על ידי צוות Techopedia, 14 בספטמבר 2016
Takeaway: המארח אריק קוואנה דן בביקורת על בסיס נתונים וביצוע הציות עם האנליסטים רובין בלור ודז בלנשפילד וכן עם בולט מנאלה מ- IDERA בפרק זה של הוט טכנולוגיות.
אינך מחובר כרגע. התחבר או הירשם כדי לראות את הסרטון.
אריק קוואנה: גבירותיי ורבותיי, שלום וברוך הבא, שוב, להוט טכנולוגיות! כן, משנת 2016. אנחנו בשנה השלישית של המופע הזה, זה דברים מאוד מרגשים. אנחנו מתנדנדים ומתגלגלים השנה. זה אריק קוואנה, המארח שלך. הנושא להיום - זהו נושא נהדר, יש בו המון יישומים בכל מספר תעשיות, באופן די כנה - "מי, מה, איפה ואיך: למה אתה רוצה לדעת." אכן כן, אנחנו הולכים לדבר על כל הדברים הכיפיים האלה. יש שקופית שלך באמת, היכה אותי בטוויטר @eric_kavanagh. אני מנסה לבצע ציוץ מחדש על כל האזכורים ולציוץ מחדש של כל דבר שמישהו שולח לי. אחרת, שיהיה.
חם, כן! כל המופע כאן נועד לעזור לארגונים ואנשים פרטיים להבין סוגים מסוימים של טכנולוגיה. עיצבנו את כל התוכנית כאן, Hot Technologies, כדרך להגדרת תוכנה מסוג מסוים, או טרנד מסוים, או סוג מסוים של טכנולוגיה. הסיבה לכך היא שלמען האמת, בעולם התוכנה, תקבלו לעיתים קרובות מונחי שיווק אלה שמתחבטים עליהם ולעיתים הם יכולים למרף בכנות את המושגים שהם נועדו לתאר.
בתוכנית זו אנו באמת מנסים לעזור לך להבין מהי סוג מסוים של טכנולוגיה, איך היא עובדת, מתי אתה יכול להשתמש בה, כשאתה לא אמור להשתמש בה, ולתת לך כמה שיותר פרטים אנו יכולים. יהיו לנו שלוש מציגות היום: רובין בלור שלנו, אנליסט ראשי כאן בקבוצת בלור; מדען הנתונים שלנו מתקשר מסידני, אוסטרליה, בצד השני של כדור הארץ, דז בלנשפילד, ואחד האורחים האהובים עלינו בולאט מנאלה, מנהל הנדסת מכירות ב- IDERA.
אני רק אומר כמה דברים כאן, הבנתי מי עושה מה עם פיסת הנתונים, ובכן זה סוג של ממשל, נכון? אם אתה חושב על כל התקנות סביב תעשיות, כמו שירותי בריאות ושירותים פיננסיים, בתחומים אלה, הדברים חשובים להפליא. עליכם לדעת מי נגע במידע, מי שינה משהו, מי ניגש אליו, מי העלה אותו, למשל. מה השושלת, מה ההשגחה של נתונים אלה? אתה יכול להיות סמוך ובטוח שכל הנושאים האלה יישארו בולטים בשנים הבאות מכל מיני סיבות. לא רק לציות, אם כי HIPAA, וסרבנס-אוקסלי ודוד-פרנק, וכל התקנות הללו חשובות מאוד, אלא רק כדי שתבינו בעסק שלכם מי עושה מה, איפה, מתי, למה ואיך. אלה דברים טובים, אנחנו הולכים לשים לב.
קדימה, קח אותו משם, רובין בלור.
רובין בלור: אוקיי, ובכן תודה על ההקדמה הזו, אריק. תחום זה של ממשל הוא, כוונתי, שממשל בתחום ה- IT לא היה מילה ששמעתם קצת אחרי שנת 2000, אני חושב. זה נבע בעיקר מכיוון שלדעתי בכל מקרה זה נבע בעיקר מכיוון שיש חקיקת ציות שמתרחשת. במיוחד HIPAA וסרבנס-אוקסלי. יש למעשה הרבה מזה. לפיכך, ארגונים הבינו שהם חייבים לקבוע מערכת כללים ומערכת נהלים מכיוון שהיה צורך על פי החוק לעשות זאת. הרבה לפני כן, במיוחד בתחום הבנקאות, היו יוזמות שונות שעליך לציית אליהם, תלוי באיזה סוג בנק אתה ובמיוחד בבנקאים הבינלאומיים. כל תואמי באזל התחילו בדרך, הרבה לפני אותה מערכת יוזמות מסוימת אחרי שנת 2000. הכל באמת מסתכם בממשל. חשבתי שאדבר על נושא המשילות כהקדמה למוקד של פיקוח על מי מקבל את הנתונים.
ממשל נתונים, פעם הסתכלתי סביב אני חושב לפני חמש או שש שנים, חיפשתי הגדרות וזה לא היה מוגדר כלל. מתברר יותר ויותר ברור למה זה בעצם אומר. מציאות המצב הייתה שבתוך גבולות מסוימים כל הנתונים נשלטו בעבר בעבר, אך לא היו כללים רשמיים לכך. היו כללים מיוחדים שנעשו במיוחד בענף הבנקאות לביצוע דברים כאלה, אבל שוב זה קשור יותר לציות. בצורה כזו או אחרת להוכיח שהיית למעשה - זה סוג של קשור לסיכון, כך שזה מוכיח שהיית בנק בר-קיימא הייתה העסקה.
אם אתה מסתכל כעת על אתגר הממשל, זה מתחיל בעובדה של תנועת הנתונים הגדולים. יש לנו מספר הולך וגדל של מקורות נתונים. נפח הנתונים הוא כמובן בעיה בזה. בפרט, התחלנו לעשות הרבה, הרבה יותר עם נתונים לא מובנים. זה התחיל להיות משהו שהוא חלק מכל משחק האנליטיקס. ובגלל ניתוחים, מקור נתונים ושושלות חשובים. באמת מנקודת המבט של שימוש בניתוח נתונים בכל דרך שקשורה לכל סוג של תאימות, אתה באמת צריך להיות בעל ידע על היכן הגיעו הנתונים ואיך הם צריכים להיות מה שהם.
הצפנת נתונים התחילה להיות סוגיה, הפכה לסוגיה גדולה יותר ברגע שהלכנו להאדוף כי הרעיון של אגם נתונים בו אנו מאחסנים הרבה נתונים, פירושו פתאום שיש לך תחום פגיעות עצום של אנשים שיכולים להשיג בזה. הצפנת הנתונים הפכה בולטת הרבה יותר. אימות תמיד היה נושא. בסביבה הישנה יותר, בסביבת מיינפריים בהחלט, הייתה להם הגנת אבטחה היקפית כה נהדרת; אימות מעולם לא היה עניין של ממש. בהמשך זה הפך לנושא גדול יותר וזה נושא הרבה יותר עכשיו מכיוון שיש לנו סביבות כה מבוזרות. ניטור גישה לנתונים, זה הפך לבעיה. נראה שאני זוכר כלים שונים שהתקיימו לפני כעשר שנים. אני חושב שרוב אלה הונעו על ידי יוזמות ציות. לכן יש לנו גם את כל כללי הציות, דיווח על תאימות.
הדבר שעולה בראש הוא שגם בשנות התשעים, כשביצעת ניסויים קליניים בתעשיית התרופות, לא רק שהיית צריך להוכיח מאיפה הנתונים הגיעו - ברור שזה מאוד חשוב, אם אתה מנסה להוציא תרופות בהקשרים שונים, כדי לדעת מי מנסה ומה הנתונים הקונטקסטואליים סביבו - היית צריך להיות מסוגל לבחון את התוכנה שיצרה את הנתונים בפועל. זו היצירה החמורה ביותר שראיתי אי פעם בשום מקום, במונחים של להוכיח שאתה לא ממש מתעסק עם דברים במכוון או בטעות. בתקופה האחרונה, במיוחד ניהול מחזור חיי הנתונים הפך להיות נושא. כל אלה הם אתגרים בצורה מסוימת מכיוון שרבים מהם לא נעשו היטב. בהרבה נסיבות יש צורך לעשות זאת.
לזה אני מכנה פירמידת הנתונים. דיברתי על זה בעבר. אני מוצאת זאת דרך מעניינת מאוד להסתכל על הדברים. אתה יכול לחשוב על נתונים כעל שכבות. נתונים גולמיים, אם תרצו, הם באמת רק אותות או מדידות, הקלטות, אירועים, רשומות בודדות בעיקר. יתכן שעסקאות, חישובים וצבירות כמובן יוצרים נתונים חדשים. ניתן לחשוב עליהם ברמת הנתונים. מעל זה, ברגע שאתה באמת מחבר נתונים זה לזה, הוא הופך למידע. זה הופך להיות שימושי יותר, אך כמובן שהוא הופך להיות פגיע יותר לאנשים שמפרצים אותו או מתעללים בו. אני מגדיר את זה כיצור, באמת, דרך מבנה של נתונים, היכולת לדמיין את הנתונים בעלי מילונים, סכמות, אונטולוגיות על המידע. שתי השכבות התחתונות הללו הן מה שאנחנו מעבדים בדרך זו או אחרת. מעל זה אני מכנה שכבת הידע המורכבת מכללים, מדיניות, הנחיות, נוהל. חלקם עשויים למעשה להיווצר על ידי תובנות שהתגלו באנליטיקה. רבים מהם הם למעשה מדיניות שעליכם לעמוד בהם. זה הרובד, אם תרצה, של ממשל. זה המקום, באופן כזה או אחר, אם שכבה זו אינה מאוכלסת כראוי, לא מנוהלים שתי השכבות למטה. הנקודה הסופית בעניין היא הבנה במשהו השוכן רק בבני אדם. מחשבים עדיין לא הצליחו לעשות זאת, למרבה המזל. אחרת, הייתי מחוץ לעבודה.
