Bởi nhân viên Techopedia, ngày 14 tháng 9 năm 2016
Takeaway: Người dẫn chương trình Eric Kavanagh thảo luận về kiểm toán cơ sở dữ liệu và tuân thủ các nhà phân tích Robin Bloor và Dez Blanchfield cũng như Bullett Manale của IDERA trong tập phim Hot Technologies này.
Bạn hiện chưa đăng nhập. Vui lòng đăng nhập hoặc đăng ký để xem video.
Eric Kavanagh: Thưa quý vị và các bạn, xin chào và chào mừng trở lại, một lần nữa, với Hot Technologies! Đúng vậy, năm 2016. Chúng tôi đang ở năm thứ ba của chương trình này, đó là thứ rất thú vị. Chúng tôi đã khuấy động và lăn trong năm nay. Đây là Eric Kavanagh, chủ nhà của bạn. Chủ đề của ngày hôm nay - đây là một chủ đề tuyệt vời, nó có rất nhiều ứng dụng trên một số ngành công nghiệp, khá thẳng thắn - "Ai, cái gì, ở đâu và như thế nào: Tại sao bạn muốn biết." Đúng vậy, chúng ta sẽ nói về tất cả những thứ thú vị đó. Có một slide về bạn thật sự, đánh tôi lên Twitter @eric_kavanagh. Tôi cố gắng tweet lại tất cả các đề cập và tweet lại bất cứ điều gì ai đó gửi cho tôi. Nếu không, vì vậy nó được.
Thật là nóng, đúng vậy! Toàn bộ chương trình ở đây được thiết kế để giúp các tổ chức và cá nhân hiểu các loại công nghệ cụ thể. Chúng tôi đã thiết kế toàn bộ chương trình tại đây, Hot Technologies, như một cách xác định một loại phần mềm cụ thể, hoặc một xu hướng cụ thể hoặc một loại công nghệ cụ thể. Lý do là bởi vì thật lòng mà nói, trong thế giới phần mềm, bạn sẽ thường nhận được những thuật ngữ tiếp thị bị băng bó và đôi khi họ có thể thẳng thắn khoe khoang những khái niệm mà họ dự định mô tả.
Trong chương trình này, chúng tôi thực sự đang cố gắng giúp bạn hiểu một loại công nghệ cụ thể là gì, cách thức hoạt động, khi bạn có thể sử dụng nó, khi bạn không nên sử dụng nó và có thể cung cấp cho bạn nhiều chi tiết nhất có thể. Chúng ta sẽ có ba người thuyết trình hôm nay: Robin Bloor, nhà phân tích chính của chúng tôi tại Nhóm Bloor; nhà khoa học dữ liệu của chúng tôi gọi từ Sydney, Úc ở phía bên kia hành tinh, Dez Blanchfield, và một trong những vị khách yêu thích của chúng tôi Bullett Manale, giám đốc kỹ thuật bán hàng tại IDERA.
Tôi sẽ chỉ nói một vài điều ở đây, hiểu ai đang làm gì với phần dữ liệu nào, đó cũng giống như quản trị, phải không? Nếu bạn nghĩ về tất cả các quy định xung quanh các ngành công nghiệp, như dịch vụ chăm sóc sức khỏe và tài chính, trên các lĩnh vực đó, thì công cụ đó cực kỳ quan trọng. Bạn cần biết ai đã chạm vào thông tin, ai đã thay đổi một cái gì đó, ai đã truy cập nó, ai đã tải nó lên chẳng hạn. Dòng dõi là gì, sự cung cấp của dữ liệu này là gì? Bạn có thể yên tâm tất cả những vấn đề này sẽ vẫn nổi bật trong những năm tới vì mọi lý do. Không chỉ để tuân thủ, mặc dù HIPAA, và Sarbanes-Oxley và Dodd-Frank, và tất cả các quy định này đều rất quan trọng, nhưng cũng để bạn hiểu trong doanh nghiệp của mình, họ đang làm gì, ở đâu, khi nào và tại sao. Đây là thứ tốt, chúng tôi sẽ được chú ý.
Hãy tiếp tục, mang nó đi, Robin Bloor.
Robin Bloor: Được rồi, cảm ơn vì lời giới thiệu đó, Eric. Ý tôi là lĩnh vực quản trị này, quản trị trong CNTT không phải là một từ mà bạn đã nghe cho đến một chút sau năm 2000, tôi nghĩ vậy. Nó xuất hiện chủ yếu bởi vì, tôi nghĩ dù sao đi nữa, nó xuất hiện chủ yếu bởi vì có luật tuân thủ đang diễn ra. Đặc biệt là HIPAA và Sarbanes-Oxley. Thực sự có rất nhiều. Do đó, các tổ chức nhận ra rằng họ phải có một bộ quy tắc và một bộ quy trình bởi vì nó là cần thiết theo luật để làm điều đó. Rất lâu trước đó, đặc biệt là trong lĩnh vực ngân hàng, có nhiều sáng kiến khác nhau mà bạn phải tuân theo tùy thuộc vào loại ngân hàng nào, và đặc biệt là các ngân hàng quốc tế. Toàn bộ cách thức tuân thủ Basel bắt đầu, cách trước tập hợp cụ thể đó sau năm 2000. Tất cả thực sự bắt nguồn từ quản trị. Tôi nghĩ rằng tôi sẽ nói về chủ đề quản trị như là một giới thiệu về trọng tâm của việc theo dõi ai sẽ nhận được dữ liệu.
Quản trị dữ liệu, tôi thường nhìn xung quanh tôi nghĩ khoảng năm hoặc sáu năm trước, tìm kiếm các định nghĩa và nó không được xác định rõ ràng. Nó trở nên rõ ràng và rõ ràng hơn về ý nghĩa thực sự của nó. Thực tế của tình huống là trong một số giới hạn nhất định, tất cả dữ liệu thực sự đã bị chi phối trước đây, nhưng không có quy tắc chính thức nào cho nó. Có những quy tắc đặc biệt được đưa ra đặc biệt trong ngành ngân hàng để làm những việc như vậy, nhưng một lần nữa, đó là về sự tuân thủ. Bằng cách này hay cách khác chứng minh rằng bạn thực sự là một - đó là loại liên quan đến rủi ro, vì vậy nó chứng minh rằng bạn là một ngân hàng khả thi là thỏa thuận.
Nếu bạn nhìn vào thách thức quản trị bây giờ, nó bắt đầu với một thực tế của phong trào dữ liệu lớn. Chúng tôi đã có một số lượng ngày càng nhiều nguồn dữ liệu. Khối lượng dữ liệu của khóa học là một vấn đề với điều đó. Cụ thể, chúng tôi bắt đầu làm nhiều, nhiều, nhiều hơn với dữ liệu phi cấu trúc. Nó bắt đầu trở thành một phần của toàn bộ trò chơi phân tích. Và vì phân tích, xuất xứ dữ liệu và dòng dõi rất quan trọng. Thực sự từ quan điểm sử dụng phân tích dữ liệu theo bất kỳ cách nào liên quan đến bất kỳ loại tuân thủ nào, bạn thực sự phải có kiến thức về việc dữ liệu đến từ đâu và làm thế nào nó trở thành như thế nào.
Mã hóa dữ liệu bắt đầu trở thành một vấn đề, trở thành một vấn đề lớn hơn ngay khi chúng tôi đến Hadoop vì ý tưởng về một hồ dữ liệu nơi chúng tôi lưu trữ rất nhiều dữ liệu, đột nhiên có nghĩa là bạn có một khu vực dễ bị tổn thương của những người có thể mắc phải tại đó Việc mã hóa dữ liệu trở nên nổi bật hơn nhiều. Xác thực luôn là một vấn đề. Trong môi trường cũ, môi trường máy tính lớn, họ có sự bảo vệ an ninh chu vi tuyệt vời như vậy; xác thực chưa bao giờ thực sự là một vấn đề. Sau đó, nó trở thành một vấn đề lớn hơn và bây giờ nó trở thành một vấn đề lớn hơn bởi vì chúng ta có những môi trường phân tán mạnh mẽ như vậy. Giám sát truy cập dữ liệu, điều đó đã trở thành một vấn đề. Tôi dường như nhớ các công cụ khác nhau ra đời khoảng mười năm trước. Tôi nghĩ rằng hầu hết những người được thúc đẩy bởi các sáng kiến tuân thủ. Do đó, chúng tôi cũng có tất cả các quy tắc tuân thủ, báo cáo tuân thủ.
Điều khiến tôi suy nghĩ là ngay từ những năm 1990, khi bạn đang thực hiện các thử nghiệm lâm sàng trong ngành dược phẩm, bạn không chỉ phải chứng minh được dữ liệu đến từ đâu - rõ ràng nó rất quan trọng, nếu bạn đang thử tìm ra một loại thuốc trong nhiều bối cảnh khác nhau, để biết ai đang được thử và dữ liệu theo ngữ cảnh xung quanh nó - bạn phải có khả năng cung cấp bản kiểm toán phần mềm thực sự tạo ra dữ liệu. Đó là phần tuân thủ nghiêm trọng nhất tôi từng thấy ở bất cứ đâu, về mặt chứng minh bạn không thực sự làm mọi thứ rối tung lên một cách có chủ ý hay vô tình. Trong thời gian gần đây, đặc biệt là quản lý vòng đời dữ liệu đã trở thành một vấn đề. Tất cả những điều này là một cách thách thức bởi vì rất nhiều trong số này đã không được thực hiện tốt. Trong rất nhiều trường hợp cần phải làm chúng.
Đây là những gì tôi gọi là kim tự tháp dữ liệu. Tôi đã nói chuyện này trước đây. Tôi thấy đó là một cách rất thú vị để nhìn vào mọi thứ. Bạn có thể nghĩ dữ liệu là có các lớp. Dữ liệu thô, nếu bạn thích, thực sự chỉ là tín hiệu hoặc đo lường, ghi âm, sự kiện, hồ sơ duy nhất là chủ yếu. Có thể giao dịch, tính toán và tổng hợp tất nhiên tạo ra dữ liệu mới. Họ có thể được nghĩ về mức độ dữ liệu. Trên hết, một khi bạn thực sự kết nối dữ liệu với nhau, nó sẽ trở thành thông tin. Nó trở nên hữu ích hơn, nhưng tất nhiên nó trở nên dễ bị tổn thương hơn đối với những người hack nó hoặc lạm dụng nó. Tôi xác định rằng khi được tạo, thực sự, thông qua cấu trúc dữ liệu, có thể hình dung dữ liệu có bảng chú giải, lược đồ, bản thể luận về thông tin. Hai lớp thấp hơn là những gì chúng ta xử lý theo cách này hay cách khác. Trên đây là những gì tôi gọi là lớp kiến thức bao gồm các quy tắc, chính sách, hướng dẫn, thủ tục. Một số trong đó thực sự có thể được tạo ra bởi những hiểu biết được phát hiện trong phân tích. Rất nhiều trong số chúng thực sự là những chính sách mà bạn phải tuân theo. Đây là lớp, nếu bạn thích, của quản trị. Đây là nơi, bằng cách này hay cách khác, nếu lớp này không được cư trú đúng cách, thì hai lớp bên dưới không được quản lý. Điểm cuối cùng về điều này là, sự hiểu biết trong một cái gì đó chỉ tồn tại trong con người. Máy tính chưa quản lý để làm điều đó, rất may. Nếu không, tôi sẽ bị mất việc.
