Per personal de Techopedia, 14 de setembre de 2016
Take away: L' amfitrió Eric Kavanagh discuteix l'auditoria de bases de dades i el compliment dels analistes Robin Bloor i Dez Blanchfield, així com Bullett Manale d'IDERA en aquest episodi de Hot Technologies.
Actualment no teniu la sessió iniciada. Inicieu la sessió o registreu-vos per veure el vídeo.
Eric Kavanagh: Senyores i senyors, hola i benvinguts, un cop més, a Hot Technologies! Sí, efectivament, del 2016. Ja som a l’any tres d’aquest espectacle, són coses molt emocionants. Aquest any hem estat balancejant i rodant. Es tracta d’Eric Kavanagh, el vostre amfitrió. El tema d’avui, aquest és un tema fantàstic, té moltes aplicacions a diverses indústries, amb tota franquesa, "Qui, Què, On i Com: Per què Voleu Saber". Sí, de fet, anem a parlar de totes les coses tan divertides. Hi ha una diapositiva sobre la vostra, realment, colpeja'm a Twitter @eric_kavanagh. Intento tornar a tuitejar totes les mencions i re-tuitejar qualsevol cosa que algú m'enviï. Altrament, així sigui.
Fa calor, sí, de veritat! Tot l'espectacle aquí està dissenyat per ajudar les organitzacions i els individus a comprendre determinats tipus de tecnologia. Aquí hem dissenyat tot el programa, Hot Technologies, com una forma de definir un tipus de programari concret, o una tendència particular, o un tipus de tecnologia particular. La raó és que francament, en el món del programari, sovint obtindreu aquests termes de màrqueting que s’enganxen i de vegades poden bastarditzar els conceptes que volien descriure.
En aquest programa realment estem intentant ajudar-vos a comprendre què és un tipus de tecnologia en concret, com funciona, quan podeu utilitzar-la, quan potser no l’heu d’utilitzar i donar-vos tants detalls com podem. Avui tindrem tres presentadors: el nostre propi Robin Bloor, analista en cap del grup Bloor; el nostre científic de dades que va trucar des de Sydney, Austràlia a l’altra banda del planeta, Dez Blanchfield, i un dels nostres convidats preferits Bullett Manale, director d’enginyeria de vendes d’IDERA.
Simplement diré un parell de coses aquí, entenent qui fa què amb aquesta dada, així és com és una situació de governança, oi? Si teniu en compte totes les regulacions de les indústries, com ara la salut i els serveis financers, en aquests dominis, és molt important. Heu de saber qui va tocar la informació, qui va canviar alguna cosa, qui va accedir a ella, qui la va penjar, per exemple. Quin és el llinatge, quina és la providència d’aquestes dades? Podeu estar segurs que tots aquests problemes continuaran destacats en els propers anys per tot tipus de motius. No només per complir, encara que HIPAA, i Sarbanes-Oxley i Dodd-Frank, i totes aquestes normatives són molt significatives, sinó que només ho enteneu en el vostre negoci qui fa què, on, quan, per què i com. Això és bo, anirem atenció.
Endavant, traieu-lo, Robin Bloor.
Robin Bloor: Està bé, gràcies per aquesta introducció, Eric. Crec que aquest àmbit de governança és que, a mi, el govern en TI no va ser una paraula que fins al cap de l'any 2000 crec. Es va produir principalment perquè, crec, de totes maneres, es va produir principalment perquè hi havia una legislació sobre compliment. Particularment HIPAA i Sarbanes-Oxley. De fet, hi ha moltes coses. Per tant, les organitzacions es van adonar que havien de tenir un conjunt de normes i un conjunt de procediments perquè era necessari que la llei ho fes. Molt abans d’això, particularment en el sector bancari, hi havia diverses iniciatives que havíeu d’obeir en funció del tipus de banc que sou, i particularment dels banquers internacionals. La totalitat del compliment de Basilea va començar una forma molt anterior a aquest conjunt d'iniciatives posteriors a l'any 2000. Tot plegat recau sobre el govern. Vaig pensar que parlaria del tema de la governança com a introducció del focus de vigilància de qui obté les dades.
Governança de dades, solia mirar al voltant, crec que fa uns cinc o sis anys, buscar definicions i no estava ben definit. Ha esdevingut més clar i clar del que significa realment. La realitat de la situació era que dins de certs límits, totes les dades es regien en realitat abans, però no hi havia normes formals per a això. Hi havia unes regles especials que es van fer particularment a la indústria bancària per fer coses així, però una altra vegada es tractava més del compliment. D’una manera o altra demostrar que realment éreu - és un tipus d’associació amb el risc, de manera que està demostrant que era un banc viable.
Si ens fixem en el repte de govern ara, comença amb un fet del moviment de grans dades. Tenim un nombre creixent de fonts de dades. El volum de dades és, sens dubte, un problema. En particular, vam començar a fer molt, molt més, amb dades no estructurades. Va començar a convertir-se en quelcom que forma part del conjunt del joc d’analítica. I a causa de les analítiques, la procedència de les dades i els llinatges són importants. Realment, des del punt de vista d’utilitzar les analítiques de dades de qualsevol manera relacionades amb qualsevol tipus de compliment, realment heu de tenir coneixement d’on provenien les dades i com va arribar a ser com és.
El xifrat de dades va començar a convertir-se en un problema, es va convertir en un problema més gran tan aviat com vam anar a Hadoop perquè la idea d’un llac de dades en el qual emmagatzemem moltes dades, de sobte significa que tens una àrea enorme de vulnerabilitat de les persones que poden obtenir-se. a aquesta cosa. El xifrat de dades es va fer molt més important. L’autenticació sempre era un problema. A l’entorn més antic, estrictament mainframe, disposaven d’una protecció per a la seguretat perimetral tan meravellosa; l’autenticació no va ser mai un gran problema. Més endavant es va convertir en un problema més gran i ara és molt més gran perquè tenim entorns tan distribuïts. El control de l'accés a les dades es va convertir en un problema. Sembla recordar diverses eines que van existir fa uns deu anys. Crec que la majoria van ser impulsades per iniciatives de compliment. Per tant, també tenim totes les normes de compliment, els informes de compliment.
El que se m’acudeix és que fins i tot a la dècada de 1990, quan feies assajos clínics a la indústria farmacèutica, no només haureu de ser capaços de demostrar d’on provenien les dades, òbviament és molt important, si ho intenteu. sortir un fàrmac en diversos contextos, per saber a qui s’està provant i quines dades contextuals hi ha al seu voltant, hauríeu de ser capaç de proporcionar una auditoria del programari que realment va crear les dades. És la peça de compliment més severa que he vist mai, en termes de demostrar que realment no estàs embolicant deliberadament o accidentalment les coses. En els últims temps, en particular la gestió del cicle de vida de les dades s'ha convertit en un problema. Tot això és en certa manera reptes perquè moltes d’aquestes no s’han fet bé. En moltes circumstàncies, cal fer-les.
És el que jo anomeno piràmide de dades. Ja he parlat amb això abans. Em sembla una manera molt interessant de mirar les coses. Podeu pensar que les dades tenen capes. Les dades en brut, si voleu, són realment només senyals o mesuraments, enregistraments, esdeveniments i registres únics. Possiblement les transaccions, els càlculs i les agregacions, naturalment, creïn dades noves. Es poden pensar al nivell de dades. Per sobre de tot això, un cop connecteu les dades junts, es convertirà en informació. Es torna més útil, però per descomptat, es torna més vulnerable a les persones que l’agafen o l’abusen. Ho defineixo com a creat, realment, mitjançant l'estructuració de dades, podent visualitzar les dades amb glossaris, esquemes, ontologies sobre la informació. Aquestes dues capes inferiors són el que processem d’una manera o altra. Per damunt d’això, anomeno la capa de coneixement consistent en regles, polítiques, directrius, procediment. Alguns dels quals realment poden ser creats amb idees descobertes en els analítics. Moltes són en realitat polítiques que heu de complir. Aquesta és la capa, de govern, si voleu. Aquí és si, d’una manera o altra, si aquesta capa no es reemplaça adequadament, les dues capes de sota no s’estan gestionant. El darrer punt sobre això és comprendre en alguna cosa que resideix només en éssers humans. Per sort, els ordinadors encara no ho han aconseguit. En cas contrari, quedaria sense feina.
