Przez Techopedia Staff, 14 września 2016 r
Na wynos: gospodarz Eric Kavanagh omawia audyt bazy danych i zgodność z analitykami Robin Bloor i Dez Blanchfield, a także Bullett Manale z IDERA w tym odcinku Hot Technologies.
Obecnie nie jesteś zalogowany. Zaloguj się lub zarejestruj, aby zobaczyć wideo.
Eric Kavanagh: Panie i panowie, cześć i witamy ponownie w Hot Technologies! Tak, rzeczywiście, w 2016 roku. Jesteśmy na trzecim roku tego programu, to bardzo ekscytujące rzeczy. W tym roku graliśmy na biegunach. To jest Eric Kavanagh, twój gospodarz. Temat na dziś - to świetny temat, ma wiele zastosowań w wielu branżach, całkiem szczerze - „Kto, co, gdzie i jak: dlaczego chcesz wiedzieć”. Tak, rzeczywiście, będziemy rozmawiać o tych wszystkich fajnych rzeczach. Jest naprawdę slajd o twoim, traf mnie na Twitterze @eric_kavanagh. Próbuję ponownie tweetować wszystkie wzmianki i ponownie tweetować wszystko, co ktoś mi wysyła. W przeciwnym razie niech tak będzie.
Rzeczywiście jest gorąco! Cały program tutaj ma na celu pomóc organizacjom i osobom zrozumieć określone rodzaje technologii. Zaprojektowaliśmy tutaj cały program, Hot Technologies, jako sposób na zdefiniowanie określonego rodzaju oprogramowania, określonego trendu lub określonego rodzaju technologii. Powodem jest to, że szczerze mówiąc, w świecie oprogramowania często pojawiają się takie hasła marketingowe, które się bandażują, a czasem mogą szczerze zaryzykować pojęcia, które zamierzali opisać.
W tym programie naprawdę staramy się pomóc ci zrozumieć, czym jest konkretny rodzaj technologii, jak ona działa, kiedy możesz z niej korzystać, kiedy być może nie powinieneś go używać, i dać ci tyle szczegółów, ile tylko możemy. Dzisiaj będziemy mieli trzech prezenterów: naszego własnego Robina Bloora, głównego analityka w Bloor Group; nasz naukowiec danych dzwoni z Sydney w Australii po drugiej stronie planety, Dez Blanchfield, i jeden z naszych ulubionych gości Bullett Manale, dyrektor ds. inżynierii sprzedaży w firmie IDERA.
Powiem tu tylko kilka rzeczy: zrozumienie, kto robi co z jakim fragmentem danych, no cóż, to coś w rodzaju zarządzania, prawda? Jeśli pomyślisz o wszystkich przepisach dotyczących branż, takich jak opieka zdrowotna i usługi finansowe, w tych domenach, te rzeczy są niezwykle ważne. Musisz wiedzieć, kto dotknął informacji, kto coś zmienił, kto uzyskał do niej dostęp, kto je przesłał. Jaki jest rodowód, jaka jest opatrzność tych danych? Możesz mieć pewność, że wszystkie te kwestie będą nadal widoczne w nadchodzących latach z różnych powodów. Nie tylko ze względu na zgodność, choć HIPAA, Sarbanes-Oxley i Dodd-Frank, i wszystkie te przepisy są bardzo znaczące, ale także po prostu rozumiesz w swojej firmie, kto robi co, gdzie, kiedy, dlaczego i jak. To dobre rzeczy, będziemy zwracać uwagę.
Śmiało, zabierz to, Robin Bloor.
Robin Bloor: Dobra, dziękuję za to wprowadzenie, Eric. Myślę, że ten obszar zarządzania oznacza, że zarządzanie IT nie było słowem, które słyszeliście dopiero po 2000 roku. Powstało przede wszystkim dlatego, że tak myślę, przede wszystkim dlatego, że obowiązywały przepisy dotyczące zgodności. Szczególnie HIPAA i Sarbanes-Oxley. Jest tego naprawdę dużo. Dlatego organizacje zdały sobie sprawę, że muszą mieć zestaw zasad i zestaw procedur, ponieważ jest to wymagane przez prawo. Na długo przed tym, szczególnie w sektorze bankowym, były różne inicjatywy, których trzeba było przestrzegać, w zależności od rodzaju banku, a zwłaszcza międzynarodowych bankierów. Cała zgodność z Bazyleą rozpoczęła się na długo przed tym szczególnym zestawem inicjatyw po 2000 roku. Wszystko naprawdę sprowadza się do zarządzania. Pomyślałem, że porozmawiam na temat zarządzania jako wprowadzenie do skupienia się na tym, kto otrzymuje dane.
Zarządzanie danymi, kiedyś się rozglądałem, myślę o tym pięć lub sześć lat temu, rozglądałem się za definicjami i wcale nie było to dobrze zdefiniowane. Staje się coraz wyraźniejsze, co to właściwie oznacza. W rzeczywistości sytuacja polegała na tym, że w pewnych granicach wszystkie dane były wcześniej regulowane, ale nie istniały dla nich żadne formalne reguły. Istnieją specjalne zasady, które zostały wprowadzone w szczególności w branży bankowej, aby robić takie rzeczy, ale znowu chodziło o zgodność. W ten czy inny sposób udowodnienie, że faktycznie byłeś - wiąże się to z ryzykiem, więc okazało się, że byłeś prawdziwym bankiem.
Jeśli spojrzysz teraz na wyzwanie związane z zarządzaniem, zaczyna się ono od ruchu dużych zbiorów danych. Mamy coraz więcej źródeł danych. Problemem jest oczywiście ilość danych. W szczególności zaczęliśmy robić dużo, dużo, więcej z nieustrukturyzowanymi danymi. Stało się czymś, co jest częścią całej gry analitycznej. A ze względu na analizy ważne są pochodzenie danych i pochodzenie. Naprawdę, z punktu widzenia korzystania z analizy danych w jakikolwiek sposób związany z jakimkolwiek rodzajem zgodności, naprawdę musisz mieć wiedzę o tym, skąd dane pochodzą i jak to powinno być.
Szyfrowanie danych stało się problemem, stało się większym problemem, gdy tylko poszliśmy do Hadoop, ponieważ pomysł jeziora danych, w którym przechowujemy dużo danych, nagle oznacza, że masz ogromny obszar wrażliwości osób, które mogą uzyskać na to. Szyfrowanie danych stało się znacznie bardziej widoczne. Uwierzytelnianie zawsze stanowiło problem. W starszym środowisku, w ścisłym środowisku mainframe, mieli tak wspaniałą ochronę bezpieczeństwa na obwodzie; uwierzytelnianie nigdy nie było tak naprawdę problemem. Później stało się to większym problemem i jest teraz o wiele większym problemem, ponieważ mamy tak bardzo rozproszone środowiska. Monitorowanie dostępu do danych, które stało się problemem. Wydaje mi się, że pamiętam różne narzędzia, które powstały około dziesięć lat temu. Myślę, że większość z nich była napędzana inicjatywami zgodności. Dlatego mamy również wszystkie zasady zgodności, raportowanie zgodności.
Przychodzi mi na myśl, że nawet w latach 90., kiedy przeprowadzałeś badania kliniczne w branży farmaceutycznej, nie tylko musiałeś być w stanie udowodnić, skąd pochodzą dane - oczywiście jest to bardzo ważne, jeśli próbujesz narkotyków w różnych kontekstach, aby wiedzieć, kto jest sądzony i jakie dane kontekstowe wokół niego - musiałeś być w stanie zapewnić audyt oprogramowania, które faktycznie utworzyło dane. Jest to najostrzejszy element zgodności, jaki kiedykolwiek widziałem, pod względem udowodnienia, że nie psujesz rzeczy celowo lub przypadkowo. W ostatnim czasie problemem stało się zwłaszcza zarządzanie cyklem życia danych. Wszystkie są w pewnym sensie wyzwaniami, ponieważ wiele z nich nie zostało dobrze wykonanych. W wielu okolicznościach konieczne jest ich wykonanie.
To właśnie nazywam piramidą danych. W pewnym sensie już o tym rozmawiałem. Uważam to za bardzo interesujący sposób patrzenia na rzeczy. Możesz myśleć o danych jako o warstwach. Surowe dane, jeśli chcesz, to tak naprawdę tylko sygnały lub pomiary, nagrania, zdarzenia, głównie pojedyncze rekordy. Możliwe, że transakcje, obliczenia i agregacje oczywiście tworzą nowe dane. Można o nich myśleć na poziomie danych. Ponadto, gdy faktycznie połączysz dane, stają się one informacją. Staje się bardziej użyteczny, ale oczywiście staje się bardziej podatny na ataki hakerów lub nadużycia. Definiuję to jako tworzenie, tak naprawdę, poprzez strukturę danych, możliwość wizualizacji danych za pomocą glosariuszy, schematów, ontologii informacji. Te dwie niższe warstwy przetwarzamy w taki czy inny sposób. Powyżej to nazywam warstwą wiedzy składającą się z zasad, zasad, wytycznych, procedur. Niektóre z nich mogą faktycznie zostać utworzone na podstawie analiz odkrytych w analityce. Wiele z nich to zasady, których musisz przestrzegać. To jest warstwa, jeśli chcesz, zarządzania. W ten czy inny sposób, jeśli ta warstwa nie jest odpowiednio wypełniona, wówczas dwie warstwy poniżej nie są zarządzane. Ostatnim punktem na ten temat jest zrozumienie czegoś, co znajduje się tylko w ludziach. Na szczęście komputery jeszcze tego nie zrobiły. W przeciwnym razie nie miałbym pracy.
