Сотрудники Techopedia, 14 сентября 2016 г.
Вывод: ведущий Эрик Кавана обсуждает вопросы аудита и соответствия баз данных с аналитиками Робином Блором и Дезом Бланчфилдом, а также с Буллетом Манале из IDERA в этом выпуске «Горячих технологий».
Вы не вошли в систему. Пожалуйста, войдите или зарегистрируйтесь, чтобы увидеть видео.
Эрик Кавана: Дамы и господа, здравствуйте и еще раз добро пожаловать в Hot Technologies! Да, действительно, 2016 года. Мы находимся в третьем году этого шоу, это очень захватывающая вещь. Мы качались и катались в этом году. Это Эрик Кавана, ваш хозяин. Сегодняшняя тема - это отличная тема, она имеет множество приложений во многих отраслях, прямо скажем - «Кто, что, где и как: почему вы хотите знать». Да, действительно, мы будем говорить обо всех этих забавных вещах. На самом деле есть слайд о вас, напишите мне в Твиттере @eric_kavanagh. Я пытаюсь переписать в Твиттере все упоминания и переслать в Твиттере все, что кто-то отправляет мне. Иначе так и будет.
Это горячо, да, действительно! Вся выставка предназначена для того, чтобы помочь организациям и частным лицам понять конкретные виды технологий. Здесь мы разработали всю программу Hot Technologies, чтобы определить конкретный тип программного обеспечения, определенный тренд или определенный тип технологий. Причина в том, что, честно говоря, в мире программного обеспечения вы часто получаете эти маркетинговые термины, которые часто встречаются, а иногда они могут откровенно убивать концепции, которые они намеревались описать.
В этом шоу мы действительно пытаемся помочь вам понять, что такое особый вид технологии, как она работает, когда вы можете ее использовать, когда вам, возможно, не стоит ее использовать, и предоставить вам как можно больше подробностей. Сегодня у нас будет три докладчика: наш собственный Робин Блур, главный аналитик Bloor Group; наш специалист по обработке данных звонит из Сиднея, Австралия, с другой стороны планеты, Дез Бланчфилд, и один из наших любимых гостей Буллет Манале, директор по продажам в IDERA.
Я просто скажу пару вещей здесь, чтобы понять, кто чем занимается и с каким фрагментом данных, ну, это похоже на управление, верно? Если вы подумаете обо всех нормативных актах, относящихся к таким отраслям, как здравоохранение и финансовые услуги, в этих сферах, то это невероятно важно. Вам нужно знать, кто прикоснулся к информации, кто-то что-то изменил, кто получил к ней доступ, кто ее загрузил, например. Какая родословная, в чем провидение этих данных? Вы можете быть уверены, что все эти проблемы будут оставаться заметными в ближайшие годы по разным причинам. Не только для соответствия, хотя HIPAA, и Sarbanes-Oxley, и Dodd-Frank, и все эти правила очень важны, но также просто для того, чтобы вы понимали в своем бизнесе, кто что делает, где, когда, почему и как. Это хорошая вещь, мы будем обращать внимание.
Давай, забери это, Робин Блур.
Робин Блур: Хорошо, спасибо за это вступление, Эрик. Я имею в виду, что эта область управления - это то, о чем я не слышал до 2000 года, когда об управлении в ИТ. Это произошло главным образом потому, что, я думаю, в любом случае, это произошло главным образом потому, что существует законодательство о соблюдении. Особенно HIPAA и Сарбейнс-Оксли. Там на самом деле много. Таким образом, организации поняли, что им необходимо иметь набор правил и набор процедур, поскольку это необходимо по закону. Задолго до этого, особенно в банковском секторе, были различные инициативы, которым вы должны были следовать, в зависимости от того, каким банком вы были, и особенно международными банкирами. Вся совместимость с Базелем началась задолго до этого конкретного набора инициатив после 2000 года. Все это действительно сводится к управлению. Я решил обсудить тему управления в качестве введения в фокус внимания на том, кто получает данные.
Управление данными, я привык осматриваться, думаю, лет пять или шесть назад, искал определения, и оно не было полностью определено. Становится все яснее и яснее, что это на самом деле означает. Реальность ситуации заключалась в том, что в определенных пределах все данные фактически были предварительно обработаны, но формальных правил для этого не было. Существовали особые правила, которые были сделаны, в частности, в банковской сфере для подобных вещей, но опять же, это было больше о соблюдении. Так или иначе, доказательство того, что вы на самом деле были … это как-то связано с риском, поэтому это доказывает, что вы были жизнеспособным банком, и это была сделка.
Если вы посмотрите на проблему управления сейчас, она начинается с факта движения больших данных. У нас все больше источников данных. Объем данных, конечно, проблема с этим. В частности, мы начали делать намного больше с неструктурированными данными. Это начало становиться чем-то, что является частью всей аналитической игры. А из-за аналитики важны происхождение данных и происхождение. Действительно, с точки зрения использования аналитики данных любым способом, связанным с любым видом соответствия, вы действительно должны знать, откуда пришли данные и как они должны быть такими, какие они есть.
Шифрование данных начало становиться проблемой, ставшей более серьезной проблемой, как только мы перешли на Hadoop, потому что идея озера данных, в котором мы храним много данных, внезапно означает, что у вас есть огромная область уязвимости людей, которые могут получить на него. Шифрование данных стало намного более заметным. Аутентификация всегда была проблемой. В более старой среде, строго в среде мэйнфреймов, они имели такую замечательную защиту безопасности периметра; проверка подлинности никогда не была большой проблемой. Позже это стало более серьезной проблемой, и теперь это гораздо более серьезная проблема, потому что у нас есть такие чрезвычайно распределенные среды. Мониторинг доступа к данным, который стал проблемой. Кажется, я помню различные инструменты, появившиеся около десяти лет назад. Я думаю, что большинство из них были вызваны соблюдением инициатив. Поэтому у нас также есть все правила соответствия, отчеты о соответствии.
Что приходит на ум, это то, что даже в 1990-х годах, когда вы проводили клинические испытания в фармацевтической промышленности, вы не только должны были быть в состоянии доказать, откуда поступили данные - очевидно, это очень важно, если вы пытаетесь чтобы получить наркотики в различных контекстах, чтобы узнать, кого пробуют и каковы контекстные данные вокруг него, вы должны были иметь возможность провести аудит программного обеспечения, которое фактически создавало данные. Это самая серьезная часть соответствия, которую я когда-либо видел, с точки зрения доказательства того, что вы на самом деле не портите вещи преднамеренно или случайно. В последнее время проблемой стало управление жизненным циклом данных. Все это в некотором роде проблемы, потому что многие из них не были выполнены хорошо. Во многих случаях это необходимо сделать.
Это то, что я называю пирамидой данных. Я вроде говорил об этом раньше. Я нахожу это очень интересным взглядом на вещи. Вы можете думать о данных как о наличии слоев. Необработанные данные, если хотите, на самом деле просто сигналы или измерения, записи, события, в основном отдельные записи. Возможно, транзакции, расчеты и агрегации, конечно, создают новые данные. О них можно думать на уровне данных. Кроме того, когда вы на самом деле соединяете данные, они становятся информацией. Это становится более полезным, но, конечно, оно становится более уязвимым для людей, взламывающих его или злоупотребляющих им. Я определяю это как созданное, на самом деле, через структурирование данных, способное визуализировать данные, имеющие глоссарии, схемы, онтологии в информации. Эти два нижних уровня - это то, что мы обрабатываем тем или иным способом. Над этим я называю слой знаний, состоящий из правил, политик, руководящих принципов, процедур. Некоторые из них могут быть созданы с помощью аналитических данных. Многие из них на самом деле политики, которые вы должны соблюдать. Это слой управления, если хотите. Именно здесь, так или иначе, если этот уровень не заполнен должным образом, то два нижних уровня не управляются. Последний пункт об этом, понимание в чем-то, что живет только в людях. К счастью, компьютерам пока не удалось этого сделать. Иначе я бы остался без работы.
