A Techopedia munkatársai, 2016. szeptember 14
Elvihető: Eric Kavanagh a házigazda az adatbázis ellenőrzését és Robin Bloor, Dez Blanchfield elemzők, valamint az IDERA Bullett Manale elemzőinek a Hot Technologies ebben a részében tárgyalja.
Jelenleg nincs bejelentkezve. Kérjük, jelentkezzen be vagy jelentkezzen be a videó megtekintéséhez.
Eric Kavanagh: Hölgyeim és uraim, üdvözlet és üdvözlet még egyszer a Hot Technologies oldalán! Igen, 2016-ban. A harmadik show-ban vagyunk. Nagyon izgalmas dolog. Ringatunk és gördítünk ebben az évben. Itt Eric Kavanagh, a házigazda. A mai téma - ez egy nagyszerű téma, sok iparágban számos alkalmazás van, őszintén szólva: "Ki, mit, hol és hogyan: miért akar tudni?" Igen, valóban, erről a jó szórakozásról fogunk beszélni. Van egy dia az önről, igaz, találj fel a Twitter @eric_kavanagh webhelyen. Megpróbálom az összes megemlítést újra tweettelni, és újra tweettelni mindazt, amit valaki küld nekem. Egyébként tehát legyen.
Forró, igen, valóban! Az itt bemutatott teljes előadás célja, hogy segítse a szervezeteket és az egyéneket a technológiák bizonyos típusainak megértésében. Itt terveztük a teljes programot, a Hot Technologies szoftvert, hogy meghatározzuk egy adott típusú szoftvert, egy adott tendenciát vagy egyfajta technológiát. Ennek oka az, hogy őszintén szólva, a szoftverek világában gyakran megkapják ezeket a marketingfogalmakat, amelyek megsemmisülnek, és néha őszintén el is tudják verni a fogalmakat, amelyeket leírni szándékoztak.
Ebben a műsorban tényleg megpróbálunk segíteni abban, hogy megértsd, mi az a bizonyos technológia, hogyan működik, mikor tudja használni, mikor nem szabad használni, és annyi részletet ad neked, amennyire csak lehetséges. Ma három előadónk lesz: saját Robin Bloor, a Bloor Csoport fő elemzője; Dez Blanchfield, az ausztráliai Sydney-ből, a bolygó másik oldaláról, az adatkutatónk és az egyik kedvenc vendégünk, Bullett Manale, az IDERA értékesítési igazgatója.
Csak néhány dolgot mondok itt, megérteni, hogy ki mit csinál, milyen adattal, nos, ez olyan, mint a kormányzás, igaz? Ha átgondoljuk az iparágak körüli valamennyi szabályozást, például az egészségügyi ellátást és a pénzügyi szolgáltatásokat ezen a területen, akkor ez a cucc hihetetlenül fontos. Tudnia kell, hogy ki érintte az információt, ki változtatott valamit, ki fér hozzá, ki töltötte fel. Mi a származás, mi az adatok bizonyítéka? Biztos lehet benne, hogy ezek a kérdések az elkövetkező években mindenféle okból kiemelkedő szerepet játszanak. Nemcsak a megfelelés érdekében, bár a HIPAA, valamint a Sarbanes-Oxley és a Dodd-Frank, és ezek a szabályok nagyon jelentősek, hanem csak az is, hogy megértsék az üzleti életben, hogy ki mit csinál, hol, mikor, miért és hogyan. Ez jó cucc, figyelni fogunk.
Menj, vedd el, Robin Bloor.
Robin Bloor: Oké, köszönöm a bevezetést, Eric. Úgy értem, hogy ez a kormányzás területe, azt gondolom, hogy az informatika kormányzása nem volt egy szó, amelyet csak egy kicsit a 2000. év után hallottam, azt hiszem. Elsősorban azért jött létre, mert szerintem egyébként elsősorban azért jött, mert létezik a megfelelőségi jogszabályok. Különösen a HIPAA és a Sarbanes-Oxley. Valójában nagyon sok van benne. Ezért a szervezetek rájöttek, hogy szabályoknak és eljárásoknak kell lenniük, mert a törvény szerint ezt meg kell tenni. Már régen, különösképp a bankszektorban, voltak különféle kezdeményezések, amelyeket be kellett tartaniuk, attól függően, hogy milyen bank vagy, és különösen a nemzetközi bankárok. Az egész bázeli követelményeknek megfelelő módon kezdték el, jóval a 2000. év utáni konkrét kezdeményezések előtt. Ez mind valóban a kormányzáson esik le. Arra gondoltam, hogy a kormányzás témájáról beszélek, mint egy bevezetést arra, hogy szem előtt tartom, ki látja el az adatokat.
Az adatkezelés, körülbelül öt-hat évvel ezelőtt gondoltam körül, körülnéztem a definíciókat, és egyáltalán nem volt pontosan meghatározva. Világosabbá válik, mit is jelent valójában. A helyzet valósága az volt, hogy bizonyos határokon belül az összes adatot korábban szabályozták, de erre hivatalos szabályok nem voltak. Különleges szabályok léteztek, amelyeket különösen a bankszektorban készítettek ilyen dolgok készítésére, de ez ismét a megfelelésről szól. Bizonyítva vagy úgy bizonyítja, hogy valójában egy - ez valamilyen kockázattal jár, tehát bizonyítja, hogy életképes bank voltál.
Ha most megnézzük az irányítási kihívást, az a nagy adatmozgás tényével kezdődik. Egyre több adatforrás van. Az adatmennyiség természetesen ezzel kérdés. Különösen sokat, sokkal és többet kezdtünk el végezni strukturálatlan adatokkal. Valami olyanmá vált, amely az elemző játék egészének része. Az elemzés miatt az adatforrás és a vonal fontos. Valójában az adatok elemzésének bármilyen módon történő bármilyen megfeleléshez való felhasználása szempontjából valóban tudnia kell arról, hogy honnan származnak az adatok, és hogy kell lennie, mi az.
Az adattitkosítás kérdéssé vált, és egyre nagyobb kérdéssé vált, mihelyt elmentünk a Hadoop-ba, mert egy adattó-ötlet, amelyben sok adatot tárolunk, hirtelen azt jelenti, hogy hatalmas sebezhetőséget érzel az emberek számára, akik rajta. Az adatok titkosítása sokkal hangsúlyosabbá vált. A hitelesítés mindig probléma volt. A régebbi, szigorúan nagygépek környezetében ilyen csodálatos védelem volt a kerület mentén; a hitelesítés soha nem volt probléma. Később ez egy nagyobb kérdéssé vált, és most már sokkal inkább a kérdés, mert ilyen hatalmasan elosztott környezetünk van. Az adathozzáférés megfigyelése probléma lett. Úgy tűnik, hogy emlékszem különféle eszközökre, amelyek körülbelül tíz évvel ezelőtt jöttek létre. Úgy gondolom, hogy ezek többségét megfelelési kezdeményezések vezették. Ezért megvannak az összes megfelelőségi szabályok, a megfelelőségi jelentések is.
A dologra gondolt az, hogy még az 1990-es években, amikor a gyógyszeriparban klinikai vizsgálatokat végeztek, nem csak tudnod kell bizonyítani, hogy honnan származnak az adatok - nyilvánvalóan nagyon fontos, ha próbál különféle kontextusokban egy gyógyszer kihozatala, annak ismerete, hogy kivel próbálkoznak, és milyen körülmények között szerepelnek a kontextuális adatok - képesnek kell lennie arra, hogy ellenőrizze a szoftvert, amely ténylegesen létrehozta az adatokat. Ez a legsúlyosabb megfelelés, amit valaha láttam, annak bizonyítása szempontjából, hogy valójában nem szándékosan vagy véletlenül rendetleníti el a dolgokat. Az utóbbi időkben különösen az adatok életciklus-kezelése vált problémává. Mindezek bizonyos szempontból kihívások, mivel ezek nagy részét nem sikerült jól teljesíteni. Sok körülmények között meg kell csinálni őket.
Ezt hívom az adatpiramisnak. Mondtam már erről korábban. Nagyon érdekes módszernek tartom a dolgokat. Az adatokra úgy gondolhat, mint amelyek rétegek. A nyers adatok, ha úgy tetszik, valójában csak jelek vagy mérések, felvételek, események, többnyire egyetlen nyilvántartás. A tranzakciók, számítások és összesítések természetesen új adatokat hoznak létre. Az adatok szintjén gondolkodni lehet rájuk. Ezen felül, ha ténylegesen összekapcsolja az adatokat, azok információkká válnak. Hasznosabbá válik, de természetesen sebezhetőbbé válik az emberek, akik megtámadják vagy visszaélnek vele. Meghatározom, hogy létrejöttként valójában az adatok strukturálása révén képesek az adatok megjelenítésére, amelyek szószedeteket, sémákat és ontológiákat tartalmaznak az információra. Ez a két alsó réteg az, amit úgy vagyunk feldolgozunk. Fent ezt nevezem a tudás rétegének, amely szabályokból, politikákból, iránymutatásokból, eljárásból áll. Néhányuk valójában az elemzésben felfedezett betekintésekkel jön létre. Sokuk valójában olyan politikák, amelyeket be kell tartania. Ez a kormányzás rétege, ha úgy tetszik. Ilyen vagy más módon, ha ez a réteg nincs megfelelően kitöltve, akkor az alábbi két réteg nem kerül kezelésre. Ennek végső pontja az, hogy megértjük valamit, amely csak az emberekben rejlik. Szerencsére a számítógépeknek még nem sikerült ezt megtenniük. Egyébként elmaradnék a munkámból.