אימפריה הממשלתית - אני ממש מרכיב את זה, אני חושב שזה כנראה היה לפני כתשעה חודשים, אולי הרבה יותר מוקדם מזה. בעיקרון, אני שיפרתי את זה אבל ברגע שהתחלנו לדאוג לממשל, אז היה מבחינת רכזת הנתונים של הארגון לא רק מאגר נתונים, משאבי אגם נתונים, אלא גם שרתים כלליים מסוגים שונים, שרתי נתונים מומחים. על כל אלה היה צורך לשלוט. כאשר בעצם בדקת גם את הממד השונה - אבטחת נתונים, ניקוי נתונים, גילוי מטא נתונים וניהול מטא נתונים, יצירת מילון מונחים עסקי, מיפוי נתונים, שושלת נתונים, ניהול מחזור חיי נתונים - אז, ניהול ניטור ביצועים, ניהול רמת שירות, ניהול מערכות, שאתה אולי לא ממש מקשר עם ממשל, אבל מסוים - עכשיו כשאנחנו הולכים לעולם מהיר יותר ויותר עם יותר ויותר זרמי נתונים, למעשה היכולת לעשות משהו עם ביצוע מסוים היא למעשה הכרח ו מתחיל להפוך לכלל פעולה ולא לכל דבר אחר.
לסיכום מבחינת גידול הציות, צפיתי שזה קורה לאורך הרבה מאוד שנים, אך הגנת המידע הכללית הגיעה למעשה בשנות התשעים באירופה. זה פשוט נהיה יותר, ומתוחכם יותר מאז. ואז, כל הדברים האלה התחילו להכנס או להיות מתוחכמים יותר. GRC, זהו סיכון ממשלתי ותאימות, נמשך מאז שהבנקים ביצעו את באזל. ISO יצרה סטנדרטים של סוגים שונים של פעולות. אני יודע כל הזמן שהייתי בתחום ה- IT - עבר זמן רב - ממשלת ארה"ב הייתה פעילה במיוחד ביצירת חקיקות שונות: SOX, יש שם גראם-ליטש-בליילי, HIPAA, FISMA, FERPA. יש לך גם את ארגון ה- NIST הנהדר שיוצר סטנדרטים רבים, במיוחד תקני אבטחה, שימושיים מאוד. לחוקי הגנת המידע באירופה יש שונות מקומית. מה שאתה יכול לעשות עם נתונים אישיים בגרמניה, למשל, שונה ממה שאתה יכול לעשות ברפובליקה הסלובקית, או בסלובניה, או בכל מקום אחר. הם הציגו לאחרונה - וחשבתי שאזכיר את זה כיוון שזה נראה לי משעשע - אירופה מציגה את רעיון הזכות להישכח. כלומר, צריכה להיות חוק התיישנות על נתונים שהיו ציבוריים שהם למעשה נתונים אישיים. אני חושב שזה מצחיק. מבחינת IT זה הולך להיות מאוד מאוד קשה אם זה יתחיל להפוך לחקיקה אפקטיבית. לסיכום הייתי אומר את הדברים הבאים: מכיוון שנתוני IT וניהול מתפתחים במהירות, על ממשל להתפתח גם במהירות והם חלים על כל תחומי הממשל.
לאחר שאמרתי שאעביר את הכדור לדצ.
אריק קוואנה: כן, אז דז בלנשפילד, קח את זה. רובין, אני איתך, בן אדם, אני מת לראות איך הזכות לשכוח נשמעת. אני חושב שזה לא יהיה פשוט מאתגר אבל בלתי אפשרי בעיקרון. זו רק הפרה של המתנה שתתבצע על ידי סוכנויות ממשלתיות. דז, קח אותו משם.
דז בלנשפילד: זה אכן וזה נושא לדיון נוסף. יש לנו אתגר דומה מאוד כאן באסיה-פסיפיק, ובמיוחד באוסטרליה, שם ספקים וספקי שירותי אינטרנט נדרשים לרשום כל מה שקשור לאינטרנט ולהיות מסוגלים לתעד אותו ולחדש אותו למקרה שמישהו שמעניין אותו יעשה משהו לא בסדר. זהו חוק ועליך לציית לו. האתגר, כמו שמישהו שגוגל בארצות הברית יכול לקבל נאמר למחוק את היסטוריית החיפושים שלי או כל דבר אחר, זה יכול להיות כדי לעמוד בחוק האירופי, ובמיוחד בחוק הפרטיות הגרמני. באוסטרליה אם סוכנות רוצה לבדוק אתכם, ספקית צריכה להיות מסוגלת לספק פרטים על שיחות והיסטוריית חיפושים שנעשו, וזה מאתגר, אבל זה העולם שאנחנו חיים בו. יש הרבה סיבות לכך. תן לי פשוט לקפוץ לשלי.
בכוונה הקשתי את עמוד השער שלי בקריאה. אתה צריך באמת להסתכל קשה על הטקסט הזה. ציות, תוך התאמה למערכת כללים, מפרטים, בקרות, מדיניות, תקנים או חוקים, עם רקע מטופש ומבולגן. הסיבה לכך היא שצריך באמת להסתכל על זה קשה כדי לקבל את הפרט ולשלוף מידע ממה שהוא מכוסה, שהיא סדרה של טבלאות ושורות ועמודות, או מסד נתונים, ערכה או מדגם ב- Visio. כך מרגיש סוג של תאימות יום יום. די קשה לצלול לפרטים הקטנים ולשלוף את פיסות המידע הרלוונטיות הדרושות לכם בכדי שתוכלו לאשר כי אתם עומדים בתנאי. דווח על זה, פיקח על זה ובדוק אותו.
למעשה, חשבתי דרך טובה באמת לדמיין זאת כשאנחנו שואלים את עצמנו את השאלה "האם אתה תואם?" "האם אתה בטוח?" "נו, תוכיחי!" יש דבר מהנה באמת שהוא אולי קצת יותר אנגלו-סלטיק אבל אני בטוח שהוא עשה את דרכו ברחבי העולם לארה"ב, אז זה: "איפה וולי?" וואלי היא דמות קטנה שנכנסת לרישומי הקריקטורה הללו בצורה של ספרים. בדרך כלל תמונות בקנה מידה גדול מאוד של A3 ומעלה. אז, ציורים בגודל השולחן. הוא טיפוס קטן שלובש כפה וחולצת פסים בצבע אדום-לבן. הרעיון של המשחק הוא שאתה מסתכל על התמונה הזו ואתה מסתכל סביב במעגלים כדי לנסות למצוא את וולי. הוא נמצא בתמונה הזו שם איפשהו. כשאתה חושב כיצד לגלות ולתאר ולדווח על תאימות, במובנים רבים זה כמו לשחק "איפה וולי." אם אתה מסתכל על תמונה זו, כמעט בלתי אפשרי למצוא את הדמות. ילדים מבלים בזה שעות והיה לי כיף לעשות את זה בעצמי אתמול. כשאנחנו מסתכלים על זה, אנו מוצאים חבורה שלמה של אנשים בסרטים המצוירים האלה, שמונחים שם בכוונה עם חלקים דומים של התלבושת של וולי של כפת פסים ומכנסי גופיה או חולצה צמר. אבל הם הופכים לחיובי כוזב.
זהו אתגר דומה שיש לנו בהתאמה. כשאנחנו מסתכלים על דברים, לפעמים משהו שאנחנו חושבים שזה המקרה, בכלל לא המקרה. למישהו יכול להיות גישה למסד נתונים והם אמורים לקבל גישה למסד נתונים זה, אך הדרך בה הם משתמשים בו שונה מעט ממה שאנחנו מצפים. אנו עשויים להחליט שזה משהו שאנחנו צריכים להסתכל עליו. כשאנחנו בוחנים את זה אנו מוצאים, הו, בעצם, זה משתמש תקף מאוד. הם פשוט עושים משהו מוזר. אולי זה חוקר מחשבים אישיים או מי יודע. במקרים אחרים זה יכול להיות הפוך. המציאות, כשאני שוב קדימה, יש וולי. אם נראית ממש קשה ברזולוציה הגבוהה הזו יש דמות אחת שלמעשה לובשת את הלבוש הראוי. כל האחרים הם רק מבטי מראה ועם תחושה. הציות מרגישה מאוד ככה. רוב האנשים שאני מכיר הם עובדים בבקרות ותאימות ומדיניות בתחומי העסקים. בכל מגוון תחומים, בין אם מדובר בטכנולוגיה, בין אם מדובר במימון או בתפעול ובסיכון. לעתים קרובות קשה מאוד לראות את הוולי בתמונה, תוכלו לראות את העצים או את העץ.
השאלה שאנחנו שואלים את עצמנו, כשאנחנו חושבים על דברים כמו ציות, היא "ביג דיל, מה יכול להשתבש אם לא ממש עומדים בתאימות?" במסגרת הדיון של ימינו, במיוחד סביב מסד נתונים ובקרה על הגישה לנתונים, אני הולך לתת לך כמה דוגמאות של שיחות השכמה אמיתיות מאוד על מה יכול להשתבש בצורה מאוד תמציתית. אם אנו חושבים על הפרות נתונים, וכולנו מכירים הפרות נתונים, אנו שומעים אותם בתקשורת ואנחנו סוגים של עצירה וצחוק, כי אנשים חושבים שזה שווקים. זה דברים אישיים. זה אשלי מדיסון ואנשים שמחפשים לצאת לדייטים מחוץ לזוגיות ונישואיהם. זה חשבונות מעופפים. זה כל הדברים המוזרים האלה או ספק שירותי אירוח או רוסיה או חברת אירוח אקראית נפרצים. כשמדובר בדברים כמו MySpace ועשרת המובילים האלה, כשאתה מסתכל על המספרים האלה, מה שאני רוצה שתביני זה: 1.1 מיליארד פרטים של אנשים בעשרת הפרצות הראשונות האלה. וכן, יש חפיפות, יש כנראה אנשים שיש להם חשבון MySpace, וחשבון Dropbox וחשבון Tumblr, אבל בואו נסתדר אותו למיליארד אנשים.
