Emportar: L’amfitrió Eric Kavanagh discuteix l’auditoria de bases de dades i el compliment dels analistes Robin Bloor i Dez Blanchfield, així com Bullett Manale d’IDERA en aquest episodi de Hot Technologies.
Actualment no teniu la sessió iniciada. Inicieu la sessió o registreu-vos per veure el vídeo.
Eric Kavanagh: Senyores i senyors, hola i benvinguts, un cop més, a Hot Technologies! Sí, efectivament, del 2016. Vam ser l'any tres d'aquest espectacle, coses molt emocionants. Aquest any hem estat balancejant i rodant. Es tracta d’Eric Kavanagh, el vostre amfitrió. El tema d’avui, aquest és un tema fantàstic, té moltes aplicacions a diverses indústries, amb tota franquesa, "Qui, Què, On i Com: Per què Voleu Saber". Sí, efectivament, anava a parlar de totes les coses tan divertides. Hi ha una diapositiva sobre la vostra, realment, colpeja'm a @eric_kavanagh. Intento tornar a tuitejar totes les mencions i re-tuitejar qualsevol cosa que algú em faci. Altrament, així sigui.
Fa calor, sí, de veritat! Tot l'espectacle aquí està dissenyat per ajudar les organitzacions i els individus a comprendre determinats tipus de tecnologia. Aquí hem dissenyat tot el programa, Hot Technologies, com una forma de definir un tipus de programari concret, o una tendència particular, o un tipus de tecnologia particular. La raó és que francament, en el món del programari, sovint obtindreu aquests termes de màrqueting que s’enganxen i de vegades poden bastarditzar francament els conceptes que pretenien descriure.
En aquest espectacle, realment estem intentant ajudar-vos a comprendre què és un tipus de tecnologia en concret, com funciona, quan podeu utilitzar-la, quan potser no l'heu d'utilitzar i us oferirem tants detalls com podem. Tenim avui tres presentadors: el nostre propi Robin Bloor, analista en cap del grup Bloor; el nostre científic de dades que va trucar des de Sydney, Austràlia a l’altra banda del planeta, Dez Blanchfield, i un dels nostres convidats preferits Bullett Manale, director d’enginyeria de vendes d’IDERA.
Simplement diré un parell de coses aquí, entenent qui fa què amb aquesta dada, així és una mena de govern, no? Si teniu en compte totes les regulacions de les indústries, com ara la salut i els serveis financers, en aquests dominis, és molt important. Heu de saber qui va tocar la informació, qui va canviar alguna cosa, qui va accedir a ella, qui la va penjar, per exemple. Quin és el llinatge, quina és la providència d’aquestes dades? Podeu estar segurs que tots aquests problemes continuaran destacats en els propers anys per tot tipus de motius. No només pel compliment, tot i que HIPAA, i Sarbanes-Oxley i Dodd-Frank, i totes aquestes regulacions són molt significatives, sinó que només ho enteneu en el vostre negoci quan feu què, on, quan, per què i com. Això és bo, vaig a estar atent.
Endavant, traieu-lo, Robin Bloor.
Robin Bloor: Està bé, gràcies per aquesta introducció, Eric. Crec que aquest àmbit de governança és que, segons la definició, el govern en informàtica no va ser una paraula que vau escoltar fins a poc després de l'any 2000. Es va tractar principalment perquè, de tota manera, crec que es va produir principalment perquè hi havia una legislació sobre compliment. Particularment HIPAA i Sarbanes-Oxley. De fet, hi ha molta cosa. Per tant, les organitzacions es van adonar que havien de tenir un conjunt de regles i un conjunt de procediments perquè era necessari que la llei ho fes. Molt abans d’això, particularment en el sector bancari, hi havia diverses iniciatives que havíeu d’obeir en funció del tipus de banc que sou, i particularment dels banquers internacionals. La totalitat del compliment de Basilea va començar una forma molt anterior a aquest conjunt d'iniciatives posteriors a l'any 2000. Tot plegat recau sobre el govern. Vaig pensar que parlaria sobre el tema de la governança com a introducció del focus de vetllar per obtenir les dades.
Governança de dades, solia mirar al voltant, crec que fa uns cinc o sis anys, buscar definicions i no estava ben definit. Es fa més clar i més clar pel que significa realment. La realitat de la situació era que dins d’uns límits determinats, totes les dades es regien en realitat abans, però no hi havia normes formals per a això.Hi havia unes regles especials que es van fer particularment a la indústria bancària per fer coses així, però una altra vegada es tractava més del compliment. D’una manera o altra demostrava que realment éreu un - el tipus d’associat amb el risc, de manera que es demostrava que era un banc viable.
Si ens fixem en el repte de govern ara, comença amb un fet del moviment de grans dades. Tenim un nombre creixent de fonts de dades. El volum de dades és, sens dubte, un problema. En particular, vam començar a fer molt, molt més, amb dades no estructurades. Va començar a convertir-se en quelcom que forma part del conjunt del joc d’analítica. I a causa de les analítiques, la procedència de les dades i els llinatges són importants. Realment, des del punt de vista d’utilitzar les analítiques de dades de qualsevol manera relacionades amb qualsevol tipus de compliment, realment heu de tenir coneixement d’on provenien les dades i com va arribar a ser com és.
El xifrat de dades va començar a convertir-se en un problema, es va convertir en un problema més gran tan aviat com vam anar a Hadoop perquè la idea d’un llac de dades en el qual emmagatzemem moltes dades, de sobte significa que tens una àrea enorme de vulnerabilitat de les persones que poden obtenir-se. a aquesta cosa. El xifrat de dades es va fer molt més important. L’autenticació sempre era un problema. A l’entorn més antic, estrictament mainframe, disposaven d’una protecció per a la seguretat perimetral tan meravellosa; l’autenticació no va ser mai un gran problema. Més endavant es va convertir en un número més gran i el seu tema, ja que hem tingut entorns tan distribuïts. El control de l'accés a les dades es va convertir en un problema. Sembla recordar diverses eines que van existir fa uns deu anys. Crec que la majoria van ser impulsades per iniciatives de compliment. Per tant, també hem obtingut totes les normes de compliment, els informes de compliment.
El que em ve al cap és que fins i tot a la dècada de 1990, quan feies assajos clínics a la indústria farmacèutica, no només hauríeu de ser capaços de demostrar d’on provenien les dades, òbviament és molt important, si s’està provant una fàrmacs en diversos cons, per saber amb qui s’està provant i quines són les dades simultànies que hi ha al seu voltant - hauríeu de poder proporcionar una auditoria del programari que realment va crear les dades. És el compliment més sever que he vist mai des de qualsevol lloc, en termes de demostrar que no estàs fent malucions deliberadament o accidentalment. En els últims temps, en particular la gestió del cicle de vida de les dades s'ha convertit en un problema. Tot això és en certa manera reptes perquè moltes d’aquestes no s’han fet bé. En moltes circumstàncies és necessari fer-les.
És el que jo anomeno piràmide de dades. He parlat amb això abans. Em sembla una manera molt interessant de mirar les coses. Podeu pensar que les dades tenen capes. Les dades en brut, si voleu, són realment només senyals o mesuraments, enregistraments, esdeveniments i registres únics. Possiblement les transaccions, els càlculs i les agregacions, naturalment, creïn dades noves. Es poden pensar al nivell de dades. Per sobre de tot això, un cop connecteu les dades junts, es convertirà en informació. Es torna més útil, però per descomptat, es torna més vulnerable a les persones que l’agafen o l’abusen. Ho defineixo com a creat, realment, mitjançant l'estructuració de dades, podent visualitzar les dades amb glossaris, esquemes, ontologies sobre la informació. Aquestes dues capes inferiors són el que processem d’una manera o altra. Per damunt d’això, anomeno la capa de coneixement consistent en regles, polítiques, directrius, procediment. Alguns dels quals realment poden ser creats amb idees descobertes en els analítics. Moltes són en realitat polítiques que heu de complir. Aquesta és la capa, de govern, si voleu. Aquí és si, d’una manera o altra, si aquesta capa no s’aborda correctament, les dues capes de sota no s’estan gestionant. El darrer punt sobre això és comprendre en alguna cosa que resideix només en éssers humans. Els ordinadors encara no ho han aconseguit, per sort. En cas contrari, estaria sense feina.
