Tekijä Techopedia Staff, 14. syyskuuta 2016
Takeaway: Isäntä Eric Kavanagh keskustelee tietokantojen tarkastamisesta ja noudattamisesta analyyttien Robin Bloorin ja Dez Blanchfieldin sekä IDERAn Bullett Manale -yrityksen kanssa tässä Hot Technologies -jaksossa.
Et ole tällä hetkellä kirjautunut sisään. Kirjaudu sisään tai kirjaudu sisään nähdäksesi videon.
Eric Kavanagh: Hyvät naiset ja herrat, hei ja tervetuloa taas kerran Hot Technologiesiin! Kyllä, vuonna 2016. Olemme näyttelyn kolmantena vuonna, se on erittäin jännittävää. Olemme keinuvat ja vierivät tänä vuonna. Tässä on isäntäsi Eric Kavanagh. Tämän päivän aihe - tämä on hieno aihe, sillä on paljon sovelluksia useilla aloilla, sanottuna - "Kuka, mitä, missä ja miten: miksi haluat tietää". Kyllä, todella, aiomme puhua kaikista hauskoista asioista. Siellä on dia sinun oikeasta, lyö minut Twitteriin @eric_kavanagh. Yritän twiittiä uudelleen kaikki maininnat ja twiittiä uudelleen kaikki, jotka joku lähettää minulle. Muuten olkoon niin.
On kuuma, kyllä todellakin! Koko näyttely on suunniteltu auttamaan organisaatioita ja yksilöitä ymmärtämään erityyppisiä tekniikoita. Suunnittelimme täällä koko ohjelman, Hot Technologies, tapana määritellä tietynlainen ohjelmisto tai tietty suuntaus tai erityinen tekniikka. Syynä on se, että rehellisesti sanottuna ohjelmistomaailmassa saat usein nämä markkinointitermit, jotka joutuvat yhtyeeseen ja toisinaan he voivat sotkeutua rehellisesti käsitteisiin, joita niiden oli tarkoitus kuvailla.
Tässä näyttelyssä yritämme todella auttaa sinua ymmärtämään, mikä tietynlainen tekniikka on, miten se toimii, kun voit käyttää sitä, kun sinun ei pitäisi käyttää sitä ehkä, ja antaa sinulle niin paljon yksityiskohtia kuin mahdollista. Meillä on tänään kolme esittelijää: oma Robin Bloor, pääanalyytikko täällä Bloor-ryhmässä; datatieteilijämme, soittava Sydneystä, Australiasta toiselle puolelle planeetta Dez Blanchfieldiä, ja yksi suosikkivieraistamme Bullett Manale, IDERAn myyntitekniikan johtaja.
Sanon vain pari asiaa täällä ymmärtääkseni kuka tekee mitä minkä tahansa tiedon kanssa, se on sellainen kuin hallinto, eikö niin? Jos ajatellaan kaikkia alojen, kuten terveydenhuollon ja finanssipalvelujen, ympäristösäännöksiä näillä aloilla, nämä asiat ovat uskomattoman tärkeitä. Sinun on tiedettävä, kuka kosketti tietoja, kuka muutti jotain, kuka käytti sitä, kuka latasi sen. Mikä on sukututki, mikä on näiden tietojen providence? Voit olla varma, että kaikki nämä asiat tulevat olemaan näkyviä tulevina vuosina kaikenlaisista syistä. Ei vain vaatimustenmukaisuuden vuoksi, vaikka HIPAA, ja Sarbanes-Oxley ja Dodd-Frank, ja kaikki nämä säädökset ovat erittäin merkittäviä, mutta myös vain niin, että ymmärrät yrityksessäsi, kuka tekee mitä, missä, milloin, miksi ja miten. Tämä on hyvää, kiinnitämme huomion.
Mene eteenpäin, ota se pois, Robin Bloor.
Robin Bloor: Okei, kiitos johdannosta, Eric. Tämä hallintotapa on, tarkoitan, tietotekniikan hallinto ei ollut sana, jonka kuulitte vasta vähän vuoden 2000 jälkeen, luulen. Se syntyi pääasiassa siksi, että mielestäni muutenkin, se johtui ensisijaisesti siksi, että meneillään oli sääntöjen noudattamista koskeva lainsäädäntö. Erityisesti HIPAA ja Sarbanes-Oxley. Sitä on todella paljon. Siksi organisaatiot ymmärsivät, että niillä oli oltava joukko sääntöjä ja menettelytapoja, koska lain mukaan se oli välttämätöntä. Kauan ennen sitä, etenkin pankkisektorilla, oli useita aloitteita, joita sinun oli noudatettava riippuen siitä, millainen pankki olet, ja etenkin kansainvälisistä pankkiireista. Koko Baselin vaatimusten mukainen aloitettiin tavalla, aivan ennen kyseistä erityistä aloitetta vuoden 2000 jälkeen. Kaikki todella kuuluu hallintotapaan. Ajattelin puhua hallintotavan ympärillä johdannona keskittyä pitämään silmällä sitä, kuka tietoja saa.
Tietohallinto, jota olen tapana katsoa ympärilleni, ajattelen noin viisi tai kuusi vuotta sitten, katsoa määritelmiä, ja se ei ollut lainkaan määritelty. Se on tullut selvemmäksi ja selvemmäksi, mitä se oikeastaan tarkoittaa. Tilanne oli tosiseikka, että tietyissä rajoissa kaikki tiedot olivat tosiasiallisesti aiemmin hallinnassa, mutta sitä varten ei ollut virallisia sääntöjä. Erityisesti pankkisektorilla tehtiin erityisiä sääntöjä tällaisten asioiden tekemisestä, mutta taas tämä koski enemmän sääntöjen noudattamista. Todella tai toisella todistamalla, että olit oikeasti - se liittyy tavallaan riskiin, joten se todistaa, että olit elinkelpoinen pankki.
Jos tarkastellaan hallintotapaa nyt, se alkaa tosiasiasta suurten tietojen liikkeestä. Meillä on yhä enemmän tietolähteitä. Tietojen määrä on tietenkin ongelma tässä. Erityisesti aloimme tehdä paljon, paljon ja enemmän jäsentämättömällä tiedolla. Siitä tuli jotain, joka on osa koko analytiikkapeliä. Ja analytiikan vuoksi datan alkuperä ja linjat ovat tärkeitä. Oikeastaan siltä kannalta, että käytät data-analytiikkaa millä tahansa tavalla minkäänlaiseen noudattamiseen, sinun on todellakin oltava tieto siitä, mistä tiedot ovat peräisin ja miten niiden on oltava sitä mitä se on.
Tietosuojauksesta alkoi tulla ongelma, siitä tuli isompi kysymys heti kun menimme Hadoopiin, koska idea tietojärvestä, johon tallennamme paljon tietoa, tarkoittaa yhtäkkiä, että sinulla on valtava alue haavoittuvia ihmisiä, jotka voivat saada sitä. Tietojen salaus tuli huomattavasti näkyvämmäksi. Todennus oli aina ongelma. Vanhemmassa ympäristössä, tiukasti keskusyksikköympäristössä, heillä oli niin upea kehäturvallisuus; todennus ei ollut koskaan oikeastaan suuri ongelma. Myöhemmin siitä tuli isompi kysymys ja se on paljon enemmän asia nyt, koska meillä on niin valtavasti hajautettuja ympäristöjä. Tietojen saatavuuden seuranta, josta tuli ongelma. Näyttää siltä, että muistan erilaisia työkaluja, jotka tulivat käyttöön noin kymmenen vuotta sitten. Mielestäni suurin osa näistä ajoi noudattamista koskevia aloitteita. Siksi meillä on myös kaikki vaatimustenmukaisuussäännöt, vaatimustenmukaisuusraportointi.
Mielestäni on se, että jo 1990-luvulla, kun teit kliinisiä tutkimuksia lääketeollisuudessa, sinun ei tarvinnut vain todistaa mistä tiedot tulivat - se on tietenkin erittäin tärkeää, jos yrität huumausaineiden käytöstä erilaisissa yhteyksissä, tietääkseen ketä kokeillaan ja mitä ympäröivää asiayhteystietoa on pidettävä - sinun on voitava suorittaa tarkastus ohjelmistosta, joka tosiasiallisesti loi tiedot. Se on vakavain noudattamistapa, mitä olen koskaan nähnyt missään, todistaaksesi, ettet oikeasti sekoita asioita tahallisesti tai vahingossa. Viime aikoina erityisesti tietojen elinkaaren hallinnasta on tullut ongelma. Kaikki nämä ovat tavallaan haasteita, koska monia niistä ei ole tehty hyvin. Monissa tilanteissa ne on välttämätöntä tehdä.
Tätä kutsun datapyramidiksi. Olen eräänlainen puhunut tästä aiemmin. Minusta on erittäin mielenkiintoinen tapa katsoa asioita. Voit ajatella tietoja olevan kerroksia. Raakadata, jos haluat, on oikeastaan vain signaaleja tai mittauksia, tallenteita, tapahtumia, yksittäisiä tietueita. Mahdollisesti transaktiot, laskelmat ja aggregaatiot tietysti luovat uutta tietoa. Niitä voidaan ajatella tietotasolla. Tämän lisäksi, kun tosiasiallisesti yhdistät tiedot toisistaan, siitä tulee tietoa. Siitä tulee hyödyllisempää, mutta tietenkin se tulee alttiimmaksi ihmisille, jotka hakkeroivat sitä tai väärinkäyttävät sitä. Määritän, että luodaan oikeasti tietojen jäsentämisen avulla, jotta ne voivat visualisoida dataa, jolla on sanastot, kaaviot ja ontologiat. Nämä kaksi alempaa kerrosta ovat prosessoimme tavalla tai toisella. Tätä edellä kutsun tiedon tasoa, joka koostuu säännöistä, politiikoista, ohjeista ja menettelystä. Jotkut niistä voidaan tosiasiallisesti luoda analytiikassa löydettyjen oivalluksien avulla. Monet heistä ovat itse asiassa politiikkoja, joita sinun on noudatettava. Tämä on hallintotaso, jos haluat. Tässä tapauksessa, jos tätä tasoa ei ole täytetty asianmukaisesti, niin alla olevia kahta tasoa ei hallita tavalla tai toisella. Viimeinen asia tässä on ymmärtäminen jostakin, joka vain ihmisissä elää. Tietokoneet eivät ole vielä onnistuneet tekemään niin, onneksi. Muuten olisin poissa työstä.