L’imperi de governança: he combinat una mica, crec que devia ser fa uns nou mesos, possiblement molt abans. Bàsicament, ho vaig millorar, tan aviat com vam començar a preocupar-nos per la governança, hi havia, en termes del centre de dades corporatiu, no només hi havia un dipòsit de dades, recursos de llac de dades, sinó també servidors generals de diversos tipus, servidors de dades especialitzats. Calia regir-ho tot. Quan realment heu examinat també la diversa dimensió: seguretat de dades, neteja de dades, descobriment de metadades i gestió de metadades, creeu un glossari empresarial, mapeig de dades, llinatge de dades, gestió de cicles de dades: aleshores, gestió de seguiment de rendiment, gestió de nivell de servei, la gestió del sistema, que potser no associeu a la governança, però una cosa certa: ara que anem a un món més ràpid i ràpid amb cada cop més fluxos de dades, en realitat es pot fer alguna cosa amb un rendiment determinat en realitat és una necessitat i comença a convertir-se en una norma de funcionament que no pas qualsevol altra cosa.
Resumint en termes del creixement del compliment, vaig observar que això passava durant molts anys, però la protecció general de dades va arribar a la dècada de 1990 a Europa. S’aconsegueix més i més sofisticat des d’aleshores. Aleshores, tot això va començar a introduir-se o a ser més sofisticat. El GRC, que és el risc i el compliment del govern, ha passat des de que els bancs van fer Basilea. La ISO ha estat creant estàndards de diverses operacions. Sé que durant tot el temps que he estat a la informàtica, ja fa temps que el govern dels Estats Units ha estat especialment actiu en la creació de diverses legislacions: SOX, hi ha Gramm-Leach-Bliley, HIPAA, FISMA, FERPA. També heu aconseguit una meravellosa organització NIST que crea molts estàndards, en especial estàndards de seguretat, molt útils. Les lleis de protecció de dades a Europa varien localment. El que podeu fer amb les dades personals a Alemanya, per exemple, és diferent del que podeu fer a la República eslovaca, o a Eslovènia o a qualsevol lloc. Van presentar recentment –i vaig pensar que mencionaria això perquè em resulta divertit– Europa està introduint la idea del dret a ser oblidat. És a dir, hi hauria d’haver un estatut de limitacions a les dades públiques que, de fet, són dades personals. Crec que és hilarant. Des del punt de vista de les TI, serà molt difícil si es comença a convertir en una legislació efectiva. En resum, diria el següent: Com que les dades i la gestió de les TI evolucionen ràpidament, la governança també ha d'evolucionar ràpidament i s'aplica a totes les àrees de govern.
Dit això, passaré la pilota a Dez.
Eric Kavanagh: Sí, així que Dez Blanchfield, treu-ho. Robin, estic amb tu, home, estic morint en veure com es juga aquest dret a l'oblit. Crec que no serà només un repte, sinó bàsicament impossible. És simplement una violació d’esperar per part de les agències governamentals. Dez, traieu-lo.
Dez Blanchfield: De fet, és un tema per a altres discussions. Tenim un repte molt semblant a Àsia i el Pacífic, i en particular a Austràlia, on es requereix que els operadors i els proveïdors d’intercanvi registrin tot allò relacionat amb Internet i puguin registrar-lo i regurgitar-lo en cas que algú d’interès faci alguna cosa malament. És una llei i cal complir-la. El repte, de la mateixa manera que algú de Google als Estats Units podria dir-li que esborri el meu historial de cerques o qualsevol altra cosa, pot ser que compleixi la legislació europea, especialment la llei alemanya de privadesa. A Austràlia, si una agència vol examinar-te, un transportista ha de poder proporcionar detalls de les trucades i de l’historial de cerques realitzades, que és un repte, però és el món en què vivim. Hi ha un munt de raons per això. Permetin-me simplement saltar a la meva.
Deliberadament vaig fer que la meva pàgina de títol sigui difícil de llegir. Heu de mirar realment aquest text. Compliment, conforme a un conjunt de regles, especificacions, controls, polítiques, estàndards o lleis, amb un rerefons absurd i desordenat. Això és perquè heu de mirar realment els detalls i treure informació del que està sobreposat, que és una sèrie de taules i files i columnes, ja sigui una base de dades, un esquema o una maqueta a Visio. Això és el que sent com un dia a dia el compliment. És molt difícil aprofundir en els detalls i treure les dades d'informació que necessiteu per poder confirmar la conformitat. Informeu-ne, monitoritzeu-lo i proveu-lo.
De fet, he pensat una manera molt bona de visualitzar-ho quan ens fem la pregunta: "Et comples?" "Estàs segur?" "Bé, demostra-ho!" Hi ha una cosa realment divertida, que potser és una mica més anglo-cèltica, però estic segur que ha estat fent la seva volta al món als Estats Units, de manera que és: "On està Wally?" Wally és un personatge petit que entra en aquests dibuixos de dibuixos animats en forma de llibres. Normalment imatges a gran escala de A3 o més grans. Així doncs, dibuixos a mida de taula. És un personatge petit que porta un vestit i una samarreta de ratlles blanques de color vermell. La idea del joc és que mireu aquesta imatge i mireu els cercles en cercles per intentar trobar Wally. Està a la imatge que hi ha en algun lloc. Quan penses en com descobrir, descriure i informar sobre el compliment, en molts aspectes és com jugar a "Where's Wally". Si mires aquesta imatge, és gairebé impossible trobar el personatge. Els nens dediquen hores a això i ahir em vaig divertir molt fent-ho jo. Quan la mirem, trobem un munt de persones en aquests dibuixos animats, col·locats deliberadament amb peces similars del vestit de Wally d’una beanie i un jersei a ratlles o una samarreta de llana. Però es converteixen en falsos positius.
Aquest és un repte similar amb el compliment. Quan mirem les coses, de vegades pensem que és així, no és el cas. Algú podria tenir accés a una base de dades i se suposa que tindrà aquest accés a una base de dades, però la forma en què l'utilitza és lleugerament diferent de la que esperem. Podríem decidir que cal veure què és això. Quan la mirem ens trobem, oh, en realitat, és un usuari molt vàlid. Ells només estan fent alguna cosa estrany. Potser és un investigador de PC o qui ho sap. En altres casos, pot ser el contrari. La realitat, quan torno a avançar, hi ha Wally. Si us veieu molt bé en aquesta alta resolució, hi ha un personatge que portava el vestit adequat. Tots els altres no són sinó similituds. El compliment se sent molt així. La majoria de la gent que conec, treballen en àmbits de control i compliment i polítiques de negocis. En tota una àrea, ja sigui tecnologia, finançament, operació i risc. Sovint és molt difícil veure el Wally a la imatge, veureu els arbres o la fusta.
La pregunta que ens plantegem, quan pensem en coses com el compliment, és "Gran cosa, què podria sortir malament si no complim el compliment?" En el context de la discussió d’avui, concretament sobre la base de dades i el control de l’accés a les dades, us oferiré alguns exemples de trucades molt reals sobre allò que pot anar malament de forma succinta i breu. Si pensem en incompliments de dades, i tots coneixem les infraccions de dades, les escoltem als mitjans de comunicació i fem una aturada i riure, perquè la gent creu que és mercats. Són coses personals. És Ashley Madison i les persones que busquen obtenir dates fora de les seves relacions i matrimonis. Es tracta de comptes agressius. Es tracta de totes aquestes coses estranyes o d'algun ISP europeu o rus o d'una empresa d'allotjament que es piquen. Quan es tracta de coses com MySpace i aquests deu primers, quan es fixen en aquests números, el que vull que s’adoni és això: 1.1 mil milions de detalls de persones en aquests deu primers incompliments. I sí, hi ha solapes, probablement hi hagi persones que tinguin un compte MySpace, un compte Dropbox i un compte Tumblr, però anem a arrodonir fins a mil milions de persones.
