מי, מה, איפה ואיך: למה אתה רוצה לדעת

מְחַבֵּר: Lewis Jackson
תאריך הבריאה: 12 מאי 2021
תאריך עדכון: 23 יוני 2024
Anonim
If You Want To Know What It Takes To FIND and KEEP LOVE - WATCH THIS!
וִידֵאוֹ: If You Want To Know What It Takes To FIND and KEEP LOVE - WATCH THIS!

להסיר: המארח אריק קוואנה דן בביקורת על בסיס נתונים ותאימות עם האנליסטים רובין בלור ודז בלנשפילד וכן עם בולט מנאלה מ- IDERA בפרק זה של הוט טכנולוגיות.



אינך מחובר כרגע. התחבר או הירשם כדי לראות את הסרטון.

אריק קוואנה: גבירותיי ורבותיי, שלום וברוך הבא, שוב, להוט טכנולוגיות! אכן כן, משנת 2016. היינו בשנה השלישית של המופע הזה, הדברים המרגשים ביותר שלו. אנחנו מתנדנדים ומתגלגלים השנה. זה אריק קוואנה, המארח שלך. הנושא להיום - זהו נושא נהדר, יש בו המון יישומים בכל מספר תעשיות, באופן די כנה - "מי, מה, איפה ואיך: למה אתה רוצה לדעת." אכן כן, התכוונו לדבר על כל הדברים הכיפיים האלה. יש שקופית שלך באמת, היכה אותי ב- @eric_kavanagh. אני מנסה לבצע ציוץ מחדש על כל האזכורים ולציוץ מחדש של כל דבר שמישהו אומר לי. אחרת, שיהיה.

חם שלה, כן! כל המופע כאן נועד לעזור לארגונים ואנשים פרטיים להבין סוגים מסוימים של טכנולוגיה. עיצבנו את כל התוכנית כאן, Hot Technologies, כדרך להגדרת תוכנה מסוג מסוים, או טרנד מסוים, או סוג מסוים של טכנולוגיה. הסיבה לכך היא שלמען האמת, בעולם התוכנה, לרוב תקבלו מונחי שיווק אלה שמתחבטים עליהם ולעיתים הם יכולים למרף בכנות את המושגים שהם נועדו לתאר.


בתכנית זו אנו באמת מנסים לעזור לך להבין מהי סוג מסוים של טכנולוגיה, איך היא עובדת, מתי אתה יכול להשתמש בה, כשאתה לא אמור להשתמש בה, ולתת לך פרטים רבים ככל האפשר. ובכן, יש לך שלוש מגישות היום: רובין בלור שלנו, אנליסט ראשי כאן בקבוצת בלור; מדען הנתונים שלנו מתקשר מסידני, אוסטרליה, בצד השני של כדור הארץ, דז בלנשפילד, ואחד האורחים האהובים עלינו בולאט מנאלה, מנהל הנדסת מכירות ב- IDERA.

אני רק אומר כמה דברים כאן, מבין מי עושה מה עם איזה פיסת נתונים, וזה ממש כמו ממשל, נכון? אם אתה חושב על כל התקנות סביב תעשיות, כמו שירותי בריאות ושירותים פיננסיים, בתחומים אלה, הדברים חשובים להפליא. עליכם לדעת מי נגע במידע, מי שינה משהו, מי ניגש אליו, מי העלה אותו, למשל. מה השושלת, מה ההשגחה של נתונים אלה? אתה יכול להיות סמוך ובטוח שכל הנושאים האלה יישארו בולטים בשנים הבאות מכל מיני סיבות. לא רק לציות, אם כי HIPAA, וסרבנס-אוקסלי ודוד-פרנק, וכל התקנות הללו משמעותיות מאוד, אלא רק כדי שתבינו בעסק שלכם מי עושה מה, איפה, מתי, למה ואיך. אלה דברים טובים, הולכים לשים לב.

קדימה, קח אותו משם, רובין בלור.


רובין בלור: אוקיי, טוב תודה על ההקדמה ההיא, אריק. תחום זה של ממשל הוא, כוונתי, ממשל בתחום ה- IT לא היה מילה ששמעת עד קצת אחרי שנת 2000, אני חושב. זה נבע בעיקר מכיוון שלדעתי בכל מקרה זה נבע בעיקר מכיוון שחקיקת הציות התנהלה. במיוחד HIPAA וסרבנס-אוקסלי. Theres למעשה הרבה מזה. לפיכך, ארגונים הבינו שהם חייבים לקבוע מערכת כללים ומערכת נהלים מכיוון שהיה צורך על פי החוק לעשות זאת. הרבה לפני כן, במיוחד במגזר הבנקאי, היו יוזמות שונות שעליך לציית להן תלוי באיזה סוג בנק אתה ובמיוחד בבנקאים הבינלאומיים. כל תואמי באזל החלו את הדרך, הרבה לפני אותה מערכת יוזמות מסוימת אחרי שנת 2000. הכל באמת מסתכם בממשל. חשבתי שאני מדבר על נושא המשילות כהקדמה למוקד של פיקוח על מי שקבל את הנתונים.

ממשל נתונים, פעם הסתכלתי סביב אני חושב לפני חמש או שש שנים, לחפש הגדרות וזה לא היה מוגדר היטב בכלל. זה מתבהר יותר ויותר לגבי המשמעות של זה בפועל. מציאות המצב הייתה שבתוך גבולות מסוימים כל הנתונים נשלטו בעבר בעבר, אך לא היו כללים רשמיים לכך.היו כללים מיוחדים שנעשו במיוחד בענף הבנקאות לביצוע דברים כאלה, אבל שוב זה קשור יותר לציות. בצורה כזו או אחרת שהוכיחה שאתה למעשה - סוג הקשור לסיכון, כך שההוכחה שאתה בנק בר-קיימא הייתה העסקה.

אם אתה מסתכל כעת על אתגר הממשל, זה מתחיל בעובדה של תנועת הנתונים הגדולים. יש לנו מספר הולך וגדל של מקורות נתונים. נפח הנתונים הוא כמובן בעיה בזה. בפרט, התחלנו לעשות הרבה, הרבה יותר עם נתונים לא מובנים. זה התחיל להיות משהו שהוא חלק מכל משחק האנליטיקס. ובגלל ניתוחים, מקור נתונים ושושלות חשובים. באמת מנקודת המבט של שימוש בניתוח נתונים בכל דרך שקשורה לכל סוג של תאימות, אתה באמת צריך להיות בעל ידע על היכן הגיעו הנתונים ואיך הם צריכים להיות מה שהם.

הצפנת נתונים התחילה להיות סוגיה, הפכה לסוגיה גדולה יותר ברגע שהלכנו להאדוף כי הרעיון של אגם נתונים בו אנו מאחסנים הרבה נתונים, פירושו פתאום שיש לך תחום פגיעות עצום של אנשים שיכולים להשיג בזה. הצפנת הנתונים הפכה בולטת הרבה יותר. אימות תמיד היה נושא. בסביבה הישנה יותר, בסביבת מיינפריים בהחלט, הייתה להם הגנת אבטחה היקפית כה נהדרת; אימות מעולם לא היה עניין של ממש. בהמשך זה הפך להיות נושא גדול יותר והנושא שלו הרבה יותר נושא עכשיו מכיוון שיש לנו סביבות כה מבוזרות. ניטור גישה לנתונים, זה הפך לבעיה. נראה שאני זוכר כלים שונים שהתקיימו לפני כעשר שנים. אני חושב שרוב אלה הונעו על ידי יוזמות ציות. לכן יש לנו גם את כל כללי הציות, דיווח על תאימות.

הדבר שעולה על דעתך הוא שגם בשנות התשעים, כשביצעת ניסויים קליניים בתעשיית התרופות, לא רק שהיית צריך להוכיח מאיפה הגיעו הנתונים - ברור שזה מאוד חשוב אם אתה מנסה תרופות בבעיות שונות, כדי לדעת על מי מנסים ומה הנתונים החוזיים סביבו - היית צריך להיות מסוגל לבקר את התוכנה שיצרה את הנתונים בפועל. זה חתיכת ההתאמה החמורה ביותר שאי פעם ראיתי בכל מקום, מבחינת ההוכחה שאתה לא ממש מתעסק עם דברים במכוון או בטעות. בתקופה האחרונה, במיוחד ניהול מחזור חיי הנתונים הפך להיות נושא. כל אלה הם אתגרים בצורה מסוימת מכיוון שרבים מהם לא נעשו היטב. בהרבה נסיבות זה הכרחי כדי לעשות זאת.

לזה אני מכנה פירמידת הנתונים. דיברתי על זה בעבר. אני מוצאת זאת דרך מעניינת מאוד להסתכל על הדברים. אתה יכול לחשוב על נתונים כעל שכבות. נתונים גולמיים, אם תרצו, הם באמת רק אותות או מדידות, הקלטות, אירועים, רשומות בודדות בעיקר. יתכן שעסקאות, חישובים וצבירות כמובן יוצרים נתונים חדשים. ניתן לחשוב עליהם ברמת הנתונים. מעל זה, ברגע שאתה באמת מחבר נתונים זה לזה, הוא הופך למידע. זה הופך להיות שימושי יותר, אך כמובן שהוא הופך להיות פגיע יותר לאנשים שמפרצים אותו או מתעללים בו. אני מגדיר את זה כיצור, באמת, דרך מבנה של נתונים, היכולת לדמיין את הנתונים בעלי מילונים, סכמות, אונטולוגיות על המידע. שתי השכבות התחתונות הללו הן מה שאנחנו מעבדים בדרך זו או אחרת. מעל זה אני מכנה שכבת הידע המורכבת מכללים, מדיניות, הנחיות, נוהל. חלקם עשויים למעשה להיווצר על ידי תובנות שהתגלו באנליטיקה. רבים מהם הם למעשה מדיניות שעליכם לעמוד בהם. זה הרובד, אם תרצה, של ממשל. זה המקום בו, בדרך זו או אחרת, אם השכבה הזו אינה מאוכלסת כראוי, שתי השכבות שלמטה אינן מנוהלות. הנקודה הסופית בעניין היא הבנה במשהו השוכן רק בבני אדם. המחשבים לא הצליחו לעשות זאת עדיין, למרבה המזל. אחרת, אני לא צריך לעבוד.