Imperium rządzące - złożyłem to w całość, myślę, że musiało to być jakieś dziewięć miesięcy temu, być może znacznie wcześniej. Zasadniczo ulepszyłem go, ale gdy tylko zaczęliśmy martwić się o zarządzanie, wtedy, w odniesieniu do korporacyjnego centrum danych, istniał nie tylko zbiornik danych, zasoby jezior danych, ale także ogólne serwery różnego rodzaju, specjalistyczne serwery danych. Wszystko to wymagało zarządzania. Gdy spojrzysz również na inny wymiar - bezpieczeństwo danych, czyszczenie danych, wykrywanie metadanych i zarządzanie metadanymi, tworzenie słownika biznesowego, mapowanie danych, linia danych, zarządzanie cyklem życia danych - a następnie zarządzanie monitorowaniem wydajności, zarządzanie na poziomie usługi, zarządzanie systemem, które może nie kojarzy się z zarządzaniem, ale pewne - teraz, gdy przechodzimy do coraz szybszego świata z coraz większą ilością przepływów danych, faktyczna możliwość zrobienia czegoś z określoną wydajnością jest w rzeczywistości koniecznością i zaczyna być regułą działania, a nie czymkolwiek innym.
Podsumowując, biorąc pod uwagę wzrost zgodności, obserwowałem, jak to się dzieje przez wiele, wiele lat, ale ogólna ochrona danych faktycznie pojawiła się w latach 90. w Europie. Od tego czasu stało się jeszcze bardziej i bardziej wyrafinowane. Następnie wszystkie te rzeczy zaczęły być wprowadzane lub były coraz bardziej wyrafinowane. GRC, czyli ryzyko związane z zarządzaniem i przestrzeganie przepisów, trwa od czasu, gdy banki zrobiły Bazyleę. ISO tworzy standardy różnego rodzaju operacji. Wiem przez cały czas, że jestem w branży IT - minęło dużo czasu - rząd Stanów Zjednoczonych był szczególnie aktywny w tworzeniu różnych przepisów: SOX, jest Gramm-Leach-Bliley, HIPAA, FISMA, FERPA. Masz także wspaniałą organizację NIST, która tworzy wiele standardów, szczególnie standardów bezpieczeństwa, bardzo przydatnych. Przepisy dotyczące ochrony danych w Europie różnią się lokalnie. Na przykład dane osobowe w Niemczech różnią się od tego, co można zrobić w Republice Słowackiej, Słowenii lub gdziekolwiek indziej. Wprowadzili niedawno - a myślałem, że wspomnę o tym, ponieważ uważam to za zabawne - Europa wprowadza ideę prawa do bycia zapomnianym. Oznacza to, że powinien istnieć przedawnienie danych publicznych, które w rzeczywistości są danymi osobowymi. Myślę, że to zabawne. Z punktu widzenia IT będzie to bardzo, bardzo trudne, jeśli zacznie stać się skutecznym prawodawstwem. Podsumowując, powiedziałbym, co następuje: Ponieważ dane informatyczne i zarządzanie szybko ewoluują, zarządzanie musi również ewoluować szybko i dotyczy wszystkich obszarów zarządzania.
Powiedziawszy, że podam piłkę Dezowi.
Eric Kavanagh: Tak, rzeczywiście, więc Dez Blanchfield, zabierz to. Robin, jestem z tobą, człowieku, umieram, aby zobaczyć, jak gra się to prawo do bycia zapomnianym. Myślę, że nie będzie to po prostu wyzwanie, ale w zasadzie niemożliwe. To tylko naruszenie oczekiwania na wykonanie przez agencje rządowe. Dez, zabierz to.
Dez Blanchfield: To prawda i to temat na kolejną dyskusję. Mamy bardzo podobne wyzwanie tutaj, w regionie Azji i Pacyfiku, a szczególnie w Australii, gdzie operatorzy i dostawcy usług internetowych są zobowiązani do rejestrowania wszystkiego, co związane z Internetem, oraz możliwości rejestrowania i regurgitacji na wypadek, gdyby ktoś zainteresowany zrobił coś złego. To jest prawo i musisz go przestrzegać. Wyzwanie, tak jak ktoś w Google w USA może zostać poproszony o usunięcie mojej historii wyszukiwania lub cokolwiek innego, może to być przestrzeganie prawa europejskiego, w szczególności niemieckiego prawa dotyczącego prywatności. W Australii, jeśli agencja chce się z tobą zapoznać, operator musi być w stanie podać szczegółowe informacje o połączeniach i historii wyszukiwania, co jest trudne, ale jest to świat, w którym żyjemy. Jest wiele powodów. Pozwól mi po prostu wskoczyć do mojego.
Celowo sprawiłem, że moja strona tytułowa była trudna do odczytania. Musisz naprawdę mocno przyjrzeć się temu tekstowi. Zgodność, zgodna z zestawem zasad, specyfikacji, kontroli, polityk, standardów lub przepisów, na niemądrym tle. Wynika to z faktu, że naprawdę ciężko jest przyjrzeć się szczegółom i wyciągnąć informacje z tego, co jest nałożone, czyli szeregu tabel, wierszy i kolumn, bazy danych, schematu lub makiety w Visio. Tak właśnie wydaje się codzienna zgodność. Bardzo trudno jest zagłębić się w szczegóły i wyciągnąć odpowiednie fragmenty informacji, których potrzebujesz, aby móc potwierdzić, że jesteś zgodny. Zgłoś to, monitoruj i przetestuj.
W rzeczywistości pomyślałem, że to dobry sposób na zwizualizowanie tego, kiedy zadajemy sobie pytanie: „Czy jesteś zgodny?” "Jesteś pewny?" „Cóż, udowodnij to!” Jest naprawdę fajna rzecz, która może jest trochę bardziej anglo-celtycka, ale jestem pewien, że dotarła na cały świat do USA, więc brzmi: „Where's Wally?” Wally to mała postać, która wciąga się w te rysunki z kreskówek w formie książek. Zwykle bardzo duże zdjęcia formatu A3 lub większego. Tak więc rysunki wielkości tabeli. Jest małą postacią, która nosi czapkę i czerwono-białą koszulę w paski. Idea gry polega na tym, że patrzysz na to zdjęcie i rozglądasz się w kółko, aby znaleźć Wally'ego. Jest gdzieś na tym zdjęciu. Kiedy myślisz o tym, jak odkryć, opisać i zgłosić zgodność, na wiele sposobów przypomina to grę „Where's Wally”. Jeśli spojrzysz na to zdjęcie, znalezienie postaci jest prawie niemożliwe. Dzieci spędzają na tym wiele godzin, a ja wczoraj dobrze się bawiłem. Kiedy patrzymy na to, widzimy całą grupę ludzi w tych kreskówkach, celowo umieszczonych tam z podobnymi częściami stroju Wally w czapka w paski i dżersej lub wełniany top. Ale okazują się fałszywie pozytywne.
Jest to podobne wyzwanie, jakie mamy pod względem zgodności. Kiedy patrzymy na rzeczy, czasem coś, co wydaje nam się, że tak jest, wcale tak nie jest. Ktoś może mieć dostęp do bazy danych i powinien mieć taki dostęp do bazy danych, ale sposób, w jaki z niej korzysta, jest nieco inny niż się spodziewamy. Możemy zdecydować, że na to musimy spojrzeć. Kiedy patrzymy na to, okazuje się, że to bardzo ważny użytkownik. Po prostu robią coś dziwnego. Może to badacz na PC lub kto wie. W innych przypadkach może być odwrotnie. Rzeczywistość, kiedy znów się posuwam, jest Wally. Jeśli naprawdę dobrze wyglądałeś w tej wysokiej rozdzielczości, jest jedna postać, która ma na sobie odpowiedni strój. Wszystkie pozostałe są po prostu podobne i podobne do siebie. Zgodność wydaje się bardzo podobna. Większość ludzi, których znam, pracują w obszarach kontroli i zgodności oraz polityk biznesowych. W całym szeregu obszarów, niezależnie od tego, czy chodzi o technologię, finanse, operacje czy ryzyko. Często bardzo trudno jest zobaczyć Wally'ego na zdjęciu, zobaczysz drzewa lub drewno.
Pytanie, które zadajemy sobie, gdy myślimy o takich kwestiach jak zgodność, brzmi: „Wielka sprawa, co może pójść nie tak, jeśli nie spełnimy tej zasady?”. W kontekście dzisiejszej dyskusji, szczególnie wokół bazy danych i kontroli dostępu do danych, podam kilka bardzo realnych przykładów budzenia na temat tego, co może pójść nie tak w bardzo zwięzłej formie. Jeśli myślimy o naruszeniach danych i wszyscy znamy te naruszenia, słyszymy je w mediach i jakby się zatrzymujemy i śmiejemy, ponieważ ludzie myślą, że to rynki. To rzeczy osobiste. To Ashley Madison i ludzie, którzy szukają randek poza związkami i małżeństwami. To jest fling rachunki. To wszystkie te dziwne rzeczy lub jakiś przypadkowy europejski lub rosyjski dostawca Internetu lub firma hostingowa zostaje zhakowany. Jeśli chodzi o takie rzeczy jak MySpace i te z pierwszej dziesiątki, kiedy patrzysz na te liczby, chcę, abyś zdał sobie sprawę, że: 1, 1 miliarda ludzi szczegółów w tych dziesięciu największych naruszeniach. I tak, pokrywają się, prawdopodobnie są ludzie, którzy mają konto MySpace, konto Dropbox i konto Tumblr, ale zaokrąglimy to do miliarda osób.
