Osoblje Techopedia, 14. rujna 2016
Odlazak: Domaćin Eric Kavanagh razmatra reviziju baze podataka i usklađenost s analitičarima Robin Bloor i Dez Blanchfield kao i Bullett Manale iz IDERA-e u ovoj epizodi Hot Technologies.
Trenutno niste prijavljeni. Prijavite se ili prijavite da biste pogledali videozapis.
Eric Kavanagh: Dame i gospodo, zdravo i dobrodošli natrag u Hot Technologies! Da, zaista 2016. U trećoj smo godini ovog showa, vrlo uzbudljive stvari. Ove godine smo se ljuljali i kotrljali. Ovo je Eric Kavanagh, tvoj domaćin. Danas tema - to je sjajna tema, ima puno primjena u raznim industrijama, iskreno - "Tko, što, gdje i kako: zašto želite znati." Da, stvarno, razgovarat ćemo o svim tim zabavnim stvarima. Postoji slajd o vašem uistinu, stavite me na Twitter @eric_kavanagh. Nastojim ponovno cvrkutati sve navode i ponovno tvitati sve što mi netko pošalje. Inače neka tako bude.
Vruće je, da doista! Cijeli je show ovdje osmišljen kako bi pomogao organizacijama i pojedincima da razumiju određene vrste tehnologije. Ovdje smo osmislili cijeli program Hot Hot Technologies kao način definiranja određene vrste softvera ili određenog trenda ili određene tehnologije. Razlog je taj što, iskreno, u softverskom svijetu često ćete dobiti ove marketinške pojmove koji vam se naprežu, a ponekad mogu iskreno gaditi pojmove koje su namjeravali opisati.
U ovoj emisiji stvarno vam želimo pomoći da shvatite što je određena vrsta tehnologije, kako ona funkcionira, kada je možete koristiti, kada možda ne biste trebali koristiti i dati vam što više detalja. Danas ćemo imati tri predavača: naš vlastiti Robin Bloor, glavni analitičar iz Bloor Grupe; naš znanstvenik za podatke koji dolazi iz Sydneya u Australiji s druge strane planeta, Dez Blanchfield, i jedan od naših najdražih gostiju Bullett Manale, direktor prodaje inženjeringa iz IDERA.
Samo ću reći nekoliko stvari ovdje, razumijevajući tko radi što s kojim dijelom podataka, to je nekako poput upravljanja, zar ne? Ako razmišljate o svim propisima u industriji, poput zdravstvene zaštite i financijskih usluga, na tim domenima, te su stvari nevjerojatno važne. Morate znati tko je dotaknuo informaciju, tko nešto promijenio, tko pristupio njemu, tko ih prenio, na primjer. Što je podrijetlo, u čemu je providnost tih podataka? Možete biti sigurni da će sva ova pitanja zbog raznih razloga ostati istaknuta u godinama koje dolaze. Ne samo radi usklađenosti, premda HIPAA, i Sarbanes-Oxley, i Dodd-Frank, i svi su ti propisi vrlo važni, ali i samo zato da u vašem poslu shvatite tko radi što, gdje, kada, zašto i kako. Ovo su dobre stvari, obratit ćemo pozornost.
Samo naprijed, uzmi je, Robin Bloor.
Robin Bloor: Dobro, hvala na uvodu, Eric. Mislim, ovo područje upravljanja je, mislim, upravljanje IT-om nije riječ koju ste čuli tek nakon 2000. To je nastalo prvenstveno zato što se, u svakom slučaju, dogodilo prije svega zato što se primjenjuje zakonodavstvo o usklađivanju. Posebno HIPAA i Sarbanes-Oxley. Zapravo je puno toga. Stoga su organizacije shvatile da moraju imati skup pravila i skup postupaka, jer je prema zakonu to bilo potrebno. Mnogo prije toga, posebno u bankarskom sektoru, postojale su razne inicijative kojima ste se morali pridržavati, ovisno o vrsti banke, a posebno međunarodnim bankarima. Počeo je čitav postupak sukladan Bazelu, mnogo prije tog određenog skupa inicijativa nakon 2000. godine. Sve se zapravo svodi na upravljanje. Mislila sam da ću razgovarati o temi upravljanja kao uvodu u fokus pažnje o tome tko dobiva podatke.
Upravljanje podacima, nekada sam gledao oko sebe, mislim prije pet ili šest godina, osvrnuo se na definicije i to uopće nije bilo dobro definirano. Postaje sve jasnije i jasnije što to zapravo znači. Stvarnost situacije bila je ta da su u određenim granicama svi podaci zapravo prethodno uređeni, ali za to ne postoje formalna pravila. Postojala su posebna pravila koja su posebno izrađena u bankarskoj industriji za takve stvari, ali opet se to više odnosilo na poštivanje. Na jedan ili drugi način dokazivanje da ste zapravo bili - to je na neki način povezano s rizikom, tako da je dokazivanje da ste održiva banka bio posao.
Ako sada pogledate na izazov upravljanja, započinje s činjenicom kretanja velikih podataka. Imamo sve veći broj izvora podataka. Obim podataka naravno je problem s tim. Konkretno, počeli smo mnogo, puno više, s nestrukturiranim podacima. Počelo je postajati nešto što je dio čitave analitičke igre. A zbog analitike važna je provjera podataka i podrijetla. Doista s gledišta upotrebe analitike podataka na bilo koji način koji je povezan s bilo kojom vrstom sukladnosti, doista morate imati znanje odakle su podaci došli i kako bi trebali biti kakvi jesu.
Šifriranje podataka počelo je postajati problem, postalo je veće pitanje čim smo otišli u Hadoop jer ideja o jezeru podataka u koju pohranjujemo puno podataka odjednom znači da imate ogromno područje ranjivosti ljudi koji mogu dobiti na tome. Šifriranje podataka postalo je mnogo izraženije. Autentifikacija je uvijek bila problem. U starijoj okolini, strogo mainframe okruženju, imali su tako divnu sigurnosnu zaštitu na perimetru; provjera autentičnosti nikada nije bila problem. Kasnije je to postalo veće pitanje i sada je to mnogo više, jer imamo tako distribuirana okruženja. Praćenje pristupa podacima to je postalo problem. Čini se da se sjećam raznih alata koji su nastali prije desetak godina. Mislim da su većinu njih pokrenule inicijative za usklađivanje. Stoga smo dobili i sva pravila o usklađenosti, izvješćivanje o usklađenosti.
Ono što vam pada na pamet jest da još u 1990-ima, kada ste radili klinička ispitivanja u farmaceutskoj industriji, ne samo da ste morali dokazati odakle podaci dolaze - očito je vrlo važno, ako pokušavate da biste vidjeli droge u različitim kontekstima da biste znali kome se sudi i koji su kontekstualni podaci oko njega - morali ste biti u mogućnosti pružiti reviziju softvera koji je ustvari stvorio podatke. To je najoštriji način na koji sam ikad vidio, u smislu dokazivanja da zapravo ne miješate stvari namjerno ili slučajno. U posljednje vrijeme postalo je problem, posebno upravljanje životnim ciklusom podataka. Sve je to na neki način izazov, jer puno toga nije dobro izvedeno. U mnogim okolnostima to je potrebno učiniti.
To zovem piramida podataka. Prije sam nekako razgovarao o ovome. Smatram da je to vrlo zanimljiv način gledanja na stvari. Podatke možete smatrati slojevima. Sirovi podaci, ako želite, zapravo su samo signali ili mjerenja, snimke, događaji, uglavnom pojedinačni zapisi. Moguće je da transakcije, proračuni i objedinjavanja stvaraju nove podatke. Mogu se razmišljati na razini podataka. Povrh toga, jednom kada stvarno povežete podatke, oni postaju informacija. Postaje korisniji, ali naravno postaje ranjiviji na ljude koji ga hakiraju ili zlostavljaju. Definiram to kao stvaranje, stvarno strukturiranjem podataka, sposobnošću vizualizacije podataka s glosarima, shemama, ontologijama na informacijama. Ta dva donja sloja su ono što obrađujemo na ovaj ili onaj način. Iznad toga zovem sloj znanja koji se sastoji od pravila, politika, smjernica, postupaka. Neke od njih zapravo mogu biti stvorene uvidima otkrivenim u analitikama. Mnogo njih zapravo su politike kojih se morate pridržavati. Ovo je sloj, ako želite, upravljanja. Ovo je mjesto na koji se na ovaj ili onaj način, ako ovaj sloj nije pravilno naseljen, dva sloja ispod ne upravljaju. Posljednja poanta u vezi s tim je razumijevanje nečega što postoji samo u ljudskim bićima. Računala to još nisu uspjeli, na sreću. Inače bih ostao bez posla.