Đế chế quản trị - Tôi kết hợp điều này với nhau, tôi nghĩ rằng nó phải có khoảng chín tháng trước, có thể sớm hơn thế nhiều. Về cơ bản, tôi đã tăng cường nó nhưng ngay khi chúng tôi bắt đầu quan tâm đến quản trị, thì về mặt trung tâm dữ liệu của công ty, không chỉ có kho dữ liệu, tài nguyên hồ dữ liệu, mà cả các máy chủ chung khác nhau, máy chủ dữ liệu chuyên gia. Tất cả trong số đó cần phải được quản lý. Khi bạn thực sự xem xét các khía cạnh khác nhau - bảo mật dữ liệu, làm sạch dữ liệu, phát hiện siêu dữ liệu và quản lý siêu dữ liệu, tạo bảng chú giải kinh doanh, ánh xạ dữ liệu, dòng dữ liệu, quản lý vòng đời dữ liệu - sau đó, quản lý giám sát hiệu suất, quản lý mức dịch vụ, quản lý hệ thống, mà bạn có thể không thực sự liên kết với quản trị, nhưng chắc chắn - bây giờ chúng ta sẽ đến một thế giới nhanh hơn và nhanh hơn với nhiều dataflows hơn, thực sự có thể làm một cái gì đó với hiệu suất cụ thể thực sự là một điều cần thiết và bắt đầu trở thành một quy tắc hoạt động hơn là bất cứ điều gì khác.
Tóm tắt về sự tăng trưởng của sự tuân thủ, tôi đã thấy điều này xảy ra trong nhiều, rất nhiều năm nhưng việc bảo vệ dữ liệu chung thực sự đến vào những năm 1990 ở Châu Âu. Nó chỉ nhận được nhiều hơn, và tinh vi hơn kể từ đó. Sau đó, tất cả những điều này bắt đầu được giới thiệu hoặc được thực hiện tinh vi hơn. GRC, đó là rủi ro quản trị và tuân thủ, đã diễn ra kể từ khi các ngân hàng làm Basel. ISO đã và đang tạo ra các tiêu chuẩn của các loại hoạt động khác nhau. Tôi biết từ lâu tôi đã ở trong CNTT - đó là một thời gian dài - chính phủ Hoa Kỳ đã đặc biệt tích cực trong việc tạo ra các luật pháp khác nhau: SOX, có Gramm-Leach-Bliley, HIPAA, FISMA, FERPA. Bạn cũng có tổ chức NIST tuyệt vời tạo ra nhiều tiêu chuẩn, đặc biệt là tiêu chuẩn bảo mật, rất hữu ích. Các luật bảo vệ dữ liệu ở châu Âu có phương sai địa phương. Những gì bạn có thể làm với dữ liệu cá nhân ở Đức, chẳng hạn, khác với những gì bạn có thể làm ở nước cộng hòa Slovakia, hoặc Slovenia, hoặc bất cứ nơi nào. Họ đã giới thiệu gần đây - và tôi nghĩ tôi đã đề cập đến điều này bởi vì tôi thấy nó thật thú vị - Châu Âu đang giới thiệu ý tưởng về quyền bị lãng quên. Đó là, phải có một đạo luật về những hạn chế đối với dữ liệu đã được công khai mà thực sự là dữ liệu cá nhân. Tôi nghĩ đó là niềm vui. Từ quan điểm CNTT, điều đó sẽ rất, rất khó nếu nó bắt đầu trở thành luật có hiệu lực. Tóm lại, tôi muốn nói như sau: Bởi vì dữ liệu và quản lý CNTT đang phát triển nhanh chóng, quản trị cũng phải phát triển nhanh chóng và nó được áp dụng cho tất cả các lĩnh vực quản trị.
Phải nói rằng tôi sẽ chuyền bóng cho Dez.
Eric Kavanagh: Vâng thực sự, vì vậy Dez Blanchfield, mang nó đi. Robin, tôi với bạn, anh bạn, tôi sắp chết để xem quyền bị lãng quên này diễn ra như thế nào. Tôi nghĩ rằng nó sẽ không chỉ là thách thức mà về cơ bản là không thể. Nó chỉ là vi phạm chờ đợi để được thực thi bởi các cơ quan chính phủ. Dez, mang nó đi.
Dez Blanchfield: Đó thực sự là một chủ đề cho một cuộc thảo luận khác. Chúng tôi có một thách thức rất giống nhau ở châu Á-Thái Bình Dương, và đặc biệt là ở Úc, nơi các nhà mạng và ISP được yêu cầu ghi nhật ký mọi thứ liên quan đến internet và có thể ghi lại và lấy lại trong trường hợp ai đó quan tâm làm sai. Đó là một luật và bạn phải tuân thủ nó. Thách thức, giống như ai đó ở Google ở Hoa Kỳ có thể được yêu cầu xóa lịch sử tìm kiếm của tôi hoặc bất cứ điều gì, có thể là tuân thủ luật pháp châu Âu, đặc biệt là luật riêng tư của Đức. Ở Úc nếu một cơ quan muốn xem xét bạn, một nhà mạng phải có thể cung cấp chi tiết về các cuộc gọi và lịch sử tìm kiếm được thực hiện, đó là một thách thức, nhưng đó là thế giới chúng ta đang sống. Có rất nhiều lý do cho điều đó. Hãy để tôi nhảy vào của tôi.
Tôi cố tình làm cho trang tiêu đề của tôi khó đọc. Bạn đã thực sự nhìn chăm chỉ vào văn bản đó. Tuân thủ, tuân thủ một bộ quy tắc, thông số kỹ thuật, kiểm soát, chính sách, tiêu chuẩn hoặc luật pháp, với một nền tảng ngớ ngẩn, lộn xộn. Đó là bởi vì bạn phải thực sự nhìn vào nó để có được thông tin chi tiết và lấy thông tin từ những gì nó được phủ lên, đó là một loạt các bảng và hàng và cột, hoặc là cơ sở dữ liệu, sơ đồ hoặc mô phỏng trong Visio. Đó là những gì tuân thủ giống như ngày này qua ngày khác. Thật khó để đi sâu vào chi tiết và rút ra các thông tin có liên quan mà bạn cần để có thể xác nhận rằng bạn tuân thủ. Báo cáo về điều đó, theo dõi nó và kiểm tra nó.
Trên thực tế, tôi đã nghĩ một cách thực sự tốt để hình dung điều này khi chúng ta tự hỏi mình câu hỏi "Bạn có tuân thủ không?" "Bạn có chắc không?" "Chà, chứng minh đi!" Có một điều thực sự thú vị có lẽ là một chút Anglo-Celtic nhưng tôi chắc chắn rằng nó đã đi khắp thế giới vào Hoa Kỳ, vì vậy đó là: "Wally ở đâu?" Wally là một nhân vật nhỏ được đưa vào những bức vẽ hoạt hình này dưới dạng sách. Thông thường hình ảnh tỷ lệ rất lớn của A3 hoặc lớn hơn. Vì vậy, bản vẽ kích thước bảng. Anh ta là một nhân vật nhỏ mặc áo len và áo sọc trắng đỏ. Ý tưởng của trò chơi là bạn nhìn vào bức tranh này và bạn nhìn xung quanh theo vòng tròn để thử và tìm Wally. Anh ta trong bức tranh đó ở đâu đó. Khi bạn nghĩ về cách khám phá và mô tả và báo cáo về sự tuân thủ, theo nhiều cách, nó giống như chơi Wally. Wally. Nếu bạn nhìn vào bức tranh đó, gần như không thể tìm thấy nhân vật. Trẻ em dành hàng giờ cho điều đó và tôi đã có rất nhiều niềm vui khi làm điều đó ngày hôm qua. Khi chúng ta nhìn vào nó, chúng ta thấy cả một nhóm người trong những bộ phim hoạt hình này, cố tình đặt ở đó với những mảnh tương tự của trang phục Wally của một chiếc mũ len sọc và áo, hoặc áo len. Nhưng họ biến thành dương tính giả.
Đây là một thách thức tương tự chúng tôi có với sự tuân thủ. Khi chúng ta nhìn vào mọi thứ, đôi khi một cái gì đó chúng ta nghĩ rằng đây là trường hợp, hoàn toàn không phải là trường hợp. Ai đó có thể có quyền truy cập vào cơ sở dữ liệu và họ được cho là có quyền truy cập vào cơ sở dữ liệu đó nhưng cách họ sử dụng nó hơi khác so với những gì chúng ta mong đợi. Chúng tôi có thể quyết định rằng đó là thứ chúng tôi cần xem xét. Khi chúng tôi nhìn vào nó, chúng tôi thấy, thật ra, đó là một người dùng rất hợp lệ. Họ chỉ đang làm một cái gì đó kỳ quặc. Có lẽ đó là một nhà nghiên cứu PC hoặc ai biết. Trong các trường hợp khác, nó có thể ngược lại. Thực tế, khi tôi đi tiếp, có Wally. Nếu bạn trông thực sự khó khăn trong độ phân giải cao này, có một nhân vật thực sự mặc trang phục phù hợp. Tất cả những cái khác chỉ là vẻ ngoài và cảm giác giống nhau. Tuân thủ cảm thấy rất nhiều như thế. Hầu hết những người tôi biết, họ làm việc trong lĩnh vực kiểm soát và tuân thủ và chính sách của các doanh nghiệp. Trong toàn bộ các lĩnh vực, cho dù đó là công nghệ, cho dù đó là tài chính hay hoạt động và rủi ro. Thường thì rất khó để nhìn thấy Wally trong ảnh, bạn sẽ thấy cây hoặc gỗ.
Câu hỏi mà chúng tôi tự hỏi, khi chúng tôi nghĩ về những điều như tuân thủ, là "Vấn đề lớn, điều gì có thể xảy ra nếu chúng tôi không đáp ứng được sự tuân thủ?" Trong bối cảnh thảo luận ngày nay, đặc biệt là về cơ sở dữ liệu và kiểm soát truy cập dữ liệu, tôi sẽ cung cấp cho bạn một số ví dụ về cuộc gọi đánh thức rất thực về những gì có thể sai ở dạng cô đọng rất ngắn. Nếu chúng ta nghĩ về vi phạm dữ liệu và chúng ta đều quen thuộc với vi phạm dữ liệu, chúng ta sẽ nghe thấy chúng trên các phương tiện truyền thông, và chúng ta loại bỏ và cười, bởi vì mọi người nghĩ đó là thị trường. Đó là những thứ cá nhân. Đó là Ashley Madison và những người đang tìm cách hẹn hò bên ngoài mối quan hệ và hôn nhân của họ. Đó là tài khoản fling. Đó là tất cả những điều kỳ lạ hoặc một số ISP hoặc công ty lưu trữ ngẫu nhiên của châu Âu hoặc Nga bị hack. Khi nói đến những thứ như MySpace và mười công cụ hàng đầu này, khi bạn nhìn vào những con số này, điều tôi muốn bạn nhận ra là: 1, 1 tỷ chi tiết của mọi người trong mười vi phạm hàng đầu này. Và vâng, có sự trùng lặp, có lẽ những người đã có tài khoản MySpace và tài khoản Dropbox và tài khoản Tumblr, nhưng hãy làm tròn số tiền lên tới một tỷ người.