אימפריה הממשלתית - אני ממש מרכיב את זה, אני חושב שזה כנראה היה לפני כתשעה חודשים, אולי הרבה יותר מוקדם מזה. בעיקרון, אני שיפרתי את זה אבל ברגע שהתחלנו לדאוג לממשל, אז היה מבחינת רכזת הנתונים של הארגון לא רק מאגר נתונים, משאבי אגם נתונים, אלא גם שרתים כלליים מסוגים שונים, שרתי נתונים מומחים. על כל אלה היה צורך לשלוט. כאשר בעצם בדקת גם את הממד השונה - אבטחת נתונים, ניקוי נתונים, גילוי מטא נתונים וניהול מטא נתונים, יצירת מילון מונחים עסקי, מיפוי נתונים, שושלת נתונים, ניהול מחזור חיי נתונים - אז, ניהול ניטור ביצועים, ניהול רמת שירות , ניהול מערכות, שאולי אינך משייך למעשה לממשל, אך מסוים - כעת, שהולכים לעולם מהיר יותר ומהיר יותר ויותר עם זרמי נתונים יותר, למעשה היכולת לעשות משהו עם ביצוע מסוים היא למעשה הכרח ומתחיל להפוך לכלל פעולה ולא לכל דבר אחר.

לסיכום מבחינת גידול הציות, צפיתי שזה קורה לאורך הרבה מאוד שנים, אך הגנת המידע הכללית הגיעה למעשה בשנות התשעים באירופה. זה פשוט נהיה יותר, ומתוחכם יותר מאז. ואז, כל הדברים האלה התחילו להכנס או להיות מתוחכמים יותר. GRC, שזהו סיכון הממשל והתאימות, נמשך מאז שהבנקים ביצעו את באזל. ISO יצרה סטנדרטים של סוגים שונים של פעולות. אני יודע כל הזמן שהייתי בתחום ה- IT - זה היה הרבה זמן - ממשלת ארה"ב פעלה במיוחד ביצירת חקיקות שונות: SOX, Theres Gramm-Leach-Bliley, HIPAA, FISMA, FERPA. קיבלתם גם את ארגון ה- NIST המופלא שיוצר סטנדרטים רבים, במיוחד תקני אבטחה, שימושיים מאוד. לחוקי הגנת המידע באירופה יש שונות מקומית. מה שאתה יכול לעשות עם נתונים אישיים בגרמניה, למשל, שונה ממה שאתה יכול לעשות ברפובליקה הסלובקית, או בסלובניה, או בכל מקום אחר. הם הציגו לאחרונה - וחשבתי שעיד מזכיר זאת כיוון שזה נראה לי משעשע - אירופה מציגה את רעיון הזכות להישכח. כלומר, צריכה להיות חוק התיישנות על נתונים שהיו ציבוריים שהם למעשה נתונים אישיים. אני חושב שזה מצחיק. מנקודת מבט של טכנולוגיית מידע זו תהיה קשה מאוד אם היא תתחיל להפוך לחקיקה אפקטיבית. לסיכום אני אומר את הדברים הבאים: מכיוון שנתוני IT וניהול מתפתחים במהירות, על ממשל להתפתח במהירות והם חלים על כל תחומי הממשל.

אחרי שאמרתי שאעביר את הכדור לדצ.

אריק קוואנה: אכן כן, אז דז בלנשפילד, קח אותו משם. רובין, אני איתך, בן אדם, אני מת לראות איך זכות זו של שכחה נשמעת. אני חושב שזה לא יהיה פשוט מאתגר אבל בלתי אפשרי בעיקרון. זו רק הפרה של המתנה למימוש על ידי סוכנויות ממשלתיות. דז, קח אותו משם.

דז בלנשפילד: אכן זהו נושא לדיון אחר. יש לנו אתגר דומה מאוד כאן באסיה-פסיפיק, ובמיוחד באוסטרליה, שם ספקים וספקי שירותי אינטרנט נדרשים לרשום כל מה שקשור לאינטרנט ולהיות מסוגלים לתעד אותו ולחדש אותו למקרה שמישהו שמעניין אותו יעשה משהו לא בסדר. זהו חוק ועליך לציית לו. האתגר, כמו שמישהו שגוגל בארצות הברית יכול לקבל נאמר למחוק את היסטוריית החיפושים שלי או כל דבר אחר, זה יכול להיות כדי לעמוד בחוק האירופי, ובמיוחד בחוק הפרטיות הגרמני. באוסטרליה אם סוכנות רוצה לבדוק אתכם, ספקית צריכה להיות מסוגלת לספק פרטים על שיחות והיסטוריית חיפושים שנעשו, וזה מאתגר, אבל זה העולם שאנחנו חיים בו. יש הרבה סיבות לכך. תן לי פשוט לקפוץ לשלי.

בכוונה הקשתי את עמוד השער שלי בקריאה. אתה צריך להסתכל באמת על זה. ציות, תוך התאמה למערכת כללים, מפרטים, בקרות, מדיניות, תקנים או חוקים, עם רקע מטופש ומבולגן. זה בגלל שאתה באמת צריך להסתכל על זה קשה להשיג את הפרטים ולשלוף מידע מכפי שהכוסה עליו, שהיא סדרה של טבלאות ושורות ועמודות, או מסד נתונים, תכנית או מודע ב- Visio. זה מה סוג של תאימות מרגיש יום יום. קשה מאוד לצלול לפרטים ולשלוף את פיסות המידע הרלוונטיות הדרושות לך בכדי לאשר שאתה תואם. דווח על זה, פיקח על זה ובדוק אותו.

למעשה, חשבתי דרך טובה באמת לדמיין זאת כשאנחנו שואלים את עצמנו את השאלה "האם אתה תואם?" "האם אתה בטוח?" "נו, תוכיחי!" יש דבר מהנה באמת שהוא אולי קצת יותר אנגלו-קלטי אבל אני בטוח שהוא עשה את דרכו ברחבי העולם לארה"ב, כך שהוא: "Wherees Wally?" וואלי היא דמות קטנה שנכנסת לרישומי הקריקטורה הללו בצורה של ספרים. בדרך כלל תמונות בקנה מידה גדול מאוד של A3 ומעלה. אז, ציורים בגודל השולחן. הוא טיפוס קטן שלובש כפה וחולצת פסים בצבע אדום-לבן. הרעיון של המשחק הוא שאתה מסתכל על התמונה הזו ואתה מסתכל סביב במעגלים כדי לנסות למצוא את וולי. הוא בתמונה הזאת שם איפשהו. כשאתה חושב כיצד לגלות ולתאר ולדווח על תאימות, במובנים רבים זה כמו לשחק ב"הוורס וואלי ". אם אתה מסתכל על תמונה זו, זה כמעט בלתי אפשרי למצוא את הדמות. ילדים מבלים בזה שעות והיה לי כיף לעשות את זה בעצמי אתמול. כשאנחנו מסתכלים על זה, אנו מוצאים חבורה שלמה של אנשים בסרטים המצוירים האלה, שמונחים שם בכוונה עם חלקים דומים של התלבושת של וולי של כפת פסים ומכנסי גופיה או חולצה צמר. אבל הם הופכים לחיובי כוזב.

זהו אתגר דומה שיש לנו בהתאמה. כאשר התבוננו בדברים, לפעמים משהו שאנחנו חושבים שזה המקרה, בכלל לא המקרה. למישהו יכול להיות גישה למסד נתונים והם אמורים לקבל גישה למסד נתונים, אך הדרך בה הם משתמשים בו שונה מעט ממה שאנחנו מצפים. אנו עשויים להחליט שזה משהו שאנחנו צריכים להסתכל עליו. כאשר אנו בוחנים את זה אנו מוצאים, למעשה, זהו משתמש תקף מאוד. הם פשוט עושים משהו מוזר. אולי זה חוקר מחשבים אישיים או מי יודע. במקרים אחרים זה יכול להיות הפוך. המציאות, כשאני שוב קדימה, יש וולי. אם נראית ממש קשה ברזולוציה הגבוהה הזו יש דמות אחת שלובשת למעשה את הלבוש הנכון. כל האחרים הם רק מבטי מראה ועם תחושה. הציות מרגישה ככה מאוד. רוב האנשים שאני מכיר הם עובדים בבקרות ותאימות ומדיניות בתחומי העסקים. במגוון תחומים שלם, בין אם הטכנולוגיה שלה, בין אם מדובר במימון או בתפעול ובסיכון. לעתים קרובות קשה מאוד לראות את הוולי בתמונה, תוכלו לראות את העצים או העץ.

השאלה שאנו שואלים את עצמנו, כשאנחנו חושבים על דברים כמו ציות, היא "ביג דיל, מה יכול אולי להשתבש אם אנחנו לא ממש עומדים בתאימות?" בדיון הנוכחי, במיוחד סביב מסד נתונים ובקרה על הגישה לנתונים, אני הולך לתת לך כמה דוגמאות להתעוררות אמיתיות מאוד על מה יכול להשתבש בצורה מאוד תמציתית. אם אנו חושבים על הפרות נתונים וכולנו בקיאנו בפרצות נתונים, אנו שומעים אותם בתקשורת ואנחנו סוגים של עצירה וצחוק, כי אנשים חושבים שהשווקים שלה. הדברים האישיים שלה. זה אשלי מדיסון ואנשים שמחפשים לצאת לדייטים מחוץ לזוגיות ונישואיהם. חשבונותיו המעולים. כל הדברים המוזרים האלה או ספק שירותי אירוח או רוסיה או חברת אירוח אקראיים נפרצים. כשמדובר בדברים כמו MySpace ועשרת המובילים האלה, כשאתה מסתכל על המספרים האלה, מה שאני רוצה שתבין זה: 1.1 מיליארד עמים בפרטים בעשרת הפרצות המובילות האלה. וכן, יש חפיפות, כנראה שיש אנשים שיש להם חשבון MySpace וחשבון Dropbox וחשבון Tumblr, אך מאפשרים לעקוף אותו עד מיליארד אנשים.

