Ottaa mukaan: Isäntä Eric Kavanagh keskustelee tietokannan tarkistuksesta ja noudattamisesta analyytikkojen Robin Bloorin ja Dez Blanchfieldin sekä IDERAn Bullett Manale -yrityksen kanssa tässä Hot Technologies -jaksossa.
Et ole tällä hetkellä kirjautunut sisään. Kirjaudu sisään tai kirjaudu sisään nähdäksesi videon.
Eric Kavanagh: Hyvät naiset ja herrat, hei ja tervetuloa taas kerran Hot Technologiesiin! Kyllä, vuonna 2016. Oli tämän näyttelyn kolmas vuosi, sen erittäin jännittävä juttu. Olemme keinut ja liikkuneet tänä vuonna. Tässä on isäntäsi Eric Kavanagh. Tämän päivän aihe - tämä on hieno aihe, sillä on paljon sovelluksia useilla aloilla, sanottuna - "Kuka, mitä, missä ja miten: miksi haluat tietää". Kyllä, todellakin, aiottiin puhua kaikista hauskoista asioista. Siellä on dia sinun oikeastaan, lyö minut @eric_kavanagh. Yritän twiittiä uudelleen kaikki maininnat ja twiittiä uudelleen jotain joku minulle. Muuten olkoon niin.
Sen kuuma, kyllä todellakin! Koko näyttely on suunniteltu auttamaan organisaatioita ja yksilöitä ymmärtämään erityyppisiä tekniikoita. Suunnittelimme täällä koko ohjelman, Hot Technologies, tapana määritellä tietynlainen ohjelmisto tai tietty suuntaus tai erityinen tekniikka. Syynä on se, että suoraan sanottuna, ohjelmistomaailmassa, saat usein nämä markkinointitermit, jotka joutuvat yhtyeeseen, ja joskus he voivat suoraan sanoin haastaa käsitteet, joita niiden oli tarkoitus kuvailla.
Tässä näyttelyssä yritämme todella auttaa sinua ymmärtämään, mikä tietynlainen tekniikka on, miten se toimii, kun voit käyttää sitä, kun sinun ei pitäisi käyttää sitä ehkä, ja antaa sinulle niin paljon yksityiskohtia kuin mahdollista. No, tänään on kolme esittelijää: oma Robin Bloor, pääanalyytikko täällä Bloor-ryhmässä; datatieteilijämme, soittava Sydneystä, Australiasta toiselle puolelle planeetta Dez Blanchfieldiä, ja yksi suosikkivieraistamme Bullett Manale, IDERAn myyntitekniikan johtaja.
Sanon vain muutamia asioita täällä, ymmärtää kuka tekee mitä minkä tietotiedon kanssa, se on sellaista kuin hallinto, eikö niin? Jos ajatellaan kaikkia alojen, kuten terveydenhuollon ja finanssipalvelujen, ympäristösäännöksiä näillä aloilla, nämä asiat ovat uskomattoman tärkeitä. Sinun on tiedettävä, kuka kosketti tietoja, kuka muutti jotain, kuka käytti sitä, kuka latasi sen. Mikä on suku, mikä näiden tietojen providence? Voit olla varma, että kaikki nämä asiat tulevat olemaan näkyviä tulevina vuosina kaikenlaisista syistä. Ei vain vaatimustenmukaisuuden vuoksi, vaikka HIPAA, ja Sarbanes-Oxley ja Dodd-Frank, ja kaikki nämä säädökset ovat erittäin merkittäviä, mutta myös vain niin, että ymmärrät yrityksessäsi, jotka tekevät mitä, missä, milloin, miksi ja miten. Tämä on hyvää kamaa, mihin kiinnitettiin huomiota.
Mene eteenpäin, ota se pois, Robin Bloor.
Robin Bloor: Okei, kiitos johdannosta, Eric. Tämä hallintotapa on tarkoittanut, että IT-hallinto ei ollut sana, jonka kuulitte vasta vähän vuoden 2000 jälkeen, luulen. Se syntyi pääasiassa siksi, että mielestäni muutenkin, se johtui ensisijaisesti siksi, että meneillään olevaa lainsäädännön noudattamista koskevaa lainsäädäntöä oli. Erityisesti HIPAA ja Sarbanes-Oxley. Theres todella paljon siitä. Siksi organisaatiot ymmärsivät, että niillä oli oltava joukko sääntöjä ja menettelytapoja, koska lain mukaan se oli välttämätöntä. Kauan ennen sitä, etenkin pankkisektorilla, oli useita aloitteita, joita sinun oli noudatettava riippuen siitä, millainen pankki olet, ja etenkin kansainvälisistä pankkiireista. Koko Baselin vaatimusten mukainen aloitettiin tavalla, aivan ennen kyseistä erityistä aloitetta vuoden 2000 jälkeen. Kaikki todella kuuluu hallintotapaan. Ajattelin puhua hallintotavan ympärillä johdannona keskittyä pitämään silmällä niitä, joille tietoja saadaan.
Tietohallinto, jota olen tapannut katsoa ympärilleni, ajattelen noin viisi tai kuusi vuotta sitten, katsoa määritelmiä, ja se ei ollut ollenkaan hyvin määritelty. Siitä tulee selvempi ja selkeämpi, mitä se oikeastaan tarkoittaa. Tilanne oli tosiasia, että tietyissä rajoissa kaikkia tietoja hallinnoitiin aiemmin, mutta sitä varten ei ollut virallisia sääntöjä.Erityisesti pankkisektorilla tehtiin erityisiä sääntöjä tällaisten asioiden tekemisestä, mutta taas tämä koski enemmän sääntöjen noudattamista. Todella tai toisella todistamalla, että olit oikeasti - sen tyyppinen liittynyt riskiin, joten kaupan todistaminen siitä, että olet elinkelpoinen pankki.
Jos tarkastellaan hallintotapaa nyt, se alkaa tosiasiasta suurten tietojen liikkeestä. Meillä on yhä enemmän tietolähteitä. Tietojen määrä on tietenkin ongelma tässä. Erityisesti aloimme tehdä paljon, paljon ja enemmän jäsentämättömällä tiedolla. Siitä tuli jotain, joka on osa koko analytiikkapeliä. Ja analytiikan vuoksi datan alkuperä ja linjat ovat tärkeitä. Oikeastaan siltä kannalta, että käytät data-analytiikkaa millä tahansa tavalla minkäänlaiseen noudattamiseen, sinun on todellakin oltava tieto siitä, mistä tiedot ovat peräisin ja miten niiden on oltava sitä mitä se on.
Tietosuojauksesta alkoi tulla ongelma, siitä tuli isompi kysymys heti kun menimme Hadoopiin, koska idea tietojärvestä, johon tallennamme paljon tietoa, tarkoittaa yhtäkkiä, että sinulla on valtava alue haavoittuvia ihmisiä, jotka voivat saada sitä. Tietojen salaus tuli huomattavasti näkyvämmäksi. Todennus oli aina ongelma. Vanhemmassa ympäristössä, tiukasti keskusyksikköympäristössä, heillä oli niin upea kehäturvallisuus; todennus ei ollut koskaan oikeastaan suuri ongelma. Myöhemmin siitä tuli suurempi kysymys ja paljon enemmän nyt, koska olemme saaneet aikaan niin valtavasti hajautettuja ympäristöjä. Tietojen saatavuuden seuranta, josta tuli ongelma. Näyttää siltä, että muistan erilaisia työkaluja, jotka tulivat käyttöön kymmenen vuotta sitten. Mielestäni suurin osa näistä ajoi noudattamista koskevia aloitteita. Siksi meillä on myös kaikki vaatimustenmukaisuussäännöt, vaatimustenmukaisuusraportointi.
Asia, joka mieleen tulee, on se, että jo 1990-luvulla, kun teit kliinisiä tutkimuksia lääketeollisuudessa, sinun ei vain tarvinnut todistaa mistä tiedot tulivat - tietysti sen erittäin tärkeätä, jos yrität huumeita erilaisilla haitoilla, jotta tiedät kenelle yritetään ja mitä sen ympärillä olevat yhtenäiset tiedot ovat - sinun on voitava suorittaa tarkastus ohjelmistosta, joka tosiasiallisesti loi tiedot. Se on vakavin vaatimustenmukaisuuskappale, jota olen koskaan nähnyt missään muualla, kun todistetaan, ettet todella sekoita asioita tahallisesti tai vahingossa. Viime aikoina erityisesti tietojen elinkaaren hallinnasta on tullut ongelma. Kaikki nämä ovat tavallaan haasteita, koska monia niistä ei ole tehty hyvin. Monissa olosuhteissa on tarpeen tehdä ne.
Tätä kutsun datapyramidiksi. Olen tavallaan puhunut tämän läpi aiemmin. Minusta on erittäin mielenkiintoinen tapa katsoa asioita. Voit ajatella tietoja olevan kerroksia. Raakadata, jos haluat, on oikeastaan vain signaaleja tai mittauksia, tallenteita, tapahtumia, yksittäisiä tietueita. Mahdollisesti transaktiot, laskelmat ja aggregaatiot tietysti luovat uutta tietoa. Niitä voidaan ajatella tietotasolla. Tämän lisäksi, kun tosiasiallisesti yhdistät tiedot toisistaan, siitä tulee tietoa. Siitä tulee hyödyllisempää, mutta tietenkin se tulee alttiimmaksi ihmisille, jotka hakkeroivat sitä tai väärinkäyttävät sitä. Määritän, että luodaan oikeasti tietojen jäsentämisen avulla, jotta ne voivat visualisoida dataa, jolla on sanastot, kaaviot ja ontologiat. Nämä kaksi alempaa kerrosta ovat prosessoimme tavalla tai toisella. Tätä edellä kutsun tiedon tasoa, joka koostuu säännöistä, politiikoista, ohjeista ja menettelystä. Jotkut niistä voidaan tosiasiallisesti luoda analytiikassa löydettyjen oivalluksien avulla. Monet heistä ovat itse asiassa politiikkoja, joita sinun on noudatettava. Tämä on hallintotaso, jos haluat. Tässä tapauksessa, jos tätä kerrosta ei ole asetettu oikein, tavalla tai toisella, kahta alla olevaa kerrosta ei hallinnoida. Viimeinen asia tässä on ymmärtäminen jostakin, joka vain ihmisissä elää. Tietokoneet eivät ole vielä onnistuneet tekemään niin, onneksi. Muuten olisin poissa työstä.