Mười trường hợp vi phạm hàng đầu trong thập kỷ qua hoặc gần như vậy - thậm chí không phải là một thập kỷ, trong hầu hết các trường hợp - tổng cộng khoảng một phần bảy dân số thế giới của con người, nhưng thực tế hơn, khoảng 50 phần trăm số người được kết nối với Internet, hơn một tỷ cá nhân. Những điều này xuất hiện bởi vì sự tuân thủ đã không được đáp ứng trong một số trường hợp. Trong hầu hết các trường hợp, là các điều khiển truy cập vào cơ sở dữ liệu, kiểm soát truy cập vào các tập dữ liệu cụ thể và các hệ thống và mạng. Đây là một kiểm tra thực tế đáng sợ. Nếu điều đó không làm bạn sợ, khi bạn nhìn vào top ten và bạn có thể thấy rằng đây là một - hoặc có thể thấy đây là một tỷ cá nhân, con người thực sự giống như chúng ta, trong cuộc gọi này ngay bây giờ. Nếu bạn có tài khoản LinkedIn, nếu bạn có tài khoản Dropbox hoặc tài khoản Tumblr hoặc nếu bạn đã mua từ các sản phẩm Adobe hoặc thậm chí đã đăng ký tải xuống trình xem Adobe miễn phí. Hoàn toàn có khả năng, không thể, hoàn toàn có khả năng các chi tiết, tên, họ, địa chỉ email của bạn, thậm chí có thể là địa chỉ công ty của bạn, hoặc địa chỉ nhà hoặc thẻ tín dụng của bạn, thực sự nằm ngoài đó vì vi phạm đã diễn ra vì các điều khiển, điều đó không nhất thiết phải được quản lý tốt dưới hình thức quản lý dữ liệu, quản trị dữ liệu.
Chúng ta hãy nhìn vào nó khi chúng ta nhìn vào nó một cách chi tiết. Có một màn hình trong số họ, có khoảng 50 cái gì đó ở đó. Có thêm 15. Có khoảng 25. Đây là những vi phạm dữ liệu được liệt kê trên một trang web có tên là haveibeenpwned.com. Đây là điều có thể sai nếu điều gì đó đơn giản như việc kiểm soát ai có quyền truy cập dữ liệu trong cơ sở dữ liệu trong các trường, hàng và cột khác nhau và các ứng dụng khác nhau trong doanh nghiệp của bạn, không được quản lý đúng cách. Các tổ chức này hiện đang hướng dữ liệu. Hầu hết dữ liệu sống trong một cơ sở dữ liệu ở một số hình thức. Khi bạn nghĩ về điều đó, danh sách những vi phạm mà chúng tôi vừa xem, và hy vọng nó sẽ mang đến cho bạn một cơn mưa lạnh, theo ý nghĩ của bạn, đó là điều rất thật, đó là sự thật, nó có thể đã tác động đến bạn. Vào năm 2012, việc vi phạm LinkedIn chẳng hạn, hầu hết các chuyên gia đều có tài khoản LinkedIn vào những ngày này và có khả năng các chi tiết của bạn bị mất. Họ đã xuất hiện trên internet từ năm 2012. Chúng tôi chỉ mới được biết về nó vào năm 2016. Điều gì đã xảy ra với thông tin của bạn trong bốn năm đó? Chà thật thú vị và chúng ta có thể nói về điều đó một cách riêng biệt.
Quản lý cơ sở dữ liệu và hệ thống - Tôi thường nói về những gì tôi cho là năm thách thức hàng đầu trong việc quản lý những thứ này. Ở rất, rất cao và tôi xếp hạng những thứ này theo thứ tự ưu tiên từ bản thân mình, nhưng cũng theo thứ tự tác động, số một là bảo mật và tuân thủ. Các kiểm soát và cơ chế, và các chính sách xung quanh việc kiểm soát ai có quyền truy cập vào hệ thống nào, vì lý do và mục đích gì. Báo cáo về điều đó và giám sát nó, xem xét các hệ thống, xem xét cơ sở dữ liệu và xem ai thực sự có thể truy cập các bản ghi, các trường và bản ghi riêng lẻ.
Hãy nghĩ về điều này trong một hình thức rất đơn giản. Hãy nói về ngân hàng và quản lý tài sản là một ví dụ. Khi bạn đăng ký tài khoản ngân hàng, hãy giả sử tài khoản tiền mặt bình thường cho thẻ EFTPOS hoặc tài khoản tiền mặt hoặc tài khoản séc. Bạn điền vào một biểu mẫu và có rất nhiều thông tin rất riêng tư trong mảnh giấy mà bạn điền hoặc bạn thực hiện trực tuyến và nó đi vào một hệ thống máy tính. Bây giờ, nếu ai đó trong tiếp thị muốn liên hệ với bạn và gửi cho bạn một tập tài liệu, họ nên được phép xem tên, họ và địa chỉ cá nhân của bạn, ví dụ và có khả năng là số điện thoại của bạn nếu họ muốn gọi điện cho bạn và bán cho bạn một cái gì đó Có lẽ họ không nên thấy tổng số tiền bạn có trong ngân hàng vì nhiều lý do. Nếu ai đó đang nhìn bạn từ góc độ rủi ro hoặc cố gắng giúp bạn làm điều gì đó như nhận lãi suất tốt hơn trên tài khoản của bạn, người đó có thể muốn xem bạn đã có bao nhiêu tiền trong ngân hàng, để họ có thể cung cấp cho bạn mức lãi suất thích hợp trên tiền của bạn. Hai cá nhân đó có vai trò rất khác nhau và lý do rất khác nhau cho những vai trò đó, và mục đích cho những vai trò đó. Do đó, cần phải xem thông tin khác nhau trong hồ sơ của bạn, nhưng không phải tất cả các hồ sơ.
Các kiểm soát này xung quanh báo cáo khác nhau về các màn hình hoặc hình thức thông thường mà chúng có trong các ứng dụng được sử dụng để quản lý tài khoản của bạn. Sự phát triển cho những người, việc duy trì những người đó, quản trị những người đó, báo cáo xung quanh những người đó, và quản trị và tuân thủ bao quanh những người như bọc bong bóng, tất cả đều là một thách thức rất lớn. Đó chỉ là thách thức số một trong việc quản lý dữ liệu và hệ thống. Khi chúng ta đi sâu hơn vào ngăn xếp đó vào hiệu suất và giám sát, và phát hiện và phản hồi tỷ lệ, quản lý và quản trị hệ thống, và tuân thủ xung quanh chúng, việc thiết kế và phát triển hệ thống từ việc tuân thủ, sẽ khó khăn hơn nhiều.
Quản lý toàn bộ vấn đề giảm rủi ro và cải thiện an ninh. Năm thử thách hàng đầu của tôi trong không gian này - và tôi thích hình ảnh đi kèm với bàn hải quan khi bạn vào một quốc gia - họ xuất trình hộ chiếu của bạn, và họ kiểm tra bạn, và họ nhìn vào hệ thống máy tính của họ để xem bạn có nên vượt qua hay không. Nếu bạn không nên, họ đưa bạn lên máy bay tiếp theo trở về nhà. Mặt khác, họ cho bạn quay lại và họ hỏi bạn những câu hỏi như: "Bạn có đi nghỉ không? Bạn có ở đây không? Bạn có ở đây để làm việc không? Bạn sẽ đi làm ở đâu? Bạn sẽ ở đâu? Bạn sẽ đến trong bao lâu? Bạn có đủ tiền để trang trải chi phí và chi phí không? Hay bạn sẽ trở thành một rủi ro cho đất nước mà bạn đến và họ có thể phải chăm sóc bạn và cho bạn ăn? "
Có một số vấn đề xung quanh không gian dữ liệu này, quản lý bảo vệ dữ liệu. Ví dụ, trong không gian cơ sở dữ liệu, chúng ta cần suy nghĩ về việc giảm thiểu bỏ qua cơ sở dữ liệu. Nếu dữ liệu nằm trong cơ sở dữ liệu, trong một môi trường bình thường và có các điều khiển và cơ chế xung quanh dữ liệu đó trong hệ thống. Điều gì xảy ra nếu kết xuất dữ liệu được tạo bằng nhiều SQL hơn và được sao lưu vào băng? Các cơ sở dữ liệu được kết xuất ở dạng thô và đôi khi được sao lưu. Đôi khi nó được thực hiện vì lý do kỹ thuật, lý do phát triển. Hãy giả sử một bãi chứa DB đã được lấy và nó được sao lưu thành băng. Điều gì xảy ra nếu tôi tình cờ lấy được cuộn băng đó và khôi phục nó? Và tôi đã có một bản sao thô của cơ sở dữ liệu bằng SQL. Đó là một tệp MP, nó là văn bản, tôi có thể đọc nó. Tất cả các mật khẩu được lưu trữ trong bãi chứa đó không kiểm soát được tôi vì tôi hiện đang có quyền truy cập vào nội dung thực tế của cơ sở dữ liệu mà không có công cụ cơ sở dữ liệu bảo vệ nó. Vì vậy, về mặt kỹ thuật tôi có thể bỏ qua tính bảo mật của nền tảng cơ sở dữ liệu được xây dựng trong công cụ tuân thủ và quản lý rủi ro để ngăn tôi xem dữ liệu. Vì có khả năng là nhà phát triển, quản trị viên hệ thống, tôi đã nắm trong tay toàn bộ cơ sở dữ liệu nên được sử dụng để sao lưu.
Lạm dụng dữ liệu - có khả năng khiến ai đó đăng nhập như tài khoản nâng cao của họ và để tôi ngồi vào màn hình, tìm kiếm thông tin hoặc những thứ tương tự. Kiểm toán độc quyền, về việc truy cập và sử dụng dữ liệu và xem dữ liệu hoặc thay đổi dữ liệu. Sau đó, báo cáo xung quanh kiểm soát đó và yêu cầu tuân thủ. Giám sát lưu lượng và truy cập, v.v., chặn các mối đe dọa đến từ các địa điểm và máy chủ bên ngoài. Ví dụ: nếu dữ liệu được trình bày thông qua một biểu mẫu trên một trang web trên internet, liệu việc tiêm SQL của họ có được bảo vệ thông qua tường lửa và kiểm soát khái niệm không? Có một câu chuyện chi tiết dài đằng sau điều này. Bạn có thể thấy ở đây chỉ là một số trong những điều hoàn toàn cơ bản mà chúng tôi nghĩ đến trong việc giảm thiểu và quản lý rủi ro xung quanh dữ liệu bên trong cơ sở dữ liệu. Thực sự tương đối dễ dàng để có được một số trong số này nếu bạn ở các cấp độ khác nhau của công nghệ. Thử thách càng ngày càng khó hơn khi bạn càng ngày càng có nhiều dữ liệu và nhiều cơ sở dữ liệu hơn. Ngày càng nhiều thách thức hơn với những người phải quản lý hệ thống và giám sát việc sử dụng chúng, theo dõi các chi tiết liên quan cụ thể liên quan đến những điều mà Robin nói, xung quanh những thứ như tuân thủ cá nhân. Các cá nhân có các điều khiển và cơ chế xung quanh tuân thủ - nếu bạn làm sai, bạn có khả năng bị sa thải. Nếu tôi đăng nhập như tài khoản của mình cho phép bạn xem, đó sẽ là một hành vi phạm tội có thể chữa được. Bây giờ tôi đã cấp cho bạn quyền truy cập vào dữ liệu mà bạn không nên thấy bình thường.
Có sự tuân thủ cá nhân, có sự tuân thủ của công ty, các công ty có chính sách và quy tắc và kiểm soát mà họ tự đặt ra để công ty hoạt động tốt và mang lại lợi nhuận và lợi nhuận tốt cho các nhà đầu tư và cổ đông. Sau đó, thường có toàn thành phố hoặc toàn tiểu bang hoặc quốc gia, liên bang như bạn nói các biện pháp kiểm soát và luật pháp của Hoa Kỳ. Sau đó là những người toàn cầu. Một số sự cố lớn hơn trên thế giới, nơi Sarbanes-Oxley, hai cá nhân được yêu cầu đưa ra các cách để bảo vệ dữ liệu và hệ thống. Có Basel ở Châu Âu và có tất cả các phạm vi kiểm soát ở Úc, đặc biệt là về các nền tảng chứng khoán và chứng chỉ, và sau đó là quyền riêng tư ở cấp độ cá nhân hoặc công ty. Khi mỗi trong số chúng được xếp chồng lên nhau như bạn đã thấy ở một trong những địa điểm mà Robin có, chúng trở thành một ngọn núi gần như không thể leo lên. Chi phí tăng cao và chúng ta đang ở điểm mà cách tiếp cận truyền thống ban đầu mà bạn biết, như con người đo lường sự kiểm soát, không còn là cách tiếp cận phù hợp vì quy mô quá lớn.