עשר הפרצות המובילות הללו בעשור האחרון בערך - אפילו לא עשור, ברוב המקרים - מסכמות כשביעית מאוכלוסיית בני האדם בעולם, אך באופן מציאותי יותר, כ- 50 אחוז ממספר האנשים קשורים ל אינטרנט, יותר ממיליארד אנשים. אלה נובעים מכיוון שלא קיימה התאמה במקרים מסוימים. ברוב המקרים היו בקרות על הגישה למסד נתונים, בקרת הגישה למערכות נתונים מסוימות, ומערכות ורשתות. זהו בדיקת מציאות מפחידה. אם זה לא מפחיד אותך, כשאתה מסתכל על העשירייה הראשונה שאתה יכול לראות שזה - או שאתה יכול לראות שמדובר במיליארד אנשים, בני אדם אמיתיים ממש כמונו, בשיחה זו ברגע זה. אם יש לך חשבון לינקדאין, אם היה לך חשבון Dropbox, או חשבון Tumblr או אם קנית ממוצרי Adobe או אפילו רשמת הורד חינם את הצופה של Adobe. סביר להניח, שלא אפשרי, סביר להניח שפרטיך, שמך הפרטי, שם משפחתך, כתובתך, אולי אפילו כתובת חברת העבודה שלך, או כתובת הבית שלך או כרטיס האשראי שלך, נמצאים בפועל בגלל הפרה התרחש בגלל הפקדים, זה בהכרח הצליח היטב בצורה של ניהול נתונים, ניהול נתונים.

בואו נסתכל על זה כשאנחנו מסתכלים עליו בפירוט אמיתי. יש מסך אחד מהם, יש שם בערך 50 ומשהו. Theres עוד 15. Theres על עוד 25. אלה הן הפרות נתונים המפורטות באתר שנקרא haveibeenpwned.com. זה מה שעלול להשתבש אם משהו פשוט כמו שליטה במי שהיה לו גישה לנתונים במסדי נתונים בשדות ושורות ועמודות שונות ויישומים שונים בעסק שלך, לא מנוהל כהלכה. ארגונים אלה מונעים כעת על נתונים. רוב הנתונים חיים במסד נתונים בצורה כלשהי. כשאתם חושבים על זה, רשימת הפרצות שבדיוק הסתכלנו עליה, ובתקווה שהיא נתנה לכם קצת מקלחת קרה במובן מסוים, בכך שחשבתם “הממ, זה מאוד אמיתי”, וזה יכול להשפיע עליכם. בשנת 2012, הפרה זו של לינקדאין למשל, לרוב אנשי המקצוע יש חשבון לינקדאין בימינו וסביר להניח כי פרטיך אבדו. הם יצאו באינטרנט מאז 2012. רק לנו הודיעו לנו על כך בשנת 2016. מה קרה לכם במידע בארבע השנים האלה? ובכן זה מעניין ואנחנו יכולים לדבר על זה בנפרד.

ניהול בסיסי נתונים ומערכות - לעתים קרובות אני מדבר על מה שאני רואה בחמשת האתגרים המובילים בניהול הדברים האלה. בראש הדף מאוד ודירוג אותם לפי סדר העדפה מעצמי, אך גם סדר ההשפעה, מספר אחד הוא אבטחה ותאימות. הבקרות והמנגנונים והמדיניות סביב בקרה למי יש גישה לאיזו מערכת, מאיזו סיבה ומטרה. דיווח על כך ופיקוח על זה, לבדוק את המערכות, לבדוק את מסדי הנתונים ולראות מי באמת יכול לגשת לרשומות, שדות בודדים ורשומות.

חשוב על זה בצורה מאוד פשוטה. בואו לדבר על בנקאות וניהול עושר כדוגמה אחת. כשאתה נרשם לחשבון בנק, אפשר לומר חשבון מזומן רגיל עבור כרטיס EFTPOS, או חשבון מזומן או חשבון צ'ק. אתה ממלא טופס ויש הרבה מידע פרטי מאוד באותה פיסת נייר שאתה ממלא או שאתה עושה את זה באופן מקוון וזה נכנס למערכת מחשבים. עכשיו, אם מישהו שיווק רוצה ליצור איתך קשר ואתה בעלון, יש לאפשר לו לראות את שם הפרטי ושם משפחתך, ואת הכתובת האישית שלך, למשל, ואולי גם את מספר הטלפון שלך אם הם רוצים להתקשר אליך ולמכור אתה משהו. הם כנראה לא צריכים לראות את הסכום הכולל שיש לך בבנק מסיבות רבות של סיבות. אם מישהו מסתכל עליך מנקודת מבט של סיכון, או מנסה לעזור לך לעשות משהו כמו להשיג ריביות טובות יותר על חשבונך, אותו אדם מסוים בטח רוצה לראות כמה כסף יש לך בבנק, כך שהוא יכול להציע לך את רמות ההחזר הריבית המתאימות לכספך. לשני אותם אנשים יש תפקידים שונים מאוד וסיבות שונות מאוד לתפקידים הללו ומטרות לתפקידים אלה. כתוצאה מכך, עליך לראות מידע שונה ברשומה שלך, אך לא את כל הרשומה.

בקרות אלה סביב הדוח השונה של המסכים או הטופס הרגילים שיש להם ביישומים המשמשים לניהול חשבונך. ההתפתחות עבור אלה, תחזוקת אלה, ניהול אלה, הדיווחים סביב אלה והממשל והתאמה העוטפת את אלה כמו גלישת בועות, כולם מהווים אתגר גדול מאוד. זה רק האתגר מספר אחד בניהול נתונים ומערכות. כשאנחנו יורדים עמוק יותר בערימה זו לביצועים ומעקב, וגילוי שכיחות ותגובה, ניהול ומנהל של המערכת והתאימות סביבם, התכנון והפיתוח של המערכות מהתאימות, זה הופך להיות הרבה יותר קשה.

ניהול כל נושא הפחתת הסיכונים ושיפור האבטחה. חמשת האתגרים המובילים שלי במרחב הזה - ואני אוהב את הדימויים הנלווים לדלפק מכס כשאתה נכנס למדינה - הם מציגים את הדרכון שלך, והם בודקים אותך, והם מסתכלים על מערכת המחשבים שלהם כדי לראות אם אתה צריך לעבור או לא. אם לא כדאי לך, הם שמו אותך במטוס הבא הביתה. אחרת, הם נותנים לך לחזור והם שואלים אותך שאלות כמו "אתה בא לחופשה? אתה כאן תייר? אתה כאן לעבודה? איזו סוג עבודה אתה הולך לראות? איפה אתה הולך להישאר "כמה זמן אתה בא? יש לך מספיק כסף בכדי לכסות את ההוצאות והעלויות שלך? או שאתה הולך להיות סיכון למדינה בה אתה נמצא ויכול להיות שהם יצטרכו לדאוג לך ולהאכיל אותך?"

ישנם כמה בעיות סביב מרחב הנתונים הזה, ניהול הגנת נתונים. לדוגמה במרחב בסיס הנתונים, עלינו לחשוב על הפחתת מעקפי מסדי נתונים. אם הנתונים נמצאים בבסיס הנתונים, בסביבה רגילה וקיימים בקרות ומנגנונים סביב זה במערכת. מה קורה אם השלכת הנתונים נעשית ב- SQL יותר ומגובה לקלטת? מאגרי המידע נזרקים בצורה גולמית ומגובים לפעמים. לפעמים זה נעשה מסיבות טכניות, מסיבות פיתוח. בואו נגיד שמטלה של DB נלקחה וגיבתה לקלטת. מה קורה אם אמצא במקרה את הקלטת ומשחזר אותה? ואני קיבלתי עותק גולמי של בסיס הנתונים ב- SQL. זה קובץ MP, שלו, אני יכול לקרוא אותו. כל הסיסמאות המאוחסנות במזבלה ההיא אין לי שום שליטה עלי כיוון שכעת אני מקבל גישה לתוכן הממשי של מסד הנתונים מבלי שמנוע בסיס הנתונים יגן עליו. אז אני יכול לעקוף טכנית את האבטחה של פלטפורמת מסד הנתונים שנבנית במנוע תוך התאמה, וניהול סיכונים כדי לעצור אותי להסתכל על הנתונים. מכיוון שעשוי להיות המפתח, מנהל מערכת, איבתי את ידי על השלמה מלאה של מסד הנתונים שצריך לשמש לגיבויים.

שימוש לרעה בנתונים - עלול לגרום למישהו להיכנס כחשבון המוגבה שלהם ולתת לי לשבת ליד המסך, לחפש מידע או דברים דומים.ביקורת קניינית, על הגישה והשימוש בנתונים, וצפייה בנתונים או שינויים בנתונים. ואז הדיווח סביב אותה בקרה והתאימות הנדרשת. מעקב אחר התנועה והגישה וכדומה, חסימת איומים שמגיעים ממקומות ושרתים חיצוניים. לדוגמא, אם הנתונים מוצגים באמצעות טופס בדף אינטרנט באינטרנט, האם הוגנו זריקות ה- SQL באמצעות חומות אש ובקרות רעיונות? יש סיפור ארוך ומפורט שמאחורי זה. אתה יכול לראות כאן שרק חלק מהדברים המהותיים האלה שאנחנו חושבים עליהם להפחית וניהול סיכונים סביב נתונים בתוך מסדי נתונים. זה קל יחסית לעקוף כמה כאלה אם אתה ברמות שונות של ערימות של הטכנולוגיות. האתגר נעשה קשה יותר ויותר ככל שאתה מקבל יותר ויותר נתונים, ויותר מסדי נתונים. יותר ויותר מאתגר עם אנשים שצריכים לנהל את המערכות, ולעקוב אחר השימוש בהן, לעקוב אחר הפרטים הרלוונטיים הנוגעים במיוחד לדברים שרובין דיבר עליהם, סביב דברים כמו תאימות אישית. לאנשים יש סביבם בקרות ומנגנונים התואמים - אם אתה עושה משהו לא בסדר, פוטר פוטנציאלי. אם אני נכנס כחשבון שלי מאפשר לך לראות את זה, זו צריכה להיות עבירה הניתנת לטיפול. עכשיו נתתי לך גישה לנתונים שלא היית צריך לראות בדרך כלל.

