От служители на Techopedia, 14 септември 2016 г.
Вземане: Домакинът Ерик Кавана обсъжда одита на базата данни и спазването на анализаторите Робин Блур и Дез Бланчфийлд, както и Bullett Manale от IDERA в този епизод на Hot Technologies.
В момента не сте влезли. Моля, влезте или се регистрирайте, за да видите видеото.
Ерик Кавана: Дами и господа, привет и отново добре дошли в горещите технологии! Да, от 2016 г. Ние сме в трета година на това шоу, това е много вълнуващо. Тази година се люлехме и търкаляхме. Това е Ерик Кавана, вашият домакин. Темата за днес - това е чудесна тема, има много приложения в редица индустрии, честно казано - „Кой, какво, къде и как: защо искате да знаете“. Да, наистина ще говорим за всички тези забавни неща. Има слайд за твоето наистина, удари ме в Twitter @eric_kavanagh. Опитвам се да туитвам отново всички споменавания и да туитвам всичко, което някой ми изпрати. В противен случай, така да бъде.
Горещо е, да наистина! Цялото шоу тук е предназначено да помогне на организациите и хората да разберат конкретни видове технологии. Ние проектирахме цялата програма тук, Hot Technologies, като начин за дефиниране на определен вид софтуер, или определен тенденция, или определен вид технология. Причината е, защото честно казано, в софтуерния свят често ще получавате тези маркетингови термини, които се обвързват и понякога могат откровено да омаловажават концепциите, които са били предназначени да опишат.
В това шоу наистина се опитваме да ви помогнем да разберете какво представлява определен вид технология, как работи, кога можете да я използвате, кога може би не трябва да я използвате и да ви дадем толкова подробности, колкото е възможно. Днес ще имаме трима водещи: нашият собствен Робин Блур, главен анализатор от групата Bloor; нашият учен с данни, който се обажда от Сидни, Австралия от другата страна на планетата, Дез Бланчфийлд, и един от любимите ни гости Булет Манале, директор на отдела за продажби в IDERA.
Ще кажа само няколко неща тук, като разбирам кой прави какво с кой фрагмент от данни, а това е нещо като управление, нали? Ако мислите за всички наредби около индустриите, като здравеопазването и финансовите услуги, в тези области, тези неща са изключително важни. Трябва да знаете кой е докоснал информацията, кой е променил нещо, кой е получил достъп до нея, кой е качил например. Каква е родовата линия, какво е провидението на тези данни? Можете да сте сигурни, че всички тези проблеми ще останат видни през идните години поради всякакви причини. Не само за спазване, въпреки че HIPAA, и Sarbanes-Oxley, и Dodd-Frank, и всички тези регулации са много важни, но и просто така, че да разберете във вашия бизнес кой какво прави, къде, кога, защо и как. Това са добри неща, ще обръщаме внимание.
Давай, отнеси го, Робин Блур.
Робин Блур: Добре, благодаря за това въведение, Ерик. Искам да кажа, че тази област на управление е, че управлението в ИТ не беше дума, която чухте малко след 2000 г., според мен. Той се появи предимно, защото, така или иначе, мисля, че се появи предимно защото има действащо законодателство за спазване. Особено HIPAA и Sarbanes-Oxley. Всъщност има много от това. Следователно организациите осъзнаха, че трябва да имат набор от правила и набор от процедури, тъй като според закона е необходимо да се направи това. Много преди това, особено в банковия сектор, имаше различни инициативи, на които трябваше да се подчинявате в зависимост от това какъв тип сте банката и по-специално международните банкери. Целият съвместим с Базел проект започна преди този конкретен набор от инициативи след 2000 г. Всичко наистина се свежда до управлението. Мислех, че ще говоря около темата за управление като въведение във фокуса на наблюдението на това, кой получава данните.
Управление на данните, аз се оглеждах, мисля преди пет-шест години, оглеждам се за определения и то изобщо не беше добре дефинирано. Става все по-ясно и по-ясно какво всъщност означава. Реалността на ситуацията беше, че в определени граници всички данни всъщност бяха предварително управлявани, но няма официални правила за това. Имаше специални правила, които бяха направени особено в банковата индустрия за правене на такива неща, но отново това беше по-скоро за спазването. По един или друг начин доказването, че всъщност сте - това е нещо свързано с риск, така че доказването, че сте жизнеспособна банка, беше сделката.
Ако погледнете сега предизвикателството за управление, то започва с факт на движението на големи данни. Имаме все по-голям брой източници на данни. Обемът на данните, разбира се, е проблем с това. По-специално започнахме да правим много, много, повече с неструктурирани данни. Той започна да се превръща в нещо, което е част от цялата игра на аналитика. И поради аналитиката, произходът на данни и родовите линии са важни. Наистина от гледна точка на използването на анализа на данни по някакъв начин, свързан с какъвто и да е вид съответствие, наистина трябва да имате знания откъде са дошли данните и как трябва да бъдат това, което са.
Шифроването на данни започна да се превръща в проблем, става по-голям проблем веднага след като отидохме в Hadoop, защото идеята за езеро с данни, в което съхраняваме много данни, изведнъж означава, че имате огромна зона на уязвимост от хора, които могат да получат в него. Криптирането на данните стана много по-ясно. Удостоверяването винаги е било проблем. В по-старата среда, строго мейнфрейм среда, те имаха такава прекрасна защита по периметъра; автентификацията никога не е била голям проблем. По-късно той се превърна в по-голям проблем и сега е много по-голям проблем, защото имаме толкова широко разпространени среди. Мониторингът на достъпа до данни това стана проблем. Изглежда си спомням различни инструменти, възникнали преди около десет години. Мисля, че повечето от тях бяха движени от инициативи за спазване. Затова имаме и всички правила за съответствие, отчитане на съответствието.
Нещото, което идва на ум е, че дори през 90-те години, когато правехте клинични изпитвания във фармацевтичната индустрия, не само трябваше да можете да докажете откъде идват данните - очевидно е много важно, ако се опитвате излезте от наркотици в различни контексти, за да знаете на кого се съди и какви са контекстните данни около него - трябваше да можете да осигурите одит на софтуера, който всъщност създава данните. Това е най-тежкото съответствие, което някога съм виждал, по отношение на доказването, че всъщност не бъркате нещата умишлено или случайно. В последно време, особено управлението на жизнения цикъл на данните се превърна в проблем. Всичко това по някакъв начин е предизвикателство, защото много от тях не са свършени добре. При много обстоятелства е необходимо да ги направите.
Това наричам пирамидата на данните. И преди съм говорил за това. Намирам го за много интересен начин за гледане на нещата. Можете да мислите за данни като слоеве. Суровите данни, ако искате, наистина са само сигнали или измервания, записи, събития, единични записи най-вече. Евентуално транзакции, изчисления и обобщения, разбира се, създават нови данни. Те могат да се мислят на ниво данни. По-горе, след като всъщност свържете данни, те стават информация. Той става по-полезен, но разбира се става по-уязвим за хората, които го хакнат или злоупотребяват. Дефинирам, че като създаден, наистина чрез структуриране на данни, да може да визуализира данните с речници, схеми, онтологии на информацията. Тези два по-ниски слоя са това, което обработваме по един или друг начин. Над това наричам слоя от знания, състоящ се от правила, политики, насоки, процедура. Някои от тях всъщност могат да бъдат създадени от прозрения, открити в аналитиката. Много от тях всъщност са политики, които трябва да спазвате. Това е слоят, ако искате, на управлението. Тук, по един или друг начин, ако този слой не е правилно заселен, двата слоя по-долу не се управляват. Последната точка за това е разбирането в нещо, което пребивава само в човешките същества. Компютрите все още не са успели да го направят, за щастие. В противен случай бих останал без работа.
