Von Techopedia Staff, 14. September 2016
Takeaway: Host Eric Kavanagh erläutert in dieser Folge von Hot Technologies die Datenbankprüfung und die Einhaltung von Vorschriften mit den Analysten Robin Bloor und Dez Blanchfield sowie Bullett Manale von IDERA.
Du bist derzeit nicht angemeldet. Bitte melde dich an oder registriere dich, um das Video zu sehen.
Eric Kavanagh: Sehr geehrte Damen und Herren, hallo und herzlich willkommen bei Hot Technologies! Ja, in der Tat, von 2016. Wir sind im dritten Jahr dieser Show, es ist sehr aufregendes Zeug. Wir haben dieses Jahr gerockt und gerollt. Dies ist Eric Kavanagh, Ihr Gastgeber. Das Thema für heute - dies ist ein großartiges Thema, es hat viele Anwendungen in einer Reihe von Branchen, ganz offen gesagt - "Wer, was, wo und wie: Warum möchten Sie wissen?" Ja, wir werden über all das lustige Zeug reden. Es gibt eine Folie über Ihre wirklich, schlagen Sie mich auf Twitter @eric_kavanagh. Ich versuche, alle Erwähnungen erneut zu twittern und alles, was mir jemand sendet, erneut zu twittern. Ansonsten soll es so sein.
Es ist heiß, ja in der Tat! Die ganze Show hier soll Organisationen und Einzelpersonen helfen, bestimmte Arten von Technologie zu verstehen. Wir haben hier das gesamte Programm Hot Technologies entwickelt, um eine bestimmte Art von Software, einen bestimmten Trend oder eine bestimmte Art von Technologie zu definieren. Der Grund dafür ist, dass in der Software-Welt häufig diese Marketingbegriffe auftauchen, über die man sich lustig macht, und manchmal können sie die Konzepte, die sie beschreiben sollten, offen bastardisieren.
In dieser Show möchten wir Ihnen wirklich helfen, zu verstehen, was eine bestimmte Art von Technologie ist, wie sie funktioniert, wann Sie sie verwenden können, wann Sie sie möglicherweise nicht verwenden sollten, und Ihnen so viele Details wie möglich zu geben. Wir werden heute drei Moderatoren haben: unseren eigenen Robin Bloor, Chefanalyst hier bei der Bloor-Gruppe; Unser Datenwissenschaftler aus Sydney, Australien auf der anderen Seite des Planeten, Dez Blanchfield, und einer unserer Lieblingsgäste, Bullett Manale, Director of Sales Engineering bei IDERA.
Ich sage hier nur ein paar Dinge, um zu verstehen, wer was mit welchen Daten macht. Wenn Sie über all die Vorschriften in diesen Bereichen nachdenken, wie zum Beispiel über das Gesundheitswesen und die Finanzdienstleistungen, dann ist das unglaublich wichtig. Sie müssen wissen, wer die Informationen berührt hat, wer etwas geändert hat, wer darauf zugegriffen hat, wer sie hochgeladen hat. Was ist die Herkunft, was ist die Vorsehung dieser Daten? Sie können sicher sein, dass all diese Probleme in den kommenden Jahren aus den unterschiedlichsten Gründen weiterhin im Vordergrund stehen werden. Nicht nur aus Compliance-Gründen, obwohl HIPAA, Sarbanes-Oxley und Dodd-Frank und all diese Vorschriften von großer Bedeutung sind, sondern auch, damit Sie in Ihrem Unternehmen verstehen, wer was, wo, wann, warum und wie tut. Das ist gutes Zeug, wir werden aufpassen.
Mach weiter, nimm es weg, Robin Bloor.
Robin Bloor: Okay, danke für die Einführung, Eric. Dieser Bereich der Governance ist, ich meine, Governance in der IT war kein Wort, das Sie bis kurz nach dem Jahr 2000 gehört haben, denke ich. Dies geschah in erster Linie, weil, wie ich finde, in erster Linie die Compliance-Gesetzgebung im Gange war. Insbesondere HIPAA und Sarbanes-Oxley. Es gibt tatsächlich viel davon. Daher erkannten die Organisationen, dass sie über eine Reihe von Regeln und Verfahren verfügen mussten, da dies gesetzlich erforderlich war. Lange zuvor, insbesondere im Bankensektor, gab es verschiedene Initiativen, denen Sie folgen mussten, je nachdem, um welche Art von Bank es sich handelte, und insbesondere um internationale Banker. Die ganze Basel-Konformität begann lange vor dieser Reihe von Initiativen nach dem Jahr 2000. Auf die Governance kommt es wirklich an. Ich dachte, ich würde mich mit dem Thema Governance beschäftigen, um herauszufinden, wer die Daten erhält.
Früher habe ich mich bei Data Governance umgesehen, vor fünf oder sechs Jahren habe ich mich nach Definitionen umgesehen und es war überhaupt nicht gut definiert. Es wird immer klarer, was es eigentlich bedeutet. Die Realität war, dass in gewissen Grenzen alle Daten tatsächlich vorher geregelt wurden, es jedoch keine formalen Regeln dafür gab. Es gab spezielle Regeln, die speziell in der Bankenbranche für solche Dinge erlassen wurden, aber auch hier ging es mehr um Compliance. Auf die eine oder andere Weise zu beweisen, dass Sie tatsächlich eine - es ist eine Art Risiko verbunden, so dass es beweist, dass Sie eine tragfähige Bank waren, war der Deal.
Wenn Sie sich jetzt die Governance-Herausforderung ansehen, beginnt sie mit einer Tatsache der Big-Data-Bewegung. Wir haben immer mehr Datenquellen. Datenvolumen ist dabei natürlich ein Thema. Insbesondere haben wir begonnen, viel, viel mehr mit unstrukturierten Daten zu tun. Es fing an, etwas zu werden, das Teil des gesamten Analysespiels ist. Aufgrund der Analyse sind die Herkunft und Herkunft der Daten wichtig. Um Data Analytics in irgendeiner Weise im Zusammenhang mit Compliance einsetzen zu können, muss man wirklich wissen, woher die Daten stammen und wie sie zu dem werden, was sie sind.
Die Datenverschlüsselung wurde zu einem Problem, das zu einem größeren Problem wurde, sobald wir zu Hadoop gingen, da die Idee eines Datensees, in dem wir viele Daten speichern, plötzlich bedeutet, dass Sie ein riesiges Sicherheitsrisiko für Menschen haben, die davon betroffen sind daran. Die Verschlüsselung von Daten wurde immer wichtiger. Die Authentifizierung war immer ein Problem. In der älteren Umgebung, die ausschließlich auf Mainframes basiert, war der Perimeter-Sicherheitsschutz so großartig. Authentifizierung war nie wirklich ein Problem. Später wurde es ein größeres Problem und es ist jetzt viel mehr ein Problem, weil wir so stark verteilte Umgebungen haben. Datenzugriffsüberwachung, das wurde ein Problem. Ich scheine mich an verschiedene Werkzeuge zu erinnern, die vor ungefähr zehn Jahren entstanden sind. Ich denke, die meisten davon waren auf Compliance-Initiativen zurückzuführen. Deshalb haben wir auch alle Compliance-Regeln und Compliance-Berichte.
Das, woran man denkt, ist, dass man schon in den neunziger Jahren, als man klinische Studien in der Pharmaindustrie durchführte, nicht nur nachweisen musste, woher die Daten stammten - natürlich ist es sehr wichtig, wenn man es versucht Um ein Medikament in verschiedenen Kontexten auszuprobieren, um zu wissen, wer anprobiert wird und welche Kontextdaten es enthält, musste man in der Lage sein, eine Prüfung der Software durchzuführen, mit der die Daten tatsächlich erstellt wurden. Es ist die strengste Konformität, die ich je gesehen habe, um zu beweisen, dass Sie die Dinge nicht absichtlich oder versehentlich durcheinander bringen. In letzter Zeit ist insbesondere das Management des Datenlebenszyklus zu einem Problem geworden. All dies sind in gewisser Weise Herausforderungen, weil viele davon nicht gut gemacht wurden. Unter vielen Umständen ist es notwendig, sie zu tun.
Das nenne ich die Datenpyramide. Ich habe das schon mal durchgesprochen. Ich finde es eine sehr interessante Sichtweise. Sie können sich Daten mit Ebenen vorstellen. Rohdaten sind, wenn Sie möchten, meistens nur Signale oder Messungen, Aufzeichnungen, Ereignisse oder einzelne Aufzeichnungen. Möglicherweise erzeugen Transaktionen, Berechnungen und Aggregationen natürlich neue Daten. Sie können auf Datenebene betrachtet werden. Darüber hinaus werden Daten, sobald Sie sie miteinander verbinden, zu Informationen. Es wird nützlicher, aber es wird natürlich anfälliger für Leute, die es hacken oder missbrauchen. Ich definiere das so, dass es tatsächlich durch die Strukturierung von Daten erzeugt wird und in der Lage ist, die Daten mit Glossaren, Schemata und Ontologien auf den Informationen zu visualisieren. Diese beiden unteren Schichten verarbeiten wir auf die eine oder andere Weise. Darüber nenne ich die Wissensschicht, die aus Regeln, Richtlinien, Richtlinien und Verfahren besteht. Einige davon können tatsächlich durch in der Analytik entdeckte Erkenntnisse entstehen. Viele von ihnen sind Richtlinien, an die Sie sich halten müssen. Dies ist, wenn Sie möchten, die Ebene der Regierungsführung. Hier werden auf die eine oder andere Weise die beiden folgenden Ebenen nicht verwaltet, wenn diese Ebene nicht ordnungsgemäß gefüllt ist. Der letzte Punkt dabei ist das Verstehen in etwas, das nur in Menschen wohnt. Computer haben das zum Glück noch nicht geschafft. Sonst wäre ich arbeitslos.
Das Governance-Imperium - ich habe es sozusagen zusammengestellt, ich glaube, es muss vor ungefähr neun Monaten gewesen sein, möglicherweise viel früher. Grundsätzlich habe ich es etwas verbessert, aber sobald wir uns um die Governance zu kümmern begannen, gab es in Bezug auf den Datendrehkreuz des Unternehmens nicht nur ein Datenreservoir, Datenseeressourcen, sondern auch allgemeine Server verschiedener Art. spezialisierte Datenserver. All das musste geregelt werden. Wenn Sie sich auch die verschiedenen Dimensionen angesehen haben - Datensicherheit, Datenbereinigung, Metadatenerkennung und Metadatenverwaltung, Erstellen eines Geschäftsglossars, Datenzuordnung, Datenherkunft, Datenlebenszyklusverwaltung -, dann Leistungsüberwachungsverwaltung, Service-Level-Management, Systemverwaltung, die Sie vielleicht nicht mit Governance in Verbindung bringen, sondern mit einer bestimmten - jetzt, da wir in einer immer schnelleren Welt mit immer mehr Datenflüssen unterwegs sind, ist es eine Notwendigkeit, tatsächlich etwas mit einer bestimmten Leistung tun zu können wird eher zur Regel als zu irgendetwas anderem.