L’imperi de governança: he combinat una mica, crec que devia ser fa uns nou mesos, possiblement molt abans. Bàsicament, ho vaig millorar, tan aviat com vam començar a preocupar-nos per la governança, hi havia, en termes del centre de dades corporatiu, no només hi havia un dipòsit de dades, recursos de llac de dades, sinó també servidors generals de diversos tipus, servidors de dades especialitzats. Calia regir-ho tot. Quan realment heu examinat també la diversa dimensió: seguretat de dades, neteja de dades, descobriment de metadades i gestió de metadades, creeu un glossari empresarial, mapeig de dades, llinatge de dades, gestió de cicles de dades: aleshores, gestió de seguiment de rendiment, gestió de nivell de servei , la gestió del sistema, que en realitat no podreu associar amb la governança, però una certa, ara que anàvem a un món més ràpid i més ràpid amb cada vegada més fluxos de dades, en realitat poder fer alguna cosa amb una determinada actuació és en realitat una necessitat i comença a convertir-se en una regla de funcionament en lloc de qualsevol altra cosa.
Resumint en termes del creixement del compliment, vaig observar que això passava durant molts anys, però la protecció general de dades va arribar a la dècada de 1990 a Europa. S’aconsegueix més i més sofisticat des d’aleshores. Aleshores, tot això va començar a introduir-se o a ser més sofisticat. El GRC, que és el risc i el compliment de la governança, ha continuat des de que els bancs van fer Basilea. La ISO ha estat creant estàndards de diverses operacions. Sé que durant tot el temps que he estat a la TI - ha estat molt de temps - el govern dels Estats Units ha estat especialment actiu en la creació de diverses legislacions: SOX, theres Gramm-Leach-Bliley, HIPAA, FISMA, FERPA. També heu aconseguit una meravellosa organització NIST que crea molts estàndards, especialment els de seguretat, molt útils. Les lleis de protecció de dades a Europa varien localment. El que podeu fer amb les dades personals a Alemanya, per exemple, és diferent del que podeu fer a la República eslovaca, o a Eslovènia o a qualsevol lloc. Han introduït recentment –i creia que esmentar això perquè em resulta divertit–, Europa està introduint la idea del dret a ser oblidat. És a dir, hi hauria d’haver un estatut de limitacions a les dades públiques que, de fet, són dades personals. Crec que és divertit. Des d'un punt de vista informàtic, serà molt difícil si es comença a convertir en una legislació efectiva. En resum, digo el següent: Com que les dades i la gestió de les TI evolucionen ràpidament, la governança també ha d'evolucionar ràpidament i s'aplica a totes les àrees de govern.
Dit això, vaig passar la pilota a Dez.
Eric Kavanagh: Sí, efectivament, per tant, Dez Blanchfield. Robin, estic amb tu, home, moriré en veure com es juga aquest dret a l'oblit. Crec que no serà només un repte, però bàsicament impossible. Les agències governamentals només suposen una violació d’esperar per part de les agències governamentals. Dez, traieu-lo.
Dez Blanchfield: De fet, és un tema per a una altra discussió. Tenim un repte molt semblant a Àsia i el Pacífic, i en particular a Austràlia, on es requereix que els operadors i els proveïdors d’intercanvi registrin tot allò relacionat amb Internet i puguin registrar-lo i regurgitar-lo en cas que algú d’interès faci alguna cosa malament. És una llei i cal complir-la. El repte, de la mateixa manera que algú de Google als Estats Units podria dir-li que esborri el meu historial de cerques o qualsevol altra cosa, pot ser que compleixi la legislació europea, especialment la llei alemanya de privadesa. A Austràlia, si una agència vol examinar-te, un transportista ha de poder proporcionar detalls de les trucades i de l’historial de cerques realitzades, que és un repte, però és el món en què vivim. Hi ha un munt de raons per això. Permetin-me simplement saltar a la meva.
Deliberadament vaig fer que la meva pàgina de títol sigui difícil de llegir. Has de mirar realment això. Compliment, conforme a un conjunt de regles, especificacions, controls, polítiques, estàndards o lleis, amb un rerefons absurd i desordenat. Això és perquè heu de mirar realment els detalls i extreure informació del que es superposava, que és una sèrie de taules i files i columnes, ja sigui una base de dades, un esquema o una maqueta a Visio. Això és el que se sent com el dia a dia. És bastant difícil aprofundir en els detalls i treure les dades d'informació que necessiteu per poder confirmar la conformitat. Informeu-ne, monitoritzeu-lo i proveu-lo.
De fet, he pensat una manera molt bona de visualitzar-ho quan ens fem la pregunta: "Et comples?" "Estàs segur?" "Bé, demostra-ho!" Hi ha una cosa realment divertida, que potser és una mica més anglo-cèltica, però estic segur que va fer el seu camí a tot el món als Estats Units, de manera que és: "Wheres Wally?" Wally és un personatge petit que entra en aquests dibuixos de dibuixos animats en forma de llibres. Normalment imatges a gran escala de A3 o més grans. Així doncs, dibuixos a mida de taula. Té un personatge que porta un vestit i una samarreta de ratlles blanques de color vermell. La idea del joc és que mireu aquesta imatge i mireu els cercles en cercles per intentar trobar Wally. D’aquesta imatge hi ha en algun lloc. Quan penses en com descobrir i descriure i informar sobre el compliment, en molts aspectes és com jugar a "Wheres Wally". Si mires aquesta imatge, és gairebé impossible trobar el personatge. Els nens dediquen hores a això i ahir em vaig divertir molt fent-ho jo. Quan la mirem, trobem un munt de persones en aquests dibuixos animats, col·locats deliberadament amb peces similars del vestit de Wally d’una beanie i un jersei a ratlles o una samarreta de llana. Però es converteixen en falsos positius.
Aquest és un repte similar amb el compliment. Quan mirem les coses, de vegades creiem que aquest és el cas, no és el cas. Algú podria tenir accés a una base de dades i hauria de suposar que tingui accés a una base de dades, però la forma en què l'utilitzen és lleugerament diferent de la que esperem. Podríem decidir que és una cosa que hem de mirar. Quan ho mirem ens trobem, oh, realment, és un usuari molt vàlid. Ells simplement fan alguna cosa estrany. Potser és un investigador de PC o qui ho sap. En altres casos, pot ser el contrari. La realitat, quan torno a avançar, theres Wally. Si teniu un aspecte dur en aquesta resolució alta, hi ha un personatge que portava el vestit adequat. Tots els altres no són sinó similituds. El compliment se sent molt així. La majoria de la gent que conec, treballen en àmbits de control i compliment i polítiques de negocis. A tota una àrea, ja sigui la seva tecnologia, ja sigui la seva finança, el seu funcionament i el risc. Sovint és molt difícil veure el Wally a la imatge, veureu els arbres o la fusta.
La pregunta que ens fem, quan pensem en coses com el compliment, és "Gran cosa, què podríem anar malament si no complim el compliment?" En el marc de la discussió d’avui, concretament sobre la base de dades i el control de l’accés a les dades, vaig a donar-vos alguns exemples de trucades de despertar molt reals sobre allò que pot anar malament de forma succinta molt breu. Si pensem en incompliments de dades, i tots coneixíem els incompliments de dades, els escoltem als mitjans de comunicació, i fem una aturada i riure, perquè la gent creu que els seus mercats. Les seves coses personals. Ashley Madison i les persones que busquen obtenir dates fora de les seves relacions i matrimonis. Els seus comptes agressius. Es tracta de totes aquestes coses estranyes o d'algun ISP europeu o rus o d'una empresa de hosting que es pirateja. Quan es tracta de coses com MySpace i aquests deu primers, quan es fixen en aquests números, el que vull que se n’adoni és això: 1.1 mil milions de detalls de persones en aquests deu primers incompliments. I sí, hi ha solapats, probablement hi ha gent que té un compte MySpace, un compte Dropbox i un compte Tumblr, però permet arrodonir-ho fins a mil milions de persones.