A kormányzási birodalom - ezt valahogy összetettem, azt hiszem, körülbelül kilenc hónappal ezelőtt kellett volna lennie, talán sokkal korábban. Alapvetően én továbbfejlesztettem, de amint elkezdtünk aggódni a kormányzás iránt, akkor a vállalati adatközpont szempontjából nemcsak az adattároló, az adattó-források, hanem a különféle általános szerverek is voltak, speciális adatkiszolgálók. Mindezt irányítani kellett. Amikor ténylegesen megvizsgálta a különféle dimenziókat is - az adatbiztonság, az adatok tisztítása, a metaadatok felfedezése és a metaadatok kezelése, egy üzleti szótár létrehozása, adatok leképezése, adatvonal, adat életciklus-menedzsment -, akkor a teljesítményfigyelés menedzsment, a szolgáltatás szintű menedzsment, rendszergazdálkodás, amelyet valószínűleg nem társít a kormányzással, de egy bizonyos - most, hogy egyre több adatfolyammal haladunk egy gyorsabb és gyorsabb világba, valójában szükségünk van arra, hogy valamit meg tudjunk csinálni egy adott teljesítménygel. bármi más helyett inkább a működés szabályává válik.
Összegezve a megfelelés növekedését, figyeltem, hogy ez történik sok-sok év alatt, de az általános adatvédelem valójában az 1990-es években jött létre Európában. Azóta egyre több és kifinomultabb. Ezután mindezek a dolgok bevezetésre kerültek, vagy pedig kifinomultabbá váltak. A GRC, ez az irányítási kockázat és a szabályok betartása, a bankok óta folytatódik, miután a Bázel működött. Az ISO különféle műveleti szabványokat dolgozott ki. Mindig is tudom, hogy IT-szakmában dolgozom - már régóta - az Egyesült Államok kormánya különösen aktív volt a különféle jogszabályok kidolgozásában: SOX, ott a Gramm-Leach-Bliley, a HIPAA, a FISMA, a FERPA. Megszerezte a csodálatos NIST szervezetet is, amely nagyon sok szabványt hoz létre, különös tekintettel a biztonsági előírásokra. Az európai adatvédelmi törvények helyi eltéréseket mutatnak. Amit például a németországi személyes adatokkal meg lehet csinálni, az más, mint amit a Szlovák Köztársaságban, Szlovéniában vagy bárhol megtehetsz. Nemrégiben mutatták be - és azt gondoltam, hogy megemlítem ezt, mert mulatságosnak találom - Európa bemutatja az elfelejtéshez való jog gondolatát. Vagyis korlátozottnak kell lennie azokra a nyilvános adatokra, amelyek valójában személyes adatok. Szerintem ez vidám. Informatikai szempontból ez nagyon-nagyon nehéz lesz, ha hatékony jogalkotásrá válik. Összegzésül azt mondanám, hogy az alábbiak szerint: Mivel az IT-adatok és a menedzsment gyorsan fejlődik, a kormányzásnak is gyorsan fejlődnie kell, és ez vonatkozik a kormányzás minden területére.
Miután mondtam, hogy átadom a labdát Deznek.
Eric Kavanagh: Igen, valóban Dez Blanchfield, vedd el. Robin, veled vagyok, ember, haldoklik látni, hogy miként játszik ez az elfelejtés joga. Úgy gondolom, hogy ez nem csak kihívást jelent, hanem alapvetően lehetetlen is. Ez csak a kormányzati ügynökségek által gyakorolt várakozás megsértése. Dez, vedd el.
Dez Blanchfield: Valóban, és ez egy új vita témája. Nagyon hasonló kihívás van itt Ázsia-csendes-óceáni térségben, és különösen Ausztráliában, ahol a szolgáltatók és az internetszolgáltatók kötelesek minden internetes jelentést naplózni, és képesek rögzíteni és újraírni azt az esetre, ha valamely érdeklődő valami rosszat tesz. Ez egy törvény, amelyet be kell tartania. A kihívás, ugyanúgy, ahogy az USA-ban valakinek a Google-ban megkérhetik, hogy törölje a keresési előzményeimet, vagy bármi mást, az valószínűleg az európai törvényeknek, különösen a német adatvédelmi törvénynek való megfelelés. Ausztráliában, ha egy ügynökség szeretne megkeresni önöket, a fuvarozónak képesnek kell lennie arra, hogy megadja a kezdeményezett hívások és keresési előzmények részleteit, ami kihívást jelent, de ebben a világban élünk. Ennek egy csomó oka van. Hadd ugorjak be az enyémbe.
Szándékosan megnehezítettem a címoldalomat. Nagyon keményen kell megnéznie ezt a szöveget. Megfelelés a szabályok, előírások, ellenőrzések, irányelvek, szabványok vagy törvények sorozatának, buta, rendetlen háttérrel. Ennek oka az, hogy nehezen kell megnéznie a részleteket, és ki kell húznia az információkat az átfedésben levő táblából, sorokból és oszlopokból álló sorozatból, akár adatbázisból, egy sémából vagy a Visio modelljéből. Ez az, amellyel a megfelelés fajtája napi szinten érzi magát. Nagyon nehéz belemerülni a részletekbe, és kihúzni a releváns információkat, amelyek szükségesek ahhoz, hogy megbizonyosodjon arról, hogy megfelelnek-e a követelményeknek. Jelentés erről, figyelje meg és tesztelje.
Valójában azt gondoltam, hogy egy nagyon jó módszer ennek megjelenítésére, amikor feltesszük magunknak a kérdést: "Megfelelő vagy?" "Biztos vagy ebben?" "Nos, bizonyítsd meg!" Van egy igazán szórakoztató dolog, amely talán egy kicsit anglo-kelta, de biztos vagyok benne, hogy eljutott a világ körül az Egyesült Államokba, tehát ez: "Hol van Wally?" Wally egy kis karakter, aki bekerül ezekbe a rajzfilmekbe könyvek formájában. Általában nagyon nagy méretű A3 vagy annál nagyobb képek. Tehát asztal méretű rajzok. Kicsi karakter, aki sapkát és vörös-fehér csíkos inget visel. A játék célja az, hogy nézd meg ezt a képet, és körben nézel körül, hogy megpróbáld megtalálni Wally-t. A képen van valahol. Amikor arra gondolsz, hogyan lehet felfedezni, leírni és beszámolni a megfelelésről, sok szempontból ez olyan, mint a „Hol van Wally” játék. Ha ezt a képet nézi, szinte lehetetlen megtalálni a karaktert. A gyerekek órákat töltenek erre, és nagyon szórakoztató voltam tegnap csinálni magam. Ha megnézzük, akkor egy csomó embert találunk ezekben a rajzfilmekben, szándékosan odahelyezzük hasonló csíkos sapka és trikó Wally ruhájának hasonló darabjaival vagy gyapjú felsőjével. De hamis pozitívokká válnak.
Hasonló kihívás van a betartással. Amikor dolgokat vizsgálunk, néha úgy gondoljuk, hogy ez a helyzet, egyáltalán nem ez a helyzet. Lehet, hogy valakinek van hozzáférése az adatbázishoz, és állítólag hozzá kell férniük ehhez az adatbázishoz, de az, ahogyan használják, kissé eltér attól, amit elvárunk. Dönthetnénk, hogy erre kell figyelnünk. Amikor megvizsgáljuk, azt találjuk, hogy valójában ez egy nagyon érvényes felhasználó. Csak valami furcsát csinálnak. Lehet, hogy PC kutató, vagy ki tudja. Más esetekben fordítva lehet. A valóság, amikor ismét előremegyek, ott van Wally. Ha nagyon keményen nézel ki ebben a nagy felbontásban, akkor van egy karakter, aki valóban a megfelelő öltözéket visel. A többiek csak hasonlók és érzelmek. A megfelelés nagyon ilyen. A legtöbb ember, akit ismerek, a vállalkozások ellenőrzésén, megfelelésén és irányelvein dolgozik. A sokféle területen, függetlenül attól, hogy ez a technológia, akár a pénzügy, akár a működés és a kockázat. Gyakran nagyon nehéz látni a képen a Wally-t, látni fogják a fákat vagy a fát.
Az a kérdés, amelyet magunknak felteszünk, amikor olyan kérdésekre gondolunk, mint például a megfelelés, "Nagy ügy, mi történhet rosszul, ha nem elégségesen teljesítjük a megfelelést?" A mai vita összefüggésében, különös tekintettel az adatbázisra és az adatokhoz való hozzáférés ellenőrzésére, néhány nagyon valódi ébresztési példát mutatok be neked arról, hogy mi történhet rosszul nagyon tömör formában. Ha az adatok megsértésére gondolunk, és mindannyian ismerjük az adat megsértését, akkor a médiában halljuk őket, és megállunk és nevetünk, mert az emberek azt gondolják, hogy ez piac. Személyes dolgok. Ashley Madison és az emberek szeretnének randizni a kapcsolatain és a házasságon kívül. Ez elszakítani a számlákat. Mindezek a furcsa dolgok, vagy valami véletlenszerű európai vagy orosz internetszolgáltató vagy host társaság csapkodik be. Amikor a MySpace-re és az első tízre megyünk, amikor ezeket a számokat vesszük észre, azt szeretném, ha rájössz, a következők: 1, 1 milliárd ember részlete ezekben az első tíz megsértésben. És igen, vannak átfedések, valószínűleg vannak olyan emberek, akik rendelkeznek MySpace-fiókkal, Dropbox-fiókkal és Tumblr-fiókkal, de kerekítsük csak egymilliárd emberre.
Az elmúlt évtizedben a tíz legfontosabb jogsértés - a legtöbb esetben még egy évtizedben sem - a világ emberi népességének körülbelül egyharmadát összegzi, ám realisztikusabban az emberek számának körülbelül 50% -a kapcsolódik a Internet, több mint egymilliárd ember. Ezek azért jönnek létre, mert bizonyos esetekben nem teljesítették a megfelelést. A legtöbb esetben az adatbázishoz való hozzáférés ellenőrzése, az egyes adatkészletekhez, rendszerekhez és hálózatokhoz való hozzáférés ellenőrzése volt. Ez egy ijesztő valóság-ellenőrzés. Ha ez nem ijeszt meg, amikor az első tízre nézi, és láthatja, hogy ez egy - vagy láthatjuk, hogy ez egy milliárd ember, valódi emberek, mint mi, a jelen hívás során. Ha van LinkedIn fiókja, ha volt Dropbox vagy Tumblr fiókja, vagy ha Adobe termékekből vásárolt, vagy akár regisztrált is, letöltheti az Adobe megtekintőt. Teljesen valószínű, hogy nem lehetséges, teljesen valószínű, hogy adatai, keresztneve, vezetékneve, e-mail címe, esetleg akár a munkavállaló cég címe, akár otthoni címe vagy hitelkártyája valóban odakint vannak, mert megsértik őket. amelyre az ellenőrzések miatt került sor, amelyeket nem feltétlenül kezeltek jól adatkezelés, adatkezelés formájában.