Zusammenfassend habe ich dies über viele Jahre hinweg beobachtet, aber der allgemeine Datenschutz kam tatsächlich in den neunziger Jahren in Europa. Seitdem ist es immer raffinierter geworden. Dann wurden all diese Dinge eingeführt oder verfeinert. GRC, das ist Governance-Risiko und Compliance, gibt es seit den Basler Banken. ISO hat Standards für verschiedene Arten von Operationen erstellt. Ich weiß seit langem, dass ich in der IT tätig bin - es ist eine lange Zeit her -, dass die US-Regierung bei der Ausarbeitung verschiedener Gesetze besonders aktiv war: SOX, es gibt Gramm-Leach-Bliley, HIPAA, FISMA, FERPA. Sie haben auch die wunderbare NIST-Organisation, die viele Standards, insbesondere Sicherheitsstandards, erstellt, die sehr nützlich sind. Die Datenschutzgesetze in Europa haben lokale Abweichungen. Was Sie beispielsweise in Deutschland mit personenbezogenen Daten tun können, unterscheidet sich von dem, was Sie in der Slowakischen Republik, in Slowenien oder wo auch immer tun können. Sie haben vor kurzem eingeführt - und ich dachte, ich würde das erwähnen, weil ich es amüsant finde -, Europa führt die Idee des Rechts ein, vergessen zu werden. Das heißt, es sollte eine Verjährungsfrist für öffentlich zugängliche Daten geben, bei denen es sich tatsächlich um personenbezogene Daten handelt. Ich finde das komisch. Aus IT-Sicht wird es sehr, sehr schwierig, wenn es zu einer wirksamen Gesetzgebung wird. Zusammenfassend würde ich Folgendes sagen: Da sich IT-Daten und -Management schnell weiterentwickeln, muss sich auch die Governance schnell weiterentwickeln, und dies gilt für alle Bereiche der Governance.
Trotzdem gebe ich den Ball an Dez weiter.
Eric Kavanagh: Ja, also Dez Blanchfield, nehmen Sie es weg. Robin, ich bin bei dir, Mann, ich bin gespannt, wie sich dieses Recht, vergessen zu werden, auswirkt. Ich denke, dass es nicht nur eine Herausforderung sein wird, sondern im Grunde genommen unmöglich. Es ist nur eine Verletzung des Wartens, von Regierungsbehörden ausgeübt zu werden. Dez, nimm es weg.
Dez Blanchfield: Es ist in der Tat und das ist ein Thema für eine andere Diskussion. Wir stehen hier im asiatisch-pazifischen Raum vor einer sehr ähnlichen Herausforderung, insbesondere in Australien, wo Carrier und ISPs alles im Zusammenhang mit dem Internet protokollieren müssen und es aufzeichnen und wieder auffliegen können, falls jemand von Interesse etwas falsch macht. Es ist ein Gesetz und du musst es befolgen. Die Herausforderung könnte sein, genau wie jemand bei Google in den USA aufgefordert wird, meinen Suchverlauf oder was auch immer zu löschen, das europäische Recht zu beachten, insbesondere das deutsche Datenschutzrecht. In Australien muss ein Mobilfunkanbieter in der Lage sein, Details zu Anrufen und zum Suchverlauf anzugeben, was eine Herausforderung darstellt, aber es ist die Welt, in der wir leben. Dafür gibt es eine Reihe von Gründen. Lass mich einfach in meine springen.
Ich habe meine Titelseite absichtlich schwer lesbar gemacht. Du musst dir diesen Text wirklich genau ansehen. Compliance gemäß einer Reihe von Regeln, Spezifikationen, Kontrollen, Richtlinien, Standards oder Gesetzen mit einem albernen, chaotischen Hintergrund. Das liegt daran, dass Sie sich nur schwer damit auseinandersetzen müssen, um die Details zu ermitteln und Informationen aus den eingeblendeten Elementen zu extrahieren. Dabei handelt es sich um eine Reihe von Tabellen, Zeilen und Spalten, entweder eine Datenbank, ein Schema oder ein Modell in Visio. So fühlt sich Compliance Tag für Tag an. Es ist ziemlich schwierig, ins Detail zu gehen und die relevanten Informationen herauszuholen, die Sie benötigen, um zu bestätigen, dass Sie konform sind. Berichten Sie darüber, überwachen Sie es und testen Sie es.
Tatsächlich fand ich eine wirklich gute Möglichkeit, dies zu visualisieren, wenn wir uns die Frage stellen: "Sind Sie konform?" "Bist du sicher?" "Nun, beweise es!" Es gibt eine wirklich lustige Sache, die vielleicht ein bisschen anglo-keltischer ist, aber ich bin mir sicher, dass sie ihren Weg um die Welt in die USA gefunden hat, also lautet sie: "Wo ist Wally?" Wally ist eine kleine Figur, die in Form von Büchern in diese Comiczeichnungen einfließt. Normalerweise sehr großformatige Bilder von A3 oder größer. Also Zeichnungen in Tischgröße. Er ist ein kleiner Charakter, der eine Mütze und ein rot-weiß gestreiftes Hemd trägt. Die Idee des Spiels ist, dass Sie sich dieses Bild ansehen und sich im Kreis umsehen, um Wally zu finden. Er ist dort irgendwo auf dem Bild. Wenn Sie darüber nachdenken, wie Sie Compliance erkennen und beschreiben und darüber Bericht erstatten können, ist dies in vielerlei Hinsicht wie „Where's Wally“. Wenn Sie sich dieses Bild ansehen, ist es fast unmöglich, den Charakter zu finden. Kinder verbringen Stunden damit und ich hatte gestern viel Spaß damit. Wenn wir es uns ansehen, finden wir eine ganze Reihe von Menschen in diesen Cartoons, die absichtlich mit ähnlichen Teilen des Wally-Outfits einer gestreiften Mütze und eines Jerseys oder eines Wolltops dort platziert sind. Aber sie werden zu Fehlalarmen.
Dies ist eine ähnliche Herausforderung, die wir bei der Einhaltung haben. Wenn wir uns Dinge ansehen, denken wir manchmal, dass dies der Fall ist oder überhaupt nicht. Jemand könnte Zugriff auf eine Datenbank haben und er sollte diesen Zugriff auf eine Datenbank haben, aber die Art und Weise, wie er sie verwendet, unterscheidet sich geringfügig von den Erwartungen. Wir könnten entscheiden, dass wir uns das ansehen müssen. Wenn wir uns das ansehen, stellen wir tatsächlich fest, dass es sich um einen sehr gültigen Benutzer handelt. Sie machen nur etwas Skurriles. Vielleicht ist es ein PC-Forscher oder wer weiß. In anderen Fällen könnte das Gegenteil der Fall sein. Die Realität, wenn ich wieder vorwärts gehe, gibt es Wally. Wenn Sie in dieser hohen Auflösung wirklich genau hinsehen, gibt es einen Charakter, der tatsächlich die richtige Kleidung trägt. Alle anderen sind nur Doppelgänger und Gleichgesinnte. Compliance fühlt sich sehr ähnlich an. Die meisten Leute, die ich kenne, arbeiten in Kontroll- und Compliance- und Richtlinienbereichen von Unternehmen. In den unterschiedlichsten Bereichen, ob es sich um Technologie, Finanzen oder Betrieb handelt und um Risiken. Oft ist es sehr schwer, den Wally auf dem Bild zu sehen, man sieht die Bäume oder den Wald.
Die Frage, die wir uns stellen, wenn wir über Dinge wie Compliance nachdenken, lautet: "Big Deal, was könnte möglicherweise schief gehen, wenn wir die Compliance nicht ganz einhalten?" Im Zusammenhang mit der heutigen Diskussion, insbesondere um die Datenbank und die Kontrolle des Zugriffs auf Daten, werde ich Ihnen einige sehr reale Beispiele für Weckrufe geben, die kurz und bündig beschreiben, was schief gehen kann. Wenn wir an Datenschutzverletzungen denken und wir alle mit Datenschutzverletzungen vertraut sind, hören wir sie in den Medien, und wir hören auf zu lachen, weil die Leute denken, dass dies Märkte sind. Es sind persönliche Dinge. Es sind Ashley Madison und Leute, die nach Verabredungen außerhalb ihrer Beziehungen und Ehen suchen. Es ist schleudern Konten. Es sind all diese seltsamen Dinge, oder ein zufälliger europäischer oder russischer ISP oder eine Hosting-Firma wird gehackt. Wenn es um Dinge wie MySpace und diese Top Ten geht, wenn Sie sich diese Zahlen ansehen, möchte ich, dass Sie Folgendes erkennen: 1, 1 Milliarden Menschen in diesen Top-Ten-Verstößen. Und ja, es gibt Überschneidungen, es gibt wahrscheinlich Leute, die einen MySpace-Account, einen Dropbox-Account und einen Tumblr-Account haben, aber runden wir es einfach auf eine Milliarde Leute auf.
Diese zehn häufigsten Verstöße in den letzten zehn Jahren - in den meisten Fällen noch nicht einmal in einem Jahrzehnt - machen etwa ein Siebtel der Weltbevölkerung aus, realistischerweise sind jedoch etwa 50 Prozent der Menschen mit dem Internet verbunden Internet, über eine Milliarde Menschen. Dies ist darauf zurückzuführen, dass die Compliance in einigen Fällen nicht eingehalten wurde. In den meisten Fällen handelte es sich um Zugriffskontrollen für Datenbanken, Zugriffskontrollen für bestimmte Datensätze sowie für Systeme und Netzwerke. Dies ist ein beängstigender Realitätscheck. Wenn es dich nicht erschreckt, wenn du dir die Top Ten ansiehst und du siehst, dass dies ein - oder eine Milliarde Menschen sind, echte Menschen wie wir, die gerade anrufen. Wenn Sie ein LinkedIn-Konto haben, wenn Sie ein Dropbox-Konto oder ein Tumblr-Konto hatten oder wenn Sie bei Adobe-Produkten gekauft oder sogar den kostenlosen Adobe Viewer heruntergeladen haben. Es ist sehr wahrscheinlich, nicht möglich. Es ist sehr wahrscheinlich, dass Ihre Daten, Ihr Vorname, Ihr Nachname, Ihre E-Mail-Adresse, möglicherweise sogar Ihre Arbeitsfirma, Ihre Privatadresse oder Ihre Kreditkarte aufgrund eines Verstoßes tatsächlich veröffentlicht werden Dies geschah aufgrund der Kontrollen, die nicht unbedingt in Form von Datenmanagement, Data Governance, gut verwaltet wurden.