Aquests deu incompliments de la darrera dècada més o menys, ni tan sols una dècada, en la majoria dels casos, sumen aproximadament una setena part de la població mundial d’éssers humans, però de manera més realista, aproximadament el 50 per cent del nombre de persones està relacionada amb la Internet, més de mil milions d’individus. Es produeixen perquè en alguns casos no s'ha complert la conformitat. En la majoria dels casos, es van fer controls d’accés a la base de dades, el control d’accés a conjunts de dades particulars i sistemes i xarxes. Es tracta d’una comprovació de la realitat espantosa. Si no us fa por, quan mireu els deu primers llocs i podreu veure que es tracta d’un o milers d’individus, éssers humans reals igual que nosaltres, en aquesta trucada ara mateix. Si teniu un compte de LinkedIn, si teníeu un compte Dropbox, o un compte Tumblr o si heu comprat de productes d'Adobe o fins i tot vau registrar la descàrrega gratuïta d'Adobe View. És completament probable, i no possible, que els seus detalls, el seu cognom, el cognom, la vostra adreça, possiblement fins i tot l’adreça de la seva empresa de treball, o l’adreça de casa o la targeta de crèdit, siguin realment a causa d’una infracció que va tenir lloc a causa dels controls, que necessàriament no eren ben gestionats en forma de gestió de dades, govern de dades.
Anem a fer una ullada quan la mirem amb detall. Hi ha una pantalla d’ells, hi ha aproximadament 50 coses. Hi ha uns altres 15. Hi ha uns altres 25. Es tracta d’incompliments de dades que es troben en un lloc web anomenat haveibeenpwned.com. Això és el que possiblement podria passar malament si no es gestiona adequadament alguna cosa senzilla com controlar qui ha tingut accés a dades de bases de dades en diferents camps i files i columnes i diferents aplicacions del vostre negoci. Aquestes organitzacions ara es basen en dades. La majoria de les dades viuen en una base de dades d'alguna forma. Quan hi penseu, la llista d’incompliments que acabem de veure, i és d’esperar que us ha donat una mica de dutxa freda en cert sentit, ja que pensàveu que “Hmm, això és molt real” i potser us ha impactat. L’any 2012, per exemple, la violació de LinkedIn, la majoria de professionals tenen un compte de LinkedIn en aquests dies i és probable que es perdin les dades. S’han publicat a Internet des del 2012. Només se’ns ha explicat el 2016. Què va passar amb la informació d’aquests quatre anys? Doncs és interessant i podem parlar d’això per separat.
Gestió de bases de dades i sistemes: sovint parlo del que considero els cinc principals reptes en la gestió d’aquestes coses. En primer lloc, posseeixen aquestes posicions en ordre de preferència de mi mateix, però també per ordre d’impacte, el número u és seguretat i compliment. Els controls i mecanismes i polítiques al voltant del control de qui té quin accés a quin sistema, per a quina raó i propòsit. Informar sobre això i fer-ne el seguiment, mirar els sistemes, mirar les bases de dades i veure qui pot accedir realment a registres, camps i registres individuals.
Penseu en això d’una forma molt senzilla. Parlem de gestió bancària i de riquesa com a exemple. Quan us registreu a un compte bancari, digueu només un compte d’efectiu normal per a una targeta EFTPOS, o un compte de caixa o un compte de xec. Empleneu un formulari i hi ha molta informació molt privada en el paper que empleneu o que el feu en línia i que tingui lloc en un sistema informàtic. Ara, si algú en màrqueting vol contactar amb vosaltres i amb un fulletó, haureu de deixar veure el vostre nom i cognoms i la vostra adreça personal, per exemple i, possiblement, el vostre número de telèfon si volen trucar-vos i vendre-ho en fred. tu alguna cosa. Probablement no haurien de veure la quantitat total de diners que heu obtingut al banc per diverses raons. Si algú t’està mirant des d’un punt de vista de risc o intenta ajudar-te a fer alguna cosa com ara obtenir millors tipus d’interès al teu compte, aquesta persona determinada probablement vulgui veure quants diners has obtingut al banc, perquè puguin oferir-te. els nivells adequats d’interès per retornar els vostres diners. Aquests dos individus tenen papers molt diferents i raons molt diferents per a aquests rols, i propòsits d'aquests rols. Com a resultat, cal que veieu informació diferent al vostre registre, però no tot el registre.
Aquests controls es mostren al voltant dels diferents informes de pantalles o formes habituals que tenen a les aplicacions que s’utilitzen per gestionar el vostre compte. El desenvolupament d’aquests, el manteniment d’aquests, l’administració d’aquells, l’informació al voltant d’aquests, i la governança i el compliment envoltat d’aquells com l’embolcall de bombolles, tots són un repte molt, molt gran. Això és només el repte número un en la gestió de sistemes i dades. Quan aprofundim aquesta pila en el rendiment i la supervisió, i la detecció i resposta d’incidències, la gestió i l’administració del sistema, i el compliment al seu voltant, el disseny i el desenvolupament dels sistemes des del compliment, és molt més difícil.
Gestionar tota la qüestió de reduir riscos i millorar la seguretat. Els cinc principals reptes d’aquest espai –i m’agraden les imatges que surten amb un taulell de duanes quan esteu entrant a un país– us presenten el passaport i us revisen i miren el seu sistema informàtic per veure si heu de passar o no. Si no ho heu de fer, us posen al següent avió de tornada a casa. En cas contrari, et deixen entrar i et fan preguntes com: "Veniu de vacances? Vés aquí un turista? Vés a la feina? Quin tipus de treball veuràs? On vas a quedar-te?" "Quant temps necessiteu? Teniu diners suficients per cobrir les vostres despeses i despeses? O podreu suposar un risc per al país on esteu i haurien de tenir cura i alimentar-vos?"
Hi ha alguns problemes al voltant d’aquest espai de dades, de gestió de la protecció de dades. Per exemple, a l’espai de base de dades, hem de pensar en mitigar els bypasss de base de dades. Si les dades es troben a la base de dades, en un entorn normal i hi ha controls i mecanismes al voltant del sistema. Què passa si es fa una descàrrega de dades en més SQL i es fa una còpia de seguretat a cinta? Les bases de dades es fan de forma bruta i, de vegades, es fan còpies de seguretat. De vegades es fa per motius tècnics i raons de desenvolupament. Diguem només dir que s’ha pres un dipòsit de DB i s’ha fet una còpia de seguretat a cinta adhesiva. Què passa si puc posar les mans sobre aquesta cinta i restaurar-la? I he obtingut una còpia en brut de la base de dades en SQL. És un fitxer MP, és el que puc llegir. Totes les contrasenyes que s’emmagatzemen en aquest dipòsit no tenen cap control sobre mi perquè ara estic tenint accés al contingut real de la base de dades sense que el motor de la base de dades el protegeixi. Per tant, puc evitar tècnicament la seguretat de la plataforma de bases de dades que s’està integrant al motor amb el compliment i la gestió de riscos per impedir-me mirar les dades. Com que potencialment el desenvolupador, administrador del sistema, he tingut les mans sobre una descàrrega completa de la base de dades que s’hauria d’utilitzar per a còpies de seguretat.
Un mal ús de les dades: pot ser que algú s’iniciï la sessió com a compte elevat i que em permeti seure a la pantalla, buscant informació o coses similars.Auditoria pròpia, de l’accés i l’ús de les dades, i visualització de les dades o canvis a les dades. A continuació, els informes al voltant d'aquest control i el compliment requerit. Supervisar el trànsit i l'accés, etcètera, bloquejar amenaces que provenen de ubicacions i servidors externs. Per exemple, si les dades es presenten a través d’un formulari d’una pàgina web d’internet, s’han protegit les seves injeccions SQL mitjançant tallafocs i controls de concepte? Hi ha una història llarga i detallada que va al darrere. Aquí podeu veure que són algunes d’aquestes coses absolutament fonamentals que pensem per mitigar i gestionar el risc al voltant de les dades de les bases de dades. És realment relativament fàcil aconseguir alguns d'aquests casos si hi ha diferents nivells de piles de tecnologies. El repte és cada cop més difícil a mesura que obteniu més i més dades i més bases de dades. Més i més desafiant amb les persones que han de gestionar els sistemes i supervisar-ne l’ús, fer un seguiment dels detalls rellevants que es refereixen específicament a coses de què va parlar Robin, al voltant de coses com el compliment personal. Les persones tenen controls i mecanismes al seu voltant que compleixen; si feu alguna cosa malament, podreu acomiadar-vos. Si tinc sessió quan el meu compte et permet veure-ho, hauria de ser una infracció que pot provocar-se. Ara us he donat accés a dades que no hauríeu de veure normalment.