Hallintoimperiumi - Panin tämän tavallaan yhteen, mielestäni sen piti olla noin yhdeksän kuukautta sitten, mahdollisesti paljon aikaisemmin. Periaatteessa paransin sitä jonkin verran, mutta heti kun aloimme huolehtia hallinnosta, yritystietokeskuksessa ei ollut vain tietovarastoa, tietojärviresursseja, vaan myös erilaisia yleisiä palvelimia, erikoistuneet palvelimet. Kaikkia niitä oli hallittava. Kun tarkastelit myös erilaisia ulottuvuuksia - tietoturvaa, tietojen puhdistamista, metatietojen löytämistä ja metatietojen hallintaa, liiketoimintasanaston luomista, datan kartoitusta, tietolinjaa, datan elinkaaren hallintaa - silloin suorituskyvyn seurannan hallinta, palvelutason hallinta , järjestelmänhallinta, jota et ehkä itse liity hallintoon, mutta tietty - nyt kun siirryt nopeampaan ja nopeampaan maailmaan, jossa on yhä enemmän tiedonkulkuja, kyky tosiasiallisesti tehdä jotain tietyllä suorituskyvyllä on todella välttämätöntä ja alkaa tulla toimintasääntönä minkään muun sijaan.
Yhteenvetona vaatimustenmukaisuuden kasvusta katsotin tämän tapahtuvan monien, monien vuosien ajan, mutta yleinen tietosuoja tuli tosiasiassa Euroopassa 1990-luvulla. Se on vain lisääntynyt ja kehittyneempi siitä lähtien. Sitten kaikki nämä asiat alkoivat esitellä tai tehdä entistä hienostuneempia. GRC, joka on hallintariski ja sääntöjen noudattaminen, on jatkunut pankkien perustamisen jälkeen. ISO on luonut standardeja monenlaisille toiminnoille. Tiedän koko ajan, että olen ollut IT: ssä - se on ollut pitkään - Yhdysvaltain hallitus on ollut erityisen aktiivinen luomaan erilaisia lakeja: SOX, Theres Gramm-Leach-Bliley, HIPAA, FISMA, FERPA. Sinulla on myös upea NIST-organisaatio, joka luo monia standardeja, erityisesti turvallisuusstandardeja, erittäin hyödyllisiä. Euroopan tietosuojalakeilla on paikallisia eroja. Se, mitä henkilökohtaisilla tiedoilla voi tehdä esimerkiksi Saksassa, eroaa siitä, mitä voit tehdä Slovakian tasavallassa tai Sloveniassa tai missä tahansa. He esittelivät äskettäin - ja ajattelin, että mainitsen tämän, koska pidän siitä hauskaa - Eurooppa esittelee ajatuksen oikeudesta unohtaa. Toisin sanoen julkisiin tietoihin, jotka todella ovat henkilötietoja, olisi oltava vanhentumissääntö. Se on mielestäni iloista. Tietotekniikan kannalta siitä tulee erittäin, erittäin vaikeaa, jos siitä alkaa tulla tehokas lainsäädäntö. Yhteenvetona sanon seuraavan: Koska IT-tiedot ja hallinta kehittyvät nopeasti, myös hallinnan on kehityttävä nopeasti ja se koskee kaikkia hallinnon alueita.
Tämän jälkeen syöttää pallon Dezille.
Eric Kavanagh: Kyllä todellakin, joten Dez Blanchfield, ota se pois. Robin, olen kanssasi, mies, kuolen nähdäkseni, kuinka tämä oikeus unohtaa käy ilmi. Minusta se ei tule olemaan vain haastavaa, mutta periaatteessa mahdotonta. Se on vain rikkomus odottamisesta, jota valtion virastot käyttävät. Dez, vie se pois.
Dez Blanchfield: Se on todellakin, ja se on aihe uudelle keskustelulle. Meillä on hyvin samanlainen haaste täällä Aasian ja Tyynenmeren alueella, ja etenkin Australiassa, missä operaattoreita ja Internet-palveluntarjoajia vaaditaan kirjaamaan kaikki Internetiin liittyvät asiat ja pystymään tallentamaan ja rekisteröimään se uudelleen, jos kiinnostava joku tekee jotain väärin. Se on laki, ja sinun on noudatettava sitä. Haaste, samoin kuin jollekin Googlessa Yhdysvalloissa olevalle joudutaan kehottamaan poistamaan hakuhistoriaani tai mitä tahansa, se saattaa olla noudattaa Euroopan lakia, erityisesti Saksan yksityisyyslakia. Jos Australiassa toimisto haluaa tutkia sinua, operaattorin on kyettävä toimittamaan tiedot soitetuista puheluista ja hakuhistoriasta, mikä on haastavaa, mutta se on maailma, jossa elämme. Tähän on joukko syitä. Annan minun hypätä miinoihini.
Tein tietoisesti otsikkosivuni vaikeaksi luettavaksi. Sinun on todella tarkasteltava sitä. Määräysten, sotkuisen taustan mukainen määräysten, eritelmien, valvonnan, politiikkojen, standardien tai lakien mukainen. Että sinun on todella tarkasteltava sitä, että on vaikea saada yksityiskohtia ja vetää tietoa siitä, mistä sen päällekkäisyys on taulukkosarja, rivi- ja sarakkeissarja, joko tietokanta, kaavio tai Vision malli. Että millainen noudattaminen tuntuu päivittäin. Se on melko vaikea sukeltaa yksityiskohtiin ja vetää pois tarvittavat bitit tietoa, jonka tarvitset voidaksesi vahvistaa, että olet vaatimusten mukainen. Ilmoita siitä, valvo sitä ja testaa se.
Itse ajattelin todella hyvää tapaa visualisoida tämä, kun kysymme itseltämme kysymyksen "Oletko yhteensopiva?" "Oletko varma?" "No, todista se!" Theres todella hauska asia, joka on ehkä hiukan enemmän anglosaalinen, mutta olen varma, että se on kulkenut ympäri maailmaa Yhdysvaltoihin, joten se: "Wheres Wally?" Wally on pieni hahmo, joka pääsee näihin sarjakuvapiirroksiin kirjojen muodossa. Yleensä erittäin suurikokoiset kuvat A3: sta tai sitä suuremmasta. Joten, pöydän kokoiset piirrokset. Hänellä pieni hahmo, jolla on pipo ja punavalkoinen raidallinen paita. Pelin idea on, että katsot tätä kuvaa ja katsot ympäri ympyröitä yrittääksesi löytää Wally. Hän on siinä kuvassa jossain. Kun mietit miten löytää ja kuvailla noudattamista, ja raportoida siitä noudattamisesta, se on monella tapaa kuin “Wheres Wally.” -Soitto. Jos katsot tätä kuvaa, se on melkein mahdotonta löytää merkkiä. Lapset viettävät tunteja siihen, ja minulla oli hauskaa tekemällä sitä itse eilen. Kun tarkastelemme sitä, löydämme näistä sarjakuvista kokonaisen joukon ihmisiä, jotka on tarkoituksellisesti sijoitettu sinne vastaavien kappaleiden kanssa raidallisen pipon ja pellavan Wally-asusta tai villapaita. Mutta ne muuttuvat vääriksi positiivisiksi.
Tämä on samanlainen haaste, jonka meillä on noudattamisella. Kun tarkastelimme asioita, joskus jotain, jonka mielestämme on kyse, ei ole lainkaan. Joku voi saada pääsyn tietokantaan, ja heidän on tarkoitus saada tämä pääsy tietokantaan, mutta tapa, jolla he käyttävät sitä, eroaa hiukan odotetusta. Saatamme päättää, että tämä on asia, jota meidän on tarkasteltava. Kun tutkimme asiaa, löydämme, että oikeasti on tosi pätevä käyttäjä. He tekevät vain jotain omituista. Ehkä se on PC-tutkija tai kuka tietää. Muissa tapauksissa se voi olla päinvastainen. Todellisuus, kun menen jälleen eteenpäin, on Wally. Jos katsoit todella kovaa tässä korkean resoluution tilassa, yksi hahmo, joka tosiasiassa käyttää asianmukaista pukeutumista. Kaikki muut ovat vain näköisiä ja tuntemattomia. Määräystenmukaisuus tuntuu kovasti siltä. Suurin osa tuntemistani ihmisistä työskentelee yritystoiminnan valvonnassa, noudattamisessa ja politiikan aloilla. Monilla alueilla, riippumatta siitä, onko kyseessä tekniikka, onko sen rahoitus vai toiminta ja riski. Usein se on erittäin vaikea nähdä Wally kuvassa, näet puut tai puu.
Kysymyksemme itsellemme, kun ajattelemme esimerkiksi säännösten noudattamista, on "iso juttu, mikä voisi mennä pieleen, jos emme aivan täytä vaatimuksia?" Tänään käydyssä keskustelussa, erityisesti tietokannan ja tietojen saatavuuden valvonnan suhteen, aion antaa teille joitain todellisia herätys esimerkkejä siitä, mikä voi mennä pieleen hyvin lyhyessä ytimekkäässä muodossa. Jos ajattelemme tietorikkomuksia ja olimme kaikki tietoisia rikkomuksista, kuulemme niitä tiedotusvälineissä ja lopetamme ja nauramme, koska ihmiset ajattelevat sen markkinoita. Sen henkilökohtaiset asiat. Ashley Madison ja ihmiset etsivät päivämääriä parisuhteiden ja avioliittojen ulkopuolelle. Sen fling tilit. Kaikkia näitä outoja asioita tai jotakin satunnaista eurooppalaista tai venäläistä Internet-palveluntarjoajaa tai isäntäyritystä hakkeroidaan. Kun kyse on esimerkiksi MySpace: sta ja näistä kymmenestä, kun katsot näitä lukuja, haluan sinun ymmärtävän seuraavaa: 1,1 miljardia kansojen yksityiskohtia näissä kymmenessä parhaassa rikkomuksessa. Ja kyllä, siellä on päällekkäisyyksiä, luultavasti ihmisillä, joilla on MySpace-tili ja Dropbox-tili ja Tumblr-tili, voidaan antaa sen vain pyöristää miljardille ihmiselle.
Nämä noin kymmenen viimeisen vuosikymmenen rikkomusta - jopa useimmissa tapauksissa - eivät muodosta noin seitsemännesosaa maailman väestöstä, mutta realistisemmin noin 50 prosenttia ihmisistä on yhteydessä Internet, yli miljardi ihmistä. Ne syntyvät, koska joissain tapauksissa noudattamista ei ole noudatettu. Useimmissa tapauksissa tarkasteltiin pääsyä tietokantaan, pääsyä tiettyihin tietojoukkoihin, järjestelmiin ja verkkoihin. Tämä on pelottava todellisuuden tarkistus. Jos se ei pelkää sinua, kun katsot kymmenen enimmäismäärää ja huomaat, että tämä on - tai voi nähdä, että kyseessä on miljardi ihmistä, oikeita ihmisiä, kuten me, tällä puhelulla tällä hetkellä. Jos sinulla on LinkedIn-tili, jos sinulla oli Dropbox- tai Tumblr-tili tai jos olet ostanut Adoben tuotteista tai jopa rekisteröitynyt, lataa ilmainen Adobe Viewer. On täysin todennäköistä, ettei mahdollista, on täysin todennäköistä, että tietosi, etunimesi, sukunimesi, osoitteesi, mahdollisesti jopa työyhtiösi osoite tai kotiosoitteesi tai luottokorttisi ovat tosiasiassa siellä rikkomuksen takia, tapahtui valvonnan takia, jota voitiin välttämättä hoitaa hyvin tiedonhallinnan ja tiedonhallinnan muodossa.