Te dziesięć najczęstszych naruszeń w ciągu ostatniej dekady - w większości przypadków nawet dziesięciolecia - stanowią w przybliżeniu jedną siódmą światowej populacji ludzi, ale bardziej realistycznie, około 50 procent ludzi jest związanych z Internet, ponad miliard osób. Dzieje się tak, ponieważ w niektórych przypadkach zgodność nie została spełniona. W większości przypadków były to kontrole dostępu do bazy danych, kontrola dostępu do określonych zestawów danych, systemów i sieci. To przerażająca kontrola rzeczywistości. Jeśli cię to nie przeraża, kiedy spojrzysz na pierwszą dziesiątkę i zobaczysz, że jest to - lub widzisz, że to miliard osób, prawdziwych ludzi takich jak my, właśnie teraz. Jeśli masz konto LinkedIn, jeśli masz konto Dropbox lub konto Tumblr lub jeśli kupiłeś od produktów Adobe lub nawet zarejestrowałeś, pobierz bezpłatną przeglądarkę Adobe. Jest całkiem prawdopodobne, że nie jest możliwe, jest całkowicie prawdopodobne, że Twoje dane, imię, nazwisko, adres e-mail, potencjalnie nawet adres Twojej firmy, adres zamieszkania lub karta kredytowa, są tam rzeczywiście z powodu naruszenia które miały miejsce ze względu na kontrole, które niekoniecznie były dobrze zarządzane w postaci zarządzania danymi, zarządzania danymi.
Rzućmy na to okiem, kiedy patrzymy na to bardzo szczegółowo. Jest jeden ekran, jest ich około 50. Jest jeszcze 15. Jest około 25. Są to naruszenia bezpieczeństwa danych wymienione na stronie o nazwie haveibeenpwned.com. To może się nie udać, jeśli coś prostego, np. Kontrolowanie, kto miał dostęp do danych w bazach danych w różnych polach i wierszach i kolumnach oraz w różnych aplikacjach w Twojej firmie, nie jest odpowiednio zarządzane. Organizacje te są teraz oparte na danych. Większość danych żyje w bazie danych w jakiejś formie. Kiedy myślisz o tym, ta lista naruszeń, które właśnie obejrzeliśmy, i mam nadzieję, że daje ci to trochę zimnego deszczu w pewnym sensie, ponieważ myślałeś „Hmm, to bardzo prawdziwe” i potencjalnie miało na ciebie wpływ. Na przykład w 2012 roku, na przykład z powodu naruszenia LinkedIn, większość specjalistów ma konto LinkedIn i prawdopodobne jest, że Twoje dane zostaną utracone. Są w Internecie od 2012 roku. Powiedziano nam o tym dopiero w 2016 roku. Co się stało z twoimi informacjami przez te cztery lata? Jest to interesujące i możemy o tym porozmawiać osobno.
Zarządzanie bazami danych i systemami - często mówię o pięciu najważniejszych wyzwaniach w zarządzaniu tymi rzeczami. Na samej górze, bardzo wysoko, i oceniam je w kolejności ode mnie, ale także według kolejności oddziaływania, na pierwszym miejscu jest bezpieczeństwo i zgodność. Kontrole i mechanizmy oraz zasady kontrolowania, kto ma jaki dostęp do jakiego systemu, z jakiego powodu i celu. Raportowanie na ten temat i monitorowanie go, przeglądanie systemów, przeglądanie baz danych i sprawdzanie, kto faktycznie może uzyskać dostęp do rekordów, poszczególnych pól i rekordów.
Pomyśl o tym w bardzo prostej formie. Porozmawiajmy o bankowości i zarządzaniu majątkiem jako przykład. Kiedy zakładasz konto bankowe, powiedzmy po prostu zwykłe konto gotówkowe dla karty EFTPOS lub konto gotówkowe lub czekowe. Wypełniasz formularz, a na tym kawałku papieru jest wiele bardzo prywatnych informacji, które wypełniasz lub robisz to online i które trafiają do systemu komputerowego. Teraz, jeśli ktoś w marketingu chce się z Tobą skontaktować i wysłać Ci broszurę, powinien mieć możliwość zobaczenia Twojego imienia i nazwiska oraz Twojego osobistego adresu, na przykład i potencjalnie Twojego numeru telefonu, jeśli chce zadzwonić na zimno i sprzedać ci coś. Prawdopodobnie nie powinni zobaczyć całkowitej kwoty pieniędzy, którą masz w banku z wielu powodów. Jeśli ktoś patrzy na ciebie z punktu widzenia ryzyka lub próbuje pomóc ci w uzyskaniu lepszych stóp procentowych na koncie, ta osoba prawdopodobnie chce sprawdzić, ile pieniędzy masz w banku, aby mógł zaoferować odpowiedni poziom zwrotu z odsetek od twoich pieniędzy. Te dwie osoby mają bardzo różne role i bardzo różne powody tych ról oraz cele tych ról. W rezultacie musisz zobaczyć inne informacje w swoim rekordzie, ale nie wszystkie.
Kontrolują różne raporty zwykłych ekranów lub formularzy, które mają w aplikacjach używanych do zarządzania Twoim kontem. Rozwój tych, utrzymanie tych, administrowanie nimi, raportowanie wokół nich, a także zarządzanie i przestrzeganie zasad takich jak folia bąbelkowa, są bardzo, bardzo dużym wyzwaniem. To tylko wyzwanie numer jeden w zarządzaniu danymi i systemami. Kiedy schodzimy głębiej do tego stosu w zakresie wydajności i monitorowania oraz wykrywania i reagowania na incydenty, zarządzania i administrowania systemem oraz zgodności z nimi wokół, projektowania i rozwoju systemów od zgodności, staje się znacznie trudniejsze.
Zarządzanie całym problemem zmniejszania ryzyka i poprawy bezpieczeństwa. Pięć moich największych wyzwań w tej przestrzeni - i podoba mi się zdjęcie, które towarzyszy biurku celnemu podczas wjazdu do kraju - przedstawiają twój paszport, sprawdzają cię i patrzą na swój system komputerowy, aby sprawdzić, czy powinieneś zdać czy nie. Jeśli nie, wsadzą cię do następnego samolotu z powrotem do domu. W przeciwnym razie wpuszczają cię z powrotem i zadają ci pytania: „Przyjeżdżasz na wakacje? Jesteś tu turystą? Jesteś tu do pracy? Jaki rodzaj pracy zamierzasz zobaczyć? Gdzie zamierzasz się zatrzymać? „Na jak długo przyjedziesz? Czy masz wystarczająco dużo pieniędzy na pokrycie swoich wydatków i kosztów? A może staniesz się zagrożeniem dla kraju, w którym przebywasz, a oni będą musieli zaopiekować się tobą i wyżywić?”
Istnieją pewne problemy dotyczące tej przestrzeni danych, zarządzania ochroną danych. Na przykład w przestrzeni bazy danych musimy pomyśleć o ograniczeniu obejść bazy danych. Jeśli dane znajdują się w bazie danych, w normalnym środowisku, a system zawiera mechanizmy kontrolne i mechanizmy. Co się stanie, jeśli zrzut danych zostanie utworzony w większej ilości kodu SQL i zostanie utworzony kopię zapasową na taśmie? Bazy danych są zrzucane w surowej formie i czasami są tworzone kopie zapasowe. Czasami odbywa się to z przyczyn technicznych lub rozwojowych. Powiedzmy, że wykonano zrzut DB i jest on archiwizowany na taśmie. Co się stanie, jeśli zdołam zdobyć taśmę i ją przywrócić? Mam surową kopię bazy danych w języku SQL. To plik MP, to tekst, mogę go przeczytać. Wszystkie hasła przechowywane na tym zrzutu nie mają nade mną kontroli, ponieważ teraz uzyskuję dostęp do rzeczywistej zawartości bazy danych bez ochrony silnika bazy danych. Mogę więc technicznie ominąć bezpieczeństwo platformy bazy danych wbudowanej w silnik z zachowaniem zgodności i zarządzania ryzykiem, aby nie patrzeć na dane. Ponieważ potencjalnie programista, administrator systemu, mam pełny zrzut bazy danych, który powinien zostać użyty do tworzenia kopii zapasowych.
Niewłaściwe wykorzystanie danych - potencjalnie skłonienie kogoś do zalogowania się na swoje podwyższone konto i pozwolenie mi usiąść przy ekranie, szukając informacji lub podobnych rzeczy. Audyt zastrzeżony, dostęp do danych i ich wykorzystanie oraz przeglądanie danych lub zmian w danych. Następnie raportowanie wokół tej kontroli i wymagana zgodność. Monitorowanie ruchu i dostępu itp., Blokowanie zagrożeń pochodzących z zewnętrznych lokalizacji i serwerów. Na przykład, jeśli dane są prezentowane za pomocą formularza na stronie internetowej, czy ich zastrzyki SQL były chronione przez zapory ogniowe i kontrolę koncepcji? Za tym kryje się długa szczegółowa historia. Widać tutaj, że tylko niektóre z tych absolutnie podstawowych rzeczy, o których myślimy, ograniczając ryzyko wokół danych w bazach danych i zarządzając nimi. Niektóre z nich są stosunkowo łatwe do obejścia, jeśli używasz różnych poziomów technologii. Wyzwanie staje się coraz trudniejsze, gdy zdobywasz coraz więcej danych i więcej baz danych. Coraz trudniejsze, gdy ludzie muszą zarządzać systemami i monitorować korzystanie z nich, śledzić istotne szczegóły, które konkretnie dotyczą rzeczy, o których mówił Robin, wokół takich rzeczy, jak osobista zgodność. Osoby mają wokół siebie odpowiednie mechanizmy kontrolne i mechanizmy - jeśli zrobisz coś złego, potencjalnie zostaniesz zwolniony. Jeśli zaloguję się, aby moje konto było widoczne, powinno to być przestępstwo podlegające ochronie przeciwpożarowej. Teraz dałem ci dostęp do danych, których normalnie nie powinieneś widzieć.