Империя управления - я как бы сообразил это, думаю, это было около девяти месяцев назад, возможно, намного раньше. По сути, я как бы усовершенствовал его, но как только мы начали беспокоиться об управлении, то с точки зрения корпоративного центра данных появились не только хранилище данных, ресурсы озера данных, но и общие серверы различных типов, специализированные серверы данных. Все это должно было регулироваться. Когда вы на самом деле рассматривали различные аспекты - безопасность данных, очистку данных, обнаружение метаданных и управление метаданными, создание бизнес-глоссария, отображение данных, происхождение данных, управление жизненным циклом данных - тогда управление мониторингом производительности, управление уровнем обслуживания управление системой, которое вы, возможно, на самом деле не связываете с управлением, но с определенностью - теперь, когда мы идем в более быстрый и быстрый мир с большим и большим количеством потоков данных, на самом деле возможность что-то делать с определенной производительностью на самом деле является необходимостью и начинает становиться правилом работы, а не чем-либо еще.
Подводя итоги с точки зрения роста соответствия, я наблюдал, как это происходило в течение многих, многих лет, но общая защита данных фактически пришла в 1990-х годах в Европе. С тех пор это стало еще более изощренным. Затем все эти вещи начали внедряться или становиться более сложными. GRC, то есть риск управления и соответствия, продолжается с тех пор, как банки сделали это в Базеле. ИСО создает стандарты для различных видов операций. Я знаю все время, что я был в IT - это было давно - правительство США было особенно активно в создании различных законодательных актов: SOX, есть Gramm-Leach-Bliley, HIPAA, FISMA, FERPA. У вас также есть замечательная организация NIST, которая создает множество очень полезных стандартов, в частности стандартов безопасности. Законы о защите данных в Европе имеют местные различия. Например, то, что вы можете делать с личными данными в Германии, отличается от того, что вы можете делать в Словацкой Республике, Словении или где-либо еще. Они недавно представили - и я подумал, что упомяну это, потому что я нахожу это забавным - Европа внедряет идею права быть забытым. То есть должен быть установлен срок давности на общедоступные данные, которые на самом деле являются личными данными. Я думаю, что это весело. С точки зрения ИТ это будет очень и очень сложно, если он станет эффективным законодательством. В заключение я бы сказал следующее: поскольку данные и управление ИТ быстро развиваются, управление также должно быстро развиваться, и это относится ко всем областям управления.
Сказав, что я передам мяч Дезу.
Эрик Кавана: Да, действительно, Дез Бланчфилд, убери это. Робин, я с тобой, чувак, я умираю, чтобы увидеть, как теряется это право быть забытым. Я думаю, что это будет не просто вызов, но в принципе невозможно. Это просто нарушение ожидания от государственных органов. Дез, убери это.
Дез Бланчфилд: Это действительно так, и это тема для другого обсуждения. У нас очень похожая проблема здесь, в Азиатско-Тихоокеанском регионе, и особенно в Австралии, где операторы и интернет-провайдеры обязаны регистрировать все, что связано с Интернетом, и иметь возможность записывать и отрыгивать его в случае, если кто-то из заинтересованных сторон что-то делает неправильно. Это закон, и вы должны его соблюдать. Задача, подобно тому, как кому-то из Google в США может быть предложено удалить мою историю поиска или что-то подобное, может заключаться в том, чтобы соответствовать европейскому законодательству, в частности немецкому закону о конфиденциальности. В Австралии, если агентство хочет навестить вас, оператор должен иметь возможность предоставить подробную информацию о звонках и истории поиска, что сложно, но это мир, в котором мы живем. Для этого есть множество причин. Позволь мне просто прыгнуть в мою.
Я сознательно сделал свою титульную страницу трудной для чтения. Вы должны действительно внимательно посмотреть на этот текст. Соответствие, соответствующее набору правил, спецификаций, элементов управления, политик, стандартов или законов, с глупым, грязным фоном. Это потому, что вам действительно нужно смотреть на это с трудом, чтобы получить подробности и извлечь информацию из того, что наложено, то есть из серии таблиц и строк и столбцов, из базы данных, схемы или макета в Visio. Это то, что такое чувство соответствия, как изо дня в день. Довольно сложно углубиться в детали и извлечь необходимую информацию, чтобы убедиться, что вы соответствуете требованиям. Сообщите об этом, проконтролируйте и протестируйте.
На самом деле, я подумал, что это действительно хороший способ визуализировать это, когда мы задаем себе вопрос: «Вы согласны?» "Вы уверены?" "Ну, докажи это!" Есть действительно забавная вещь, которая, возможно, немного более англо-кельтская, но я уверен, что она пробилась по всему миру в США, так что это: "Где Уолли?" Уолли - маленький персонаж, который проникает в эти рисунки мультфильмов в виде книг. Обычно очень масштабные картинки А3 или больше. Итак, настольные рисунки. Он маленький персонаж, который носит шапочку и красно-белую полосатую рубашку. Идея игры в том, что вы смотрите на эту картинку и оглядываетесь по кругу, пытаясь найти Уолли. Он где-то там на той картине. Когда вы думаете о том, как обнаружить, описать и сообщить о соответствии, во многих отношениях это похоже на игру «Где Уолли». Если вы посмотрите на эту картинку, найти персонажа практически невозможно. Дети тратят на это часы, и мне было очень весело делать это вчера. Когда мы смотрим на это, мы видим целую кучу людей в этих мультфильмах, преднамеренно помещенных туда с подобными частями наряда Уолли в виде полосатой шапочки и трикотажа или шерстяного топа. Но они оказываются ложными срабатываниями.
Это аналогичная проблема, которую мы имеем с соблюдением. Когда мы смотрим на вещи, иногда мы думаем, что это так, а вовсе не так. У кого-то может быть доступ к базе данных, и он должен иметь такой доступ к базе данных, но способ ее использования немного отличается от того, что мы ожидаем. Мы можем решить, что это то, на что нам нужно обратить внимание. Когда мы смотрим на это, мы обнаруживаем, что на самом деле это очень правильный пользователь. Они просто делают что-то странное. Может быть, это исследователь ПК или кто знает. В других случаях это может быть наоборот. Реальность, когда я снова иду вперед, есть Уолли. Если вы смотрели очень усердно в этом высоком разрешении, есть один персонаж, который на самом деле одет в соответствующую одежду. Все остальные просто похожи и чувствуют. Соблюдение очень похоже на это. Большинство людей, которых я знаю, работают в сферах контроля, соблюдения и политики бизнеса. В целом ряде областей, будь то технологии, будь то финансы, операции или риски. Часто очень трудно увидеть Уолли на картинке, вы увидите деревья или лес.
Вопрос, который мы задаем себе, когда мы думаем о таких вещах, как соблюдение, звучит так: «Большое дело, что может пойти не так, если мы не совсем соблюдаем соответствие?» В контексте сегодняшней дискуссии, в частности, о базе данных и контроле доступа к данным, я приведу несколько очень реальных примеров пробуждения о том, что может пойти не так в очень краткой форме. Если мы думаем о нарушениях данных, и мы все знакомы с нарушениями данных, мы слышим их в средствах массовой информации, и мы как бы останавливаемся и смеемся, потому что люди думают, что это рынки. Это личные вещи. Это Эшли Мэдисон и люди, которые ищут свидания вне своих отношений и браков. Это кидать аккаунты. Это все эти странные вещи, или какой-то случайный европейский или российский провайдер или хостинговая компания взломаны. Когда дело доходит до таких вещей, как MySpace и эти первые десять, когда вы смотрите на эти цифры, я хочу, чтобы вы поняли следующее: детали 1, 1 миллиарда людей в этих первых десяти нарушениях. И да, есть совпадения, возможно, есть люди, у которых есть учетная запись MySpace, учетная запись Dropbox и учетная запись Tumblr, но давайте просто округлим до миллиарда человек.
Эти десять самых распространенных нарушений за последнее десятилетие или около того - в большинстве случаев даже за десятилетие - в сумме составляют примерно одну седьмую часть населения планеты, но более реалистично, что около 50 процентов от числа людей связаны с Интернет, более миллиарда человек. Это происходит потому, что в некоторых случаях соблюдение не было выполнено. В большинстве случаев это были элементы управления доступом к базе данных, контроль доступа к определенным наборам данных, а также системам и сетям. Это страшная проверка реальности. Если вас это не пугает, когда вы смотрите на первую десятку и видите, что это … или вы видите, что это миллиард людей, настоящих людей, таких же, как мы, по этому призыву прямо сейчас. Если у вас есть учетная запись LinkedIn, если у вас была учетная запись Dropbox, или учетная запись Tumblr, или если вы приобрели продукты Adobe или даже зарегистрировались, загрузите бесплатную программу просмотра Adobe. Вполне вероятно, что это невозможно, вполне вероятно, что ваши данные, ваше имя, ваша фамилия, ваш адрес электронной почты, возможно, даже адрес вашей рабочей компании, или ваш домашний адрес, или ваша кредитная карта, на самом деле там из-за нарушения это произошло из-за средств управления, которые не всегда были хорошо управляемы в форме управления данными, управления данными.