Империята на управлението - аз някак слагам това, мисля, че трябва да е било преди около девет месеца, вероятно много по-рано от това. По принцип аз го подобрих, но щом започнахме да се занимаваме с управление, тогава по отношение на центъра за корпоративни данни имаше не само резервоар за данни, ресурси за езеро на данни, но и общи сървъри от различни видове, специализирани сървъри за данни. Всичко това трябваше да се управлява. Когато всъщност разгледате и различното измерение - сигурност на данните, изчистване на данни, откриване на метаданни и управление на метаданни, създаване на бизнес речник, картографиране на данни, линия на данни, управление на жизнения цикъл на данните - тогава, управление на мониторинга на ефективността, управление на ниво услуги, управление на системата, което всъщност може да не свързвате с управлението, но определено - сега, когато отиваме в по-бърз и по-бърз свят с все повече и повече потоци от данни, всъщност да можем да направим нещо с конкретна производителност, всъщност е необходимост и започва да се превръща в правило за работа, а не всичко друго.
Обобщавайки по отношение на растежа на спазването на изискванията, наблюдавах това да се случва в продължение на много, много години, но общата защита на данните всъщност идва през 90-те години в Европа. Просто стана повече и по-сложно оттогава. След това всички тези неща започнаха да се представят или да стават по-сложни. GRC, това е риск за управление и спазване, продължава откакто банките направиха Базел. ISO създава стандарти за различни видове операции. Знам, че през цялото време съм бил в ИТ - отдавна е - правителството на САЩ беше особено активно в създаването на различни законодателства: SOX, има Gramm-Leach-Bliley, HIPAA, FISMA, FERPA. Имате и прекрасната организация NIST, която създава много стандарти, особено стандарти за сигурност, много полезни. Законите за защита на данните в Европа имат местни различия. Това, което можете да направите с личните данни в Германия, например, е различно от това, което можете да направите в Словашка република, или Словения, или където и да е. Те се представиха наскоро - и мислех, че ще спомена това, защото ми е забавно - Европа въвежда идеята за правото да бъдем забравени. Тоест, трябва да има давност за публични данни, които всъщност са лични данни. Мисля, че това е смешно. От гледна точка на ИТ това ще бъде много, много трудно, ако започне да се превръща в ефективно законодателство. В обобщение бих казал следното: Тъй като информационните данни и управлението се развиват бързо, управлението също трябва да се развива бързо и важи за всички области на управление.
Като каза, че ще предам топката на Дез.
Ерик Кавана: Да, наистина, така че Дез Бланчфийлд, махнете го. Робин, аз съм с теб, човече, умирам да видя как се изпълнява това право да бъдеш забравен. Мисля, че няма да е просто предизвикателно, а в основата си невъзможно. Това е просто нарушение на чакането да бъде упражнено от правителствените агенции. Дез, отнеси го.
Дез Бланчфийлд: Наистина е и това е тема за друга дискусия. Имаме много подобно предизвикателство тук в Азиатско-Тихоокеанския регион, и по-специално в Австралия, където от операторите и интернет доставчиците се изисква да регистрират всичко, свързано с интернет, и да могат да го записват и регенерират, в случай че някой от интересите направи нещо нередно. Това е закон и трябва да го спазвате. Предизвикателството, както някой от Google в САЩ може да бъде накаран да изтрие историята на търсенето ми или каквото и да е, може да бъде спазването на европейското законодателство, по-специално германското законодателство за поверителност. В Австралия, ако агенция иска да ви погледне, превозвачът трябва да може да предостави подробности за извършените обаждания и историята на търсенията, което е предизвикателство, но това е светът, в който живеем. За това има куп причини. Нека просто скоча в моята.
Умишлено затруднявах заглавната си страница трудно за четене. Трябва наистина да погледнете трудно този текст. Съответствие, съответстващо на набор от правила, спецификации, контроли, политики, стандарти или закони, с глупав, разхвърлян фон. Това е така, защото трябва наистина да погледнете трудно, за да получите подробности и да извадите информация от това, което е насложено, което е поредица от таблици и редове и колони, или база данни, схема или макет във Visio. Това е чувството за съответствие като ден за ден. Доста е трудно да се потопите в детайлите и да издърпате съответните битове информация, която е необходима, за да можете да потвърдите, че сте съгласни. Докладвайте за това, наблюдавайте го и го тествайте.
Всъщност мислех за наистина добър начин да визуализирам това, когато си задаваме въпроса: „Съвместими ли сте?“. "Сигурен ли си?" "Е, докажете!" Има наистина забавно нещо, което може би е малко по-англо-келтско, но съм сигурен, че си е проправял целия свят в САЩ, така че е: "Къде е Уоли?" Уоли е малък герой, който влиза в тези анимационни рисунки под формата на книги. Обикновено много мащабни снимки на A3 или по-големи. И така, рисунки с размер на масата. Той е малък герой, който носи шапка и червено-бяла райета. Идеята на играта е да погледнете тази снимка и да се огледате в кръгове, за да опитате да намерите Уоли. Той е на тази снимка там някъде. Когато мислите как да откриете и опишете и докладвате за спазването, в много отношения това е като да играете на „Къде е Уоли.“ Ако погледнете тази картина, е почти невъзможно да намерите героя. Децата прекарват часове за това и аз много се забавлявах, правейки това вчера. Когато го погледнем, намираме цял куп хора в тези карикатури, умишлено поставени там с подобни парчета от екипировката на Wally на райета и фланелка, или вълнен топ. Но те се оказват неверни.
Това е подобно предизвикателство, което имаме при спазването. Когато разглеждаме нещата, понякога нещо, което смятаме, че е така, изобщо не е така. Някой може да има достъп до база данни и трябва да има този достъп до база данни, но начинът, по който я използва, е малко по-различен от този, който очакваме. Може да решим, че това е нещо, което трябва да разгледаме. Когато погледнем в него, откриваме, о, всъщност, това е много валиден потребител. Те просто правят нещо странно. Може би е изследовател на компютър или кой знае. В други случаи може да е точно обратното. Реалността, когато продължа отново, има Уоли. Ако изглеждате наистина трудно в тази висока резолюция, има един герой, който всъщност носи подходящото облекло. Всички останали са просто lookalikes и приличат. Съответствието се чувства много подобно. Повечето хора, които познавам, работят в областта на контрола и спазването и политиките на бизнеса. В цялата гама области, независимо дали е технология, дали е финансиране, или експлоатация, и риск. Често е много трудно да видите Wally на снимката, ще видите дърветата или гората.
Въпросът, който си задаваме, когато мислим за неща като спазването на изискванията, е „Голяма работа, какво евентуално може да се обърка, ако не отговаряме напълно на изискванията?“ В контекста на днешната дискусия, по-специално около базата данни и контрола на достъпа до данни, ще ви дам някои много истински примери за събуждане за това, което може да се обърка в много кратка кратка форма. Ако мислим за нарушения на данните и всички сме запознати с нарушенията на данните, ние ги чуваме в медиите и някак спираме и се смеем, защото хората смятат, че това е пазар. Това са лични неща. Това е Ашли Мадисън и хората, които търсят да се срещнат извън отношенията и браковете им. Това е хвърляне на сметки. Всички тези странни неща или някакъв случаен европейски или руски ISP или хостинг компания се хакват. Когато стигнете до неща като MySpace и тези десет, когато погледнете тези числа, това, което искам да осъзнаете, е следното: 1, 1 милиарда подробности за хората в тези десет нарушения. И да, има припокривания, вероятно има хора, които имат MySpace акаунт, и Dropbox акаунт, и Tumblr акаунт, но нека просто да го закръгляме до милиард души.
