Dengan Staff Techopedia, 14 September 2016
Takeaway: Host Eric Kavanagh membincangkan pengauditan pangkalan data dan kepatuhan dengan penganalisis Robin Bloor dan Dez Blanchfield serta Bullett Manale dari IDERA dalam episod Teknologi Hot ini.
Anda tidak log masuk sekarang. Sila log masuk atau mendaftar untuk melihat video.
Eric Kavanagh: Tuan-tuan dan puan-puan, hello dan selamat datang, sekali lagi, untuk Teknologi Hot! Ya memang, 2016. Kami berada dalam tiga tahun pertunjukan ini, ia sangat menarik. Kami telah bergoyang dan berguling tahun ini. Ini adalah Eric Kavanagh, tuan rumah anda. Topik untuk hari ini - ini adalah topik yang hebat, ia mempunyai banyak aplikasi yang merentasi beberapa industri, secara terang-terangan - "Siapa, Apa, Di mana dan Bagaimana: Mengapa Anda Ingin Tahu." Ya memang, kita akan bercakap mengenai semua perkara yang menyeronokkan itu. Terdapat slaid tentang anda benar-benar, tekan saya di Twitter @eric_kavanagh. Saya cuba tweet semula semua menyebut dan menghantar semula tweet apa saja yang dihantar oleh seseorang kepada saya. Jika tidak, jadilah juga.
Ia panas, ya memang! Pertunjukan keseluruhan di sini direka untuk membantu organisasi dan individu memahami jenis teknologi tertentu. Kami merancang keseluruhan program di sini, Teknologi Hot, sebagai cara menentukan jenis perisian tertentu, atau trend tertentu, atau jenis teknologi tertentu. Alasannya adalah kerana secara terang-terangan, dalam dunia perisian, anda akan sering mendapatkan istilah pemasaran ini yang boleh dibanggakan dan kadang-kadang mereka dapat menjejaskan konsep yang dimaksudkan untuk diterangkan.
Dalam pertunjukan ini, kami benar-benar berusaha untuk membantu anda memahami jenis teknologi tertentu, bagaimana ia berfungsi, apabila anda boleh menggunakannya, apabila anda tidak seharusnya menggunakannya, dan memberi anda detail yang mungkin. Kami akan mempunyai tiga penyampai hari ini: Robin Bloor, ketua penganalisis di sini di Bloor Group; saintis data kami memanggil dari Sydney, Australia di bahagian lain planet ini, Dez Blanchfield, dan salah seorang tetamu kegemaran kami Bullett Manale, pengarah kejuruteraan jualan di IDERA.
Saya hanya akan mengatakan beberapa perkara di sini, memahami siapa yang melakukan apa yang mana data, baik itu seperti tadbir urus, betul? Jika anda berfikir tentang semua peraturan di sekitar industri, seperti perkhidmatan penjagaan kesihatan dan kewangan, pada domain tersebut, barangan itu sangat penting. Anda perlu tahu siapa yang menyentuh maklumat, yang menukar sesuatu, yang mengaksesnya, yang memuat naiknya, contohnya. Apakah keturunannya, apakah penyerapan data ini? Anda boleh yakin semua isu ini akan terus menonjol pada tahun-tahun mendatang untuk semua jenis sebab. Bukan hanya untuk pematuhan, walaupun HIPAA, dan Sarbanes-Oxley, dan Dodd-Frank, dan semua peraturan ini sangat penting, tetapi juga supaya anda memahami dalam perniagaan anda yang melakukan apa, di mana, bila, mengapa dan bagaimana. Ini adalah perkara yang baik, kita akan memberi perhatian.
Teruskan, bawa ia, Robin Bloor.
Robin Bloor: Baiklah, terima kasih atas pengenalan itu, Eric. Kawasan tadbir urus ini, maksud saya, tadbir urus dalam IT bukanlah perkataan yang anda dengar sehingga sedikit selepas tahun 2000, saya fikir. Ia berlaku terutamanya kerana, saya fikir pula, ia berlaku terutamanya kerana ada pematuhan undang-undang yang sedang berlaku. Terutamanya HIPAA dan Sarbanes-Oxley. Sebenarnya banyak sekali. Oleh itu, organisasi menyedari bahawa mereka perlu mempunyai satu set peraturan dan satu set prosedur kerana ia perlu di bawah undang-undang untuk berbuat demikian. Sebelum itu, terutamanya dalam sektor perbankan, terdapat pelbagai inisiatif yang harus anda taati bergantung pada jenis bank anda, dan khususnya bank-bank antarabangsa. Seluruh pematuhan Basel bermula, sebelum sebelum beberapa inisiatif tertentu selepas tahun 2000. Semua ini benar-benar merosot pada tadbir urus. Saya fikir saya akan membincangkan subjek tadbir urus sebagai pengenalan kepada tumpuan mengawasi siapa yang mendapat data.
Tadbir urus data, saya pernah melihat sekeliling saya berfikir kira-kira lima atau enam tahun yang lalu, cari definisi dan tidak jelas sama sekali. Ia menjadi lebih jelas dan jelas tentang apa yang sebenarnya bermakna. Realitinya keadaan itu dalam batas-batas tertentu, semua data sebenarnya ditadbir sebelumnya, tetapi tidak ada aturan formal untuknya. Terdapat peraturan khas yang dibuat terutamanya dalam industri perbankan untuk melakukan perkara seperti itu, tetapi sekali lagi itu lebih mengenai pematuhan. Dalam satu cara atau yang lain membuktikan bahawa anda sebenarnya adalah - ia dikaitkan dengan risiko, jadi ia membuktikan bahawa anda adalah bank yang berdaya maju adalah perjanjian itu.
Jika anda melihat cabaran tadbir urus sekarang, ia bermula dengan fakta pergerakan data yang besar. Kami mendapat peningkatan jumlah sumber data. Jumlah data tentu saja adalah satu masalah dengan itu. Khususnya, kami mula melakukan banyak, lebih banyak lagi dengan data yang tidak berstruktur. Ia mula menjadi sesuatu yang merupakan sebahagian daripada keseluruhan permainan analisis. Dan kerana analisis, keturunan dan keturunan data penting. Betul dari sudut pandang menggunakan analitik data dengan cara apapun yang berkaitan dengan sebarang jenis pematuhan, anda benar-benar harus mempunyai pengetahuan mengenai data yang berasal dan bagaimana ia menjadi apa.
Penyulitan data mula menjadi isu, menjadi isu yang lebih besar sebaik sahaja kami pergi ke Hadoop kerana idea tasik data di mana kami menyimpan banyak data, tiba-tiba bermakna bahawa anda mempunyai kelemahan besar orang yang dapat pada itu. Penyulitan data menjadi lebih menonjol. Pengesahan selalu menjadi masalah. Di persekitaran yang lebih tua, persekitaran kerangka utama, mereka mempunyai perlindungan keselamatan perimeter yang indah; pengesahan tidak pernah benar-benar banyak masalah. Kemudiannya ia menjadi isu yang lebih besar dan ia lebih banyak isu sekarang kerana kita mempunyai persekitaran yang sangat banyak. Pemantauan akses data, yang menjadi isu. Saya seolah-olah mengingati pelbagai alat yang wujud kira-kira sepuluh tahun lalu. Saya rasa kebanyakan mereka didorong oleh inisiatif pematuhan. Oleh itu, kami juga mendapat semua peraturan pematuhan, pelaporan pematuhan.
Perkara yang diingati adalah bahawa pada tahun 1990-an, ketika anda melakukan percubaan klinikal dalam industri farmaseutikal, anda tidak hanya dapat membuktikan di mana data berasal - jelasnya sangat penting, jika anda sedang berusaha keluar ubat-ubatan dalam pelbagai konteks, untuk mengetahui siapa yang sedang dicuba dan apa data kontekstual di sekelilingnya - anda harus dapat memberikan pengauditan perisian yang benar-benar mencipta data. Ia adalah pematuhan yang paling teruk yang pernah saya lihat di mana-mana, dari segi membuktikan bahawa anda tidak benar-benar mengawal perkara-perkara dengan sengaja atau tidak sengaja. Pada masa ini, terutamanya pengurusan kitaran hayat data telah menjadi isu. Semua ini adalah satu cabaran kerana banyak perkara ini tidak dilakukan dengan baik. Dalam banyak keadaan, perlu dilakukan.
Inilah yang saya panggil data piramid. Saya telah berbual dengannya sebelum ini. Saya dapati cara yang sangat menarik untuk melihat perkara-perkara. Anda boleh memikirkan data sebagai lapisan. Data mentah, jika anda suka, benar-benar hanya isyarat atau pengukuran, rakaman, peristiwa, rekod tunggal kebanyakannya. Mungkin transaksi, pengiraan dan pengagregatan tentu saja mencipta data baru. Mereka boleh difikirkan pada tahap data. Di atasnya, sebaik sahaja anda menyambungkan data bersama-sama, ia menjadi maklumat. Ia menjadi lebih berguna, tetapi sudah tentunya ia menjadi lebih terdedah kepada orang yang menggodanya atau menyalahgunakannya. Saya mentakrifkan bahawa sebagai dicipta, benar-benar, melalui penstrukturan data, dapat memvisualisasikan data yang mempunyai glosari, skema, ontologi maklumat. Kedua-dua lapisan bawah adalah apa yang kita proses dalam satu cara atau yang lain. Di atas itu adalah apa yang saya panggil lapisan pengetahuan yang terdiri daripada peraturan, dasar, garis panduan, prosedur. Sesetengahnya mungkin dibuat dengan pandangan yang ditemui dalam analisis. Banyak daripada mereka sebenarnya dasar yang anda perlu patuhi. Ini adalah lapisan, jika anda suka, tentang tadbir urus. Di sinilah, dalam satu cara atau yang lain, jika lapisan ini tidak diisi dengan betul, maka kedua-dua lapisan di bawah ini tidak diuruskan. Titik akhir tentang ini adalah, pemahaman dalam sesuatu yang hanya tinggal di manusia. Komputer belum berjaya melakukannya, untungnya. Jika tidak, saya akan keluar dari pekerjaan.