Istnieje zgodność osobista, zgodność korporacyjna, firmy mają zasady i reguły oraz kontrole, które na siebie nałożyły, aby firma działała dobrze i zapewniała zwrot z zysków oraz dobry zwrot dla inwestorów i akcjonariuszy. Następnie, jak powiedziano, amerykańskie kontrole i prawa, często istnieją ogólnokrajowe, stanowe lub krajowe, federalne. Potem są globalne. Niektóre z większych incydentów na świecie, w których tacy jak Sarbanes-Oxley, dwie osoby proszone o wymyślenie sposobów ochrony danych i systemów. Istnieje Bazylea w Europie i cała gama kontroli w Australii, szczególnie wokół giełd i platform referencyjnych, a następnie prywatności na poziomie indywidualnym lub firmowym. Kiedy każdy z nich jest ułożony w stos, jak widzieliście w jednym z miejsc, które miał Robin, stają się prawie niemożliwą do zdobycia górą. Koszty stają się wysokie i jesteśmy w punkcie, w którym znane tradycyjne podejście, takie jak ludzkie pomiary kontroli, nie jest już właściwym podejściem, ponieważ skala jest zbyt duża.
Mamy scenariusz, w którym zgodność jest tym, co nazywam teraz zawsze aktualnym problemem. I to jest, że kiedyś mieliśmy potencjalny moment, miesięczny, kwartalny lub roczny, w którym sprawdzalibyśmy nasz stan narodu i pomagali w przestrzeganiu przepisów i kontroli. Upewniając się, że niektóre osoby miały określony dostęp i nie miały określonego dostępu w zależności od uprawnień. Teraz chodzi o szybkość rzeczy, z jaką rzeczy się poruszają, tempo, w jakim rzeczy się zmieniają, skalę, w jakiej działamy. Zgodność jest zawsze aktualną kwestią, a globalny kryzys finansowy był tylko jednym przykładem, w którym odpowiednie kontrole oraz środki bezpieczeństwa i zgodności mogłyby potencjalnie uniknąć scenariusza, w którym mieliśmy niekontrolowany pociąg towarowy o określonych zachowaniach. Po prostu stworzenie sytuacji z całym światem, wiedząc, że zbankrutuje. Aby to zrobić, potrzebujemy odpowiednich narzędzi. Rzucanie ludźmi w pociągu, rzucanie ciałami nie jest już właściwym podejściem, ponieważ skala jest zbyt duża, a rzeczy poruszają się zbyt szybko. Myślę, że dzisiejsza dyskusja dotyczy rodzajów narzędzi, które można do tego zastosować. W szczególności narzędzia, które IDERA może nam dostarczyć, które powinny to zrobić. Mając to na uwadze, przekażę to Bullettowi, aby przejrzał jego materiał i pokazał nam swoje podejście oraz narzędzia, które mają do rozwiązania tego problemu, który dla ciebie przedstawiliśmy.
Po tym, Bullett, dam ci.
Bullett Manale: Brzmi świetnie, dziękuję. Chcę porozmawiać o kilku slajdach, a także chcę pokazać produkt, którego używamy do baz danych SQL Server, aby pomóc w sytuacjach zgodności. Naprawdę wyzwanie w wielu przypadkach - pominę kilka z nich - to tylko nasze portfolio produktów, przejdę przez to dość szybko. Jeśli chodzi o to, gdzie naprawdę ma się znaleźć ten produkt i jak odnosi się do zgodności, zawsze podchodzę do tego jak do pierwszego slajdu, ponieważ jest to rodzaj ogólny: „Hej, jaka jest odpowiedzialność DBA?” Jedną z rzeczy kontroluje i monitoruje dostęp użytkowników, a także jest w stanie generować raporty. Będzie to miało związek z rozmową z audytorem, jak trudny może być ten proces, w zależności od tego, czy zrobisz to sam, czy też skorzystasz z usług strony trzeciej narzędzie do pomocy.
Ogólnie mówiąc, kiedy rozmawiam z administratorami baz danych, wiele razy nigdy nie brali oni udziału w audycie. W pewnym sensie musisz ich edukować tak, aby naprawdę musieli to robić. Związany z tym, jaki rodzaj zgodności musi być spełniony i być w stanie udowodnić, że faktycznie przestrzegasz zasad, które dotyczą tego poziomu zgodności. Wiele osób na początku tego nie rozumie. Myślą: „Och, mogę po prostu kupić narzędzie, które zapewni mi zgodność”. W rzeczywistości tak nie jest. Chciałbym móc powiedzieć, że nasz produkt, magicznie, przez naciśnięcie łatwego przycisku, dał ci możliwość upewnienia się, że jesteś zgodny. Rzeczywistość polega na tym, że musisz skonfigurować swoje środowisko pod względem kontroli, pod względem sposobu, w jaki ludzie uzyskują dostęp do danych, że wszystko musi być opracowane z aplikacją, którą masz. Tam, gdzie wrażliwe dane są przechowywane, jaki to rodzaj wymogów regulacyjnych. Następnie musisz również współpracować z zazwyczaj wewnętrznym urzędnikiem ds. Zgodności, aby mieć pewność, że przestrzegasz wszystkich zasad.
To brzmi naprawdę skomplikowanie. Jeśli spojrzysz na wszystkie wymogi regulacyjne, pomyślałbyś, że tak właśnie będzie, ale w rzeczywistości istnieje tutaj wspólny mianownik. W naszym przypadku z narzędziem, które przedstawię dziś, produktem Compliance Manager, w naszej sytuacji proces polegałby na tym, że przede wszystkim musimy upewnić się, że zbieramy dane ścieżki audytu, powiązane do miejsca, w którym dane znajdują się w bazie danych, która jest wrażliwa. Możesz zebrać wszystko, prawda? Mógłbym wyjść i powiedzieć, że chcę zebrać każdą transakcję, która dzieje się w tej bazie danych. Rzeczywistość jest taka, że prawdopodobnie masz tylko niewielki ułamek lub niewielki procent transakcji, które faktycznie są związane z wrażliwymi danymi. Jeśli jest to zgodne z PCI, będzie to dotyczyło danych karty kredytowej, właścicieli kart kredytowych, ich danych osobowych. Może być mnóstwo innych transakcji związanych z twoją aplikacją, które tak naprawdę nie mają żadnego wpływu na wymagania regulacyjne PCI.
Z tego punktu widzenia pierwszą rzeczą, kiedy rozmawiam z DBA, jest: „Najważniejszym wyzwaniem nie jest próba znalezienia narzędzia do robienia tych rzeczy za Ciebie. Po prostu wie, gdzie są te wrażliwe dane i jak je blokujemy? ”Jeśli tak, jeśli możesz odpowiedzieć na to pytanie, to jesteś w połowie drogi do domu, jeśli chodzi o to, aby pokazać, że jesteś zgodny, zakładając, że przestrzegasz właściwych kontroli. Powiedzmy przez chwilę, że przestrzegasz właściwych kontroli i powiedziałeś audytorom, że tak jest. Kolejną częścią tego procesu jest oczywiście zapewnienie ścieżki audytu, która pokazuje i sprawdza, czy kontrole faktycznie działają. Następnie postępuj zgodnie z tym, aby zapisać te dane. Zwykle w przypadku zgodności z PCI i HIPAA i tego typu rzeczy mówisz o zachowaniu przez siedem lat. Mówisz o wielu transakcjach i dużej ilości danych.
Jeśli przechowujesz, zbierając każdą transakcję, mimo że tylko pięć procent transakcji dotyczy poufnych danych, mówisz o dość dużych kosztach związanych z koniecznością przechowywania tych danych przez siedem lat. Myślę, że to jedno z największych wyzwań polega na tym, aby przekonać ludzi, że to naprawdę niepotrzebny koszt, oczywiście. Jest to również o wiele łatwiejsze, jeśli możemy skupić się na wrażliwych obszarach bazy danych. Oprócz tego będziesz chciał również kontrolować niektóre poufne informacje. Nie tylko pokazanie w kategoriach ścieżki audytu, ale także możliwość powiązania rzeczy z działaniami, które mają miejsce, oraz możliwość otrzymywania powiadomień w czasie rzeczywistym, dzięki czemu można być tego świadomym.
Przykład, którego zawsze używam, i niekoniecznie musi być związany z jakimkolwiek rodzajem wymagań regulacyjnych, ale po prostu będąc w stanie śledzić, na przykład, ktoś miał upuścić tabelę związaną z listą płac. Jeśli tak się stanie, sposób, w jaki się o tym dowiesz, jeśli tego nie śledzisz, to nikt nie zostanie wynagrodzony. To jest za późno. Chcesz wiedzieć, kiedy ten stół zostanie upuszczony, dokładnie wtedy, gdy zostanie upuszczony, aby uniknąć złych rzeczy, które zdarzą się w wyniku niezadowolenia pracownika i usunięcia stołu związanego bezpośrednio z listą płac.
Mając to na uwadze, sztuczka polega na znalezieniu wspólnego mianownika lub użyciu tego wspólnego mianownika do odwzorowania poziomu zgodności. Właśnie to staramy się zrobić z tym narzędziem. Zasadniczo przyjmujemy podejście polegające na tym, że nie pokażemy Ci raportu dotyczącego PCI, specyficznego dla zapasów; wspólnym mianownikiem jest aplikacja korzystająca z programu SQL Server do przechowywania poufnych danych w bazie danych. Kiedy już coś przebrniesz, powiesz: „Tak, to naprawdę najważniejsza rzecz, na której musimy się skupić - gdzie są te wrażliwe dane i jak są one dostępne?” Gdy to zrobisz, oferujemy mnóstwo raportów, które mogą poświadczyć, że dowód jest zgodny z wymogami.
Wracając do pytań zadawanych przez audytora, pierwsze pytanie brzmi: kto ma dostęp do danych i jak je uzyskuje? Czy możesz udowodnić, że właściwi ludzie mają dostęp do danych, a niewłaściwi ludzie nie? Czy możesz również udowodnić, że sama ścieżka audytu jest czymś, co mogę zaufać jako niezmienne źródło informacji? Jeśli daję ci ścieżkę audytu, która została sfabrykowana, to tak naprawdę nie służy mi to jako audytorowi łatanie audytu, jeśli informacje są sfabrykowane. Potrzebujemy tego dowodu, zazwyczaj z punktu widzenia audytu.