עשר הפרצות המובילות הללו בעשור האחרון בערך - אפילו לא עשור, ברוב המקרים - מסכמות כשביעית מאוכלוסיית בני האדם בעולם, אך באופן מציאותי יותר, כ- 50 אחוז ממספר האנשים קשורים ל אינטרנט, יותר ממיליארד אנשים. אלה נובעים מכיוון שלא קיימה התאמה במקרים מסוימים. ברוב המקרים היו בקרות על הגישה למסד נתונים, בקרת הגישה למערכות נתונים מסוימות, ומערכות ורשתות. זהו בדיקת מציאות מפחידה. אם זה לא מפחיד אותך, כשאתה מסתכל על העשירייה הראשונה שאתה יכול לראות שזה - או שאתה יכול לראות שמדובר במיליארד אנשים, בני אדם אמיתיים ממש כמונו, בשיחה זו ברגע זה. אם יש לך חשבון לינקדאין, אם היה לך חשבון Dropbox, או חשבון Tumblr או אם קנית ממוצרי Adobe או אפילו רשמת הורד חינם את הצופה של Adobe. זה סביר לחלוטין, לא אפשרי, סביר להניח שפרטיך, שם פרטי, שם משפחה שלך, כתובת הדוא"ל שלך, אולי אפילו כתובת חברת העבודה שלך, או כתובת הבית שלך או כרטיס האשראי שלך, הם למעשה בחוץ בגלל הפרה זה התרחש בגלל הבקרות, שלא בהכרח הצליחו היטב בצורה של ניהול נתונים, ניהול נתונים.
בואו נסתכל על זה כשאנחנו מסתכלים עליו בפירוט אמיתי. יש מסך אחד מהם, יש שם בערך 50 ומשהו. יש עוד 15. יש עוד 25. אלה הפרות נתונים המפורטות באתר שנקרא haveibeenpwned.com. זה מה שעלול להשתבש אם משהו פשוט כמו שליטה במי שהיה לו גישה למידע במסדי נתונים בשדות ושורות ועמודות שונות ויישומים שונים בעסק שלך, לא מנוהל כראוי. ארגונים אלה מונעים כעת על נתונים. רוב הנתונים חיים במסד נתונים בצורה כלשהי. כשאתה חושב על זה, רשימת הפרצות שהרגע הסתכלנו עליה, ואני מקווה שהיא נותנת לך קצת מקלחת קרה במובן מסוים, בכך שחשבת "הממ, זה אמיתי מאוד", וזה יכול להשפיע עליך. בשנת 2012, הפרה זו של לינקדאין למשל, לרוב אנשי המקצוע יש חשבון לינקדאין בימינו וכנראה שהפרטים שלך אבדו. הם יצאו באינטרנט מאז 2012. רק עכשיו סיפרו לנו על כך בשנת 2016. מה קרה לך מידע בארבע השנים האלה? ובכן זה מעניין ואנחנו יכולים לדבר על זה בנפרד.
ניהול בסיסי נתונים ומערכות - לעתים קרובות אני מדבר על מה שאני רואה בחמשת האתגרים המובילים בניהול הדברים האלה. בחלקו העליון מאוד, ואני מדירג את אלה לפי סדר העדפה מעצמי, אבל גם לפי סדר ההשפעה, מספר אחד זה אבטחה ותאימות. הבקרות והמנגנונים והמדיניות סביב בקרה למי יש גישה לאיזו מערכת, מאיזו סיבה ומטרה. דיווח על כך ופיקוח על זה, לבדוק את המערכות, לבדוק את מסדי הנתונים ולראות מי באמת יכול לגשת לרשומות, שדות בודדים ורשומות.
חשוב על זה בצורה מאוד פשוטה. בואו נדבר על ניהול בנקאות ורווחה כדוגמה אחת. כשאתה נרשם לחשבון בנק, נניח חשבון מזומן רגיל עבור כרטיס EFTPOS, או חשבון מזומן או חשבון צ'ק. אתה ממלא טופס ויש הרבה מידע פרטי מאוד באותה פיסת נייר שאתה ממלא או שאתה עושה את זה באופן מקוון וזה נכנס למערכת מחשבים. כעת, אם מישהו בשיווק רוצה ליצור איתך קשר ולשלוח אליך עלון, יש לאפשר לו לראות את שמך הפרטי ואת שם המשפחה שלך, ואת הכתובת האישית שלך, למשל, ואולי גם את מספר הטלפון שלך אם הם רוצים להתקשר אליך וקר למכור לך משהו. הם כנראה לא צריכים לראות את הסכום הכולל שיש לך בבנק מסיבות רבות. אם מישהו מסתכל עליך מנקודת מבט של סיכון, או מנסה לעזור לך לעשות משהו כמו להשיג שיעורי ריבית טובים יותר על חשבונך, אותו אדם מסוים בטח רוצה לראות כמה כסף יש לך בבנק, כך שהוא יכול להציע לך את הרמות המתאימות להחזר הריבית על הכסף שלך. לשני אותם אנשים יש תפקידים שונים מאוד וסיבות שונות מאוד לתפקידים הללו ומטרות לתפקידים אלה. כתוצאה מכך, עליך לראות מידע שונה ברשומה שלך, אך לא את כל הרשומה.
בקרות אלה סביב הדוח השונה של המסכים או הטופס הרגילים שיש להם ביישומים המשמשים לניהול חשבונך. ההתפתחות עבור אלה, תחזוקת אלה, ניהול אלה, הדיווחים סביב אלה והממשל והתאמה העוטפת את אלה כמו גלישת בועות, כולם מהווים אתגר גדול מאוד. זה רק האתגר מספר אחת בניהול נתונים ומערכות. כשאנחנו יורדים עמוק יותר בערימה זו לביצועים ומעקב, וגילוי שכיחות ותגובה, ניהול ומנהל של המערכת והתאימות סביבם, התכנון והפיתוח של המערכות מהתאימות, זה הופך להיות הרבה יותר קשה.
ניהול כל נושא הפחתת הסיכונים ושיפור האבטחה. חמשת האתגרים המובילים שלי במרחב הזה - ואני אוהב את התמונות הנלוות לדלפק מכס כשאתה נכנס למדינה - הם מציגים את הדרכון שלך, והם בודקים אותך, והם מסתכלים על מערכת המחשבים שלהם כדי לבדוק אם עליך לעבור או לא. אם לא כדאי לך, הם שמו אותך במטוס הבא הביתה. אחרת, הם נותנים לך לחזור והם שואלים אותך שאלות כמו "אתה בא לחופשה? אתה כאן תייר? אתה כאן לעבודה? איזו סוג עבודה אתה הולך לראות? איפה אתה הולך להישאר "כמה זמן אתה בא? יש לך מספיק כסף בכדי לכסות את ההוצאות והעלויות שלך? או שאתה הולך להיות סיכון למדינה שאתה נמצא בה ויכול להיות שהם יצטרכו לדאוג לך ולהאכיל אותך?"
ישנם כמה בעיות סביב מרחב הנתונים הזה, ניהול הגנת נתונים. לדוגמה במרחב בסיס הנתונים, עלינו לחשוב על הפחתת מעקפי מסדי נתונים. אם הנתונים נמצאים בבסיס הנתונים, בסביבה רגילה ויש בקרות ומנגנונים סביב זה במערכת. מה קורה אם השלכת הנתונים נעשית ב- SQL יותר ומגובה לקלטת? מאגרי המידע נזרקים בצורה גולמית ומגובים לפעמים. לפעמים זה נעשה מסיבות טכניות, מסיבות פיתוח. בואו נגיד שיצאה dump dump וזה מגובה לקלטת. מה קורה אם אמצא במקרה את הקלטת ומשחזר אותה? ויש לי עותק גולמי של בסיס הנתונים ב- SQL. זה קובץ MP, זה טקסט, אני יכול לקרוא אותו. כל הסיסמאות המאוחסנות במזבלה ההיא אין לי שליטה עלי מכיוון שכעת אני מקבל גישה לתוכן הממשי של מסד הנתונים מבלי שמנוע בסיס הנתונים יגן עליו. אז אני יכול לעקוף טכנית את האבטחה של פלטפורמת מסד הנתונים שנבנית במנוע תוך התאמה, וניהול סיכונים כדי לעצור אותי להסתכל על הנתונים. מכיוון שעשוי להיות המפתח, מנהל מערכת, יש לי ידיים על השלמה מלאה של בסיס הנתונים שצריך לשמש לגיבויים.
שימוש לרעה בנתונים - עלול לגרום למישהו להיכנס כחשבון המוגבה שלהם ולתת לי לשבת ליד המסך, לחפש מידע או דברים דומים. ביקורת קניינית, על הגישה והשימוש בנתונים, וצפייה בנתונים או שינויים בנתונים. ואז הדיווח סביב אותה בקרה והתאימות הנדרשת. מעקב אחר התנועה והגישה וכדומה, חסימת איומים שמגיעים ממקומות ושרתים חיצוניים. לדוגמא, אם הנתונים מוצגים באמצעות טופס בדף אינטרנט באינטרנט, האם הוגנו זריקות ה- SQL באמצעות חומות אש ובקרות רעיונות? יש סיפור מפורט וארוך שמאחורי זה. אתה יכול לראות כאן שרק חלק מהדברים המהותיים האלה שאנחנו חושבים עליהם להפחית וניהול סיכונים סביב נתונים בתוך מסדי נתונים. למעשה קל יחסית לעקוף כמה כאלה אם אתה נמצא ברמות שונות של ערימות של הטכנולוגיות. האתגר נעשה קשה יותר ויותר ככל שאתה מקבל יותר ויותר נתונים, ויותר מסדי נתונים. יותר ויותר מאתגר עם אנשים שצריכים לנהל את המערכות, ולעקוב אחר השימוש בהן, לעקוב אחר הפרטים הרלוונטיים הנוגעים במיוחד לדברים שרובין דיבר עליהם, סביב דברים כמו תאימות אישית. לאנשים יש סביבם בקרות ומנגנונים התואמים - אם אתה עושה משהו לא בסדר, אתה פוטר פוטנציאלי. אם אני נכנס כחשבון שלי מאפשר לך לראות את זה, זו צריכה להיות עבירה הניתנת לטיפול. כעת נתתי לך גישה לנתונים שלא היית צריך לראות כרגיל.
יש תאימות אישית, יש תאימות לחברות, לחברות יש מדיניות וכללים ובקרות שהן קבעו על עצמן רק כדי שהחברה תפעל טוב ותספק החזר רווח ותשואה טובה למשקיעים ובעלי המניות. יש לעיתים קרובות עירונית או ארצית או לאומית, פדרלית כמו שאמרת שליטה וחוקים של ארה"ב. ואז יש גלובליות. כמה מהאירועים הגדולים בעולם, בהם אוהבים סרבנס-אוקסלי, שני אנשים שמתבקשים למצוא דרכים כיצד להגן על נתונים ומערכות. יש באזל באירופה ויש מגוון שליטה באוסטרליה, במיוחד סביב הבורסה ופלטפורמות האישורים, ואז פרטיות ברמת הפרט או החברה. כאשר כל אחד מאלה נערם כמו שראית באחד האתרים שהיו לרובין, הם הופכים כמעט להר כמעט בלתי אפשרי לטפס עליו. העלויות גדלות ואנחנו בנקודה בה גישה מסורתית מקורית שאתה מכיר, כמו בני אדם המודדים שליטה, היא כבר לא גישה מתאימה מכיוון שהקנה מידה גדול מדי.
