Autorius „Techopedia“ darbuotojai, 2016 m. Rugsėjo 14 d
„Takeaway“: Priimančioji Erika Kavanaghas aptaria duomenų bazių auditą ir atitiktį analitikams Robinui Bloorui ir Dezui Blanchfieldui, taip pat Bulletai Manale iš IDERA šiame „Hot Technologies“ epizode.
Šiuo metu nesate prisijungęs. Jei norite pamatyti vaizdo įrašą, prisijunkite arba prisiregistruokite.
Ericas Kavanaghas: Ponios ir ponai, sveiki ir dar kartą pasveikinkite „Hot Technologies“! Taip, iš tiesų, 2016 m. Mes esame trečiame šios laidos metais, tai labai jaudinantys dalykai. Šiais metais mes riedėjome ir riedėjome. Tai yra jūsų šeimininkas Ericas Kavanaghas. Šiandienos tema - tai puiki tema, ji turi daugybę programų įvairiose pramonės šakose, atvirai kalbant - „Kas, kas, kur ir kaip: kodėl jūs norite žinoti“. Taip, iš tikrųjų, mes kalbėsime apie visus tuos linksmus dalykus. Yra jūsų skaidrė apie jus, paspauskite mane į Twitter @eric_kavanagh. Stengiuosi pakartoti visų paminėjimų pakeitimus ir persvarstyti viską, ką man siunčia. Kitaip, tebūnie.
Karšta, taip! Visas pasirodymas čia yra skirtas padėti organizacijoms ir asmenims suprasti tam tikras technologijas. Čia mes sukūrėme visą programą, „Hot Technologies“, kaip būdą apibrėžti tam tikrą programinės įrangos rūšį, tam tikrą tendenciją ar tam tikros rūšies technologijas. Priežastis ta, kad programinės įrangos pasaulyje atvirai kalbant, jūs dažnai gausite šias rinkodaros sąvokas, kurios susipyko ir kartais jos gali nuoširdžiai papiktinti sąvokas, kurias jie turėjo apibūdinti.
Šioje laidoje mes iš tikrųjų stengiamės padėti jums suprasti, kokia yra tam tikros rūšies technologija, kaip ji veikia, kada galite ja naudotis, kai galbūt neturėtumėte ja naudotis, ir suteikti jums kuo daugiau informacijos. Šiandien turėsime tris pranešėjus: mūsų pačių Robin Bloor, vyriausiasis „Bloor Group“ analitikas; iš Sidnėjaus, Australijos, kitos planetos pusės, Dez Blanchfield, paskambinęs mūsų duomenų mokslininkas ir vienas mėgstamiausių mūsų svečių Bullett Manale, IDERA pardavimų inžinerijos direktorius.
Aš tiesiog pasakysiu keletą dalykų čia, suprasdamas, kas ką daro, su kokiu duomenų paketu yra gerai, kad tai yra valdymas, tiesa? Jei pamąstysite apie visas pramonės šakas reglamentuojančias taisykles, pvz., Sveikatos priežiūros ir finansines paslaugas, tose srityse, tai yra nepaprastai svarbu. Turite žinoti, kas palietė informaciją, kas ką pakeitė, kas ją pasiekė, kas ją įkėlė. Kokia giminė, kokia šių duomenų apvaizda? Galite būti tikri, kad ateinančiais metais visos šios problemos išliks svarbios dėl įvairių priežasčių. Ne tik dėl atitikties, nors ir HIPAA, ir Sarbanesas-Oxley, ir Doddas-Frankas, ir visos šios taisyklės yra labai reikšmingos, bet ir tik tam, kad versle suprastumėte, kas ką daro, kur, kada, kodėl ir kaip. Tai yra geras dalykas, į kurį mes atkreipkime dėmesį.
Eik į priekį, nunešk jį, Robin Bloor.
Robinas Blooras: Gerai, gerai, ačiū už įvadą, Ericai. Turiu omenyje, kad ši valdymo sritis reiškia, kad valdymas IT srityje nebuvo žodis, kurį girdėjote tik šiek tiek po 2000 metų, manau. Tai atsirado pirmiausia todėl, kad, šiaip ar taip, aš manau, kad ji atsirado pirmiausia todėl, kad buvo vykdomi įstatymai dėl atitikties. Ypač HIPAA ir Sarbanes-Oxley. Jo iš tikrųjų yra labai daug. Todėl organizacijos suprato, kad jos turi turėti taisyklių rinkinį ir procedūras, nes tai daryti būtina pagal įstatymus. Ilgai prieš tai, ypač bankų sektoriuje, buvo įvairių iniciatyvų, kurių jums reikėjo paklusti priklausomai nuo to, koks bankas esate, ypač nuo tarptautinių bankininkų. Visas Bazelio reikalavimus atitinkantis principas buvo pradėtas įgyvendinti prieš pat tam tikrą iniciatyvų rinkinį po 2000 m. Visa tai iš tikrųjų priklauso nuo valdymo. Maniau, kad kalbėsiu apie valdymo temą kaip įvadą, kad reikia atkreipti dėmesį į tai, kas gauna duomenis.
Duomenų valdymas, kurio metu apsidairiau, galvoju apie penkerius ar šešerius metus, ieškojau apibrėžimų, ir jis visai nebuvo tiksliai apibrėžtas. Vis aiškiau, ką tai iš tikrųjų reiškia. Situacija buvo tokia, kad laikantis tam tikrų ribų, visi duomenys iš tikrųjų buvo valdomi anksčiau, tačiau oficialių taisyklių tam nebuvo. Buvo specialios taisyklės, kurios buvo priimtos ypač bankų pramonėje, norint daryti panašius dalykus, bet vėlgi tai buvo daugiau susiję su atitikimu. Vienaip ar kitaip įrodydamas, kad iš tikrųjų buvai - tai tarsi susijęs su rizika, todėl tai buvo įrodymas, kad buvai perspektyvus bankas.
Jei pažvelgtumėte į valdymo iššūkį dabar, tai prasideda didžiųjų duomenų judėjimo faktu. Turime vis daugiau duomenų šaltinių. Žinoma, duomenų apimtis yra problema. Visų pirma, mes pradėjome daug, daug ir daugiau nuveikti nestruktūrizuotų duomenų pagrindu. Tai pradėjo tapti tuo, kas yra viso analitinio žaidimo dalis. Dėl analizės duomenų kilmė ir giminystės principai yra svarbūs. Duomenų analizės naudojimo bet kokiu būdu, susijusio su bet kokiu atitikimu, požiūriu, jūs iš tikrųjų turite žinoti, iš kur atsirado duomenys ir kaip jie turėjo būti tokie, kokie jie yra.
Duomenų šifravimas tapo problema, tampa didesne problema, kai tik apsilankėme „Hadoop“, nes idėja apie duomenų ežerą, kuriame kaupiame daug duomenų, staiga reiškia, kad esate didžiulė pažeidžiamų žmonių zona, kurią galite gauti į tą. Duomenų šifravimas tapo daug akivaizdesnis. Autentifikavimas visada buvo problema. Senesnėje aplinkoje, griežtai mainframe, jie turėjo tokią nuostabią perimetro apsaugos apsaugą; autentifikavimas niekada nebuvo labai svarbi problema. Vėliau tai tapo didesniu ir dabar daug svarbesniu klausimu, nes turime tokią labai pasklidusią aplinką. Prieigos prie duomenų stebėjimas tapo problema. Panašu, kad prisimenu įvairias priemones, kurios atsirado prieš maždaug dešimt metų. Manau, kad daugumą jų paskatino atitikties iniciatyvos. Todėl mes taip pat turime visas atitikties taisykles ir atitikties ataskaitas.
Į tai, kas atėjo į galvą, yra tai, kad dar 1990 m., Kai darėte klinikinius tyrimus farmacijos pramonėje, jūs ne tik turėjote sugebėti įrodyti, iš kur atsirado duomenys - akivaizdu, kad labai svarbu, jei bandote. Norėdami sužinoti apie narkotikus įvairiuose kontekstuose, žinoti, kas yra teisiamas ir kokie yra aplinkiniai duomenys - jūs turėjote sugebėti atlikti programinės įrangos, kuri iš tikrųjų sukūrė duomenis, auditą. Tai yra pats griežčiausias atitikties principas, kokį aš kada nors mačiau, įrodydamas, kad iš tikrųjų nesąmoningai ar atsitiktinai sumaištai dalykus. Pastaruoju metu problema tapo duomenų gyvavimo ciklo valdymas. Visa tai tam tikra prasme yra iššūkis, nes daugelis jų nebuvo tinkamai atlikti. Daugybe aplinkybių juos būtina atlikti.
Tai aš vadinu duomenų piramide. Aš jau anksčiau apie tai kalbėjau. Man tai labai įdomus būdas pažvelgti į dalykus. Galite manyti, kad duomenys turi sluoksnius. Neapdoroti duomenys, jei norite, iš tikrųjų yra tik signalai arba matavimai, įrašai, įvykiai, atskiri įrašai. Galbūt sandoriai, skaičiavimai ir apibendrinimai, žinoma, sukuria naujus duomenis. Apie juos galima galvoti duomenų lygiu. Be to, kai iš tikrųjų sujungiate duomenis kartu, jie tampa informacija. Tai tampa naudingesnė, tačiau, be abejo, ji tampa labiau pažeidžiama žmonių, kurie priekabiauja prie jo ar priekabiauja. Aš tai apibrėžiu kaip kuriantį iš tikrųjų, sisteminant duomenis, kad būtų galima vizualizuoti duomenis, turint informacijos žodynlius, schemas, ontologijas. Tie du apatiniai sluoksniai yra tai, ką mes vienaip ar kitaip apdorojame. Būtent tai aš vadinu žinių sluoksniu, kurį sudaro taisyklės, politika, gairės, tvarka. Kai kuriuos iš jų gali sukurti analizėje aptiktos įžvalgos. Nemažai jų iš tikrųjų yra politika, kurios turite laikytis. Tai yra valdymo sluoksnis, jei jums patinka. Vienu ar kitu atveju, jei šis sluoksnis nėra tinkamai apgyvendintas, du žemiau esantys sluoksniai nėra tvarkomi. Paskutinis punktas apie tai yra supratimas to, kas priklauso tik žmonėms. Laimei, kompiuteriai dar nesugebėjo to padaryti. Priešingu atveju būčiau be darbo.