Carstvo upravljanja - nekako sam to sastavio, mislim da je moralo biti prije otprilike devet mjeseci, vjerojatno puno ranije od toga. U osnovi, nekako sam to poboljšao, ali čim smo se počeli baviti upravljanjem, tada nije postojalo samo spremište podataka, resursi jezera podataka, već i opći poslužitelji raznih vrsta, u smislu korporacijskog centra podataka. specijalizirani poslužitelji podataka. Sve je to trebalo vladati. Kada ste zapravo pogledali i razne dimenzije - sigurnost podataka, čišćenje podataka, otkrivanje metapodataka i metapodaci, kreiranje poslovnog pojmovnika, mapiranje podataka, generacija podataka, upravljanje životnim ciklusom podataka - tada, upravljanje praćenjem performansi, upravljanje razinom usluge, upravljanje sustavom, koje možda ne povezujete s upravljanjem, ali izvjesno - sada kada idemo u brži i brži svijet s sve više protoka podataka, zapravo biti u mogućnosti napraviti nešto s određenom izvedbom zapravo je nužnost i počinje postati pravilo rada, a ne bilo što drugo.
Rezimirajući u pogledu rasta usklađenosti, promatrao sam to tijekom mnogih, mnogo godina, ali opća zaštita podataka zapravo je 1990-ih stigla u Europu. Od tada je samo dobilo više i sofisticiranije. Zatim su se sve ove stvari počele uvoditi ili postajati sofisticiranijima. GRC, to je rizik upravljanja i poštivanje zakona, traje još od vremena kada su banke učinile Basel. ISO stvara standarde raznih vrsta operacija. Znam za sve vrijeme da sam bio u IT-u - to je već dugo vremena - američka vlada bila je posebno aktivna u kreiranju različitih zakona: SOX, tu su Gramm-Leach-Bliley, HIPAA, FISMA, FERPA. Dobili ste i divnu NIST organizaciju koja stvara mnoge standarde, posebno sigurnosne, vrlo korisne. Zakoni o zaštiti podataka u Europi imaju lokalne razlike. Na primjer, ono što možete učiniti s osobnim podacima u Njemačkoj razlikuje se od onoga što možete učiniti u Slovačkoj, Sloveniji ili Sloveniji. Predstavili su se nedavno - i mislio sam da ću to spomenuti jer smatram da je to zabavno - Europa uvodi ideju prava da se zaboravimo. Odnosno, trebalo bi postojati zastara ograničenja javnih podataka koji su zapravo osobni podaci. Mislim da je to smiješno. S gledišta IT-a to će biti vrlo, vrlo teško ako se počnu provoditi na snazi u zakonodavstvu. Zaključno bih rekao sljedeće: Budući da se informacijski podaci i upravljanje razvijaju brzo, upravljanje se također mora brzo razvijati i odnosi se na sva područja upravljanja.
Rekavši da ću loptu predati Dez.
Eric Kavanagh: Da, zaista, Dez Blanchfield, odnesite to. Robin, ja sam s tobom, čovječe, umirem vidjeti kako se odigrava ovo pravo na zaborav. Mislim da to neće biti samo izazovno, već u osnovi nemoguće. To je samo kršenje čekanja na koje će izvršiti vladine agencije. Dez, odnesi to.
Dez Blanchfield: To je uistinu i to je tema za novu raspravu. Ovdje imamo vrlo sličan izazov u Azijsko-Pacifiku, a posebno u Australiji gdje se od operatora i davatelja internetskih usluga traži da evidentiraju sve što je povezano s internetom i da mogu snimati i ponovno regrutirati u slučaju da netko od interesa učini nešto pogrešno. To je zakon i morate ga se pridržavati. Izazov, baš kao što bi netko iz Googlea u SAD-u mogao dobiti brisanje moje povijesti pretraživanja ili bilo što drugo, moglo bi biti u skladu s europskim zakonom, posebno njemačkim zakonom o privatnosti. U Australiji, ako agencija želi pregledati vas, prijevoznik mora biti u mogućnosti pružiti detalje o obavljenim pozivima i povijesti pretraživanja, što je izazovno, ali to je svijet u kojem živimo. Za to postoji gomila razloga. Pusti me da skočim u svoje.
Namjerno sam svoju naslovnu stranicu teško pročitao. Morate stvarno teško pogledati taj tekst. Usklađenost, sukladno skupu pravila, specifikacija, kontrola, pravila, standarda ili zakona, sa blesavom, neurednom pozadinom. To je zato što vam je teško dohvatiti detalje i izvući informacije iz onoga što je prekriveno, a to je niz tablica i redaka i stupaca, bilo baze podataka, shema ili obrazac u Visio-u. To je osjećaj sukladnosti iz dana u dan. Prilično je teško uroniti u detalje i izvući odgovarajuće dijelove informacija koje su vam potrebne da biste mogli potvrditi da su sukladni. Izvijestite o tome, nadgledajte ga i testirajte.
Zapravo sam mislio da je zaista dobar način da se to vizualizira kada sebi postavimo pitanje: "Jeste li sukladni?" "Jesi li siguran?" "Pa, dokaži!" Postoji stvarno zabavna stvar koja je možda malo više anglo-keltska, ali siguran sam da je prošao svoj svijet u SAD, tako da je: "Gdje je Wally?" Wally je mali lik koji upada u ove crtane crteže u obliku knjiga. Obično slike velikih dimenzija A3 ili veće. Dakle, crteži veličine tablice. On je mali lik koji nosi zrno i crveno-bijelu prugastu majicu. Ideja igre je da pogledate ovu sliku i pogledate oko sebe kako biste pokušali pronaći Wallyja. Tu je negdje na toj slici. Kada razmišljate o tome kako otkriti i opisati i izvijestiti o usklađenosti, na mnogo načina to je poput igranja “Where's Wally”. Ako pogledate tu sliku, lik je gotovo nemoguće pronaći. Djeca na to troše sate i ja sam se jučer jako zabavljala radeći to. Kad ga pogledamo, nalazimo čitavu gomilu ljudi u tim crtićima, namjerno smještene tamo s sličnim komadima Wallyjeve odjeće u prugastom dresu i dresu ili vunenom vrhu. No, ispostavilo se da su lažno pozitivni.
To je sličan izazov koji imamo s poštivanjem. Kada gledamo na stvari, ponekad nešto što mislimo da je to slučaj, nije uopće. Netko može imati pristup bazi podataka i pretpostavlja se da imaju taj pristup bazi podataka, ali način na koji je koristi je malo drugačiji od onoga što očekujemo. Mogli bismo odlučiti da je to nešto na što moramo gledati. Kad to pogledamo uvidimo, u stvari, to je vrlo valjan korisnik. Samo rade nešto čudno. Možda je to istraživač računala ili tko zna. U drugim bi slučajevima moglo biti suprotno. Stvarnost, kad opet krenem naprijed, tu je Wally. Ako ste izgledali jako teško u ovoj visokoj rezoluciji, postoji jedan lik koji zapravo nosi odgovarajuću odjeću. Svi ostali su podjednako lookalikesi. Sukladnost je vrlo slična tome. Većina ljudi koje poznajem rade na područjima kontrole i poštivanja propisa i politika tvrtke. U cijelom nizu područja, bilo da je u pitanju tehnologija, bilo da je riječ o financijama ili poslovanju i riziku. Često je vrlo teško vidjeti Wallyja na slici, vidjet ćete drveće ili drvo.
Pitanje koje se postavljamo, kada razmišljamo o stvarima poput usklađenosti, glasi: "Velika stvar, što bi moglo poći po zlu ako se sasvim ne pridržavamo propisa?" U kontekstu današnje rasprave, posebno oko baze podataka i kontrole pristupa podacima, dat ću vam nekoliko vrlo stvarnih primjera poziva na buđenje o tome što može poći po zlu u vrlo kratkom sažetom obliku. Ako pomislimo na kršenje podataka, a svi smo upoznati s kršenjima podataka, čujemo ih u medijima i nekako se zaustavljamo i smijamo, jer ljudi misle da je to tržište. To su osobne stvari. To je Ashley Madison i ljudi koji žele dobiti datume izvan svojih veza i brakova. Vodi račune. Sve su ove neobične stvari ili neki slučajni europski ili ruski ISP ili hosting kompanija hakirani. Kad dođete do stvari poput MySpacea i ovih deset najboljih, kada pogledate ove brojeve, ono što želim shvatiti je ovo: 1, 1 milijardi ljudi detaljnije u tih deset najboljih kršenja. I da, postoje preklapanja, vjerojatno postoje ljudi koji imaju MySpace račun, i Dropbox račun, i Tumblr račun, ali samo zaokružimo na milijardu ljudi.