Chúng tôi có một kịch bản trong đó việc tuân thủ là điều tôi gọi bây giờ là vấn đề luôn xảy ra. Và đó là chúng ta đã từng có khả năng có một thời điểm, hàng tháng hoặc hàng quý hoặc hàng năm, nơi chúng ta sẽ xem xét tình trạng của quốc gia và giúp tuân thủ và kiểm soát. Đảm bảo rằng một số người nhất định có quyền truy cập nhất định và không có quyền truy cập nhất định tùy thuộc vào quyền của họ là gì. Bây giờ là trường hợp tốc độ của mọi thứ mà mọi thứ chuyển động, tốc độ thay đổi của mọi thứ, quy mô mà chúng ta đang vận hành. Tuân thủ là một vấn đề luôn xảy ra và cuộc khủng hoảng tài chính toàn cầu chỉ là một ví dụ trong đó các biện pháp kiểm soát có liên quan và các biện pháp bảo mật và tuân thủ có thể có khả năng tránh được một kịch bản trong đó chúng tôi có một chuyến tàu chở hàng chạy trốn về hành vi nhất định. Chỉ cần tạo ra một tình huống với toàn bộ thế giới một cách hiệu quả biết rằng nó sẽ bị phá vỡ và phá sản. Để làm điều đó, chúng ta cần các công cụ phù hợp. Ném con người vào tàu, ném xác không còn là cách tiếp cận hợp lệ vì quy mô quá lớn và mọi thứ đang chuyển động quá nhanh. Cuộc thảo luận hôm nay, tôi nghĩ chúng ta sẽ có, về các loại công cụ để áp dụng cho việc này. Cụ thể, các công cụ mà IDERA có thể cung cấp cho chúng ta nên làm điều đó. Và với ý nghĩ đó, tôi sẽ trao nó cho Bullett để xem qua tài liệu của anh ấy và cho chúng tôi thấy cách tiếp cận của họ và các công cụ mà họ phải giải quyết vấn đề này mà chúng tôi đã đặt ra cho bạn.
Với điều đó, Bullett, tôi sẽ trao cho bạn.
Bullett Manale: Âm thanh tuyệt vời, cảm ơn bạn. Tôi muốn nói về một vài slide và tôi cũng muốn cho bạn thấy một sản phẩm mà chúng tôi sử dụng cho cơ sở dữ liệu SQL Server đặc biệt để giúp giải quyết các tình huống tuân thủ. Thực sự, thách thức trong rất nhiều trường hợp - tôi sẽ bỏ qua một vài trong số này - đây chỉ là danh mục sản phẩm của chúng tôi, tôi sẽ trải qua điều đó khá nhanh. Về mặt thực sự sản phẩm này sẽ giải quyết ở đâu và nó liên quan đến sự tuân thủ như thế nào, tôi luôn luôn xem nó giống như slide đầu tiên bởi vì nó là một loại chung chung, Hey Hey, trách nhiệm của một DBA là gì? đang kiểm soát và giám sát quyền truy cập của người dùng và cũng có thể tạo báo cáo. Điều đó sẽ gắn kết khi bạn nói chuyện với kiểm toán viên, quá trình đó có thể khó khăn đến mức nào tùy thuộc vào việc bạn sẽ tự làm việc đó hay bạn sẽ sử dụng bên thứ ba công cụ để giúp đỡ.
Nói chung, khi tôi nói chuyện với các quản trị viên cơ sở dữ liệu, rất nhiều lần họ chưa bao giờ tham gia vào một cuộc kiểm toán. Bạn phải giáo dục họ thực sự những gì bạn thực sự phải làm. Liên quan đến loại tuân thủ nào cần phải được thực hiện và có thể chứng minh rằng bạn thực sự tuân theo các quy tắc khi áp dụng cho mức độ tuân thủ đó. Nhiều người không nhận được nó lúc đầu. Họ nghĩ, "Ồ, tôi chỉ có thể mua một công cụ giúp tôi tuân thủ." Thực tế là, đó không phải là trường hợp. Tôi ước tôi có thể nói rằng sản phẩm của chúng tôi một cách kỳ diệu, bởi bạn biết, nhấn nút dễ dàng, đã cho bạn khả năng đảm bảo rằng bạn tuân thủ. Thực tế là bạn phải thiết lập môi trường của mình về mặt kiểm soát, về cách mọi người truy cập dữ liệu, tất cả phải được xử lý với ứng dụng mà bạn có. Trường hợp dữ liệu nhạy cảm đang được lưu trữ, loại yêu cầu quy định là gì. Sau đó, cũng phải làm việc với một nhân viên tuân thủ nội bộ điển hình để có thể đảm bảo bạn tuân thủ tất cả các quy tắc.
Điều này nghe có vẻ thực sự phức tạp. Nếu bạn nhìn vào tất cả các yêu cầu quy định, bạn sẽ nghĩ rằng đó là trường hợp, nhưng thực tế là có một mẫu số chung ở đây. Trong trường hợp của chúng tôi với công cụ mà tôi sẽ giới thiệu cho bạn hôm nay, sản phẩm Trình quản lý tuân thủ, quy trình trong tình huống của chúng tôi sẽ là, trước hết, chúng tôi cần đảm bảo rằng chúng tôi đang thu thập dữ liệu theo dõi kiểm toán, có liên quan đến nơi dữ liệu nằm trong cơ sở dữ liệu nhạy cảm. Bạn có thể thu thập mọi thứ, phải không? Tôi có thể ra ngoài và nói rằng tôi muốn thu thập mọi giao dịch xảy ra trên cơ sở dữ liệu này. Thực tế là bạn có thể chỉ có một phần nhỏ hoặc một tỷ lệ nhỏ giao dịch thực sự liên quan đến dữ liệu nhạy cảm. Nếu tuân thủ PCI, nó sẽ xoay quanh thông tin thẻ tín dụng, chủ sở hữu thẻ tín dụng, thông tin cá nhân của họ. Có thể có rất nhiều giao dịch khác liên quan đến ứng dụng của bạn, điều đó thực sự không có bất kỳ liên quan nào đến yêu cầu pháp lý của PCI.
Từ quan điểm đó, điều đầu tiên khi tôi nói chuyện với DBA là tôi nói, Thử thách số một không phải là cố gắng kiếm một công cụ để làm những việc này cho bạn. Bạn chỉ biết dữ liệu nhạy cảm đó ở đâu và chúng tôi khóa dữ liệu đó như thế nào? Nếu bạn có điều đó, nếu bạn có thể trả lời câu hỏi đó, thì bạn đang ở giữa chừng về khả năng cho thấy bạn tuân thủ, giả sử bạn đang tuân theo các điều khiển đúng. Hãy nói một chút rằng bạn đang tuân theo các biện pháp kiểm soát phù hợp và bạn đã nói với các kiểm toán viên rằng đó là trường hợp. Phần tiếp theo của quy trình rõ ràng là có thể cung cấp một bản kiểm toán cho thấy và xác nhận các kiểm soát đó đang thực sự hoạt động. Sau đó, theo đó với việc đảm bảo bạn lưu dữ liệu đó. Thông thường với những thứ như tuân thủ PCI và HIPAA và những loại điều đó, bạn đang nói đến việc giữ lại giá trị bảy năm. Bạn đang nói về rất nhiều giao dịch và rất nhiều dữ liệu.
Nếu bạn đang giữ, thu thập mọi giao dịch mặc dù chỉ năm phần trăm giao dịch có liên quan đến dữ liệu nhạy cảm, bạn đang nói về một chi phí khá lớn liên quan đến việc phải lưu trữ dữ liệu đó trong bảy năm. Đó là một trong những thách thức lớn nhất, tôi nghĩ, là khiến mọi người phải lo lắng rằng, đó thực sự là một chi phí không cần thiết. Nó cũng dễ dàng hơn nhiều nếu chúng ta chỉ có thể tập trung chi tiết vào các khu vực nhạy cảm trong cơ sở dữ liệu. Ngoài ra, bạn cũng sẽ muốn kiểm soát xung quanh một số thông tin nhạy cảm. Không chỉ thể hiện dưới dạng kiểm toán, mà còn có thể buộc mọi thứ trở lại với các hành động đang xảy ra và có thể được thông báo trong thời gian thực, để bạn có thể nhận thức được điều đó.
Ví dụ tôi luôn sử dụng, và nó có thể không nhất thiết liên quan đến bất kỳ loại yêu cầu quy định nào, nhưng chỉ cần có thể theo dõi, ví dụ, có người đã bỏ bảng liên quan đến bảng lương. Nếu điều đó xảy ra, cách bạn tìm hiểu về nó, nếu bạn không theo dõi điều đó, sẽ không có ai được trả tiền. Quá muộn rồi. Bạn muốn biết khi nào bảng đó bị rơi, ngay khi nó bị rơi, để tránh bất kỳ điều xấu nào xảy ra do một số nhân viên bất mãn đi và xóa bảng được gắn trực tiếp vào bảng lương.
Như đã nói, mẹo là tìm mẫu số chung hoặc sử dụng mẫu số chung đó để ánh xạ mức độ tuân thủ là gì. Đó là những gì chúng tôi cố gắng làm với công cụ này. Về cơ bản, chúng tôi áp dụng cách tiếp cận, chúng tôi sẽ không hiển thị cho bạn một báo cáo dành riêng cho PCI, dành riêng cho cổ phiếu; mẫu số chung là bạn có một ứng dụng sử dụng SQL Server để lưu trữ dữ liệu nhạy cảm trong cơ sở dữ liệu. Một khi bạn vượt qua được câu nói của mình, "Vâng đó thực sự là điều chính chúng ta cần tập trung vào - dữ liệu nhạy cảm đó ở đâu và làm thế nào nó được truy cập?" Khi bạn đã có điều đó, có rất nhiều báo cáo mà chúng tôi cung cấp có thể cung cấp bằng chứng đó, bạn sẽ, trong phạm vi tuân thủ.
Quay trở lại các câu hỏi mà kiểm toán viên đặt ra, câu hỏi đầu tiên sẽ là: Ai có quyền truy cập vào dữ liệu và làm thế nào họ có được quyền truy cập đó? Bạn có thể chứng minh rằng đúng người đang truy cập dữ liệu và những người sai không? Bạn cũng có thể chứng minh rằng chính bản thân kiểm toán là thứ mà tôi có thể tin tưởng như một nguồn thông tin bất biến? Nếu tôi đưa cho bạn một bản kiểm toán được chế tạo, thì nó không thực sự tốt cho tôi như một kiểm toán viên để vá bản kiểm toán của bạn nếu thông tin bịa đặt. Chúng tôi cần bằng chứng về điều đó, thường là từ góc độ kiểm toán.
