Sa pamamagitan ng Techopedia Staff, Setyembre 14, 2016
Takeaway: Tinatalakay ng Host na si Eric Kavanagh ang pag-awdit sa database at pagsunod sa mga analyst na sina Robin Bloor at Dez Blanchfield pati na rin si Bullett Manale ng IDERA sa episode ng Hot Technologies.
Kasalukuyan kang hindi naka-log in. Mangyaring mag-log in o mag-sign up upang makita ang video.
Eric Kavanagh: Mga kababaihan at mga ginoo, kumusta at maligayang pagdating, muli, sa Hot Technologies! Oo nga, ng 2016. Nasa taong tatlo kami sa palabas na ito, ito ay nakakaaliw na bagay. Naging kami ay tumba at gumulong ngayong taon. Ito ay si Eric Kavanagh, ang iyong host. Ang paksa para sa ngayon - ito ay isang mahusay na paksa, maraming mga aplikasyon sa buong isang bilang ng mga industriya, na lantaran lantaran - "Sino, Ano, Saan at Paano: Bakit Nais Mong Malaman." Oo nga, pag-uusapan natin ang lahat ng masayang bagay. Mayroong isang slide tungkol sa iyo ng tunay, pindutin ako sa Twitter @eric_kavanagh. Sinusubukan kong muling i-tweet ang lahat ng mga pagbanggit at muling i-tweet ang anumang ipinadala sa akin. Kung hindi man, ganoon din.
Mainit, oo nga! Ang buong palabas dito ay idinisenyo upang matulungan ang mga organisasyon at indibidwal na maunawaan ang mga partikular na uri ng teknolohiya. Dinisenyo namin ang buong programa dito, ang Hot Technologies, bilang isang paraan ng pagtukoy ng isang partikular na uri ng software, o isang partikular na takbo, o isang partikular na uri ng teknolohiya. Ang dahilan ay dahil lantaran, sa mundo ng software, madalas mong makukuha ang mga term na ito sa pagmemerkado na nakikipag-ugnay sa kung minsan at kung minsan ay maaari nilang lantarin ang mga konsepto na inilaan nilang ilarawan.
Sa palabas na ito sinusubukan naming tulungan kang maunawaan kung ano ang isang partikular na uri ng teknolohiya, kung paano ito gumagana, kapag magagamit mo ito, kapag hindi mo dapat gamitin ito, at bibigyan ka ng maraming detalye hangga't maaari naming. Magkakaroon kami ng tatlong nagtatanghal ngayon: ang aming sariling Robin Bloor, punong analyst dito sa Bloor Group; ang aming data scientist na tumatawag mula sa Sydney, Australia sa kabilang panig ng planeta, si Dez Blanchfield, at isa sa aming mga paboritong panauhin na si Bullett Manale, director ng sales engineering sa IDERA.
Sasabihin ko lang ng isang pares ng mga bagay dito, na nauunawaan kung sino ang gumagawa ng kung aling mga piraso ng data, mahusay na uri ng tulad ng pamamahala, di ba? Kung iniisip mo ang tungkol sa lahat ng mga regulasyon sa paligid ng mga industriya, tulad ng pangangalaga sa kalusugan at serbisyo sa pananalapi, sa mga domain na iyon, ang bagay na iyon ay hindi kapani-paniwalang mahalaga. Kailangan mong malaman kung sino ang humipo sa impormasyon, na nagbago ng isang bagay, na na-access ito, na nag-upload nito, halimbawa. Ano ang linya, ano ang patunay ng data na ito? Maaari mong matiyak na ang lahat ng mga isyung ito ay mananatiling kilalang sa mga darating na taon para sa lahat ng mga uri ng mga kadahilanan. Hindi lamang para sa pagsunod, kahit na ang HIPAA, at Sarbanes-Oxley, at Dodd-Frank, at ang lahat ng mga regulasyong ito ay napakahalaga, ngunit din lamang na nauunawaan mo sa iyong negosyo kung sino ang gumagawa ng kung ano, saan, kailan, bakit at paano. Ito ay mabuting bagay, kami ay magbibigay pansin.
Sige, ilabas mo na, Robin Bloor.
Robin Bloor: Okay, mabuti salamat sa pagpapakilala na iyon, Eric. Ang lugar na ito ng pamamahala ay, ang ibig kong sabihin, ang pamamahala sa IT ay hindi isang salita na narinig mo hanggang sa kaunti pagkatapos ng taon 2000, sa palagay ko. Ito ay nangyari tungkol sa pangunahin dahil, sa palagay ko pa, naganap lalo na dahil mayroong pagsunod sa batas na nagaganap. Lalo na ang HIPAA at Sarbanes-Oxley. Mayroong talagang maraming mga ito. Samakatuwid, napagtanto ng mga samahan na kailangan nilang magkaroon ng isang set ng mga patakaran at isang hanay ng mga pamamaraan sapagkat kinakailangan sa ilalim ng batas na gawin iyon. Dati bago ito, lalo na sa sektor ng pagbabangko, mayroong iba't ibang mga pagkukusa na dapat mong sundin depende sa kung anong uri ng bangko ka, at lalo na sa mga international bankers. Ang buong Basel na sumusunod na paraan, nagsimula bago ang partikular na hanay ng mga inisyatibo matapos ang taong 2000. Lahat talaga ito ay namamahala sa pamamahala. Akala ko ay pag-uusapan ko ang tungkol sa paksa ng pamamahala bilang isang pagpapakilala sa pokus ng pag-iingat sa kung sino ang pagkuha ng data.
Pamamahala ng data, dati akong tumingin sa paligid na iniisip ko tungkol sa lima o anim na taon na ang nakakaraan, tumingin sa paligid para sa mga kahulugan at hindi ito mahusay na tinukoy. Ito ay naging mas malinaw at mas malinaw kung ano talaga ang ibig sabihin nito. Ang katotohanan ng sitwasyon ay sa loob ng ilang mga limitasyon, ang lahat ng data ay aktwal na pinamamahalaan, ngunit walang pormal na mga patakaran para dito. Mayroong mga espesyal na patakaran na ginawa lalo na sa industriya ng pagbabangko para sa paggawa ng mga bagay na tulad nito, ngunit muli na higit pa tungkol sa pagsunod. Sa isang paraan o ibang patunay na ikaw ay talagang isang - ito ay uri ng nauugnay sa peligro, kaya pinapatunayan na ikaw ay isang mabubuhay na bangko ay ang pakikitungo.
Kung titingnan mo ang hamon ng pamamahala ngayon, nagsisimula ito sa isang katotohanan ng malaking kilusan ng data. Mayroon kaming isang pagtaas ng bilang ng mga mapagkukunan ng data. Ang dami ng data ng kurso ay isang isyu sa na. Sa partikular, nagsimula kaming gumawa ng marami, marami, higit pa sa hindi nakaayos na data. Nagsimula itong maging isang bagay na bahagi ng kabuuan ng laro ng analytics. At dahil sa analytics, ang data napatunayan at linya ay mahalaga. Talagang mula sa pananaw ng paggamit ng data analytics sa anumang paraan na may kaugnayan sa anumang uri ng pagsunod, kailangan mo talagang magkaroon ng kaalaman kung saan nagmula ang data at kung paano ito nararapat.
Nagsimula ang pag-encrypt ng data upang maging isang isyu, maging isang mas malaking isyu sa sandaling nagpunta kami sa Hadoop dahil ang ideya ng isang data lake kung saan nag-iimbak kami ng maraming data, biglang nangangahulugan na mayroon kang isang malaking lugar ng kahinaan ng mga tao na maaaring makakuha sa ito. Ang pag-encrypt ng data ay naging mas kilalang. Ang pagpapatunay ay palaging isang isyu. Sa mas matandang kapaligiran, mahigpit na mainframe environment, nagkaroon sila ng napakagandang perimeter security protection; ang pagpapatunay ay hindi talagang marami sa isang isyu. Nang maglaon, naging mas malaking isyu ito at higit pa sa isang isyu ngayon dahil nakuha namin ang mga mahigpit na ipinamamahagi na kapaligiran. Ang pag-access sa data ng pag-access, na naging isyu. Mukhang naaalala ko ang iba't ibang mga tool na umiral mga sampung taon na ang nakalilipas. Sa palagay ko ang karamihan sa mga ito ay hinihimok ng mga hakbangin sa pagsunod. Samakatuwid nakuha din namin ang lahat ng mga patakaran sa pagsunod, pag-uulat sa pagsunod.
Ang bagay na nasa isipan ay kahit na bumalik noong 1990s, kapag nagsagawa ka ng mga klinikal na pagsubok sa industriya ng parmasyutiko, hindi mo lamang kailangang patunayan kung saan nanggaling ang data - malinaw naman napakahalaga, kung sinusubukan mo isang gamot sa iba't ibang mga konteksto, upang malaman kung sino ang sinubukan at kung ano ang kontekstwal na data sa paligid nito - kailangan mong magbigay ng isang pag-audit ng software na aktwal na nilikha ang data. Ito ang pinaka-malubhang piraso ng pagsunod na nakita ko kahit saan, sa mga tuntunin ng pagpapatunay na hindi ka aktwal na gulo ang mga bagay na sinasadya o hindi sinasadya. Sa mga nagdaang panahon, lalo na ang pamamahala ng ikot ng buhay ng data ay naging isang isyu. Ang lahat ng ito ay sa isang paraan ng mga hamon dahil marami sa mga ito ay hindi nagawa nang maayos. Sa maraming mga pangyayari kinakailangan na gawin ang mga ito.
Ito ang tinawag ko na data pyramid. Ako ay uri ng napag-usapan ito bago. Nalaman kong ito ay isang napaka-kagiliw-giliw na paraan ng pagtingin sa mga bagay. Maaari mong isipin ang data bilang pagkakaroon ng mga layer. Ang Raw data, kung gusto mo, ay talagang mga signal o pagsukat, pag-record, mga kaganapan, halos lahat ng mga tala. Posibleng mga transaksyon, kalkulasyon at pinagsama-samang syempre lumikha ng bagong data. Maaari silang isipin sa antas ng data. Sa itaas na iyon, sa sandaling aktwal mong ikonekta ang data, nagiging impormasyon ito. Ito ay nagiging mas kapaki-pakinabang, ngunit siyempre ito ay nagiging mas mahina sa mga tao na nag-hack o nag-abuso dito. Tinukoy ko na bilang nilikha, talaga, sa pamamagitan ng pagbubuo ng data, pagiging mailarawan ang mga data ng pagkakaroon ng mga glossary, schemas, ontologies sa impormasyon. Ang dalawang mas mababang mga layer ay kung ano ang proseso namin sa isang paraan o sa iba pa. Sa itaas iyan ang tinatawag kong layer ng kaalaman na binubuo ng mga patakaran, patakaran, patnubay, pamamaraan. Ang ilan sa mga ito ay maaaring nilikha ng mga pananaw na natuklasan sa analytics. Ang ilan sa kanila ay talagang mga patakaran na kailangan mong sumunod. Ito ang layer, kung gusto mo, ng pamamahala. Dito, kung sa isang paraan o sa iba pa, kung ang layer na ito ay hindi maayos na populasyon, kung gayon ang dalawang patong sa ibaba ay hindi pinamamahalaan. Ang pinakahuling punto tungkol dito ay, ang pag-unawa sa isang bagay na nakatira lamang sa mga tao. Hindi pa nagawa ng mga computer na gawin iyon, salamat. Kung hindi, mawawala ako sa isang trabaho.