Vessünk egy pillantást rá, ha valóban részletesen megnézzük. Van egy képernyőnük, körülbelül 50-ben van valami. Van még egy 15. Van még egy újabb 25. Ezek az adatok megsértése, amelyeket a haveibeenpwned.com nevű webhely felsorol. Ez valószínűleg rosszul fordulhat elő, ha valami olyan egyszerűt, mint például az ellenőrzés, aki hozzáférést kapott az adatbázisban lévő adatokhoz különböző mezőkben és sorokban, oszlopokban, és a vállalkozás különböző alkalmazásai, nem kezelik megfelelően. Ezek a szervezetek most adatvezérelt. A legtöbb adat valamilyen formában található adatbázisban. Ha erre gondolsz, akkor a megsértés listája, amelyet csak néztek, és remélhetőleg ez egy kissé hideg zuhanyt adott neked abban az értelemben, hogy azt gondolta: „Hmm, ez nagyon valóságos”, és potenciálisan hatással volt rád. Például 2012-ben, a LinkedIn megsértése esetén a legtöbb szakember manapság rendelkezik LinkedIn fiókkal, és valószínű, hogy adatai elvesznek. 2012 óta jelennek meg az interneten. Csak 2016-ban mondtunk róla. Mi történt veled információkkal a négy év alatt? Nos, érdekes, és erről külön beszélhetünk.
Adatbázis- és rendszermenedzsment - gyakran beszélek arról, hogy mit gondolok az öt legfontosabb kihívásnak e dolgok kezelésében. A legfontosabb, és ezeket rangsorolom a magam preferenciája szerint, de a hatás sorrendje szerint is, az első számú a biztonság és a megfelelés. Az ellenőrzések és mechanizmusok, valamint az annak ellenőrzésére vonatkozó irányelvek, hogy kihez milyen rendszerhez fér, miért és miért. Jelentést tesz erről és figyelemmel kíséri, bevizsgálja a rendszereket, megvizsgálja az adatbázisokat, és látja, ki férhet hozzá ténylegesen az iratokhoz, az egyes mezőkhöz és iratokhoz.
Gondoljon erre egy nagyon egyszerű formában. Példaként beszéljünk a bankügyletről és a vagyonkezelésről. Amikor bankszámlára iratkozik fel, mondjuk csak egy normál készpénzes számlát egy EFTPOS-kártyához, vagy egy pénzeszköz-számlát, vagy egy csekk-számlát. Ön kitölti az űrlapot, és rengeteg nagyon személyes információ található abban a papírdarabban, amelyet kitölt, vagy online tesz, és amely bekerül egy számítógépes rendszerbe. Most, ha valaki a marketing területén fel akar venni Önnel a kapcsolatot, és elküldi neked egy brosúrát, lehetővé kell tenni számukra a keresztnév és vezetéknév, valamint a személyes cím, például a telefonszám és a telefonszám feltüntetését, ha hidegen akarnak hívni, és eladni neked valamit. Valószínűleg nem láthatnák a bankban lévő összes pénzeszközt egy csomó ok miatt. Ha valaki kockázati szempontból néz rád vagy próbál segíteni abban, hogy valami jobb kamatot szerezzen a számláján, akkor az adott személy valószínűleg azt akarja látni, hogy mennyi pénzt kapott a bankban, így felajánlja a pénzének megfelelő kamatmegtérülését. Ennek a két egyéneknek nagyon eltérő szerepe van, és nagyon eltérõ okok vannak ezekre a szerepekre, és a szerepük céljaira. Ennek eredményeként különféle információkat kell látnia a nyilvántartásában, de nem az összes adatot.
Ezek a vezérlők a szokásos képernyők vagy űrlapok különböző jelentései körül vannak, amelyek rendelkeznek az Ön fiókját kezelő alkalmazásokban. Azok fejlesztése, fenntartása, adminisztrációja, azok beszámolása, valamint az olyan irányítás és betartás, mint amilyen a buborékcsomagolás körbekerül, mind nagyon, nagyon nagy kihívás. Ez csak az első számú kihívás az adatok és rendszerek kezelésében. Ha mélyebben megyünk ebbe a verembe a teljesítmény és a megfigyelés, valamint az előfordulások észlelése és kezelése, a rendszer menedzselése és adminisztrációja, valamint a körülöttük lévő megfelelés, a rendszerek tervezése és fejlesztése a megfelelőség alapján, akkor sokkal nehezebbé válik.
A kockázatok csökkentésének és a biztonság javításának egész kérdésének kezelése. Az öt legfontosabb kihívásom ezen a téren - és szeretem azokat a képeket, amelyek egy vámhivatallal járnak, amikor egy országba belépsz - bemutatják az útlevélüket, megvizsgálnak téged, és megnézik a számítógépes rendszerüket, hogy lássa, vajon átadni vagy sem. Ha nem kellene, akkor a következő repülőgépre viszik téged haza. Ellenkező esetben engednek vissza, és olyan kérdéseket tesznek fel, mint: "Ön jön nyaralni? Itt van turista? Itt vagy munkába? Milyen munkát fogsz látni? Melyik helyen szállsz meg? ? Mennyi ideig jössz? Van elegendő pénzed a költségei fedezésére? Vagy kockázatot jelent majd az országában, ahol tartózkodsz, és esetleg őknek kell gondozniuk és táplálkozniuk? "
Vannak bizonyos kérdések ezen az adattér körül, az adatvédelem kezelésével kapcsolatban. Például az adatbázis térben gondolkodnunk kell az adatbázis-megkerülések enyhítéséről. Ha az adatok az adatbázisban vannak, normál környezetben, és a rendszer körül vannak vezérlők és mechanizmusok. Mi történik, ha az adatokat egyre inkább SQL fájlba készítik, és szalagra készítik? Az adatbázisokat nyers formában dobják el, és néha biztonsági másolatot készítenek. Időnként technikai okokból, fejlesztési okokból készül. Tegyük fel, hogy elkészült egy DB dump, és ez mentésre kerül. Mi történik, ha véletlenül megfogom a szalagot és visszaállítom? És van egy nyers példányom az adatbázisból az SQL-ben. Ez egy MP fájl, ez szöveges, el tudom olvasni. Az összes, a dumpban tárolt jelszónak nincs ellenőrzése felett, mert most hozzáférhetek az adatbázis tényleges tartalmához anélkül, hogy az adatbázis-motor megvédeném. Tehát technikailag megkerülhetem a motorba épülő adatbázis-platform biztonságát és a kockázatkezelést, hogy megállítsam az adatokat. Mivel potenciálisan a fejlesztő, a rendszergazda, megszereztem a teljes adatbázist, amelyet biztonsági mentésekhez kell használni.
Az adatokkal való visszaélés - esetleg valaki jelentkezzen be magasabb fiókjába, és hagyja, hogy üljek a képernyőn, információkat keressek, vagy hasonló dolgokat. Az adatokhoz való hozzáférés és azok felhasználásának szabadalmazott ellenőrzése, valamint az adatok vagy az adatok változásainak megtekintése. Ezután jelentést kell tenni az ellenőrzés és a megfelelés körül. A forgalom és a hozzáférés figyelése és így tovább, a külső helyekről és szerverekből származó fenyegetések blokkolása. Például, ha az adatokat egy internetes weblapon lévő űrlapon keresztül mutatják be, védett-e az SQL-befecskendezéseik tűzfalak és koncepcióvezérlők révén? Van egy hosszú, részletes történet mögött. Láthatja, hogy ezeknek az abszolút alapvető dolgoknak csak néhány, amelyekre gondolkodunk az adatbázisokon belüli adatok körüli kockázatok csökkentésében és kezelésében. Valójában viszonylag könnyű megkerülni ezeket, ha a technológiák halmozott szintjein különböző szinteken vagy. A kihívás egyre nehezebbé válik, amikor egyre több adatot és több adatbázist kap. Egyre több és még nagyobb kihívást jelent az, ha az embereknek a rendszerek kezelését és alkalmazásuk figyelemmel kísérését végzik, és nyomon követik a releváns részleteket, amelyek kifejezetten azokhoz a dolgokhoz kapcsolódnak, amelyekről Robin beszélt, például a személyes megfelelés körül. Az egyéneknek körül vannak olyan vezérlői és mechanizmusai, amelyek megfelelnek - ha valami rosszat teszel, akkor potenciálisan kirúgnak. Ha bejelentkezek, mivel a számlám lehetővé teszi, hogy láthassa, akkor ez támadható bűncselekmény lehet. Most hozzáférést adtam neked olyan adatokhoz, amelyeket nem kellett volna látnia rendesen.
Van személyes megfelelés, van vállalati megfelelés, a vállalatoknak vannak irányelveik és szabályaik, és ellenőrzéseik, amelyeket magukra állítottak, csak azért, hogy a társaság jól működjön, és nyereséget nyújtson, valamint jó hozamot biztosítson a befektetőknek és a részvényeseknek. Akkor ott gyakran városi vagy országos, vagy országos, szövetségi, mint mondtad, az USA ellenőrzése és törvényei. Akkor vannak globális is. Néhány nagyobb esemény a világon, ahol Sarbanes-Oxley kedveli, két olyan személyt, akit arra kértek, hogy dolgozzon ki módszereket az adatok és rendszerek védelmére. Van Európában a Bázel, és Ausztráliában mindenféle ellenőrzés létezik, különösen a tőzsdei és a hitelesítő adatok platformjai, majd az egyéni vagy a vállalati szintű adatvédelem terén. Amikor ezek mindegyike fel van rakva, ahogy látta az egyik helyen, amelyen Robin volt, akkor szinte lehetetlen hegyré válnak, hogy felmássanak. A költségek megemelkednek, és eljutunk arra a pontra, ahol az eredeti, hagyományos ismereteink, mint például az ellenőrzést mérő emberek, már nem megfelelő megközelítés, mert a skála túl nagy.