Kerajaan tadbir urus - Saya jenis ini bersama-sama, saya fikir ia mestilah kira-kira sembilan bulan yang lalu, mungkin lebih awal daripada itu. Pada dasarnya, saya sememangnya dipertingkatkan tetapi sebaik sahaja kita mula bimbang tentang tadbir urus, maka, dari segi hub data korporat, tidak hanya data reservoir, data sumber tasik, tetapi juga pelayan umum pelbagai jenis, pelayan data pakar. Semua yang diperlukan untuk ditadbir. Apabila anda benar-benar memandang pelbagai dimensi juga - keselamatan data, pembersihan data, penemuan metadata dan pengurusan metadata, membuat glosari perniagaan, pemetaan data, garis keturunan data, pengurusan kitaran hayat data - kemudian, pengurusan pemantauan prestasi, pengurusan tahap perkhidmatan, pengurusan sistem, yang anda mungkin tidak benar-benar mengaitkan dengan tadbir urus, tetapi yang tertentu - sekarang kita akan menjadi dunia yang lebih cepat dan lebih cepat dengan aliran data yang semakin banyak, sebenarnya dapat melakukan sesuatu dengan prestasi tertentu sebenarnya merupakan keperluan dan mula menjadi peraturan operasi daripada apa-apa lagi.
Merumuskan dari segi pematuhan pematuhan, saya menyaksikan ini berlaku selama bertahun-tahun, tetapi perlindungan data umum sebenarnya datang pada tahun 1990-an di Eropah. Ia hanya mendapat lebih banyak, dan lebih canggih sejak itu. Kemudian, semua perkara ini mula diperkenalkan atau dibuat lebih canggih. GRC, risiko dan pematuhan tadbir itu, telah berlaku sejak bank-bank melakukan Basel. ISO telah mewujudkan piawaian pelbagai operasi. Saya tahu sepanjang masa bahawa saya telah berada di dalam IT - sudah lama - kerajaan AS sangat aktif dalam membuat pelbagai undang-undang: SOX, terdapat Gramm-Leach-Bliley, HIPAA, FISMA, FERPA. Anda juga mendapat organisasi NIST yang hebat yang mencipta banyak piawaian, terutamanya standard keselamatan, sangat berguna. Undang-undang perlindungan data di Eropah mempunyai variasi tempatan. Apa yang boleh anda lakukan dengan data peribadi di Jerman, misalnya, adalah berbeza daripada apa yang boleh anda lakukan di republik Slovakia, atau Slovenia, atau dimanapun. Mereka memperkenalkan baru-baru ini - dan saya fikir saya akan menyebut ini kerana saya merasa lucu - Eropah memperkenalkan idea tentang hak untuk dilupakan. Iaitu, mesti ada statut keterbatasan pada data yang telah umum yang sebenarnya adalah data peribadi. Saya fikir itu lucu. Dari perspektif IT yang akan menjadi sangat, sangat sukar jika ia mula menjadi undang-undang yang berkesan. Ringkasnya, saya akan mengatakan perkara berikut: Oleh kerana data dan pengurusan IT berkembang dengan cepat, tadbir urus juga mesti berkembang dengan cepat dan ia terpakai kepada semua bidang tadbir urus.
Setelah mengatakan bahawa saya akan lulus bola kepada Dez.
Eric Kavanagh: Ya memang, jadi Dez Blanchfield, ambilnya. Robin, saya dengan anda, lelaki, saya mati untuk melihat bagaimana hak ini dilupakan bermain. Saya fikir ia tidak akan hanya mencabar tetapi pada dasarnya mustahil. Ia hanya pelanggaran menunggu untuk dilaksanakan oleh agensi kerajaan. Dez, ambilnya.
Dez Blanchfield: Sudah tentu dan itu topik untuk perbincangan lain. Kami mempunyai cabaran yang sangat serupa di sini di Asia Pasifik, dan terutamanya di Australia di mana pembawa dan ISP dikehendaki log semua yang berkaitan dengan internet dan dapat merakam dan meremehkannya sekiranya seseorang yang berminat melakukan sesuatu yang salah. Ia adalah undang-undang dan anda mesti mematuhinya. Cabaran, sama seperti seseorang di Google di Amerika Syarikat mungkin diberitahu untuk memadamkan sejarah carian saya atau apa sahaja, mungkin untuk mematuhi undang-undang Eropah, khususnya undang-undang privasi Jerman. Di Australia jika agensi ingin melihat anda, pembawa perlu dapat memberikan butiran mengenai panggilan dan sejarah carian yang dibuat, yang mencabar, tetapi ia adalah dunia yang kita tinggalkan. Ada banyak alasan untuk itu. Biarkan saya hanya melompat ke saya.
Saya sengaja menjadikan halaman tajuk saya sukar dibaca. Anda harus benar-benar melihat teks itu. Pematuhan, mematuhi satu set peraturan, spesifikasi, kawalan, dasar, piawaian atau undang-undang, dengan latar belakang yang konyol dan tidak kemas. Ini kerana anda perlu melihatnya dengan sukar untuk mendapatkan butiran dan menarik maklumat dari apa yang dilapisi, yang merupakan satu siri jadual dan baris dan lajur, sama ada pangkalan data, skim atau mock-up di Visio. Itulah jenis pematuhan seperti hari ke hari. Ia agak sukar untuk menyelam dengan terperinci dan menarik maklumat berkaitan maklumat yang anda perlukan untuk mengesahkan bahawa anda mematuhi. Laporkan pada itu, memantau dan mengujinya.
Malah, saya fikir cara yang benar-benar baik untuk membayangkan ini apabila kita bertanya pada diri sendiri soalan, "Adakah anda patuh?" "Adakah anda pasti?" "Nah, buktikannya!" Ada perkara yang sangat menyeronokkan yang mungkin sedikit lebih banyak Anglo-Celtic tetapi saya pasti ia dibuat di seluruh dunia ke Amerika Syarikat, jadi ia: "Di mana Wally?" Wally adalah watak kecil yang masuk ke dalam lukisan kartun ini dalam bentuk buku. Biasanya gambar besar A3 atau lebih besar. Oleh itu, lukisan saiz meja. Beliau adalah watak kecil yang memakai beanie dan baju bergaris merah-putih. Idea permainan ini adalah anda melihat gambar ini dan anda melihat sekeliling dalam kalangan untuk mencuba dan mencari Wally. Dia ada di dalam gambar itu di suatu tempat. Apabila anda berfikir tentang bagaimana untuk mengetahui dan menerangkan dan melaporkan kepatuhan, dalam banyak cara ia seperti bermain "Di mana Wally." Jika anda melihat gambar itu, hampir mustahil untuk mencari watak itu. Kanak-kanak menghabiskan berjam-jam untuk berbuat demikian dan saya sangat gembira melakukan perkara itu semalam. Ketika kita melihatnya, kita dapati banyak sekumpulan orang dalam kartun ini, dengan sengaja diletakkan di sana dengan potongan-potongan yang sama dari pakaian Wally dari beanie bergaris dan jersey, atau atas bulu. Tetapi mereka menjadi positif palsu.
Ini adalah cabaran yang sama dengan pematuhan kami. Apabila kita melihat sesuatu, kadang-kadang sesuatu yang kita fikir ini adalah kes itu, tidak sama sekali. Seseorang mungkin mempunyai akses kepada pangkalan data dan mereka sepatutnya mempunyai akses ke pangkalan data tetapi cara mereka menggunakannya sedikit berbeza daripada apa yang kita harapkan. Kami mungkin memutuskan bahawa itu sesuatu yang perlu kita lihat. Apabila kita melihatnya, kita dapati, oh sebenarnya, itu adalah pengguna yang sah. Mereka hanya melakukan sesuatu yang unik. Mungkin ia penyelidik PC atau yang tahu. Dalam kes lain, ia mungkin sebaliknya. Realiti, apabila saya maju ke hadapan, ada Wally. Jika anda kelihatan sangat keras dalam resolusi tinggi ini terdapat satu watak yang sebenarnya memakai pakaian yang sesuai. Semua yang lain hanya kelihatan kelihatan dan terasa sedih. Pematuhan terasa sangat seperti itu. Kebanyakan orang yang saya tahu, mereka bekerja dalam kawalan dan pematuhan dan dasar bidang perniagaan. Di seluruh bidang, sama ada teknologi itu, sama ada kewangan, operasi atau risiko. Selalunya sangat sukar untuk melihat Wally dalam gambar, anda akan melihat pokok atau kayu.
Persoalan yang kita tanya kepada diri sendiri, apabila kita berfikir tentang perkara-perkara seperti pematuhan, adalah "Perjanjian besar, apa yang mungkin akan menjadi salah jika kita tidak cukup memenuhi pematuhan?" Dalam konteks perbincangan hari ini, khususnya di sekitar pangkalan data dan kawalan akses ke data, saya akan memberi anda beberapa contoh panggilan bangun yang sangat nyata tentang apa yang boleh menjadi salah dalam bentuk ringkas ringkas. Jika kita memikirkan pelanggaran data, dan kita semua akrab dengan pelanggaran data, kita mendengarnya di media, dan kita sememangnya berhenti dan ketawa, kerana orang menganggap ia pasaran. Ia perkara peribadi. Itulah Ashley Madison dan orang yang ingin mendapatkan tarikh di luar hubungan dan perkahwinan mereka. Ia melemparkan akaun. Ini semua perkara aneh atau sesetengah ISP Eropah atau Rusia rawak atau syarikat hosting akan digodam. Apabila ia mendapat perkara-perkara seperti MySpace dan sepuluh teratas ini, apabila anda melihat angka-angka ini, apa yang saya mahu anda sedar adalah ini: 1.1 bilion orang butiran dalam sepuluh pelanggaran teratas ini. Dan ya, ada tumpang tindih, mungkin ada orang yang mempunyai akaun MySpace, dan akaun Dropbox, dan akaun Tumblr, tapi mari kita bulat sehingga satu bilion orang.
Ini sepuluh pelanggaran utama untuk sedekad yang lalu atau lebih - sekalipun tidak satu dekad, dalam kebanyakan kes - merangkum kira-kira satu pertujuh populasi dunia manusia, tetapi lebih realistik, kira-kira 50 peratus daripada bilangan orang disambungkan ke internet, lebih satu bilion individu. Ini timbul kerana pematuhan belum dipenuhi dalam beberapa kes. Dalam kebanyakan kes, kawalan akses kepada pangkalan data, kawalan akses kepada set data tertentu, dan sistem, dan rangkaian. Ini adalah pemeriksaan realiti menakutkan. Jika tidak menakutkan anda, apabila anda melihat sepuluh teratas dan anda dapat melihat bahawa ini adalah - atau dapat melihat ini adalah satu bilion individu, manusia sejati seperti kami, pada panggilan ini sekarang. Sekiranya anda mempunyai akaun LinkedIn, jika anda mempunyai akaun Dropbox, atau akaun Tumblr atau jika anda membeli dari produk Adobe atau muat turun Adobe viewer percuma. Tidak semestinya, tidak semestinya, semestinya maklumat anda, nama depan anda, nama akhir anda, alamat e-mel anda, alamat alamat perusahaan anda, atau alamat rumah atau kad kredit anda, sebenarnya ada di luar sana kerana pelanggaran yang berlaku kerana kawalan, yang tidak semestinya dikendalikan dengan baik dalam bentuk pengurusan data, tadbir urus data.