Katsotaanpa sitä, kun tarkastelemme sitä todella yksityiskohtaisesti. Heistä on yksi näyttö, siellä on noin 50-jotain. Theres toinen 15. Theres noin toinen 25. Nämä ovat tietorikkomuksia, jotka on lueteltu verkkosivustolla nimeltään haveibeenpwned.com. Tämä saattaa mennä pieleen, jos jotain yksinkertaista, kuten valvontaa, jolla on ollut pääsy tietoihin eri kenttiä ja rivejä ja sarakkeita koskevista tietokannoista ja yrityksesi eri sovelluksista, ei hoideta kunnolla. Nämä organisaatiot ovat nyt tietopohjaisia. Suurin osa tiedoista elää tietokannassa jossain muodossa. Kun mietit tätä, luettelo rikkomuksista, joita vain tarkastelimme, ja toivottavasti se antoi sinulle hieman kylmän suihkun tietyssä mielessä siinä mielessä, että ”Hmm, thats todella totta”, ja se on mahdollisesti vaikuttanut sinuun. Esimerkiksi vuonna 2012 kyseisestä LinkedIn-rikkomuksesta useimmilla ammattilaisilla on nykyään LinkedIn-tili ja on todennäköistä, että tietosi katoavat. He ovat olleet verkossa vuodesta 2012. Meille on kerrottu siitä vasta vuonna 2016. Mitä sinulle tapahtui tietojen kanssa näiden neljän vuoden aikana? No se on mielenkiintoinen ja voimme puhua siitä erikseen.
Tietokantojen ja järjestelmien hallinta - puhun usein siitä, mitä pidän viiden suurimpana haasteena näiden asioiden hallinnassa. Hyvin, erittäin korkealla, ja sijoittelin nämä mielestäni tärkeimmässä järjestyksessä, mutta myös vaikutusjärjestyksessä, ykkös on turvallisuus ja noudattaminen. Ohjeet ja mekanismit sekä politiikat sen valvomiseksi, jolla on mikä pääsy mihin järjestelmään, mistä syystä ja mihin tarkoitukseen. Raportoi siitä ja seuraa sitä, tarkastelee järjestelmiä, tutkii tietokantoja ja näkee, kuka todella voi käyttää tietueita, yksittäisiä kenttiä ja tietueita.
Ajattele tätä hyvin yksinkertaisessa muodossa. Annetaan puhua pankkitoiminnasta ja varainhoidosta yhtenä esimerkkinä. Kun kirjaudut pankkitilille, sanotaan vain, että sano tavallinen kassatili EFTPOS-kortille tai käteistilille tai sekille. Täytät lomakkeen ja siinä on paljon hyvin yksityisiä tietoja siinä paperipaikassa, jonka täytät tai teet sen verkossa ja joka menee tietokonejärjestelmään. Nyt, jos joku markkinoinnin haltija haluaa ottaa sinuun yhteyttä ja sinulle esitteen, heidän tulisi antaa nähdä etunimesi ja sukunimesi sekä henkilökohtainen osoitteesi, esimerkiksi ja mahdollisesti puhelinnumerosi, jos he haluavat kylmäsoiton sinulle ja myyvät sinä jotain. Heidän ei todennäköisesti pitäisi nähdä pankkissasi saamasi kokonaismäärää joukosta syitä. Jos joku tarkastelee sinua riskin näkökulmasta tai yrittää auttaa sinua tekemään jotain, kuten saamaan parempia korkoja tilillesi, kyseinen henkilö todennäköisesti haluaa nähdä, kuinka paljon rahaa sinulla on pankissa, jotta hän voi tarjota sinulle asianmukainen korkotason tuotto rahallesi. Näillä kahdella yksilöllä on hyvin erilaiset roolit ja hyvin erilaiset syyt niihin rooleihin ja tarkoituksiin niille. Seurauksena on, että sinun täytyy nähdä erilaisia tietoja tietueistasi, mutta ei kaikkia tietueita.
Nämä ohjausobjektit tavallisten näyttöjen tai lomakkeiden eri raporttien ympärillä, jotka niillä on tilisi hallintaa koskevissa sovelluksissa. Kehittäminen niille, niiden ylläpito, hallinnointi, raportointi niiden ympärille ja hallinto ja noudattaminen, joka on kietoutunut sellaiseen kuin kuplakääri, ovat kaikki erittäin, erittäin suuri haaste. Se on vain numero yksi haaste tietojen ja järjestelmien hallinnassa. Kun siirrymme syvemmälle pinoon suorituskykyyn ja seurantaan sekä ilmaantuvuuden havaitsemiseen ja reagointiin, järjestelmän hallintaan ja hallintaan sekä niiden ympäristön noudattamiseen, järjestelmien suunnitteluun ja kehittämiseen vaatimustenmukaisuuden perusteella, se tulee paljon vaikeammaksi.
Koko riskien vähentämisen ja turvallisuuden parantamisen hallinta. Viisi suurimpaa haastetta tällä alueella - ja pidän kuvista, jotka tulevat tullitoimipaikan mukana, kun tulet maahan - he esittävät passi, tarkistavat sinut ja katsovat tietokonejärjestelmäänsä nähdäksesi, pitäisikö sinun ohittaa vai ei. Jos sinun ei pitäisi, he laittavat sinut seuraavalle koneelle takaisin kotiin. Muutoin he päästävät sinut takaisin sisään ja kysyvät seuraavia kysymyksiä: "Tuletko lomalle? Oletko täällä turisti? Oletko täällä töissä? Millaista työtä aiot nähdä? Missä aiot yöpyä ? Kuinka kauan olet tulossa? Onko sinulla riittävästi rahaa kulujen kattamiseen? Tai aiotko tulla riskiksi kotimaallesi, ja heidän on ehkä hoidettava sinua ja ruokittava sinua? "
Tämän tietotilan ympärillä on joitain kysymyksiä, jotka koskevat tietosuojan hallintaa. Esimerkiksi tietokantatilassa meidän on pohdittava tietokantojen ohitusten lieventämistä. Jos tiedot ovat tietokannassa, normaalissa ympäristössä ja niitä ohjataan ja järjestetään järjestelmän ympärillä. Mitä tapahtuu, jos tiedot siirretään enemmän SQL: ään ja varmuuskopioidaan nauhalle? Tietokannat poltetaan raakamuodossa ja varmuuskopioidaan joskus. Joskus se tehdään teknisistä syistä, kehityksestä johtuvista syistä. Sanotaan vain, että DB-otos on otettu ja sen varmuuskopio nauhalle. Mitä tapahtuu, jos satun saamaan käteni siihen nauhaan ja palauttamaan sen? Ja Ive sai raa'an kopion tietokannasta SQL: ssä. Sen MP-tiedosto, sen, voin lukea sen. Kaikilla kyseiseen kaatopaikalle tallennetuilla salasanoilla ei ole minua hallitsemaan, koska saan nyt pääsyn tietokannan todelliseen sisältöön ilman, että tietokantamoottori suojaa sitä. Joten voin teknisesti ohittaa moottoriin rakennettavien tietokantaalustojen turvallisuuden ja riskienhallinnan estääkseni minua tietojen tarkastelusta. Koska mahdollisesti kehittäjä, järjestelmänvalvoja, Ive sai käteni kokonaan tietokantaan, jota tulisi käyttää varmuuskopiointiin.
Tietojen väärinkäyttö - potentiaalisesti jonkun pääsy kirjautumaan sisään korotettuna tilinsä ja antamalla minun istua näytöllä, etsiä tietoja tai vastaavia asioita.Tietojen saatavuuden ja käytön omistusoikeuden tarkastaminen sekä tietojen tai tietojen muutosten katseleminen. Sitten raportointi kyseisen valvonnan ympäriltä ja vaatimustenmukaisuus. Seurataan liikennettä ja pääsyä ja niin edelleen, estämällä ulkoisista sijainneista ja palvelimista tulevat uhat. Esimerkiksi jos tiedot esitetään Internet-verkkosivulla olevan lomakkeen kautta, onko niiden SQL-injektiot suojattu palomuureilla ja konseptiohjaimilla? Tämän takana on pitkä yksityiskohtainen tarina. Täältä näet, että vain jotkut näistä ehdottomasti perustavanlaatuisista asioista, joista ajattelemme lieventämällä ja hallitsemalla tietokannoissa olevien tietojen ympärillä olevia riskejä. Se on todella suhteellisen helppo kiertää joitakin näistä, jos olet eri tasoilla pinoja tekniikoita. Haaste vaikeutuu, kun saat yhä enemmän dataa ja enemmän tietokantoja. Enemmän ja haastavampaa ihmisten joutuessa hallitsemaan järjestelmiä ja valvomaan niiden käyttöä, seuraamaan merkityksellisiä yksityiskohtia, jotka liittyvät nimenomaan asioihin, joista Robin puhui, esimerkiksi henkilökohtaisten vaatimusten noudattamisen suhteen. Henkilöillä on ympärilläsi hallintalaitteita ja mekanismeja, jotka noudattavat - jos teet jotain väärin, potkut potentiaalisesti. Jos kirjaudun sisään, kun tilini antaa sinun nähdä sen, sen pitäisi olla syyllinen rikos. Nyt olen antanut sinulle pääsyn tietoihin, joita sinun ei olisi pitänyt nähdä normaalisti.
Siellä noudatetaan henkilökohtaista noudattamista, myös yritysjärjestelyjä, yrityksillä on käytännesäännöt ja säännöt sekä valvonta, jotka he ovat asettaneet itselleen vain niin, että yritys toimii hyvin ja tuottaa voittoa sekä hyvän tuoton sijoittajille ja osakkeenomistajille. Sitten siellä on usein kaupunkialueita tai osavaltioita tai kansallisia, liittovaltion liittoja, kuten sanoit Yhdysvaltojen valvonnasta ja laeista. Sitten ovat globaalit. Jotkut maailman suuremmista tapauksista, joissa Sarbanes-Oxleyn tapaiset kaksi henkilöä, joita pyydetään keksimään tapoja, joilla voidaan suojata tietoja ja järjestelmiä. Theres Basel Euroopassa ja Theres kaikki hallintalaitteet Australiassa, etenkin pörssi- ja valtuutusalustojen ympärillä, ja sitten yksityisyys yksityishenkilöiden tai yritysten tasolla. Kun jokainen näistä on pinottu ylös, kuten näit yhdessä sivustossa, joka Robinilla oli, heistä tulee melkein mahdoton vuori kiivetä. Kustannukset nousevat korkeiksi ja olivat siinä vaiheessa, kun tuntemasi alkuperäinen perinteinen lähestymistapa, kuten hallintaa mittaavat ihmiset, ei ole enää sopiva lähestymistapa, koska mittakaava on liian suuri.