Valdymo imperija - aš tai tarsi sudedu, manau, kad ji turėjo būti maždaug prieš devynis mėnesius, galbūt daug anksčiau. Iš esmės aš tai patobulinau, bet kai tik mes pradėjome jaudintis dėl valdymo, tada, kalbant apie įmonių duomenų centrą, ten buvo ne tik duomenų saugykla, duomenų ežero ištekliai, bet ir įvairūs bendrieji serveriai, specializuoti duomenų serveriai. Visa tai reikėjo valdyti. Kai jūs iš tikrųjų pažvelgėte ir į įvairius aspektus - duomenų saugumą, duomenų valymą, metaduomenų atradimą ir metaduomenų valdymą, verslo žodynėlio sukūrimą, duomenų žemėlapių sudarymą, duomenų liniją, duomenų gyvavimo ciklo valdymą - tada veiklos rezultatų stebėjimo valdymą, paslaugų lygio valdymą., sistemos valdymas, kurio galbūt susiejate ne su valdymu, bet su tam tikru - dabar, kai mes einame į vis greitesnį ir greitesnį pasaulį, kuriame yra vis daugiau duomenų srautų, iš tikrųjų būtinybė ką nors nuveikti atliekant tam tikrą našumą iš tikrųjų yra būtinybė ir pradeda tapti veikimo taisykle, o ne kuo nors kitu.
Apibendrindamas atitikties augimą, stebėjau, kaip tai vyksta daugelį, daugelį metų, tačiau bendra duomenų apsauga iš tikrųjų atsirado 1990 m. Europoje. Nuo to laiko viskas tapo dar sudėtingesnė ir sudėtingesnė. Tada visi šie dalykai buvo pradėti supažindinti arba tapo sudėtingesni. GRC, tai yra valdymo rizika ir atitiktis, buvo vykdoma nuo tada, kai bankai padarė Bazelį. ISO kuria įvairių rūšių standartus. Aš visą laiką žinau, kad dirbau IT srityje - tai praėjo labai ilgai - JAV vyriausybė ypač aktyviai kūrė įvairius įstatymus: SOX, ten yra „Gramm-Leach-Bliley“, HIPAA, FISMA, FERPA. Jūs taip pat turite nuostabią NIST organizaciją, kuri sukuria daugybę standartų, ypač saugumo standartų, labai naudingų. Duomenų apsaugos įstatymai Europoje skiriasi. Pavyzdžiui, ką galite padaryti su asmens duomenimis Vokietijoje, skiriasi nuo to, ką galite padaryti Slovakijos Respublikoje, Slovėnijoje ar bet kur. Jie pristatė neseniai - ir maniau, kad paminėsiu tai, nes man atrodo linksma - Europa pristato teisės būti pamirštam idėją. T. y., Turėtų būti nustatytas senaties terminas viešiems duomenims, kurie iš tikrųjų yra asmens duomenys. Manau, kad tai linksma. IT požiūriu tai bus labai, labai sunku, jei jis taps veiksmingu įstatymu. Apibendrindamas sakyčiau taip: Kadangi IT duomenys ir valdymas vystosi greitai, valdymas taip pat turi vystytis greitai ir tai taikoma visoms valdymo sritims.
Pasakęs, kad perduosiu kamuolį Dezui.
Erikas Kavanaghas: Taip, iš tikrųjų, taigi Dez Blanchfield, atimkite jį. Robinai, aš su tavimi, žmogau, aš bijau pamatyti, kaip įgyvendinama ši teisė būti pamirštam. Manau, kad tai nebus tik iššūkis, bet iš esmės neįmanoma. Tai tik laukimas, kol vyriausybės agentūros vykdys savo veiksmus, pažeidimas. Dez, nuimk.
Dezas Blanchfieldas: Tai iš tikrųjų ir yra kitos diskusijos tema. Čia turime labai panašų iššūkį Azijos ir Ramiojo vandenyno šalyse, ypač Australijoje, kur vežėjai ir interneto paslaugų teikėjai privalo registruoti viską, kas susiję su internetu, ir sugebėti jį įrašyti bei regurituoti, jei kas nors susidomėjęs padaro ką nors blogo. Tai yra įstatymas ir jūs turite jo laikytis. Iššūkis, lygiai taip pat, kaip kam nors „Google“ JAV gali būti liepta ištrinti mano paieškos istoriją ar bet ką, tai gali būti atitikimas Europos įstatymams, ypač Vokietijos privatumo įstatymams. Australijoje, jei agentūra nori pasidomėti tavimi, vežėjas turi sugebėti pateikti išsamią informaciją apie atliktus skambučius ir paieškos istoriją, o tai sudėtinga, tačiau tai yra pasaulis, kuriame gyvename. Tam yra daugybė priežasčių. Leisk man tiesiog įšokti į mano.
Aš sąmoningai padariau savo titulinį puslapį sunkiai skaitomą. Jūs turite tikrai sunkiai žiūrėti į tą tekstą. Atitikimas, atitinkantis daugybę taisyklių, specifikacijų, kontrolės priemonių, strategijų, standartų ar įstatymų, turintis kvailo, nepatogaus fono. Taip yra todėl, kad jums tikrai sunku atrodyti, kad gautumėte išsamią informaciją ir ištrauktumėte informaciją iš to, kas ji uždengta, tai yra lentelių, eilučių ir stulpelių serija, duomenų bazė, schema arba „Visio“ modelis. Štai koks kasdienis elgesys jaučiasi laikantis reikalavimų. Gana sunku pasinerti į smulkmenas ir ištraukti reikiamus duomenis, reikalingus norint patvirtinti, kad esate suderinamas. Praneškite apie tai, stebėkite ir išbandykite.
Tiesą sakant, aš maniau, kad tai yra puikus būdas tai vizualizuoti, kai užduodame sau klausimą „ar jūs esate pasirengęs?“ "Ar tu tuo tikras?" "Na, įrodyk!" Yra tikrai įdomus dalykas, kuris galbūt yra šiek tiek angliškesnis keltų kalba, bet aš tikiu, kad jis buvo pakeltas į pasaulį į JAV, taigi: „Kur yra Wally?“ Wally yra mažas personažas, kuris įsitraukia į šiuos animacinių filmų piešinius knygų pavidalu. Paprastai labai didelės apimties A3 ar didesnės apimties nuotraukos. Taigi, stalo dydžio brėžiniai. Jis yra mažas personažas, vilkintis beanie ir raudonai baltais dryžuotais marškiniais. Žaidimo idėja yra tai, kad pažiūrėję į šį paveikslėlį apžvelgiate ratus ir bandote surasti Wally. Jis yra tame paveiksle kažkur. Kai galvoji apie tai, kaip atrasti, aprašyti ir pranešti apie atitikimą, daugeliu atžvilgių tai yra tarsi vaidinimas „Kur yra Wally“. Jei pažiūrėtumėte į tą paveikslą, veikėjo beveik neįmanoma rasti. Vaikai tam praleido valandas, o man vakar buvo smagu tai daryti. Pažvelgę į tai, mes matome visą krūvą žmonių šiuose animaciniuose filmuose, sąmoningai įdėtus į juos su panašiais dryžuotos beanės ir džersio „Wally“ aprangos elementais arba vilnoniu viršumi. Tačiau jie tampa klaidingais teiginiais.
Tai yra panašus iššūkis, kurį turime atitikti. Kai mes žiūrime į dalykus, kartais kažkas, mūsų manymu, taip yra, visai ne tas atvejis. Galbūt kažkas turi prieigą prie duomenų bazės ir jie turėtų turėti tokią prieigą prie duomenų bazės, tačiau būdas, kuriuo jie naudojasi, šiek tiek skiriasi nuo to, ko tikimės. Galime nuspręsti, kad į tai reikia atkreipti dėmesį. Kai pažvelgiame į tai, pastebime, kad, tiesą sakant, tai labai teisingas vartotojas. Jie tiesiog daro kažką nemandagaus. Gal tai kompiuterio tyrinėtojas ar kas žino. Kitais atvejais gali būti priešingai. Realybė, kai vėl einu į priekį, yra Wally. Jei į šią didelę skiriamąją gebą žiūrėjai tikrai sunkiai, yra vienas veikėjas, kuris iš tikrųjų dėvi tinkamą drabužį. Visi kiti yra panašūs į išvaizdą ir panašūs. Atitikimas labai jaučiamas. Dauguma žmonių, kuriuos pažįstu, dirba kontroliuodami ir laikydamiesi verslo bei įgyvendindami politikos sritis. Įvairiose srityse, nesvarbu, ar tai technologijos, ar finansai, ar operacija, ir rizika. Dažnai labai sunku pamatyti Wally paveikslėlyje, matysite medžius ar medieną.
Klausimas, kurį užduodame sau, kai galvojame apie tokius dalykus kaip atitikimas, yra „didelis dalykas, kas gali suklysti, jei nelabai laikomės atitikties?“ Šiandienos diskusijų kontekste, ypač dėl duomenų bazės ir prieigos prie duomenų kontrolės, pateiksiu jums labai tikrus pažadinimo skambučio pavyzdžius apie tai, kas gali suklysti labai trumpa ir glausta forma. Jei galvojame apie duomenų pažeidimus ir visi esame susipažinę su duomenų pažeidimais, girdime juos žiniasklaidoje ir sustojame ir juokiamės, nes žmonės mano, kad tai rinkos. Tai asmeniniai dalykai. Tai Ashley Madison ir žmonės, kurie nori sulaukti pasimatymų už savo santykių ir santuokų ribų. Tai mesti sąskaitas. Tai visi šie keistai atrodantys dalykai arba atsitiktinė Europos ar Rusijos IPT ar prieglobos įmonė yra nulaužta. Kalbant apie tokius dalykus kaip „MySpace“ ir šiuos dešimtukus, kai žiūrite į šiuos skaičius, noriu, kad jūs suprastumėte: 1, 1 milijardo žmonių informacija apie šiuos dešimt pažeidimų. Ir taip, yra sutapimų, tikriausiai yra žmonių, kurie turi „MySpace“, „Dropbox“ ir „Tumblr“ paskyras, tačiau apsukkime ją iki milijardo žmonių.