Hallintoimperiumi - Panin tämän tavallaan yhteen, mielestäni sen piti olla noin yhdeksän kuukautta sitten, mahdollisesti paljon aikaisemmin. Periaatteessa paransin sitä jonkin verran, mutta heti kun aloimme huolehtia hallinnosta, yritystietokeskuksessa ei ollut vain tietovarastoa, tietojärviresursseja, vaan myös erilaisia yleisiä palvelimia, erikoistuneet datapalvelimet. Kaikkia niitä oli hallittava. Kun tarkastelit tosiasiallisesti myös erilaisia ulottuvuuksia - tietoturvaa, tietojen puhdistamista, metatietojen löytämistä ja metatietojen hallintaa, liiketoimintasanaston luomista, datan kartoitusta, tietolinjaa, tietojen elinkaaren hallintaa - silloin suorituskyvyn seurannan hallinta, palvelutason hallinta, järjestelmänhallinta, jota et ehkä itse liity hallintoon, mutta tietty - nyt, kun olemme siirtymässä nopeampaan ja nopeampaan maailmaan, jossa on yhä enemmän datavirtoja, kyetä tekemään jotain tietyllä suorituskyvyllä on todella välttämätöntä ja alkaa tulla toimintasääntöksi minkään muun sijaan.
Yhteenvetona vaatimustenmukaisuuden kasvusta katsotin tämän tapahtuvan monien, monien vuosien ajan, mutta yleinen tietosuoja tuli tosiasiassa Euroopassa 1990-luvulla. Se on vain lisääntynyt ja kehittyneempi siitä lähtien. Sitten kaikki nämä asiat alkoivat esitellä tai tehdä entistä hienostuneempia. GRC, hallintariski ja vaatimustenmukaisuus, on jatkunut pankkien perustamisen jälkeen. ISO on luonut standardeja monenlaisille toiminnoille. Tiedän koko ajan, että olen ollut IT: ssä - se on ollut kauan aikaa - Yhdysvaltojen hallitus on ollut erityisen aktiivinen luomaan erilaisia lakeja: SOX, siellä on Gramm-Leach-Bliley, HIPAA, FISMA, FERPA. Sinulla on myös upea NIST-organisaatio, joka luo monia standardeja, erityisesti turvallisuusstandardeja, erittäin hyödyllisiä. Euroopan tietosuojalakeilla on paikallisia eroja. Se, mitä henkilökohtaisilla tiedoilla voi tehdä esimerkiksi Saksassa, eroaa siitä, mitä voit tehdä Slovakian tasavallassa tai Sloveniassa tai missä tahansa. He esittelivät äskettäin - ja ajattelin, että mainitsen tämän, koska pidän siitä hauskaa - Eurooppa esittelee ajatuksen oikeudesta unohtaa. Toisin sanoen julkisiin tietoihin, jotka todella ovat henkilötietoja, olisi oltava vanhentumissääntö. Minusta se on hilpeä. Tietotekniikan kannalta siitä tulee erittäin, hyvin vaikeaa, jos siitä tulee tehokasta lainsäädäntöä. Yhteenvetona sanoisin seuraavan: Koska IT-tiedot ja hallinta kehittyvät nopeasti, myös hallinnan on kehityttävä nopeasti ja se koskee kaikkia hallinnon alueita.
Tämän jälkeen annan pallon Dezille.
Eric Kavanagh: Kyllä, Dez Blanchfield, ota se pois. Robin, olen kanssasi, mies, olen kuolemassa nähdäkseni, kuinka tämä oikeus unohtaa käy ilmi. Mielestäni se ei tule olemaan vain haastavaa, mutta periaatteessa mahdotonta. Se on vain rikkomus odottamisesta, että valtion virastot käyttävät sitä. Dez, vie se pois.
Dez Blanchfield: Se on todellakin ja se on aihe uudelle keskustelulle. Meillä on hyvin samanlainen haaste täällä Aasian ja Tyynenmeren alueella, ja etenkin Australiassa, missä operaattoreita ja Internet-palveluntarjoajia vaaditaan kirjaamaan kaikki Internetiin liittyvät asiat ja pystymään tallentamaan ja rekisteröimään se uudelleen, jos kiinnostava joku tekee jotain väärin. Se on laki, ja sinun on noudatettava sitä. Haaste, samoin kuin jollekin Googlessa Yhdysvalloissa olevalle joudutaan kehottamaan poistamaan hakuhistoriaani tai mitä tahansa, se saattaa olla noudattaa eurooppalaista lakia, erityisesti Saksan yksityisyyslakia. Jos Australiassa toimisto haluaa tutkia sinua, operaattorin on kyettävä toimittamaan tiedot soitetuista puheluista ja hakuhistoriasta, mikä on haastavaa, mutta se on maailma, jossa elämme. Tähän on joukko syitä. Annan minun hypätä miinoihini.
Tein tietoisesti otsikkosivuni vaikeaksi luettavaksi. Sinun on todella tarkasteltava kovasti sitä tekstiä. Määräysten, sotkuisen taustan mukainen määräysten, eritelmien, valvonnan, politiikkojen, standardien tai lakien mukainen. Tämä johtuu siitä, että sinun on todella tarkasteltava vaikeaa saada yksityiskohtia ja vetää tietoja siitä, mistä se on päällekkäistä, eli taulukkosarja, rivi- ja sarakkeesarja, joko tietokanta, kaavio tai Vision malli. Sellainen noudattamisen tyyppi tuntuu päivittäin. On melko vaikeaa sukeltaa yksityiskohtiin ja vetää pois tarvittavat bitit tietoa, jonka tarvitset voidaksesi vahvistaa, että olet yhteensopiva. Ilmoita siitä, valvo sitä ja testaa se.
Itse ajattelin todella hyvää tapaa visualisoida tämä, kun kysymme itseltämme kysymyksen "Oletko yhteensopiva?" "Oletko varma?" "No, todista se!" Siellä on todella hauska asia, joka on kenties hiukan anglokelisempi, mutta olen varma, että se on kulkenut ympäri maailmaa Yhdysvaltoihin, joten se on: "Missä on Wally?" Wally on pieni hahmo, joka pääsee näihin sarjakuvapiirroksiin kirjojen muodossa. Yleensä erittäin suurikokoiset kuvat A3: sta tai sitä suuremmasta. Joten, pöydän kokoiset piirrokset. Hän on pieni hahmo, jolla on pipo ja punavalkoinen raidallinen paita. Pelin idea on, että katsot tätä kuvaa ja katsot ympäri ympyröitä yrittääksesi löytää Wally. Hän on siinä kuvassa jossain. Kun mietit miten löytää ja kuvailla noudattamista koskevia raportteja ja raportoida niistä, se on monella tapaa kuin “Missä on Wally” pelaaminen. Jos katsot tätä kuvaa, hahmon löytäminen on melkein mahdotonta. Lapset viettävät tunteja siihen, ja minulla oli hauskaa tekemällä sitä itse eilen. Kun tarkastelemme sitä, löydämme näistä sarjakuvista kokonaisen joukon ihmisiä, jotka on tarkoituksellisesti sijoitettu sinne vastaavien kappaleiden kanssa raidallisen pipon ja pellavan Wally-asusta tai villapaita. Mutta ne muuttuvat vääriksi positiivisiksi.
Tämä on samanlainen haaste, jonka meillä on noudattamisella. Kun tarkastelemme asioita, joskus jotain, jonka mielestämme on kyse, ei ole lainkaan. Joku voi saada pääsyn tietokantaan ja heidän on tarkoitus saada tämä pääsy tietokantaan, mutta tapa, jolla he käyttävät tietokantaa, eroaa hiukan odotetusta. Saatamme päättää, että se on jotain, jota meidän on tarkasteltava. Kun tutkimme sitä, löydämme, että oikeasti, se on erittäin pätevä käyttäjä. He tekevät vain jotain omituista. Ehkä se on PC-tutkija tai kuka tietää. Muissa tapauksissa se voi olla päinvastainen. Todellisuus, kun menen jälleen eteenpäin, siellä on Wally. Jos katsoit todella kovaa tässä korkearesoluutiossa, on yksi hahmo, joka tosiasiassa käyttää asianmukaista pukua. Kaikki muut ovat vain näköisiä ja tuntemattomia. Määräystenmukaisuus tuntuu kovasti siltä. Suurin osa tuntemistani ihmisistä työskentelee yritystoiminnan valvonnassa, noudattamisessa ja politiikan aloilla. Monilla alueilla riippumatta siitä, onko kyse tekniikasta, rahoituksesta vai toiminnasta ja riskeistä. Usein on hyvin vaikea nähdä Wallya kuvassa, näet puita tai puuta.
Kysymyksemme itsellemme, kun ajattelemme esimerkiksi säännösten noudattamista, on "iso juttu, mikä voi mennä pieleen, jos emme aivan täytä vaatimuksia?" Tämänpäiväisen keskustelun yhteydessä, erityisesti tietokannan ja tietojen saatavuuden valvonnan suhteen, aion antaa teille joitain todella todellisia herätys esimerkkejä siitä, mikä voi mennä pieleen hyvin lyhyessä ytimekkäässä muodossa. Jos ajattelemme tietorikkomuksia ja olemme kaikki tietoisia tietorikkomuksista, kuulemme niitä tiedotusvälineissä ja lopetamme ja nauramme, koska ihmiset ajattelevat sen olevan markkinoita. Se on henkilökohtaisia asioita. Ashley Madison ja ihmiset etsivät päivämääriä parisuhteiden ja avioliittojen ulkopuolelle. Se on tilien pettäminen. Se on kaikki nämä outot asiat tai jotkut satunnaiset eurooppalaiset tai venäläiset Internet-palveluntarjoajat tai isäntäyritys saavat hakkeroinnin. Kun kyse on esimerkiksi MySpace: sta ja näistä kymmenestä, kun katsot näitä lukuja, haluan sinun ymmärtävän seuraavan: 1, 1 miljardin ihmisen yksityiskohdat näissä kymmenessä parhaassa rikkomuksessa. Ja kyllä, siellä on päällekkäisyyksiä, luultavasti ihmisillä on MySpace-tili ja Dropbox-tili ja Tumblr-tili, mutta pyöristetäkäämme sitä jopa miljardiin ihmiseen.
