Di Techopedia Staff, 14 settembre 2016
Takeaway: L' host Eric Kavanagh discute dell'auditing del database e della conformità con gli analisti Robin Bloor e Dez Blanchfield e Bullett Manale di IDERA in questo episodio di Hot Technologies.
Al momento non sei collegato. Accedi o registrati per vedere il video.
Eric Kavanagh: signore e signori, ciao e bentornati, ancora una volta, a Hot Technologies! Sì, davvero, del 2016. Siamo al terzo anno di questo spettacolo, è roba molto eccitante. Abbiamo oscillato e rotolato quest'anno. Questo è Eric Kavanagh, il tuo host. L'argomento per oggi - questo è un grande argomento, ha molte applicazioni in diversi settori, francamente - "Chi, cosa, dove e come: perché vuoi sapere". Sì davvero, parleremo di tutte quelle cose divertenti. C'è davvero una diapositiva sulla tua, colpiscimi su Twitter @eric_kavanagh. Cerco di twittare tutte le menzioni e di twittare qualsiasi cosa qualcuno mi mandi. Altrimenti, così sia.
Fa caldo, sì davvero! L'intero spettacolo qui è progettato per aiutare le organizzazioni e gli individui a comprendere particolari tipi di tecnologia. Abbiamo progettato l'intero programma qui, Hot Technologies, come un modo per definire un particolare tipo di software, o una tendenza particolare, o un particolare tipo di tecnologia. Il motivo è perché francamente, nel mondo del software, spesso otterrai questi termini di marketing che vengono banditi e talvolta possono francamente bastardare i concetti che intendevano descrivere.
In questo show stiamo davvero cercando di aiutarti a capire cos'è un particolare tipo di tecnologia, come funziona, quando puoi usarlo, quando forse non dovresti usarlo, e darti quanti più dettagli possibile. Oggi avremo tre presentatori: il nostro Robin Bloor, capo analista del Bloor Group; il nostro scienziato di dati che chiama da Sydney, in Australia, dall'altra parte del pianeta, Dez Blanchfield, e uno dei nostri ospiti preferiti Bullett Manale, direttore dell'ingegneria delle vendite presso IDERA.
Dirò solo un paio di cose qui, capendo chi sta facendo cosa con quale dato, beh è un po 'come un governo, giusto? Se pensi a tutte le normative relative alle industrie, come l'assistenza sanitaria e i servizi finanziari, su quei settori, quella roba è incredibilmente importante. Devi sapere chi ha toccato le informazioni, chi ha cambiato qualcosa, chi le ha accedute, chi le ha caricate, per esempio. Qual è il lignaggio, qual è la provvidenza di questi dati? Puoi star certo che tutti questi problemi rimarranno importanti negli anni a venire per tutti i tipi di motivi. Non solo per conformità, anche se HIPAA, Sarbanes-Oxley e Dodd-Frank, e tutte queste normative sono molto significative, ma anche solo per capire nella tua azienda chi sta facendo cosa, dove, quando, perché e come. Questa è roba buona, presteremo attenzione.
Vai avanti, portalo via, Robin Bloor.
Robin Bloor: Okay, grazie per questa presentazione, Eric. Quest'area di governance è, intendo, governance nell'IT non era una parola che hai sentito fino a poco dopo il 2000, credo. È nato principalmente perché, penso comunque, è nato principalmente perché c'era in atto una normativa sulla conformità. In particolare HIPAA e Sarbanes-Oxley. In realtà ce n'è molto. Pertanto, le organizzazioni si sono rese conto che dovevano avere un insieme di regole e un insieme di procedure perché era necessario per legge farlo. Molto prima, in particolare nel settore bancario, c'erano varie iniziative alle quali dovevi obbedire a seconda del tipo di banca che eri, e in particolare dei banchieri internazionali. L'intera conformità di Basilea è iniziata molto prima di quella particolare serie di iniziative dopo l'anno 2000. Tutto dipende davvero dalla governance. Ho pensato di parlare dell'argomento governance come introduzione al focus di tenere d'occhio chi sta ottenendo i dati.
Data governance, mi guardavo intorno, penso a cinque o sei anni fa, cercavo le definizioni e non era affatto ben definito. È diventato sempre più chiaro su cosa significhi effettivamente. La realtà della situazione era che, entro certi limiti, tutti i dati erano effettivamente governati in precedenza, ma non c'erano regole formali per esso. C'erano regole speciali che venivano fatte in particolare nel settore bancario per fare cose del genere, ma ancora una volta si trattava più di conformità. In un modo o nell'altro provare che eri effettivamente un - è un po 'associato al rischio, quindi sta dimostrando che eri una banca valida era l'affare.
Se guardi ora alla sfida della governance, inizia con un dato sul movimento dei big data. Abbiamo un numero crescente di fonti di dati. Il volume dei dati ovviamente è un problema. In particolare, abbiamo iniziato a fare molto, molto, di più con dati non strutturati. Ha iniziato a diventare qualcosa che fa parte dell'intero gioco di analisi. E a causa dell'analisi, la provenienza dei dati e i lignaggi sono importanti. Dal punto di vista dell'utilizzo dell'analisi dei dati in qualsiasi modo correlato a qualsiasi tipo di conformità, è necessario conoscere a fondo da dove provengono i dati e come devono essere.
La crittografia dei dati ha iniziato a diventare un problema, diventare un problema più grande non appena siamo andati a Hadoop perché l'idea di un lago di dati in cui archiviamo molti dati, improvvisamente significa che hai una vasta area di vulnerabilità delle persone che possono ottenere a esso. La crittografia dei dati è diventata molto più importante. L'autenticazione è sempre stata un problema. Nell'ambiente più vecchio, rigorosamente ambiente mainframe, avevano una protezione di sicurezza perimetrale così meravigliosa; l'autenticazione non è mai stata un grosso problema. Successivamente è diventato un problema più grande ed è molto più un problema ora perché abbiamo ambienti così enormemente distribuiti. Il monitoraggio dell'accesso ai dati è diventato un problema. Mi sembra di ricordare vari strumenti che sono nati circa dieci anni fa. Penso che la maggior parte di questi siano stati guidati da iniziative di conformità. Pertanto abbiamo anche tutte le regole di conformità, i rapporti di conformità.
La cosa che mi viene in mente è che anche negli anni '90, quando stavi facendo studi clinici nell'industria farmaceutica, non dovevi solo essere in grado di dimostrare da dove provenivano i dati - ovviamente è molto importante, se stai provando una droga in vari contesti, per sapere chi viene processato e quali sono i dati contestuali che lo circondano - dovevi essere in grado di fornire un controllo del software che ha effettivamente creato i dati. È la parte più severa di conformità che abbia mai visto da nessuna parte, in termini di prova del fatto che non stai davvero rovinando le cose deliberatamente o accidentalmente. In tempi recenti, in particolare la gestione del ciclo di vita dei dati è diventata un problema. Tutti questi sono in qualche modo sfide perché molti di questi non sono stati fatti bene. In molte circostanze è necessario farlo.
Questo è ciò che chiamo la piramide dei dati. Ne ho parlato in precedenza. Lo trovo un modo molto interessante di vedere le cose. Puoi pensare ai dati come a strati. I dati non elaborati, se lo desideri, sono in realtà solo segnali o misurazioni, registrazioni, eventi, principalmente record singoli. Eventuali transazioni, calcoli e aggregazioni ovviamente creano nuovi dati. Possono essere pensati a livello di dati. Inoltre, una volta che si collegano effettivamente i dati, diventano informazioni. Diventa più utile, ma ovviamente diventa più vulnerabile alle persone che lo hackerano o lo abusano. Lo definisco come creato, in realtà, attraverso la strutturazione dei dati, essendo in grado di visualizzare i dati con glossari, schemi, ontologie sull'informazione. Quei due strati inferiori sono ciò che elaboriamo in un modo o nell'altro. Sopra questo è quello che chiamo il livello di conoscenza costituito da regole, politiche, linee guida, procedura. Alcuni dei quali possono effettivamente essere creati da approfondimenti scoperti nell'analisi. Molti di loro sono in realtà politiche che devi rispettare. Questo è il livello, se vuoi, della governance. È qui che, in un modo o nell'altro, se questo livello non viene popolato correttamente, i due livelli sottostanti non vengono gestiti. L'ultimo punto a riguardo è capire in qualcosa che risiede solo negli esseri umani. Per fortuna, i computer non sono ancora riusciti a farlo. Altrimenti, sarei senza lavoro.