Aquests deu incompliments de la darrera dècada més o menys, ni tan sols una dècada, en la majoria dels casos, sumen aproximadament una setena part de la població mundial d’éssers humans, però de manera més realista, aproximadament el 50 per cent del nombre de persones està relacionada amb la Internet, més de mil milions d’individus. Es produeixen perquè en alguns casos no s’ha complert el compliment. En la majoria dels casos, es van fer controls d’accés a la base de dades, el control d’accés a conjunts de dades particulars i sistemes i xarxes. Es tracta d’una revisió de la por espantosa. Si no us espanta, mireu els deu primers i podreu veure que es tracta d’un o mil milions d’individus, éssers humans reals igual que nosaltres, en aquesta trucada ara mateix. Si teniu un compte de LinkedIn, si teníeu un compte Dropbox, o un compte Tumblr o si heu comprat de productes d'Adobe o fins i tot vau registrar la descàrrega gratuïta d'Adobe View. És completament probable, no és possible, és completament probable que els vostres detalls, el vostre nom, el cognom, la vostra adreça de correu electrònic, possiblement fins i tot l'adreça de la vostra empresa de treball, o la vostra adreça de casa o la targeta de crèdit, siguin realment a causa d'una infracció. que es van produir a causa dels controls que no necessàriament eren ben gestionats en forma de gestió de dades, govern de dades.
Mirem-ne quan la mirem amb detall. Hi ha una pantalla, hi ha aproximadament 50 coses. N’hi ha uns altres 15. N’hi ha uns altres 25. Es tracta d’incompliments de dades que es troben en un lloc web anomenat haveibeenpwned.com. Això és el que possiblement podria passar malament, si no es gestiona correctament una cosa senzilla com controlar qui ha tingut accés a dades de bases de dades en diferents camps i files i columnes i diferents aplicacions del vostre negoci. Aquestes organitzacions ara es basen en dades. La majoria de les dades viuen en una base de dades d'alguna forma. Quan hi penseu, la llista d’incompliments que acabem d’examinar i esperem que us doni una mica de dutxa freda en cert sentit, ja que pensàveu que “Hmm, això és molt real” i potser us ha impactat. El 2012, per exemple, la vulneració de LinkedIn, la majoria de professionals tenen un compte de LinkedIn en aquests dies i és probable que es perdin les dades. Han estat a Internet des del 2012. Només se’ns n’ha explicat el 2016. Què va passar amb la informació d’aquests quatre anys? Doncs és interessant i podem parlar d’això per separat.
Gestió de bases de dades i sistemes: sovint parlo del que considero els cinc principals reptes en la gestió d’aquestes coses. Al capdavall, estic molt bé i estic posant-ho en ordre de preferència de mi mateix, però també per ordre d’impacte, el número u és seguretat i compliment. Els controls i mecanismes i polítiques al voltant del control de qui té quin accés a quin sistema, per a quina raó i propòsit. Informar sobre això i fer-ne el seguiment, mirar els sistemes, mirar les bases de dades i veure qui pot accedir realment a registres, camps i registres individuals.
Penseu en això d’una forma molt senzilla. Parlem de gestió bancària i de riquesa com a exemple. Quan us registreu a un compte bancari, diguem només un compte d’efectiu normal per a una targeta EFTPOS, o un compte de caixa o un compte de xec. Empleneu un formulari i hi ha molta informació molt privada en el paper que empleneu o que el feu en línia i que tingui lloc en un sistema informàtic. Ara, si algú en màrqueting vol contactar amb vosaltres i enviar-vos un fulletó, haureu de veure el vostre nom i cognoms i la vostra adreça personal, per exemple i possiblement el vostre número de telèfon si volen trucar-vos en fred i li ven alguna cosa. Probablement no haurien de veure la quantitat total de diners que heu obtingut al banc per diverses raons. Si algú t’està mirant des d’un punt de vista de risc o intenta ajudar-te a fer alguna cosa com ara obtenir millors tipus d’interès al teu compte, aquesta persona particular probablement vulgui veure quants diners tens al banc, de manera que puguin oferiu els nivells adequats de rendibilitat dels vostres diners. Aquests dos individus tenen papers molt diferents i raons molt diferents per a aquests rols, i propòsits d'aquests rols. Com a resultat, cal que veieu informació diferent al vostre registre, però no tot el registre.
Aquests controls es mostren al voltant dels diferents informes de pantalles o formes habituals que tenen a les aplicacions que s’utilitzen per gestionar el vostre compte. El desenvolupament d’aquests, el manteniment d’aquests, l’administració d’aquells, l’informació al voltant d’aquests, i la governança i el compliment envoltat d’aquells com l’embolcall de bombolles, tots són un repte molt, molt gran. Aquest és només el repte número un en la gestió de sistemes i dades. Quan aprofundim aquesta pila en el rendiment i la supervisió, i la detecció i resposta d’incidències, la gestió i l’administració del sistema, i el compliment al seu voltant, el disseny i el desenvolupament dels sistemes des del compliment, és molt més difícil.
Gestionar tota la qüestió de reduir riscos i millorar la seguretat. Els meus cinc principals reptes d’aquest espai –i m’agraden les imatges que surten amb un taulell de duanes a l’hora d’entrar a un país– presenten el passaport i et fan un cop d’ull i miren el seu sistema informàtic per veure si hauràs de passar o no. Si no ho heu de fer, us posen al següent avió de tornada a casa. En cas contrari, et deixen entrar i et fan preguntes com: "Veniu de vacances? Vés aquí un turista? Vés a la feina? Quin tipus de treball veuràs? On vas a quedar-te?" "Quant temps necessiteu? Teniu diners suficients per cobrir les vostres despeses i despeses? O bé vareu un risc per al país on esteu i haurien de tenir cura i alimentar-vos?"
Hi ha alguns problemes al voltant d’aquest espai de dades, de gestió de la protecció de dades. Per exemple, a l’espai de base de dades, hem de pensar en mitigar els bypasss de base de dades. Si les dades es troben a la base de dades, en un entorn normal i al sistema hi ha controls i mecanismes. Què passa si es fa una descàrrega de dades en més SQL i es fa una còpia de seguretat a cinta? Les bases de dades es fan de forma bruta i, de vegades, es fan còpies de seguretat. De vegades es fa per motius tècnics, motius de desenvolupament. Diguem que es va agafar un dipòsit de DB i es recolza en cinta adhesiva. Què passa si puc posar les mans sobre aquesta cinta i restaurar-la? I tinc una còpia en brut de la base de dades en SQL. És un fitxer MP, és de text, puc llegir-lo. Totes les contrasenyes que s’emmagatzemen en aquest dipòsit no tenen control sobre mi perquè ara estic tenint accés al contingut real de la base de dades sense que el motor de la base de dades el protegeixi. Per tant, puc evitar tècnicament la seguretat de la plataforma de bases de dades que s’està construint al motor amb el compliment i la gestió de riscos per impedir que mire les dades. Com que pot ser que el desenvolupador, administrador del sistema, tinc les mans sobre una descàrrega completa de la base de dades que s’hauria d’utilitzar per a còpies de seguretat.
Un mal ús de les dades: pot ser que algú s’iniciï la sessió com a compte elevat i que em permeti seure a la pantalla, buscant informació o coses similars. Auditoria pròpia, de l’accés i l’ús de les dades, i visualització de les dades o canvis a les dades. A continuació, els informes al voltant d'aquest control i el compliment requerit. Supervisar el trànsit i l'accés, etcètera, bloquejar amenaces que provenen de ubicacions i servidors externs. Per exemple, si les dades es presenten a través d’un formulari d’una pàgina web d’internet, s’han protegit les seves injeccions SQL mitjançant tallafocs i controls de concepte? Hi ha una història llarga detallada que va al darrere. Aquí podeu veure que són algunes d’aquestes coses absolutament fonamentals que pensem per mitigar i gestionar el risc al voltant de les dades de les bases de dades. En realitat és relativament fàcil obtenir alguns d'aquests casos si es troba en diferents nivells de piles de tecnologies. El repte és cada cop més difícil a mesura que obteniu més i més dades i més bases de dades. Més i més desafiant amb les persones que han de gestionar els sistemes i supervisar-ne l’ús, fer un seguiment dels detalls rellevants que es refereixen específicament a coses de què va parlar Robin, al voltant de coses com el compliment personal. Les persones tenen controls i mecanismes al seu voltant que compleixen; si feu alguna cosa malament, podreu acomiadar-vos. Si tinc sessió quan el meu compte et permet veure-ho, hauria de ser una infracció que pot provocar-se. Ara us he donat accés a dades que no hauríeu d’haver vist normalment.