Przechodząc przez te pytania, trochę bardziej szczegółowe. Wyzwanie związane z pierwszym pytaniem polega na tym, że musisz wiedzieć, jak powiedziałem, gdzie są wrażliwe dane, aby zgłosić, kto ma do nich dostęp. Zazwyczaj jest to pewien rodzaj odkrycia i naprawdę masz tysiące różnych aplikacji, masz mnóstwo różnych wymagań prawnych. W większości przypadków chcesz współpracować ze swoim specjalistą ds. Zgodności, jeśli go masz, lub przynajmniej osobą, która miałaby dodatkowy wgląd w to, gdzie naprawdę moje wrażliwe dane znajdują się w aplikacji. Mamy narzędzie, które mamy, jest to darmowe narzędzie, nazywa się SQL Column Search. Informujemy naszych potencjalnych klientów i użytkowników, którzy są zainteresowani tym pytaniem, aby mogli je pobrać. Będzie po prostu szukał w bazie danych informacji, które prawdopodobnie będą wrażliwe z natury.
A kiedy to zrobisz, musisz także zrozumieć, w jaki sposób ludzie uzyskują dostęp do tych danych. I to będzie po raz kolejny, które konta są w obrębie których grup Active Directory, którzy użytkownicy bazy danych są zaangażowani, z tym wiąże się przypisanie do roli. Pamiętając oczywiście, że wszystkie te rzeczy, o których mówimy, muszą zostać zatwierdzone przez audytora, więc jeśli powiesz: „W ten sposób blokujemy dane”, audytorzy mogą przyjść wróć i powiedz: „Cóż, robisz to źle”. Powiedzmy jednak, że mówią: „Tak, to wygląda dobrze. Wystarczająco blokujesz dane.
Przechodząc do następnego pytania, które będzie, czy możesz udowodnić, że odpowiednie osoby mają dostęp do tych danych? Innymi słowy, możesz powiedzieć im, że masz kontrolę, to kontrole, których przestrzegasz, ale niestety audytorzy nie są prawdziwymi osobami ufającymi. Chcą tego dowód i chcą widzieć go w ścieżce audytu. I to sięga do tego całego wspólnego mianownika. Niezależnie od tego, czy jest to PCI, SOX, HIPAA, GLBA, Basel II, cokolwiek, w rzeczywistości jest to, że zwykle będą zadawane te same typy pytań. Obiekt z poufnymi informacjami, kto uzyskał dostęp do tego obiektu w ciągu ostatniego miesiąca? To powinno być powiązane z moimi kontrolami i powinienem być w stanie pomyślnie przejść audyt, pokazując tego rodzaju raporty.
Tak więc przygotowaliśmy około 25 różnych raportów dotyczących tego samego rodzaju obszarów, co ten wspólny mianownik. Więc nie mamy raportu dotyczącego PCI, HIPAA lub SOX, mamy raporty, które po raz kolejny są sprzeczne z tym wspólnym mianownikiem. I tak naprawdę nie ma znaczenia, jaki wymóg regulacyjny starasz się spełnić, w większości przypadków będziesz w stanie odpowiedzieć na każde pytanie postawione przez tego audytora. I powiedzą ci, kto, co, kiedy i gdzie każdej transakcji. Wiesz, użytkownik, czas wystąpienia transakcji, sama instrukcja SQL, aplikacja, z której ona pochodzi, wszystkie te dobre rzeczy, a następnie być w stanie zautomatyzować dostarczanie tych informacji do raportów.
A potem, po raz kolejny, kiedy to miniecie i przedstawicie to audytorowi, będzie następne pytanie, udowodnijcie to. A kiedy mówię: udowodnij to, mam na myśli udowodnienie, że sama ścieżka audytu jest czymś, na czym możemy ufać. W naszym narzędziu robimy to w taki sposób, że mamy wartości skrótu i wartości CRC, które wiążą się bezpośrednio z samymi zdarzeniami w ścieżce audytu. A zatem pomysł polega na tym, że jeśli ktoś wyjdzie i skasuje zapis lub jeśli ktoś wyjdzie i usunie lub doda coś do ścieżki audytu lub zmieni coś w samej ścieżce audytu, możemy udowodnić, że te dane, integralność dane zostały naruszone. I tak przez 99, 9 procent czasu, jeśli nasza baza danych dziennika kontroli jest zamknięta, nie napotkasz tego problemu, ponieważ kiedy przeprowadzamy kontrolę integralności, zasadniczo udowadniamy audytorowi, że same dane nie zostały zmienione i usunięte lub dodane od czasu pierwotnego zapisu z samej usługi zarządzania.
Jest to rodzaj ogólnego przeglądu typowych pytań, które należy zadać. Teraz narzędzie, które musimy rozwiązać w wielu kwestiach, nazywa się SQL Compliance Manager i robi to wszystko w zakresie śledzenia transakcji, kto, co, kiedy i gdzie z transakcji, jest w stanie to zrobić w również wiele różnych obszarów. Logowanie, nieudane logowanie, zmiany schematu, oczywiście dostęp do danych, wybieranie aktywności, wszystkie te rzeczy, które dzieją się w silniku bazy danych. W razie potrzeby możemy również ostrzegać użytkowników o określonych, bardzo szczegółowych warunkach. Na przykład ktoś wychodzi i faktycznie przegląda tabelę zawierającą wszystkie numery moich kart kredytowych. Nie zmieniają danych, tylko na nie patrzą. W tej sytuacji mogę zaalarmować i poinformować ludzi, że tak się dzieje, nie sześć godzin później, kiedy zgarniamy dzienniki, ale w czasie rzeczywistym. Zasadniczo trwa to tyle, ile zajmuje nam przetworzenie tej transakcji za pośrednictwem usługi zarządzania.
Jak wspomniałem wcześniej, widzieliśmy, że jest to stosowane w wielu różnych wymogach regulacyjnych i tak naprawdę nie jest - no wiesz, każdy wymóg regulacyjny, po raz kolejny, o ile wspólne mianowniki mają wrażliwe dane w SQL Server baza danych, jest to narzędzie, które pomogłoby w tego typu sytuacji. W przypadku 25 wbudowanych raportów rzeczywistość jest taka, że możemy uczynić to narzędzie dobrym dla audytora i odpowiedzieć na każde zadane przez niego pytanie, ale DBA są tymi, które muszą sprawić, by działało. Więc jest też takie myślenie, z punktu widzenia konserwacji, musimy upewnić się, że SQL działa tak, jak chcemy. Musimy też być w stanie wejść i spojrzeć na rzeczy, które będą mogły wyjść i spojrzeć na inne informacje, wiesz, jeśli chodzi o archiwizację danych, automatyzację tego i koszty ogólne sam produkt. Są to rzeczy, które oczywiście bierzemy pod uwagę.
Co przypomina samą architekturę. Tak więc po prawej stronie ekranu mamy instancje SQL, którymi zarządzamy, wszystko od 2000 aż do 2014 roku, przygotowując się do wydania wersji na 2016 rok. Największą zaletą na tym ekranie jest to, że zarządzanie sam serwer wykonuje całe ciężkie podnoszenie. Po prostu zbieramy dane, używając API śledzenia, wbudowanego w SQL Server. Te informacje sączy się do naszego serwera zarządzania. Sam serwer zarządzania identyfikuje i czy są jakieś zdarzenia związane z wszelkiego rodzaju transakcjami, których nie chcemy, wysyłając alerty i tego rodzaju rzeczy, a następnie zapełniając dane w repozytorium. Stamtąd możemy uruchamiać raporty, moglibyśmy wyjść i zobaczyć te informacje w raportach lub nawet w konsoli aplikacji.
Więc zamierzam to zrobić, naprawdę szybko, i chcę tylko wskazać jedną szybką rzecz, zanim przejdziemy do produktu, jest link na stronie, teraz lub w prezentacji zabierze Cię do tego darmowego narzędzia, o którym wspomniałem wcześniej. To bezpłatne narzędzie, tak jak powiedziałem, przejdzie do bazy danych i spróbuje znaleźć obszary, które wyglądają jak wrażliwe dane, numery ubezpieczenia społecznego, numery kart kredytowych, na podstawie nazw kolumn lub tabel, lub w oparciu o sposób, w jaki wygląda format danych, i można to również dostosować, aby to podkreślić.
Teraz, w naszym przypadku, pozwól mi iść dalej i udostępnić mój ekran, daj mi sekundę tutaj. W porządku, więc chciałem zabrać Cię najpierw do samej aplikacji Compliance Manager i zamierzam przejść przez to dość szybko. Ale to jest aplikacja i widać, że mam tutaj kilka baz danych, a ja po prostu pokażę, jak łatwo jest wejść i powiedzieć, co chcesz poddać audytowi. Z punktu widzenia zmian schematu, zmian bezpieczeństwa, działań administracyjnych, DML, Wybierz, mamy wszystkie te opcje do dyspozycji, możemy to również przefiltrować. To powraca do najlepszej praktyki: „Naprawdę potrzebuję tylko tej tabeli, ponieważ zawiera ona numery mojej karty kredytowej. Nie potrzebuję innych tabel zawierających informacje o produkcie, wszystkich innych rzeczy, które nie są związane z poziomem zgodności, który staram się spełnić. ”
Mamy również możliwość przechwytywania danych i pokazywania ich pod kątem wartości zmiennych, które się zmieniają. W wielu narzędziach znajdziesz coś, co da ci możliwość przechwycenia instrukcji SQL, pokazania użytkownika, pokazania aplikacji, godziny i daty oraz wszystkich innych dobrych rzeczy. Ale w niektórych przypadkach sama instrukcja SQL nie dostarczy ci wystarczającej ilości informacji, abyś mógł powiedzieć, jaka była wartość pola przed zmianą, a także wartość pola po zmianie. A w niektórych sytuacjach potrzebujesz tego. Chciałbym na przykład śledzić informacje o dawce lekarza dotyczące leków na receptę. Poszło od 50 mg do 80 mg do 120 mg, byłbym w stanie śledzić to za pomocą przed i po.
