Wegbringen: Der Moderator Eric Kavanagh erläutert in dieser Folge von Hot Technologies die Prüfung von Datenbanken und die Einhaltung von Vorschriften mit den Analysten Robin Bloor und Dez Blanchfield sowie Bullett Manale von IDERA.
Du bist derzeit nicht angemeldet. Bitte melde dich an oder registriere dich, um das Video zu sehen.
Eric Kavanagh: Sehr geehrte Damen und Herren, hallo und herzlich willkommen bei Hot Technologies! Ja, in der Tat, von 2016. Waren im dritten Jahr dieser Show seine sehr aufregenden Sachen. Wir haben dieses Jahr gerockt und gerollt. Dies ist Eric Kavanagh, Ihr Gastgeber. Das Thema für heute - dies ist ein großartiges Thema, es hat viele Anwendungen in einer Reihe von Branchen, ganz offen gesagt - "Wer, was, wo und wie: Warum möchten Sie wissen?" Ja, ich würde über all diese lustigen Dinge sprechen. Es gibt eine Folie über Ihre, schlagen Sie mich auf @eric_kavanagh. Ich versuche, alle Erwähnungen erneut zu twittern und alles, was mir jemand sagt, erneut zu twittern. Ansonsten soll es so sein.
Es ist heiß, ja in der Tat! Die ganze Show hier soll Organisationen und Einzelpersonen helfen, bestimmte Arten von Technologie zu verstehen. Wir haben hier das gesamte Programm Hot Technologies entwickelt, um eine bestimmte Art von Software, einen bestimmten Trend oder eine bestimmte Art von Technologie zu definieren. Der Grund dafür ist, dass Sie in der Software-Welt häufig diese Marketingbegriffe bemerken, über die man sich lustig macht, und manchmal können sie die Konzepte, die sie beschreiben wollten, offen bastardisieren.
In dieser Show möchten wir Ihnen wirklich helfen, zu verstehen, was eine bestimmte Art von Technologie ist, wie sie funktioniert, wann Sie sie verwenden können, wann Sie sie möglicherweise nicht verwenden sollten, und Ihnen so viele Details wie möglich geben. Wir haben heute drei Moderatoren: unseren eigenen Robin Bloor, Chefanalyst hier bei der Bloor-Gruppe; Unser Datenwissenschaftler aus Sydney, Australien auf der anderen Seite des Planeten, Dez Blanchfield, und einer unserer Lieblingsgäste, Bullett Manale, Director of Sales Engineering bei IDERA.
Ich sage hier nur ein paar Dinge und verstehe, wer was mit welchen Daten macht. Wenn Sie über all die Vorschriften in diesen Bereichen nachdenken, wie zum Beispiel über das Gesundheitswesen und die Finanzdienstleistungen, dann ist das unglaublich wichtig. Sie müssen wissen, wer die Informationen berührt hat, wer etwas geändert hat, wer darauf zugegriffen hat, wer sie hochgeladen hat. Was ist die Abstammung, was ist die Vorsehung dieser Daten? Sie können sicher sein, dass all diese Probleme in den kommenden Jahren aus den unterschiedlichsten Gründen weiterhin im Vordergrund stehen werden. Nicht nur aus Compliance-Gründen, obwohl HIPAA, Sarbanes-Oxley und Dodd-Frank und all diese Vorschriften von großer Bedeutung sind, sondern auch, damit Sie in Ihrem Unternehmen verstehen, wer was, wo, wann, warum und wie tut. Das ist gutes Zeug, würden aufpassen.
Mach weiter, nimm es weg, Robin Bloor.
Robin Bloor: Okay, danke für die Einführung, Eric. Dieser Bereich der Governance ist, ich meine, Governance in der IT war kein Wort, das Sie bis kurz nach dem Jahr 2000 gehört haben, denke ich. Dies geschah in erster Linie, weil, wie ich finde, es in erster Linie aufgrund der geltenden Compliance-Gesetzgebung geschah. Insbesondere HIPAA und Sarbanes-Oxley. Theres wirklich viel davon. Daher erkannten die Organisationen, dass sie über eine Reihe von Regeln und Verfahren verfügen mussten, da dies gesetzlich erforderlich war. Lange zuvor, insbesondere im Bankensektor, gab es verschiedene Initiativen, denen Sie folgen mussten, je nachdem, um welche Art von Bank es sich handelte, und insbesondere um internationale Banker. Die ganze Basel-Konformität begann lange vor dieser Reihe von Initiativen nach dem Jahr 2000. Auf die Governance kommt es wirklich an. Ich dachte, ich würde mich mit dem Thema Governance befassen, um zu verstehen, wer die Daten erhält.
Data Governance, ich habe mich vor fünf oder sechs Jahren umgesehen, habe mich nach Definitionen umgesehen und es war überhaupt nicht gut definiert. Es wird immer klarer, was es eigentlich bedeutet. Die Realität war, dass in gewissen Grenzen alle Daten tatsächlich vorher geregelt wurden, es jedoch keine formalen Regeln dafür gab.Es gab spezielle Regeln, die speziell in der Bankenbranche für solche Dinge erlassen wurden, aber auch hier ging es mehr um Compliance. Auf die eine oder andere Art und Weise zu beweisen, dass Sie tatsächlich eine - mit Risiken verbundene Art waren, also war der Nachweis, dass Sie eine lebensfähige Bank waren, das Geschäft.
Wenn Sie sich jetzt die Governance-Herausforderung ansehen, beginnt sie mit einer Tatsache der Big-Data-Bewegung. Wir haben immer mehr Datenquellen. Datenvolumen ist dabei natürlich ein Thema. Insbesondere haben wir begonnen, viel, viel mehr mit unstrukturierten Daten zu tun. Es fing an, etwas zu werden, das Teil des gesamten Analysespiels ist. Aufgrund der Analyse sind die Herkunft und Herkunft der Daten wichtig. Um Data Analytics in irgendeiner Weise im Zusammenhang mit Compliance einsetzen zu können, muss man wirklich wissen, woher die Daten stammen und wie sie zu dem werden, was sie sind.
Die Datenverschlüsselung wurde zu einem Problem, das zu einem größeren Problem wurde, sobald wir zu Hadoop gingen, da die Idee eines Datensees, in dem wir viele Daten speichern, plötzlich bedeutet, dass Sie ein riesiges Sicherheitsrisiko für Menschen haben, die davon betroffen sind daran. Die Verschlüsselung von Daten wurde immer wichtiger. Die Authentifizierung war immer ein Problem. In der älteren Umgebung, in der es sich ausschließlich um eine Mainframe-Umgebung handelt, war der Perimeter-Sicherheitsschutz so großartig. Authentifizierung war nie wirklich ein Problem. Später wurde es ein größeres Problem und es ist jetzt ein viel größeres Problem, weil wir so stark verteilte Umgebungen haben. Datenzugriffsüberwachung, das wurde ein Problem. Ich scheine mich an verschiedene Werkzeuge zu erinnern, die vor ungefähr zehn Jahren entstanden sind. Ich denke, die meisten davon waren auf Compliance-Initiativen zurückzuführen. Deshalb haben wir auch alle Compliance-Regeln, Compliance-Reporting.
Das, woran man denkt, ist, dass man schon in den neunziger Jahren, als man klinische Studien in der Pharmaindustrie durchführte, nicht nur nachweisen musste, woher die Daten stammten - offensichtlich ist es sehr wichtig, wenn man eine ausprobiert Um zu wissen, wer anprobiert wird und welche konkreten Daten es gibt, musste man in der Lage sein, eine Prüfung der Software durchzuführen, mit der die Daten tatsächlich erstellt wurden. Es ist die strengste Konformitätserklärung, die ich je gesehen habe, um zu beweisen, dass Sie die Dinge nicht absichtlich oder versehentlich durcheinandergebracht haben. In jüngster Zeit ist insbesondere das Management des Datenlebenszyklus zu einem Problem geworden. All dies sind in gewisser Weise Herausforderungen, weil viele davon nicht gut gemacht wurden. Unter vielen Umständen ist es notwendig, sie zu tun.
Das nenne ich die Datenpyramide. Ich habe das schon mal durchgesprochen. Ich finde es eine sehr interessante Sichtweise. Sie können sich Daten mit Ebenen vorstellen. Rohdaten sind, wenn Sie möchten, meistens nur Signale oder Messungen, Aufzeichnungen, Ereignisse oder einzelne Aufzeichnungen. Möglicherweise erzeugen Transaktionen, Berechnungen und Aggregationen natürlich neue Daten. Sie können auf Datenebene betrachtet werden. Darüber hinaus werden Daten, sobald Sie sie miteinander verbinden, zu Informationen. Es wird nützlicher, aber es wird natürlich anfälliger für Leute, die es hacken oder missbrauchen. Ich definiere das so, dass es tatsächlich durch die Strukturierung von Daten erzeugt wird und in der Lage ist, die Daten mit Glossaren, Schemata und Ontologien auf den Informationen zu visualisieren. Diese beiden unteren Schichten verarbeiten wir auf die eine oder andere Weise. Darüber nenne ich die Wissensschicht, die aus Regeln, Richtlinien, Richtlinien und Verfahren besteht. Einige davon können tatsächlich durch in der Analytik entdeckte Erkenntnisse entstehen. Viele von ihnen sind Richtlinien, an die Sie sich halten müssen. Dies ist, wenn Sie möchten, die Ebene der Regierungsführung. Hier werden auf die eine oder andere Weise die beiden folgenden Ebenen nicht verwaltet, wenn diese Ebene nicht ordnungsgemäß gefüllt ist. Der letzte Punkt dabei ist das Verstehen in etwas, das nur in Menschen wohnt. Computer haben das zum Glück noch nicht geschafft. Ansonsten wäre ich arbeitslos.
Das Governance-Imperium - ich habe es sozusagen zusammengestellt, ich glaube, es muss vor ungefähr neun Monaten gewesen sein, möglicherweise viel früher. Grundsätzlich habe ich es etwas verbessert, aber sobald wir uns um die Governance zu kümmern begannen, gab es in Bezug auf den Datendrehkreuz des Unternehmens nicht nur ein Datenreservoir, Datenseeressourcen, sondern auch allgemeine Server verschiedener Art. spezialisierte Datenserver. All das musste geregelt werden. Wenn Sie sich auch die verschiedenen Dimensionen angesehen haben - Datensicherheit, Datenbereinigung, Metadatenerkennung und Metadatenverwaltung, Erstellen eines Geschäftsglossars, Datenzuordnung, Datenherkunft, Datenlebenszyklusverwaltung -, dann Leistungsüberwachungsverwaltung, Service-Level-Management , Systemverwaltung, die Sie vielleicht nicht mit Governance in Verbindung bringen, sondern mit einer bestimmten - nun, da es mit immer mehr Datenflüssen zu einer immer schnelleren Welt kam, ist es tatsächlich eine Notwendigkeit und beginnt, etwas mit einer bestimmten Leistung tun zu können werden eher eine Regel der Operation als alles andere.