Šie dešimt svarbiausių pažeidimų maždaug per pastarąjį dešimtmetį - net ne per dešimtmetį - dažniausiai sudaro maždaug septintąją pasaulio žmonių dalį, tačiau realiau tariant, apie 50 procentų žmonių yra susiję su internetas, daugiau nei milijardas asmenų. Jos atsiranda todėl, kad kai kuriais atvejais nebuvo laikomasi reikalavimų. Daugeliu atvejų tai buvo prieigos prie duomenų bazės, prieigos prie tam tikrų duomenų rinkinių, sistemų ir tinklų kontrolė. Tai yra baisus tikrovės patikrinimas. Jei tai jūsų negąsdina, pažiūrėję į dešimtuką ir pamatę, kad tai yra - ar matote, kad tai yra milijardas asmenų, tikrų žmonių, tokių kaip mes, šiuo skambučiu dabar. Jei turite „LinkedIn“ abonementą, jei turėjote „Dropbox“ ar „Tumblr“ abonementą arba jei pirkote iš „Adobe“ produktų ar net užsiregistravote, atsisiųskite nemokamą „Adobe Viewer“. Visiškai tikėtina, kad neįmanoma, visiškai tikėtina, kad jūsų duomenys, jūsų vardas, pavardė, el. Pašto adresas, galbūt net jūsų įmonės įmonės adresas, namų adresas ar kreditinė kortelė iš tikrųjų yra ten dėl pažeidimo tai įvyko dėl kontrolės, kuri nebūtinai buvo tinkamai valdoma duomenų tvarkymo, duomenų valdymo forma.
Pažvelkime į tai, kai pažvelgsime į tai išties detaliai. Jų yra vienas ekranas, ten yra apie 50. Yra dar 15. Yra dar apie 25. Tai yra duomenų pažeidimai, kurie išvardyti svetainėje, pavadintoje haveibeenpwned.com. Tai gali nutikti, jei kažkas paprasto, kaip kontroliuoti, kas turėjo prieigą prie duomenų duomenų bazėse skirtinguose laukuose, eilutėse ir stulpeliuose bei skirtingose jūsų verslo programose, nėra tinkamai valdomas. Dabar šios organizacijos yra valdomos duomenimis. Dauguma duomenų tam tikra forma yra duomenų bazėse. Kai pagalvoji apie tai, tas pažeidimų sąrašas, į kurį mes ką tik pažvelgėme, ir, tikiuosi, jis jums suteikė šiek tiek šalto dušo tam tikra prasme, kai pagalvojote „Hmm, tai labai tikra“, ir jis galbūt jus paveikė. Pavyzdžiui, 2012 m. Dėl šio „LinkedIn“ pažeidimo dauguma specialistų šiomis dienomis turi „LinkedIn“ paskyrą ir tikėtina, kad jūsų duomenys bus prarasti. Jie buvo naudojami internete nuo 2012 m. Apie tai mums tik ką buvo pasakyta 2016 m. Kas nutiko su tavimi per tuos ketverius metus? Na, įdomu ir mes galime apie tai kalbėti atskirai.
Duomenų bazių ir sistemų valdymas - aš dažnai kalbu apie tai, ką laikau penkiais svarbiausiais iššūkiais tvarkant šiuos dalykus. Pačioje aukščiausioje vietoje ir aš juos reitingavau ne pagal prioritetus, bet pagal poveikio tvarką. Svarbiausia yra saugumas ir atitiktis. Kontrolė ir mechanizmai bei politika, kontroliuojanti, kas turi kokią prieigą prie kokios sistemos, dėl kokios priežasties ir tikslo. Ataskaitos apie tai ir stebėjimas, žiūrėjimas į sistemas, duomenų bazių apžiūrėjimas ir pažiūrėjimas, kas iš tikrųjų gali pasiekti įrašus, atskirus laukus ir įrašus.
Pagalvokite apie tai labai paprasta forma. Pakalbėkime apie bankininkystę ir turto valdymą kaip vieną iš pavyzdžių. Kai prisiregistruojate gauti banko sąskaitą, tarkime, kad įprasta EFTPOS kortelės grynųjų pinigų sąskaita, arba grynųjų pinigų sąskaita, ar čekio sąskaita. Jūs užpildote formą ir tame popieriaus lape yra labai daug asmeninės informacijos, kurią užpildote arba darote internetu, ir kuri patenka į kompiuterinę sistemą. Dabar, jei kas nors rinkodaros srityje nori su jumis susisiekti ir atsiųsti brošiūrą, jiems turėtų būti leista matyti jūsų vardą ir pavardę bei asmeninį adresą, pavyzdžiui, ir galbūt jūsų telefono numerį, jei jie nori jums paskambinti ir ką nors tau parduoti. Jie greičiausiai neturėtų matyti visos pinigų sumos, kurią turite banke dėl daugybės priežasčių. Jei kas nors į tave žvelgia rizikingai arba bando padėti tau padaryti ką nors panašaus, kad gautum geresnes palūkanas už savo sąskaitą, tas asmuo tikriausiai nori pamatyti, kiek pinigų turi banke, kad jie galėtų pasiūlyti jums tinkamo lygio palūkanas už pinigus. Tie du asmenys vaidina labai skirtingus vaidmenis ir labai skirtingas tų vaidmenų priežastis bei tų vaidmenų paskirtį. Todėl savo įraše turite pamatyti skirtingą informaciją, bet ne visą įrašą.
Tai valdikliai, susiję su skirtinga įprastų ekranų ar formų ataskaita, kurią jie turi programose, naudojamose jūsų paskyrai tvarkyti. Tobulinimas tiems, jų išlaikymas, administravimas, atskaitomybė aplink juos ir valdymas bei laikymasis, apimantis tokius kaip „burbulų įvyniojimas“ - visa tai yra labai, labai didelis iššūkis. Tai tik svarbiausias iššūkis tvarkant duomenis ir sistemas. Kai gilinamės į šį krūvį į našumą ir stebėjimą, taip pat į įvykių aptikimą ir reagavimą, sistemos valdymą ir administravimą bei atitikimą aplink juos, kuriant ir plėtojant sistemas nuo atitikties, tai tampa daug sunkiau.
Tvarkyti visą rizikos mažinimo ir saugumo gerinimo problemą. Mano penki pagrindiniai iššūkiai šioje erdvėje - ir man patinka vaizdai, kurie pridedami prie muitinės, kai įvažiuojate į šalį - jie pateikia jūsų pasą, patikrina jus ir peržiūri savo kompiuterinę sistemą norėdami pamatyti, ar turėtumėte praeiti ar ne. Jei neturėtumėte, jie pateiks jus į kitą lėktuvą namo. Kitu atveju jie jus paleidžia atgal ir užduoda jums tokius klausimus: "Ar jūs einate atostogauti? Ar esate čia turistas? Ar esate čia dėl darbo? Kokį darbą matysite? Kur ketinate apsistoti?" "Kiek laiko jūs einate? Ar turite pakankamai pinigų padengti savo išlaidas ir išlaidas? Ar ketinate tapti rizika šaliai, kurioje esate, ir jai gali tekti jus prižiūrėti ir maitinti?"
Šioje duomenų erdvėje yra keletas problemų, susijusių su duomenų apsaugos valdymu. Pvz., Duomenų bazės erdvėje turime galvoti apie duomenų bazės apėjimo mažinimą. Jei duomenys yra duomenų bazėje, normalioje aplinkoje, o sistemoje yra valdikliai ir mechanizmai. Kas atsitiks, jei duomenys bus pateikti daugiau SQL ir sukuriama atsarginė jų kopija? Duomenų bazės pateikiamos neapdorotos formos ir kartais sukuriamos atsarginės kopijos. Kartais tai daroma dėl techninių, plėtros priežasčių. Tarkime, kad buvo imtasi DB duomenų saugyklos, kuriai sukurta atsarginė kopija. Kas nutiks, jei nutiessiu rankas ant tos juostos ir ją atstatysiu? Aš turiu neapdorotą duomenų bazės SQL kopiją. Tai MP failas, tai tekstas, aš galiu jį perskaityti. Visi slaptažodžiai, saugomi tame sąvartyne, manęs nekontroliuoja, nes dabar aš gaunu prieigą prie tikrojo duomenų bazės turinio be duomenų bazės variklio, saugančio jį. Taigi galiu techniškai apeiti duomenų bazės platformos, kuriamos variklyje, saugumą ir rizikos valdymą, kad sustabdyčiau mane žiūrint į duomenis. Kadangi potencialiai kūrėjas, sistemos administratorius, aš turiu savo rankose visą duomenų bazės, kuri turėtų būti naudojama atsarginėms kopijoms kurti.
Piktnaudžiavimas duomenimis - galbūt kažkas priversti prisijungti kaip padidintą sąskaitą ir leisti man sėdėti prie ekrano, ieškoti informacijos ar panašių dalykų. Patentuotas duomenų prieigos ir naudojimo auditas bei duomenų ar jų pakeitimų peržiūra. Tada ataskaitos apie tą kontrolę ir reikalaujama atitiktis. Eismo ir prieigos stebėjimas ir tt, blokuojant grėsmes, kylančias iš išorinių vietų ir serverių. Pvz., Jei duomenys pateikiami naudojant formą tinklalapyje internete, ar jų SQL injekcijos buvo apsaugotos užkardomis ir sąvokų valdikliais? Čia slypi ilga išsami istorija. Čia galite pamatyti, kad tik keletas iš šių absoliučiai pagrindinių dalykų, apie kuriuos mes galvojame, mažindami ir valdydami duomenų bazių duomenų riziką. Iš tikrųjų gana lengva apeiti kai kuriuos iš jų, jei esate skirtinguose technologijų krūvuose. Iššūkis tampa vis sunkesnis ir sudėtingesnis, nes gauni vis daugiau duomenų ir daugiau duomenų bazių. Vis daugiau ir daugiau iššūkių žmonėms, turintiems valdyti sistemas ir stebėti jų naudojimą, seka svarbias detales, konkrečiai susijusias su dalykais, apie kuriuos kalbėjo Robinas, aplink tokius dalykus kaip asmeninis laikymasis. Asmenys turi aplink juos esančius valdiklius ir mechanizmus, kurie atitinka - jei darote ką nors ne taip, galite būti atleistas. Jei prisijungsiu, kai mano sąskaita leis jums tai pamatyti, tai turėtų būti nusikaltimas, už kurį gali būti padaryta žala. Dabar suteikiau jums prieigą prie duomenų, kurių neturėjote matyti paprastai.