Van egy forgatókönyv, amely szerint a megfelelés az, amit most mindig állandó kérdésnek hívok. Vagyis potenciálisan volt egy időpontjuk, akár havonta, akár negyedévente vagy évente, ahol átnézzük a nemzet állapotát, és segíthetjük a megfelelést és az ellenőrzést. Annak biztosítása, hogy bizonyos emberek bizonyos hozzáféréssel rendelkezzenek, és nem rendelkezzenek bizonyos hozzáféréssel, attól függően, hogy mi volt az engedélyük. Most ez a helyzet a dolgok sebességével, amellyel a dolgok mozognak, a dolgok változásának üteme, a skálán, amelyen működünk. A megfelelés mindig kérdéses kérdés, és a globális pénzügyi válság csak egy példa, ahol a vonatkozó ellenőrzések, valamint a biztonságot és a szabályokat betartó intézkedések elkerülhetik azt a forgatókönyvet, amikor bizonyos viselkedésű elmenekülő áruszállító vonatunk volt. Csak azáltal, hogy ténylegesen létrehozzunk egy helyzetet az egész világgal, tudva, hogy az összeomlik és csődbe kerül. Ehhez a megfelelő eszközökre van szükségünk. Az emberek vonaton dobásakor a testek dobása már nem érvényes megközelítés, mert a skála túl nagy, és a dolgok túl gyorsan mozognak. A mai vita, azt hiszem, megbeszéljük, arról szól, hogy milyen eszközöket kell alkalmazni erre. Különösen azokat az eszközöket, amelyeket az IDERA nyújthat nekünk, és amelyek ezt megtennék. És ezt szem előtt tartva, átadom Bullettnek, hogy átnézze az anyagát, és megmutassa nekünk a megközelítésüket és az eszközöket, amelyek rendelkeznek a probléma megoldásához, amelyet most az Ön számára nyújtottak be.
Bullett, ezzel átadom neked.
Bullett Manale: Nagyon jól hangzik, köszönöm. Néhány diáról szeretnék beszélni, és azt is meg szeretném mutatni neked egy terméket, amelyet az SQL Server adatbázisokhoz használunk, kifejezetten a megfelelési helyzetek elősegítésére. Valójában a kihívás sok esetben - néhányat átugortam ezek közül - ez csak a termékportfóliónk, ezt elég gyorsan átmegyek. Annak szempontjából, hogy valójában hol fog ez a termék foglalkozni, és hogyan viszonyul a megfelelőséghez, ezt mindig úgy vonom magamba, mint az első diát, mert ez egy általános, „Hé, mi a felelős egy DBA-ból?” ellenőrzi és figyelemmel kíséri a felhasználói hozzáférést, valamint jelentéseket képes generálni. Ez összekapcsolódik, ha beszélünk a könyvvizsgálóval, hogy milyen nehéz lehet ez a folyamat, attól függ, hogy önmagát csinálja-e, vagy ha harmadik félt fog használni. eszköz, amely segít.
Általánosságban elmondható, hogy amikor adatbázis-adminisztrátorokkal beszélek, sokszor még soha nem vettek részt auditban. Olyan oktatnia kell őket, hogy valójában mi legyen az, amit valójában meg kell tennie. Annak összefüggésében, hogy milyen típusú megfelelést kell teljesíteni, és képes bizonyítani, hogy valóban betartja a szabályokat, mivel az erre a szintre vonatkozik. Sokan először nem értik meg. Azt gondolják: "Ó, csak veszek egy eszközt, amely megfelelõvé tesz engem." A valóság az, hogy nem ez a helyzet. Bárcsak azt mondanám, hogy a mi varázslatosan, tudod, hogy megnyomja az egyszerű gombot, lehetőséget adott arra, hogy megbizonyosodjon arról, hogy megfelel-e a követelményeknek. A valóság az, hogy a környezetét fel kell állítania az ellenőrzések szempontjából, az emberek hozzáférési módja szempontjából, és mindezt az Ön alkalmazásával kell kidolgozni. Ahol ezt az érzékeny adatot tárolják, milyen típusú szabályozási követelmény ez. Ezután szintén együtt kell működnie egy belső megfelelőségi tisztviselővel, hogy megbizonyosodjon arról, hogy betartja-e az összes szabályt.
Ez nagyon bonyolultnak hangzik. Ha átnézi az összes szabályozási követelményt, akkor azt gondolja, hogy ez a helyzet, de a valóság az, hogy itt van egy közös nevező. Ebben az esetben a szerszámmal, amelyet ma megmutatok neked, a Compliance Manager termékkel, a helyzetünkben az lenne a folyamat, hogy mindenekelőtt meg kell győződnünk arról, hogy összegyűjtjük az ellenőrzési nyomvonal adatait, a kapcsolódó arra a helyre, ahol az adatok érzékenyek az adatbázisban. Mindent összegyűjthet, ugye? Kifelé mondhattam, hogy össze akarok gyűjteni minden tranzakciót, amely ezen az adatbázison történik. A valóság az, hogy valószínűleg csak az érzékeny adatokkal kapcsolatos tranzakcióknak csak egy kis része vagy kis százaléka van. Ha ez a PCI-megfelelés, akkor a hitelkártya-adatokkal, a hitelkártya-tulajdonosokkal és a személyes adataikkal foglalkozunk. Lehet, hogy egy csomó más tranzakció kapcsolódik az alkalmazásához, amelyeknek nincs igazán jelentősége a PCI szabályozási követelményeinek.
Ebből a szempontból az első dolog, amikor a DBA-val beszélek, azt mondom: „Az első számú kihívás nem az, hogy megpróbáljam megszerezni egy eszközt ezekre a dolgokra. Csak azt kell tudni, hogy hol vannak az érzékeny adatok, és hogyan zároljuk le ezeket az adatokat? ”Ha van ilyen, ha meg tudod válaszolni erre a kérdésre, akkor félúton vagy hazafelé abban a tekintetben, hogy meg tudja mutatni, hogy megfelel, feltételezve, hogy követi a megfelelő vezérlőket. Tegyük fel egy pillanatra, hogy követi a megfelelő ellenőrzéseket, és azt mondta az auditoroknak, hogy ez a helyzet. A folyamat következő része nyilvánvalóan olyan ellenőrzési nyomvonal biztosítása, amely megmutatja és validálja az ellenőrzések valóban működőképességét. Ezután kövesse ezt az adatgyűjtést. Általában olyan kérdésekkel, mint a PCI és a HIPAA, és az ilyen típusú dolgokkal hétéves megtartást beszélnek. Sok tranzakcióról és sok adatról beszél.
Ha megtartja, minden tranzakciót összegyűjt, annak ellenére, hogy a tranzakcióknak csak öt százaléka kapcsolódik az érzékeny adatokhoz, akkor egy elég nagy költségről beszél, amely azzal jár, hogy ezeket az adatokat hét évig kell tárolni. Ez az egyik legnagyobb kihívás, azt hiszem, az, hogy az emberek fejébe kerüljünk, ez nyilvánvalóan valóban szükségtelen költség. Sokkal könnyebb, ha csak az adatbázis érzékeny területeire koncentrálhatunk. Amellett, hogy ellenőrizni szeretné néhány érzékeny információt is. Nem csak az ellenőrzési nyomvonal megmutatása érdekében, hanem az is, hogy a dolgokat vissza lehessen kapcsolni a folyamatban lévő tevékenységekhez, és valós időben értesítést kapjunk, hogy tudatában lehessen ennek.
A példát mindig használom, és ez nem feltétlenül kapcsolódik bármilyen típusú szabályozási követelményhez, hanem csak azért, hogy nyomon tudjuk követni, például valakinek el kellett dobnia a bérszámfejtéshez kapcsolódó táblát. Ha ez megtörténik, senki sem kap fizetést, ha megtudja róla, ha nem követi nyomon. Túl késő. Szeretné tudni, hogy mikor esik ez a táblázat, akkor is, amikor elesik, hogy elkerülje azokat a rossz dolgokat, amelyek történhetnek, ha valamelyik elégedetlen alkalmazott elmenekül és törli azt a táblát, amely közvetlenül kapcsolódik a bérszámfejtéshez.
Mindezekkel a trükk az, hogy megtalálják a közös nevezőt, vagy azt a közös nevezőt használják a megfelelés szintjének feltérképezésére. Ez az, amit megpróbálunk csinálni ezzel az eszközzel. Alapvetően azt a megközelítést alkalmazzuk, hogy nem mutatunk be Önnek a PCI-re jellemző, az állományokra vonatkozó jelentést; a közös nevező az, hogy van egy olyan alkalmazás, amely SQL Server használatával tárolja az érzékeny adatokat az adatbázisban. Miután túljutottál, azt mondja: "Igen, ez a legfontosabb dolog, amelyre összpontosítanunk kell - hol vannak az érzékeny adatok, és hogyan lehet hozzájuk férni?" Miután ezt megkapta, van egy csomó jelentés, amelyet kínálunk, amelyek igazolják, hogy a megfelelőségnek megfelelően te is.
Visszatérve a könyvvizsgáló által feltett kérdésekre, az első kérdés a következő lesz: Ki fér hozzá az adatokhoz és hogyan kapják meg ezt a hozzáférést? Be tudja bizonyítani, hogy a megfelelő emberek férnek hozzá az adatokhoz, és a rossz emberek nem? Be tudja bizonyítani, hogy maga az ellenőrzési nyomvonal valami olyan, amiben megbízhatok, mint változatlan információforrás? Ha olyan előzetes nyomkövetési útvonalat adok neked, amely auditorként nem igazán jó, mint könyvvizsgáló, hogy javítsam az ellenőrzést, ha az információ elkészült. Ennek igazolására van szükség, általában könyvvizsgálati szempontból.