Zusammenfassend habe ich dies über viele Jahre hinweg beobachtet, aber der allgemeine Datenschutz kam tatsächlich in den neunziger Jahren in Europa. Seitdem ist es immer raffinierter geworden. Dann wurden all diese Dinge eingeführt oder verfeinert. GRC, das heißt Governance-Risiko und Compliance, gibt es seit den Basler Banken. ISO hat Standards für verschiedene Arten von Operationen erstellt. Ich weiß seit langem, dass ich in der IT tätig bin - es war eine lange Zeit -, dass die US-Regierung bei der Ausarbeitung verschiedener Gesetze besonders aktiv war: SOX, theres Gramm-Leach-Bliley, HIPAA, FISMA, FERPA. Sie haben auch die wunderbare NIST-Organisation, die viele Standards, insbesondere Sicherheitsstandards, erstellt, die sehr nützlich sind. Die Datenschutzgesetze in Europa haben lokale Abweichungen. Was Sie beispielsweise in Deutschland mit personenbezogenen Daten tun können, unterscheidet sich von dem, was Sie in der Slowakischen Republik, in Slowenien oder wo auch immer tun können. Sie haben vor kurzem eingeführt - und ich dachte, ich würde das erwähnen, weil ich es amüsant finde -, Europa führt die Idee des Rechts ein, vergessen zu werden. Das heißt, es sollte eine Verjährungsfrist für öffentlich zugängliche Daten geben, bei denen es sich tatsächlich um personenbezogene Daten handelt. Ich finde das komisch. Aus IT-Sicht wird dies sehr, sehr schwierig sein, wenn es zu einer wirksamen Gesetzgebung wird. Zusammenfassend kann Folgendes gesagt werden: Da sich die Entwicklung von IT-Daten und -Management schnell vollzieht, muss sich auch die Governance schnell weiterentwickeln, und dies gilt für alle Bereiche der Governance.
Nachdem ich gesagt habe, dass ich den Ball an Dez weitergebe.
Eric Kavanagh: Ja, so Dez Blanchfield, nimm es weg. Robin, ich bin bei dir, Mann, ich möchte sehen, wie sich dieses Recht, vergessen zu werden, auswirkt. Ich denke, dass es nicht nur eine Herausforderung sein wird, sondern im Grunde genommen unmöglich. Es ist nur eine Verletzung des Wartens darauf, von Regierungsbehörden ausgeübt zu werden. Dez, nimm es weg.
Dez Blanchfield: Es ist in der Tat und das ist ein Thema für eine andere Diskussion. Wir stehen hier im asiatisch-pazifischen Raum vor einer sehr ähnlichen Herausforderung, insbesondere in Australien, wo Carrier und ISPs alles im Zusammenhang mit dem Internet protokollieren müssen und es aufzeichnen und wieder auffliegen können, falls jemand von Interesse etwas falsch macht. Es ist ein Gesetz und du musst es befolgen. Die Herausforderung könnte sein, genau wie jemand bei Google in den USA aufgefordert wird, meinen Suchverlauf oder was auch immer zu löschen, das europäische Recht zu beachten, insbesondere das deutsche Datenschutzrecht. In Australien muss ein Mobilfunkanbieter in der Lage sein, Details zu Anrufen und zum Suchverlauf anzugeben, was eine Herausforderung darstellt, aber es ist die Welt, in der wir leben. Dafür gibt es eine Reihe von Gründen. Lass mich einfach in meine springen.
Ich habe meine Titelseite absichtlich schwer lesbar gemacht. Das muss man sich wirklich genau ansehen. Compliance gemäß einer Reihe von Regeln, Spezifikationen, Kontrollen, Richtlinien, Standards oder Gesetzen mit einem albernen, chaotischen Hintergrund. Das liegt daran, dass Sie es sich nur schwer ansehen müssen, um die Details zu ermitteln und Informationen aus den überlagerten Tabellen, Zeilen und Spalten, entweder einer Datenbank, einem Schema oder einem Modell in Visio, zu ziehen. So fühlt sich Compliance Tag für Tag an. Es ist ziemlich schwierig, ins Detail zu gehen und die relevanten Informationen herauszuholen, die Sie benötigen, um zu bestätigen, dass Sie konform sind. Berichten Sie darüber, überwachen Sie es und testen Sie es.
Tatsächlich fand ich eine wirklich gute Möglichkeit, dies zu visualisieren, wenn wir uns die Frage stellen: "Sind Sie konform?" "Bist du sicher?" "Nun, beweise es!" Es ist eine wirklich lustige Sache, die vielleicht ein bisschen anglo-keltischer ist, aber ich bin mir sicher, dass sie ihren Weg um die Welt in die USA gefunden hat, also ist es: "Wheres Wally?" Wally ist eine kleine Figur, die in Form von Büchern in diese Comiczeichnungen einfließt. Normalerweise sehr großformatige Bilder von A3 oder größer. Also Zeichnungen in Tischgröße. Er ist eine kleine Figur, die eine Mütze und ein rot-weiß gestreiftes Hemd trägt. Die Idee des Spiels ist, dass Sie sich dieses Bild ansehen und sich im Kreis umsehen, um Wally zu finden. Er ist dort irgendwo auf dem Bild. Wenn Sie darüber nachdenken, wie Sie Compliance erkennen und beschreiben und darüber Bericht erstatten können, ähnelt dies in vielerlei Hinsicht der Wiedergabe von „Wheres Wally“. Wenn Sie sich dieses Bild ansehen, ist es fast unmöglich, den Charakter zu finden. Kinder verbringen Stunden damit und ich hatte gestern viel Spaß damit. Wenn wir es uns ansehen, finden wir eine ganze Reihe von Menschen in diesen Cartoons, die absichtlich mit ähnlichen Teilen des Wally-Outfits einer gestreiften Mütze und eines Jerseys oder eines Wolltops dort platziert sind. Aber sie werden zu Fehlalarmen.
Dies ist eine ähnliche Herausforderung, die wir bei der Einhaltung haben. Wenn wir Dinge betrachten, denken wir manchmal, dass dies der Fall ist, ist dies überhaupt nicht der Fall. Jemand könnte Zugriff auf eine Datenbank haben und er sollte diesen Zugriff auf eine Datenbank haben, aber die Art und Weise, wie er sie verwendet, unterscheidet sich geringfügig von den Erwartungen. Wir könnten entscheiden, dass das etwas ist, was wir betrachten müssen. Wenn wir uns das ansehen, stellen wir tatsächlich fest, dass es sich um einen sehr gültigen Benutzer handelt. Sie machen nur etwas Skurriles. Vielleicht ist es ein PC-Forscher oder wer weiß. In anderen Fällen könnte das Gegenteil der Fall sein. Die Realität, wenn ich wieder vorwärts gehe, ist Wally. Wenn Sie in dieser hohen Auflösung wirklich gut ausgesehen haben, gibt es einen Charakter, der tatsächlich die richtige Kleidung trägt. Alle anderen sind nur Doppelgänger und Gleichgesinnte. Compliance fühlt sich sehr ähnlich an. Die meisten Leute, die ich kenne, arbeiten in Kontroll- und Compliance- und Richtlinienbereichen von Unternehmen. In einer ganzen Reihe von Bereichen, ob Technologie, Finanzen oder Betrieb und Risiko. Oft ist es sehr schwer, den Wally auf dem Bild zu sehen, man sieht die Bäume oder den Wald.
Die Frage, die wir uns stellen, wenn wir über Dinge wie Compliance nachdenken, lautet: "Big Deal, was könnte möglicherweise schief gehen, wenn wir die Compliance nicht ganz einhalten?" In der heutigen Diskussion, insbesondere um die Datenbank und die Kontrolle des Zugriffs auf Daten, werde ich Ihnen einige sehr reale Beispiele für Weckrufe geben, die erläutern, was in sehr kurzer, prägnanter Form schief gehen kann. Wenn wir an Datenschutzverletzungen denken und alle mit Datenschutzverletzungen vertraut waren, hören wir sie in den Medien, und wir hören auf zu lachen, weil die Leute über seine Märkte nachdenken. Seine persönlichen Sachen. Es sind Ashley Madison und Menschen, die Daten außerhalb ihrer Beziehungen und Ehen suchen. Seine schleudernden Konten. Es sind alles diese seltsamen Dinge, oder irgendein zufälliger europäischer oder russischer ISP oder Hosting-Unternehmen wird gehackt. Wenn es um Dinge wie MySpace und diese Top Ten geht, wenn Sie sich diese Zahlen ansehen, möchte ich, dass Sie Folgendes erkennen: 1,1 Milliarden Menschen Details in diesen Top Ten Verstößen. Und ja, es gibt Überschneidungen. Es gibt wahrscheinlich Leute, die einen MySpace-Account, einen Dropbox-Account und einen Tumblr-Account haben, aber wir können es auf eine Milliarde Leute aufrunden.
Diese zehn häufigsten Verstöße in den letzten zehn Jahren - in den meisten Fällen noch nicht einmal in einem Jahrzehnt - machen etwa ein Siebtel der Weltbevölkerung aus, realistischerweise sind jedoch etwa 50 Prozent der Menschen mit dem Internet verbunden Internet, über eine Milliarde Menschen. Diese entstehen, weil die Compliance in einigen Fällen nicht eingehalten wurde. In den meisten Fällen handelte es sich um Zugriffskontrollen für Datenbanken, Zugriffskontrollen für bestimmte Datensätze sowie für Systeme und Netzwerke. Dies ist ein beängstigender Realitätscheck. Wenn es dich nicht erschreckt, wenn du dir die Top Ten ansiehst und siehst, dass dies ein - oder eine Milliarde Menschen sind, echte Menschen wie wir, bei diesem Anruf im Moment. Wenn Sie ein LinkedIn-Konto haben, wenn Sie ein Dropbox-Konto oder ein Tumblr-Konto hatten oder wenn Sie bei Adobe-Produkten gekauft oder sogar den kostenlosen Adobe Viewer heruntergeladen haben. Es ist sehr wahrscheinlich, dass Ihre Daten, Ihr Vorname, Ihr Nachname, Ihre Adresse, möglicherweise sogar Ihre Arbeitsfirma, Ihre Privatadresse oder Ihre Kreditkarte aufgrund eines Verstoßes gegen diese Bestimmungen tatsächlich veröffentlicht werden fand aufgrund der Kontrollen statt, die in Form von Datenmanagement, Data Governance, nicht unbedingt gut gemanagt wurden.