Тези десет най-големи нарушения за последното десетилетие или дори - дори и десетилетие, в повечето случаи - обобщават приблизително една седма част от световното население на хората, но по-реалистично е, че около 50 процента от броя на хората са свързани с интернет, над милиард индивиди. Те се появяват, защото в някои случаи не е спазено съответствието. В повечето случаи са били контроли за достъп до база данни, контрол на достъпа до определени масиви данни, както и системи и мрежи. Това е страшна проверка на реалността. Ако това не ви плаши, когато погледнете най-добрите десет и можете да видите, че това е - или можете да видите, че това е един милиард индивида, истински човешки същества точно като нас, в този разговор в момента. Ако имате акаунт в LinkedIn, ако сте имали Dropbox акаунт, или Tumblr акаунт или ако сте купували от продукти на Adobe или дори регистриран, изтеглете безплатен Adobe Viewer. Напълно вероятно е, не е възможно, напълно вероятно е вашите данни, вашето име, фамилия, имейл адрес, потенциално дори адресът на вашата фирма или домашния ви адрес или кредитната ви карта, да са всъщност заради нарушение. това се случи поради контролите, които не бяха непременно управлявани добре под формата на управление на данните и управление на данните.
Нека да го разгледаме, когато го разгледаме в реални подробности. Има един екран от тях, има около 50 - нещо там. Има още 15. Има около 25. Това са нарушения на данните, които са изброени на уебсайт, наречен haveibeenpwned.com. Това е, което евентуално може да се обърка, ако нещо просто като контролиране на този, който е имал достъп до данни в бази данни в различни полета и редове и колони и различни приложения във вашия бизнес, не се управлява правилно. Тези организации сега се управляват от данни. Повечето данни живеят в база данни под някаква форма. Когато мислите за това, този списък с нарушения, който току-що разгледахме, и се надяваме, че ви е даден малко студен душ в известен смисъл, тъй като си помислихте: „Хм, това е много реално“ и това потенциално ви е повлияло. През 2012 г. например при това нарушение на LinkedIn повечето специалисти имат LinkedIn акаунт в наши дни и е вероятно данните ви да бъдат загубени. Те са в интернет от 2012 г. Току-що ни казаха през 2016 г. Какво се случи с вас информацията през тези четири години? Ами това е интересно и можем да говорим за това отделно.
Управление на базата данни и системи - често говоря за това, което считам за първите пет предизвикателства при управлението на тези неща. В самия, най-горния и ги класирам по ред на предпочитание от себе си, но и по ред на въздействие, номер едно е сигурността и спазването. Контролите и механизмите и политиките около контролиране на това кой има какъв достъп до каква система, по каква причина и цел. Докладване за това и мониторинг на това, разглеждане на системите, разглеждане на базите данни и виждане кой всъщност може да има достъп до записи, отделни полета и записи.
Помислете за това в много проста форма. Нека да поговорим за банкирането и управлението на богатството като един пример. Когато се регистрирате за банкова сметка, нека просто кажем нормална парична сметка за EFTPOS карта или касова сметка или чекова сметка. Попълвате формуляр и в този лист хартия, който попълвате или го правите онлайн, има много много лична информация, която влиза в компютърна система. Сега, ако някой от маркетинга иска да се свърже с вас и да ви изпрати брошура, трябва да му бъде разрешено да вижда вашето име и фамилия и личния ви адрес, например и потенциално телефонния ви номер, ако искат да ви позвънят и да ти продаде нещо. Вероятно не биха могли да видят общата сума пари, която сте получили в банката по куп причини. Ако някой ви гледа от рискова гледна точка или се опитва да ви помогне да направите нещо като да получите по-добри лихви по сметката си, този конкретен човек вероятно иска да види колко пари имате в банката, за да може да ви предложим съответните нива на лихвена възвръщаемост на парите си. Тези два индивида имат много различни роли и много различни причини за тези роли и цели на тези роли. В резултат на това трябва да видите различна информация в записа си, но не и целия запис.
Тези контроли около различните отчети на обичайните екрани или формата, които имат в приложенията, които се използват за управление на вашия акаунт. Развитието за тези, поддържането на тези, администрирането на тези, отчитането около тях и управлението и спазването на опаковките около тези като обвивка на балоните, са много и много голямо предизвикателство. Това е просто предизвикателство номер едно в управлението на данни и системи. Когато попаднем по-дълбоко в този стек в ефективността и мониторинга и откриването на случаите и реакцията, управлението и администрирането на системата и спазването около тях, проектирането и развитието на системите от съответствието, става много по-трудно.
Управление на целия проблем за намаляване на рисковете и подобряване на сигурността. Моите пет предизвикателства в това пространство - и ми харесват изображенията, които вървят с митницата, когато влизате в държава - те представят паспорта ви, и те проверяват, и те преглеждат компютърната им система, за да видят дали трябва минават или не. Ако не трябва, ще ви поставят на следващия самолет у дома. В противен случай те ви пускат обратно и ви задават въпроси от рода на: „Ходите ли на почивка? Тук ли сте турист? Тук ли сте за работа? Каква работа ще видите? Къде ще отседнете? ? Колко време идвате? Имате ли достатъчно пари, за да покриете разходите си или разходите? Или ще се превърнете в риск за страната, в която живеете, и може да се наложи да се грижат за вас и да ви хранят? "
Има някои проблеми около това пространство на данни, управление на защитата на данните. Например в пространството на базата данни трябва да помислим за смекчаване на байпасите на базата данни. Ако данните са в базата данни, в нормална среда и около нея има контроли и механизми. Какво се случва, ако изваждането на данните се направи в повече SQL и се архивира на лента? Базите данни се изхвърлят в суров вид и се архивират понякога. Понякога се прави по технически причини, причини за развитие. Нека само да кажем, че е взето сметище за DB и е архивирано на лента. Какво се случва, ако се хвана за тази лента и я възстановя? И имам необработено копие на базата данни в SQL. Това е MP файл, това е текст, мога да го прочета. Всички пароли, които се съхраняват в този бутон, нямат контрол върху мен, защото сега получавам достъп до действителното съдържание на базата данни, без двигателят на базата данни да я защитава. Така че мога технически да заобиколя сигурността на платформата на базата данни, която се изгражда в двигателя, при спазване и управление на риска, за да ме спра да гледам данните. Тъй като потенциално разработчикът, системен администратор, аз имам ръце на пълен смет на базата данни, който трябва да се използва за архивиране.
Злоупотреба с данните - потенциално да накарам някой да влезе като повишен акаунт и да ме остави да седя до екрана, да търся информация или подобни неща. Собствен одит, на достъпа и използването на данните и преглед на данните или промени в тях. Тогава отчитането около този контрол и изискването за съответствие. Наблюдение на трафика и достъпа и така нататък, блокиране на заплахи, които идват от външни места и сървъри. Например, ако данните се представят чрез формуляр на уеб страница в интернет, дали техните SQL инжекции са защитени чрез защитни стени и контрол на концепцията? Има дълга подробна история, която върви зад това. Тук можете да видите, че само някои от тези абсолютно фундаментални неща, за които мислим при смекчаване и управление на риска около данните вътре в базите данни. Всъщност е сравнително лесно да заобиколите някои от тях, ако сте на различни нива от стекове на технологиите. Предизвикателството става все по-трудно и по-трудно, тъй като получавате все повече и повече данни и повече бази данни. Повече и по-голямо предизвикателство с хората, които трябва да управляват системите и да наблюдават използването им, проследяват съответните подробности, които се отнасят конкретно за нещата, за които Робин е говорил, около неща като лично спазване. Хората имат контроли и механизми около тях, които отговарят - ако направите нещо нередно, потенциално ще бъдете уволнен. Ако вляза в акаунта си, като ви позволя да го видите, това би трябвало да е престъпление, което може да се извърши. Сега ви предоставих достъп до данни, които не би трябвало да виждате нормално.
Има лично спазване, има корпоративно съответствие, фирмите имат правила и правила и контроли, които са си поставили върху себе си, така че компанията да работи добре и да осигурява възвръщаемост на печалбата и добра възвръщаемост на инвеститорите и акционерите. Тогава често има държавни или национални, или федерални, както казахте, американски контрол и закони. Тогава има глобални. Някои от по-големите инциденти в света, където харесва Сарбанес-Оксли, двама души, които са помолени да измислят начини как да защитят данни и системи. В Базел има Европа и всички видове контрол в Австралия, особено около борсовите и кредитни платформи, а след това и поверителността на индивидуално или фирмено ниво. Когато всяка от тях е подредена, както видяхте в един от обектите, които Робин имаше, те се превръщат в почти непосилна планина за изкачване. Разходите стават високи и ние сме в момента, в който оригиналният традиционен подход, който познавате, като хора, измерващи контрола, вече не е подходящ подход, тъй като мащабът е твърде голям.