Megismerve ezeket a kérdéseket, valamivel részletesebben. Az első kérdés azzal a kihívással jár, hogy tudnia kell, amint azt már mondtam, hogy hol vannak az érzékeny adatok annak jelentése érdekében, hogy ki fér hozzá. Ez általában valamilyen típusú felfedezés, és valójában több ezer különböző alkalmazásuk van, amelyek rengeteg van, rengeteg különféle szabályozási követelményt tartalmaznak. A legtöbb esetben a megfelelőségi tisztviselővel szeretne együttműködni, ha van egyet, vagy legalábbis van valaki, aki további betekintést nyerhet azzal kapcsolatban, hogy valójában hol vannak az érzékeny adataim az alkalmazáson belül. Van egy eszközünk, amely van, ez egy ingyenes eszköz, úgynevezett SQL oszlopkeresés. Azt mondjuk, hogy leendő vásárlóinknak és felhasználóinknak, akiket érdekel ez a kérdés, letölthetik azt. Mit fog tenni, az alapvetően az adatbázisban fog keresni azokat az információkat, amelyek természetüknél fogva valószínűleg érzékenyek lesznek.
És miután ezt megtette, meg kell értenie, hogy az emberek hogyan férnek hozzá ezekhez az adatokhoz. És ez lesz ismét, melyik fiókok tartoznak az Active Directory-csoportokba, az adatbázis-felhasználókba, ehhez egy szerepkör-tagság tartozik. És természetesen szem előtt tartva, hogy ezeket a dolgokat, amelyekről beszélünk, a könyvvizsgálónak jóvá kell hagynia, tehát ha azt mondod: „Így zároljuk az adatokat”, akkor az auditorok vissza és mondd: „Nos, rosszul csinálod.” De mondjuk azt mondják, hogy „igen, ez jól néz ki. Ön megfelelően lezárja az adatokat. ”
A következő kérdéshez, amely lesz, bizonyítani tudja, hogy a megfelelő emberek férnek hozzá az adatokhoz? Más szavakkal, megmondhatja nekik, hogy az ellenőrzéseid vannak, ez az ellenőrzés, amelyet követ, de sajnos az auditorok nem igazán bíznak az egyénekben. Bizonyítékot akarnak erre, és szeretnék látni az ellenőrzési nyomvonalon belül. És ez az egész közös nevező dologhoz vezet vissza. Legyen szó PCI-ről, SOX-ról, HIPAA-ról, GLBA-ról, Basel II-ről, bármi is legyen, a valóság az, hogy általában ugyanazokat a kérdéseket kell feltenni. Az érzékeny információkkal rendelkező objektum, ki fér hozzá az objektumhoz az elmúlt hónapban? Ennek meg kell felelnie az ellenőrzéseimnek, és képesnek lennék arra, hogy végül átadjam az ellenőrzésemet az ilyen típusú jelentések bemutatásával.
És tehát az, amit tettünk, körülbelül 25 különféle jelentést készítettünk, amelyek ugyanazon területeket követik, mint a közös nevező. Tehát nincs beszámolónk a PCI-ről, a HIPAA-ról vagy a SOX-ról, vannak olyan jelentések, amelyek ismételten e közös nevezővel szemben állnak. És tehát nem igazán számít, milyen szabályozási követelményt próbál teljesíteni, a legtöbb esetben képes lesz arra, hogy megválaszolja az auditor által feltett kérdéseket. És meg fogják mondani neked, hogy minden, mikor, mikor és hol végez minden tranzakciót. Tudod, a felhasználó, a tranzakció időpontja, az SQL utasítás, az alkalmazás, ahonnan jött, mindazok a jó dolgok, és képesek lesznek ezen információk automatizált továbbítására a jelentésekbe.
És akkor ismét, ha túljutottál erre, és ezt megadta az auditornak, akkor a következő kérdés lesz, bizonyítsa be. És amikor azt mondom, hogy bizonyítom, azt értem, hogy bizonyítom, hogy maga az ellenőrzési nyomvonal olyan, amiben megbízhatunk. És úgy, ahogy eszközünkben ezt megtesszük, olyan hash-értékek és CRC-értékek vannak, amelyek közvetlenül kapcsolódnak az eseményekhez az ellenőrzési nyomvonalon belül. Tehát akkor az az ötlet, hogy ha valaki kijön és törli a nyilvántartást, vagy ha valaki kijön, eltávolít vagy hozzátesz valamit az ellenőrzési nyomvonalhoz, vagy megváltoztat valamit magában az ellenőrzési nyomvonalban, akkor bebizonyíthatjuk, hogy ezek az adatok, a magát az adatot megsértették. És így az idő 99, 9 százaléka, ha zárolva van az ellenőrzési nyomvonal-adatbázisunk, akkor nem fog belemerülni a probléma, mert amikor az integritás-ellenőrzést elvégzzük, lényegében igazoljuk az auditor számára, hogy maga az adat nem volt megváltozott, törölve vagy hozzáadva az eredeti írás óta, maga a felügyeleti szolgáltatásból.
Szóval ez egyfajta általános áttekintés a tipikus kérdésekről, amelyeket feltennének. Most azt az eszközt, amelynek sokkal foglalkoznunk kell, SQL Compliance Manager-nek nevezzük, és mindezt megteszi a tranzakciók nyomon követése szempontjából, aki, mi, mikor és hol végez tranzakciókat, képes ezt megtenni egy a különböző területek száma is. Bejelentkezés, sikertelen bejelentkezés, sémaváltozás, nyilvánvalóan az adatokhoz való hozzáférés, a kiválasztott tevékenység, mindazok a dolgok, amelyek az adatbázis-motoron belül történnek. Ráadásul képesek vagyunk figyelmeztetni a felhasználókat a különleges, nagyon részletezett körülményekre is, ha szükséges. Például, valaki kiment, és ténylegesen megnéz a táblázatot, amely tartalmazza az összes hitelkártya számomat. Nem változtatják meg az adatokat, csak nézik. Ebben a helyzetben figyelmeztethetek, és tudathatom az emberekkel, hogy ez történik, nem hat órával később, amikor naplókat kaparunk, hanem valós időben. Alapvetően addig tart, amíg az ügylet kezelési szolgáltatáson keresztül történő feldolgozása eltart bennünket.
Mint már említettem, láttuk, hogy ezt különféle szabályozási követelményekben használják, és nem igazán - tudod, ismételten bármilyen szabályozási követelmény, mindaddig, amíg a közös nevezők rendelkeznek érzékeny adatokkal az SQL Serverben adatbázis, ez egy eszköz, amely segíthet az ilyen típusú helyzetekben. A beépített 25 jelentésbe most a valóság az, hogy ezt az eszközt jót teszhetjük a könyvvizsgálónak, és megválaszolhatjuk minden egyes kérdést, amelyet feltesznek, ám a DBA-knak kell ezeket működniük. Tehát ott van ez a gondolat, jól tudod, karbantartási szempontból meg kell győződnünk arról, hogy az SQL a kívánt módon működik-e. Azt is tudnunk kell bemenni és megnézni azokat a dolgokat, amelyek képesek lesznek kimenni, és megnézni más információkat, tudod, az adatok archiválásáig, azok automatizálásához és a fölött maga a termék. Ezeket a dolgokat nyilvánvalóan figyelembe vesszük.
Ami maga az építészetet hozza létre. Tehát a képernyő jobb oldalán találhatók az általunk kezelt SQL példányok, mindent 2000-től egészen 2014-ig, készen áll a 2016-os verzió kiadására. A képernyő legnagyobb előnye, hogy a menedzsment maga a szerver végzi az összes nehéz emelőt. Csak az adatokat gyűjtjük az SQL Server beépített nyomkövető API segítségével. Ez az információ becsapódik a felügyeleti szerverünkbe. Maga a felügyeleti kiszolgáló azonosítja, és vannak olyan események, amelyek valamilyen tranzakcióhoz kapcsolódnak, amelyeket nem akarunk, riasztásokat küld és ilyen dolgokat, majd az adatokat tölti be a tárházban. Innentől futtathatunk jelentéseket, és kijelenthetjük ezeket az információkat a jelentésekben vagy akár az alkalmazás konzolján.
Szóval megyek előre, és gyorsan átmegyek minket, és csak egy gyors dolgot szeretnék rámutatni, mielőtt belemegyünk a termékbe, a webhelyen jelenleg található egy link, vagy a bemutatón, arra az ingyenes eszközre juthat, amelyet már említettem. Ez az ingyenes eszköz, amint mondtam, kimegy és megnéz egy adatbázist, és megkísérli megtalálni azokat a területeket, amelyek érzékeny adatoknak, társadalombiztosítási számoknak, hitelkártya-számoknak tűnnek, az oszlopok vagy a táblák megnevezése alapján, vagy annak alapján, ahogyan az adatok formátuma néz ki, és ezt testreszabhatja, tehát csak rá kell mutatnia.
Most, a mi esetünkben, hadd menjen tovább, és ossza meg a képernyőm, adjon egy percet ide. Rendben, és így először el akartam venni Önt: maga a Compliance Manager alkalmazásba akarlak vinni, és ezt elég gyorsan átmegyek. De ez az alkalmazás, és láthatja, hogy van néhány adatbázisom itt, és csak megmutatom, mennyire könnyű belépni, és elmondom, mit ellenőriz. A sémaváltozások, a biztonsági változások, az adminisztratív tevékenységek, a DML és a Kiválasztás szempontjából mindegyik lehetőség elérhető a rendelkezésünkre, ezt szűrjük le. Ez visszatér a legjobb gyakorlathoz, amikor azt mondhatjuk: „Nagyon csak akkor kell erre a táblára, mert az tartalmazza a hitelkártya számomat. Nincs szükségem a többi termékinformációt tartalmazó táblára, mindazokra a dolgokra, amelyek nem függenek a megfelelési szintnek, amit megpróbálom teljesíteni. ”
Arra is képesek vagyunk, hogy adatokat gyűjtsünk és megjelenítsünk a változó mezők értékei szerint. Sok eszközben van valami, amely lehetővé teszi az SQL utasítás elfogását, a felhasználó megmutatását, az alkalmazás, az idő és a dátum megmutatását, mindazt a jó dolgot. Bizonyos esetekben maga az SQL utasítás nem ad elegendő információt ahhoz, hogy megmondhassa, mi volt a mező értéke a változás előtt, valamint a mező értéke a változás után. És bizonyos helyzetekben erre szükséged van. Szeretném nyomon követni például egy orvos adagolását a vényköteles gyógyszerekre vonatkozóan. 50 mg-ról 80 mg-ról 120 mg-ra ment, képes lennék megfigyelni ezt az előző és utáni felhasználással.