Давайте посмотрим на это, когда мы посмотрим на это в реальных деталях. У них один экран, там около 50 с чем-то. Есть еще 15. Есть еще около 25. Это утечки данных, которые перечислены на веб-сайте haveibeenpwned.com. Это то, что может пойти не так, если что-то простое, например, контроль того, кто имел доступ к данным в базах данных в разных полях, строках и столбцах, а также в разных приложениях в вашем бизнесе, не управляется должным образом. Эти организации теперь управляются данными. Большинство данных живет в базе данных в той или иной форме. Когда вы думаете об этом, этот список нарушений, который мы только что рассмотрели, и, надеюсь, он в некотором смысле дал вам немного холодного душа, в котором вы подумали: «Хм, это очень реально», и это потенциально повлияло на вас. Например, в 2012 году это нарушение LinkedIn, большинство профессионалов имеют учетную запись LinkedIn в эти дни, и, вероятно, ваши данные будут потеряны. Они были в интернете с 2012 года. Нам только что сообщили об этом в 2016 году. Что случилось с вашей информацией за эти четыре года? Ну, это интересно, и мы можем поговорить об этом отдельно.
Управление базами данных и системами - я часто говорю о том, что я считаю пятью главными проблемами в управлении этими вещами. На самом верху, и я оцениваю их в порядке предпочтения от себя, а также порядка воздействия, номер один - это безопасность и соответствие. Средства управления и механизмы, а также политики, определяющие, кто имеет какой доступ к какой системе, по какой причине и для какой цели. Отчетность об этом и мониторинг, просмотр систем, просмотр баз данных и выяснение того, кто действительно может получить доступ к записям, отдельным полям и записям.
Подумайте об этом в очень простой форме. Давайте поговорим о банковском деле и управлении капиталом в качестве одного из примеров. Когда вы регистрируете счет в банке, скажем, обычный наличный счет для карты EFTPOS, или кассовый или чековый счет. Вы заполняете форму, и на этом листе бумаги есть много очень частной информации, которую вы заполняете, или вы делаете это онлайн, и это входит в компьютерную систему. Теперь, если кто-то из маркетологов захочет связаться с вами и выслать вам брошюру, ему будет разрешено увидеть ваше имя, фамилию и ваш личный адрес, например, и, возможно, ваш номер телефона, если он хочет позвонить вам и продать тебе что-нибудь. Они, вероятно, не должны видеть общую сумму денег, которую вы получили в банке по ряду причин. Если кто-то смотрит на вас с точки зрения риска или пытается помочь вам сделать что-то вроде повышения процентных ставок на вашем счете, этот конкретный человек, вероятно, захочет узнать, сколько денег у вас есть в банке, чтобы они могли предложить вам соответствующие уровни возврата прибыли на ваши деньги. Эти два человека имеют очень разные роли и очень разные причины для этих ролей и цели для этих ролей. В результате необходимо видеть различную информацию в своей записи, но не всю запись.
Они управляют различными отчетами обычных экранов или форм, которые они имеют в приложениях, которые используются для управления вашей учетной записью. Разработка для них, обслуживание тех, администрирование тех, отчетность вокруг них, а также управление и соблюдение, такие как пузырчатая упаковка, - все это очень, очень большая проблема. Это просто проблема номер один в управлении данными и системами. Когда мы углубимся в этот стек, перейдя к производительности и мониторингу, обнаружению и реагированию на инциденты, управлению и администрированию системы, а также соответствию нормативным требованиям, проектированию и разработке систем на основе соответствия, это становится намного сложнее.
Управление всей проблемой снижения рисков и повышения безопасности. Мои пять главных задач в этой области - и мне нравятся снимки, которые идут с таможней, когда вы въезжаете в страну - они предъявляют ваш паспорт, проверяют вас и смотрят на свою компьютерную систему, чтобы узнать, стоит ли вам пройти или нет. Если вы не должны, они отправят вас на следующем самолете домой. В противном случае они впускают вас обратно и задают вам такие вопросы, как: «Вы приезжаете в отпуск? Вы здесь турист? Вы здесь на работу? Какую работу вы собираетесь увидеть? Где вы собираетесь остановиться? ? Как долго вы приезжаете? У вас есть достаточно денег, чтобы покрыть ваши расходы и издержки? Или вы станете риском для страны, в которой находитесь, и им, возможно, придется присматривать за вами и кормить вас? "
Есть некоторые проблемы вокруг этого пространства данных, управления защитой данных. Например, в пространстве базы данных нам нужно подумать о смягчении обходов базы данных. Если данные находятся в базе данных, в нормальной среде, и в системе есть элементы управления и механизмы. Что произойдет, если дамп данных будет сделан в большем количестве SQL и скопирован на ленту? Базы данных сбрасываются в необработанном виде и иногда создаются резервные копии. Иногда это делается по техническим причинам, по причинам разработки. Давайте просто скажем, что был сделан дамп БД, и он скопирован на ленту. Что произойдет, если мне удастся достать эту ленту и восстановить ее? И у меня есть сырая копия базы данных в SQL. Это файл MP, это текст, я могу его прочитать. Все пароли, которые хранятся в этом дампе, не контролируют меня, потому что теперь я получаю доступ к реальному содержимому базы данных без защиты движком базы данных. Таким образом, я могу технически обойти безопасность платформы базы данных, которая встроена в движок, с соблюдением требований и управлением рисками, чтобы я не смотрел на данные. Потому что потенциально разработчик, системный администратор, у меня в руках полный дамп базы данных, который следует использовать для резервного копирования.
Неправильное использование данных - потенциальная возможность заставить кого-либо войти в систему под учетной записью с повышенными правами и позволить мне сидеть на экране в поисках информации или подобных вещей. Собственный аудит, доступ и использование данных, а также просмотр данных или изменений в данных. Затем требуется отчетность по этому контролю и соблюдение требований. Мониторинг трафика и доступа и т. Д., Блокирование угроз, исходящих от внешних местоположений и серверов. Например, если данные представлены через форму на веб-странице в Интернете, были ли защищены их инъекции SQL с помощью брандмауэров и концептуальных элементов управления? За этим стоит длинная подробная история. Здесь вы можете увидеть только некоторые из этих абсолютно фундаментальных вещей, о которых мы думаем при смягчении и управлении рисками вокруг данных в базах данных. На самом деле, относительно легко обойти некоторые из них, если вы находитесь на разных уровнях стеков технологий. Задача усложняется по мере того, как вы получаете все больше и больше данных и базы данных. Все больше и больше проблем с людьми, которые должны управлять системами и контролировать их использование, отслеживать соответствующие детали, которые конкретно относятся к вещам, о которых говорил Робин, в отношении таких вещей, как личное соблюдение. У людей есть средства управления и механизмы, которые им соответствуют - если вы делаете что-то не так, вас могут уволить. Если я войду в систему под своей учетной записью, чтобы вы увидели ее, это должно быть увольнением. Теперь я дал вам доступ к данным, которые вы не должны были видеть нормально.
Это личное согласие, корпоративное согласие, у компаний есть политики и правила, а также средства контроля, которые они сами на себя наложили, чтобы компания работала хорошо и обеспечивала возврат прибыли и хорошую прибыль для инвесторов и акционеров. Кроме того, как вы сказали, в Соединенных Штатах часто действуют общегородские, общегосударственные или общенациональные федеральные правила и законы. Тогда есть глобальные. Некоторые из крупных инцидентов в мире, где, как Сарбейнс-Оксли, два человека, которых просят придумать способы защиты данных и систем. В Европе есть Базель, и в Австралии есть все средства контроля, особенно в отношении бирж и платформ учетных данных, а также конфиденциальности на уровне отдельных лиц или компаний. Когда каждый из них складывается, как вы видели на одном из сайтов, которые имел Робин, они становятся почти невозможной для подъема горой. Затраты растут, и мы находимся в той точке, где оригинальный традиционный подход, который вы знаете, например, измерение человеческого измерения, больше не является подходящим подходом, потому что масштаб слишком велик.