Nämä noin kymmenen viimeisen vuosikymmenen rikkomusta - jopa useimmissa tapauksissa - eivät muodosta noin seitsemännesosaa maailman väestöstä, mutta realistisemmin noin 50 prosenttia ihmisistä on yhteydessä Internet, yli miljardi ihmistä. Ne syntyvät, koska noudattamista ei ole joissain tapauksissa noudatettu. Useimmissa tapauksissa tarkasteltiin pääsyä tietokantaan, pääsyä tiettyihin tietojoukkoihin, järjestelmiin ja verkkoihin. Tämä on pelottava todellisuuden tarkistus. Jos se ei pelkää sinua, kun katsot kymmenen enimmäismäärää ja huomaat, että tämä on - tai voi nähdä, että kyseessä on miljardi ihmistä, oikeita ihmisiä, kuten me, tällä puhelulla tällä hetkellä. Jos sinulla on LinkedIn-tili, jos sinulla oli Dropbox- tai Tumblr-tili tai jos olet ostanut Adoben tuotteista tai jopa rekisteröitynyt, lataa ilmainen Adobe Viewer. On täysin todennäköistä, ettei mahdollista, on täysin todennäköistä, että tietosi, etunimesi, sukunimesi, sähköpostiosoitteesi, mahdollisesti jopa työyhtiösi osoite tai kotiosoitteesi tai luottokorttisi ovat tosiasiallisesti siellä rikkomisen takia Tämä tapahtui valvonnan takia, jota ei välttämättä hoidettu hyvin datanhallinnan ja tiedonhallinnan muodossa.
Katsotaanpa sitä, kun tarkastellaan sitä todella yksityiskohtaisesti. Niistä on yksi näyttö, siellä on noin 50-jotain. Siellä on vielä 15. Siellä on noin toinen 25. Nämä ovat tietorikkomuksia, jotka on lueteltu haveibeenpwned.com-sivustossa. Tämä voi mennä pieleen, jos jotain yksinkertaista, kuten valvontaa, jolla on ollut pääsy tietokantoihin eri aloilla ja riveillä, sarakkeilla ja yrityksesi eri sovelluksilla, ei hallita kunnolla. Nämä organisaatiot ovat nyt tietopohjaisia. Suurin osa tiedoista elää tietokannassa jossain muodossa. Kun mietit tätä, luettelo rikkomuksista, joita vain tarkastelimme, ja toivottavasti se on antanut sinulle hieman kylmän suihkun tietyssä mielessä siinä mielessä, että “Hmm, se on todella totta”, ja se on mahdollisesti vaikuttanut sinuun. Esimerkiksi vuonna 2012 kyseisestä LinkedIn-rikkomuksesta useimmilla ammattilaisilla on nykyään LinkedIn-tili ja on todennäköistä, että tietosi katoavat. He ovat olleet verkossa vuodesta 2012. Meille on kerrottu siitä vasta vuonna 2016. Mitä sinulle tapahtui tietojen kanssa näiden neljän vuoden aikana? No, se on mielenkiintoista ja voimme puhua siitä erikseen.
Tietokantojen ja järjestelmien hallinta - puhun usein siitä, mitä pidän viiden suurimpana haasteena näiden asioiden hallinnassa. Hyvin, erittäin korkealla ja sijoittaisin ne järjestyksessäni mielestäni, mutta myös vaikutusjärjestyksessä, ykkös on turvallisuus ja noudattaminen. Ohjeet ja mekanismit sekä politiikat sen valvomiseksi, jolla on mikä pääsy mihin järjestelmään, mistä syystä ja mihin tarkoitukseen. Raportoi siitä ja seuraa sitä, tarkastelee järjestelmiä, tutkii tietokantoja ja näkee, kuka todella voi käyttää tietueita, yksittäisiä kenttiä ja tietueita.
Ajattele tätä hyvin yksinkertaisessa muodossa. Puhutaanpa esimerkiksi pankkitoiminnasta ja varainhoidosta. Kun kirjaudut pankkitilille, sanotaan vain tavallinen kassatili EFTPOS-kortille tai kassatili tai sekkitili. Täytät lomakkeen ja siinä paperissa on paljon erittäin yksityistä tietoa, jonka täytät tai teet sen verkossa ja joka menee tietokonejärjestelmään. Nyt, jos joku markkinoinnin henkilö haluaa ottaa sinuun yhteyttä ja lähettää sinulle esitteen, hänen pitäisi antaa nähdä etu- ja sukunimesi ja henkilökohtainen osoitteesi, esimerkiksi ja mahdollisesti puhelinnumerosi, jos he haluavat kylmäsoiton sinulle ja myydä sinulle jotain. Heidän ei todennäköisesti pitäisi nähdä pankissa olevan rahan kokonaismäärää joukosta syitä. Jos joku tarkastelee sinua riskin näkökulmasta tai yrittää auttaa sinua tekemään jotain, kuten saamaan parempia korkoja tilillesi, kyseinen henkilö todennäköisesti haluaa nähdä kuinka paljon rahaa sinulla on pankissa, jotta hän voi tarjota sinulle asianmukaisen korkotason tuoton rahallesi. Näillä kahdella yksilöllä on hyvin erilaiset roolit ja hyvin erilaiset syyt niihin rooleihin ja tarkoituksiin niille. Seurauksena on, että sinun täytyy nähdä erilaisia tietoja tietueistasi, mutta ei kaikkia tietueita.
Nämä ohjausobjektit tavallisten näyttöjen tai lomakkeiden eri raporttien ympärillä, jotka niillä on tilisi hallintaa koskevissa sovelluksissa. Kehittäminen niille, niiden ylläpito, hallinnointi, raportointi niiden ympärille ja hallinto ja noudattaminen, joka on kietoutunut sellaiseen kuin kuplakääri, ovat kaikki erittäin, erittäin suuri haaste. Se on vain numero yksi haaste tietojen ja järjestelmien hallinnassa. Kun siirrymme syvemmälle pinoon suorituskykyyn ja seurantaan sekä ilmaantuvuuden havaitsemiseen ja reagointiin, järjestelmän hallintaan ja hallintaan sekä niiden ympäristön noudattamiseen, järjestelmien suunnitteluun ja kehittämiseen vaatimustenmukaisuuden perusteella, se tulee paljon vaikeammaksi.
Koko riskien vähentämisen ja turvallisuuden parantamisen hallinta. Viisi suurimpaa haastetta tällä alueella - ja pidän kuvista, jotka tulevat tullitoimipisteiden mukana maahan saapuessasi - he esittävät passi, tarkistavat sinut ja katsovat tietokonejärjestelmäänsä nähdäksesi, pitäisikö sinun pitää ohittaa tai ei. Jos sinun ei pitäisi, he laittavat sinut seuraavalle koneelle takaisin kotiin. Muutoin he päästävät sinut takaisin sisään ja kysyvät seuraavia kysymyksiä: "Tuletko lomalle? Oletko täällä turisti? Oletko täällä töissä? Millaista työtä aiot nähdä? Missä aiot yöpyä ? Kuinka kauan olet tulossa? Onko sinulla tarpeeksi rahaa kulujen kattamiseen? Tai aiotko tulla riskiksi maalle, jossa olet, ja heidän on ehkä hoidettava sinua ja ruokittava sinua? "
Tämän tietotilan ympärillä on joitain kysymyksiä, jotka koskevat tietosuojan hallintaa. Esimerkiksi tietokantatilassa meidän on pohdittava tietokantojen ohitusten lieventämistä. Jos tiedot ovat tietokannassa, normaalissa ympäristössä ja järjestelmän ympärillä on ohjaimia ja mekanismeja. Mitä tapahtuu, jos tiedot siirretään enemmän SQL: ään ja varmuuskopioidaan nauhalle? Tietokannat poltetaan raakamuodossa ja varmuuskopioidaan joskus. Joskus se tehdään teknisistä syistä, kehityksestä johtuvista syistä. Oletetaan vain, että DB-otos otettiin ja se varmuuskopioidaan nauhalle. Mitä tapahtuu, jos satun saamaan käteni siihen nauhaan ja palauttamaan sen? Ja minulla on raaka kopio tietokannasta SQL: ssä. Se on MP-tiedosto, se on teksti, voin lukea sen. Kaikilla jätteessä tallennetuilla salasanoilla ei ole minua hallintaa, koska saan nyt pääsyn tietokannan todelliseen sisältöön ilman, että tietokantamoottori suojaa sitä. Joten voin teknisesti ohittaa moottoriin rakennettavan tietokantajärjestelmän turvallisuuden ja vaatimustenmukaisuuden, ja riskienhallinnan estääkseni minua tarkastelemasta tietoja. Koska mahdollisesti kehittäjä, järjestelmän ylläpitäjä, olen saanut käteni koko tietokannan luettelosta, jota olisi käytettävä varmuuskopiointiin.
Tietojen väärinkäyttö - potentiaalisesti jonkun saaminen kirjautumaan sisään korotettuna tilinsä ja antaa minulle istua näytöllä, etsiä tietoja tai vastaavia asioita. Tietojen saatavuuden ja käytön omistusoikeuden tarkastaminen sekä tietojen tai tietojen muutosten katseleminen. Sitten raportointi kyseisen valvonnan ympäriltä ja vaatimustenmukaisuus. Seurataan liikennettä ja pääsyä ja niin edelleen, estämällä ulkoisista sijainneista ja palvelimista tulevat uhat. Esimerkiksi jos tiedot esitetään Internet-verkkosivulla olevan lomakkeen kautta, onko niiden SQL-injektiot suojattu palomuureilla ja konseptiohjaimilla? Tämän takana on pitkä yksityiskohtainen tarina. Täältä näet, että vain jotkut näistä ehdottomasti perustavanlaatuisista asioista, joista ajattelemme lieventämällä ja hallitsemalla tietokannoissa olevien tietojen ympärillä olevia riskejä. Jotkin näistä on todella suhteellisen helppo kiertää, jos olet eri tasoilla teknologioita. Haaste vaikeutuu, kun saat yhä enemmän dataa ja enemmän tietokantoja. Enemmän ja haastavampaa ihmisten joutuessa hallitsemaan järjestelmiä ja valvomaan niiden käyttöä, seuraamaan merkityksellisiä yksityiskohtia, jotka liittyvät nimenomaan asioihin, joista Robin puhui, esimerkiksi henkilökohtaisten vaatimusten noudattamisen suhteen. Henkilöillä on ympärilläsi hallintalaitteita ja mekanismeja, jotka noudattavat - jos teet jotain väärin, potkut potentiaalisesti. Jos kirjaudun sisään, kun tilini antaa sinun nähdä sen, sen pitäisi olla syyllinen rikos. Nyt olen antanut sinulle pääsyn tietoihin, joita sinun ei olisi pitänyt nähdä normaalisti.