Ovih deset prvih kršenja posljednjeg desetljeća ili toliko - čak desetljeća u većini slučajeva - predstavljaju otprilike jednu sedmu svjetske populacije ljudi, ali realnije, oko 50 posto broja ljudi povezano je s Interneta, preko milijardu pojedinaca. Do toga dolazi jer u nekim slučajevima nije zadovoljena usklađenost. U većini slučajeva to su bile kontrole pristupa bazi podataka, kontrola pristupa određenim skupovima podataka, te sustavima i mrežama. Ovo je zastrašujuća provjera stvarnosti. Ako vas to ne plaši, kad pogledate prvih deset i vidite da je ovo - ili možete vidjeti da je to milijarda pojedinaca, stvarnih ljudskih bića baš poput nas, na ovaj poziv upravo sada. Ako imate LinkedIn račun, ako ste imali Dropbox račun ili Tumblr račun ili ako ste kupili od Adobe proizvoda ili čak registrirali besplatni Adobe preglednik. Sasvim je vjerovatno, nije moguće, sasvim je vjerojatno da su vaši podaci, vaše ime, prezime, adresa e-pošte, potencijalno čak i adresa tvrtke ili kućna adresa ili kreditna kartica zapravo zbog kršenja pravila koja se dogodila zbog kontrola, nisu se nužno dobro vodile u obliku upravljanja podacima, upravljanja podacima.
Pogledajmo ga kad ga gledamo u stvarnim detaljima. Ima ih jedan ekran, tamo ima oko 50-tak. Postoji još 15. Postoji još oko 25. To su kršenja podataka koja su navedena na web mjestu zvanom haveibeenpwned.com. Ovo je što bi moglo poći po zlu ako se nešto jednostavno ne može kontrolirati tko ima pristup podacima u bazama podataka u različitim poljima i redovima i stupovima i različitim aplikacijama u vašem poslu. Ove organizacije sada upravljaju podacima. Većina podataka živi u bazi podataka u nekom obliku. Kada razmislite o tome, taj popis kršenja koji smo upravo gledali, i nadamo se da vam je donekle hladan tuš, u smislu da ste pomislili "Hmm, to je vrlo stvarno", a potencijalno je utjecalo na vas. Na primjer, u 2012. godini, zbog kršenja LinkedIna, većina stručnjaka ovih dana ima LinkedIn račun i vjerojatno će se izgubiti vaši podaci. Na internetu su od 2012. godine. O tome su nam tek rekli 2016. Što se s vama dogodilo u te četiri godine? Pa to je zanimljivo i o tome možemo razgovarati odvojeno.
Upravljanje bazama podataka i sustavima - često govorim o tome što smatram prvih pet izazova u upravljanju tim stvarima. U samom, samom vrhu i rangiram ih prema sklonosti sebi, ali i po redoslijedu učinka, broj jedan je sigurnost i poštivanje. Kontrole i mehanizmi i politike oko kontrole tko ima kakav pristup kakvom sustavu, iz kojeg razloga i svrhe. Izvještavanje o tome i praćenje, uvid u sustave, gledanje u baze podataka i uvid u to tko zapravo može pristupiti zapisima, pojedinim poljima i zapisima.
Razmislite o tome u vrlo jednostavnom obliku. Razgovarajmo o bankarstvu i upravljanju bogatstvom kao jednim od primjera. Kada se prijavite na bankovni račun, recimo samo uobičajeni gotovinski račun za EFTPOS karticu ili gotovinski ili čekovni račun. Ispunite obrazac i na tom komadu papira koji ispunite ili radite na mreži postoji puno vrlo privatnih podataka koje prelaze u računalni sustav. Sada, ako netko iz marketinga želi kontaktirati s vama i poslati vam brošuru, treba im omogućiti da vide vaše ime i prezime, kao i vašu osobnu adresu, na primjer, i potencijalni vaš telefonski broj ako vas žele hladno nazvati i prodati ti nešto. Vjerojatno ne bi trebali vidjeti ukupan iznos novca koji ste dobili u banci iz gomile razloga. Ako vas netko gleda s rizičnog stajališta ili vam pokušava pomoći da napravite nešto poput postizanja boljih kamata na svom računu, ta osoba vjerojatno želi vidjeti koliko novca imate u banci kako bi mogli ponuditi odgovarajuću razinu povrata kamate na svoj novac. Te dvije osobe imaju vrlo različite uloge i vrlo različite razloge za te uloge i svrhe tih uloga. Kao rezultat toga, u vašem zapisu trebaju se vidjeti različite informacije, ali ne i svi podaci.
Ove kontrole upravljaju različitim izvješćem uobičajenih zaslona ili oblika koji imaju u aplikacijama za upravljanje računom. Razvoj za one, njihovo održavanje, njihovo upravljanje, izvještavanje oko njih i upravljanje i poštivanje zakona omotanih onima poput omota mjehurića, sve je to vrlo, vrlo velik izazov. To je samo izazov broj jedan u upravljanju podacima i sustavima. Kad dublje spustimo taj niz u izvedbu i nadzor, otkrivanje i reakciju pojave i reakciju, upravljanje i administraciju sustava te usklađenost oko njih, dizajn i razvoj sustava od usklađenosti, postaje puno teže.
Upravljanje cijelim pitanjem smanjenja rizika i poboljšanja sigurnosti. Mojih pet najvećih izazova na ovom prostoru - i sviđaju mi se slike koje idu s carinarnicom kad uđete u neku zemlju - predoče vašu putovnicu, pa vas provjere i pogledaju njihov računalni sustav da vide da li bi proći ili ne. Ako ne budete trebali, smjestili su vas na sljedeći avion kući. Inače vas vraćaju unutra i postavljaju vam pitanja poput: "Dolazite li na odmor? Jeste li ovdje turista? Jeste li ovdje zbog posla? Kakvu vrstu posla želite vidjeti? Gdje ćete odsjesti?" ? Koliko dugo dolazite? Imate li dovoljno novca da pokrijete svoje troškove i troškove? Ili ćete postati rizik državi u kojoj se nalazite i možda će morati paziti na vas i hraniti vas? "
Postoje problemi oko ovog prostora podataka koji upravljaju zaštitom podataka. Na primjer, u prostoru baze podataka, moramo razmišljati o ublažavanju zaobilaznica baze podataka. Ako su podaci u bazi podataka, u normalnom okruženju i oko toga postoje kontrole i mehanizmi. Što se događa ako je deform podataka napravljen u više SQL-a i izrađen je sigurnosna kopija s trakom? Baze se izbacuju u sirovom obliku i podupiru se ponekad. Ponekad se to radi iz tehničkih razloga, razvojnih razloga. Recimo samo da je spremnik DB snimljen i sigurnosno kopiran na vrpcu. Što se događa ako se dogodi da uhvatim ruku na toj vrpci i vratim je? A imam neobrađenu kopiju baze podataka u SQL-u. To je MP datoteka, to je tekst, mogu je pročitati. Sve lozinke koje su pohranjene na tom deponiju nemaju kontrolu nad mnom jer sada dobivam pristup stvarnom sadržaju baze podataka bez da ga baza podataka štiti. Na taj način mogu tehnički zaobići sigurnost platforme baze podataka koja se ugrađuje u motor u skladu s upravljanjem i upravljanjem rizikom kako bi me prestalo gledati u podatke. Budući da je potencijalni programer, administrator sustava, uhvatio sam se u cjelovit popis baze podataka koji bi se trebao koristiti za izradu sigurnosnih kopija.
Zloupotreba podataka - potencijalno natjeranje nekoga da se prijavi kao povišen račun i pusti me da sjedim za ekranom, tražim informacije ili slične stvari. Vlastita revizija, pristup i uporaba podataka te pregled podataka ili njihove promjene. Zatim je potrebno izvješćivanje o toj kontroli i usklađenost. Nadgledanje prometa i pristupa itd., Blokiranje prijetnji koje dolaze s vanjskih lokacija i poslužitelja. Na primjer, ako se podaci prezentiraju putem obrasca na web stranici na internetu, jesu li njihove SQL injekcije zaštićene vatrozidima i kontrolama koncepta? Iza toga stoji duga detaljna priča. Ovdje možete vidjeti da su samo neke od ovih apsolutno temeljnih stvari o kojima razmišljamo u ublažavanju i upravljanju rizikom oko podataka unutar baza podataka. Zapravo je relativno lako zaobići neke od ovih proizvoda ako se nalazite na različitim razinama tehnologija. Izazov postaje sve teži i teži jer dobivate sve više podataka i više baza podataka. Sve više i mnogo izazovnije ljudima koji moraju upravljati sustavima i nadzirati njihovu upotrebu, pratiti relevantne detalje koji se posebno odnose na stvari o kojima je Robin govorio, oko stvari poput osobne sukladnosti. Pojedinci imaju kontrole i mehanizme koji su u skladu s njima - ako učinite nešto pogrešno, potencijalno će vas otpustiti. Ako se prijavim na svoj račun kako biste to vidjeli, to bi trebao biti prekršaj za prekršaj. Sada sam vam dao pristup podacima koje ne biste trebali normalno vidjeti.