יש לנו תרחיש שבו תאימות היא מה שאני מכנה כעת סוגיה מתמדת. וזה שבעבר היה לנו פוטנציאל נקודת זמן, בין חודשי או רבעוני או שנתי, בו היינו בודקים את מדינת האזור שלנו ועוזרים לדרישות ובקרה. וודא שלאנשים מסוימים הייתה גישה מסוימת ולא הייתה להם גישה מסוימת, תלוי מה היו ההרשאות שלהם. עכשיו זה מקרה של מהירות הדברים שאיתם דברים נעים, הקצב בו הדברים משתנים, הסולם בו אנו פועלים. הציות הוא סוגיה מתמדת והמשבר הפיננסי העולמי היה רק דוגמא אחת שבה הבקרות הרלוונטיות, אמצעים בתחום האבטחה והתאימות יכלו אולי להימנע מתרחיש בו הייתה לנו רכבת משא בורחת של התנהגות מסוימת. פשוט ליצור מצב עם כל העולם ביעילות בידיעה שהוא ישבר ויהיה פושט רגל. לשם כך אנו זקוקים לכלים הנכונים. זריקת בני אדם לרכבת, זריקת גופות היא כבר לא גישה תקפה מכיוון שהקנה מידה גדול מדי והדברים זזים מהר מדי. לדעתי, הדיון היום נוגע לסוגים של כלים ליישום זה. בפרט הכלים ש- IDERA יכולים לספק לנו שצריכים לעשות זאת. ובהתחשב בזה, אני הולך למסור את זה לבולט כדי לעבור על החומר שלו ולהראות לנו את הגישה שלהם ואת הכלים שיש להם כדי לפתור את הבעיה הזו שהצגנו כעת עבורך.
עם זה, בולט, אני אתן לך.
בולט מאלה: נשמע נהדר, תודה. אני רוצה לדבר על כמה שקופיות ואני רוצה גם להראות לכם מוצר שאנו משתמשים בו עבור מסדי נתונים של SQL Server במיוחד כדי לעזור במצבי תאימות. באמת, האתגר בהרבה מקרים - אני הולך לדלג על כמה כאלה - זה רק תיק המוצרים שלנו, אני הולך לעבור את זה די מהר. מבחינת באמת לאן פונה המוצר הזה ואיך הוא קשור לתאימות, אני תמיד מעלה את זה כמו השקופית הראשונה כי זה סוג של גנרי, "היי, מה האחריות של DBA?" אחד הדברים שולטת ומנטרת את הגישה למשתמשים וגם יכולה ליצור דוחות. זה יתקשר כשאתה מדבר עם המבקר שלך, כמה קשה התהליך הזה יכול להשתנות תלוי אם אתה מתכוון לעשות זאת לבד או אם אתה מתכוון להשתמש בצד ג '. כלי לעזור.
באופן כללי, כשאני מדבר עם מנהלי מסדי נתונים, פעמים רבות הם מעולם לא היו מעורבים בביקורת. אתה צריך לחנך אותם באמת למה שאתה באמת צריך לעשות. קשור לסוג הציות שצריך למלא ולהיות מסוגל להוכיח שאתה פועל בפועל על פי הכללים כפי שהם חלים על רמת תאימות זו. הרבה אנשים לא משיגים את זה בהתחלה. הם חושבים, "אה, אני יכול פשוט לקנות כלי שיגרום לי להיות תואם." המציאות היא שזה לא המקרה. הלוואי ויכולתי לומר שהמוצר שלנו באופן קסום, כידוע, לחיצה על הכפתור הקל, נתן לך את היכולת לוודא שאתה עומד בתאימות. המציאות היא שאתה צריך להגדיר את הסביבה שלך מבחינת הפקדים, מבחינת האופן שבו אנשים ניגשים לנתונים, שצריך לעבוד עם הכל עם היישום שיש לך. היכן שמאוחסנים הנתונים הרגישים, איזה סוג דרישת רגולציה מדובר. ואז, גם צורך לעבוד עם קצין ציות פנימי בדרך כלל כדי להיות מסוגל לוודא שאתה פועל על פי כל הכללים.
זה נשמע ממש מסובך. אם אתה מסתכל על כל הדרישות הרגולטוריות, היית חושב שזה יהיה המצב, אבל המציאות היא שיש כאן מכנה משותף. במקרה שלנו עם הכלי שאני הולך להראות לכם היום, מוצר מנהל הציות, התהליך במצבנו הוא שבראש ובראשונה עלינו לוודא שאנו אוספים את נתוני מסלול הביקורת, הקשורים היכן הנתונים נמצאים בבסיס הנתונים זה רגיש. אתה יכול לאסוף הכל, נכון? יכולתי לצאת ולהגיד שאני רוצה לגבות כל עסקה שקורה בבסיס הנתונים הזה. המציאות היא שסביר להניח שיש לך רק חלק קטן או אחוז קטן של עסקאות שקשורות למעשה לנתונים הרגישים. אם זה תואם ל- PCI, זה יהיה סביב פרטי כרטיסי האשראי, בעלי כרטיסי האשראי, המידע האישי שלהם. יכול להיות שיש המון עסקאות אחרות בכל הקשור ליישום שלך, שלא באמת משפיעות על דרישת הרגולציה של PCI.
מנקודת מבט זו, הדבר הראשון כשאני מדבר עם DBA הוא אומר, "האתגר מספר אחד לא מנסה להשיג כלי שיעשה את הדברים בשבילך. זה רק לדעת איפה הנתונים הרגישים האלה ואיך אנו נועלים את הנתונים האלה? "אם יש לך את זה, אם אתה יכול לענות על השאלה הזו, אתה באמצע הדרך מבחינת היכולת להראות שאתה מציית, בהנחה שאתה עוקב אחר הפקדים הנכונים. בואו נגיד לרגע שאתה עוקב אחר הפקדים הנכונים ואמרת למבקרים שזה המצב. החלק הבא של התהליך הוא, כמובן, היכולת לספק מסלול ביקורת המציג ואימות את אותם בקרות שפועלות למעשה. לאחר מכן, לאחר מכן, וודא שאתה שומר נתונים אלה. בדרך כלל עם דברים כמו תאימות PCI ו- HIPAA, וסוגי דברים כאלה, אתה מדבר על שמירה של שבע שנים. אתה מדבר על הרבה עסקאות והרבה נתונים.
אם אתה ממשיך, אוסף כל עסקה, למרות שרק חמישה אחוז מהעסקאות קשורות לנתונים הרגישים, אתה מדבר על עלות די גדולה הקשורה לחייב את הנתונים האלה במשך שבע שנים. זה אחד האתגרים הגדולים ביותר, לדעתי, הוא לסובב את הראש של האנשים כדי לומר, זו עלות ממש מיותרת, ברור. זה גם הרבה יותר קל אם נוכל רק להתמקד באופן פרטני באזורים הרגישים בתוך מסד הנתונים. בנוסף לכך אתה גם רוצה לפקח על חלק מהמידע הרגיש. לא רק כדי להציג במונחים של מסלול ביקורת, אלא גם להיות מסוגל לקשור דברים חזרה לפעולות שקורות ולהיות מסוגל לקבל הודעה בזמן אמת, כך שתוכלו להיות מודעים לכך.
הדוגמא שאני משתמשת בה תמיד, וייתכן שהיא לא קשורה בהכרח לסוג כלשהו של דרישות רגולטוריות אלא רק היכולת לעקוב, למשל, מישהו היה מפיל את הטבלה הקשורה לשכר. אם זה קורה, הדרך בה אתה מגלה על זה, אם אתה לא עוקב אחר זה, אף אחד לא מקבל תשלום. זה מאוחר מדי. אתה רוצה לדעת מתי השולחן הזה נשמט, ממש כשהוא נשמט, כדי להימנע מדברים רעים שקורים כתוצאה מכמה עובדים ממורמרים שהולכים ומוחקים את הטבלה שקשורה ישירות לשכר.
עם זאת, הטריק הוא למצוא את המכנה המשותף או להשתמש במכנה המשותף כדי למפות מהי רמת הציות. זה סוג של מה שאנחנו מנסים לעשות עם הכלי הזה. למעשה אנו נוקטים בגישה של, אנו לא מתכוונים להראות לכם דוח ספציפי ל- PCI, ספציפי למניות; המכנה המשותף הוא שיש לך יישום שמשתמש ב- SQL Server לאחסון הנתונים הרגישים במסד הנתונים. ברגע שאתה מתגבר על זה שאתה אומר, "כן זה באמת הדבר העיקרי שאנחנו צריכים להתמקד בו - איפה הנתונים הרגישים האלה ואיך ניגשים אליהם?" ברגע שיש לך את זה, יש המון דוחות שאנו מציעים שיכולים לספק הוכחה לכך, תהיה לך, תוך ציות.
כשחוזרים לשאלות שנשאלות על ידי מבקר, השאלה הראשונה תהיה: למי יש גישה לנתונים ואיך הם מקבלים גישה זו? האם אתה יכול להוכיח שהאנשים הנכונים ניגשים לנתונים ואנשים לא נכונים אינם? האם אתה יכול גם להוכיח כי מסלול הביקורת עצמו הוא דבר שאני יכול לסמוך עליו כמקור מידע בלתי משתנה? אם אני נותן לך מסלול ביקורת מפוברק, זה לא ממש עושה לי טוב כמבקר כדי לתקן את הביקורת שלך אם המידע מפוברק. אנו זקוקים להוכחה לכך, בדרך כלל מנקודת מבט של ביקורת.