Mari kita lihat apabila kita melihatnya secara terperinci. Terdapat satu skrin mereka, ada kira-kira 50-sesuatu di sana. Ada lagi 15. Terdapat kira-kira 25 lagi. Ini adalah pelanggaran data yang disenaraikan di laman web yang dipanggil haveibeenpwned.com. Inilah yang mungkin salah jika sesuatu yang mudah seperti mengawal siapa yang mempunyai akses kepada data dalam pangkalan data dalam bidang dan baris yang berbeza dan baris dan aplikasi yang berbeza dalam perniagaan anda, tidak diuruskan dengan betul. Organisasi-organisasi ini kini didorong oleh data. Kebanyakan data hidup dalam pangkalan data dalam beberapa bentuk. Apabila anda berfikir tentang itu, senarai pelanggaran yang kami lihat, dan semoga ia memberi anda sedikit mandi sejuk dalam erti kata, kerana anda berfikir "Hmm, itu sangat nyata, " dan ia berpotensi memberi kesan kepada anda. Pada tahun 2012, pelanggaran LinkedIn misalnya, kebanyakan profesional mempunyai akaun LinkedIn pada hari ini dan kemungkinan bahawa butiran anda hilang. Mereka telah keluar di internet sejak 2012. Kami baru sahaja diberitahu tentangnya pada 2016. Apa yang berlaku dengan anda maklumat dalam empat tahun itu? Baik ia menarik dan kita boleh bercakap tentang itu secara berasingan.
Pengurusan pangkalan data dan sistem - Saya sering bercakap mengenai apa yang saya anggap lima cabaran teratas dalam menguruskan hal-hal ini. Pada tahap yang sangat tinggi dan saya kedudukan ini mengikut keutamaan daripada saya sendiri, tetapi juga perintah kesan, nombor satu adalah keselamatan dan pematuhan. Kawalan dan mekanisme, dan dasar mengawal siapa yang mempunyai apa akses kepada sistem apa, atas sebab dan tujuan apa. Melaporkannya dan memantaunya, melihat ke dalam sistem, melihat pangkalan data, dan melihat siapa yang sebenarnya boleh mengakses rekod, bidang individu dan rekod.
Fikirkan perkara ini dalam bentuk yang sangat mudah. Mari kita bercakap mengenai pengurusan perbankan dan kekayaan sebagai satu contoh. Apabila anda mendaftar untuk akaun bank, mari kita katakan akaun tunai biasa untuk kad EFTPOS, atau akaun tunai atau akaun cek. Anda mengisi borang dan terdapat banyak maklumat yang sangat peribadi di sekeping kertas yang anda isi atau anda melakukannya secara dalam talian dan masuk ke dalam sistem komputer. Sekarang, jika seseorang dalam pemasaran mahu menghubungi anda dan menghantar risalah, mereka harus dibenarkan untuk melihat nama pertama anda, dan nama belakang, dan alamat peribadi anda, contohnya dan berpotensi nombor telefon anda jika mereka mahu menelefon anda sejuk dan menjual sesuatu. Mereka mungkin tidak sepatutnya melihat jumlah wang yang anda miliki di bank untuk beberapa alasan. Jika seseorang memandang anda dari sudut pandangan risiko, atau cuba membantu anda melakukan sesuatu seperti mendapatkan kadar faedah yang lebih baik pada akaun anda, orang itu mungkin mahu melihat berapa banyak wang yang anda punya di bank itu, supaya mereka boleh menawarkan kadar pulangan faedah yang sesuai ke atas wang anda. Kedua-dua individu mempunyai peranan yang sangat berbeza dan sebab-sebab yang sangat berbeza bagi peranan tersebut, dan tujuan peranan mereka. Akibatnya, perlu melihat maklumat yang berbeza dalam rekod anda, tetapi tidak semua rekod.
Kawalan ini mengelilingi laporan yang berbeza dari skrin biasa atau bentuk yang mereka ada dalam aplikasi yang digunakan untuk menguruskan akaun anda. Pembangunan bagi mereka, penyelenggaraan mereka, pentadbiran mereka, pelaporan di sekeliling mereka, dan tadbir urus dan pematuhan yang dibalut seperti orang-orang seperti bungkus gelembung, semuanya adalah satu cabaran yang sangat besar. Itulah cabaran nombor satu dalam menguruskan data dan sistem. Apabila kita pergi lebih jauh ke dalam stack ke dalam prestasi dan pemantauan, dan pengesanan kejadian dan tindak balas, pengurusan dan pentadbiran sistem, dan pematuhan di sekeliling mereka, reka bentuk dan pembangunan sistem dari pematuhan, ia menjadi jauh lebih sukar.
Menguruskan keseluruhan isu mengurangkan risiko dan meningkatkan keselamatan. Lima cabaran utama saya dalam ruang ini - dan saya suka imejan yang berlaku dengan meja kastam semasa anda memasuki negara - mereka mengemukakan pasport anda, dan mereka memeriksa anda, dan mereka melihat sistem komputer mereka untuk melihat sama ada anda harus lulus atau tidak. Sekiranya anda tidak perlu, mereka meletakkan anda di pesawat seterusnya pulang ke rumah. Jika tidak, mereka membiarkan anda kembali dan mereka bertanya kepada anda seperti, "Adakah anda datang bercuti? Adakah anda di sini pelancong? Adakah anda di sini untuk bekerja? Apakah kerja yang akan anda lihat? Di mana anda akan tinggal Berapa lama anda datang? Adakah anda mendapat wang yang cukup untuk menampung perbelanjaan dan kos anda? Atau adakah anda akan menjadi risiko kepada negara yang anda berada dan mereka mungkin perlu menjaga anda dan memberi makan kepada anda? "
Terdapat beberapa isu di sekitar ruang data ini, mengurus perlindungan data. Sebagai contoh dalam ruang pangkalan data, kita perlu berfikir tentang memintas siaran pangkalan data. Sekiranya data berada dalam pangkalan data, dalam persekitaran yang normal dan terdapat kawalan dan mekanisme di sekelilingnya dalam sistem. Apa yang berlaku jika pembuangan data dibuat dalam lebih banyak SQL dan disandarkan kepada pita? Pangkalan data dibuang dalam bentuk mentah dan kadang kala disokong. Kadang-kadang ia dilakukan untuk sebab-sebab teknikal, sebab pembangunan. Mari kita katakan DB sampah diambil dan ia disandarkan kepada pita. Apa yang berlaku jika saya kebetulan mendapatkan pita saya dan memulihkannya? Dan saya mempunyai salinan pangkalan data dalam SQL. Ia adalah fail MP, teks itu, saya boleh membacanya. Semua kata laluan yang disimpan di tempat pembuangan itu tidak mempunyai kawalan ke atas saya kerana saya kini mendapat akses kepada kandungan sebenar pangkalan data tanpa enjin pangkalan data yang melindunginya. Jadi secara teknikal saya boleh memintas keselamatan platform pangkalan data yang sedang dibina di dalam enjin dengan pematuhan, dan pengurusan risiko untuk menghalang saya melihat data. Kerana berpotensi menjadi pemaju, pentadbir sistem, saya telah mendapat tangan saya pada dump penuh pangkalan data yang sepatutnya digunakan untuk sandaran.
Penyalahgunaan data - berpotensi untuk mendapatkan seseorang untuk log masuk sebagai akaun mereka yang tinggi dan membiarkan saya duduk di skrin, mencari maklumat, atau perkara yang serupa. Pengauditan proprietari, akses dan penggunaan data, dan melihat data atau perubahan kepada data. Kemudian laporan mengenai kawalan dan pematuhan itu diperlukan. Memantau lalu lintas dan akses dan sebagainya, menyekat ancaman yang datang dari lokasi dan pelayan luar. Contohnya jika data dibentangkan melalui borang pada halaman web di internet, suntikan SQL mereka dilindungi melalui firewall dan kawalan konsep? Terdapat kisah terperinci panjang yang berlaku di belakang ini. Anda dapat melihat di sini bahawa hanya sebahagian daripada perkara-perkara yang benar-benar asas yang kita fikirkan dalam meringankan dan menguruskan risiko sekitar data dalam pangkalan data. Ia sebenarnya agak mudah untuk mengatasi beberapa perkara ini jika anda berada di tahap yang berbeza dari susunan teknologi. Cabaran menjadi lebih sukar dan sukar apabila anda memperoleh lebih banyak data, dan lebih banyak pangkalan data. Lebih banyak lagi, dan lebih mencabar dengan orang yang perlu menguruskan sistem dan memantau penggunaannya, mengesan butiran yang berkaitan yang khusus berkaitan dengan perkara-perkara yang Robin bercakap tentang, seperti perkara-perkara seperti pematuhan peribadi. Individu mempunyai kawalan dan mekanisme di sekeliling mereka yang mematuhi - jika anda melakukan sesuatu yang salah, anda berpotensi dipecat. Jika saya log masuk sebagai akaun saya, biarkan anda melihatnya, itu harus menjadi kesalahan yang boleh dilepaskan. Sekarang saya telah memberikan anda akses kepada data yang tidak seharusnya anda lihat secara normal.
Ada pematuhan peribadi, ada pematuhan korporat, syarikat mempunyai dasar dan peraturan, dan kawalan yang mereka tetapkan kepada diri mereka sendiri sehingga syarikat berjalan lancar dan memberikan laba atas keuntungan dan pulangan yang baik kepada pelabur dan pemegang saham. Kemudian, seringkali terdapat bandaraya atau seluruh negara atau kebangsaan, persekutuan seperti yang anda katakan kawalan dan undang-undang AS. Kemudian ada yang global. Beberapa insiden yang lebih besar di dunia, di mana orang-orang seperti Sarbanes-Oxley, dua individu yang diminta untuk menghasilkan cara untuk melindungi data dan sistem. Terdapat Basel di Eropah dan terdapat pelbagai kawalan di Australia, terutamanya di sekitar bursa saham dan platform kepercayaan, dan kemudian privasi di peringkat individu atau syarikat. Apabila setiap satu itu disusun seperti yang anda lihat di salah satu laman web yang dimiliki oleh Robin, mereka menjadi hampir tidak mungkin gunung mendaki. Kos yang tinggi dan kami berada di titik di mana pendekatan tradisional yang anda tahu, seperti manusia mengukur kawalan, tidak lagi merupakan pendekatan yang sesuai kerana skala terlalu besar.