Ang emperyo ng pamamahala - uri ko itong pinagsama, sa palagay ko marahil ay mga siyam na buwan na ang nakalilipas, marahil mas maaga kaysa rito. Karaniwan, gusto kong mapahusay ito ngunit sa lalong madaling panahon na nagsimula kaming mag-alala tungkol sa pamamahala, pagkatapos ay mayroong, sa mga tuntunin ng hub data ng corporate, hindi lamang ang reservoir ng data, mga mapagkukunan ng lawa ng data, ngunit din sa pangkalahatang mga server ng iba't ibang uri, mga dalubhasang server ng data. Lahat ng ito ay kailangang pamamahalaan. Kung talagang tinitingnan mo ang iba't ibang sukat pati na rin - seguridad ng data, paglilinis ng data, pagtuklas ng metadata at pamamahala ng metadata, na lumilikha ng isang glosaryo ng negosyo, data ng pagmamapa, data ng linya, pamamahala ng siklo ng buhay ng data - kung gayon, pamamahala ng pagganap-monitoring, pamamahala ng antas ng serbisyo, pamamahala ng system, na maaaring hindi mo talaga maiugnay sa pamamahala, ngunit isang tiyak - ngayon na pupunta kami sa isang mas mabilis at mas mabilis na mundo na may higit pa at mas maraming mga dataflows, na talagang magagawa ang isang bagay na may isang partikular na pagganap ay talagang isang pangangailangan at nagsisimula na maging isang patakaran ng operasyon kaysa sa anupaman.
Pagbubuod sa mga tuntunin ng paglago ng pagsunod, napanood ko ang nangyari sa loob ng maraming, maraming taon ngunit ang pangkalahatang proteksyon ng data ay talagang dumating noong 1990s sa Europa. Nakarating lamang ito, at mas sopistikado mula noon. Pagkatapos, ang lahat ng mga bagay na ito ay nagsimula upang mai-ipakilala o gawing mas sopistikado. Ang GRC, na panganib at pagsunod sa pamamahala, ay nagaganap mula noong ginawa ng mga bangko si Basel. Lumilikha ang ISO ng mga pamantayan ng iba't ibang uri ng operasyon. Alam ko sa lahat ng oras na ako ay nasa IT - matagal na - ang gobyerno ng US ay partikular na aktibo sa paglikha ng iba't ibang mga batas: SOX, mayroong Gramm-Leach-Bliley, HIPAA, FISMA, FERPA. Nakuha mo rin ang kahanga-hangang samahan ng NIST na lumilikha ng maraming mga pamantayan, lalo na ang mga pamantayan sa seguridad, na kapaki-pakinabang. Ang mga batas sa proteksyon ng data sa Europa ay may mga lokal na pagkakaiba-iba. Ang magagawa mo sa personal na data sa Alemanya, halimbawa, ay naiiba kaysa sa magagawa mo sa republika ng Slovakian, o Slovenia, o saan man. Ipinakilala nila kamakailan - at naisip kong banggitin ito dahil nalaman kong nakakatawa ito - Ipinakikilala ng Europa ang ideya ng tamang kalimutan. Iyon ay, nararapat na maging isang batas ng mga limitasyon sa data na naging pampubliko na talagang personal na data. Sa palagay ko nakakahiya. Mula sa isang pananaw ng IT na magiging napakahirap, napakahirap kung nagsisimula itong maging mabisang batas. Sa kabuuan sasabihin ko ang sumusunod: Dahil ang data at pamamahala ng IT ay mabilis na umuusbong, ang pamamahala ay dapat ding umunlad nang mabilis at nalalapat ito sa lahat ng mga lugar ng pamamahala.
Ang pagkakaroon ng sinabi na ipapasa ko ang bola kay Dez.
Eric Kavanagh: Oo nga, kaya Dez Blanchfield, alisin ito. Robin, kasama kita, tao, namamatay ako upang makita kung paano nilalaro ang karapatang ito upang makalimutan. Sa palagay ko hindi ito magiging mahirap lamang ngunit hindi imposible. Ito ay paglabag lamang sa paghihintay na maisagawa ng mga ahensya ng gobyerno. Dez, ilabas mo na.
Dez Blanchfield: Ito ay talaga at iyon ang paksa para sa isa pang talakayan. Mayroon kaming isang katulad na hamon dito sa Asya-Pasipiko, at lalo na sa Australia kung saan kinakailangan ang mga carrier at ISP na mai-log ang lahat na may kaugnayan sa internet at makapag-record at magrekord muli kung sakaling may isang interes ay may mali. Ito ay isang batas at kailangan mong sumunod dito. Ang hamon, tulad ng maaaring sabihin sa isang tao sa Google sa USA na tanggalin ang aking kasaysayan sa paghahanap o anuman, maaaring sumunod ito sa batas ng Europa, lalo na ang batas sa privacy ng Aleman. Sa Australia kung nais ng isang ahensya na tumingin sa iyo, ang isang carrier ay kailangang magbigay ng mga detalye ng mga tawag at kasaysayan ng paghahanap na ginawa, na kung saan ay hamon, ngunit ito ay ang mundo na nakatira namin. Mayroong isang bungkos ng mga kadahilanan para dito. Hayaan mo na lang akong tumalon sa minahan.
Sinadya kong mahirap basahin ang aking pahina ng pamagat. Kailangan mo talagang tingnan ang teksto na iyon. Pagsunod, sumunod sa isang hanay ng mga patakaran, pagtutukoy, mga kontrol, mga patakaran, pamantayan o batas, na may isang hangal, magulo na background. Iyon ay dahil kailangan mo talagang tingnan ito nang husto upang makuha ang detalye at bunutin ang impormasyon mula sa kung ano ito ay overlaid, na isang serye ng mga talahanayan at hilera at haligi, alinman sa isang database, isang scheme o isang mock-up sa Visio. Iyon ang naramdaman ng pagsunod sa pakiramdam tulad ng araw-araw. Ito ay mahirap mahirap sumisid sa detalye at bunutin ang may-katuturang mga piraso ng impormasyon na kailangan mo upang makumpirma na ikaw ay sumusunod. Mag-ulat sa na, subaybayan ito at subukan ito.
Sa katunayan, naisip kong isang mahusay na paraan upang mailarawan ito nang tanungin natin ang ating sarili sa tanong na, "Sumunod ka ba?" "Sigurado ka ba?" "Well, patunayan mo!" Mayroong isang talagang kasiya-siyang bagay na marahil ay medyo mas Anglo-Celtic ngunit sigurado ako na ginawa ito sa buong mundo papunta sa US, kaya't: "Saan ang Wally?" Ang Wally ay isang maliit na karakter na nakukuha sa mga guhit ng cartoon sa anyo ng mga libro. Karaniwan napakalaki ng mga larawan ng A3 o mas malaki. Kaya, mga guhit na laki ng talahanayan. Siya ay isang maliit na character na nagsusuot ng isang beanie at isang pulang-puting guhit na may kulay na kulay. Ang ideya ng laro ay tiningnan mo ang larawang ito at tumingin ka sa paligid upang subukan at hanapin si Wally. Nasa litrato siya doon sa kung saan. Kung iisipin mo kung paano matuklasan at ilarawan at iulat ang pagsunod, sa maraming mga paraan tulad ng paglalaro ng "Nasaan ang Wally." Kung titingnan mo ang larawang iyon, halos imposible upang mahanap ang character. Ang mga bata ay gumugol ng maraming oras sa na at nagkaroon ako ng maraming kasiyahan sa paggawa ko sa aking sarili kahapon. Kung titingnan namin ito, nakatagpo kami ng isang buong grupo ng mga tao sa mga cartoons na ito, na sadyang inilagay roon kasama ang mga katulad na piraso ng Wally outfit ng isang guhit na beanie at isang jersey, o tuktok ng lana. Ngunit sila ay nagiging mga maling positibo.
Ito ay isang katulad na hamon na mayroon tayo sa pagsunod. Kapag tinitingnan natin ang mga bagay, kung minsan ay isang bagay na sa palagay natin ito ang mangyayari, hindi ito ang lahat. Ang isang tao ay maaaring magkaroon ng access sa isang database at dapat silang magkaroon ng access sa isang database ngunit ang paraan kung saan ginagamit nila ito ay bahagyang naiiba sa inaasahan namin. Maaari naming magpasya na iyon ay isang bagay na kailangan nating tingnan. Kapag tinitingnan namin ito, nakita namin, talaga, isang napaka-valid na gumagamit. Gumagawa lang sila ng isang bagay na quirky. Siguro ito ay isang PC researcher o kung sino ang nakakaalam. Sa iba pang mga kaso, maaaring kabaligtaran ito. Ang reyalidad, kung magpapatuloy ako muli, mayroong Wally. Kung tiningnan mo talaga ang mataas na resolusyon na ito mayroong isang karakter na aktwal na nakasuot ng tamang kasuotan. Ang lahat ng iba pa ay mga lookalikes at pakiramdam-alike. Ganito ang pakiramdam ng pagsunod. Karamihan sa mga tao na kilala ko, nagtatrabaho sila sa mga kontrol at pagsunod at mga patakaran na lugar ng mga negosyo. Sa buong saklaw ng mga lugar, maging sa teknolohiya, maging sa pananalapi, o operasyon, at panganib. Kadalasan napakahirap makita ang Wally sa larawan, makikita mo ang mga puno o kahoy.
Ang tanong na tanungin natin sa ating sarili, kapag iniisip natin ang tungkol sa mga bagay tulad ng pagsunod, ay "Big deal, ano ang posibleng magkamali kung hindi natin lubos na natutugunan ang pagsunod?" Sa konteksto ng talakayan ngayon, partikular sa paligid ng database at kontrol ng pag-access sa data, bibigyan kita ng ilang tunay na mga halimbawa ng pag-wake-up na tawag sa kung ano ang maaaring magkamali sa napakaikling maikling form. Kung iniisip natin ang mga paglabag sa data, at pamilyar tayong lahat sa mga paglabag sa data, naririnig natin ang mga ito sa media, at uri kami ng paghinto at pagtawa, dahil iniisip ng mga tao na merkado. Ito ay mga personal na bagay. Ito ay si Ashley Madison at ang mga taong naghahanap upang makakuha ng mga petsa sa labas ng kanilang mga relasyon at kasal. Ito ay mga fling account. Ito ang lahat ng mga kakatwang bagay o ilang mga random na European o Ruso na ISP o kumpanya ng pagho-host ay na-hack. Kapag nakarating sa mga bagay tulad ng MySpace at mga nangungunang sampung, kung titingnan mo ang mga bilang na ito, ang nais kong mapagtanto na ito ay: 1.1 bilyong mga detalye ng mga tao sa mga nangungunang sampung paglabag. At oo, mayroong mga overlay, maaaring may mga taong nakakakuha ng isang account sa MySpace, at isang Dropbox account, at isang Tumblr account, ngunit iikot lamang natin ito sa isang bilyong tao.
Ang mga nangungunang sampung paglabag sa huling dekada o higit pa - hindi kahit isang dekada, sa karamihan ng mga kaso - na sumasama ng humigit-kumulang isang-ikapitong populasyon ng mundo ng mga tao, ngunit mas makatotohanang, tungkol sa 50 porsyento ng bilang ng mga tao ay konektado sa internet, mahigit isang bilyong indibidwal. Nangyayari ito dahil ang pagsunod ay hindi pa natugunan sa ilang mga kaso. Sa karamihan ng mga kaso, ang mga kontrol sa pag-access sa database, kontrol ng pag-access sa mga partikular na set ng data, at mga system, at mga network. Ito ay isang nakakatakot na tseke ng katotohanan. Kung hindi ka takutin, kapag tiningnan mo ang nangungunang sampung at maaari mong makita na ito ay isang - o maaaring makita ito ay isang bilyon na indibidwal, ang tunay na tao na tulad natin, sa tawag na ito ngayon. Kung mayroon kang isang account sa LinkedIn, kung mayroon kang isang Dropbox account, o isang Tumblr account o kung bumili ka mula sa mga produkto ng Adobe o kahit na nakarehistro na mag-download ng libreng Adobe viewer. Ito ay lubos na malamang, hindi posible, lubos na malamang na ang iyong mga detalye, ang iyong unang pangalan, ang iyong huling pangalan, ang iyong email address, na potensyal kahit na ang iyong kumpanya ng trabaho, o ang iyong tirahan o ang iyong credit card, ay talagang lumabas doon dahil sa isang paglabag naganap dahil sa mga kontrol, na hindi kinakailangan pinamamahalaang nang maayos sa anyo ng pamamahala ng data, pamamahala ng data.