Meillä on skenaario, jossa vaatimustenmukaisuus on se, jota kutsun nyt aina ajankohtaiseksi kysymykseksi. Ja se on, että meillä oli potentiaalisesti ajankohta joko kuukausittain tai neljännesvuosittain tai vuosittain, jolloin voisimme tarkistaa kansakunnan tilanamme ja auttaa noudattamaan ja valvomaan. Varmistaminen, että joillakin ihmisillä oli tietty pääsy ja heillä ei ollut tiettyjä pääsyjä oikeuksiensa mukaan. Nyt on kyse asioiden nopeudesta, jolla asiat liikkuvat, asioiden muutosnopeudesta, asteikosta, jolla ne toimivat. Vaatimustenmukaisuus on aina ajankohtainen kysymys, ja maailmanlaajuinen finanssikriisi oli vain yksi esimerkki, jossa asiaankuuluvat valvontatoimenpiteet sekä turvallisuus- ja sääntöjenmukaisuustoimenpiteet olisivat voineet välttää skenaarion, jossa meillä olisi ollut kulkeva tietyn käyttäytymisen tavarajuna. Vain luomalla tilanne koko maailmaan tosiasiallisesti tietämällä se menisi rikki ja konkurssiin. Tätä varten tarvitsemme oikeat työkalut. Ihmisen heittäminen junaan, kappaleiden heittäminen ei ole enää pätevä lähestymistapa, koska asteikko on liian suuri ja asiat liikkuvat liian nopeasti. Tänään käydyssä keskustelussa on mielestäni tarkoitus käydä sitä, millaisia työkaluja tähän voidaan soveltaa. Erityisesti välineet, joita IDERA voi tarjota meille, joiden pitäisi tehdä se. Ja pitäen tämän mielessä, aion antaa sen Bullettille käydä läpi materiaalinsa ja näyttää meille heidän lähestymistapansa ja työkalut, jotka he ovat saaneet ratkaisemaan tämän ongelman, jonka olemme nyt esittäneet sinulle.
Bullett, annan sen sinulle.
Bullett Manale: Kuulostaa hyvältä, kiitos. Haluan puhua muutamasta dioista ja haluan myös näyttää sinulle tuotteen, jota käytämme SQL Server -tietokantoihin nimenomaan auttaakseen noudattamistilanteissa. Oikeasti haaste monissa tapauksissa - Aion ohittaa muutaman näistä - tämä on vain tuotevalikoimamme, aion käydä läpi melko nopeasti. Mitä tulee todella siihen, mihin tämä tuote osoittaa ja miten se liittyy vaatimustenmukaisuuteen, vedän sitä aina kuin ensimmäiseen diaan, koska sen tyyppinen geneerinen ”Hei, mikä on DBA: n vastuu?” Yksi asioista hallitsee ja seuraa käyttäjien pääsyä ja pystyy myös tuottamaan raportteja. Se riippuu siitä, kun puhut tilintarkastajasi kanssa, kuinka vaikeaa prosessi voi olla, vaihtelee riippuen siitä, aiotko tehdä sen itse tai jos käytät apuna ulkopuolista työkalua.
Yleisesti ottaen puhuessani tietokannan ylläpitäjien kanssa, he ovat koskaan usein osallistuneet tarkastukseen. Sinun on pakko kouluttaa heidät oikeasti siihen, mitä sinun on todella tehtävä. Liittyy siihen, minkä tyyppinen vaatimustenmukaisuus on täytettävä ja kyetä osoittamaan, että noudatat tosiasiallisesti sääntöjä, jotka koskevat kyseistä noudattamisen tasoa. Monet ihmiset eivät saa sitä aluksi. He ajattelevat: "Voin vain ostaa työkalun, joka tekee minusta vaatimusten mukaisen." Todellisuus ei ole, niin ei ole. Toivon, että voisin sanoa, että tiedätte, että tuotteemme taianomaisesti, napsauttamalla helppoa painiketta, antoi sinulle mahdollisuuden varmistaa, että olet vaatimusten mukainen. Tosiasia on, että ympäristösi on asetettava hallintaan nähden sen suhteen, miten ihmiset pääsevät tietoihin, ja tämä kaikki on käsiteltävä käyttämäsi sovelluksen avulla. Missä lakisääteisissä vaatimuksissa se on, kun tätä arkaluontoista tietoa tallennetaan. Sitten joudut työskentelemään myös tyypillisesti sisäisen sääntöjenvastaavan kanssa voidakseen varmistaa, että noudatat kaikkia sääntöjä.
Tämä kuulostaa todella monimutkaiselta. Jos tarkastellaan kaikkia lainsäädännöllisiä vaatimuksia, luulet, että niin olisi, mutta todellisuus on, että täällä on yhteinen nimittäjä. Meidän tapauksessamme työkalulla, jota aion näyttää tänään, Compliance Manager -tuotteella, prosessi tilanteessamme olisi, että meidän on ennen kaikkea varmistettava, että keräämme tarkastusketjutietoja, jotka liittyvät on tietokannassa thats herkkä. Voit kerätä kaiken, eikö niin? Voisin mennä ulos ja sanoa, että haluan kerätä jokaisen tapahtuman, joka tapahtuu tässä tietokannassa. Todellisuus on, että sinulla on todennäköisesti vain pieni murto-osa tai pieni prosenttiosuus tapahtumista, jotka todella liittyvät arkaluontoisiin tietoihin. Jos sen PCI-vaatimustenmukaisuus tulee olemaan luottokorttitietojen, luottokorttien omistajien, heidän henkilökohtaisten tietojensa ympärillä. Hakemukseesi saattaa liittyä tonni muita tapahtumia, joilla ei todellakaan ole mitään vaikutusta PCI: n lakisääteisiin vaatimuksiin.
Tästä näkökulmasta ensimmäinen asia, kun puhun DBA: n kanssa, sanon: ”Ensisijaisena haasteena ei ole yrittää saada työkalua näiden tekojen suorittamiseen puolestasi. Se on vain tietäminen missä on arkaluontoiset tiedot ja kuinka lukitsemme nämä tiedot alas. ”Jos sinulla on se, että jos pystyt vastaamaan tähän kysymykseen, olet puolivälissä kotona, sillä pystyt osoittamaan, että noudatat vaatimuksia, olettaen, että seuraat oikeat hallintalaitteet. Sanotaan sekunnin ajan, että noudatat oikeaa valvontaa ja kerroit tilintarkastajille, että tämä on tapaus. Seuraava osa prosessia on tietenkin kyky tarjota tarkastusketju, joka näyttää ja vahvistaa, että nämä valvontatoimet todella toimivat. Seuraa sen jälkeen varmistamalla, että tallennat tiedot. Yleensä asioissa, kuten PCI- ja HIPAA-vaatimustenmukaisuus, ja tällaisissa asioissa, puhut seitsemän vuoden arvoista säilyttämistä. Puhut paljon operaatioista ja paljon tiedoista.
Jos pidät, keräät jokaista tapahtumaa, vaikka vain viisi prosenttia tapahtumista liittyy arkaluontoisiin tietoihin, puhut melko suurista kustannuksista, jotka aiheutuvat tietojen säilyttämisestä seitsemän vuoden ajan. Se on mielestäni yksi suurimmista haasteista saada ihmisiä ajamaan toisin sanoen selvästi tarpeettomia kustannuksia. Se on myös paljon helpompaa, jos pystymme keskittymään vain tietokannan herkille alueille. Tämän lisäksi aiot myös haluta ohjata joitain arkaluontoisia tietoja. Ei vain osoittamiseksi tarkastusketjun suhteen, vaan myös kyky sitoa asiat takaisin tapahtuviin toimiin ja saada ilmoitusta reaaliajassa, jotta sinulle saadaan tietoinen siitä.
Esimerkki, jota aina käytän, ja se ei välttämättä liity mihinkään lakisääteiseen vaatimukseen, vaan pystyn vain seuraamaan esimerkiksi jonkun pudottavan palkkakirjaan liittyvän taulukon. Jos näin tapahtuu, tapa, jolla selvität siitä, jos et seuraa sitä, kukaan ei saa palkkaa. Se on liian myöhäistä. Haluat tietää, milloin taulukko putoaa, heti, kun se putoaa, jotta vältetään kaikki huonot asiat, joita tapahtuu, kun jotkut tyytymättömät työntekijät menevät ja poistavat taulukon, joka on sidottu suoraan palkkahallintoon.
Tämän sanottua, temppu on löytää yhteinen nimittäjä tai käyttää sitä yhteistä nimittäjää kartoittamaan, mikä on vaatimustenmukaisuuden taso. Se on sellainen mitä yritämme tehdä tällä työkalulla. Periaatteessa noudatamme lähestymistapaa, emme aio näyttää sinulle raporttia, joka on erityinen PCI: lle, erityinen varastoille; yleinen nimittäjä on se, että sinulla on sovellus, joka käyttää SQL Serveriä arkaluonteisten tietojen tallentamiseen tietokantaan. Kun pääset selville, sanot: "Joo, se on todella tärkein asia, johon meidän on keskityttävä - missä on arkaluontoiset tiedot ja miten niihin pääsee?" Kun olet saanut tämän, teillä on paljon tarjoamiamme raportteja, jotka voivat todistaa tämän todistuksen, noudattamalla sitä.
Palataan takaisin tilintarkastajan esittämiin kysymyksiin, ja ensimmäiset kysymykset ovat seuraavat: Kenellä on pääsy tietoihin ja kuinka he saavat tiedon? Voitko todistaa, että oikeat ihmiset käyttävät tietoja ja väärät ihmiset eivät? Voitko todistaa myös, että itse tarkastusketju on jotain, johon voin luottaa muuttumattomana tietolähteenä? Jos annan sinulle tarkastusketjun, joka on valmistettu, se ei todellakaan tee minusta kovinkaan hyväksi tarkastajana korjata tarkastustasi, jos tiedot ovat valmistettuja. Tarvitsemme todistuksen siitä, tyypillisesti tilintarkastuksen näkökulmasta.