Tai yra asmeninis laikymasis, įmonių laikymasis, įmonės turi savo pačių nustatytą politiką ir taisykles bei kontrolės priemones, kad įmonė gerai veiktų ir pelną bei gerą grąžą investuotojams ir akcininkams. Tada, kaip sakėte, JAV kontrolė ir įstatymai, dažnai būna miesto, valstijos ar nacionalinės, federalinės. Tada yra globalūs. Vieni iš didesnių incidentų pasaulyje, kur patinka Sarbanes-Oxley, du asmenys, kurių prašoma sugalvoti, kaip apsaugoti duomenis ir sistemas. Europoje yra „Bazelis“, o Australijoje - įvairi kontrolė, ypač vertybinių popierių biržose ir įgaliojimo platformose, o vėliau - privatumas asmens ar įmonės lygiu. Kai kiekvienas iš jų sudedamas, kaip matėte vienoje iš vietų, kurias turėjo Robinas, jie tampa beveik neįmanoma įkopti į kalną. Išlaidos padidėja ir mes esame ten, kur jums žinomas originalus tradicinis požiūris, kaip ir žmonės, matuojantys valdymą, nebėra tinkamas metodas, nes mastas yra per didelis.
Turime scenarijų, kai atitiktis yra tai, ką aš vadinu visada aktuali problema. Tai yra, kad mes kada nors galėjome turėti laiko momentą, tiek mėnesį, tiek ketvirtį ar kasmet, kur galėtume peržiūrėti savo tautos būklę ir padėti laikytis ir kontroliuoti. Įsitikinimas, kad tam tikri žmonės turėjo tam tikrą prieigą ir neturėjo tam tikros prieigos, atsižvelgiant į tai, kokie buvo jų leidimai. Dabar tai yra dalykų greitis, su kuriuo viskas juda, tempas, kai viskas keičiasi, mastas, kuriuo mes dirbame. Atitiktis yra visada aktuali problema, o pasaulinė finansų krizė buvo tik vienas iš pavyzdžių, kai vykdant atitinkamą kontrolę, saugumo ir laikymosi priemonėmis būtų buvę galima išvengti scenarijaus, kai turėtume bėgantį tam tikro elgesio krovininį traukinį. Tiesiog veiksmingai sukūrus viso pasaulio situaciją, žinant, kad ji bankrutuos ir bankrutuos. Tam reikia tinkamų įrankių. Mesti žmones traukinyje, mesti kūnus nebegalioja, nes mastelis yra per didelis ir viskas juda per greitai. Šiandien diskusija, manau, turėsime, yra apie tai, kokias priemones reikia pritaikyti. Visų pirma, įrankiai, kuriuos mums gali suteikti IDERA, turėtų tai padaryti. Turėdamas tai omenyje, perduosiu Bullettą, kad jis peržvelgtų jo medžiagą ir parodytų mums savo požiūrį bei priemones, kurias jie turi, kad išspręstų šią problemą, kurią dabar pateikėme jums.
Su tuo, Bullett, aš tau įteiksiu.
Bullett Manale: Skamba puikiai, ačiū. Noriu pakalbėti apie keletą skaidrių ir taip pat noriu parodyti jums produktą, kurį naudojame „SQL Server“ duomenų bazėms, kad padėtume atitikties situacijose. Iš tiesų, iššūkis daugeliu atvejų - aš praleisiu keletą iš jų - tai tik mūsų produktų portfelis, kurį aš išgysiu gana greitai. Kalbant apie tai, kur bus kreipiamasi dėl šio produkto ir kaip jis susijęs su atitiktimi, aš visuomet rašau tai kaip pirmą skaidrę, nes tai yra bendrinis žodis „Ei, kokia yra DBA atsakomybė?“ Vienas iš dalykų kontroliuoja ir stebi vartotojo prieigą, taip pat galimybę kurti ataskaitas. Tai susisieks su tuo, kai kalbatės su auditoriumi. Tai, koks sudėtingas gali būti šis procesas, gali skirtis priklausomai nuo to, ar ketinate tai daryti savarankiškai, ar ketinate naudoti trečiąją šalį įrankis padėti.
Paprastai tariant, kai aš kalbuosi su duomenų bazių administratoriais, jie niekada nėra dalyvavę audite. Jūs turite juos išmokyti, kad iš tikrųjų tai, ką turite padaryti. Susijęs su tuo, kokio tipo atitiktį reikia įvykdyti, ir su galimybe įrodyti, kad iš tikrųjų laikotės taisyklių, kurios taikomos tam atitikties lygiui. Daugelis žmonių iš pradžių to negauna. Jie galvoja: „Oi, aš galiu nusipirkti įrankį, kuris padarys mane tinkamu“. Realybė yra, kad taip nėra. Norėčiau, kad galėčiau pasakyti, kad stebuklingai, jūsų žiniomis, mūsų gaminys, paspaudęs lengvą mygtuką, suteikė galimybę įsitikinti, kad laikotės taisyklių. Realybė yra tokia, kad turite sukurti savo aplinką, kad galėtumėte valdyti, kaip žmonės naudojasi duomenimis, ir visa tai turi būti sukurta naudojant jūsų turimą programą. Kokie normatyviniai reikalavimai tai yra ten, kur saugomi neskelbtini duomenys. Tada taip pat turite dirbti su paprastai už vidaus atitikties pareigūną, kad įsitikintumėte, jog laikotės visų taisyklių.
Tai skamba išties sudėtingai. Jei pažvelgtumėte į visus norminius reikalavimus, manytumėte, kad taip bus, tačiau realybė yra ta, kad čia yra bendras vardiklis. Mūsų atveju su įrankiu, kurį šiandien jums parodysiu, „Compliance Manager“ produktu, procesas mūsų situacijoje būtų toks, kad pirmiausia turime įsitikinti, kad renkame su audito seka susijusius duomenis. kur duomenys yra neskelbtini duomenų bazėje. Galite surinkti viską, tiesa? Galėčiau išeiti ir pasakyti, kad noriu surinkti kiekvieną operaciją, kuri vyksta šioje duomenų bazėje. Realybė yra tokia, kad tikriausiai turite tik mažą dalį arba nedidelę dalį operacijų, kurios iš tikrųjų yra susijusios su neskelbtiniais duomenimis. Jei tai bus PCI, tai bus informacija apie kredito kortelę, kredito kortelių savininkus, jų asmeninę informaciją. Gali būti daugybė kitų su jūsų programa susijusių operacijų, kurios iš tikrųjų neturi jokios įtakos norminiams PCI reikalavimams.
Žvelgiant iš šios perspektyvos, pirmiausia kalbėdamas su DBA sakau: „Pagrindinis iššūkis nėra bandymas gauti įrankį, kuris atliktų šiuos darbus už jus. Tai tiesiog žinojimas, kur yra šie neskelbtini duomenys ir kaip mes užrakiname tuos duomenis? “Jei turite, jei galite atsakyti į šį klausimą, jūs esate pusiaukelėje namo, kad galėtumėte parodyti, kad laikotės, darant prielaidą, kad vykdote teisingą valdymą. Tarkime, sekundę, kad laikotės teisingos kontrolės, ir auditoriams pasakėte, kad taip yra. Akivaizdu, kad kita proceso dalis yra audito seka, rodanti ir patvirtinanti, kad tos kontrolės priemonės iš tikrųjų veikia. Tuomet atlikdami šiuos veiksmus įsitikinkite, kad išsaugojote tuos duomenis. Paprastai kalbant apie tokius dalykus kaip PCI ir HIPAA laikymasis, ir apie tuos dalykus, jūs kalbate apie septynerių metų vertės išlaikymą. Jūs kalbate apie daugybę operacijų ir daugybę duomenų.
Jei kaupiate kiekvieną operaciją, nors tik penki procentai operacijų yra susiję su neskelbtiniais duomenimis, jūs kalbate apie gana dideles išlaidas, susijusias su duomenų saugojimu septynerius metus. Akivaizdu, kad tai yra vienas didžiausių iššūkių priversti žmones galvoti, kad tai tikrai nereikalingos išlaidos. Tai taip pat yra daug lengviau, jei mes galime susikoncentruoti ties jautriomis duomenų bazės sritimis. Be to, jūs taip pat norėsite valdyti ir tam tikrą neskelbtiną informaciją. Ne tik parodyti pagal audito seką, bet ir sugebėti susieti dalykus su vykstančiais veiksmais ir turėti galimybę gauti pranešimą realiuoju laiku, kad būtumėte informuoti apie tai.
Aš visada naudojuosi pavyzdžiu, kuris nebūtinai gali būti susijęs su kokiais nors normatyviniais reikalavimais, bet tiesiog gali sekti, pavyzdžiui, kad kažkas numestų lentelę, susijusią su darbo užmokesčio apskaita. Jei taip atsitiks, niekas nemokės už tai, kaip sužinojote apie tai, jei to nestebinate. Jau per vėlu. Norite žinoti, kada ta lentelė nukrenta, kai tik ji nukrenta, kad išvengtumėte blogų dalykų, kurie nutinka dėl to, kad kažkoks nepatenkintas darbuotojas eina ir ištrina lentelę, kuri yra tiesiogiai susieta su darbo užmokesčiu.
Turint omenyje tai, kad pavyksta rasti bendrą vardiklį arba naudoti tą bendrą vardiklį, norint nustatyti, koks yra atitikties lygis. Tai yra tai, ką mes bandome padaryti su šiuo įrankiu. Mes iš esmės laikomės požiūrio, mes nerodysime jums ataskaitos, būdingos PCI, būdingos akcijoms; bendras vardiklis yra tai, kad turite programą, naudojančią „SQL Server“ slaptiems duomenims saugoti duomenų bazėje. Kai tik peržengi, sakai: „Taip, tai tikrai yra pagrindinis dalykas, į kurį turime sutelkti dėmesį - kur yra tie neskelbtini duomenys ir kaip prie jų prieinama?“ Kai tai turėsite, bus daugybė mūsų siūlomų ataskaitų, kurios gali įrodyti, kad įrodysite, kad jų laikysitės.