Имаме сценарий, при който спазването е това, което аз наричам сега винаги актуален въпрос. И това е, че използвахме потенциално момент, всеки месец, тримесечие или ежегодно, където ще преразгледаме състоянието си на нацията и ще помогнем за спазването и контрола. Уверете се, че определени хора са имали определен достъп и нямат определен достъп в зависимост от това какви са техните разрешения. Сега става въпрос за бързината на нещата, с която се движат нещата, темпото, с което нещата се променят, мащаба, в който работим. Спазването е винаги актуален въпрос и световната финансова криза беше само един пример, при който съответните контроли и мерки за сигурност и спазване на евентуално биха могли да избегнат сценарий, при който имахме бягащ товарен влак с определено поведение. Просто създаване на ситуация с целия свят, ефективно знаейки, че ще се счупи и фалира. За целта ни трябват правилните инструменти. Хвърлянето на хора във влака, хвърлянето на тела вече не е валиден подход, защото мащабът е твърде голям и нещата се движат твърде бързо. Дискусията днес, мисля, че ще имаме, е за видовете инструменти, които да се прилагат за това. По-специално инструментите, които IDERA може да ни предостави, които трябва да направим това. Имайки предвид това, ще го предам на Бълет да разгледа материала му и да ни покаже техния подход и инструментите, с които разполагат, за да разрешат този проблем, който сега сме ви представили.
С това, Bullett, ще ви предам.
Bullett Manale: Звучи страхотно, благодаря. Искам да поговоря за няколко слайда и също така искам да ви покажа продукт, който използваме специално за бази данни SQL Server, за да ви помогнем в ситуации на съответствие. Наистина, предизвикателството в много случаи - аз ще прескоча няколко от тях - това е само нашето портфолио от продукти, ще преживея това доста бързо. От гледна точка на това къде точно ще се адресира този продукт и как е свързан със съответствието, винаги го извеждам като първия слайд, защото това е нещо общо, „Ей, каква е отговорността на DBA?“ Едно от нещата контролира и следи достъпа на потребителите и също така е в състояние да генерира отчети. Това ще се свърже, когато говорите със своя одитор, колко труден може да е този процес, ще варира в зависимост от това дали ще го направите самостоятелно или ще използвате трета страна инструмент за помощ.
Като цяло, когато говоря с администратори на бази данни, много пъти те никога не са участвали в одит. Трябва да ги възпитате в това, което наистина трябва да правите. Свързан с какъв тип съответствие, който трябва да бъде изпълнен и е в състояние да докаже, че действително следвате правилата, тъй като се прилага за това ниво на съответствие. Много хора не го разбират в началото. Те си мислят: „О, просто мога да купя инструмент, който ще ме направи съвместим“. Реалността е, че не е така. Бих искал да кажа, че нашият продукт по магически начин, като знаете, натискането на лесния бутон ви дава възможност да се уверите, че сте в съответствие. Реалността е, че трябва да имате вашата среда, създадена по отношение на контролите, по отношение на начина, по който хората имат достъп до данните, че всичко трябва да се изработи с приложението, което имате. Където тези чувствителни данни се съхраняват, какъв тип регулаторно изискване е то. След това, също така трябва да работите с обикновено служител по вътрешното спазване, за да сте сигурни, че спазвате всички правила.
Това звучи наистина сложно. Ако погледнете всички регулаторни изисквания, бихте си помислили, че това би било така, но реалността е, че тук има общ знаменател. В нашия случай с инструмента, който днес ще ви покажа, продуктът на Compliance Manager, процесът в нашата ситуация би бил, че ние преди всичко трябва да се уверим, че събираме данните от одитната пътека, свързани до къде се намират данните в чувствителната база данни. Можете да съберете всичко, нали? Бих могъл да изляза и да кажа, че искам да събера всяка транзакция, която се случва в тази база данни. Реалността е, че вероятно имате само малка част или малък процент от транзакции, които всъщност са свързани с чувствителните данни. Ако става въпрос за съответствие с PCI, това ще е около информацията за кредитната карта, собствениците на кредитните карти, тяхната лична информация. Възможно е да има редица други транзакции, тъй като са свързани с вашата кандидатура, които всъщност нямат никакво отношение към регулаторните изисквания на PCI.
От тази гледна точка, първото нещо, когато говоря с DBA, е да кажа: „Предизвикателството номер едно не се опитва да намери инструмент, който да направи тези неща вместо вас. Просто знаем къде са тези чувствителни данни и как ги заключваме? ”Ако имате това, ако можете да отговорите на този въпрос, значи сте на половината път от дома си, за да можете да покажете, че сте в съответствие, ако приемем, че следвате правилните контроли. Да кажем за секунда, че следвате правилните контроли и казахте на одиторите, че това е така. Следващата част от процеса очевидно е в състояние да предостави одитна пътека, която показва и потвърждава, че тези контроли действително работят. След това, следвайки това, като се уверите, че сте запазили тези данни. Обикновено с неща като PCI и HIPAA съответствие, както и с тези типове неща, вие говорите, че си заслужава седем години. Говорите за много транзакции и много данни.
Ако пазите, събирате всяка транзакция, въпреки че само пет процента от транзакциите са свързани с чувствителните данни, говорите за доста големи разходи, свързани с това, че трябва да съхранявате тези данни в продължение на седем години. Според мен това е едно от най-големите предизвикателства в това да накараш хората да си кажат, че това наистина е ненужен разход. Освен това е много по-лесно, ако можем просто да се съсредоточим внимателно върху чувствителните области в базата данни. В допълнение към това вие също ще искате контрол върху някои от чувствителната информация. Не просто да покажете по отношение на одитната пътека, но и да можете да обвържете нещата с действията, които се случват и да можете да получавате известия в реално време, за да можете да бъдете информирани за това.
Примерът, който винаги използвам, може да не е непременно свързан с някакъв вид регулаторно изискване, а просто да може да проследи, например, някой трябва да изпусне таблицата, свързана с ведомостта. Ако това се случи, начинът, по който разберете за това, ако не го проследявате, никой не се плаща. Това е твърде късно. Искате да знаете кога тази маса се отказва, точно когато я отпада, за да избегнете лоши неща, които се случват в резултат на някакъв недоволен служител и да изтриете таблицата, обвързана директно с ведомостта.
С това казано, трикът е да намерите общия знаменател или да използвате този общ знаменател, за да картографирате какво е нивото на съответствие. Това е нещо, което се опитваме да направим с този инструмент. По принцип приемаме подхода, няма да ви показваме доклад, специфичен за PCI, специфичен за акциите; общият знаменател е, че имате приложение, което използва SQL Server, за да съхранява чувствителните данни в базата данни. След като преодолеете това, вие казвате: „Да, това е наистина основното, върху което трябва да се съсредоточим - къде са тези чувствителни данни и как се осъществява достъпът до тях?“ След като имате това, ние предлагаме един брой отчети, които могат да предоставят това доказателство, в съответствие с изискванията.
Връщайки се към въпросите, зададени от одитор, първият въпрос ще бъде: Кой има достъп до данните и как получава този достъп? Можете ли да докажете, че правилните хора имат достъп до данните, а грешните не са? Можете ли да докажете, че самата пътека за одит е нещо, на което мога да се доверя като неизменен източник на информация? Ако ви дам пътека за одит, която е изработена, всъщност не ми е много добре като одитор да закърпи вашия одит, ако информацията е създадена. Нуждаем се от доказателство за това, обикновено от одиторска гледна точка.