У нас есть сценарий, в котором соблюдение - это то, что я называю сейчас постоянной проблемой. И это то, что у нас потенциально был момент времени, ежемесячный, ежеквартальный или ежегодный, когда мы проверяли бы наше состояние нации и помогали в соблюдении и контроле. Убедиться, что определенные люди имели определенный доступ и не имели определенного доступа в зависимости от того, какие у них были разрешения. Теперь речь идет о скорости вещей, с которыми они движутся, темпе, с которым все меняется, масштабах, в которых мы работаем. Соблюдение - это всегда актуальная проблема, и глобальный финансовый кризис был лишь одним из примеров, где соответствующие меры контроля и меры по обеспечению безопасности и соблюдения могли бы потенциально избежать сценария, в котором у нас был безудержный грузовой поезд определенного поведения. Просто создать ситуацию, когда весь мир будет эффективно знать, что она обанкротится и обанкротится. Для этого нам нужны правильные инструменты. Бросать людей в поезд, бросать тела больше не является правильным подходом, потому что масштаб слишком велик, а вещи движутся слишком быстро. Сегодняшнее обсуждение, я думаю, мы собираемся провести, о типах инструментов, которые можно применить к этому. В частности, инструменты, которые IDERA может предоставить нам для этого. Имея это в виду, я передам его Буллетту, чтобы он пролистал его материалы и показал нам их подход и инструменты, которые у них есть для решения этой проблемы, которую мы представили вам сейчас.
С этим, Буллет, я передам вам.
Bullett Manale: Звучит отлично, спасибо. Я хочу поговорить о нескольких слайдах, а также хочу показать вам продукт, который мы используем для баз данных SQL Server специально для того, чтобы помочь с ситуациями соответствия. Действительно, проблема во многих случаях - я собираюсь пропустить некоторые из них - это всего лишь наш портфель продуктов, и я собираюсь пройти через это довольно быстро. С точки зрения того, где именно этот продукт будет рассматриваться, и как это относится к соответствию, я всегда рассматриваю это как первый слайд, потому что это своего рода обобщение: «Эй, какова ответственность администратора баз данных?» Одна из вещей контролирует и контролирует доступ пользователей, а также может создавать отчеты. Когда вы будете разговаривать со своим аудитором, это будет зависеть от того, насколько сложным может быть этот процесс, в зависимости от того, собираетесь ли вы делать это самостоятельно или собираетесь использовать стороннего разработчика. инструмент, чтобы помочь.
Вообще говоря, когда я разговариваю с администраторами баз данных, часто они никогда не участвовали в аудите. Вы как бы должны научить их тому, что действительно нужно делать. Относится к тому типу соответствия, который необходимо выполнить, и возможности доказать, что вы на самом деле соблюдаете правила, применимые к этому уровню соответствия. Многие люди сначала не понимают. Они думают: «О, я могу просто купить инструмент, который сделает меня послушным». Реальность такова, что это не так. Хотелось бы сказать, что наш продукт волшебным образом, как вы знаете, нажав на кнопку easy, дал вам возможность убедиться, что вы соответствуете. Реальность такова, что вы должны настроить свою среду с точки зрения контроля, с точки зрения того, как люди получают доступ к данным, и все это должно быть решено с приложением, которое у вас есть. Где хранятся эти конфиденциальные данные, какой тип нормативных требований. Затем также необходимо поработать, как правило, с сотрудником по внутреннему соответствию, чтобы убедиться, что вы следуете всем правилам.
Это звучит действительно сложно. Если вы посмотрите на все нормативные требования, вы подумаете, что так оно и будет, но реальность такова, что здесь есть общий знаменатель. В нашем случае с инструментом, который я собираюсь показать вам сегодня, продукт Compliance Manager, процесс в нашей ситуации будет таким, что мы, в первую очередь, должны убедиться, что мы собираем данные журнала аудита, связанные с где данные находятся в базе данных, которая является чувствительной. Вы можете собрать все, верно? Я мог бы выйти и сказать, что хочу собрать каждую транзакцию, которая происходит в этой базе данных. Реальность такова, что вы, вероятно, имеете только небольшую долю или небольшой процент транзакций, которые на самом деле связаны с конфиденциальными данными. Если это соответствие PCI, это будет информация о кредитной карте, владельцы кредитных карт, их личная информация. Это может быть тонна других транзакций, связанных с вашим приложением, которые не имеют никакого отношения к нормативным требованиям PCI.
С этой точки зрения, первое, что я говорю с DBA, это то, что я говорю: «Задача номер один не состоит в том, чтобы найти инструмент, который сделает все это за вас. Он просто знает, где находятся эти конфиденциальные данные и как мы их блокируем? »Если у вас есть это, если вы можете ответить на этот вопрос, то вы на полпути к тому, чтобы показать, что вы соответствуете требованиям, при условии, что вы следуете правильному контролю. Скажем на секунду, что вы следуете правильному контролю и сказали аудиторам, что это так. Следующей частью процесса, очевидно, будет возможность предоставить контрольный журнал, который показывает и проверяет, что эти элементы управления действительно работают. Затем, следя за этим, убедитесь, что вы сохранили эти данные. Обычно с такими вещами, как соответствие PCI и HIPAA и тому подобными вещами, вы говорите о семилетнем сроке хранения. Вы говорите о большом количестве транзакций и большом количестве данных.
Если вы ведете сбор каждой транзакции, даже если только пять процентов транзакций связаны с конфиденциальными данными, вы говорите о довольно большой стоимости, связанной с необходимостью хранить эти данные в течение семи лет. Это одна из самых больших проблем, я думаю, в том, чтобы заставить людей думать, что это действительно ненужные затраты, очевидно. Это также намного проще, если мы можем просто сосредоточиться на чувствительных областях в базе данных. В дополнение к этому вы также захотите контролировать некоторую конфиденциальную информацию. Не только для того, чтобы показать с точки зрения контрольного журнала, но также чтобы иметь возможность связать вещи с действиями, которые происходят, и иметь возможность получать уведомления в режиме реального времени, чтобы вы могли быть осведомлены об этом.
Пример, который я всегда использую, и он может быть не обязательно связан с каким-либо нормативным требованием, а просто иметь возможность отслеживать, например, кто-то должен был отбросить таблицу, связанную с платежной ведомостью. Если это произойдет, то, как вы узнаете об этом, если вы не отслеживаете это, никому не платят. Это слишком поздно Вы хотите знать, когда эта таблица будет отброшена, именно тогда, когда она будет отброшена, чтобы избежать каких-либо неприятностей, которые могут произойти в результате того, что какой-то недовольный сотрудник уйдет и удалит таблицу, которая непосредственно связана с платежной ведомостью.
С учетом вышесказанного, хитрость заключается в нахождении общего знаменателя или использовании этого общего знаменателя для сопоставления уровня соответствия. Это то, что мы пытаемся сделать с помощью этого инструмента. Мы в основном придерживаемся подхода, мы не собираемся показывать вам отчет, специфичный для PCI, специфичный для акций; общий знаменатель - у вас есть приложение, которое использует SQL Server для хранения конфиденциальных данных в базе данных. После того, как вы как-то опровергаете это, вы говорите: «Да, это действительно главное, на чем мы должны сосредоточиться - где находятся эти конфиденциальные данные и как к ним обращаются?» Как только вы это получите, мы предлагаем вам массу отчетов, которые могут подтвердить, что вы соответствуете требованиям.
Возвращаясь к вопросам, которые задает аудитор, первым вопросом будет: у кого есть доступ к данным и как они получают этот доступ? Можете ли вы доказать, что правильные люди имеют доступ к данным, а неправильные - нет? Можете ли вы также доказать, что сам контрольный журнал - это то, чему я могу доверять как неизменному источнику информации? Если я даю вам сфабрикованный контрольный журнал, мне, как одитору, на самом деле не очень полезно исправлять ваш аудит, если информация сфабрикована. Нам нужны доказательства этого, как правило, с точки зрения аудита.