קיימת התאמה אישית, קיימת תאימות תאגידית, לחברות מדיניות וכללים ובקרות שהן קבעו על עצמן, כך שהחברה תעבור טוב ותספק החזר רווח ותשואה טובה למשקיעים ובעלי המניות. ואז יש לעיתים קרובות עירוני או מדינה או לאומית, פדרלית כמו שאמרת שליטה וחוקים בארה"ב. ואז אלה גלובליים. כמה מהאירועים הגדולים בעולם, בהם אוהבים סרבנס-אוקסלי, שני אנשים שמתבקשים למצוא דרכים כיצד להגן על נתונים ומערכות. Theres Basel באירופה וקיימת כל מגוון הבקרות באוסטרליה, במיוחד סביב פלטפורמות בורסה ופריטים אישיים, ואז פרטיות ברמת הפרט או החברה. כאשר כל אחד מאלה נערם כמו שראית באחד האתרים שהיו לרובין, הם הופכים כמעט להר כמעט בלתי אפשרי לטפס עליו. העלויות גדלות והיו בנקודה בה גישה מסורתית מקורית שאתה מכיר, כמו בני אדם המודדים שליטה, היא כבר לא גישה מתאימה מכיוון שהקנה מידה גדול מדי.

יש לנו תרחיש שבו תאימות היא מה שאני מכנה כעת סוגיה מתמדת. וזה שבעבר היה לנו פוטנציאל נקודת זמן, בין חודשי או רבעוני או שנתי, בו היינו בודקים את מדינת האזור שלנו ועוזרים לדרישות ובקרה. וודא שלאנשים מסוימים הייתה גישה מסוימת ולא הייתה להם גישה מסוימת, תלוי מה היו ההרשאות שלהם. עכשיו זה המקרה של מהירות הדברים שאיתם דברים נעים, הקצב בו הדברים משתנים, הסולם בו פעלו. הציות הוא סוגיה מתמדת והמשבר הפיננסי העולמי היה רק ​​דוגמא אחת שבה הבקרות הרלוונטיות, אמצעים בתחום האבטחה והתאימות יכלו אולי להימנע מתרחיש בו הייתה לנו רכבת משא בורחת של התנהגות מסוימת. פשוט ליצור מצב עם כל העולם ביעילות בידיעה שהוא ישבר ויהיה פושט רגל. לשם כך אנו זקוקים לכלים הנכונים. זריקת בני אדם לרכבת, זריקת גופות היא כבר לא גישה תקפה מכיוון שהקנה מידה גדול מדי והדברים זזים מהר מדי. לדעתי, הדיון היום עומד על סוגי הכלים שיש להחיל על זה. בפרט הכלים ש- IDERA יכולים לספק לנו שצריכים לעשות זאת. ובהתחשב בזה, אני הולך למסור את זה לבולט לעבור על החומר שלו ולהראות לנו את הגישה שלהם ואת הכלים שהם קיבלו כדי לפתור את הבעיה הזו שהגישנו כעת עבורך.

עם זה, בולט, אני אתן לך.

בולט מאלה: נשמע נהדר, תודה. אני רוצה לדבר על כמה שקופיות ואני רוצה גם להראות לכם מוצר שאנו משתמשים בו עבור מסדי נתונים של SQL Server במיוחד כדי לעזור במצבי תאימות. באמת, האתגר בהרבה מקרים - אני הולך לדלג על כמה כאלה - זה רק תיק המוצרים שלנו, אני הולך לעבור את זה די מהר. מבחינת באמת לאן פונה המוצר הזה ואיך הוא קשור לתאימות, אני תמיד מעלה את זה כמו השקופית הראשונה מכיוון שהוא סוג של גנרי, "היי, מה האחריות של DBA?" אחד הדברים שולטת ומנטרת את הגישה למשתמשים וגם יכולה ליצור דוחות. זה יתקשר כשאתה מדבר עם המבקר שלך, כמה קשה התהליך הזה יכול להשתנות תלוי אם אתה מתכוון לעשות זאת לבד או אם אתה מתכוון להשתמש בכלי של צד שלישי כדי לעזור.

באופן כללי, כאשר אני מדבר עם מנהלי מסדי נתונים, פעמים רבות מעולם לא היו מעורבים בביקורת. אתה צריך לחנך אותם באמת למה שאתה באמת צריך לעשות. קשור לאיזה סוג תאימות שצריך למלא ולהיות מסוגל להוכיח שאתה פועל בפועל על פי הכללים כפי שהם חלים על אותה רמת תאימות. הרבה אנשים לא משיגים את זה בהתחלה. הם חושבים, "אה, אני יכול פשוט לקנות כלי שיגרום לי להיות תואם." המציאות היא, שלא כך הדבר. הלוואי ויכולתי לומר שהמוצר שלנו באופן קסום, לפי הידוע, לחיצה על הכפתור הקל, נתן לך את היכולת לוודא שאתה עומד בתאימות. המציאות היא שאתה צריך להגדיר את הסביבה שלך מבחינת הפקדים, מבחינת האופן שבו אנשים ניגשים לנתונים, שצריך לעבוד עם הכל עם היישום שיש לך. היכן שמאוחסנים הנתונים הרגישים, איזה סוג דרישת רגולציה מדובר. לאחר מכן, גם צורך לעבוד עם קצין ציות פנימי בדרך כלל כדי להיות מסוגל לוודא שאתה פועל על פי כל הכללים.

זה נשמע ממש מסובך. אם אתה מסתכל על כל הדרישות הרגולטוריות, אתה חושב שזה יהיה המצב, אבל המציאות היא שיש כאן מכנה משותף. במקרה שלנו עם הכלי אותו אני אראה לך היום, מוצר מנהל הציות, התהליך במצבנו הוא שבראש ובראשונה עלינו לוודא שאספנו את נתוני שביל הביקורת, הקשורים למקום שבו הנתונים נמצאים נמצא בבסיס הנתונים רגיש. אתה יכול לאסוף הכל, נכון? יכולתי לצאת ולהגיד שאני רוצה לגבות כל עסקה שקורה בבסיס הנתונים הזה. המציאות היא שסביר להניח שיש לך רק חלק קטן או אחוז קטן של עסקאות שקשורות למעשה לנתונים הרגישים. אם תאימות ה- PCI שלה תהיה סביב פרטי כרטיסי האשראי, בעלי כרטיסי האשראי, המידע האישי שלהם. יכול להיות שיש המון בעסקאות אחרות בכל הקשור ליישום שלך, שלדבר אין באמת שום השפעה על הדרישה הרגולטורית של PCI.

מנקודת מבט זו, הדבר הראשון כשאני מדבר עם DBA הוא אומר "האתגר מספר אחד אינו מנסה להשיג כלי שיעשה את הדברים בשבילך. זה פשוט לדעת איפה הנתונים הרגישים ואיך אנו נועלים את הנתונים האלה? "אם יש לך את זה, אם אתה יכול לענות על השאלה הזו, אתה באמצע הדרך בבית מבחינת היכולת להראות שאתה עומד בתנאי, בהנחה שאתה עוקב הימין שולט. בואו נגיד לרגע שאתה עוקב אחר הפקדים הנכונים ואמרת לרואי החשבון כי זהו המקרה. החלק הבא של התהליך הוא, כמובן, היכולת לספק מסלול ביקורת המציג ואימות את אותם בקרות שפועלות למעשה. לאחר מכן, לאחר מכן, וודא שאתה שומר נתונים אלה. בדרך כלל עם דברים כמו תאימות PCI ו- HIPAA, וסוגי דברים כאלה, אתה מדבר על שמירה של שבע שנים. אתה מדבר על המון עסקאות והרבה נתונים.

אם אתה ממשיך, אוסף כל עסקה, למרות שרק חמישה אחוז מהעסקאות קשורות לנתונים הרגישים, אתה מדבר על עלות די גדולה הקשורה לחייב את הנתונים האלה במשך שבע שנים. אחד האתגרים הגדולים ביותר, לדעתי, הוא לגרום לאנשים להסתובב עם זה, כלומר בעלות מיותרת באמת, ברור. זה גם הרבה יותר קל אם נוכל רק להתמקד באופן פרטני באזורים הרגישים בתוך מסד הנתונים. בנוסף לכך אתה גם רוצה לפקח על חלק מהמידע הרגיש גם כן. לא רק כדי להציג במונחים של מסלול ביקורת, אלא גם להיות מסוגל לקשור דברים חזרה לפעולות שקורות ולהיות מסוגל לקבל הודעה בזמן אמת, כך שתוכלו להיות מודעים לכך.

הדוגמא שאני משתמשת בה תמיד, וייתכן שהיא לא קשורה בהכרח לסוג כלשהו של דרישות רגולטוריות אלא רק היכולת לעקוב, למשל, מישהו היה מפיל את הטבלה הקשורה לשכר. אם זה קורה, הדרך בה אתה מגלה על זה, אם אתה לא עוקב אחר זה, אף אחד לא מקבל תשלום. זה מאוחר מדי. אתה רוצה לדעת מתי השולחן הזה נופל, ממש כשהוא נשמט, כדי להימנע מדברים רעים שקורים כתוצאה מכמה עובדים ממורמרים שהולכים ומוחקים את הטבלה שקשורה ישירות לשכר.