Az érzékeny oszlopok egy másik dolog, amelybe sokat találunk, például a PCI betartásával. Az itt kialakult helyzetben olyan érzékeny adatokkal rendelkeznek, hogy az információk áttekintésével nem kell ezeket megváltoztatnom, törölnem vagy hozzáadni, helyrehozhatatlan károkat okozhattam. Hitelkártya-számok, társadalombiztosítási számok, mindazok a jó dolgok, amelyekkel érzékeny oszlopokat azonosíthatunk és riasztásokat köthetünk hozzájuk. Ha valaki kimegy és megnéz erre az információra, akkor nyilvánvalóan riaszthatunk, e-mailt küldhetünk, vagy SNMP-csapdát és ilyen dolgokat hozhatunk létre.
Most bizonyos esetekben olyan helyzetbe kerül, amelybe Ön kivételt képezhet. És erre gondolok, van egy olyan helyzet, amikor van olyan felhasználója, akinek felhasználói fiókja van, amely összekapcsolódhat valamilyen típusú ETL munkával, amely az éjszaka közepén fut. Ez egy dokumentált folyamat, és egyszerűen nem kell feltüntetnem a tranzakciós információkat az adott felhasználói fiókra. Ebben az esetben megbízható felhasználónk lenne. És akkor más helyzetekben a Privileged felhasználói ellenőrzés funkciót használjuk, amely lényegében akkor jelentkezik, ha van egy alkalmazásuk, mondjuk például egy alkalmazást, és az alkalmazás már ellenőrzi azokat a felhasználókat, akik az alkalmazáson mennek keresztül, azaz nagyszerű, már van valami referencia az ellenőrzésem szempontjából. De a dolgokhoz, amelyek kapcsolódnak például a kiváltságos felhasználókhoz, azokhoz a srácokhoz, akik az SQL Server menedzsment stúdióba léphetnek, hogy megnézzék az adatbázisban lévő adatokat, az nem vágja le őket. Tehát itt határozhatjuk meg, hogy kik azok a kiváltságos felhasználók, akik akár szerepkörök tagságán keresztül, akár az Active Directory fiókokon, csoportokon keresztül, az SQL-hitelesített fiókokon keresztül választhatják meg ezeket a különféle lehetőségeket, és majd onnan ellenőrizze, hogy ezeknek a kiváltságos felhasználóknak meg tudjuk-e határozni azokat a tranzakciótípusokat, amelyeket érdekel az ellenőrzés.
Ez mindenféle különféle lehetőség van, és nem fogok megragadni a különféle típusú dolgokat, a jelen bemutató időkorlátai alapján. De meg akarom mutatni, hogy miként tekinthetjük meg az adatokat, és azt hiszem, tetszeni fog majd, hogyan működik ez, mert kétféle módon tudjuk megcsinálni. Interaktív módon tudok csinálni, és így amikor beszélünk olyan emberekkel, akiket érdekli ez az eszköz, és talán a saját belső ellenőrzésükről szólnak, akkor csak tudni akarják, mi történik sok esetben. Nem feltétlenül vannak könyvvizsgálók a helyszínen. Csak azt akarják tudni: „Hé, azt akarom, hogy elmenjek az asztal után, és megnézem, ki érinti az utóbbi héten vagy a múlt hónapban, vagy bármi mást is.” Ebben az esetben láthatja, milyen gyorsan tudjuk ezt megtenni.
Az egészségügyi adatbázis esetében van egy táblám, amelynek neve: Patient Records. És az a táblázat, ha csak objektum szerint csoportosítanám, nagyon gyorsan szűkítheti azt, ahol keresünk. Lehet, hogy kategóriákonként, majd esetleg eseményenként akarok csoportosulni. És amikor ezt megteszem, láthatod, milyen gyorsan ez megjelenik, és ott van a betegrekordom táblám. És amint elmélyültem, láthatjuk a DML-tevékenységet, láthatjuk, hogy ezer DML-beszúrás volt, és amikor megnyitjuk az egyik tranzakciót, láthatjuk a vonatkozó információkat. A ki, mi, mikor, hol, ahol a tranzakció, az SQL utasítás, nyilvánvalóan a tényleges alkalmazás, amelyet a tranzakció végrehajtására használtak, a számla, az idő és a dátum.
Ha most a következő fülre, a Részletek lapra nézzük, ez visszatér a harmadik kérdéshez, amelyről beszélünk, bizonyítva, hogy az adatok integritását nem sértették meg. Tehát alapvetően minden eseménynek titkos számítása van a hash-értékünkre, és ez majd kapcsolódik ahhoz, amikor elvégzzük integritásának ellenőrzését. Például, ha kimennék az eszközhöz, bemegyek az ellenőrzési menübe, és kimentem volna, és azt kellene mondanom: ellenőrizzük a lerakat integritását, mutathatnék az adatbázisra, ahol az ellenőrzési nyomvonal található, akkor futni fog egy integritás-ellenőrzésen keresztül, amely ezeket a hash-értékeket és CRC-értékeket illeszti a tényleges eseményekhez, és azt fogja mondani, hogy nem találtak problémát. Más szavakkal, az ellenőrzési nyomvonalban szereplő adatokat nem hamisították meg, mivel azokat eredetileg a felügyeleti szolgálat írta. Ez nyilvánvalóan az adatokkal való kölcsönhatás egyik módja. A másik út maguk a jelentések lenne. És ezért csak egy gyors példát fogok mutatni egy jelentésről.
És ismét, ezek a jelentések - ahogyan velünk jöttünk - nem vonatkoznak semmilyen szabványra, például PCI, HIPAA, SOX vagy hasonlóra. Ismét, ez a közös nevező annak, amit csinálunk, és ebben az esetben, ha visszatérünk ehhez a beteg-nyilvántartási példához, akkor kimenhetnénk, és azt mondhatnánk, hogy ebben az esetben az egészségügyi adatbázisban, és esetünkben kifejezetten arra a táblára akarunk összpontosítani, amelyről tudjuk, hogy magáninformációkat tartalmaz, esetünkben a betegeinkkel kapcsolatban. És hát, hadd lássam, írhatom-e ide, és megyünk tovább, és elkészítjük ezt a jelentést. És akkor természetesen látni fogjuk az összes objektumhoz kapcsolódó releváns adatot. És a mi esetünkben egy hónapos időtartam alatt megmutatja nekünk. De visszatérhetünk egy évvel hat hónapra, bármennyire is tároltuk az adatokat.
Ez az a fajta módszer, amellyel valóban igazolni tudja az auditornak, hogy ellenőrzéseit követi. Miután azonosította ezt, akkor ez nyilvánvalóan jó dolog az ellenőrzés átadása és az a képesség szempontjából, hogy meg tudja mutatni, hogy követi az ellenőrzéseket, és minden működik.
Az utolsó dolog, amit ilyen jellegű beszélni akartam, az igazgatási szakaszban mutattam be. Vannak olyan vezérlőelemek is, amelyek maguk az eszközök magukban állítják a vezérlőket, hogy megbizonyosodhassunk arról, hogy ha valaki valamit csinál, amit nem kellene tennie, akkor tudomást szerezhet róla. És itt hozok néhány példát. Van egy bejelentkezési fiókom, amely egy szolgáltatáshoz van kötve, és ennek a szolgáltatásnak megnövelt engedélyekre van szüksége ahhoz, hogy megtegyék amit csinálnak. Nem akarom, hogy valaki belépjen és használja a fiókot a Management Studio alkalmazásban, majd, tudod, olyan dolgokra használja, amelyekre nem szánta. Két kritérium lenne itt, amelyeket alkalmazhatnánk. Mondhatnám: „Nézd, mi igazán érdekli ezt a munkát, mondjuk, a PeopleSoft alkalmazásunkkal”, csak példaként, oké?
Most, hogy ezt megtettem, amit itt mondok, kíváncsi vagyok arra, hogy tudjak minden olyan bejelentkezést, amely kapcsolódik ahhoz a fiókhoz, amelyet készen állok megadni, ha az alkalmazás ezzel a fiókkal jelentkezik be. nem PeopleSoft, akkor ez felhívja a figyelmeztetést. És nyilvánvalóan magának a fióknak a nevét is meg kell határoznia, tehát a mi esetünkben csak ezt a Priv Fiókot hívjuk, mert ez kiváltságos. Ha egyszer megcsináltuk, amikor ezt megtesszük, akkor most meg tudjuk határozni, hogy mi mi történhet, amikor ez bekövetkezik, és minden egyes eseménytípusra, vagy, azt kell mondanom, riasztásra, külön értesítést kell küldenie az adott adatért felelős személy számára.
Például, ha a fizetésről van szó, akkor a HR igazgatómhoz fordulhat. Ebben az esetben a PeopleSoft alkalmazás kezelésekor az alkalmazás adminisztrátora lesz. Bármi legyen is az. Képesek lennék az e-mail címem, testreszabni az aktuális riasztási üzenetet és mindezt a jó dolgot. Ez ismét visszatér ahhoz, hogy megbizonyosodjunk arról, hogy meg tudja mutatni, hogy követi a vezérlőket, és hogy ezek a vezérlők a kívánt módon működnek. Az utóbbi szempontból, csak a karbantartás szempontjából, képesek vagyunk ezeket az adatokat megszerezni és offline állapotba helyezni. Archiválhatom az adatokat, és ütemezhetem azokat, és nagyon könnyen meg tudnánk csinálni ezeket a dolgokat abban az értelemben, hogy valójában képesek lennének DBA-ként, aki ezt az eszközt használja, beállítani és egyfajta sétára tőle Nem sok kezet fog tartani, miután beállította, ahogy legyen. Mint mondtam, ennek a legnehezebb része, azt hiszem, nem az, hogy beállítsa azt, amit ellenőrizni kíván, hanem annak ismerete, hogy mit szeretne létrehozni az ellenőrzéshez.
