Od zaměstnanců Techopedia, 14. září 2016
Take away : Host Eric Kavanagh diskutuje o auditu databáze a souladu s analytiky Robinem Bloorem a Dezem Blanchfieldem a Bullett Manale z IDERA v této epizodě Hot Technologies.
Momentálně nejste přihlášeni. Chcete-li zobrazit video, přihlaste se nebo se zaregistrujte.
Eric Kavanagh: Dámy a pánové, ahoj a vítejte zpět, ještě jednou do Hot Technologies! Ano, v roce 2016. Jsme ve třetím roce této show, je to velmi vzrušující. Letos jsme houpali a valili se. Toto je Eric Kavanagh, váš hostitel. Téma pro dnešek - to je skvělé téma, má mnoho aplikací po celé řadě průmyslových odvětví, upřímně řečeno - „Kdo, co, kde a jak: Proč to chcete vědět.“ Ano, opravdu budeme mluvit o všech těch zábavných věcech. Je tu snímek o vás, opravdu mě na Twitteru @eric_kavanagh. Snažím se znovu tweetovat všechny zmínky a znovu tweetovat cokoli, co mi někdo pošle. Jinak to tak bude.
Je to opravdu horké, ano! Celá show je navržena tak, aby pomohla organizacím a jednotlivcům porozumět konkrétním druhům technologií. Celý program jsme zde navrhli, Hot Technologies, jako způsob definování konkrétního druhu softwaru nebo určitého trendu nebo určitého druhu technologie. Důvodem je, že upřímně řečeno, v softwarovém světě často dostáváte tyto marketingové termíny, které se obvazují, a někdy mohou upřímně bastardizovat koncepce, které zamýšlely popsat.
V této show se vám opravdu snažíme pomoci pochopit, o jaký konkrétní druh technologie jde, jak to funguje, kdy ji můžete použít, kdykoli byste ji neměli používat, a poskytneme vám tolik podrobností, kolik jen můžeme. Dnes budeme mít tři moderátory: našeho vlastního Robina Bloora, hlavního analytika zde ve skupině Bloor; náš datový vědec, který volá z australské Sydney na druhé straně planety, Dez Blanchfield a jeden z našich oblíbených hostů Bullett Manale, ředitel obchodního inženýrství v IDERA.
Řeknu jen pár věcí, pochopím, kdo dělá to, co s kterým datem, dobře, to je něco jako správa, že? Pokud přemýšlíte o všech předpisech týkajících se průmyslových odvětví, jako jsou zdravotnictví a finanční služby, v těchto oblastech, je to nesmírně důležité. Musíte vědět, kdo se informací dotkl, kdo něco změnil, kdo k nim přistoupil, kdo je nahrál. Co je počet řádků, jaká je prozatímnost těchto údajů? Můžete si být jisti, že všechny tyto problémy zůstanou v nadcházejících letech prominentní ze všech důvodů. Nejen kvůli dodržování předpisů, i když HIPAA a Sarbanes-Oxley a Dodd-Frank, a všechna tato nařízení jsou velmi důležitá, ale také jen tak chápete ve svém podnikání, kdo dělá co, kde, kdy, proč a jak. To je dobré, budeme věnovat pozornost.
Jděte do toho, vezměte to pryč, Robine Bloore.
Robin Bloor: Dobře, díky za úvod, Ericu. Tato oblast správy věcí veřejných je, myslím, řízení v IT nebylo slovo, které jste slyšeli až trochu po roce 2000, myslím. Stalo se to především proto, že si myslím, že se to stalo hlavně proto, že existují právní předpisy o dodržování předpisů. Zejména HIPAA a Sarbanes-Oxley. Ve skutečnosti je toho hodně. Organizace si proto uvědomily, že musí mít soubor pravidel a soubor postupů, protože podle zákona to bylo nutné. Dlouho předtím, zejména v bankovním sektoru, existovaly různé iniciativy, které jste se museli řídit v závislosti na tom, jaký druh banky jste byli, a zejména na mezinárodních bankérech. Celý Basel v souladu s předpisy začal tak, jak před tímto konkrétním souborem iniciativ po roce 2000. Všechno opravdu spadá do správy věcí veřejných. Myslel jsem, že budu mluvit o předmětu správy jako úvod do zaměření pozornosti toho, kdo získává data.
Správa dat, kdysi jsem se rozhlížel, myslím asi před pěti nebo šesti lety, rozhlížel se po definicích a nebyl vůbec dobře definován. Je to jasnější a jasnější, co to vlastně znamená. Realita situace byla taková, že v určitých mezích byla všechna data ve skutečnosti dříve upravována, ale neexistovala pro to žádná formální pravidla. Existovala zvláštní pravidla, která byla učiněna zejména v bankovním průmyslu pro takové věci, ale opět to bylo více o dodržování. Tak či onak dokazujete, že jste vlastně - je to něco spojeného s rizikem, takže dokazuje, že jste životaschopnou bankou.
Pokud se nyní podíváte na výzvu správy, začíná to skutečností pohybu velkých dat. Máme stále více zdrojů dat. Problémem je samozřejmě objem dat. Zejména jsme začali dělat mnohem, mnohem, více s nestrukturovanými daty. Začalo se to stát něčím, co je součástí celé analytické hry. A kvůli analytice je důležitý provenience a počet řádků. Opravdu z hlediska používání datové analytiky jakýmkoli způsobem souvisejícím s jakýmkoli druhem shody, musíte skutečně vědět, odkud data pocházejí a jak to musí být.
Šifrování dat se stalo problémem, stalo se větším problémem, jakmile jsme šli do Hadoopu, protože myšlenka datového jezera, ve kterém ukládáme velké množství dat, najednou znamená, že máte obrovskou oblast zranitelnosti lidí, kteří se mohou dostat na to. Šifrování dat se stalo mnohem výraznějším. Ověřování bylo vždy problémem. Ve starším prostředí, přísně mainframovém prostředí, měli tak úžasnou ochranu obvodového zabezpečení; ověřování nebylo nikdy problémem. Později se to stalo větším problémem a nyní je to mnohem větší problém, protože máme taková nesmírně distribuovaná prostředí. Monitorování přístupu k datům, které se stalo problémem. Zdá se mi, že si pamatuji různé nástroje, které vznikly asi před deseti lety. Myslím, že většina z nich byla poháněna iniciativami v oblasti dodržování předpisů. Proto máme také všechna pravidla shody, hlášení shody.
Připomínáme, že i v 90. letech, kdy jste prováděli klinická hodnocení ve farmaceutickém průmyslu, jste nejen museli dokázat, odkud data pocházejí - samozřejmě je to velmi důležité, pokud se snažíte Abychom věděli, kdo je vyzkoušen a na jakých kontextových datech kolem něj - museli jste být schopni provést audit softwaru, který data skutečně vytvořil. Je to ta nejpřísnější část souladu, jakou jsem kdy viděl, co se týče dokazování, že ve skutečnosti neděláte věci úmyslně nebo náhodně. V poslední době se stala problémem zejména správa životního cyklu dat. Všechny tyto výzvy jsou určitým způsobem výzvou, protože mnoho z nich nebylo provedeno dobře. Za mnoha okolností je nutné je udělat.
Tomu říkám datová pyramida. Už jsem o tom někdy mluvil. Považuji to za velmi zajímavý způsob pohledu na věci. Můžete si myslet, že data mají vrstvy. Nezpracovaná data, pokud se vám líbí, jsou opravdu jen signály nebo měření, nahrávky, události, většinou jednotlivé záznamy. Transakce, výpočty a agregace samozřejmě vytvářejí nová data. Lze o nich uvažovat na úrovni dat. Nadto, jakmile skutečně spojíte data dohromady, stanou se informace. Je to užitečnější, ale samozřejmě se stává zranitelnějším vůči lidem, kteří jej hackují nebo zneužívají. Definuji to jako vytvořené ve skutečnosti strukturováním dat, schopnost vizualizovat data s glosáři, schématy, ontologiemi informací. Tyto dvě spodní vrstvy jsou tím, co zpracováváme tak či onak. Nad tím říkám vrstva znalostí sestávající z pravidel, zásad, pokynů, postupů. Některé z nich mohou být ve skutečnosti vytvořeny pomocí poznatků objevených v analytice. Mnoho z nich jsou ve skutečnosti zásady, které musíte dodržovat. Toto je vrstva vládnutí, pokud se vám líbí. V tomto případě, pokud tato vrstva není správně naplněna, nejsou dvě vrstvy níže spravovány. Posledním bodem je pochopení v něčem, co spočívá pouze v lidských bytostech. Počítačům se to ještě naštěstí nepodařilo. Jinak bych byl bez práce.