Tingnan natin ito kapag tinitingnan natin ito sa totoong detalye. May isang screen ng mga ito, mayroong tungkol sa 50-isang bagay doon. May isa pang 15. Mayroong tungkol sa isa pang 25. Ito ang mga data na paglabag sa nakalista sa isang website na tinatawag na haveibeenpwned.com. Ito ang maaaring posibleng magkamali kung ang isang bagay na simple tulad ng pagkontrol kung sino ang may access sa data sa mga database sa iba't ibang mga patlang at hilera at haligi at iba't ibang mga aplikasyon sa iyong negosyo, ay hindi pinamamahalaang maayos. Ang mga samahang ito ay hinihimok ng data. Karamihan sa data ay nakatira sa isang database sa ilang form. Kapag iniisip mo iyon, ang listahan ng mga paglabag na tiningnan lang namin, at inaasahan na bibigyan ka ng kaunting isang malamig na shower sa isang diwa, na naisip mo na "Hmm, iyan ay tunay, " at ito ay posibleng nakakaapekto sa iyo. Noong 2012, ang paglabag sa LinkedIn halimbawa, karamihan sa mga propesyonal ay may isang account sa LinkedIn sa mga araw na ito at malamang na nawala ang iyong mga detalye. Nakarating na sila sa internet mula noong 2012. Nasabi lang namin ito tungkol sa taong 2016. Ano ang nangyari sa iyo ng impormasyon sa mga apat na taong iyon? Well ito ay kawili-wili at maaari naming pag-usapan nang hiwalay sa.
Pamamahala ng database at mga system - Madalas akong nag-uusap tungkol sa kung ano ang itinuturing kong nangungunang limang hamon sa pamamahala ng mga bagay na ito. Sa pinakadulo, napaka tuktok at nagraranggo ako ng mga ito sa pagkakasunud-sunod ng kagustuhan mula sa aking sarili, ngunit ang pagkakasunud-sunod din ng epekto, ang numero uno ay seguridad at pagsunod. Ang mga kontrol at mekanismo, at mga patakaran sa paligid ng pagkontrol kung sino ang may access sa anong sistema, para sa anong kadahilanan at layunin. Ang pag-uulat tungkol dito at pagsubaybay nito, pagtingin sa mga system, pagtingin sa mga database, at nakikita kung sino ang tunay na ma-access ang mga rekord, indibidwal na larangan at talaan.
Isipin ito sa isang napaka-simpleng anyo. Pag-usapan natin ang tungkol sa pagbabangko at kayamanan bilang isang halimbawa. Kapag nag-sign up ka para sa isang bank account, sabihin lamang natin ang isang normal na cash account para sa isang EFTPOS card, o isang cash account o isang account sa tseke. Punan mo ang isang form at mayroong maraming mga pribadong impormasyon sa na piraso ng papel na pinunan mo o ginagawa mo ito sa online at napunta sa isang computer system. Ngayon, kung ang isang tao sa marketing ay nais makipag-ugnay sa iyo at magpadala sa iyo ng isang polyeto, dapat silang payagan na makita ang iyong unang pangalan, at apelyido, at iyong personal na address, halimbawa at potensyal na numero ng iyong telepono kung nais nilang malamig na tawagan ka at magbenta ka ng isang bagay. Marahil ay hindi nila dapat makita ang kabuuang halaga ng pera na nakuha mo sa bangko para sa isang pangkat ng mga kadahilanan. Kung ang isang tao ay tumitingin sa iyo mula sa isang peligro, o sinusubukan mong tulungan kang gumawa ng isang bagay tulad ng makakuha ng mas mahusay na mga rate ng interes sa iyong account, na ang partikular na tao ay marahil ay nais na makita kung magkano ang pera na nakuha mo sa bangko, kaya maaari nilang nag-aalok sa iyo ng naaangkop na antas ng pagbabalik ng interes sa iyong pera. Ang dalawang indibidwal na ito ay may ibang magkakaibang mga tungkulin at ibang-iba na mga dahilan para sa mga papel na iyon, at mga layunin para sa mga tungkulin na iyon. Bilang isang resulta, kailangang makita ang iba't ibang impormasyon sa iyong tala, ngunit hindi lahat ng tala.
Ang mga kontrol na ito sa paligid ng iba't ibang ulat ng karaniwang mga screen o form na mayroon sila sa mga application na ginagamit upang pamahalaan ang iyong account. Ang pag-unlad para sa mga iyon, ang pagpapanatili ng mga iyon, ang pangangasiwa ng mga iyon, ang pag-uulat sa paligid ng mga iyon, at ang pamamahala at pagsunod ay nakabalot sa mga tulad ng bubble wrap, lahat ay isang napakalaking hamon. Iyon lamang ang bilang isang hamon sa pamamahala ng data at system. Kung lalalim tayo sa salansan na iyon sa pagganap at pagsubaybay, at pagtuklas at pagtugon ng saklaw, pamamahala at pangangasiwa ng system, at pagsunod sa kanilang paligid, ang disenyo at pagpapaunlad ng mga sistema mula sa pagsunod, nakakakuha ito ng mas mahirap.
Pamamahala ng buong isyu ng pagbabawas ng mga panganib at pagpapabuti ng seguridad. Ang aking nangungunang limang mga hamon sa puwang na ito - at gusto ko ang imahe na sumasama sa isang customs desk kapag pumapasok ka sa isang bansa - ipinakilala nila ang iyong pasaporte, at tiningnan ka nila, at tiningnan nila ang kanilang computer system upang makita kung dapat mo ipasa o hindi. Kung hindi mo dapat, inilalagay ka nila sa susunod na eroplano pauwi. Kung hindi, pinapabayaan ka nila at tinanong ka nila tulad ng, "Pupunta ka ba sa isang holiday? Mayroon ka bang turista? Narito ka ba para sa trabaho? Anong uri ng trabaho ang makikita mo? Saan ka pupunta? ? Gaano katagal ka darating? Mayroon ka bang sapat na pera upang sakupin ang iyong mga gastos at gastos? O magiging panganib ka ba sa bansang iyong pinapasuko at baka sila ang mag-alaga sa iyo at magpapakain sa iyo? "
Mayroong ilang mga isyu sa paligid ng puwang ng data na ito, pamamahala ng proteksyon ng data. Halimbawa sa puwang ng database, kailangan nating mag-isip tungkol sa pagpapagaan ng mga bypasses ng database. Kung ang data ay nasa database, sa isang normal na kapaligiran at mayroong mga kontrol at mekanismo sa paligid na sa system. Ano ang mangyayari kung ang isang dump ng data ay ginawa sa mas maraming SQL at nai-back to tape? Ang mga database ay itinapon sa hilaw na anyo at nai-back minsan. Minsan ginagawa ito para sa mga teknikal na kadahilanan, mga kadahilanan sa pag-unlad. Sabihin na lang natin na isang dump ng DB ang kinuha at nai-back to tape. Ano ang mangyayari kung maganap ang aking mga kamay sa tape at ibalik ito? At mayroon akong isang hilaw na kopya ng database sa SQL. Ito ay isang file ng MP, teksto ito, mababasa ko ito. Ang lahat ng mga password na naka-imbak sa dump na iyon ay walang kontrol sa akin dahil nakakakuha ako ng access sa aktwal na nilalaman ng database nang walang proteksyon ng database ng database. Kaya't maaari kong teknolohikal na makaligtaan ang seguridad ng database platform na itinayo sa engine na may pagsunod, at pamamahala ng peligro upang ihinto ako sa pagtingin sa data. Dahil sa potensyal na developer, system administrator, nakuha ko ang aking mga kamay sa isang buong dump ng database na dapat gamitin para sa mga backup.
Maling paggamit ng data - potensyal na pagkuha ng isang tao upang mag-log in bilang kanilang mataas na account at pinapayagan akong maupo sa screen, naghahanap ng impormasyon, o mga katulad na bagay. Proprietary auditing, ng pag-access at paggamit ng data, at pagtingin sa data o mga pagbabago sa data. Pagkatapos ang pag-uulat sa paligid ng kontrol na iyon at kinakailangan ng pagsunod. Pagsubaybay sa trapiko at pag-access at iba pa, hinaharangan ang mga banta na nagmumula sa mga panlabas na lokasyon at server. Halimbawa kung ang data ay ipinakita sa pamamagitan ng isang form sa isang webpage sa internet, may proteksyon ba ang kanilang mga SQL injection sa pamamagitan ng mga firewall at konsepto control? Mayroong isang mahabang detalyadong kuwento na napunta sa likod nito. Makikita mo dito na ilan lamang sa mga ganap na pangunahing bagay na iniisip namin tungkol sa pagpapagaan at pamamahala ng panganib sa paligid ng mga data sa loob ng mga database. Ito ay talagang medyo madali upang makakuha ng pag-ikot ng ilan sa mga ito kung ikaw ay nasa iba't ibang mga antas ng mga stack ng mga teknolohiya. Ang hamon ay makakakuha ng mas mahirap at mas mahirap habang nakakakuha ka ng mas maraming data, at higit pang mga database. Higit pa, at mas mapaghamong sa mga tao na kinakailangang pamahalaan ang mga system, at subaybayan ang paggamit ng mga ito, subaybayan ang mga nauugnay na detalye na partikular na nauukol sa mga bagay na pinag-usapan ni Robin, sa paligid ng mga bagay tulad ng personal na pagsunod. Ang mga indibidwal ay may mga kontrol at mekanismo sa paligid ng mga ito na sumunod - kung gumawa ka ng isang mali, potensyal ka na mapaputok. Kung nag-log in ako kung hayaan mong makita ito ng aking account, dapat itong isang sunog na pagkakasala. Ngayon binigyan kita ng pag-access sa data na hindi mo dapat nakita nang normal.
Mayroong personal na pagsunod, mayroong pagsunod sa korporasyon, ang mga kumpanya ay may mga patakaran at patakaran, at mga kontrol na inilagay nila sa kanilang sarili lamang kaya ang kumpanya ay tumatakbo nang maayos at nagbibigay ng pagbabalik sa kita at isang magandang pagbabalik sa mga namumuhunan at shareholders. Kung gayon mayroong madalas sa buong bayan o sa buong estado o pambansa, pederal na tulad ng sinabi mo na kinokontrol ng US at batas. Pagkatapos mayroong mga pandaigdigan. Ang ilan sa mga mas malaking insidente sa mundo, kung saan ang mga kagustuhan ng Sarbanes-Oxley, dalawang indibidwal na hiniling na magkaroon ng mga paraan kung paano protektahan ang data at mga sistema. Mayroong Basel sa Europa at mayroong lahat ng mga kontrol sa Australia, lalo na sa paligid ng stock exchange at mga kredensyal na platform, at pagkatapos ay ang privacy sa indibidwal o antas ng kumpanya. Kapag ang bawat isa sa mga ito ay nakasalansan tulad ng nakita mo sa isa sa mga site na mayroon si Robin, nagiging halos isang imposible na pag-akyat ang bundok. Ang mga gastos ay tumataas at nasa punto kung saan ang orihinal na tradisyunal na diskarte na alam mo, tulad ng pagkontrol ng mga tao ay hindi na angkop na diskarte dahil ang laki ay napakalaking.