Проходя через эти вопросы, немного более подробно. Задача, связанная с первым вопросом, заключается в том, что, как я уже сказал, вы должны знать, где находятся эти конфиденциальные данные, чтобы сообщить о том, кто к ним обращается. Обычно это своего рода открытие, и на самом деле у вас есть тысячи различных приложений, у вас есть тонны различных нормативных требований. В большинстве случаев вы хотите работать с вашим сотрудником, отвечающим за соблюдение нормативных требований, если он у вас есть, или, по крайней мере, с кем-то, кто мог бы получить дополнительную информацию о том, где действительно находятся мои конфиденциальные данные в приложении. У нас есть инструмент, который у нас есть, это бесплатный инструмент, который называется SQL Column Search. Мы говорим нашим потенциальным клиентам и пользователям, которые заинтересованы в этом вопросе, они могут скачать его. То, что он собирается сделать, это в основном искать информацию в базе данных, которая, вероятно, будет чувствительной по своей природе.
И затем, как только вы это сделаете, вы также должны понять, как люди получают доступ к этим данным. И это будет, опять же, то, какие учетные записи находятся в пределах каких групп Active Directory, какие пользователи базы данных участвуют, с этим связано членство в ролях. И, разумеется, имея в виду, что все эти вещи, о которых мы говорим, должны быть одобрены аудитором, поэтому, если вы скажете: «Вот как мы блокируем данные», тогда аудиторы могут прийти назад и скажите: «Ну, вы делаете это неправильно». Но давайте скажем, что они говорят: «Да, это выглядит хорошо. Вы достаточно блокируете данные.
Переходя к следующему вопросу, который будет, можете ли вы доказать, что правильные люди получают доступ к этим данным? Другими словами, вы можете сказать им, что ваши контролы, это те контролы, за которыми вы следите, но, к сожалению, аудиторы не настоящие доверчивые люди. Они хотят доказать это и хотят видеть это в контрольном журнале. И это восходит к общему знаменателю. Будь то PCI, SOX, HIPAA, GLBA, Basel II, в любом случае реальность такова, что обычно задаются одни и те же типы вопросов. Объект с конфиденциальной информацией, кто получил доступ к этому объекту в течение последнего месяца? Это должно соответствовать моему контролю, и я должен быть в состоянии пройти аудит в конечном итоге, показывая эти типы отчетов.
Итак, что мы сделали, так это то, что собрали около 25 различных отчетов по тем же областям, что и этот общий знаменатель. Таким образом, у нас нет отчета по PCI, HIPAA или SOX, у нас есть отчеты, которые, опять же, идут вразрез с этим общим знаменателем. И поэтому не имеет значения, какое нормативное требование вы пытаетесь выполнить, в большинстве случаев вы сможете ответить на любой вопрос, заданный вам этим аудитором. И они скажут вам, кто, что, когда и где каждой транзакции. Вы знаете, пользователь, время, когда произошла транзакция, сам оператор SQL, приложение, из которого он получен, все эти полезные вещи, а также возможность автоматизировать доставку этой информации в отчеты.
И затем, еще раз, как только вы пройдете через это и предоставите это одитору, тогда встанет следующий вопрос, докажите это. И когда я говорю «докажи это», я имею в виду доказать, что сам контрольный журнал - это то, чему мы можем доверять. И способ, которым мы делаем это в нашем инструменте, заключается в том, что у нас есть хеш-значения и значения CRC, которые напрямую связаны с самими событиями в журнале аудита. Итак, идея заключается в том, что если кто-то выходит и удаляет запись, или если кто-то выходит и удаляет или добавляет что-то в контрольный журнал, или что-то изменяет в самом контрольном журнале, мы можем доказать, что эти данные, целостность сами данные были нарушены. И поэтому в 99, 9% случаев, если вы заблокировали нашу базу данных журнала аудита, вы не столкнетесь с этой проблемой, потому что, когда мы запускаем эту проверку целостности, мы по существу доказываем аудитору, что сами данные не были изменено и удалено или добавлено с момента первоначальной записи из самой службы управления.
Это общий обзор типичных вопросов, которые вам зададут. Теперь инструмент, который нам нужно решить для решения многих из этих проблем, называется SQL Compliance Manager, и он выполняет все эти функции с точки зрения отслеживания транзакций, определения того, кто, что, когда и где совершает транзакции, и может сделать это в количество различных областей, а также. Входы в систему, неудачные входы в систему, изменения схемы, очевидно, доступ к данным, выбор действий, все те вещи, которые происходят в ядре базы данных. И мы также можем предупреждать пользователей о конкретных, очень детальных условиях, если это необходимо. Например, кто-то выходит и действительно просматривает таблицу, в которой содержатся все номера моих кредитных карт. Они не меняют данные, они просто смотрят на них. В этой ситуации я могу предупредить и сообщить людям, что это происходит, не через шесть часов, когда мы чистим журналы, а в режиме реального времени. Это в основном столько, сколько нам требуется, чтобы обработать эту транзакцию через сервис управления.
Как я уже упоминал ранее, мы видели, что это используется в различных нормативных требованиях, и на самом деле это не так, знаете ли, ни одно нормативное требование, опять же, если в качестве общих знаменателей у вас есть конфиденциальные данные в SQL Server база данных, это инструмент, который поможет в такой ситуации. Что касается 25 встроенных отчетов, то теперь реальность такова, что мы можем сделать этот инструмент полезным для аудитора и ответить на каждый вопрос, который они задают, но администраторы баз данных должны заставить его работать. Таким образом, мы также хорошо понимаем, что с точки зрения обслуживания мы должны убедиться, что SQL работает так, как нам нужно. Мы также должны быть в состоянии войти и посмотреть на вещи, которые будут в состоянии выйти и посмотреть на другие фрагменты информации, вы знаете, что касается архивирования данных, автоматизации этого и накладных расходов Сам продукт. Это те вещи, которые мы, очевидно, принимаем во внимание.
Что воспитывает саму архитектуру. Таким образом, в правой части экрана находятся экземпляры SQL, которыми мы управляем, начиная с 2000 года и вплоть до 2014 года, готовясь к выпуску версии для 2016 года. Самым большим выводом на этом экране является то, что управление Сам сервер делает всю тяжелую работу. Мы просто собираем данные, используя API-интерфейс трассировки, встроенный в SQL Server. Эта информация поступает на наш сервер управления. Этот сервер управления сам определяет и, если есть какие-либо события, связанные с какими-либо нежелательными транзакциями, рассылает оповещения и тому подобное, а затем заполняет данные в репозитории. Оттуда мы можем запускать отчеты, мы сможем выйти и реально увидеть эту информацию в отчетах или даже в консоли приложения.
Итак, что я собираюсь сделать дальше, так это то, что я собираюсь провести нас очень быстро, и я просто хочу указать на одну небольшую вещь, прежде чем мы перейдем к продукту, прямо сейчас на сайте есть ссылка, или на презентации, которая приведет вас к тому бесплатному инструменту, о котором я упоминал ранее. Этот бесплатный инструмент, как я уже сказал, собирается посмотреть базу данных и попытаться найти области, которые выглядят как конфиденциальные данные, номера социального страхования, номера кредитных карт, основываясь на именах столбцов или таблиц, или в зависимости от того, как выглядит формат данных, и вы также можете настроить его, чтобы просто указать на это.
Теперь, в нашем случае, позвольте мне пойти дальше и поделиться своим экраном, дать мне одну секунду здесь. Итак, сначала я хотел бы отвести вас к самому приложению Compliance Manager, и я собираюсь пройти через это довольно быстро. Но это приложение, и вы можете видеть, что у меня здесь есть пара баз данных, и я просто собираюсь показать вам, как легко войти и рассказать, что вы хотите проверить. С точки зрения изменений схемы, изменений безопасности, административных действий, DML, Select, у нас есть все эти доступные нам опции, мы также можем отфильтровать их. Это восходит к наилучшей практике: «Мне действительно нужна эта таблица, потому что она содержит номера моей кредитной карты. Мне не нужны другие таблицы, содержащие информацию о продукте, все те вещи, которые не относятся к уровню соответствия, которому я пытаюсь соответствовать ».
У нас также есть возможность собирать данные и показывать их в терминах значений полей, которые меняются. Во многих инструментах у вас будет что-то, что даст вам возможность захватывать оператор SQL, показывать пользователю, показывать приложение, время и дату, все эти хорошие вещи. Но в некоторых случаях сам оператор SQL не даст вам достаточной информации, чтобы можно было сказать, какое значение поля было до того, как произошло изменение, а также значение поля после того, как изменение произошло. И в некоторых ситуациях вам это нужно. Я мог бы, например, отследить информацию о дозировке лекарств, отпускаемых по рецепту. Он пошел от 50 мг до 80 мг до 120 мг, я мог бы отследить это, используя до и после.