Hi ha conformitat personal, hi ha compliment corporatiu, les empreses tenen polítiques i regles i controls que s’han establert en elles mateixes per tal que l’empresa funcioni bé i proporcioni un rendiment de beneficis i un bon retorn als inversors i accionistes. Aleshores, hi ha sovint federals, nacionals o nacionals, com heu dit els controls i les lleis dels Estats Units. Després n’hi ha de globals. Alguns dels incidents més grans del món, com Sarbanes-Oxley, com a dos persones a les quals se'ls demana que trobin maneres de protegir dades i sistemes. Hi ha Basilea a Europa i hi ha tot un ventall de controls a Austràlia, sobretot al voltant de plataformes de borses i credencials, i després privadesa a nivell individual o d’empresa. Quan cadascun d’aquests s’amuntega com veieu en un dels llocs que tenia Robin, es converteixen en una muntanya gairebé impossible d’escalar. Els costos són elevats i estem en el punt en què l’enfocament tradicional que coneixeu, com els éssers humans que mesuren el control, ja no és un enfocament adequat perquè l’escala és massa gran.
Tenim un escenari en què el compliment és el que jo anomeno ara un problema permanent. I és que abans podríem tenir un moment, ja sigui mensualment o trimestralment o anualment, on revisaríem el nostre estat de la nació i contribuiríem al compliment i control. Assegurar-se que determinades persones tinguessin determinat accés i que no tinguessin un accés determinat segons quins eren els seus permisos Ara és un cas de la velocitat de les coses amb què es mouen, del ritme en què canvien les coses, de l'escala a la qual estem treballant. El compliment és una qüestió constant i la crisi financera mundial era només un exemple en què els controls pertinents i les mesures en matèria de seguretat i compliment podrien evitar un escenari en què tinguéssim un tren de mercaderies desbordat de determinats comportaments. Simplement crear una situació amb el món sencer, sabent que seria fallida i fallida. Per fer-ho, necessitem les eines adequades. Llançar els éssers humans al tren, llençar cossos ja no és un enfocament vàlid perquè l'escala és massa gran i les coses es mouen massa ràpidament. La discussió d’avui, crec que tindrem, tracta sobre els tipus d’eines a aplicar a això. En particular, les eines que ens poden proporcionar IDERA que haurien de fer-ho. I amb això en compte, vaig a lliurar-li a Bullett que passe pel seu material i ensenyarà el seu enfocament i les eines que tenen per resoldre aquest problema que us hem presentat ara.
Amb això, Bullett, us lliuraré.
Bullett Manale: Sona fantàstic, gràcies. Vull parlar d’unes quantes diapositives i també vull mostrar-vos un producte que utilitzem per a bases de dades de SQL Server específicament per ajudar a situacions de compliment. De veritat, el repte en molts casos (passo per alguns d’aquests), aquesta és la nostra cartera de productes, passaré per això amb prou feines. Pel que fa a on s’adreça realment aquest producte i com es relaciona amb el compliment, sempre m’apunto com la primera diapositiva perquè és un tipus genèric, “Hola, quina és la responsabilitat d’un DBA?” Una de les coses està controlant i controlant l’accés dels usuaris i també és capaç de generar informes. Això us relacionarà quan parleu amb el vostre auditor, com de difícil serà el procés que varia en funció de si ho fareu pel vostre compte o si feu servir un tercer. eina per ajudar.
En general, quan parlo amb administradors de bases de dades, moltes vegades mai han participat en una auditoria. Haureu d’educar-los en què és el que realment heu de fer. Relacionat amb el tipus de compliment que cal complir i poder demostrar que està seguint les regles en realitat, si s’aplica a aquest nivell de compliment. Molta gent no ho aconsegueix al principi. Ells pensen: "Oh, només puc comprar una eina que em faci complir". La realitat és que no és així. Desitjo poder dir que el nostre producte màgic, ja ho sabeu, fent clic al botó fàcil, us va proporcionar la possibilitat d’assegurar-vos que compliu. La realitat és que cal que el vostre entorn estigui configurat en termes de controls, quant a la manera com les persones accedeixen a les dades, que tot s’ha de treballar amb l’aplicació que teniu. Quan s’emmagatzemen aquestes dades sensibles, quin tipus d’exigència reguladora es tracta. Després, també haureu de treballar amb un oficial de compliment intern per poder assegurar-vos que seguiu totes les normes.
Això sembla molt complicat. Si observeu tots els requisits normatius, pensareu que seria així, però la realitat és que aquí hi ha un denominador comú. En el nostre cas amb l’eina que us mostraré avui, el producte de Compliance Manager, el procés que hi ha a la nostra situació seria que, primer i sobretot, ens hem d’assegurar que recopilem les dades de la pista d’auditoria relacionades. fins on es troben les dades a la base de dades sensibles. Podeu recollir-ho tot, oi? Podria sortir i dir que vull recollir totes les transaccions que es produeixen en aquesta base de dades. La realitat és que probablement només tingueu una petita fracció o un petit percentatge de transaccions relacionades realment amb les dades sensibles. Si compleix el PCI, es tracta de la informació de la targeta de crèdit, els propietaris de les targetes de crèdit i la informació personal. Hi pot haver un munt d’altres transaccions relacionades amb la vostra sol·licitud, que realment no afecten el requisit regulatori de PCI.
Des d’aquest punt de vista, el primer que parlo amb DBA és dir: “El repte número un no és intentar que una eina faci aquestes coses per a vosaltres. Només és saber on són aquestes dades sensibles i com es poden reduir aquestes dades? "Si teniu això, si podeu respondre a aquesta pregunta, aleshores esteu a mig camí de casa per demostrar que compliu, suposant que seguiu els controls adequats. Diguem per un segon que seguiu els controls adequats i heu dit als auditors que aquest és el cas. La següent part del procés és, òbviament, la possibilitat de proporcionar un rastre d'auditoria que demostri i validi aquells controls que realment funcionen. A continuació, seguiu amb això per assegurar-vos de desar les dades. Normalment, amb coses com ara el compliment de PCI i HIPAA, i aquest tipus de coses, parleu amb set anys de retenció. Estàs parlant de moltes transaccions i moltes dades.
Si manteniu, recopileu totes les transaccions, tot i que només el cinc per cent de les transaccions estan relacionades amb dades confidencials, esteu parlant d’un cost bastant important associat a l’haver d’emmagatzemar aquestes dades durant set anys. Crec que un dels majors reptes és pensar a dir que és a dir, això és un cost realment innecessari. També és molt més fàcil si només ens podem centrar granularment en les àrees sensibles de la base de dades. A més d'això, també voldreu controls al voltant d'alguna informació sensible. No només per mostrar en termes de traça d'auditoria, sinó per poder relacionar les coses amb accions que estan passant i poder-se notificar en temps real, de manera que pugueu donar-vos a conèixer.
L’exemple que sempre faig servir i pot ser que no estigui relacionat necessàriament amb cap tipus de requisit reglamentari, sinó que només podia fer un seguiment, per exemple, algú va deixar la taula associada a la nòmina. Si això passa, la manera de descobrir-ho, si no feu un seguiment, no se li pagarà ningú. És massa tard. Voleu saber quan es deixa caure aquesta taula, just quan es deixa caure, per evitar qualsevol cosa dolenta que passi com a conseqüència que algun empleat descontent passi i suprimeixi la taula que està directament relacionada amb les nòmines.
Dit això, el truc és trobar el denominador comú o utilitzar aquest denominador comú per associar quin és el nivell de compliment. Això és el que intentem fer amb aquesta eina. Bàsicament aprofitem el plantejament de: no us mostrarem un informe específic per a PCI, específic per a estocs; el denominador comú és que teniu una aplicació que utilitza SQL Server per emmagatzemar les dades sensibles a la base de dades. Una vegada que s’aconsegueixi superar, dius: "Sí, és realment el que més ens hem de centrar: on són aquestes dades sensibles i com s’hi accedeix?" Un cop ho tinguis, hi ha un munt d’informes que oferim que poden proporcionar aquesta prova, que ho faràs.
Tornant a les preguntes que fa un auditor, la primera pregunta serà: Qui té accés a les dades i com s’obté aquest accés? Podeu demostrar que les persones adequades estan accedint a les dades i que les persones equivocades no ho són? També podeu demostrar que la pista d'auditoria en si és una cosa que puc confiar com a font d'informació immutable? Si us faig un rastre d'auditoria que està fabricat, en realitat no em fa molt bé com a auditor realitzar una revisió de la vostra auditoria si la informació està elaborada. Necessitem proves d’això, normalment des d’una perspectiva d’auditoria.