Grįžtant prie auditoriaus užduodamų klausimų, pirmas klausimas bus toks: Kas turi prieigą prie duomenų ir kaip jie gauna tokią prieigą? Ar galite įrodyti, kad teisingi žmonės naudojasi duomenimis, o ne neteisingi žmonės - ne? Ar taip pat galite įrodyti, kad pati audito seka yra kažkas, kuo aš galiu patikėti kaip nekintantis informacijos šaltinis? Jei aš pateikiu jums audito seką, kuri yra suformuota, man tikrai nėra labai naudinga kaip auditoriui pataisyti jūsų auditą, jei informacija yra suformuota. Mums reikia to įrodymo, paprastai audito požiūriu.
Einant per tuos klausimus, šiek tiek detaliau. Pirmojo klausimo uždavinys yra tas, kad jūs turite žinoti, kaip jau sakiau, kur yra šie neskelbtini duomenys, norint pranešti apie tai, kas prie jo prieina. Paprastai tai yra tam tikras atradimų tipas ir tikrai jūs turite tūkstančius skirtingų programų, kurios yra ten, jūs turite daugybę skirtingų reguliavimo reikalavimų. Daugeliu atvejų norite dirbti su savo atitikties pareigūnu, jei jį turite ar bent jau ką nors, kas turėtų papildomos informacijos apie tai, kur mano slapti duomenys yra programoje. Turime įrankį, kurį turime, tai yra nemokamas įrankis, vadinamas SQL stulpelių paieška. Mes pasakome savo būsimiems klientams ir vartotojams, kurie domisi tuo klausimu, jie gali atsisiųsti. Tai iš esmės bus ieškoma duomenų bazėje, kurios pobūdis greičiausiai bus neskelbiamas.
Kai tai padarysite, jūs taip pat turite suprasti, kaip žmonės prieina prie tų duomenų. Tai vėlgi bus tai, kurios sąskaitos priklauso „Active Directory“ grupėms, kokie duomenų bazės vartotojai yra, su tuo susijusi vaidmenų narystė. Ir, žinoma, turint omenyje, kad visus šiuos dalykus, apie kuriuos mes kalbame, turi patvirtinti auditorius, taigi, jei jūs sakote: „Taip mes užrakiname duomenis“, auditoriai gali ateiti atgal ir sakyk: „Na, tu darai neteisingai.“ Bet tarkime, kad jie sako: „Taip, tai atrodo gerai. Jūs pakankamai užrakinate duomenis. “
Ar galite pereiti prie kito klausimo, kuris bus, ar galite įrodyti, kad prie tų duomenų naudojasi tinkami žmonės? Kitaip tariant, jūs galite pasakyti jiems, kokia yra jūsų kontrolė. Tai yra jūsų vykdoma kontrolė, bet, deja, auditoriai nėra tikri asmenys. Jie nori tai įrodyti ir nori pamatyti tai audito sekos metu. Ir tai grįžta į tą bendrą vardiklį. Nesvarbu, ar tai būtų PCI, SOX, HIPAA, GLBA, „Basel II“, realybė yra ta, kad paprastai užduodami tos pačios rūšies klausimai. Objektas, turintis neskelbtiną informaciją, kas pasiekė tą objektą per pastarąjį mėnesį? Tai turėtų atitikti mano kontrolės priemones ir aš galėčiau galėti atlikti savo auditą, parodydama tokio tipo ataskaitas.
Taigi, ką mes padarėme, mes sukūrėme apie 25 skirtingas ataskaitas apie tas pačias sritis, kaip ir tas bendras vardiklis. Taigi, mes neturime PCI, HIPAA ar SOX ataskaitos, mes turime pranešimų, kad dar kartą jie eina prieš tą bendrą vardiklį. Taigi visai nesvarbu, kokį norminį reikalavimą bandote įvykdyti, daugeliu atvejų jūs galėsite atsakyti į bet kurį klausimą, kurį jums pateikė tas auditorius. Ir jie jums pasakys, kas, kas, kada ir kur atlieka kiekvieną operaciją. Jūs žinote, vartotojas, operacijos atlikimo laikas, pats SQL teiginys, programa, iš kurios ji atsirado, visa tai, kas gera, ir tada jūs taip pat galėsite automatizuoti šios informacijos pateikimą ataskaitose.
Ir tada dar kartą, kai jūs peržengsite tai ir pateikėte auditoriui, tada bus kitas klausimas, tai įrodykite. Kai sakau įrodyti, turiu omenyje įrodyti, kad pati audito seka yra kažkas, kuo galime pasitikėti. Tai, kaip mes darome tai savo įrankyje, turime maišos vertes ir CRC vertes, kurios tiesiogiai susiejamos su pačiais įvykiais audito seka. Taigi mintis yra ta, kad jei kas nors išeina ir ištrina įrašą arba jei kas nors išeina ir pašalina ar prideda ką nors prie audito sekos ar ką nors pakeičia pačiame audito pėdsake, mes galime įrodyti, kad tie duomenys, patys duomenys, buvo pažeisti. Taigi 99, 9 proc. Laiko, kai uždarysite mūsų audito sekų duomenų bazę, su šia problema nepateksite, nes atlikdami vientisumo patikrą auditoriui iš esmės įrodysime, kad patys duomenys nebuvo pakeistas ir ištrintas arba pridėtas prie to paties dokumento, kurį pateikė pati valdymo tarnyba.
Taigi tai yra bendra tipiškų klausimų, kurie jums bus užduoti, apžvalga. Dabar įrankis, į kurį turime atkreipti daug dėmesio, yra vadinamas SQL atitikties tvarkytuve ir daro visus tuos dalykus, susijusius su operacijų stebėjimu, kas, ką, kada ir kur vykdo, gali tai padaryti per įvairių sričių skaičius taip pat. Prisijungimai, nepavykę prisijungimai, schemos pakeitimai, aišku, prieiga prie duomenų, pasirinkta veikla, visi tie dalykai, kurie vyksta duomenų bazės variklyje. Be to, prireikus galime įspėti vartotojus apie konkrečias, labai išsamias sąlygas. Pavyzdžiui, kažkas išeina ir iš tikrųjų peržiūri lentelę, kurioje yra visi mano kreditinės kortelės numeriai. Jie nekeičia duomenų, o tik peržiūri. Esant tokiai situacijai, aš galiu įspėti ir leisti žmonėms žinoti, kad tai vyksta ne po šešių valandų, kai mes nuskaitykime žurnalus, bet realiu laiku. Iš esmės tol, kol mums prireiks apdoroti tą operaciją per valdymo paslaugą.
Kaip jau minėjau anksčiau, mes matėme, kad tai naudojama daugybėje skirtingų reguliavimo reikalavimų, ir tai tikrai nėra - žinote, bet koks norminis reikalavimas, dar kartą, jei bendrieji vardikliai turi „SQL Server“ neskelbtinus duomenis duomenų bazę, tai įrankis, kuris padėtų tokio tipo situacijose. Kalbant apie 25 integruotas ataskaitas, realybė yra tokia, kad galime padaryti šią priemonę naudinga auditoriui ir atsakyti į kiekvieną jo užduotą klausimą, tačiau DBA turi priversti ją veikti. Taigi, jūs gerai žinote, kad galvodami apie techninės priežiūros perspektyvą turime įsitikinti, kad SQL veikia taip, kaip mes norime. Mes taip pat turime mokėti įeiti ir pažiūrėti į dalykus, kurie galės išeiti, ir pažiūrėti į kitą informaciją, jūs žinote, kiek duomenų archyvavimas, tiek automatizavimas, tiek pridėtinė dalis yra pats produktas. Į tuos dalykus mes akivaizdžiai atsižvelgiame.
Kuria pati architektūra. Taigi, dešinėje ekrano pusėje, mes turime SQL egzempliorius, kuriuos mes valdome, nuo 2000 m. Iki pat 2014 m., Ruošiantis išleisti 2016 m. Versiją. Didžiausias pasirodymas šiame ekrane yra tai, kad valdymas Pats serveris daro sunkų kėlimą. Mes tiesiog renkame duomenis naudodami atsekimo API, integruotą su SQL Server. Ta informacija yra suklaidinta mūsų valdymo serverio. Pats valdymo serveris nustato ir, jei yra kokių nors įvykių, susijusių su bet kuriomis operacijų rūšimis, kurių nenorime, išsiunčia perspėjimus ir tokius dalykus, o tada kaupia duomenis saugykloje. Iš ten galime vykdyti ataskaitas, galėtume išeiti ir iš tikrųjų pamatyti tą informaciją ataskaitose ar net programos pulte.
Taigi, ką aš einu į priekį ir tai padarysiu, tai aš greitai perimsiu mus ir noriu tik atkreipti dėmesį į vieną greitą dalyką, prieš pradėdami pereiti prie produkto, šiuo metu svetainėje yra nuoroda, arba pristatyme, tai pateks į tą nemokamą įrankį, kurį jau minėjau anksčiau. Ši nemokama priemonė, kaip jau sakiau, išeis ir pažiūrės į duomenų bazę ir bandys surasti sritis, kurios atrodo kaip neskelbtini duomenys, socialinio draudimo numeriai, kreditinių kortelių numeriai, remiantis stulpelių ar lentelių pavadinimais, arba atsižvelgiant į tai, kaip atrodo duomenų formatas, ir taip pat galite tinkinti, kad tik tai parodytumėte.
Dabar, mūsų atveju, leisk man eiti į priekį ir pasidalyti ekranu, skirti man vieną sekundę. Gerai, ir todėl pirmiausia norėjau atkreipti jus į tai, kad noriu nuvesti jus į pačią „Compliance Manager“ programą ir aš gana greitai tai išgysiu. Bet tai yra programa ir jūs galite pamatyti, kad čia turiu porą duomenų bazių, ir aš tik parodysiu, kaip lengva prisijungti, ir papasakosiu, ką norite patikrinti. Atsižvelgiant į schemos pakeitimus, saugos pakeitimus, administracinę veiklą, DML, Select, mes turime visas tas galimybes, kurias mes taip pat galime naudoti, mes taip pat galime filtruoti tai žemyn. Tai grįžta prie geriausios praktikos pasakyti: „Man tikrai reikia šios lentelės tik todėl, kad joje yra mano kredito kortelių numeriai. Man nereikia kitų lentelių, kuriose būtų informacijos apie gaminį, visų kitų dalykų, kurie nėra susiję su atitikties lygiu, kurį bandau atitikti. “
Mes taip pat turime galimybę užfiksuoti duomenis ir parodyti juos keičiantis laukų vertėms. Daugybėje įrankių turėsite tai, kas suteiks jums galimybę užfiksuoti SQL, parodyti vartotojui, parodyti programą, laiką ir datą, visa tai, kas gera. Tačiau kai kuriais atvejais pats SQL teiginys nesuteiks jums pakankamai informacijos, kad galėtumėte pasakyti, kokia lauko vertė buvo prieš pakeitimą, taip pat lauko vertė po pakeitimo. O kai kuriose situacijose jums to reikia. Galbūt norėčiau sekti, pavyzdžiui, gydytojui skirtą receptinių vaistų dozavimo informaciją. Jis perėjo nuo 50mg iki 80mg iki 120mg, galėčiau tai atsekti naudodamas prieš ir po.