עובר על השאלות האלה, קצת יותר מפורטות. האתגר עם השאלה הראשונה הוא, עליכם לדעת, כמו שאמרתי, היכן נמצא הנתונים הרגישים כדי לדווח על מי הגישה אליו. זה בדרך כלל סוג של גילוי ובאמת שיש לך אלפי יישומים שונים שנמצאים שם, יש לך טונות של דרישות רגולטוריות שונות. ברוב המקרים אתה רוצה לעבוד עם קצין הציות שלך אם יש לך כזה, או לפחות מישהו שיהיה לו תובנה נוספת מבחינת באמת היכן הנתונים הרגישים שלי נמצאים בתוך היישום. יש לנו כלי שיש לנו, זה כלי חינמי, זה נקרא חיפוש עמודות SQL. אנו אומרים ללקוחות הפוטנציאליים והמשתמשים המעוניינים בשאלה זו, שהם יכולים להוריד אותה. מה שזה הולך לעשות זה בעצם לחפש את המידע במסד הנתונים שיהיה רגיש ככל הנראה באופיו.
ואז ברגע שאתה עושה זאת, עליך גם להבין כיצד אנשים ניגשים לנתונים האלה. וזה הולך להיות, שוב, אילו חשבונות נמצאים בקבוצות Active Directory בהן משתמשי מסדי הנתונים מעורבים, ישנן חברות שיש להן תפקידים. ולזכור, כמובן, שכל הדברים האלה שאנחנו מדברים עליהם צריכים להיות מאושרים על ידי רואה החשבון המבקר, כך שאם אתה אומר, "ככה אנחנו נועלים את הנתונים", אז יכולים המבקרים להגיע חזור ואמר, "ובכן, אתה עושה את זה לא נכון." אבל בוא נגיד שהם אומרים, "כן, זה נראה טוב. אתה נועל את הנתונים מספיק. "
במעבר לשאלה הבאה, שעתידה להיות, האם אתה יכול להוכיח שהאנשים הנכונים ניגשים לנתונים האלה? במילים אחרות, אתה יכול לומר להם שהפקדים שלך הם, זה הפקדים שאתה עוקב אחריהם, אך למרבה הצער, רואי החשבון אינם אנשים אמינים באמת. הם רוצים הוכחה לכך והם רוצים להיות מסוגלים לראות זאת במסלול הביקורת. וזה חוזר לכל אותו מכנה משותף. בין אם מדובר ב- PCI, SOX, HIPAA, GLBA, Basel II, מה שלא יהיה, המציאות היא שאותם סוגים של שאלות עומדים לשאול בדרך כלל. האובייקט עם המידע הרגיש, מי ניגש לאובייקט הזה בחודש האחרון? זה אמור למפות את בקרותיי ואני אמור להעביר את הביקורת שלי בסופו של דבר על ידי הצגת סוגים אלה של דוחות.
וכך, מה שעשינו, ריכזנו כ- 25 דוחות שונים העוקבים אחר אותם אזורים כמו אותו מכנה משותף. אז אין לנו דוח עבור PCI או עבור HIPAA או עבור SOX, יש לנו דיווחים כי שוב הם מתנגדים לאותו מכנה משותף. וכך לא ממש משנה איזו דרישת רגולציה אתם מנסים למלא, ברוב המקרים אתם תוכלו לענות על כל שאלה שמציבה בפני מבקר זה. והם הולכים לומר לך מי, מה, מתי ואיפה של כל עסקה. אתה יודע, המשתמש, זמן התרחשות העסקה, הצהרת SQL עצמה, היישום שממנו הוא הגיע, כל הדברים הטובים האלה, ואז גם יוכלו להפוך אוטומטית את מסירת המידע הזה לדוחות.
ואז, שוב, כשאתה עובר את זה וסיפקת את זה למבקר, השאלה הבאה תהיה, תוכיח זאת. וכשאני אומר להוכיח זאת, אני מתכוון להוכיח כי מסלול הביקורת עצמו הוא דבר שאנחנו יכולים לסמוך עליו. והדרך בה אנו עושים זאת בכלי שלנו היא שיש לנו ערכי חשיש וערכי CRC שקושרים ישירות לאירועים עצמם בתוך מסלול הביקורת. וכך הרעיון הוא שאם מישהו יוצא ומוחק רשומה או אם מישהו יוצא ומסיר או מוסיף משהו לשביל הביקורת או משנה משהו במסלול הביקורת עצמו, נוכל להוכיח שהנתונים האלה, היושרה של הנתונים עצמם הופרו. וכך 99.9 אחוז מהזמן אם נעילת מסד הנתונים של שביל הביקורת שלנו, לא תיתקל בבעיה הזו מכיוון שכאשר אנו מנהלים את בדיקת היושרה הזו אנו בעצם מוכיחים בפני המבקר כי הנתונים עצמם לא היו השתנה ונמחק או נוסף מאז הכתיבה המקורית משירות הניהול עצמו.
אז זו סוג של סקירה כללית של סוגי השאלות האופייניות שתשאלו אותך. כעת, הכלי שעלינו להתייחס אליו הרבה נקרא SQL Compliance Manager והוא עושה את כל אותם דברים מבחינת מעקב אחר העסקאות, מי, מה, מתי ואיפה של העסקאות, היכולת לעשות זאת ב מספר אזורים שונים. כניסות, כניסות כושלות, שינויים בסכימה, ברור שגישה לנתונים, בחירת פעילות, כל אותם דברים שקורים במנוע בסיס הנתונים. ואנחנו גם מסוגלים להתריע בפני המשתמשים על תנאים ספציפיים, גרגירים מאוד, במידת הצורך. לדוגמא, מישהו יוצא ממש ולראות את הטבלה המכילה את כל מספרי כרטיסי האשראי שלי. הם לא משנים את הנתונים, הם רק מסתכלים עליהם. במצב הזה אני יכול להתריע ואני יכול ליידע אנשים שזה קורה, לא שש שעות אחר כך כשאנחנו מגרדים יומנים אלא בזמן אמת. בעיקרון זה כל עוד לוקח לנו לעבד את העסקה באמצעות שירות ניהול.
כפי שציינתי קודם, ראינו שהשימוש נעשה במגוון דרישות רגולטוריות שונות וזה לא באמת - אתה יודע, כל דרישת רגולציה, שוב, כל עוד המכנים המשותפים, יש לך נתונים רגישים בשרת SQL בסיס נתונים, זהו כלי שיעזור בסוג כזה של סיטואציות. ל -25 הדוחות המובנים, עכשיו המציאות היא שאנחנו יכולים לעשות את הכלי הזה טוב למבקר ולענות על כל שאלה שהם שואלים, אבל ה- DBA הם אלה שצריכים לגרום לו לעבוד. אז יש גם חשיבה על כך, אתה יודע היטב, מנקודת מבט תחזוקה עלינו לוודא ש- SQL פועל כמו שאנחנו רוצים. עלינו גם להיות מסוגלים להיכנס ולהביט בדברים שעומדים להיות מסוגלים לצאת ולהסתכל על פיסות מידע אחרות, אתה יודע, ככל שמגיע לארכיון הנתונים, האוטומציה של זה והתקורה. עצמו של המוצר. אלה דברים שאנחנו כמובן לוקחים בחשבון.
מה שמעלה את האדריכלות עצמה. אז בצד הימני מאוד של המסך יש לנו את המקרים של SQL שאנחנו מנהלים, הכל משנת 2000 עד 2014, ומתכוננים לשחרר גרסה לשנת 2016. המסעדה הגדולה ביותר במסך זה היא שההנהלה השרת עצמו מבצע את כל ההרמה הכבדה. אנו רק אוספים את הנתונים, משתמשים בממשק ה- API של המעקב, המובנה באמצעות SQL Server. מידע זה זולג לשרת הניהול שלנו. שרת הניהול עצמו מזהה ואם יש אירועים שקשורים לסוגים כלשהם של עסקאות שאיננו רוצים, שולח התראות וסוגים כאלה, ואז מאכלס את הנתונים במאגר. משם נוכל להריץ דוחות, נוכל לצאת ולמעשה לראות את המידע בדוחות או אפילו בתוך קונסולת היישום.
אז מה שאני הולך לעשות זה שאני אעבור אותנו, ממש מהר, ואני רק רוצה להצביע על דבר אחד מהיר לפני שנקפוץ למוצר, יש קישור באתר ברגע זה, או במצגת, זה ייקח אותך לכלי החינמי שציינתי קודם. הכלי החינמי הזה הוא, כמו שאמרתי, שהוא הולך להסתכל על בסיס נתונים ולנסות למצוא את האזורים שנראים כמו נתונים רגישים, מספרי ביטוח לאומי, מספרי כרטיסי אשראי, על סמך שמות העמודות או הטבלאות, או על סמך האופן בו נראה פורמט הנתונים, ותוכל להתאים זאת גם כך, רק כדי להצביע על כך.
עכשיו, במקרה שלנו, הרשה לי לשתף את המסך שלי, תן לי שנייה אחת כאן. בסדר, וכך רציתי לקחת אותך קודם זה שאני רוצה לקחת אותך לאפליקציית מנהל הציות עצמה ואני הולך לעבור את זה די מהר. אבל זו האפליקציה ותוכלו לראות שיש לי כאן כמה מסדי נתונים ואני רק אראה לכם כמה קל להיכנס ולספר לה מה אתם מחפשים לבקר. מבחינת שינויים בסכימה, שינויי אבטחה, פעילויות ניהוליות, DML, בחר, יש לנו את כל האפשרויות העומדות לרשותנו, אנחנו יכולים גם לסנן את זה למטה. זה חוזר לשיטה הטובה ביותר של היכולת לומר "אני באמת זקוק לטבלה זו רק מכיוון שהיא מכילה את מספרי כרטיסי האשראי שלי. אני לא צריך את הטבלאות האחרות שיש בהן מידע על המוצר, את כל אותם דברים אחרים שלא קשורים לרמת התאימות שאני מנסה לעמוד בהם. "
יש לנו גם את היכולת ללכוד נתונים ולהראות אותם מבחינת ערכי השדות המשתנים. בהרבה כלים יהיה לך משהו שייתן לך את היכולת ללכוד את הצהרת SQL, להראות למשתמש, להראות את היישום, השעה והתאריך, את כל הדברים הטובים האלה. אך במקרים מסוימים הצהרת SQL עצמה אינה מתכוונת לספק לך מספיק מידע בכדי שתוכל לומר לך מה היה ערך השדה לפני שהשינוי התרחש, כמו גם את ערך השדה לאחר שהשינוי התרחש. ובמצבים מסוימים אתה זקוק לזה. אולי כדאי לי לעקוב, למשל, אחר מידע המינון של רופא לתרופות מרשם. זה עבר בין 50 מג ל 80 מג ל 120 מג, הייתי יכול לעקוב אחר השימוש בו לפני ואחרי.