Mayroon kaming isang sitwasyon kung saan ang pagsunod ay ang tinatawag kong ngayon na palaging isyu. At iyon ay ginamit namin upang potensyal na magkaroon ng isang punto sa oras, alinman sa buwanang o quarterly o taun-taon, kung saan susuriin namin ang aming estado ng bansa at makakatulong sa pagsunod at kontrol. Tiyakin na ang ilang mga tao ay may ilang pag-access at walang tiyak na pag-access depende sa kung ano ang kanilang mga pahintulot. Ngayon ito ay isang kaso ng bilis ng mga bagay na kung saan gumagalaw ang mga bagay, ang bilis ng kung saan nagbabago ang mga bagay, ang sukat kung saan kami nagpapatakbo. Ang pagsunod ay isang palaging isyu at ang pandaigdigang krisis sa pananalapi ay isa lamang halimbawa kung saan ang mga kaugnay na mga kontrol, at ang mga hakbang sa seguridad at pagsunod ay maaaring maiwasan ang isang sitwasyon kung saan mayroon kaming isang runaway kargamento ng tren ng ilang pag-uugali. Ang paglikha lamang ng isang sitwasyon sa buong mundo na epektibong alam na mawawala ito at nabagsak. Upang gawin iyon, kailangan namin ng tamang mga tool. Ang pagtapon ng mga tao sa tren, ang mga pagkahagis na katawan ay hindi na wastong paraan dahil ang sukat ay napakalaking at ang mga bagay ay mabilis na gumagalaw. Ang talakayan ngayon, sa palagay ko magkakaroon kami, ay tungkol sa mga uri ng mga tool upang mailalapat dito. Sa partikular na mga tool na maaaring ibigay sa amin ng IDERA na dapat gawin iyon. At sa pag-iisip nito, ibibigay ko ito sa Bullett upang maglakad sa kanyang materyal at ipakita sa amin ang kanilang diskarte at mga tool na nakuha nila upang malutas ang problemang ito na na-tab na namin ngayon para sa iyo.
Gamit iyon, Bullett, ibibigay ko sa iyo.
Bullett Manale: Tunog mahusay, salamat. Gusto kong pag-usapan ang tungkol sa ilang mga slide at nais ko ring ipakita sa iyo ang isang produkto na ginagamit namin para sa mga database ng SQL Server na partikular upang matulungan ang mga sitwasyon sa pagsunod. Talagang, ang hamon sa maraming mga kaso - Pupunta ako sa paglipas ng ilan sa mga ito - ito lamang ang aming portfolio ng mga produkto, Mabilis akong dumaan sa ganoong mabilis. Sa mga tuntunin ng kung saan tatalakayin ang produktong ito at kung paano ito nauugnay sa pagsunod, lagi kong hinila ito tulad ng unang slide dahil ito ay uri ng isang pangkaraniwang, "Uy, ano ang responsibilidad ng isang DBA?" ay kinokontrol at sinusubaybayan ang pag-access ng gumagamit at nagagawa ring makabuo ng mga ulat. Iyon ay makikipag-ugnay sa kung nakikipag-usap ka sa iyong auditor, kung gaano kahirap ang proseso na iyon ay mag-iiba depende sa kung gagawin mo ito sa iyong sarili o kung gumagamit ka ng isang third-party tool upang matulungan.
Sa pangkalahatan, kapag nakikipag-usap ako sa mga administrator ng database, maraming beses na hindi nila nasangkot sa isang pag-audit. Dapat mong turuan ang mga ito sa kung ano talaga ang kailangan mong gawin. Kaugnay sa kung anong uri ng pagsunod na kinakailangang matupad at maipapatunayan na talagang sinusunod mo ang mga patakaran na naaangkop sa antas ng pagsunod. Ang isang pulutong ng mga tao ay hindi makuha ito sa una. Iniisip nila, "O, maaari lang akong bumili ng isang tool na gagawing sumunod sa akin." Ang katotohanan ay, hindi iyon ang nangyari. Inaasahan kong masasabi ko na ang aming produkto ay magically, sa pamamagitan ng alam mo, pagpindot sa madaling pindutan, binigyan ka ng kakayahang tiyakin na sumunod ka. Ang katotohanan ay kailangan mong i-set up ang iyong kapaligiran sa mga tuntunin ng mga kontrol, sa mga tuntunin kung paano naa-access ang mga tao sa data, na ang lahat ay dapat na magtrabaho kasama ang application na mayroon ka. Kung saan sensitibo ang data na iniimbak, anong uri ng kinakailangan sa regulasyon. Pagkatapos, ang pagkakaroon din upang gumana sa karaniwang isang panloob na opisyal ng pagsunod pati na rin upang matiyak na sinusunod mo ang lahat ng mga patakaran.
Ito ay talagang kumplikado. Kung titingnan mo ang lahat ng mga kinakailangan sa regulasyon, iisipin mo na ang mangyayari, ngunit ang katotohanan ay mayroong isang karaniwang denominador dito. Sa aming kaso sa tool na ipapakita ko sa iyo ngayon, ang produkto ng Pagsunod sa Pagsunod, ang proseso sa aming sitwasyon ay iyon, una at higit sa lahat, kailangan nating tiyakin na kinokolekta namin ang data ng trail ng audit, na may kaugnayan kung saan ang data ay nasa database na sensitibo. Maaari mong kolektahin ang lahat, di ba? Maaari akong lumabas at sabihin na nais kong mangolekta ng bawat transaksyon na nangyayari sa database na ito. Ang katotohanan ay marahil ay mayroon ka lamang isang maliit na bahagi o isang maliit na porsyento ng mga transaksyon na aktwal na nauugnay sa sensitibong data. Kung ang pagsunod sa PCI ay magiging nasa paligid ng impormasyon ng credit card, ang mga may-ari ng mga credit card, ang kanilang personal na impormasyon. Maaaring mayroong isang tonelada ng iba pang mga transaksyon dahil nauugnay ito sa iyong aplikasyon, na wala talagang kinalaman sa pangangailangang regulasyon ng PCI.
Mula sa puntong iyon, ang unang bagay kapag nakikipag-usap ako sa DBA ay sinasabi ko, "Ang numero ng isang hamon ay hindi sinusubukan na makakuha ng isang tool upang gawin ang mga bagay na ito para sa iyo. Nalalaman lamang kung nasaan ang data na sensitibo at paano namin isasara ang data na iyon? ”Kung mayroon ka nito, kung masasagot mo ang tanong na iyon, pagkatapos ay nasa kalahati ka na sa bahay sa mga tuntunin na maipakita na sumusunod ka, sa pag-aakalang sumusunod ka sa tamang mga kontrol. Sabihin nating para sa isang segundo na sinusunod mo ang tamang mga kontrol at sinabi mo sa mga auditor na iyon ang kaso. Ang susunod na bahagi ng proseso ay malinaw na nagawang magbigay ng isang audit trail na nagpapakita at nagpapatunay sa mga kontrol na iyon ay aktwal na gumagana. Pagkatapos, sumusunod na sa pagtiyak na mai-save mo ang data na iyon. Karaniwan sa mga bagay tulad ng pagsunod sa PCI at HIPAA, at ang mga uri ng mga bagay na ito, pinag-uusapan mo ang pitong taon na pagpapanatili. Pinag-uusapan mo ang maraming mga transaksyon at maraming data.
Kung pinapanatili mo, ang pagkolekta ng bawat transaksyon kahit na limang porsyento lamang ng mga transaksyon ay nauugnay sa sensitibong data, pinag-uusapan mo ang isang medyo malaking gastos na nauugnay sa pagkakaroon ng pag-iimbak ng data na iyon sa loob ng pitong taon. Iyon ang isa sa mga pinakamalaking hamon, sa palagay ko, ay ang pagkuha ng ulo ng mga tao sa sinasabi na, iyon ay isang talagang hindi kinakailangang gastos, malinaw naman. Madali din ito kung maaari lamang nating pagtuunan ng pansin ang mga sensitibong lugar sa loob ng database. Bilang karagdagan sa nais mo ring gusto ang mga kontrol sa paligid ng ilang mga sensitibong impormasyon rin. Hindi lamang upang ipakita sa mga tuntunin ng isang daanan ng pag-audit, ngunit upang maibalik ang mga bagay pabalik sa mga aksyon na nangyayari at ma-notify sa totoong oras, upang maipabatid mo iyon.
Ang halimbawa na lagi kong ginagamit, at maaaring hindi kinakailangan na may kaugnayan sa anumang uri ng kinakailangan sa regulasyon ngunit maaaring subaybayan, halimbawa, ang isang tao ay ihuhulog ang talahanayan na nauugnay sa payroll. Kung nangyari iyon, ang paraan mong malaman tungkol dito, kung hindi mo nasusubaybayan iyon, walang sinuman ang babayaran. Huli na yan. Nais mong malaman kung kailan ang talahanayan na iyon ay bumaba, tama kapag bumagsak ito, upang maiwasan ang anumang masamang bagay na nangyayari bilang isang resulta ng ilang mga kawalang-galang na empleyado na pupunta at tinanggal ang talahanayan na tuwid na nakatali sa payroll.
Sa sinabi nito, ang nanlilinlang ay hinahanap ang karaniwang denominador o gamit ang karaniwang denominador upang mapa kung ano ang antas ng pagsunod. Iyon ay uri ng kung ano ang sinusubukan naming gawin sa tool na ito. Karaniwang kinukuha namin ang diskarte ng, hindi kami magpapakita sa iyo ng isang ulat na tiyak sa PCI, na partikular sa mga stock; ang karaniwang denominator ay mayroon kang isang application na gumagamit ng SQL Server upang maiimbak ang sensitibong data sa loob ng database. Sa sandaling maibagsak mo ang sasabihin mo, "Yeah iyan talaga ang pangunahing bagay na dapat nating ituon - kung saan ang sensitibong data na iyon, at paano ito mai-access?" Kapag mayroon ka na, mayroong isang tonelada ng mga ulat na inaalok namin na maaaring magbigay ng patunay na iyon, ikaw, sa loob ng pagsunod.
Bumalik sa mga tanong na tinanong ng isang auditor, ang unang tanong na magiging: Sino ang may access sa data at paano nila nakukuha ang access na iyon? Maaari mo bang patunayan na ang mga tamang tao ay nag-access sa data at ang mga maling tao ay wala? Maaari mo ring patunayan na ang trail ng pag-audit mismo ay isang bagay na mapagkakatiwalaan ko bilang isang hindi mababago na mapagkukunan ng impormasyon? Kung bibigyan kita ng isang landas sa pag-audit na gawa-gawa, hindi talaga ito maganda sa akin bilang isang auditor upang i-patch ang iyong pag-audit kung ang impormasyon ay gawa-gawa. Kailangan namin ng patunay na iyon, karaniwang mula sa isang pananaw sa pag-awdit.