Postoji osobna usklađenost, postoji korporativna usklađenost, tvrtke imaju politike i pravila i kontrole koje su postavile na sebe samo tako da tvrtka posluje dobro i osigurava povrat dobiti i dobar povrat investitorima i dioničarima. Tada često postoji savezni savezni zakoni i zakoni u cijelom gradu ili državi, na državnoj razini. Onda su tu i globalne. Neki od većih incidenata u svijetu, gdje se sviđa Sarbanes-Oxley, dvoje pojedinaca od kojih se traži da iznađu načine kako zaštititi podatke i sustave. U Europi postoji Basel, a u Australiji postoji čitav niz kontrola, posebice oko berzi i platformi vjerodajnica, a zatim privatnost na razini pojedinca ili tvrtke. Kad se svaki od njih složi kao što ste vidjeli na jednom od mjesta koja je Robin imao, oni postaju gotovo nemoguća planina za penjanje. Troškovi postaju visoki i stigli smo do točke kada izvorni tradicionalni pristup koji znate, poput mjerenja ljudskog bića, više nije prikladan pristup jer je skala prevelika.
Imamo scenarij u kojem je usklađenost ono što ja sada zovem uvijek aktuelno pitanje. A to je da smo nekada imali potencijalnu točku, bilo mjesečno ili tromjesečno ili godišnje, gdje bismo pregledavali stanje nacije i pomogli usklađivanju i kontroli. Pazite da su određeni ljudi imali određeni pristup i nisu imali određeni pristup, ovisno o tome koja su im dopuštenja. Sada je slučaj brzine stvari kojom se stvari kreću, tempa kojim se stvari mijenjaju, razmjera kojim radimo. Usklađenost je pitanje koje se uvijek postavlja, a globalna financijska kriza bila je samo jedan primjer gdje su relevantne kontrole i mjere sigurnosti i poštivanja mogu potencijalno izbjeći scenarij u kojem smo imali otklonjeni teretni voz određenog ponašanja. Samo stvaranje situacije sa cijelim svijetom učinkovito znajući da će se ona raspasti i bankrotirati. Da bismo to postigli, trebaju nam pravi alati. Bacanje ljudi u vlak, bacanje tijela više nije valjan pristup jer je skala prevelika i stvari se kreću prebrzo. Mislim da ćemo danas razgovarati o vrstama alata koje treba primijeniti na to. Konkretno alate koje nam IDERA može pružiti zbog toga. A imajući to u vidu, dat ću ga Bullettu da prođe kroz njegov materijal i pokaže nam svoj pristup i alate koji imaju za rješavanje ovog problema koji smo vam sada predstavili.
S tim, Bullett, predaću vam se.
Bullett Manale: Zvuči odlično, hvala. Želim razgovarati o nekoliko slajdova, a želim vam pokazati i proizvod koji koristimo za baze podataka SQL Server, posebno za pomoć u usklađivanju situacija. Zaista, izazov u mnogim slučajevima - preskočit ću nekoliko ovih - ovo je samo naš portfelj proizvoda, to ću brzo proći. U smislu gdje će se ovaj proizvod baviti i kako se odnosi na usklađenost, to uvijek izvlačim kao prvi slajd jer je to generički: „Hej, što je odgovornost DBA?“ Jedna od stvari kontrolira i nadzire pristup korisnika te također može generirati izvješća. To će se povezati kada razgovarate sa svojim revizorom, koliko će taj proces biti težak će se mijenjati ovisno o tome hoćete li ga sami raditi ili ćete koristiti treću stranu alat za pomoć.
Općenito govoreći, kada razgovaram s administratorima baza podataka, puno puta nikada nisu sudjelovali u reviziji. Nekako ih morate educirati u ono što stvarno trebate raditi. Povezano s onom vrstom sukladnosti koju treba ispuniti i moći ćete dokazati da zapravo slijedite pravila jer se primjenjuje na tu razinu poštivanja. U početku ga mnogi ne shvaćaju. Oni misle: "Oh, mogu samo kupiti alat koji će me učiniti sukladnim." Realnost je, to nije slučaj. Volio bih da mogu reći da je naš proizvod na čarobni način na koji pritisnete lagan gumb dao mogućnost da se uvjerite da ste u skladu. Realnost je da morate postaviti svoje okruženje u smislu kontrola, u smislu načina na koji ljudi pristupaju podacima, a sve to morate razraditi s aplikacijom koju imate. Gdje se ti osjetljivi podaci pohranjuju, o kojoj se vrsti regulatornog zahtjeva radi. Zatim, također, morate raditi s obično službenicima za unutarnju kontrolu, kako biste bili sigurni da poštujete sva pravila.
Zvuči stvarno komplicirano. Ako pogledate sve regulatorne zahtjeve, pomislili biste da je to točno, ali stvarnost je da ovdje postoji zajednički nazivnik. U našem slučaju s alatom koji ću vam danas pokazati, proizvodom Compliance Manager, proces u našoj situaciji bio bi taj da prije svega moramo osigurati prikupljanje podataka o revizorskom tragu, koji se odnose na to gdje su podaci u osjetljivoj bazi podataka. Možete prikupiti sve, zar ne? Mogao bih izaći i reći da želim prikupiti svaku transakciju koja se događa u ovoj bazi. Realnost je takva da vjerojatno imate samo mali dio ili mali postotak transakcija koje su zapravo povezane s osjetljivim podacima. Ako se radi o PCI sukladnosti, nalazit će se oko podataka o kreditnoj kartici, vlasnika kreditnih kartica i njihovih osobnih podataka. Možda postoji mnoštvo drugih transakcija koje se odnose na vašu prijavu, a koje zapravo nemaju nikakvog utjecaja na regulatorne potrebe PCI-ja.
S tog stajališta, prva stvar kad razgovaram s DBA-om je ono što govorim: „Izazov broj jedan ne pokušava dobiti alat za obavljanje tih stvari umjesto vas. Jednostavno je znati gdje su ti osjetljivi podaci i kako ih blokiramo? "Ako to imate, ako možete odgovoriti na to pitanje, onda ste na pola puta u kući da biste mogli pokazati da se slažete, pod pretpostavkom da pratite ispravne kontrole. Recimo na trenutak da pratite ispravne kontrole i rekli ste revizorima da je to slučaj. Sljedeći dio postupka očito je u mogućnosti pružiti revizorski trag koji pokazuje i potvrđuje da te kontrole zapravo rade. Zatim, slijedite to i osigurajte spremanje tih podataka. Obično sa stvarima kao što su PCI i HIPAA usklađenost i s takvim vrstama stvari govorite o zadržavanju sedam godina. Govorite o puno transakcija i puno podataka.
Ako čuvate, prikupljate svaku transakciju iako je samo pet posto transakcija povezano s osjetljivim podacima, govorite o prilično velikim troškovima povezanima s tim da ih morate pohraniti sedam godina. Mislim da je to jedan od najvećih izazova pružanje glave ljudima da to kažu, očito je zaista nepotreban trošak. Također je puno lakše ako se možemo samo detaljno usredotočiti na osjetljiva područja unutar baze podataka. Pored toga, tražit ćete i kontrolu oko nekih osjetljivih podataka. Ne samo da se prikažete u smislu revizijskog traga, već da biste mogli povezati stvari s događajima koji se događaju i biti u mogućnosti primati obavijesti u stvarnom vremenu, tako da možete biti svjesni toga.
Primjer koji uvijek koristim i koji možda nije nužno povezan s bilo kojom vrstom regulatornih zahtjeva, ali na primjer, samo da bi mogao pratiti, netko je morao ispustiti tablicu povezanu s platnom spiskom. Ako se to dogodi, način na koji saznate za to, ako to ne pratite, nitko neće biti plaćen. To je prekasno. Želite znati kada ta tablica padne, točno kad padne, kako biste izbjegli bilo kakve loše stvari koje se dogode kao rezultat odlaska nekoga nezadovoljnog zaposlenika i brisanja tablice koja je vezana izravno za platne spiskove.
Uz spomenuto, trik je pronaći zajednički nazivnik ili upotrijebiti taj zajednički nazivnik za mapiranje nivoa usklađenosti. To je ono što pokušavamo učiniti s ovim alatom. U osnovi prihvaćamo pristup, nećemo vam pokazati izvještaj specifičan za PCI, specifičan za dionice; zajednički nazivnik jeste da li imate aplikaciju koja koristi SQL Server za pohranu osjetljivih podataka u bazu podataka. Jednom kada se previdite, kažete: "Da, to je zaista glavna stvar na koju se moramo usredotočiti - gdje su ti osjetljivi podaci i kako im se pristupa?" Kad to postignete, nudimo tonu izvještaja koja mogu pružiti takav dokaz i to ćete morati ispuniti.
Vratimo se na pitanja koja postavlja revizor, prvo će pitanje biti: Tko ima pristup podacima i na koji način im pristupa? Možete li dokazati da pravi ljudi pristupaju podacima, a pogrešni ne? Možete li također dokazati da je sam revizorski trag nešto čemu se mogu vjerovati kao nepromjenjivi izvor informacija? Ako vam dajem izrađenu revizorsku traku, meni kao revizoru ne ide baš dobro da zakrpi vašu reviziju ako su podaci izmišljeni. Potreban nam je dokaz, obično iz revizijske perspektive.