Чувствительные столбцы - это еще одна вещь, с которой мы часто сталкиваемся, например, с соответствием PCI. В этой ситуации у вас есть данные, которые настолько чувствительны по своей природе, что, просто взглянув на эту информацию, мне не нужно ее изменять, удалять или добавлять к ней, я могу нанести непоправимый вред. Номера кредитных карт, номера социального страхования, все эти полезные вещи, которые мы можем определить чувствительные столбцы и привязать к ним оповещения. Если кто-нибудь выйдет и посмотрит на эту информацию, мы, очевидно, сможем предупредить и отправить электронное письмо или сгенерировать SNMP-ловушку и тому подобное.
Теперь в некоторых случаях вы столкнетесь с ситуацией, когда у вас может быть исключение. И что я имею в виду, у вас есть ситуация, когда у вас есть пользователь, у которого есть учетная запись пользователя, которая может быть привязана к какому-либо типу задания ETL, которое выполняется посреди ночи. Это документированный процесс, и мне просто не нужно включать эту транзакционную информацию для этой учетной записи пользователя. В этом случае у нас будет доверенный пользователь. И затем в других ситуациях мы будем использовать функцию аудита привилегированных пользователей, которая, по сути, если у меня есть, скажем, например, приложение, и это приложение уже выполняет аудит пользователей, проходящих через приложение, то есть отлично, у меня уже есть на что ссылаться с точки зрения моего аудита. Но за то, что связано, например, с моими привилегированными пользователями, ребятами, которые могут пойти в студию управления SQL Server, чтобы посмотреть на данные в базе данных, это не собирается сокращать их. И вот здесь мы можем определить, кто наши привилегированные пользователи, либо через Ролевое членство, либо через их учетные записи Active Directory, группы, их учетные записи с проверкой подлинности SQL, где мы сможем выбрать все эти различные типы параметров и затем убедитесь, что для этих привилегированных пользователей мы можем указать типы транзакций, которые мы заинтересованы в аудите.
Это всевозможные варианты, которые у вас есть, и я не собираюсь подробно останавливаться на разных типах вещей, основываясь на временных ограничениях, приведенных здесь для этой презентации. Но я хочу показать вам, как мы можем просматривать данные, и я думаю, вам понравится, как это работает, потому что есть два способа сделать это. Я могу сделать это в интерактивном режиме, и поэтому, когда мы говорим с людьми, которые заинтересованы в этом инструменте, возможно, для их собственного внутреннего контроля, они просто хотят знать, что происходит во многих случаях. У них не обязательно есть аудиторы, приезжающие на сайт. Они просто хотят знать: «Эй, я хочу пойти за этим столом и посмотреть, кто к нему прикоснулся на прошлой неделе или в прошлом месяце, или что бы там ни было». В этом случае вы можете видеть, как быстро мы можем это сделать.
В случае базы данных здравоохранения у меня есть таблица, которая называется «Записи пациентов». И эта таблица, если бы я просто сгруппировала объект, могла бы очень быстро начать сужаться там, где мы ищем. Может быть, я хочу сгруппировать по категориям, а затем, возможно, по событию. И когда я это сделаю, вы увидите, как быстро это отобразится, и вот моя таблица записей пациентов. И когда я углубляюсь в подробности, мы теперь можем видеть активность DML, мы видим, что у нас было тысяча вставок DML, и когда мы открываем одну из этих транзакций, мы можем видеть соответствующую информацию. Кто, что, когда, где, где находится транзакция, оператор SQL, очевидно, фактическое приложение, используемое для выполнения транзакции, учетная запись, время и дата.
Теперь, если вы посмотрите на следующую вкладку здесь, вкладку Details, мы вернемся к третьему вопросу, о котором мы говорим, и докажем, что целостность данных не была нарушена. Таким образом, в основном для каждого события у нас есть секретное вычисление для нашего значения хеш-функции, которое затем будет привязано к нашей проверке целостности. Например, если бы я должен был выйти к инструменту, зайти в меню аудита, и я должен был выйти и сказать, давайте проверим целостность репозитория, я мог бы указать на базу данных, где находится контрольный журнал, он запустится посредством проверки целостности, сопоставляющей эти значения хеш-функции и значения CRC с фактическими событиями, и это скажет нам, что не было найдено никаких проблем. Другими словами, данные в контрольном журнале не были подделаны, так как они были изначально написаны службой управления. Это, очевидно, один из способов взаимодействия с данными. Другой путь - через сами отчеты. И поэтому я просто приведу один быстрый пример отчета.
И снова, эти отчеты, как мы их придумали, не относятся к какому-либо стандарту, такому как PCI, HIPAA, SOX или чему-то в этом роде. Опять же, это общий знаменатель того, что мы делаем, и в этом случае, если мы вернемся к этому примеру записей пациентов, мы сможем выйти и сказать, что в нашем случае мы ищем в базе данных здравоохранения, и в нашем случае мы хотим сосредоточиться именно на той таблице, которая, как мы знаем, содержит личную информацию, в нашем случае связанную с нашими пациентами. Итак, позвольте мне посмотреть, смогу ли я напечатать это здесь, и мы собираемся запустить этот отчет. И тогда мы, очевидно, увидим оттуда все соответствующие данные, связанные с этим объектом. И в нашем случае это показывает нам в течение месяца. Но мы могли бы вернуться на шесть месяцев в год, как бы долго мы ни хранили данные.
Это те способы, которыми вы могли бы доказать, если хотите, одитору, что вы следуете своему контролю. После того, как вы это определили, очевидно, что это хорошо с точки зрения прохождения аудита и возможности показать, что вы следуете элементам управления и все работает.
Последнее, о чем я хотел бы рассказать, это раздел администрирования. Внутри самого этого инструмента есть также элементы управления, которые могут устанавливать элементы управления, чтобы быть уверенными, что если кто-то делает что-то, что он не должен делать, я могу быть осведомлен об этом. И я дам вам пару примеров там. У меня есть учетная запись, связанная с сервисом, и для этого сервиса требуются повышенные разрешения. Я не хочу, чтобы кто-то входил и использовал эту учетную запись в Management Studio, а затем, вы знаете, использовал ее для вещей, для которых она не была предназначена. У нас было бы два критерия, которые мы могли бы применить. Я мог бы сказать: «Послушайте, мы действительно заинтересованы в этой работе, скажем, с нашим приложением PeopleSoft», просто в качестве примера, хорошо?
Теперь, когда я это сделал, я хотел бы знать, какие логины связаны с учетной записью, которую я собираюсь указать, если приложение используется для входа в систему с этой учетной записью. это не PeopleSoft, тогда это будет повышение для тревоги. И, очевидно, мы должны указать само имя учетной записи, поэтому в нашем случае давайте просто назовем эту учетную запись Priv, поскольку она является привилегированной. Теперь, как только мы это сделаем, когда мы сделаем это здесь, теперь мы сможем указать, что мы хотели бы, чтобы произошло, когда это происходит, и для каждого типа события или, я должен сказать, оповещение, вы можете иметь отдельное уведомление для человека, который несет ответственность за этот конкретный фрагмент данных.
Например, если это информация о зарплате, она может пойти к моему директору по персоналу. В этом случае, имея дело с приложением PeopleSoft, он будет администратором этого приложения. В любом случае. Я мог бы добавить свой адрес электронной почты, настроить собственное предупреждающее сообщение и все такое хорошее. Опять же, все это сводится к тому, чтобы вы могли убедиться, что вы можете показать, что вы следуете своим элементам управления и что эти элементы управления работают так, как они предназначены. С последней точки зрения здесь, просто с точки зрения обслуживания, у нас есть возможность взять эти данные и перевести их в автономный режим. Я могу архивировать данные и планировать их, и мы сможем сделать это очень легко в том смысле, что вы, как администратор базы данных, можете использовать этот инструмент, настроить его и отойдите от него. Не так много рук будет, когда вы настроите его так, как должно быть. Как я уже сказал, самое сложное в этом, я думаю, не настройка того, что вы хотите провести аудит, это знание того, что вы хотите настроить для аудита.