Ang pagpunta sa mga tanong na iyon, uri ng isang mas detalyado. Ang hamon sa unang tanong ay, dapat mong malaman, tulad ng sinabi ko, kung saan ang sensitibong data na iyon upang maiulat ang tungkol sa kung sino ang nag-access dito. Iyon ay karaniwang ilang uri ng pagtuklas at talagang mayroon kang libu-libong iba't ibang mga aplikasyon na nasa labas doon, mayroon kang mga tonelada ng iba't ibang mga kinakailangan sa regulasyon. Sa karamihan ng mga kaso na nais mong magtrabaho sa iyong opisyal ng pagsunod kung mayroon ka, o hindi bababa sa isang tao na magkakaroon ng karagdagang karagdagang pananaw sa mga tuntunin ng talagang kung saan ang aking sensitibong data ay nasa loob ng aplikasyon. Mayroon kaming isang tool na mayroon kami, ito ay isang libreng tool, tinatawag itong isang Paghahanap sa Haligi ng SQL. Sinabi namin sa aming mga prospective na customer at mga gumagamit na interesado sa tanong na iyon, maaari nilang i-download ito. Ano ang gagawin ay ito ay pagpunta sa tumingin talaga para sa impormasyon sa loob ng database na malamang na sensitibo sa kalikasan.
At pagkatapos mong gawin iyon, kailangan mo ring maunawaan kung paano naa-access ng mga tao ang data na iyon. At iyon ay magiging, sa sandaling muli, kung aling mga account ang nasa loob ng mga grupo ng Aktibong Directory, na kasangkot sa mga gumagamit ng database, mayroong isang pagiging kasapi ng papel na nauugnay dito. At tandaan, siyempre, na ang lahat ng mga bagay na pinag-uusapan natin ay dapat na aprubahan ng auditor, kaya kung sasabihin mo, "Ito ay kung paano namin isasara ang data, " pagkatapos ay maaaring dumating ang mga auditor. bumalik at sabihin, "Well, mali ang iyong ginagawa." Ngunit sabihin nating sabihin nila, "Oo, mukhang maganda iyon. Sinasara mo nang sapat ang data. "
Ang paglipat sa susunod na tanong, na magiging, mapapatunayan mo ba na ang mga tamang tao ay nag-access sa data na iyon? Sa madaling salita, maaari mong sabihin sa kanila na ang iyong mga kontrol ay, ito ang mga kontrol na sinusundan mo, ngunit sa kasamaang palad ang mga auditor ay hindi tunay na nagtitiwala sa mga indibidwal. Gusto nila ang patunay nito at nais nilang makita ito sa loob ng trail ng pag-audit. At bumalik ito sa buong karaniwang bagay ng denominador. Kung ang PCI, SOX, HIPAA, GLBA, Basel II, anuman, ang katotohanan ay, na ang parehong mga uri ng mga katanungan ay karaniwang tatanungin. Ang bagay na may sensitibong impormasyon, sino ang naka-access sa bagay na iyon sa loob ng nakaraang buwan? Iyon ay dapat mapunta sa aking mga kontrol at dapat kong maipasa ang aking pag-audit sa kalaunan sa pamamagitan ng pagpapakita ng mga uri ng ulat.
At kung ano ang nagawa namin ay naipon namin ang tungkol sa 25 iba't ibang mga ulat na sumusunod sa parehong uri ng mga lugar tulad ng karaniwang denominador. Kaya wala kaming ulat para sa PCI o para sa HIPAA o para sa SOX, mayroon kaming mga ulat na, sa sandaling muli, sumasampa sila laban sa karaniwang karaniwang denominador. At sa gayon ay hindi mahalaga kung ano ang kinakailangan sa regulasyon na sinusubukan mong matupad, sa karamihan ng mga kaso na magagawa mong sagutin ang anumang katanungan na naibigay sa iyo ng auditor na iyon. At sasabihin nila sa iyo kung sino, ano, kailan at saan ang bawat transaksyon. Alam mo, ang gumagamit, sa oras na naganap ang transaksyon, ang pahayag mismo ng SQL, ang application na nagmula sa, lahat ng magagandang bagay na iyon, at pagkatapos ay maaari ring i-automate ang paghahatid ng impormasyong ito sa mga ulat.
At pagkatapos, sa sandaling muli, sa sandaling maipasa mo iyon at ibinigay mo iyon sa auditor, kung gayon ang susunod na katanungan, patunayan ito. At kapag sinabi kong patunayan ito, ibig sabihin kong patunayan na ang trail ng audit mismo ay isang bagay na mapagkakatiwalaan natin. At ang paraan na ginagawa namin sa aming tool ay mayroon kaming mga halaga ng hash at mga halaga ng CRC na nakatali nang direkta pabalik sa mga kaganapan mismo sa loob ng trail ng pag-audit. At kung gayon ang ideya ay, kung ang isang tao ay lumabas at nagtatanggal ng isang talaan o kung may isang tao na lumabas at mag-aalis o magdagdag ng isang bagay sa trail ng pag-audit o magbabago ng isang bagay sa trail ng audit mismo, mapatunayan natin na ang data na iyon, ang integridad ng ang data mismo, ay nilabag. At kaya 99.9 porsyento ng oras kung nakuha mo na naka-lock ang database ng aming landas sa pag-audit, hindi ka tatakbo sa problemang iyon dahil kapag pinapatakbo namin ang tseke ng integridad kami ay mahalagang nagpapatunay sa auditor na ang data mismo ay hindi pa binago at tinanggal o idinagdag mula noong ang orihinal na pagsulat mula sa mismong serbisyo ng pamamahala.
Kaya iyon ang uri ng isang pangkalahatang pangkalahatang-ideya ng mga tipikal na uri ng mga katanungan na iyong tatanungin. Ngayon, ang tool na mayroon kaming upang matugunan ang maraming mga ito ay tinatawag na SQL Compliance Manager at ginagawa nito ang lahat ng mga bagay na ito sa mga tuntunin ng pagsubaybay sa mga transaksyon, kung sino, ano, kailan at saan ang mga transaksyon, magagawa ito sa isang bilang ng iba't ibang mga lugar din. Ang mga logins, nabigong logins, pagbabago ng schema, malinaw na pag-access ng data, piliin ang aktibidad, lahat ng mga bagay na nangyayari sa loob ng database ng database. At nagagawa naming alerto ang mga gumagamit ng mga tiyak, napaka-butil na kondisyon, kung kinakailangan. Halimbawa, ang isang tao ay lalabas at aktwal na pagtingin sa talahanayan na naglalaman ng lahat ng aking mga numero ng credit card. Hindi nila binabago ang data, tinitingnan lang nila ito. Sa sitwasyong ito ay maaari kong alerto at maipabatid ko sa mga tao na nangyayari na, hindi anim na oras mamaya kapag nagsasaksak kami ng mga troso ngunit sa totoong oras. Ito ay karaniwang hangga't kinakailangan para sa amin upang maproseso ang transaksyon na iyon sa pamamagitan ng isang serbisyo sa pamamahala.
Tulad ng nabanggit ko dati, nakita namin ito na ginamit sa iba't ibang iba't ibang mga kinakailangan sa regulasyon at hindi talaga - alam mo, anumang kinakailangang regulasyon, muli, hangga't ang karaniwang mga denominador, mayroon kang sensitibong data sa isang SQL Server database, ito ay isang tool na makakatulong sa uri ng sitwasyon. Sa 25 na ulat na binuo, ngayon ang katotohanan ay maaari nating gawing mabuti ang tool na ito para sa auditor at sasagutin ang bawat solong tanong na hinihiling nila, ngunit ang mga DBA ay ang dapat gawin ito. Kaya mayroon ding pag-iisip na, alam mo nang mabuti, mula sa isang pananaw sa pagpapanatili kailangan nating tiyakin na ang SQL ay gumagana sa paraang nais natin. Kailangan din nating makapasok at tingnan ang mga bagay na papunta sa labas at tingnan ang iba pang mga piraso ng impormasyon, alam mo, hanggang sa pag-archive ng data, ang automation ng iyon at ang overhead mismo ng produkto. Iyon ang mga bagay na malinaw nating isinasaalang-alang.
Aling nagdadala ng arkitektura mismo. Kaya sa mismong kanang bahagi ng screen nakuha namin ang mga pagkakataon ng SQL na pinamamahalaan namin, ang lahat mula 2000 hanggang sa 2014, naghanda na maglabas ng isang bersyon para sa 2016. Ang pinakamalaking pagbiyahe sa screen na ito ay ang pamamahala ginagawa mismo ng server ang lahat ng mabibigat na pag-aangat. Kinokolekta lamang namin ang data, gamit ang bakas na API, na binuo sa SQL Server. Ang impormasyong iyon ay gumagapang sa aming server ng pamamahala. Ang server ng pamamahala mismo ay nagpapakilala at kung mayroong anumang mga kaganapan na nakatali sa anumang uri ng mga transaksyon na hindi namin nais, pagpapadala ng mga alerto, at mga uri ng mga bagay, at pagkatapos ay ibahin ang data sa loob ng isang imbakan. Mula doon maaari naming magpatakbo ng mga ulat, magagawa naming lumabas at aktwal na makita ang impormasyong iyon sa mga ulat o kahit na sa loob ng console ng aplikasyon.
Kaya kung ano ang gagawin ko sa unahan at gagawin ay pupunta ako sa pamamagitan ng, tunay na mabilis, at nais ko lamang na ituro ang isang mabilis na bagay bago kami tumalon sa produkto, mayroong isang link sa website ngayon, o sa pagtatanghal, dadalhin ka nito sa libreng tool na nabanggit ko kanina. Ang libreng tool na iyon ay, tulad ng sinabi ko, lalabas at tingnan ang isang database at subukang hanapin ang mga lugar na mukhang sensitibong data, mga numero ng seguridad sa lipunan, mga numero ng credit card, batay sa mga pangalan ng mga haligi o mga talahanayan, o batay sa paraan ng hitsura ng format ng data, at maaari mo ring ipasadya iyon, kaya lamang ituro iyon.
Ngayon, sa aming kaso hayaan mo akong magpatuloy at ibahagi ang aking screen, bigyan ako ng isang segundo dito. Sa totoo lang, at sa gayon, kung ano ang nais kong dalhin ka muna ay nais kong dalhin ka sa application ng Pagsunod sa Pagsunod mismo at pupunta ako nang mabilis. Ngunit ito ang application at maaari mong makita na mayroon akong ilang mga database dito at ipapakita ko sa iyo kung gaano kadali ang pagpasok at sabihin ito kung ano ang iyong hinahanap na mag-audit. Mula sa paninindigan ng mga pagbabago sa schema, mga pagbabago sa seguridad, mga aktibidad na pang-administratibo, DML, Piliin, mayroon kaming lahat ng mga opsyon na magagamit sa amin, maaari rin naming i-filter na pababa. Nagbabalik ito sa pinakamainam na kasanayan ng kakayahang sabihin, "Kailangan ko talaga ang talahanayan na ito sapagkat naglalaman ito ng mga numero ng aking credit card. Hindi ko kailangan ang iba pang mga talahanayan na may impormasyon ng produkto, lahat ng iba pang mga bagay na hindi kaakibat sa antas ng pagsunod na sinusubukan kong matugunan. "
Mayroon din tayong kakayahang makuha ang data at ipakita ito sa mga tuntunin ng mga halaga ng mga patlang na nagbabago. Sa maraming mga tool magkakaroon ka ng isang bagay na magbibigay sa iyo ng kakayahang makuha ang pahayag ng SQL, ipakita ang gumagamit, ipakita ang application, oras at petsa, lahat ng magagandang bagay. Ngunit sa ilang mga kaso ang pahayag ng SQL mismo ay hindi magbibigay sa iyo ng sapat na impormasyon upang masabi sa iyo kung ano ang kahalagahan ng patlang bago nangyari ang pagbabago pati na rin ang halaga ng patlang matapos maganap ang pagbabago. At sa ilang mga sitwasyon kailangan mo iyon. Gusto kong subaybayan, halimbawa, impormasyon ng dosis ng doktor para sa mga iniresetang gamot. Nagpunta ito mula sa 50mg hanggang 80mg hanggang 120mg, matututunan ko na ang paggamit ng bago at pagkatapos.