Selvitämme nämä kysymykset, tavallaan vähän yksityiskohtaisemmin. Ensimmäisen kysymyksen haasteena on, että sinun on tiedettävä, kuten sanoin, missä nämä arkaluontoiset tiedot ovat, jotta voimme ilmoittaa kenelle pääsemme. Se on yleensä jonkin tyyppinen löytö ja todellakin sinulla on tuhansia erilaisia sovelluksia, jotka ovat olemassa, sinulla tonneja erilaisia sääntelyvaatimuksia. Useimmissa tapauksissa haluat työskennellä sääntöjenvastaavan kanssa, jos sinulla on tai ainakin joku, jolla on jonkin verran ymmärrystä siitä, missä arkaluontoiset tietoni ovat sovelluksen sisällä. Meillä on työkalu, joka meillä on, sen ilmainen työkalu, nimeltään SQL-sarakehaku. Kerromme potentiaalisille asiakkaillemme ja käyttäjille, jotka ovat kiinnostuneita kyseisestä kysymyksestä, he voivat ladata sen. Mitä se aikoo tehdä, se on lähtökohtaisesti etsiä tietokannasta tietoja, jotka ovat luonteeltaan todennäköisesti arkaluontoisia.
Ja sitten kun olet tehnyt sen, sinun on myös ymmärrettävä, kuinka ihmiset käyttävät näitä tietoja. Ja tapahtuu jälleen kerran, mitkä tilit kuuluvat Active Directory -ryhmiin, mitkä tietokannan käyttäjät ovat mukana, tähän liittyy roolijäsenyyksiä. Ja pitäen tietysti mielessä, että tilintarkastajan on hyväksyttävä kaikki nämä asiat, joista puhumme, joten jos sanot: "Näin lukitsemme tietoja", tilintarkastajat voivat tulla takaisin ja sanoa: "No, teet sen väärin." Mutta sanotaan, että he sanovat: "Kyllä, se näyttää hyvältä. Lukitset tiedot riittävästi. "
Seuraavaan kysymykseen, joka tulee olemaan, voitko todistaa, että oikeat ihmiset käyttävät näitä tietoja? Toisin sanoen, voit kertoa heille, että valvontasi ovat, tämä on seurantasi, mutta valitettavasti tilintarkastajat eivät ole todellisuudessa luottamuksellisia henkilöitä. He haluavat todisteita siitä ja haluavat nähdä sen tarkastusketjun sisällä. Ja tämä juontaa takaisin siihen koko yhteiseen nimittäjään. Olipa kyseessä sitten PCI, SOX, HIPAA, GLBA, Basel II, todellisuus on se, että tyypillisesti esitetään samantyyppisiä kysymyksiä. Objekti, jolla on arkaluontoisia tietoja, kuka on käyttänyt kyseistä objektia viimeisen kuukauden aikana? Sen tulisi vastata valvontatapoihini, ja minun pitäisi pystyä välittämään tarkastukseni lopulta esittämällä tällaisia raportteja.
Joten mitä olemme tehneet, olemme laatineet noin 25 erilaista raporttia, jotka seuraavat samoja alueita kuin yhteinen nimittäjä. Joten meillä ei ole raporttia PCI: lle, HIPAA: lle tai SOX: lle. Meillä on raportteja, että ne ovat jälleen kerran kyseistä yhteistä nimittäjää vastaan. Ja niin ei ole oikeasti väliä mitä sääntelyvaatimusta yrität täyttää, useimmissa tapauksissa pystyt vastaamaan mihin tahansa kysymykseen, jonka kyseinen tilintarkastaja on esittänyt. Ja he kertovat sinulle kuka, mitä, milloin ja missä jokaisesta tapahtumasta. Tiedätte, käyttäjä, tapahtuman tapahtuma-ajankohtana, itse SQL-käsky, sovellus, josta se tuli, kaikki hyvät asiat, ja pystyt sitten myös automatisoimaan näiden tietojen toimittamisen raportteihin.
Ja sitten jälleen kerran, kun ohitat sen ja olet antanut tilintarkastajalle, seuraava kysymys tulee olemaan, todista se. Ja kun sanon todistaakseni, tarkoitan todistaa, että itse tarkastusketju on jotain, johon voimme luottaa. Ja tapa, jolla teemme työkalumme, on se, että meillä on hash-arvot ja CRC-arvot, jotka liittyvät suoraan takaisin itse tapahtumiin tarkastusketjun sisällä. Ja niin sitten ajatus on, että jos joku sammuu ja poistaa tietueen tai jos joku menee ulos ja poistaa tai lisää jotain tarkastusketjuun tai muuttaa jotain itse tarkastusketjussa, voimme todistaa, että kyseiset tiedot, itse tietoja, rikottiin. Ja joten 99,9 prosenttia ajasta, jos sinulla on tarkastusketjutietokanta lukittu, et törmää tähän ongelmaan, koska suorittaessamme eheyden tarkistamisen todistamme käytännössä tilintarkastajalle, että itse tietoja ei ole ollut muutettu ja poistettu tai lisätty, koska alkuperäinen kirjoitus itse hallintapalvelusta.
Joten se on sellainen yleiskatsaus tyypillisiin kysymyksiin, joita sinulta kysytään. Nyt työkalu, johon meidän on puututtava paljon, on nimeltään SQL Compliance Manager ja se tekee kaikki nämä asiat tapahtumien seurannan kannalta, kuka, mitä, milloin ja missä tapahtumista voi tehdä tämän yhdessä useita eri alueita. Sisäänkirjautumiset, epäonnistuneet kirjautumiset, kaavion muutokset, tietysti tiedon käyttö, valitse toiminta, kaikki ne asiat, jotka tapahtuvat tietokantamoottorissa. Ja pystymme myös tarvittaessa hälyttämään käyttäjiä tietyistä, erittäin rakeisista olosuhteista. Esimerkiksi joku lähtee ulos katselemaan taulukkoa, joka sisältää kaikki luottokorttini numerot. He eivät muuta tietoja, vaan katsovat sitä vain. Tässä tilanteessa voin hälyttää ja voin kertoa ihmisille, että näin tapahtuu, ei kuusi tuntia myöhemmin, kun kaappaamme lokit, mutta reaaliajassa. Periaatteessa se kestää niin kauan kuin meillä on aikaa käsitellä kyseinen tapahtuma hallintapalvelun kautta.
Kuten aiemmin mainitsin, olemme nähneet, että tätä käytetään monissa erilaisissa sääntelyvaatimuksissa, ja se ei oikeastaan tarkoita - tiedäthän, mitään sääntelyvaatimuksia, jälleen kerran, kunhan yhteisiä nimittäjiä on, sinulla on arkaluonteisia tietoja SQL Serverissä tietokanta, tämä on työkalu, joka auttaisi tällaisessa tilanteessa. Sisällytettyjen 25 raportin suhteen tosiasia on, että voimme tehdä tästä työkalusta hyväksi tilintarkastajalle ja vastata kaikkiin heidän esittämiin kysymyksiin, mutta DBA: n on annettava se toimimaan. Joten on olemassa myös se, että ajattelet, tiedät hyvin, ylläpidon näkökulmasta meidän on varmistettava, että SQL toimii haluamallasi tavalla. Meidän on myös kyettävä menemään sisään katsomaan asioita, jotka aiotaan mennä ulos, ja katsomaan muita tietoja, tiedätkö tietojen arkistoinnin, niiden automatisoinnin ja yläpuolella itse tuotteesta. Nämä ovat asioita, jotka tietenkin otamme huomioon.
Mikä tuo esiin itse arkkitehtuurin. Joten näytön oikealla puolella on hallitsemme SQL-esiintymät, kaikesta vuodesta 2000 aina vuoteen 2014, valmistautuessaan julkaisemaan vuoden 2016 versio. Tämän näytön suurin takea on, että hallinta palvelin itse tekee kaiken raskaan nostamisen. Keräämme vain tietoja jäljitys-sovellusliittymällä, joka on sisäänrakennettu SQL Serverin kanssa. Nämä tiedot houkuttelevat hallintapalvelimeemme. Kyseinen hallintapalvelin itse tunnistaa ja onko tapahtumiin sidottu minkään tyyppisiä tapahtumia, joita emme halua, lähettämällä hälytyksiä ja sellaisia asioita ja täyttämällä tiedot sitten arkistossa. Sieltä voimme suorittaa raportteja, voisimme mennä ulos ja nähdä tosiasiallisesti raporteissa tai jopa sovelluksen konsolissa.
Joten menen eteenpäin ja teen, aion viedä meidät läpi, todella nopeasti, ja haluan vain huomauttaa yhdestä nopeasta asiasta, ennen kuin siirrymme tuotteeseen, verkkosivustolla on linkki tällä hetkellä, tai esityksessä, vie sinut siihen ilmaiseen työkaluun, jonka mainitsin aiemmin. Tämä ilmainen työkalu on, kuten sanoin, se menee ulos katsomaan tietokantaa ja yrittämään löytää alueita, jotka näyttävät arkaluontoisilta tiedoilta, sosiaaliturvanumeroilta, luottokorttinumeroilta, sarakkeiden tai taulukoiden nimitysten perusteella, tai perustuen tapaan, jolla tietojen muoto näyttää, ja voit myös mukauttaa sitä, niin vain huomauttaa siitä.
Nyt, meidän tapauksessamme, anna minun edetä ja jakaa näytön, anna minulle yhden sekunnin täällä. No niin, ja niin, mitä halusin viedä sinut ensin, haluan viedä sinut itse Compliance Manager -sovellukseen ja aion käydä läpi tämän melko nopeasti. Mutta tämä on sovellus, ja voit nähdä, että minulla on täällä pari tietokantaa, ja aion vain näyttää sinulle, kuinka helppo on mennä sisään ja kertoa sille, mitä haluat tarkastaa. Kaavioiden muutokset, tietoturvamuutokset, hallinnolliset toiminnot, DML, Select, meillä on kaikki nämä vaihtoehdot käytettävissä, voimme myös suodattaa sen alas. Tämä palautuu parhaaseen käytäntöön, jonka mukaan voimme sanoa: "Tarvitsen todella tätä taulukkoa vain, koska se sisältää luottokorttinumeroni. En tarvitse muita taulukoita, joissa on tuotetietoja, kaikkia muita asioita, jotka eivät ole suhteessa vaatimustasoon, jota yritän täyttää. "
Meillä on myös kyky kaapata tietoa ja näyttää se muuttuvien kenttien arvoina.Monissa työkaluissa on jotain, joka antaa sinulle mahdollisuuden kaapata SQL-käsky, näyttää käyttäjälle, näyttää sovelluksen, ajan ja päivämäärän, kaikki nämä hyvät asiat. Mutta joissakin tapauksissa SQL-käsky ei sinänsä anna sinulle tarpeeksi tietoa, jotta voisit kertoa, mikä kentän arvo oli ennen muutosta, sekä kentän arvo muutoksen jälkeen. Ja joissain tilanteissa tarvitset sitä. Haluan ehkä seurata esimerkiksi lääkärin annostietoja reseptilääkkeistä. Se meni 50 mg: sta 80 mg: aan 120 mg: aan, voisin seurata sitä käyttämällä ennen ja jälkeen.