Wrażliwe kolumny to kolejna rzecz, na którą często wpadamy, na przykład ze zgodnością z PCI. W tej sytuacji masz dane, które są tak wrażliwe z natury, że patrząc na te informacje, nie muszę ich zmieniać, usuwać ani dodawać do nich, mogę spowodować nieodwracalną szkodę. Numery kart kredytowych, numery ubezpieczenia społecznego i inne tego rodzaju dobre rzeczy, które możemy zidentyfikować poufne kolumny i powiązać z nim alerty. Jeśli ktoś wyjdzie i spojrzy na te informacje, moglibyśmy oczywiście powiadomić i wysłać wiadomość e-mail lub wygenerować pułapkę SNMP i tego typu rzeczy.
Teraz w niektórych przypadkach możesz spotkać się z sytuacją, w której możesz mieć wyjątek. Rozumiem przez to, że masz użytkownika, który ma konto użytkownika, które może być powiązane z jakimś rodzajem zadania ETL, które działa w środku nocy. Jest to udokumentowany proces i po prostu nie muszę podawać tych informacji o transakcjach dla tego konta użytkownika. W takim przypadku mielibyśmy zaufanego użytkownika. A następnie w innych sytuacjach skorzystalibyśmy z funkcji Uprzywilejowanej kontroli użytkowników, która jest zasadniczo, jeśli mam, powiedzmy, na przykład aplikację, a ta aplikacja już przeprowadza kontrolę użytkowników, którzy przechodzą przez aplikację, to znaczy świetnie, mam już coś do odniesienia w ramach mojego audytu. Ale w przypadku rzeczy związanych z, na przykład, moimi uprzywilejowanymi użytkownikami, facetami, którzy mogą wejść do studia zarządzania SQL Server, aby przejrzeć dane w bazie danych, to nie zamierza tego wyciąć. I tutaj możemy określić, kim są nasi uprzywilejowani użytkownicy, poprzez członkostwo w rolach lub przez ich konta Active Directory, grupy, konta uwierzytelnione w SQL, gdzie będziemy mogli wybrać wszystkie te różne rodzaje opcji i następnie upewnij się, że dla tych uprzywilejowanych użytkowników możemy określić rodzaje transakcji, które chcemy kontrolować.
Są to różnego rodzaju różne opcje, które macie i nie zamierzam omawiać wszystkich rodzajów rzeczy w oparciu o ograniczenia czasowe dla tej prezentacji. Ale chcę pokazać, w jaki sposób możemy przeglądać dane i myślę, że spodoba ci się to, ponieważ możemy to zrobić na dwa sposoby. Mogę to zrobić interaktywnie, więc kiedy rozmawiamy z osobami zainteresowanymi tym narzędziem, być może dla własnych kontroli wewnętrznych, chcą po prostu wiedzieć, co się dzieje w wielu przypadkach. Nie muszą koniecznie mieć audytorów na miejscu. Chcą tylko wiedzieć: „Hej, chcę pójść za tym stołem i zobaczyć, kto go dotknął w ostatnim tygodniu, w zeszłym miesiącu lub cokolwiek innego.” W tym przypadku możesz zobaczyć, jak szybko możemy to zrobić.
W przypadku bazy danych opieki zdrowotnej mam tabelę o nazwie Patient Records. A ten stół, gdybym po prostu pogrupował według obiektu, mógłby bardzo szybko zawęzić się tam, gdzie szukamy. Może chcę pogrupować według kategorii, a następnie może według zdarzenia. A kiedy to robię, możesz zobaczyć, jak szybko to się pojawia, i jest tam moja tabela rekordów pacjentów. Kiedy się zgłębiam, widzimy teraz aktywność DML, widzimy, że mieliśmy tysiące wstawek DML, a kiedy otwieramy jedną z tych transakcji, możemy zobaczyć odpowiednie informacje. Kto, co, kiedy, gdzie transakcja, instrukcja SQL, oczywiście, faktyczna aplikacja używana do wykonania transakcji, konto, godzina i data.
Teraz, jeśli spojrzysz na następną kartę tutaj, kartę Szczegóły, to wróci do trzeciego pytania, o którym mówimy, udowadniając, że integralność danych nie została naruszona. Tak więc w zasadzie każde zdarzenie ma tajne obliczenie naszej wartości skrótu, a to się potem przywiąże, kiedy przeprowadzimy naszą kontrolę integralności. Na przykład, gdybym miał przejść do narzędzia, przejść do menu inspekcji, a następnie wyjść i powiedzieć, sprawdźmy integralność repozytorium, mógłbym wskazać bazę danych, w której znajduje się ścieżka audytu, uruchomi się poprzez sprawdzenie integralności dopasowujące te wartości skrótu i wartości CRC do rzeczywistych zdarzeń, a to powie nam, że nie znaleziono żadnych problemów. Innymi słowy, dane w ścieżce audytu nie zostały zmienione, ponieważ zostały pierwotnie zapisane przez usługę zarządzania. To oczywiście jeden ze sposobów interakcji z danymi. Innym sposobem byłyby same raporty. Dlatego dam wam tylko jeden przykładowy raport.
Po raz kolejny raporty te, w taki sposób, w jaki je wymyśliliśmy, nie są specyficzne dla żadnego rodzaju standardu, takiego jak PCI, HIPAA, SOX ani nic podobnego. Po raz kolejny jest to wspólny mianownik tego, co robimy, i w tym przypadku, jeśli wrócimy do tego przykładu dokumentacji pacjenta, moglibyśmy wyjść i powiedzieć, w naszym przypadku, szukamy w bazie danych opieki zdrowotnej, aw naszym przypadku chcemy skupić się konkretnie na tej tabeli, która, jak wiemy, zawiera prywatne informacje, w naszym przypadku, dotyczące naszych pacjentów. A więc pozwól mi zobaczyć, czy mogę to tutaj wpisać, a my przejdziemy dalej i wygenerujemy ten raport. I wtedy oczywiście zobaczymy wszystkie istotne dane powiązane z tym obiektem. A w naszym przypadku pokazuje nam to na miesiąc. Ale moglibyśmy cofnąć się o sześć miesięcy, rok, bez względu na to, jak długo przechowujemy dane.
Takie są sposoby, w jaki możesz faktycznie udowodnić audytorowi, że podążasz za swoimi kontrolami. Po zidentyfikowaniu tego, oczywiście jest to dobra rzecz, jeśli chodzi o zdanie audytu i pokazanie, że przestrzegasz kontroli i wszystko działa.
Ostatnią rzeczą, o której chciałem zademonstrować, jest sekcja administracyjna. Istnieją również elementy sterujące z punktu widzenia samego narzędzia, które jest w stanie ustawić elementy sterujące, aby mieć pewność, że jeśli ktoś robi coś, czego nie powinien robić, to jestem tego świadom. Podam tam kilka przykładów. Mam konto logowania powiązane z usługą i ta usługa wymaga podwyższonych uprawnień, aby robić to, co robi. Nie chcę, żeby ktoś wchodził i korzystał z tego konta w Management Studio, a potem, no wiesz, wykorzystywał go do celów, do których nie był przeznaczony. Mielibyśmy tutaj dwa kryteria, które moglibyśmy zastosować. Mógłbym powiedzieć: „Słuchaj, naprawdę interesuje nas to działanie, powiedzmy, dzięki naszej aplikacji PeopleSoft”, na przykład, dobrze?
Teraz, gdy to zrobiłem, chcę powiedzieć, że jestem ciekawy, czy loginy powiązane z kontem przygotowuję się do określenia, czy aplikacja, która jest używana do logowania się na tym koncie to nie PeopleSoft, to będzie podwyżka na alarm. I oczywiście musimy określić samą nazwę konta, więc w naszym przypadku nazwijmy to konto prywatne, ponieważ jest uprzywilejowane. Teraz, gdy to zrobimy, kiedy to zrobimy tutaj, będziemy mogli określić, co chcielibyśmy zrobić, gdy to nastąpi, i dla każdego rodzaju zdarzenia lub, powiedziałbym, czujny, możesz mieć osobne powiadomienie dla osoby odpowiedzialnej za tę konkretną część danych.
Na przykład, jeśli są to informacje o wynagrodzeniu, mogą trafić do mojego dyrektora HR. W tym przypadku, zajmując się aplikacją PeopleSoft, będzie administratorem tej aplikacji. Cokolwiek by nie było. Byłbym w stanie podać mój adres e-mail, dostosować aktualną wiadomość ostrzegawczą i wiele innych dobrych rzeczy. Ponownie wszystko sprowadza się do możliwości upewnienia się, że możesz wykazać, że podążasz za swoimi kontrolkami i że te kontrole działają zgodnie z ich przeznaczeniem. Z ostatniego punktu widzenia, jeśli chodzi o konserwację, mamy możliwość przeniesienia tych danych i przełączenia ich w tryb offline. Mogę zarchiwizować dane i zaplanować je, a my moglibyśmy zrobić te rzeczy bardzo łatwo w tym sensie, że tak naprawdę, jako DBA, korzystamy z tego narzędzia, konfigurujemy je i rodzaj odejdź od niego Nie ma wiele trzymania się za ręce, które będzie miało miejsce po ustawieniu go tak, jak powinno być. Jak powiedziałem, najtrudniejszą częścią tego wszystkiego, jak sądzę, nie jest konfiguracja tego, co chcesz kontrolować, to wiedza, co chcesz skonfigurować do kontroli.