Schauen wir es uns einmal genauer an. Es gibt einen Bildschirm von ihnen, es gibt ungefähr 50-etwas da. Es gibt noch weitere 15. Es gibt noch weitere 25. Dies sind Datenschutzverletzungen, die auf der Website haveibeenpwned.com aufgeführt sind. Dies kann möglicherweise schief gehen, wenn eine einfache Steuerung, die Zugriff auf Daten in Datenbanken in verschiedenen Feldern und Zeilen und Spalten sowie in verschiedenen Anwendungen in Ihrem Unternehmen hatte, nicht ordnungsgemäß funktioniert. Diese Organisationen sind jetzt datengesteuert. Die meisten Daten befinden sich in irgendeiner Form in einer Datenbank. Wenn Sie darüber nachdenken, über die Liste der Verstöße, die wir uns gerade angesehen haben, und die Ihnen hoffentlich in gewisser Weise einen kalten Schauer bereitet hat, haben Sie gedacht, „Hmm, das ist sehr real“, und das hat Sie möglicherweise beeinflusst. Im Jahr 2012, dieser Verstoß gegen LinkedIn, haben die meisten Fach- und Führungskräfte heutzutage ein LinkedIn-Konto und es ist wahrscheinlich, dass Ihre Daten verloren gehen. Sie sind seit 2012 im Internet. Wir haben erst 2016 davon erfahren. Was ist mit Ihren Informationen in diesen vier Jahren passiert? Nun, es ist interessant und darüber können wir getrennt sprechen.
Datenbank- und Systemverwaltung - Ich spreche oft über die fünf wichtigsten Herausforderungen bei der Verwaltung dieser Dinge. Ganz oben, und ich richte diese in der Reihenfolge meiner Präferenzen, aber auch in der Reihenfolge meiner Auswirkungen ein. An erster Stelle stehen Sicherheit und Compliance. Die Kontrollen und Mechanismen sowie Richtlinien zur Kontrolle, wer welchen Zugriff auf welches System aus welchem Grund und zu welchem Zweck hat. Berichterstattung und Überwachung, Einsicht in die Systeme, Einsicht in die Datenbanken und Erkennen, wer tatsächlich auf Datensätze, einzelne Felder und Datensätze zugreifen kann.
Denken Sie in einer sehr einfachen Form darüber nach. Lassen Sie uns als ein Beispiel über Banking und Wealth Management sprechen. Wenn Sie sich für ein Bankkonto anmelden, sagen wir einfach ein normales Geldkonto für eine EFTPOS-Karte oder ein Geldkonto oder ein Scheckkonto. Sie füllen ein Formular aus und es gibt viele sehr private Informationen in dem Blatt Papier, das Sie ausfüllen, oder Sie tun es online und das geht in ein Computersystem. Wenn jemand im Marketing Sie kontaktieren und Ihnen eine Broschüre schicken möchte, sollte er Ihren Vor- und Nachnamen sowie Ihre persönliche Adresse sehen können, zum Beispiel und möglicherweise Ihre Telefonnummer, wenn er Sie anrufen möchte und etwas verkaufen. Sie sollten wahrscheinlich aus verschiedenen Gründen nicht den Gesamtbetrag sehen, den Sie auf der Bank haben. Wenn jemand Sie aus Risikogesichtspunkten betrachtet oder versucht, Ihnen dabei zu helfen, bessere Zinssätze auf Ihrem Konto zu erzielen, möchte diese bestimmte Person wahrscheinlich wissen, wie viel Geld Sie auf der Bank haben, damit sie dies tun kann bieten Ihnen die angemessenen Zinserträge für Ihr Geld. Diese beiden Personen haben sehr unterschiedliche Rollen und sehr unterschiedliche Gründe für diese Rollen und Zwecke für diese Rollen. Infolgedessen müssen in Ihrem Datensatz unterschiedliche Informationen angezeigt werden, jedoch nicht der gesamte Datensatz.
Diese Steuerelemente beziehen sich auf die verschiedenen Berichte der üblichen Bildschirme oder Formulare in den Anwendungen, die zur Verwaltung Ihres Kontos verwendet werden. Die Entwicklung für diese, die Pflege dieser, die Verwaltung dieser, die Berichterstattung über diese und die Governance und Compliance, die mit solchen wie Bubble Wrap einhergehen, sind alle eine sehr, sehr große Herausforderung. Dies ist nur die größte Herausforderung bei der Verwaltung von Daten und Systemen. Wenn wir uns eingehender mit der Leistung und Überwachung sowie der Erkennung und Reaktion von Inzidenzen, der Verwaltung und Verwaltung des Systems und der damit verbundenen Konformität, dem Design und der Entwicklung der Systeme ausgehend von der Konformität befassen, wird es sehr viel schwieriger.
Management des gesamten Problems der Risikominderung und Verbesserung der Sicherheit. Meine fünf größten Herausforderungen in diesem Bereich - und ich mag die Bilder, die mit einem Zollschalter bei der Einreise in ein Land einhergehen -, sind, wenn sie Ihren Reisepass vorlegen, Sie überprüfen und auf ihrem Computersystem nachsehen, ob Sie das sollten bestehen oder nicht. Wenn Sie nicht sollten, setzen sie Sie in das nächste Flugzeug nach Hause. Andernfalls lassen sie Sie wieder ein und fragen Sie: "Kommen Sie in den Urlaub? Sind Sie hier als Tourist? Sind Sie zur Arbeit hier? Welche Art von Arbeit werden Sie sehen? Wo werden Sie übernachten? "Wie lange kommst du noch? Hast du genug Geld, um deine Ausgaben und Kosten zu decken? Oder wirst du ein Risiko für das Land, in dem du lebst, und sie müssen dich vielleicht versorgen und ernähren?"
Es gibt einige Probleme im Zusammenhang mit diesem Datenbereich und der Verwaltung des Datenschutzes. Im Datenbankbereich müssen wir zum Beispiel überlegen, ob wir die Umgehungen von Datenbanken verringern sollen. Befinden sich die Daten in der Datenbank, befindet sich diese in einer normalen Umgebung, und das System verfügt über entsprechende Steuerelemente und Mechanismen. Was passiert, wenn ein Speicherauszug der Daten in mehr SQL erstellt und auf Band gesichert wird? Die Datenbanken werden in unformatierter Form gesichert und manchmal gesichert. Manchmal geschieht dies aus technischen Gründen, aus Entwicklungsgründen. Angenommen, ein DB-Dump wurde erstellt und auf Band gesichert. Was passiert, wenn ich das Band in die Hände bekomme und es wieder herstelle? Und ich habe eine Rohkopie der Datenbank in SQL. Es ist eine MP-Datei, es ist Text, ich kann es lesen. Alle Kennwörter, die in diesem Speicherauszug gespeichert sind, haben keine Kontrolle über mich, da ich jetzt Zugriff auf den tatsächlichen Inhalt der Datenbank erhalte, ohne dass das Datenbankmodul ihn schützt. So kann ich die Sicherheit der Datenbankplattform, die in der Engine erstellt wird, technisch umgehen, indem ich Compliance- und Risikomanagement-Anforderungen erfülle. Weil möglicherweise der Entwickler, der Systemadministrator, einen vollständigen Speicherauszug der Datenbank zur Verfügung hat, der für Sicherungen verwendet werden sollte.
Missbrauch der Daten - potenziell jemanden dazu bringen, sich als gehobenes Konto anzumelden und mich auf dem Bildschirm sitzen zu lassen, nach Informationen oder ähnlichen Dingen zu suchen. Proprietäre Prüfung des Zugriffs und der Verwendung der Daten sowie Anzeige der Daten oder Änderungen der Daten. Dann die Berichterstattung rund um diese Kontrolle und die Einhaltung erforderlich. Überwachen des Datenverkehrs und des Zugriffs usw., Blockieren von Bedrohungen, die von externen Standorten und Servern ausgehen. Wenn die Daten beispielsweise über ein Formular auf einer Webseite im Internet dargestellt werden, wurden ihre SQL-Injections durch Firewalls und Konzeptkontrollen geschützt? Dahinter verbirgt sich eine lange, detaillierte Geschichte. Sie können hier sehen, dass nur einige dieser absolut grundlegenden Dinge, über die wir nachdenken, um das Risiko in Bezug auf Daten in Datenbanken zu minimieren und zu verwalten. Es ist eigentlich relativ einfach, einige davon zu umgehen, wenn Sie sich auf verschiedenen Ebenen der Technologie befinden. Die Herausforderung wird immer schwieriger, je mehr Daten und Datenbanken vorhanden sind. Immer schwieriger wird es, die Systeme zu verwalten und deren Verwendung zu überwachen. Sie erfassen die relevanten Details, die sich speziell auf Dinge beziehen, über die Robin gesprochen hat, beispielsweise die Einhaltung persönlicher Vorschriften. Einzelpersonen verfügen über entsprechende Kontrollen und Mechanismen. Wenn Sie etwas falsch machen, besteht die Gefahr, dass Sie entlassen werden. Wenn ich mich als mein Konto anmelde, können Sie es sehen, das sollte eine strafbare Handlung sein. Jetzt habe ich Ihnen Zugriff auf Daten gewährt, die Sie normalerweise nicht hätten sehen sollen.