Říše o vládnutí - to jsem si dal dohromady, myslím, že to muselo být asi před devíti měsíci, možná mnohem dříve. V podstatě jsem to trochu vylepšil, ale jakmile jsme se začali zajímat o správu věcí veřejných, pak, co se týče rozbočovače podnikových dat, neexistoval jen zásobník dat, zdroje datových jezer, ale také obecné servery různých druhů, specializované datové servery. To vše se muselo ovládat. Když jste se skutečně podívali na různé dimenze - zabezpečení dat, čištění dat, vyhledávání metadat a správu metadat, vytvoření obchodního glosáře, mapování dat, počet řádků dat, správa životního cyklu dat - pak správa sledování výkonu, správa úrovně služeb, správa systému, kterou možná nebudete ve skutečnosti spojovat s řízením, ale jistá - nyní, když jdeme do rychlejšího a rychlejšího světa s více a více datovými toky, vlastně schopnost dělat něco s určitým výkonem je ve skutečnosti nutností a se stává spíše pravidlem fungování než čímkoli jiným.
Souhrnně, co se týče růstu dodržování předpisů, sledoval jsem, jak se to děje po mnoho, mnoho let, ale obecná ochrana údajů skutečně nastala v 90. letech v Evropě. Od té doby to prostě bylo více a sofistikovanější. Poté se všechny tyto věci začaly zavádět nebo byly sofistikovanější. GRC, to je riziko řízení a dodržování předpisů, se děje od doby, kdy banky učinily Basilej. ISO vytváří standardy různých druhů operací. Po celou dobu vím, že jsem byl v IT - je to už dlouho - vláda USA byla zvláště aktivní při vytváření různých právních předpisů: SOX, je tu Gramm-Leach-Bliley, HIPAA, FISMA, FERPA. Máte také skvělou organizaci NIST, která vytváří mnoho užitečných standardů, zejména bezpečnostních standardů. Zákony o ochraně údajů v Evropě mají místní rozdíly. Například to, co můžete dělat s osobními údaji v Německu, je jiné, než co můžete dělat ve Slovenské republice, Slovinsku nebo kdekoli. Nedávno představili - a já si myslel, že bych to zmínil, protože to považuji za zábavné - Evropa zavádí myšlenku práva být zapomenut. To znamená, že by mělo existovat ustanovení o omezení údajů, které byly veřejné, a ve skutečnosti jsou to osobní údaje. Myslím, že je to veselé. Z pohledu IT to bude velmi, velmi obtížné, pokud se to stane účinnou legislativou. V souhrnu bych řekl toto: Protože se data a správa IT rychle vyvíjejí, musí se správa rychle vyvíjet a vztahuje se na všechny oblasti správy.
Poté, co jsem řekl, že předám míč Dezovi.
Eric Kavanagh: Ano, opravdu, tak Dez Blanchfield, vezmi to pryč. Robine, já jsem s tebou, chlape, chci vidět, jak se toto právo na zapomnění hraje. Myslím, že to nebude jen náročné, ale v podstatě nemožné. Je to jen porušení čekání na to, než na něj budou vládní agentury jednat. Dez, vezmi to pryč.
Dez Blanchfield: Je to a je to téma další diskuse. Máme tu velmi podobnou výzvu v Asii a Tichomoří, a zejména v Austrálii, kde jsou dopravci a poskytovatelé internetových služeb povinni zaznamenávat vše, co souvisí s internetem, a být schopni je zaznamenat a znovu zaznamenat v případě, že někdo ze zájmů udělá něco špatně. Je to zákon, který musíte dodržovat. Výzva, stejně jako někdo v Google v USA, může dostat pokyn, aby smazal moji historii vyhledávání nebo cokoli, mohlo by to být v souladu s evropským právem, zejména německým zákonem o ochraně soukromí. Pokud se v Austrálii chce agentura podívat do vás, musí být dopravce schopen poskytnout podrobnosti o uskutečněných hovorech a historii vyhledávání, což je náročné, ale je to svět, ve kterém žijeme. Existuje mnoho důvodů. Dovolte mi jen skočit do dolu.
Záměrně jsem obtížil čtení titulní stránky. Musíte se na ten text opravdu podívat. Soulad s pravidly, specifikacemi, ovládacími prvky, zásadami, standardy nebo zákony, s hloupým a chaotickým pozadím. Je to proto, že se musíte opravdu podívat na to, abyste získali detail a vytáhli informace z toho, co je překryto, což je řada tabulek a řádků a sloupců, buď databáze, schéma, nebo maketa v aplikaci Visio. To je to, jak se cítí poddajnost ze dne na den. Je docela těžké ponořit se do detailů a vytáhnout relevantní kousky informací, které potřebujete, abyste mohli potvrdit, že jste v souladu. Podejte zprávu, sledujte ji a otestujte ji.
Ve skutečnosti jsem si myslel, že je to opravdu dobrý způsob, jak si to představit, když si klademe otázku: „Jste v souladu?“ "Jsi si jistá?" "Dobře, dokaž to!" Je tu opravdu zábavná věc, která je možná trochu více anglo-keltská, ale jsem si jistá, že se dostala do celého světa do USA, takže je to: „Kde je Wally?“ Wally je malá postava, která se dostává do těchto kreslených kreseb ve formě knih. Obvykle velmi velké obrázky A3 nebo větší. Takže, tabulky velikosti výkresů. Je to malá postava, která nosí čepičku a červeno-bílé pruhované tričko. Myšlenka hry je, že se podíváte na tento obrázek a rozhlédnete se v kruzích, abyste se pokusili najít Wally. Někde na tom obrázku je. Když přemýšlíte o tom, jak zjistit a popsat a podat zprávu o shodě, v mnoha ohledech je to jako hrát „Kde je Wally.“ Když se podíváte na ten obrázek, je téměř nemožné najít postavu. Děti na tom tráví hodiny a včera jsem si to užil spoustu zábavy. Když se na to podíváme, najdeme v těchto karikaturách spoustu lidí, kteří tam úmyslně umístili podobné kusy oblečení Wally z pruhované čepice a dresu, nebo vlněné top. Ale ukáže se, že jsou falešně pozitivní.
Toto je podobná výzva, jakou máme s dodržováním předpisů. Když se díváme na věci, někdy si myslíme, že tomu tak není, vůbec tomu tak není. Někdo by mohl mít přístup k databázi a měli by mít přístup k databázi, ale způsob, jakým ji používají, se mírně liší od toho, co očekáváme. Můžeme se rozhodnout, že na to se musíme podívat. Když se na to podíváme, zjistíme, že ve skutečnosti je to velmi platný uživatel. Dělají jen něco podivného. Možná je to PC výzkumník nebo kdo ví. V jiných případech to může být naopak. Realita, když se vrátím znovu, je tu Wally. Pokud jste vypadali opravdu tvrdě v tomto vysokém rozlišení, existuje jedna postava, která má na sobě správný oděv. Všichni ostatní jsou prostě vyhlídkové a podobné. Compliance se cítí velmi podobně. Většina lidí, které znám, pracují v oblastech kontroly a dodržování předpisů a politik v podnicích. V celé řadě oblastí, ať už jde o technologii, ať už jde o finance nebo provoz, nebo o rizika. Často je velmi těžké vidět Wally na obrázku, uvidíte stromy nebo dřevo.
Otázka, kterou si klademe sami, když přemýšlíme o věcech, jako je dodržování předpisů, zní: „Velký problém, co by se mohlo pokazit, kdybychom se plně nedohodli?“ V souvislosti s dnešní diskusí, konkrétně kolem databáze a kontroly přístupu k datům, vám ukážu příklady velmi reálného probuzení hovoru, které se mohou ve velmi krátké stručné formě pokazit. Pokud přemýšlíme o narušení dat a všichni jsme s narušeními dat obeznámeni, slyšíme je v médiích a my jsme trochu zastavení a smíchu, protože si lidé myslí, že to jsou trhy. Jsou to osobní věci. Je to Ashley Madison a lidé, kteří hledají data mimo jejich vztahy a manželství. Je to házení účtů. Jsou to všechny tyto podivné věci nebo náhodný evropský nebo ruský poskytovatel internetových služeb nebo hostitelská společnost je hacknut. Když se to dostane k věcem, jako je MySpace a těchto prvních deset, když se podíváte na tato čísla, chci, abyste si uvědomili toto: údaje o 1, 1 miliardě lidí v těchto deseti porušeních. A ano, existuje překrývání, pravděpodobně existují lidé, kteří mají účet MySpace a Dropbox a účet Tumblr, ale zaokrouhlíme jej na miliardu lidí.