És amint mondtam, a vadállat természetével az auditálással, az adatokat hét évig meg kell őriznie, tehát csak azoknak a területeknek van értelme koncentrálni, amelyek érzékeny természetűek. De ha mindent összegyűjteni akar, akkor teljesen megteheti, csak nem tekintik a legjobb gyakorlatnak. Tehát ebből a szempontból szeretném emlékeztetni az embereket, hogy ha ez valami érdekes, akkor lépjen az IDERA.com weboldalra, letölthesse ennek egy próbaverzióját, és magaddal játszhasson. Az ingyenes eszközről, amelyről korábban beszéltünk, ez az, hogy ingyenes, letöltheti és örökre felhasználhatja, függetlenül attól, hogy a Compliance Manager terméket használja. A remek dolog az oszlopkereső eszközben az, hogy a felfedezéseinkkel, amelyekkel felmerült, és valójában azt bizonyíthatom, hogy szerintem az lesz, hogy exportálni tudja ezeket az adatokat, majd importálni tudja azokat a Compliance Managerbe is. Nem látom, tudom, hogy itt van, ott van. Ez csak egy példa erre. Itt találja meg a kapcsolódó érzékeny adatokat.
Most ezt az esetet kimegyem, és tényleg mindent átnézek, de van egy csomó dolgod, amit ellenőrizhetünk. Hitelkártya számok, címek, nevek, minden ilyen cucc. És meg fogjuk határozni, hogy hol van az adatbázisban, majd onnan dönthet, hogy valóban meg akarja-e ellenőrizni ezeket az információkat. De ez határozottan egy módja annak, hogy sokkal könnyebbé tegye az auditálási kör meghatározását, amikor egy ilyen eszközt keres.
Csak megyek előre és bezárul ezzel, megyek előre, és visszaadom Ericnek.
Eric Kavanagh: Ez egy fantasztikus bemutató. Szeretem, ahogy tényleg belemerülsz az ott található szemcsés részletekbe, és megmutatjátok, mi folyik itt. Mivel a nap végén van egy rendszer, amely hozzáférni fog bizonyos nyilvántartásokhoz, és jelentést fog készíteni neked, és el fogja mondani a történetedet, legyen az szabályozó, vagy könyvvizsgáló, vagy valaki a csapatban, tehát jó, ha tudod, hogy készen állsz arra, hogy mikor, vagy mikor, és mikor jön az a személy, aki kopogtat, és természetesen ez a kellemetlen helyzet, amelyet megpróbál elkerülni. De ha ez megtörténik, és valószínűleg ezekben a napokban is megtörténik, akkor biztos akar lenni abban, hogy pontozott vagy, és T-je át van téve.
Van egy jó kérdés egy közönség tagja közül, amelyet először talán neked, Bullettnek szeretnék dobni, majd ha esetleg egy előadó kommentálni akarja, nyugodtan viselkedjen. Aztán talán Dez felteszi a kérdést és Robin. Tehát a kérdés az, hogy méltányos-e azt mondani, hogy mindazon dolgok elvégzéséhez, amelyeket megemlítettél, meg kell kezdenie az adatminősítés erőfeszítéseit elemi szinten? Tudnia kell adatait, amikor értékes potenciális eszköznek bizonyul, és meg kell tennie valamit erről. Azt hiszem, elfogadnád, Bullett, igaz?
Bullett Manale: Igen, teljesen. Úgy értem, meg kell ismerned az adatait. És rájöttem, hogy felismerem, hogy nagyon sok alkalmazás van odakint, és rengeteg különféle dolog van, amelyek mozgó alkatrészekkel rendelkeznek a szervezetében. Az oszlopkereső eszköz nagyon hasznos abban, hogy egy lépést tegyünk az adatok jobb megértésének irányába. De igen, ez nagyon fontos. Úgy értem, lehetősége van a firehose megközelítésre és mindent megvizsgálni, de logisztikai szempontból sokkal nagyobb kihívást jelent, amikor arról beszél, hogy ezeket az adatokat tárolni kell, és jelentést kell készítenie az adatokkal szemben. És akkor még mindig tudnia kell, hogy hol található ez az adat, mert a jelentések futtatásakor az auditoroknak ezeket az információkat is meg kell mutatniuk. Tehát azt hiszem, hogy amint mondtam, az adatbázis-adminisztrátorokkal való beszélgetés során a legnagyobb kihívás az, hogy tudjam.
Eric Kavanagh: Igen, de talán Robin gyorsan elviszünk téged. Úgy tűnik számomra, hogy a 80/20-os szabály érvényes, igaz? Valószínűleg nem fog megtalálni minden olyan nyilvántartási rendszert, amely számít, ha valamilyen közepes méretű vagy nagy szervezetben van, de ha arra összpontosít - például amire a Bullett itt utalt -, például a PeopleSoft, vagy más olyan rekordrendszerek, amelyek túlnyomórészt a vállalkozásban, erre összpontosít erőfeszítéseinek 80% -át, majd 20% -ot a többi rendszerre, amelyek esetleg ott vannak valahol, igaz?
Robin Bloor: Nos, biztos vagyok benne, igen. Úgy értem, tudod, azt hiszem, hogy ennek a technológiának a problémája, és azt hiszem, érdemes megjegyzést fűzni hozzá, ám ennek a technológiának a problémája az, hogy hogyan kell megvalósítani? Úgy értem, hogy határozottan hiányzik az ismeretek, mondjuk, a legtöbb szervezetben, még a rendelkezésre álló adatbázisok számára is. Tudod, borzasztóan sok hiányzik a készlet, mondjuk. Tudod, a kérdés az, hogy képzeljük el, hogy olyan helyzetben kezdjük el, ahol nincs különösen jól menedzselt megfelelés. Hogyan veszi ezt a technológiát és adja be a környezetbe, nem csak a, tudod, a technológiába fogalmak, a dolgok felállítása, de mint ki kezeli, ki határozza meg? Hogyan kezdheti el ezt valódi, munkát végző dolgává tenni?
Bullett Manale: Nos, úgy értem, ez egy jó kérdés. Sok esetben a kihívás az, hogy úgy értem, hogy már a kezdetektől meg kell kezdenie feltenni a kérdéseket. Nagyon sok cégbe ütköztem, ahol ők, tudod, lehet, hogy magánvállalatok, és megszerezték őket, van egy kezdeti, egyfajta, egyfajta, útcsapda, ha azt akarod nevezni. Például, ha az akvizíció miatt mostanában nyilvános tőzsdén lettem, akkor vissza kell mennem, és valószínűleg kitalálni néhány dolgot.
És bizonyos esetekben olyan szervezetekkel beszélünk, amelyek tudják, hogy bár magántulajdonosok is, betartják a SOX megfelelési szabályokat, egyszerűen azért, mert abban az esetben, ha meg akarnak szerezni, tudják, hogy meg kell felelniük a követelményeknek. Ön határozottan nem akarja, hogy csak az „Most nem kell aggódnom miatta” megközelítést alkalmazni. Bármilyen típusú jogszabályi megfelelés, például PCI vagy SOX vagy bármi más, a befektetést a kutatás vagy a annak megértése, hogy hol helyezkedik el ez az érzékeny információ, különben előfordulhat, hogy valami jelentős, izmos bírsággal foglalkozik. És sokkal jobb, ha ezt az időt befekteti, tudod, hogy megtalálja ezeket az adatokat, és képes beszámolni azokkal szemben, és megmutatja, hogy az ellenőrzések működnek.
Igen, a telepítés szempontjából, amint mondtam, az első dolog, amelyet az embereknek, akik felkészültek az ellenőrzésre, ajánlom: egyszerűen csak kimenni, és az adatbázist átfogóan megvizsgálni, és kitalálni, hogy te mindent megtesznek, próbálják kitalálni, hol vannak az érzékeny adatok. A másik megközelítés az lenne, ha egy nagyobb nettóval kezdenénk az auditálás körét, majd lassan megfékeznénk magunkat, miután rájössz, hogy a rendszerben hol helyezkednek el azok a területek, amelyek a érzékeny információ. De szeretném, ha megmondanám nektek, hogy erre a kérdésre könnyű választ találni. Valószínűleg meglehetősen kicsit változik szervezetenként és a megfelelés típusán, és valóban, hogy tudod, mennyi szerkezetük van az alkalmazásukban és hányuk rendelkezik különféle alkalmazásokkal, néhányuk egyéni írásbeli alkalmazások, tehát valójában sok esetben a helyzettől függ.
Eric Kavanagh: Menj, Dez, biztos vagyok benne, hogy van egy-két kérdésed.
Dez Blanchfield: Szeretnék betekintést nyerni a megfigyeléseibe, amelyek ténylegesen emberek szempontjából befolyásolják a szervezeteket. Úgy gondolom, hogy az egyik olyan terület, ahol a legnagyobb értéket látom ennek a megoldásnak, az az, hogy amikor az emberek reggel felébrednek, és a szervezet különböző szintjeire mennek dolgozni, egy sor felelősségteljes lánccal vagy felfüggesztéssel lépnek fel. hogy velük kell foglalkozniuk. És nagyon szeretnék betekintést szerezni ahhoz, hogy mit látsz odakint azokkal az eszközökkel és azok nélkül, amelyekről beszél. A kontextus, amiről itt beszélek, az igazgatóság elnökétől a vezérigazgatóig, a CIO-hoz és a C-suite-ig terjed. És most vannak olyan kockázatért felelős főtisztviselők, akik jobban gondolkodnak azon dolgok típusairól, amelyekről itt beszélünk a megfelelés és irányítás vonatkozásában, és akkor új szerepjáték-vezérigazgatók, adatvédelmi tisztviselők vannak, akik, még jobban aggódik amiatt.