I jak powiedziałem, natura bestii z audytem, musisz przechowywać dane przez siedem lat, więc sensowne jest skupienie się tylko na obszarach wrażliwych z natury. Ale jeśli chcesz podejść do zbierania wszystkiego, absolutnie możesz, po prostu nie jest to uważane za najlepszą praktykę. Z tego punktu widzenia chciałbym tylko przypomnieć ludziom, że jeśli jest to coś interesującego, możesz wejść na stronę internetową IDERA.com i pobrać wersję próbną i bawić się samemu. Jeśli chodzi o bezpłatne narzędzie, o którym mówiliśmy wcześniej, to jest bezpłatne, możesz je pobrać i używać go na zawsze, niezależnie od tego, czy korzystasz z produktu Compliance Manager. Fajną rzeczą w tym narzędziu do wyszukiwania kolumn jest to, że nasze ustalenia, które wymyśliłeś, i mogę faktycznie pokazać, że myślę, że będziesz w stanie wyeksportować te dane, a następnie zaimportować je do Compliance Manager także. Nie widzę tego, wiem, że tu jest, tam jest. To tylko przykład. To tutaj znajduje powiązane wrażliwe dane.
Teraz ten przypadek wyszedłem i naprawdę patrzę na wszystko, ale masz mnóstwo rzeczy, które możemy sprawdzić. Numery kart kredytowych, adresy, nazwiska i inne tego typu rzeczy. A my ustalimy, gdzie jest ona w bazie danych, a następnie możesz podjąć decyzję, czy rzeczywiście chcesz skontrolować te informacje. Ale zdecydowanie jest to sposób na ułatwienie definiowania zakresu audytu, gdy patrzysz na takie narzędzie.
Po prostu pójdę naprzód i zamknę to, i pójdę dalej i przekażę to Ericowi.
Eric Kavanagh: To fantastyczna prezentacja. Uwielbiam sposób, w jaki naprawdę docierasz do drobiazgów i pokazuje nam, co się dzieje. Ponieważ pod koniec dnia jest jakiś system, który będzie miał dostęp do niektórych zapisów, to da ci raport, który sprawi, że opowiesz swoją historię, niezależnie od tego, czy będzie to regulator, audytor czy ktoś z twojego zespołu, więc dobrze, że wiesz, że jesteś przygotowany, kiedy i kiedy lub kiedy ta osoba puka, i oczywiście jest to nieprzyjemna sytuacja, której próbujesz uniknąć. Ale jeśli tak się stanie i prawdopodobnie stanie się to w dzisiejszych czasach, chcesz mieć pewność, że masz kropkę I i krzyż T.
Jest dobre pytanie od członka widowni, który chciałbym najpierw skierować do ciebie, Bullett, a potem, jeśli prezenter chce to skomentować, nie krępuj się. A potem może Dez zadaje pytanie i Robin. Pytanie zatem brzmi: czy można uczciwie powiedzieć, że aby wykonać wszystkie te rzeczy, o których wspomniałeś, musisz rozpocząć wysiłek klasyfikacji danych na poziomie podstawowym? Musisz znać swoje dane, gdy okażą się one cennym potencjalnym zasobem i coś z tym zrobić. Myślę, że zgodziłbyś się, Bullett, prawda?
Bullett Manale: Tak, absolutnie. To znaczy, musisz znać swoje dane. I zdaję sobie sprawę, zdaję sobie sprawę, że istnieje wiele aplikacji i istnieje wiele różnych rzeczy, które mają ruchome części w twojej organizacji. Narzędzie do wyszukiwania kolumn jest bardzo pomocne, jeśli chodzi o krok w kierunku lepszego zrozumienia tych danych. Ale tak, to bardzo ważne. Mam na myśli, że możesz zastosować podejście typu firehose i skontrolować wszystko, ale logistycznie jest to o wiele trudniejsze, gdy mówisz o konieczności przechowywania tych danych i raportowania w oparciu o te dane. A potem nadal musisz wiedzieć, gdzie jest ta część danych, ponieważ kiedy uruchomisz raporty, będziesz musiał również pokazać audytorom te informacje. Myślę więc, że tak jak powiedziałem, największym wyzwaniem, kiedy rozmawiam z administratorami baz danych, jest wiedza, tak.
Eric Kavanagh: Tak, ale może Robin przyprowadzimy cię naprawdę szybko. Wydaje mi się, że obowiązuje tutaj zasada 80/20, prawda? Prawdopodobnie nie znajdziesz każdego systemu zapisu, który ma znaczenie, jeśli jesteś w jakiejś średniej lub dużej organizacji, ale jeśli skupisz się na - jak sugerował tutaj Bullett - PeopleSoft na przykład lub innych systemach zapisu, które są dominuje w przedsiębiorstwie, gdzie koncentrujesz 80% wysiłku, a następnie 20% dotyczy innych systemów, które mogą gdzieś tam być, prawda?
Robin Bloor: Cóż, jestem pewien, tak. To znaczy, wiesz, myślę, że problem z tą technologią i myślę, że prawdopodobnie warto o niej skomentować, ale problem z tą technologią polega na tym, jak ją wdrożyć? Mam na myśli, że zdecydowanie brakuje wiedzy, powiedzmy, w większości organizacji, nawet jeśli chodzi o liczbę dostępnych baz danych. Powiedzmy, że brakuje zapasów. Wiesz, pytanie brzmi: wyobraźmy sobie, że zaczynamy w sytuacji, w której nie ma szczególnie dobrze zarządzanej zgodności, jak wziąć tę technologię i wprowadzić ją do środowiska, a nie tylko, no wiesz, technologię warunki, konfigurowanie rzeczy, ale jak kto to zarządza, kto to określa? Jak zacząć przekształcać to w prawdziwą, wykonującą pracę rzecz?
Bullett Manale: Mam na myśli, że to dobre pytanie. W wielu przypadkach wyzwaniem jest to, że musisz zacząć zadawać pytania od samego początku. Natknąłem się na wiele firm, w których one, no wiesz, być może są prywatnymi firmami i zostały przejęte, istnieje początkowy, rodzaj, pierwszy rodzaj przeszkody, jeśli chcesz to tak nazwać. Na przykład, jeśli właśnie stałem się spółką publiczną z powodu przejęcia, będę musiał wrócić i prawdopodobnie coś wymyślić.
A w niektórych przypadkach rozmawiamy z organizacjami, które, mimo że są prywatne, przestrzegają zasad zgodności z SOX, po prostu dlatego, że w przypadku, gdy chcą uzyskać, wiedzą, że muszą być zgodne. Zdecydowanie nie chcesz przyjmować podejścia: „Nie muszę się tym teraz martwić”. Jakikolwiek rodzaj zgodności z przepisami, taki jak PCI lub SOX lub cokolwiek innego, chcesz zainwestować w badania lub zrozumienie, gdzie znajdują się te wrażliwe informacje, w przeciwnym razie możesz spotkać się z poważnymi, wysokimi grzywnami. O wiele lepiej jest po prostu zainwestować ten czas, wiesz, znajdując te dane i móc się z nimi zgodzić i pokazać, że kontrole działają.
Tak, jeśli chodzi o konfigurację, jak powiedziałem, pierwszą rzeczą, którą poleciłbym osobom przygotowującym się do audytu, jest po prostu wyjście i przejrzenie pobieżnej analizy bazy danych, i ustalenie, że wiedzą, starając się dowiedzieć, gdzie są te wrażliwe dane. Innym podejściem byłoby rozpoczęcie od być może większej sieci pod względem zakresu audytu, a następnie powolne ograniczanie swojej drogi, gdy w pewnym sensie zastanowisz się, gdzie te obszary w systemie są powiązane z Wrażliwa informacja. Ale chciałbym ci powiedzieć, że jest łatwa odpowiedź na to pytanie. Prawdopodobnie będzie się to nieco różnić w zależności od organizacji i rodzaju zgodności, a tak naprawdę, wiesz, ile mają struktury w swoich aplikacjach i ile mają różnych aplikacji, niektóre mogą być aplikacjami napisanymi na zamówienie, więc w wielu przypadkach będzie to zależeć od sytuacji.
Eric Kavanagh: Śmiało, Dez, jestem pewien, że masz pytanie lub dwa.
Dez Blanchfield: Chciałbym uzyskać wgląd w twoje spostrzeżenia dotyczące wpływu na organizacje z ludzkiego punktu widzenia. Myślę, że jednym z obszarów, w którym widzę największą wartość tego konkretnego rozwiązania, jest to, że kiedy ludzie budzą się rano i idą do pracy na różnych poziomach organizacji, budzą się z szeregiem odpowiedzialności lub łańcuchem odpowiedzialności z którymi muszą sobie poradzić. I chcę uzyskać wgląd w to, co widzisz, z narzędziami, o których mówisz, i bez nich. A kontekst, o którym tu mówię, jest od prezesa zarządu do dyrektora generalnego, dyrektora ds. Informatycznych i pakietu C. A teraz mamy szefów ds. Ryzyka, którzy myślą więcej o rodzajach rzeczy, o których tu mówimy w zakresie zgodności i zarządzania, a następnie mamy teraz nowych szefów odgrywania ról, głównego inspektora danych, który, wiesz, tym bardziej zaniepokojony.
A po stronie każdego z nich, wokół dyrektora IT, po jednej stronie mamy menedżerów IT z, jak wiadomo, potencjalnymi klientami technicznymi, a następnie potencjalnymi bazami danych. A w przestrzeni operacyjnej mamy menedżerów ds. Rozwoju i kierowników ds. Rozwoju, a następnie indywidualnych opracowań, a także powracają do warstwy administracyjnej bazy danych. Co widzisz wokół reakcji każdej z tych różnych części firmy na wyzwanie związane ze zgodnością i raportowaniem regulacyjnym oraz ich podejściem do tego? Czy widzisz, że ludzie przychodzą z zapałem i widzą korzyści z tego, czy też widzisz, że niechętnie ciągną stopy do tego i po prostu, wiesz, robią to dla kleszcza w pudełku? A jakie są odpowiedzi, które widzą, kiedy widzą twoje oprogramowanie?