Kami mempunyai satu senario di mana pematuhan adalah apa yang saya panggil sekarang isu yang sentiasa ada. Dan itu adalah bahawa kita berpotensi mempunyai titik pada waktu, sama ada secara bulanan atau suku tahunan atau tahunan, di mana kita akan mengkaji keadaan negara kita dan membantu pematuhan dan kawalan. Memastikan orang tertentu mempunyai akses tertentu dan tidak mempunyai akses tertentu bergantung kepada apa kebenaran mereka. Kini ia adalah kes kelajuan perkara-perkara dengan perkara-perkara yang bergerak, kadar di mana perkara berubah, skala di mana kita beroperasi. Pematuhan adalah isu yang sentiasa ada dan krisis kewangan global adalah satu contoh di mana kawalan yang relevan, dan langkah-langkah dalam keselamatan dan pematuhan boleh berpotensi mengelakkan senario di mana kami mempunyai keretapi melarikan diri dari tingkah laku tertentu. Hanya mencipta keadaan dengan seluruh dunia dengan berkesan mengetahui ia akan pecah dan muflis. Untuk melakukan itu, kita memerlukan alat yang betul. Melemparkan manusia di kereta api, badan membuang tidak lagi merupakan pendekatan yang sah kerana skala terlalu besar dan benda bergerak terlalu cepat. Perbincangan hari ini, saya fikir kita akan ada, mengenai jenis alat untuk memohon ini. Khususnya alat-alat yang IDERA dapat memberikan kepada kita yang harus dilakukan. Dan dengan itu, saya akan membawanya ke Bullett untuk berjalan melalui bahannya dan menunjukkan kepada kami pendekatan dan alat yang mereka perlukan untuk menyelesaikan masalah ini yang telah kami bawa sekarang untuk anda.
Dengan itu, Bullett, saya akan menyerahkan kepada anda.
Bullett Manale: Bunyi hebat, terima kasih. Saya ingin bercakap tentang beberapa slaid dan saya juga ingin menunjukkan produk yang kami gunakan untuk pangkalan data SQL Server khusus untuk membantu dengan situasi pematuhan. Benar-benar, cabaran dalam banyak kes - Saya akan melangkau beberapa perkara ini - ini hanyalah portfolio produk kami, saya akan melangkah dengan begitu cepat. Dari segi produk yang akan dituju dan bagaimana ia berkaitan dengan pematuhan, saya selalu menarik ini seperti slaid pertama kerana ia jenis generik, "Hei, apakah tanggungjawab DBA?" Salah satu perkara adalah mengawal dan mengawasi akses pengguna dan juga dapat menghasilkan laporan. Itu akan terikat apabila anda bercakap dengan juruaudit anda, betapa sukarnya proses itu akan berubah bergantung pada jika anda akan melakukannya sendiri atau jika anda akan menggunakan pihak ketiga alat untuk membantu.
Secara umumnya, apabila saya bercakap dengan pentadbir pangkalan data, banyak kali mereka tidak pernah terlibat dalam audit. Anda sememangnya perlu mendidik mereka ke dalam apa sebenarnya yang anda perlu lakukan. Terkait dengan jenis pematuhan yang perlu dipenuhi dan dapat membuktikan bahawa anda sebenarnya mematuhi peraturan kerana ia terpakai pada tahap pematuhan. Ramai orang tidak berjaya pada mulanya. Mereka berfikir, "Oh, saya hanya boleh membeli alat yang akan membuat saya patuh." Kenyataannya, itu bukan kes itu. Saya berharap saya dapat mengatakan bahawa produk kami secara ajaib, oleh anda tahu, memukul butang mudah, memberi anda keupayaan untuk memastikan bahawa anda sedang mematuhi. Realitinya adalah bahawa anda perlu menyediakan persekitaran anda dari segi kawalan, dari segi cara orang mengakses data, yang semua harus diusahakan dengan aplikasi yang anda miliki. Di mana sensitif data itu disimpan, apakah jenis peraturan yang diperlukan. Kemudian, juga perlu bekerja dengan biasanya seorang pegawai pematuhan dalaman juga untuk memastikan anda mengikuti semua peraturan.
Ini sangat rumit. Jika anda melihat semua keperluan pengawalseliaan, anda akan berfikir bahawa itu akan berlaku, tetapi realitinya adalah terdapat penyebut biasa di sini. Dalam kes kami dengan alat yang akan saya tunjukkan pada hari ini, produk Pengurus Kepatuhan, proses dalam situasi kami akan menjadi, pertama dan utama, kami perlu memastikan kami mengumpul data jejak audit, yang berkaitan ke mana data berada dalam pangkalan data yang sensitif. Anda boleh mengumpul segala-galanya, bukan? Saya boleh keluar dan mengatakan saya mahu mengutip setiap transaksi yang berlaku di pangkalan data ini. Realitinya ialah anda mungkin hanya mempunyai sebahagian kecil atau peratusan kecil transaksi yang sebenarnya berkaitan dengan data sensitif. Jika ia mematuhi PCI, ia akan berada di sekitar maklumat kad kredit, pemilik kad kredit, maklumat peribadi mereka. Mungkin terdapat satu tan urus niaga lain kerana ia berkaitan dengan aplikasi anda, yang tidak benar-benar mempunyai sebarang keperluan PCI.
Dari sudut pandangan itu, perkara pertama apabila saya bercakap dengan DBA ialah saya berkata, "Cabaran nombor satu tidak cuba untuk mendapatkan alat untuk melakukan perkara-perkara ini untuk anda. Ia hanya mengetahui di mana data sensitif itu dan bagaimana kita mengunci data itu? "Jika anda mempunyai itu, jika anda boleh menjawab soalan itu, maka anda berada di rumah separuh dari segi dapat menunjukkan bahawa anda sedang mematuhi, dengan andaian anda mengikuti kawalan yang betul. Katakan sesaat bahawa anda mengikuti kawalan yang betul dan anda memberitahu juruaudit bahawa hal itu berlaku. Bahagian seterusnya proses ini jelas dapat memberikan jejak audit yang menunjukkan dan mengesahkan kawalan tersebut sebenarnya berfungsi. Kemudian, ikuti langkah itu dengan memastikan anda menyimpan data tersebut. Biasanya dengan perkara seperti pematuhan PCI dan HIPAA, dan jenis perkara, anda bercakap tentang pengekalan tujuh tahun. Anda bercakap tentang banyak transaksi dan banyak data.
Sekiranya anda menyimpan, mengutip setiap urus niaga walaupun hanya lima peratus daripada urus niaga yang berkaitan dengan data sensitif, anda bercakap tentang kos yang cukup besar yang berkaitan dengan penyimpanan data tersebut selama tujuh tahun. Itulah salah satu cabaran terbesar, saya fikir, adalah untuk mendapatkan kepala orang di sekitar itu untuk mengatakan, itu adalah kos yang benar-benar tidak perlu, jelas. Ia juga lebih mudah jika kita hanya boleh memberi tumpuan secara mendalam di kawasan sensitif dalam pangkalan data. Di samping itu anda juga akan mahu mengawal beberapa maklumat sensitif juga. Bukan hanya untuk menunjukkan dari segi jejak audit, tetapi juga untuk mengikat perkara kembali kepada tindakan yang sedang berlaku dan dapat diberitahu dalam masa nyata, supaya anda dapat dimaklumkan mengenai hal itu.
Contoh yang saya selalu gunakan, dan ini tidak semestinya berkaitan dengan apa-apa jenis keperluan peraturan tetapi hanya dapat dijejaki, sebagai contoh, seseorang akan menggugurkan jadual yang berkaitan dengan gaji. Jika itu berlaku, cara anda mengetahui tentangnya, jika anda tidak menjejaki itu, tiada siapa yang akan dibayar. Itu terlambat. Anda ingin tahu apabila jadual itu jatuh, betul apabila ia jatuh, untuk mengelakkan sebarang perkara buruk yang berlaku akibat daripada beberapa pekerja yang tidak puas hati dan memadamkan jadual yang terikat secara langsung ke senarai gaji.
Dengan kata itu, silap mata mencari penyebut biasa atau menggunakan penyebut biasa untuk memetakan tahap pematuhan. Itulah jenis yang kita cuba lakukan dengan alat ini. Kami pada dasarnya mengambil pendekatan, kami tidak akan menunjukkan kepada anda laporan yang khusus untuk PCI, khusus untuk saham; penyebut biasa ialah anda mempunyai aplikasi yang menggunakan SQL Server untuk menyimpan data sensitif dalam pangkalan data. Sebaik sahaja anda mengatasi yang anda katakan, "Ya, itu benar-benar perkara utama yang perlu kita fokuskan - di mana data sensitif itu, dan bagaimana ia diakses?" Sebaik sahaja anda memilikinya, terdapat satu tan laporan yang kami tawarkan yang boleh memberikan bukti itu, anda akan, dalam pematuhan.
Kembali kepada soalan yang diminta oleh juruaudit, soalan pertama akan menjadi: Siapa yang mempunyai akses kepada data dan bagaimana mereka mendapatkan akses itu? Bolehkah anda membuktikan bahawa orang yang betul mengakses data dan orang yang salah tidak? Bolehkah anda juga membuktikan bahawa jejak audit itu sendiri adalah sesuatu yang saya boleh percaya sebagai sumber maklumat yang tidak berubah? Sekiranya saya memberi anda jejak audit yang dibuat, saya tidak begitu baik sebagai seorang juruaudit untuk menamatkan audit anda jika maklumat itu dibuat. Kita memerlukan bukti itu, biasanya dari perspektif pengauditan.