עמודות רגישות הן דבר נוסף שאנחנו נתקלים בו הרבה, למשל עם תאימות PCI. במצב כאן יש לך נתונים רגישים כל כך, עד כי פשוט על ידי הסתכלות במידע זה, אינני צריך לשנות אותו, למחוק אותו או להוסיף אותו, אני יכול לגרום נזק בלתי הפיך. מספרי כרטיסי אשראי, מספרי ביטוח לאומי, כל אותם דברים טובים שאנו יכולים לזהות עמודות רגישות ולקשור אליה התראות. אם מישהו יוצא ומסתכל במידע הזה, נוכל, כמובן, להתריע ולשלוח דוא"ל או ליצור מלכודת SNMP ודברים מסוג זה.
כעת במקרים מסוימים אתה עומד להיתקל במצב בו יתכן שיש לך חריג. ולכוונתי בכך, יש לך מצב שיש לך משתמש שיש לו חשבון משתמש שעשוי להיות קשור לסוג כלשהו של עבודות ETL הפועלות באמצע הלילה. זה תהליך מתועד ואני פשוט לא צריך לכלול את המידע העסקי עבור אותו חשבון משתמש. במקרה כזה יהיה לנו משתמש מהימן. ואז במצבים אחרים היינו משתמשים בתכונה של ביקורת משתמשים מיוחסת שהיא בעצם, אם יש לי, נניח למשל יישום, והיישום הזה כבר עושה ביקורת, של המשתמשים שעוברים על האפליקציה, זה נהדר, יש לי כבר מה להפנות מבחינת הביקורת שלי. אבל לגבי הדברים שקשורים, למשל למשתמשים המיוחסים שלי, החבר'ה שיכולים להיכנס לאולפן הניהול של SQL Server כדי לבדוק את הנתונים במסד הנתונים, זה לא הולך לקצץ את זה. וכך זה המקום בו נוכל להגדיר מיהם המשתמשים המיוחסים שלנו, באמצעות חברויות בתפקיד, או דרך חשבונות Active Directory שלהם, קבוצות, חשבונות המאומתים SQL שלהם, שם נוכל לבחור את כל אותם סוגים שונים של אפשרויות ו ואז משם וודא כי עבור אותם משתמשים המיוחסים נוכל לציין את סוגי העסקאות שאנו מעוניינים לבצע.
אלה כל מיני אפשרויות שונות שיש לכם ואני לא מתכוון לעבור על כל הסוגים השונים של סוגים של דברים על סמך מגבלות הזמן המצגות כאן. אבל אני כן רוצה להראות לכם כיצד אנו יכולים להציג את הנתונים ואני חושב שתאהבו איך זה עובד כי יש שתי דרכים שנוכל לעשות זאת. אני יכול לעשות את זה באופן אינטראקטיבי וכך כשאנחנו מדברים עם אנשים שמתעניינים בכלי הזה אולי לבקרה הפנימית שלהם הם פשוט רוצים לדעת מה קורה בהרבה מקרים. אין בהכרח שמבקרים יגיעו לאתר. הם רק רוצים לדעת, "היי, אני רוצה ללכת אחרי השולחן הזה ולראות מי נגע בו בשבוע האחרון או בחודש שעבר או מה שיהיה." במקרה זה אתה יכול לראות כמה מהר אנחנו יכולים לעשות את זה.
במקרה של מאגר הבריאות, יש לי טבלה שנקראת רשומות מטופלים. והשולחן ההוא, אם הייתי רק מקבץ לפי אובייקט, הוא יכול מהר מאוד להתחיל לצמצם את המקום בו אנו מחפשים. אולי אני רוצה לקבץ לפי קטגוריות ואז אולי לפי אירוע. וכשאני עושה זאת, אתה יכול לראות כמה מהר זה מופיע, ושם נמצא שם טבלת רשומות המטופלים שלי. וכשאני מקדח את יכולנו לראות כעת את פעילות DML, נוכל לראות שיש לנו אלף תוספות של DML, וכשנפתח אחת מהעסקאות הללו נוכל לראות את המידע הרלוונטי. מי, מה, מתי, איפה העסקה, הצהרת SQL, כמובן, היישום בפועל המשמש לביצוע העסקה, החשבון, השעה והתאריך.
כעת, אם אתה מסתכל על הלשונית הבאה כאן, הכרטיסייה 'פרטים', הדבר חוזר לשאלה השלישית עליה אנו מדברים, ומוכיח כי שלמות הנתונים לא הופרה. אז בעצם בכל אירוע, יש לנו חישוב סודי לערך החשיש שלנו, וזה הולך ואז לקשור כשאנחנו בודקים את היושרה שלנו. לדוגמה, אם הייתי יוצא לכלי, נכנס לתפריט הביקורת והייתי צריך לצאת ולומר, בואו נבדוק את שלמות המאגר, הייתי יכול להצביע על בסיס הנתונים בו נמצא מסלול הביקורת, הוא יפעל באמצעות בדיקת יושרה המתאימה את ערכי החשיש וערכי ה- CRC לאירועים בפועל והיא הולכת לומר לנו כי לא נמצאו בעיות. במילים אחרות, הנתונים בנתיב הביקורת לא טופלו מאז שנכתבו במקור על ידי שירות הניהול. זו כמובן דרך אחת לקיים אינטראקציה עם הנתונים. הדרך השנייה תהיה דרך הדיווחים עצמם. ולכן אני רק אתן דוגמה אחת מהירה לדו"ח.
ושוב, הדיווחים הללו, הדרך בה מצאנו אותם, אינם ספציפיים לסוג כלשהו של סטנדרטים כמו PCI, HIPAA, SOX או משהו כזה. שוב, זה המכנה המשותף של מה שאנחנו עושים, ובמקרה זה, אם נחזור לדוגמה של רשומות המטופלים, היינו יכולים לצאת ולומר, במקרה שלנו כאן, אנו מסתכלים במאגר הבריאות ובמקרה שלנו אנו רוצים להתמקד ספציפית בטבלה ההיא שאנו מכירים מידע פרטי, במקרה שלנו, הקשור לחולים שלנו. וכך, תן לי לראות אם אוכל להקליד אותו כאן, ואנחנו הולכים לנהל את הדו"ח הזה. ואנחנו נראה אז, כמובן, משם את כל הנתונים הרלוונטיים הקשורים לאובייקט הזה. ובמקרה שלנו זה מראה לנו במשך פרק זמן של חודש. אבל נוכל לחזור שישה חודשים אחורה, שנה, עם זאת, כל עוד הרבה זמן אנו שומרים על הנתונים.
אלה מסוג הדרכים בהן תוכלו להוכיח, אם תרצו, בפועל למבקר כי אתם עוקבים אחר בקרותיכם. לאחר שזיהית זאת, ברור שזה דבר טוב מבחינת העברת הביקורת שלך ויכולת להראות שאתה פועל אחר הפקדים והכל עובד.
הדבר האחרון שדיברתי על זה רציתי להפגין הוא במקטע הממשל. יש גם בקרות מבחינת הכלי הזה עצמו שיכולים להגדיר פקדים בכדי להיות מסוגלים לוודא שאם מישהו עושה משהו שהם לא אמורים לעשות, אוכל להיות מודע לכך. ואני אתן לך כמה דוגמאות שם. יש לי חשבון כניסה שקשור לשירות והשירות הזה זקוק להרשאות מוגדלות כדי לעשות את מה שהוא עושה. מה שאני לא רוצה זה שמישהו נכנס ומשתמש בחשבון הזה בסטודיו לניהול ואז, אתה יודע, משתמש בו לדברים שלא נועדו להם. היו לנו כאן שני חלקים של קריטריונים שנוכל ליישם. יכולתי לומר, "תראה, אנחנו באמת מעוניינים שזה יעבוד, נניח, עם אפליקציית PeopleSoft שלנו", רק כדוגמה, בסדר?
עכשיו אחרי שעשיתי את זה, מה שאני אומר כאן, אני סקרן לדעת כל התחברות שקשורות לחשבון שאני מתכונן לציין, אם היישום שמשמש לכניסה לחשבון זה זה לא PeopleSoft, אז זה יעלה את האזעקה. וכמובן שעלינו לציין את שם החשבון עצמו, אז במקרה שלנו בואו נקרא חשבון פרטי זה, לשם העובדה שהוא רשאי. לאחר שנעשה את זה, כשאנחנו עושים את זה כאן, נוכל אז לציין מה היינו רוצים שיקרה כשזה יקרה ולכל סוג אירוע או, אני צריך לומר, התראה, אתם יכולים יש הודעה נפרדת לאדם האחראי לאותו נתון מסוים.
לדוגמה, אם מדובר במידע על משכורת הוא עשוי לעבור למנהל משאבי אנוש. במקרה זה, בהתמודדות עם יישום PeopleSoft, זה יהיה המנהל של היישום. לא משנה מה המקרה. אני אוכל להכניס את כתובת הדוא"ל שלי, להתאים אישית את הודעת ההתראה ואת כל הדברים הטובים האלה. שוב, כל זה חוזר ליכולת להבטיח שתוכלו להראות שאתה עוקב אחר הפקדים שלך ושהבקרות האלה פועלות באופן שהם נועדו. מנקודת המבט האחרונה כאן, רק מבחינת התחזוקה, יש לנו את היכולת לקחת נתונים אלה ולהעמיד אותם במצב לא מקוון. אני יכול לארכוב את הנתונים ואני יכול לתזמן אותם ואנחנו נוכל לבצע דברים כאלה בקלות רבה במובן זה שבעצם תוכל, כ- DBA, להשתמש בכלי הזה, להגדיר אותם וסוג של תתרחק ממנו אין הרבה אחיזת ידיים שתתרחש ברגע שתקבע אותה כמו שהיא צריכה להיות. כמו שאמרתי, החלק הקשה ביותר בכל זה, אני חושב, הוא לא להגדיר את מה שאתה רוצה ביקורת, זה לדעת מה אתה רוצה להגדיר לביקורת.