Hi ha conformitat personal, hi ha conformitat corporativa, les empreses tenen polítiques i regles, i els controls que s’estableixen sobre ells mateixos, de manera que l’empresa funciona bé i proporciona una rendibilitat del benefici i un bon retorn als inversors i als accionistes. Aleshores, hi ha sovint a la ciutat, estatal o nacional, federal, com deien controls i lleis dels Estats Units. A continuació, hi ha unes de global. Alguns dels incidents més grans del món, com Sarbanes-Oxley, com a dos persones a les quals se'ls demana que trobin maneres de protegir dades i sistemes. Hi ha Basilea a Europa i hi ha tota una gamma de controls a Austràlia, especialment al voltant de plataformes de borses i credencials, i després privadesa a nivell individual o d’empresa. Quan cadascun d’aquests s’amuntega com veieu en un dels llocs que tenia Robin, es converteixen en una muntanya gairebé impossible d’escalar. Els costos són elevats i van ser en el punt en què l’aproximació tradicional original que coneixeu, com els éssers humans que mesuren el control, ja no és un enfocament adequat perquè l’escala és massa gran.
Tenim un escenari en què el compliment és el que jo anomeno ara un problema permanent. I és que abans podríem tenir un moment, ja sigui mensualment o trimestralment o anualment, on revisaríem el nostre estat de la nació i contribuiríem al compliment i control. Assegurar-se que determinades persones tinguessin determinat accés i que no tinguessin cert accés en funció de quins eren els seus permisos. Ara és un cas de la velocitat de les coses amb què es mouen, el ritme en què canvien les coses, l'escala a la qual estaven funcionant. El compliment és una qüestió constant i la crisi financera mundial era només un exemple en què els controls pertinents i les mesures en matèria de seguretat i compliment podrien evitar un escenari en què tinguéssim un tren de mercaderies desbordat de determinats comportaments. Simplement crear una situació amb el món sencer, sabent que seria fallida i fallida. Per fer-ho, necessitem les eines adequades. Llançar els éssers humans al tren, llençar cossos ja no és un enfocament vàlid perquè l'escala és massa gran i les coses es mouen massa ràpidament. La discussió d’avui, crec que haurien de tractar, sobre el tipus d’eines a aplicar a això. En particular, les eines que ens poden proporcionar IDERA que haurien de fer-ho. I amb això en compte, vaig a lliurar-li a Bullett que passeu pel seu material i ensenyem el seu enfocament i les eines que han aconseguit per resoldre aquest problema que us hem presentat ara.
Amb això, Bullett, us lliuraré.
Bullett Manale: Sona fantàstic, gràcies. Vull parlar d’unes quantes diapositives i també vull mostrar-vos un producte que utilitzem per a bases de dades de SQL Server específicament per ajudar a situacions de compliment. De veritat, el repte en molts casos: passo per alguns d’aquests: aquesta és la nostra cartera de productes, passaré per això amb prou feines. Pel que fa a on va a dirigir-se aquest producte i com es relaciona amb el compliment, sempre faig una presentació com la primera diapositiva perquè és un tipus genèric, "Hola, quina és la responsabilitat d'un DBA?" està controlant i controlant l’accés dels usuaris i també és capaç de generar informes. En el cas que parleu amb el vostre auditor, us relacionareu amb quina dificultat serà aquest procés en funció de si ho fareu pel vostre compte o si feu servir una eina de tercers per ajudar-vos.
En general, quan parlo amb administradors de bases de dades, moltes vegades mai no han participat en una auditoria. Haureu d’educar-los en què és el que realment heu de fer. Relacionat amb el tipus de compliment que cal complir i poder demostrar que realment està seguint les regles segons s'aplica a aquest nivell de compliment. Molta gent no ho aconsegueix al principi. Ells pensen: "Oh, només puc comprar una eina que em faci complir". La realitat és que no és el cas. Desitjo poder dir que el nostre producte màgic, ja ho sabeu, colpejant el botó fàcil, us va proporcionar la possibilitat d’assegurar-vos que compliu. La realitat és que cal que el vostre entorn estigui configurat en termes de controls, quant a la manera com les persones accedeixen a les dades, que tot s’ha de treballar amb l’aplicació que teniu. Quan s’emmagatzemen aquestes dades sensibles, quin tipus d’exigència reguladora es tracta. Després, també haureu de treballar amb un oficial de compliment intern per poder assegurar-vos que seguiu totes les regles.
Això sembla molt complicat. Si ens fixem en tots els requisits normatius, pensaria que seria així, però la realitat és que aquí hi ha un denominador comú. En el nostre cas amb l’eina que us mostraré avui, el producte de Compliance Manager, el procés que hi ha a la nostra situació seria que, primer de tot, hem d’assegurar-nos que estiguéssim recopilant dades de la pista de l’auditoria, relacionades amb on es troben les dades. és a la base de dades sensible. Podeu recollir-ho tot, oi? Podria sortir i dir que vull recollir totes les transaccions que es produeixen en aquesta base de dades. La realitat és que probablement només tingueu una petita fracció o un petit percentatge de transaccions relacionades realment amb les dades sensibles. Si el seu PCI compleix, estarà al voltant de la informació de la targeta de crèdit, els propietaris de les targetes de crèdit, la seva informació personal. Hi pot haver un munt d’altres transaccions relacionades amb la vostra sol·licitud, que realment no tenen cap incidència en les exigències reglamentàries de PCI.
Des d’aquest punt de vista, el primer que parlo amb DBA és dir: “El repte número un no és intentar obtenir una eina per fer aquestes coses per a vosaltres. És només saber on són aquestes dades sensibles i com es poden bloquejar aquestes dades? Si teniu això, si podeu respondre a aquesta pregunta, esteu a mig camí de casa en termes de poder demostrar que compliu, suposant que seguiu. els controls adequats. Diguem per un segon que seguiu els controls adequats i vau dir als auditors que és el cas. La següent part del procés és, òbviament, la possibilitat de proporcionar un rastre d'auditoria que demostri i validi aquells controls que realment funcionen. A continuació, seguiu amb això per assegurar-vos de desar les dades. Normalment, amb coses com ara el compliment de PCI i HIPAA, i aquest tipus de coses, parles amb set anys de retenció. Estàs parlant de moltes transaccions i moltes dades.
Si manteniu, recopilant totes les transaccions, tot i que només el cinc per cent de les transaccions estan relacionades amb dades sensibles, estàs parlant d’un cost bastant important associat a l’haver d’emmagatzemar aquestes dades durant set anys. Crec que un dels majors desafiaments és pensar en que els pobles es posin al capdavant d'ella, això és, evidentment, un cost innecessari. També és molt més fàcil si només ens podem centrar granularment en les àrees sensibles de la base de dades. A més d'això, també voldreu controls al voltant d'alguna informació sensible. No només per mostrar en termes de traça d'auditoria, sinó per poder relacionar les coses amb accions que estan passant i poder-se notificar en temps real, de manera que pugueu donar-vos a conèixer.
L’exemple que sempre faig servir i pot ser que no estigui relacionat necessàriament amb cap tipus de requisit reglamentari, sinó que només podia fer un seguiment, per exemple, algú va deixar la taula associada a la nòmina. Si això succeeix, la manera de descobrir-ho, si no feu un seguiment, no se li pagarà ningú. Això és massa tard. Voleu saber quan es deixa caure aquesta taula, just quan es deixa caure, per evitar qualsevol cosa dolenta que passi com a conseqüència que algun empleat descontent marxi i suprimeixi la taula que està lligada directament a les nòmines.
Dit això, el truc és trobar el denominador comú o utilitzar aquest denominador comú per associar quin és el nivell de compliment. Això és el que intentem fer amb aquesta eina. Bàsicament aprofitem el plantejament de: no us mostrarem un informe específic per a PCI, específic per a estocs; el denominador comú és que teniu una aplicació que utilitza SQL Server per emmagatzemar les dades sensibles a la base de dades. Una vegada que s’aconsegueixi superar el que dius, "Sí, és realment el que hem de centrar: on són aquestes dades sensibles i com s’hi accedeix?" Un cop tingueu això, hi ha una gran quantitat d’informes que oferim que poden proporcionar aquesta prova, ho fareu, en compliment.
Tornant a les preguntes que fa un auditor, les primeres preguntes seran: Qui té accés a les dades i com s’obté aquest accés? Podeu demostrar que les persones adequades estan accedint a les dades i que les persones equivocades no ho són? També podeu demostrar que la pista d'auditoria en si és una cosa que puc confiar com a font d'informació immutable? Si us proporciono un rastre d'auditoria que està fabricat, realment no em fa molt bé com a auditor realitzar una revisió de la vostra auditoria si la informació està fabricada. Necessitem proves d’això, normalment des d’una perspectiva d’auditoria.