L'impero della governance - In un certo senso ho messo insieme questo, penso che debba essere stato circa nove mesi fa, forse molto prima. Fondamentalmente, l'ho migliorato, ma non appena abbiamo iniziato a preoccuparci della governance, allora c'era, in termini di hub di dati aziendali, non c'erano solo serbatoio di dati, risorse di data lake, ma anche server generali di vario tipo, server di dati specializzati. Tutto ciò doveva essere governato. Quando hai effettivamente esaminato anche le varie dimensioni - sicurezza dei dati, pulizia dei dati, scoperta dei metadati e gestione dei metadati, creazione di un glossario aziendale, mappatura dei dati, discendenza dei dati, gestione del ciclo di vita dei dati - quindi, gestione del monitoraggio delle prestazioni, gestione del livello di servizio, gestione del sistema, che potresti non associare effettivamente alla governance, ma a un certo - ora che stiamo andando in un mondo sempre più veloce con sempre più flussi di dati, essere effettivamente in grado di fare qualcosa con una prestazione particolare è in realtà una necessità e inizia a diventare una regola di funzionamento piuttosto che qualsiasi altra cosa.
Riassumendo in termini di crescita della conformità, l'ho visto accadere per molti, molti anni, ma la protezione generale dei dati è arrivata negli anni '90 in Europa. Da allora è diventato sempre più sofisticato. Quindi, tutte queste cose hanno iniziato a essere introdotte o rese più sofisticate. GRC, che è il rischio di governance e conformità, è in corso da quando le banche hanno fatto Basilea. ISO ha creato standard per vari tipi di operazioni. So per tutto il tempo che sono stato nell'IT - è da molto tempo - il governo degli Stati Uniti è stato particolarmente attivo nella creazione di varie legislazioni: SOX, c'è Gramm-Leach-Bliley, HIPAA, FISMA, FERPA. Hai anche la meravigliosa organizzazione NIST che crea molti standard, in particolare standard di sicurezza, molto utili. Le leggi sulla protezione dei dati in Europa hanno variazioni locali. Quello che puoi fare con i dati personali in Germania, ad esempio, è diverso da quello che puoi fare nella Repubblica slovacca, in Slovenia o ovunque. Hanno introdotto di recente - e ho pensato di menzionarlo perché lo trovo divertente - l'Europa sta introducendo l'idea del diritto all'oblio. Cioè, ci dovrebbe essere uno statuto di limitazioni sui dati che sono stati pubblici che in realtà sono dati personali. Penso che sia divertente. Da un punto di vista IT sarà molto, molto difficile se inizierà a diventare una legislazione efficace. In sintesi, direi quanto segue: Poiché i dati e la gestione IT si stanno evolvendo rapidamente, anche la governance deve evolversi rapidamente e si applica a tutte le aree di governance.
Detto questo, passerò la palla a Dez.
Eric Kavanagh: Sì davvero, quindi Dez Blanchfield, portalo via. Robin, sono con te, amico, muoio dalla voglia di vedere come si manifesta questo diritto all'oblio. Penso che non sarà solo impegnativo ma sostanzialmente impossibile. È solo una violazione dell'attesa di essere esercitati dalle agenzie governative. Dez, portalo via.
Dez Blanchfield: Lo è davvero ed è un argomento per un'altra discussione. Abbiamo una sfida molto simile qui in Asia-Pacifico, e in particolare in Australia, dove i vettori e gli ISP sono tenuti a registrare tutto ciò che riguarda Internet ed essere in grado di registrarlo e rigurgitarlo nel caso in cui qualcuno di interesse faccia qualcosa di sbagliato. È una legge e devi rispettarla. La sfida, proprio come qualcuno a Google negli Stati Uniti potrebbe essere invitato a cancellare la mia cronologia delle ricerche o altro, potrebbe essere quello di rispettare la legge europea, in particolare la legge tedesca sulla privacy. In Australia, se un'agenzia vuole esaminarti, un operatore deve essere in grado di fornire dettagli sulle chiamate e sulla cronologia delle ricerche effettuate, il che è una sfida, ma è il mondo in cui viviamo. Ci sono molte ragioni per questo. Lasciami saltare nel mio.
Ho deliberatamente reso il mio frontespizio difficile da leggere. Devi davvero guardare duro a quel testo. Conformità, conforme a una serie di regole, specifiche, controlli, politiche, standard o leggi, con uno sfondo sciocco e disordinato. Questo perché devi guardare molto attentamente per ottenere i dettagli ed estrarre informazioni da ciò che è sovrapposto, che è una serie di tabelle, righe e colonne, un database, uno schema o un modello in Visio. Questo è ciò che la conformità si sente ogni giorno. È abbastanza difficile immergersi nei dettagli ed estrarre le informazioni pertinenti necessarie per essere in grado di confermare la propria conformità. Segnalalo, monitoralo e testalo.
In effetti, ho pensato davvero a un buon modo per visualizzarlo quando ci poniamo la domanda "Sei conforme?" "Sei sicuro?" "Beh, dimostralo!" C'è una cosa davvero divertente che forse è un po 'più anglo-celtica ma sono sicuro che si è fatto strada negli Stati Uniti, quindi è: "Dov'è Wally?" Wally è un piccolo personaggio che entra in questi disegni di cartoni animati sotto forma di libri. Di solito immagini su larga scala di A3 o più grandi. Quindi, disegni di dimensioni di una tabella. È un piccolo personaggio che indossa un berretto e una camicia a righe bianco-rossa. L'idea del gioco è che guardi questa immagine e ti guardi intorno in cerchio per cercare di trovare Wally. È in quella foto da qualche parte. Quando pensi a come scoprire, descrivere e riferire sulla conformità, in molti modi è come giocare a “Dov'è Wally”. Se guardi quella foto, è quasi impossibile trovare il personaggio. I bambini ci passano ore e mi sono divertito molto a farlo ieri. Quando lo guardiamo, troviamo un sacco di persone in questi cartoni animati, deliberatamente collocati lì con pezzi simili dell'outfit Wally di un berretto a righe e una maglia, o un top di lana. Ma si trasformano in falsi positivi.
Questa è una sfida simile che abbiamo con la conformità. Quando guardiamo le cose, a volte qualcosa pensiamo che sia così, non è affatto così. Qualcuno potrebbe avere accesso a un database e dovrebbero avere tale accesso a un database, ma il modo in cui lo stanno usando è leggermente diverso da quello che ci aspettiamo. Potremmo decidere che è qualcosa che dobbiamo guardare. Quando lo esaminiamo troviamo, oh in realtà, che è un utente molto valido. Stanno solo facendo qualcosa di eccentrico. Forse è un ricercatore di PC o chi lo sa. In altri casi, potrebbe essere il contrario. La realtà, quando vado di nuovo avanti, c'è Wally. Se hai guardato molto duramente in questa alta risoluzione, c'è un personaggio che indossa davvero l'abbigliamento giusto. Tutti gli altri sono solo sosia e simili. La conformità è molto simile. La maggior parte delle persone che conosco lavorano in aree di controllo, conformità e politiche delle imprese. In tutta una serie di settori, che si tratti di tecnologia, che si tratti di finanza, operazione o rischio. Spesso è molto difficile vedere il Wally nella foto, vedrai gli alberi o il bosco.
La domanda che ci poniamo, quando pensiamo a cose come la conformità, è "Un grosso problema, cosa potrebbe andare storto se non rispettiamo completamente la conformità?" Nel contesto della discussione odierna, in particolare per quanto riguarda il database e il controllo dell'accesso ai dati, ti fornirò alcuni esempi molto reali di sveglia su cosa può andare storto in una forma sintetica molto breve. Se pensiamo alle violazioni dei dati e conosciamo tutti le violazioni dei dati, le ascoltiamo nei media e ci fermiamo a ridere, perché la gente pensa che siano mercati. Sono cose personali. Sono Ashley Madison e le persone che stanno cercando di ottenere appuntamenti al di fuori delle loro relazioni e matrimoni. Sono conti di lancio. Sono tutte queste cose strane o alcuni ISP casuali europei o russi o società di hosting vengono violati. Quando si tratta di cose come MySpace e queste prime dieci, quando si guardano questi numeri, quello che voglio che tu realizzi è questo: 1, 1 miliardi di persone in queste prime dieci violazioni. E sì, ci sono sovrapposizioni, probabilmente ci sono persone che hanno un account MySpace, un account Dropbox e un account Tumblr, ma arrotondiamolo a un miliardo di persone.