Es gibt persönliche Compliance, es gibt Corporate Compliance, Unternehmen haben Richtlinien und Regeln und Kontrollen, die sie selbst festgelegt haben, damit das Unternehmen gut läuft und eine Gewinnrendite und eine gute Rendite für Investoren und Aktionäre erzielt. Dann gibt es oft landesweite oder nationale, bundesstaatliche, wie Sie sagten, US-amerikanische Kontrollen und Gesetze. Dann gibt es globale. Einige der größeren Vorfälle auf der Welt, in denen Sarbanes-Oxley vorkommt, zwei Personen, die nach Wegen zum Schutz von Daten und Systemen gefragt werden. Es gibt Basel in Europa und es gibt alle Kontrollmöglichkeiten in Australien, insbesondere in Bezug auf Börsen- und Berechtigungsplattformen, und dann den Datenschutz auf Einzelpersonen- oder Unternehmensebene. Wenn jedes von diesen gestapelt ist, wie Sie an einer der Stellen gesehen haben, die Robin hatte, werden sie zu einem nahezu unmöglichen Berg, den man besteigen kann. Die Kosten werden hoch und wir sind an dem Punkt angelangt, an dem der traditionelle Ansatz, den Sie kennen, wie die Messung der Kontrolle durch den Menschen, nicht mehr angemessen ist, weil der Maßstab zu groß ist.
Wir haben ein Szenario, in dem Compliance, wie ich es nenne, ein ständiges Problem ist. Und das ist, dass wir möglicherweise einen Zeitpunkt hatten, entweder monatlich oder vierteljährlich oder jährlich, an dem wir unseren Zustand der Nation überprüften und zur Einhaltung und Kontrolle beitrugen. Sicherstellen, dass bestimmte Personen einen bestimmten Zugriff hatten und keinen bestimmten Zugriff hatten, abhängig von ihren Berechtigungen. Jetzt geht es um die Geschwindigkeit der Dinge, mit der sich die Dinge bewegen, das Tempo, mit dem sich die Dinge ändern, das Ausmaß, mit dem wir arbeiten. Compliance ist ein immer aktuelles Thema, und die globale Finanzkrise war nur ein Beispiel dafür, dass die einschlägigen Kontrollen und Sicherheits- und Compliance-Maßnahmen ein Szenario hätten vermeiden können, in dem wir einen außer Kontrolle geratenen Güterzug bestimmten Verhaltens hatten. Nur eine Situation zu schaffen, in der die ganze Welt effektiv weiß, dass sie pleite und bankrott gehen würde. Dafür brauchen wir die richtigen Werkzeuge. Menschen auf den Zug werfen, Körper werfen ist kein gültiger Ansatz mehr, weil der Maßstab zu groß ist und die Dinge sich zu schnell bewegen. Ich denke, die heutige Diskussion wird sich mit den Arten von Tools befassen, die dafür eingesetzt werden können. Insbesondere die Tools, die IDERA uns zur Verfügung stellen kann, sollten dies tun. In diesem Sinne übergebe ich es Bullett, um sein Material durchzugehen und uns ihre Herangehensweise und die Werkzeuge zu zeigen, die sie zur Lösung dieses Problems benötigen, das wir jetzt für Sie vorgelegt haben.
Damit, Bullett, gebe ich Ihnen die Hand.
Bullett Manale: Hört sich toll an, danke. Ich möchte auf einige Folien eingehen und Ihnen ein Produkt vorstellen, das wir speziell für SQL Server-Datenbanken verwenden, um bei Compliance-Situationen zu helfen. Wirklich, die Herausforderung in vielen Fällen - ich werde ein paar davon überspringen - dies ist nur unser Produktportfolio, ich werde das ziemlich schnell durchgehen. In Bezug darauf, wo dieses Produkt wirklich anspricht und wie es sich auf die Konformität auswirkt, betrachte ich dies immer als die erste Folie, da es sich um eine Art allgemeines Thema handelt: „Hey, wofür ist ein DBA verantwortlich?“ kontrolliert und überwacht den Benutzerzugriff und ist in der Lage, Berichte zu generieren. Dies hängt davon ab, wann Sie mit Ihrem Prüfer sprechen. Wie schwierig dieser Prozess sein kann, hängt davon ab, ob Sie ihn selbst ausführen oder ob Sie einen Dritten beauftragen Werkzeug, um zu helfen.
Wenn ich mit Datenbankadministratoren spreche, waren sie im Allgemeinen häufig noch nie an einer Prüfung beteiligt. Man muss sie irgendwie zu dem erziehen, was man wirklich tun muss. Bezogen auf die Art der Konformität, die erfüllt werden muss, und in der Lage zu beweisen, dass Sie tatsächlich die Regeln befolgen, die für diese Konformitätsstufe gelten. Viele Leute verstehen es zuerst nicht. Sie denken: "Oh, ich kann nur ein Werkzeug kaufen, das mich konform macht." Die Realität ist, dass das nicht der Fall ist. Ich wünschte, ich könnte sagen, dass unser Produkt Ihnen auf magische Weise die Möglichkeit gegeben hat, sicherzustellen, dass Sie die Vorschriften einhalten. Die Realität ist, dass Sie Ihre Umgebung in Bezug auf die Steuerelemente einrichten müssen, in Bezug darauf, wie die Benutzer auf die Daten zugreifen, dass alles mit der Anwendung, die Sie haben, ausgearbeitet werden muss. Wo diese sensiblen Daten gespeichert werden, welche Art von behördlichen Anforderungen sind dies? Außerdem müssen Sie in der Regel mit einem internen Compliance-Beauftragten zusammenarbeiten, um sicherzustellen, dass Sie alle Regeln einhalten.
Das klingt wirklich kompliziert. Wenn Sie sich alle regulatorischen Anforderungen ansehen, denken Sie, dass dies der Fall ist, aber in Wirklichkeit gibt es hier einen gemeinsamen Nenner. In unserem Fall mit dem Tool, das ich Ihnen heute zeigen werde, dem Compliance Manager-Produkt, wäre der Prozess in unserer Situation, dass wir in erster Linie sicherstellen müssen, dass wir die zugehörigen Audit-Trail-Daten erfassen wo sich die Daten in der Datenbank befinden, die vertraulich sind. Sie können alles sammeln, oder? Ich könnte rausgehen und sagen, ich möchte jede Transaktion sammeln, die in dieser Datenbank passiert. Die Realität ist, dass Sie wahrscheinlich nur einen kleinen Bruchteil oder einen kleinen Prozentsatz der Transaktionen haben, die sich tatsächlich auf die sensiblen Daten beziehen. Wenn es sich um eine PCI-Konformität handelt, werden die Kreditkarteninformationen, die Kreditkarteninhaber und ihre persönlichen Informationen verwendet. Möglicherweise gibt es eine Menge anderer Transaktionen in Bezug auf Ihre Anwendung, die sich nicht wirklich auf die regulatorischen Anforderungen von PCI auswirken.
Von diesem Standpunkt aus ist das erste, was ich mit DBA spreche, dass ich sage: „Die größte Herausforderung besteht nicht darin, ein Tool zu finden, das diese Dinge für Sie erledigt. Es ist nur zu wissen, wo sich diese sensiblen Daten befinden und wie wir diese Daten sperren. “Wenn Sie dies haben und diese Frage beantworten können, sind Sie auf halbem Weg nach Hause, um zu zeigen, dass Sie die Richtlinien einhalten. vorausgesetzt, Sie folgen den richtigen Kontrollen. Nehmen wir für eine Sekunde an, Sie folgen den richtigen Kontrollen und haben den Wirtschaftsprüfern mitgeteilt, dass dies der Fall ist. Der nächste Teil des Prozesses besteht offensichtlich darin, einen Audit-Trail bereitzustellen, der zeigt und bestätigt, dass diese Kontrollen tatsächlich funktionieren. Anschließend müssen Sie sicherstellen, dass Sie diese Daten speichern. Normalerweise spricht man bei Dingen wie PCI- und HIPAA-Konformität und solchen Dingen von einer Aufbewahrungsdauer von sieben Jahren. Sie sprechen über viele Transaktionen und viele Daten.
Wenn Sie weiterhin jede Transaktion erfassen, obwohl nur fünf Prozent der Transaktionen mit vertraulichen Daten zusammenhängen, sprechen Sie von einem ziemlich hohen Aufwand, der mit der Speicherung dieser Daten für sieben Jahre verbunden ist. Ich denke, das ist eine der größten Herausforderungen, wenn man die Leute auf die Probe stellt, das ist natürlich ein wirklich unnötiger Preis. Es ist auch viel einfacher, wenn wir uns nur auf die sensiblen Bereiche in der Datenbank konzentrieren können. Darüber hinaus benötigen Sie auch Steuerelemente für einige der vertraulichen Informationen. Nicht nur, um in Form eines Audit-Trails aufzuzeigen, sondern auch, um Dinge mit Aktionen in Verbindung zu bringen, die gerade stattfinden, und um in Echtzeit benachrichtigt zu werden, damit Sie sich dessen bewusst werden.
Das Beispiel, das ich immer verwende, und es muss nicht unbedingt mit irgendeiner Art von behördlicher Anforderung zusammenhängen, sondern nur in der Lage sein, nachzuverfolgen, dass beispielsweise jemand die Tabelle gelöscht hat, die der Gehaltsabrechnung zugeordnet ist. In diesem Fall wird niemand bezahlt, wenn Sie dies nicht nachverfolgen. Das ist zu spät. Sie möchten wissen, wann dieser Tisch gelöscht wird, genau dann, wenn er gelöscht wird, um zu verhindern, dass schlechte Dinge passieren, wenn ein verärgerter Mitarbeiter den Tisch löscht, der direkt mit der Gehaltsabrechnung verbunden ist.
Nach alledem besteht der Trick darin, den gemeinsamen Nenner zu finden oder diesen gemeinsamen Nenner zu verwenden, um den Grad der Einhaltung abzubilden. Das ist genau das, was wir mit diesem Tool versuchen. Wir gehen im Grunde genommen folgendermaßen vor: Wir werden Ihnen keinen Bericht zeigen, der spezifisch für PCI und spezifisch für Aktien ist. Der gemeinsame Nenner ist, dass Sie eine Anwendung haben, die SQL Server verwendet, um die vertraulichen Daten in der Datenbank zu speichern. Sobald Sie damit fertig sind, sagen Sie: "Ja, das ist wirklich die Hauptsache, auf die wir uns konzentrieren müssen - wo sind diese sensiblen Daten und wie wird auf sie zugegriffen?" Sobald Sie das haben, gibt es eine Menge Berichte, die wir anbieten können, um zu beweisen, dass Sie den Anforderungen entsprechen.