Schauen wir es uns einmal genauer an. Es gibt einen Bildschirm, dort sind ungefähr 50. Theres weitere 15. Theres über weitere 25. Dies sind Datenschutzverletzungen, die auf einer Website namens haveibeenpwned.com aufgeführt sind. Dies kann möglicherweise schief gehen, wenn eine einfache Steuerung, die Zugriff auf Daten in Datenbanken in verschiedenen Feldern und Zeilen und Spalten sowie in verschiedenen Anwendungen in Ihrem Unternehmen hatte, nicht ordnungsgemäß verwaltet wird. Diese Organisationen sind jetzt datengesteuert. Die meisten Daten befinden sich in irgendeiner Form in einer Datenbank. Wenn Sie darüber nachdenken, hat diese Liste von Verstößen, die wir uns gerade angesehen haben, Sie hoffentlich ein bisschen kalt geduscht, weil Sie dachten, „Hmm, das ist sehr real“, und sie hat Sie möglicherweise beeinflusst. Im Jahr 2012, dieser Verstoß gegen LinkedIn, haben die meisten Fach- und Führungskräfte heutzutage ein LinkedIn-Konto und es ist wahrscheinlich, dass Ihre Daten verloren gehen. Sie sind seit 2012 im Internet. Wir haben erst 2016 davon erfahren. Was ist mit Ihren Informationen in diesen vier Jahren passiert? Nun, es ist interessant und wir können separat darüber sprechen.
Datenbank- und Systemverwaltung - Ich spreche oft über die fünf wichtigsten Herausforderungen bei der Verwaltung dieser Dinge. Ganz oben und im Ranking nach Präferenz von mir selbst, aber auch nach Wirkungsgrad, steht Sicherheit und Compliance an erster Stelle. Die Kontrollen und Mechanismen sowie Richtlinien zur Kontrolle, wer welchen Zugriff auf welches System aus welchem Grund und zu welchem Zweck hat. Berichterstattung und Überwachung, Einsicht in die Systeme, Einsicht in die Datenbanken und Erkennen, wer tatsächlich auf Datensätze, einzelne Felder und Datensätze zugreifen kann.
Denken Sie in einer sehr einfachen Form darüber nach. Betrachten wir als ein Beispiel das Bankwesen und die Vermögensverwaltung. Wenn Sie sich für ein Bankkonto anmelden, können Sie beispielsweise ein normales Geldkonto für eine EFTPOS-Karte oder ein Geldkonto oder ein Scheckkonto angeben. Sie füllen ein Formular aus und in diesem Blatt Papier, das Sie ausfüllen, sind viele sehr private Informationen enthalten, oder Sie tun dies online und das geht in ein Computersystem. Wenn jemand im Marketing Sie und Sie mit einer Broschüre kontaktieren möchte, sollte er Ihren Vor- und Nachnamen sowie Ihre persönliche Adresse sehen können, zum Beispiel und möglicherweise Ihre Telefonnummer, wenn er Sie anrufen und verkaufen möchte Du etwas. Sie sollten wahrscheinlich aus verschiedenen Gründen nicht sehen, wie viel Geld Sie insgesamt auf der Bank haben. Wenn jemand Sie aus Risikogesichtspunkten betrachtet oder versucht, Ihnen dabei zu helfen, bessere Zinssätze auf Ihrem Konto zu erzielen, möchte diese bestimmte Person wahrscheinlich wissen, wie viel Geld Sie auf der Bank haben, damit sie Ihnen anbieten kann Die entsprechenden Zinssätze machen sich für Ihr Geld bezahlt. Diese beiden Personen haben sehr unterschiedliche Rollen und sehr unterschiedliche Gründe für diese Rollen und Zwecke für diese Rollen. Infolgedessen müssen in Ihrem Datensatz unterschiedliche Informationen angezeigt werden, jedoch nicht der gesamte Datensatz.
Diese Steuerelemente beziehen sich auf die verschiedenen Berichte der üblichen Bildschirme oder Formulare in den Anwendungen, die zur Verwaltung Ihres Kontos verwendet werden. Die Entwicklung für diese, die Pflege dieser, die Verwaltung dieser, die Berichterstattung über diese und die Governance und Compliance, die mit solchen wie Bubble Wrap einhergehen, sind alle eine sehr, sehr große Herausforderung. Das ist nur die größte Herausforderung bei der Verwaltung von Daten und Systemen. Wenn wir uns eingehender mit der Leistung und Überwachung sowie der Erkennung und Reaktion von Inzidenzen, der Verwaltung und Verwaltung des Systems und der damit verbundenen Konformität, dem Entwurf und der Entwicklung der Systeme ausgehend von der Konformität befassen, wird es viel schwieriger.
Management des gesamten Problems der Risikominderung und Verbesserung der Sicherheit. Meine fünf größten Herausforderungen in diesem Bereich - und ich mag die Bilder, die mit einem Zollschalter bei der Einreise in ein Land einhergehen -, sind die, die Ihren Reisepass vorlegen, Sie überprüfen und auf ihrem Computersystem nachsehen, ob Sie bestehen sollten oder nicht nicht. Wenn Sie nicht sollten, setzen sie Sie in das nächste Flugzeug nach Hause. Andernfalls lassen sie Sie wieder ein und fragen Sie: "Kommen Sie in den Urlaub? Sind Sie hier als Tourist? Sind Sie zur Arbeit hier? Welche Art von Arbeit werden Sie sehen? Wo werden Sie übernachten? "Wie lange kommst du noch? Hast du genug Geld, um deine Ausgaben und Kosten zu decken? Oder wirst du zu einem Risiko für das Land, in dem du lebst, und sie müssen dich vielleicht pflegen und ernähren?"
Es gibt einige Probleme im Zusammenhang mit diesem Datenbereich und der Verwaltung des Datenschutzes. Im Datenbankbereich müssen wir zum Beispiel überlegen, ob wir die Umgehungen von Datenbanken verringern sollen. Befinden sich die Daten in der Datenbank, befinden sie sich in einer normalen Umgebung und es gibt Steuerelemente und Mechanismen, die diese im System umgehen. Was passiert, wenn ein Speicherauszug der Daten in mehr SQL erstellt und auf Band gesichert wird? Die Datenbanken werden in unformatierter Form gesichert und manchmal gesichert. Manchmal aus technischen Gründen, aus Entwicklungsgründen. Sagen wir einfach, ein DB-Dump wurde erstellt und auf Band gesichert. Was passiert, wenn ich das Band in die Hände bekomme und es wieder herstelle? Und ich habe eine rohe Kopie der Datenbank in SQL. Es ist eine MP-Datei, ich kann sie lesen. Alle Passwörter, die in diesem Dump gespeichert sind, haben keine Kontrolle über mich, da ich jetzt Zugriff auf den tatsächlichen Inhalt der Datenbank bekomme, ohne dass die Datenbank-Engine ihn schützt. So kann ich die Sicherheit der Datenbankplattform, die in der Engine integriert ist, mit Compliance und Risikomanagement technisch umgehen, damit ich nicht mehr auf die Daten schaue. Weil möglicherweise der Entwickler, der Systemadministrator, einen vollständigen Speicherauszug der Datenbank erhalten hat, der für Sicherungen verwendet werden sollte.
Missbrauch der Daten - potenziell jemanden dazu bringen, sich als gehobenes Konto anzumelden und mich auf dem Bildschirm sitzen zu lassen, nach Informationen oder ähnlichen Dingen zu suchen.Proprietäre Prüfung des Zugriffs und der Verwendung der Daten sowie Anzeige der Daten oder Änderungen der Daten. Dann die Berichterstattung rund um diese Kontrolle und die Einhaltung erforderlich. Überwachen des Datenverkehrs und des Zugriffs usw., Blockieren von Bedrohungen, die von externen Standorten und Servern ausgehen. Wenn die Daten beispielsweise über ein Formular auf einer Internetseite im Internet dargestellt werden, wurden ihre SQL-Injections durch Firewalls und Konzeptkontrollen geschützt? Es gibt eine lange detaillierte Geschichte, die dahintersteckt. Sie können hier sehen, dass nur einige dieser absolut grundlegenden Dinge, über die wir nachdenken, um das Risiko in Bezug auf Daten in Datenbanken zu verringern und zu verwalten. Es ist eigentlich relativ einfach, einige davon zu umgehen, wenn Sie sich auf verschiedenen Ebenen der Stapel der Technologien befinden. Die Herausforderung wird immer schwieriger, je mehr Daten und Datenbanken vorhanden sind. Immer schwieriger wird es, die Systeme zu verwalten und deren Verwendung zu überwachen. Sie erfassen die relevanten Details, die sich speziell auf Dinge beziehen, über die Robin gesprochen hat, beispielsweise die Einhaltung persönlicher Vorschriften. Einzelpersonen verfügen über Kontrollen und Mechanismen, die den Anforderungen entsprechen. Wenn Sie etwas falsch machen, sind Sie möglicherweise entlassen. Wenn ich mich als mein Konto anmelde, können Sie es sehen, das sollte eine strafbare Handlung sein. Jetzt habe ich Ihnen Zugriff auf Daten gewährt, die Sie normalerweise nicht hätten sehen sollen.
Die Einhaltung persönlicher Richtlinien, die Einhaltung von Unternehmensrichtlinien, die Einhaltung von Unternehmensrichtlinien und -regeln sowie die von ihnen selbst festgelegten Kontrollen tragen dazu bei, dass das Unternehmen reibungslos funktioniert und eine Gewinnrendite sowie eine gute Rendite für Investoren und Aktionäre erzielt. Dann gibt es oft stadtweite oder landesweite oder nationale, bundesstaatliche, wie Sie sagten US-amerikanische Kontrollen und Gesetze. Dann gibt es globale. Einige der größeren Vorfälle auf der Welt, in denen Sarbanes-Oxley vorkommt, zwei Personen, die nach Wegen zum Schutz von Daten und Systemen gefragt werden. Es gibt Basel in Europa und alle Kontrollmöglichkeiten in Australien, insbesondere in Bezug auf Börsen- und Berechtigungsplattformen, und dann den Datenschutz auf Einzel- oder Unternehmensebene. Wenn jedes von diesen gestapelt ist, wie Sie an einem der Orte gesehen haben, die Robin hatte, werden sie fast zu einem nahezu unmöglichen Berg, den man besteigen kann. Die Kosten werden hoch und befanden sich an dem Punkt, an dem der ursprüngliche traditionelle Ansatz, den Sie kennen, wie die Messung der Kontrolle durch den Menschen, nicht mehr angemessen ist, da der Maßstab zu groß ist.