Examinant aquestes preguntes, una mica més detallades. El repte de la primera pregunta és que, com he dit, heu de saber, on es troben aquestes dades sensibles per informar sobre qui accedeix a ella. Generalment és un tipus de descobriment i, realment, tens milers d’aplicacions diferents que hi ha fora, tens un munt de requisits normatius diferents. En la majoria dels casos, voleu treballar amb el vostre responsable de compliment si en teniu, o almenys, algú que tingui una visió addicional en relació amb les meves dades sensibles dins de l'aplicació. Tenim una eina que tenim, és una eina gratuïta, es diu SQL Column Search. Diguem als nostres clients potencials i usuaris que estiguin interessats en aquesta pregunta, que puguin baixar-la. El que farà és buscar bàsicament la informació de la base de dades que probablement sigui sensible a la natura.
I, una vegada que ho facis, també has d’entendre com les persones accedeixen a aquestes dades. I això serà, una vegada més, quins comptes són els grups dels Active Directory, quins usuaris de la base de dades estan implicats, hi ha un rol de membres associats. I, per descomptat, tingueu en compte que totes aquestes coses de què parlem han de ser aprovades per l’auditor, així que si dius: “Així és com anem bloquejant les dades”, els auditors poden venir retrocediu i digueu: “Bé, ho esteu fent malament”. Però diguem que diuen: “Sí, té un aspecte bo. Esteu cercant les dades prou ”.
Passant a la següent pregunta, que serà, podeu demostrar que les persones adequades accedeixen a aquestes dades? En altres paraules, podeu dir-los que són els vostres controls, es tracta dels controls que esteu seguint, però, malauradament, els auditors no són persones reals de confiança. Ells la desitgen i ho volen veure dins de la pista d'auditoria. I això es remunta a tota aquella cosa denominadora comuna. Tant si es tracta de PCI, SOX, HIPAA, GLBA, Basilea II, sigui la realitat, és que es plantejaran els mateixos tipus de preguntes. L’objecte amb la informació sensible, qui ha accedit a aquest objecte durant el darrer mes? Això hauria de relacionar-se amb els meus controls i, finalment, hauria de poder passar la meva auditoria mostrant aquest tipus d’informes.
De manera que el que hem fet és que hem recopilat uns 25 informes diferents que segueixen el mateix tipus d’àrees que el denominador comú. Així, doncs, no disposem d’un informe per PCI ni per a HIPAA ni per a SOX, tenim informes que, una vegada més, es posen en contacte amb aquest denominador comú. I, per tant, no importa quin és el requisit regulatori que intenteu complir, en la majoria dels casos podreu respondre a qualsevol pregunta que us presenti aquell auditor. I et diran qui, què, quan i on es fa cada transacció. Ja sabeu, l’usuari, el moment en què es va produir la transacció, la declaració SQL en si, l’aplicació de la qual provenia, totes aquestes coses bones, i també podreu automatitzar el lliurament d’aquesta informació als informes.
I, una vegada més, una vegada que supereu això i ho heu proporcionat a l’auditor, i la següent pregunta serà, demostreu-ho. I quan dic demostrar-ho, vull dir demostrar que la pista d’auditoria en si és una cosa que podem confiar. I de la manera de fer-ho a la nostra eina és que tenim valors de hash i valors de CRC que es relacionen directament amb els propis esdeveniments dins de la pista d’auditoria. Llavors, la idea és que si algú surt i elimina un registre o si algú surt i elimina o afegeix alguna cosa a la pista d'auditoria o canvia alguna cosa en la pista d'auditoria pròpia, podem demostrar que aquestes dades, la integritat de les dades en si, van ser violades. Així, el 99, 9% de les vegades si teniu bloquejada la nostra base de dades de pistes d'auditoria, no us trobareu amb aquest problema, perquè quan realitzem aquesta comprovació d'integritat estem essencialment demostrant a l'auditor que les dades en si no han estat modificat, suprimit o afegit des de l'escriptura original del servei de gestió.
De manera que es tracta d'una descripció general dels tipus de preguntes que es plantejaran. Ara, l’eina que hem d’afrontar molt d’això s’anomena SQL Compliance Manager i fa totes aquestes coses pel que fa al seguiment de les transaccions, qui, què, quan i on de les transaccions, podent fer-ho en un un nombre de zones diferents. Iniciar sessió, iniciar sessions fallades, canvis d’esquema, òbviament, accés a dades, activitat seleccionada, totes aquelles coses que estan passant dins del motor de bases de dades. I també podem alertar els usuaris de condicions específiques, molt granulars, si cal. Per exemple, algú surt i visualitza la taula que conté tots els meus números de targeta de crèdit. No canvien les dades, només ho estan mirant. En aquesta situació, puc alertar i puc fer saber a les persones que això està passant, no sis hores després quan escrivim els registres, sinó en temps real. És bàsicament el temps que triguem a processar aquesta transacció mitjançant un servei de gestió.
Com he esmentat abans, hem vist que s’utilitzen en diferents requisits normatius i no ho és realment, ja ho sabeu, qualsevol requisit regulador, una vegada més, sempre que els denominadors comuns, tingueu dades sensibles en un servidor SQL Aquesta és una eina que us ajudaria en aquest tipus de situacions. Als 25 informes integrats, la realitat és que podem fer aquesta eina bona per a l’auditor i respon a cada pregunta que ens faci, però els DBA són els que l’han de fer funcionar. Així doncs, també hi ha aquesta idea que, ja ho sabeu bé, des de la perspectiva de manteniment ens hem d’assegurar que l’SQL funciona de la manera que volem. També hem de ser capaços d’entrar i mirar les coses que podrem sortir i mirar altres dades, ja ho sabeu, quant a l’arxivatge de les dades, l’automatització d’aquella i la sobrecàrrega. propi del producte. Són coses que òbviament tenim en compte.
Cosa que presenta l'arquitectura en si. Així doncs, a la part dreta de la pantalla, tenim les instàncies de SQL que gestionem, des de l'any 2000 fins al 2014, preparant-nos per llançar una versió per al 2016. La major oportunitat per portar a la pantalla és que la gestió el servidor en si fa tots els elevats problemes. Acabem de recopilar les dades, utilitzant l'API de seguiment, integrada amb SQL Server. Aquesta informació es transforma en el nostre servidor de gestió. El propi servidor de gestió està identificant i si hi ha algun esdeveniment relacionat amb qualsevol tipus de transacció que no vulguem, enviant alertes i aquest tipus de coses i, a continuació, emplenem les dades dins d’un dipòsit. Des d'allà podrem executar informes, seríem capaços de sortir i veure realment aquesta informació als informes o fins i tot dins de la consola de l'aplicació.
Llavors, el que vaig a avançar i que faré és dur-los a terme, realment ràpidament, i només vull assenyalar una cosa ràpida abans de saltar al producte, ara mateix hi ha un enllaç al lloc web, o a la presentació, això us portarà a l’eina gratuïta que he esmentat anteriorment. Aquesta eina gratuïta és que, com he dit, sortirà a buscar una base de dades i intentarà trobar les àrees que semblen dades sensibles, números de seguretat social, números de targetes de crèdit, en funció dels noms de les columnes o de les taules, o basat en la forma en què es veu el format de les dades, i també podeu personalitzar-ho, per tal de remarcar-ho.
Ara, en el nostre cas, deixeu-me endavant i comparteixi la pantalla, doneu-me un segon aquí. Està bé, i així, el que volia portar a la primera és que vull portar a la pròpia aplicació de Compliance Manager i passaré per això amb prou feines. Aquesta és l’aplicació i podeu veure que tinc un parell de bases de dades aquí i només us mostraré el fàcil que és entrar i explicar-vos què busqueu auditar. Des del punt de vista dels canvis d’esquema, canvis de seguretat, activitats administratives, DML, Select, tenim totes aquestes opcions a la nostra disposició, també podem filtrar-ho. Això es remunta a la millor pràctica de poder dir, “realment només necessito aquesta taula perquè conté els meus números de targeta de crèdit. No necessito les altres taules que tinguin informació sobre el producte, totes aquelles altres coses que no estiguin en relació amb el nivell de compliment que intento complir. "
També tenim la capacitat de capturar dades i mostrar-les en termes dels valors dels camps que canvien. En moltes eines, tindreu alguna cosa que us permetrà capturar la instrucció SQL, mostrar a l'usuari, mostrar l'aplicació, hora i data, totes aquestes coses bones. Però, en alguns casos, la instrucció SQL no us donarà prou informació per poder-vos dir quin era el valor del camp abans que es produís el canvi i el valor del camp després que es produís el canvi. I en algunes situacions necessites això. Voldria fer un seguiment, per exemple, de la informació sobre la dosi que es fa dels metges per a medicaments amb recepta mèdica. Va passar de 50mg a 80mg a 120mg, seria capaç de fer un seguiment d’això amb l’abans i el després.