Examinant aquestes preguntes, una mica més detallades. El repte de la primera pregunta és que heu de saber, com he dit, on es troben aquestes dades sensibles per informar sobre qui hi accedeix. Generalment hi ha algun tipus de descobriment i realment tens milers d’aplicacions diferents que hi ha allà, tens tones de requisits normatius diferents. En la majoria dels casos, voleu treballar amb el vostre responsable de compliment si en teniu, o almenys, algú que tingui una visió addicional en relació amb les meves dades sensibles dins de l'aplicació. Tenim una eina que tenim, és una eina gratuïta, la que es diu SQL Column Search. Diguem als nostres clients potencials i usuaris que estiguin interessats en aquesta pregunta, que puguin baixar-la. El que farà és buscar bàsicament la informació de la base de dades que probablement sigui sensible a la natura.
I, una vegada que ho facis, també has d’entendre com les persones accedeixen a aquestes dades. I serà, una vegada més, quins comptes formen part dels grups Active Directory, quins usuaris de la base de dades estan implicats, hi ha un rol de membre associat a això. I, per descomptat, tingueu en compte que totes aquestes coses de què parlem han de ser aprovades per l’auditor, així que si dius: “Així és com anem bloquejant les dades”, els auditors poden venir retrocediu i digueu: “Bé, ho esteu fent malament”. Però diguem que diuen: “Sí, té un aspecte bo. Heu bloquejat les dades suficientment ”.
Passant a la següent pregunta, que serà, podeu demostrar que les persones adequades accedeixen a aquestes dades? En altres paraules, podeu dir-los que són els vostres controls, aquests són els controls que seguiu, però malauradament els auditors no són persones reals de confiança. Ells la desitgen i ho volen veure dins de la pista d'auditoria. I això es remunta a tota aquella cosa denominadora comuna. Tant si es tracta de PCI, SOX, HIPAA, GLBA, Basilea II, com sigui, la realitat és que es plantejaran els mateixos tipus de preguntes. L’objecte amb la informació sensible, qui ha accedit a aquest objecte durant el darrer mes? Això hauria de relacionar-se amb els meus controls i, finalment, hauria de poder passar la meva auditoria mostrant aquest tipus d’informes.
Llavors, el que hem fet és que hem recopilat uns 25 informes diferents que segueixen el mateix tipus d'àrees que el denominador comú. Per tant, no disposem d’un informe per PCI ni per a HIPAA ni per a SOX, però tenim informes que, una vegada més, van a parar a aquest denominador comú. I, per tant, no importa el requisit normatiu que intenteu complir, en la majoria dels casos podreu respondre a qualsevol pregunta que us hagi plantejat aquest auditor. I us diran qui, què, quan i on es fa cada transacció. Ja sabeu, l’usuari, el moment en què es va produir la transacció, la declaració SQL en si, l’aplicació de la qual provenia, totes aquestes coses bones, i també podreu automatitzar el lliurament d’aquesta informació als informes.
I, una vegada més, una vegada que supereu això i ho heu proporcionat a l’auditor, la següent pregunta serà, ho demostreu. I quan dic demostrar-ho, vull dir demostrar que la pista d’auditoria en si és una cosa que podem confiar. I de la manera de fer-ho a la nostra eina és que tenim valors de hash i valors de CRC que es relacionen directament amb els propis esdeveniments dins de la pista d’auditoria. Llavors, la idea és que si algú surt i elimina un registre o si algú surt i elimina o afegeix alguna cosa a la pista d'auditoria o canvia alguna cosa en la pista d'auditoria pròpia, podem demostrar que aquestes dades, la integritat de les dades en si, van ser violades. Així, el 99,9% de les vegades si teniu bloquejada la nostra base de dades de pistes d'auditoria, no us trobareu amb aquest problema, perquè quan realitzem aquesta comprovació d'integritat estem essencialment demostrant a l'auditor que les dades en si no han estat modificat, suprimit o afegit des de l'escriptura original del servei de gestió.
De manera que es tracta d'un tipus de visió general del tipus de preguntes que se us farà. Ara, l’eina que hem d’afrontar molt d’això s’anomena SQL Compliance Manager i fa totes aquestes coses pel que fa al seguiment de les transaccions, qui, què, quan i on de les transaccions, podent fer-ho en un un nombre de zones diferents. Iniciar sessió, iniciar sessions fallades, canvis d’esquema, òbviament, accés a dades, activitat seleccionada, totes aquelles coses que estan passant dins del motor de bases de dades. I, a més, també podrem alertar els usuaris de condicions específiques, molt granulars. Per exemple, algú surt a la llista i conté tots els meus números de targeta de crèdit. No canvien les dades, només ho estan mirant. En aquesta situació puc alertar i puc fer saber a la gent que està passant, no sis hores més tard quan estem fent un rastreig de registres, sinó en temps real. És bàsicament el temps que triguem a processar aquesta transacció mitjançant un servei de gestió.
Com he esmentat abans, hem vist que s’utilitzen en diferents requisits normatius i no ho és realment, ja ho sabeu, qualsevol requisit regulador, una vegada més, sempre que els denominadors comuns, tingueu dades sensibles en un servidor SQL Aquesta és una eina que us ajudaria en aquest tipus de situacions. Als 25 informes integrats, la realitat és que podem fer aquesta eina bona per a l’auditor i respon a cada pregunta que ens faci, però els DBA són els que l’han de fer funcionar. De manera que també hi ha això de pensar, ja ho sabeu bé, des de la perspectiva de manteniment, ens hem d’assegurar que l’SQL funciona com vulguem. També hem de ser capaços d’entrar i mirar les coses que podrem sortir i mirar altres dades, ja ho sabeu, pel que fa a l’arxivatge de les dades, l’automatització d’aquella i la sobrecàrrega. propi del producte. Són coses que òbviament tenim en compte.
Cosa que presenta l'arquitectura en si. Així, a la part dreta de la pantalla, tenim les instàncies de SQL que gestionem, des de l'any 2000 fins al 2014, preparant-nos per llançar una versió per al 2016. La major oportunitat per portar a la pantalla és que la gestió el servidor en si fa tots els elevats problemes. Acabem de recopilar les dades, utilitzant l'API de seguiment, integrada amb SQL Server. Aquesta informació es transforma en el nostre servidor de gestió. El propi servidor de gestió s’identifica i si hi ha esdeveniments vinculats a qualsevol tipus de transacció que no vulguem, incloure alertes i aquest tipus de coses i, a continuació, emplenar les dades dins d’un dipòsit. Des d'allà podrem executar informes, seríem capaços de sortir i veure realment aquesta informació als informes o fins i tot a la consola de l'aplicació.
Llavors, el que vaig a avançar i que faré és dur-los a terme, realment ràpidament, i només vull assenyalar una cosa ràpida abans de saltar al producte, ara mateix hi ha un enllaç al lloc web, o a la presentació, això us portarà a l’eina gratuïta que he esmentat anteriorment. Aquesta eina gratuïta és que, com he dit, sortirà a buscar una base de dades i intentarà trobar les àrees que semblen dades sensibles, números de seguretat social, números de targetes de crèdit, en funció dels noms de les columnes o de les taules, o basat en la forma en què es veu el format de les dades, i també podeu personalitzar-ho, per tal de remarcar-ho.
Ara, en el nostre cas, deixeu-me endavant i comparteixi la pantalla, doneu-me un segon aquí. D'acord i, per tant, el que volia portar a tu és que vull dirigir-vos a la pròpia aplicació de Compliance Manager i passaré per això força ràpidament. Però es tracta de l’aplicació i podeu veure que tinc un parell de bases de dades aquí i només us mostraré el fàcil que és entrar i dir-vos què busqueu auditar. Des del punt de vista dels canvis d’esquema, canvis de seguretat, activitats administratives, DML, Select, tenim totes aquestes opcions a la nostra disposició, també podem filtrar-ho. Això es remunta a la millor pràctica de poder dir, "realment només necessito aquesta taula perquè conté els meus números de targeta de crèdit. No necessito les altres taules que tinguin informació sobre productes, totes aquelles altres coses que no estiguin en relació amb el nivell de compliment que intento complir. "
També tenim la capacitat de capturar dades i mostrar-les en termes dels valors dels camps que canvien.En moltes eines, tindreu alguna cosa que us permetrà capturar la instrucció SQL, mostrar a l'usuari, mostrar l'aplicació, hora i data, totes aquestes coses bones. Però, en alguns casos, la instrucció SQL no us donarà prou informació per poder-vos dir quin era el valor del camp abans que es produís el canvi i el valor del camp després que es produís el canvi. I en algunes situacions necessites això. Voldria fer un seguiment, per exemple, de la informació sobre la dosi que es fa un metge per als medicaments amb recepta. Va passar de 50mg a 80mg a 120mg, seria capaç de fer un seguiment d’això amb l’abans i el després.