Wir haben ein Szenario, in dem Compliance, wie ich es nenne, ein ständiges Problem ist. Und das ist, dass wir möglicherweise einen Zeitpunkt hatten, entweder monatlich oder vierteljährlich oder jährlich, an dem wir unseren Zustand der Nation überprüften und zur Einhaltung und Kontrolle beitrugen. Sicherstellen, dass bestimmte Personen bestimmten Zugriff hatten und keinen bestimmten Zugriff hatten, je nachdem, welche Berechtigungen sie hatten. Jetzt geht es um die Geschwindigkeit der Dinge, mit der sich die Dinge bewegen, das Tempo, mit dem sich die Dinge ändern, das Ausmaß, in dem sie sich bewegen. Compliance ist ein immer aktuelles Thema, und die globale Finanzkrise war nur ein Beispiel dafür, dass die einschlägigen Kontrollen und Sicherheits- und Compliance-Maßnahmen ein Szenario hätten vermeiden können, in dem wir einen außer Kontrolle geratenen Güterzug bestimmten Verhaltens hatten. Nur eine Situation zu schaffen, in der die ganze Welt effektiv weiß, dass sie pleite und bankrott gehen würde. Dafür brauchen wir die richtigen Werkzeuge. Menschen auf den Zug werfen, Körper werfen ist kein gültiger Ansatz mehr, weil der Maßstab zu groß ist und die Dinge sich zu schnell bewegen. Ich denke, die heutige Diskussion wird sich mit den Arten von Werkzeugen befassen, die dafür eingesetzt werden können. Insbesondere die Tools, die IDERA uns zur Verfügung stellen kann, sollten dies tun. In diesem Sinne übergebe ich es Bullett, um sein Material durchzugehen und uns ihre Herangehensweise und die Werkzeuge zu zeigen, die sie zur Lösung dieses Problems haben, das wir jetzt für Sie vorgelegt haben.
Damit, Bullett, gebe ich Ihnen die Hand.
Bullett Manale: Hört sich gut an, danke. Ich möchte auf einige Folien eingehen und Ihnen ein Produkt zeigen, das wir speziell für SQL Server-Datenbanken verwenden, um in Konformitätssituationen zu helfen. Wirklich, die Herausforderung in vielen Fällen - ich werde ein paar davon überspringen - das ist nur unser Produktportfolio, ich werde das ziemlich schnell durchmachen. In Bezug darauf, wo dieses Produkt wirklich angesprochen wird und wie es sich auf die Konformität auswirkt, betrachte ich dies immer als die erste Folie, da es sich um eine Art generisches Produkt handelt: „Hey, wofür ist ein DBA verantwortlich?“ kontrolliert und überwacht den Benutzerzugriff und ist auch in der Lage, Berichte zu generieren. Dies hängt davon ab, wann Sie mit Ihrem Prüfer sprechen. Wie schwierig dieser Prozess sein kann, hängt davon ab, ob Sie ihn selbst ausführen oder ob Sie ein Tool eines Drittanbieters verwenden, um zu helfen.
Wenn ich mit Datenbankadministratoren spreche, waren sie im Allgemeinen oft nie an einer Prüfung beteiligt. Man muss sie irgendwie zu dem erziehen, was man wirklich tun muss. Bezogen auf welche Art von Compliance, die erfüllt werden muss, und in der Lage zu beweisen, dass Sie tatsächlich die Regeln befolgen, die für diese Compliance-Ebene gelten. Viele Leute verstehen es zuerst nicht. Sie denken: "Oh, ich kann nur ein Werkzeug kaufen, das mich konform macht." Die Realität ist, dass dies nicht der Fall ist. Ich wünschte, ich könnte sagen, dass unser Produkt Ihnen auf magische Weise die Möglichkeit gegeben hat, sicherzustellen, dass Sie die Anforderungen erfüllen. Die Realität ist, dass Sie Ihre Umgebung in Bezug auf die Steuerelemente einrichten müssen, in Bezug darauf, wie die Benutzer auf die Daten zugreifen, dass alles mit der Anwendung, die Sie haben, ausgearbeitet werden muss. Wo diese sensiblen Daten gespeichert werden, welche Art von behördlichen Anforderungen sind dies? Dann müssen Sie in der Regel auch mit einem internen Compliance-Beauftragten zusammenarbeiten, um sicherzustellen, dass Sie alle Regeln einhalten.
Das klingt wirklich kompliziert. Wenn Sie sich alle regulatorischen Anforderungen ansehen, denken Sie, dass dies der Fall ist, aber in Wirklichkeit gibt es hier einen gemeinsamen Nenner. In unserem Fall mit dem Tool, das ich Ihnen heute zeigen werde, dem Compliance Manager-Produkt, wäre der Prozess in unserer Situation, dass wir in erster Linie sicherstellen müssen, dass wir die Audit-Trail-Daten sammeln, die sich auf den Ort der Daten beziehen ist in der Datenbank, die sensibel ist. Sie können alles sammeln, oder? Ich könnte rausgehen und sagen, ich möchte jede Transaktion sammeln, die in dieser Datenbank passiert. Die Realität ist, dass Sie wahrscheinlich nur einen kleinen Bruchteil oder einen kleinen Prozentsatz der Transaktionen haben, die sich tatsächlich auf die sensiblen Daten beziehen. Wenn es um die PCI-Konformität geht, geben die Kreditkarteninhaber ihre persönlichen Daten an. Möglicherweise gibt es eine Menge anderer Transaktionen in Bezug auf Ihre Anwendung, die sich nicht wirklich auf die regulatorischen Anforderungen von PCI auswirken.
Von diesem Standpunkt aus ist das erste, was ich mit DBA spreche, dass ich sage: „Die größte Herausforderung besteht nicht darin, ein Werkzeug zu finden, das diese Dinge für Sie erledigt. Es ist nur zu wissen, wo sich diese sensiblen Daten befinden und wie wir diese Daten sperren. “Wenn Sie das haben, wenn Sie diese Frage beantworten können, dann sind Sie auf halbem Weg nach Hause, um zu zeigen, dass Sie die Anforderungen erfüllen, vorausgesetzt, Sie folgen die richtigen Kontrollen. Sagen wir für eine Sekunde, dass Sie die richtigen Kontrollen befolgen und den Wirtschaftsprüfern mitgeteilt haben, dass dies der Fall ist. Der nächste Teil des Prozesses besteht offensichtlich darin, einen Audit-Trail bereitzustellen, der zeigt und bestätigt, dass diese Kontrollen tatsächlich funktionieren. Anschließend müssen Sie sicherstellen, dass Sie diese Daten speichern. Bei Dingen wie PCI- und HIPAA-Konformität und solchen Dingen spricht man in der Regel von einer Aufbewahrungsfrist von sieben Jahren. Sie sprechen über viele Transaktionen und viele Daten.
Wenn Sie daran festhalten, jede Transaktion zu erfassen, obwohl nur fünf Prozent der Transaktionen mit den sensiblen Daten zusammenhängen, sprechen Sie von einem ziemlich hohen Aufwand, der mit der Speicherung dieser Daten für sieben Jahre verbunden ist. Das ist eine der größten Herausforderungen, denke ich, wenn es darum geht, die Leute dazu zu bringen, das zu sagen, das ist natürlich ein wirklich unnötiger Preis. Es ist auch viel einfacher, wenn wir uns nur auf die sensiblen Bereiche in der Datenbank konzentrieren können. Darüber hinaus möchten Sie auch einige der vertraulichen Informationen kontrollieren. Nicht nur, um in Form eines Audit-Trails aufzuzeigen, sondern auch, um Dinge mit Aktionen in Verbindung zu bringen, die gerade stattfinden, und um in Echtzeit benachrichtigt zu werden, damit Sie sich dessen bewusst werden.
Das Beispiel, das ich immer verwende, und es muss nicht unbedingt mit irgendeiner Art von behördlicher Anforderung zusammenhängen, sondern nur in der Lage sein, nachzuverfolgen, dass beispielsweise jemand die Tabelle gelöscht hat, die der Gehaltsabrechnung zugeordnet ist. In diesem Fall wird niemand bezahlt, wenn Sie dies nicht nachverfolgen. Das ist zu spät. Sie möchten wissen, wann dieser Tisch gelöscht wird, und zwar genau dann, wenn er gelöscht wird, um zu verhindern, dass schlechte Dinge passieren, wenn ein verärgerter Mitarbeiter den Tisch löscht, der direkt mit der Gehaltsabrechnung verbunden ist.
Nach alledem besteht der Trick darin, den gemeinsamen Nenner zu finden oder diesen gemeinsamen Nenner zu verwenden, um den Grad der Einhaltung abzubilden. Das ist genau das, was wir mit diesem Tool versuchen. Grundsätzlich gehen wir davon aus, dass wir Ihnen keinen PCI-spezifischen Bericht, keinen aktienspezifischen Bericht zeigen werden. Der gemeinsame Nenner ist, dass Sie eine Anwendung haben, die SQL Server verwendet, um die vertraulichen Daten in der Datenbank zu speichern. Sobald Sie damit fertig sind, sagen Sie: "Ja, das ist wirklich die Hauptsache, auf die wir uns konzentrieren müssen - wo sind diese sensiblen Daten und wie wird auf sie zugegriffen?" Sobald Sie das haben, gibt es eine Tonne von Berichten, die wir anbieten, die den Nachweis erbringen können, dass Sie den Anforderungen entsprechen.
Zurück zu den Fragen, die von einem Prüfer gestellt werden, sind die ersten Fragen: Wer hat Zugriff auf die Daten und wie erhalten sie diesen Zugriff? Können Sie nachweisen, dass die richtigen Personen auf die Daten zugreifen und die falschen Personen nicht? Können Sie auch nachweisen, dass der Audit-Trail selbst etwas ist, dem ich als unveränderliche Informationsquelle vertrauen kann? Wenn ich Ihnen einen Audit-Trail gebe, der fabriziert wurde, tut es mir als Auditor nicht wirklich gut, Ihr Audit zu patchen, wenn die Informationen fabriziert werden. Wir brauchen einen Beweis dafür, typischerweise aus Sicht der Wirtschaftsprüfung.