Bullett Manale: Tak, to dobre pytanie. Powiedziałbym, że ten produkt, sprzedaż tego produktu, jest głównie prowadzony przez kogoś, kto jest na gorącym miejscu, jeśli ma to sens. W większości przypadków jest to DBA iz naszego punktu widzenia, innymi słowy, wiedzą, że nadchodzi audyt i będą odpowiedzialni, ponieważ są to DBA, aby móc dostarczyć informacje, które biegły rewident zapytać. Mogą to zrobić, pisząc własne raporty i tworząc własne niestandardowe ślady i wszystkie tego rodzaju rzeczy. Rzeczywistość jest taka, że nie chcą tego robić. W większości przypadków DBA tak naprawdę nie czekają na rozpoczęcie rozmów z audytorem. Wiesz, wolałbym ci powiedzieć, że możemy zadzwonić do firmy i powiedzieć: „Hej, to świetne narzędzie i pokochasz to”, i pokaż im wszystkie funkcje, a oni kupią.
Rzeczywistość jest taka, że zazwyczaj nie będą patrzeć na to narzędzie, chyba że faktycznie staną w obliczu audytu lub po drugiej stronie tej monety jest to, że mieli audyt i ponieśli porażkę, a teraz są otrzyma polecenie uzyskania pomocy lub zostanie ukarany grzywną. Powiedziałbym, że ogólnie rzecz biorąc, kiedy pokazujesz ten produkt ludziom, na pewno widzą jego wartość, ponieważ oszczędza im to mnóstwo czasu, ponieważ muszą dowiedzieć się, o czym chcą zgłaszać, tego rodzaju rzeczy. Wszystkie te raporty są już wbudowane, mechanizmy ostrzegania są na miejscu, a następnie przy trzecim pytaniu może być, w wielu przypadkach, wyzwaniem. Ponieważ mogę ci pokazywać raporty przez cały dzień, ale jeśli nie możesz mi udowodnić, że te raporty są rzeczywiście ważne, wiesz, jest to dla mnie, jako DBA, dużo trudniejsza propozycja, aby to pokazać. Ale opracowaliśmy technologię i technikę haszowania oraz wszystkie inne rzeczy, aby mieć pewność, że dane w integralności ścieżek audytu są przechowywane.
I to są rzeczy, które są moimi spostrzeżeniami w odniesieniu do większości ludzi, z którymi rozmawiamy. Wiesz, zdecydowanie, w różnych organizacjach, wiesz, że, słyszysz, wiesz, na przykład, Target miał na przykład naruszenie danych i, wiesz, to znaczy, kiedy inne organizacje słyszą o grzywienach i tych rzeczy, które ludzie zaczynają, podnosi brew, więc mam nadzieję, że to odpowiada na pytanie.
Dez Blanchfield: Tak, zdecydowanie. Mogę sobie wyobrazić, że niektórzy DBA, kiedy w końcu widzą, co można zrobić za pomocą tego narzędzia, po prostu zdają sobie sprawę, że mają już późne noce i weekendy. Redukcje czasu i kosztów oraz inne rzeczy, które widzę, gdy odpowiednie narzędzia są stosowane do tego całego problemu, i to znaczy, że trzy tygodnie siedziałem z bankiem tutaj w Australii. Są bankiem globalnym, top trzy, są ogromne. Mieli też projekt, w którym musieli raportować o przestrzeganiu zasad zarządzania majątkiem, a zwłaszcza o ryzyku, i szukali pracy na 60 tygodni dla kilkuset ludzi. A kiedy pokazano im narzędzie takie jak ty, które może po prostu zautomatyzować proces, ten sens, wyraz ich twarzy, gdy zdali sobie sprawę, że nie musieli spędzać X tygodni z setkami ludzi wykonujących proces manualny, jakby odnaleźli Boga. Ale wyzwaniem było wtedy, jak właściwie to zaplanować, jak zauważył dr Robin Bloor, wiesz, to jest coś, co staje się mieszanką behawioralnej zmiany kulturowej. Na poziomach, z którymi masz do czynienia, którzy mają do czynienia z tym bezpośrednio na poziomie aplikacji, jaki rodzaj zmian widzisz, gdy zaczynają przyjmować narzędzie do wykonywania raportów, kontroli i kontroli, które możesz zaoferować, jak w przeciwieństwie do tego, co mogli zrobić ręcznie? Jak to wygląda, kiedy faktycznie wprowadzają w życie?
Bullett Manale: Czy pytasz, jaka jest różnica pod względem obsługi tego ręcznie w porównaniu z użyciem tego narzędzia? Czy to jest pytanie?
Dez Blanchfield: Cóż, szczególnie wpływ firmy. Na przykład, jeśli staramy się zapewnić zgodność w procesie ręcznym, niezmiennie zabieramy dużo czasu wielu ludziom. Ale wydaje mi się, że aby umieścić jakiś kontekst wokół pytania, tak jak wiesz, czy mówimy o jednej osobie obsługującej to narzędzie, która może zastąpić potencjalnie 50 osób i być w stanie zrobić to samo w czasie rzeczywistym lub w ciągu kilku godzin w porównaniu do miesięcy? Czy tego rodzaju, jak się to na ogół okazuje?
Bullett Manale: Cóż, sprowadza się to do kilku rzeczy. Jedną z nich jest umiejętność odpowiedzi na te pytania. Niektóre z tych rzeczy nie będą łatwe. Tak, czas potrzebny na zrobienie własnej roboty, samodzielne pisanie raportów, konfigurowanie śledzenia lub rozszerzonych zdarzeń w celu ręcznego gromadzenia danych może zająć dużo czasu. Naprawdę, dam ci trochę, to znaczy tak naprawdę nie dotyczy to baz danych, ale tak jak zaraz po Enronie i SOX stał się powszechny, byłem w jednej z większych firm naftowych w Houston, i liczyliśmy na, Myślę, że 25 procent naszych kosztów biznesowych było związanych ze zgodnością z SOX.
To było zaraz po tym i był to swego rodzaju pierwszy pierwszy krok w SOX, ale rzecz w tym, powiedzmy, wiesz, że czerpiesz wiele korzyści z używania tego narzędzia w tym sensie, że nie wymaga ono dużo ludzi, którzy to robią i wielu różnych ludzi, którzy to robią. I jak powiedziałem, DBA nie jest typem faceta, który naprawdę nie może się doczekać rozmowy z audytorami. Tak więc w wielu przypadkach zobaczymy, że DBA może to odciążyć i być w stanie dostarczyć raport będący interfejsem do audytora i mogą one całkowicie usunąć się z równania, zamiast być zaangażowanym. Więc wiesz, to ogromne oszczędności, jeśli chodzi o zasoby, kiedy możesz to zrobić.
Dez Blanchfield: Mówisz o znacznej redukcji kosztów, prawda? Organizacje nie tylko usuwają ryzyko i koszty ogólne, ale mam na myśli przede wszystkim, że mówisz o znacznej redukcji kosztów, A) operacyjnie, a także B), ponieważ, wiesz, jeśli faktycznie mogą zapewnić rzeczywiste- zgłaszanie zgodności czasowej, że istnieje znacznie mniejsze ryzyko naruszenia danych lub pewnej grzywny prawnej lub wpływu braku zgodności, prawda?
Bullett Manale: Tak, absolutnie. Chodzi mi o to, że za nieprzestrzeganie zasad zdarzają się różne złe rzeczy. Mogą korzystać z tego narzędzia i byłoby świetnie, inaczej tego nie zrobią i dowiedzą się, jakie to naprawdę złe. Więc tak, to oczywiście nie tylko narzędzie, możesz wykonywać kontrole i wszystko bez takiego narzędzia. Tak jak powiedziałem, zajmie to dużo więcej czasu i kosztów.
Dez Blanchfield: To świetnie. Więc Eric, zamierzam ci przekazać, ponieważ uważam, że moim zdaniem na wynos jest fantastyczny rynek. Ale także, w gruncie rzeczy, jest wart swojej wagi w złocie na podstawie tego, że możliwość uniknięcia komercyjnego wpływu problemu lub skrócenie czasu potrzebnego na zgłoszenie i zarządzanie zgodnością powoduje, że wiesz, że narzędzie natychmiast się zwraca za dźwięki.
Eric Kavanagh: Dokładnie tak. Dziękuję bardzo za dzisiejszy czas, Bullett. Dziękuję wam wszystkim za poświęcony czas i uwagę oraz Robin i Dez. Kolejna świetna prezentacja dzisiaj. Dziękujemy naszym znajomym z IDERA za umożliwienie nam dostarczenia tych treści bezpłatnie. Zarchiwizujemy ten webcast do późniejszego obejrzenia. Archiwum jest zwykle gotowe w ciągu około jednego dnia. I daj nam znać, co myślisz o naszej nowej stronie internetowej, insideanalysis.com. Zupełnie nowy design, zupełnie nowy wygląd. Chcielibyśmy usłyszeć twoją opinię i dzięki temu pożegnam się, ludzie. Możesz do mnie napisać W przeciwnym razie spotkamy się w przyszłym tygodniu. W ciągu najbliższych pięciu tygodni mamy siedem webcastów lub coś w tym rodzaju. Będziemy zajęci. W tym miesiącu będziemy na konferencji Strata i szczycie IBM Analyst Summit w Nowym Jorku. Więc jeśli tam jesteś, zatrzymaj się i przywitaj. Uważajcie, ludzie. PA pa.