Melalui soalan-soalan itu, jenis yang lebih terperinci. Cabaran dengan soalan pertama adalah, anda perlu tahu, seperti yang saya katakan, di mana data sensitif itu adalah untuk melaporkan siapa yang mengaksesnya. Itu biasanya beberapa jenis penemuan dan benar-benar anda mempunyai beribu-ribu aplikasi yang berbeza di luar sana, anda mempunyai banyak keperluan kawal selia yang berbeza. Dalam kebanyakan kes, anda mahu bekerja dengan pegawai pematuhan anda jika anda mempunyai satu, atau sekurang-kurangnya seseorang yang akan mempunyai beberapa pandangan tambahan dari segi benar di mana data sensitif saya berada dalam permohonan. Kami mempunyai alat yang kami ada, itu alat percuma, ia dipanggil Carian Kolar SQL. Kami memberitahu para pelanggan dan pengguna kami yang berminat dalam soalan itu, mereka boleh memuat turunnya. Apa yang akan dilakukan ialah ia akan mencari maklumat dalam pangkalan data yang mungkin akan menjadi sensitif.
Dan apabila anda melakukannya, anda juga perlu memahami bagaimana orang mengakses data tersebut. Dan itu, sekali lagi, akaun mana yang berada di dalam kumpulan Active Directory, yang pengguna pangkalan data terlibat, ada keahlian peranan yang berkaitan dengan ini. Dan ingatlah, tentu saja, bahawa semua perkara yang kita bicarakan perlu diluluskan oleh juruaudit, jadi jika anda berkata, "Inilah cara kami mengunci data, " maka juruaudit boleh datang kembali dan katakan, "Baiklah, anda melakukan kesalahan." Tetapi katakan bahawa mereka berkata, "Ya, itu kelihatan baik. Anda mengunci data secukupnya. "
Beralih kepada soalan seterusnya, yang akan menjadi, bolehkah anda membuktikan bahawa orang yang betul mengakses data itu? Dalam erti kata lain, anda boleh memberitahu mereka kawalan anda, ini adalah kawalan yang anda ikuti, tetapi malangnya juruaudit bukan individu yang benar-benar mempercayai. Mereka mahu bukti dan mereka mahu dapat melihatnya dalam jejak audit. Dan ini kembali kepada perkara penyebut biasa itu. Sama ada PCI, SOX, HIPAA, GLBA, Basel II, apa sahaja, kenyataannya, adalah jenis soalan yang sama akan diminta. Objek dengan maklumat sensitif, yang telah mengakses objek tersebut dalam bulan lalu? Itu harus memetakan kawalan saya dan saya sepatutnya dapat lulus audit saya dengan menunjukkan jenis laporan tersebut.
Dan apa yang telah kami lakukan adalah kami telah mengumpulkan kira-kira 25 laporan yang berlainan yang mengikut jenis-jenis kawasan yang sama seperti penyebut biasa. Jadi kami tidak mempunyai laporan untuk PCI atau untuk HIPAA atau SOX, kami mempunyai laporan bahawa, sekali lagi, mereka menentang penyebut biasa itu. Oleh itu, tidak semestinya perkara yang diperlukan untuk memenuhi keperluan peraturan anda, dalam kebanyakan kes anda akan dapat menjawab apa-apa soalan yang ditujukan kepada anda oleh juruaudit itu. Dan mereka akan memberitahu anda siapa, apa, bila dan di mana setiap transaksi. Anda tahu, pengguna, masa transaksi berlaku, pernyataan SQL itu sendiri, aplikasi yang diperolehnya, semua barangan yang baik, dan kemudian juga dapat mengautomasikan penyampaian maklumat ini kepada laporan.
Dan kemudian, sekali lagi, setelah anda melewatinya dan anda telah memberikannya kepada juruaudit, maka soalan berikutnya akan menjadi, membuktikannya. Dan apabila saya katakan membuktikannya, maksud saya membuktikan bahawa jejak audit itu sendiri adalah sesuatu yang boleh kita percayai. Dan cara yang kita lakukan dalam alat ini ialah kita mempunyai nilai hash dan nilai CRC yang mengikat langsung kepada peristiwa itu sendiri dalam jejak audit. Dan dengan itu idea itu adalah, jika seseorang keluar dan memadamkan rekod atau jika seseorang keluar dan membuang atau menambahkan sesuatu kepada jejak audit atau mengubah sesuatu dalam jejak audit itu sendiri, kita boleh membuktikan bahawa data itu, integriti data itu sendiri, telah dilanggar. Dan begitu 99.9 peratus masa jika anda mendapat pangkalan data jejak audit kami terkunci, anda tidak akan menghadapi masalah itu kerana ketika kami menjalankan pemeriksaan integriti itu, kami pada dasarnya membuktikan kepada juruaudit bahawa data itu sendiri tidak diubah dan dipadam atau ditambahkan sejak penulisan asal dari perkhidmatan pengurusan itu sendiri.
Jadi itu adalah gambaran umum mengenai jenis soalan biasa yang anda akan ditanya. Sekarang, alat yang kita harus menangani banyak ini dipanggil Pengurus Kepatuhan SQL dan ia melakukan semua perkara dari segi menjejaki transaksi, siapa, apa, kapan, dan mana urus niaga, dapat melakukannya dalam bilangan kawasan yang berbeza juga. Log masuk, log masuk gagal, perubahan skema, akses data yang jelas, pilih aktiviti, semua perkara yang berlaku dalam enjin pangkalan data. Dan kami juga dapat memberi amaran kepada pengguna tentang keadaan tertentu, sangat berbutir, jika perlu. Sebagai contoh, seseorang akan keluar dan sebenarnya melihat jadual yang mengandungi semua nombor kad kredit saya. Mereka tidak menukar data, mereka hanya melihatnya. Dalam keadaan itu saya boleh memberi amaran dan saya boleh membiarkan orang tahu bahawa itu berlaku, tidak enam jam kemudian apabila kita mengikis kayu balak tetapi dalam masa nyata. Pada dasarnya, selagi diperlukan untuk memproses transaksi tersebut melalui perkhidmatan pengurusan.
Seperti yang saya nyatakan sebelum ini, kita telah melihat ini digunakan dalam pelbagai keperluan pengawalseliaan yang berbeza dan tidak benar - anda tahu, apa-apa keperluan kawal selia, sekali lagi, selagi penyebut biasa, anda mempunyai data sensitif dalam SQL Server pangkalan data, ini adalah alat yang akan membantu dalam keadaan seperti itu. Kepada 25 laporan yang dibina, kini realiti adalah bahawa kita boleh membuat alat ini baik untuk juruaudit dan menjawab setiap soalan yang mereka tanya, tetapi DBA adalah orang-orang yang perlu membuatnya berfungsi. Jadi ada juga pemikiran, anda tahu dengan baik, dari perspektif penyelenggaraan kita perlu memastikan bahawa SQL bekerja dengan cara yang kita mahu. Kami juga harus dapat masuk dan melihat perkara-perkara yang akan dapat keluar dan melihat maklumat lain, anda tahu, sejauh pengarkiban data, automasi itu dan overhead sendiri produk itu. Ini adalah perkara-perkara yang kita dengan jelas mengambil kira.
Yang membawa seni bina itu sendiri. Jadi di sebelah kanan skrin kami mendapat contoh SQL yang kami uruskan, semuanya dari tahun 2000 hingga 2014, bersiap untuk melepaskan versi untuk 2016. Takeaway terbesar di skrin ini ialah pengurusan pelayan itu sendiri melakukan semua pengangkat berat. Kami hanya mengumpul data, menggunakan API jejak, dibina dengan SQL Server. Maklumat itu mengalir ke pelayan pengurusan kami. Pelayan pengurusan itu sendiri mengenalpasti dan jika terdapat sebarang peristiwa yang terikat dengan sebarang jenis urus niaga yang kami tidak mahu, menghantar amaran, dan jenis perkara itu, dan kemudian mengisi data dalam repositori. Dari situ kita boleh menjalankan laporan, kita akan dapat keluar dan benar-benar melihat maklumat itu dalam laporan atau bahkan dalam konsol permohonan itu.
Jadi apa yang saya akan lakukan dan lakukan adalah saya akan membawa kita melalui, dengan cepat, dan saya hanya mahu menunjukkan satu perkara yang cepat sebelum kita melompat ke dalam produk itu, ada pautan di laman web sekarang, atau pada persembahan, itu akan membawa anda ke alat percuma yang saya sebutkan tadi. Alat percuma itu, seperti yang saya katakan, akan keluar dan melihat pangkalan data dan cuba mencari kawasan yang kelihatan seperti data sensitif, nombor keselamatan sosial, nombor kad kredit, berdasarkan nama-nama kolom atau jadual, atau berdasarkan cara format data kelihatan, dan anda boleh menyesuaikannya juga, jadi hanya untuk menunjukkan hal itu.
Sekarang, dalam kes kami, izinkan saya pergi ke depan dan berkongsi skrin saya, beri saya satu saat di sini. Baiklah, dan apa yang saya mahu membawa anda ke peringkat pertama adalah saya mahu membawa anda ke aplikasi Pengurus Kepatuhan sendiri dan saya akan melalui ini dengan cepat. Tetapi ini adalah aplikasi dan anda boleh melihat saya mempunyai beberapa pangkalan data di sini dan saya hanya akan menunjukkan kepada anda betapa mudahnya untuk masuk dan memberitahu apa yang anda cari untuk audit. Dari sudut pandangan perubahan skema, perubahan keselamatan, aktiviti pentadbiran, DML, Pilih, kami mempunyai semua pilihan yang tersedia untuk kami, kami juga boleh menapis ke bawah. Ini kembali kepada amalan terbaik untuk dapat berkata, "Saya hanya memerlukan jadual ini kerana ia mengandungi nombor kad kredit saya. Saya tidak memerlukan jadual lain yang mempunyai maklumat produk, semua perkara lain yang tidak berkaitan dengan tahap pematuhan yang saya cuba jumpa. "
Kami juga mempunyai keupayaan untuk menangkap data dan menunjukkannya dari segi nilai-nilai bidang yang berubah. Dalam banyak alat, anda akan mempunyai sesuatu yang akan memberi anda keupayaan untuk menangkap pernyataan SQL, menunjukkan pengguna, tunjukkan permohonan, masa dan tarikh, semua barangan yang baik itu. Tetapi dalam beberapa kes pernyataan SQL itu sendiri tidak akan memberi anda maklumat yang cukup untuk dapat memberitahu anda apa nilai medan sebelum perubahan berlaku serta nilai medan selepas perubahan berlaku. Dan dalam beberapa situasi, anda memerlukannya. Saya mungkin mahu mengesan, sebagai contoh, maklumat dos doktor untuk ubat preskripsi. Ia pergi dari 50mg ke 80mg hingga 120mg, saya akan dapat mengesan yang menggunakan sebelum dan selepas.