Těchto deset největších porušení za poslední desetiletí - a to ani deset let, ve většině případů - tvoří přibližně jednu sedminu světové populace lidí, ale realističtěji je asi 50 procent počtu lidí připojeno k internet, přes miliardu jednotlivců. K tomu dochází, protože v některých případech nebyla dodržena shoda. Ve většině případů šlo o kontrolu přístupu k databázi, kontrolu přístupu k určitým souborům dat, systémům a sítím. Toto je děsivá kontrola reality. Pokud vás to neděsí, když se podíváte na první desítku a uvidíte, že je to - nebo můžete vidět, že je to miliarda jednotlivců, skutečných lidských bytostí, jako jsme my, v této výzvě právě teď. Pokud máte účet LinkedIn, pokud jste měli účet Dropbox nebo účet Tumblr, nebo jste si zakoupili produkty Adobe nebo si dokonce zaregistrovali bezplatný prohlížeč Adobe, stáhněte si jej zdarma. Je zcela pravděpodobné, není možné, je zcela pravděpodobné, že vaše údaje, vaše křestní jméno, příjmení, vaše e-mailová adresa, případně i adresa vaší pracovní společnosti nebo adresa bydliště nebo vaše kreditní karta, jsou skutečně k dispozici kvůli porušení k tomu došlo díky kontrolám, které nemusely být nutně dobře spravovány ve formě správy dat, správy dat.
Pojďme se na to podívat, když se na to podíváme ve skutečných detailech. Je tam jedna obrazovka, tam je asi 50-něco. Je jich dalších 15. Je tu dalších 25. Jedná se o porušení dat, která jsou uvedena na webových stránkách s názvem haveibeenpwned.com. To by se mohlo pokazit, pokud by nebylo spravováno něco jednoduchého, jako je ovládání toho, kdo měl přístup k datům v databázích v různých polích a řádcích a sloupcích a různých aplikacích ve vaší firmě. Tyto organizace jsou nyní řízeny údaji. Většina dat žije v nějaké podobě v databázi. Když o tom přemýšlíte, ten seznam porušení, na který jsme se právě podívali, a doufejme, že vám dá trochu studené sprchy v tom smyslu, že jste si mysleli „Hmm, to je velmi skutečné“, a potenciálně to ovlivnilo vás. V roce 2012, například v případě porušení LinkedIn, má většina odborníků v současné době účet LinkedIn a je pravděpodobné, že dojde ke ztrátě vašich údajů. Na internetu jsou od roku 2012. O tom jsme se dozvěděli teprve v roce 2016. Co se s vámi stalo za ty čtyři roky? Je to zajímavé a můžeme o tom mluvit samostatně.
Správa databází a systémů - Často mluvím o tom, co považuji za pět nejdůležitějších úkolů při řízení těchto věcí. Úplně nahoře a já je řazím v pořadí podle mých preferencí, ale také podle pořadí dopadu, číslo jedna je bezpečnost a soulad. Kontroly a mechanismy a politiky týkající se kontroly, kdo má jaký přístup k jakému systému, z jakého důvodu a účelu. Podávat zprávy o tom a sledovat to, dívat se do systémů, dívat se do databází a vidět, kdo může skutečně přistupovat k záznamům, jednotlivým polím a záznamům.
Přemýšlejte o tom ve velmi jednoduché formě. Jako jeden příklad můžeme mluvit o bankovnictví a správě majetku. Když se zaregistrujete na bankovní účet, řekněme jen běžný peněžní účet pro kartu EFTPOS nebo hotovostní účet nebo běžný účet. Vyplníte formulář a v tom papíru, které vyplníte, vyplníte hodně soukromých informací nebo to uděláte online a které přejdou do počítačového systému. Nyní, pokud vás někdo v marketingu chce kontaktovat a poslat vám brožuru, mělo by jim být umožněno vidět vaše křestní jméno a příjmení a vaši osobní adresu, například a případně vaše telefonní číslo, pokud vás chce studeně zavolat a něco ti prodám. Pravděpodobně by neměli vidět celkovou částku peněz, které máte v bance z mnoha důvodů. Pokud se na vás někdo dívá z rizikového hlediska nebo se vám snaží pomoci udělat něco jako získat lepší úrokové sazby na svém účtu, určitě chce určitá osoba zjistit, kolik peněz máte v bance, aby mohli nabídnout vám odpovídající úroveň úrokové návratnosti vašich peněz. Tito dva jednotlivci mají velmi odlišné role a velmi odlišné důvody pro tyto role a účely těchto rolí. V důsledku toho musíte v záznamu vidět různé informace, ale ne všechny záznamy.
Tyto ovládací prvky kolem různých sestav obvyklých obrazovek nebo formulářů, které mají v aplikacích používaných ke správě vašeho účtu. Vývoj pro ty, jejich údržba, správa těch, podávání zpráv o nich a správa a dodržování předpisů kolem těch, jako jsou bublinkové fólie, to vše je velmi, velmi velká výzva. To je výzva číslo jedna při správě dat a systémů. Když jdeme hlouběji dolů na tento stack, pokud jde o výkon a monitorování a detekci a reakci incidentů, správu a správu systému a dodržování předpisů kolem nich, návrh a vývoj systémů z souladu, je to mnohem těžší.
Řízení celého problému snižování rizik a zvyšování bezpečnosti. Moje pět největších výzev v tomto prostoru - a mám rád snímky, které přicházejí s celním úřadem, když vstupujete do země - předloží cestovní pas, zkontrolují vás a podívají se na svůj počítačový systém, aby zjistili, zda byste měli projít nebo ne. Pokud byste to neměli, umístili vás na další letadlo zpět domů. V opačném případě vás vrátí a položí vám otázky jako: "Jdeš na dovolenou? Jsi tady turista? Jsi tu pro práci? Jaký druh práce se chystáš vidět? Kde budeš bydlet "Jak dlouho toužíte? Máte dostatek peněz na pokrytí svých výdajů a nákladů? Nebo se stanete rizikem pro zemi, ve které se nacházíte, a možná se o vás budou muset postarat a nakrmit vás?"
V tomto prostoru dat se vyskytují problémy se správou ochrany dat. Například v databázovém prostoru musíme myslet na zmírnění obcházení databáze. Pokud jsou data v databázi, v normálním prostředí a kolem toho v systému jsou ovládací prvky a mechanismy. Co se stane, když je výpis dat vytvořen ve více SQL a zálohován na pásku? Databáze jsou uloženy v surové formě a někdy jsou zálohovány. Někdy se to dělá z technických důvodů, z důvodů vývoje. Řekněme, že byl pořízen výpis DB a je zálohován na pásku. Co se stane, když náhodou natáhnu ruce na pásku a obnovím ji? A mám surovou kopii databáze v SQL. Je to MP soubor, je to text, umím jej číst. Všechna hesla, která jsou uložena na tomto výpisu, nad mnou nemají žádnou kontrolu, protože nyní získávám přístup ke skutečnému obsahu databáze bez toho, aby jej databázový stroj chránil. Takže mohu technicky obejít zabezpečení databázové platformy, která je zabudována do motoru, s dodržováním předpisů, a řízení rizik, abych se zastavil při pohledu na data. Protože potenciálně vývojář, správce systému, mám ruce na úplném výpisu databáze, která by měla být použita pro zálohování.
Zneužití dat - potenciálně přimět někoho, aby se přihlásil jako svůj zvýšený účet, a nechal mě sedět na obrazovce, hledat informace nebo podobné věci. Vlastní audit, přístup a použití údajů a prohlížení dat nebo změny údajů. Poté se vyžaduje hlášení kolem této kontroly a dodržování předpisů. Sledování provozu a přístupu atd., Blokování hrozeb pocházejících z externích umístění a serverů. Například, pokud jsou data prezentována prostřednictvím formuláře na webové stránce na internetu, byla jejich injekce SQL chráněna pomocí brány firewall a kontroly koncepce? Za tím stojí dlouhý podrobný příběh. Zde vidíte, že jen některé z těchto naprosto základních věcí, o nichž uvažujeme při snižování a řízení rizik kolem dat uvnitř databází. Ve skutečnosti je relativně snadné některé z nich obejít, pokud jste na různých úrovních stohů technologií. Výzva se stává těžší a těžší, jak získáváte stále více a více dat a více databází. Více a náročnější s lidmi, kteří musí systémy spravovat a sledovat jejich používání, sledovat relevantní podrobnosti, které se konkrétně týkají věcí, o nichž Robin mluvil, kolem věcí, jako je osobní dodržování. Jednotlivci mají kolem sebe ovládací prvky a mechanismy, které vyhovují - pokud uděláte něco špatně, můžete být vyhozen. Pokud se přihlásím jako svůj účet, uvidíme, měl by to být přestupek. Nyní jsem vám dal přístup k datům, která byste normálně neměli vidět.