Zurück zu den Fragen, die von einem Prüfer gestellt werden, lautet die erste Frage: Wer hat Zugriff auf die Daten und wie erhalten sie diesen Zugriff? Können Sie nachweisen, dass die richtigen Personen auf die Daten zugreifen und die falschen Personen nicht? Können Sie auch nachweisen, dass der Audit-Trail selbst etwas ist, dem ich als unveränderliche Informationsquelle vertrauen kann? Wenn ich Ihnen einen Audit-Trail gebe, der fabriziert wurde, ist es für mich als Auditor nicht sehr hilfreich, Ihr Audit zu patchen, wenn die Informationen fabriziert wurden. Wir brauchen einen Beweis dafür, typischerweise aus Sicht der Wirtschaftsprüfung.
Ich gehe diese Fragen etwas detaillierter durch. Die Herausforderung bei der ersten Frage ist, wie ich bereits sagte, dass Sie wissen müssen, wo sich diese sensiblen Daten befinden, um zu melden, wer auf sie zugreift. Das ist normalerweise eine Art von Entdeckung, und tatsächlich gibt es Tausende verschiedener Anwendungen, und es gibt Unmengen unterschiedlicher behördlicher Anforderungen. In den meisten Fällen möchten Sie mit Ihrem Compliance-Beauftragten zusammenarbeiten, falls Sie einen Beauftragten haben, oder zumindest mit jemandem, der zusätzliche Einblicke in die tatsächlichen Verhältnisse meiner sensiblen Daten in der Anwendung hat. Wir haben ein Tool, das wir haben, es ist ein kostenloses Tool, es heißt SQL Column Search. Wir sagen unseren potenziellen Kunden und Benutzern, die an dieser Frage interessiert sind, dass sie sie herunterladen können. Was es tun wird, ist, dass es im Grunde genommen nach den Informationen in der Datenbank sucht, die von Natur aus wahrscheinlich sensibel sein werden.
Und wenn Sie das tun, müssen Sie auch verstehen, wie Menschen auf diese Daten zugreifen. Und das wird wiederum sein, welche Konten sich in welchen Active Directory-Gruppen befinden, welche Datenbankbenutzer beteiligt sind und mit welchen Rollenmitgliedschaften dies verbunden ist. Und bedenken Sie natürlich, dass all diese Dinge, über die wir sprechen, vom Prüfer genehmigt werden müssen. Wenn Sie also sagen: "So sperren wir die Daten", können die Prüfer kommen zurück und sag: "Nun, du machst es falsch." Aber sagen wir mal, dass sie sagen: "Ja, das sieht gut aus. Sie sperren die Daten ausreichend. "
Fahren Sie mit der nächsten Frage fort: Können Sie nachweisen, dass die richtigen Personen auf diese Daten zugreifen? Mit anderen Worten, Sie können ihnen sagen, dass es sich bei Ihren Kontrollen um die Kontrollen handelt, denen Sie folgen, aber leider sind die Prüfer keine wirklich vertrauenswürdigen Personen. Sie wollen einen Beweis dafür und wollen ihn im Audit-Trail sehen können. Und das geht auf diesen ganzen gemeinsamen Nenner zurück. Unabhängig davon, ob es sich um PCI, SOX, HIPAA, GLBA oder Basel II handelt, werden in der Realität in der Regel dieselben Fragen gestellt. Das Objekt mit den vertraulichen Informationen. Wer hat im letzten Monat auf dieses Objekt zugegriffen? Das sollte meinen Kontrollen entsprechen und ich sollte in der Lage sein, meine Prüfung zu bestehen, indem ich diese Arten von Berichten zeige.
Und so haben wir etwa 25 verschiedene Berichte zusammengestellt, die sich auf die gleichen Bereiche beziehen wie dieser gemeinsame Nenner. Wir haben also keinen Bericht für PCI, für HIPAA oder für SOX, wir haben Berichte, die wiederum diesem gemeinsamen Nenner entsprechen. Und so spielt es keine Rolle, welche behördlichen Anforderungen Sie erfüllen möchten. In den meisten Fällen können Sie alle Fragen beantworten, die Ihnen der Prüfer stellt. Und sie werden Ihnen sagen, wer, was, wann und wo von jeder Transaktion. Sie wissen, der Benutzer, der Zeitpunkt der Transaktion, die SQL-Anweisung selbst, die Anwendung, aus der sie stammt, all das Gute und können dann auch die Übermittlung dieser Informationen an Berichte automatisieren.
Und dann, noch einmal, wenn Sie das hinter sich gebracht haben und dies dem Prüfer zur Verfügung gestellt haben, wird die nächste Frage lauten, beweisen Sie es. Und wenn ich beweise, dann beweise ich, dass der Audit-Trail selbst etwas ist, dem wir vertrauen können. In unserem Tool haben wir Hash- und CRC-Werte, die direkt mit den Ereignissen innerhalb des Audit-Trails verknüpft sind. Die Idee ist also, dass wir, wenn jemand einen Datensatz löscht oder löscht oder etwas aus dem Audit-Trail entfernt oder zum Audit-Trail hinzufügt oder etwas im Audit-Trail selbst ändert, beweisen können, dass diese Daten die Integrität von Die Daten selbst wurden verletzt. In 99, 9 Prozent der Fälle, in denen Sie unsere Audit-Trail-Datenbank gesperrt haben, tritt dieses Problem nicht auf, da wir dem Prüfer bei dieser Integritätsprüfung im Wesentlichen nachweisen, dass die Daten selbst nicht gesperrt sind geändert und gelöscht oder ergänzt seit dem ursprünglichen Schreiben vom Verwaltungsdienst selbst.
Das ist also eine Art allgemeiner Überblick über die typischen Arten von Fragen, die Ihnen gestellt werden. Nun heißt das Tool, mit dem wir uns viel damit befassen müssen, SQL Compliance Manager und es erledigt all diese Dinge im Hinblick auf die Verfolgung der Transaktionen, wer, was, wann und wo der Transaktionen, in der Lage zu sein, dies in einem zu tun Anzahl der verschiedenen Bereiche. Anmeldungen, fehlgeschlagene Anmeldungen, Schemaänderungen, offensichtlich Datenzugriff, Aktivität auswählen, all die Dinge, die innerhalb des Datenbankmoduls geschehen. Außerdem können wir die Benutzer bei Bedarf auf bestimmte, sehr detaillierte Bedingungen hinweisen. Zum Beispiel geht jemand aus und sieht sich die Tabelle an, die alle meine Kreditkartennummern enthält. Sie ändern die Daten nicht, sondern betrachten sie nur. In dieser Situation kann ich alarmieren und die Leute wissen lassen, dass das passiert, nicht sechs Stunden später, wenn wir Protokolle kratzen, sondern in Echtzeit. Grundsätzlich dauert es so lange, bis wir diese Transaktion über einen Verwaltungsservice abgewickelt haben.
Wie ich bereits erwähnt habe, wurde dies in einer Vielzahl unterschiedlicher behördlicher Anforderungen verwendet, und es ist nicht wirklich so - Sie wissen, dass Sie, sofern es sich um gemeinsame Nenner handelt, auch hier vertrauliche Daten in einem SQL Server haben Datenbank, dies ist ein Werkzeug, das in dieser Art von Situation helfen würde. Bei den 25 Berichten, die bereits integriert sind, können wir dieses Tool nun für den Prüfer verbessern und jede einzelne gestellte Frage beantworten. Die DBAs sind jedoch diejenigen, die dafür sorgen müssen, dass es funktioniert. Wissen Sie, wir müssen aus Wartungssicht auch sicherstellen, dass die SQL so funktioniert, wie wir es wollen. Wir müssen auch in der Lage sein, die Dinge zu betrachten, die herausgehen und andere Informationen betrachten können, wissen Sie, was die Archivierung der Daten, die Automatisierung davon und den Overhead anbelangt selbst des Produkts. Das sind Dinge, die wir offensichtlich berücksichtigen.
Welches bringt die Architektur selbst auf. Ganz rechts auf dem Bildschirm befinden sich die von uns verwalteten SQL-Instanzen von 2000 bis 2014. Sie bereiten sich darauf vor, eine Version für 2016 zu veröffentlichen. Der größte Vorteil dieses Bildschirms ist das Management Der Server selbst erledigt das ganze schwere Heben. Wir erfassen die Daten nur mithilfe der in SQL Server integrierten Trace-API. Diese Informationen fließen auf unseren Management-Server. Dieser Verwaltungsserver erkennt selbst, ob Ereignisse vorliegen, die mit nicht gewünschten Transaktionstypen verknüpft sind, sendet Warnungen und dergleichen und füllt die Daten anschließend in einem Repository auf. Von dort aus können wir Berichte ausführen und diese Informationen in den Berichten oder sogar in der Anwendungskonsole anzeigen.
Also, was ich tun werde, ist, dass ich uns sehr schnell durchführe, und ich möchte nur kurz auf eine Sache hinweisen, bevor wir in das Produkt einsteigen. Es gibt einen Link auf der Website. oder in der Präsentation werden Sie zu dem kostenlosen Tool weitergeleitet, das ich zuvor erwähnt habe. Das kostenlose Tool ist, wie ich bereits sagte, ein Blick in eine Datenbank und versucht, anhand der Namen der Spalten oder Tabellen Bereiche zu finden, die wie vertrauliche Daten, Sozialversicherungsnummern oder Kreditkartennummern aussehen. oder basierend auf der Art und Weise, wie das Format der Daten aussieht, und Sie können dies auch anpassen, um darauf hinzuweisen.
Jetzt, in unserem Fall, lass mich weitermachen und meinen Bildschirm teilen, gib mir hier eine Sekunde. Also, ich wollte Sie zuerst zu der Compliance Manager-Anwendung selbst führen, und ich werde das ziemlich schnell durchgehen. Aber dies ist die Anwendung, und Sie sehen, dass ich hier einige Datenbanken habe, und ich werde Ihnen nur zeigen, wie einfach es ist, darauf zuzugreifen und zu sagen, was Sie prüfen möchten. Unter dem Gesichtspunkt von Schemaänderungen, Sicherheitsänderungen, Verwaltungsaktivitäten, DML und Auswählen stehen uns alle diese Optionen zur Verfügung. Sie können auch nach unten gefiltert werden. Dies geht auf die bewährte Methode zurück, zu sagen: „Ich brauche diese Tabelle wirklich nur, weil sie meine Kreditkartennummern enthält. Ich brauche keine anderen Tabellen mit Produktinformationen, all die anderen Dinge, die sich nicht auf den Grad der Konformität beziehen, den ich zu erfüllen versuche. “
Wir haben auch die Möglichkeit, Daten zu erfassen und anhand der Werte der Felder anzuzeigen, die sich ändern. In vielen Tools haben Sie etwas, mit dem Sie die SQL-Anweisung erfassen, den Benutzer anzeigen, die Anwendung, Uhrzeit und Datum anzeigen können, all das Gute. In einigen Fällen liefert die SQL-Anweisung selbst nicht genügend Informationen, um Ihnen den Wert des Felds vor der Änderung sowie den Wert des Felds nach der Änderung mitzuteilen. Und in manchen Situationen brauchen Sie das. Ich möchte zum Beispiel die Dosierungsinformationen eines Arztes für verschreibungspflichtige Medikamente nachverfolgen. Es ging von 50mg zu 80mg zu 120mg, ich würde in der Lage sein, das mit dem Vorher und Nachher zu verfolgen.