Ang mga haligi ng Sensitive ay isa pang bagay na pinapatakbo namin sa maraming, halimbawa, sa pagsunod sa PCI. Sa sitwasyon dito nakakuha ka ng data na sobrang sensitibo sa kalikasan na sa pamamagitan lamang ng pagtingin sa impormasyong iyon, hindi ko kailangang baguhin ito, tanggalin ito, o madagdagan ito, maaari akong maging sanhi ng hindi maibabalik na pinsala. Ang mga numero ng credit card, mga numero ng seguridad sa lipunan, lahat ng uri ng magagandang bagay na maaari naming makilala ang mga sensitibong haligi at itali ang mga alerto. Kung may lalabas at titingnan ang impormasyong iyon maaari naming, malinaw naman, alerto at magpadala ng isang email o gumawa ng isang SNMP bitag at mga uri ng mga bagay.
Ngayon sa ilang mga kaso ay tatakbo ka sa isang sitwasyon kung saan maaari kang magkaroon ng isang pagbubukod. At ang ibig kong sabihin ay, mayroon kang isang sitwasyon kung saan mayroon kang isang gumagamit na mayroong isang account sa gumagamit na maaaring nakatali sa ilang uri ng trabaho ng ETL na tumatakbo sa kalagitnaan ng gabi. Ito ay isang dokumentadong proseso at hindi ko lang kailangan na isama ang transactional na impormasyon para sa account ng gumagamit. Sa kasong iyon magkakaroon kami ng isang mapagkakatiwalaang gumagamit. At pagkatapos ay sa ibang mga sitwasyon gagamitin namin ang tampok ng Pribadong Auditing ng Gumagamit na mahalagang, kung nakuha ko, sabihin natin halimbawa, isang aplikasyon, at nagagawa na ang pag-awdit ng application na iyon, ng mga gumagamit na dumadaan sa aplikasyon, iyan ay mahusay, mayroon na akong isang bagay na sanggunian sa mga tuntunin ng aking pag-audit. Ngunit para sa mga bagay na nakatali, halimbawa, ang aking mga pribilehiyo na gumagamit, ang mga tao na maaaring pumunta sa studio ng pamamahala ng SQL Server upang tingnan ang data sa loob ng database, hindi iyon puputulin. At sa gayon ito ay kung saan maaari naming tukuyin kung sino ang aming mga pribadong gumagamit ay, alinman sa pamamagitan ng Role Memberships, o sa pamamagitan ng kanilang mga Aktibong Direktoryo ng mga account, mga grupo, ang kanilang mga SQL-na-verify na account, kung saan makikita nating mapili ang lahat ng mga iba't ibang uri ng mga pagpipilian pagkatapos ay tiyakin na para sa mga pribadong gumagamit na maaari naming tukuyin ang mga uri ng mga transaksyon na interesado kami sa pag-awdit.
Ito ang lahat ng mga uri ng iba't ibang mga pagpipilian na mayroon ka at hindi ako pupunta sa lahat ng iba't ibang uri ng mga uri ng mga bagay batay sa mga hadlang sa oras dito para sa pagtatanghal na ito. Ngunit nais kong ipakita sa iyo kung paano namin titingnan ang data at sa palagay ko gusto mo kung paano ito gumagana dahil may dalawang paraan na magagawa natin ito. Maaari ko itong gawin nang interactive at sa gayon kapag nakikipag-usap tayo sa mga taong interesado sa tool na ito para sa kanilang sariling mga panloob na kontrol, nais lamang nilang malaman kung ano ang nangyayari sa maraming mga kaso. Hindi nila kinakailangang may mga auditor na darating sa site. Gusto lang nilang malaman, "Uy, nais kong sundin ang talahanayan na ito at tingnan kung sino ang hinawakan nito sa huling linggo o nakaraang buwan o kung anuman ang maaaring mangyari." Sa kasong ito makikita mo kung gaano kabilis magagawa natin iyon.
Sa kaso ng database ng pangangalagang pangkalusugan, nakakuha ako ng isang talahanayan na tinawag na Mga Rekord ng Pasyente. At ang talahanayan na iyon, kung papangkatin lang ako sa pamamagitan ng object, madali itong magsimulang makitid kung saan namin hinahanap. Siguro gusto kong mag-grupo ayon sa kategorya at baka sa pamamagitan ng kaganapan. At kapag ginawa ko iyon, maaari mong makita kung gaano kabilis ang lumilitaw, at naroon ang aking talahanayan ng Mga Pasyente ng Mga Pasyente. At habang nag-drill ako ay maaari na nating makita ang aktibidad na DML, makikita natin na mayroon kaming isang libong pagsingil sa DML, at kapag binuksan namin ang isa sa mga transaksyon na ito makikita namin ang may-katuturang impormasyon. Ang sino, ano, kung kailan, kung saan ang transaksyon, ang pahayag ng SQL, malinaw naman, ang aktwal na aplikasyon na ginagamit upang maisagawa ang transaksyon, ang account, oras at petsa.
Ngayon kung titingnan mo ang susunod na tab dito, ang tab na Mga Detalye, babalik ito sa pangatlong tanong na pinag-uusapan natin, na nagpapatunay na ang integridad ng data ay hindi nasira. Kaya talaga ang bawat kaganapan, mayroon kaming isang lihim na pagkalkula para sa aming hash halaga, at ito ay pagpunta sa pagkatapos ay itali muli kapag ginagawa namin ang aming tseke ng integridad. Halimbawa, kung lalabas ako sa tool, pumunta sa menu ng pag-awdit, at lalabas ako at sasabihin, suriin natin ang integridad ng imbakan, maaari kong ituro sa database kung saan ang audit trail, tatakbo ito sa pamamagitan ng isang tseke ng integridad na tumutugma sa mga halaga ng hash at mga halaga ng CRC sa aktwal na mga kaganapan at sasabihin sa amin na walang natagpuan ang mga problema. Sa madaling salita, ang data sa trail ng pag-audit ay hindi pa na-tampered mula noong ito ay orihinal na isinulat ng serbisyo ng pamamahala. Iyon ay malinaw na isang paraan upang makipag-ugnay sa data. Ang iba pang paraan ay sa pamamagitan ng mga ulat mismo. At kaya bibigyan kita ng isang mabilis na halimbawa ng isang ulat.
At sa sandaling muli, ang mga ulat na ito, ang paraan na nakarating kami sa kanila, ay hindi tiyak sa anumang uri ng pamantayan tulad ng PCI, HIPAA, SOX o anumang bagay na katulad nito. Muli, ito ang karaniwang denominador ng kung ano ang ginagawa namin, at sa kasong ito, kung babalik tayo sa halimbawa ng tala ng pasyente na iyon, makakapunta tayo at sasabihin, sa ating kaso dito, hinahanap natin sa database ng pangangalaga sa kalusugan at sa aming kaso nais naming mag-focus nang partikular sa talahanayan na alam nating naglalaman ng pribadong impormasyon, sa aming kaso, na nauugnay sa aming mga pasyente. At sa gayon, hayaan mo akong makita kung ma-type ko ito dito, at itutuloy namin at patakbuhin ang ulat na iyon. At makikita namin pagkatapos, malinaw naman, mula doon ang lahat ng may-katuturang data na nauugnay sa bagay na iyon. At sa aming kaso ito ay nagpapakita sa amin para sa isang tagal ng isang buwan. Ngunit maaari kaming bumalik ng anim na buwan, sa isang taon, gayunpaman mahaba namin pinapanatili ang data para sa.
Iyon ang mga uri ng mga paraan kung saan maaari mong talagang patunayan, kung gagawin mo, sa auditor na sinusunod mo ang iyong mga kontrol. Kapag natukoy mo na, pagkatapos ay malinaw na iyon ay isang magandang bagay sa mga tuntunin ng pagpasa sa iyong pag-audit at maipakita na sinusunod mo ang mga kontrol at gumagana ang lahat.
Ang huling bagay sa uri ng pag-uusap tungkol sa nais kong ipakita ay nasa seksyon ng pangangasiwa. Mayroon ding mga kontrol mula sa pananaw ng loob ng tool na ito mismo na makapagtakda ng mga kontrol upang makapagtitiyak na kung ang isang tao ay gumagawa ng isang bagay na hindi nila dapat gawin na malalaman ko ito. At bibigyan kita ng ilang mga halimbawa doon. Mayroon akong isang account sa pag-login na nakatali sa isang serbisyo at ang serbisyo ay nangangailangan ng mataas na pahintulot upang gawin ang ginagawa nito. Ang hindi ko nais ay isang tao na pumapasok at gumagamit ng account na iyon sa Management Studio at pagkatapos, alam mo, gamit ito para sa mga bagay na hindi inilaan para sa. Magkakaroon kami ng dalawang piraso ng pamantayan dito na maaari naming ilapat. Masasabi ko, "Tingnan, talagang interesado kami sa pagtatrabaho na ito, sabihin natin, kasama ang aming application ng PeopleSoft, " tulad ng isang halimbawa, okay?
Ngayon na nagawa ko na iyon, kung ano ang sinasabi ko dito, interesado akong malaman ang anumang mga logins na nakatali sa account na handa akong tukuyin, kung ang application na ginagamit upang mag-log in sa account na ito ay hindi PeopleSoft, pagkatapos iyon ay magiging isang pagtaas para sa alarma. At malinaw na kailangan nating tukuyin ang pangalan ng account mismo, kaya sa aming kaso tawagan lamang natin ang Priv Account na ito, para sa katotohanan na ito ay pribilehiyo. Ngayon sa sandaling nagawa na natin ito, kapag ginawa natin ito dito, ngayon matutukoy natin kung ano ang nais nating mangyari kapag nangyari iyon at para sa bawat at bawat uri ng kaganapan o, dapat kong sabihin, alerto, maaari mong magkaroon ng isang hiwalay na abiso sa taong responsable para sa partikular na piraso ng data.
Halimbawa, kung ito ang impormasyon sa suweldo ay maaaring pumunta sa aking direktor ng HR. Sa kasong ito, pagharap sa application ng PeopleSoft, magiging administrator ng application na iyon. Anuman ang kaso. Maaari kong ilagay sa aking email address, ipasadya ang aktwal na mensahe ng alerto at lahat ng uri ng magagandang bagay. Muli, bumalik ito sa pagiging siguraduhin na maipakita mo na sinusunod mo ang iyong mga kontrol at ang mga kontrol na iyon ay gumagana sa paraang nilalayon. Mula sa huling pananaw dito, sa mga tuntunin lamang ng pagpapanatili, mayroon kaming kakayahang kunin ang data na ito at mailagay ito nang offline. Maaari kong mai-archive ang data at mai-iskedyul ko ito at maaari naming mai-uri ng gawin ang mga bagay na ito nang napakadali sa kamalayan na talagang magagawa mo, bilang isang DBA, na ginagamit ang tool na ito, i-set up at uri ng lumakad palayo mula rito Walang maraming mga kamay na humahawak na magaganap sa sandaling mayroon ka nitong pag-set up ng paraang nararapat. Tulad ng sinabi ko, ang pinakamahirap na bahagi tungkol sa alinman sa ito, sa palagay ko, ay hindi pag-set up ng gusto mong pag-audit, alam nito ang nais mong i-set up upang mag-audit.