Je tu osobní shoda, jsou tu firemní shody, společnosti mají zásady a pravidla a kontroly, které si stanovily, aby společnost fungovala dobře a poskytla návratnost zisku a dobrou návratnost investorům a akcionářům. Poté, co jste říkal americké zákony a zákony, je často federální nebo celostátní nebo národní. Pak jsou tu globální. Některé z větších incidentů na světě, kde se líbí Sarbanes-Oxley, dva jednotlivci, kteří jsou požádáni, aby přišli s způsoby, jak chránit data a systémy. V Evropě je Basilej a v Austrálii existuje celá řada ovládacích prvků, zejména kolem burzovních a pověřovacích platforem, a pak soukromí na úrovni jednotlivců nebo společností. Když je každý z nich naskládán, jak jste viděli na jednom z míst, které měl Robin, staly se téměř téměř nemožnou horou, po které se dá vylézt. Náklady se zvyšují a jsme v bodě, kdy původní tradiční přístup, který znáte, stejně jako kontrola měření u lidí, již není vhodným přístupem, protože měřítko je příliš velké.
Máme scénář, kde dodržování je to, čemu říkám, že je stále problém. A to je to, že jsme měli potenciálně časový okamžik, ať už měsíční, čtvrtletní nebo roční, kde bychom přezkoumali náš stav národa a pomohli nám vyhovět a kontrolovat. Zajistit, aby určití lidé měli určitý přístup a neměli určitý přístup v závislosti na tom, jaké jsou jejich oprávnění. Teď je to případ rychlosti věcí, s nimiž se věci pohybují, tempa, ve kterém se věci mění, rozsahu, ve kterém pracujeme. Dodržování předpisů je vždy problémem a celosvětová finanční krize byla jen jedním z příkladů, kde by příslušné kontroly a opatření v oblasti bezpečnosti a dodržování předpisů mohly potenciálně zabránit scénáři, kdy jsme měli přepravu nákladního vlaku určitého chování. Pouhé vytvoření situace s celým světem účinně s vědomím, že by se rozpadlo a bankrotovalo. K tomu potřebujeme správné nástroje. Házet lidi do vlaku, házet těla již není platný přístup, protože měřítko je příliš velké a věci se pohybují příliš rychle. Dnešní diskuse, myslím, že to budeme mít, se týká typů nástrojů, které se na to použijí. Zejména nástroje, které nám společnost IDERA může poskytnout, by to měly udělat. A s ohledem na to se chystám podat Bullettovi, aby prošel jeho materiálem a ukázal nám jejich přístup a nástroje, které musí vyřešit tento problém, který jsme vám nyní předložili.
S tím, Bullette, podám vám.
Bullett Manale: Zní to skvěle, děkuji. Chci mluvit o několika diapozitivech a také vám chci ukázat produkt, který používáme pro databáze SQL Server konkrétně pro pomoc se situacemi v souladu s předpisy. Opravdu, výzva v mnoha případech - jdu přeskočit několik z nich - to je jen naše portfolio produktů, jdu to docela rychle. Pokud jde o to, kde se tento produkt bude zabývat a jak to souvisí s dodržováním předpisů, vždy to vytáhnu jako první snímek, protože je to druh obecný: „Hej, jaká je odpovědnost DBA?“ Jedna z věcí je řízení a sledování přístupu uživatelů a také je schopen generovat zprávy. To se spojí, když mluvíte se svým auditorem, jak obtížný může být tento proces, bude se lišit v závislosti na tom, jestli to uděláte sami, nebo pokud použijete třetí stranu nástroj pro pomoc.
Obecně řečeno, když mluvím se správci databází, mnohokrát se nikdy nezúčastnili auditu. Musíš je vzdělávat do toho, co opravdu musíte dělat. Souvisí s tím, jaký typ shody je třeba splnit, a být schopen prokázat, že skutečně dodržujete pravidla, protože platí pro tuto úroveň shody. Spousta lidí to nejprve nedostane. Myslí si: „Oh, můžu si koupit jen nástroj, který mě přiměje vyhovět.“ Realita je taková, že tomu tak není. Přál bych si, abych mohl říci, že náš produkt kouzelně, tím, že víte, stiskem snadného tlačítka, vám dal možnost zajistit, že jste v souladu. Skutečností je, že musíte mít své prostředí nastaveno z hlediska ovládacích prvků, z hlediska způsobu, jakým lidé přistupují k datům, že vše musí být vypracováno pomocí aplikace, kterou máte. Tam, kde jsou citlivá data uložena, jaký typ regulačního požadavku to je. Poté také musíte spolupracovat s interním inspektorem shody, aby bylo zajištěno, že dodržujete všechna pravidla.
To zní opravdu komplikovaně. Pokud se podíváte na všechny regulační požadavky, domníváte se, že by tomu tak bylo, ale realita je taková, že zde existuje společný jmenovatel. V našem případě s nástrojem, který vám dnes představím, produktem Compliance Manager, by v naší situaci byl ten proces, že v první řadě musíme zajistit, abychom shromažďovali údaje z audit trail kde jsou data v databázi, která je citlivá. Můžeš sbírat všechno, že? Mohl bych jít ven a říci, že chci shromáždit všechny transakce, které se dějí v této databázi. Realita je taková, že pravděpodobně máte jen malý zlomek nebo malé procento transakcí, které skutečně souvisejí s citlivými údaji. Pokud je to kompatibilita s PCI, bude to kolem informací o kreditní kartě, majitelích kreditních karet a jejich osobních informací. Mohlo by se jednat o spoustu dalších transakcí, které se týkají vaší aplikace, které ve skutečnosti nemají žádný vliv na regulační požadavky PCI.
Z tohoto hlediska, první věc, když mluvím s DBA, je, že řeknu: „Výzvou číslo jedna není snaha získat nástroj, který by tyto věci udělal za vás. Je to jen vědět, kde jsou ta citlivá data a jak je zamkneme? “Pokud to máte, pokud můžete odpovědět na tuto otázku, jste na půli cesty domů, abyste mohli prokázat, že jste v souladu, za předpokladu, že dodržujete správné ovládací prvky. Řekněme na vteřinu, že sledujete správné kontroly a řekli jste auditorům, že tomu tak je. Další částí procesu je samozřejmě možnost poskytnout audit trail, který ukazuje a ověřuje, že tyto kontroly skutečně fungují. Poté se ujistěte, že tato data uložíte. Obvykle s věcmi, jako je PCI a HIPAA, as těmito typy věcí, mluvíte o sedmi letech stálosti. Mluvíte o mnoha transakcích a spoustě dat.
Pokud udržujete, shromažďujete všechny transakce, i když pouze pět procent transakcí souvisí s citlivými daty, hovoříte o poměrně velkých nákladech spojených s ukládáním těchto dat po dobu sedmi let. To je podle mého názoru jedna z největších výzev, jak přimět lidi, aby říkali, že je to opravdu zbytečné náklady. Je také mnohem snazší, pokud se můžeme soustředit pouze na citlivé oblasti v databázi. Kromě toho budete také chtít ovládat také některé citlivé informace. Nejen ukázat v podobě audit trail, ale také být schopen spojit věci zpět s akciemi, které se dějí a být schopen dostávat oznámení v reálném čase, abyste si toho mohli být vědomi.
Příklad, který vždy používám, a nemusí to nutně souviset s jakýmkoli typem regulačního požadavku, ale jen s možností sledovat, například někdo musel zrušit tabulku související se mzdou. Pokud k tomu dojde, způsob, jakým se o tom dozvíte, pokud to nesledujete, nikdo nedostane zaplaceno. To je příliš pozdě. Chcete vědět, kdy dojde k pádu této tabulky, právě když dojde k jejímu pádu, abyste se vyhnuli jakýmkoli špatným věcem, které se stanou v důsledku toho, že nějaký nespokojený zaměstnanec odchází a odstraní tabulku, která je přímo vázána na výplatní listinu.
S tím bylo řečeno, že trik najde společného jmenovatele nebo pomocí tohoto společného jmenovatele mapuje, jaká je míra souladu. To je něco, co se snažíme s tímto nástrojem dělat. V zásadě používáme přístup, nebudeme vám zobrazovat zprávu, která je specifická pro PCI, specifická pro akcie; společným jmenovatelem je aplikace, která používá SQL Server k ukládání citlivých dat v databázi. Jakmile se k tomu dostanete, řeknete: „Ano, to je opravdu ta hlavní věc, na kterou se musíme soustředit - kde jsou ta citlivá data a jak se k nim přistupuje?“ Až to budete mít, máme spoustu zpráv, které nabízíme a které dokážou, že tento důkaz je, budete v souladu.