Sensible Spalten sind eine weitere Sache, auf die wir häufig stoßen, z. B. aufgrund der PCI-Konformität. In dieser Situation sind die Daten so sensibel, dass ich sie nicht ändern, löschen oder ergänzen muss, um irreparablen Schaden zu verursachen. Kreditkartennummern, Sozialversicherungsnummern, all diese guten Sachen können wir identifizieren und Warnungen daran binden. Wenn sich jemand diese Informationen ansieht, können wir natürlich eine E-Mail senden oder eine SNMP-Trap und dergleichen generieren.
In einigen Fällen können Ausnahmefälle auftreten. Und was ich damit meine, Sie haben eine Situation, in der Sie einen Benutzer haben, der über ein Benutzerkonto verfügt, das möglicherweise an eine Art ETL-Job gebunden ist, der mitten in der Nacht ausgeführt wird. Es ist ein dokumentierter Prozess und ich muss diese Transaktionsinformationen für dieses Benutzerkonto einfach nicht angeben. In diesem Fall hätten wir einen vertrauenswürdigen Benutzer. Und dann würden wir in anderen Situationen die Funktion der Überwachung privilegierter Benutzer verwenden, die im Wesentlichen eine Anwendung ist, und wenn diese Anwendung bereits eine Überwachung der Benutzer durchführt, die die Anwendung durchlaufen, ist dies der Fall Toll, ich habe in Bezug auf meine Prüfung bereits etwas zu berichten. Aber für die Dinge, die zum Beispiel mit meinen privilegierten Benutzern zu tun haben, die Leute, die in das SQL Server Management Studio gehen können, um die Daten in der Datenbank zu überprüfen, ist das kein Problem. Und hier können wir definieren, wer unsere privilegierten Benutzer sind, entweder über Rollenmitgliedschaften oder über ihre Active Directory-Konten, Gruppen und ihre SQL-authentifizierten Konten. Dort können wir all diese verschiedenen Arten von Optionen und Optionen auswählen Stellen Sie dann sicher, dass wir für diese privilegierten Benutzer die Arten von Transaktionen angeben können, die wir prüfen möchten.
Dies sind alle Arten von verschiedenen Optionen, die Sie haben, und ich werde nicht alle Arten von Dingen durchgehen, basierend auf den Zeitbeschränkungen hier für diese Präsentation. Aber ich möchte Ihnen zeigen, wie wir die Daten anzeigen können, und ich denke, Sie werden es mögen, wie dies funktioniert, weil es zwei Möglichkeiten gibt, wie wir es tun können. Ich kann es interaktiv tun, und wenn wir mit Leuten sprechen, die an diesem Tool interessiert sind, um vielleicht ihre eigenen internen Kontrollen durchzuführen, wollen sie nur wissen, was in vielen Fällen vor sich geht. Es müssen nicht unbedingt Auditoren vor Ort sein. Sie wollen nur wissen: „Hey, ich möchte nach diesem Tisch gehen und sehen, wer ihn in der letzten Woche oder im letzten Monat berührt hat oder was auch immer.“ In diesem Fall können Sie sehen, wie schnell wir das schaffen.
Im Fall der Gesundheitsdatenbank habe ich eine Tabelle mit dem Namen Patientenakten. Und dieser Tisch, wenn ich ihn nur nach Objekten gruppieren würde, könnte sehr schnell enger werden, wo wir suchen. Vielleicht möchte ich nach Kategorien und dann nach Ereignissen gruppieren. Und wenn ich das tue, können Sie sehen, wie schnell das angezeigt wird, und genau dort befindet sich meine Patientenakte. Und während ich einen Drill-In durchführe, können wir jetzt die DML-Aktivität sehen. Wir können sehen, dass wir tausend DML-Einfügungen hatten, und wenn wir eine dieser Transaktionen öffnen, können wir die relevanten Informationen sehen. Das wer, das was, das wann, das wo der Transaktion, die SQL-Anweisung, offensichtlich die tatsächliche Anwendung, mit der die Transaktion ausgeführt wird, das Konto, die Uhrzeit und das Datum.
Wenn Sie sich nun die nächste Registerkarte hier ansehen, die Registerkarte Details, geht dies auf die dritte Frage zurück, über die wir sprechen, um zu beweisen, dass die Integrität der Daten nicht verletzt wurde. Im Grunde genommen haben wir für jedes Ereignis eine geheime Berechnung für unseren Hash-Wert, und diese wird sich dann darauf beziehen, wann wir unsere Integritätsprüfung durchführen. Wenn ich zum Beispiel zu dem Tool gehen und in das Überwachungsmenü gehen und sagen würde, lassen Sie uns die Repository-Integrität überprüfen. Ich könnte auf die Datenbank verweisen, in der sich der Überwachungspfad befindet. Er wird ausgeführt Durch eine Integritätsprüfung, bei der diese Hash- und CRC-Werte mit den tatsächlichen Ereignissen abgeglichen werden, können wir feststellen, dass keine Probleme gefunden wurden. Mit anderen Worten, die Daten im Audit-Trail wurden nicht manipuliert, seit sie ursprünglich vom Management-Service geschrieben wurden. Das ist offensichtlich eine Möglichkeit, mit den Daten zu interagieren. Der andere Weg wäre durch die Berichte selbst. Ich möchte Ihnen nur ein kurzes Beispiel für einen Bericht geben.
Und wieder einmal sind diese Berichte, wie wir sie erstellt haben, nicht spezifisch für einen Standard wie PCI, HIPAA, SOX oder ähnliches. Wieder einmal ist es der gemeinsame Nenner unserer Arbeit, und in diesem Fall können wir, wenn wir auf dieses Beispiel für Patientenakten zurückgreifen, sagen, dass wir in unserem Fall hier nachsehen In der Datenbank des Gesundheitswesens und in unserem Fall möchten wir uns speziell auf die Tabelle konzentrieren, von der wir wissen, dass sie private Informationen enthält, in unserem Fall in Bezug auf unsere Patienten. Lassen Sie mich also sehen, ob ich es hier eingeben kann, und wir werden fortfahren und diesen Bericht ausführen. Und dann sehen wir natürlich alle relevanten Daten, die mit diesem Objekt verbunden sind. Und in unserem Fall zeigt es uns einen Monat lang. Aber wir könnten sechs Monate, ein Jahr zurückgehen, wie lange wir die Daten auch aufbewahren.
Auf diese Weise können Sie dem Prüfer tatsächlich nachweisen, dass Sie Ihre Kontrollen befolgen. Wenn Sie das einmal erkannt haben, ist das natürlich eine gute Sache, um Ihre Prüfung zu bestehen und um zu zeigen, dass Sie die Kontrollen befolgen und alles funktioniert.
Das Letzte, worüber ich sprechen wollte, ist in der Administration. In diesem Tool gibt es auch Steuerelemente, mit denen Sie sicherstellen können, dass ich darauf aufmerksam gemacht werden kann, wenn jemand etwas tut, das er nicht tun soll. Und ich gebe Ihnen dort ein paar Beispiele. Ich habe ein Anmeldekonto, das an einen Dienst gebunden ist und für das erhöhte Berechtigungen erforderlich sind. Ich möchte nicht, dass jemand dieses Konto in Management Studio verwendet und es dann für Dinge verwendet, für die es nicht vorgesehen ist. Wir hätten hier zwei Kriterien, die wir anwenden könnten. Ich könnte sagen: "Sehen Sie, wir sind wirklich daran interessiert, mit unserer PeopleSoft-Anwendung zu arbeiten." Nur als Beispiel, okay?
Nun, da ich das getan habe, bin ich gespannt, welche Anmeldungen mit dem Konto verknüpft sind, für das ich mich vorbereite, um anzugeben, ob die Anwendung verwendet wird, um sich mit diesem Konto anzumelden ist nicht PeopleSoft, dann ist das eine Erhöhung für den Alarm. Und natürlich müssen wir den Kontonamen selbst angeben. In unserem Fall rufen wir einfach dieses Priv-Konto auf, damit es privilegiert ist. Wenn wir das einmal getan haben, können wir jetzt festlegen, was in diesem Fall geschehen soll, und zwar für jede Art von Ereignis oder, ich sollte sagen, für jede Art von Ereignis Sie müssen eine separate Benachrichtigung an die Person senden, die für diese bestimmte Dateneinheit verantwortlich ist.
Wenn es sich beispielsweise um Gehaltsinformationen handelt, werden diese möglicherweise an meinen HR-Direktor weitergeleitet. In diesem Fall ist die PeopleSoft-Anwendung der Administrator dieser Anwendung. Wie auch immer der Fall sein mag. Ich könnte meine E-Mail-Adresse eingeben, die eigentliche Warnmeldung anpassen und all diese guten Dinge. Dies geht wiederum darauf zurück, sicherzustellen, dass Sie nachweisen können, dass Sie Ihren Kontrollen folgen und dass diese Kontrollen so funktionieren, wie sie beabsichtigt sind. Aus der letzten Perspektive haben wir die Möglichkeit, diese Daten nur im Hinblick auf die Wartung zu übernehmen und offline zu schalten. Ich kann die Daten archivieren und ich kann sie terminieren, und wir könnten diese Dinge sehr einfach in dem Sinne erledigen, dass Sie als DBA tatsächlich in der Lage wären, sie mit diesem Tool einzurichten und sozusagen Gehen Sie davon weg Es gibt nicht viel Hand-Halten, das stattfinden wird, sobald Sie es so eingerichtet haben, wie es sein sollte. Wie ich bereits sagte, besteht das Schwierigste an all dem, denke ich, darin, nicht das einzurichten, was Sie prüfen möchten, sondern zu wissen, was Sie für die Prüfung einrichten möchten.