Siellä on henkilökohtaista noudattamista, yrityksiä noudatetaan, yrityksillä on käytännesäännöt ja säännöt, jotka he ovat asettaneet itselleen vain niin, että yritys toimii hyvin ja tuottaa voittoa sekä hyvän tuoton sijoittajille ja osakkeenomistajille. Sitten siellä on usein koko kaupungin tai osavaltion tai kansallisen, liittovaltion, kuten sanoit Yhdysvaltojen valvontaa ja lakeja. Sitten on globaaleja. Jotkut maailman suuremmista tapauksista, joissa Sarbanes-Oxleyn tapaiset kaksi henkilöä, joita pyydetään keksimään tapoja, joilla voidaan suojata tietoja ja järjestelmiä. Euroopassa on Basel, ja Australiassa on paljon erilaisia valvontatoimia, etenkin pörssi- ja valtuutusalustojen ympärillä, ja sitten yksityisyyttä yksityishenkilöiden tai yritysten tasolla. Kun jokainen näistä on pinottu ylös, kuten näit yhdessä sivustossa, joka Robinilla oli, heistä tulee melkein mahdoton vuori kiivetä. Kustannukset nousevat korkealle ja olemme siinä vaiheessa, kun tuntemasi alkuperäinen perinteinen lähestymistapa, kuten hallintaa mittaavat ihmiset, ei ole enää sopiva lähestymistapa, koska mittakaava on liian suuri.
Meillä on skenaario, jossa vaatimustenmukaisuus on se, jota kutsun nyt aina ajankohtaiseksi kysymykseksi. Ja se on, että meillä oli potentiaalisesti ajankohta joko kuukausittain tai neljännesvuosittain tai vuosittain, jolloin voisimme tarkistaa kansakunnan tilanamme ja auttaa noudattamaan ja valvomaan. Varmistaa, että joillakin ihmisillä oli tietty pääsy ja että heillä ei ollut tiettyjä pääsyjä oikeuksiensa mukaan. Nyt kyse on asioiden nopeudesta, jolla asiat liikkuvat, asioiden muutosnopeudesta, asteikosta, jolla toimimme. Vaatimustenmukaisuus on aina ajankohtainen kysymys, ja maailmanlaajuinen finanssikriisi oli vain yksi esimerkki, jossa asiaankuuluvat valvontatoimenpiteet sekä turvallisuus- ja sääntöjenmukaisuustoimenpiteet olisivat voineet välttää skenaarion, jossa meillä olisi ollut kulkeva tietyn käyttäytymisen tavarajuna. Vain luomalla tilanne koko maailmaan tosiasiallisesti tietämällä se menisi rikki ja konkurssiin. Tätä varten tarvitsemme oikeat työkalut. Ihmisen heittäminen junaan, kappaleiden heittäminen ei ole enää pätevä lähestymistapa, koska asteikko on liian suuri ja asiat liikkuvat liian nopeasti. Tänään käytävä keskustelu, mielestäni meillä tulee olemaan, koskee tyyppejä, joita tähän soveltaa. Erityisesti välineet, joita IDERA voi tarjota meille, joiden pitäisi tehdä se. Ja pitäen tämän mielessä, aion antaa sen Bullettille käydä läpi hänen materiaalinsa ja näyttää meille heidän lähestymistapansa ja työkalut, jotka heillä on ongelman ratkaisemiseksi, jonka olemme nyt esittäneet sinulle.
Bullett, annan sen sinulle.
Bullett Manale: Kuulostaa hyvältä, kiitos. Haluan puhua muutamasta dioista ja haluan myös näyttää sinulle tuotteen, jota käytämme SQL Server -tietokantoihin nimenomaan auttaakseen noudattamistilanteissa. Oikeasti haaste monissa tapauksissa - aion ohittaa muutaman näistä - tämä on vain tuotevalikoima, aion käydä läpi melko nopeasti. Mitä tulee todella siihen, mihin tämä tuote osoittaa ja miten se liittyy vaatimustenmukaisuuteen, vedän sitä aina kuin ensimmäiseen diaan, koska se on tavallinen geneerinen ”Hei, mikä on DBA: n vastuu?” Yksi asioista hallitsee ja seuraa käyttäjien pääsyä ja pystyy myös tuottamaan raportteja. Se on sidottu siihen, kun puhut tilintarkastajasi kanssa, kuinka vaikeaa tämä prosessi voi olla, vaihtelee riippuen siitä, aiotko tehdä sen yksin tai aiotko käyttää ulkopuolista osapuolta apuväline.
Yleisesti ottaen, kun puhun tietokannan järjestelmänvalvojien kanssa, monta kertaa he eivät ole koskaan olleet mukana tarkastuksessa. Sinun on pakko kouluttaa heidät oikeasti siihen, mitä sinun on todella tehtävä. Liittyy siihen, minkä tyyppinen vaatimustenmukaisuus on täytettävä ja pystyt todistamaan, että noudatat tosiasiallisesti sääntöjä, koska niitä sovelletaan kyseiseen vaatimustasoon. Monet ihmiset eivät saa sitä aluksi. He ajattelevat: "Voin vain ostaa työkalun, joka tekee minusta vaatimusten mukaisen." Todellisuus on, että ei ole tilanne. Toivon, että voisin sanoa, että tiedätte, että tuotteemme taianomaisesti, napsauttamalla helppoa painiketta, antoi sinulle mahdollisuuden varmistaa, että noudatat vaatimuksia. Tosiasia on, että ympäristösi on asetettava hallintaan nähden sen suhteen, miten ihmiset pääsevät tietoihin, ja tämä kaikki on käsiteltävä käyttämäsi sovelluksen avulla. Missä lakisääteisissä vaatimuksissa se on, kun tätä arkaluontoista tietoa tallennetaan. Sitten joudut työskentelemään myös tyypillisesti sisäisen sääntöjenvastaavan kanssa voidakseen varmistaa, että noudatat kaikkia sääntöjä.
Tämä kuulostaa todella monimutkaiselta. Jos tarkastellaan kaikkia lainsäädännöllisiä vaatimuksia, luulet näin olevan, mutta todellisuus on, että täällä on yhteinen nimittäjä. Meidän tapauksessamme työkalulla, jota aion näyttää tänään, Compliance Manager -tuotteella, prosessi tilanteessa olisi seuraava: meidän on ennen kaikkea varmistettava, että keräämme tarkastusketjun tietoja, jotka liittyvät mihin tiedot ovat arkaluontoisessa tietokannassa. Voit kerätä kaiken, eikö niin? Voisin mennä ulos ja sanoa, että haluan kerätä jokaisen tapahtuman, joka tapahtuu tässä tietokannassa. Todellisuus on, että sinulla on todennäköisesti vain pieni murto-osa tai pieni prosenttiosuus tapahtumista, jotka todella liittyvät arkaluontoisiin tietoihin. Jos se on PCI-vaatimustenmukaisuus, se tulee olemaan luottokorttitietojen, luottokorttien omistajien ja heidän henkilökohtaisten tietojensa ympärillä. Hakemukseenne saattaa liittyä tonni muita tapahtumia, joilla ei oikeastaan ole mitään vaikutusta PCI: n lakisääteisiin vaatimuksiin.
Tästä näkökulmasta ensimmäinen asia, kun puhun DBA: n kanssa, sanon: ”Ensisijaisena haasteena ei ole yrittää saada työkalua näiden tekojen suorittamiseen puolestasi. Se on vain tietäminen missä on arkaluontoiset tiedot ja kuinka lukitsemme nämä tiedot alas. ”Jos sinulla on se, jos pystyt vastaamaan tähän kysymykseen, olet puolivälissä kotona, kun pystyt osoittamaan, että noudatat sääntöjä, Olettaen, että noudatat oikeita säätimiä. Sanotaan sekunnin ajan, että noudatat oikeita valvontatoimenpiteitä ja kerroit tilintarkastajille, että näin on. Seuraava osa prosessia on tietenkin kyky tarjota tarkastusketju, joka näyttää ja vahvistaa, että nämä valvontatoimet todella toimivat. Seuraa sen jälkeen varmistamalla, että tallennat tiedot. Yleensä PCI- ja HIPAA-vaatimustenmukaisuuteen liittyvissä asioissa, ja tällaisissa asioissa, puhut seitsemän vuoden arvoista säilyttämistä. Puhut paljon transaktioista ja paljon tiedosta.
Jos pidät, keräät jokaista tapahtumaa, vaikka vain viisi prosenttia tapahtumista liittyy arkaluontoisiin tietoihin, puhut melko suurista kustannuksista, jotka aiheutuvat tietojen säilyttämisestä seitsemän vuoden ajan. Se on mielestäni yksi suurimmista haasteista saada ihmisten päämiehet sanomaan, että se on tietysti todella tarpeeton kustannus. Se on myös paljon helpompaa, jos pystymme keskittymään vain tietokannan herkille alueille. Lisäksi tarvitset myös ohjauksia joidenkin arkaluontoisten tietojen ympärille. Ei vain osoittamiseksi tarkastusketjun suhteen, vaan myös kyky sitoa asiat takaisin tapahtuviin toimiin ja saada ilmoitusta reaaliajassa, jotta sinulle saadaan tietoinen siitä.
Esimerkki, jota aina käytän, ja se ei välttämättä liity mihinkään lakisääteiseen vaatimukseen, vaan pystyn vain seuraamaan esimerkiksi jonkun pudottavan palkkakirjaan liittyvän taulukon. Jos näin tapahtuu, tapa, jolla selvität siitä, jos et seuraa sitä, kukaan ei saa palkkaa. Se on liian myöhäistä. Haluat tietää, milloin taulukko putoaa, heti, kun se putoaa, jotta vältetään huonot asiat, joita tapahtuu, kun jotkut tyytymättömät työntekijät menevät ja poistavat pöydän, joka on sidottu suoraan palkanlaskentaan.
Tämän sanottua, temppu on löytää yhteinen nimittäjä tai käyttää sitä yhteistä nimittäjää kartoittamaan, mikä on vaatimustenmukaisuuden taso. Sellaista me yritämme tehdä tällä työkalulla. Periaatteessa noudatamme lähestymistapaa, emme aio näyttää sinulle raporttia, joka on ominaista PCI: lle, omille osakkeille; yleinen nimittäjä on se, että sinulla on sovellus, joka käyttää SQL Serveriä arkaluonteisten tietojen tallentamiseen tietokantaan. Kun pääset selville, sanot: "Kyllä, se on todella tärkein asia, johon meidän on keskityttävä - missä on arkaluontoiset tiedot ja miten niihin pääsee?" Kun sinulla on tämä, tarjoamme paljon raportteja, jotka voivat todistaa, että todistat, että noudatat vaatimuksia.
Palaten takaisin tilintarkastajan esittämiin kysymyksiin, ensimmäinen kysymys tulee olemaan: Kenellä on pääsy tietoihin ja kuinka he saavat sen? Voitko todistaa, että oikeat ihmiset käyttävät tietoja ja väärät ihmiset eivät? Voitko todistaa myös, että itse tarkastusketju on jotain, johon voin luottaa muuttumattomana tietolähteenä? Jos annan sinulle valmistetun tarkastusketjun, se ei oikeastaan tee minusta kovinkaan hyväksi tarkastaa tarkastustasi, jos tiedot ovat valmistettuja. Tarvitsemme todistuksen siitä, tyypillisesti tilintarkastuksen näkökulmasta.