Herkät sarakkeet ovat toinen asia, jota törmäämme paljon esimerkiksi PCI-vaatimustenmukaisuuteen. Tässä tilanteessa olet saanut luonteeltaan niin arkaluontoisia tietoja, että minun ei tarvitse muuttaa niitä, poistaa niitä tai lisätä niitä, koska katson näitä tietoja, ja voi aiheuttaa korjaamatonta vahinkoa. Luottokorttinumerot, sosiaaliturvatunnukset, kaikki sellaiset hyvät asiat, joiden avulla voimme tunnistaa arkaluontoiset sarakkeet ja sitoa hälytykset siihen. Jos joku menee ulos ja tarkastelee näitä tietoja, voisimme selvästi hälyttää ja luoda tai luoda SNMP-ansaan ja sellaisia asioita.
Nyt joissakin tapauksissa joudut joutumaan tilanteeseen, josta voi olla poikkeus. Ja mitä tarkoitan tällä, sinulla on tilanne, jossa sinulla on käyttäjä, jolla on käyttäjätili, joka saattaa olla sidottu tietyntyyppiseen ETL-työhön, joka suoritetaan keskellä yötä. Se on dokumentoitu prosessi, ja minun ei tarvitse yksinkertaisesti sisällyttää kyseisiä tapahtumatietoja kyseiselle käyttäjätilille. Siinä tapauksessa meillä olisi luotettava käyttäjä. Ja sitten muissa tilanteissa käytäisimme Privileged User Auditing -ominaisuutta, joka on käytännössä, jos minulla on esimerkiksi sovellus, ja että sovellus on jo tekemässä auditointia käyttäjille, jotka käyvät läpi sovelluksen, se on hienoa, minulla on jo jotain viitteitä tilintarkastuksessani. Mutta sellaisista asioista, jotka ovat sidoksissa esimerkiksi etuoikeutettuihin käyttäjiini, kaveriin, jotka voivat mennä SQL Server -hallintastudioon tutkimaan tietokannan tietoja, jotka eivät aio leikata sitä. Joten tässä voimme määritellä, kuka etuoikeutetuilla käyttäjillämme on joko Roolijäsenyyksien kautta tai heidän Active Directory -tiliensä, ryhmiensä, SQL-todennettujen tiliensä kautta, jolloin voimme valita kaikki nämä erityyppiset vaihtoehdot ja sitten sieltä varmista, että näille etuoikeutetuille käyttäjille voimme määritellä, minkä tyyppiset tapahtumat olemme tarkastamassa.
Nämä ovat kaikenlaisia erilaisia vaihtoehtoja, jotka sinulla on, enkä aio käydä läpi kaikenlaisia erityyppisiä asioita, jotka perustuvat tämän esityksen aikarajoitteisiin. Mutta haluan näyttää sinulle, kuinka voimme tarkastella tietoja, ja mielestäni pidät siitä, miten tämä toimii, koska meillä on kaksi tapaa tehdä se. Voin tehdä sen vuorovaikutteisesti ja joten puhumme ihmisistä, jotka ovat kiinnostuneita tästä työkalusta kenties omien sisäisten valvontojensa puolesta, he haluavat vain tietää, mitä tapahtuu monissa tapauksissa. Heillä ei välttämättä ole tilintarkastajia paikan päällä. He haluavat vain tietää: ”Hei, haluan mennä tämän pöydän jälkeen ja nähdä, kuka on koskettanut sitä viime viikolla tai viime kuussa tai mitä muuta voisi olla.” Tässä tapauksessa voit nähdä kuinka nopeasti voimme tehdä sen.
Terveydenhuollon tietokannan tapauksessa minulla on taulukko nimeltään Potilastiedot. Ja se taulukko, jos ryhmitelin vain objektin mukaan, se voisi nopeasti alkaa kapeutua etsimäämme kohden. Ehkä haluan ryhmitellä luokittain ja sitten ehkä tapahtumien mukaan. Ja kun teen sen, voit nähdä, kuinka nopeasti se ilmestyy, ja siellä on potilastiedot-taulukoni. Ja tutkiessani näemme nyt DML-toiminnan, voimme nähdä, että meillä on ollut tuhat DML-lisäystä, ja kun avaamme yhden näistä tapahtumista, näemme asiaankuuluvat tiedot. Kuka, mitä, milloin, missä tapahtuma, SQL-käsky, tietysti tapahtuman suorittamiseen käytettävä todellinen sovellus, tili, aika ja päivämäärä.
Jos nyt tarkastelemme seuraavaa välilehteä täällä, Tiedot-välilehteä, tämä palaa siihen kolmanteen kysymykseen, josta puhumme, mikä osoittaa, että tietojen eheyttä ei ole rikottu. Joten periaatteessa jokaisessa tapahtumassa meillä on salainen laskelma hash-arvollemme, ja se sitoo sitten takaisin kun teemme eheyden tarkistuksen. Esimerkiksi, jos haluaisin mennä työkalun ulkopuolelle, menemään tarkastusvalikkoon, ja menisin ulos ja sanoin, tarkistakaamme arkiston eheys, voisin osoittaa tietokantaan, missä tarkastuspolku on, se ajaa suorittamalla eheyden tarkistuksen, joka sovittaa nämä hash-arvot ja CRC-arvot todellisiin tapahtumiin, ja se kertoo meille, että ongelmia ei ole löytynyt. Toisin sanoen, jäljitysketjun tietoja ei ole muutettu, koska hallintapalvelu on alun perin kirjoittanut ne. Se on tietysti yksi tapa toimia vuorovaikutuksessa tietojen kanssa. Toinen tapa olisi itse raportit. Ja niin aion vain antaa yhden nopean esimerkin raportista.
Ja jälleen kerran, nämä raportit, tapa, jolla keksimme ne, eivät ole erityisiä minkään tyyppisille standardeille, kuten PCI, HIPAA, SOX tai vastaaville. Jälleen kerran, se on yhteinen nimittäjä tekemällemme, ja jos palaamme takaisin siihen potilastietueiden esimerkkiin, voisimme mennä ulos ja sanoa, että tässä tapauksessa me etsimme Terveydenhuollon tietokannassa ja haluamme tässä tapauksessa keskittyä nimenomaan siihen taulukkoon, jonka tiedämme sisältävän potilaisiin liittyviä yksityisiä tietoja, tässä tapauksessa. Ja niin, anna minun nähdä, voinko kirjoittaa sen tähän, ja jatkamme eteenpäin ja käytämme tätä raporttia. Ja näemme silloin selvästi sieltä kaikki siihen esineeseen liittyvät asiaankuuluvat tiedot. Ja tapauksessamme se näyttää meille kuukauden ajan. Mutta voimme mennä takaisin kuusi kuukautta vuodessa, vaikka kauan olemmekin säilyttäneet tietoja.
Nämä ovat sellaisia tapoja, joilla pystyt tosiasiallisesti todistamaan tilintarkastajalle, että noudatat valvontaa. Kun olet tunnistanut tämän, niin on selvää, että se on hyvä tapa suorittaa tarkastus ja pystyä osoittamaan, että seuraat valvontaa ja kaikki toimii.
Viimeinen tapa puhua siitä, jonka halusin esitellä, on hallinto-osiossa. Tämän työkalun sisällä on myös hallintalaitteita, jotka pystyvät itse asettamaan hallintalaitteita varmistaakseen, että jos joku tekee jotain, mitä heidän ei ole tarkoitus tehdä, niin voin saada sen tietoiseksi. Ja minä annan sinulle pari esimerkkiä siellä. Minulla on sisäänkirjautumistili, joka on sidottu palveluun ja että palvelu tarvitsee korkeammat käyttöoikeudet toimiakseen sen, mitä se tekee. En halua, että joku menee sisään ja käyttää tiliä Management Studiossa, ja tiedät sitten, että käytät sitä sellaisiin asioihin, joita varten sitä ei ole tarkoitettu. Meillä olisi täällä kaksi kriteeriä, joita voisimme soveltaa. Voisin sanoa: "Katsokaa, olemme todella kiinnostuneita tästä työskentelystä, esimerkiksi PeopleSoft-sovelluksemme kanssa", vain esimerkki, okei?
Nyt kun olen tehnyt sen, sanon tässä, olen kiinnostunut tietää kaikki tilit, jotka ovat sidoksissa tiliin, jonka olen valmis valmistamaan määrittelemään, jos sovellus, jota käytetään sisäänkirjautumiseen tällä tilillä ei ole PeopleSoft, niin siitä tulee hälytyksen korotus. Ja tietysti meidän on määritettävä itse tilin nimi, joten kutsutaan tapauksessamme vain tätä Priv-tiliä, koska se on etuoikeutettu. Nyt kun olemme tehneet sen, kun teemme tämän täällä, nyt voisimme sitten määritellä, mitä haluaisimme tapahtua, kun se tapahtuu, ja jokaiselle erityyppiselle tapahtumalle tai, minun pitäisi sanoa, varoitukselle, voit saada erillinen ilmoitus henkilölle, joka on vastuussa kyseisestä tiedosta.
Esimerkiksi, jos kyseessä on palkatiedot, se saattaa mennä henkilöstöjohtajalleni. Tässä tapauksessa PeopleSoft-sovelluksen käsittelystä tulee kyseisen sovelluksen järjestelmänvalvoja. Mikä tahansa tapaus voi olla. Pystyisin ilmoittamaan osoitteeseesi, mukauttamaan todellisen hälytyksen ja kaikki sellaiset hyvät asiat. Jälleen kerran tämä taaksepäin pystyy varmistamaan, että pystyt osoittamaan, että seuraat hallintalaitteitasi ja että nämä ohjaimet toimivat suunnitellulla tavalla. Viimeisimmästä näkökulmasta katsottuna, vain ylläpidon kannalta, meillä on kyky ottaa nämä tiedot ja asettaa ne offline-tilaan. Pystyn arkistoimaan tiedot ja ajoittamaan sen, ja voisimme tehdä nämä asiat tyypillisesti siinä mielessä, että pystyt itse DBA: na, joka käyttää tätä työkalua, asettamaan sen ja eräänlainen kävelymatkan päässä siitä. Ei ole paljon kädenpidosta, joka tapahtuu, kun olet asettanut sen niin kuin sen pitäisi olla. Kuten sanoin, vaikein asia tässä, mielestäni, ei ole sitä, mitä haluat tarkastaa, vaan se tietää, mitä haluat asettaa tarkastusta varten.