Kroz ta pitanja malo detaljnije. Izazov s prvim pitanjem je da, kao što sam rekao, morate znati gdje su ti osjetljivi podaci da biste mogli izvijestiti o tome tko mu pristupa. To je obično neka vrsta otkrića i zaista imate tisuće različitih aplikacija koje su vani, imate mnoštvo različitih regulatornih zahtjeva. U većini slučajeva želite raditi sa svojim službenikom za usklađivanje ako ga imate ili barem nekoga tko bi imao dodatni uvid u smislu gdje su moji osjetljivi podaci unutar aplikacije. Imamo alat koji imamo, besplatan je alat, naziva se SQL kolonama pretraživanjem. Kažemo našim potencijalnim kupcima i korisnicima koji su zainteresirani za to pitanje da ih mogu preuzeti. Ono što će učiniti je da će u osnovi potražiti informacije u bazi podataka koje će po prirodi vjerojatno biti osjetljive.
A kad jednom to učinite, također morate shvatiti kako ljudi pristupaju tim podacima. I to će opet biti, koji računi unutar kojih grupa Active Directory, koji su uključeni korisnici baze podataka, tome pridružuju uloge. Imajući u vidu, naravno, da sve ove stvari o kojima govorimo mora biti odobren od strane revizora, pa ako kažete: "Na taj način zaključavamo podatke", tada revizori mogu doći natrag i reci: "Pa, radiš krivo." Ali recimo da oni kažu, "Da, to izgleda dobro. Dovoljno zaključavate podatke. "
Prelazeći na sljedeće pitanje, može li biti dokaz da pravi ljudi pristupaju tim podacima? Drugim riječima, možete im reći da su vaše kontrole to, to su kontrole koje slijedite, ali nažalost, revizori nisu pravi pojedinci kojima vjerujete. Oni žele dokaz o tome i žele ga moći vidjeti u okviru revizije. A ovo se vraća u čitavu stvar zajedničkog nazivnika. Bilo da se radi o PCI, SOX-u, HIPAA-i, GLBA-i, Bazelu II, svejedno, stvarnost je da će se postavljati iste vrste pitanja. Objekt s osjetljivim informacijama, kome je pristupio tom objektu u posljednjih mjesec dana? To bi trebalo uskladiti s mojim kontrolama i trebao bih biti u mogućnosti proći reviziju na kraju pokazujući one vrste izvještaja.
I tako, to što smo učinili je da smo sastavili oko 25 različitih izvještaja koja slijede na istim područjima kao i onaj zajednički nazivnik. Dakle, nemamo izvješće za PCI ili HIPAA ili za SOX, imamo izvješća koja se, opet, poklapaju s tim zajedničkim nazivnikom. Tako da zapravo nije važno koji regulatorni zahtjev pokušavate ispuniti, u većini slučajeva moći ćete odgovoriti na svako pitanje koje vam postavi taj revizor. I reći će vam tko, što, kada i gdje od svake transakcije. Znate, korisnika, vrijeme transakcije, samu SQL izjavu, aplikaciju iz koje potječe, sve te dobre stvari, a zatim ćete moći automatizirati isporuku tih podataka izvješćima.
A onda, jednom kad to prijeđete i to ste pružili revizoru, slijedeće pitanje će biti to i dokazati. A kad kažem dokazati, mislim dokazati da je sam revizorski trag nešto čemu možemo vjerovati. A način na koji to činimo u našem alatu imamo hash vrijednosti i CRC vrijednosti koje se izravno vraćaju na same događaje unutar revizijskog traga. Ideja je da, ako netko izađe i obriše zapis, ili ako netko izađe i ukloni ili doda nešto u revizijski trag ili nešto promijeni u samom revizorskom tragu, možemo dokazati da ti podaci, integritet prekršeni su i sami podaci. I tako 99, 9 posto vremena ako zaključate našu bazu podataka o reviziji, nećete naići na taj problem jer kad pokrenemo provjeru integriteta, revizoru dokazujemo da sami podaci nisu promijenila i izbrisala ili dodala od originalnog pisanja od same usluge upravljanja.
Dakle, to je vrsta općenitog pregleda tipičnih pitanja koja će vam se postaviti. Sada, alat kojem moramo puno toga odgovoriti naziva se SQL Compliance Manager i on radi sve one stvari u smislu praćenja transakcija, tko, što, kada i gdje transakcija, biti u mogućnosti to učiniti u broj različitih područja. Prijave, neuspjele prijave, promjene sheme, očito pristup podacima, odabir aktivnosti, sve one stvari koje se događaju u motoru baze podataka. A po potrebi možemo upozoriti i korisnike na specifične, vrlo detaljne uvjete. Na primjer, netko izlazi i zapravo pregledava stol na kojem su svi brojevi mojih kreditnih kartica. Ne mijenjaju podatke, već samo gledaju. U toj situaciji mogu upozoriti i mogu obavijestiti ljude da se to događa, a ne šest sati kasnije kad lomimo trupce, ali u stvarnom vremenu. U osnovi je potrebno sve dok transakciju trebamo obraditi putem usluge upravljanja.
Kao što sam već spomenuo, vidjeli smo da se to koristi u raznim regulatornim zahtjevima i zapravo ne - znate, bilo koji regulatorni zahtjev, još jednom, sve dok zajednički nazivnici imate osjetljive podatke u SQL Serveru baza podataka, ovo je alat koji bi vam pomogao u takvoj situaciji. Na 25 ugrađenih izvješća, sada je realnost da ovaj alat možemo učiniti dobrim za revizora i odgovarati na svako postavljeno pitanje, ali DBA su oni koji ga moraju natjerati da djeluje. Dakle, postoji i to razmišljanje, dobro znate, iz perspektive održavanja, moramo biti sigurni da SQL funkcionira onako kako mi želimo. Moramo također moći ući i pogledati stvari koje će biti u mogućnosti izaći i pogledati ostale podatke, što se tiče arhiviranja podataka, automatizacije toga i nadzemnih troškova samog proizvoda. To su stvari koje očito vodimo računa.
Što dovodi do same arhitekture. Dakle, na pravoj desnoj strani ekrana imamo primjerke SQL-a kojim upravljamo, sve od 2000. pa sve do 2014., spremajući se za izdavanje verzije za 2016. Najveći korak na ovom zaslonu je upravljanje server sam radi sve teške dizanje. Upravo prikupljamo podatke koristeći API u tragovima ugrađen u SQL Server. Te se informacije prelamaju na našem poslužitelju za upravljanje. Taj poslužitelj za upravljanje identificira i postoje li događaji vezani za bilo koju vrstu transakcija koje ne želimo, slanje upozorenja i takve stvari, a zatim puštanje podataka u spremište. Odatle možemo pokrenuti izvješća, mogli bismo izaći i zapravo vidjeti te podatke u izvješćima ili čak unutar konzole aplikacije.
Dakle, ono što ću učiniti naprijed je da ćemo nas brzo provesti, i želim samo naglasiti jednu brzu stvar prije nego što skočimo na proizvod, a na web stranici nalazi se poveznica upravo sada, ili na prezentaciji, to će vas odvesti do tog besplatnog alata koji sam ranije spomenuo. Taj će besplatni alat, kao što sam rekao, ići van i pogledati bazu podataka i pokušati pronaći područja koja izgledaju kao osjetljivi podaci, brojevi socijalnog osiguranja, brojevi kreditnih kartica na temelju naziva stupaca ili tablica, ili na temelju izgleda formata podataka, a možete ga i prilagoditi tako da to samo istaknete.
U našem slučaju, pusti me da podijelim svoj ekran, daj mi trenutak. U redu, i tako, prvo što sam vas želio povesti je da vas odvedem do same aplikacije Compliance Manager i vrlo brzo ću proći kroz ovo. Ali ovo je aplikacija i možete vidjeti da ovdje imam nekoliko baza podataka i upravo ću vam pokazati kako je lako ući i reći što želite da obavite reviziju. Sa stajališta promjena sheme, sigurnosnih promjena, administrativnih aktivnosti, DML-a, Odaberi, dostupne su nam sve te mogućnosti, to možemo i filtrirati. Ovo se vraća u najbolju praksu da mogu reći: "Stvarno mi treba samo ova tablica, jer sadrži brojeve mojih kreditnih kartica. Ne trebaju mi druge tablice s informacijama o proizvodima, sve one druge stvari koje nisu u odnosu na razinu usklađenosti koju pokušavam ispuniti. "
Također imamo mogućnost hvatanja podataka i prikazivanja u smislu vrijednosti polja koja se mijenjaju. U puno alata imat ćete nešto što će vam omogućiti snimanje SQL izraza, pokazivanje korisnika, pokazivanje aplikacije, vremena i datuma, sve te dobre stvari. Ali u nekim slučajevima sama SQL izjava neće vam dati dovoljno informacija da bih vam mogla reći koja je vrijednost polja bila prije promjene, kao i vrijednost polja nakon promjene. A u nekim situacijama to vam i treba. Možda bih želio pratiti, na primjer, podatke o doziranju liječnika na lijekove na recept. Išlo je od 50 mg do 80 mg do 120 mg, to bih mogao pratiti koristeći prije i poslije.