Selvitämme nämä kysymykset, tavallaan vähän yksityiskohtaisemmin. Ensimmäisen kysymyksen haasteena on, että sinun on tiedettävä, kuten sanoin, missä nämä arkaluontoiset tiedot ovat, jotta voidaan ilmoittaa kuka käyttää sitä. Se on yleensä jonkin tyyppinen löytö ja todella sinulla on tuhansia erilaisia sovelluksia, jotka ovat olemassa, sinulla on tonnia erilaisia sääntelyvaatimuksia. Useimmissa tapauksissa haluat työskennellä sääntöjenvastaavan kanssa, jos sinulla on tai ainakin joku, jolla on jonkin verran ymmärrystä siitä, missä arkaluontoiset tietoni ovat sovelluksen sisällä. Meillä on työkalu, joka meillä on, se on ilmainen työkalu, jota kutsutaan SQL-sarakehakuksi. Kerromme potentiaalisille asiakkaillemme ja käyttäjille, jotka ovat kiinnostuneita kyseisestä kysymyksestä, he voivat ladata sen. Mitä se aikoo tehdä, se on lähtökohtaisesti etsiä tietokannasta tietoja, jotka ovat todennäköisesti arkaluonteisia.
Ja sitten kun olet tehnyt sen, sinun on myös ymmärrettävä, kuinka ihmiset käyttävät näitä tietoja. Ja siitä tulee jälleen kerran, mitkä tilit sisältävät Active Directory -ryhmät, mitkä tietokannan käyttäjät ovat mukana, tähän liittyy roolien jäsenyys. Ja pitäen tietysti mielessä, että tilintarkastajan on hyväksyttävä kaikki nämä asiat, joista puhumme, joten jos sanot: "Näin lukitsemme tietoja", tilintarkastajat voivat tulla takaisin ja sanoa: "No, teet sen väärin." Mutta sanotaan, että he sanovat: "Kyllä, se näyttää hyvältä. Lukitset tiedot riittävästi. ”
Seuraavaan kysymykseen, joka tulee olemaan, voitko todistaa, että oikeat ihmiset käyttävät näitä tietoja? Toisin sanoen, voit kertoa heille, että tarkistuksesi ovat, tämä on valvonta, jota seuraat, mutta valitettavasti tilintarkastajat eivät ole todella luottavia henkilöitä. He haluavat todisteita siitä ja haluavat nähdä sen tarkastusketjun sisällä. Ja tämä juontaa takaisin siihen koko yhteiseen nimittäjään. Olipa kyse PCI, SOX, HIPAA, GLBA, Basel II, todellisuus on mikä tahansa, että tyypillisesti esitetään samantyyppisiä kysymyksiä. Objekti, jolla on arkaluontoisia tietoja, kuka on käyttänyt kyseistä objektia viimeisen kuukauden aikana? Sen tulisi vastata valvontatapoihini, ja minun pitäisi pystyä välittämään tarkastukseni lopulta esittämällä tällaisia raportteja.
Joten mitä olemme tehneet, olemme laatineet noin 25 erilaista raporttia, jotka seuraavat samoja alueita kuin yhteinen nimittäjä. Joten meillä ei ole raporttia PCI: lle, HIPAA: lle tai SOX: lle, meillä on raportteja, että jälleen kerran ne menevät vasta yhteistä nimittäjää vastaan. Ja niin ei ole oikeasti väliä mitä sääntelyvaatimusta yrität täyttää, useimmissa tapauksissa pystyt vastaamaan mihin tahansa kysymykseen, jonka kyseinen tilintarkastaja on esittänyt. Ja he kertovat sinulle kuka, mitä, milloin ja missä jokaisesta tapahtumasta. Tiedätte, käyttäjä, tapahtuman tapahtuma-ajankohtana, itse SQL-käsky, sovellus, josta se tuli, kaikki hyvät asiat, ja pystyt sitten myös automatisoimaan näiden tietojen toimittamisen raportteihin.
Ja sitten jälleen kerran, kun ohitat sen ja olet toimittanut sen tilintarkastajalle, seuraava kysymys tulee olemaan, todista se. Ja kun sanon todistaakseni, tarkoitan todistaa, että itse tarkastusketju on jotain, johon voimme luottaa. Ja tapa, jolla teemme työkalumme, on se, että meillä on hash-arvot ja CRC-arvot, jotka liittyvät suoraan takaisin itse tapahtumiin tarkastusketjun sisällä. Ja niin sitten ajatus on, että jos joku sammuu ja poistaa tietueen tai joku menee ulos ja poistaa tai lisää jotain tarkastusketjuun tai muuttaa jotain itse tarkastusketjussa, voimme todistaa, että kyseiset tiedot, itse tietoja, rikottiin. Ja joten 99, 9 prosenttia ajasta, jos sinulla on tarkastusketjutietokanta lukittu, et törmää tähän ongelmaan, koska suorittaessamme eheyden tarkistamisen todistamme käytännössä tilintarkastajalle, että itse tietoja ei ole ollut muutettu ja poistettu tai lisätty, koska alkuperäinen kirjoitus itse hallintapalvelusta.
Joten se on tavallinen yleiskatsaus tyypillisistä kysymyksistä, joita sinulta kysytään. Nyt työkalu, johon meidän on puututtava paljon, on nimeltään SQL Compliance Manager ja se tekee kaikki nämä asiat tapahtumien seurannan kannalta, kuka, mitä, milloin ja missä tapahtumista voi tehdä tämän yhdessä useita eri alueita. Sisäänkirjautumiset, epäonnistuneet kirjautumiset, kaavion muutokset, tietysti tiedon käyttö, valitse toiminta, kaikki ne asiat, jotka tapahtuvat tietokantamoottorissa. Ja pystymme myös tarvittaessa hälyttämään käyttäjiä tietyistä, erittäin rakeisista olosuhteista. Esimerkiksi joku menee ulos ja katselee todella taulukkoa, joka sisältää kaikki luottokorttini numerot. He eivät muuta tietoja, he vain katsovat sitä. Tässä tilanteessa voin hälyttää ja voin kertoa ihmisille, että tapahtuu, ei kuusi tuntia myöhemmin, kun kaappaamme lokit, mutta reaaliajassa. Periaatteessa se kestää niin kauan kuin meillä on aikaa käsitellä kyseinen tapahtuma hallintapalvelun kautta.
Kuten aiemmin mainitsin, olemme nähneet, että tätä käytetään monissa erilaisissa sääntelyvaatimuksissa, ja se ei oikeastaan tarkoita - tiedäthän, mitään sääntelyvaatimuksia, jälleen kerran, kunhan yhteisiä nimittäjiä on, sinulla on arkaluonteisia tietoja SQL Server tietokanta, tämä on työkalu, joka auttaisi tällaisessa tilanteessa. Sisällytettyjen 25 raportin suhteen tosiasia on, että voimme tehdä tästä työkalusta hyväksi tilintarkastajalle ja vastata kaikkiin heidän esittämiin kysymyksiin, mutta DBA: n on annettava se toimimaan. Joten on myös ajattelu, tiedät hyvin, ylläpidon näkökulmasta meidän on varmistettava, että SQL toimii haluamallasi tavalla. Meidän on myös kyettävä menemään sisään katsomaan asioita, jotka aiotaan mennä ulos, ja katsomaan muita tietoja, tiedätkö tietojen arkistoinnin, niiden automatisoinnin ja yläpuolella itse tuotteesta. Nämä ovat asioita, jotka tietenkin otamme huomioon.
Mikä tuo esiin itse arkkitehtuurin. Joten näytön oikealla puolella on hallitsemme SQL-esiintymät, kaikki vuodesta 2000 aina vuoteen 2014, valmistautuessa julkaisemaan versio vuodelle 2016. Tämän näytön suurin takea on, että hallinta palvelin itse tekee kaiken raskaan nostamisen. Keräämme vain tietoja jäljitys-sovellusliittymällä, joka on sisäänrakennettu SQL Serverin kanssa. Nämä tiedot houkuttelevat hallintapalvelimeemme. Tämä hallintapalvelin itse tunnistaa ja jos on tapahtumia, jotka liittyvät minkä tahansa tyyppisiin liiketoimiin, joita emme halua, lähettää hälytyksiä ja sellaisia asioita, ja sitten siirtää tiedot arkistoon. Sieltä voimme suorittaa raportteja, voisimme mennä ulos ja nähdä tosiasiallisesti raporteissa tai jopa sovelluksen konsolissa.
Joten menen eteenpäin ja teen, aion viedä meidät läpi, todella nopeasti, ja haluan vain huomauttaa yhdestä nopeasta asiasta, ennen kuin siirrymme tuotteeseen, verkkosivustolla on linkki tällä hetkellä, tai esityksessä, vie sinut siihen ilmaiseen työkaluun, jonka mainitsin aiemmin. Tämä ilmainen työkalu on, kuten sanoin, se menee ulos katselemaan tietokantaa ja yrittämään löytää alueita, jotka näyttävät arkaluontoisilta tiedoilta, sosiaaliturvanumeroilta, luottokorttinumeroilta, sarakkeiden tai taulukoiden nimitysten perusteella, tai perustuen tapaan, jolla tietojen muoto näyttää, ja voit myös mukauttaa sitä, niin vain huomauttaa siitä.
Nyt, meidän tapauksessamme, anna minun edetä ja jakaa näytön, anna minulle yhden sekunnin täällä. No niin, ja niin, mitä halusin viedä sinut ensin, haluan viedä sinut itse Compliance Manager -sovellukseen ja aion käydä läpi tämän melko nopeasti. Mutta tämä on sovellus, ja voit nähdä, että minulla on täällä pari tietokantaa ja aion vain näyttää sinulle, kuinka helppoa on mennä sisään ja kertoa sille, mitä haluat tarkastaa. Kaavioiden muutokset, tietoturvamuutokset, hallinnolliset toiminnot, DML, Select, meillä on kaikki nämä vaihtoehdot käytettävissä, voimme myös suodattaa sen alas. Tämä palautuu parhaaseen käytäntöön, jonka mukaan voidaan sanoa: ”Tarvitsen todella tätä taulukkoa vain, koska se sisältää luottokorttinumeroni. En tarvitse muita taulukoita, joissa on tuotetietoja, kaikkia muita asioita, jotka eivät ole suhteessa vaatimustasoon, jota yritän täyttää. "
Meillä on myös kyky kaapata tietoa ja näyttää se muuttuvien kenttien arvoina. Monissa työkaluissa on jotain, joka antaa sinulle mahdollisuuden kaapata SQL-käsky, näyttää käyttäjälle, näyttää sovelluksen, ajan ja päivämäärän, kaikki nämä hyvät asiat. Joissain tapauksissa SQL-käsky ei kuitenkaan anna sinulle tarpeeksi tietoa voidaksesi kertoa, mikä kentän arvo oli ennen muutosta, sekä kentän arvo muutoksen jälkeen. Ja joissain tilanteissa tarvitset sitä. Voisin ehkä seurata esimerkiksi lääkärin annostietoja reseptilääkkeistä. Se meni 50 mg: sta 80 mg: aan 120 mg: aan, voisin seurata sitä käyttämällä ennen ja jälkeen.