Đi qua những câu hỏi đó, loại chi tiết hơn một chút. Thách thức với câu hỏi đầu tiên là, bạn phải biết, như tôi đã nói, nơi dữ liệu nhạy cảm đó được báo cáo về việc ai đang truy cập nó. Đó thường là một số loại khám phá và thực sự bạn đã có hàng ngàn ứng dụng khác nhau ngoài đó, bạn có hàng tấn các yêu cầu quy định khác nhau. Trong hầu hết các trường hợp, bạn muốn làm việc với nhân viên tuân thủ nếu bạn có, hoặc ít nhất là ai đó sẽ có một cái nhìn sâu sắc bổ sung về mặt thực sự nơi dữ liệu nhạy cảm của tôi nằm trong ứng dụng. Chúng tôi có một công cụ mà chúng tôi có, đó là một công cụ miễn phí, nó được gọi là Tìm kiếm cột SQL. Chúng tôi nói với khách hàng tiềm năng và người dùng quan tâm đến câu hỏi đó, họ có thể tải xuống. Những gì nó sẽ làm là về cơ bản nó sẽ tìm kiếm thông tin trong cơ sở dữ liệu có khả năng nhạy cảm trong tự nhiên.
Và sau khi bạn làm điều đó, bạn cũng phải hiểu cách mọi người truy cập dữ liệu đó. Và điều đó sẽ trở lại, một lần nữa, tài khoản nào nằm trong nhóm Active Directory, người dùng cơ sở dữ liệu nào có liên quan, có một thành viên vai trò liên quan đến vấn đề này. Và hãy nhớ, tất nhiên, tất cả những điều mà chúng ta đang nói đến phải được kiểm toán viên chấp thuận, vì vậy nếu bạn nói, thì Đây là cách chúng tôi khóa dữ liệu, những người kiểm toán có thể đến quay lại và nói, thưa Chà, bạn đang làm sai điều đó. Nhưng hãy nói rằng họ nói, đó là điều tốt. Bạn đang khóa dữ liệu đầy đủ.
Chuyển sang câu hỏi tiếp theo, sắp có, bạn có thể chứng minh rằng đúng người đang truy cập dữ liệu đó không? Nói cách khác, bạn có thể nói với họ các điều khiển của bạn, đây là các kiểm soát bạn đang theo dõi, nhưng thật không may, các kiểm toán viên không phải là những cá nhân đáng tin cậy thực sự. Họ muốn bằng chứng về nó và họ muốn có thể nhìn thấy nó trong lộ trình kiểm toán. Và điều này trở lại với toàn bộ mẫu số chung. Cho dù đó là PCI, SOX, HIPAA, GLBA, Basel II, bất kể là gì, thực tế là, những loại câu hỏi tương tự sẽ thường được hỏi. Đối tượng có thông tin nhạy cảm, ai đã truy cập đối tượng đó trong tháng vừa qua? Điều đó sẽ ánh xạ tới các kiểm soát của tôi và cuối cùng tôi sẽ có thể vượt qua kiểm toán của mình bằng cách hiển thị các loại báo cáo đó.
Và vì vậy, những gì chúng tôi đã làm là chúng tôi đã biên soạn khoảng 25 báo cáo khác nhau theo cùng loại đó như mẫu số chung đó. Vì vậy, chúng tôi không có báo cáo về PCI hoặc HIPAA hoặc SOX, chúng tôi có báo cáo rằng, một lần nữa, họ lại đi ngược lại mẫu số chung đó. Và do đó, thực sự không có vấn đề gì về yêu cầu pháp lý mà bạn đang cố gắng thực hiện, trong hầu hết các trường hợp, bạn sẽ có thể trả lời bất kỳ câu hỏi nào được đưa ra bởi kiểm toán viên đó. Và họ sẽ cho bạn biết ai, cái gì, khi nào và ở đâu của mọi giao dịch. Bạn biết đấy, người dùng, thời gian giao dịch xảy ra, chính câu lệnh SQL, ứng dụng mà nó xuất phát, tất cả những thứ tốt đó, và sau đó cũng có thể tự động hóa việc cung cấp thông tin này cho các báo cáo.
Và sau đó, một lần nữa, khi bạn vượt qua điều đó và bạn đã cung cấp điều đó cho kiểm toán viên, thì câu hỏi tiếp theo sẽ là, chứng minh điều đó. Và khi tôi nói hãy chứng minh điều đó, ý tôi là chứng minh rằng chính quá trình kiểm toán là điều chúng ta có thể tin tưởng. Và cách chúng tôi làm điều đó trong công cụ của mình là chúng tôi có các giá trị băm và giá trị CRC liên kết trực tiếp với chính các sự kiện trong quy trình kiểm toán. Và vì vậy, ý tưởng là, nếu ai đó ra ngoài và xóa một bản ghi hoặc nếu ai đó ra ngoài và xóa hoặc thêm một cái gì đó vào bản kiểm toán hoặc thay đổi một cái gì đó trong bản kiểm toán, chúng ta có thể chứng minh rằng dữ liệu đó, tính toàn vẹn của các dữ liệu chính nó, đã bị vi phạm. Và vì vậy, 99, 9% thời gian nếu bạn khóa cơ sở dữ liệu kiểm toán của chúng tôi, bạn sẽ không gặp phải vấn đề đó bởi vì khi chúng tôi chạy kiểm tra tính toàn vẹn đó, về cơ bản chúng tôi đang chứng minh cho kiểm toán viên rằng chính dữ liệu đó đã bị đã thay đổi và xóa hoặc thêm vào từ văn bản gốc từ chính dịch vụ quản lý.
Vì vậy, đó là loại tổng quan chung về các loại câu hỏi điển hình mà bạn sẽ được hỏi. Bây giờ, công cụ mà chúng ta phải giải quyết rất nhiều trong số này được gọi là Trình quản lý tuân thủ SQL và nó thực hiện tất cả những điều đó theo dõi các giao dịch, ai, cái gì, khi nào và ở đâu trong các giao dịch, có thể thực hiện điều đó trong một số lượng các lĩnh vực khác nhau là tốt. Đăng nhập, đăng nhập thất bại, thay đổi lược đồ, rõ ràng truy cập dữ liệu, chọn hoạt động, tất cả những điều đang xảy ra trong công cụ cơ sở dữ liệu. Và chúng tôi cũng có thể cảnh báo người dùng về các điều kiện cụ thể, rất chi tiết, nếu cần. Ví dụ: ai đó đang đi ra ngoài và thực sự xem bảng có chứa tất cả số thẻ tín dụng của tôi. Họ không thay đổi dữ liệu, họ chỉ nhìn vào nó. Trong tình huống đó tôi có thể cảnh báo và tôi có thể cho mọi người biết rằng điều đó đang xảy ra, không phải sáu giờ sau khi chúng tôi cạo nhật ký mà là trong thời gian thực. Về cơ bản, miễn là chúng tôi phải xử lý giao dịch đó thông qua dịch vụ quản lý.
Như tôi đã đề cập trước đây, chúng tôi đã thấy điều này được sử dụng trong nhiều yêu cầu quy định khác nhau và nó không thực sự - bạn biết đấy, bất kỳ yêu cầu pháp lý nào, một lần nữa, miễn là mẫu số chung, bạn có dữ liệu nhạy cảm trong Máy chủ SQL cơ sở dữ liệu, đây là một công cụ sẽ giúp trong tình huống đó. Đối với 25 báo cáo được xây dựng, bây giờ thực tế là chúng ta có thể làm cho công cụ này tốt cho kiểm toán viên và trả lời mọi câu hỏi mà họ hỏi, nhưng các DBA là những người phải làm cho nó hoạt động. Vì vậy, cũng có suy nghĩ về, bạn biết rõ, từ góc độ bảo trì, chúng ta phải đảm bảo rằng SQL hoạt động theo cách chúng ta muốn. Chúng ta cũng phải có khả năng đi vào và xem xét những thứ sẽ có thể đi ra ngoài và xem xét các thông tin khác, bạn biết, cho đến khi lưu trữ dữ liệu, tự động hóa dữ liệu đó và chi phí chung chính sản phẩm. Đó là những điều mà rõ ràng chúng ta tính đến.
Mà đưa lên kiến trúc chính nó. Vì vậy, ở phía bên phải của màn hình, chúng tôi đã có các phiên bản SQL mà chúng tôi quản lý, mọi thứ từ năm 2000 đến năm 2014, sẵn sàng phát hành phiên bản cho năm 2016. Điểm nổi bật nhất trên màn hình này là quản lý máy chủ chính nó đang làm tất cả các nâng nặng. Chúng tôi chỉ thu thập dữ liệu, sử dụng API theo dõi, được tích hợp với SQL Server. Thông tin đó đang nhỏ giọt lên máy chủ quản lý của chúng tôi. Bản thân máy chủ quản lý đó đang xác định và nếu có bất kỳ sự kiện nào liên quan đến bất kỳ loại giao dịch nào chúng tôi không muốn, gửi thông báo và các loại điều đó, sau đó điền dữ liệu vào kho lưu trữ. Từ đó chúng tôi có thể chạy các báo cáo, chúng tôi sẽ có thể ra ngoài và thực sự thấy thông tin đó trong các báo cáo hoặc thậm chí trong bảng điều khiển của ứng dụng.
Vì vậy, những gì tôi sẽ tiếp tục và làm là tôi sẽ đưa chúng tôi qua, thực sự nhanh chóng và tôi chỉ muốn chỉ ra một điều nhanh chóng trước khi chúng tôi nhảy vào sản phẩm, có một liên kết trên trang web ngay bây giờ, hoặc trên bài thuyết trình, điều đó sẽ đưa bạn đến công cụ miễn phí mà tôi đã đề cập trước đó. Công cụ miễn phí đó, như tôi đã nói, nó sẽ ra ngoài và xem xét một cơ sở dữ liệu và cố gắng tìm các khu vực trông giống như dữ liệu nhạy cảm, số an sinh xã hội, số thẻ tín dụng, dựa trên cách đặt tên của các cột hoặc bảng, hoặc dựa trên cách định dạng của dữ liệu trông như thế nào và bạn cũng có thể tùy chỉnh nó, vì vậy chỉ cần chỉ ra điều đó.
Bây giờ, trong trường hợp của chúng tôi, hãy để tôi tiếp tục và chia sẻ màn hình của mình, cho tôi một giây ở đây. Được rồi, và vì vậy, điều tôi muốn đưa bạn đến trước là tôi muốn đưa bạn đến ứng dụng Trình quản lý tuân thủ và tôi sẽ nhanh chóng hoàn thành việc này. Nhưng đây là ứng dụng và bạn có thể thấy tôi đã có một vài cơ sở dữ liệu ở đây và tôi sẽ chỉ cho bạn thấy nó dễ dàng đi vào và nói với nó những gì bạn đang muốn kiểm toán. Từ quan điểm thay đổi lược đồ, thay đổi bảo mật, hoạt động quản trị, DML, Chọn, chúng tôi có tất cả các tùy chọn có sẵn cho chúng tôi, chúng tôi cũng có thể lọc điều đó xuống. Điều này quay trở lại cách thực hành tốt nhất để có thể nói, tôi thực sự chỉ cần bảng này vì nó chứa số thẻ tín dụng của tôi. Tôi không cần các bảng khác có thông tin về sản phẩm, tất cả những thứ khác không liên quan đến mức độ tuân thủ mà tôi đang cố gắng đáp ứng.
Chúng tôi cũng có khả năng thu thập dữ liệu và hiển thị dữ liệu theo các giá trị của các trường đang thay đổi. Trong rất nhiều công cụ, bạn sẽ có thứ gì đó sẽ cung cấp cho bạn khả năng nắm bắt câu lệnh SQL, hiển thị cho người dùng, hiển thị ứng dụng, thời gian và ngày tháng, tất cả những thứ tốt đó. Nhưng trong một số trường hợp, chính câu lệnh SQL sẽ không cung cấp cho bạn đủ thông tin để có thể cho bạn biết giá trị của trường là gì trước khi thay đổi xảy ra cũng như giá trị của trường sau khi thay đổi xảy ra. Và trong một số tình huống bạn cần điều đó. Tôi có thể muốn theo dõi, ví dụ, thông tin về liều lượng của bác sĩ đối với thuốc theo toa. Nó đã tăng từ 50mg đến 80mg đến 120mg, tôi có thể theo dõi việc sử dụng trước và sau.