At tulad ng sinabi ko, ang likas na katangian ng hayop na may pag-awdit, kailangan mong panatilihin ang data sa loob ng pitong taon, kaya makatuwiran lamang na ituon ang mga lugar na sensitibo sa kalikasan. Ngunit kung nais mong puntahan ang pagkolekta ng lahat, maaari mong ganap, hindi lamang ito itinuturing na pinakamahusay na kasanayan. Kaya mula sa paninindigan na iyon nais kong paalalahanan ang mga tao na kung ito ay isang bagay na interesado maaari kang pumunta sa website sa IDERA.com at mag-download ng isang pagsubok dito at maglaro sa iyong sarili. Sa mga tuntunin ng libreng tool na napag-usapan namin nang mas maaga iyon, well, libre ito, maaari mong i-download ito at gamitin ito magpakailanman, anuman ang ginagamit mo na produkto ng Pagsunod sa Pagsunod. At ang cool na bagay tungkol sa tool ng paghahanap ng kolum na iyon ay ang aming mga natuklasan na iyong napulot, at maaari kong ipakita talaga iyon, sa palagay ko, ay magagawa mong i-export ang data na iyon at pagkatapos ay mai-import ito sa Compliance Manager din. Hindi ko ito nakikita, alam kong narito ito, narito. Ito ay isang halimbawa lamang ng iyon. Dito matatagpuan ang paghahanap ng mga kaugnay na data na sensitibo.
Ngayon ang kasong ito ay lumabas na ako at mayroon na talaga ako, nakatingin ako sa lahat, ngunit mayroon ka lamang isang toneladang bagay na maaari nating suriin. Mga numero ng credit card, address, pangalan, lahat ng uri ng mga bagay-bagay. At matutukoy namin kung nasaan ito sa database at mula doon ay maaari kang gumawa ng desisyon kung nais mo ba talagang i-audit ang impormasyong iyon. Ngunit ito ay tiyak na isang paraan upang gawing mas madali para sa iyo upang tukuyin ang iyong saklaw ng pag-awdit kapag naghahanap ka ng isang tool na tulad nito.
Mauuna lang ako at isasara iyon, at itutuloy ko at ibabalik ito kay Eric.
Eric Kavanagh: Iyan ay isang kamangha-manghang pagtatanghal. Gustung-gusto ko ang paraan na talagang nakakuha ka ng mga magagandang detalye doon at ipakita sa amin kung ano ang nangyayari. Sapagkat sa pagtatapos ng araw mayroong ilang system na mai-access ang ilang mga talaan, bibigyan ka nito ng isang ulat, dadalhin ka upang sabihin sa iyong kwento, maging sa isang regulator o isang auditor o isang tao sa iyong koponan, kaya't alam mong handa ka kung at kailan, o kung kailan at kailan, ang taong iyon ay darating ang katok, at siyempre iyon ang hindi kanais-nais na sitwasyon na sinusubukan mong iwasan. Ngunit kung mangyari ito, at marahil ay mangyayari sa mga araw na ito, nais mong siguraduhin na mayroon kang mga tuldok na I at ang iyong T ay natawid.
Mayroong isang magandang katanungan mula sa isang miyembro ng madla na nais kong itapon sa marahil una ka, Bullett, at pagkatapos kung marahil ay nais ng isang nagtatanghal na magkomento tungkol dito, huwag mag-atubiling. At saka baka magtanong si Dez at Robin. Kaya ang tanong ay, makatarungan bang sabihin na gawin ang lahat ng mga bagay na iyong binanggit na kailangan mong magsimula ng isang pagsisikap ng pag-uuri ng data sa isang antas ng elementarya? Kailangan mong malaman ang iyong data kapag lumitaw ito bilang isang mahalagang potensyal na pag-aari at gumawa ng isang bagay tungkol doon. Sa palagay ko sasang-ayon ka, Bullett, di ba?
Bullett Manale: Oo, talagang. Ibig kong sabihin, kailangan mong malaman ang iyong data. At napagtanto ko, kinikilala ko na maraming mga application na nasa labas at mayroong maraming iba't ibang mga bagay na nakuha ang mga gumagalaw na bahagi sa iyong samahan. Ang tool sa paghahanap ng haligi ay lubos na kapaki-pakinabang sa mga tuntunin ng pagpunta sa isang hakbang sa direksyon ng pag-unawa ng mas mahusay na data. Ngunit oo, napakahalaga. Ibig kong sabihin, mayroon kang pagpipilian ng pagpunta sa firehose na diskarte at pag-awdit ng lahat, ngunit mas maraming mapaghamong paraan na logistically kapag pinag-uusapan mo na mag-imbak ng data na iyon at mag-ulat laban sa data na iyon. At pagkatapos ay kailangan mo pa ring malaman kung saan ang piraso ng data na iyon dahil kapag pinatakbo mo ang iyong mga ulat ay kakailanganin mo ring ipakita sa iyong mga tagasuri na ang impormasyong iyon. Kaya sa palagay ko, tulad ng sinabi ko, ang pinakamalaking hamon kapag nakikipag-usap ako sa mga tagapangasiwa ng database ay alam, oo.
Eric Kavanagh: Oo, ngunit marahil ay dalhin ka namin sa totoong mabilis. Mukhang sa akin ang 80/20 na panuntunan na nalalapat dito, di ba? Marahil ay hindi mo mahahanap ang bawat sistema ng talaan na mahalaga kung ikaw ay nasa ilang mid-sized o malaking samahan, ngunit kung nakatuon ka sa - tulad ng iminumungkahi ni Bullett dito - PeopleSoft halimbawa, o iba pang mga sistema ng talaan na nangingibabaw sa negosyo, na kung saan nakatuon ka ng 80 porsyento ng iyong pagsisikap at pagkatapos 20 porsyento ay nasa iba pang mga sistema na maaaring lumabas doon sa isang lugar, di ba?
Robin Bloor: Well sigurado ako, oo. Ibig kong sabihin, alam mo, sa palagay ko ang problema sa teknolohiyang ito, at sa palagay ko marahil ay nagkakahalaga ng pagkakaroon ng puna tungkol dito, ngunit ang problema sa teknolohiyang ito ay, paano mo ipapatupad ito? Ibig kong sabihin, talagang walang kakulangan ng kaalaman, sabihin natin, sa karamihan ng mga samahan na kahit na ang bilang ng mga database na nasa labas. Alam mo, mayroong isang kakila-kilabot na kakulangan ng imbentaryo, sabihin natin. Alam mo, ang tanong ay, isipin natin na nagsisimula kami sa isang sitwasyon kung saan walang partikular na mahusay na pinamamahalaang pagsunod, paano mo dadalhin ang teknolohiyang ito at iniksyon ito sa kapaligiran, hindi lamang sa, alam mo, teknolohiya mga termino, pag-set up ng mga bagay-bagay, ngunit tulad ng kung sino ang namamahala nito, na nagpapasya kung ano? Paano mo simulan ang pag-shoehorn na ito sa isang tunay, paggawa-ng-trabaho na uri ng bagay?
Bullett Manale: Well I mean, magandang tanong yan . Ang hamon sa maraming mga kaso ay, ibig kong sabihin, kailangan mong magsimulang magsimulang magtanong nang tama sa simula. Nagtatakbo ako sa maraming mga kumpanya kung saan sila, alam mo, marahil sila ay isang pribadong kumpanya at nakuha nila, mayroong isang paunang, uri ng, una, uri ng, pagbagsak sa kalsada, kung nais mong tawagan iyon. Halimbawa, kung ngayon lang ako naging isang kumpanya na ipinagpalit sa publiko dahil sa pagkuha ay kailangan kong bumalik at baka malaman ang ilang mga bagay.
At sa ilang mga kaso nakikipag-usap kami sa mga samahan na, alam mo, kahit na pribado sila ay sinusunod nila ang mga patakaran sa pagsunod sa SOX, dahil lamang sa kaganapan na nais nilang makuha na alam nila na kailangan nilang sumunod. Talagang hindi mo nais na gawin ang paraan ng, "Hindi ko kailangang mag-alala tungkol sa ngayon." Anumang uri ng pagsunod sa regulasyon tulad ng PCI o SOX o anuman, nais mong gawin ang pamumuhunan sa paggawa ng pananaliksik o pag-unawa kung saan ang sensitibong impormasyon na iyon, kung hindi, maaari mong makita ang iyong sarili na nakikitungo sa ilang mga makabuluhang, mabigat na multa. At mas mahusay na lamang upang mamuhunan sa oras na iyon, alam mo, sa paghahanap ng data na iyon at mag-ulat laban dito at ipakita ang mga kontrol ay gumagana.
Oo, sa mga tuntunin ng pag-set up nito, tulad ng sinabi ko, ang unang bagay na inirerekumenda ko sa mga tao na naghahanda na humarap sa isang pag-audit, ay lalabas lamang at gumawa ng isang pagsusuri sa cursory ng database, at pag-uunawa, ikaw alamin, sa kanilang pinakamahusay na pagsisikap, sinusubukan mong malaman kung nasaan ang sensitibong data na iyon. At ang iba pang diskarte ay magsisimula sa marahil isang mas malaking lambat sa mga tuntunin ng kung ano ang saklaw ng pag-awdit, at pagkatapos ay dahan-dahang pigilan ang iyong paraan sa sandaling ikaw, uri ng, alamin kung saan ang mga lugar sa loob ng system ay nauugnay sa sensitibong impormasyon. Ngunit nais kong sabihin sa iyo na mayroong madaling sagot sa tanong na iyon. Ito ay marahil ay magkakaiba-iba ng kaunti mula sa isang samahan patungo sa iba at ang uri ng pagsunod at talagang kung paano, alam mo, kung magkano ang istraktura na mayroon sila sa loob ng kanilang mga aplikasyon at kung ilan ang mayroon, magkakaibang mga aplikasyon na mayroon sila, ang ilan ay maaaring maging pasadyang nakasulat na aplikasyon, kaya talagang umaasa sa sitwasyon sa maraming mga kaso.
Eric Kavanagh: Sige na, Dez, sigurado akong may katanungan ka o dalawa.
Dez Blanchfield: Masigasig akong makakuha ng ilang pananaw sa iyong mga obserbasyon sa paligid ng epekto sa mga samahan mula sa isang pananaw ng isang tao, talaga. Sa palagay ko ang isa sa mga lugar kung saan nakikita ko ang pinakamalaking halaga para sa partikular na solusyon na ito ay kapag ang mga tao ay nagising sa umaga at magtatrabaho sa iba't ibang antas ng samahan, nagising sila ng isang serye ng, o isang kadena ng, responsibilidad na dapat nilang harapin. At gusto kong makakuha ng ilang pananaw sa kung ano ang nakikita mo doon at walang mga uri ng mga tool na pinag-uusapan mo. At ang konteksto na pinag-uusapan ko dito ay mula sa tagapangulo ng board level hanggang sa CEO at CIO at ang C-suite. At ngayon mayroon kaming mga punong opisyal ng peligro ng panganib, na higit na nag-iisip tungkol sa mga uri ng mga bagay na pinag-uusapan natin dito sa pagsunod at pamamahala, at pagkatapos ay nakakuha na kami ng mga bagong pinuno ng papel ng paglalaro, punong opisyal ng data, kung sino, alam mo, kahit na mas nababahala tungkol dito.
At sa gilid ng bawat isa sa kanila, sa paligid ng CIO, mayroon kaming mga tagapamahala ng IT sa isang tabi kasama, ayon sa alam mo, mga nangungunang teknikal at pagkatapos ay ang mga nangunguna sa database. At sa puwang ng pagpapatakbo nakuha namin ang mga tagapamahala ng pag-unlad at mga nangunguna sa pag-unlad at pagkatapos ay ang mga indibidwal na pag-unlad, at sila din ay nakabalik sa layer ng pangangasiwa ng database Ano ang nakikita mo sa paligid ng reaksyon ng bawat isa sa iba't ibang bahagi ng negosyo sa hamon ng pagsunod at pag-uulat ng regulasyon at ang kanilang diskarte sa ito? Nakikita mo ba na ang mga tao ay darating sa ito nang may masigasig at makikita ang pakinabang sa ito, o nakikita mo na sila ay atubili na kinaladkad ang kanilang mga paa sa bagay na ito at makatarungan, alam mo, ginagawa ito para sa isang tik sa kahon? At ano ang mga uri ng mga tugon na nakikita mo sa sandaling makita nila ang iyong software?