Queste prime dieci violazioni dell'ultimo decennio circa - nemmeno un decennio, nella maggior parte dei casi - riassumono circa un settimo della popolazione mondiale di esseri umani, ma più realisticamente, circa il 50 percento del numero di persone è collegato al Internet, oltre un miliardo di persone. Ciò accade perché in alcuni casi non è stata rispettata la conformità. Nella maggior parte dei casi, sono stati controllati l'accesso al database, il controllo dell'accesso a determinati set di dati, sistemi e reti. Questo è un controllo della realtà spaventoso. Se non ti spaventa, quando guardi i primi dieci e puoi vedere che questo è un - o puoi vedere che si tratta di un miliardo di individui, veri esseri umani proprio come noi, in questa chiamata in questo momento. Se disponi di un account LinkedIn, se disponi di un account Dropbox o Tumblr o se hai acquistato da prodotti Adobe o addirittura registrato, scarica Adobe Viewer gratuitamente. È del tutto probabile, non possibile, è del tutto probabile che i tuoi dati, il tuo nome, il tuo cognome, il tuo indirizzo e-mail, potenzialmente anche l'indirizzo della tua azienda di lavoro, o il tuo indirizzo di casa o la tua carta di credito, siano effettivamente là fuori a causa di una violazione ciò è avvenuto a causa dei controlli, che non erano necessariamente gestiti bene sotto forma di gestione dei dati, governance dei dati.
Diamo un'occhiata quando lo guardiamo in dettaglio. C'è uno schermo di loro, ci sono circa 50 qualcosa lì. Ce ne sono altri 15. Ce ne sono altri 25. Queste sono violazioni dei dati che sono elencate su un sito web chiamato haveibeenpwned.com. Questo è ciò che potrebbe andare storto se qualcosa di semplice come il controllo di chi ha avuto accesso ai dati nei database in diversi campi e righe e colonne e diverse applicazioni nella tua azienda, non è gestito correttamente. Queste organizzazioni sono ora guidate dai dati. La maggior parte dei dati vive in un database in qualche modo. Quando ci pensi, quell'elenco di violazioni che abbiamo appena visto, e spero che ti abbia dato un po 'di doccia fredda in un certo senso, in quanto hai pensato "Hmm, è molto reale" e potenzialmente ti ha influenzato. Nel 2012, quella violazione di LinkedIn, ad esempio, la maggior parte dei professionisti ha un account LinkedIn in questi giorni ed è probabile che i tuoi dati vengano persi. Sono usciti su Internet dal 2012. Ne siamo appena stati informati nel 2016. Cosa ti è successo delle tue informazioni in quei quattro anni? Bene, è interessante e possiamo parlarne separatamente.
Gestione di database e sistemi: spesso parlo di quelle che considero le prime cinque sfide nella gestione di queste cose. In fondo, molto in alto e li classifica in ordine di preferenza da me stesso, ma anche in ordine di impatto, il numero uno è la sicurezza e la conformità. I controlli e i meccanismi e le politiche sul controllo di chi ha quale accesso a quale sistema, per quale ragione e scopo. Riferire su questo e monitorarlo, esaminare i sistemi, esaminare i database e vedere chi può effettivamente accedere a record, singoli campi e record.
Pensaci in una forma molto semplice. Parliamo di banca e gestione patrimoniale come esempio. Quando ti registri per un conto bancario, diciamo solo un normale conto in contanti per una carta EFTPOS, o un conto in contanti o un conto corrente. Compilate un modulo e ci sono molte informazioni molto private in quel pezzo di carta che compilate o lo fate online e che va in un sistema informatico. Ora, se qualcuno nel marketing vuole contattarti e inviarti una brochure, dovrebbe essere permesso di vedere il tuo nome e cognome, e il tuo indirizzo personale, ad esempio e potenzialmente il tuo numero di telefono se vogliono chiamarti a freddo e venderti qualcosa. Probabilmente non dovrebbero vedere la quantità totale di denaro che hai in banca per una serie di motivi. Se qualcuno ti sta guardando da un punto di vista del rischio o sta cercando di aiutarti a fare qualcosa come ottenere tassi di interesse migliori sul tuo conto, quella particolare persona probabilmente vuole vedere quanti soldi hai in banca, quindi possono offrirti gli adeguati livelli di rendimento sul tuo denaro. Quei due individui hanno ruoli molto diversi e ragioni molto diverse per quei ruoli e scopi per quei ruoli. Di conseguenza, è necessario visualizzare informazioni diverse nel record, ma non tutto il record.
Questi controlli attorno al diverso rapporto delle schermate o dei moduli normali che hanno nelle applicazioni utilizzate per gestire il tuo account. Lo sviluppo di quelli, il mantenimento di quelli, l'amministrazione di quelli, i rapporti intorno a quelli e la governance e la conformità avvolti attorno a quelli come il bubble wrap, sono tutti una sfida molto, molto grande. Questa è solo la sfida numero uno nella gestione di dati e sistemi. Quando approfondiamo lo stack in termini di prestazioni e monitoraggio, rilevamento e risposta all'incidenza, gestione e amministrazione del sistema e conformità, la progettazione e lo sviluppo dei sistemi dalla conformità diventano molto più difficili.
Gestire l'intera questione della riduzione dei rischi e del miglioramento della sicurezza. Le mie prime cinque sfide in questo spazio - e mi piacciono le immagini che accompagnano un ufficio doganale quando si entra in un paese - presentano il passaporto, ti controllano e guardano il loro sistema informatico per vedere se dovresti passare o no. Se non dovessi, ti hanno messo sul prossimo aereo a casa. Altrimenti, ti fanno rientrare e ti fanno domande tipo "Stai venendo in vacanza? Sei qui un turista? Sei qui per lavoro? Che tipo di lavoro hai intenzione di vedere? Dove alloggerai? ? Per quanto tempo stai arrivando? Hai abbastanza soldi per coprire le tue spese e i tuoi costi? O diventerai un rischio per il paese in cui ti trovi e potrebbero doverti curare e nutrirti? "
Esistono alcuni problemi in questo spazio di dati, nella gestione della protezione dei dati. Ad esempio nello spazio del database, dobbiamo pensare a mitigare i bypass del database. Se i dati sono nel database, in un ambiente normale e ci sono controlli e meccanismi attorno a quelli nel sistema. Cosa succede se un dump dei dati viene creato in più SQL e viene eseguito il backup su nastro? I database vengono scaricati in forma grezza e il backup a volte. A volte è fatto per motivi tecnici, motivi di sviluppo. Diciamo solo che è stato eseguito un dump DB ed è stato eseguito il backup su nastro. Cosa succede se mi capita di mettere le mani su quel nastro e ripristinarlo? E ho una copia grezza del database in SQL. È un file MP, è un testo, posso leggerlo. Tutte le password archiviate in quel dump non hanno alcun controllo su di me perché ora sto ottenendo l'accesso al contenuto effettivo del database senza che il motore del database lo protegga. Quindi posso tecnicamente bypassare la sicurezza della piattaforma di database che viene costruita nel motore con la conformità e la gestione dei rischi per impedirmi di guardare i dati. Perché potenzialmente lo sviluppatore, l'amministratore di sistema, ho messo le mani su un dump completo del database che dovrebbe essere usato per i backup.
Uso improprio dei dati: potenzialmente indurre qualcuno ad accedere come account elevato e a farmi sedere sullo schermo, in cerca di informazioni o cose simili. Controllo proprietario, dell'accesso e dell'uso dei dati e visualizzazione dei dati o modifiche ai dati. Quindi la segnalazione intorno a quel controllo e la conformità richiesta. Monitoraggio del traffico e degli accessi e così via, blocco delle minacce provenienti da posizioni e server esterni. Ad esempio, se i dati vengono presentati tramite un modulo su una pagina Web su Internet, le loro iniezioni SQL sono state protette tramite firewall e controlli concettuali? C'è una lunga storia dettagliata che segue questa storia. Qui puoi vedere che solo alcune di queste cose assolutamente fondamentali a cui pensiamo nel mitigare e gestire il rischio attorno ai dati all'interno dei database. In realtà è relativamente facile aggirare alcuni di questi se si è a diversi livelli di pile di tecnologie. La sfida diventa sempre più difficile man mano che ottieni sempre più dati e più database. Sempre più impegnativo per le persone che devono gestire i sistemi e monitorarne l'uso, tenere traccia dei dettagli rilevanti che riguardano in modo specifico le cose di cui Robin ha parlato, intorno a cose come la conformità personale. Gli individui hanno controlli e meccanismi intorno a loro che sono conformi: se fai qualcosa di sbagliato, sei potenzialmente licenziato. Se accedo come il mio account ti consente di vederlo, dovrebbe essere un reato attivabile. Ora ti ho dato accesso a dati che non avresti dovuto vedere normalmente.