Các cột nhạy cảm là một thứ khác mà chúng ta gặp rất nhiều, ví dụ, với việc tuân thủ PCI. Trong tình huống ở đây, bạn có dữ liệu nhạy cảm về bản chất đến mức chỉ cần nhìn vào thông tin đó, tôi không phải thay đổi, xóa hoặc thêm vào đó, tôi có thể gây ra tác hại không thể khắc phục. Số thẻ tín dụng, số an sinh xã hội, tất cả những thứ tốt đó chúng ta có thể xác định các cột nhạy cảm và buộc cảnh báo với nó. Nếu có ai đi ra ngoài và xem thông tin đó, chúng tôi sẽ có thể, rõ ràng, cảnh báo và gửi email hoặc tạo bẫy SNMP và những thứ đó.
Bây giờ trong một số trường hợp, bạn sẽ gặp phải một tình huống mà bạn có thể có ngoại lệ. Và ý tôi là, bạn có một tình huống là bạn có một người dùng có tài khoản người dùng có thể bị ràng buộc với một số loại công việc ETL chạy vào giữa đêm. Đó là một quy trình được ghi lại và tôi chỉ đơn giản là không cần đưa thông tin giao dịch đó vào tài khoản người dùng đó. Trong trường hợp đó, chúng tôi sẽ có một người dùng đáng tin cậy. Và sau đó, trong các tình huống khác, chúng tôi sẽ sử dụng tính năng Kiểm toán người dùng đặc quyền, về cơ bản, nếu tôi có, ví dụ như một ứng dụng và ứng dụng đó đã thực hiện kiểm toán, những người dùng đang trải qua ứng dụng, đó là thật tuyệt, tôi đã có vài thứ để tham khảo về mặt kiểm toán của mình. Nhưng đối với những thứ gắn liền với, ví dụ, người dùng đặc quyền của tôi, những người có thể vào phòng quản lý SQL Server để xem dữ liệu trong cơ sở dữ liệu, điều đó sẽ không cắt giảm. Và đây là nơi chúng ta có thể xác định ai là người dùng đặc quyền của mình, thông qua Tư cách thành viên vai trò hoặc thông qua tài khoản Active Directory, nhóm, tài khoản được xác thực SQL của họ, nơi chúng ta có thể chọn tất cả các loại tùy chọn khác nhau đó và sau đó từ đó đảm bảo rằng đối với những người dùng đặc quyền đó, chúng tôi có thể chỉ định các loại giao dịch mà chúng tôi quan tâm khi kiểm toán.
Đây là tất cả các loại tùy chọn khác nhau mà bạn có và tôi sẽ không trải qua tất cả các loại điều khác nhau dựa trên các ràng buộc về thời gian ở đây cho bản trình bày này. Nhưng tôi muốn cho bạn thấy làm thế nào chúng ta có thể xem dữ liệu và tôi nghĩ bạn sẽ thích cách thức hoạt động của nó bởi vì có hai cách chúng ta có thể làm điều đó. Tôi có thể làm điều đó một cách tương tác và vì vậy khi chúng tôi nói chuyện với những người quan tâm đến công cụ này để có thể kiểm soát nội bộ của riêng họ, họ chỉ muốn biết những gì đang xảy ra trong nhiều trường hợp. Họ không nhất thiết phải có kiểm toán viên đến trên trang web. Họ chỉ muốn biết thôi, Hey Hey, tôi muốn theo dõi bảng này và xem ai đã chạm vào nó trong tuần trước hoặc tháng trước hoặc bất cứ điều gì có thể xảy ra. Trong trường hợp này bạn có thể thấy chúng tôi có thể làm điều đó nhanh như thế nào.
Trong trường hợp cơ sở dữ liệu chăm sóc sức khỏe, tôi đã có một bảng có tên là Hồ sơ bệnh nhân. Và cái bàn đó, nếu tôi chỉ nhóm theo đối tượng, nó có thể nhanh chóng bắt đầu thu hẹp nơi chúng tôi đang tìm kiếm. Có lẽ tôi muốn nhóm theo thể loại và sau đó có thể theo sự kiện. Và khi tôi làm điều đó, bạn có thể thấy nó xuất hiện nhanh như thế nào và có bảng Hồ sơ bệnh nhân của tôi ngay tại đó. Và khi tôi đi sâu vào bây giờ chúng ta có thể thấy hoạt động DML, chúng ta có thể thấy rằng chúng ta đã có hàng ngàn lần chèn DML và khi chúng ta mở một trong những giao dịch này, chúng ta có thể thấy thông tin liên quan. Ai, cái gì, thời gian, địa điểm giao dịch, câu lệnh SQL, rõ ràng, ứng dụng thực tế đang được sử dụng để thực hiện giao dịch, tài khoản, thời gian và ngày.
Bây giờ nếu bạn nhìn vào tab tiếp theo ở đây, tab Chi tiết, điều này sẽ quay trở lại câu hỏi thứ ba mà chúng ta đang nói đến, chứng minh rằng tính toàn vẹn của dữ liệu chưa bị vi phạm. Vì vậy, về cơ bản mọi sự kiện, chúng tôi có một tính toán bí mật cho giá trị băm của chúng tôi và điều này sẽ bắt đầu trở lại khi chúng tôi kiểm tra tính toàn vẹn của chúng tôi. Ví dụ: nếu tôi đi ra ngoài công cụ, hãy vào menu kiểm toán và tôi sẽ ra ngoài và nói, hãy kiểm tra tính toàn vẹn của kho lưu trữ, tôi có thể chỉ vào cơ sở dữ liệu nơi đường mòn kiểm toán, nó sẽ chạy thông qua kiểm tra tính toàn vẹn khớp với các giá trị băm và giá trị CRC đó với các sự kiện thực tế và nó sẽ cho chúng ta biết rằng không có vấn đề nào được tìm thấy. Nói cách khác, dữ liệu trong quy trình kiểm toán đã không bị giả mạo do dữ liệu ban đầu được viết bởi dịch vụ quản lý. Đó rõ ràng là một cách để tương tác với dữ liệu. Cách khác sẽ thông qua các báo cáo chính họ. Và vì vậy tôi sẽ chỉ cho bạn một ví dụ nhanh về một báo cáo.
Và một lần nữa, các báo cáo này, theo cách chúng tôi đưa ra, không cụ thể đối với bất kỳ loại tiêu chuẩn nào như PCI, HIPAA, SOX hoặc bất cứ điều gì tương tự. Một lần nữa, đó là mẫu số chung của những gì chúng tôi đang làm, và trong trường hợp này, nếu chúng tôi quay lại ví dụ về hồ sơ bệnh nhân đó, chúng tôi sẽ có thể ra ngoài và nói, trong trường hợp của chúng tôi ở đây, chúng tôi đang tìm kiếm tại cơ sở dữ liệu chăm sóc sức khỏe và trong trường hợp của chúng tôi, chúng tôi muốn tập trung cụ thể vào bảng đó mà chúng tôi biết có chứa thông tin cá nhân, trong trường hợp của chúng tôi, liên quan đến bệnh nhân của chúng tôi. Và vì vậy, hãy để tôi xem liệu tôi có thể gõ nó ở đây không, và chúng tôi sẽ tiếp tục và chạy báo cáo đó. Và chúng ta sẽ thấy sau đó, rõ ràng, từ đó tất cả các dữ liệu liên quan đến đối tượng đó. Và trong trường hợp của chúng tôi, nó cho chúng ta thấy trong một khoảng thời gian. Nhưng chúng tôi có thể quay lại sáu tháng, một năm, tuy nhiên chúng tôi đã giữ dữ liệu trong bao lâu.
Đó là những cách mà bạn có thể thực sự chứng minh, nếu bạn muốn, với kiểm toán viên rằng bạn đang tuân theo sự kiểm soát của mình. Khi bạn đã xác định được điều đó, thì rõ ràng đó là một điều tốt trong việc vượt qua kiểm toán của bạn và có thể cho thấy rằng bạn đang tuân theo các biện pháp kiểm soát và mọi thứ đều hoạt động.
Điều cuối cùng để nói về điều mà tôi muốn chứng minh là trong phần quản trị. Ngoài ra còn có các điều khiển từ quan điểm của chính công cụ này có thể đặt các điều khiển để có thể đảm bảo rằng nếu ai đó đang làm điều gì đó mà họ không nên làm thì tôi có thể nhận ra điều đó. Và tôi sẽ cho bạn một vài ví dụ ở đó. Tôi đã có một tài khoản đăng nhập gắn liền với một dịch vụ và dịch vụ đó cần có quyền nâng cao để thực hiện những gì nó làm. Điều tôi không muốn là ai đó sẽ truy cập và sử dụng tài khoản đó trong Management Studio và sau đó, bạn biết đấy, sử dụng nó cho những thứ mà nó không dành cho. Chúng tôi sẽ có hai phần tiêu chí ở đây mà chúng tôi có thể áp dụng. Tôi có thể nói, Nhìn Nhìn, chúng tôi thực sự thích thú với công việc này, giả sử, với ứng dụng PeopleSoft của chúng tôi, chỉ là một ví dụ, được chứ?
Bây giờ tôi đã làm điều đó, điều tôi đang nói ở đây là, tôi tò mò muốn biết bất kỳ thông tin đăng nhập nào được liên kết với tài khoản mà tôi đã sẵn sàng để chỉ định, nếu ứng dụng đang được sử dụng để đăng nhập bằng tài khoản này không phải là PeopleSoft, sau đó sẽ tăng báo động. Và rõ ràng là chúng ta phải chỉ định tên tài khoản, vì vậy trong trường hợp của chúng ta, hãy gọi Tài khoản riêng này, vì thực tế đó là đặc quyền. Bây giờ một khi chúng ta đã làm điều đó, khi chúng ta làm điều này ở đây, bây giờ chúng ta sẽ có thể chỉ định những gì chúng ta muốn xảy ra khi điều đó xảy ra và đối với từng loại sự kiện hoặc, tôi nên nói, cảnh báo, bạn có thể có một thông báo riêng cho người chịu trách nhiệm về phần dữ liệu cụ thể đó.
Ví dụ: nếu đó là thông tin về lương, nó có thể chuyển đến giám đốc nhân sự của tôi. Trong trường hợp này, đối phó với ứng dụng PeopleSoft, nó sẽ là quản trị viên của ứng dụng đó. Bất kể trường hợp có thể. Tôi sẽ có thể đặt địa chỉ email của mình, tùy chỉnh thông báo cảnh báo thực tế và tất cả những thứ tốt đó. Một lần nữa, điều này quay trở lại để có thể đảm bảo rằng bạn có thể cho thấy rằng bạn đang theo dõi các điều khiển của mình và các điều khiển đó đang hoạt động theo cách mà chúng được dự định. Từ quan điểm cuối cùng ở đây, chỉ là về mặt bảo trì, chúng tôi có khả năng lấy dữ liệu này và đặt nó ngoại tuyến. Tôi có thể lưu trữ dữ liệu và tôi có thể lên lịch và chúng tôi có thể thực hiện những việc này rất dễ dàng theo nghĩa là bạn thực sự có thể, như một DBA, sử dụng công cụ này, thiết lập và loại tránh xa nó Không có nhiều việc nắm tay sẽ diễn ra một khi bạn đã thiết lập đúng cách. Như tôi đã nói, phần khó nhất trong số này, tôi nghĩ, không phải là thiết lập những gì bạn muốn kiểm toán, đó là biết bạn muốn thiết lập gì để kiểm toán.