Jautrūs stulpeliai yra dar vienas dalykas, su kuriuo susiduriame daug, pavyzdžiui, laikydamiesi PCI. Esant tokiai situacijai, jūs turite tokio slapto pobūdžio duomenų, kad tiesiog, žiūrėdamas į tą informaciją, neturiu jos keisti, naikinti ar papildyti, galiu padaryti nepataisomą žalą. Kreditinių kortelių numeriai, socialinio draudimo numeriai ir visa kita, ką galime žinoti, yra slapti stulpeliai ir susieti perspėjimus. Jei kas nors išeitų ir pažiūrėtų į tą informaciją, mes, aišku, galėtume įspėti ir išsiųsti el. Laišką arba sugeneruoti SNMP spąstus ir tokius dalykus.
Dabar kai kuriais atvejais jums teks patekti į situaciją, kuriai gali būti taikoma išimtis. Ką turiu omenyje, turite situaciją, kai turite vartotoją, turinčią vartotojo abonementą, kuris gali būti susietas su kažkokiu ETL darbu, kuris veikia viduryje nakties. Tai yra dokumentais pagrįstas procesas ir man tiesiog nereikia į tą vartotojo sąskaitą įtraukti tos operacijų informacijos. Tokiu atveju turėtume patikimą vartotoją. Ir tada kitose situacijose mes pasinaudotume privilegijuotų vartotojų audito funkcija, kuri iš esmės yra, jei turiu, tarkime, pavyzdžiui, programą, o ta programa jau audituoja vartotojus, kurie naudojasi programa, tai yra puiku, aš jau turiu į ką remtis savo audito srityje. Bet tai, kas susiję su, pavyzdžiui, mano privilegijuotais vartotojais, vaikinais, kurie gali patekti į „SQL Server“ valdymo studiją ieškoti duomenų bazės duomenų, tai nesumažins. Taigi čia mes galėtume apibrėžti, kas yra mūsų privilegijuoti vartotojai, naudodamiesi vaidmenų naryste arba per jų „Active Directory“ paskyras, grupes, savo SQL autentifikuotas paskyras, kur galėsime pasirinkti visas šias skirtingas parinktis ir tada įsitikinkite, kad tiems privilegijuotiems vartotojams galime nurodyti, kokių operacijų tipus mes norime audituoti.
Tai yra daugybė skirtingų variantų, kuriuos turite, ir aš nesiimu nagrinėti visų skirtingų rūšių dalykų, atsižvelgiant į čia pateikto laiko apribojimus. Bet aš noriu parodyti jums, kaip mes galime žiūrėti duomenis, ir manau, kad jums patiks, kaip tai veikia, nes galime tai padaryti dviem būdais. Aš galiu tai padaryti interaktyviai ir todėl, kai mes kalbamės su žmonėmis, kurie domisi šia priemone galbūt savo pačių vidaus kontrolei, jie tiesiog nori žinoti, kas vyksta daugeliu atvejų. Jie nebūtinai turi auditorių, atvykstančių į vietą. Jie tiesiog nori žinoti: „Ei, aš noriu eiti po šia lentele ir pamatyti, kas ją palietė per pastarąją savaitę ar praėjusį mėnesį ar kas gali būti.“ Tokiu atveju galite pamatyti, kaip greitai mes tai galime padaryti.
Sveikatos priežiūros duomenų bazės atveju aš turiu lentelę pavadinimu Pacientų registrai. Ir jei aš tik grupuočiau pagal objektą, ji gali labai greitai pradėti siaurėti ten, kur mes ieškome. Gal noriu sugrupuoti pagal kategorijas, o tada gal pagal įvykius. Kai tai padarysiu, galite pamatyti, kaip greitai tai parodo, ir ten pat yra mano pacientų įrašų lentelė. Kai aš gilinuosi, dabar matome DML veiklą, matome, kad mes turėjome tūkstantį DML intarpų, o atidarę vieną iš šių operacijų galime pamatyti reikiamą informaciją. Akivaizdu, kas, kas, kada, kur vykdė operaciją, SQL, faktinė programa, naudojama operacijai atlikti, sąskaita, laikas ir data.
Dabar, jei pažvelgsite į kitą skirtuką „Detalės“, tai grįžta prie trečiojo klausimo, apie kurį mes kalbame, ir tai įrodo, kad nebuvo pažeistas duomenų vientisumas. Taigi iš esmės kiekviename įvykyje mes turime slaptą savo maišos vertės apskaičiavimą, ir tai bus susieta su tuo metu, kai mes tikrinsime savo vientisumą. Pvz., Jei norėčiau išeiti į įrankį, patekti į audito meniu, turėčiau išeiti ir pasakyti: patikrinkime saugyklos vientisumą, galėčiau nukreipti į duomenų bazę, kur yra audito seka, ji bus paleista atlikdami vientisumo patikrinimą, suderindami tas maišos vertes ir CRC reikšmes pagal tikruosius įvykius, ir tai mums pasakys, kad problemų nerasta. Kitaip tariant, audito sekos duomenys nebuvo sugadinti, nes juos iš pradžių rašė valdymo tarnyba. Akivaizdu, kad tai vienas iš būdų sąveikauti su duomenimis. Kitas būdas būtų pačios ataskaitos. Taigi pateiksiu jums vieną greitą pranešimo pavyzdį.
Ir vėlgi, šios ataskaitos, kaip mes su jomis sugalvojome, nėra būdingos jokiems standartų tipams, tokiems kaip PCI, HIPAA, SOX ar panašiems dalykams. Vėlgi, tai yra bendras to, ką mes darome, vardiklis, ir tokiu atveju, jei grįžtume prie to pacientų įrašų pavyzdžio, mes galėtume išeiti ir pasakyti, mūsų atveju, mes ieškome sveikatos priežiūros duomenų bazėje, o mūsų atveju norime sutelkti dėmesį į tą lentelę, kurioje, mūsų žiniomis, yra privačios informacijos, mūsų atveju, susijusios su mūsų pacientais. Taigi leiskite man pažiūrėti, ar galiu čia įvesti tekstą, ir mes eisime toliau ir vykdysime tą ataskaitą. Ir tada, aišku, iš ten pamatysime visus susijusius objektus. O mūsų atveju tai rodo mums mėnesio laikotarpį. Bet mes galėtume grįžti atgal į šešis mėnesius per metus, kad ir kiek ilgai saugotume duomenis.
Tai yra būdas, kuriuo galėtumėte auditoriui įrodyti, kad vykdote savo kontrolę, jei norite. Kai tai išsiaiškinote, tai akivaizdžiai yra geras dalykas, kai reikia atlikti auditą ir parodyti, kad sekate kontrolę ir viskas veikia.
Paskutinis dalykas, apie kurį norėjau parodyti, yra administravimo skyrius. Be to, pačius įrankius galima valdyti taip, kad jie galėtų nustatyti valdiklius, kad būtų galima įsitikinti, jog jei kažkas daro tai, ko jie neturėjo daryti, aš galiu būti informuotas apie tai. Pateiksiu jums ten keletą pavyzdžių. Turiu prisijungimo abonementą, susietą su paslauga ir šiai tarnybai reikia aukštesnių leidimų daryti tai, ką ji daro. Aš nenoriu, kad kažkas eitų ir naudotųsi ta sąskaita „Management Studio“, o tada, žinote, naudojate ją tiems dalykams, kuriems ji nebuvo skirta. Čia turėtume du kriterijus, kuriuos galėtume pritaikyti. Galėčiau pasakyti: „Žiūrėk, mes tikrai susidomėjome šiuo darbu, tarkime, su mūsų„ PeopleSoft “programa“, tik kaip pavyzdį, gerai?
Dabar, kai tai padariau, man čia įdomu žinoti prisijungimus, susietus su paskyra, kurią ruošiuosi nurodyti, jei programa, naudojama prisijungiant prie šios paskyros nėra „PeopleSoft“, tada tai bus pavojaus signalas. Ir, aišku, mes turime nurodyti pačios sąskaitos pavadinimą, todėl mūsų atveju vadinkime šią „Priv“ sąskaitą tuo, kad ji turi privilegijuotą informaciją. Kai tai jau padarėme, kai tai padarysime čia, dabar mes galėsime nurodyti, ką norėtume turėti, kai tai įvyks, ir kiekvienam įvykiui ar, turėčiau pasakyti, įspėjimui, galite atskirai informuokite asmenį, atsakingą už tą duomenų dalį.
Pvz., Jei tai yra informacija apie atlyginimą, ji gali kreiptis į mano žmogiškųjų išteklių direktorių. Šiuo atveju, dirbdamas su „PeopleSoft“ programa, jis bus tos programos administratorius. Kad ir kaip būtų. Galėčiau įvesti savo el. Pašto adresą, pritaikyti tikrąjį įspėjimo pranešimą ir visa tai, kas gera. Vėlgi, tai vėlgi yra galimybė įsitikinti, kad galite parodyti, kad sekate savo valdiklius ir kad tie valdikliai veikia taip, kaip jie yra skirti. Žiūrint iš paskutinės perspektyvos, mes turime galimybę paimti šiuos duomenis ir pateikti neprisijungę, kalbant tik apie techninę priežiūrą. Aš galiu archyvuoti duomenis ir suplanuoti juos, ir mes sugebėtume šiuos veiksmus atlikti labai lengvai ta prasme, kad jūs, kaip DBA, iš tikrųjų galėtumėte naudoti šį įrankį, jį nustatyti ir nustatyti. eikite toliau nuo jo. Jei ranką nustatysite tokią, kokia ji turėtų būti, rankos laikomos nedaug. Kaip jau sakiau, manau, kad sunkiausia yra nenustatyti to, ko norite, - žinoti, ką norite nustatyti auditui.