עם זאת, הטריק הוא למצוא את המכנה המשותף או להשתמש במכנה המשותף כדי למפות מהי רמת הציות. זה סוג של מה שאנחנו מנסים לעשות עם הכלי הזה. למעשה אנו נוקטים בגישה של לא התכוונו להראות לך דוח ספציפי ל- PCI, ספציפי למניות; המכנה המשותף הוא שיש לך יישום שמשתמש ב- SQL Server לאחסון הנתונים הרגישים במסד הנתונים. ברגע שאתה מתגבר על זה שאתה אומר, "כן, זה באמת הדבר העיקרי שאנחנו צריכים להתמקד בו - איפה הנתונים הרגישים האלה ואיך ניגשים אליהם?" ברגע שיש לך את זה, יש המון דוחות שאנו מציעים שיכולים לספק הוכחה לכך, אתה תהיה בתאימות.

כשחוזרים לשאלות שנשאלות על ידי מבקר, השאלות הראשונות עומדות להיות: למי יש גישה לנתונים ואיך הם מקבלים גישה זו? האם אתה יכול להוכיח שהאנשים הנכונים ניגשים לנתונים והאנשים הלא נכונים אינם? האם אתה יכול גם להוכיח כי מסלול הביקורת עצמו הוא דבר שאני יכול לסמוך עליו כמקור מידע בלתי משתנה? אם אני נותן לך מסלול ביקורת שמוברק, זה לא באמת עושה לי טוב כמבקר כדי לתקן את הביקורת שלך אם המידע מפוברק. אנו זקוקים להוכחה לכך, בדרך כלל מנקודת מבט של ביקורת.

עובר על השאלות האלה, קצת יותר מפורטות. האתגר עם השאלה הראשונה הוא, עליכם לדעת, כמו שאמרתי, היכן נמצא הנתונים הרגישים כדי לדווח על מי שגישה אליו. זה בדרך כלל סוג של גילוי ובאמת שיש לך אלפי יישומים שונים שנמצאים שם, יש לך טונות של דרישות רגולטוריות שונות. ברוב המקרים אתה רוצה לעבוד עם קצין הציות שלך אם יש לך כזה, או לפחות מישהו שיהיה לו תובנה נוספת מבחינת באמת היכן הנתונים הרגישים שלי נמצאים בתוך היישום. יש לנו כלי שיש לנו, זה כלי חינמי, שנקרא חיפוש עמודות SQL. אנו אומרים ללקוחות הפוטנציאליים והמשתמשים המעוניינים בשאלה זו, שהם יכולים להוריד אותה. מה שעומד לעשות זה ללכת בעצם לחפש את המידע במסד הנתונים שעשוי להיות רגיש ככל הנראה.

ואז ברגע שאתה עושה זאת, עליך גם להבין כיצד אנשים ניגשים לנתונים האלה. וזה הולך להיות, שוב, אילו חשבונות נמצאים בקבוצות אקטיב Directory, בהן משתמשי מסדי נתונים מעורבים, ישנן חברות שיש בהן תפקיד. ולזכור, כמובן, שכל הדברים האלה שאנחנו מדברים עליהם צריכים להיות מאושרים על ידי רואה החשבון המבקר, כך שאם אתה אומר, "ככה אנחנו נועלים את הנתונים", אז יכולים המבקרים להגיע חזור ואמר, "ובכן, אתה עושה את זה לא נכון." אבל בוא נגיד שהם אומרים, "כן, זה נראה טוב. אתה נועל את הנתונים בצורה מספקת. "

במעבר לשאלה הבאה, שעתידה להיות, האם אתה יכול להוכיח שהאנשים הנכונים ניגשים לנתונים האלה? במילים אחרות, אתה יכול לומר להם שהבקרות שלך הן, זה הפקדים שאתה עוקב אחריהם, אך למרבה הצער, רואי החשבון אינם אנשים אמינים באמת. הם רוצים הוכחה לכך והם רוצים להיות מסוגלים לראות זאת במסלול הביקורת. וזה חוזר לכל אותו מכנה משותף. בין אם מדובר ב- PCI, SOX, HIPAA, GLBA, באזל II, מה שלא יהיה, המציאות היא שאותם סוגים של שאלות הולכים ונשאלים בדרך כלל. האובייקט עם המידע הרגיש, מי ניגש לאובייקט הזה בחודש האחרון? זה אמור למפות את בקרותיי ואני אמור להעביר את הביקורת שלי בסופו של דבר על ידי הצגת סוגים אלה של דוחות.

וכך, מה שעשינו, ריכזנו כ- 25 דוחות שונים העוקבים אחר אותם אזורים כמו אותו מכנה משותף. אז אין לנו דוח עבור PCI או עבור HIPAA או עבור SOX, יש לנו דיווחים כי שוב הם מתנגדים לאותו מכנה משותף. וכך לא באמת משנה איזו דרישת רגולציה אתם מנסים למלא, ברוב המקרים אתם תוכלו לענות על כל שאלה שמבקר אותו מבקר. והם הולכים לומר לך מי, מה, מתי ואיפה בכל עסקה. אתה יודע, המשתמש, זמן התרחשות העסקה, הצהרת SQL עצמה, היישום שממנו הוא הגיע, כל הדברים הטובים האלה, ואז גם יוכלו להפוך אוטומטית את מסירת המידע הזה לדוחות.

ואז, שוב, כשאתה עובר את זה וסיפקת את זה למבקר, אז השאלה הבאה תהיה, תוכיח את זה. וכשאני אומר להוכיח זאת, אני מתכוון להוכיח כי מסלול הביקורת עצמו הוא דבר שאנחנו יכולים לסמוך עליו. והדרך בה אנו עושים זאת בכלי שלנו היא שיש לנו ערכי חשיש וערכי CRC שקושרים ישירות לאירועים עצמם בתוך מסלול הביקורת. וכך הרעיון הוא שאם מישהו יוצא ומוחק רשומה או אם מישהו יוצא ומסיר או מוסיף משהו לשביל הביקורת או משנה משהו במסלול הביקורת עצמו, נוכל להוכיח שהנתונים האלה, היושרה של הנתונים עצמם הופרו. וכך 99.9 אחוז מהזמן אם נעילת מסד הנתונים של שביל הביקורת שלנו, לא תיתקל בבעיה הזו מכיוון שכאשר אנו מנהלים את בדיקת היושרה הזו אנו בעצם מוכיחים בפני המבקר כי הנתונים עצמם לא היו השתנה ונמחק או נוסף מאז הכתיבה המקורית משירות הניהול עצמו.

אז זה סוג של סקירה כללית של סוגי השאלות האופייניות שתשאלו אותך. כעת, הכלי שעלינו להתייחס אליו הרבה נקרא SQL Compliance Manager והוא עושה את כל אותם דברים מבחינת מעקב אחר העסקאות, מי, מה, מתי ואיפה של העסקאות, היכולת לעשות זאת ב מספר אזורים שונים. כניסות, כניסות כושלות, שינויים בסכימה, ברור שגישה לנתונים, בחירת פעילות, כל אותם דברים שקורים במנוע בסיס הנתונים. ואנחנו גם מסוגלים להתריע בפני המשתמשים על תנאים ספציפיים, גרגירים מאוד, במידת הצורך. לדוגמה, מישהו יוצא ממש ולראות את הטבלה המכילה את כל מספרי כרטיסי האשראי שלי. הם לא משנים את הנתונים, הם פשוט מסתכלים עליהם. במצב הזה אני יכול להתריע ואני יכול להודיע ​​לאנשים שזה קורה, לא שש שעות אחר כך כשאנחנו מגרדים יומנים אלא בזמן אמת. בעיקרון זה כל עוד לוקח לנו לעבד את העסקה באמצעות שירות ניהול.

כפי שציינתי קודם, ראינו שהשימוש נעשה במגוון דרישות רגולטוריות שונות וזה לא באמת - אתה יודע, כל דרישת רגולציה, שוב, כל עוד המכנים המשותפים, יש לך נתונים רגישים בשרת SQL בסיס נתונים, זהו כלי שיעזור בסוג כזה של סיטואציות. ל -25 הדוחות המובנים, עכשיו המציאות היא שאנחנו יכולים לעשות את הכלי הזה טוב למבקר ולענות על כל שאלה שהם שואלים, אבל ה- DBA הם אלה שצריכים לגרום לו לעבוד. אז יש גם חשיבה על כך, אתה יודע היטב, מנקודת מבט תחזוקה עלינו לוודא ש- SQL עובד כמו שאנחנו רוצים. עלינו גם להיות מסוגלים להיכנס ולהביט בדברים שעומדים להיות מסוגלים לצאת ולהסתכל על פיסות מידע אחרות, אתה יודע, ככל שמגיע לארכיון הנתונים, האוטומציה של זה והתקורה. עצמו של המוצר. אלה דברים שאנחנו כמובן לוקחים בחשבון.

מה שמעלה את האדריכלות עצמה. אז בצד הימני מאוד של המסך יש לנו את המקרים של SQL שאנחנו מנהלים, הכל משנת 2000 עד 2014, ומתכוננים לשחרר גרסה לשנת 2016. המסעדה הגדולה ביותר במסך זה היא שההנהלה השרת עצמו מבצע את כל ההרמה הכבדה. אנו רק אוספים את הנתונים, משתמשים בממשק ה- API של המעקב, המובנה באמצעות SQL Server. מידע זה זולג לשרת הניהול שלנו. שרת הניהול עצמו מזהה ואם יש אירועים שקשורים לסוגים כלשהם של עסקאות שאיננו רוצים, הוצאת התראות וסוגי דברים כאלה ואחר כך מאכלס את הנתונים במאגר. משם נוכל להריץ דוחות, נוכל לצאת ולמעשה לראות את המידע הזה בדוחות או אפילו בתוך קונסולת היישום.