Vrátíme-li se k otázkám, které položil auditor, bude první otázka: Kdo má přístup k údajům a jak získává tento přístup? Dokážete, že k datům mají přístup správní lidé a že špatní lidé nejsou? Můžete také dokázat, že samotný audit trail je něco, čemu mohu věřit jako neměnný zdroj informací? Pokud vám poskytuji auditní stopu, která je vytvořena, není mi opravdu dobře, když jsem jako auditor opravil váš audit, pokud jsou informace zpracovány. O tom potřebujeme důkaz, obvykle z pohledu auditu.
Procházím těmito otázkami, trochu podrobnější. Výzvou pro první otázku je, musíte vědět, jak jsem řekl, kde jsou citlivá data, abyste mohli informovat o tom, kdo k nim přistupuje. To je obvykle nějaký typ objevu a opravdu máte tisíce různých aplikací, které jsou tam, máte spoustu různých regulačních požadavků. Ve většině případů chcete spolupracovat s pracovníkem pro dodržování předpisů, pokud jej máte, nebo alespoň s někým, kdo by měl nějaké další informace o tom, kde jsou moje citlivé údaje v aplikaci. Máme nástroj, který máme, je to bezplatný nástroj, nazývá se SQL Column Search. Řekneme našim potenciálním zákazníkům a uživatelům, kteří se zajímají o tuto otázku, mohou si ji stáhnout. Co bude dělat, je to, že v podstatě vyhledá informace v databázi, které budou pravděpodobně v přírodě citlivé.
A jakmile to uděláte, musíte také pochopit, jak lidé k těmto datům přistupují. A to bude opět, jaké účty jsou v rámci skupin Active Directory, kterých se účastní uživatelé databáze, k tomu jsou přiřazena členství v rolích. A samozřejmě, že všechny tyto věci, o kterých mluvíme, musí být schváleny auditorem, takže pokud řeknete: „Takto zamkneme data, “ pak mohou přijít auditoři zpět a řekněte: „No, děláte to špatně.“ Ale řekněme, že říkají: „Jo, to vypadá dobře. Dostatečně uzamykáte data. “
Přejdete-li k další otázce, která bude, můžete prokázat, že k datům mají přístup správní lidé? Jinými slovy, můžete jim říci, že vaše kontroly jsou, jedná se o ovládací prvky, které sledujete, ale bohužel auditoři bohužel nejsou opravdovými důvěryhodnými osobami. Chtějí to dokázat a chtějí to vidět v audit trailu. A to se vrací k té celé věci společného jmenovatele. Ať už je to PCI, SOX, HIPAA, GLBA, Basel II, ať už je realita jakákoli, je to, že obvykle budou položeny stejné typy otázek. Objekt s citlivými informacemi, kdo k němu přistoupil za poslední měsíc? To by se mělo zmapovat podle mých kontrol a měl bych být schopen projít mým auditem nakonec ukázáním těchto typů zpráv.
A tak jsme vytvořili asi 25 různých zpráv, které sledují stejné oblasti jako ten společný jmenovatel. Nemáme tedy zprávu pro PCI nebo pro HIPAA nebo pro SOX, máme zprávy, že opět vystupují proti tomuto společnému jmenovateli. A tak nezáleží na tom, jaký regulační požadavek se snažíte splnit, ve většině případů budete schopni odpovědět na jakoukoli otázku, kterou vám tento auditor položí. A řeknou vám, kdo, co, kdy a kde každé transakce. Víte, uživatel, čas transakce, samotný příkaz SQL, aplikace, ze které vyšel, vše dobré, a pak také můžete automatizovat doručování těchto informací do sestav.
A pak znovu, jakmile to zvládnete, a poskytli jste to auditorovi, pak další otázka bude, dokázat to. A když řeknu, že to dokážu, mám na mysli prokázat, že samotný audit trail je něco, čemu můžeme věřit. A v našem nástroji to děláme tak, že máme hodnoty hash a hodnoty CRC, které se přímo vztahují k samotným událostem v rámci audit trail. A tak pak jde o to, že pokud někdo vyjde a smaže záznam nebo pokud někdo vyjde a něco odebere nebo přidá do auditní stopy nebo něco změní v samotné auditní stopě, můžeme dokázat, že tato data, integrita samotná data byla porušena. A tak 99, 9 procent času, pokud máte zablokovanou databázi auditních záznamů, se k tomuto problému nedostanete, protože když provedeme tuto kontrolu integrity, auditorovi v zásadě dokážeme, že samotná data nebyla změněno a odstraněno nebo přidáno od původního zápisu ze samotné správy služeb.
Takže to je všeobecný přehled typických druhů otázek, které byste měli položit. Nyní se nástroj, který musíme hodně řešit, nazývá SQL Compliance Manager a dělá všechny tyto věci, pokud jde o sledování transakcí, kdo, co, kdy a kde z transakcí, je schopen to udělat v množství různých oblastí také. Přihlášení, neúspěšná přihlášení, změny schématu, samozřejmě přístup k datům, výběr aktivity, všechny ty věci, které se dějí v databázovém stroji. A v případě potřeby jsme také schopni upozornit uživatele na konkrétní velmi granulární podmínky. Například někdo jde ven a skutečně si prohlíží tabulku, která obsahuje všechna čísla mých kreditních karet. Nemění data, pouze se na to dívají. V této situaci mohu varovat a mohu dát lidem vědět, že se to děje, ne o šest hodin později, když škrábáme protokoly, ale v reálném čase. V zásadě je to tak dlouho, dokud nám trvá zpracování této transakce prostřednictvím služby správy.
Jak jsem již zmínil, viděli jsme, že se to používá v různých regulačních požadavcích, a ve skutečnosti to není - víte, jakýkoli regulační požadavek, pokud máte společné jmenovatele, máte citlivá data na serveru SQL databáze, to je nástroj, který by pomohl v tomto typu situace. K 25 zabudovaným zprávám je nyní skutečností, že tento nástroj můžeme udělat pro auditora dobrým a odpovědět na každou jednotlivou otázku, kterou položí, ale DBA jsou ty, které musí zajistit, aby fungovaly. Takže také existuje myšlenka, víte dobře, z pohledu údržby musíme zajistit, aby SQL fungovalo tak, jak chceme. Musíme také být schopni jít dovnitř a podívat se na věci, které budou moci jít ven a podívat se na další informace, víte, pokud jde o archivaci dat, jejich automatizaci a režii samotný produkt. To jsou věci, které samozřejmě bereme v úvahu.
Což vyvolává samotnou architekturu. Takže na pravé straně obrazovky máme instance SQL, které spravujeme, vše od roku 2000 až do roku 2014, připravené k vydání verze pro rok 2016. Největší s sebou na této obrazovce je, že správa server sám dělá vše těžké zvedání. Shromažďujeme data pomocí trasovacího rozhraní API zabudovaného do serveru SQL. Tyto informace se šíří po našem serveru pro správu. Samotný server pro správu identifikuje, a pokud existují nějaké události vázané na jakékoli typy transakcí, které nechceme, rozesílání výstrah a takových druhů věcí, a pak naplnění dat v úložišti. Odtud můžeme spouštět reporty, mohli bychom jít ven a skutečně vidět tyto informace v přehledech nebo dokonce v konzoli aplikace.
Takže to, co budu dělat, je, že se k nám dostanu, opravdu rychle, a já chci poukázat na jednu rychlou věc, než skočíme do produktu, právě teď existuje odkaz na web, nebo na prezentaci, to vás vezme k tomu bezplatnému nástroji, který jsem zmínil dříve. Tento bezplatný nástroj, jak jsem řekl, půjde ven a podívá se na databázi a snaží se najít oblasti, které vypadají jako citlivá data, čísla sociálního zabezpečení, čísla kreditních karet, na základě názvů sloupců nebo tabulek, nebo podle toho, jak vypadá formát dat, a můžete si to také přizpůsobit, takže to poukázat.
Nyní, v našem případě, nechte mě jít a rozdělit obrazovku, dejte mi jednu sekundu. Dobře, a tak jsem vás chtěl nejprve vzít do chodu, abych vás přivedl do samotné aplikace Compliance Manager a já to projdu docela rychle. Ale to je aplikace a můžete vidět, že tady mám pár databází a já vám jen ukážu, jak snadné je vstoupit a sdělit mu, co hledáte. Z hlediska změn schématu, změn zabezpečení, administrativních aktivit, DML, Select, máme k dispozici všechny tyto možnosti, které můžeme také filtrovat. To se vrací k osvědčenému postupu, kdy mohu říci: „Tuto tabulku opravdu potřebuji, protože obsahuje moje čísla kreditních karet. Nepotřebuji další tabulky, které obsahují informace o produktu, všechny ty další věci, které nesouvisejí s mírou shody, kterou se snažím splnit. “
Máme také schopnost zachytit data a ukázat je z hlediska hodnot polí, která se mění. V mnoha nástrojích budete mít něco, co vám dá schopnost zachytit příkaz SQL, ukázat uživateli, ukázat aplikaci, čas a datum, vše dobré. Ale v některých případech vám samotný příkaz SQL nedá dostatek informací, aby vám mohl sdělit, jaká byla hodnota pole před provedením změny, stejně jako hodnota pole po změně. A v některých situacích to potřebujete. Možná chci sledovat například informace o dávkování léků na předpis u lékaře. To šlo z 50 mg na 80 mg na 120 mg, to bych mohl sledovat pomocí před a po.