Lajur sensitif adalah satu lagi perkara yang kami jalankan, contohnya, dengan pematuhan PCI. Dalam keadaan di sini, anda mempunyai data yang sangat sensitif dengan hanya melihat maklumat itu, saya tidak perlu mengubahnya, memadamkan atau menambahkannya, saya boleh menyebabkan kemudaratan yang tidak boleh diperbaiki. Nombor kad kredit, nombor keselamatan sosial, semua jenis barangan yang baik yang kami dapat mengenal pasti lajur yang sensitif dan memberi isyarat kepadanya. Sekiranya sesiapa sahaja keluar dan melihat maklumat itu, kami akan dapat, dengan jelas, memberi amaran dan menghantar e-mel atau menjana perangkap SNMP dan jenis perkara tersebut.
Sekarang dalam beberapa kes, anda akan menghadapi situasi di mana anda mungkin terkecuali. Dan apa yang saya maksudkan oleh itu, anda mempunyai situasi di mana anda mempunyai pengguna yang mempunyai akaun pengguna yang mungkin terikat kepada beberapa jenis pekerjaan ETL yang berjalan pada pertengahan malam. Ini adalah proses yang didokumenkan dan saya hanya tidak perlu memasukkan maklumat transaksinya untuk akaun pengguna itu. Dalam hal ini kita akan mempunyai pengguna yang dipercayai. Dan kemudian dalam situasi lain, kami akan menggunakan ciri Pengawal Pengguna Keistimewaan yang pada asasnya, jika saya punya, katakan contohnya, aplikasi, dan aplikasi itu sudah melakukan pengauditan, pengguna yang sedang melalui aplikasi, itu hebat, saya sudah mempunyai sesuatu untuk rujukan dari segi audit saya. Tetapi untuk perkara-perkara yang terikat, sebagai contoh, pengguna istimewa saya, orang yang boleh masuk ke studio pengurusan SQL Server untuk melihat data dalam pangkalan data, itu tidak akan memotongnya. Dan ini adalah di mana kita boleh menentukan siapa pengguna istimewa kami, sama ada melalui Keahlian Peranan, atau melalui akaun Active Directory mereka, kumpulan, akaun SQL mereka yang disahkan, di mana kami akan dapat memilih semua jenis pilihan dan maka dari sana pastikan bahawa bagi pengguna istimewa kami dapat menentukan jenis transaksi yang kami berminat dalam pengauditan.
Ini adalah semua jenis pilihan yang berbeza yang anda miliki dan saya tidak akan pergi melalui semua jenis jenis perkara yang berbeza berdasarkan kekangan masa di sini untuk pembentangan ini. Tetapi saya ingin menunjukkan kepada anda bagaimana kami dapat melihat data dan saya fikir anda akan suka bagaimana ini berfungsi kerana terdapat dua cara yang boleh kami lakukan. Saya boleh melakukannya secara interaktif dan begitu apabila kita bercakap dengan orang yang berminat dengan alat ini mungkin kawalan dalaman mereka sendiri, mereka hanya ingin tahu apa yang berlaku dalam banyak kes. Mereka tidak semestinya mempunyai juruaudit yang datang di laman web. Mereka hanya ingin tahu, "Hei, saya mahu pergi selepas jadual ini dan melihat siapa yang menyentuhnya pada minggu terakhir atau bulan lepas atau apa sahaja yang mungkin." Dalam kes ini, anda dapat melihat seberapa cepat kita dapat melakukannya.
Dalam kes pangkalan data penjagaan kesihatan, saya mendapat jadual yang dipanggil Rekod Pesakit. Dan jadual itu, jika saya hanya sekadar mengikut objek, ia dapat dengan cepat mula menyempit di mana kita cari. Mungkin saya mahu mengikut kategori dan kemudian mungkin melalui acara. Dan apabila saya berbuat demikian, anda dapat melihat betapa cepat itu muncul, dan terdapat jadual Rekod Pesakit saya di sana. Dan ketika saya berlatih, kita dapat melihat aktiviti DML, kita dapat melihat bahawa kita mempunyai seribu sisipan DML, dan ketika kita membuka salah satu transaksi ini, kita dapat melihat informasi yang relevan. Yang, apa, kapan, di mana urus niaga, pernyataan SQL, jelas, permohonan sebenar digunakan untuk melakukan transaksi, akaun, masa dan tarikh.
Sekarang jika anda melihat tab seterusnya di sini, tab Butiran, ini akan kembali kepada soalan ketiga yang kita sedang bicarakan, membuktikan bahawa integriti data tidak dilanggar. Jadi pada dasarnya setiap peristiwa, kita mempunyai perhitungan rahsia untuk nilai hash kami, dan ini kemudian akan mengikat kembali apabila kita melakukan pemeriksaan integriti kita. Sebagai contoh, jika saya pergi ke alat itu, pergi ke menu pengauditan, dan saya keluar dan berkata, mari kita semak integriti repositori, saya boleh menunjukkan pangkalan data di mana jejak audit itu, ia akan berjalan melalui semakan integriti yang dipadankan dengan nilai hash dan nilai CRC kepada peristiwa sebenar dan ia akan memberitahu kami bahawa tidak ada masalah yang dijumpai. Dengan kata lain, data dalam jejak audit tidak diganggu kerana ia pada asalnya ditulis oleh perkhidmatan pengurusan. Ini jelas satu cara untuk berinteraksi dengan data. Cara lain adalah melalui laporan sendiri. Dan saya hanya akan memberikan anda satu contoh cepat laporan.
Dan sekali lagi, laporan-laporan ini, cara kami datang dengan mereka, tidak khusus untuk apa-apa jenis standard seperti PCI, HIPAA, SOX atau apa-apa seperti itu. Sekali lagi, itu penyebut biasa mengenai apa yang kita lakukan, dan dalam kes ini, jika kita kembali kepada contoh rekod pesakit itu, kita akan dapat keluar dan berkata, dalam kes kita di sini, kita sedang mencari di pangkalan data penjagaan kesihatan dan dalam kes kami, kami ingin memberi tumpuan khusus pada jadual yang kami tahu mengandungi maklumat peribadi, dalam kes kami, yang berkaitan dengan pesakit kami. Jadi, mari saya lihat jika saya boleh menaipnya di sini, dan kami akan meneruskan dan menjalankan laporan itu. Dan kita akan melihatnya, dengan jelas, dari sana semua data berkaitan yang berkaitan dengan objek itu. Dan dalam kes kita, ia menunjukkan kita untuk tempoh masa sebulan. Tetapi kita boleh kembali enam bulan, setahun, walau lama kita menyimpan data itu.
Mereka adalah jenis cara anda boleh membuktikan, jika anda akan, kepada juruaudit bahawa anda mengikuti kawalan anda. Sebaik sahaja anda mengenal pasti itu, maka jelaslah itu satu perkara yang baik dari segi lulus audit anda dan dapat menunjukkan bahawa anda mengikuti kawalan dan kerja semuanya.
Perkara terakhir untuk bercakap mengenai perkara yang saya ingin tunjukkan adalah dalam bahagian pentadbiran. Terdapat juga kawalan dari sudut pandangan dalam alat ini sendiri yang dapat menetapkan kawalan untuk memastikan bahawa jika seseorang melakukan sesuatu yang mereka tidak sepatutnya lakukan itu, saya boleh dimaklumkan mengenainya. Dan saya akan memberikan beberapa contoh di sana. Saya mempunyai akaun login yang terikat dengan perkhidmatan dan perkhidmatan itu memerlukan kebenaran yang tinggi untuk melakukan apa yang dilakukannya. Apa yang saya tidak mahu adalah seseorang yang masuk dan menggunakan akaun itu dalam Pengurusan Studio dan kemudian, anda tahu, menggunakannya untuk perkara yang tidak dimaksudkan. Kami akan mempunyai dua kriteria di sini yang boleh kami gunakan. Saya boleh berkata, "Lihat, kami benar-benar berminat dengan kerja ini, katakan, dengan aplikasi PeopleSoft kami, " sebagai contoh, okay?
Sekarang bahawa saya telah melakukan itu, apa yang saya katakan di sini adalah, saya ingin tahu apa-apa log masuk yang terikat pada akaun saya bersiap sedia untuk menentukan, jika aplikasi yang digunakan untuk log masuk dengan akaun ini bukan PeopleSoft, maka itu akan menjadi kenaikan untuk penggera. Dan jelasnya kami harus menentukan nama akaun itu sendiri, jadi dalam kes kami, mari kita sebut Akaun Priv ini, untuk hakikat bahawa ia istimewa. Sekarang setelah kita melakukan itu, apabila kita melakukan ini di sini, sekarang kita akan dapat menentukan apa yang kita mahu berlaku apabila berlaku dan untuk setiap jenis peristiwa atau, saya harus mengatakan, berjaga-jaga, anda boleh mempunyai pemberitahuan berasingan kepada orang yang bertanggungjawab untuk sekeping data tertentu itu.
Sebagai contoh, jika maklumat gaji itu mungkin pergi ke pengarah HR saya. Dalam kes ini, berurusan dengan aplikasi PeopleSoft, ia akan menjadi pentadbir aplikasi itu. Apa pun keadaannya. Saya akan dapat memasukkan alamat e-mel saya, menyesuaikan mesej amaran sebenar dan semua perkara yang baik. Sekali lagi, ini semua kembali untuk dapat memastikan bahawa anda dapat menunjukkan bahawa anda mengikuti kawalan anda dan bahawa kawalan tersebut berfungsi dengan cara yang dimaksudkan. Dari perspektif terakhir di sini, hanya dari segi penyelenggaraan, kami mempunyai keupayaan untuk mengambil data ini dan meletakkannya di luar talian. Saya boleh mengarkibkan data dan saya boleh menjadualkannya dan kami akan dapat melakukan perkara-perkara ini dengan mudah kerana anda benar-benar dapat, seperti DBA, yang menggunakan alat ini, menetapkan dan jenis Berjalan jauh dari situ Tidak banyak tangan memegang yang akan berlaku apabila anda telah menetapkan cara yang sepatutnya. Seperti yang saya katakan, bahagian yang paling sukar mengenai mana-mana ini, saya fikir, tidak menubuhkan apa yang anda mahu audit, ia tahu apa yang anda mahu buat untuk audit.