אז מה שאני הולך לעשות זה שאני אעבור אותנו, ממש מהר, ואני רק רוצה להצביע על דבר אחד מהיר לפני שנקפוץ למוצר, יש קישור באתר ברגע זה, או במצגת, זה ייקח אותך לכלי החינמי שציינתי קודם. הכלי החינמי הזה הוא, כמו שאמרתי, שהוא הולך להסתכל על בסיס נתונים ולנסות למצוא את האזורים שנראים כמו נתונים רגישים, מספרי ביטוח לאומי, מספרי כרטיסי אשראי, על סמך שמות העמודות או הטבלאות, או על סמך האופן בו נראה פורמט הנתונים, ותוכל להתאים זאת גם כך, רק כדי להצביע על כך.

עכשיו, במקרה שלנו, הרשה לי לשתף את המסך שלי, תן ​​לי שנייה אחת כאן. בסדר, וכך רציתי לקחת אותך קודם זה שאני רוצה לקחת אותך ליישום מנהל הציות עצמו ואני עומד לעבור את זה די מהר. אבל זה האפליקציה ותוכלו לראות שיש לי כאן כמה מסדי נתונים ואני רק אראה לכם כמה קל להיכנס ולספר לו מה אתם מחפשים לבצע ביקורת. מבחינת שינויים בסכימה, שינויי אבטחה, פעילויות ניהוליות, DML, בחר, יש לנו את כל האפשרויות העומדות לרשותנו, אנחנו יכולים גם לסנן את זה למטה. זה חוזר לשיטה הטובה ביותר של היכולת לומר "אני באמת זקוק לטבלה זו רק מכיוון שהיא מכילה את מספרי כרטיסי האשראי שלי. אני לא צריך את הטבלאות האחרות שיש בהן מידע על מוצרים, את כל אותם דברים אחרים שלא קשורים לרמת התאימות שאני מנסה לעמוד בהם. "

יש לנו גם את היכולת ללכוד נתונים ולהראות אותם מבחינת ערכי השדות המשתנים.בהרבה כלים יהיה לך משהו שייתן לך את היכולת לתפוס את הצהרת SQL, להציג למשתמש, להציג את היישום, השעה והתאריך, את כל הדברים הטובים האלה. אך במקרים מסוימים הצהרת SQL עצמה לא מתכוונת לספק לך מספיק מידע בכדי שתוכל לומר לך מה היה ערך השדה לפני שהשינוי התרחש, כמו גם את ערך השדה לאחר שהשינוי התרחש. ובמצבים מסוימים אתה זקוק לזה. אולי תרצה לעקוב, למשל, אחר מידע המינון של רופא לתרופות מרשם. זה עבר בין 50 מג ל 80 מג ל 120 מג, הייתי יכול לעקוב אחר השימוש בו לפני ואחרי.

עמודות רגישות הן דבר נוסף שאנחנו נתקלים בו הרבה, למשל עם תאימות PCI. במצב כאן יש לך נתונים שהם כל כך רגישים, שרק על ידי הסתכלות במידע הזה אני לא צריך לשנות אותו, למחוק אותו או להוסיף אותו, אני יכול לגרום נזק בלתי הפיך. מספרי כרטיסי אשראי, מספרי ביטוח לאומי, כל אותם דברים טובים שאנו יכולים לזהות עמודות רגישות ולקשור אליה התראות. אם מישהו יוצא ומסתכל במידע זה, נוכל, כמובן, להתריע ולייצר מלכודת SNMP ואת אותם דברים.

כעת במקרים מסוימים אתה תיתקל בסיטואציה שאולי תהיה לך חריג. ולכוונתי בכך, יש לך מצב שיש לך משתמש שיש לו חשבון משתמש שעשוי להיות קשור לסוג כלשהו של עבודות ETL הפועלות באמצע הלילה. זה תהליך מתועד ואני פשוט לא צריך לכלול את המידע העסקי עבור אותו חשבון משתמש. במקרה כזה יהיה לנו משתמש מהימן. ואז במצבים אחרים היינו משתמשים בתכונה של ביקורת משתמשים מיוחסת שהיא בעצם, אם יש לי, נניח למשל יישום, והיישום הזה כבר עושה ביקורת, של המשתמשים שעוברים על האפליקציה, זה נהדר, יש לי כבר מה להפנות מבחינת הביקורת שלי. אבל לגבי הדברים שקשורים, למשל למשתמשים המיוחסים שלי, החבר'ה שיכולים להיכנס לאולפן הניהול של SQL Server כדי לבדוק את הנתונים במסד הנתונים, שהם לא מתכוונים לחתוך אותם. וכך זה המקום בו נוכל להגדיר מיהם המשתמשים המיוחסים שלנו, באמצעות חברויות בתפקיד, או דרך חשבונות Active Directory שלהם, קבוצות, חשבונות המאומתים SQL שלהם, שם נוכל לבחור את כל אותם סוגים שונים של אפשרויות ו ואז משם וודא כי עבור אותם משתמשים המיוחסים נוכל לציין את סוגי העסקאות שאנו מעוניינים לבצע.

אלה כל מיני אפשרויות שונות שיש לך ואני לא מתכוון לעבור על כל הסוגים השונים של הדברים על סמך מגבלות הזמן כאן למצגת זו. אבל אני כן רוצה להראות לכם כיצד אנו יכולים להציג את הנתונים ואני חושב שתאהבו איך זה עובד כי יש שתי דרכים שנוכל לעשות זאת. אני יכול לעשות את זה באופן אינטראקטיבי וכך כשאנחנו מדברים עם אנשים שמתעניינים בכלי הזה אולי לבקרה הפנימית שלהם הם פשוט רוצים לדעת מה קורה בהרבה מקרים. אין בהכרח שמבקרים יגיעו לאתר. הם רק רוצים לדעת, "היי, אני רוצה ללכת אחרי השולחן הזה ולראות מי נגע בו בשבוע האחרון או בחודש שעבר או מה שיהיה." במקרה זה אתה יכול לראות כמה מהר אנחנו יכולים לעשות את זה.

במקרה של מאגר הבריאות, יש לי טבלה שנקראת רשומות מטופלים. והשולחן ההוא, אם הייתי רק מקבץ לפי אובייקט, הוא יכול מאוד מהר לצמצם את המקום בו אנו מחפשים. אולי אני רוצה לקבץ לפי קטגוריות ואז אולי לפי אירוע. וכשאני עושה זאת, אתה יכול לראות כמה מהר זה מופיע, ושם נמצא שם טבלת רשומות המטופלים שלי. וכשאני מקדח את יכולנו לראות כעת את פעילות DML, נוכל לראות שיש לנו אלף תוספות של DML, וכשנפתח אחת מהעסקאות הללו נוכל לראות את המידע הרלוונטי. מי, מה, מתי, איפה העסקה, הצהרת SQL, כמובן, היישום בפועל המשמש לביצוע העסקה, החשבון, השעה והתאריך.

כעת, אם אתה מסתכל על הלשונית הבאה כאן, הכרטיסייה 'פרטים', הדבר חוזר לשאלה השלישית עליה אנו מדברים, ומוכיח כי שלמות הנתונים לא הופרה. אז בעצם בכל אירוע, יש לנו חישוב סודי לערך החשיש שלנו, וזה הולך ואז לקשור כשאנחנו בודקים את היושרה שלנו. לדוגמה, אם הייתי יוצא לכלי, נכנס לתפריט הביקורת והייתי צריך לצאת ולומר, בואו נבדוק את שלמות המאגר, הייתי יכול להצביע על בסיס הנתונים בו נמצא מסלול הביקורת, הוא יפעל באמצעות בדיקת יושרה המתאימה את ערכי החשיש וערכי ה- CRC לאירועים בפועל והיא הולכת לומר לנו כי לא נמצאו בעיות. במילים אחרות, הנתונים בנתיב הביקורת לא טופלו מאז שנכתבו במקור על ידי שירות הניהול. זו כמובן דרך אחת לקיים אינטראקציה עם הנתונים. הדרך השנייה תהיה דרך הדיווחים עצמם. וכך אני רק אתן דוגמה אחת מהירה לדו"ח.

ושוב, הדיווחים הללו, הדרך בה מצאנו אותם, אינם ספציפיים לסוג כלשהו של סטנדרטים כמו PCI, HIPAA, SOX או משהו כזה. שוב, זה המכנה המשותף של מה שאנחנו עושים, ובמקרה זה, אם נחזור לדוגמה של רשומות המטופלים, היינו יכולים לצאת ולומר, במקרה שלנו כאן, אנו מסתכלים במאגר הבריאות ובמקרה שלנו אנו רוצים להתמקד ספציפית בטבלה ההיא שאנו מכירים מידע פרטי, במקרה שלנו, הקשור לחולים שלנו. וכך, תן לי לראות אם אוכל להקליד אותו כאן, ואנחנו הולכים לנהל את הדו"ח הזה. ואנחנו נראה אז, כמובן, משם את כל הנתונים הרלוונטיים המשויכים לאובייקט הזה. ובמקרה שלנו זה מראה לנו למשך פרק זמן של חודש. אבל נוכל לחזור שישה חודשים אחורה, שנה, כל עוד הרבה זמן שמרנו על הנתונים.

אלה סוג הדרכים בהן תוכל להוכיח, אם תרצה, בפועל למבקר שאתה עוקב אחר בקרותיך. לאחר שזיהית זאת, ברור שזה דבר טוב מבחינת העברת הביקורת שלך ויכולת להראות שאתה עוקב אחר הפקדים והכל עובד.