Herkät sarakkeet ovat toinen asia, jota törmäämme paljon esimerkiksi PCI-vaatimustenmukaisuuteen. Tässä tilanteessa sinulla on luonteeltaan niin arkaluonteisia tietoja, että minun ei tarvitse vain muuttaa näitä tietoja, poistaa niitä tai lisätä niitä, kun katson näitä tietoja, ja voin aiheuttaa korjaamatonta vahinkoa. Luottokorttinumerot, sosiaaliturvatunnukset, kaikki sellaiset hyvät asiat, joiden avulla voimme tunnistaa arkaluontoiset sarakkeet ja sitoa hälytykset siihen. Jos joku menee ulos ja tarkastelee näitä tietoja, voisimme tietysti hälyttää ja lähettää sähköpostia tai luoda SNMP-ansaan ja sellaisia asioita.
Nyt joudut joutumaan tilanteeseen, josta voi olla poikkeus. Ja mitä tarkoitan tällä, sinulla on tilanne, jossa sinulla on käyttäjä, jolla on käyttäjätili, joka saattaa olla sidottu tietyntyyppiseen ETL-työhön, joka suoritetaan keskellä yötä. Se on dokumentoitu prosessi, ja minun ei tarvitse yksinkertaisesti sisällyttää kyseisiä tapahtumatietoja kyseiselle käyttäjätilille. Siinä tapauksessa meillä olisi luotettava käyttäjä. Ja sitten muissa tilanteissa käytäisimme Privileged User Auditing -ominaisuutta, joka on käytännössä, jos minulla on esimerkiksi sovellus, ja että sovellus on jo tekemässä auditointia käyttäjille, jotka käyvät läpi sovelluksen, se on hienoa, minulla on jo jotain viitteitä tilintarkastuksessani. Mutta asioista, jotka ovat sidoksissa esimerkiksi etuoikeutettuihin käyttäjiini, kaveriin, jotka voivat mennä SQL Server -hallintastudioon tutkimaan tietokannan tietoja, se ei aio leikata sitä. Joten tässä voimme määritellä, kuka etuoikeutetuilla käyttäjillämme on joko Roolijäsenyyksien kautta tai heidän Active Directory -tiliensä, ryhmiensä, SQL-todennettujen tiliensä kautta, jolloin voimme valita kaikki nämä erityyppiset vaihtoehdot ja sitten sieltä varmista, että näille etuoikeutetuille käyttäjille voimme määritellä, minkä tyyppiset tapahtumat olemme tarkastamassa.
Nämä ovat kaikenlaisia erilaisia vaihtoehtoja, jotka sinulla on, enkä aio käydä läpi kaikenlaisia erityyppisiä asioita, jotka perustuvat tämän esityksen aikarajoihin. Mutta haluan näyttää sinulle, kuinka voimme tarkastella tietoja, ja mielestäni pidät siitä, miten tämä toimii, koska meillä on kaksi tapaa tehdä se. Voin tehdä sen vuorovaikutteisesti, ja joten kun puhumme ihmisistä, jotka ovat kiinnostuneita tästä työkalusta kenties omien sisäisten valvontojensa suhteen, he haluavat vain tietää mitä tapahtuu monissa tapauksissa. Heillä ei välttämättä ole tilintarkastajia paikan päällä. He haluavat vain tietää: ”Hei, haluan mennä tämän pöydän jälkeen ja nähdä, kuka on koskettanut sitä viime viikolla tai viime kuussa tai mitä muuta voisi olla.” Tässä tapauksessa voit nähdä kuinka nopeasti voimme tehdä sen.
Terveydenhuollon tietokannan tapauksessa minulla on taulukko nimeltään Potilastiedot. Ja se taulukko, jos ryhmitelin vain objektin mukaan, se voisi nopeasti alkaa kapeutua etsimäämme kohtiin. Ehkä haluan ryhmitellä luokittain ja sitten ehkä tapahtumien mukaan. Ja kun teen sen, voit nähdä kuinka nopeasti se ilmestyy, ja siinä on potilastietueiden taulukkani. Ja tutkiessani näemme nyt DML-toiminnan, voimme nähdä, että meillä on ollut tuhat DML-lisäystä, ja kun avaamme yhden näistä tapahtumista, näemme asiaankuuluvat tiedot. Kuka, mitä, milloin, missä tapahtuma, SQL-käsky, tietysti tapahtuman suorittamiseen käytettävä todellinen sovellus, tili, aika ja päivämäärä.
Jos nyt tarkastelemme seuraavaa välilehteä täällä, Tiedot-välilehteä, tämä palaa siihen kolmanteen kysymykseen, josta puhumme, mikä osoittaa, että tietojen eheyttä ei ole rikottu. Joten periaatteessa jokaisessa tapahtumassa meillä on salainen laskelma hash-arvollemme, ja se sitoo sitten takaisin kun teemme eheyden tarkistuksen. Esimerkiksi, jos haluaisin mennä työkalun ulkopuolelle, menemään tarkastusvalikkoon, ja menisin ulos ja sanoin, tarkistakaamme arkiston eheys, voisin osoittaa tietokantaan, missä tarkastuspolku on, se ajaa suorittamalla eheyden tarkistuksen, joka sovittaa nämä hash-arvot ja CRC-arvot todellisiin tapahtumiin, ja se kertoo meille, että ongelmia ei ole löytynyt. Toisin sanoen, tarkastusketjun tietoja ei ole muutettu, koska hallintapalvelu alun perin kirjoitti ne. Se on tietysti yksi tapa toimia vuorovaikutuksessa tietojen kanssa. Toinen tapa olisi itse raportit. Ja niin aion vain antaa yhden nopean esimerkin raportista.
Ja jälleen kerran, nämä raportit, tapa, jolla keksimme ne, eivät ole erityisiä minkään tyyppisille standardeille, kuten PCI, HIPAA, SOX tai vastaaville. Jälleen kerran, se on yhteinen nimittäjä tekemällemme, ja jos palaamme takaisin siihen potilastietueiden esimerkkiin, voisimme mennä ulos ja sanoa, että tässä tapauksessa me etsimme Terveydenhuollon tietokannassa ja haluamme tässä tapauksessa keskittyä nimenomaan siihen taulukkoon, jonka tiedämme sisältävän potilaisiin liittyviä yksityisiä tietoja, tässä tapauksessa. Ja niin, anna minun nähdä, voinko kirjoittaa sen tänne, ja jatkamme eteenpäin ja käytämme tätä raporttia. Ja näemme silloin selvästi sieltä kaikki siihen esineeseen liittyvät asiaankuuluvat tiedot. Ja tapauksessamme se näyttää meille kuukauden ajan. Mutta voimme mennä takaisin kuusi kuukautta vuodessa, vaikka kauan olemmekin säilyttäneet tietoja.
Nämä ovat sellaisia tapoja, joilla pystyisit tosiasiallisesti todistamaan tilintarkastajalle, että seuraat valvontasi. Kun olet todennut sen, niin se on selvästi hyvä asia tarkastuksen läpäisemisen ja sen osoittamisen jälkeen, että seuraat valvontaa ja kaikki toimii.
Viimeinen tapa puhua siitä, jonka halusin esitellä, on hallinto-osiossa. Tämän työkalun sisällä on myös hallintalaitteita, jotka pystyvät itse asettamaan hallintalaitteita varmistaakseen, että jos joku tekee jotain mitä heidän ei pitäisi tehdä, niin voin saada sen tietoiseksi. Ja minä annan sinulle pari esimerkkiä siellä. Minulla on sisäänkirjautumistili, joka on sidottu palveluun ja että palvelu tarvitsee korkeammat käyttöoikeudet toimiakseen sen, mitä se tekee. En halua, että joku menee sisään ja käyttää tiliä Management Studiossa, ja tiedät sitten, että käytät sitä sellaisiin asioihin, joihin sitä ei ole tarkoitettu. Meillä olisi täällä kaksi kriteeriä, joita voisimme soveltaa. Voisin sanoa: "Katsokaa, olemme todella kiinnostuneita tästä työskentelystä, esimerkiksi PeopleSoft-sovelluksemme kanssa", vain esimerkki, okei?
Nyt kun olen tehnyt sen, sanon tässä, olen kiinnostunut tietää kaikki tilit, jotka ovat sidoksissa tiliin, jonka olen valmis valmistamaan määrittelemään, jos sovellus, jota käytetään sisäänkirjautumiseen tällä tilillä ei ole PeopleSoft, niin siitä tulee hälytyksen korotus. Ja tietysti meidän on määritettävä itse tilin nimi, joten kutsutaan tapauksessamme vain tätä Priv-tiliä, koska sillä on etuoikeus. Nyt kun olemme tehneet sen, kun teemme tämän täällä, nyt voisimme sitten määritellä, mitä haluaisimme tapahtua, kun se tapahtuu, ja jokaiselle erityyppiselle tapahtumalle tai, minun pitäisi sanoa, varoitukselle, voit saada erillinen ilmoitus henkilölle, joka on vastuussa kyseisestä tiedosta.
Esimerkiksi, jos kyseessä on palkatiedot, se saattaa mennä henkilöstöjohtajalleni. Tässä tapauksessa PeopleSoft-sovelluksen käsittelystä tulee kyseisen sovelluksen järjestelmänvalvoja. Mikä tahansa tapaus voi olla. Pystyn laittamaan sähköpostiosoitteeni, mukauttamaan todellisen hälytysviestin ja kaikenlaisia hyviä asioita. Jälleen kerran tämä taaksepäin pystyy varmistamaan, että pystyt osoittamaan, että seuraat hallintalaitteitasi ja että nämä säätimet toimivat suunnitellulla tavalla. Viimeisimmästä näkökulmasta katsottuna, vain ylläpidon kannalta, meillä on kyky ottaa nämä tiedot ja asettaa ne offline-tilaan. Pystyn arkistoimaan tiedot ja ajoittamaan sen, ja voisimme tehdä nämä asiat tyypillisesti siinä mielessä, että pystyt itse DBA: na, joka käyttää tätä työkalua, asettamaan sen ja eräänlainen kävelymatkan päässä siitä. Ei ole paljon kädenpidosta, joka tapahtuu, kun olet asettanut sen niin kuin sen pitäisi olla. Kuten sanoin, vaikein osa tästä luulen, ettei ole asettamassa sitä mitä haluat tarkastaa, vaan se tietää, mitä haluat perustaa tarkastusta varten.