И, как я уже сказал, природа зверя с одитингом, вы должны хранить данные в течение семи лет, поэтому имеет смысл сосредоточиться только на тех областях, которые чувствительны по своей природе. Но если вы хотите придерживаться подхода сбора всего, вы абсолютно можете, это просто не считается лучшей практикой. Поэтому с этой точки зрения я просто хотел бы напомнить людям, что если это что-то, что вас интересует, вы можете зайти на сайт IDERA.com, скачать пробную версию и поиграть с этим самостоятельно. С точки зрения бесплатного инструмента, о котором мы говорили ранее, это, ну, это бесплатно, вы можете скачать его и использовать его навсегда, независимо от того, используете ли вы продукт Compliance Manager. И что самое интересное в этом инструменте поиска по колонкам, это то, что вы пришли к нашим выводам, и я могу на самом деле показать, что, я думаю, вы сможете экспортировать эти данные, а затем импортировать их в Compliance Manager. также. Я не вижу этого, я знаю, что это здесь, там это есть. Это всего лишь пример этого. Здесь он находит соответствующие конфиденциальные данные.
Сейчас я вышел из этого дела и действительно смотрю на все, но у вас есть только куча вещей, которые мы можем проверить. Номера кредитных карт, адреса, имена и все такое. И мы определим, где она находится в базе данных, и затем вы сможете принять решение о том, действительно ли вы хотите проводить аудит этой информации. Но это определенно способ облегчить вам определение сферы аудита, когда вы смотрите на такой инструмент.
Я просто продолжу и закончу с этим, и я продолжу и передам это Эрику.
Эрик Кавана: Это фантастическая презентация. Мне нравится, как вы действительно вдаваетесь в мелкие детали и показываете, что происходит. Потому что в конце дня есть какая-то система, которая будет получать доступ к некоторым записям, которая даст вам отчет, который заставит вас рассказать свою историю, будь то регулятору, аудитору или кому-то из вашей команды Так что хорошо, что вы знаете, что готовы, если и когда, или как и когда этот человек постучит, и, конечно, это неприятная ситуация, которую вы пытаетесь избежать. Но если это произойдет, и, вероятно, это произойдет в эти дни, вы должны быть уверены, что у вас есть пунктирная буква I и ваша буква T пересечена.
Есть хороший вопрос от аудитории, которого я хочу сначала задать, возможно, вам, Буллетт, а затем, если, возможно, докладчик захочет это прокомментировать, не стесняйтесь. А потом, может быть, Дез и Робин зададут вопрос. Таким образом, вопрос заключается в том, справедливо ли сказать, что для того, чтобы сделать все те вещи, о которых вы упомянули, необходимо начать классификацию данных на начальном уровне? Вам нужно знать свои данные, когда они становятся ценным потенциальным активом, и что-то делать с этим. Я думаю, вы согласитесь, Буллетт, верно?
Буллет Манале: Да, конечно . Я имею в виду, ты должен знать свои данные. И я понимаю, я осознаю, что существует множество приложений, и есть много разных вещей, которые имеют движущиеся части в вашей организации. Инструмент поиска по столбцам очень полезен с точки зрения того, чтобы сделать шаг в направлении лучшего понимания этих данных. Но да, это очень важно. Я имею в виду, что у вас есть возможность использовать подход пожарного шланга и проверять все, но с логистической точки зрения это намного сложнее, если вы говорите о необходимости хранить эти данные и сообщать о них. И тогда вам все еще нужно знать, где находится этот фрагмент данных, потому что когда вы запускаете свои отчеты, вам также необходимо показывать аудиторам эту информацию. Поэтому я думаю, что, как я уже сказал, самая большая проблема, когда я общаюсь с администраторами баз данных, это знать, да.
Эрик Кавана: Да, но, возможно, Робин, мы приведем тебя очень быстро. Мне кажется, здесь применимо правило 80/20, верно? Вы, вероятно, не найдете ни одной системы записи, которая имеет значение, если вы находитесь в какой-то средней или крупной организации, но если вы сосредоточитесь на - как это предлагал Буллетт - PeopleSoft, например, или на других системах записи, которые Преобладающим на предприятии, именно на этом вы сосредотачиваете 80 процентов своих усилий, а затем 20 процентов на других системах, которые могут быть где-то там, верно?
Робин Блур: Ну, я уверен, да. Я имею в виду, вы знаете, я думаю, что проблема с этой технологией, и я думаю, что, вероятно, стоит прокомментировать ее, но проблема с этой технологией, как вы ее реализуете? Я имею в виду, что в большинстве организаций совершенно определенно не хватает знаний, скажем, даже о количестве существующих баз данных. Вы знаете, очень много нехватки инвентаря, скажем так. Вы знаете, вопрос в том, давайте представим, что мы начинаем в ситуации, когда нет особенно хорошо контролируемого соответствия, как вы берете эту технологию и внедряете ее в окружающую среду, а не только в, вы знаете, технологию сроки, настройка вещи, но, как кто управляет этим, кто что определяет? Как вы начинаете втискивать это в настоящие, делающие свою работу вещи?
Bullett Manale: Ну, я имею в виду, это хороший вопрос. Проблема во многих случаях заключается в том, что я имею в виду, что вы должны начать задавать вопросы в самом начале. Я сталкивался со многими компаниями, где они, вы знаете, может быть, они являются частной компанией, и их приобрели, есть первоначальный, во-первых, своего рода дорожный удар, если вы хотите так его назвать. Например, если я только что стал публичной компанией из-за приобретения, мне придется вернуться и, возможно, кое-что выяснить.
И в некоторых случаях мы общаемся с организациями, которые, знаете ли, хотя они и являются частными, они следуют правилам соответствия SOX, просто потому, что в случае, если они действительно хотят быть приобретенными, они знают, что должны соблюдать. Вы определенно не хотите использовать подход просто: «Мне не нужно беспокоиться об этом сейчас». Любой тип соответствия нормативным требованиям, такой как PCI или SOX или любой другой, вы хотите инвестировать в исследование или понимание того, где находится эта конфиденциальная информация, в противном случае вы можете столкнуться с какими-то значительными, огромными штрафами. И гораздо лучше просто потратить это время, вы знаете, найти эти данные и иметь возможность сообщать о них и показывать, что средства управления работают.
Да, с точки зрения его настройки, как я уже сказал, первое, что я бы порекомендовал людям, которые готовятся к аудиту, - это просто выйти и провести краткий осмотр базы данных и выяснить, стараться изо всех сил пытаться выяснить, где находятся эти конфиденциальные данные. И другой подход заключается в том, чтобы начать с, возможно, более крупной сети с точки зрения объема аудита, а затем медленно ограничить свой путь, как только вы определитесь, где находятся те области в системе, которые связаны с конфиденциальная информация. Но я хотел бы сказать вам, что есть простой ответ на этот вопрос. Вероятно, он будет сильно отличаться от одной организации к другой, а также от типа соответствия и того, как, вы знаете, сколько у них структуры в приложениях и сколько у них различных приложений, некоторые могут быть написанными на заказ приложениями. так что это действительно будет зависеть от ситуации во многих случаях.
Эрик Кавана: Давай, Дез, я уверен, что у тебя есть вопрос или два.
Дез Бланчфилд: Я просто хочу немного разобраться в ваших наблюдениях за воздействием на организации с точки зрения людей. Я думаю, что одна из областей, в которых я вижу наибольшее значение для этого конкретного решения, состоит в том, что, когда люди просыпаются утром и идут на работу на различные уровни организации, они просыпаются с рядом или цепочкой ответственности с которыми им приходится иметь дело. И я стремлюсь получить некоторое представление о том, что вы видите там, с теми инструментами, о которых вы говорите, и без них. И контекст, о котором я здесь говорю, - от председателя совета директоров до генерального директора, CIO и C-suite. И теперь у нас есть директора по управлению рисками, которые больше думают о типах вещей, о которых мы говорим здесь, о соблюдении и управлении, а затем у нас теперь есть новые руководители ролевых игр, директор по информационным технологиям, которые, вы знаете, еще больше обеспокоен этим.
И на стороне каждого из них, вокруг ИТ-директора, у нас есть ИТ-менеджеры с одной стороны, как вы знаете, с техническими руководителями, а затем с руководителями баз данных. А в оперативном пространстве у нас есть менеджеры по разработке и руководители разработок, а затем отдельные разработки, и они также возвращаются на уровень администрирования базы данных. Что вы видите вокруг реакции каждой из этих различных частей бизнеса на проблему соответствия нормативным требованиям и их подхода к решению проблемы? Видите ли вы, что люди идут на это с энтузиазмом и видят в этом выгоду, или вы видите, что они неохотно тянут свои ноги к этой штуке и просто, вы знаете, делают это ради галочки в коробке? И какие ответы вы видите, когда они видят ваше программное обеспечение?