הדבר האחרון שדיברתי על זה רציתי להפגין הוא במקטע הממשל. יש גם בקרות מבחינת הכלי הזה עצמו שיכולים להגדיר פקדים בכדי להיות מסוגלים לוודא שאם מישהו עושה משהו שהוא לא אמור לעשות, אוכל להיות מודע לכך. ואני אתן לך כמה דוגמאות שם. יש לי חשבון התחברות שקשור לשירות והשירות הזה זקוק להרשאות מוגדלות כדי לעשות את מה שהוא עושה. מה שאני לא רוצה זה שמישהו נכנס ומשתמש בחשבון הזה בסטודיו לניהול ואז, אתה יודע, משתמש בו לדברים שלא נועדו להם. היו לנו כאן שני חלקים של קריטריונים שנוכל ליישם. יכולתי לומר, "תראה, אנחנו באמת מעוניינים שזה יעבוד, נניח, עם אפליקציית PeopleSoft שלנו", רק כדוגמה, בסדר?

עכשיו אחרי שעשיתי את זה, מה שאני אומר כאן, אני סקרן לדעת כל התחברות שקשורות לחשבון שאני מתכונן לציין, אם היישום שמשמש לכניסה לחשבון זה זה לא PeopleSoft, אז זה יעלה את האזעקה. וכמובן שעלינו לציין את שם החשבון עצמו, כך שבמקרה שלנו פשוט נקרא לחשבון פרטי זה, בגלל העובדה שהוא רשאי. לאחר שנעשה את זה, כשאנחנו עושים את זה כאן, נוכל אז לציין מה היינו רוצים שיקרה כשזה יקרה ולכל סוג אירוע או, אני צריך לומר, התראה, אתם יכולים יש הודעה נפרדת לאדם האחראי לאותו נתון מסוים.

לדוגמה, אם זה מידע על השכר הוא עשוי לעבור למנהל HR. במקרה זה, בהתמודדות עם אפליקציית PeopleSoft, זה יהיה המנהל של היישום הזה. לא משנה מה המקרה. הייתי מסוגל להכניס את הכתובת שלי, להתאים אישית את ההתראה בפועל ואת כל הדברים הטובים האלה. שוב, כל זה חוזר ליכולת להבטיח שתוכל להראות שאתה עוקב אחר הפקדים שלך ושפקדים אלה פועלים כפי שהם נועדו. מנקודת המבט האחרונה כאן, רק מבחינת התחזוקה, יש לנו את היכולת לקחת נתונים אלה ולהעמיד אותם במצב לא מקוון. אני יכול לארכוב את הנתונים ואני יכול לתזמן אותם ואנחנו נוכל לבצע דברים כאלה בקלות רבה במובן זה שבעצם תוכל, כ- DBA, להשתמש בכלי הזה, להגדיר אותם וסוג של תתרחק ממנו אין הרבה אחיזת ידיים שתתרחש ברגע שתקבע אותה כמו שהיא צריכה להיות. כמו שאמרתי, החלק הקשה ביותר בכל זה, אני חושב, הוא לא להגדיר את מה שאתה רוצה לבקר, זה לדעת מה אתה רוצה להגדיר לביקורת.

וכמו שאמרתי, אופי החיה בביקורת, אתה צריך לשמור את הנתונים במשך שבע שנים, כך שזה הגיוני רק להתמקד באזורים הרגישים באופיים. אבל אם אתה רוצה ללכת לגישה של איסוף הכל, אתה בהחלט יכול, זה פשוט לא נחשב לשיטה הטובה ביותר. אז מבחינה זו הייתי רוצה להזכיר לאנשים שאם זה משהו שמעניין אתה יכול להיכנס לאתר ב- IDERA.com ולהוריד ניסוי על זה ולשחק איתו בעצמך. מבחינת הכלי החינמי עליו דיברנו קודם לכן, ובכן, זה בחינם, אתה יכול להוריד את זה ולהשתמש בו לנצח, ללא קשר אם אתה משתמש במוצר של Compliance Manager. והדבר המגניב בכלי לחיפוש העמודות הוא שהממצאים שלנו שאתה מגלה, ואני למעשה יכול להראות שנדמה לי שתוכל לייצא את הנתונים האלה ואז תוכל לייבא אותם למנהל הציות. גם כן. אני לא רואה את זה, אני יודע שהוא כאן, הנה זה. זו רק דוגמא לכך. כאן זה נמצא את הנתונים הרגישים הקשורים.

עכשיו המקרה הזה יצאתי ובאמת, אני מסתכל על הכל, אבל יש לך רק המון דברים שאנחנו יכולים לבדוק. מספרי כרטיסי אשראי, כתובות, שמות, כל הדברים האלה. ואנחנו נזהה היכן הוא נמצא בבסיס הנתונים ואז משם תוכלו לקבל את ההחלטה האם אתם רוצים לבקר את המידע הזה או לא. אבל זו בהחלט דרך להקל עליך בהגדרת היקף הביקורת שלך כשאתה מסתכל על כלי כזה.

אני פשוט אמשיך ואסגור עם זה, ואני אמשיך לחזור לאריק.

אריק קוואנה: זו מצגת פנטסטית. אני אוהב את הדרך בה אתה באמת נכנס לפרטים הגרגירים שם ומראה לנו מה קורה. מכיוון שבסופו של יום יש מערכת שתגיע לגישה למספר רשומות, שהיא תתן לך דוח, זה יביא אותך לספר את הסיפור שלך, בין אם זה לרגולטור או מבקר או מישהו בצוות שלך , אז טוב שאתה יודע שאתה מוכן אם ומתי, או מתי ומתי, אותו אדם מתדפק, וכמובן שזה המצב הלא נעים שאתה מנסה להימנע ממנו. אבל אם זה יקרה, וכנראה שזה יקרה בימים אלה, אתה רוצה להיות בטוח שיש לך את הנקודה שאני נקודתי ואת ה- T שלך חצה.

יש שאלה טובה מחבר קהל שאני רוצה לזרוק אליך אולי קודם, בולט, ואז אם אולי מגיש רוצה להגיב על זה, תרגיש חופשי. ואז אולי דז שואל שאלה ואת רובין. אז השאלה היא האם זה הוגן לומר שכדי לעשות את כל אותם הדברים שציינת אתה צריך להתחיל מאמץ של סיווג נתונים ברמה יסודית? עליכם לדעת את הנתונים שלכם כאשר הם מופיעים כנכס פוטנציאלי בעל ערך ולעשות משהו בעניין. אני חושב שהיית מסכים, בולט, נכון?

בולט מאלה: כן, בהחלט. כלומר, אתה צריך לדעת את הנתונים שלך. ואני מבין, אני מכיר בכך שיש המון אפליקציות שקיימות בחוץ ויש המון דברים שונים שיש חלקים נעים בארגון שלך. כלי חיפוש העמודות מועיל מאוד במונחים של צעד לכיוון ההבנה של נתונים טובים יותר. אבל כן, זה מאוד חשוב. זאת אומרת, יש לך אפשרות ללכת בגישה של צינורות האש ולבדוק את הכל, אבל זה פשוט הרבה יותר מאתגר בצורה לוגיסטית כשאתה מדבר על הצורך לאחסן את הנתונים האלה ולדווח על הנתונים האלה. ואז אתה עדיין צריך לדעת היכן פיסת הנתונים הזו מכיוון שכאשר אתה מנהל את הדוחות שלך אתה תצטרך להראות לרואי החשבון שלך גם את המידע הזה. אז אני חושב שכמו שאמרתי, האתגר הגדול ביותר כשאני מדבר עם מנהלי מסד נתונים הוא לדעת, כן.

אריק קוואנה: כן, אבל אולי רובין נביא אותך ממש מהר. נראה לי שכלל 80/20 חל כאן, נכון? אתם בטח לא תמצאו כל מערכת רשומות שחשובה אם אתם נמצאים בארגון בינוני או גדול כלשהו, ​​אבל אם תתמקדו - כמו שבולט הציע כאן - PeopleSoft למשל, או מערכות רשומה אחרות שהן בעיקר בעסק, שם אתה ממקד 80 אחוז מהמאמץ שלך ואז 20 אחוז נמצא במערכות האחרות שעשויות להיות שם איפשהו, נכון?

רובין בלור: ובכן אני בטוח, כן. כלומר, אתה יודע, אני חושב שהבעיה בטכנולוגיה הזו, ולדעתי כנראה שווה להעיר עליה, אבל הבעיה עם הטכנולוגיה הזו היא, איך אתה מיישם אותה? כלומר, בהחלט יש חוסר ידע, נניח, ברוב הארגונים באשר למספר בסיסי הנתונים שנמצאים שם. אתה יודע, יש המון חוסר במלאי, נניח. אתה יודע, השאלה היא, בואו נדמיין שאנחנו מתחילים במצב בו אין תאימות מנוהלת במיוחד, איך אתה לוקח את הטכנולוגיה הזו ומזריק אותה לסביבה, לא רק בטכנולוגיה, אתה יודע, מונחים, הגדרת דברים, אבל כמו מי מנהל את זה, מי קובע מה? איך תתחיל לנעול את זה לסוג של דבר אמיתי ועושה את העבודה שלו?

בולט מאלה: ובכן, זאת אומרת שאלה טובה. האתגר בהרבה מקרים הוא, כלומר, עליכם להתחיל לשאול את השאלות ממש ממש בהתחלה. נתקלתי בהרבה חברות בהן הם, אתה יודע, אולי הם חברה פרטית והם נרכשו, יש איזו דרך גבישת דרך ראשונית, ראשונה, סוג, אם אתה רוצה לקרוא לזה כך. לדוגמה, אם הפכתי עכשיו לחברה הנסחרת בבורסה בגלל הרכישה, אני אצטרך לחזור אחורה וכנראה לחשוב על דברים.

ובמקרים מסוימים אנו מדברים עם ארגונים שלדעתך, למרות שהם פרטיים הם פועלים על פי כללי הציות של SOX, פשוט מכיוון שבמקרה שהם כן רוצים לרכוש הם יודעים שהם חייבים להיות בציות. אתה בהחלט לא רוצה לנקוט בגישה של סתם, "אני לא צריך לדאוג בזה עכשיו." כל סוג של תאימות רגולטורית כמו PCI או SOX או כל דבר אחר, אתה רוצה להשקיע בביצוע המחקר או הבנת היכן נמצא המידע הרגיש, אחרת אתה עלול למצוא את עצמך מתמודד עם כמה קנסות משמעותיים וחסונים. וזה הרבה יותר טוב רק להשקיע את הזמן הזה, אתה יודע, למצוא את הנתונים האלה ולהיות מסוגל לדווח נגדם ולהראות שהפקדים עובדים.