Ich gehe diese Fragen etwas detaillierter durch. Die Herausforderung bei der ersten Frage ist, wie ich bereits sagte, dass Sie wissen müssen, wo sich diese sensiblen Daten befinden, um darüber Bericht zu erstatten, wer auf sie zugreift. Das ist normalerweise eine Art von Entdeckung, und Sie haben tatsächlich Tausende verschiedener Anwendungen, die es gibt, und Sie haben Unmengen unterschiedlicher behördlicher Anforderungen. In den meisten Fällen möchten Sie mit Ihrem Compliance-Beauftragten zusammenarbeiten, falls Sie einen Beauftragten haben, oder zumindest mit jemandem, der einen zusätzlichen Einblick darüber hat, wo sich meine sensiblen Daten in der Anwendung befinden. Wir haben ein Tool, das wir haben, es ist ein kostenloses Tool, es heißt SQL Column Search. Wir sagen unseren potenziellen Kunden und Benutzern, die an dieser Frage interessiert sind, dass sie sie herunterladen können. Das Ziel ist es, nach Informationen in der Datenbank zu suchen, die wahrscheinlich sensibler Natur sind.
Und wenn Sie das tun, müssen Sie auch verstehen, wie Menschen auf diese Daten zugreifen. Und das wird wiederum sein, welche Konten sich in welchen Active Directory-Gruppen befinden, welche Datenbankbenutzer beteiligt sind und mit welchen Rollenmitgliedschaften dies verbunden ist. Und bedenken Sie natürlich, dass all diese Dinge, über die wir sprechen, vom Prüfer genehmigt werden müssen. Wenn Sie also sagen: "So sperren wir die Daten", können die Prüfer kommen zurück und sag: "Nun, du machst es falsch." Aber sagen wir mal, dass sie sagen: "Ja, das sieht gut aus. Sie sperren die Daten ausreichend. "
Fahren Sie mit der nächsten Frage fort: Können Sie nachweisen, dass die richtigen Personen auf diese Daten zugreifen? Mit anderen Worten, Sie können ihnen mitteilen, dass es sich bei Ihren Kontrollen um die Kontrollen handelt, denen Sie folgen. Leider sind die Prüfer keine wirklich vertrauenswürdigen Personen. Sie wollen einen Beweis dafür und wollen ihn im Audit-Trail sehen können. Und das geht auf diesen ganzen gemeinsamen Nenner zurück. Unabhängig davon, ob es sich um PCI, SOX, HIPAA, GLBA oder Basel II handelt, werden in der Realität in der Regel dieselben Fragen gestellt. Das Objekt mit den vertraulichen Informationen. Wer hat im letzten Monat auf dieses Objekt zugegriffen? Das sollte meinen Kontrollen entsprechen und ich sollte in der Lage sein, meine Prüfung zu bestehen, indem ich diese Arten von Berichten zeige.
Wir haben also etwa 25 verschiedene Berichte erstellt, die sich auf die gleichen Bereiche beziehen wie dieser gemeinsame Nenner. Wir haben also keinen Bericht für PCI, für HIPAA oder für SOX. Wir haben Berichte, die erneut diesem gemeinsamen Nenner entsprechen. Es spielt also keine Rolle, welche regulatorischen Anforderungen Sie erfüllen möchten. In den meisten Fällen können Sie alle Fragen beantworten, die Ihnen dieser Prüfer stellt. Und sie werden Ihnen bei jeder Transaktion sagen, wer, was, wann und wo. Sie wissen, der Benutzer, der Zeitpunkt der Transaktion, die SQL-Anweisung selbst, die Anwendung, aus der sie stammt, all das Gute und können dann auch die Übermittlung dieser Informationen an Berichte automatisieren.
Und wenn Sie das einmal hinter sich gebracht haben und dies dem Prüfer zur Verfügung gestellt haben, wird die nächste Frage sein, beweisen Sie es. Und wenn ich beweise, dann beweise ich, dass der Audit-Trail selbst etwas ist, dem wir vertrauen können. In unserem Tool haben wir Hash- und CRC-Werte, die direkt mit den Ereignissen innerhalb des Audit-Trails verknüpft sind. Die Idee ist also, dass wir, wenn jemand einen Datensatz löscht oder löscht oder etwas aus dem Audit-Trail entfernt oder zum Audit-Trail hinzufügt oder etwas im Audit-Trail selbst ändert, beweisen können, dass diese Daten die Integrität von Die Daten selbst wurden verletzt. In 99,9 Prozent der Fälle, in denen Sie unsere Audit-Trail-Datenbank gesperrt haben, tritt dieses Problem nicht auf, da wir dem Prüfer bei dieser Integritätsprüfung im Wesentlichen nachweisen, dass die Daten selbst nicht gesperrt sind geändert und gelöscht oder ergänzt seit dem ursprünglichen Schreiben vom Verwaltungsdienst selbst.
Auf diese Weise erhalten Sie einen allgemeinen Überblick über die typischen Fragen, die Ihnen gestellt werden. Nun heißt das Tool, mit dem wir uns viel damit befassen müssen, SQL Compliance Manager und es erledigt all diese Dinge im Hinblick auf die Verfolgung der Transaktionen, wer, was, wann und wo der Transaktionen, in der Lage zu sein, dies in einer Anzahl der verschiedenen Bereiche. Anmeldungen, fehlgeschlagene Anmeldungen, Schemaänderungen, offensichtlich Datenzugriff, Aktivität auswählen, all die Dinge, die innerhalb des Datenbankmoduls geschehen. Außerdem können wir die Benutzer bei Bedarf auf bestimmte, sehr detaillierte Bedingungen hinweisen. Zum Beispiel geht jemand aus und sieht sich die Tabelle an, die alle meine Kreditkartennummern enthält. Sie ändern die Daten nicht, sondern betrachten sie nur. In dieser Situation kann ich alarmieren und die Leute darüber informieren, dass dies geschieht, nicht sechs Stunden später, wenn wir Protokolle kratzen, sondern in Echtzeit. Grundsätzlich dauert es so lange, bis wir diese Transaktion über einen Verwaltungsservice abgewickelt haben.
Wie ich bereits erwähnt habe, wurde dies in einer Vielzahl unterschiedlicher behördlicher Anforderungen verwendet, und es ist nicht wirklich so - Sie wissen, dass Sie, sofern es sich um gemeinsame Nenner handelt, auch hier vertrauliche Daten in einem SQL Server haben Datenbank, dies ist ein Werkzeug, das in dieser Art von Situation helfen würde. Bei den 25 Berichten, die bereits integriert sind, können wir dieses Tool nun für den Prüfer verbessern und jede einzelne gestellte Frage beantworten. Die DBAs sind jedoch diejenigen, die dafür sorgen müssen, dass es funktioniert. Aus Wartungssicht müssen wir also sicherstellen, dass der SQL-Code so funktioniert, wie wir es möchten. Wir müssen auch in der Lage sein, die Dinge zu betrachten, die herausgehen und andere Informationen betrachten können, wissen Sie, was die Archivierung der Daten, die Automatisierung davon und den Overhead anbelangt selbst des Produkts. Das sind Dinge, die wir offensichtlich berücksichtigen.
Welches bringt die Architektur selbst auf. Ganz rechts auf dem Bildschirm befinden sich die von uns verwalteten SQL-Instanzen von 2000 bis 2014. Sie bereiten sich darauf vor, eine Version für 2016 zu veröffentlichen. Der größte Vorteil dieses Bildschirms ist das Management Der Server selbst erledigt das ganze schwere Heben. Wir erfassen die Daten nur mithilfe der in SQL Server integrierten Trace-API. Diese Informationen fließen auf unseren Management-Server. Dieser Management-Server erkennt selbst, ob Ereignisse im Zusammenhang mit Transaktionen vorliegen, die wir nicht möchten, gibt Warnungen aus und füllt die Daten in einem Repository. Von dort aus können wir Berichte ausführen und diese Informationen in den Berichten oder sogar in der Anwendungskonsole anzeigen.
Also, was ich tun werde, ist, dass ich uns sehr schnell durchführe, und ich möchte nur kurz auf eine Sache hinweisen, bevor wir in das Produkt einsteigen. Es gibt einen Link auf der Website. oder in der Präsentation werden Sie zu dem kostenlosen Tool weitergeleitet, das ich zuvor erwähnt habe. Dieses kostenlose Tool ist, wie ich bereits sagte, ein Blick in eine Datenbank und versucht, anhand der Namen der Spalten oder Tabellen Bereiche zu finden, die wie vertrauliche Daten, Sozialversicherungsnummern oder Kreditkartennummern aussehen. oder basierend auf der Art und Weise, wie das Format der Daten aussieht, und Sie können dies auch anpassen, um darauf hinzuweisen.
Jetzt, in unserem Fall, lass mich weitermachen und meinen Bildschirm teilen, gib mir hier eine Sekunde. Also gut, ich wollte Sie zuerst zu der Compliance Manager-Anwendung selbst führen, und ich werde das ziemlich schnell durchgehen. Aber dies ist die Anwendung, und Sie sehen, dass ich hier einige Datenbanken habe. Ich werde Ihnen nur zeigen, wie einfach es ist, darauf zuzugreifen und zu sagen, was Sie prüfen möchten. Unter dem Gesichtspunkt von Schemaänderungen, Sicherheitsänderungen, Verwaltungsaktivitäten, DML und Auswählen stehen uns alle diese Optionen zur Verfügung. Sie können auch nach unten gefiltert werden. Dies geht auf die bewährte Methode zurück, zu sagen: "Ich brauche diese Tabelle wirklich nur, weil sie meine Kreditkartennummern enthält. Ich benötige keine anderen Tabellen mit Produktinformationen, all diese anderen Dinge, die sich nicht auf den Grad der Einhaltung beziehen, den ich zu erfüllen versuche. "
Wir haben auch die Möglichkeit, Daten zu erfassen und anhand der Werte der Felder anzuzeigen, die sich ändern.In vielen Tools haben Sie etwas, mit dem Sie die SQL-Anweisung erfassen, den Benutzer anzeigen, die Anwendung, Uhrzeit und Datum anzeigen können und all das Gute. In einigen Fällen gibt die SQL-Anweisung selbst nicht genügend Informationen aus, um den Wert des Felds vor der Änderung sowie den Wert des Felds nach der Änderung zu ermitteln. Und in manchen Situationen brauchen Sie das. Ich möchte beispielsweise die Dosierungsinformationen eines Arztes für verschreibungspflichtige Medikamente nachverfolgen. Es ging von 50mg zu 80mg zu 120mg, ich würde in der Lage sein, das mit dem Vorher und Nachher zu verfolgen.