C'è la conformità personale, c'è la conformità aziendale, le aziende hanno politiche e regole e controlli che si sono posti su di sé proprio per far funzionare bene la società e fornire un ritorno sugli utili e un buon ritorno a investitori e azionisti. Poi c'è spesso in tutta la città o in tutto lo stato o nazionale, federale come hai detto controlli e leggi statunitensi. Poi ci sono quelli globali. Alcuni dei maggiori incidenti nel mondo, in cui artisti del calibro di Sarbanes-Oxley, due persone a cui viene chiesto di trovare modi su come proteggere dati e sistemi. C'è Basilea in Europa e tutta la gamma di controlli in Australia, in particolare per quanto riguarda la borsa e le piattaforme di credenziali, e quindi la privacy a livello individuale o aziendale. Quando ognuno di questi è accatastato come hai visto in uno dei siti che Robin aveva, diventano quasi una montagna quasi impossibile da scalare. I costi aumentano e siamo nel punto in cui conosci un approccio tradizionale originale, come gli esseri umani che misurano il controllo, non è più un approccio appropriato perché la scala è troppo grande.
Abbiamo uno scenario in cui la conformità è ciò che chiamo ora un problema sempre attivo. E cioè che potenzialmente avevamo un punto nel tempo, mensile o trimestrale o annuale, in cui avremmo rivisto il nostro stato della nazione e aiutato a rispettare e controllare. Accertarsi che determinate persone avessero un certo accesso e che non avessero avuto un certo accesso a seconda di quali fossero le loro autorizzazioni. Ora si tratta della velocità delle cose con cui le cose si muovono, del ritmo con cui le cose cambiano, della scala su cui stiamo operando. La conformità è sempre un problema e la crisi finanziaria globale è stata solo un esempio in cui i controlli pertinenti e le misure in materia di sicurezza e conformità avrebbero potuto potenzialmente evitare uno scenario in cui avevamo un treno merci in fuga di determinati comportamenti. Basta creare una situazione con il mondo intero in modo efficace sapendo che sarebbe fallita e fallita. Per fare ciò, abbiamo bisogno degli strumenti giusti. Lanciare esseri umani sul treno, lanciare corpi non è più un approccio valido perché la scala è troppo grande e le cose si muovono troppo velocemente. La discussione di oggi, penso che avremo, riguarda i tipi di strumenti da applicare a questo. In particolare gli strumenti che IDERA può fornirci che dovrebbero farlo. E con questo in mente, lo consegnerò a Bullett per illustrare il suo materiale e mostrarci il loro approccio e gli strumenti che hanno per risolvere questo problema che abbiamo presentato ora per te.
Detto questo, Bullett, ti darò una mano.
Bullett Manale: Sembra fantastico, grazie. Voglio parlare di alcune diapositive e voglio anche mostrarti un prodotto che usiamo per i database di SQL Server specificamente per aiutare con situazioni di conformità. Davvero, la sfida in molti casi - ne supererò alcuni - questo è solo il nostro portafoglio di prodotti, lo affronterò abbastanza rapidamente. In termini di dove questo prodotto verrà indirizzato e in che modo si riferisce alla conformità, lo considero sempre come la prima diapositiva perché è una specie di generico, "Ehi, qual è la responsabilità di un DBA?" Una delle cose controlla e monitora l'accesso degli utenti e può anche generare report. Ciò si collegherà a quando parli con il tuo revisore, la difficoltà di tale processo varierà a seconda se lo farai da solo o se utilizzerai una terza parte strumento per aiutare.
In generale, quando parlo con gli amministratori di database, molte volte non sono mai stati coinvolti in un audit. In un certo senso devi educarli in quello che davvero devi fare. Relativo al tipo di conformità che deve essere rispettato e alla capacità di dimostrare che stai effettivamente seguendo le regole applicate a quel livello di conformità. Molte persone all'inizio non capiscono. Pensano: "Oh, posso semplicemente comprare uno strumento che mi renderà conforme". La realtà è che non è così. Vorrei poter dire che il nostro prodotto magicamente, sai, premendo il pulsante facile, ti ha dato la possibilità di assicurarti che sei conforme. La realtà è che devi avere il tuo ambiente impostato in termini di controlli, in termini di come le persone accedono ai dati, che tutto deve essere elaborato con l'applicazione che hai. Dove vengono archiviati i dati sensibili, che tipo di requisiti normativi sono. Quindi, devi anche lavorare con un responsabile della conformità interno e assicurarti di seguire tutte le regole.
Sembra davvero complicato. Se osservi tutti i requisiti normativi, penseresti che sarebbe il caso, ma la realtà è che qui c'è un denominatore comune. Nel nostro caso con lo strumento che vi mostrerò oggi, il prodotto Compliance Manager, il processo nella nostra situazione sarebbe che, prima di tutto, dobbiamo assicurarci di raccogliere i dati della pista di controllo, correlati alla posizione dei dati nel database sensibili. Puoi raccogliere tutto, vero? Potrei uscire e dire che voglio raccogliere tutte le transazioni che avvengono su questo database. La realtà è che probabilmente hai solo una piccola parte o una piccola percentuale di transazioni che sono effettivamente correlate ai dati sensibili. Se si tratta di conformità PCI, si tratterà delle informazioni sulla carta di credito, dei proprietari delle carte di credito e delle loro informazioni personali. Potrebbero esserci molte altre transazioni relative alla tua applicazione, che non hanno alcun impatto sui requisiti normativi del PCI.
Da quel punto di vista, la prima cosa quando parlo con DBA è che dico: “La sfida numero uno non è cercare di ottenere uno strumento per fare queste cose per te. È solo sapere dove si trovano quei dati sensibili e come li stiamo bloccando? "Se ce l'hai, se riesci a rispondere a quella domanda, allora sei a metà strada in termini di essere in grado di dimostrare che sei conforme, supponendo che tu stia seguendo i giusti controlli. Diciamo per un secondo che stai seguendo i giusti controlli e hai detto ai revisori che è così. La parte successiva del processo è ovviamente in grado di fornire una pista di controllo che mostri e convalidi che i controlli funzionino effettivamente. Quindi, in seguito, assicurandoti di salvare quei dati. Di solito con cose come la conformità PCI e HIPAA e quel tipo di cose, stai parlando di sette anni di conservazione. Stai parlando di molte transazioni e molti dati.
Se stai conservando, raccogliendo ogni transazione anche se solo il cinque percento delle transazioni è correlato ai dati sensibili, stai parlando di un costo piuttosto elevato associato alla necessità di conservare tali dati per sette anni. Questa è una delle maggiori sfide, penso, è quella di convincere la gente a dirlo, è un costo davvero inutile, ovviamente. È anche molto più semplice se possiamo concentrarci solo granularmente sulle aree sensibili all'interno del database. Inoltre, vorrai anche controlli su alcune delle informazioni sensibili. Non solo per mostrare in termini di audit trail, ma anche per essere in grado di legare le cose alle azioni che stanno accadendo ed essere in grado di ricevere notifiche in tempo reale, in modo che tu possa esserne consapevole.
L'esempio che uso sempre, e potrebbe non essere necessariamente correlato a qualsiasi tipo di requisito normativo, ma solo essere in grado di tracciare, ad esempio, qualcuno dovrebbe abbandonare la tabella associata al libro paga. Se ciò accade, il modo in cui lo scopri, se non lo stai monitorando, è che nessuno viene pagato. È troppo tardi Volete sapere quando quel tavolo viene lasciato cadere, proprio quando viene lasciato cadere, per evitare cose brutte che accadono a causa di un dipendente scontento che va e cancella il tavolo che è legato direttamente al libro paga.
Detto questo, il trucco sta nel trovare il comune denominatore o nell'utilizzare quel comune denominatore per mappare il livello di conformità. È un po 'quello che proviamo a fare con questo strumento. Fondamentalmente adottiamo l'approccio di, non ti mostreremo un rapporto specifico per PCI, specifico per le azioni; il comune denominatore è che hai un'applicazione che utilizza SQL Server per archiviare i dati sensibili all'interno del database. Una volta che riesci a superare quello che dici, "Sì, è davvero la cosa principale su cui dobbiamo concentrarci - dove sono quei dati sensibili e come si accede?" Una volta che lo hai, ci sono un sacco di segnalazioni che offriamo che possono fornire che la prova è conforme alla tua volontà.
Tornando alle domande poste da un revisore, la prima domanda sarà: chi ha accesso ai dati e come ottengono tale accesso? Puoi dimostrare che le persone giuste accedono ai dati e le persone sbagliate no? Puoi anche dimostrare che la pista di controllo stessa è qualcosa di cui mi posso fidare come fonte immutabile di informazioni? Se ti sto dando una pista di controllo che è fabbricata, in realtà non mi fa molto bene come revisore correggere la tua verifica se le informazioni sono fabbricate. Ne abbiamo bisogno, in genere dal punto di vista dell'auditing.