Citlivé sloupce jsou další věcí, se kterou se hodně setkáváme, například v souladu s PCI. V této situaci máte data, která jsou natolik citlivá, že když se podívám na tyto informace, nemusím je měnit, mazat nebo přidávat, můžu způsobit nenapravitelné škody. Čísla kreditních karet, čísla sociálního zabezpečení, všechno dobré, co dokážeme identifikovat citlivé sloupce a spojit s nimi upozornění. Pokud někdo zhasne a podívá se na tyto informace, budeme samozřejmě schopni upozornit a odeslat e-mail nebo vygenerovat past SNMP a podobné věci.
Nyní se v některých případech dostanete do situace, kdy byste mohli mít výjimku. A tím myslím tím, že máte situaci, kdy máte uživatele, který má uživatelský účet, který by mohl být svázán s nějakým typem úlohy ETL, která probíhá uprostřed noci. Je to zdokumentovaný proces a já prostě nemusím zahrnout tyto transakční informace pro tento uživatelský účet. V takovém případě bychom měli důvěryhodného uživatele. A pak v jiných situacích bychom použili funkci Privileged User Auditing, což je v podstatě, pokud mám, řekněme například, aplikace a tato aplikace již provádí audit uživatelů, kteří procházejí aplikací, to je skvělé, už mám něco, na co se mohu v rámci svého auditu odvolat. Ale co se týče věcí, které jsou spojeny například s mými privilegovanými uživateli, chlapi, kteří mohou jít do studia pro správu serveru SQL Server, aby se podívali na data v databázi, to to neřeže. A tak bychom mohli definovat, kdo jsou naši privilegovaní uživatelé, a to buď prostřednictvím členství v rolích, nebo prostřednictvím jejich účtů Active Directory, skupin, účtů ověřených pomocí SQL, kde si budeme moci vybrat všechny tyto různé typy možností a odtud se ujistěte, že pro ty privilegované uživatele můžeme určit typy transakcí, o které máme zájem.
Toto jsou všechny druhy různých možností a já nebudu procházet všemi různými druhy věcí na základě časových omezení zde pro tuto prezentaci. Chci vám však ukázat, jak můžeme data zobrazit, a myslím, že se vám bude líbit, jak to funguje, protože existují dva způsoby, jak to udělat. Dokážu to interaktivně, takže když mluvíme s lidmi, kteří se zajímají o tento nástroj, možná o své vlastní vnitřní kontroly, chtějí jen vědět, co se děje v mnoha případech. Nemusí nutně mít auditory přicházející na místě. Chtějí jen vědět: „Hele, chci jít za touto tabulkou a zjistit, kdo se jí dotkl minulý týden nebo minulý měsíc nebo cokoli jiného.“ V tomto případě můžete vidět, jak rychle to dokážeme.
V případě databáze zdravotní péče mám tabulku s názvem Patient Records. A ta tabulka, kdybych měl jen seskupit objekt, mohla by se velmi rychle začít zužovat tam, kde hledáme. Možná chci seskupit podle kategorie a pak možná podle události. A když to udělám, uvidíte, jak rychle se to ukáže, a tady je moje tabulka záznamů o pacientech. A jak jsem se vrtat, nyní můžeme vidět aktivitu DML, můžeme vidět, že jsme měli tisíce příloh DML, a když otevřeme jednu z těchto transakcí, uvidíme relevantní informace. Kdo, co, kdy, kde transakce, příkaz SQL, samozřejmě, skutečná aplikace používaná k provedení transakce, účet, čas a datum.
Nyní, když se podíváte na další kartu zde, na kartu Podrobnosti, se vrací k té třetí otázce, o které mluvíme, což dokazuje, že nebyla narušena integrita dat. Takže v podstatě každá událost má tajný výpočet pro naši hash hodnotu, a to se pak bude vázat zpět, když provedeme kontrolu integrity. Například, pokud bych měl jít do nástroje, jít do auditorské nabídky, a já jsem měl jít ven a říct, pojďme zkontrolovat integritu úložiště, mohl bych ukázat na databázi, kde je audit trail, bude spuštěn prostřednictvím kontroly integrity přiřazením těchto hodnot hash a hodnot CRC ke skutečným událostem a řekne nám, že nebyly nalezeny žádné problémy. Jinými slovy, data v auditní stopě nebyla manipulována, protože byla původně napsána správcovskou službou. To je samozřejmě jeden způsob, jak s daty komunikovat. Druhým způsobem by byly samotné zprávy. A tak vám ukážu jeden rychlý příklad zprávy.
A opět, tyto zprávy, způsob, jakým jsme s nimi přišli, nejsou specifické pro žádný typ standardu, jako je PCI, HIPAA, SOX nebo něco podobného. Opět je to společný jmenovatel toho, co děláme, a v tomto případě, pokud se vracíme zpět k příkladu záznamů o pacientech, mohli bychom jít ven a říct, v našem případě zde hledáme v databázi zdravotní péče a v našem případě se chceme zaměřit konkrétně na tu tabulku, o které víme, že obsahuje soukromé informace, v našem případě související s našimi pacienty. A tak mi dovolte zjistit, jestli to mohu napsat sem, a my jdeme do toho a spustíme tu zprávu. A potom se uvidíme, samozřejmě, odtud všechny relevantní údaje spojené s tímto objektem. A v našem případě nás to ukazuje na měsíc. Mohli bychom se však vrátit o šest měsíců, rok, ale jak dlouho jsme data uchovávali.
To jsou druhy způsobů, jak byste mohli auditorovi skutečně dokázat, že sledujete své kontroly. Jakmile to zjistíte, pak je to samozřejmě dobrá věc, pokud jde o absolvování auditu a možnost prokázat, že sledujete kontroly a vše funguje.
Poslední věc, o které jsem chtěl mluvit, je v administrační sekci. Existují také ovládací prvky z hlediska toho, že uvnitř tohoto nástroje je možné nastavit ovládací prvky tak, aby bylo zajištěno, že pokud někdo dělá něco, co nemá dělat, můžu být o tom informován. A dám vám tam pár příkladů. Mám přihlašovací účet, který je vázán na službu a že tato služba potřebuje zvýšená oprávnění k tomu, co dělá. To, co nechci, je, že někdo vstoupil a používal tento účet v Management Studio a pak, víte, používal jej pro věci, pro které nebyl určen. Zde bychom měli dvě kritéria, která bychom mohli použít. Mohl bych říci: „Podívej, máme opravdu zájem o tuto práci, řekněme, s naší aplikací PeopleSoft, “ jen jako příklad, dobře?
Teď, když jsem to udělal, říkám zde, že jsem zvědavý, jaké přihlašovací údaje jsou spojeny s účtem, na který se chystám specifikovat, zda se aplikace, která se používá k přihlášení pomocí tohoto účtu, není PeopleSoft, pak to bude navýšení poplachu. A samozřejmě musíme specifikovat název samotného účtu, takže v našem případě zavoláme tento privátní účet, protože je to privilegované. Nyní, když jsme to udělali, když to uděláme tady, teď bychom mohli určit, co bychom chtěli, aby se stalo, když k tomu dojde, a pro každou a každý typ události nebo, řekněme, varovat, můžete mít samostatné oznámení osobě, která je za daný konkrétní údaj odpovědná.
Například, pokud se jedná o informace o platu, může jít o mého ředitele personálního oddělení. V tomto případě se jedná o aplikaci PeopleSoft, bude to administrátor této aplikace. Ať je to jakýkoli případ. Mohl bych zadat svou e-mailovou adresu, přizpůsobit skutečnou výstražnou zprávu a všechny ty dobré věci. Opět se to vrací zpět k tomu, aby bylo možné zajistit, že dokážete, že sledujete své ovládací prvky a že tyto ovládací prvky fungují tak, jak jsou zamýšleny. Z poslední perspektivy zde máme, jen pokud jde o údržbu, schopnost tato data vzít a dát je offline. Mohu data archivovat a mohu je naplánovat a my bychom mohli tyto věci dělat velmi snadno v tom smyslu, že byste jako DBA skutečně mohli tento nástroj používat, nastavovat a druh odejít od toho Není mnoho rukou, které se budou konat, jakmile to nastavíte tak, jak by mělo být. Jak jsem řekl, myslím, že nejtěžší věcí na tom není nastavení toho, co chcete, ale ví, co chcete pro audit nastavit.