Dan seperti yang saya katakan, sifat binatang itu dengan pengauditan, anda perlu menyimpan data selama tujuh tahun, jadi hanya masuk akal untuk fokus di kawasan-kawasan yang bersifat sensitif. Tetapi jika anda ingin pergi pendekatan mengumpul segala-galanya, anda benar-benar boleh, ia hanya dianggap sebagai amalan terbaik. Jadi dari pandangan itu saya hanya ingin mengingatkan orang bahawa jika ini adalah sesuatu yang menarik, anda boleh pergi ke laman web di IDERA.com dan memuat turun percubaan ini dan bermain-main dengannya sendiri. Dari segi alat percuma yang kami bicarakan tadi, itu, ianya percuma, anda boleh memuat turun dan menggunakannya selama-lamanya, tanpa mengira sama ada anda menggunakan produk Pengurus Kepatuhan. Dan perkara yang keren tentang alat carian lajur ini ialah penemuan kami yang anda temukan, dan saya dapat benar-benar menunjukkan bahawa, saya fikir, anda akan dapat mengeksport data itu dan kemudian dapat mengimportnya ke Pengurus Pematuhan juga. Saya tidak melihatnya, saya tahu ia ada di sini, di sana. Ini hanya contohnya. Di sinilah ia mencari data sensitif yang berkaitan.
Sekarang kes ini saya telah pergi dan saya benar-benar, saya sedang melihat pada segala-galanya, tetapi anda mempunyai hanya satu tan barangan yang kita boleh periksa. Nombor kad kredit, alamat, nama, semua jenis barangan itu. Dan kami akan mengenal pasti di mana ia berada dalam pangkalan data dan kemudian dari situ anda boleh membuat keputusan sama ada anda benar-benar mahu mengaudit maklumat itu atau tidak. Tetapi ini pasti cara untuk menjadikannya lebih mudah bagi anda untuk menentukan skop pengauditan anda apabila anda melihat alat seperti ini.
Saya hanya akan pergi dan tutup dengan itu, dan saya akan teruskan dan lulus kembali kepada Eric.
Eric Kavanagh: Itu persembahan hebat. Saya suka cara anda benar-benar masuk ke dalam butir-butir hebat di sana dan menunjukkan kepada kami apa yang sedang berlaku. Kerana pada akhir hari terdapat beberapa sistem yang akan mengakses beberapa rekod, itu akan memberi anda laporan, yang akan membawa anda untuk memberitahu cerita anda, sama ada itu kepada pengatur atau juruaudit atau seseorang di dalam pasukan anda, jadi baiklah anda tahu anda bersedia jika dan bila, atau bila dan ketika, orang itu mengetuk, dan tentu saja keadaan yang tidak menyenangkan yang anda cuba elakkan. Tetapi jika ia berlaku, dan mungkin akan berlaku pada hari-hari ini, anda ingin memastikan anda mempunyai titik I kami dan T anda menyeberang.
Ada soalan yang baik dari seorang ahli penonton yang saya ingin membuang untuk pertama kalinya, Bullett, dan kemudian jika mungkin penyampai mahu mengulas mengenainya, berasa bebas. Dan kemudian mungkin Dez bertanya dan Robin. Jadi persoalannya, adakah wajar untuk mengatakan bahawa untuk melakukan semua perkara yang anda telah katakan, anda perlu memulakan usaha klasifikasi data di peringkat rendah? Anda perlu mengetahui data anda apabila ia muncul sebagai aset berpotensi yang berharga dan melakukan sesuatu mengenainya. Saya fikir anda akan bersetuju, Bullett, bukan?
Bullett Manale: Ya, betul. Maksud saya, anda perlu tahu data anda. Dan saya menyedari, saya menyedari bahawa terdapat banyak aplikasi yang ada di sana dan terdapat banyak perkara yang berbeza yang telah mendapat bahagian yang bergerak di organisasi anda. Alat carian lajur sangat membantu dari segi langkah ke arah pemahaman data yang lebih baik. Tetapi ya, ia sangat penting. Maksud saya, anda mempunyai pilihan untuk melakukan pendekatan firehose dan mengaudit segala-galanya, tetapi ia hanya lebih mencabar dengan logistik apabila anda bercakap tentang menyimpan data dan melaporkan data tersebut. Dan kemudian anda masih perlu mengetahui di mana data itu adalah kerana apabila anda menjalankan laporan anda, anda perlu menunjukkan kepada juruaudit bahawa maklumat itu juga. Jadi saya fikir, seperti yang saya katakan, cabaran terbesar apabila saya bercakap dengan pentadbir pangkalan data adalah mengetahui, ya.
Eric Kavanagh: Ya, tapi mungkin Robin akan membawa anda dengan cepat. Nampaknya peraturan 80/20 berlaku di sini, kan? Anda mungkin tidak akan mencari setiap sistem rekod yang penting jika anda berada di beberapa pertengahan atau organisasi besar, tetapi jika anda memberi tumpuan - seperti Bullett mencadangkan di sini - PeopleSoft sebagai contoh, atau sistem rekod lain yang utama di perusahaan, di sinilah anda memfokuskan 80 peratus usaha anda dan kemudian 20 peratus adalah pada sistem lain yang mungkin di luar sana, bukan?
Robin Bloor: Nah, saya pasti, ya. Maksud saya, anda tahu, saya fikir masalah dengan teknologi ini, dan saya fikir ia mungkin bernilai mendapat ulasan mengenainya, tetapi masalah dengan teknologi ini, bagaimanakah anda melaksanakannya? Maksud saya, ada kekurangan pengetahuan, katakan, dalam kebanyakan organisasi mengenai bilangan pangkalan data yang ada di sana. Anda tahu, ada banyak kekurangan inventori, katakanlah. Anda tahu, persoalannya ialah, kita bayangkan bahawa kita bermula dalam keadaan di mana tidak ada pematuhan yang diuruskan dengan baik, bagaimana anda menggunakan teknologi ini dan menyuntikkannya ke alam sekitar, bukan sahaja, anda tahu, teknologi syarat, menetapkan perkara, tetapi seperti siapa yang menguruskannya, yang menentukan apa? Bagaimanakah anda mula mengusik ini ke dalam perkara yang tulen, melakukan tugasnya?
Bullett Manale: Maksud saya, itu soalan yang baik. Cabaran dalam banyak kes ialah, saya maksudkan, anda perlu mula mula bertanya soalan pada mulanya. Saya telah menjalankan banyak syarikat di mana mereka, anda tahu, mungkin mereka adalah syarikat swasta dan mereka memperoleh, ada permulaan, jenis, pertama, jenis, bonggol jalan, jika anda mahu memanggilnya. Sebagai contoh, jika saya baru sahaja menjadi syarikat awam kerana pembelian saya perlu kembali dan mungkin memikirkan beberapa perkara.
Dan dalam sesetengah kes kita bercakap dengan organisasi yang, anda tahu, walaupun mereka swasta mereka mematuhi peraturan pematuhan SOX, semata-mata kerana sekiranya mereka mahu memperolehi, mereka tahu mereka harus mematuhi. Anda pasti tidak mahu mengambil pendekatan adil, "Saya tidak perlu bimbang tentang hal ini sekarang." Apa-apa jenis pematuhan kawal selia seperti PCI atau SOX atau apa sahaja, anda mahu membuat pelaburan melakukan penyelidikan atau pemahaman mengenai maklumat sensitif itu, jika tidak, anda mungkin mendapati diri anda berurusan dengan beberapa denda penting dan besar. Dan lebih baik sekadar untuk melabur masa itu, anda tahu, mencari data itu dan dapat melaporkannya dan menunjukkan kawalan berfungsi.
Ya, dari segi menetapkannya, seperti yang saya katakan, perkara pertama yang saya cadangkan kepada orang yang bersiap-siap menghadapi audit, adalah untuk keluar dan melakukan pemeriksaan sepintas dalam pangkalan data, dan memikirkan, anda tahu, dalam usaha terbaik mereka, cuba mencari tahu di mana data sensitif itu. Dan pendekatan yang lain akan bermula dengan mungkin net yang lebih besar dari segi skop pengauditan, dan kemudian perlahan-lahan menghalang jalan anda apabila anda, semacam, mengetahui di mana kawasan-kawasan di dalam sistem itu adalah yang berkaitan dengan maklumat sensitif. Tetapi saya harap saya dapat memberitahu anda ada jawapan yang mudah untuk soalan itu. Ia mungkin mungkin berbeza sedikit dari satu organisasi ke yang lain dan jenis pematuhan dan benar-benar bagaimana, anda tahu, berapa banyak struktur yang mereka ada dalam aplikasi mereka dan berapa banyak yang ada, aplikasi yang pelbagai yang mereka ada, sesetengah boleh menjadi aplikasi bertulis tersuai, jadi ia benar-benar akan bergantung kepada keadaan dalam banyak kes.
Eric Kavanagh: Pergi ke hadapan, Dez, saya pasti anda mempunyai soalan atau dua.
Dez Blanchfield: Saya berminat untuk mendapatkan sedikit pandangan tentang pemerhatian anda tentang kesan kepada organisasi dari sudut pandangan orang, sebenarnya. Saya fikir salah satu bidang di mana saya melihat nilai terbaik untuk penyelesaian khusus ini ialah apabila orang bangun pada waktu pagi dan pergi bekerja di pelbagai peringkat organisasi, mereka bangun dengan satu siri, atau rantai, tanggungjawab bahawa mereka harus berurusan dengannya. Dan saya berminat untuk mendapatkan sedikit pemahaman tentang apa yang anda lihat di sana dengan dan tanpa jenis alat yang anda bicarakan. Dan konteks yang saya bicarakan di sini adalah dari pengerusi peringkat lembaga kepada Ketua Pegawai Eksekutif dan CIO dan C-suite. Dan kini kami mempunyai ketua pegawai risiko, yang berfikir lebih lanjut mengenai jenis perkara yang kita sedang bicarakan di sini dalam pematuhan dan tadbir urus, dan kemudian kami kini mempunyai ketua peranan baru, ketua pegawai data, yang, anda tahu, lebih peduli lagi.
Dan di sisi masing-masing, di sekitar CIO, kami mempunyai pengurus IT di satu pihak dengan, semacam anda tahu, petunjuk teknikal dan petunjuk pangkalan data. Dan di ruang operasi kita mempunyai pengurus pembangunan dan pembangunan dan kemudian perkembangan individu, dan mereka juga kembali ke lapisan pentadbiran pangkalan data. Apa yang anda lihat di sekitar reaksi setiap bahagian perniagaan yang berlainan ini kepada cabaran pematuhan dan pelaporan peraturan dan pendekatannya? Adakah anda melihat bahawa orang akan datang dengan ini dengan semangat dan dapat melihat manfaatnya, atau adakah anda melihat bahawa mereka enggan menyeret kaki mereka kepada perkara ini dan hanya, anda tahu, melakukannya untuk tanda di dalam kotak? Dan apakah jenis respons yang anda lihat apabila mereka melihat perisian anda?