Passando attraverso quelle domande, un po 'più dettagliate. La sfida con la prima domanda è, come ho detto, devi sapere dove si trovano quei dati sensibili per riferire su chi vi accede. Di solito è un tipo di scoperta e in realtà hai migliaia di applicazioni diverse che sono là fuori, hai tonnellate di requisiti normativi diversi. Nella maggior parte dei casi, vuoi collaborare con il tuo responsabile della conformità se ne hai uno, o almeno qualcuno che avrebbe qualche informazione aggiuntiva in termini di reale dove sono i miei dati sensibili all'interno dell'applicazione. Abbiamo uno strumento che abbiamo, è uno strumento gratuito, si chiama una ricerca di colonne SQL. Diciamo ai nostri potenziali clienti e utenti che sono interessati a quella domanda, possono andare a scaricarlo. Quello che sta per fare è fondamentalmente cercare le informazioni all'interno del database che saranno probabilmente sensibili in natura.
E una volta che lo fai, devi anche capire come le persone accedono a quei dati. E questo sarà, ancora una volta, quali account sono all'interno di quali gruppi di Active Directory, quali utenti del database sono coinvolti, c'è un ruolo associato a questo. E tenendo presente, ovviamente, che tutte queste cose di cui stiamo parlando devono essere approvate dal revisore, quindi se dici "Ecco come stiamo bloccando i dati", allora i revisori possono venire indietro e dire: "Beh, stai sbagliando". Ma diciamo che dicono: "Sì, sembra buono. Stai bloccando sufficientemente i dati. "
Passando alla domanda successiva, che sarà, puoi provare che le persone giuste accedono a quei dati? In altre parole, puoi dire loro che sono i tuoi controlli, questi sono i controlli che stai seguendo, ma sfortunatamente i revisori non sono veri individui fiduciosi. Vogliono dimostrarlo e vogliono poterlo vedere all'interno della pista di controllo. E questo risale a tutta quella cosa comune denominatore. Che si tratti di PCI, SOX, HIPAA, GLBA, Basilea II, qualunque sia, la realtà è, è che gli stessi tipi di domande verranno poste in genere. L'oggetto con le informazioni sensibili, chi ha avuto accesso a quell'oggetto nell'ultimo mese? Ciò dovrebbe essere associato ai miei controlli e dovrei essere in grado di passare il mio audit alla fine mostrando quei tipi di rapporti.
E quindi quello che abbiamo fatto è che abbiamo compilato circa 25 diversi rapporti che seguono lo stesso tipo di aree di quel comune denominatore. Quindi non abbiamo un rapporto per PCI o per HIPAA o per SOX, abbiamo rapporti che, ancora una volta, vanno contro quel comune denominatore. E quindi non importa davvero quale requisito normativo stai cercando di soddisfare, nella maggior parte dei casi sarai in grado di rispondere a qualsiasi domanda ti venga posta da quel revisore. E ti diranno chi, cosa, quando e dove di ogni transazione. Sai, l'utente, il momento in cui è avvenuta la transazione, l'istruzione SQL stessa, l'applicazione da cui proviene, tutto ciò che è buono, e quindi anche essere in grado di automatizzare la consegna di queste informazioni ai report.
E poi, ancora una volta, una volta superato questo e lo hai fornito al revisore, la prossima domanda sarà, dimostralo. E quando dico di dimostrarlo, intendo dimostrare che la pista di controllo stessa è qualcosa di cui possiamo fidarci. E il modo in cui lo facciamo nel nostro strumento è che abbiamo valori di hash e valori CRC che si ricollegano direttamente agli eventi stessi all'interno della pista di controllo. Quindi l'idea è che se qualcuno esce ed elimina un record o se qualcuno esce e rimuove o aggiunge qualcosa alla pista di controllo o cambia qualcosa nella pista di controllo stesso, possiamo dimostrare che quei dati, l'integrità di i dati stessi sono stati violati. E quindi il 99, 9 percento delle volte se hai bloccato il nostro database di audit trail, non incontrerai quel problema perché quando eseguiamo quel controllo di integrità stiamo essenzialmente dimostrando al revisore che i dati stessi non sono stati modificato, cancellato o aggiunto dopo la scrittura originale dal servizio di gestione stesso.
Quindi è una specie di panoramica generale dei tipi tipici di domande che ti verranno poste. Ora, lo strumento che dobbiamo affrontare molto di questo si chiama SQL Compliance Manager e fa tutto ciò in termini di tracciamento delle transazioni, chi, cosa, quando e dove delle transazioni, potendo farlo in un numero di aree diverse pure. Accessi, accessi non riusciti, modifiche dello schema, ovviamente accesso ai dati, attività di selezione, tutte quelle cose che stanno accadendo all'interno del motore di database. E siamo anche in grado di avvisare gli utenti di condizioni specifiche, molto granulari, se necessario. Ad esempio, qualcuno sta uscendo e sta effettivamente visualizzando il tavolo che contiene tutti i numeri della mia carta di credito. Non stanno modificando i dati, ma solo guardandoli. In quella situazione posso allertare e posso far sapere alla gente che sta succedendo, non sei ore dopo quando raschiamo i tronchi ma in tempo reale. Fondamentalmente è il tempo necessario per elaborare la transazione tramite un servizio di gestione.
Come ho detto prima, abbiamo visto questo usato in una varietà di requisiti normativi diversi e non lo è davvero - sai, qualsiasi requisito normativo, ancora una volta, purché i comuni denominatori, tu abbia dati sensibili in un SQL Server database, questo è uno strumento che potrebbe aiutare in quel tipo di situazione. Per i 25 report integrati, ora la realtà è che possiamo rendere questo strumento buono per il revisore e rispondere a ogni singola domanda che pongono, ma i DBA sono quelli che devono farlo funzionare. Quindi c'è anche quel pensiero, lo sai bene, dal punto di vista della manutenzione dobbiamo assicurarci che l'SQL funzioni nel modo che vogliamo. Dobbiamo anche essere in grado di entrare e guardare le cose che saranno in grado di uscire e guardare altre informazioni, sai, per quanto riguarda l'archiviazione dei dati, l'automazione di ciò e le spese generali stesso del prodotto. Queste sono cose che ovviamente prendiamo in considerazione.
Il che fa apparire l'architettura stessa. Quindi sul lato destro dello schermo abbiamo le istanze di SQL che gestiamo, tutto dal 2000 fino al 2014, preparandoci a rilasciare una versione per il 2016. Il più grande takeaway su questo schermo è che la gestione il server stesso sta facendo tutto il lavoro pesante. Stiamo solo raccogliendo i dati, utilizzando l'API di traccia, integrata con SQL Server. Queste informazioni arrivano al nostro server di gestione. Lo stesso server di gestione sta identificando e se ci sono eventi legati a qualsiasi tipo di transazione che non desideriamo, inviando avvisi e quel tipo di cose e quindi popolando i dati all'interno di un repository. Da lì possiamo eseguire i rapporti, saremmo in grado di uscire e vedere effettivamente tali informazioni nei rapporti o persino all'interno della console dell'applicazione.
Quindi quello che sto per andare avanti e fare è che ci guiderà, molto rapidamente, e voglio solo sottolineare una cosa veloce prima di entrare nel prodotto, c'è un link sul sito Web in questo momento, o sulla presentazione, ti porterà a quello strumento gratuito che ho menzionato prima. Questo strumento gratuito, come ho detto, sta per uscire e guardare un database e provare a trovare le aree che sembrano dati sensibili, numeri di previdenza sociale, numeri di carte di credito, in base ai nomi delle colonne o delle tabelle, o in base al modo in cui il formato dei dati appare e puoi anche personalizzarlo, quindi solo per evidenziarlo.
Ora, nel nostro caso, lasciami andare avanti e condividere il mio schermo, dammi un secondo qui. Va bene, e quindi, quello che volevo portarti per primo è che voglio portarti all'applicazione Compliance Manager stessa e lo farò abbastanza rapidamente. Ma questa è l'applicazione e puoi vedere che ho un paio di database qui e ti mostrerò quanto è facile andare e dirgli cosa stai cercando di controllare. Dal punto di vista delle modifiche dello schema, delle modifiche di sicurezza, delle attività amministrative, DML, Select, abbiamo tutte quelle opzioni a nostra disposizione, possiamo anche filtrarle. Ciò risale alla migliore pratica di poter dire: “Ho davvero bisogno di questa tabella solo perché contiene i numeri della mia carta di credito. Non ho bisogno delle altre tabelle che contengono informazioni sul prodotto, tutte quelle altre cose che non sono relative al livello di conformità che sto cercando di soddisfare. "
Abbiamo anche la capacità di acquisire dati e mostrarli in termini di valori dei campi che stanno cambiando. In molti strumenti avrai qualcosa che ti darà la possibilità di catturare l'istruzione SQL, mostrare all'utente, mostrare l'applicazione, l'ora e la data, tutta quella roba buona. Ma in alcuni casi la stessa istruzione SQL non ti fornirà informazioni sufficienti per dirti quale sia stato il valore del campo prima che si verificasse la modifica, nonché il valore del campo dopo la modifica. E in alcune situazioni ne hai bisogno. Potrei voler tracciare, ad esempio, le informazioni sul dosaggio di un medico per i farmaci da prescrizione. È passato da 50 mg a 80 mg a 120 mg, sarei in grado di rintracciarlo usando il prima e il dopo.