A jak jsem řekl, povaha šelmy s auditem, musíte data uchovávat po dobu sedmi let, takže má smysl soustředit se pouze na ty oblasti, které jsou v přírodě citlivé. Ale pokud chcete přistupovat ke sbírání všeho, absolutně můžete, není to prostě považováno za nejlepší postup. Z tohoto hlediska bych chtěl lidem jen připomenout, že pokud je to něco, co je v zájmu, můžete jít na web na IDERA.com a stáhnout si zkušební verzi a hrát si s tím sami. Pokud jde o bezplatný nástroj, o kterém jsme hovořili dříve, je to zdarma, můžete jej stáhnout a používat navždy, bez ohledu na to, zda používáte produkt Compliance Manager. A skvělou věcí na tomto nástroji pro vyhledávání sloupců je to, že naše zjištění, s nimiž jste přišli, a já skutečně dokážu, že si myslím, že budete moci exportovat tato data a poté je importovat do Compliance Manager. také. Nevidím to, vím, že je to tady. To je jen příklad toho. Zde najde související citlivá data.
Teď v tomto případě jsem vyšel ven a opravdu se dívám na všechno, ale máte jen spoustu věcí, které můžeme zkontrolovat. Čísla kreditních karet, adresy, jména, všechno podobné. A zjistíme, kde je v databázi, a odtud se můžete rozhodnout, zda skutečně chcete tyto informace prověřit. Ale určitě je to způsob, jak pro vás mnohem jednodušší definovat rozsah auditu, když se díváte na nástroj, jako je tento.
Prostě s tím půjdu a zavřu se a půjdu zpět a předám to Ericu.
Eric Kavanagh: To je fantastická prezentace. Miluji způsob, jak se tam opravdu dostanete do detailů a ukáže nám, co se děje. Protože na konci dne existuje nějaký systém, který bude mít přístup k některým záznamům, který vám dá zprávu, která vás přiměje vyprávět svůj příběh, ať už to bude regulačnímu orgánu, auditorovi nebo někomu ve vašem týmu, takže je dobré, že víte, že jste připraveni, kdy a kdy, nebo kdy a kdy, ten člověk klepe a samozřejmě je to nepříjemná situace, které se snažíte vyhnout. Ale pokud se to stane a pravděpodobně se to stane v těchto dnech, chcete si být jisti, že máte vaše já tečkované a vaše T je zkřížené.
Je tu dobrá otázka od diváka, kterého chci nejdřív vyhodit, Bullette, a pak, pokud se k tomu chce moderátor vyjádřit, neváhejte. A pak se možná Dez zeptá a Robina. Otázkou tedy je, je spravedlivé říci, že k tomu, abyste dělali všechny ty věci, které jste zmínili, musíte začít s klasifikací dat na základní úrovni? Musíte znát svá data, když se objeví jako cenný potenciální majetek, a udělat s tím něco. Myslím, že bys souhlasil, Bullette, že?
Bullett Manale: Jo, jasně. Myslím, že musíte znát svá data. A uvědomuji si, že uznávám, že existuje spousta aplikací, které jsou venku a že ve vaší organizaci existuje mnoho různých věcí, které mají pohyblivé části. Nástroj pro vyhledávání sloupců je velmi užitečný, pokud jde o krok směrem k lepšímu pochopení těchto údajů. Ale ano, je to velmi důležité. Myslím, že máte možnost přistoupit k firehose přístupu a auditovat vše, ale je to mnohem náročnější, když logisticky, když mluvíte o nutnosti ukládat tato data a hlásit se proti nim. A pak stále potřebujete vědět, kde je ta část dat, protože když spustíte své zprávy, budete muset také ukázat svým auditorům tyto informace. Takže si myslím, že, jak jsem řekl, největší výzvou, když mluvím se správci databází, je vědět, jo.
Eric Kavanagh: Jo, ale možná, Robine, přivedeme vás opravdu rychle. Zdá se mi, že zde platí pravidlo 80/20, že? Pravděpodobně nenajdete každý systém záznamu, na kterém záleží, pokud jste v nějaké středně velké nebo velké organizaci, ale pokud se soustředíte na - jako navrhoval Bullett zde - například PeopleSoft, nebo jiné systémy záznamu, které jsou převládající v podniku, kde soustředíte 80 procent své práce a pak 20 procent je na jiné systémy, které tam někde mohou být, že?
Robin Bloor: No, jsem si jistý, jo. Myslím, víte, myslím, že problém s touto technologií, a myslím, že to asi stojí za to mít komentář, ale problém s touto technologií je, jak ji implementovat? Myslím tím, že ve většině organizací je rozhodně nedostatek znalostí o počtu databází, které jsou tam venku. Víte, je tu spousta nedostatku zásob, řekněme. Víš, otázkou je, představme si, že začínáme v situaci, kdy neexistuje zvlášť dobře zvládnutá shoda, jak berete tuto technologii a vstřikujete ji do životního prostředí, nejen do, víte, technologie termíny, nastavení věcí, ale jako kdo to spravuje, kdo určuje co? Jak to začínáš oblékat do skutečné věci, která dělá svou práci?
Bullett Manale: No, to je dobrá otázka. Výzva v mnoha případech spočívá v tom, že se musíte začít ptát hned na začátku. Narazil jsem na spoustu společností, kde, jak víte, možná jde o soukromou společnost a získali, je tu počáteční, druh, první, druh, silniční rána, pokud to chcete nazvat. Například, pokud se právě teď stanu veřejně obchodovanou společností kvůli akvizici, budu se muset vrátit a pravděpodobně přijít na nějaké věci.
A v některých případech mluvíme s organizacemi, které, jak víte, i když jsou soukromé, dodržují pravidla dodržování SOX, jednoduše proto, že v případě, že se chtějí získat, vědí, že musí být v souladu. Určitě nechcete přistupovat k pouhému přístupu: „Už se toho nemusím obávat.“ Jakýkoli typ dodržování předpisů, jako je PCI nebo SOX nebo cokoli, chcete investovat do výzkumu nebo výzkumu pochopení toho, kde jsou tyto citlivé informace, jinak byste se mohli ocitnout v jednání s některými významnými, statnými pokutami. A je mnohem lepší investovat ten čas, víte, zjistíte, že data a schopnost se proti nim hlásit a ukázat, že ovládací prvky fungují.
Jo, pokud jde o nastavení, jak jsem řekl, první věcí, kterou bych doporučil lidem, kteří se připravují na audit, je prostě jít ven a provést zběžný průzkum databáze a přijít na to, že v jejich nejlepším úsilí se snaží zjistit, kde jsou citlivá data. A dalším přístupem by bylo začít s možná větší sítí, pokud jde o to, co je předmětem auditu, a poté se pomalu omezit, jakmile zjistíte, kde jsou oblasti v systému, které souvisejí s citlivé informace. Ale přeji si, abych ti mohl říct, že na tuto otázku existuje snadná odpověď. Pravděpodobně se bude mezi jednotlivými organizacemi trochu lišit a typ dodržování předpisů a opravdu jak, jak víte, kolik struktury mají v rámci svých aplikací a kolik jich má, rozmanitých aplikací, některé mohou být psané aplikace na zakázku, takže v mnoha případech to bude opravdu záviset na situaci.
Eric Kavanagh: Jděte do toho, Dez, jsem si jistý, že máte otázku nebo dvě.
Dez Blanchfield: Chtěl bych jen trochu nahlédnout do vašich pozorování ohledně dopadu na organizace z lidského hlediska. Myslím, že jednou z oblastí, kde vidím největší hodnotu pro toto konkrétní řešení, je to, že když se ráno probudí lidé a chodí do práce na různých úrovních organizace, probudí se s řadou odpovědností nebo řetězem s nimiž se musí vypořádat. A ráda bych získala nějaký vhled do toho, co tam venku vidíte, a bez typů nástrojů, o kterých mluvíte. A kontext, o kterém zde mluvím, je od předsedy představenstva po generálního ředitele a CIO a C-suite. A teď máme hlavní rizikoví důstojníci, kteří přemýšlejí více o druzích věcí, o kterých zde hovoříme, v souladu a správě, a nyní máme nové náčelníky hraní rolí, vedoucí údajů, kdo je, víte, o to více znepokojený.
A na straně každého z nich, kolem CIO, máme IT manažery na jedné straně, s jakým druhem víte, technickými potenciály a poté databázovými kontakty. A v operačním prostoru máme vývojoví manažeři a vedoucí vývoje a pak individuální vývoj a také se vracejí zpět do vrstvy pro správu databáze. Co vidíte kolem reakce každé z těchto různých částí podnikání na výzvu týkající se dodržování předpisů a regulatorního výkaznictví a jejich přístup k němu? Vidíte, že lidé na to přicházejí s nadšením a vidíte, jak to přináší výhody, nebo vidíte, že se neochotně táhnou nohama k této věci a jen, víte, dělají to pro klíště v krabici? A jaké jsou odpovědi, které vidíte, jakmile uvidí váš software?
