeru vas bomo dohiteli naslednji teden. V naslednjih petih tednih imamo sedem spletnih oddaj ali kaj podobnega. Zasedli bomo. In kasneje bomo v Strateški konferenci in na vrhu IBM analitika v New Yorku. Če ste tam okoli, se ustavite in pozdravite. Pazite, ljudje. Adijo.