Les columnes sensibles és una altra cosa que utilitzem, per exemple, amb compliment de PCI. En aquest cas, teniu dades de naturalesa tan sensible que només si es mira aquesta informació, no he de canviar-la, eliminar-la ni afegir-la, puc causar danys irreparables. Els números de targeta de crèdit, els números de seguretat social, tot aquest tipus de coses bones podem identificar columnes sensibles i enllaçar alertes sobre aquesta. Si algú surti i miri aquesta informació, podríem, evidentment, alertar i enviar un correu electrònic o generar un parany SNMP i aquest tipus de coses.
En alguns casos, us trobareu amb una situació en què podríeu tenir una excepció. I què vull dir amb això, teniu una situació en què teniu un usuari que té un compte d’usuari que podria estar lligat a algun tipus de feina ETL que s’executa al mig de la nit. Es tracta d’un procés documentat i simplement no necessito incloure la informació transaccional d’aquest compte d’usuari. En aquest cas, tindríem un usuari de confiança. Aleshores, en altres situacions, utilitzaríem la funció d’Auditoria d’Usuaris Privil·liats, que és essencialment, si tinc, diguem per exemple, una aplicació i aquesta aplicació ja fa auditorietat, dels usuaris que passen per l’aplicació, és a dir. genial, ja tinc alguna cosa a referir quant a la meva auditoria. Però per a les coses relacionades amb, per exemple, els meus usuaris privilegiats, els nois que poden entrar a l'estudi de gestió de SQL Server per mirar les dades de la base de dades, això no ho permetran. I aquí és on podríem definir qui són els nostres usuaris privilegiats, ja sigui mitjançant membres de rol, o bé a través dels seus comptes, grups, dels seus comptes de Active Directory, on podrem escollir tots els diferents tipus d’opcions i i, a partir d’aquí, assegureu-vos que per a aquells usuaris privilegiats puguem especificar els tipus de transaccions que estem interessats en auditar.
Es tracta de tot tipus d’opcions diferents i no vaig a passar per tots els diferents tipus de coses en funció dels límits de temps aquí per a aquesta presentació. Però vull mostrar-vos com podem veure les dades i crec que us agradarà com funciona, perquè hi podem fer dues maneres. Puc fer-ho de manera interactiva i, per tant, quan parlem amb persones interessades en aquesta eina per tal de tenir els seus propis controls interns, només volen saber què passa en molts casos. No necessàriament tenen auditors al lloc. Només volen saber, "Hola, vull anar després d'aquesta taula i veure qui l'ha tocat la darrera setmana o el mes passat o qualsevol cosa que sigui". En aquest cas, podeu veure amb quina rapidesa podem fer-ho.
En el cas de la base de dades d’assistència mèdica, tinc una taula anomenada Registre de pacients. I aquesta taula, si només hagués d’agrupar per objecte, podria començar molt a estrenyir-nos allà on busquem. Potser vull agrupar per categoria i, potser, per esdeveniment. I quan ho faig, podeu veure la rapidesa amb què apareix, i hi ha la meva taula de registres de pacients. I mentre aprofito, ara podem veure l’activitat de DML, podem veure que hem tingut mil insercions de DML, i quan obrim una d’aquestes transaccions podem veure la informació rellevant. Qui, què, què, quan i on, de la transacció, sentència SQL, òbviament, l'aplicació real que s'utilitza per realitzar la transacció, el compte, l'hora i la data.
Ara si mireu la fitxa següent aquí, la pestanya Detalls, es remunta a la tercera pregunta de què parlem, demostrant que no s’ha incomplert la integritat de les dades. Així, bàsicament, en tots els esdeveniments, tenim un càlcul secret del nostre valor hash, i això tornarà a relacionar-nos quan fem la revisió de la integritat. Per exemple, si hagués de sortir a l’eina, entrar al menú d’auditoria i hauria de sortir i dir, anem a comprovar la integritat del dipòsit, podria apuntar-me a la base de dades on es troba el rastre d’auditoria. mitjançant un control d'integritat que coincideix amb els valors de hash i els valors CRC amb els esdeveniments reals, i ens dirà que no s'ha trobat cap problema. Dit d'una altra manera, les dades de la pista d'auditoria no s'han modificat ja que originalment han estat escrites pel servei de gestió. Es tracta, òbviament, d’una manera d’interactuar amb les dades. L’altra manera seria mitjançant els propis informes. I només us donaré un exemple ràpid d’informe.
I, un cop més, aquests informes, de la manera en què els vam trobar, no són específics per a cap tipus d’estàndard com PCI, HIPAA, SOX o res del mateix. Una vegada més, és el denominador comú del que estem fent i, en aquest cas, si tornem a l’exemple d’aquest registre de pacients, podríem sortir i dir, en el nostre cas aquí, busquem a la base de dades d’assistència mèdica i en el nostre cas volem centrar-nos específicament en la taula que coneixem que conté informació privada, en el nostre cas, relacionada amb els nostres pacients. Per tant, deixeu-me veure si puc escriure-ho aquí i anirem endavant i executarem aquest informe. I veurem, òbviament, a partir d’aquí totes les dades rellevants associades a aquest objecte. I en el nostre cas ens està mostrant durant un mes. Però podríem remuntar-nos sis mesos a l'any, per molt que haguem estat mantenint les dades.
Aquests són el tipus de maneres en què podríeu demostrar, si ho fareu, a l’auditor que seguiu els vostres controls. Un cop ho hàgiu identificat, òbviament això és bo pel que fa a passar la vostra auditoria i poder demostrar que esteu seguint els controls i tot funciona.
L’últim tema que he volgut demostrar és a la secció d’administració. També hi ha controls des del punt de vista d’aquesta eina mateixa per poder definir controls per poder assegurar-se que si algú està fent alguna cosa que no se suposa que ho faran, se’m pot fer conscient. I us en donaré un parell d’exemples. Tinc un compte d’inici de sessió vinculat a un servei i aquest servei necessita permisos elevats per fer el que fa. El que no vull és que algú entri i faci servir aquest compte a Management Studio i, ja ho sabeu, utilitzar per a coses que no estaven destinades. Aquí tindríem dos criteris que podríem aplicar. Podria dir: "Mira, estem realment interessats en treballar, per exemple, amb la nostra aplicació PeopleSoft", com a exemple, està bé?
Ara que he fet això, el que us dic aquí és que tinc curiositat per conèixer els inicis de sessió vinculats al compte que estic preparat per especificar si l’aplicació que s’utilitza per iniciar la sessió amb aquest compte no és PeopleSoft, aleshores això serà un augment de l'alarma. I òbviament, hem d’especificar el propi nom del compte, així que en el nostre cas anem a anomenar aquest compte Privat, ja que és privilegiat. Ara, un cop fet això, ara podríem especificar què voldríem passar quan es produís això i per a cada tipus d'esdeveniment o, hauríem de dir, alerta, que es pot tenir una notificació separada a la persona responsable de les dades concretes.
Per exemple, si es tracta d'informació salarial pot anar al meu director de recursos humans. En aquest cas, quan tracteu l’aplicació PeopleSoft, serà l’administrador d’aquesta aplicació. Sigui quin sigui el cas. Podria posar la meva adreça de correu electrònic, personalitzar el missatge d'alerta real i tot aquest tipus de coses bones. Una vegada més, això torna a poder assegurar-se que pot demostrar que segueix els vostres controls i que aquests controls funcionen de la manera que estan pensats. Des de la darrera perspectiva aquí, només pel que fa al manteniment, podem tenir aquestes dades i posar-les fora de línia. Puc arxivar les dades i puc programar-les i seríem capaços de fer aquestes coses amb molta facilitat en el sentit que realment podríeu, com a DBA, utilitzar aquesta eina, configurar-la i una mena de camineu-hi. No hi ha molta mà de la mà que es realitzarà un cop s'hagi configurat com hauria de ser. Com he dit, la part més difícil sobre tot això, crec, no és configurar el que voleu auditar, sinó saber què voleu configurar per auditar.