Les columnes sensibles és una altra cosa que utilitzem, per exemple, amb compliment de PCI. En aquest cas, teniu dades de naturalesa tan sensible que només si es mira aquesta informació, no he de canviar-la, suprimir-la ni afegir-la, puc causar danys irreparables. Els números de targeta de crèdit, els números de seguretat social, tot aquest tipus de coses bones podem identificar columnes sensibles i enllaçar alertes sobre aquesta. Si algú surti i miri aquesta informació, podríem, evidentment, alertar o generar un parany SNMP i aquest tipus de coses.
En alguns casos, us trobareu amb una situació en què podríeu tenir una excepció. I què vull dir amb això, teniu una situació en què teniu un usuari que té un compte d’usuari que podria estar lligat a algun tipus de feina ETL que s’executa al mig de la nit. Es tracta d’un procés documentat i simplement no necessito incloure aquesta informació transaccional per al compte d’usuari. En aquest cas, tindríem un usuari de confiança. Aleshores, en altres situacions, utilitzaríem la funció d’Auditoria d’Usuaris Privil·liats, que és essencialment, si tinc, diguem per exemple, una aplicació i aquesta aplicació ja fa auditories dels usuaris que passen per l’aplicació, és a dir. genial, ja tinc alguna cosa a referir quant a la meva auditoria. Però, per a les coses relacionades amb, per exemple, els meus usuaris privilegiats, els nois que poden entrar a l'estudi de gestió de SQL Server per mirar les dades de la base de dades, no ho podran tallar. I aquí és on podríem definir qui són els nostres usuaris privilegiats, ja sigui mitjançant membres de rol, o bé a través dels seus comptes, grups, dels seus comptes de Active Directory, on podrem escollir tots els diferents tipus d’opcions i i, a partir d’aquí, assegureu-vos que per a aquells usuaris privilegiats puguem especificar els tipus de transaccions que estem interessats en auditar.
Es tracta de tot tipus d’opcions diferents i no passaré per tots els tipus de coses diferents en funció dels límits de temps aquí per a aquesta presentació. Però vull mostrar-vos com podem veure les dades i crec que us agradarà com funciona, perquè hi ha dues maneres de fer-ho. Puc fer-ho de manera interactiva i, per tant, quan parlem amb persones interessades en aquesta eina per tal de tenir els seus propis controls interns, només volen saber què passa en molts casos. Ells no tenen necessàriament auditors al lloc. Només volen saber, "Hola, vull anar després d'aquesta taula i veure qui l'ha tocat l'última setmana o el mes passat o qualsevol cosa que sigui". En aquest cas, podeu veure amb quina rapidesa podem fer-ho.
En el cas de la base de dades d'assistència sanitària, tinc una taula anomenada Registre de pacients. I aquesta taula, si només hagués d’agrupar per objecte, podria començar molt aviat a restringir el lloc que busquem. Potser vull agrupar per categoria i, potser, per esdeveniment. I quan ho faig, podreu veure la rapidesa amb què apareix i hi ha la meva taula de registres de pacients. A mesura que aprofito, ara podem veure l’activitat de DML, podem veure que hem tingut mil insercions de DML i, quan obrim una d’aquestes transaccions, podrem veure la informació rellevant. Qui, què, què, quan i on, de la transacció, sentència SQL, òbviament, l'aplicació real que s'utilitza per realitzar la transacció, el compte, l'hora i la data.
Ara, si ens fixem en la següent fitxa aquí, la pestanya Detalls, es torna a la tercera pregunta de què parlem, demostrant que no s'ha incomplert la integritat de les dades. Així, bàsicament, en tots els esdeveniments, tenim un càlcul secret del nostre valor hash, i això tornarà a relacionar-nos quan fem la revisió de la integritat. Per exemple, si hagués de sortir a l’eina, entrar al menú d’auditoria i hauria de sortir i dir, anem a comprovar la integritat del dipòsit, podria apuntar-me a la base de dades on es troba el rastre d’auditoria. mitjançant un control d'integritat que coincideix amb els valors de hash i els valors CRC amb els esdeveniments reals, i ens dirà que no s'ha trobat cap problema. Dit d'una altra manera, les dades de la pista d'auditoria no han estat alterades ja que originalment les va escriure el servei de gestió. Evidentment, és una manera d'interaccionar amb les dades. L’altra manera seria mitjançant els propis informes. I només us donaré un exemple ràpid d’informe.
I, un cop més, aquests informes, de la manera en què els vam trobar, no són específics per a cap tipus d’estàndard com PCI, HIPAA, SOX o res del mateix. Una vegada més, és el denominador comú del que estem fent i, en aquest cas, si tornem a l’exemple d’aquest registre de pacients, podríem sortir i dir, en el nostre cas aquí, busquem a la base de dades d’assistència mèdica i en el nostre cas volem centrar-nos específicament en la taula que coneixem que conté informació privada, en el nostre cas, relacionada amb els nostres pacients. Per tant, deixa'm veure si puc escriure-ho aquí i anem a avançar i publicarem aquest informe. I, aleshores, anem a veure, a partir d'aquí, totes les dades rellevants associades a l'objecte. I en el nostre cas ens està mostrant durant un període de temps d'un mes. Però podríem remuntar-nos sis mesos, un any, tot i que conservem les dades.
Es tracta del tipus de maneres en què podríeu demostrar, si ho fareu, a l’auditor que seguiu els vostres controls. Un cop hàgiu identificat això, és òbvia que és bona cosa pel que fa a la superació de la vostra auditoria i a la possibilitat de demostrar que seguiu els controls i tot funcionant.
L’últim tema que he volgut demostrar és a la secció d’administració. També hi ha controls des del punt de vista d’aquesta eina mateixa, podent establir controls per poder assegurar-se que si algú fa alguna cosa que no suposa que ho faci, se’m pot fer conscient. I et donaré un parell d’exemples. Tinc un compte d’inici de sessió vinculat a un servei i que aquest servei necessita permisos elevats per fer el que fa. El que no vull és que algú entri i utilitzi aquest compte a Management Studio i, ja ho sabeu, utilitzar per a coses que no estaven pensades. Aquí tindríem dos criteris que podríem aplicar. Podria dir, "Mira, estem molt interessats en treballar, per exemple, amb la nostra aplicació PeopleSoft", com a exemple, està bé?
Ara que he fet això, el que us dic aquí és que tinc curiositat per conèixer els inicis de sessió vinculats al compte que estic preparat per especificar si l’aplicació que s’utilitza per iniciar la sessió amb aquest compte no és PeopleSoft, aleshores això serà un augment de l'alarma. I, òbviament, hem d’especificar el nom del compte, per tant, en el nostre cas, només anem a anomenar aquest compte Privat, ja que és privilegiat. Ara, un cop fet això, ara podríem especificar què voldríem passar quan es produís això i per a cada tipus d'esdeveniment o, hauríem de dir, alerta, que es pot tenir una notificació separada a la persona responsable de les dades concretes.
Per exemple, si es tracta d'informació salarial pot anar al meu director de recursos humans. En aquest cas, quan tracti l’aplicació PeopleSoft, serà l’administrador d’aquella aplicació. Sigui quin sigui el cas. Podria posar a la meva adreça, personalitzar l’alerta real i tot aquest tipus de coses bones. Una vegada més, això torna a ser capaç d’assegurar-se que pot demostrar que seguiu els vostres controls i que aquests controls funcionen de la manera que estan pensats. Des de la darrera perspectiva aquí, només pel que fa al manteniment, podem tenir aquestes dades i posar-les fora de línia. Puc arxivar les dades i puc programar-les i seríem capaços de fer aquestes coses amb molta facilitat en el sentit que realment podríeu, com a DBA, utilitzar aquesta eina, configurar-la i una mena de camineu-hi. No hi ha molta mà de la mà que es realitzarà un cop s'hagi configurat com hauria de ser. Com he dit, la part més difícil sobre tot això, crec, no és configurar el que voleu auditar, sinó saber què voleu configurar per auditar.