Bullett Manale: Ya, itu soalan yang baik. Saya akan mengatakan bahawa produk ini, jualan produk ini, kebanyakannya didorong oleh seseorang yang berada di tempat duduk panas, jika itu masuk akal. Dalam kebanyakan kes itu DBA, dan dari perspektif kami, dalam erti kata lain, mereka tahu bahawa terdapat audit yang akan datang dan mereka akan bertanggungjawab, kerana mereka adalah DBA, dapat memberikan maklumat yang akan dijalankan oleh juruaudit tanya. Mereka boleh melakukannya dengan menulis laporan mereka sendiri dan mencipta jejak tersuai mereka sendiri dan semua jenis perkara itu. Kenyataannya adalah, mereka tidak mahu berbuat demikian. Dalam kebanyakan kes, DBAs tidak benar-benar berharap untuk mempunyai perbualan dengan juruaudit untuk dimulakan. Anda tahu, saya lebih suka memberitahu anda bahawa kami boleh menghubungi sebuah syarikat dan berkata, "Hei ini alat yang hebat dan anda akan menyukainya, " dan menunjukkan kepada mereka semua ciri dan mereka akan membelinya.
Realitinya ialah mereka biasanya tidak akan melihat alat ini melainkan mereka sebenarnya akan menghadapi audit atau sisi lain duit syiling itu ialah mereka telah melakukan audit dan gagal dengan teruk dan sekarang mereka diberitahu untuk mendapatkan bantuan atau mereka akan dikenakan denda. Saya akan mengatakan bahawa dari segi, anda tahu, umum secara umum, apabila anda menunjukkan produk ini kepada orang-orang mereka pasti melihat nilai itu kerana ia menjimatkan mereka tan waktu dari segi untuk memikirkan apa yang mereka mahu laporkan, jenis perkara itu. Semua laporan itu telah dibina, mekanisme peringatan sedang dilaksanakan, dan dengan persoalan ketiga juga, dalam banyak kes, boleh menjadi satu cabaran. Kerana saya dapat menunjukkan laporan sepanjang hari tetapi melainkan jika anda dapat membuktikan kepada saya laporan tersebut benar-benar sah, anda tahu, itu adalah cadangan yang lebih sukar untuk saya sebagai DBA untuk dapat menunjukkannya. Tetapi kami telah mencipta teknologi dan teknik hashing dan semua jenis perkara yang dapat membantu memastikan data dalam integriti laluan audit sedang disimpan.
Dan itu adalah perkara-perkara yang, mereka adalah pemerhatian saya dari segi kebanyakan orang yang kita bercakap. Anda tahu, sudah pasti, dalam organisasi yang berbeza, anda tahu seperti, anda akan mendengar tentang, anda tahu seperti, Target, sebagai contoh, mempunyai pelanggaran data dan, anda tahu, maksud saya, apabila organisasi lain mendengar tentang denda dan orang-orang jenis perkara yang bermula, ia menimbulkan alis, jadi, semoga yang menjawab soalan itu.
Dez Blanchfield: Ya, pasti. Saya boleh bayangkan beberapa DBA apabila mereka akhirnya melihat apa yang boleh dilakukan dengan alat itu hanya menyedari bahawa mereka telah mendapat malam dan hujung minggu mereka juga. Pengurangan masa dan kos dan perkara lain yang saya lihat apabila alat yang sesuai digunakan untuk masalah ini, dan itu adalah, tiga minggu saya duduk dengan bank di sini di Australia. Mereka bank global, tiga bank teratas, mereka besar-besaran. Dan mereka mempunyai projek di mana mereka harus melaporkan kepatuhan pengurusan kekayaan mereka dan khususnya risiko, dan mereka melihat kerja selama 60 minggu untuk beberapa ratus manusia. Dan apabila mereka diperlihatkan sejenis alat seperti diri anda yang hanya dapat mengautomasikan proses itu, rasa ini, melihat wajah mereka apabila mereka sedar mereka tidak perlu menghabiskan beberapa minggu X dengan beratus-ratus orang yang melakukan proses manual adalah jenis seperti mereka mendapati Tuhan. Tetapi perkara yang mencabar itu adalah bagaimana sebenarnya meletakkannya ke dalam rancangan, seperti yang ditunjukkan Dr Robin Bloor, anda tahu, ini adalah sesuatu yang menjadi campuran perilaku, peralihan budaya. Di peringkat yang anda hadapi, siapa yang berurusan dengannya secara langsung di peringkat aplikasi, apa jenis perubahan yang anda lihat apabila mereka mula menggunakan alat untuk melakukan jenis pelaporan dan pengauditan dan kawalan yang boleh anda tawarkan, seperti menentang apa yang mereka mungkin lakukan secara manual? Apakah yang kelihatan seperti ketika mereka benar-benar diamalkan?
Bullett Manale: Adakah anda bertanya, apakah perbezaan dari segi pengendalian ini secara manual versus menggunakan alat ini? Adakah itu soalan?
Dez Blanchfield: Baik, terutamanya kesan perniagaan. Sebagai contoh, jika kita cuba menyampaikan kepatuhan dalam proses manual, anda tahu, kita selalu mengambil masa yang lama dengan banyak manusia. Tetapi saya rasa, untuk meletakkan beberapa konteks di sekitar soalan, seperti yang anda tahu, adakah kita bercakap tentang seorang yang menjalankan alat ini menggantikan 50 orang berpotensi, dan mampu melakukan perkara yang sama dalam masa nyata atau dalam beberapa jam berbanding bulan? Adakah jenis itu, apa yang lazimnya berlaku?
Bullett Manale: Maksud saya, ia datang kepada beberapa perkara. Satu adalah mempunyai keupayaan untuk menjawab soalan-soalan itu. Sesetengah perkara itu tidak akan dilakukan dengan mudah. Jadi yeah, masa yang diperlukan untuk melakukan perkara-perkara di rumah, untuk menulis laporan anda sendiri, untuk menyediakan jejak atau peristiwa lanjutan untuk mengumpulkan data secara manual, boleh mengambil banyak masa. Sebenarnya, saya akan memberikan anda beberapa, maksud saya, ini tidak benar-benar berkaitan dengan pangkalan data secara umum tetapi seperti betul selepas Enron berlaku dan SOX menjadi berleluasa, saya berada di salah sebuah syarikat minyak yang lebih besar di Houston, dan kami menghitung, Saya fikir ia adalah seperti 25 peratus daripada kos perniagaan kami berkaitan dengan pematuhan SOX.
Sekarang itu betul-betul selepas itu dan itu adalah jenis langkah pertama awal di SOX tetapi perkara itu dengan, saya katakan, anda tahu, anda mendapat banyak manfaat dengan menggunakan alat ini dalam erti kata bahawa ia tidak memerlukan banyak orang untuk melakukan ini dan banyak jenis orang yang berbeza untuk melakukannya. Dan seperti yang saya katakan, DBA tidak biasanya orang yang benar-benar menanti untuk melakukan perbualan dengan juruaudit. Jadi, dalam banyak kes, kita akan melihat bahawa DBA boleh memuatkan ini dan dapat memberikan laporan yang disambungkan kepada juruaudit dan mereka boleh mengeluarkan diri sepenuhnya daripada persamaan dan bukannya harus terlibat. Jadi, anda tahu, itu simpanan yang besar juga dari segi sumber apabila anda boleh melakukannya.
Dez Blanchfield: Anda bercakap mengenai pengurangan kos secara besar-besaran, bukan? Organisasi-organisasi bukan sahaja mengeluarkan risiko dan overhead itu, tetapi saya maksudnya pada dasarnya anda bercakap tentang pengurangan yang ketara dalam kos, A) beroperasi dan juga B) dalam fakta bahawa, anda tahu, jika mereka benar- pelaporan pematuhan masa yang terdapat risiko berkurangan dengan ketara terhadap pelanggaran data atau denda atau kesan undang-undang kerana tidak mematuhi, kan?
Bullett Manale: Ya, betul. Maksud saya, kerana tidak mematuhi ada segala macam perkara buruk yang berlaku. Mereka boleh menggunakan alat ini dan ia akan menjadi hebat atau tidak dan mereka akan mengetahui betapa buruk itu. Jadi ya, bukan hanya alat yang jelas, anda boleh melakukan pemeriksaan dan segala-galanya tanpa alat seperti ini. Seperti yang saya katakan, ia akan mengambil lebih banyak masa dan kos.
Dez Blanchfield: Itu bagus. Jadi Eric, saya akan menyampaikannya kepada anda kerana saya fikir bahawa saya mengambilnya adalah, anda tahu, jenis pasaran yang hebat. Tetapi, pada asasnya, benda itu bernilai beratnya dalam emas atas dasar yang dapat mengelakkan impak komersil sesuatu isu yang berlaku atau dapat mengurangkan masa yang diperlukan untuk melaporkan dan mengurus pematuhan hanya menjadikannya, anda tahu, alat membayar dengan segera oleh bunyi perkara.
Eric Kavanagh: Betul betul. Well, terima kasih banyak untuk masa anda hari ini, Bullett. Terima kasih kepada anda semua di luar sana untuk masa dan perhatian anda, dan Robin dan Dez. Satu lagi persembahan hebat hari ini. Terima kasih kepada rakan-rakan kami di IDERA kerana membiarkan kami membawa anda kandungan ini secara percuma. Kami akan mengarkibkan siaran web ini untuk tontonan kemudian. Arkib biasanya dalam masa kira-kira satu hari. Dan marilah kita tahu apa yang anda fikirkan tentang laman web baru kami, insideanalysis.com. Reka bentuk baru, rupa dan rasa yang baru. Kami ingin mendengar maklum balas anda dan dengan itu saya akan membida anda perpisahan, orang-orang. Anda boleh menghantar e-mel kepada saya. Jika tidak, kami akan mengejar anda minggu depan. Kami mempunyai tujuh webcast dalam tempoh lima minggu akan datang atau sesuatu seperti itu. Kami akan sibuk. Dan kami akan berada di Persidangan Strata dan Sidang Kemuncak Analis IBM di New York akhir bulan ini. Jadi, jika anda berada di sana, berhentilah dan ucapkan halo. Berhati-hati, orang ramai. Selamat tinggal.