Ja kuten totesin, petoksen luonne tarkastamisen kanssa, sinun on säilytettävä tietoja seitsemän vuoden ajan, joten on järkevää keskittyä vain niille alueille, jotka ovat luonteeltaan arkaluontoisia. Mutta jos haluat lähestyä kaiken keräämistä, niin ehdottomasti pystyt, sitä ei vain pidetä parhaana käytäntönä. Joten siitä näkökulmasta haluaisin vain muistuttaa ihmisille, että jos tämä on jotain mielenkiintoista, voit siirtyä IDERA.com-sivustolle ja ladata tästä kokeiluversion ja leikkiä sen kanssa itse. Aikaisemmin puhuneen ilmaisen työkalun suhteen, joka on hyvin, se on ilmainen, voit ladata sen ja käyttää sitä ikuisesti riippumatta siitä, käytätkö Compliance Manager -tuotetta. Ja hieno asia sarakkeenhakutyökalussa on, että tekemämme havainnot, ja voin tosiasiallisesti osoittaa, että mielestäni pystyt viemään nämä tiedot ulos ja sitten tuomaan ne Compliance Manager -sovellukseen yhtä hyvin. En näe sitä, tiedän, että se on täällä, siinä se on. Tämä on vain esimerkki siitä. Täältä se löytää asiaankuuluvat arkaluontoiset tiedot.
Nyt tämä tapaus on mennyt pois ja olen todellakin, etsin kaikkea, mutta sinulla on vain tonni tavaroita, joita voimme tarkistaa. Luottokorttinumerot, osoitteet, nimet, kaikki sellaiset asiat. Ja tunnistamme missä se on tietokannassa, ja sitten sieltä voit päättää, haluatko todella tarkistaa nämä tiedot vai ei. Mutta se on ehdottomasti tapa tehdä paljon helpommaksi tarkastamisen laajuuden määrittäminen, kun tarkastelet tällaista työkalua.
Minä vain menen eteenpäin ja sulje sen, ja menen eteenpäin ja välitän sen Ericille.
Eric Kavanagh: Se on upea esitys. Rakastan tapaa, jolla todella pääset siellä oleviin rakeisiin yksityiskohtiin ja näytät meille mitä tapahtuu. Koska päivän lopussa on jokin järjestelmä, joka aikoo käyttää joitain tietueita, se antaa sinulle raportin, joka saa sinut kertomaan tarinasi, olipa kyse sitten sääntelijälle tai tilintarkastajalle tai jollekin ryhmästäsi, joten on hyvä, että tiedät olevasi valmistautunut siihen, milloin tai milloin ja milloin kyseinen henkilö koputtaa, ja tietysti se on epämiellyttävä tilanne, jota yrität välttää. Mutta jos niin tapahtuu ja todennäköisesti tapahtuu näinä päivinä, haluat olla varma, että sinulla on pisteviiva ja T-ristisi.
Yleisön jäseneltä on hyvä kysymys, jonka haluan heittää ensin kenties ensin sinulle, Bullettille, ja sitten jos ehkä esittelijä haluaa kommentoida sitä, voit vapaasti. Ja sitten Dez voi kysyä kysymystä ja Robinilta. Joten kysymys kuuluu, onko reilua sanoa, että kaikkien mainitsemiesi asioiden tekemiseksi sinun on aloitettava tietojen luokittelu ponnisteluilla? Sinun on tiedettävä tietosi, kun ne osoittautuvat arvokkaana potentiaalisena omaisuutena, ja tehtävä jotain siitä. Luulen, että olet samaa mieltä, Bullett, eikö niin?
Bullett Manale: Kyllä, ehdottomasti. Tarkoitan, että sinun on tiedettävä tietosi. Ja tajuan, ymmärrän, että siellä on paljon sovelluksia, jotka ovat ulkona, ja siellä on paljon erilaisia asioita, joilla on liikkuvia osia organisaatiossasi. Sarakehakutyökalu on erittäin hyödyllinen askel kohti tietämisen ymmärtämistä. Mutta kyllä, se on erittäin tärkeä asia. Tarkoitan, että sinulla on mahdollisuus mennä firehose-lähestymistapaan ja tarkastaa kaikki, mutta se on vain logistisesti paljon haastavampaa, kun puhutaan tietojen tallentamisesta ja raportoinnista kyseisiä tietoja vastaan. Ja silloin sinun on silti jonkin verran tiedettävä, missä tämä tieto on, koska kun suoritat raportteja, sinun on näytettävä myös tilintarkastajille nämä tiedot. Joten mielestäni, kuten sanoin, suurin haaste, kun puhun tietokannan ylläpitäjiin, on tietäminen, joo.
Eric Kavanagh: Niin, mutta ehkä Robin, tuomme sinut todella nopeasti. Minusta näyttää siltä, että 80/20 -sääntöä sovelletaan tässä, eikö niin? Et todennäköisesti löydä jokaista levyjärjestelmää, jolla on merkitystä jos olet keskikokoisessa tai suuressa organisaatiossa, mutta jos keskityt - kuten Bullett ehdotti täällä - esimerkiksi PeopleSoft tai muita levyjärjestelmiä, jotka ovat pääasiassa yrityksessä, sinne keskityt 80 prosenttia ponnisteluistasi ja sitten 20 prosenttia muihin järjestelmiin, jotka voivat olla siellä jonnekin, eikö?
Robin Bloor: No olen varma, kyllä. Tarkoitan, tiedätte, mielestäni tämän tekniikan ongelma, ja mielestäni on todennäköisesti syytä kommentoida sitä, mutta tämän tekniikan ongelma on, miten toteutat sen? Tarkoitan, että tietysti puuttuu tietysti useimmissa organisaatioissa edes olemassa olevien tietokantojen lukumäärä. Sanotaan, että varastosta puuttuu hirveästi paljon. Tiedätkö, kysymys on, kuvittelemme, että aloitamme tilanteessa, jossa ei ole erityisen hyvin hoidettua noudattamista. Kuinka otat tämän tekniikan ja injektoit sen ympäristöön, ei vain, tekniikkaasi, ehdot, asettamalla tavaraa, mutta kuten kuka sitä hallinnoi, kuka päättää mitä? Kuinka aloitat suihkuttamaan tämän aitoksi, joka tekee työnsä?
Bullett Manale: No tarkoitan, se on hyvä kysymys. Haaste monissa tapauksissa on se, että sinun on alattava kysyä kysymyksiä heti alussa. Olen joutunut joukkoon yrityksiä, joissa he, tiedätte, ehkä he ovat yksityisiä yrityksiä ja he ovat hankkineet, on olemassa alkuperäinen, eräänlainen, ensisijainen, tienhaara, jos haluat kutsua sitä. Esimerkiksi, jos minusta on juuri tullut julkisesti noteerattu yritys hankkimisen takia, minun on palattava takaisin ja luultavasti selvitettävä joitain juttuja.
Ja joissain tapauksissa puhumme organisaatioille, jotka tiedätkin, että vaikka he ovatkin yksityisiä, ne noudattavat SOX-sääntöjen noudattamista koskevia sääntöjä, yksinkertaisesti siksi, että jos he haluavat hankkia, he tietävät, että heidän on noudatettava sääntöjä. Et todellakaan halua käyttää lähestymistapaa vain: "Minun ei tarvitse huolehtia tästä nyt." Minkä tahansa tyyppinen säännösten noudattaminen, kuten PCI tai SOX tai mikä tahansa, haluat investoida tutkimuksen tai ymmärtäminen, missä tämä arkaluonteinen tieto on, muuten saatat joutua käsittelemään merkittäviä, mojoja sakkoja. Ja on paljon parempaa vain sijoittaa tuo aika, tiedät, että löydät nämä tiedot ja pystyt ilmoittamaan sitä vastaan ja näyttämään hallintalaitteet toimivat.
Joo, sen perustamisessa, kuten sanoin, ensimmäinen asia, jota suosittelen tarkastusta valmisteleville ihmisille, on vain mennä ulos ja tehdä tarkka tutkimus tietokannasta ja selvittää, sinä tietävät parhaansa mukaan yrittäen selvittää, missä arkaluontoiset tiedot ovat. Ja toinen lähestymistapa olisi aloittaa ehkä suuremmalla nettilla tarkastuksen laajuuden suhteen, ja sitten hidastaa tietä hitaasti, kun selvität, millaiset järjestelmän sisäiset alueet liittyvät arkaluontoista informaatiota. Mutta toivon, että voisin kertoa sinulle, että tähän kysymykseen on helppo vastaus. Se vaihtelee todennäköisesti melko vähän organisaatiosta toiseen ja vaatimustenmukaisuuden tyyppiin ja kuinka tiedät, kuinka suuri rakenne heillä on sovelluksissaan ja kuinka monella on monipuolisia sovelluksia, toisilla voi olla räätälöityjä kirjoitettuja sovelluksia, joten se todella riippuu tilanteesta tilanteessa.
Eric Kavanagh: Mene eteenpäin, Dez, olen varma, että sinulla on kysymys tai kaksi.
Dez Blanchfield: Olen innokas saamaan vain jonkinlaisen kuvan havainnoista, jotka koskevat organisaatioiden vaikutuksia ihmisten näkökulmasta. Mielestäni yksi alueista, jolla näen suurimman arvon tälle ratkaisulle, on se, että kun ihmiset heräävät aamulla ja menevät töihin organisaation eri tasoille, he heräävät sarjalla tai ketjulla vastuuta jotka heidän on käsiteltävä. Ja haluan saada jonkinlaisen käsityksen siitä, mitä näet siellä, sellaisten työkalujen kanssa ja ilman, joista puhut. Ja asiayhteys, josta puhun täällä, on hallituksen puheenjohtajatasolta toimitusjohtajalle, CIO: lle ja C-sviitille. Ja nyt meillä on riskienhallinnasta vastaavat johtajat, jotka ajattelevat enemmän tyyppejä, joista me täällä puhumme noudattamisen ja hallinnon suhteen, ja sitten meillä on nyt uudet roolipelien päälliköt, tietovastaava, kuka, tiedät, vielä enemmän huolissaan siitä.
Ja kummankin puolella, CIO: n ympärillä, meillä on IT-päälliköitä, joilla on eräänlainen tietämys, tekniset liidit ja sitten tietokannan liidit. Ja operatiivisessa tilassa meillä on kehityspäälliköitä ja kehitysjohtoja ja sitten yksittäisiä kehityksiä, ja ne myös palautuvat takaisin tietokannan hallintakerrokseen. Mitä näet ympäröivän liiketoiminnan eri osien reaktion vaatimustenmukaisuuden ja sääntelyraportoinnin haasteeseen ja heidän lähestymistapaansa siihen? Näetkö, että ihmiset tulevat tähän kiihkeästi ja näkevät siitä hyötyä, vai näetkö, että he vetävät vastahakoisesti jalojaan tähän asiaan ja vain, tiedätkö, tekevät sen ruudussa olevan rastiin vuoksi? Ja millaisia vastauksia näet, kun he näkevät ohjelmistosi?