I com he dit, la naturalesa de la bèstia amb auditories, heu de conservar les dades durant set anys, de manera que només té sentit centrar-se en aquelles zones sensibles a la naturalesa. Però, si voleu aprofundir en la recollida de tot, ho podeu fer, simplement no es considera la millor pràctica. Des d'aquest punt de vista, només voldria recordar a les persones que, si és una cosa que és d'interès, podeu anar al lloc web a IDERA.com i descarregar-ne una prova i jugar-hi. En termes de l’eina gratuïta de la qual vam parlar anteriorment, bé, és gratuïta, podeu baixar-la i utilitzar-la per sempre, independentment de si utilitzeu el producte Compliance Manager. I el més interessant d’aquesta eina de cerca de les columnes és que els resultats que us presenten, i realment puc demostrar que, crec, és que podreu exportar aquestes dades i podreu importar-les a Gestor de compliment. també. No ho veig, sé que és aquí, hi és Això només és un exemple. Aquí és on es troben les dades sensibles relacionades.
Ara he sortit i ara ho he realitzat, tinc una ullada a tot, però teniu un munt de coses que podem comprovar. Números de targeta de crèdit, adreces, noms, tot aquest tipus de coses. I identificarem on es troba a la base de dades i, a partir d’aquí, podreu decidir si voleu o no auditar aquesta informació. Sens dubte, és sens dubte una manera que us sigui molt més fàcil definir el vostre abast d’auditoria quan mireu una eina com aquesta.
Només passaré endavant i tancaré amb això, i seguiré endavant i passaré de nou a Eric.
Eric Kavanagh: És una presentació fantàstica. M'encanta la forma en què realment entri en els detalls agrests i ens mostra què passa. Com que al final del dia, hi ha algun sistema que accedirà a alguns registres, això us donarà un informe, això us portarà a explicar la vostra història, ja sigui a un regulador, a un auditor o a algú del vostre equip. , així que és bo que saps que estàs preparat si i quan, o com i quan, aquesta persona arriba a colpejar, i és clar, aquesta és la desagradable situació que intentes evitar. Però si es produeix i probablement passarà aquests dies, voleu estar segur que teniu el punt que heu puntat i el que heu creuat.
Hi ha una bona pregunta d’un membre de l’audiència que vull llançar a tu potser primer, Bullett, i si potser un presentador vol comentar-ho, no dubteu. I, potser, Dez pot fer una pregunta i Robin. La pregunta és, doncs, és just dir que per fer totes aquelles coses que heu esmentat cal iniciar un esforç de classificació de dades a un nivell elemental? Heu de conèixer les vostres dades quan es presenten com un recurs potencial valuós i fer alguna cosa al respecte. Crec que hi esteu d’acord, Bullett, oi?
Bullett Manale: Sí, absolutament. Vull dir, heu de conèixer les vostres dades. I me n’adono, reconec que hi ha moltes aplicacions que hi ha i que hi ha moltes coses diferents que tenen parts mòbils a la vostra organització. L’eina de cerca de columnes és de gran ajuda pel que fa a un pas a la direcció d’entendre millor aquestes dades. Però sí, és molt important. Vull dir, que teniu l’opció d’enfocar l’aproximació de firehose i auditar-ho tot, però és molt més desafiant d’aquesta manera logística quan parleu d’haver d’emmagatzemar aquestes dades i informar-vos d’aquestes dades. Aleshores, encara necessiteu saber on es troba aquesta informació perquè, quan publiqueu els vostres informes, també haureu de mostrar aquesta informació als vostres auditors. Així que crec que, com he dit, el major repte quan parlo amb els administradors de bases de dades és saber-ho, sí.
Eric Kavanagh: Sí, però potser Robin us ho portarem molt de pressa. Em sembla aquí la norma 80/20, no? Probablement no trobareu tots els sistemes de registre que tinguin importància si esteu en alguna organització de mida mitjana o gran, però si us hi concentreu, com suggeria Bullett, aquí, per exemple, PeopleSoft o altres sistemes de registre que siguin. predominant a l’empresa, és allà on us concentreu el 80 per cent del vostre esforç i el 20 per cent dels altres sistemes que hi hagi en algun lloc, oi?
Robin Bloor: Bé, estic segur, sí. Vull dir, ja ho sabeu, crec que el problema d’aquesta tecnologia i crec que probablement val la pena comentar-ho, però el problema d’aquesta tecnologia és, com s’aplica? Vull dir, sens dubte hi ha una manca de coneixement, diguem-ne, en la majoria de les organitzacions, fins i tot el nombre de bases de dades que hi ha. Ja sabeu, hi ha molta manca d'inventari, diguem-ne. Ja sabeu, la pregunta és: imaginem que comencem en una situació en què no hi ha un compliment especialment gestionat, com s’adopta aquesta tecnologia i s’injecta en l’entorn, no només en la tecnologia, ja ho sabeu? termes, configuració de coses, però com qui ho gestiona, qui determina què? Com començar a calçar això en una cosa genuïna, que fa la feina?
Bullett Manale: Doncs vull dir, aquesta és una bona pregunta. El repte en molts casos és que, vull dir, haureu de començar a fer les preguntes just al principi. He topat amb moltes empreses on, ja ho sabeu, potser són una empresa privada i es van adquirir, hi ha un tipus inicial de primer tipus de bump, si voleu anomenar-ho. Per exemple, si ara només em converteixo en una empresa cotitzada en borsa a causa de l'adquisició, hauré de tornar enrere i probablement trobaré algunes coses.
I en alguns casos parlem amb organitzacions que, ja sabeu, tot i que són privades segueixen les regles de compliment de SOX, simplement perquè en el cas que vulguin adquirir-se, saben que hauran de complir-les. Sens dubte, no voleu aprofundir només en "Ara no necessito preocupar-me per això". Qualsevol tipus de compliment normatiu com PCI o SOX o qualsevol altra cosa, voleu invertir en fer la investigació o comprensió d’on es troba aquesta informació sensible, d’altra manera és possible que s’estigui trobant amb algunes multes importants i importants. I és molt millor només invertir aquest temps, ja sabeu, trobar aquestes dades i poder informar en contra i demostrar que els controls funcionen.
Sí, pel que fa a configurar-lo, com he dit, el primer que recomanaria a persones que es preparen per afrontar una auditoria, és simplement sortir i fer un examen cursiu de la base de dades i esbrinar-ho. conèixer, en els seus millors esforços, intentant esbrinar on es troben aquestes dades sensibles. I l’altre enfocament seria començar amb una xarxa neta potser més gran quant a l’abast de l’auditoria i, a continuació, reduir-vos lentament un cop endavant, un cop més, comprendre on es troben aquelles àrees del sistema relacionades amb la informació sensible. Però voldria que us pogués dir que hi ha una resposta fàcil a aquesta pregunta. Probablement variarà bastant d’una organització a l’altra i el tipus de compliment i realment com, ja sabeu, quina estructura tenen dins de les seves aplicacions i quantes tenen, diverses aplicacions que tenen, algunes poden ser aplicacions escrites personalitzades. , de manera que realment dependrà de la situació en molts casos.
Eric Kavanagh: Endavant, Dez, estic segur que tindreu una pregunta o dues.
Dez Blanchfield: M'agrada només informar sobre les vostres observacions sobre l'impacte sobre les organitzacions des del punt de vista de la gent. Crec que un dels àmbits en què veig el valor més gran d’aquesta solució particular és que quan la gent es desperta al matí i va a treballar a diversos nivells de l’organització, es desperta amb una sèrie de responsabilitats o una cadena de responsabilitat. que han de fer front. I tinc ganes d’informar-vos sobre allò que esteu veient fora i sense els tipus d’eines de què parleu. I el que parlo aquí és des del president del nivell del consell, fins al CEO i CIO i la suite C. I ara tenim caps de risc, que estan pensant més en els tipus de coses que parlem aquí en compliment i govern, i ara tenim nous caps de joc, director de dades, qui ho saps? , encara més preocupat per això.