I com he dit, la naturalesa de la bèstia amb auditories, heu de conservar les dades durant set anys, de manera que només té sentit centrar-se en aquelles zones sensibles a la naturalesa. Però, si voleu aprofundir en la recollida de tot, ho podeu fer, simplement no es considera la millor pràctica. Des d'aquest punt de vista, només voldria recordar a les persones que, si és alguna cosa que és d'interès, podeu anar al lloc web a IDERA.com i descarregar-ne una prova i jugar-hi. En termes de l’eina gratuïta de la qual vam parlar anteriorment, bé, és gratuïta, podeu baixar-la i utilitzar-la per sempre, independentment de si feu servir el producte Compliance Manager. I el més interessant d’aquesta eina de cerca de les columnes és que els resultats que us presenten, i realment puc demostrar que, crec, és que podreu exportar aquestes dades i podreu importar-les a Gestor de compliment. també. No ho veig, sé que és aquí, hi és Això només és un exemple. Aquí és on es troben les dades sensibles relacionades.
Ara he sortit aquest cas i, realment, tinc una ullada a tot, però teniu un munt de coses que podem consultar. Números de targeta de crèdit, adreces, noms, tot aquest tipus de coses. I identificarem on es troba a la base de dades i, a partir d’aquí, podreu prendre la decisió de si voleu o no auditar aquesta informació. Però, sens dubte, és una manera que us sigui molt més fàcil definir el vostre abast d’auditoria quan busqueu una eina com aquesta.
Només passaré endavant i tancaré amb això, i seguiré endavant i passaré de nou a Eric.
Eric Kavanagh: És una presentació fantàstica. M'encanta la forma en què realment s'introdueixen en els detalls acarnissats i ens demostra què passa. Com que al final del dia, hi ha algun sistema que accedirà a alguns registres, això us donarà un informe, això us portarà a explicar la vostra història, ja sigui a un regulador, a un auditor o a algú del vostre equip., així que és bo que saps que estàs preparat si i quan, o com i quan, aquesta persona arriba a colpejar, i és clar, aquesta és la desagradable situació que intentes evitar. Però si passa, i probablement passarà aquests dies, voleu estar segur que teniu el punt I i el que teniu creuat.
Hi ha una bona pregunta d’un membre de l’audiència que vull llançar a tu potser primer, Bullett, i si potser un presentador vol comentar-ho, no dubteu. I, potser, Dez pot fer una pregunta i Robin. La pregunta és, doncs, és just dir que per fer totes aquelles coses que heu esmentat cal iniciar un esforç de classificació de dades a un nivell elemental? Heu de conèixer les vostres dades quan es presenten com un recurs potencial valuós i fer alguna cosa al respecte. Crec que hi estaria d’acord, Bullett, oi?
Bullett Manale: Sí, absolutament. Vull dir, heu de conèixer les vostres dades. I me n’adono, reconec que hi ha moltes aplicacions que hi ha i que hi ha moltes coses diferents que tenen parts mòbils a la vostra organització. L’eina de cerca de columnes és de gran ajuda pel que fa a un pas a la direcció d’entendre millor aquestes dades. Però sí, és molt important. Vull dir, que teniu l’opció d’enfocar l’aproximació de firehose i auditar-ho tot, però és molt més desafiant d’aquesta manera logística quan parleu d’haver d’emmagatzemar aquestes dades i informar-vos d’aquestes dades. Aleshores, encara necessiteu saber on es troba aquesta informació perquè, quan executeu els vostres informes, també haureu de mostrar aquesta informació als vostres auditors. Així que crec que, com he dit, el major repte quan parlo amb els administradors de bases de dades és saber-ho, sí.
Eric Kavanagh: Sí, però potser Robin ens ho portarem amb rapidesa. Em sembla aquí la norma 80/20, no? Probablement no trobareu tots els sistemes de registre que tinguin importància si esteu en alguna organització de mida mitjana o gran, però si us hi concentreu, com suggeria Bullett, aquí, per exemple, PeopleSoft o altres sistemes de registre que siguin. predominant a l’empresa, és allà on us concentreu el 80 per cent del vostre esforç i el 20 per cent dels altres sistemes que hi hagi en algun lloc, oi?
Robin Bloor: Estic segur, sí. Vull dir, ja ho sabeu, crec que el problema d’aquesta tecnologia i crec que probablement val la pena fer-ne un comentari, però el problema d’aquesta tecnologia és, com s’implementa? Vull dir, sens dubte hi ha una manca de coneixement, diguem-ne, en la majoria de les organitzacions, fins i tot el nombre de bases de dades que hi ha. Ja sabeu, hi ha molta falta d'inventari, diguem-ne. Ja sabeu, la pregunta és: imaginem que comencem en una situació en què no hi ha un compliment especialment gestionat, com s’adopta aquesta tecnologia i s’injecta en l’entorn, no només en la tecnologia, ja ho sabeu? termes, configuració de coses, però com qui ho gestiona, qui determina què? Com començar a calçar això en una cosa genuïna, que fa la feina?
Bullett Manale: Bé, vull dir que és una bona pregunta. El repte en molts casos és que, vull dir, haureu de començar a fer les preguntes just al principi. He topat amb moltes empreses en què, ja ho sabeu, potser són una empresa privada i es van adquirir, hi ha un topall inicial, un tipus de primer tipus, si voleu anomenar-ho. Per exemple, si ara mateix m’he convertit en una empresa cotitzada en borsa a causa de l’adquisició, hauré de tornar enrere i probablement trobaré algunes coses.
I en alguns casos parlem amb organitzacions que, ja ho sabeu, tot i que són privades segueixen les normes de conformitat SOX, simplement perquè en cas que vulguin adquirir-se, saben que hauran de complir-les. Sens dubte, no voleu aprofundir només en "Ara no necessito preocupar-me per això". Qualsevol tipus de compliment normatiu com PCI o SOX o qualsevol altra cosa, voleu invertir en fer la investigació o comprensió d’on es troba aquesta informació sensible, d’altra manera és possible que s’estigui trobant amb algunes multes importants i importants. I és molt millor només invertir aquest temps, ja sabeu, trobar aquestes dades i poder informar en contra i demostrar que els controls funcionen.
Sí, pel que fa a configurar-lo, com he dit, el primer que recomanaria a persones que es preparen per afrontar una auditoria, és simplement sortir i fer un examen cursiu de la base de dades i esbrinar-ho. conèixer, en els seus millors esforços, intentant esbrinar on es troben aquestes dades sensibles. I l’altre enfocament seria començar amb una xarxa neta potser més gran quant a l’abast de l’auditoria i, a continuació, reduir-vos lentament un cop endavant, un cop més, comprendre on es troben aquelles àrees del sistema relacionades amb la informació sensible. Però voldria que us pogués dir que hi ha una resposta fàcil a aquesta pregunta. Probablement variarà bastant d’una organització a l’altra i el tipus de compliment i realment com, ja sabeu, quina estructura tenen dins de les seves aplicacions i quantes tenen, diverses aplicacions que tenen, algunes poden ser aplicacions escrites personalitzades., de manera que realment dependrà de la situació en molts casos.
Eric Kavanagh: Endavant, Dez, estic segur que tens una o dues preguntes.
Dez Blanchfield: Sóc desitjós d’explorar les vostres observacions sobre l’impacte sobre les organitzacions des del punt de vista de les persones. Crec que un dels àmbits en què veig el valor més gran d’aquesta solució particular és que quan la gent es desperta al matí i va a treballar a diversos nivells de l’organització, es desperta amb una sèrie de responsabilitats o una cadena de responsabilitat. que han de fer front. I tinc ganes de conèixer una mica el que veieu fora i sense els tipus d’eines de què parleu. I el context de què parlo aquí va des del president del nivell del consell fins al conseller delegat i CIO i la suite C. I ara tenim caps de risc, que estan pensant més en els tipus de coses que parlem aquí en compliment i govern, i ara tenim nous caps de joc, director de dades, qui ho saps?, encara més preocupat per això.