Und wie ich bereits sagte, müssen Sie die Daten sieben Jahre lang aufbewahren, um die Natur des Tieres zu überwachen. Daher ist es nur sinnvoll, sich auf die Bereiche zu konzentrieren, die von Natur aus sensibel sind. Aber wenn Sie versuchen möchten, alles zu sammeln, können Sie das, es wird einfach nicht als die beste Vorgehensweise angesehen. Daher möchte ich Sie nur daran erinnern, dass Sie, wenn dies von Interesse ist, auf die Website von IDERA.com gehen und eine Testversion herunterladen und selbst damit herumspielen können. Das kostenlose Tool, über das wir bereits gesprochen haben, ist kostenlos. Sie können es herunterladen und für immer verwenden, unabhängig davon, ob Sie das Compliance Manager-Produkt verwenden. Das Coole an diesem Tool für die Spaltensuche ist, dass Sie die Ergebnisse gefunden haben, und ich kann Ihnen tatsächlich zeigen, dass Sie diese Daten exportieren und dann in den Compliance Manager importieren können auch. Ich sehe es nicht, ich weiß es ist hier, da ist es. Dies ist nur ein Beispiel dafür. Hier werden die zugehörigen vertraulichen Daten gefunden.
In diesem Fall bin ich ausgegangen und habe wirklich alles im Auge, aber Sie haben nur eine Menge Dinge, auf die wir prüfen können. Kreditkartennummern, Adressen, Namen, all diese Sachen. Und wir identifizieren, wo es sich in der Datenbank befindet, und von dort aus können Sie entscheiden, ob Sie diese Informationen tatsächlich prüfen möchten oder nicht. Aber es ist definitiv eine Möglichkeit, Ihnen die Definition Ihres Prüfungsumfangs bei der Betrachtung eines solchen Tools zu erleichtern.
Ich werde einfach weitermachen und damit schließen, und ich werde weitermachen und es an Eric zurückgeben.
Eric Kavanagh: Das ist eine fantastische Präsentation. Ich finde es toll, wie Sie sich dort wirklich mit den Details auseinandersetzen und uns zeigen, was los ist. Weil es am Ende des Tages ein System gibt, das auf einige Aufzeichnungen zugreift, das Ihnen einen Bericht gibt, das Sie dazu bringt, Ihre Geschichte zu erzählen, sei es einem Aufsichtsbehörden, einem Wirtschaftsprüfer oder einer Person in Ihrem Team Gut, dass Sie darauf vorbereitet sind, ob und wann oder wie und wann diese Person klopft, und das ist natürlich die unangenehme Situation, die Sie vermeiden möchten. Aber wenn es passiert, und es wird wahrscheinlich in diesen Tagen passieren, wollen Sie sicher sein, dass Sie Ihr Ich gepunktet und Ihr T gekreuzt haben.
Es gibt eine gute Frage von einem Publikum, das ich vielleicht zuerst an Sie rausschmeißen möchte, Bullett, und wenn ein Moderator sie dann kommentieren möchte, fühlen Sie sich frei. Und dann stellt Dez vielleicht eine Frage und Robin. Die Frage ist also, ist es fair zu sagen, dass Sie, um all die Dinge zu tun, die Sie erwähnt haben, eine Anstrengung zur Datenklassifizierung auf elementarer Ebene unternehmen müssen? Sie müssen Ihre Daten kennen, wenn sie sich als wertvolles potenzielles Kapital herausstellen, und etwas dagegen unternehmen. Ich denke, Sie würden zustimmen, Bullett, richtig?
Bullett Manale: Ja, absolut. Ich meine, Sie müssen Ihre Daten kennen. Und mir ist klar, dass es viele Anwendungen gibt und viele verschiedene Dinge, die bewegliche Teile in Ihrer Organisation haben. Das Spaltensuchwerkzeug ist sehr hilfreich, wenn es darum geht, diese Daten besser zu verstehen. Aber ja, das ist sehr wichtig. Ich meine, Sie haben die Möglichkeit, den Firehose-Ansatz zu wählen und alles zu prüfen, aber logistisch gesehen ist dies eine viel größere Herausforderung, wenn Sie davon sprechen, dass Sie diese Daten speichern und gegen diese Daten berichten müssen. Und dann müssen Sie immer noch wissen, wo sich diese Daten befinden, denn wenn Sie Ihre Berichte ausführen, müssen Sie Ihren Prüfern auch diese Informationen anzeigen. Daher denke ich, dass die größte Herausforderung, wenn ich mit Datenbankadministratoren spreche, das Wissen ist, ja.
Eric Kavanagh: Ja, aber vielleicht bringen wir Sie Robin ganz schnell rein. Mir scheint, hier gilt die 80/20-Regel, oder? Sie werden wahrscheinlich nicht jedes wichtige Aufzeichnungssystem finden, wenn Sie in einem mittelgroßen oder großen Unternehmen tätig sind, aber wenn Sie sich auf PeopleSoft oder andere Aufzeichnungssysteme konzentrieren, wie Bullett dies hier vorgeschlagen hat Dort konzentrieren Sie sich zu 80 Prozent auf Ihre Arbeit und zu 20 Prozent auf die anderen Systeme, die möglicherweise irgendwo da draußen sind.
Robin Bloor: Ich bin sicher, ja. Ich meine, Sie wissen, ich denke, das Problem mit dieser Technologie, und ich denke, es lohnt sich wahrscheinlich, einen Kommentar dazu zu verfassen, aber das Problem mit dieser Technologie ist, wie setzen Sie sie um? Ich meine, es gibt definitiv einen Mangel an Wissen, sagen wir, in den meisten Organisationen, was die Anzahl der Datenbanken anbelangt, die es gibt. Wissen Sie, es gibt eine Menge Inventarmangel, sagen wir mal. Wissen Sie, die Frage ist, stellen wir uns vor, dass wir in einer Situation beginnen, in der es keine besonders gut gemanagte Compliance gibt. Wie nehmen Sie diese Technologie und injizieren sie in die Umwelt, nicht nur in Technologie Begriffe, Sachen einrichten, aber wie wer verwaltet es, wer bestimmt was? Wie fangen Sie an, dies in eine echte Art von Arbeit zu verwandeln?
Bullett Manale: Nun, ich meine, das ist eine gute Frage. In vielen Fällen besteht die Herausforderung darin, dass Sie die Fragen gleich zu Beginn stellen müssen. Ich habe viele Firmen getroffen, bei denen es sich um Privatunternehmen handelt und die erworben wurden. Es gibt eine erste, eine Art, eine Art Straßenunebenheit, wenn Sie das so nennen wollen. Wenn ich zum Beispiel gerade wegen einer Akquisition ein börsennotiertes Unternehmen geworden bin, muss ich zurückgehen und wahrscheinlich ein paar Dinge herausfinden.
In einigen Fällen sprechen wir mit Organisationen, die, wie Sie wissen, die SOX-Compliance-Regeln befolgen, auch wenn sie privat sind, nur weil sie wissen, dass sie die Compliance-Regeln einhalten müssen, wenn sie erworben werden möchten. Sie möchten definitiv nicht den Ansatz verfolgen, sich jetzt keine Gedanken darüber zu machen. Jede Art von Einhaltung gesetzlicher Bestimmungen wie PCI oder SOX oder was auch immer, Sie möchten die Investition für die Durchführung der Forschung oder des Wenn Sie wissen, wo sich diese sensiblen Informationen befinden, werden Sie möglicherweise mit erheblichen Bußgeldern konfrontiert. Und es ist viel besser, nur diese Zeit zu investieren, diese Daten zu finden und in der Lage zu sein, dagegen zu berichten und zu zeigen, dass die Kontrollen funktionieren.
Ja, im Hinblick auf die Einrichtung, wie ich bereits sagte, würde ich Leuten, die sich auf ein Audit vorbereiten, als erstes empfehlen, einfach rauszugehen und eine flüchtige Prüfung der Datenbank durchzuführen und herauszufinden, wer Sie sind Ich versuche nach besten Kräften herauszufinden, wo sich diese sensiblen Daten befinden. Der andere Ansatz wäre, mit einem möglicherweise größeren Netz in Bezug auf den Umfang der Prüfung zu beginnen und sich dann langsam nach unten zu begeben, sobald Sie herausgefunden haben, wo sich die Bereiche innerhalb des Systems befinden, die mit dem System zusammenhängen heikle Informationen. Aber ich wünschte, ich könnte Ihnen sagen, dass es eine einfache Antwort auf diese Frage gibt. Es wird wahrscheinlich einiges von einer Organisation zur anderen und von der Art der Konformität abweichen und wirklich, wie viel Struktur sie in ihren Anwendungen haben und wie viele, verschiedene Anwendungen sie haben, einige können kundenspezifische Anwendungen sein Es wird also in vielen Fällen wirklich von der Situation abhängen.
Eric Kavanagh: Komm schon, Dez, ich bin sicher, du hast ein oder zwei Fragen.
Dez Blanchfield: Ich möchte nur einen Einblick in Ihre Beobachtungen über die Auswirkungen auf die Organisationen aus der Sicht der Menschen bekommen. Ich denke, einer der Bereiche, in denen ich den größten Wert für diese bestimmte Lösung sehe, ist, dass Menschen, die morgens aufwachen und auf verschiedenen Ebenen der Organisation zur Arbeit gehen, mit einer Reihe von oder einer Kette von Verantwortlichkeiten aufwachen damit müssen sie umgehen. Und ich bin gespannt darauf, einen Einblick in das zu bekommen, was Sie dort draußen mit und ohne die Arten von Tools sehen, über die Sie sprechen. Der Kontext, über den ich hier spreche, reicht vom Vorstandsvorsitzenden über den CEO und den CIO bis zur C-Suite. Und jetzt haben wir Chief Risk Officers, die mehr über die Art von Dingen nachdenken, über die wir hier in Bezug auf Compliance und Governance sprechen, und dann haben wir neue Rollenspielchefs, Chief Data Officer, noch mehr besorgt darüber.
Und neben jedem von ihnen, rund um den CIO, haben wir IT-Manager auf der einen Seite, die Sie kennen, technische Leads und dann Datenbank-Leads. Und im operativen Bereich haben wir Entwicklungsleiter und Entwicklungsleiter und dann Einzelentwicklungen, und sie kehren auch in die Datenbankverwaltungsebene zurück. Was sehen Sie in Bezug auf die Reaktion jedes dieser verschiedenen Geschäftsbereiche auf die Herausforderung der Einhaltung von Vorschriften und der Berichterstattung und deren Herangehensweise? Sehen Sie, dass die Leute mit Inbrunst dazu kommen und den Nutzen davon sehen, oder sehen Sie, dass sie widerwillig ihre Füße zu diesem Ding ziehen und es einfach tun, um ein Häkchen in der Box zu setzen? Und welche Art von Antworten sehen Sie, wenn sie Ihre Software sehen?