Và như tôi đã nói, bản chất của quái thú với kiểm toán, bạn phải giữ dữ liệu trong bảy năm, do đó, việc tập trung vào những khu vực nhạy cảm trong tự nhiên là điều hợp lý. Nhưng nếu bạn muốn đi theo cách tiếp cận để thu thập mọi thứ, bạn hoàn toàn có thể, nó chỉ không được coi là thực hành tốt nhất. Vì vậy, từ quan điểm đó, tôi chỉ muốn nhắc nhở mọi người rằng nếu đây là điều đáng quan tâm, bạn có thể truy cập trang web tại IDERA.com và tải xuống bản dùng thử này và tự mình chơi thử. Về mặt công cụ miễn phí mà chúng ta đã nói trước đó, tốt, nó miễn phí, bạn có thể tải xuống và sử dụng nó mãi mãi, bất kể bạn có đang sử dụng sản phẩm Trình quản lý tuân thủ hay không. Và điều thú vị về công cụ tìm kiếm cột đó là những phát hiện của chúng tôi mà bạn đưa ra và tôi thực sự có thể chỉ ra rằng, tôi nghĩ rằng bạn sẽ có thể xuất dữ liệu đó ra và sau đó có thể nhập dữ liệu đó vào Trình quản lý tuân thủ cũng. Tôi không nhìn thấy nó, tôi biết nó ở đây, nó đây. Đây chỉ là một ví dụ về điều đó. Đây là nơi nó tìm thấy các dữ liệu nhạy cảm liên quan.
Bây giờ trường hợp này tôi đã đi ra ngoài và tôi thực sự, tôi đang xem xét mọi thứ, nhưng bạn có rất nhiều thứ mà chúng ta có thể kiểm tra. Số thẻ tín dụng, địa chỉ, tên, tất cả các loại công cụ. Và chúng tôi sẽ xác định vị trí của nó trong cơ sở dữ liệu và từ đó bạn có thể đưa ra quyết định về việc bạn có thực sự muốn kiểm toán thông tin đó hay không. Nhưng đó chắc chắn là một cách giúp bạn dễ dàng hơn rất nhiều trong việc xác định phạm vi kiểm toán khi bạn đang xem một công cụ như thế này.
Tôi sẽ tiếp tục và kết thúc với điều đó, và tôi sẽ tiếp tục và chuyển nó lại cho Eric.
Eric Kavanagh: Đó là một bài thuyết trình tuyệt vời. Tôi thích cách bạn thực sự đi vào các chi tiết nghiệt ngã ở đó và cho chúng tôi thấy những gì đang xảy ra. Bởi vì vào cuối ngày, có một số hệ thống sẽ truy cập vào một số hồ sơ, điều đó sẽ cung cấp cho bạn một báo cáo, điều đó sẽ khiến bạn kể câu chuyện của mình, cho dù đó là một cơ quan quản lý hoặc kiểm toán viên hoặc ai đó trong nhóm của bạn, vì vậy thật tốt khi bạn biết rằng bạn đã chuẩn bị nếu và khi nào, hoặc khi nào, người đó đến gõ cửa, và tất nhiên đó là tình huống khó chịu mà bạn đang cố gắng tránh. Nhưng nếu điều đó xảy ra, và nó có thể sẽ xảy ra vào những ngày này, bạn muốn chắc chắn rằng bạn đã chấm tôi và chữ T của bạn.
Có một câu hỏi hay từ một thành viên khán giả mà tôi muốn đưa ra trước tiên có lẽ là bạn, Bullett, và sau đó nếu có thể một người dẫn chương trình muốn bình luận về nó, hãy thoải mái. Và sau đó có lẽ Dez hỏi một câu hỏi và Robin. Vì vậy, câu hỏi là, có công bằng không khi nói rằng để làm tất cả những điều mà bạn đã đề cập, bạn cần bắt đầu một nỗ lực phân loại dữ liệu ở cấp tiểu học? Bạn cần biết dữ liệu của mình khi nó nổi lên như một tài sản tiềm năng có giá trị và làm điều gì đó về điều đó. Tôi nghĩ bạn sẽ đồng ý, Bullett, phải không?
Bullett Manale: Vâng, hoàn toàn. Ý tôi là, bạn đã biết dữ liệu của bạn. Và tôi nhận ra, tôi nhận ra rằng có rất nhiều ứng dụng ngoài kia và có rất nhiều thứ khác nhau có các bộ phận chuyển động trong tổ chức của bạn. Công cụ tìm kiếm cột rất hữu ích trong việc đi một bước đến hướng hiểu dữ liệu đó tốt hơn. Nhưng vâng, nó rất quan trọng. Ý tôi là, bạn có tùy chọn thực hiện phương pháp chữa cháy và kiểm tra mọi thứ, nhưng sẽ khó khăn hơn rất nhiều khi bạn nói về việc phải lưu trữ dữ liệu đó và báo cáo dữ liệu đó. Và sau đó bạn vẫn cần phải biết đoạn dữ liệu đó ở đâu vì khi bạn chạy các báo cáo của mình, bạn sẽ cần phải cho người kiểm toán biết thông tin đó. Vì vậy, tôi nghĩ rằng, như tôi đã nói, thách thức lớn nhất khi tôi nói chuyện với các quản trị viên cơ sở dữ liệu là biết, yeah.
Eric Kavanagh: Vâng, nhưng có lẽ Robin chúng tôi sẽ đưa bạn đến thật nhanh. Dường như với tôi quy tắc 80/20 áp dụng ở đây, phải không? Có lẽ bạn sẽ không tìm thấy mọi hệ thống hồ sơ quan trọng nếu bạn ở trong một tổ chức cỡ trung bình hoặc lớn, nhưng nếu bạn tập trung vào - như Bullett đã đề xuất ở đây - chẳng hạn như PeopleSoft hoặc các hệ thống hồ sơ khác chiếm ưu thế trong doanh nghiệp, đó là nơi bạn tập trung 80% nỗ lực của mình và sau đó 20% là vào các hệ thống khác có thể ở ngoài đó, phải không?
Robin Bloor: Vâng, tôi chắc chắn, vâng. Ý tôi là, bạn biết đấy, tôi nghĩ vấn đề với công nghệ này và tôi nghĩ có lẽ đáng để nhận xét về nó, nhưng vấn đề với công nghệ này là, làm thế nào để bạn thực hiện nó? Ý tôi là, chắc chắn là thiếu kiến thức, giả sử, trong hầu hết các tổ chức về số lượng cơ sở dữ liệu ngoài kia. Bạn biết đấy, có rất nhiều thiếu hàng tồn kho, giả sử. Bạn biết đấy, câu hỏi là, hãy tưởng tượng rằng chúng ta đang bắt đầu trong một tình huống không có sự tuân thủ được quản lý tốt, làm thế nào để bạn sử dụng công nghệ này và đưa nó vào môi trường, không chỉ trong, bạn biết đấy, công nghệ điều khoản, thiết lập công cụ, nhưng như ai quản lý nó, ai xác định cái gì? Làm thế nào để bạn bắt đầu biến điều này thành một loại công việc chính hãng, công việc?
Bullett Manale: Ý tôi là, đó là một câu hỏi hay. Thách thức trong rất nhiều trường hợp là, ý tôi là, bạn phải bắt đầu đặt câu hỏi ngay từ đầu. Tôi đã từng điều hành rất nhiều công ty nơi họ, có thể họ là một công ty tư nhân và họ đã được mua lại, có một bước đầu tiên, loại, đầu tiên, loại đường, nếu bạn muốn gọi nó là. Ví dụ, nếu bây giờ tôi vừa trở thành một công ty giao dịch công khai vì mua lại, tôi sẽ phải quay lại và có thể tìm ra một số thứ.
Và trong một số trường hợp chúng tôi nói chuyện với các tổ chức, bạn biết, mặc dù họ là riêng tư, họ tuân theo các quy tắc tuân thủ SOX, đơn giản vì trong trường hợp họ muốn có được, họ biết rằng họ phải tuân thủ. Bạn chắc chắn không muốn thực hiện phương pháp này ngay bây giờ. Tôi không cần phải lo lắng về vấn đề này. Ngay bây giờ, bất kỳ loại tuân thủ quy định nào như PCI hoặc SOX hoặc bất cứ điều gì, bạn muốn đầu tư vào nghiên cứu hoặc sự hiểu biết về thông tin nhạy cảm đó ở đâu, nếu không bạn có thể thấy mình phải đối phó với một số khoản tiền phạt đáng kể, nặng nề. Và tốt hơn hết là chỉ cần đầu tư thời gian đó, bạn biết đấy, tìm dữ liệu đó và có thể báo cáo chống lại nó và cho thấy các điều khiển đang hoạt động.
Vâng, về mặt thiết lập nó, như tôi đã nói, điều đầu tiên tôi muốn giới thiệu cho những người đã sẵn sàng đối mặt với một cuộc kiểm toán, là chỉ cần ra ngoài và kiểm tra cơ sở dữ liệu, và tìm ra, bạn biết, trong những nỗ lực tốt nhất của họ, cố gắng tìm ra dữ liệu nhạy cảm đó ở đâu. Và cách tiếp cận khác là bắt đầu với một mạng lưới lớn hơn về phạm vi kiểm toán là gì, và sau đó từ từ hạn chế khi bạn tìm ra những khu vực trong hệ thống có liên quan đến thông tin nhạy cảm. Nhưng tôi ước tôi có thể nói với bạn rằng có một câu trả lời dễ dàng cho câu hỏi đó. Có lẽ nó sẽ thay đổi khá nhiều từ tổ chức này sang tổ chức khác và loại tuân thủ và thực sự, bạn biết, họ có bao nhiêu cấu trúc trong các ứng dụng của họ và có bao nhiêu ứng dụng đa dạng, một số ứng dụng có thể tùy chỉnh bằng văn bản, vì vậy nó thực sự sẽ phụ thuộc vào tình huống trong rất nhiều trường hợp.
Eric Kavanagh: Hãy tiếp tục, Dez, tôi chắc chắn bạn đã có một hoặc hai câu hỏi.
Dez Blanchfield: Tôi thực sự muốn hiểu rõ hơn về những quan sát của bạn xung quanh tác động đến các tổ chức theo quan điểm của mọi người, thực sự. Tôi nghĩ một trong những lĩnh vực mà tôi thấy giá trị lớn nhất của giải pháp cụ thể này là khi mọi người thức dậy vào buổi sáng và đi làm ở nhiều cấp độ khác nhau của tổ chức, họ thức dậy với một loạt, hoặc một chuỗi trách nhiệm rằng họ phải đối phó với. Và tôi rất muốn hiểu rõ hơn về những gì bạn đang thấy ngoài kia có và không có các loại công cụ mà bạn đang nói đến. Và bối cảnh tôi đang nói đến ở đây là từ chủ tịch cấp ủy ban cho đến CEO và CIO và C-suite. Và bây giờ chúng ta đã có các giám đốc rủi ro, những người đang suy nghĩ nhiều hơn về các loại điều chúng ta đang nói ở đây trong việc tuân thủ và quản trị, và sau đó chúng ta đã có các giám đốc đóng vai trò mới, giám đốc dữ liệu, bạn biết đấy, thậm chí quan tâm nhiều hơn về nó.