I al costat de cadascun d’ells, al voltant del CIO, tenim a banda els responsables d’informàtica amb, com ja ho sabeu, conductors tècnics i, després, derivats de bases de dades. I a l'espai operatiu, tenim els gestors i els desenvolupadors de desenvolupament i, a continuació, els desenvolupaments individuals, i també es troben en la capa d'administració de bases de dades. Què estàs veient al voltant de la reacció de cadascuna d’aquestes diferents parts del negoci davant el repte del compliment i l’informació normativa i el seu enfocament al mateix? Estàs veient que la gent arriba amb fervor i en pot veure l’avantatge, o veus que de mala gana arrossega els peus a aquesta cosa i, simplement, ho saps fer, per fer-ho amb una gifra a la caixa? I quins tipus de respostes veieu quan veieu el vostre programari?
Bullett Manale: Sí, aquesta és una bona pregunta. Diria que aquest producte, les vendes d’aquest producte, són majoritàriament impulsades per algú que està al seient calent, si té sentit. En la majoria dels casos, aquest és l’ABD i, des de la nostra perspectiva, és a dir, saben que hi ha una auditoria i seran els responsables, perquè són els DBA, per poder proporcionar la informació que l’auditor pregunta. Poden fer-ho escrivint els seus propis informes i creant els seus propis rastres personalitzats i tot aquest tipus de coses. La realitat és que no volen fer-ho. En la majoria dels casos, els DBA no tenen moltes ganes de començar aquestes converses amb l’auditor. Ja ho sabeu, preferiria dir-vos que podem fer una trucada a una empresa i dir-li: "Heu que aquesta és una excel·lent eina i us encantarà", i els mostreu totes les funcions i la compraran.
La realitat és que normalment no es miraran aquesta eina a menys que realment s'hauran de fer front a una auditoria o a l'altre costat d'aquesta moneda, ja que han tingut una auditoria i l'han fallat miserablement i ara ho són se'ls demana que obtinguin ajuda o que seran multats. Diria que, en general, en general, quan mostres aquest producte a la gent, definitivament hi veuen el valor, ja que els estalvia un munt de temps quant a haver de saber què volen denunciar., aquest tipus de coses. Tots aquests informes ja estan integrats, els mecanismes d’alerta estan en marxa i, després, amb la tercera qüestió també és, en molts casos, un repte. Com que puc mostrar-vos informes durant tot el dia, a menys que em pugueu demostrar, aquests informes són vàlids, ja ho sabeu, és una proposta molt més dura per a mi com a DBA poder mostrar-ho. Però hem elaborat la tecnologia i la tècnica de malbaratament i tot aquest tipus de coses per ajudar a assegurar-se que es conserven les dades en la seva integritat de les pistes d’auditoria.
De manera que aquestes són les coses que, aquestes són les meves observacions quant a la majoria de la gent amb qui parlem. Ja sabeu, definitivament hi ha, en diferents organitzacions, ja sabreu, en sabreu, com a Target, per exemple, va haver de trencar les dades i, ja ho sabeu, vull dir, quan altres organitzacions senten les multes i aquestes El tipus de coses que la gent comença, aixeca la cella i, per tant, espero que respongui a la pregunta.
Dez Blanchfield: Sí, definitivament. Puc imaginar alguns DBA quan finalment veuen què es pot fer amb l’eina només s’adonen que també han tornat les nits tardes i els caps de setmana. Reduccions de temps i costos i altres coses que estic veient quan s’apliquen les eines adequades a tot aquest problema, i és que tres setmanes vaig estar amb un banc aquí a Austràlia. Són un banc global, els tres primers bancs, són massius. I tenien un projecte on havien d’informar sobre el compliment de la gestió de la riquesa i en especial el risc, i estaven buscant un treball de 60 setmanes per a un parell de cent éssers humans. I quan se’ls va mostrar l’agrada d’una eina com tu mateix que només podia automatitzar el procés, aquest sentit, la mirada a les seves cares quan es van adonar que no havien de passar X nombre de setmanes amb centenars de persones fent un procés manual era com si haguessin trobat Déu. Però el desafiant llavors era com posar-ho en pràctica, com ja va indicar el doctor Robin Bloor, ja ho sabeu, això és una cosa que es converteix en una barreja de canvi cultural i comportamental. En els nivells que tracteu, que tracten això directament a nivell d’aplicació, quin tipus de canvi veieu quan comencen a adoptar una eina per fer el tipus d’informació, auditoria i controls que podeu oferir, com oposat al que podrien haver fet manualment? Com és això quan es posen en pràctica?
Bullett Manale: T’està preguntant, quina és la diferència en termes de manejar manualment versus aquesta eina? Aquesta és la pregunta?
Dez Blanchfield: Bé, concretament l'impacte del negoci. Així, per exemple, si estem tractant de complir el compliment d’un procés manual, ja ho sabeu, sempre necessitem molta estona amb molts éssers humans. Però suposo que, per plantejar algun context al voltant de la pregunta, com ja sabeu, estem parlant d’una sola persona que gestiona aquesta eina en substitució de potencialment a 50 persones i que pugui fer el mateix en temps real o en hores enfront de mesos? És això, què és això, en general?
Bullett Manale: Bé, vull dir que es tracta de dues coses. Una és tenir la capacitat de respondre aquestes preguntes. Algunes d’aquestes coses no es faran gaire fàcilment. Així, sí, el temps que triguem a fer les coses a casa, a escriure els informes pel teu compte, a configurar les traces o els esdeveniments ampliats per reunir les dades de forma manual, pot trigar molt temps. Realment, us en donaré algunes, vull dir, això no es relaciona realment amb les bases de dades en general, però, com després que Enron passés i que SOX arribés a prevaler, vaig estar a una de les grans empreses petrolieres de Houston i vam comptar per, Crec que el 25 per cent dels costos empresarials estaven relacionats amb el compliment del SOX.
Ara va ser just després, i aquest va ser el primer pas inicial de SOX, però amb això, diria, ja sabeu, obté molts avantatges en fer servir aquesta eina en el sentit que no requereix gaire de gent per fer-ho i de molta gent diferent per fer-ho. I com he dit, el DBA no sol ser el tipus que té moltes ganes de mantenir aquestes converses amb els auditors. Així, en molts casos, veurem que el DBA pot descarregar-ho i poder proporcionar l’informe interconectat amb l’auditor i que es poden eliminar completament de l’equació en lloc d’haver-hi de participar. Així que, ja sabeu, és un estalvi enorme en termes de recursos quan podeu fer-ho.
Dez Blanchfield: Parles de reduccions massives de costos, oi? Les organitzacions no només eliminen el risc i la sobrecàrrega, sinó que, bàsicament, parlo d’una reducció significativa del cost, A) operativament i també B) del fet que, ja sabeu, si realment poden proporcionar-se reals. Informe de compliment de temps que indica que hi ha un risc reduït significativament d’una infracció de dades o alguna multa legal o d’impacte per no complir, oi?
Bullett Manale: Sí, absolutament. Vull dir, per no ser conforme hi ha tot tipus de coses dolentes. Poden utilitzar aquesta eina i seria fantàstic o no, i esbrinaran el mal que és realment. Així, sí, no és només l'eina, òbviament, podeu fer les comprovacions i tot això sense una eina com aquesta. Com he dit, només costarà molt més temps i cost.
Dez Blanchfield: És genial. Eric, doncs, us passaré de nou perquè penso que per emportar-me és que, ja ho sabeu, el tipus de mercat és fantàstic. Però també, fonamentalment, el seu pes en or mereix la cosa que és capaç d’evitar l’impacte comercial d’un tema o de poder reduir el temps que triga a informar i gestionar el compliment només fa que, ja ho sabeu, el Eina es paga per si mateixa immediatament pels sons de les coses.
Eric Kavanagh: És exactament. Bé, moltes gràcies pel vostre temps avui, Bullett. Gràcies a tots els que heu estat pel vostre temps i atenció, i a Robin i Dez. Una altra gran presentació avui. Gràcies als nostres amics d’IDERA per deixar-nos portar aquest contingut de forma gratuïta. Arxivarem aquest webcast per a la seva posterior visualització. L'arxiu sol estar al cap d'un dia. Fes-nos saber què en penses del nostre nou lloc web, insideanalysis.com. Un disseny completament nou, un aspecte completament nou. Ens encantaria escoltar els vostres comentaris i, amb això, us acomiadaré, amics. Pots enviar-me per correu electrònic. En cas contrari, us posarem al dia de la setmana que ve. Tenim set transmissions web en les properes cinc setmanes o alguna cosa així. Anirem ocupats. I estarem a la Strata Conference i la IBM Analyst Summit a Nova York a finals d’aquest mes. Així que si esteu per allà, pareu-vos i salu. Cuida't, gent. Adeu.