Bullett Manale: Jo, to je dobrá otázka. Řekl bych, že tento produkt, prodej tohoto produktu, je většinou poháněn někým, kdo je v horkém křesle, pokud to má smysl. Ve většině případů je to DBA a z našeho pohledu, jinými slovy, vědí, že přichází audit a že budou odpovědní, protože jsou to DBA, aby byli schopni poskytnout informace, které auditor použije dotázat se. Mohou to udělat tím, že píšou své vlastní zprávy a vytvářejí své vlastní stopy a všechny tyto druhy věcí. Realita je taková, že to nechtějí dělat. Ve většině případů se DBA opravdu netěší na to, aby tyto rozhovory s auditorem začaly. Víš, raději bych ti řekl, že můžeme jít na společnost a říci: „Hej, to je skvělý nástroj a budeš ho milovat, “ a ukázat jim všechny funkce a oni si ho koupí.
Realita je taková, že se na tento nástroj obvykle nebudou dívat, ledaže by skutečně museli čelit auditu nebo na druhé straně té mince, že prošli auditem a nešťastně selhali a nyní jsou bylo jim řečeno, aby dostali pomoc, nebo budou pokutováni. Řekl bych, že pokud jde o to, víte, celkově, když lidem ukážete tento produkt, určitě vidí jeho hodnotu, protože jim to ušetří spoustu času, pokud jde o to, že chtějí zjistit, o čem chtějí podat zprávu., takové věci. Všechny tyto zprávy jsou již zabudovány, jsou zavedeny varovné mechanismy a poté se třetí otázka může v mnoha případech stát výzvou. Protože vám mohu ukázat zprávy po celý den, ale pokud mi nedokážete prokázat, že tyto zprávy jsou ve skutečnosti platné, víte, je to pro mě jako DBA mnohem tvrdší návrh, abych to mohl ukázat. Vypracovali jsme však technologii a techniku hašování a všechny tyto druhy věcí, abychom mohli pomoci zajistit, aby byla zachována data v jejich integritě v auditních stopách.
A to jsou věci, které jsou to moje pozorování, pokud jde o většinu lidí, se kterými mluvíme. Víte, v různých organizacích určitě víte, že o nich uslyšíte, víte například o tom, že došlo k porušení dat, a víš, myslím, když jiné organizace slyší o pokutách a těch druhy věcí, které lidé začínají, vyvolává obočí, takže doufejme, že na tuto otázku odpoví.
Dez Blanchfield: Jo, určitě. Dokážu si představit některé DBA, když konečně uvidí, co se s tímto nástrojem dá dělat, jen si uvědomují, že mají také své pozdní noci a víkendy zpět. Snížení času a nákladů a další věci, které vidím, když se na tento celý problém použijí vhodné nástroje, a to znamená, že jsem tři týdny seděl v bance v Austrálii. Jsou to globální banka, tři nejlepší banky, jsou masivní. Měli také projekt, ve kterém museli podávat zprávy o dodržování předpisů v oblasti správy majetku a zejména o riziku a na několik stovek lidských bytostí hledali práci v hodnotě 60 týdnů. A když jim bylo ukázáno, že se jim líbí takový nástroj, jako jste vy, který by mohl proces pouze automatizovat, tento smysl, pohled na jejich tvářích, když si uvědomili, že nemuseli trávit X počet týdnů se stovkami lidí provádějícími ruční proces, byl jako by našli Boha. Náročnou věcí však bylo, jak to skutečně naplánovat, jak naznačil Dr. Robin Bloor, víte, tohle se stává směsicí behaviorálního a kulturního posunu. Na jakých úrovních se zabýváte, kteří se s tím zabývají přímo na aplikační úrovni, jakou změnu vidíte, když začnou přijímat nástroj k tomu druhu vykazování a auditu a kontrol, které můžete nabídnout, protože na rozdíl od toho, co mohli udělat ručně? Jak to vypadá, když se skutečně uvedou do praxe?
Bullett Manale: Ptáte se, jaký je rozdíl, pokud jde o manipulaci s tímto nástrojem oproti použití tohoto nástroje? Je to otázka?
Dez Blanchfield: No, konkrétně dopad podnikání. Pokud se například pokoušíme zajistit shodu v manuálním procesu, víte, vždy se spoustou lidských bytostí vždy věnujeme dlouhou dobu. Hádám však, že, jak víte, položíme kolem otázky nějaký kontext, mluvíme o tom, že jediná osoba provozující tento nástroj nahradí potenciálně 50 lidí a bude schopna udělat totéž v reálném čase nebo v hodinách versus měsíce? Je to takový druh, co se obecně ukáže být?
Bullett Manale: No, myslím, že jde o pár věcí. Jeden má schopnost odpovědět na tyto otázky. Některé z těchto věcí se nebudou dělat velmi snadno. Takže jo, čas potřebný k tomu, aby se věci dělaly doma, psaly zprávy sami, nastavovaly se stopy nebo rozšířené události, aby se údaje shromažďovaly ručně, by mohlo trvat hodně času. Opravdu, dám vám nějaké, myslím, že to ve skutečnosti nesouvisí s databázemi obecně, ale stejně jako hned poté, co se Enron stal a SOX stal se převládajícím, byl jsem v jedné z větších ropných společností v Houstonu a počítali jsme „Myslím, že to bylo jako 25 procent našich obchodních nákladů souvisejících s dodržováním SOX.
Teď to bylo hned poté, a to byl druh prvního prvního kroku v SOX, ale věc s, řekla bych, víte, získáte užitek díky použití tohoto nástroje v tom smyslu, že to nevyžaduje mnoho lidí, kteří to dělají, a mnoho různých typů lidí, kteří to dělají. A jak jsem řekl, DBA obvykle není ten, kdo se opravdu těší na rozhovory s auditory. Takže v mnoha případech uvidíme, že DBA to může odlehčit a být schopen poskytnout zprávu, která je propojena s auditorem, a že se mohou zcela odstranit z rovnice, aniž by museli být zapojeni. Takže, víte, to je obrovská úspora, pokud jde o zdroje, pokud to dokážete.
Dez Blanchfield: Mluvíte o masivním snižování nákladů, že? Organizace nejen odstraňují riziko a režijní náklady, ale myslím, že v podstatě mluvíte o výrazném snížení nákladů, A) provozně a také B) ve skutečnosti, že víte, jestli mohou skutečně poskytnout skutečné včasné hlášení o shodě, že existuje výrazně snížené riziko porušení dat nebo nějaká právní pokuta nebo dopad za nedodržení předpisů, že?
Bullett Manale: Jo, jasně. Myslím tím, že kvůli tomu, že nejsou v souladu, existují všechny druhy špatných věcí. Mohou tento nástroj použít a bylo by to skvělé, nebo ne, a zjistí, jak je to opravdu špatné. Takže jo, nejedná se pouze o nástroj, můžete provádět kontroly a všechno bez nástroje, jako je tento. Jak jsem řekl, bude to jen trvat mnohem více času a nákladů.
Dez Blanchfield: To je skvělé. Ericu, půjdu zpět k tobě, protože si myslím, že s sebou je to, že ten druh trhu je fantastický. Ale také v podstatě stojí za to, že věc má váhu ve zlatě na základě toho, že schopnost vyhnout se komerčnímu dopadu problému, který se vyskytuje, nebo schopnost zkrátit dobu potřebnou k nahlášení a správě dodržování předpisů, to prostě dělá, víte, nástroj se vyplatí okamžitě za zvuky věcí.
Eric Kavanagh: Přesně tak. Díky moc za dnešní čas, Bullette. Děkuji vám všem za váš čas a pozornost a Robinovi a Dezovi. Další skvělá prezentace dnes. Děkujeme našim přátelům v IDERA za to, že jste nám tento obsah přinesli zdarma. Toto webové vysílání budeme archivovat pro pozdější prohlížení. Archiv obvykle trvá asi den. A dejte nám vědět, co si myslíte o našem novém webu, insideanalysis.com. Zcela nový design, zcela nový vzhled a dojem. Rádi bychom slyšeli vaši zpětnou vazbu as tím se s vámi rozloučím, lidi. Můžete mi poslat e-mail. Jinak vás dohlédneme příští týden. V příštích pěti týdnech máme sedm webcastů nebo něco takového. Budeme mít plné ruce práce. Koncem tohoto měsíce se zúčastníme konference Strata a IBM Analyst Summit v New Yorku. Takže pokud jste tam, zastavte se a pozdravte ho. Dávejte pozor, lidi. Ahoj.