Sensible Spalten sind eine weitere Sache, auf die wir häufig stoßen, beispielsweise bei der PCI-Konformität. In dieser Situation haben Sie Daten, die von Natur aus so sensibel sind, dass ich sie nicht ändern, löschen oder ergänzen muss, um irreparablen Schaden zu verursachen. Kreditkartennummern, Sozialversicherungsnummern, all diese guten Sachen können wir identifizieren und Warnungen daran binden. Wenn sich jemand diese Informationen ansieht, können wir natürlich alarmieren und eine SNMP-Falle und solche Dinge erzeugen oder erzeugen.
In einigen Fällen stoßen Sie jetzt auf eine Situation, in der möglicherweise eine Ausnahme vorliegt. Und was ich damit meine, Sie haben eine Situation, in der Sie einen Benutzer haben, der über ein Benutzerkonto verfügt, das möglicherweise an einen ETL-Job gebunden ist, der mitten in der Nacht ausgeführt wird. Es ist ein dokumentierter Prozess, und ich muss diese Transaktionsinformationen für dieses Benutzerkonto einfach nicht angeben. In diesem Fall hätten wir einen vertrauenswürdigen Benutzer. Und dann würden wir in anderen Situationen die Funktion der Überwachung privilegierter Benutzer verwenden, die im Wesentlichen eine Anwendung ist, und wenn diese Anwendung bereits eine Überwachung der Benutzer durchführt, die die Anwendung durchlaufen, ist dies der Fall Toll, ich habe in Bezug auf meine Prüfung bereits etwas zu berichten. Aber für die Dinge, die zum Beispiel mit meinen privilegierten Benutzern zu tun haben, die Leute, die in das SQL Server-Verwaltungsstudio gehen können, um die Daten in der Datenbank zu überprüfen, wird das nichts ausmachen. Und hier können wir definieren, wer unsere privilegierten Benutzer sind, entweder über Rollenmitgliedschaften oder über ihre Active Directory-Konten, Gruppen und ihre SQL-authentifizierten Konten. Dort können wir all diese verschiedenen Arten von Optionen und Optionen auswählen Stellen Sie dann sicher, dass wir für diese privilegierten Benutzer die Arten von Transaktionen angeben können, die wir prüfen möchten.
Dies sind alle Arten von verschiedenen Optionen, die Sie haben, und ich werde nicht alle Arten von Dingen durchgehen, basierend auf den Zeitbeschränkungen hier für diese Präsentation. Ich möchte Ihnen jedoch zeigen, wie wir die Daten anzeigen können, und ich denke, Sie werden es mögen, wie dies funktioniert, da wir zwei Möglichkeiten haben, dies zu tun. Ich kann es interaktiv tun. Wenn wir also mit Leuten sprechen, die an diesem Tool interessiert sind, um möglicherweise ihre eigenen internen Kontrollen durchzuführen, möchten sie nur wissen, was in vielen Fällen vor sich geht. Es müssen nicht unbedingt Auditoren vor Ort sein. Sie wollen nur wissen: "Hey, ich möchte nach diesem Tisch schauen, wer ihn in der letzten Woche oder im letzten Monat berührt hat, oder was auch immer." In diesem Fall können Sie sehen, wie schnell wir das schaffen.
Im Fall der Gesundheitsdatenbank habe ich eine Tabelle mit der Bezeichnung "Patientenakten". Und wenn ich diesen Tisch nur nach Objekten gruppieren würde, könnte er sich sehr schnell dort verengen, wo wir suchen. Vielleicht möchte ich nach Kategorien und dann nach Ereignissen gruppieren. Und wenn ich das tue, können Sie sehen, wie schnell das angezeigt wird, und genau dort befindet sich meine Patientenakte. Und wenn ich einen Drilldown durchführe, sehen wir jetzt die DML-Aktivität. Wir haben bereits tausend DML-Einfügungen, und wenn wir eine dieser Transaktionen öffnen, sehen wir die relevanten Informationen. Das wer, das was, das wann, das wo der Transaktion, die SQL-Anweisung, offensichtlich die tatsächliche Anwendung, mit der die Transaktion ausgeführt wird, das Konto, die Uhrzeit und das Datum.
Wenn Sie sich nun die nächste Registerkarte hier ansehen, die Registerkarte "Details", geht dies auf die dritte Frage zurück, über die wir sprechen, um zu beweisen, dass die Integrität der Daten nicht verletzt wurde. Im Grunde genommen haben wir für jedes Ereignis eine geheime Berechnung für unseren Hash-Wert, und diese wird sich dann darauf beziehen, wann wir unsere Integritätsprüfung durchführen. Wenn ich zum Beispiel zu dem Tool gehen und in das Überwachungsmenü gehen und sagen würde, lassen Sie uns die Repository-Integrität überprüfen. Ich könnte auf die Datenbank verweisen, in der sich der Überwachungspfad befindet. Er wird ausgeführt Durch eine Integritätsprüfung, bei der diese Hash- und CRC-Werte mit den tatsächlichen Ereignissen abgeglichen werden, können wir feststellen, dass keine Probleme gefunden wurden. Mit anderen Worten, die Daten im Audit-Trail wurden nicht manipuliert, seit sie ursprünglich vom Management-Service geschrieben wurden. Dies ist offensichtlich eine Möglichkeit, mit den Daten zu interagieren. Der andere Weg wäre durch die Berichte selbst. Deshalb möchte ich Ihnen nur ein kurzes Beispiel für einen Bericht geben.
Und wieder einmal sind diese Berichte, wie wir sie erstellt haben, nicht spezifisch für einen Standard wie PCI, HIPAA, SOX oder ähnliches. Wieder einmal ist es der gemeinsame Nenner unserer Arbeit, und in diesem Fall können wir, wenn wir auf dieses Beispiel für Patientenakten zurückgreifen, sagen, dass wir in unserem Fall hier nachsehen In der Datenbank des Gesundheitswesens und in unserem Fall möchten wir uns speziell auf die Tabelle konzentrieren, von der wir wissen, dass sie private Informationen enthält, in unserem Fall in Bezug auf unsere Patienten. Lassen Sie mich also sehen, ob ich es hier eingeben kann, und wir werden fortfahren und diesen Bericht ausführen. Und dann sehen wir natürlich alle relevanten Daten zu diesem Objekt. Und in unserem Fall zeigt es uns einen Monat lang. Aber wir könnten sechs Monate, ein Jahr, zurückgehen, wie lange wir die Daten auch aufbewahren.
Auf diese Weise können Sie dem Prüfer tatsächlich nachweisen, dass Sie Ihre Kontrollen befolgen. Sobald Sie dies festgestellt haben, ist dies offensichtlich eine gute Sache, um Ihr Audit zu bestehen und um zu zeigen, dass Sie die Kontrollen befolgen und alles funktioniert.
Das Letzte, worüber ich sprechen wollte, ist in der Administration. In diesem Tool gibt es auch Steuerelemente, mit denen Sie sicherstellen können, dass ich darauf aufmerksam gemacht werden kann, wenn jemand etwas tut, das er nicht tun soll. Und ich gebe Ihnen dort ein paar Beispiele. Ich habe ein Anmeldekonto, das an einen Dienst gebunden ist und für das erhöhte Berechtigungen erforderlich sind. Ich möchte nicht, dass jemand dieses Konto in Management Studio verwendet und es dann für Dinge verwendet, für die es nicht vorgesehen ist. Wir hätten hier zwei Kriterien, die wir anwenden könnten. Ich könnte sagen: "Sehen Sie, wir sind wirklich daran interessiert, dass beispielsweise mit unserer PeopleSoft-Anwendung gearbeitet wird." Nur als Beispiel, okay?
Nun, da ich das getan habe, bin ich gespannt, welche Anmeldungen mit dem Konto verknüpft sind, für das ich mich vorbereite, um anzugeben, ob die Anwendung verwendet wird, um sich mit diesem Konto anzumelden ist nicht PeopleSoft, dann ist das eine Erhöhung für den Alarm. Und natürlich müssen wir den Kontonamen selbst angeben. In unserem Fall rufen wir einfach dieses Priv-Konto auf, damit es privilegiert ist. Wenn wir das einmal getan haben, können wir jetzt festlegen, was in diesem Fall geschehen soll, und zwar für jede Art von Ereignis oder, ich sollte sagen, für jede Art von Ereignis Sie müssen eine separate Benachrichtigung an die Person senden, die für diese bestimmte Dateneinheit verantwortlich ist.
Wenn es sich beispielsweise um Gehaltsinformationen handelt, werden diese möglicherweise an meinen HR-Direktor weitergeleitet. In diesem Fall ist die PeopleSoft-Anwendung der Administrator dieser Anwendung. Wie auch immer der Fall sein mag. Ich könnte meine Adresse eingeben, den eigentlichen Alarm anpassen und all diese guten Dinge. Dies geht wiederum darauf zurück, sicherzustellen, dass Sie nachweisen können, dass Sie Ihren Kontrollen folgen und dass diese Kontrollen so funktionieren, wie sie beabsichtigt sind. Aus der letzten Perspektive haben wir die Möglichkeit, diese Daten nur im Hinblick auf die Wartung zu übernehmen und offline zu schalten. Ich kann die Daten archivieren und ich kann sie terminieren, und wir könnten diese Dinge sehr einfach in dem Sinne erledigen, dass Sie als DBA tatsächlich in der Lage wären, sie mit diesem Tool einzurichten und sozusagen Gehen Sie davon weg Es gibt nicht viel Hand-Halten, das stattfinden wird, sobald Sie es so eingerichtet haben, wie es sein sollte. Wie ich bereits sagte, besteht das Schwierigste an all dem, denke ich, darin, nicht das einzurichten, was Sie prüfen möchten, sondern zu wissen, was Sie für die Prüfung einrichten möchten.