És mindegyikük oldalán, a CIO környékén, az IT-menedzserek egyik oldalán vannak, valamiféle ismeretekkel, műszaki vezetőkkel, majd adatbázis vezetőkkel. És az operatív térben fejlesztési menedzserekkel és fejlesztési vezetőkkel, majd egyedi fejlesztésekkel rendelkezünk, és visszakerülnek az adatbázis adminisztrációs rétegébe. Mit lát az üzlet e különféle részeinek reakciója a megfelelés és a szabályozási jelentések kihívásaival és az ezekhez való megközelítésükkel kapcsolatban? Látja, hogy az emberek idegesen jönnek erre, és láthatják annak előnyeit, vagy látja, hogy vonakodva húzzák a lábát ehhez a dologhoz, és csak tudod, hogy egy négyzetbe csúsztatják? És milyen típusú válaszokat lát, amikor meglátja a szoftvert?
Bullett Manale: Igen, ez jó kérdés. Azt mondanám, hogy ezt a terméket, ennek a terméknek az értékesítését, főleg valaki forró ülésen hajtja, ha ez értelme van. A legtöbb esetben ez a DBA, és a mi szempontunk szerint, más szóval, tudják, hogy jön egy ellenőrzés, és felelősséget vállalnak, mert ők a DBA-k, hogy képesek legyenek megadni az információt, amelyre a könyvvizsgáló megy kérdez. Ezt megtehetik saját jelentésük megírásával és saját nyomkövetések készítésével, valamint minden ilyen dolgokkal. A valóság az, hogy nem akarják ezt megtenni. A legtöbb esetben a DBA-k nem igazán várják, hogy megkezdődjenek a könyvvizsgálóval folytatott beszélgetések. Tudod, inkább azt mondanám nektek, hogy felkereshetünk egy társaságot, és azt mondhatjuk: "Hé, ez egy nagyszerű eszköz, és imádni fogod", és megmutatják nekik az összes szolgáltatást, és meg fogják vásárolni.
A valóság az, hogy általában nem fogják megnézni ezt az eszközt, kivéve, ha ténylegesen szembesülnek egy ellenőrzéssel, vagy az érme másik oldalával, ha már elvégezték a könyvvizsgálatot, és szerencsétlenül megbuktak, és most ha azt kérik, hogy segítséget kapjanak, vagy pénzbírságot kapnak. Azt mondanám, hogy általános értelemben véve, amikor az embereknek megmutatják ezt a terméket, akkor határozottan látják ennek az értékét, mert ez rengeteg időt takarít meg számukra annak érdekében, hogy kitalálják, miért akarnak jelentést tenni., ezek a fajta dolgok. Ezeket a jelentéseket már beépítették, a riasztási mechanizmusok be vannak építve, és a harmadik kérdés is sok esetben kihívást jelenthet. Mivel egész napos jelentéseket tudok mutatni neked, de ha nem tudod bizonyítani nekem, hogy ezek a jelentések valóban érvényesek, akkor tudod, sokkal keményebb javaslat számomra, mint egy DBA-nak, hogy ezt meg tudjam mutatni. De kifejlesztettük a technológiát, a hashizálási technikát és az összes ilyen dolgot, hogy segítsünk abban, hogy megbizonyosodjunk arról, hogy az ellenőrzési nyomvonalak integritása során megőrizzük az adatokat.
És tehát ezek a dolgok, ezek a megfigyeléseim azon emberek többsége szempontjából, akikkel beszélgetünk. Tudod, határozottan, a különböző szervezetekben, mint például, meg fogod hallani, tudni fogod, például, a Targetről adatmegsértés történt, és tudod, azt értem, amikor más szervezetek hallanak a bírságokról és azokról olyan dolgokkal kezdik el a szemöldökét, tehát remélhetőleg ez válaszol a kérdésre.
Dez Blanchfield: Igen, határozottan. El tudom képzelni néhány DBA-t, amikor végre látják, hogy mit lehet tenni az eszközzel, csak rájönnek, hogy megkapják a késő esti és hétvégi hétvégéjukat is. Idő- és költségcsökkentés, és egyéb dolgok, amint látom, amikor a megfelelő eszközöket alkalmazzák az egész problémára, vagyis három hetet itt ültem egy banknál itt, Ausztráliában. Globális bankok, az első három bank, nagyobbak. És volt egy olyan projektük, ahol be kellett számolniuk a vagyonkezelés megfelelőségéről és különösen a kockázatról, és 60 hetes munkájukra számítottak párszáz ember számára. És amikor megmutatták egy olyan eszköz kedvelését, mint te, amely önmagában képes automatizálni a folyamatot, akkor ez az arckifejezés, amikor rájöttek, hogy nem kell X-heteket tölteniük több száz emberrel kézi eljárást végző személyeknél, olyan, mintha megtalálták volna Istent. Akkor azonban a legnagyobb kihívást jelentette, hogyan lehet azt ténylegesen megtervezni, amint azt Dr. Robin Bloor jelezte, tudod, ez olyasmi, amely keveréke a viselkedésbeli, kulturális változásoknak. Azokon a szinteken, amelyekkel foglalkozik, akik közvetlenül ezzel foglalkoznak az alkalmazás szintjén, milyen változást észlel, amikor elkezdenek olyan eszközt alkalmazni, amely az általad kínált jelentéstételi, auditálási és ellenőrzési tevékenységeket végzi, mint pl. szemben azzal, amit esetleg kézzel csináltak? Hogyan néz ki ez, amikor valóban bevezették a gyakorlatba?
Bullett Manale: Azt kérdezi, mi a különbség a kézi kezelés és az eszköz használata szempontjából? Ez a kérdés?
Dez Blanchfield: Nos, konkrétan az üzlet hatása. Tehát például, ha egy kézi folyamatban próbálunk megfelelést biztosítani, akkor tudod, hogy sok emberrel mindig hosszú időt vesz igénybe. De azt hiszem, hogy valamilyen összefüggést tegyünk a kérdés körül, amint azt Ön is tudja, egy személyről beszélünk, aki ezt az eszközt futtatja, és potenciálisan 50 embert cserél, és képes ugyanazt megtenni valós időben vagy órákban vagy hónapokban? Ilyen, mi az, ami általában kiderül?
Bullett Manale: Nos, úgy értem, hogy néhány dologról van szó. Az egyik képes megválaszolni ezeket a kérdéseket. Néhány ilyen dolgot nem könnyű megtenni. Igen, a házilag készített dolgok elkészítése, a saját jelentések elkészítése, a nyomkövetés vagy a kibővített események felállítása az adatok kézi összegyűjtéséhez sok időt vehet igénybe. Tényleg adok neked valamit, úgy értem, hogy ez nem igazán kapcsolódik az adatbázisokhoz általában, de mint az Enron története és a SOX elterjedése után, a Houston egyik nagyobb olajtársaságában voltam, és számítottuk, Azt hiszem, hogy az üzleti költségeink 25 százaléka a SOX-megfeleléssel kapcsolatos.
Most, hogy rögtön után volt, és ez volt a SOX kezdeti első lépése, de a helyzet azzal, hogy azt mondanám, tudod, nagyon sok előnye származik ennek az eszköznek a használatával abban az értelemben, hogy nem igényel sokat az emberek ezt csinálják, és sok más ember ezt csinálja. És amint mondtam, a DBA-k általában nem az a fickó, aki nagyon vágyakozik arra, hogy megbeszéléseket folytasson az auditorokkal. Tehát sok esetben látni fogjuk, hogy a DBA ezt ki tudja üríteni, és képesnek bizonyul arra, hogy a jelentést interfész útján biztosítsa a könyvvizsgálónak, és teljes mértékben eltávolíthassák magukat az egyenletből, ahelyett, hogy be kellene vonniuk őket. Tehát, tudod, ez óriási megtakarítás is az erőforrások szempontjából, ha megteheti.
Dez Blanchfield: Ön tömeges költségcsökkentésről beszél, ugye? A szervezetek nemcsak a kockázatot és annak általános költségeit távolítják el, hanem lényegében arra gondolok, hogy a költségek jelentős csökkentéséről beszélsz, A) működési szempontból, és B) abban is, hogy tudod, ha valóban képesek-e valós időben való megfelelés jelentése, hogy jelentősen csökkent az adat megsértésének kockázata, vagy valamilyen jogi pénzbírság vagy hatása van annak, hogy nem felel meg a szabályoknak, nem?
Bullett Manale: Igen, teljesen. Úgy értem, hogy ha nem vagyok megfelelő, akkor mindenféle rossz dolog történhet. Használhatják ezt az eszközt, nagyszerű lenne, vagy nem, és megtudják, mennyire rossz ez. Igen, nyilvánvalóan nem csak az eszköz, hanem az ilyen eszközök nélkül is elvégezheti az ellenőrzéseket és mindent. Mint mondtam, sokkal több időt és költségeket igényel.
Dez Blanchfield: Nagyszerű. Tehát Eric, vissza fogom adni Önnek, mert azt hiszem, hogy számomra az elvonulás az, hogy tudod, az a fajta piac fantasztikus. De lényegében az is, hogy a dolog megéri az aranyát, mivel képes elkerülni a bekövetkező kérdés kereskedelmi hatásait vagy csökkenteni tudja a bejelentéshez és a szabályok betartásának kezeléséhez szükséges időt. szerszám azonnal megfizeti a dolgok hangjait.
Eric Kavanagh: Pontosan így van. Nos, köszönöm szépen a mai idejét, Bullett. Köszönet mindannyiótoknak, idejükért és figyelmükért, Robinnak és Deznek. Egy újabb nagyszerű bemutató ma. Köszönjük az IDERA barátainak, hogy engedélyezték, hogy ezt a tartalmat Önnek ingyenesen hozzuk létre. Ezt a webes adást archiváljuk későbbi megtekintés céljából. Az archívum általában körülbelül egy nap alatt elkészül. És tudassa velünk, mit gondol az új weboldalunkról, a insideanalysis.com-ról. Teljesen új formatervezés, teljesen új külső és megjelenés. Szeretnénk hallani az Ön visszajelzését, és ezzel búcsút fogok mondani, emberek. Küldhet nekem e-mailt. Egyébként a jövő héten felvesszük Önt. Az elkövetkező öt hétben hét webes közvetítésünk van, vagy valami hasonló. Foglalt vagyunk. És a hónap végén leszünk a Strata konferencián és az IBM elemzői csúcstalálkozón New Yorkban. Tehát, ha ott vagy, állj meg és köszönj. Vigyázz, emberek. Viszlát.