Osjetljivi stupci još su jedna stvar na koju nailazimo, primjerice, u skladu s PCI. U situaciji ovdje imate podatke koji su tako osjetljive prirode da gledanjem tih podataka ne moram ih mijenjati, brisati ili dodavati mogu nanijeti nepopravljivu štetu. Brojevi kreditnih kartica, brojevi socijalnog osiguranja, sve te dobre stvari po kojima možemo prepoznati osjetljive stupce i vezati upozorenja. Ako bilo tko izađe i pogleda te podatke, očito bismo mogli upozoriti i poslati e-poštu ili generirati SNMP zamku i takve stvari.
Sada ćete u nekim slučajevima naići na situaciju u kojoj možete imati izuzetak. I što pod tim mislim, imate situaciju u kojoj imate korisnika koji ima korisnički račun koji bi mogao biti vezan za neku vrstu ETL posla koji radi usred noći. To je dokumentiran postupak i jednostavno ne trebam uključivati te transakcijske podatke za taj korisnički račun. U tom slučaju imali bismo pouzdanog korisnika. A onda bismo u drugim situacijama koristili značajku Privilegirane revizije korisnika koja je u suštini, ako imam, recimo na primjer, aplikaciju, a ta aplikacija već vrši reviziju korisnika koji prolaze kroz aplikaciju, to je super, već se imam na šta referirati u smislu svoje revizije. Ali što se tiče, primjerice, mojih povlaštenih korisnika, dečki koji mogu ući u studio za upravljanje SQL Serverom i pogledati podatke u bazi podataka, to neće smanjiti. I tako smo ovdje mogli definirati tko su naši povlašteni korisnici, bilo kroz članstvo u ulogama, bilo putem njihovih računa u Active Directoryu, grupama, njihovim SQL potvrđenim računima, gdje ćemo moći odabrati sve te različite vrste opcija i a zatim od tamo osigurajte da za te povlaštene korisnike možemo odrediti vrste transakcija koje smo zainteresirani za reviziju.
To su sve vrste različitih opcija koje imate i neću prolaziti kroz sve različite vrste stvari na temelju vremenskih ograničenja ovdje za ovu prezentaciju. Ali želim vam pokazati kako možemo vidjeti podatke i mislim da će vam se svidjeti kako to funkcionira, jer to možemo učiniti na dva načina. Mogu to učiniti interaktivno, pa kad razgovaramo s ljudima koje ovaj alat zanima za svoje vlastite interne kontrole, oni samo žele znati što se događa u puno slučajeva. Nisu nužno da revizori dolaze na lice mjesta. Oni samo žele znati: "Hej, želim ići nakon ovog stola i vidjeti tko ga je dodirnuo u posljednjem tjednu ili prošlom mjesecu ili bilo što drugo." U ovom slučaju možete vidjeti koliko brzo to možemo učiniti.
U slučaju baze podataka zdravstvene zaštite, imam tablicu pod nazivom Podaci o pacijentima. I taj bi se stol, ako bih samo grupirao po objektu, vrlo brzo mogao početi sužavati tamo gdje tražimo. Možda želim grupirati po kategoriji, a onda možda i po događaju. Kad to učinim, možete vidjeti kako se to brzo prikazuje, a tu je i moja tablica podataka o pacijentima. I dok istražujem sada možemo vidjeti DML aktivnost, možemo vidjeti da smo imali tisuću umetnutih DML-a, a kad otvorimo jednu od tih transakcija, možemo vidjeti relevantne podatke. Tko, što, što, kada, gdje transakcija, SQL izjava, očito, stvarna aplikacija koja se koristi za obavljanje transakcije, račun, vrijeme i datum.
Ako pogledate sljedeću karticu ovdje, karticu Detalji, ovo se vraća na treće pitanje o kojem govorimo, dokazujejući da integritet podataka nije narušen. U osnovi, svaki događaj imamo tajni izračun za našu vrijednost hash-a, a to će se povezati s tim kada izvršimo provjeru integriteta. Na primjer, ako bih trebao izaći na alat, ući u meni za reviziju, a ja bih trebao izaći i reći, hajde da provjerimo integritet spremišta, mogao bih usmjeriti prema bazi podataka u kojoj se nalazi revizijski trag, pokrenut će se provjerom integriteta uspoređujući te hash vrijednosti i CRC vrijednosti sa stvarnim događajima, a to će nam reći da nisu pronađeni problemi. Drugim riječima, podaci u revizorskom zapisu nisu promijenjeni jer su ih izvorno napisali od uprave. To je očito jedan od načina interakcije s podacima. Drugi način bi bio putem samih izvještaja. I zato ću vam samo dati jedan brzi primjer izvještaja.
I još jednom, ova izvješća, onako kako smo ih sastavili, nisu specifična za bilo koju vrstu standarda poput PCI, HIPAA, SOX ili nešto slično. Još jednom, to je zajednički nazivnik onoga što radimo, a u ovom slučaju, ako se vratimo na taj primjer evidencije pacijenata, mogli bismo izaći i reći, u našem slučaju ovdje, tražimo u bazi podataka zdravstvene zaštite i u našem slučaju želimo se posebno fokusirati na tablicu za koju znamo da sadrži privatne podatke, u našem slučaju, koji se odnose na naše pacijente. I tako, da vidim mogu li ga ovdje upisati i idemo dalje i pokrenuti to izvješće. I vidjet ćemo, očito, odatle sve relevantne podatke povezane s tim objektom. A u našem slučaju to pokazuje za razdoblje od mjesec dana. No, mogli bismo se vratiti za šest mjeseci, godinu dana, koliko god dugo čuvali podatke.
To su takvi načini na koje biste mogli dokazati, ako hoćete, revizoru da slijedi vaše kontrole. Nakon što to utvrdite, očito je to dobra stvar u smislu prolaska revizije i mogućnosti dokazivanja da pratite kontrole i da sve funkcionira.
Posljednja stvar o kojoj bih želio pokazati je u dijelu administracije. Također, sa stajališta unutar samog ovog alata postoji i mogućnost postavljanja kontrola kako bi bili sigurni da ako netko radi nešto što ne bi trebao raditi, toga mogu biti svjesni. I dat ću vam nekoliko primjera tamo. Imam račun za prijavu koji je vezan za uslugu i toj usluzi su potrebna povećana dopuštenja za obavljanje onoga što radi. Ono što ne želim je da netko uđe i koristi taj račun u Management Studio-u i onda ga, znaš, koristi za stvari za koje nije bio namijenjen. Ovdje bismo imali dva kriterija koja bismo mogli primijeniti. Mogao bih reći, "Gledaj, zaista nas zanima ovo što radimo, recimo, s našom PeopleSoft aplikacijom", samo kao primjer, ok?
Sad kad sam to učinio, ono što govorim ovdje, znatiželjno sam znati sve prijave koje su vezane za račun koji se spremam navesti ako je aplikacija koja se koristi za prijavu s ovim računom nije PeopleSoft, to će biti povišica alarma. I očito moramo sami odrediti naziv računa, pa ćemo u našem slučaju samo nazvati ovaj Priv račun, zbog činjenice da je privilegiran. Kad bismo to učinili, kad ovo učinimo ovdje, sada bismo mogli odrediti što bismo željeli da se dogodi kada se to dogodi i za svaku vrstu događaja ili, trebao bih reći, upozorenje, možete imate zasebnu obavijest osobi koja je odgovorna za taj određeni podatak.
Na primjer, ako se radi o podacima o plaćama, možda će otići mom direktoru za ljudske resurse. U ovom slučaju, baveći se aplikacijom PeopleSoft, bit će administrator te aplikacije. Koji god da je slučaj. Mogao bih upisati svoju adresu e-pošte, prilagoditi stvarnu poruku upozorenja i sve takve dobre stvari. Još jednom, ovo se opet vraća u mogućnost da budete sigurni da možete pokazati da slijedite svoje kontrole i da one rade na način koji im je namijenjen. Iz posljednje perspektive ovdje, samo u pogledu održavanja, imamo mogućnost da te podatke uzimamo i stavljamo izvan mreže. Mogu arhivirati podatke i mogu ih zakazati, a mi bismo to vrlo lako mogli napraviti u smislu da biste zapravo kao DBA zapravo mogli koristiti ovaj alat, postaviti ga i nekako hodajte od nje. Nema puno ruku koja će se održati nakon postavljanja onako kako bi trebalo biti. Kao što sam rekao, mislim da je najteži dio u vezi s bilo čim od toga nije postavljanje onoga što želite reviziju, već znati što želite postaviti za reviziju.