Bullett Manale: Ja, das ist eine gute Frage. Ich würde sagen, dass dieses Produkt, der Verkauf dieses Produkts, hauptsächlich von jemandem bestimmt wird, der auf dem heißen Stuhl sitzt, wenn das Sinn macht. In den meisten Fällen ist dies der DBA, und aus unserer Sicht, mit anderen Worten, wissen sie, dass eine Prüfung ansteht, und sie werden dafür verantwortlich sein, weil sie die DBAs sind, die Informationen bereitstellen zu können, die der Prüfer erhalten wird Fragen. Sie können dies tun, indem sie ihre eigenen Berichte schreiben und ihre eigenen benutzerdefinierten Spuren und all diese Arten von Dingen erstellen. Die Realität ist, dass sie das nicht wollen. In den meisten Fällen freuen sich DBAs nicht wirklich darauf, diese Gespräche mit dem Prüfer zu beginnen. Weißt du, ich würde dir lieber sagen, dass wir eine Firma anrufen und sagen können: „Hey, das ist ein großartiges Werkzeug, und du wirst es lieben.“ Und ihnen alle Funktionen zeigen und sie werden es kaufen.
Die Realität ist, dass sie sich dieses Tool normalerweise nicht ansehen, es sei denn, sie stehen tatsächlich vor einer Prüfung oder die andere Seite der Medaille ist, dass sie eine Prüfung hatten und kläglich gescheitert sind, und jetzt sind sie es Man sagt ihnen, sie sollen Hilfe bekommen oder sie werden mit einer Geldstrafe belegt. Ich würde sagen, allgemein ausgedrückt, wenn Sie dieses Produkt den Leuten zeigen, sehen sie definitiv den Wert davon, weil es ihnen eine Menge Zeit spart, wenn sie herausfinden müssen, worüber sie berichten möchten, diese Art von Dingen. Alle diese Berichte sind bereits eingebaut, die Warnmechanismen sind vorhanden, und dann mit der dritten Frage ist, in vielen Fällen, auch eine Herausforderung. Weil ich Ihnen den ganzen Tag lang Berichte zeigen kann, aber wenn Sie mir nicht beweisen können, dass diese Berichte tatsächlich gültig sind, ist es für mich als DBA viel schwieriger, dies zu zeigen. Aber wir haben die Technologie und die Hashing-Technik und all diese Dinge ausgearbeitet, um sicherzustellen, dass die Daten in ihrer Integrität der Audit-Trails erhalten bleiben.
Das sind also die Dinge, mit denen ich die meisten Leute, mit denen wir sprechen, beobachte. Wissen Sie, es gibt definitiv in verschiedenen Organisationen, von denen Sie wissen, dass Sie davon erfahren, dass Target zum Beispiel einen Datenverstoß hatte, und ich meine, wenn andere Organisationen von den Bußgeldern und diesen erfahren Dinge, die Leute anfangen, es zieht eine Augenbraue hoch, also hoffentlich beantwortet das die Frage.
Dez Blanchfield: Auf jeden Fall. Ich kann mir vorstellen, dass einige Datenbankadministratoren, die endlich sehen, was mit dem Tool alles möglich ist, feststellen, dass sie auch ihre späten Nächte und Wochenenden hinter sich haben. Zeit- und Kosteneinsparungen und andere Dinge, die ich sehe, wenn die entsprechenden Tools auf dieses ganze Problem angewendet werden, und das ist, dass ich drei Wochen lang hier in Australien bei einer Bank gesessen habe. Sie sind eine globale Bank, eine der drei größten Banken, sie sind massiv. Und sie hatten ein Projekt, in dem sie über die Einhaltung des Vermögensmanagements und insbesondere über das Risiko Bericht erstatten mussten, und sie untersuchten die Arbeit von 60 Wochen für ein paar Hundert Menschen. Und als ihnen ein Werkzeug wie Sie gezeigt wurde, das den Prozess einfach automatisieren konnte, war dies der Sinn, der Ausdruck auf ihren Gesichtern, als ihnen klar wurde, dass sie nicht mehrere Wochen mit Hunderten von Menschen verbringen mussten, die einen manuellen Prozess durchführten so ähnlich wie sie Gott gefunden hatten. Aber die Herausforderung bestand darin, wie Dr. Robin Bloor darauf hinwies, dass dies eine Mischung aus Verhaltens- und Kulturwandel ist. Auf den Ebenen, mit denen Sie es zu tun haben und die sich direkt auf Anwendungsebene damit befassen, sehen Sie, welche Art von Änderung Sie feststellen, wenn sie ein Tool für die Berichterstellung, Prüfung und Kontrolle, die Sie anbieten können, übernehmen im Gegensatz zu dem, was sie manuell gemacht haben könnten? Wie sieht das aus, wenn sie tatsächlich umgesetzt werden?
Bullett Manale: Fragen Sie sich, was der Unterschied zwischen der manuellen und der Verwendung dieses Tools ist? Ist das die Frage?
Dez Blanchfield: Nun, speziell die Auswirkungen des Geschäfts. Wenn wir zum Beispiel versuchen, Compliance in einem manuellen Prozess zu liefern, nehmen wir uns ausnahmslos viel Zeit mit vielen Menschen. Aber ich denke, um die Frage in einen Zusammenhang zu bringen: Sprechen wir über eine einzelne Person, die dieses Tool ausführt und möglicherweise 50 Personen ersetzt und in der Lage ist, dasselbe in Echtzeit oder in Stunden gegenüber Monaten zu tun? Ist das so, wie stellt sich das im Allgemeinen heraus?
Bullett Manale: Nun, ich meine, es kommt auf ein paar Dinge an. Eine ist die Fähigkeit, diese Fragen zu beantworten. Einige dieser Dinge lassen sich nicht so einfach erledigen. Ja, die Zeit, die benötigt wird, um die selbstgemachten Arbeiten durchzuführen, die Berichte selbst zu schreiben, die Traces oder die erweiterten Ereignisse einzurichten, um die Daten manuell zu erfassen, könnte viel Zeit in Anspruch nehmen. Wirklich, ich gebe Ihnen ein paar, ich meine, das bezieht sich nicht wirklich auf Datenbanken im Allgemeinen, aber genau wie direkt nachdem der Enron passierte und SOX weit verbreitet wurde, war ich bei einer der größeren Ölfirmen in Houston und wir haben gezählt Ich glaube, 25 Prozent unserer Geschäftskosten standen im Zusammenhang mit der SOX-Konformität.
Nun, das war gleich danach und das war eine Art erster Schritt bei SOX, aber die Sache mit, ich würde sagen, Sie bekommen eine Menge Nutzen, wenn Sie dieses Tool in dem Sinne verwenden, dass es nicht viel erfordert von Menschen, um dies zu tun und eine Menge verschiedener Arten von Menschen, um es zu tun. Und wie gesagt, der DBA ist normalerweise nicht der Typ, der sich wirklich auf diese Gespräche mit den Wirtschaftsprüfern freut. Daher werden wir in vielen Fällen feststellen, dass der DBA dies auslagern und in der Lage sein kann, dem Prüfer den Bericht mit einer Schnittstelle zur Verfügung zu stellen, und dass er sich vollständig aus der Gleichung entfernen kann, anstatt einbezogen zu werden. Wissen Sie, das ist eine enorme Einsparung an Ressourcen, wenn Sie das tun können.
Dez Blanchfield: Sie sprechen von massiven Kostensenkungen, oder? Die Organisationen beseitigen nicht nur das Risiko und den Overhead, sondern Sie sprechen im Wesentlichen von einer signifikanten Kostenreduzierung, A) operativ und B) in der Tatsache, dass Sie wissen, ob sie tatsächlich realistische Ergebnisse liefern können. Zeit-Compliance-Berichterstattung, dass das Risiko einer Datenverletzung oder einer Geldbuße oder eines Gesetzesverstoßes wegen Nichteinhaltung der Richtlinien erheblich reduziert ist, oder?
Bullett Manale: Ja, absolut. Ich meine, weil ich nicht konform bin, passieren alle möglichen schlechten Dinge. Sie können dieses Tool verwenden und es wäre großartig, oder sie tun es nicht und sie werden herausfinden, wie schlimm es wirklich ist. Also ja, es ist natürlich nicht nur das Werkzeug, Sie können Ihre Prüfungen und alles ohne ein solches Werkzeug durchführen. Wie ich schon sagte, es wird einfach viel mehr Zeit und Kosten kosten.
Dez Blanchfield: Das ist großartig. Also Eric, ich werde auf dich zurückkommen, weil ich denke, dass die Art von Markt für mich fantastisch ist. Aber im Grunde genommen ist das Ding Gold wert, da es die wirtschaftlichen Auswirkungen eines Problems vermeiden oder den Zeitaufwand für Berichterstattung und Compliance-Management verkürzen kann Werkzeug zahlt sich sofort durch die Geräusche der Dinge aus.
Eric Kavanagh: Das ist genau richtig. Vielen Dank für Ihre Zeit heute, Bullett. Vielen Dank an euch alle da draußen für eure Zeit und Aufmerksamkeit und an Robin und Dez. Eine weitere großartige Präsentation heute. Wir danken unseren Freunden von IDERA, dass wir Ihnen diese Inhalte kostenlos zur Verfügung stellen konnten. Wir werden diesen Webcast zur späteren Ansicht archivieren. Das Archiv ist in der Regel innerhalb eines Tages verfügbar. Und lassen Sie uns wissen, was Sie von unserer neuen Website insideanalysis.com halten. Ein ganz neues Design, ein ganz neues Erscheinungsbild. Wir würden uns freuen, Ihr Feedback zu hören, und damit verabschiede ich mich von Ihnen, Leute. Sie können mir eine E-Mail senden. Ansonsten werden wir uns nächste Woche bei Ihnen melden. Wir haben in den nächsten fünf Wochen sieben Webcasts oder ähnliches. Wir werden beschäftigt sein. Und wir werden später in diesem Monat auf der Strata-Konferenz und dem IBM Analyst Summit in New York sein. Also, wenn Sie da sind, schauen Sie vorbei und sagen Sie Hallo. Pass auf dich auf, Leute. Tschüss.