Ir kaip aš sakiau, žvėries pobūdis su auditu, jūs turite saugoti duomenis septynerius metus, todėl prasminga sutelkti dėmesį tik į tas sritis, kurios yra jautrios. Bet jei norite laikytis visko rinkimo principo, jūs tikrai galite, tai tiesiog nėra laikoma geriausia praktika. Taigi šiuo požiūriu žmonėms tiesiog norėčiau priminti, kad jei tai yra kažkas, kas jus domina, galite apsilankyti IDERA.com svetainėje ir atsisiųsti šio proceso versiją ir patys su ja pažaisti. Kalbant apie nemokamą įrankį, apie kurį kalbėjome anksčiau, tai, gerai, jis yra nemokamas, galite jį atsisiųsti ir naudoti amžinai, nesvarbu, ar naudojate „Compliance Manager“ produktą. Šaunus dalykas tame stulpelio paieškos įrankyje yra tai, kad mūsų pastebėjimai, kuriuos sugalvojote, ir aš iš tikrųjų galiu parodyti, kad, manau, yra tai, kad galėsite eksportuoti tuos duomenis ir tada galėsite juos importuoti į atitikties tvarkytuvę. taip pat. Aš to nematau, žinau, kad čia yra, yra. Tai tik to pavyzdys. Čia ji randa susijusius neskelbtinus duomenis.
Dabar šis atvejis jau išnyko ir aš tikrai viską apžiūriu, tačiau turite tik labai daug daiktų, kurių galime patikrinti. Kreditinių kortelių numeriai, adresai, vardai ir visa kita. Mes nustatysime, kur ji yra duomenų bazėje, ir tada iš ten galėsite nuspręsti, ar iš tikrųjų norite tą informaciją tikrinti, ar ne. Bet tai neabejotinai yra būdas jums žymiai lengviau apibrėžti audito apimtį, kai žiūrite į tokį įrankį kaip šis.
Aš tiesiog eisiu į priekį ir užsidarysiu su tuo, o aš eisiu į priekį ir perduosiu jį Erikui.
Ericas Kavanaghas: Tai fantastiškas pristatymas. Man patinka tai, kaip jūs iš tikrųjų įsigilinate į šiurkščias detales ir parodote mums, kas vyksta. Kadangi dienos pabaigoje yra kokia nors sistema, galinti pasiekti kai kuriuos įrašus, tai pateiks jums ataskaitą, kuri privers jus papasakoti savo istoriją, nesvarbu, ar tai būtų reguliatorius, ar auditorius, ar kas nors iš jūsų komandos, todėl gerai, kad žinote, kad esate pasirengęs, kada ir kada, ar tada, kai tas asmuo ateina beldžiantis, ir, žinoma, tai yra nemaloni situacija, kurios jūs bandote išvengti. Bet jei atsitiks, ir greičiausiai tai įvyks šiomis dienomis, jūs norite būti tikri, kad turite tašką „I“ ir „T“ sukryžiavo.
Yra geras klausytojo klausimas, kurį pirmiausia noriu išmesti jums, „Bullett“, o tada, jei galbūt laidos vedėjas nori tai pakomentuoti, nesivaržykite. Tada gal Dezas užduos klausimą ir Robinas. Taigi klausimas yra toks: ar teisinga sakyti, kad norint atlikti visus tuos dalykus, kuriuos paminėjote, turite pradėti duomenų klasifikavimą pradiniame lygmenyje? Turite žinoti savo duomenis, kai jie tampa vertingu potencialiu turtu, ir ką nors su tuo padaryti. Manau, kad sutiktum, Bullett, tiesa?
Bullett Manale: Taip, visiškai. Aš turiu galvoje, kad jūs turite žinoti savo duomenis. Ir suprantu, suprantu, kad yra daugybė programų, kurios yra sukurtos, ir daugybė skirtingų dalykų, kurie turi judančias jūsų organizacijos dalis. Stulpelių paieškos įrankis yra labai naudingas žengiant žingsnį geresnio šių duomenų supratimo link. Bet taip, tai labai svarbu. Aš turiu galvoje, kad jūs turite galimybę pasirinkti „firehose“ metodą ir viską patikrinti, tačiau tai padaryti logiškai logiškai yra daug sudėtingesnė, kai kalbate apie tai, kad reikia saugoti tuos duomenis ir rengti ataskaitas pagal tuos duomenis. Ir tada jūs vis dar turite žinoti, kur yra šie duomenys, nes kai vykdote savo ataskaitas, jūs taip pat turėsite parodyti auditoriams tą informaciją. Taigi aš manau, kad, kaip minėjau, didžiausias iššūkis, kai kalbuosi su duomenų bazių administratoriais, yra žinojimas, taip.
Ericas Kavanaghas: Taip, bet gal Robinas mes jus greitai pristatysime. Man atrodo, kad čia taikoma 80/20 taisyklė, tiesa? Tikriausiai nerasite kiekvienos įrašų sistemos, kurioms svarbu, jei esate kokio nors vidutinio dydžio ar didelėje organizacijoje, bet jei susitelksite į - pavyzdžiui, kaip čia siūlė „Bullett“ - pvz., „PeopleSoft“ ar kitas įrašų sistemas, kurios yra vyraujanti įmonėje, štai kur 80 procentų pastangų sutelkiate, tada 20 procentų skiriate kitoms sistemoms, kurios gali būti kažkur ten, tiesa?
Robinas Blooras: Na, aš tikiu, taip. Aš turiu omenyje, jūs žinote, aš manau, kad šios technologijos problema, ir aš manau, kad turbūt verta ją pakomentuoti, tačiau šios technologijos problema yra, kaip jūs ją įgyvendinate? Aš turiu omenyje, kad, be abejo, trūksta žinių, tarkime, daugumoje organizacijų, net kiek duomenų bazių yra. Žinote, tarkime, labai trūksta atsargų. Žinote, klausimas yra, įsivaizduokime, kad pradedame nuo situacijos, kai nėra ypač gerai valdoma atitiktis, kaip jūs paimate šią technologiją ir įleidžiate ją į aplinką, o ne tik į, žinote, technologijas terminus, sudedant daiktus, bet kaip kas jį valdo, kas ką nustato? Kaip jūs galite pradėti tai vadinti tikru, darančiu savo darbą dalyku?
Bullett Manale: Na, aš turiu galvoje, kad tai geras klausimas. Daugeliu atvejų iššūkis yra tas, kad turiu omenyje, kad turite pradėti klausinėti nuo pat pradžių. Aš susidūriau su daugeliu kompanijų, kuriose jos, žinote, galbūt yra privati įmonė ir jas įsigijo, yra pradinis, tokio tipo, visų pirma, kelių sąvadas, jei norite tai vadinti. Pvz., Jei aš ką tik tapusi viešai prekiaujama įmone dėl įsigijimo, turėsiu grįžti ir tikriausiai išsiaiškinti kai kuriuos dalykus.
Kai kuriais atvejais mes kalbamės su organizacijomis, kurios, nors ir privačios, vadovaujasi SOX laikymosi taisyklėmis vien dėl to, kad norėdamos įgyti žino, kad turi laikytis taisyklių. Jūs tikrai nenorite pasirinkti teisingo požiūrio: „Man dabar nereikia dėl to jaudintis.“ Bet kokio tipo atitikimas norminiams aktams, pavyzdžiui, PCI ar SOX ar bet kas, jūs norite investuoti atlikdamas tyrimus ar supratimas, kur yra ta neskelbtina informacija, nes priešingu atveju jums gali tekti susidurti su didelėmis, didelėmis baudomis. Ir daug geriau tiesiog investuoti tą laiką, žinote, radęs tuos duomenis ir galėdamas pranešti apie tai ir parodyti kontrolę.
Taip, kalbant apie jos sukūrimą, kaip jau sakiau, pirmiausia rekomenduoju žmonėms, besiruošiantiems atlikti auditą, yra tiesiog išeiti ir atlikti kruopštų duomenų bazės patikrinimą ir išsiaiškinti, jūs stengiasi išsiaiškinti, kur yra šie neskelbtini duomenys. O kitas požiūris būtų pradėti nuo galbūt didesnio grynojo, atsižvelgiant į tai, kokia yra audito apimtis, ir tada lėtai pažaboti savo kelią žemyn, kai tikisi išsiaiškinti, kur tos sistemos sritys yra susijusios su neskelbtina informacija. Bet norėčiau, kad galėčiau jums pasakyti, kad į šį klausimą lengva atsakyti. Tai tikriausiai labai skirsis įvairiose organizacijose ir atitikties tipuose, ir tikrai, kaip žinote, kokia jų programų struktūra ir kiek jų turi įvairias programas, kai kurios gali būti pritaikytos rašytoms programoms, todėl daugeliu atvejų tai tikrai priklausys nuo situacijos.
Erikas Kavanaghas: Eik, Dez, aš tikiu, kad jūs turite klausimą ar du.
Dezas Blanchfieldas: Aš norėčiau tik šiek tiek įžvelgti jūsų pastebėjimus apie poveikį organizacijoms iš tikrųjų. Aš manau, kad viena iš sričių, kurioje aš matau didžiausią šio konkretaus sprendimo vertę, yra ta, kad kai žmonės ryte atsibunda ir eina dirbti į įvairius organizacijos lygius, jie atsibunda kartu su atsakomybės seka ar grandine. kad jie turi susitvarkyti. Ir aš noriu gauti tam tikrą įžvalgą apie tai, ką jūs matote ten, naudodamiesi įrankiais ir be jų, apie kuriuos kalbate. Ir kontekstas, apie kurį čia kalbu, yra nuo valdybos pirmininko lygio iki generalinio direktoriaus ir CIO bei „C-suite“. Ir dabar mes turime vyriausius rizikos pareigūnus, kurie daugiau galvoja apie tai, apie ką mes čia kalbame, laikydamiesi reikalavimų laikymosi ir valdymo principų, ir tada mes turime naujus vaidmenų žaidimų vadovus, vyriausiąjį duomenų pareigūną, kas, žinote, žinote, dar labiau jaudinasi.