Bullett Manale: Oo, magandang tanong yan . Sasabihin ko na ang produktong ito, ang mga benta ng produktong ito, ay kadalasang hinihimok ng isang tao na nasa mainit na upuan, kung may katuturan. Sa karamihan ng mga kaso na ang DBA, at mula sa aming pananaw, sa madaling salita, alam nila na mayroong isang audit na darating at sila ay magiging responsable, dahil sila ang mga DBA, upang maibigay ang impormasyon na pupunta sa auditor. magtanong. Magagawa nila iyon sa pamamagitan ng pagsulat ng kanilang sariling mga ulat at paglikha ng kanilang sariling mga pasadyang bakas at lahat ng mga uri ng mga bagay. Ang katotohanan ay, ay hindi nila nais na gawin iyon. Sa karamihan ng mga kaso ay hindi inaasahan ng mga DBA ang pagkakaroon ng mga pakikipag-usap sa auditor upang magsimula. Alam mo, mas gugustuhin kong sabihin sa iyo na maaari kaming tumawag sa isang kumpanya at sabihin, "Uy ito ay isang mahusay na tool at gustung-gusto mo ito, " at ipakita sa kanila ang lahat ng mga tampok at bibilhin nila ito.
Ang katotohanan ay ang mga ito ay karaniwang hindi na tumitingin sa tool na ito maliban kung talagang aktuwal silang makakaharap sa isang pag-audit o ang iba pang bahagi ng barya na mayroon silang isang pag-audit at nabigo ito nang walang kahirap-hirap at ngayon sila ay sinabihan na humingi ng tulong o sila ay parurusahan. Gusto kong sabihin na sa mga tuntunin ng, alam mo, pangkalahatang pangkalahatan, kapag ipinakita mo ang produktong ito sa mga tao ay tiyak na nakikita nila ang halaga nito dahil nakakatipid ito sa kanila ng isang tonelada ng oras sa mga tuntunin ng pagkakaroon upang malaman kung ano ang nais nilang iulat, mga uri ng mga bagay. Ang lahat ng mga ulat na iyon ay naitayo na, ang mga nakakaalam na mekanismo ay nasa lugar, at pagkatapos ay sa pangatlong tanong din, sa maraming kaso, ay maaaring maging isang hamon. Dahil maaari kong ipakita sa iyo ang mga ulat sa buong araw ngunit maliban kung maaari mong patunayan sa akin ang mga ulat na iyon ay tunay na may bisa noon, alam mo, ito ay isang mas mahirap na panukala para sa akin bilang isang DBA upang maipakita iyon. Ngunit nagtrabaho namin ang teknolohiya at ang diskarte sa hashing at lahat ng mga uri ng mga bagay na makakatulong upang matiyak na ang data sa integridad nito ng mga daanan ng pag-audit ay pinananatili.
At ganyan ang mga bagay na, iyon ang aking mga obserbasyon sa mga tuntunin ng karamihan sa mga taong kausap natin. Alam mo, tiyak, sa iba't ibang mga samahan, alam mo, maririnig mo, alam mo tulad ng, Target, halimbawa, ay nagkaroon ng paglabag sa data at, alam mo, ang ibig kong sabihin, kapag ang ibang mga organisasyon ay nakarinig tungkol sa mga multa at mga uri ng mga bagay na nagsisimula ang mga tao, tumataas ang isang kilay, kaya, sana ay sumasagot sa tanong.
Dez Blanchfield: Oo, sigurado. Maaari kong isipin ang ilang mga DBA kapag sa wakas nakita nila kung ano ang maaaring gawin sa tool ay napagtanto lamang na nakuha na rin nila ang kanilang mga huling gabi at katapusan ng linggo. Pagbabawas ng oras at gastos at iba pang mga bagay na nakikita ko kapag ang naaangkop na mga tool ay inilalapat sa buong problemang ito, at iyon ay, tatlong linggo nakaupo ako kasama ang isang bangko dito sa Australia. Sila ay isang pandaigdigang bangko, isang nangungunang tatlong bangko, napakalaking sila. At mayroon silang isang proyekto kung saan kailangan nilang mag-ulat tungkol sa kanilang pagsunod sa pamamahala ng yaman at lalo na ang panganib, at tinitingnan nila ang halaga ng trabaho sa 60 linggo para sa isang daang daang tao. At kapag ipinakita sila ang mga kagustuhan ng isang tool tulad ng iyong sarili na maaaring awtomatiko ang proseso, ang pang-unawa, ang hitsura sa kanilang mga mukha kapag natanto nila na hindi nila kailangang gumastos ng X bilang ng mga linggo sa daan-daang mga tao na gumagawa ng isang manu-manong proseso ay uri ng tulad nila nahanap ang Diyos. Ngunit ang mapaghamong bagay noon ay kung paano talaga mailalagay ito sa plano, tulad ng ipinahiwatig ni Dr. Robin Bloor, alam mo, ito ay isang bagay na nagiging isang halo ng pag-uugali, shift sa kultura. Sa mga antas na kinakaharap mo, na nakikipag-usap nang direkta sa antas ng aplikasyon, anong uri ng pagbabago ang nakikita mo kapag sinimulan nilang mag-ampon ng isang tool upang gawin ang uri ng pag-uulat at pag-awdit at mga kontrol na maaari mong ihandog, bilang tutol sa kung ano ang maaaring gawin nila nang manu-mano? Ano ang hitsura nito kapag aktwal na inilagay nila?
Bullett Manale: Nagtatanong ka ba, ano ang pagkakaiba sa mga tuntunin ng paghawak ng mano-mano ito kumpara sa paggamit ng tool na ito? Iyon ba ang tanong?
Dez Blanchfield: Well, partikular na ang epekto ng negosyo. Kaya halimbawa, kung sinusubukan naming maghatid ng pagsunod sa isang manu-manong proseso, alam mo, palagi kaming nagtatagal ng maraming tao na may maraming mga tao. Ngunit sa palagay ko, upang ilagay ang ilang konteksto sa paligid ng tanong, tulad ng alam mo, pinag-uusapan ba natin ang isang solong tao na nagpapatakbo ng tool na ito na pinapalitan ang potensyal na 50 katao, at nagagawa ang parehong bagay sa totoong oras o sa mga oras kumpara sa mga buwan? Iyan ba ang uri ng, ano ang karaniwang nangyayari?
Bullett Manale: Well ibig sabihin ko, bumaba ito sa isang pares ng mga bagay. Ang isa ay may kakayahang sagutin ang mga tanong na iyon. Ang ilan sa mga bagay na iyon ay hindi madaling gawin. Kaya oo, ang oras na kinakailangan upang gawin ang mga bagay na homegrown, upang isulat ang mga ulat sa iyong sarili, upang mai-set up ang mga bakas o ang pinalawig na mga kaganapan upang makolekta nang manu-mano ang data, maaaring tumagal ng maraming oras. Talagang bibigyan kita ng ilan, ang ibig kong sabihin, hindi ito nauugnay sa mga database sa pangkalahatan ngunit tulad ng nangyari pagkatapos nangyari ang Enron at ang SOX ay naging laganap, ako ay nasa isa sa mga mas malaking kumpanya ng langis sa Houston, at binibilang namin para sa, Sa palagay ko ito ay tulad ng 25 porsyento ng aming mga gastos sa negosyo ay nauugnay sa pagsunod sa SOX.
Ngayon ay pagkatapos na at iyon ay uri ng unang unang hakbang sa SOX ngunit ang bagay na may, sasabihin ko, alam mo, nakakakuha ka ng maraming benepisyo sa pamamagitan ng paggamit ng tool na ito sa kahulugan na hindi ito nangangailangan ng maraming ng mga tao na gawin ito at maraming iba't ibang uri ng mga tao upang gawin ito. At tulad ng sinabi ko, hindi karaniwang ang DBA ang taong inaasahan ang pagkakaroon ng mga pag-uusap na iyon sa mga auditor. Kaya sa maraming mga kaso makikita natin na maaaring ma-offload ito ng DBA at maibigay ang ulat na maiugnay sa auditor at maaari nilang alisin ang kanilang mga sarili sa labas ng equation sa halip na kinakailangang makisali. Kaya, alam mo, iyon ay isang matitipid na matitipid pati na rin sa mga tuntunin ng mapagkukunan kapag magagawa mo iyon.
Dez Blanchfield: Pinag -uusapan mo ang napakalaking pagbawas ng gastos, di ba? Hindi lamang tinatanggal ng mga samahan ang panganib at ang overhead nito, ngunit ang ibig kong sabihin ay mahalagang pinag-uusapan mo ang isang makabuluhang pagbawas sa gastos, A) na nagpapatakbo at din B) sa katunayan na, alam mo, kung maaari talaga silang magbigay ng tunay na pag-uulat ng pagsunod sa oras na may makabuluhang nabawasan ang panganib ng isang paglabag sa data o ilang ligal na multa o epekto para sa hindi pagsunod, di ba?
Bullett Manale: Oo, talagang. Ibig kong sabihin, para sa hindi pagsunod, mayroong lahat ng uri ng masasamang bagay na nangyayari. Maaari nilang gamitin ang tool na ito at magiging mahusay o hindi nila at malalaman nila kung gaano ito kalala. Kaya oo, hindi lamang ito ang tool na malinaw naman, magagawa mo ang iyong mga tseke at lahat nang walang tool na tulad nito. Tulad ng sinabi ko, mas maraming oras at gastos lamang.
Dez Blanchfield: Magaling iyon . Kaya Eric, babalik ako sa iyo dahil sa palagay ko ang takeaway para sa akin ay iyon, alam mo, ang uri ng merkado ay kamangha-manghang. Ngunit din, mahalagang, ang halaga ng bigat ng bagay sa ginto sa batayan na maiiwasan ang komersyal na epekto ng isang isyu na naganap o magagawang bawasan ang oras na kinakailangan upang mag-ulat at pamahalaan ang pagsunod ay ginagawang, alam mo, ang nagbabayad ang tool para sa sarili mismo ng mga tunog ng mga bagay.
Eric Kavanagh: Tama iyan. Well, maraming salamat sa iyong oras ngayon, Bullett. Salamat sa inyong lahat doon para sa iyong oras at atensyon, at sina Robin at Dez. Isa pang mahusay na pagtatanghal ngayon. Salamat sa aming mga kaibigan sa IDERA para sa pagpapaalam sa amin na dalhin sa iyo ang nilalamang ito nang walang bayad. I-archive namin ang webcast na ito para sa pagtingin sa paglaon. Ang archive ay karaniwang nasa loob ng halos isang araw. At ipaalam sa amin kung ano ang iniisip mo tungkol sa aming bagong website, insideanalysis.com. Isang buong bagong disenyo, isang buong bagong hitsura at pakiramdam. Gustung-gusto naming marinig ang iyong puna at sa na ako ay mag-bid sa iyo ng paalam, mga tao. Maaari mong i-email sa akin. Kung hindi, maaabutan ka namin sa susunod na linggo. Mayroon kaming pitong mga webcoll sa susunod na limang linggo o tulad nito. Kami ay magiging abala. At pupunta kami sa Strata Conference at ang IBM Analyst Summit sa New York mamaya sa buwang ito. Kaya't kung nasa paligid ka, huminto ka at mag-hello. Mag-ingat, mga tao. Paalam.