Le colonne sensibili sono un'altra cosa che incontriamo molto, ad esempio, con la conformità PCI. Nella situazione qui hai dati di natura così sensibile che solo guardando queste informazioni, non devo modificarle, cancellarle o aggiungervi, posso causare danni irreparabili. Numeri di carte di credito, numeri di previdenza sociale, tutto quel genere di cose buone che possiamo identificare colonne sensibili e legare avvisi ad essa. Se qualcuno esce e guarda quelle informazioni saremmo in grado, ovviamente, di avvisare e inviare un'e-mail o generare una trap SNMP e quel genere di cose.
Ora in alcuni casi ti imbatterai in una situazione in cui potresti avere un'eccezione. E cosa intendo con questo, hai una situazione in cui hai un utente che ha un account utente che potrebbe essere legato a un tipo di lavoro ETL che viene eseguito nel cuore della notte. È un processo documentato e semplicemente non ho bisogno di includere tali informazioni transazionali per quell'account utente. In tal caso avremmo un utente fidato. E poi in altre situazioni utilizzeremmo la funzione di Privileged User Auditing che è essenzialmente, se ho, per esempio, un'applicazione, e quell'applicazione sta già facendo il controllo, degli utenti che stanno attraversando l'applicazione, questo è benissimo, ho già qualcosa di cui fare riferimento in termini di audit. Ma per le cose che sono legate, ad esempio, ai miei utenti privilegiati, i ragazzi che possono andare nello studio di gestione di SQL Server per guardare i dati all'interno del database, non li taglieranno. E così è qui che potremmo definire chi sono i nostri utenti privilegiati, tramite le appartenenze ai ruoli o tramite i loro account, gruppi, account autenticati da Active Directory, dove saremo in grado di scegliere tutti quei diversi tipi di opzioni e quindi da lì assicurati che per quegli utenti privilegiati possiamo specificare i tipi di transazioni che siamo interessati al controllo.
Questi sono tutti i diversi tipi di opzioni che hai e non ho intenzione di passare attraverso tutti i diversi tipi di cose in base ai limiti di tempo qui per questa presentazione. Ma voglio mostrarti come possiamo visualizzare i dati e penso che ti piacerà come funziona perché ci sono due modi in cui possiamo farlo. Posso farlo in modo interattivo e quindi quando parliamo con persone interessate a questo strumento per i propri controlli interni, vogliono solo sapere cosa sta succedendo in molti casi. Non hanno necessariamente auditor che arrivano sul posto. Vogliono solo sapere: "Ehi, voglio andare dopo questo tavolo e vedere chi lo ha toccato nell'ultima settimana o il mese scorso o qualunque cosa possa essere". In questo caso puoi vedere quanto velocemente possiamo farlo.
Nel caso del database dell'assistenza sanitaria, ho una tabella chiamata Patient Records. E quella tabella, se dovessi semplicemente raggruppare per oggetto, potrebbe iniziare molto rapidamente a restringere dove stiamo cercando. Forse voglio raggruppare per categoria e poi forse per evento. E quando lo faccio, puoi vedere quanto velocemente viene visualizzato e c'è la mia tabella dei record del paziente proprio lì. E mentre analizzo ora possiamo vedere l'attività DML, possiamo vedere che abbiamo avuto un migliaio di inserimenti di DML e quando apriamo una di queste transazioni possiamo vedere le informazioni rilevanti. Il chi, il cosa, il quando, il dove della transazione, l'istruzione SQL, ovviamente, l'applicazione effettiva utilizzata per eseguire la transazione, l'account, l'ora e la data.
Ora, se guardi la scheda successiva qui, la scheda Dettagli, questo risale alla terza domanda di cui stiamo parlando, dimostrando che l'integrità dei dati non è stata violata. Quindi praticamente ogni evento, abbiamo un calcolo segreto per il nostro valore di hash, e questo si collegherà a quando eseguiamo il nostro controllo di integrità. Ad esempio, se dovessi uscire dallo strumento, andare nel menu di controllo e dovessi uscire e dire, controlliamo l'integrità del repository, potrei puntare al database in cui si trova la pista di controllo, verrà eseguito attraverso un controllo di integrità che associ quei valori di hash e CRC agli eventi reali e ci dirà che non ci sono stati problemi. In altre parole, i dati nella pista di controllo non sono stati manomessi da quando sono stati originariamente scritti dal servizio di gestione. Questo è ovviamente un modo per interagire con i dati. L'altro modo sarebbe attraverso le relazioni stesse. E quindi ti darò solo un rapido esempio di rapporto.
E ancora una volta, questi rapporti, nel modo in cui li abbiamo elaborati, non sono specifici di alcun tipo di standard come PCI, HIPAA, SOX o qualcosa del genere. Ancora una volta, è il comune denominatore di ciò che stiamo facendo, e in questo caso, se torniamo all'esempio dei record dei pazienti, saremmo in grado di uscire e dire, nel nostro caso qui, stiamo cercando nel database dell'assistenza sanitaria e nel nostro caso vogliamo concentrarci specificamente su quella tabella che sappiamo contiene informazioni private, nel nostro caso, relative ai nostri pazienti. Quindi, fammi vedere se riesco a digitarlo qui e andremo avanti ed eseguiremo quel rapporto. E vedremo quindi, ovviamente, da lì tutti i dati rilevanti associati a quell'oggetto. E nel nostro caso ci sta mostrando per un periodo di tempo di un mese. Ma potremmo tornare indietro di sei mesi, un anno, per quanto tempo stiamo conservando i dati.
Questi sono i tipi di modi in cui potresti effettivamente dimostrare, se vuoi, al revisore che stai seguendo i tuoi controlli. Una volta identificato ciò, ovviamente è una buona cosa in termini di superamento dell'audit e di essere in grado di dimostrare che stai seguendo i controlli e tutto funziona.
L'ultima cosa di cui parlo di ciò che volevo dimostrare è nella sezione amministrazione. Ci sono anche controlli dal punto di vista di questo stesso strumento che è in grado di impostare controlli per essere in grado di assicurarsi che se qualcuno sta facendo qualcosa che non dovrebbero fare, posso esserne consapevole. E ti darò un paio di esempi lì. Ho un account di accesso che è legato a un servizio e quel servizio ha bisogno di autorizzazioni elevate per fare ciò che fa. Quello che non voglio è che qualcuno entri e usi quell'account in Management Studio e poi, sai, lo usi per cose a cui non era destinato. Avremmo due criteri qui che potremmo applicare. Potrei dire: "Guarda, siamo davvero interessati a questo lavoro, diciamo, con la nostra applicazione PeopleSoft", solo per fare un esempio, ok?
Ora che l'ho fatto, quello che sto dicendo qui è, sono curioso di sapere tutti gli accessi che sono collegati all'account che mi sto preparando a specificare, se l'applicazione che viene utilizzata per accedere con questo account non è PeopleSoft, quindi sarà un aumento per l'allarme. E ovviamente dobbiamo specificare il nome dell'account stesso, quindi nel nostro caso chiamiamo semplicemente questo account Priv, per il fatto che è privilegiato. Ora, una volta che l'abbiamo fatto, quando lo facciamo qui, ora saremmo in grado di specificare cosa vorremmo che accadesse quando si verifica e per ogni tipo di evento o, dovrei dire, avvisare, puoi avere una notifica separata per la persona responsabile di quel particolare dato.
Ad esempio, se si tratta di informazioni sullo stipendio potrebbe andare al mio direttore delle risorse umane. In questo caso, gestendo l'applicazione PeopleSoft, sarà l'amministratore di tale applicazione. Qualunque sia il caso. Sarei in grado di inserire il mio indirizzo e-mail, personalizzare il messaggio di avviso attuale e tutto quel genere di cose buone. Ancora una volta, ciò risale al fatto di essere in grado di dimostrare che stai seguendo i tuoi controlli e che tali controlli funzionano nel modo previsto. Dall'ultima prospettiva qui, solo in termini di manutenzione, abbiamo la possibilità di prendere questi dati e metterli offline. Posso archiviare i dati e pianificarli e saremmo in grado di fare queste cose molto facilmente, nel senso che in realtà potresti essere in grado, come DBA, che sta usando questo strumento, configurarlo e tipo di allontanati da esso Non ci sarà molta presa della mano che avrà luogo una volta che è stato impostato come dovrebbe essere. Come ho detto, la parte più difficile di tutto ciò, penso, non è impostare ciò che si desidera controllare, ma sapere cosa si desidera impostare per il controllo.