וכמו שאמרתי, אופי החיה בביקורת, אתה צריך לשמור את הנתונים במשך שבע שנים, כך שזה הגיוני רק להתמקד באזורים הרגישים באופיים. אבל אם אתה רוצה ללכת לגישה של איסוף הכל, אתה בהחלט יכול, זה פשוט לא נחשב לשיטה הטובה ביותר. אז מנקודת מבט זו הייתי רוצה להזכיר לאנשים שאם זה משהו שמעניין אתה יכול להיכנס לאתר ב- IDERA.com ולהוריד ניסוי על זה ולשחק איתו בעצמך. מבחינת הכלי החינמי עליו דיברנו קודם לכן, ובכן, זה בחינם, אתה יכול להוריד אותו ולהשתמש בו לנצח, ללא קשר אם אתה משתמש במוצר של Compliance Manager. והדבר המגניב בכלי לחיפוש עמודות זה הוא שהממצאים שלנו שאתה מגלה, ואני למעשה יכול להראות שנדמה לי שהוא תוכל לייצא את הנתונים האלה ואז תוכל לייבא אותם למנהל הציות. גם כן. אני לא רואה את זה, אני יודע שהוא כאן, הנה זה. זו רק דוגמא לכך. כאן זה מציאת הנתונים הרגישים הקשורים.
עכשיו המקרה הזה יצא לי ובאמת, אני מסתכל על הכל, אבל יש לך רק המון דברים שאנחנו יכולים לבדוק. מספרי כרטיסי אשראי, כתובות, שמות, כל הדברים האלה. ונזהה היכן הוא נמצא בבסיס הנתונים ואז משם תוכלו לקבל את ההחלטה האם אתם רוצים לבקר את המידע הזה או לא. אבל זו בהחלט דרך להקל עליך בהגדרת היקף הביקורת שלך כשאתה מסתכל על כלי כזה.
אני פשוט אמשיך ואסגור עם זה, ואני אמשיך לחזור לאריק.
אריק קוואנה: זו מצגת פנטסטית. אני אוהבת את הדרך בה אתה באמת נכנס לפרטים הגרגירים שם ומראה לנו מה קורה. מכיוון שבסופו של יום יש מערכת שתגיע לגישה למספר רשומות, שהיא תתן לך דוח, זה יביא אותך לספר את הסיפור שלך, בין אם זה לרגולטור או מבקר או מישהו בצוות שלך, אז טוב שאתה יודע שאתה מוכן אם ומתי, או מתי ומתי, אותו אדם מתדפק, וכמובן שזה המצב הלא נעים שאתה מנסה להימנע ממנו. אבל אם זה יקרה, וכנראה שזה יקרה בימים אלה, אתה רוצה להיות בטוח שיש לך נקודה של ה- I שלך ומנקודה של ה- T שלך.
יש שאלה טובה מחבר הקהל שאני רוצה לזרוק אליך אולי קודם, בולט, ואז אם אולי מגיש רוצה להגיב על זה, תרגיש חופשי. ואז אולי דז שואל שאלה ואת רובין. אז השאלה היא האם זה הוגן לומר שכדי לעשות את כל אותם הדברים שציינת אתה צריך להתחיל מאמץ של סיווג נתונים ברמה יסודית? עליכם לדעת את הנתונים שלכם כאשר הם מופיעים כנכס פוטנציאלי בעל ערך ולעשות משהו בעניין. אני חושב שהיית מסכים, בולט, נכון?
בולט מאלה: כן, בהחלט. כלומר, אתה צריך לדעת את הנתונים שלך. ואני מבין, אני מכיר בכך שיש המון יישומים שקיימים בחוץ ויש המון דברים שונים שיש להם חלקים נעים בארגון שלך. כלי חיפוש העמודות מועיל מאוד במונחים של צעד לכיוון ההבנה של נתונים טובים יותר. אבל כן, זה מאוד חשוב. כלומר, יש לך אפשרות ללכת בגישה של צינורות האש ולבדוק את הכל, אבל זה פשוט הרבה יותר מאתגר בצורה לוגיסטית כשמדברים על הצורך לאחסן את הנתונים האלה ולדווח על נתונים אלה. ואז אתה עדיין צריך לדעת היכן פיסת הנתונים הזו מכיוון שכאשר אתה מנהל את הדוחות שלך תצטרך להראות גם למבקרים שלך את המידע הזה. אז אני חושב שכמו שאמרתי, האתגר הגדול ביותר כשאני מדבר עם מנהלי מסד נתונים הוא לדעת, כן.
אריק קוונהאג: כן, אבל אולי רובין נכניס אותך ממש מהיר. נראה לי שכלל 80/20 חל כאן, נכון? אתם בטח לא תמצאו כל מערכת רשומות שחשובה אם אתם נמצאים בארגון בינוני או גדול כלשהו, אבל אם תתמקדו - כמו שבולט הציע כאן - PeopleSoft למשל, או מערכות רשומה אחרות שהן בעיקר בעסק, שם אתה ממקד 80 אחוז מהמאמץ שלך ואז 20 אחוז נמצא במערכות האחרות שעשויות להיות שם איפשהו, נכון?
רובין בלור: אני בטוח, כן. זאת אומרת, אתה יודע, אני חושב שהבעיה בטכנולוגיה הזו, ולדעתי כנראה שווה להעיר עליה, אבל הבעיה בטכנולוגיה הזו היא, איך אתה מיישם אותה? אני מתכוון, בהחלט יש חוסר ידע, נניח, ברוב הארגונים באשר למספר בסיסי הנתונים שנמצאים שם. אתה יודע, יש המון חוסר במלאי, נניח. אתה יודע, השאלה היא, בואו נדמיין שאנחנו מתחילים במצב בו אין תאימות מנוהלת במיוחד, איך אתה לוקח את הטכנולוגיה הזו ומזריק אותה לסביבה, לא רק בטכנולוגיה, אתה יודע, מונחים, הגדרת דברים, אבל כמו מי מנהל את זה, מי קובע מה? איך תתחיל לנעול את זה לסוג של דבר אמיתי ועושה את העבודה שלו?
בולט מאלה: ובכן, זאת אומרת, זו שאלה טובה. האתגר בהרבה מקרים הוא, כלומר, עליכם להתחיל לשאול את השאלות ממש ממש בהתחלה. נתקלתי בהרבה חברות בהן הם, אתה יודע, אולי הם חברה פרטית והם נרכשו, יש איזו דרך גבישת דרך ראשונה, סוג ראשונה, סוג, אם אתה רוצה לקרוא לזה כך. לדוגמה, אם הפכתי ממש עכשיו לחברה הנסחרת ברכישה בגלל הרכישה, אצטרך לחזור וכנראה להבין דברים.
ובמקרים מסוימים אנו מדברים עם ארגונים שלדעתך, למרות שהם פרטיים הם עוקבים אחר כללי הציות של SOX, פשוט מכיוון שבמקרה שהם אכן רוצים לרכוש הם יודעים שהם חייבים להיות בציות. אתה בהחלט לא רוצה לנקוט בגישה של סתם, "אני לא צריך לדאוג בזה עכשיו." כל סוג של תאימות רגולטורית כמו PCI או SOX או כל דבר אחר, אתה רוצה להשקיע בביצוע המחקר או הבנת היכן נמצא המידע הרגיש, אחרת אתה עלול למצוא את עצמך מתמודד עם כמה קנסות משמעותיים וחסונים. וזה הרבה יותר טוב רק להשקיע את הזמן הזה, אתה יודע, למצוא את הנתונים האלה ולהיות מסוגל לדווח נגדם ולהראות שהפקדים עובדים.
כן, מבחינת הגדרת זה, כמו שאמרתי, הדבר הראשון שהייתי ממליץ לאנשים שמתכוננים לעמוד בביקורת, זה פשוט לצאת ולעשות בדיקה מדוקדקת של מסד הנתונים, ולברר, אתם לדעת במיטב המאמצים שלהם, לנסות להבין היכן נמצא הנתונים הרגישים. והגישה האחרת תהיה להתחיל עם אולי רשת גדולה יותר מבחינת היקף הביקורת, ואז לאט לאט את דרכך למטה ברגע שאתה, סוג של, להבין איפה האזורים האלה במערכת קשורים ל מידע רגיש. אבל הלוואי ויכולתי לומר לך שיש תשובה קלה לשאלה הזו. זה כנראה ישתנה לא מעט מארגון לארגון וסוג התאמה ובאמת איך, אתה יודע, כמה מבנה יש להם בתוך היישומים שלהם וכמה יש להם, יישומים מגוונים שיש להם, חלקם יכולים להיות יישומים כתובים בהתאמה אישית., כך שזה באמת תלוי במצב בהרבה מקרים.
אריק קוואנה: קדימה, דז, אני בטוח שיש לך שאלה או שתיים.
דז בלנשפילד: אני ממש מעוניין לקבל קצת תובנות לגבי התצפיות שלך סביב ההשפעה על הארגונים מבחינה עםית, למעשה. אני חושב שאחד התחומים שבהם אני רואה את הערך הגדול ביותר לפיתרון הספציפי הזה הוא שכאשר אנשים מתעוררים בבוקר והולכים לעבוד ברמות שונות של הארגון, הם מתעוררים עם סדרה של, או שרשרת של אחריות, שהם נאלצו להתמודד איתם. ואני מעוניין לקבל קצת תובנות לגבי מה שאתה רואה שם עם ובלי סוגי הכלים שאתה מדבר עליהם. וההקשר שאני מדבר עליו כאן הוא מיושב ראש דרגת הדירקטוריון למנכ"ל וה- CIO וסוויטת ה- C. ועכשיו יש לנו קציני סיכון ראשיים, שחושבים יותר על סוגי הדברים שאנחנו מדברים עליהם כאן בתאימות ובממשל, ואז יש לנו עכשיו ראשי תפקידים חדשים, קצין נתונים ראשי, מי, אתה יודע, אפילו יותר מודאג מכך.
ובצד של כל אחד מהם, סביב ה- CIO, יש לנו מנהלי IT בצד אחד עם, סוג שאתה מכיר, לידים טכניים ואז לידים למסד נתונים. ובמרחב התפעולי יש לנו מנהלי פיתוח ומובילי פיתוח ואז פיתוחים פרטניים, והם גם חוזרים לשכבה לניהול מסדי נתונים. מה אתה רואה סביב התגובה של כל אחד מאותם חלקים שונים של עסק לאתגר של ציות ודיווח רגולטורי וגישתם אליו? האם אתה רואה שאנשים באים בזה בלהט ויכולים לראות את התועלת בזה, או שאתה רואה שהם גוררים באי רצון את רגליהם לדבר הזה ופשוט, אתה יודע, עושים את זה למתן תיבה בתיבה? ומה סוגי התגובות שאתה רואה ברגע שהם רואים את התוכנה שלך?