Bullett Manale: Kyllä, se on hyvä kysymys. Sanoisin, että tämän tuotteen, tämän tuotteen myynnin, ohjaa enimmäkseen joku, joka on kuumalla paikalla, jos se on järkevää. Useimmissa tapauksissa se on DBA, ja meidän näkökulmastamme, toisin sanoen he tietävät, että tarkastus on tulossa ja he tulevat olemaan vastuussa, koska he ovat DBA: ita, pystyäkseen toimittamaan tiedot, joihin tilintarkastaja aikoo kysyä. He voivat tehdä sen kirjoittamalla omat raporttinsa ja luomalla omat mukautetut jälkensä ja kaikenlaiset sellaiset asiat. Todellisuus on, että he eivät halua tehdä niin. Useimmissa tapauksissa DBA: t eivät todellakaan odota keskustelujen aloittamista tilintarkastajan kanssa. Tiedätkö, haluaisin mieluummin kertoa sinulle, että voimme mennä soittamaan yritykseen ja sanomaan: "Hei, tämä on loistava työkalu ja rakastat sitä", ja näyttää heille kaikki ominaisuudet ja he ostavat sen.
Todellisuus on, että he eivät yleensä aio tarkastella tätä työkalua, elleivät he itse asiassa ole edessään auditointia tai kolikon toista puolta, jos heillä on ollut tarkastus ja epäonnistunut se surkeasti ja nyt he ovat käsketään hakemaan apua tai heille maksetaan sakko. Sanoisin, että yleisesti ottaen, kun tiedät tämän tuotteen ihmisille, he varmasti näkevät sen arvon, koska se säästää heille tonnia aikaa sen vuoksi, että heidän on selvitettävä, mistä he haluavat ilmoittaa, sellaisia asioita. Kaikki nämä raportit on jo rakennettu, hälytysmekanismit ovat paikallaan, ja sitten kolmas kysymys voi myös olla monissa tapauksissa haaste. Koska voin näyttää sinulle raportteja koko päivän, mutta ellet voi todistaa minulle, että nämä raportit ovat tosiasiallisesti päteviä, tiedätkö, että se on minulle paljon tiukempi ehdotus DBA: lle pystyä osoittamaan se. Olemme kuitenkin kehittäneet tekniikan, hajauttamistekniikan ja kaikenlaiset sellaiset asiat, joiden avulla pystymme varmistamaan, että tarkastuspolkujen eheydessä olevia tietoja säilytetään.
Ja niin, nämä ovat asioita, jotka ovat minun huomioni suurimmalle osalle ihmisistä, joiden kanssa puhumme. Tiedät, ehdottomasti, eri organisaatioissa, tiedät esimerkiksi, kuulet, tiedät esimerkiksi Targetista, että se loukkasi tietosuojaa, ja tiedät, tarkoitan, kun muut organisaatiot kuulevat sakoista ja niistä millaisia asioita ihmiset alkavat, se nostaa kulmakarvan, joten toivottavasti se vastaa kysymykseen.
Dez Blanchfield: Kyllä, ehdottomasti. Voin kuvitella joitain DBA: ita, kun he vihdoin näkevät, mitä työkalulla voidaan tehdä, vain ymmärtävät saavansa myöhäisillat ja viikonloput myös takaisin. Ajan, kustannusten alennukset ja muut asiat, joita näen, kun asianmukaisia työkaluja käytetään koko tähän ongelmaan, eli kolme viikkoa istuin pankissa täällä Australiassa. He ovat maailmanlaajuinen pankki, kolmen suurimman pankin joukossa, he ovat massiivisia. Ja heillä oli projekti, jossa heidän täytyi raportoida varainhoidon vaatimustenmukaisuudesta ja erityisesti riskeistä, ja he tarkastelivat 60 viikon arvoista työtä parille sata ihmistä varten. Ja kun heille osoitettiin itsesi kaltaisten työkalujen kaltaisia tykkäyksiä, jotka pystyisivät vain automatisoimaan prosessin, tässä mielessä kasvojen ilme, kun he huomasivat, että heidän ei tarvinnut viettää X viikkoa satojen ihmisten kanssa tekemässä manuaalista prosessia, oli sellainen kuin he olisivat löytäneet Jumalan. Mutta haastava asia oli silloin, miten se tosiasiallisesti laitettiin suunnitelmaan, kuten tohtori Robin Bloor totesi, tiedätkö, tämä on jotain, josta tulee sekoitus käyttäytymisen ja kulttuurin muutoksia. Millainen muutos näet tekemisilläsi tasoilla, jotka käsittelevät tätä suoraan sovellustasolla, kun he alkavat ottaa käyttöön työkalun sellaisten raportointi-, tilintarkastus- ja valvontatoimintojen suorittamiseen, joita voit tarjota, kuten vastakohtana siihen, mitä he olisivat voineet tehdä käsin? Miltä näyttää siltä, kun he tosiasiallisesti otetaan käyttöön?
Bullett Manale: Kysyt, mitä eroa on käsityön käsittelemisessä verrattuna tämän työkalun käyttöön? Onko se kysymys?
Dez Blanchfield: No, erityisesti yrityksen vaikutukset. Joten esimerkiksi jos yritämme saavuttaa vaatimustenmukaisuus manuaalisesti, tiedätte, että meillä on aina kauan aikaa monien ihmisten kanssa. Mutta luulen, että kysymyksen ympärille, kuten tiedätte, puhutaanko yhdestä henkilöstä, joka käyttää tätä työkalua ja korvaa mahdollisesti 50 ihmistä ja kykenee tekemään saman asian reaaliajassa tai tunneissa tai kuukausina? Onko sellainen, mistä se yleensä osoittautuu?
Bullett Manale: No tarkoitan, että se liittyy muutamiin asioihin. Yksi on kyky vastata niihin kysymyksiin. Joitakin näistä asioista ei tule tehdä helposti. Joten joo, kotiin kasvaneiden asioiden tekemiseen, omien raporttien kirjoittamiseen, jälkien asettamiseen tai laajennettuihin tapahtumiin tietojen keräämiseen manuaalisesti kuluminen voi viedä paljon aikaa. Tosiaankin, annan teille joitain, tarkoitan, tämä ei oikeastaan liity tietokantoihin yleensä, mutta kuten heti Enronin tapahtumisen ja SOX: n yleistymisen jälkeen, olin yhdessä Houstonin suurimmista öljy-yhtiöistä, ja lasimme, Mielestäni se oli kuin 25 prosenttia liiketoiminnan kustannuksista liittyisi SOX-vaatimustenmukaisuuteen.
Nyt, heti sen jälkeen, ja se oli eräänlainen ensimmäinen ensimmäinen askel SOX: lla, mutta asia, sanoisin, että tiedät, että saat paljon hyötyä käyttämällä tätä työkalua siinä mielessä, että se ei vaadi paljon ihmisiä tekemään tämä ja paljon erilaisia ihmisiä tekemään sitä. Ja kuten sanoin, DBA: t eivät ole tyypillisesti kaveri, joka todella odottaa keskustelevansa tilintarkastajien kanssa. Joten monissa tapauksissa näemme, että DBA voi purkaa tämän ja pystyä toimittamaan raportin, joka on liitetty tilintarkastajalle, ja he voivat poistaa itsensä kokonaan pois yhtälöstä sen sijaan, että heidän tulisi olla mukana. Joten tiedät, että se on myös valtava säästö resursseissa, kun pystyt siihen.
Dez Blanchfield: Puhutko massiivisista kustannussäästöistä, eikö niin? Organisaatiot eivät vain poista riskiä ja siihen liittyviä kustannuksia, vaan tarkoitan käytännössä sitä, että puhut kustannusten huomattavasta alenemisesta, A) toiminnallisesti ja myös B) siinä, että tiedätkö, jos ne voivat todella tarjota todellisia vaatimustenmukaisuusraportointi siitä, että tietosuojarikkomusten riski tai jonkin verran laillisia sakkoja tai vaikutuksia ei ole noudatettu, onko se?
Bullett Manale: Kyllä, ehdottomasti. Tarkoitan, että koska se ei ole vaatimusten mukainen, tapahtuu kaikenlaisia huonoja asioita. He voivat käyttää tätä työkalua, ja se olisi hienoa tai ei, ja he saavat selville, kuinka paha se todella on. Joten niin, se ei ole vain työkalu ilmeisesti, voit tehdä tarkastuksesi ja kaiken ilman tällaista työkalua. Kuten sanoin, vie vain paljon enemmän aikaa ja kustannuksia.
Dez Blanchfield: Se on hienoa. Joten Eric, aion palata takaisin sinulle, koska mielestäni minusta vietetyn tilanne on se, että sellaiset markkinat ovat fantastiset. Mutta myös olennaisilta osiltaan, asia on sen painoarvoinen kulta, koska sillä voidaan välttää tapahtuvan kysymyksen kaupallisia vaikutuksia tai lyhentää vaatimustenmukaisuuden ilmoittamiseen ja hallinnointiin kuluvaa aikaa. työkalu maksaa itsensä välittömästi asioiden äänillä.
Eric Kavanagh: Aivan totta. No, kiitos paljon tänään käymästäsi ajasta, Bullett. Kiitos kaikille läsnäolostasi ja huomiosta, Robinille ja Dezille. Toinen hieno esitys tänään. Kiitos IDERA-ystävämme, jotka antoivat meille tuoda tämän sisällön ilmaiseksi. Arkistoimme tämän webcast-lähetyksen myöhempää tarkastelua varten. Arkisto on yleensä valmiina noin päivän sisällä. Ja kerro meille, mitä mieltä olet uudesta verkkosivustoltamme, insideanalysis.com. Aivan uusi muotoilu, kokonaan uusi ilme ja tunnelma. Haluamme mielellämme kuulla palautteesi ja sen kanssa jätän jäähyväiset, ihmiset. Voit lähettää minulle sähköpostia. Muuten otamme sinuun yhteyttä ensi viikolla. Meillä on seitsemän verkkolähetystä seuraavien viiden viikon aikana tai jotain sellaista. Me olemme kiireisiä. Ja olemme Strata-konferenssissa ja IBM Analyst Summit -kokouksessa New Yorkissa myöhemmin tässä kuussa. Joten jos olet ympärilläsi, pysähdy ja sano hei. Ole varovainen, ihmiset. Hei hei.