Và về phía mỗi người trong số họ, xung quanh CIO, chúng tôi đã có các nhà quản lý CNTT ở một bên, loại bạn biết, khách hàng tiềm năng kỹ thuật và sau đó là lãnh đạo cơ sở dữ liệu. Và trong không gian hoạt động, chúng tôi có các nhà quản lý phát triển và lãnh đạo phát triển và sau đó là các phát triển riêng lẻ và họ cũng quay trở lại lớp quản trị cơ sở dữ liệu. Bạn đang thấy gì xung quanh phản ứng của từng bộ phận khác nhau trong doanh nghiệp trước thách thức tuân thủ và báo cáo theo quy định và cách tiếp cận của họ đối với nó? Bạn có thấy rằng mọi người đang đến đây với sự nhiệt thành và có thể thấy được lợi ích của nó hay bạn đang thấy rằng họ miễn cưỡng kéo chân họ đến điều này và chỉ, bạn biết đấy, làm điều đó để đánh dấu vào hộp? Và các loại phản hồi bạn nhìn thấy khi họ thấy phần mềm của bạn là gì?
Bullett Manale: Vâng, đó là một câu hỏi hay. Tôi muốn nói rằng sản phẩm này, doanh số của sản phẩm này, chủ yếu được điều khiển bởi ai đó ngồi ghế nóng, nếu điều đó có ý nghĩa. Trong hầu hết các trường hợp đó là DBA, và theo quan điểm của chúng tôi, nói cách khác, họ biết rằng sẽ có một cuộc kiểm toán sắp tới và họ sẽ chịu trách nhiệm, bởi vì họ là DBA, để có thể cung cấp thông tin mà kiểm toán viên sẽ hỏi. Họ có thể làm điều đó bằng cách viết báo cáo của riêng họ và tạo ra dấu vết tùy chỉnh của riêng họ và tất cả những thứ đó. Thực tế là họ không muốn làm điều đó. Trong hầu hết các trường hợp, các DBA không thực sự mong muốn bắt đầu những cuộc trò chuyện với kiểm toán viên. Bạn biết đấy, tôi muốn nói với bạn rằng chúng ta có thể gọi cho một công ty và nói rằng, Hey Hey đây là một công cụ tuyệt vời và bạn sẽ yêu thích nó, và cho họ xem tất cả các tính năng và họ sẽ mua nó.
Thực tế là họ thường sẽ không nhìn vào công cụ này trừ khi họ thực sự phải đối mặt với một cuộc kiểm toán hoặc mặt khác của đồng tiền đó là họ đã kiểm toán và thất bại thảm hại và bây giờ họ đang thất bại được yêu cầu nhận một số trợ giúp hoặc họ sẽ bị phạt. Tôi sẽ nói rằng về mặt, bạn biết, nói chung, khi bạn giới thiệu sản phẩm này cho mọi người, họ chắc chắn thấy giá trị của nó bởi vì nó giúp họ tiết kiệm rất nhiều thời gian về việc phải tìm ra những gì họ muốn báo cáo, những thứ đó Tất cả các báo cáo đã được xây dựng, các cơ chế cảnh báo được đưa ra, và sau đó với câu hỏi thứ ba, trong rất nhiều trường hợp, có thể là một thách thức. Bởi vì tôi có thể hiển thị cho bạn các báo cáo cả ngày nhưng trừ khi bạn có thể chứng minh cho tôi những báo cáo đó thực sự hợp lệ thì bạn biết đấy, đó là một đề xuất khó khăn hơn đối với tôi khi là một DBA để có thể chỉ ra điều đó. Nhưng chúng tôi đã nghiên cứu công nghệ và kỹ thuật băm và tất cả những thứ đó để có thể giúp đảm bảo rằng dữ liệu trong tính toàn vẹn của các đường kiểm toán đang được lưu giữ.
Và đó là những điều mà, đó là những quan sát của tôi về hầu hết những người chúng ta nói chuyện. Bạn biết, chắc chắn, trong các tổ chức khác nhau, bạn biết, bạn sẽ nghe về, ví dụ như bạn biết, Target, đã vi phạm dữ liệu và, ý tôi là, khi các tổ chức khác nghe về các khoản phạt và những điều đó những thứ mọi người bắt đầu, nó làm nhướn mày, vì vậy, hy vọng rằng câu trả lời cho câu hỏi.
Dez Blanchfield: Vâng, chắc chắn. Tôi có thể tưởng tượng một số DBA khi cuối cùng họ thấy những gì có thể được thực hiện với công cụ này chỉ là nhận ra rằng họ cũng đã có những đêm muộn và cuối tuần. Giảm thời gian và chi phí và những thứ khác tôi thấy khi các công cụ phù hợp được áp dụng cho toàn bộ vấn đề này, và đó là, ba tuần tôi ngồi với một ngân hàng ở Úc. Họ là một ngân hàng toàn cầu, ba ngân hàng hàng đầu, họ rất lớn. Và họ đã có một dự án mà họ phải báo cáo về việc tuân thủ quản lý tài sản và đặc biệt là rủi ro, và họ đang xem xét công việc trị giá 60 tuần cho một vài trăm con người. Và khi chúng được hiển thị giống như một công cụ giống như bạn có thể tự động hóa quy trình, ý nghĩa này, vẻ mặt của chúng khi chúng nhận ra rằng chúng không phải trải qua X số tuần với hàng trăm người thực hiện quy trình thủ công là Kiểu như họ đã tìm thấy Chúa. Nhưng điều thách thức sau đó là làm thế nào để thực sự đưa nó vào kế hoạch, như Tiến sĩ Robin Bloor đã chỉ ra, bạn biết đấy, đây là thứ gì đó trở thành một hỗn hợp của sự thay đổi văn hóa, hành vi. Ở các cấp độ mà bạn đang xử lý, những người đang xử lý vấn đề này trực tiếp ở cấp ứng dụng, bạn sẽ thấy loại thay đổi nào khi họ bắt đầu áp dụng một công cụ để thực hiện loại báo cáo và kiểm toán và kiểm soát mà bạn có thể cung cấp, như trái ngược với những gì họ có thể đã làm bằng tay? Điều đó trông như thế nào khi họ thực sự đưa vào thực tế?
Bullett Manale: Bạn đang hỏi, sự khác biệt về cách xử lý thủ công này so với sử dụng công cụ này là gì? Đó có phải là câu hỏi?
Dez Blanchfield: Vâng, cụ thể là tác động của việc kinh doanh. Vì vậy, ví dụ, nếu chúng ta đang cố gắng cung cấp sự tuân thủ trong một quy trình thủ công, bạn biết đấy, chúng ta luôn mất nhiều thời gian với rất nhiều người. Nhưng tôi đoán, để đặt một số bối cảnh xung quanh câu hỏi, như bạn biết, chúng ta đang nói về một người duy nhất chạy công cụ này thay thế 50 người có khả năng và có thể làm điều tương tự trong thời gian thực hoặc trong vài giờ so với nhiều tháng? Là loại đó, những gì thường biến thành?
Bullett Manale: Ý tôi là, nó có một vài điều. Một là có khả năng trả lời những câu hỏi đó. Một số trong những điều đó sẽ không được thực hiện rất dễ dàng. Vì vậy, vâng, thời gian cần thiết để làm công việc nhà, để tự viết báo cáo, để thiết lập dấu vết hoặc các sự kiện mở rộng để thu thập dữ liệu theo cách thủ công, có thể mất rất nhiều thời gian. Thực sự, tôi sẽ cung cấp cho bạn một số, ý tôi là, điều này không thực sự liên quan đến cơ sở dữ liệu nói chung nhưng giống như ngay sau khi Enron xảy ra và SOX trở nên thịnh hành, tôi đã ở một trong những công ty dầu lớn hơn ở Houston, và chúng tôi đã tính, Tôi nghĩ rằng nó giống như 25 phần trăm chi phí kinh doanh của chúng tôi có liên quan đến việc tuân thủ SOX.
Bây giờ điều đó đã xảy ra ngay sau đó và đó là bước đầu tiên ban đầu tại SOX nhưng điều tôi biết, bạn biết đấy, bạn nhận được rất nhiều lợi ích khi sử dụng công cụ này theo nghĩa là nó không đòi hỏi nhiều của những người làm điều này và rất nhiều loại người khác nhau để làm điều đó. Và như tôi đã nói, DBA thường không phải là người thực sự mong muốn có những cuộc trò chuyện với các kiểm toán viên. Vì vậy, trong rất nhiều trường hợp, chúng ta sẽ thấy rằng DBA có thể giảm tải điều này và có thể cung cấp báo cáo được giao tiếp với kiểm toán viên và họ có thể loại bỏ hoàn toàn khỏi phương trình thay vì phải tham gia. Vì vậy, bạn biết đấy, đó là một khoản tiết kiệm rất lớn cũng như về tài nguyên khi bạn có thể làm điều đó.
Dez Blanchfield: Bạn đang nói về việc giảm chi phí lớn, phải không? Các tổ chức không chỉ loại bỏ rủi ro và chi phí hoạt động, mà ý tôi là về cơ bản bạn đang nói về việc giảm đáng kể chi phí, A) hoạt động và cả B) trong thực tế, nếu bạn thực sự có thể cung cấp thực tế báo cáo tuân thủ thời gian rằng đã giảm đáng kể nguy cơ vi phạm dữ liệu hoặc một số tiền phạt hoặc tác động pháp lý cho việc không tuân thủ, phải không?
Bullett Manale: Vâng, hoàn toàn. Ý tôi là, vì không tuân thủ nên có đủ thứ tồi tệ xảy ra. Họ có thể sử dụng công cụ này và nó sẽ rất tuyệt hoặc họ không và họ sẽ tìm ra nó thực sự tệ đến mức nào. Vì vậy, vâng, nó không chỉ là công cụ rõ ràng, bạn có thể kiểm tra và mọi thứ mà không cần một công cụ như thế này. Như tôi đã nói, nó sẽ tốn nhiều thời gian và chi phí hơn.
Dez Blanchfield: Thật tuyệt vời. Vì vậy, Eric, tôi sẽ trả lại cho bạn bởi vì tôi nghĩ rằng sự hấp dẫn đối với tôi là, bạn biết đấy, loại thị trường này thật tuyệt vời. Nhưng, về cơ bản, giá trị của nó bằng vàng dựa trên cơ sở có thể tránh được tác động thương mại của một vấn đề đang diễn ra hoặc có thể giảm thời gian báo cáo và quản lý tuân thủ chỉ cần làm, bạn biết đấy, công cụ trả tiền cho chính nó ngay lập tức bằng âm thanh của sự vật.
Eric Kavanagh: Điều đó hoàn toàn chính xác. Vâng, cảm ơn rất nhiều vì thời gian của bạn ngày hôm nay, Bullett. Cảm ơn tất cả các bạn ngoài kia vì đã dành thời gian và sự chú ý của bạn, và Robin và Dez. Một bài thuyết trình tuyệt vời ngày hôm nay. Cảm ơn bạn bè của chúng tôi tại IDERA đã cho phép chúng tôi mang đến cho bạn nội dung này miễn phí. Chúng tôi sẽ lưu trữ webcast này để xem sau. Các kho lưu trữ thường lên trong khoảng một ngày. Và cho chúng tôi biết những gì bạn nghĩ về trang web mới của chúng tôi, insideanalysis.com. Một thiết kế hoàn toàn mới, một diện mạo và cảm nhận hoàn toàn mới. Chúng tôi rất muốn nghe phản hồi của bạn và với điều đó tôi sẽ chào tạm biệt bạn, thưa các bạn. Bạn có thể gửi email cho tôi. Nếu không, chúng tôi sẽ bắt kịp bạn vào tuần tới. Chúng tôi đã có bảy webcast trong năm tuần tới hoặc một cái gì đó tương tự. Chúng ta sẽ bận rộn. Và chúng ta sẽ có mặt tại Hội nghị Strata và Hội nghị thượng đỉnh phân tích IBM tại New York vào cuối tháng này. Vì vậy, nếu bạn ở quanh đó, dừng lại và nói xin chào. Hãy bảo trọng, thưa các bạn. Tạm biệt.