I kao što rekoh, priroda zvijeri s revizijom, podatke morate čuvati sedam godina, tako da se ima smisla usredotočiti samo na ona područja koja su osjetljiva po prirodi. Ali ako želite pristupiti prikupljanju svega, to apsolutno možete, to se ne smatra najboljom praksom. Tako bih sa tog stajališta želio podsjetiti ljude da ako je to nešto što vas zanima možete otići na web stranicu na IDERA.com i preuzeti probno suđenje te se sami poigrati s tim. Što se tiče besplatnog alata o kojem smo ranije pričali, to je, to je besplatno, možete ga preuzeti i zauvijek ga koristiti, bez obzira koristite li proizvod Compliance Manager. Sjajna stvar tog alata za pretraživanje stupaca je što su naša otkrića koja ste došli i zapravo mogu pokazati da, mislim da je to što ćete moći izvesti te podatke, a zatim ih moći uvesti u upravitelj usklađenosti također. Ne vidim to, znam da je ovdje, tu je. Ovo je samo primjer toga. Tu se pronalaze povezani osjetljivi podaci.
Sada sam izašao iz slučaja i doista, pregledat ću sve, ali imate samo tonu stvari koje možemo provjeriti. Brojevi kreditnih kartica, adrese, imena, sve takve stvari. I identificirat ćemo gdje se nalazi u bazi podataka i odatle možete donijeti odluku želite li ili ne želite reviziju tih podataka. Ali to je definitivno način da vam olakšate definiranje opsega revizije kada gledate takav alat.
Samo ću nastaviti s tim i završiti s tim, a ja ću ga proslijediti Eriku.
Eric Kavanagh: To je fantastična prezentacija. Volim način na koji stvarno uđete u teške detalje i pokažete nam što se događa. Jer na kraju dana postoji neki sustav koji će pristupiti nekim zapisima, to će vam dati izvještaj, to će vas navesti da ispričate svoju priču, bilo da je to regulator ili revizor ili netko iz vašeg tima, tako da je dobro što znate da ste spremni ako i kada, ili kao i kada, ta osoba dođe kucati, i naravno, to je neugodna situacija koju pokušavate izbjeći. Ali ako se to dogodi, a vjerojatno će se dogoditi ovih dana, želite biti sigurni da imate svoj ispisani i prekriženi vaš T.
Postoji dobro pitanje člana publike koje bih htio prvo prebaciti na vas, Bullett, a onda ako možda prezentator želi to prokomentirati, slobodno se javite. A onda možda Dez postavi pitanje i Robin. Pitanje je, dakle, da li je pošteno reći da biste radili sve one stvari koje ste spomenuli morali pokrenuti napor s klasificiranjem podataka na elementarnoj razini? Morate znati svoje podatke kada se pojave kao vrijedna potencijalna imovina i učiniti nešto po tom pitanju. Mislim da biste se složili, Bullett, zar ne?
Bullett Manale: Da, apsolutno. Mislim, morate znati svoje podatke. I shvaćam, prepoznajem da postoji puno aplikacija koje su vani i postoji mnogo različitih stvari koje imaju pokretne dijelove u vašoj organizaciji. Alat za pretraživanje stupaca vrlo je koristan u smislu koraka u smjeru boljeg razumijevanja tih podataka. Ali da, vrlo je važno. Mislim, imate mogućnost da pristupite vatrogasnom pristupu i da sve pregledate, ali na taj način je logistički puno izazovniji kada govorite o tome da morate pohraniti te podatke i izvještavati protiv tih podataka. A zatim još uvijek trebate znati gdje se nalazi taj podatak, jer kad pokrećete svoje izvještaje, revizorima ćete morati pokazati i te podatke. Stoga mislim da je, kao što rekoh, najveći izazov kad razgovaram s administratorima baza podataka znati, da.
Eric Kavanagh: Da, ali možda će te Robin dovesti brzo. Čini mi se da se ovdje primjenjuje pravilo 80/20, zar ne? Vjerojatno nećete pronaći svaki sustav zapisa koji je bitan ako ste u nekoj srednjoj ili velikoj organizaciji, ali ako se usredotočite na - kao što je Bullett ovdje predložio - PeopleSoft na primjer, ili na druge sustave zapisa koji su koji prevladava u poduzeću, tamo se usredotočite 80 posto svog napora, a zatim 20 posto na druge sustave koji su možda negdje vani, zar ne?
Robin Bloor: Pa siguran sam, da. Mislim, znate, mislim da je problem s ovom tehnologijom i mislim da je vjerojatno vrijedno komentirati nju, ali problem s ovom tehnologijom je, kako je implementirati? Mislim, definitivno nedostaje znanje, recimo, u većini organizacija o čak i broju baza podataka koje su vani. Znate, nedostaje zaliha, recimo. Znate, pitanje je, zamislimo da započinjemo u situaciji kada ne postoji posebno dobro upravljana usklađenost, kako uzimati ovu tehnologiju i ubrizgati je u okoliš, a ne samo u, znate, tehnologiju izraze, postavljanje stvari, ali kao tko njima upravlja, tko određuje što? Kako to početi shvaćati u stvarnim stvarima koja rade svoj posao?
Bullett Manale: Pa, mislim, to je dobro pitanje. Izazov u mnogim slučajevima je taj, što morate početi postavljati pitanja već na samom početku. Naleteo sam na puno tvrtki u kojima su, znate, možda oni privatna tvrtka i oni su se stekli, tu je inicijalna, vrsta, prvo, vrsta ceste, ako to želite tako nazvati. Na primjer, ako sam tek sad postao trgovačko društvo koje se prodaje dionicama zbog akvizicije morat ću se vratiti i vjerojatno smisliti neke stvari.
A u nekim slučajevima razgovaramo s organizacijama koje, iako su privatne, poštuju SOX pravila poštivanja, jednostavno zato što u slučaju da se žele steći znaju da moraju biti u skladu. Definitivno ne želite uzeti samo pristup, "Ne moram se brinuti zbog toga sada." Bilo koju vrstu usklađenosti s propisima poput PCI ili SOX ili bilo što drugo, želite uložiti u istraživanje ili razumijevanje otkud te osjetljive informacije, u protivnom bi se mogli naći s nekim značajnim, velikim novčanim kaznama. A puno je bolje samo uložiti to vrijeme, znate, pronalazeći te podatke i moći izvještavati protiv njih i pokazati kako kontrole rade.
Da, u smislu postavljanja, kao što sam rekao, prvo što bih preporučio ljudima koji se spremaju da se suoče s revizijom, jeste samo izaći van i obaviti tačan pregled baze podataka i shvatiti, vi znaju, u svim svojim naporima pokušati otkriti gdje su ti osjetljivi podaci. A drugi bi pristup bio započeti s možda većom mrežom u smislu opsega revizije, a zatim polako obuzdati svoj put kad jednom, nekako, shvatite gdje su ta područja unutar sustava koja su povezana s osjetljive informacije. Ali volio bih da vam kažem da na to pitanje postoji jednostavan odgovor. Vjerojatno će se bitno razlikovati od jedne do druge organizacije i vrste usklađenosti te doista kako, znate, koliko strukture imaju unutar svojih aplikacija i koliko ima, različitih aplikacija koje imaju, neke mogu biti prilagođene pisane aplikacije, tako da će to zaista ovisiti o situaciji u mnogim slučajevima.
Eric Kavanagh: Samo naprijed, Dez, siguran sam da imaš pitanje ili dva.
Dez Blanchfield: Zapravo želim samo dobiti uvid u vaša zapažanja o utjecaju na organizacije s gledišta ljudi. Mislim da je jedno od područja u kojem vidim najveću vrijednost ovog određenog rješenja to što se ljudi ujutro probude i odu na rad na različitim razinama organizacije, probude se s nizom odgovornosti ili lancem odgovornosti s kojima se moraju nositi. I ja želim vidjeti neki uvid u ono što vi vidite vani s i bez vrsta alata o kojima govorite. A kontekst o kojem ovdje govorim je od predsjedatelja razine odbora do generalnog direktora i CIO-a i C-apartmana. I sada imamo glavne službenike za rizike koji više razmišljaju o vrstama stvari o kojima ovdje pričamo u skladu i upravljanju, a sada imamo nove šefove uloga, glavni službenik za podatke, tko je, znate, još više zabrinut zbog toga.
I sa strane svakog od njih, oko CIO-a, imamo IT menadžera s jedne strane, s nekim vrstama tehničkih vodiča, a zatim vodi baze podataka. A u operativnom prostoru imamo upravitelje razvoja i razvojne potencijale, a zatim i pojedinačne razvoje, a oni se također vraćaju u sloj administracije baze podataka. Što vidite oko reakcije svakog od tih različitih dijelova poslovanja na izazov usklađenosti i regulatornog izvještavanja i njihov pristup tom poslu? Vidite li da ljudi ovo gledaju sa žarom i vide korist od toga ili vidite da nerado vuku noge na ovu stvar i jednostavno, znate, to rade za krpelj u kutiji? Koje su vrste odgovora kad vidite vaš softver?