Преминавайки през тези въпроси, някак малко по-подробно. Предизвикателството с първия въпрос е, че трябва да знаете, както казах, къде са тези чувствителни данни, за да се докладва кой има достъп до тях. Това обикновено е някакъв вид откритие и наистина имате хиляди различни приложения, които са навън, имате множество различни регулаторни изисквания. В повечето случаи искате да работите с вашия служител по спазването на изискванията, ако имате такъв или поне някой, който би имал някаква допълнителна представа по отношение на това къде наистина са моите чувствителни данни в приложението. Имаме инструмент, който имаме, безплатен инструмент, нарича се SQL колона за търсене. Казваме на нашите бъдещи клиенти и потребители, които се интересуват от този въпрос, те могат да го изтеглят. Това, което ще направи, е, че основно ще търси информацията в базата данни, която вероятно ще бъде чувствителна по своята същност.
И след това, след като направите това, вие също трябва да разберете как хората имат достъп до тези данни. И това ще бъде, за пореден път, кои акаунти са в рамките на групите на Active Directory, в които участват потребители на базата данни, има ролеви членове, свързани с това. И като се има предвид, разбира се, че всички тези неща, за които говорим, трябва да бъдат одобрени от одитора, така че ако кажете: „Така заключваме данните“, тогава одиторите могат да дойдат обратно и кажете: „Е, вие го правите погрешно.“ Но нека да кажем, че те казват: „Да, това изглежда добре. Достатъчно заключвате данните. "
Преминавайки към следващия въпрос, може ли да докажете, че правилните хора имат достъп до тези данни? С други думи, можете да им кажете, че контролите ви са, това са контролите, които следвате, но за съжаление одиторите не са истински доверени лица. Те искат доказателство за това и искат да могат да го видят в рамките на одитната следа. И това се връща към цялото това общо знаменател. Независимо дали става въпрос за PCI, SOX, HIPAA, GLBA, Basel II, каквото и да е, реалността е, че обикновено се задават едни и същи видове въпроси. Обектът с чувствителната информация, който е получил достъп до този обект в рамките на последния месец? Това трябва да се съпостави с контрола ми и в крайна сметка трябва да мога да премина одита си, като показвам тези видове отчети.
И така, това, което сме направили, е, че сме съставили около 25 различни доклада, които следват в същия вид области като този общ знаменател. Така че ние нямаме отчет за PCI или за HIPAA или за SOX, имаме отчети, които отново отиват срещу този общ знаменател. И така всъщност няма значение какво регулаторно изискване се опитвате да изпълнявате, в повечето случаи ще можете да отговорите на всеки въпрос, който ви постави този одитор. И те ще ви кажат кой, какво, кога и къде на всяка транзакция. Знаеш, потребителят, времето на транзакцията, самото SQL изявление, приложението, от което идва, всички тези добри неща и след това също ще можеш да автоматизираш доставката на тази информация до отчетите.
И след това, след като веднъж преодолеете това и сте го предоставили на одитора, следващият въпрос ще бъде, докажете го. И когато казвам да го докажа, имам предвид да докажа, че самата одитна пътека е нещо, на което можем да се доверим. И начинът, по който правим това в нашия инструмент е, имаме хеш стойности и стойности на CRC, които се връзват директно към самите събития в одитната пътека. И така тогава идеята е, че ако някой излезе и изтрие запис или ако някой излезе и премахне или добави нещо към одитната следа или промени нещо в самата одитна пътека, можем да докажем, че тези данни, целостта на самите данни бяха нарушени. И така 99, 9 процента от времето, ако сте затворили нашата база данни за одитни пътеки, няма да се сблъскате с този проблем, защото когато стартираме тази проверка за цялост, ние по същество доказваме на одитора, че самите данни не са били променена и изтрита или добавена към момента на първоначалното писане от самата услуга за управление.
Така че това е един общ общ преглед на типичните видове въпроси, които ще ви бъдат зададени. Сега, инструментът, с който трябва да се справим с много от това, се нарича SQL Compliance Manager и той прави всички онези неща по отношение на проследяване на транзакциите, кой, какво, кога и къде на транзакциите, да може да прави това в брой различни области. Вход, неуспешни влизания, промени в схемата, очевидно достъп до данни, изберете активност, всички онези неща, които се случват в двигателя на базата данни. Освен това можем да предупредим потребителите за специфични, много подробни условия, ако е необходимо. Например, някой излиза и всъщност разглежда таблицата, която съдържа всички номера на кредитната ми карта. Те не променят данните, а просто ги гледат. В тази ситуация мога да предупредя и мога да уведомя хората, че това се случва, не шест часа по-късно, когато ровим журнали, но в реално време. По принцип е толкова дълго, колкото е необходимо да обработим тази транзакция чрез услуга за управление.
Както споменах по-рано, видяхме това да се използва в множество различни регулаторни изисквания и всъщност не е - знаете, всяко регулаторно изискване, още веднъж, стига общите знаменатели да имате чувствителни данни в SQL Server база данни, това е инструмент, който би помогнал в този тип ситуация. На 25-те отчета, които са вградени, сега реалността е, че можем да направим този инструмент добър за одитора и да отговори на всеки един въпрос, който те зададат, но DBA са тези, които трябва да го накарат да работи. Така че има и това мислене, добре знаете, от гледна точка на поддръжката, ние трябва да сме сигурни, че SQL работи по начина, по който искаме. Трябва също така да можем да влезем и да разгледаме нещата, които ще бъдат в състояние да излязат и да разгледат други части от информация, що се отнася до архивирането на данните, автоматизацията на това и режийните разходи самия продукт. Това са неща, които очевидно вземаме предвид.
Което извежда самата архитектура. И така, в самата дясна страна на екрана имаме копия на SQL, които управляваме, всичко от 2000 г. до 2014 г., подготвяйки се за пускане на версия за 2016 г. Най-голямото предприемане на този екран е, че управлението самият сървър прави всички тежки повдигания. Ние просто събираме данните, използвайки API за проследяване, вграден в SQL Server. Тази информация се трупа до нашия сървър за управление. Самият този сървър за управление идентифицира и ако има някакви събития, свързани с всякакъв тип транзакции, които не желаем, изпращане на сигнали и такива видове неща и след това попълване на данни в хранилище. Оттам можем да пуснем отчети, бихме могли да излезем и всъщност да видим тази информация в отчетите или дори в конзолата на приложението.
И така, това, което ще продължа напред, е, че ще ни преведем, наистина бързо, и просто искам да посоча едно бързо нещо, преди да скочим в продукта, в момента има линк на уебсайта, или на презентацията, това ще ви отведе до онзи безплатен инструмент, който споменах по-рано. Както вече казах, този безплатен инструмент ще излезе и ще разгледа база данни и ще се опита да намери областите, които приличат на чувствителни данни, номера на социално осигуряване, номера на кредитни карти въз основа на наименованията на колоните или таблиците, или въз основа на начина, по който изглежда форматът на данните, и можете да го персонализирате, така че просто да го посочите.
Сега, в нашия случай, нека да продължа напред и да споделя екрана си, дайте ми една секунда тук. Добре, и така, това, което исках първо да ви заведа е, че искам да ви отведа до самото приложение на Compliance Manager и ще преживея това доста бързо. Но това е приложението и можете да видите, че имам няколко бази данни тук и просто ще ви покажа колко лесно е да влезете и да му кажа какво търсите за одит. От гледна точка на промените в схемата, промените в защитата, административните дейности, DML, Select, имаме всички онези опции, достъпни за нас, можем също да ги филтрираме. Това се връща към най-добрата практика да мога да кажа: „Наистина се нуждая само от тази таблица, защото съдържа номера на моите кредитни карти. Не ми трябват другите таблици, които съдържат информация за продукта, всички онези други неща, които не са свързани с нивото на съответствие, което се опитвам да срещна. "
Също така имаме възможността да улавяме данни и да ги показваме по отношение на стойностите на полетата, които се променят. В много инструменти ще имате нещо, което ще ви даде възможност да заснемете SQL оператора, да покажете на потребителя, да покажете приложението, часа и датата, всички тези добри неща. Но в някои случаи самото SQL изявление няма да ви даде достатъчно информация, за да може да ви каже каква е стойността на полето преди настъпването на промяната, както и стойността на полето след настъпването на промяната. И в някои ситуации имате нужда от това. Може би искам да проследя например информация за дозировката на лекар за лекарства, отпускани по лекарско предписание. Премина от 50mg на 80mg до 120mg, ще мога да проследя това, използвайки преди и след.