בולט מאלה: כן, זו שאלה טובה. הייתי אומר שמוצר זה, מכירות המוצר הזה, מונעים לרוב על ידי מישהו שישב במושב החם, אם זה הגיוני. ברוב המקרים זה ה- DBA, ומבחינתנו, במילים אחרות, הם יודעים שיש ביקורת שעומדת להיות אחראית, מכיוון שהם ה- DBA, להיות מסוגלים לספק את המידע שאליו מבקר המבקר תשאל. הם יכולים לעשות זאת על ידי כתיבת דוחות משלהם ויצירת עקבות מותאמים אישית משלהם וכל מיני דברים כאלה. המציאות היא שהם לא רוצים לעשות את זה. ברוב המקרים DBAs לא ממש מצפים לקיים את השיחות האלה עם המבקר מלכתחילה. אתה יודע, אני מעדיף לומר לך שנוכל לפנות לחברה ולהגיד, "היי זה כלי נהדר ואתה תאהב את זה, " ולהראות להם את כל התכונות והם יקנו את זה.
המציאות היא שלרוב הם לא מתכוונים לבחון את הכלי הזה אלא אם כן הם יתמודדו עם ביקורת או שהצד השני של המטבע הזה הוא שהם ביצעו ביקורת ונכשלו בכישלון ועכשיו הם נאמר לך לקבל קצת עזרה או שהם ייקנסו. הייתי אומר שבמונחים של, אתה יודע, באופן כללי, כשאתה מראה מוצר זה לאנשים הם בהחלט רואים את הערך של זה כי זה אכן חוסך להם המון זמן במונחים של צורך להבין על מה הם רוצים לדווח עליהם דברים כאלה. כל אותם דוחות כבר מובנים, מנגנוני ההתראה קיימים ואז עם השאלה השלישית זה גם, במקרים רבים, יכול להיות אתגר. מכיוון שאני יכול להראות לך דוחות כל היום, אלא אם כן אתה יכול להוכיח לי שהדוחות האלה אכן תקפים, אתה יודע, זו הצעה קשה יותר עבורי כ- DBA שאוכל להראות זאת. אבל עבדנו על הטכנולוגיה וטכניקת החשיפה וכל אותם סוגים של דברים בכדי שנוכל לעזור לוודא שהנתונים בשלמותם של מסלולי הביקורת נשמרים.
וכך אלה הדברים, אלה התצפיות שלי מבחינת רוב האנשים שאנו מדברים איתם. אתה יודע, בהחלט יש בארגונים שונים שאתה יודע כמו, תשמע על, אתה יודע כמו, יעד, למשל, היה הפרת נתונים, ואתה יודע, כוונתי, כשארגונים אחרים שומעים על הקנסות וכאלה סוגים של אנשים שאנשים מתחילים, זה מרים גבה, כך, אני מקווה שעונה על השאלה.
דז בלנשפילד: כן, בהחלט. אני יכול לדמיין כמה DBAs כאשר הם סוף סוף רואים מה ניתן לעשות עם הכלי רק מבינים שיש להם גם את הלילות המאוחרים שלהם ואת סופי השבוע בחזרה. הפחתת זמן ועלות ודברים אחרים שאני רואה כאשר הכלים המתאימים מיושמים על כל הבעיה הזו, וזהו, שלושה שבועות ישבתי עם בנק כאן באוסטרליה. הם בנק עולמי, שלושת הבנקים המובילים, הם מאסיביים. והיה להם פרויקט בו הם נאלצו לדווח על תאימות ניהול ההון שלהם ובמיוחד על הסיכון, והם בדקו עבודה בשווי של 60 שבועות עבור כמה מאות בני אדם. וכאשר הוצגו להם כאלו של כלי כמוך שיכול פשוט להפוך את התהליך לאוטומטי, התחושה הזו, המראה על פניהם כשהבינו שהם לא צריכים לבלות מספר X שבועות עם מאות אנשים שעושים תהליך ידני היה כמו שהם מצאו את אלוהים. אבל הדבר המאתגר אז היה כיצד להכניס את זה לתוכנית, כפי שציינה ד"ר רובין בלור, אתה יודע, זה משהו שהופך לתערובת של שינוי התנהגותי ותרבותי. ברמות שאתה מתמודד איתן, שמתמודדים עם זה ישירות ברמת היישום, איזה סוג שינוי אתה רואה כשהם מתחילים לאמץ כלי לביצוע סוג הדיווח והביקורת והבקרות שאתה יכול להציע, בתור לעומת מה שהם עשויים לעשות באופן ידני? איך זה נראה כשהם בפועל מבצעים?
Bullett Manale: אתה שואל, מה ההבדל מבחינת הטיפול בזה באופן ידני לעומת השימוש בכלי זה? זו השאלה?
דז בלנשפילד: ובכן, במיוחד ההשפעה של העסק. כך למשל, אם אנו מנסים לספק תאימות בתהליך ידני, אתה יודע, אנו תמיד לוקחים זמן רב עם הרבה בני אדם. אבל אני מניח, לשים קצת הקשר סביב השאלה, כידוע, אנחנו מדברים על אדם יחיד שמריץ את הכלי הזה שיחליף 50 אנשים, ויכול לעשות את אותו הדבר בזמן אמת או בשעות לעומת חודשים? האם זה סוג של, מה זה בדרך כלל מתברר?
בולט מאלה: טוב, אני מתכוון, זה מסתכם בכמה דברים. האחת היא היכולת לענות על השאלות הללו. חלק מהדברים האלה לא יתבצעו בקלות רבה. אז כן, הזמן שלוקח לעשות את הדברים שהולכו וגדלו, לכתוב את הדוחות בעצמך, להגדיר את העקבות או את האירועים המורחבים כדי לאסוף את הנתונים באופן ידני, עשוי לקחת הרבה זמן. באמת, אני אתן לך כמה, זאת אומרת, זה לא באמת קשור למאגרי מידע באופן כללי, אבל כמו מיד אחרי שהאנרון קרה ו- SOX נפוצה, הייתי באחת מחברות הנפט הגדולות ביוסטון, וספרנו ל אני חושב שזה היה כאילו 25 אחוז מהעלויות העסקיות שלנו היו קשורות לתאימות SOX.
עכשיו זה היה בדיוק אחרי וזה היה סוג של הצעד הראשון הראשוני ב- SOX, אבל העניין עם, אני אומר, אתה יודע, אתה מקבל תועלת רבה על ידי שימוש בכלי הזה במובן זה שהוא לא דורש הרבה אנשים שיעשו זאת והרבה אנשים מסוג אחר שיעשו זאת. וכמו שאמרתי, ה- DBA הוא לא בדרך כלל הבחור שממש מצפה לקיים את השיחות האלה עם מבקרי הביקורת. אז בהרבה מקרים נראה כי ה- DBA יכול להוריד את זה ולהיות מסוגל לספק את הדו"ח שמתממשק למבקר והם יכולים להוציא את עצמם לחלוטין מהמשוואה במקום שהם צריכים להיות מעורבים. אז אתה יודע, זה חיסכון אדיר גם מבחינת המשאב כשאתה יכול לעשות זאת.
דז בלנשפילד: אתה מדבר על הפחתות עלויות מאסיביות, נכון? הארגונים לא רק מסירים את הסיכון ואת התקורה בכך, אבל אני מתכוון שבעצם אתה מדבר על הפחתה משמעותית בעלות, א) תפעולית וגם B) בעובדה שאתה יודע אם הם באמת יכולים לספק- דיווח על תאימות זמן כי קיים סיכון מופחת באופן משמעותי להפרת נתונים או קנס משפטי כלשהו או השפעה על כך שאינו תואם, נכון?
בולט מאלה: כן, בהחלט. כלומר, בגלל שלא מצייתים יש כל מיני דברים רעים שקורים. הם יכולים להשתמש בכלי הזה וזה יהיה נהדר או שהם לא, והם יגלו כמה זה באמת גרוע. אז כן, זה לא רק הכלי כמובן, אתה יכול לבצע את ההמחאות שלך והכל בלי כלי כזה. כמו שאמרתי, זה פשוט ייקח הרבה יותר זמן ועלות.
דז בלנשפילד: זה נהדר. אז אריק, אני אחזור אליך כי אני חושב שהמסירה עבורי היא שידוע לך כי סוג השוק הוא פנטסטי. אבל גם, בעיקרו של דבר, שווה הדבר של משקלו בזהב על בסיס היכולת להימנע מההשפעה המסחרית של נושא שמתרחש או היכולת לצמצם את הזמן שלוקח לדווח ולנהל את הציות רק הופך אותו, אתה יודע, ל הכלי משלם לעצמו באופן מיידי על ידי קולות הדברים.
אריק קוונהאג: זה בדיוק נכון. ובכן, תודה רבה על הזמן שלך היום, בולט. תודה לכולכם שם בחוץ על זמנכם ותשומת ליבכם, ורובין ודז. עוד מצגת נהדרת היום. תודה לחברינו ב- IDERA שאפשרו לנו להביא לך תוכן זה ללא עלות. נעבור לארכיון שידור האינטרנט הזה לצפייה מאוחרת יותר. הארכיון נמשך בדרך כלל תוך יום. ותן לנו לדעת מה אתה חושב על האתר החדש שלנו, insideanalysis.com. עיצוב חדש לגמרי, מראה ותחושה חדשים לגמרי. נשמח לשמוע את המשוב שלך ועם זה אני אפרד מכם, חברים. אתה יכול לשלוח לי דוא"ל. אחרת נדביק אותך בשבוע הבא. יש לנו שבעה שידורי אינטרנט בחמשת השבועות הקרובים או משהו כזה. אנחנו נהיה עסוקים. ואנחנו נהיה בוועידת השכבות ובפסגת אנליסטים של יבמ בניו יורק בהמשך החודש. אז אם אתם בסביבה, עצרו ליד ותגידו שלום. תשמור, אנשים. ביי ביי.