Und wie ich bereits sagte, müssen Sie die Daten sieben Jahre lang aufbewahren, damit es nur Sinn macht, sich auf die Bereiche zu konzentrieren, die von Natur aus sensibel sind. Wenn Sie jedoch alles sammeln möchten, können Sie dies auf jeden Fall. Dies wird jedoch nicht als bewährte Methode angesehen. Von diesem Standpunkt aus möchte ich die Leute nur daran erinnern, dass Sie, wenn dies von Interesse ist, auf die Website von IDERA.com gehen und eine Testversion herunterladen und selbst damit herumspielen können. In Bezug auf das kostenlose Tool, über das wir bereits gesprochen haben, ist es kostenlos. Sie können es herunterladen und für immer verwenden, unabhängig davon, ob Sie das Compliance Manager-Produkt verwenden. Das Coole an diesem Tool für die Spaltensuche ist, dass Sie die Ergebnisse gefunden haben, und ich kann Ihnen tatsächlich zeigen, dass Sie diese Daten exportieren und dann in den Compliance Manager importieren können auch. Ich sehe es nicht, ich weiß, es ist hier, da ist es. Dies ist nur ein Beispiel dafür. Hier finden Sie die zugehörigen vertraulichen Daten.
In diesem Fall bin ich ausgegangen und habe wirklich alles im Blick, aber Sie haben nur eine Menge Dinge, auf die wir prüfen können. Kreditkartennummern, Adressen, Namen, all diese Sachen. Und wir identifizieren, wo es sich in der Datenbank befindet, und von dort aus können Sie entscheiden, ob Sie diese Informationen tatsächlich prüfen möchten oder nicht. Dies ist jedoch auf jeden Fall eine Möglichkeit, Ihnen die Definition Ihres Prüfungsumfangs bei der Betrachtung eines solchen Tools zu erleichtern.
Ich werde einfach weitermachen und damit schließen, und ich werde weitermachen und es an Eric zurückgeben.
Eric Kavanagh: Das ist eine fantastische Präsentation. Ich finde es toll, wie Sie sich dort mit den Details auseinandersetzen und uns zeigen, was los ist. Weil es am Ende des Tages ein System gibt, das auf einige Aufzeichnungen zugreift, das Ihnen einen Bericht gibt, das Sie dazu bringt, Ihre Geschichte zu erzählen, sei es einem Aufsichtsbehörden, einem Wirtschaftsprüfer oder einer Person in Ihrem Team Gut, dass Sie darauf vorbereitet sind, ob und wann oder wann diese Person klopft, und das ist natürlich die unangenehme Situation, die Sie vermeiden möchten. Aber wenn es passiert, und es wird wahrscheinlich in diesen Tagen passieren, möchten Sie sichergehen, dass Sie Ihr Ich gepunktet und Ihr T gekreuzt haben.
Es gibt eine gute Frage eines Publikumsmitglieds, das ich vielleicht zuerst an Sie rausschmeißen möchte, Bullett, und wenn ein Moderator es dann kommentieren möchte, fühlen Sie sich frei. Und dann stellt Dez vielleicht eine Frage und Robin. Die Frage ist also, ist es fair zu sagen, dass Sie, um all die Dinge zu tun, die Sie erwähnt haben, eine Anstrengung zur Datenklassifizierung auf elementarer Ebene unternehmen müssen? Sie müssen Ihre Daten kennen, wenn sie sich als wertvolles potenzielles Kapital herausstellen, und etwas dagegen unternehmen. Ich denke du stimmst zu, Bullett, richtig?
Bullett Manale: Ja, absolut. Ich meine, Sie müssen Ihre Daten kennen. Und mir ist klar, dass es viele Anwendungen gibt und viele verschiedene Dinge, die bewegliche Teile in Ihrer Organisation haben. Das Spaltensuchwerkzeug ist sehr hilfreich, wenn es darum geht, diese Daten besser zu verstehen. Aber ja, das ist sehr wichtig. Ich meine, Sie haben die Möglichkeit, den Firehose-Ansatz zu wählen und alles zu prüfen. Logistisch gesehen ist dies jedoch eine viel größere Herausforderung, wenn Sie davon sprechen, dass Sie diese Daten speichern und gegen diese Daten berichten müssen. Und dann müssen Sie immer noch wissen, wo sich diese Daten befinden, denn wenn Sie Ihre Berichte ausführen, müssen Sie Ihren Prüfern auch diese Informationen anzeigen. Daher denke ich, dass die größte Herausforderung, wenn ich mit Datenbankadministratoren spreche, das Wissen ist, ja.
Eric Kavanagh: Ja, aber vielleicht, Robin, bringen wir dich ganz schnell rein. Mir scheint, hier gilt die 80/20-Regel, oder? Sie werden wahrscheinlich nicht jedes wichtige Aufzeichnungssystem finden, wenn Sie in einem mittelgroßen oder großen Unternehmen tätig sind, aber wenn Sie sich auf PeopleSoft oder andere Aufzeichnungssysteme konzentrieren, wie Bullett dies hier vorgeschlagen hat Dort konzentrieren Sie sich zu 80 Prozent auf Ihre Arbeit und zu 20 Prozent auf die anderen Systeme, die möglicherweise irgendwo da draußen sind.
Robin Bloor: Ich bin mir sicher, ja. Ich meine, Sie wissen, ich denke, das Problem mit dieser Technologie und ich denke, es lohnt sich wahrscheinlich, einen Kommentar dazu zu verfassen, aber das Problem mit dieser Technologie ist, wie setzen Sie sie um? Ich meine, in den meisten Organisationen mangelt es definitiv an Wissen, sagen wir, sogar an der Anzahl der Datenbanken, die es gibt. Wissen Sie, es mangelt sehr an Inventar, sagen wir mal. Wissen Sie, die Frage ist, stellen wir uns vor, dass wir in einer Situation beginnen, in der es keine besonders gut gemanagte Compliance gibt. Wie nehmen Sie diese Technologie und injizieren sie in die Umwelt, nicht nur in Technologie Begriffe, Sachen einrichten, aber wie wer verwaltet es, wer bestimmt was? Wie fangen Sie an, dies in eine echte Art von Arbeit zu verwandeln?
Bullett Manale: Das ist eine gute Frage. In vielen Fällen besteht die Herausforderung darin, dass Sie die Fragen gleich zu Beginn stellen müssen. Ich habe viele Unternehmen kennengelernt, bei denen es sich, wissen Sie, möglicherweise um eine private Firma handelt und die erworben wurden. Es gibt eine erste, eine erste, eine Art Straßenunebenheit, wenn Sie das so nennen möchten. Wenn ich zum Beispiel gerade wegen einer Akquisition ein börsennotiertes Unternehmen geworden bin, muss ich zurückgehen und wahrscheinlich ein paar Dinge herausfinden.
In einigen Fällen sprechen wir mit Organisationen, die, wie Sie wissen, die SOX-Compliance-Regeln befolgen, auch wenn sie privat sind, nur weil sie wissen, dass sie die Compliance-Regeln einhalten müssen, wenn sie erworben werden möchten. Sie möchten definitiv nicht den Ansatz verfolgen, sich jetzt keine Gedanken darüber zu machen. Jede Art von Einhaltung gesetzlicher Bestimmungen wie PCI oder SOX oder was auch immer, Sie möchten die Investition für die Durchführung der Forschung oder des Wenn Sie wissen, wo sich diese sensiblen Informationen befinden, werden Sie möglicherweise mit erheblichen Bußgeldern konfrontiert. Und es ist viel besser, nur diese Zeit zu investieren, diese Daten zu finden und in der Lage zu sein, sich dagegen zu melden und zu zeigen, dass die Kontrollen funktionieren.
Ja, im Hinblick auf die Einrichtung, wie ich bereits sagte, würde ich Leuten, die sich auf ein Audit vorbereiten, als erstes empfehlen, einfach rauszugehen und eine flüchtige Prüfung der Datenbank durchzuführen und herauszufinden, wer Sie sind Ich versuche nach besten Kräften herauszufinden, wo sich diese sensiblen Daten befinden. Der andere Ansatz wäre, mit einem möglicherweise größeren Netz in Bezug auf den Umfang der Prüfung zu beginnen und sich dann langsam nach unten zu begeben, sobald Sie herausgefunden haben, wo sich die Bereiche innerhalb des Systems befinden, die mit dem System zusammenhängen heikle Informationen. Aber ich wünschte, ich könnte Ihnen sagen, dass es eine einfache Antwort auf diese Frage gibt. Es wird wahrscheinlich einiges von einer Organisation zur anderen und von der Art der Konformität abweichen und wirklich, wie viel Struktur sie in ihren Anwendungen haben und wie viele, verschiedene Anwendungen sie haben, einige können kundenspezifische Anwendungen sein Es wird also in vielen Fällen wirklich von der Situation abhängen.
Eric Kavanagh: Mach schon, Dez, ich bin sicher, dass du eine oder zwei Fragen hast.
Dez Blanchfield: Ich möchte nur einen Einblick in Ihre Beobachtungen zu den Auswirkungen auf die Organisationen aus der Sicht der Menschen erhalten. Ich denke, einer der Bereiche, in denen ich den größten Wert für diese bestimmte Lösung sehe, ist, dass Menschen, die morgens aufwachen und auf verschiedenen Ebenen der Organisation zur Arbeit gehen, mit einer Reihe von oder einer Kette von Verantwortlichkeiten aufwachen damit müssen sie umgehen. Und ich möchte gerne einen Einblick in das bekommen, was Sie mit und ohne die Arten von Tools sehen, über die Sie sprechen. Ich spreche hier von einem Betrug, der vom Vorstandsvorsitzenden über den CEO und den CIO bis zur C-Suite reicht. Und jetzt haben wir Chief Risk Officers, die mehr über die Art von Dingen nachdenken, über die wir hier in Bezug auf Compliance und Governance sprechen, und dann haben wir neue Rollenspielchefs, Chief Data Officer , noch mehr besorgt darüber.
Und neben jedem von ihnen, rund um den CIO, haben wir IT-Manager auf der einen Seite, mit, wie Sie wissen, technischen Leads und dann Datenbank-Leads. Und im operativen Bereich haben wir Entwicklungsleiter und Entwicklungsleiter und dann Einzelentwicklungen, und sie kehren auch in die Datenbankverwaltungsebene zurück. Was sehen Sie in Bezug auf die Reaktion jedes dieser verschiedenen Geschäftsbereiche auf die Herausforderung der Einhaltung von Vorschriften und der Berichterstattung und deren Herangehensweise? Sehen Sie, dass die Leute mit Inbrunst dazu kommen und den Nutzen davon sehen, oder sehen Sie, dass sie widerwillig ihre Füße zu diesem Ding ziehen und es nur tun, um ein Häkchen in der Box zu setzen? Und welche Art von Antworten sehen Sie, wenn Ihre Software angezeigt wird?