Чувствителните колони е друго нещо, с което се сблъскваме много, например с PCI съответствие. В ситуацията тук имате данни, които са толкова чувствителни по своя характер, че само като гледам тази информация, не е нужно да я променям, изтривам или добавям към нея, мога да причиня непоправима вреда. Номерите на кредитни карти, социалноосигурителните номера, всички подобни добри неща, с които можем да идентифицираме чувствителни колони и да връзваме сигнали за това. Ако някой излезе и погледне тази информация, ние очевидно бихме могли да предупредим и изпратим имейл или да генерираме SNMP капан и подобни неща.
Сега в някои случаи ще изпаднете в ситуация, в която може да имате изключение. И какво искам да кажа с това, имате ситуация, в която имате потребител, който има потребителски акаунт, който може да бъде обвързан с някакъв вид работа на ETL, който работи посред нощ. Това е документиран процес и просто не е необходимо да включвам тази транзакционна информация за този потребителски акаунт. В този случай щяхме да имаме надежден потребител. И тогава в други ситуации бихме използвали функцията на привилегирован потребителски одит, която по същество е, ако имам, да кажем например, приложение и това приложение вече прави одитиране на потребителите, които преминават през приложението, това е чудесно, вече имам за какво да се позова по отношение на моя одит. Но за нещата, които са обвързани например с моите привилегировани потребители, момчетата, които могат да влязат в студио за управление на SQL Server, за да разгледат данните в базата данни, това няма да ги намали. И така тук можем да определим кои са нашите привилегировани потребители, или чрез членство в ролите, или чрез акаунти в Active Directory, групи, акаунти, удостоверени със SQL, където ще можем да изберем всички тези различни видове опции и след това от там се уверете, че за тези привилегировани потребители можем да определим видовете транзакции, които се интересуваме от одита.
Това са всевъзможни различни опции, които имате и аз няма да премина през всички различни видове неща въз основа на ограниченията във времето за тази презентация. Но искам да ви покажа как можем да гледаме данните и мисля, че ще ви хареса как става това, защото има два начина да го направим. Мога да го правя интерактивно и така, когато разговаряме с хора, които се интересуват от този инструмент за може би техните собствени вътрешни контроли, те просто искат да знаят какво се случва в много случаи. Не е задължително да имат одитори, които идват на място. Те просто искат да знаят: „Ей, искам да отида след тази маса и да видя кой го е докоснал през последната седмица или миналия месец или каквото и да е.“ В този случай можете да видите колко бързо можем да направим това.
В случая с базата данни на здравеопазването имам таблица, наречена „Пациенти на пациентите“. И тази маса, ако бях само група по обект, тя може много бързо да започне да се стеснява там, където търсим. Може би искам да групирам по категории и след това може би по събитие. И когато го направя, можете да видите колко бързо това се показва и там е моята таблица с пациентски записи точно там. И докато проучвам, сега можем да видим DML активността, можем да видим, че сме имали хиляди вложки на DML и когато отворим една от тези транзакции, можем да видим съответната информация. Кой, какво, какво, кога, къде на транзакцията, SQL изявление, очевидно, действителното приложение, което се използва за извършване на транзакцията, акаунта, часа и датата.
Сега ако погледнете следващия раздел тук, раздел Подробности, това се връща към третия въпрос, за който говорим, доказващ, че целостта на данните не е нарушена. Така че по принцип за всяко събитие, ние имаме секретно изчисление за нашата стойност на хеш и това ще се върне, когато правим нашата проверка на целостта. Например, ако трябваше да изляза на инструмента, да вляза в менюто за одит, а аз трябваше да изляза и да кажа, нека проверим целостта на хранилището, бих могъл да насоча към базата данни, където е пътеката за одит, тя ще се изпълни чрез проверка на целостта, която съответства на тези хеш-стойности и стойности на CRC с действителните събития и ще ни каже, че не са открити проблеми. С други думи, данните в одитната пътека не са били подправени, тъй като първоначално са били написани от службата за управление. Това очевидно е един от начините за взаимодействие с данните. Другият начин би бил чрез самите доклади. И така просто ще ви дам един бърз пример за доклад.
И още веднъж, тези доклади, начинът, по който ги измислихме, не са специфични за всеки тип стандарт като PCI, HIPAA, SOX или нещо подобно. За пореден път това е общият знаменател на това, което правим, и в този случай, ако се върнем към този пример на записи на пациенти, бихме могли да излезем и да кажем, в нашия случай тук, ние търсим в базата данни на здравеопазването и в нашия случай искаме да се съсредоточим конкретно върху тази таблица, за която знаем, че съдържа частна информация, в нашия случай, свързана с нашите пациенти. И така, нека да видя дали мога да го напиша тук, и ще продължим напред и ще пуснем този доклад. И очевидно ще видим оттам всички релевантни данни, свързани с този обект. И в нашия случай ни показва за период от един месец. Но бихме могли да се върнем шест месеца, година, колкото и дълго да съхраняваме данните.
Това са видовете начини, по които бихте могли да докажете, ако желаете, пред одитора, че следвате контрола си. След като идентифицирате това, очевидно това е добро нещо от гледна точка на преминаването на вашия одит и възможността да покажете, че следвате контролите и всичко работи.
Последното нещо, което искам да демонстрирам, е в раздела за администрацията. Също така има контрол от гледна точка на самия инструмент, който може да задава контроли, за да може да се увери, че ако някой прави нещо, което не би трябвало да прави, аз мога да го осъзная. И ще ви дам няколко примера. Имам акаунт за вход, който е обвързан с услуга и тази услуга се нуждае от повишени разрешения, за да прави това, което прави. Това, което не искам, е някой да влезе и използва този акаунт в Management Studio и след това, знаете, да го използва за неща, за които не е бил предназначен. Тук ще имаме две критерии, които бихме могли да приложим. Бих могъл да кажа: „Вижте, ние наистина се интересуваме от това да работим, да речем, с нашето PeopleSoft приложение“, само като пример, добре?
Сега, когато го направих, това, което казвам тук, е любопитно да знам всички влизания, които са обвързани с акаунта, готов съм да посоча, дали приложението, което се използва за влизане с този акаунт не е PeopleSoft, тогава това ще бъде повишение на алармата. И очевидно трябва да посочим самото име на акаунта, така че в нашия случай нека просто да се обадим на тази Priv Account, заради факта, че тя е привилегирована. След като веднъж направихме това, когато правим това тук, сега бихме могли да уточним какво бихме искали да се случи, когато това се случи и за всеки тип събитие или, трябва да кажа, предупреждение, можете да има отделно известие до лицето, което е отговорно за конкретната част от данните.
Например, ако е информация за заплатата, може да отиде при моя директор по човешки ресурси. В този случай, като се занимава с приложението PeopleSoft, ще бъде администратор на това приложение. Какъвто и да е случаят. Бих могъл да вмъкна моя имейл адрес, да персонализирате действителното предупредително съобщение и всички подобни добри неща. За пореден път това се връща към възможността да се уверите, че можете да покажете, че следвате контролите си и че тези контроли работят по начина, по който са предназначени. От последната гледна точка тук, само по отношение на поддръжката, ние имаме възможността да приемаме тези данни и да ги поставяме офлайн. Мога да архивирам данните и мога да ги планирам и ние бихме били в състояние да направим тези неща много лесно в смисъл, че вие всъщност бихте могли да бъдете като DBA, който използва този инструмент, настройва и го ходете далеч от него Няма много държане на ръка, което ще се проведе, след като го настроите така, както трябва да бъде. Както казах, най-трудната част от всичко това, според мен, е да не настроите това, което искате одит, а да знаете какво искате да настроите за одит.