Kiekvienoje iš jų, šalia CIO, vienoje pusėje yra IT vadybininkai, turintys žinių, techninių ir tada duomenų bazių. Operacinėje erdvėje mes turime plėtros vadovus ir plėtros vadovus, o po to individualius tobulinimus, kurie taip pat grįžta į duomenų bazės administravimo sluoksnį. Ką jūs matote aplink, kaip kiekviena iš šių skirtingų verslo dalių reaguoja į iššūkius, susijusius su atitiktimi ir norminėmis ataskaitomis, ir jų požiūrį į tai? Ar matote, kad žmonės į tai ateina žvaliai ir matote to naudą, ar matote, kad jie nenoriai traukia kojas į šį reikalą ir, tiesiog, žinote, daro tai dėl varnelės laukelyje? O kokias atsakymų rūšis matote pamatę jūsų programinę įrangą?
Bullett Manale: Taip, tai geras klausimas. Aš sakyčiau, kad šį produktą, šio produkto pardavimus, daugiausia skatina kažkas, kuris sėdi karštoje vietoje, jei tai prasminga. Daugeliu atvejų tai yra DBA, ir, žvelgiant iš mūsų perspektyvos, kitaip tariant, jie žino, kad ateina auditas, ir jie bus atsakingi, nes jie yra DBA, kad galėtų pateikti informaciją, į kurią eina auditorius. paklausti. Jie gali tai padaryti rašydami savo ataskaitas ir kurdami savo pasirinktinius pėdsakus ir visus tuos dalykus. Realybė yra tokia, kad jie nenori to daryti. Daugeliu atvejų DBA nelabai tikisi pradėti tuos pokalbius su auditoriumi. Žinote, aš verčiau jums pasakysiu, kad galime kreiptis į įmonę ir pasakyti: „Ei, tai puikus įrankis ir tau tai patiks“, ir parodykite jiems visas funkcijas, kurias jie nusipirks.
Realybė yra tokia, kad jie paprastai nenagrinės šio įrankio, nebent jiems iš tikrųjų teks susidurti su auditu ar kita tos monetos puse, jei jie jau buvo atlikę auditą ir apgailėtinai nepavyko, ir dabar jie yra liepiama gauti pagalbos arba jiems bus paskirta bauda. Sakyčiau, kalbant apskritai, kai jūs parodote šį produktą žmonėms, jie tikrai mato jo vertę, nes tai jiems sutaupo toną laiko, nes jie turi išsiaiškinti, apie ką jie nori pranešti., tokių dalykų. Visos šios ataskaitos jau yra įdiegtos, įspėjimo mechanizmai yra sukurti, tada daugeliu atvejų trečiasis klausimas taip pat gali būti iššūkis. Kadangi aš galiu parodyti jums ataskaitas visą dieną, bet, jei negalite man įrodyti, kad jie iš tikrųjų galioja, žinote, kad man, kaip DBA, yra daug griežtesnis pasiūlymas, kad galėčiau tai parodyti. Bet mes sukūrėme technologiją, maišos techniką ir visus tuos dalykus, kad galėtume padėti įsitikinti, ar audito sekų vientisumas yra saugomas.
Taigi, tai yra mano pastebėjimai, kalbant apie daugumą žmonių, su kuriais mes kalbamės. Žinote, neabejotinai, skirtingose organizacijose jūs žinote, kaip, pvz., „Target“, jūs girdėsite apie tokius dalykus, kurie pažeidė duomenis, ir, žinote, aš turiu galvoje, kai kitos organizacijos išgirsta apie baudas ir tas pradedant įvairius dalykus, jis kelia antakį, taigi, tikiuosi, kad atsakymas į klausimą.
Dezas Blanchfildas: Taip, tikrai. Aš įsivaizduoju kai kuriuos DBA, kai jie pagaliau suvokia, ką galima padaryti su įrankiu, tiesiog supranta, kad taip pat grįžo vėlų vakarą ir savaitgalį. Laiko, išlaidų mažinimas ir kiti dalykai, kuriuos matau, kai šiai visai problemai pritaikomi tinkami įrankiai, tai yra, kad tris savaites sėdėjau banke, Australijoje. Jie yra pasaulinis bankas, trys svarbiausi bankai, jie yra didžiuliai. Ir jie turėjo projektą, kuriame turėjo pranešti apie savo turto valdymo atitiktį ir ypač riziką, ir jie ieškojo 60 savaičių darbo pora šimtų žmonių. Ir kai jiems buvo parodyta, kad patinka toks įrankis, kaip jūs pats, kuris gali tik automatizuoti procesą, šia prasme žvilgsnis į veidą suprato, kad nereikia praleisti X savaičių skaičiaus su šimtais žmonių, atliekančių rankinį procesą. tarsi jie būtų radę Dievą. Tačiau tada, kaip dr. Robinas Blooras pažymėjo, žinote, tai yra kažkas, kas tampa elgesio, kultūrinių poslinkių mišiniu, tada buvo sudėtinga. Kokius pokyčius matote jūsų, kurie susiduria su tuo tiesiogiai programos lygiu, lygmenyje, kai jie pradeda naudoti įrankį, skirtą atsiskaitymo, audito ir kontrolės priemonėms, kurias galite pasiūlyti, pvz. priešingai nei tai, ką jie galėjo padaryti rankiniu būdu? Kaip tai atrodo, kai jie iš tikrųjų įgyvendinami?
Bullett Manale: Ar jūs klausiate, kuo skiriasi tai, kaip tvarkyti šį įrankį rankiniu būdu, palyginti su šio įrankio naudojimu? Ar tai klausimas?
Dezas Blanchfieldas: Na, konkrečiai, verslo poveikis. Taigi, pavyzdžiui, jei bandome užtikrinti, kad rankiniu būdu laikytumėtės taisyklių, tai jūs, be abejo, ilgai užtrunka daug žmonių. Aš manau, kad, kaip jūs žinote, pateikdami klausimą šiek tiek kontekste, mes kalbame apie tai, kad vienas asmuo naudoja šį įrankį, kuris pakeis galimai 50 žmonių ir galės tą patį padaryti realiuoju laiku ar valandomis, palyginti su mėnesiais? Ar tai yra rūšis, kas iš viso paaiškėja?
Bullett Manale: Aš turiu galvoje, kad tai yra keletas dalykų. Vienas iš jų yra gebėjimas atsakyti į tuos klausimus. Kai kurie iš šių dalykų nebus padaryti lengvai. Taip, laikas, kurį reikia atlikti namuose pagamintiems dalykams, savarankiškai rašyti ataskaitas, nustatyti pėdsakus ar išplėstinius įvykius, kad būtų galima rankiniu būdu rinkti duomenis, gali užtrukti daug laiko. Aš tikrai jums duosiu, turiu omenyje, kad tai visai nesusiję su duomenų bazėmis apskritai, bet kaip iškart po to, kai įvyko Enron ir SOX tapo paplitusi, aš buvau vienoje didesnių naftos kompanijų Hiustone ir buvome suskaičiavę, Manau, kad tai buvo tarsi 25 procentai mūsų verslo išlaidų, susijusių su SOX laikymusi.
Dabar, iškart po to, ir tai buvo pirmas pirmas žingsnis į „SOX“, tačiau dalykas, sakyčiau, žinote, jūs gausite daug naudos naudodamiesi šiuo įrankiu ta prasme, kad jis nereikalauja daug žmonių tai padaryti ir daugybė skirtingų tipų žmonių. Ir kaip aš sakiau, DBA dažniausiai nėra tas vaikinas, kuris tikrai laukia tų pokalbių su auditoriais. Taigi daugeliu atvejų pamatysime, kad DBA gali tai atsikratyti ir pateikti auditoriui sąsają su ataskaita, o jie gali visiškai pašalinti save iš lygties, užuot dalyvavę. Taigi, jūs žinote, tai taip pat milžiniškas išteklių taupymas, kai jūs galite tai padaryti.
Dezas Blanchfildas: Jūs kalbate apie didžiulį išlaidų mažinimą, tiesa? Organizacijos ne tik pašalina riziką ir jos pridėtinę vertę, bet aš iš esmės turiu omenyje, kad jūs žymiai sumažinate sąnaudas, A) operatyviai, taip pat B) tuo, kad žinote, jei jos iš tikrųjų gali suteikti realias pranešti apie atitiktį laikui, kad yra žymiai sumažinta duomenų pažeidimo rizika arba yra teisinė bauda ar poveikis už neatitikimą, tiesa?
Bullett Manale: Taip, visiškai. Aš turiu omenyje, kad dėl neatitikimo nutinka visokių blogų dalykų. Jie gali naudoti šį įrankį, ir tai būtų puiku, arba jie to nedaro, ir sužinos, koks jis blogas iš tikrųjų. Taip, aišku, tai ne tik įrankis, bet ir jūs galite atlikti patikrinimus ir viską be tokio įrankio. Kaip jau sakiau, tai tiesiog atims daug daugiau laiko ir išlaidų.
Dezas Blanchfildas: Puiku. Taigi, Ericai, aš jums perduosiu atgal, nes manau, kad mano pasirinktas pasirinkimas yra toks, koks yra fantastinis. Iš esmės, daiktas yra vertas aukso svorio, nes, išvengęs vykstančio klausimo komercinio poveikio ar sutrumpindamas laiką, reikalingą pranešti ir valdyti atitiktį, tai tik daro įrankis susimoka iš karto už daiktų garsus.
Ericas Kavanaghas: Tai visiškai teisinga. Na, ačiū už jūsų laiką šiandien, Bullett. Ačiū jums visiems už jūsų laiką ir dėmesį, Robin ir Dez. Dar vienas puikus pristatymas šiandien. Ačiū mūsų „IDERA“ draugams, kad suteikėte mums galimybę nemokamai pateikti jums šį turinį. Mes archyvuosime šią transliaciją, kad vėliau galėtumėte peržiūrėti. Paprastai archyvas yra parengtas maždaug per dieną. Ir praneškite mums, ką manote apie mūsų naująją svetainę insideanalysis.com. Visiškai naujas dizainas, visiškai naujas vaizdas ir pojūtis. Mielai išgirstume jūsų atsiliepimus ir su tuo atsisveikinsiu, žmonės. Galite man atsiųsti el. Laišką. Priešingu atveju mes jus pasitiksime kitą savaitę. Mes turime septynias internetines transliacijas per kitas penkias savaites ar panašiai. Mes būsime užimti. Vėliau šį mėnesį dalyvausime „Strata“ konferencijoje ir IBM analitikų viršūnių susitikime Niujorke. Taigi, jei esate šalia, sustokite prie jo ir pasisveikinkite. Rūpinkitės, žmonės. Iki.