Bullett Manale: Da, to je dobro pitanje. Rekao bih da ovaj proizvod, prodajom ovog proizvoda, uglavnom upravlja netko tko je u vrućem sjedalu, ako to ima smisla. U većini slučajeva to je DBA, i iz naše perspektive, drugim riječima, oni znaju da dolazi revizija i da će biti odgovorni, jer oni su DBA-ovi, kako bi mogli pružiti informacije do kojih će revizor ići pitati. To mogu učiniti pisanjem vlastitih izvješća i stvaranjem vlastitih vlastitih tragova i svih takvih stvari. Realnost je takva da oni to ne žele učiniti. U većini slučajeva DBA-i se zapravo ne vesele započinjanju tih razgovora s revizorom. Znate, radije bih vam rekao da možemo nazvati kompaniju i reći: "Hej, ovo je sjajan alat i svidjet će vam se", pokazati im sve značajke i oni će ih kupiti.
Realnost je da oni obično neće gledati ovaj alat, osim ako se zapravo neće suočiti s revizijom ili s druge strane tog novčića, jesu li imali reviziju i nisu je jadno propustili, a sada jesu ako im se kaže da potraže pomoć ili će dobiti novčanu kaznu. Rekao bih da u odnosu na, znate općenito, kada ovaj proizvod ljudima pokažete, oni definitivno vide njegovu vrijednost jer im to štedi tonu vremena u smislu da moraju shvatiti o čemu žele izvještavati, takve stvari. Sva su ta izvješća već ugrađena, mehanizmi za uzbunu su uspostavljeni, a treće pitanje, također u puno slučajeva, može biti izazov. Jer mogu vam pokazati izvješća po cijeli dan, ali osim ako mi ne budete mogli dokazati da su ti izvještaji tada stvarno valjani, znate, puno je teži prijedlog za mene kao DBA da to mogu pokazati. Ali razradili smo tehnologiju i tehniku raspršivanja i sve te vrste da bismo mogli osigurati čuvanje podataka u svojoj cjelovitosti revizijskih zapisa.
I to su stvari koje, to su moja zapažanja u odnosu na većinu ljudi s kojima razgovaramo. Znate, definitivno postoje u različitim organizacijama, za koje znate da ćete čuti, o njima znate, npr. Target je prekršio podatke i, mislim, mislim, kada druge organizacije čuju za novčane kazne i one razne stvari koje ljudi započnu, podiže obrvu, pa, nadamo se, to odgovara na pitanje.
Dez Blanchfield: Da, definitivno. Mogu zamisliti neke DBA-ove kad konačno vide što se može učiniti s alatom tek shvaćaju da imaju i kasne noći i vikende. Smanjenje vremena i troškova i ostale stvari koje vidim kada se primjenjuju odgovarajući alati za cijeli ovaj problem, a to je da sam tri tjedna sjedila s bankom ovdje u Australiji. Oni su globalna banka, prva tri banke, ogromne su. I imali su projekt u kojem su morali izvijestiti o usklađenosti s upravljanjem bogatstvom i posebno riziku, i gledali su u 60 tjedana rada za nekoliko stotina ljudskih bića. A kad su im pokazali slične alate kao što ste vi koji bi mogli automatizirati proces, taj osjećaj, izraz njihovih lica kada su shvatili da ne moraju provesti X broj tjedana sa stotinama ljudi koji rade ručni postupak kao da su našli Boga. Ali izazovno je bilo kako to zapravo staviti u plan, kao što je dr. Robin Bloor naznačio, znate, to je nešto što postaje mješavina pomaka u ponašanju i kulturi. Na razinama s kojima se bavite, koji se time izravno bavite na razini aplikacije, kakve promjene vidite kada počnu usvajati alat za obavljanje vrsta izvješćivanja i revizije i kontrola koje možete ponuditi, kao suprotno onome što su mogli učiniti ručno? Kako to izgleda kada se oni stvarno provode u praksi?
Bullett Manale: Pitate, koja je razlika u pogledu ručnog rukovanja s ovim alatom? Je li to pitanje?
Dez Blanchfield: Pa, konkretno utjecaj posla. Tako, na primjer, ako pokušavamo dostaviti sukladnost u ručnom postupku, znate, dugo vremena nam treba puno ljudi. Ali pretpostavljam, da postavimo neki kontekst oko pitanja, kao što znate, govorimo li o tome da jedna osoba koja pokreće ovaj alat zamjenjuje potencijalno 50 ljudi i da može učiniti istu stvar u stvarnom vremenu ili satima u odnosu na mjesece? Je li to takav, što se to uopšte ispada?
Bullett Manale: Pa, mislim, svodi se na par stvari. Jedna je sposobnost odgovaranja na ta pitanja. Neke od tih stvari neće se učiniti vrlo lako. Pa da, vrijeme koje je potrebno da se stvari odrade kod kuće, samostalno pisanje izvještaja, postavljanje tragova ili proširenih događaja za ručno prikupljanje podataka moglo bi vam oduzeti mnogo vremena. Doista, dat ću vam malo, mislim, to se zapravo ne odnosi na baze podataka općenito, ali, baš nakon što se Enron dogodio i SOX je prevladao, bio sam u jednoj od većih naftnih kompanija u Houstonu, a računali smo na, Mislim da se činilo da je 25 posto naših poslovnih troškova bilo povezano sa SOX usklađenošću.
To je bilo odmah nakon toga i to je bio neka vrsta prvog koraka na SOX-u, ali stvar s, rekao bih, znate, da steknete veliku korist korištenjem ovog alata u smislu da ne zahtijeva puno ljudi koji to rade i puno različitih vrsta ljudi koji to rade. I kao što rekoh, DBA nije tip koji se stvarno veseli tim razgovorima s revizorima. Tako ćemo u mnogim slučajevima vidjeti da DBA to može prebaciti i moći pružiti međusobno spajanje izvješća revizoru, a oni se mogu potpuno ukloniti iz jednadžbe, a ne da moraju biti uključeni. Dakle, znate, to je i ogromna ušteda u smislu resursa kada to možete učiniti.
Dez Blanchfield: Govorite o golemom smanjenju troškova, zar ne? Organizacije ne samo da uklanjaju rizik i režijske troškove, nego zapravo mislim da govorite o značajnom smanjenju troškova, A) operativno i B) u činjenici da, znate, ako oni mogu stvarno pružiti stvarnu Izvješćivanje o usklađenosti s vremenom da je značajno smanjen rizik od kršenja podataka ili neke zakonske novčane kazne ili učinka zbog nepoštivanja, zar ne?
Bullett Manale: Da, apsolutno. Mislim, zato što nisam pošten, događaju se razne vrste lošeg. Oni mogu upotrijebiti ovaj alat i bilo bi sjajno ili ne, i otkrit će koliko je to zaista loše. Pa da, nije samo alat očito, možete provjeriti i sve bez ovog alata. Kao što rekoh, samo će trebati puno više vremena i troškova.
Dez Blanchfield: To je sjajno. Dakle, Eric, prebacit ću se s tobom jer mislim da je za mene takav potez taj, tržište, fantastično. Ali u biti, stvar vrijedi zlata na osnovu toga što je u stanju izbjeći komercijalni utjecaj problema koji se događa ili biti u mogućnosti smanjiti vrijeme potrebno za prijavljivanje i upravljanje poštivanjem, samo to čini, znate, Alat se odmah isplaćuje zvucima stvari.
Eric Kavanagh: Upravo tako. Hvala vam puno na vašem vremenu danas, Bullett. Hvala svima vama na vašem vremenu i pažnji, te Robin i Dez. Još jedna sjajna prezentacija danas. Zahvaljujemo našim prijateljima iz IDERA što su nam omogućili da vam besplatno donosimo ovaj sadržaj. Arhivirat ćemo ovu web prijenos radi kasnijeg pregleda. Arhiva se obično podiže u roku od otprilike jednog dana. I javite nam što mislite o našoj novoj web stranici, insideanalysis.com. Potpuno novi dizajn, potpuno novi izgled i dojam. Rado bismo čuli vašu povratnu informaciju i sa tim ću se oprostiti, ljudi. Možete mi poslati e-poštu. Inače ćemo vas kontaktirati sljedeći tjedan. Imamo sljedećih pet tjedana sedam web-prijenosa ili nešto slično. Zauzet ćemo. I bit ćemo na konferenciji Strata i na samitu IBM analitičara u New Yorku kasnije ovog mjeseca. Pa ako ste tamo negdje, svratite i pozdravite se. Pazite, ljudi. Doviđenja.