И както казах, естеството на звяра с одит, трябва да съхранявате данните в продължение на седем години, така че има смисъл да се съсредоточите само в онези области, които са чувствителни по природа. Но ако искате да се подходите към събирането на всичко, абсолютно можете, това просто не се счита за най-добрата практика. Така че от тази гледна точка бих искал просто да напомня на хората, че ако това е нещо, което представлява интерес, можете да отидете на уебсайта на IDERA.com и да изтеглите опит за това и сами да си поиграете с него. По отношение на безплатния инструмент, за който говорихме по-рано, това е, безплатно е, можете да го изтеглите и да го използвате завинаги, независимо дали използвате продукта на Compliance Manager. Хубавото на този инструмент за търсене на колони е, че нашите открития, които представяте, и всъщност мога да покажа, че според мен ще можете да експортирате тези данни и след това да можете да ги импортирате в Compliance Manager също. Не го виждам, знам, че е тук, ето го. Това е само пример за това. Това е мястото, където се намират свързани чувствителни данни.
Сега този случай съм излязъл и наистина съм, преглеждам всичко, но вие имате само един тон неща, които можем да проверим. Номера на кредитни карти, адреси, имена, всякакви подобни неща. И ние ще определим къде се намира в базата данни и след това от там можете да вземете решение дали всъщност искате да ревизирате тази информация или не. Но определено е начин да ви улесни много да определите обхвата си на одит, когато разглеждате инструмент като този.
Просто ще продължа напред и ще затворя с това и ще го предам обратно на Ерик.
Ерик Кавана: Това е фантастично представяне. Обичам начина, по който наистина влизате в мрачните детайли и ни показвате какво се случва. Тъй като в края на деня има някаква система, която ще има достъп до някои записи, това ще ви даде отчет, това ще ви накара да разкажете историята си, независимо дали това е на регулатор или одитор или някой от вашия екип, така че е добре да знаете, че сте подготвени дали и кога, или както и кога, този човек идва да чука и разбира се, това е неприятната ситуация, която се опитвате да избегнете. Но ако това се случи и вероятно това ще се случи тези дни, вие искате да сте сигурни, че разполагате с точка и вашия T е кръстосана.
Има добър въпрос от член на аудиторията, който искам да изхвърля първо на вас, Бълет, а след това, ако може би някой водещ иска да го коментира, не се колебайте. И тогава може би Дез да зададе въпрос и Робин. Въпросът е, че е справедливо да се каже, че за да направите всички онези неща, които споменахте, трябва да започнете усилие за класифициране на данни на елементарно ниво? Трябва да знаете данните си, когато те се очертаят като ценен потенциален актив и да направите нещо по въпроса. Мисля, че ще се съгласиш, Бълет, нали?
Bullett Manale: Да, абсолютно. Искам да кажа, че трябва да знаете данните си. И осъзнавам, признавам, че има много приложения, които са навън и има много различни неща, които имат движещи се части във вашата организация. Инструментът за търсене на колони е много полезен по отношение на стъпването в посока за по-добро разбиране на тези данни. Но да, много е важно. Искам да кажа, че имате възможността да извършите подхода на firehose и да одитирате всичко, но просто е много по-предизвикателно по този начин логистично, когато говорите за необходимостта да съхранявате тези данни и да докладвате срещу тези данни. И тогава все още трябва да знаете къде е тази част от данните, защото когато пускате отчетите си, ще трябва да покажете и на одиторите си тази информация. Така че мисля, че както казах, най-голямото предизвикателство, когато говоря с администраторите на бази данни, е да знам, да.
Ерик Кавана: Да, но може би Робин ще ви доведем бързо. Струва ми се, че правилото 80/20 важи тук, нали? Вероятно няма да намерите всяка система от записи, която има значение, ако сте в някаква средна или голяма организация, но ако се съсредоточите върху - като Bullett предлагаше тук - PeopleSoft, например, или други записи на системи, които са преобладаващ в предприятието, там се фокусира 80 процента от усилията ви и след това 20 процента е върху другите системи, които може да са някъде там, нали?
Робин Блур: Ами сигурен съм, да. Искам да кажа, знаете, мисля, че проблемът с тази технология и мисля, че вероятно си струва да я коментирам, но проблемът с тази технология е, как да я приложите? Искам да кажа, че определено липсва познание, да речем, в повечето организации дори за броя на базите данни, които са там. Знаеш ли, има страшно много липса на инвентар, да речем. Знаеш ли, въпросът е, да си представим, че започваме в ситуация, в която няма особено добре управлявано съответствие, как приемаш тази технология и я инжектираш в околната среда, а не само в, знаеш, технология условия, настройване на нещата, но като кой го управлява, кой определя какво? Как започвате да обувате това в истинско нещо, което върши своята работа?
Bullett Manale: Ами искам да кажа, че това е добър въпрос. Предизвикателството в много случаи е, че искам да кажа, че трябва да започнете да задавате въпросите още в самото начало. Натъкнах се на много компании, в които те, знаете, може би са частна компания и са се придобили, има първоначален вид, първо, вид, пътна борба, ако искате да я наречете така. Например, ако току-що станах публично търгувана компания заради придобиване, ще трябва да се върна назад и вероятно ще разбера някои неща.
И в някои случаи говорим с организации, които знаете, въпреки че са частни, те спазват правилата за съответствие с SOX, просто защото в случай, че искат да се придобият, те знаят, че трябва да се съобразяват. Определено не искате да възприемате подхода на просто: „Нямам нужда да се притеснявам за това сега.“ Всякакъв вид спазване на регулациите като PCI или SOX или каквото и да е, искате да инвестирате в извършване на изследвания или разбиране къде е тази чувствителна информация, в противен случай може да се окажете, че се занимавате с някакви значителни, огромни глоби. И е много по-добре просто да инвестирате това време, знаете, да откриете тези данни и да можете да отчитате срещу тях и да покажете, че контролите работят.
Да, що се отнася до настройването му, както казах, първото нещо, което бих препоръчал на хората, които се готвят да се изправят пред одит, е просто да излязат и да направят кратък преглед на базата данни и да разберат, че знайте, че в най-добрите си усилия се опитват да разберат къде са тези чувствителни данни. И другият подход би бил да започнете с може би по-голяма мрежа от гледна точка на обхвата на одита, а след това бавно да ограничите пътя си надолу, след като, по някакъв начин, разберете къде са тези области в системата, които са свързани с чувствителна информация. Но бих искал да ти кажа, че има лесен отговор на този въпрос. Вероятно ще се различава доста от една организация до друга и вида на съответствие и наистина как, знаете, колко структура имат в своите приложения и колко имат, различни приложения имат, някои могат да бъдат написани по поръчка приложения, така че наистина ще зависи от ситуацията в много случаи.
Ерик Кавана: Давай, Дез, сигурен съм, че имаш въпрос или два.
Дез Бланшфийлд: Всъщност искам да добия малко поглед върху вашите наблюдения около въздействието върху организациите от гледна точка на хората. Мисля, че една от областите, в която виждам най-голяма полза за това конкретно решение е, че когато хората се събудят сутрин и отидат да работят на различни нива на организацията, те се събуждат с поредица или верига от отговорност че трябва да се справят. И аз имам желание да придобия известна представа за това, което виждате там с и без видовете инструменти, за които говорите. И контекста, за който говоря тук, е от председателя на нивото на борда до изпълнителния директор и CIO и C-Suite. И сега имаме главни служители по рисковете, които мислят повече за видовете неща, за които говорим тук в съответствие и управление, и тогава имаме нови ръководители на ролеви игри, главен служител по данни, кой е, знаете ли, още по-загрижени за това.
И отстрани на всеки от тях, около CIO, имаме ИТ мениджъри от едната страна с, както знаете, технически води и след това води до база данни. И в операционното пространство имаме мениджъри на разработки и водещи разработки, а след това и отделни разработки, и те също се връщат в слоя за администриране на базата данни. Какво виждате около реакцията на всяка от тези различни части на бизнеса на предизвикателството за спазване на изискванията и регулаторното отчитане и техния подход към него? Виждате ли, че хората идват с това с плам и виждат ползата за това, или виждате, че те неохотно влачат краката си към това нещо и просто, знаете ли, го правят за кърлеж в кутията? И какви са отговорите, които виждате, след като видят вашия софтуер?