Bullett Manale: Ja, das ist eine gute Frage. Ich würde sagen, dass dieses Produkt, der Verkauf dieses Produkts, hauptsächlich von jemandem bestimmt wird, der auf dem heißen Stuhl sitzt, wenn das Sinn macht. In den meisten Fällen ist dies der DBA, und aus unserer Sicht, mit anderen Worten, wissen sie, dass eine Prüfung ansteht, und sie werden dafür verantwortlich sein, weil sie die DBAs sind, die Informationen bereitzustellen, die der Prüfer erhalten wird Fragen. Sie können dies tun, indem sie ihre eigenen Berichte schreiben und ihre eigenen benutzerdefinierten Spuren und all diese Arten von Dingen erstellen. Die Realität ist, dass sie das nicht wollen. In den meisten Fällen freuen sich DBAs nicht wirklich darauf, diese Gespräche mit dem Prüfer zu beginnen. Weißt du, ich würde dir lieber sagen, dass wir eine Firma anrufen und sagen können: "Hey, das ist ein großartiges Tool, und du wirst es lieben." Und ihnen alle Funktionen zeigen und sie werden es kaufen.
Die Realität ist, dass sie sich dieses Tool normalerweise nicht ansehen, es sei denn, sie stehen tatsächlich vor einer Prüfung oder die andere Seite der Medaille ist, dass sie eine Prüfung hatten und kläglich gescheitert sind, und jetzt sind sie es Man sagt ihnen, sie sollen Hilfe bekommen oder sie werden mit einer Geldstrafe belegt. Ich würde sagen, allgemein ausgedrückt, wenn Sie dieses Produkt den Leuten zeigen, sehen sie definitiv den Wert davon, weil es ihnen eine Menge Zeit spart, wenn sie herausfinden müssen, worüber sie berichten möchten , diese Art von Dingen. Alle diese Berichte sind bereits eingebaut, die Warnmechanismen sind vorhanden, und dann mit der dritten Frage ist, in vielen Fällen, auch eine Herausforderung. Weil ich Ihnen den ganzen Tag lang Berichte zeigen kann, aber wenn Sie mir nicht beweisen können, dass diese Berichte tatsächlich gültig sind, ist es für mich als DBA viel schwieriger, dies zu zeigen. Wir haben jedoch die Technologie und die Hashing-Technik sowie all diese Dinge ausgearbeitet, um sicherzustellen, dass die Daten in ihrer Integrität aus den Prüfpfaden erhalten bleiben.
Das sind also die Dinge, mit denen ich die meisten Leute, mit denen wir sprechen, beobachte. Wissen Sie, es gibt definitiv in verschiedenen Organisationen, von denen Sie wissen, dass Sie davon erfahren, dass Target zum Beispiel einen Datenverstoß hatte, und ich meine, wenn andere Organisationen von den Bußgeldern und diesen erfahren Dinge, die Leute anfangen, es zieht eine Augenbraue hoch, also hoffentlich beantwortet das die Frage.
Dez Blanchfield: Ja auf jeden Fall. Ich kann mir vorstellen, dass einige Datenbankadministratoren, die endlich sehen, was mit dem Tool alles möglich ist, feststellen, dass sie auch ihre späten Nächte und Wochenenden wieder haben. Zeit- und Kosteneinsparungen und andere Dinge, die ich sehe, wenn die entsprechenden Tools auf dieses ganze Problem angewendet werden, und das ist, dass ich drei Wochen lang hier in Australien bei einer Bank gesessen habe. Sie sind eine globale Bank, eine der drei größten Banken, sie sind massiv. Und sie hatten ein Projekt, in dem sie über die Einhaltung der Vorschriften für die Vermögensverwaltung und insbesondere über das Risiko Bericht erstatten mussten, und sie untersuchten die Arbeit von 60 Wochen für ein paar Hundert Menschen. Und als ihnen ein Werkzeug wie Sie gezeigt wurde, das den Prozess einfach automatisieren konnte, war dies der Sinn, der Ausdruck auf ihren Gesichtern, als ihnen klar wurde, dass sie nicht mehrere Wochen mit Hunderten von Menschen verbringen mussten, die einen manuellen Prozess durchführten sozusagen, als hätten sie Gott gefunden. Aber die Herausforderung bestand darin, wie Dr. Robin Bloor darauf hinwies, dass dies eine Mischung aus Verhaltens- und Kulturwandel ist. Auf den Ebenen, mit denen Sie es zu tun haben und die sich direkt auf Anwendungsebene damit befassen, sehen Sie, welche Art von Änderung Sie feststellen, wenn sie ein Tool für die Berichterstellung, Prüfung und Kontrolle, die Sie anbieten können, übernehmen im Gegensatz zu dem, was sie manuell gemacht haben könnten? Wie sieht das aus, wenn sie tatsächlich umgesetzt werden?
Bullett Manale: Fragen Sie sich, was der Unterschied zwischen der manuellen und der Verwendung dieses Tools ist? Ist das die Frage?
Dez Blanchfield: Nun, speziell die Auswirkungen des Geschäfts. Wenn wir beispielsweise versuchen, Compliance in einem manuellen Prozess zu erreichen, nehmen wir uns ausnahmslos viel Zeit mit vielen Menschen. Aber ich denke, um die Frage ein wenig zu umgehen: Sprechen wir über eine einzelne Person, die dieses Tool ausführt und möglicherweise 50 Personen ersetzt und in der Lage ist, dasselbe in Echtzeit oder in Stunden gegenüber Monaten zu tun? Ist das so, wie stellt sich das im Allgemeinen heraus?
Bullett Manale: Nun, ich meine, es kommt auf ein paar Dinge an. Eine ist die Fähigkeit, diese Fragen zu beantworten. Einige dieser Dinge lassen sich nicht einfach erledigen. Ja, die Zeit, die benötigt wird, um die selbstgemachten Arbeiten durchzuführen, die Berichte selbst zu schreiben, die Traces oder die erweiterten Ereignisse einzurichten, um die Daten manuell zu erfassen, könnte viel Zeit in Anspruch nehmen. Wirklich, ich gebe Ihnen ein paar, ich meine, das bezieht sich nicht wirklich auf Datenbanken im Allgemeinen, aber genau wie direkt nachdem der Enron passierte und SOX weit verbreitet wurde, war ich bei einer der größeren Ölfirmen in Houston und wir haben gezählt Ich glaube, 25 Prozent unserer Geschäftskosten standen im Zusammenhang mit der SOX-Konformität.
Nun, das war gleich danach und das war eine Art erster Schritt bei SOX, aber die Sache mit, ich würde sagen, Sie bekommen eine Menge Nutzen, wenn Sie dieses Tool in dem Sinne verwenden, dass es nicht viel erfordert von Menschen, um dies zu tun und eine Menge verschiedener Arten von Menschen, um es zu tun. Und wie gesagt, der DBA ist normalerweise nicht der Typ, der sich wirklich darauf freut, diese Gespräche mit den Wirtschaftsprüfern zu führen. Daher werden wir in vielen Fällen feststellen, dass der DBA dies auslagern und in der Lage sein kann, dem Prüfer den Bericht mit einer Schnittstelle zur Verfügung zu stellen, und dass er sich vollständig aus der Gleichung entfernen kann, anstatt involviert zu sein. Sie wissen also, dass dies eine enorme Einsparung an Ressourcen bedeutet, wenn Sie dies tun können.
Dez Blanchfield: Sie sprechen von massiven Kostensenkungen, oder? Die Organisationen beseitigen nicht nur das Risiko und den Overhead, sondern Sie sprechen im Wesentlichen von einer signifikanten Kostenreduzierung, A) operativ und B) in der Tatsache, dass Sie wissen, ob sie tatsächlich realistische Ergebnisse liefern können. Zeit-Compliance-Berichterstattung, dass das Risiko einer Datenverletzung oder einer Geldbuße oder eines Gesetzesverstoßes wegen Nichteinhaltung der Richtlinien erheblich reduziert ist, oder?
Bullett Manale: Ja, absolut. Ich meine, dass es viele schlechte Dinge gibt, die passieren, wenn Sie nicht konform sind. Sie können dieses Tool verwenden und es wäre großartig oder sie tun es nicht und sie werden herausfinden, wie schlimm es wirklich ist. Ja, das ist natürlich nicht nur das Werkzeug, Sie können auch Ihre Prüfungen durchführen und alles ohne ein solches Werkzeug. Wie ich bereits sagte, wird es viel mehr Zeit und Kosten kosten.
Dez Blanchfield: Das ist großartig. Also Eric, ich werde auf dich zurückkommen, weil ich denke, dass die Art von Markt für mich fantastisch ist. Aber im Grunde genommen ist das Ding Gold wert, da es die wirtschaftlichen Auswirkungen eines Problems vermeiden oder den Zeitaufwand für Berichterstattung und Compliance-Management verkürzen kann Werkzeug zahlt sich sofort durch die Geräusche der Dinge aus.
Eric Kavanagh: Das ist genau richtig. Vielen Dank für Ihre Zeit heute, Bullett. Vielen Dank an euch alle da draußen für eure Zeit und Aufmerksamkeit und an Robin und Dez. Eine weitere großartige Präsentation heute. Wir danken unseren Freunden von IDERA, dass wir Ihnen diese Inhalte kostenlos zur Verfügung stellen konnten. Wir werden diesen Webcast zur späteren Ansicht archivieren. Das Archiv ist in der Regel innerhalb eines Tages verfügbar. Und lassen Sie uns wissen, was Sie von unserer neuen Website insideanalysis.com halten. Ein ganz neues Design, ein ganz neues Erscheinungsbild. Wir würden uns freuen, Ihr Feedback zu hören, und damit werde ich Sie verabschieden, Leute. Du kannst mich . Andernfalls werden wir uns nächste Woche bei Ihnen melden. Wir haben in den nächsten fünf Wochen sieben Webcasts oder ähnliches. Wir werden beschäftigt sein. Und wir werden später in diesem Monat auf der Strata-Konferenz und dem IBM Analyst Summit in New York sein. Also, wenn Sie da sind, schauen Sie vorbei und sagen Sie Hallo. Pass auf dich auf, Leute. Tschüss.