I al costat de cadascun d’ells, al voltant del CIO, tenim uns administradors d’informàtica d’una banda amb, com ja ho sabeu, derivats tècnics i, després, oportunitats de base de dades. I a l'espai operatiu, tenim gestors i gestors de desenvolupament i desenvolupaments individuals i, a més, es desenvolupen de nou a la capa d'administració de bases de dades. Què estàs veient al voltant de la reacció de cadascuna d’aquestes diferents parts del negoci davant el repte del compliment i l’informació normativa i el seu enfocament al mateix? Estàs veient que la gent arriba amb fervor i en pot veure l’avantatge, o veus que arrosseguen de mala gana aquesta cosa i simplement, ja ho sabeu, fer-ho per fer-ho per a una capsa a la caixa? I quins tipus de respostes veieu quan veieu el vostre programari?
Bullett Manale: Sí, aquesta és una bona pregunta. Diria que aquest producte, les vendes d’aquest producte, són majoritàriament impulsades per algú que està al seient calent, si té sentit. En la majoria dels casos, aquest és l’ABD i, des de la nostra perspectiva, és a dir, saben que hi ha una auditoria i seran els responsables, perquè són els DBA, per poder proporcionar la informació que l’auditor pregunta. Poden fer-ho escrivint els seus propis informes i creant els seus propis rastres personalitzats i tot aquest tipus de coses. La realitat és que no volen fer-ho. En la majoria dels casos, els DBA no esperen tenir moltes converses amb l’auditor per començar. Ja ho sabeu, preferiria dir-vos que podem fer una crida a una empresa i dir-li: "Heu que aquesta sigui una eina fantàstica i us encantarà", ensenyar-los totes les funcions i la compraran.
La realitat és que normalment no es miraran aquesta eina a menys que realment s'hauran de fer front a una auditoria o a l'altre costat d'aquesta moneda, ja que han tingut una auditoria i l'han fallat miserablement i ara ho són se'ls demana que obtinguin ajuda o que seran multats. Diria que, en general, en general, quan mostres aquest producte a la gent, definitivament hi veuen el valor, ja que els estalvia un munt de temps quant a haver de saber què volen denunciar. , aquest tipus de coses. Tots aquests informes ja estan integrats, els mecanismes d’alerta estan en marxa i, després, amb la tercera qüestió també és, en molts casos, un repte. Com que puc mostrar-vos els informes durant tot el dia, però a menys que em pugueu demostrar, aquests informes són vàlids, ja ho sabeu, per a mi és una proposta molt més dura com a DBA. Però hem elaborat la tecnologia i la tècnica de descàrrega i tot aquest tipus de coses per poder ajudar a mantenir les dades de la seva integritat de les pistes d'auditoria.
De manera que aquestes són les coses que, aquestes són les meves observacions quant a la majoria de la gent amb qui parlem. Ja sabeu, definitivament hi ha, en diferents organitzacions, ja sabreu, en sabreu, com a Target, per exemple, va haver de trencar les dades i, ja ho sabeu, vull dir, quan altres organitzacions senten les multes i aquestes El tipus de coses que la gent comença, aixeca la cella i, per tant, espero que respongui a la pregunta.
Dez Blanchfield: Sí, definitivament. M’imagino alguns DBA quan finalment veuen què es pot fer amb l’eina només s’adonen que també tindran les nits tardes i els caps de setmana. Reduccions de temps i costos i altres coses que veig quan s’apliquen les eines adequades a tot aquest problema, i és que tres setmanes vaig estar amb un banc aquí a Austràlia. Són un banc global, els tres primers bancs, són massius. I tenien un projecte on havien d’informar sobre el compliment de la seva gestió i sobretot el risc de la gestió de la riquesa i buscaven un valor de 60 setmanes per a un parell de cent éssers humans. I quan se’ls va mostrar l’agrada d’una eina com tu mateix que només podia automatitzar el procés, aquest sentit, la mirada a les seves cares quan es van adonar que no havien de passar X nombre de setmanes amb centenars de persones fent un procés manual era com si haguessin trobat Déu. Però el desafiant llavors era com posar-ho en pràctica, com ja va indicar el doctor Robin Bloor, ja ho sabeu, això és una cosa que es converteix en una barreja de canvi cultural i comportamental. En els nivells que tracteu, que tracten això directament a nivell d’aplicació, quin tipus de canvi veieu quan comencen a adoptar una eina per fer el tipus d’informació, auditoria i controls que podeu oferir, com oposat al que podrien haver fet manualment? Com és això quan es posen en pràctica?
Bullett Manale: Et preguntes, quina diferència teniu de la manera de manejar manualment versus aquesta eina? Aquesta és la pregunta?
Dez Blanchfield: Bé, concretament l’impacte del negoci. Així, per exemple, si intentem proporcionar el compliment d’un procés manual, ja ho sabeu, triguem sempre amb molta quantitat d’éssers humans. Però suposo que, per tal de plantejar-vos una mica de dubte, com sabeu, estem parlant d’una sola persona que gestiona aquesta eina en substitució de potencialment a 50 persones i que pugui fer el mateix en temps real o en hores enfront de mesos? És això, què és això, en general?
Bullett Manale: Bé, vull dir, es tracta d'un parell de coses. Una és tenir la capacitat de respondre aquestes preguntes. Algunes d’aquestes coses no es faran gaire fàcilment. Així, sí, el temps que triguem a fer les coses a casa, a escriure els informes pel teu compte, a configurar les traces o els esdeveniments ampliats per reunir les dades de forma manual, pot trigar molt temps. Realment, us en donaré algunes, vull dir, això no es relaciona realment amb les bases de dades en general, però, com després que Enron passés i que SOX arribés a prevaler, vaig estar a una de les grans empreses petrolieres de Houston i vam comptar per , Crec que el 25 per cent dels costos empresarials estaven relacionats amb el compliment del SOX.
Ara va ser just després, i aquest va ser el primer pas inicial de SOX, però amb això, diria, ja sabeu, obté molts avantatges en fer servir aquesta eina en el sentit que no requereix gaire de gent per fer-ho i de molta gent diferent per fer-ho. I, com he dit, el DBA no sol ser el tipus que tant espera tenir converses amb els auditors. Així, en molts casos, veurem que el DBA pot descarregar-lo i poder proporcionar l’informe interconectat a l’auditor i que es poden eliminar completament de l’equació en lloc d’haver-hi de participar. Així que, ja ho sabeu, és un estalvi enorme en termes de recursos quan podeu fer-ho.
Dez Blanchfield: Estàs parlant de reduccions massives de costos, oi? Les organitzacions no només eliminen el risc i la sobrecàrrega, sinó que, bàsicament, parleu d’una reducció significativa del cost, A) operativament i també B) del fet que, ja sabeu, si realment poden proporcionar-se reals. Informe de compliment de temps que indica que hi ha un risc reduït significativament d’una infracció de dades o alguna multa legal o d’impacte per no complir, oi?
Bullett Manale: Sí, absolutament. Vull dir, per no complir, hi ha tot tipus de coses dolentes. Poden utilitzar aquesta eina i seria fantàstic o no, i sabran el mal que realment és. Així, sí, no és només l'eina, òbviament, podeu fer les comprovacions i tot això sense una eina com aquesta. Com he dit, només costarà molt més temps i cost.
Dez Blanchfield: Això és genial. Eric, doncs, em tornaré a passar perquè penso que per emportar-me és que, ja ho sabeu, el tipus de mercat és fantàstic. Però també, fonamentalment, el seu pes en or mereix la cosa que és capaç d’evitar l’impacte comercial d’un tema o de poder reduir el temps que triga a informar i gestionar el compliment només fa que, ja ho sabeu, el Eina es paga per si mateixa immediatament pels sons de les coses.
Eric Kavanagh: És exactament correcte. Bé, moltes gràcies pel vostre temps avui, Bullett. Gràcies a tots els que heu estat pel vostre temps i atenció, i a Robin i Dez. Una altra gran presentació avui. Gràcies als nostres amics d’IDERA per deixar-nos portar aquest contingut de forma gratuïta. Arxivarem aquest webcast per a la seva posterior visualització. L'arxiu sol estar al cap d'un dia. Fes-nos saber què en penses del nostre nou lloc web, insideanalysis.com. Un disseny completament nou, un aspecte completament nou. Ens agradaria escoltar els vostres comentaris i, amb això, us adicaré adéu, amics. Pots jo. Altrament, us posarem al dia de la setmana que ve. Tenim set transmissions web en les properes cinc setmanes o alguna cosa així. Anirem ocupats. I estarem a la Strata Conference i la IBM Analyst Summit a Nova York a finals d’aquest mes. Així que si esteu allà mateix, deixeu-vos de saludar. Cuida't, gent. Adeu.