Ja kuten totesin, petoksen luonne tarkastamisen kanssa, sinun on säilytettävä tietoja seitsemän vuoden ajan, joten on järkevää keskittyä vain niille alueille, jotka ovat luonteeltaan arkaluontoisia. Mutta jos haluat lähestyä kaiken keräämistä, niin ehdottomasti pystyt, sitä ei vain pidetä parhaana käytäntönä. Joten tästä näkökulmasta haluaisin vain muistuttaa ihmisille, että jos tämä on jotain mielenkiintoista, voit siirtyä IDERA.com-sivustolle ja ladata tästä kokeiluversion ja leikkiä sen kanssa itse. Aikaisemmin puhuneen ilmaisen työkalun suhteen, joka on hyvin ilmainen, voit ladata sen ja käyttää sitä ikuisesti riippumatta siitä, käytätkö Compliance Manager -tuotetta. Ja hieno asia sarakkeenhakutyökalussa on, että tekemämme havainnot, ja voin tosiasiallisesti osoittaa, että mielestäni pystyt viemään nämä tiedot ulos ja sitten tuomaan ne Compliance Manager -sovellukseen yhtä hyvin. En näe sitä, tiedän, että se on täällä, siinä se on. Tämä on vain esimerkki siitä. Täältä se löytää asiaankuuluvat arkaluontoiset tiedot.
Nyt tässä tapauksessa olen mennyt ulos ja olen todellakin, etsin kaiken, mutta sinulla on vain tonni tavaroita, joita voimme tarkistaa. Luottokorttinumerot, osoitteet, nimet, kaikki sellaiset asiat. Ja tunnistamme missä se on tietokannassa, ja sitten sieltä voit päättää, haluatko todella tarkistaa nämä tiedot vai ei. Mutta se on ehdottomasti tapa tehdä paljon helpommaksi määrittää tarkastusalueesi, kun tarkastelet tällaista työkalua.
Minä vain menen eteenpäin ja sulje sen, ja menen eteenpäin ja välitän sen Ericille.
Eric Kavanagh: Se on upea esitys. Rakastan tapaa, jolla todella pääset siellä rakeisiin yksityiskohtiin ja näytät meille mitä tapahtuu. Koska päivän lopussa on jokin järjestelmä, joka aikoo käyttää joitain tietueita, se antaa sinulle raportin, joka saa sinut kertomaan tarinasi, olipa kyse sitten sääntelijälle tai tilintarkastajalle tai jollekin ryhmästäsi , joten on hyvä, että tiedät olevasi valmistautunut siihen, milloin tai milloin ja milloin kyseinen henkilö koputtaa, ja tietysti se on epämiellyttävä tilanne, jota yrität välttää. Mutta jos niin tapahtuu ja todennäköisesti tapahtuu näinä päivinä, haluat olla varma, että minulla on pisteviiva ja T-risti.
Yleisön jäseneltä on hyvä kysymys, jonka haluan heittää ensin kenties ensin sinulle, Bullettille, ja sitten jos ehkä esittelijä haluaa kommentoida sitä, voit olla vapaa. Ja sitten Dez voi kysyä kysymystä ja Robinilta. Joten kysymys kuuluu, onko reilua sanoa, että kaikkien mainitsemiesi asioiden tekemiseksi sinun on aloitettava tietojen luokittelu ponnisteluilla? Sinun on tiedettävä tietosi, kun se osoittautuu arvokkaana potentiaalisena omaisuutena, ja tehtävä jotain sen suhteen. Luulen, että olet samaa mieltä, Bullett, eikö niin?
Bullett Manale: Kyllä, ehdottomasti. Tarkoitan, että olet tiennyt tietosi. Ja tajuan, ymmärrän, että siellä on paljon sovelluksia, jotka ovat ulkona, ja organisaatiossasi on paljon erilaisia asioita, joilla on liikkuvia osia. Sarakehakutyökalu on erittäin hyödyllinen askel kohti tietämisen ymmärtämistä. Mutta kyllä, se on erittäin tärkeä asia. Tarkoitan, että sinulla on mahdollisuus mennä firehose-lähestymistapaan ja tarkastaa kaikki, mutta se on juuri logistisesti huomattavasti haastavampaa, kun puhutaan tietojen tallentamisesta ja raportoinnista kyseisten tietojen perusteella. Ja silloin sinun on silti jonkin verran tiedettävä, missä tämä tieto on, koska kun suoritat raportteja, sinun on myös näytettävä tilintarkastajille nämä tiedot. Joten mielestäni, kuten sanoin, suurin haaste, kun puhun tietokannan ylläpitäjiin, on tietäminen, joo.
Eric Kavanagh: Kyllä, mutta ehkä Robin, tuomme sinut todella nopeasti. Minusta näyttää siltä, että 80/20 -sääntöä sovelletaan tässä, eikö niin? Et todennäköisesti löydä jokaista levyjärjestelmää, jolla on merkitystä jos olet keskikokoisessa tai suuressa organisaatiossa, mutta jos keskityt - kuten Bullett ehdotti täällä - esimerkiksi PeopleSoft tai muita levyjärjestelmiä, jotka ovat pääasiassa yrityksessä, sinne keskityt 80 prosenttia ponnisteluistasi ja sitten 20 prosenttia muihin järjestelmiin, jotka voivat olla siellä jonnekin, eikö?
Robin Bloor: No, olen varma, kyllä. Tarkoitan, tiedätte, mielestäni tämän tekniikan ongelman, ja mielestäni on todennäköisesti syytä kommentoida sitä, mutta tämän tekniikan ongelma on, miten toteutat sen? Tarkoitan, että useimmissa organisaatioissa on ehdottomasti puutetta tietämyksestä edes siellä olevien tietokantojen lukumäärästä. Sanotaan, että varastosta puuttuu hirveästi paljon. Tiedätkö, kysymys on, kuvittelemme, että aloitamme tilanteessa, jossa ei ole erityisen hyvin hoidettua noudattamista. Kuinka otat tämän tekniikan ja injektoit sen ympäristöön, ei vain, tekniikkaasi, ehdot, asettamalla tavaraa, mutta kuten kuka sitä hallinnoi, kuka päättää mitä? Kuinka aloitat suihkuttamaan tämän aitoksi, joka tekee työnsä?
Bullett Manale: No tarkoitan, että se on hyvä kysymys. Haaste monissa tapauksissa on se, että sinun on alattava kysyä kysymyksiä heti alussa. Olen joutunut moniin yrityksiin, joissa he, tiedät, ehkä, että he ovat yksityisiä yrityksiä ja he ovat hankkineet, on olemassa alkuperäinen, eräänlainen, ensisijainen, tienhaara, jos haluat kutsua sitä. Esimerkiksi, jos minusta on juuri tullut julkisesti noteerattua yritystä yrityskaupan takia, minun on palattava takaisin ja luultavasti selvitettävä joitain asioita.
Ja joissain tapauksissa puhumme organisaatioille, jotka, tiedätpä, vaikka ne ovatkin yksityisiä, noudattavat SOX-sääntöjä, yksinkertaisesti siksi, että jos he haluavat hankkia, he tietävät, että heidän on noudatettava sääntöjä. Et todellakaan halua käyttää lähestymistapaa vain: "Minun ei tarvitse huolehtia tästä nyt." Minkä tahansa tyyppinen säännösten noudattaminen, kuten PCI tai SOX tai mikä tahansa, haluat investoida tutkimuksen tai ymmärtäminen, missä tämä arkaluonteinen tieto on, muuten saatat joutua käsittelemään merkittäviä, mojoja sakkoja. Ja on paljon parempaa vain sijoittaa tuo aika, tiedät, että löydät nämä tiedot ja pystyt ilmoittamaan sitä vastaan ja näyttämään hallintalaitteet toimivat.
Joo, sen perustamisessa, kuten sanoin, ensimmäinen asia, jota suosittelen tarkastusta valmisteleville ihmisille, on vain mennä ulos ja tehdä tarkka tutkimus tietokannasta ja selvittää, sinä tietävät parhaansa mukaan yrittäen selvittää, missä arkaluontoiset tiedot ovat. Ja toinen lähestymistapa olisi aloittaa ehkä suuremmalla nettilla tarkastuksen laajuuden suhteen, ja sitten hidastaa tietä hitaasti, kun selvität, millaiset järjestelmän sisäiset alueet liittyvät arkaluontoista informaatiota. Mutta toivon, että voisin kertoa sinulle, että tähän kysymykseen on helppo vastaus. Se vaihtelee todennäköisesti melko vähän organisaatiosta toiseen ja vaatimustenmukaisuuden tyyppiin ja kuinka tiedät, kuinka suuri rakenne heillä on sovelluksissaan ja kuinka monella on monipuolisia sovelluksia, toisilla voi olla räätälöityjä kirjoitettuja sovelluksia , joten se todella riippuu tilanteesta tilanteessa.
Eric Kavanagh: Menkää eteenpäin, Dez, olen varma, että sinulla on kysymys tai kaksi.
Dez Blanchfield: Haluan saada vain jonkinlaisen kuvan havainnoista, jotka koskevat organisaatioiden vaikutuksia ihmisten näkökulmasta. Mielestäni yksi alueista, jolla näen suurimman arvon tälle ratkaisulle, on se, että kun ihmiset heräävät aamulla ja menevät töihin organisaation eri tasoille, he heräävät sarjalla tai ketjulla vastuuta jotka heidän on käsiteltävä. Ja haluan saada jonkinlaisen käsityksen siitä, mitä näet siellä, sellaisten työkalujen kanssa ja ilman, joista puhut. Ja con, josta puhun täällä, tapahtuu hallituksen puheenjohtajalta toimitusjohtajalle, CIO: lle ja C-sviitille. Ja nyt meillä on riskienhallinnasta vastaavat johtajat, jotka ajattelevat enemmän tyyppejä, joista puhumme täällä säännöstenmukaisuuden ja hallinnon suhteen, ja sitten meillä on nyt uudet roolipelien päälliköt, tietovastaava, kuka, tiedät , vielä enemmän huolissaan siitä.
Ja kummankin puolella, CIO: n ympärillä, meillä on IT-päälliköt toisella puolella tietynlaisten kanssa, tekniset liidit ja sitten tietokannan liidit. Ja operatiivisessa tilassa meillä on kehityspäälliköitä ja kehitysjohtoja ja sitten yksittäisiä kehityksiä, ja ne myös palautuvat takaisin tietokannan hallintakerrokseen. Mitä näet ympäröivän liiketoiminnan eri osien reaktion vaatimustenmukaisuuden ja sääntelyraportoinnin haasteeseen ja heidän lähestymistapaansa siihen? Näetkö, että ihmiset tulevat tähän kiihkeästi ja näkevät sen edut, vai näetkö, että he vetävät vastahakoisesti jalkansa tähän asiaan ja vain, tiedätkö, tekevät sen ruudussa olevan rastiin vuoksi? Ja millaisia vastauksia näet, kun he näkevät ohjelmistosi?