Bullett Manale: Да, это хороший вопрос. Я бы сказал, что этот продукт, продажи этого продукта, в основном управляются кем-то, кто находится на горячем месте, если это имеет смысл. В большинстве случаев это администратор базы данных, и с нашей точки зрения, другими словами, они знают, что готовится аудит, и они будут нести ответственность, потому что они администраторы баз данных, чтобы иметь возможность предоставлять информацию, которую аудитор собирается спросить. Они могут сделать это, написав свои собственные отчеты и создав свои собственные следы и тому подобное. Реальность такова, что они не хотят этого делать. В большинстве случаев администраторы БД не очень хотят начинать эти беседы с аудитором. Знаете, я бы лучше сказал вам, что мы можем позвонить в компанию и сказать: «Эй, это отличный инструмент, и он вам понравится», показать им все функции, и они купят его.
Реальность такова, что они, как правило, не будут смотреть на этот инструмент, если они на самом деле не столкнутся с аудитом или другой стороной этой медали является то, что они прошли аудит и потерпели неудачу, и теперь они говорят, чтобы получить некоторую помощь, или они будут оштрафованы. Я бы сказал, что с точки зрения, в общем, в целом, когда вы показываете этот продукт людям, они определенно видят его ценность, потому что это экономит им массу времени с точки зрения необходимости выяснения того, о чем они хотят сообщить. и тому подобное. Все эти отчеты уже встроены, механизмы оповещения на месте, а затем с третьим вопросом также, во многих случаях, может быть проблемой. Поскольку я могу показывать вам отчеты в течение всего дня, но если вы не докажете мне, что эти отчеты действительно действительны, вы знаете, что мне, как администратору базы данных, гораздо сложнее показать это. Но мы разработали технологию и технику хэширования и все эти виды вещей, чтобы помочь обеспечить сохранение данных в их целостности контрольных журналов.
И вот те вещи, которые являются моими наблюдениями с точки зрения большинства людей, с которыми мы общаемся. Вы знаете, определенно, в разных организациях, вы знаете, например, вы услышите о, вы знаете, например, у Target, например, произошла утечка данных, и, вы знаете, я имею в виду, когда другие организации слышат о штрафах и такие вещи люди начинают, это поднимает бровь, так что, надеюсь, это отвечает на вопрос.
Дез Бланчфилд: Да, определенно. Я могу представить себе некоторых администраторов баз данных, когда они, наконец, видят, что можно сделать с помощью этого инструмента, просто осознают, что у них есть свои поздние ночи и выходные дни. Сокращение времени и затрат и другие вещи, которые я наблюдаю, когда соответствующие инструменты применяются для решения всей этой проблемы, то есть три недели, когда я сидел в банке здесь, в Австралии. Это глобальный банк, тройка лидеров, они огромные. И у них был проект, в котором они должны были отчитываться о соблюдении ими своих требований по управлению активами и особенно о риске, и они рассчитывали на 60 недель работы для пары сотен людей. И когда им показали такие инструменты, как вы, которые могли бы просто автоматизировать процесс, в этом смысле выражение их лица, когда они поняли, что им не нужно тратить X недель с сотнями людей, выполняющих ручной процесс, было вроде как они нашли Бога. Но сложная задача заключалась в том, как на самом деле воплотить это в жизнь, как сказал доктор Робин Блур, вы знаете, это то, что становится смесью поведенческого, культурного сдвига. На уровнях, с которыми вы имеете дело, кто имеет дело с этим непосредственно на уровне приложений, какие изменения вы видите, когда они начинают внедрять инструмент для предоставления таких видов отчетности, аудита и контроля, которые вы можете предложить, как в отличие от того, что они могли бы сделать вручную? Как это выглядит, когда они на самом деле применяются на практике?
Bullett Manale: Вы спрашиваете, в чем разница с точки зрения обработки этого вручную по сравнению с использованием этого инструмента? Это вопрос?
Дез Бланчфилд: Ну, конкретно, влияние бизнеса. Так, например, если мы пытаемся обеспечить соответствие в ручном режиме, вы знаете, мы неизменно отнимаем много времени у многих людей. Но я полагаю, что для того, чтобы поставить некоторый контекст вокруг вопроса, как вы знаете, мы говорим об одном человеке, работающем с этим инструментом и заменяющем потенциально 50 человек, и способном делать то же самое в реальном времени или в часах по сравнению с месяцами? Так ли это, что это вообще может быть?
Bullett Manale: Ну, я имею в виду, это сводится к нескольким вещам. Один имеет возможность ответить на эти вопросы. Некоторые из этих вещей не будут сделаны очень легко. Так что да, время, затрачиваемое на домашнюю работу, на составление собственных отчетов, настройку трассировок или расширенных событий для сбора данных вручную, может занять много времени. На самом деле, я дам вам кое-что, я имею в виду, что это на самом деле не относится к базам данных, но, как сразу после того, как Enron произошел и SOX стал распространенным, я был в одной из крупных нефтяных компаний в Хьюстоне, и мы рассчитывали на Я думаю, что 25% наших бизнес-расходов были связаны с соответствием SOX.
Теперь это было сразу после этого, и это был своего рода первый шаг в SOX, но с этим, я бы сказал, вы знаете, вы получаете большую выгоду от использования этого инструмента в том смысле, что он не требует много людей, чтобы сделать это, и много разных типов людей, чтобы сделать это. И, как я уже сказал, администратор БД обычно не тот парень, который действительно с нетерпением ждет таких бесед с аудиторами. Таким образом, во многих случаях мы увидим, что администратор базы данных может разгрузить это и быть в состоянии предоставить отчет, связанный с аудитором, и они могут полностью удалить себя из уравнения, вместо того, чтобы быть вовлеченным. Итак, вы знаете, это огромная экономия с точки зрения ресурсов, когда вы можете сделать это.
Дез Бланчфилд: Вы говорите о значительном сокращении расходов, верно? Организации не только устраняют риск и накладные расходы, но, по сути, я имею в виду, что вы говорите о значительном снижении затрат, A) в оперативном, а также B) в том факте, что, вы знаете, если они могут реально обеспечить Своевременное информирование о существенном снижении риска нарушения данных или какого-либо юридического штрафа или влияния за несоблюдение, не так ли?
Буллет Манале: Да, конечно . Я имею в виду, что из-за несоответствия случаются все виды плохих вещей. Они могут использовать этот инструмент, и было бы замечательно или нет, и они узнают, насколько это на самом деле плохо. Так что да, это не только инструмент, очевидно, вы можете делать свои проверки и все остальное без инструмента, подобного этому. Как я уже сказал, это займет гораздо больше времени и затрат.
Дез Бланчфилд: Отлично . Итак, Эрик, я собираюсь вернуться к вам, потому что я думаю, что выгода для меня заключается в том, что, вы знаете, рынок просто фантастический. Но также, по сути, вещь на вес золота, потому что возможность избежать коммерческого воздействия возникающей проблемы или возможность сократить время, необходимое для отчетности и контроля за соблюдением, просто делает ее, вы знаете, Инструмент окупается сразу же звуками вещей.
Эрик Кавана: Это точно. Ну, спасибо, что уделили нам время, Буллетт. Спасибо всем вам за ваше время и внимание, а также Робин и Дез. Еще одна отличная презентация сегодня. Спасибо нашим друзьям из IDERA за то, что они предоставили нам этот контент бесплатно. Мы будем архивировать эту веб-трансляцию для последующего просмотра. Архив обычно работает в течение дня. И дайте нам знать, что вы думаете о нашем новом веб-сайте insideanalysis.com. Совершенно новый дизайн, совершенно новый внешний вид. Мы будем рады услышать ваши отзывы, и с этим я попрощаюсь с вами, ребята. Вы можете написать мне. В противном случае мы встретимся с вами на следующей неделе. У нас есть семь веб-трансляций в следующие пять недель или что-то в этом роде. Мы будем заняты. И мы будем на конференции Strata и саммите IBM Analyst в Нью-Йорке в конце этого месяца. Так что, если вы там, зайдите и скажите привет. Береги себя, ребята. Пока-пока.