Bullett Manale: Да, това е добър въпрос. Бих казал, че този продукт, продажбите на този продукт, се управляват най-вече от някой, който е на горещата седалка, ако това има смисъл. В повечето случаи това е DBA, и от наша гледна точка, с други думи, те знаят, че предстои одит и ще носят отговорност, тъй като те са DBA, за да могат да предоставят информацията, която одиторът отива питам. Те могат да направят това, като напишат свои собствени доклади и създават свои собствени следи и всички тези неща. Реалността е, че те не искат да правят това. В повечето случаи DBA не очакват наистина да започнат тези разговори с одитора. Знаеш ли, по-скоро бих ти казал, че можем да се обадим на компания и да кажем: „Ей, това е чудесен инструмент и ще ви хареса“ и им покажете всички функции и те ще го купят.
Реалността е, че обикновено те няма да търсят този инструмент, освен ако всъщност няма да бъдат изправени пред одит или от другата страна на тази монета, дали са извършили одит и не са го провалили мизерно и сега са казват да получат помощ или те ще бъдат глобени. Бих казал, че по отношение на, знаете ли, като цяло, когато покажете на този продукт на хората, те определено виждат стойността му, защото това им спестява много време, от гледна точка на това да се наложи да разберат за какво искат да докладват., такива неща. Всички тези доклади вече са вградени, механизмите за предупреждение са налице и след това с третия въпрос също в много случаи може да бъде предизвикателство. Защото мога да ви показвам отчети през целия ден, но освен ако не можете да ми докажете, че тези доклади са действително валидни, знаете, за мен като DBA е много по-трудно предложението, за да мога да го покажа. Но ние разработихме технологията и техниката на хеширане и всички тези неща, за да можем да гарантираме, че данните в своята цялост на одиторските пътеки се запазват.
И така това са нещата, които са моите наблюдения по отношение на повечето хора, с които говорим. Знаеш ли, определено има в различни организации, знаеш като, ще чуеш за, знаеш като, Target, например, имаше нарушение на данните и, разбираш ли, искам да кажа, когато други организации чуят за глобите и тези различни неща, които хората започват, това повдига вежда, така че, да се надяваме, че отговаря на въпроса.
Дез Бланчфийлд: Да, определено. Мога да си представя някои DBA, когато най-накрая виждат какво може да се направи с инструмента, просто осъзнават, че имат и своите късни нощи и почивни дни. Намаляване на времето и разходите и други неща, които виждам, когато се прилагат подходящите инструменти за целия този проблем и това е, че три седмици седях в банка тук, в Австралия. Те са глобална банка, тройка банка, те са масови. И те имаха проект, в който трябваше да отчитат спазването на управлението на богатството си и особено риска, и гледаха на 60 седмици работа за няколкостотин човешки същества. И когато им бяха показани харесвания на инструмент като вас, който можеше просто да автоматизира процеса, този смисъл, видът на техните лица, когато разбраха, че не трябва да прекарват X брой седмици със стотици хора, които правят ръчен процес, беше нещо като те са намерили Бог. Но предизвикателното нещо тогава беше как всъщност да го поставим в план, както д-р Робин Блур посочи, знаете, това е нещо, което се превръща в смесица от поведенчески, културен промяна. На нивата, с които се занимавате, които се занимават с това директно на ниво приложение, каква промяна виждате, когато започнат да приемат инструмент за извършване на вида отчет и одит и контроли, които можете да предложите, като за разлика от това, което може би са направили ръчно? Как изглежда това, когато те действително приложат на практика?
Bullett Manale: Питате ли се, каква е разликата по отношение на ръчното използване на този инструмент спрямо използването на този инструмент? Това ли е въпросът?
Дез Бланшфийлд: Е, конкретно въздействието на бизнеса. Например, ако се опитваме да постигнем съответствие в ръчен процес, знаете, неизменно ни отнема много време с много хора. Но предполагам, за да поставим някакъв контекст около въпроса, както знаете, говорим ли за един човек, който използва този инструмент, който замества потенциално 50 души и е в състояние да направи същото в реално време или за часове срещу месеци? Това ли е, какво общо се оказва това?
Bullett Manale: Ами искам да кажа, че се свежда до няколко неща. Единият е способността да отговаря на тези въпроси. Някои от тези неща няма да бъдат направени много лесно. Така че да, времето, което отнема да направите домашните неща, да напишете отчетите самостоятелно, да настроите следите или разширените събития, за да събирате данните ръчно, може да отнеме много време. Наистина, ще ви дам някои, искам да кажа, това всъщност не се отнася до базите данни като цяло, но като веднага след като Enron се случи и SOX стана преобладаващ, бях в една от по-големите петролни компании в Хюстън и разчитахме на, Мисля, че 25 процента от разходите ни за бизнес бяха свързани със спазването на SOX.
Това беше точно след това и това беше някаква първоначална първа стъпка в SOX, но нещата с, бих казал, знаете, получавате много полза, като използвате този инструмент в смисъл, че той не изисква много от хората, които правят това и много различни видове хора да го правят. И както казах, DBA обикновено не е човекът, който наистина очаква с разговори тези одитори. Така че в много случаи ще видим, че DBA може да разтовари това и да бъде в състояние да предостави доклада да бъде свързан с одитора и те могат да се отстранят напълно от уравнението, вместо да се налага да участват. Знаете ли, това е огромна икономия и по отношение на ресурсите, когато можете да направите това.
Дез Бланчфийлд: Говорите за масово намаляване на разходите, нали? Организациите не само премахват риска и режийните разходи, но искам да кажа, че по същество вие говорите за значително намаляване на разходите, A) оперативно, а също и B) във факта, че знаете, ако те действително могат да осигурят реални условия. отчитане на спазването на времето, че има значително намален риск от нарушаване на данните или някаква законова глоба или въздействие за неспазване, нали?
Bullett Manale: Да, абсолютно. Искам да кажа, че за несъобразяване се случват всякакви лоши неща. Те могат да използват този инструмент и би било чудесно или не го правят и ще разберат колко лошо е всъщност. Така че да, не само инструментът очевидно, можете да правите проверки и всичко без инструмент като този. Както казах, просто ще отнеме много повече време и разходи.
Дез Бланчфийлд: Това е страхотно. Така че Ерик, ще се върна при теб, защото смятам, че за мен това е, че знаете, видът на пазара е фантастичен. Но също така, по същество това нещо си струва теглото в злато въз основа на това, че е в състояние да избегне търговското въздействие на даден проблем или да бъде в състояние да намали времето, необходимо за докладване и управление на спазването, просто го прави, знаете, инструмент се изплаща веднага от звуците на нещата.
Ерик Кавана: Точно така. Е, много благодаря за отделеното време днес, Бълет. Благодаря на всички вас за отделеното време и внимание, както и на Робин и Дез. Още едно страхотно представяне днес. Благодарим на нашите приятели от IDERA, че ни позволиха да ви предоставяме безплатно това съдържание. Ще архивираме тази уебкаст за по-късно гледане. Архивът обикновено е готов за около един ден. И ни уведомете какво мислите за нашия нов уебсайт, insideanalysis.com. Съвсем нов дизайн, изцяло нов външен вид и усещане. Ще се радваме да чуем вашите отзиви и с това ще ви сбогувам, хора. Можете да ми изпратите имейл. В противен случай ще ви догоним следващата седмица. В следващите пет седмици имаме седем уеб предавания или нещо подобно. Ще бъдем заети. И ще бъдем на Стратегическата конференция и срещата на върха на IBM Analyst в Ню Йорк по-късно този месец. Така че, ако сте наоколо, спрете се и поздравете. Внимавайте, хора. Чао чао.