E come ho detto, la natura della bestia con l'auditing, devi conservare i dati per sette anni, quindi ha senso concentrarsi solo in quelle aree che sono sensibili in natura. Ma se vuoi seguire l'approccio della raccolta di tutto, puoi assolutamente farlo, non è considerato la migliore pratica. Quindi, da quel punto di vista, vorrei solo ricordare alla gente che se questo è qualcosa di interessante, puoi andare sul sito Web IDERA.com e scaricare una versione di prova e giocarci da solo. In termini di strumento gratuito di cui abbiamo parlato in precedenza che è, beh, è gratuito, puoi andare a scaricarlo e usarlo per sempre, indipendentemente dal fatto che tu stia utilizzando il prodotto Compliance Manager. E la cosa bella di quello strumento di ricerca di colonna è che i nostri risultati che ti vengono in mente, e posso effettivamente dimostrare che, penso, è che sarai in grado di esportare quei dati e quindi essere in grado di importarli in Compliance Manager anche. Non lo vedo, so che è qui, eccolo. Questo è solo un esempio. È qui che trova i dati sensibili correlati.
Ora questo caso sono uscito e ho davvero, sto dando un'occhiata a tutto, ma hai solo un sacco di cose che possiamo controllare. Numeri di carta di credito, indirizzi, nomi, tutto quel genere di cose. E identificheremo dove si trova nel database e quindi da lì è possibile decidere se si desidera o meno verificare tali informazioni. Ma è sicuramente un modo per renderti molto più facile definire il tuo ambito di auditing quando stai guardando uno strumento come questo.
Andrò avanti e chiuderò con quello, e andrò avanti e lo passerò di nuovo a Eric.
Eric Kavanagh: è una presentazione fantastica. Adoro il modo in cui entri nei dettagli grintosi e ci mostri cosa sta succedendo. Perché alla fine della giornata c'è un sistema che accederà ad alcuni record, che ti darà un rapporto, che ti farà raccontare la tua storia, che si tratti di un regolatore o di un revisore dei conti o di qualcuno nella tua squadra, quindi è bene che tu sappia di essere pronto se e quando, o come e quando, quella persona bussa e, naturalmente, questa è la spiacevole situazione che stai cercando di evitare. Ma se succede, e probabilmente accadrà in questi giorni, vuoi essere sicuro di avere il tuo io punteggiato e la tua T incrociata.
C'è una buona domanda da parte di un membro del pubblico che voglio rivolgere a te prima, Bullett, e poi se un presentatore vuole commentarlo, sentiti libero. E poi forse Dez fa una domanda e Robin. Quindi la domanda è: è giusto dire che per fare tutte quelle cose che hai menzionato è necessario iniziare uno sforzo di classificazione dei dati a livello elementare? Devi conoscere i tuoi dati quando emergono come un potenziale prezioso e fare qualcosa al riguardo. Penso che saresti d'accordo, Bullett, giusto?
Bullett Manale: Sì, assolutamente. Voglio dire, devi conoscere i tuoi dati. E mi rendo conto, riconosco che ci sono molte applicazioni che sono là fuori e ci sono molte cose diverse che hanno parti mobili nella tua organizzazione. Lo strumento di ricerca delle colonne è molto utile in termini di fare un passo nella direzione di comprendere meglio quei dati. Ma sì, è molto importante. Voglio dire, hai la possibilità di seguire l'approccio Firehose e l'auditing di tutto, ma è molto più impegnativo in questo modo logisticamente quando parli di dover archiviare quei dati e riferirti contro quei dati. E poi hai ancora bisogno di sapere dove si trova quel dato perché, quando esegui i tuoi rapporti, dovrai mostrare anche quelle informazioni ai tuoi auditor. Quindi penso che, come ho detto, la più grande sfida quando parlo con gli amministratori di database è sapere, sì.
Eric Kavanagh: Sì, ma forse Robin ti porteremo in fretta. Mi sembra che la regola 80/20 si applichi qui, giusto? Probabilmente non troverai tutti i sistemi di registrazione che contano se sei in un'organizzazione di medie o grandi dimensioni, ma se ti concentri su - come Bullett stava suggerendo qui - PeopleSoft, ad esempio, o altri sistemi di registrazione che sono predominante nell'impresa, è lì che concentri l'80 percento dei tuoi sforzi e poi il 20 percento è sugli altri sistemi che potrebbero essere là fuori da qualche parte, giusto?
Robin Bloor: Beh, ne sono sicuro, sì. Voglio dire, sai, penso che il problema con questa tecnologia, e penso che probabilmente valga la pena avere un commento su di essa, ma il problema con questa tecnologia è, come lo implementate? Voglio dire, c'è sicuramente una mancanza di conoscenza, diciamo, nella maggior parte delle organizzazioni per quanto riguarda anche il numero di database che sono là fuori. Sai, c'è una terribile mancanza di inventario, diciamo. Sai, la domanda è, immaginiamo che stiamo iniziando in una situazione in cui non esiste una conformità particolarmente ben gestita, come si fa a prendere questa tecnologia e iniettarla nell'ambiente, non solo nella tecnologia termini, impostazione roba, ma come chi lo gestisce, chi determina cosa? Come puoi iniziare a farlo diventare una cosa genuina, che fa il suo lavoro?
Bullett Manale: Beh, voglio dire, è una buona domanda. La sfida in molti casi è che, voglio dire, devi iniziare a fare le domande proprio all'inizio. Ho incontrato molte aziende in cui, sai, forse sono una società privata e sono state acquisite, c'è un iniziale, un po ', prima, una sorta di dosso stradale, se vuoi chiamarlo così. Ad esempio, se proprio ora sono diventato una società quotata in borsa a causa dell'acquisizione, dovrò tornare indietro e probabilmente capire qualcosa.
E in alcuni casi parliamo con organizzazioni che, sai, anche se sono private seguono le regole di conformità SOX, semplicemente perché nel caso in cui vogliono essere acquisite sanno che devono essere conformi. Sicuramente non vuoi adottare l'approccio di "Non ho bisogno di preoccuparmi di questo ora". Qualsiasi tipo di conformità normativa come PCI o SOX o qualsiasi altra cosa, vuoi fare l'investimento facendo la ricerca o il comprensione di dove si trovano tali informazioni sensibili, altrimenti potresti trovarti a dover affrontare multe significative e pesanti. Ed è molto meglio solo investire quel tempo, sai, trovare quei dati ed essere in grado di segnalare contro di essi e mostrare che i controlli funzionano.
Sì, in termini di impostazione, come ho detto, la prima cosa che consiglierei alle persone che si stanno preparando ad affrontare un audit, è semplicemente uscire e fare un esame superficiale del database e capire, tu conoscere, nei loro migliori sforzi, cercando di capire dove si trovino quei dati sensibili. E l'altro approccio sarebbe quello di iniziare con forse una rete più ampia in termini di portata del controllo, e poi lentamente rallentare una volta che tu, in un certo senso, scopri dove sono quelle aree all'interno del sistema che sono correlate al informazione sensibile. Ma vorrei poterti dire che c'è una risposta semplice a questa domanda. Probabilmente varierà un po 'da un'organizzazione all'altra e il tipo di conformità e davvero, come sai, quanta struttura hanno all'interno delle loro applicazioni e quante hanno, diverse applicazioni che hanno, alcune possono essere applicazioni scritte personalizzate, quindi dipenderà davvero dalla situazione in molti casi.
Eric Kavanagh: Vai avanti, Dez, sono sicuro che hai una domanda o due.
Dez Blanchfield: Sono ansioso di avere un'idea delle tue osservazioni sull'impatto sulle organizzazioni da un punto di vista delle persone, in realtà. Penso che una delle aree in cui vedo il massimo valore per questa particolare soluzione sia che quando le persone si svegliano al mattino e vanno a lavorare a vari livelli dell'organizzazione, si svegliano con una serie o una catena di responsabilità con cui hanno a che fare. E sono desideroso di avere un'idea di ciò che stai vedendo là fuori con e senza i tipi di strumenti di cui stai parlando. E il contesto di cui sto parlando qui va dal presidente del consiglio di amministrazione al CEO, al CIO e alla C-suite. E ora abbiamo i Chief Risk Officer, che stanno pensando di più ai tipi di cose di cui stiamo parlando qui in conformità e governance, e quindi ora abbiamo nuovi Chief Play Officer, Chief Data Officer, che sono, ancora più preoccupato per questo.
E da parte di ciascuno di essi, attorno al CIO, abbiamo responsabili IT da un lato con, come sapete, lead tecnici e quindi database. E nello spazio operativo abbiamo gestori dello sviluppo e lead di sviluppo e quindi singoli sviluppi, che tornano al livello di amministrazione del database. Che cosa vedi intorno alla reazione di ognuna di queste diverse parti dell'azienda alla sfida della conformità e del reporting normativo e al loro approccio ad esso? Stai vedendo che le persone stanno arrivando a questo con un fervore e possono vederne il beneficio, o stai vedendo che stanno riluttanti a trascinare i piedi su questa cosa e lo sai, facendo un segno di spunta nella casella? E quali sono i tipi di risposte che vedi quando vedono il tuo software?