Bullett Manale: Kyllä, se on hyvä kysymys. Sanoisin, että tämän tuotteen, tämän tuotteen myynnin, ohjaa enimmäkseen joku kuumalla istuimella, jos se on järkevää. Useimmissa tapauksissa se on DBA, ja meidän näkökulmastamme, toisin sanoen, he tietävät, että tarkastus on tulossa ja he tulevat olemaan vastuussa, koska he ovat DBA: ita, pystyäkseen toimittamaan tiedot, joihin tilintarkastaja aikoo kysyä. He voivat tehdä sen kirjoittamalla omat raporttinsa ja luomalla omat mukautetut jäljensä ja kaikenlaiset sellaiset asiat. Todellisuus on, että he eivät halua tehdä niin. Useimmissa tapauksissa DBA: t eivät todellakaan odota keskustelujen aloittamista tilintarkastajan kanssa. Tiedätte, haluaisin mieluummin kertoa teille, että voimme mennä soittamaan yritykseen ja sanomaan: "Hei, tämä on loistava työkalu ja rakastat sitä", ja näyttää heille kaikki ominaisuudet ja he ostavat sen.
Todellisuus on, että he eivät tyypillisesti aio tarkastella tätä työkalua, paitsi jos he joutuvat tosiasiallisesti kohtaamaan tilintarkastuksen tai kolikon toisen puolen, jos heillä on ollut tarkastus ja epäonnistunut se surkeasti ja nyt he ovat käsketään hakemaan apua tai heille maksetaan sakko. Sanoisin, että yleisesti ottaen, kun tiedät tämän tuotteen ihmisille, he varmasti näkevät sen arvon, koska se säästää heille tonnia aikaa sen vuoksi, että heidän on selvitettävä, mistä he haluavat ilmoittaa , sellaisia asioita. Kaikki nämä raportit on jo rakennettu, hälytysmekanismit ovat paikallaan, ja sitten kolmas kysymys voi myös olla monissa tapauksissa haaste. Koska voin näyttää raportteja koko päivän ajan, mutta ellet voi todistaa minulle, että raportit ovat tosiasiallisesti päteviä, tiedäthän, minusta DBA: na on paljon tiukempi ehdotus pystyä osoittamaan se. Olemme kuitenkin kehittäneet tekniikan, hajautustekniikan ja kaikenlaiset sellaiset asiat voidaksemme auttaa varmistamaan, että tarkastuspolkujen eheydessä olevia tietoja säilytetään.
Ja niin, nämä ovat asioita, jotka ovat minun huomioni suurimmalle osalle ihmisistä, joiden kanssa puhumme. Tiedät, ehdottomasti, eri organisaatioissa, tiedät esimerkiksi, kuulet, tiedät esimerkiksi Targetista, että se loukkasi tietosuojaa, ja tiedät, tarkoitan, kun muut organisaatiot kuulevat sakoista ja niistä millaisia asioita ihmiset alkavat, se nostaa kulmakarvan, joten toivottavasti se vastaa kysymykseen.
Dez Blanchfield: Kyllä, ehdottomasti. Voin kuvitella joitain DBA: ita, kun he vihdoin näkevät, mitä työkalulla voidaan tehdä, vain ymmärtävät saavansa myöhäisillat ja viikonloput myös takaisin. Ajan, kustannusten alennukset ja muut asiat, jotka näen, kun asianmukaisia työkaluja käytetään koko tähän ongelmaan, eli kolme viikkoa istuin pankissa täällä Australiassa. He ovat maailmanlaajuinen pankki, kolmen parhaan tason pankki, he ovat massiivisia. Ja heillä oli projekti, jossa heidän täytyi raportoida varallisuudenhoidon vaatimustenmukaisuudesta ja erityisesti riskeistä, ja he tarkastelivat 60 viikon arvoista työtä parille sata ihmistä varten. Ja kun heille osoitettiin itsesi kaltaisten työkalujen kaltaisia tykkäyksiä, jotka pystyisivät vain automatisoimaan prosessin, tässä mielessä kasvojen ilme, kun he huomasivat, että heidän ei tarvitse viettää X viikkoa satojen ihmisten kanssa tekemässä manuaalista prosessia, sellainen kuin he olisivat löytäneet Jumalan. Mutta haastava asia oli silloin, miten se tosiasiallisesti laitettiin suunnitelmaan, kuten tohtori Robin Bloor totesi, tiedätkö, tämä on jotain, josta tulee sekoitus käyttäytymisen ja kulttuurin muutoksia. Millainen muutos näet tekemisilläsi tasoilla, jotka käsittelevät tätä suoraan sovellustasolla, kun he alkavat ottaa käyttöön työkalun sellaisten raportointi-, tilintarkastus- ja valvontatoimintojen suorittamiseen, joita voit tarjota, kuten vastakohtana siihen, mitä he olisivat voineet tehdä käsin? Miltä näyttää siltä, kun he tosiasiallisesti otetaan käyttöön?
Bullett Manale: Kysyt, mitä eroa on käsityön käsittelemisessä verrattuna tämän työkalun käyttöön? Onko se kysymys?
Dez Blanchfield: No, erityisesti liiketoiminnan vaikutukset. Joten esimerkiksi jos yritämme noudattaa sääntöjenmukaisuutta manuaalisesti, tiedämme, että meillä on aina kauan aikaa monien ihmisten kanssa. Mutta luulen, että kun kysytään jonkin verran kysymystä, kuten tiedätte, puhummeko yhdestä henkilöstä, joka käyttää tätä työkalua ja korvaa mahdollisesti 50 ihmistä, ja kykeneekö tekemään saman asian reaaliajassa tai tunneissa tai kuukausina? Onko sellainen, mistä se yleensä osoittautuu?
Bullett Manale: No tarkoitan, että se liittyy muutamiin asioihin. Yksi on kyky vastata niihin kysymyksiin. Joitakin näistä asioista ei tule tehdä helposti. Joten joo, kotiin kasvaneiden asioiden tekemiseen, omien raporttien kirjoittamiseen, jälkien asettamiseen tai laajennettuihin tapahtumiin tietojen keräämiseen manuaalisesti kuluminen voi viedä paljon aikaa. Tosiaankin, annan teille joitain, tarkoitan, tämä ei oikeastaan liity tietokantoihin yleensä, mutta kuten heti Enronin tapahtumisen ja SOX: n yleistymisen jälkeen, olin yhdessä Houstonin suurimmista öljy-yhtiöistä, ja lasimme , Mielestäni se oli kuin 25 prosenttia liiketoiminnan kustannuksista liittyisi SOX-vaatimustenmukaisuuteen.
Nyt, heti sen jälkeen, ja se oli eräänlainen ensimmäinen ensimmäinen askel SOX: lla, mutta asia, sanoisin, että tiedät, että saat paljon hyötyä käyttämällä tätä työkalua siinä mielessä, että se ei vaadi paljon ihmisiä tekemään tämä ja paljon erilaisia ihmisiä tekemään sitä. Ja kuten sanoin, DBA ei yleensä ole se kaveri, joka todella odottaa keskustelevansa tilintarkastajien kanssa. Joten monissa tapauksissa näemme, että DBA voi purkaa tämän ja pystyä toimittamaan raportin, joka on liitetty tilintarkastajaan, ja he voivat poistaa itsensä kokonaan yhtälöstä eikä tarvitse olla mukana. Joten tiedät, että se on myös valtava säästö resursseissa, kun pystyt siihen.
Dez Blanchfield: Puhutko massiivisista kustannussäästöistä, eikö niin? Organisaatiot eivät vain poista riskiä ja siihen liittyviä kustannuksia, vaan tarkoitan käytännössä sitä, että puhut kustannusten huomattavasta alenemisesta, A) toiminnallisesti ja myös B) siinä, että tiedätkö, jos ne voivat todella tarjota todellisia vaatimustenmukaisuusraportointi siitä, että tietosuojarikkomusten riski tai jonkin verran laillisia sakkoja tai vaikutuksia ei ole noudatettu, onko se?
Bullett Manale: Kyllä, ehdottomasti. Tarkoitan, että koska se ei ole vaatimusten mukainen, tapahtuu kaikenlaisia pahoja asioita. He voivat käyttää tätä työkalua, ja se olisi hienoa, tai he eivät käytä, ja he saavat selville, kuinka paha se todella on. Joten kyllä, se ei ole vain työkalu, selvästi, voit tehdä tarkastuksesi ja kaiken ilman tällaista työkalua. Kuten sanoin, vie vain paljon enemmän aikaa ja kustannuksia.
Dez Blanchfield: Sepä hienoa. Joten Eric, aion palata takaisin sinulle, koska mielestäni minusta vietetyn tilanne on sellainen, että sellaiset markkinat ovat fantastiset. Mutta myös olennaisilta osiltaan, asia on sen painoarvoinen kulta, koska sillä voidaan välttää tapahtuvan kysymyksen kaupallisia vaikutuksia tai lyhentää vaatimustenmukaisuuden ilmoittamiseen ja hallinnointiin kuluvaa aikaa. työkalu maksaa itsensä välittömästi asioiden äänillä.
Eric Kavanagh: Se on aivan oikein. No, kiitos paljon tänään käymästäsi ajasta, Bullett. Kiitos kaikille läsnäolostasi ja huomiosta, Robinille ja Dezille. Toinen hieno esitys tänään. Kiitos IDERA-ystävämme, jotka antoivat meille tuoda tämän sisällön ilmaiseksi. Arkistoimme tämän webcast-lähetyksen myöhempää tarkastelua varten. Arkisto on yleensä valmiina noin päivän sisällä. Ja kerro meille, mitä mieltä olet uudesta verkkosivustoltamme, insideanalysis.com. Aivan uusi muotoilu, kokonaan uusi ilme ja tunnelma. Haluamme mielellämme kuulla palautteesi ja sen kanssa aion jättää jäähyväiset, ihmiset. Voit minut. Muuten otamme sinuun yhteyttä ensi viikolla. Meillä on seitsemän verkkolähetystä seuraavien viiden viikon aikana tai jotain sellaista. Me olemme kiireisiä. Ja olemme Strata-konferenssissa ja IBM Analyst Summit -tapaamisessa New Yorkissa myöhemmin tässä kuussa. Joten jos olet ympärilläsi, pysähdy ja sano hei. Ole varovainen, ihmiset. Hei hei.