Bullett Manale: Sì, questa è una buona domanda. Direi che questo prodotto, le vendite di questo prodotto, sono per lo più guidati da qualcuno che è nel posto caldo, se questo ha senso. Nella maggior parte dei casi si tratta del DBA, e dal nostro punto di vista, in altre parole, sanno che è in arrivo un audit e saranno responsabili, perché sono i DBA, in grado di fornire le informazioni a cui il revisore sta per Chiedi. Possono farlo scrivendo i propri report e creando le proprie tracce personalizzate e tutto quel genere di cose. La realtà è che non vogliono farlo. Nella maggior parte dei casi, i DBA non vedono l'ora di iniziare quelle conversazioni con il revisore. Sai, preferirei dirti che possiamo andare a chiamare un'azienda e dire: "Ehi, questo è un ottimo strumento e lo amerai", e mostrargli tutte le caratteristiche e lo compreranno.
La realtà è che in genere non guarderanno questo strumento a meno che non stiano effettivamente affrontando un audit o l'altro lato di quella moneta è che hanno avuto un audit e lo hanno fallito miseramente e ora lo sono gli viene detto di chiedere aiuto o verranno multati. Direi che in termini di, in generale, quando mostri questo prodotto alla gente ne vedono sicuramente il valore perché li fa risparmiare un sacco di tempo in termini di dover capire su cosa vogliono riferire, quel genere di cose. Tutti questi rapporti sono già integrati, i meccanismi di allerta sono in atto, e quindi con la terza domanda è anche, in molti casi, può essere una sfida. Perché posso mostrarti rapporti tutto il giorno, ma a meno che tu non possa dimostrarmi quei rapporti in realtà sono validi, sai, è una proposta molto più dura per me come DBA poterlo dimostrare. Ma abbiamo elaborato la tecnologia e la tecnica di hashing e tutti questi tipi di cose per essere in grado di garantire che i dati nella sua integrità delle piste di controllo vengano conservati.
E così quelle sono le cose che, quelle sono le mie osservazioni in termini della maggior parte delle persone con cui parliamo. Sai, c'è sicuramente, in diverse organizzazioni, sai, sentirai, saprai, Target, per esempio, ha avuto una violazione dei dati e, sai, voglio dire, quando altre organizzazioni sentono delle multe e quelle tipi di cose che la gente inizia, solleva un sopracciglio, quindi, si spera, che risponda alla domanda.
Dez Blanchfield: Sì, sicuramente. Posso immaginare alcuni DBA quando finalmente vedono che cosa si può fare con lo strumento si stanno solo accorgendo che sono tornati anche a tarda notte e nei fine settimana. Riduzioni di tempo e costi e altre cose che vedo quando gli strumenti appropriati vengono applicati a tutto questo problema, e cioè che, tre settimane, mi sono seduto con una banca qui in Australia. Sono una banca globale, una delle prime tre banche, sono enormi. E avevano un progetto in cui dovevano riferire sulla conformità della loro gestione patrimoniale e in particolare sui rischi, e stavano guardando un lavoro di 60 settimane per un paio di centinaia di esseri umani. E quando sono stati mostrati artisti del calibro di uno strumento come te che poteva semplicemente automatizzare il processo, in questo senso, lo sguardo sui loro volti quando si rendevano conto che non dovevano trascorrere X numero di settimane con centinaia di persone che eseguivano un processo manuale era un po 'come se avessero trovato Dio. Ma la cosa difficile è stata come metterlo effettivamente in programma, come ha indicato il dottor Robin Bloor, sai, questo è qualcosa che diventa una miscela di cambiamento comportamentale e culturale. Ai livelli con cui hai a che fare, che hanno a che fare con questo direttamente a livello di applicazione, che tipo di cambiamento vedi quando iniziano ad adottare uno strumento per fare il tipo di reportistica, auditing e controlli che puoi offrire, come al contrario di quello che avrebbero potuto fare manualmente? Che aspetto ha quando si mettono in pratica?
Bullett Manale: Stai chiedendo, qual è la differenza in termini di gestione manuale rispetto all'utilizzo di questo strumento? È questa la domanda?
Dez Blanchfield: Beh, in particolare l'impatto del business. Quindi, ad esempio, se stiamo cercando di garantire la conformità in un processo manuale, ci rendiamo inevitabilmente molto tempo con molti esseri umani. Ma immagino, per mettere un po 'di contesto attorno alla domanda, come sai, stiamo parlando di una sola persona che gestisce questo strumento sostituendo potenzialmente 50 persone e di essere in grado di fare la stessa cosa in tempo reale o in ore rispetto a mesi? È quel tipo di cosa generalmente si rivela?
Bullett Manale: Beh, voglio dire, si tratta di un paio di cose. Uno è avere la capacità di rispondere a queste domande. Alcune di queste cose non saranno fatte molto facilmente. Quindi sì, il tempo necessario per fare le cose in casa, scrivere i rapporti da soli, impostare le tracce o gli eventi estesi per raccogliere manualmente i dati, potrebbe richiedere molto tempo. Davvero, te ne darò un po ', voglio dire, questo non si riferisce in realtà ai database in generale, ma come subito dopo l'enron e il SOX è diventato prevalente, ero in una delle più grandi compagnie petrolifere di Houston, e abbiamo contato per, Penso che il 25 percento dei nostri costi aziendali sia correlato alla conformità SOX.
Ora è stato subito dopo e quello è stato il primo passo iniziale di SOX ma la cosa, direi, sai, ottieni molti benefici usando questo strumento nel senso che non richiede molto di persone che lo fanno e molti tipi diversi di persone che lo fanno. E come ho detto, il DBA non è in genere il ragazzo che non vede davvero l'ora di avere quelle conversazioni con i revisori. Quindi in molti casi vedremo che il DBA può scaricare questo ed essere in grado di fornire il report che viene interfacciato al revisore e possono rimuoverli completamente dall'equazione piuttosto che dover essere coinvolti. Quindi, sai, è un enorme risparmio anche in termini di risorse quando puoi farlo.
Dez Blanchfield: Stai parlando di enormi riduzioni dei costi, giusto? Le organizzazioni non solo rimuovono il rischio e le spese generali, ma intendo essenzialmente che stai parlando di una significativa riduzione dei costi, A) a livello operativo e anche B) nel fatto che, sai, se possono effettivamente fornire- nel tempo la segnalazione di conformità secondo la quale esiste un rischio significativamente ridotto di violazione dei dati o di multa o impatto per non conformità, giusto?
Bullett Manale: Sì, assolutamente. Voglio dire, per non essere conformi ci sono tutti i tipi di cose brutte che accadono. Possono usare questo strumento e sarebbe fantastico o non lo fanno e scopriranno quanto sia davvero brutto. Quindi sì, ovviamente non è solo lo strumento, puoi fare i tuoi controlli e tutto senza uno strumento come questo. Come ho detto, ci vorrà solo molto più tempo e denaro.
Dez Blanchfield: Fantastico. Quindi Eric, tornerò da te perché penso che il take-away per me sia che, sai, il tipo di mercato è fantastico. Ma anche, in sostanza, la cosa vale il suo peso in oro sulla base del fatto che essere in grado di evitare l'impatto commerciale di un problema che si sta verificando o di essere in grado di ridurre il tempo necessario per segnalare e gestire la conformità lo rende, sai, il lo strumento si ripaga immediatamente con i suoni delle cose.
Eric Kavanagh: Esatto. Bene, grazie mille per il tuo tempo oggi, Bullett. Grazie a tutti voi là fuori per il vostro tempo e attenzione, e Robin e Dez. Un'altra grande presentazione oggi. Grazie ai nostri amici di IDERA per averci permesso di offrirti questo contenuto gratuitamente. Archiveremo questo webcast per una visualizzazione successiva. L'archivio di solito è attivo in circa un giorno. Facci sapere cosa ne pensi del nostro nuovo sito web, insideanalysis.com. Un design completamente nuovo, un aspetto completamente nuovo. Ci piacerebbe sentire il tuo feedback e con ciò ti saluto, gente. Puoi scrivermi. Altrimenti ti raggiungeremo la prossima settimana. Abbiamo sette webcast nelle prossime cinque settimane o qualcosa del genere. Saremo impegnati. E saremo alla conferenza Strata e al vertice degli analisti IBM a New York alla fine di questo mese. Quindi, se ci sei, fermati e saluta. Stammi bene, gente. Ciao ciao.