כן, מבחינת הגדרת זה, כמו שאמרתי, הדבר הראשון שהייתי ממליץ לאנשים שמתכוננים לעמוד בביקורת, זה פשוט לצאת ולעשות בדיקה מדוקדקת של מסד הנתונים, ולברר, אתם לדעת במיטב המאמצים שלהם, לנסות להבין היכן נמצא הנתונים הרגישים. והגישה האחרת תהיה להתחיל עם אולי רשת גדולה יותר מבחינת היקף הביקורת, ואז לאט לאט את דרכך למטה ברגע שאתה, סוג של, להבין איפה האזורים האלה במערכת קשורים ל מידע רגיש. אבל הלוואי ויכולתי לומר לך שיש תשובה קלה לשאלה הזו. זה כנראה ישתנה לא מעט מארגון לארגון וסוג התאמה ובאמת איך, אתה יודע, כמה מבנה יש להם בתוך היישומים שלהם וכמה יש להם, יישומים מגוונים שיש להם, חלקם יכולים להיות יישומים כתובים בהתאמה אישית. , כך שזה באמת תלוי במצב בהרבה מקרים.

אריק קוואנה: קדימה, דז ', אני בטוח שיש לך שאלה או שתיים.

דז בלנשפילד: אני מעוניין רק לקבל קצת תובנות לגבי התצפיות שלך סביב ההשפעה על הארגונים מבחינה עםית, למעשה. אני חושב שאחד התחומים שבהם אני רואה את הערך הגדול ביותר לפיתרון הספציפי הזה הוא שכאשר אנשים מתעוררים בבוקר והולכים לעבוד ברמות שונות של הארגון, הם מתעוררים עם סדרה של, או שרשרת של אחריות, שהם נאלצו להתמודד איתם. ואני מעוניין לקבל קצת תובנות לגבי מה שאתה רואה שם ובלי סוגי הכלים שאתה מדבר עליהם. והחסרונות עליהם אני מדבר כאן הוא מיושב ראש דרגת הדירקטוריון למנכ"ל ומנכ"ל ה- C וסוויטת C. ועכשיו יש לנו קציני סיכון ראשיים, שחושבים יותר על סוגי הדברים שאנחנו מדברים עליהם כאן בתאימות ובממשל, ואז יש לנו עכשיו ראשי תפקידים חדשים, קצין נתונים ראשי, מי, אתה יודע , אפילו יותר מודאג מכך.

ובצד של כל אחד מהם, סביב ה- CIO, יש לנו מנהלי IT בצד אחד עם, סוג שאתה מכיר, לידים טכניים ואז לידים של מסדי נתונים. ובמרחב התפעולי יש לנו מנהלי פיתוח ומובילי פיתוח ואז פיתוחים פרטניים, והם גם חוזרים לשכבה לניהול מסדי נתונים. מה אתה רואה סביב התגובה של כל אחד מאותם חלקים שונים של עסק לאתגר של ציות ודיווח רגולטורי וגישתם אליו? האם אתה רואה שאנשים מגיעים לזה בלהט ויכולים לראות את התועלת בזה, או שאתה רואה שהם גוררים את רצונם באי רצון לדבר הזה ופשוט, אתה יודע, עושים את זה בשביל קרצייה בתיבה? ומה סוגי התגובות שאתה רואה ברגע שהם רואים את התוכנה שלך?

בולט מאלה: כן, זו שאלה טובה. הייתי אומר שמוצר זה, מכירות המוצר הזה, מונעים לרוב על ידי מישהו שישב במושב החם, אם זה הגיוני. ברוב המקרים זה ה- DBA, ומבחינתנו, במילים אחרות, הם יודעים שיש ביקורת שעומדת להיות אחראית, מכיוון שהם ה- DBA, להיות מסוגלים לספק את המידע שאליו מבקר המבקר תשאל. הם יכולים לעשות זאת על ידי כתיבת דוחות משלהם ויצירת עקבות מותאמים אישית משלהם וכל מיני דברים כאלה. המציאות היא שהם לא רוצים לעשות את זה. ברוב המקרים DBAs לא ממש מצפים לקיים את השיחות האלה עם המבקר מלכתחילה. אתה יודע, אני מעדיף לומר לך שנוכל לפנות לחברה ולהגיד, "היי זה כלי נהדר ואתה תאהב את זה", ולהראות להם את כל התכונות והם יקנו את זה.

המציאות היא שלרוב הם לא מתכוונים לבחון את הכלי הזה אלא אם כן הם יתמודדו עם ביקורת או שהצד השני של המטבע הזה הוא שהם ביצעו ביקורת ונכשלו בכישלון ועכשיו הם נאמר לך לקבל קצת עזרה או שהם ייקנסו. הייתי אומר שבמונחים של, אתה יודע, באופן כללי, כשאתה מראה מוצר זה לאנשים הם בהחלט רואים את הערך של זה כי זה אכן חוסך להם המון זמן במונחים של צורך להבין על מה הם רוצים לדווח עליהם דברים כאלה. כל אותם דוחות כבר מובנים, מנגנוני ההתראה קיימים ואז עם השאלה השלישית זה גם, במקרים רבים, יכול להיות אתגר. מכיוון שאני יכול להראות לך דוחות כל היום, אלא אם כן אתה יכול להוכיח לי שהדוחות האלה אכן תקפים, אתה יודע, זו הצעה קשה יותר עבורי בתור DBA שאוכל להראות זאת. אבל עבדנו על הטכנולוגיה וטכניקת החיפזון וכל מיני דברים כאלה כדי שנוכל לעזור לוודא שהנתונים ביושרה של מסלולי הביקורת נשמרים.

וכך אלה הדברים, אלה התצפיות שלי מבחינת רוב האנשים שאנו מדברים איתם. אתה יודע, בהחלט יש בארגונים שונים שאתה יודע כמו, תשמע על, אתה יודע כמו, יעד, למשל, היה הפרת נתונים, ואתה יודע, כוונתי, כשארגונים אחרים שומעים על הקנסות וכאלה סוגים של אנשים שאנשים מתחילים, זה מרים גבה, כך, אני מקווה שעונה על השאלה.

דז בלנשפילד: כן בהחלט. אני יכול לדמיין כמה DBAs כאשר הם סוף סוף רואים מה ניתן לעשות עם הכלי רק מבינים שיש להם גם את הלילות המאוחרים שלהם ואת סופי השבוע בחזרה. הפחתת זמן ועלויות ודברים אחרים שאני רואה כאשר הכלים המתאימים מיושמים על כל הבעיה הזו, וזהו, שלושה שבועות ישבתי עם בנק כאן באוסטרליה. הם בנק עולמי, שלושת הבנקים המובילים, הם מאסיביים. והיה להם פרויקט בו הם נאלצו לדווח על התאמת ניהול העושר שלהם ובמיוחד על הסיכון, והם בדקו עבודה של 60 שבועות עבור כמה מאות בני אדם. וכאשר הוצגו להם כאלו של כלי כמוך שיכול פשוט להפוך את התהליך לאוטומטי, התחושה הזו, המראה על פניהם כשהבינו שהם לא צריכים לבלות מספר X שבועות עם מאות אנשים שעושים תהליך ידני היה כמו שהם מצאו את אלוהים. אבל הדבר המאתגר אז היה כיצד להכניס את זה לתוכנית, כפי שציינה ד"ר רובין בלור, אתה יודע, זה משהו שהופך לתערובת של שינוי התנהגותי ותרבותי. ברמות שאתה מתמודד איתן, שמתמודדים עם זה ישירות ברמת היישום, איזה סוג שינוי אתה רואה כשהם מתחילים לאמץ כלי לביצוע סוג הדיווח והביקורת והבקרות שאתה יכול להציע, בתור לעומת מה שהם עשויים לעשות באופן ידני? איך זה נראה כשהם בפועל מבצעים?

בולט מאלה: אתה שואל, מה ההבדל מבחינת הטיפול בזה באופן ידני לעומת השימוש בכלי זה? זו השאלה?

דז בלנשפילד: ובכן, במיוחד ההשפעה של העסק. כך למשל, אם אנו מנסים לספק תאימות בתהליך ידני, אתה יודע, תמיד יש לנו הרבה זמן עם הרבה בני אדם. אבל אני מניח, בכדי להסביר את השאלה, כידוע, אנחנו מדברים על אדם בודד שמריץ את הכלי הזה שיחליף 50 אנשים, ויכול לעשות את אותו הדבר בזמן אמת או בשעות לעומת חודשים? האם זה סוג של, מה זה בדרך כלל מתברר?

בולט מאלה: ובכן אני מתכוון, זה מסתכם בכמה דברים. האחת היא היכולת לענות על השאלות הללו. חלק מהדברים האלה לא ייעשו בקלות רבה. אז כן, הזמן שלוקח לעשות את הדברים שהולכו וגדלו, לכתוב את הדוחות בעצמך, להגדיר את העקבות או את האירועים המורחבים כדי לאסוף את הנתונים באופן ידני, עשוי לקחת הרבה זמן. באמת, אני אתן לך כמה, זאת אומרת, זה לא באמת קשור למאגרי מידע באופן כללי, אבל כמו מיד אחרי שהאנרון קרה ו- SOX נפוצה, הייתי באחת מחברות הנפט הגדולות ביוסטון, וספרנו ל אני חושב שזה היה כאילו 25 אחוז מהעלויות העסקיות שלנו היו קשורות לתאימות SOX.

עכשיו זה היה בדיוק אחרי וזה היה סוג של הצעד הראשון הראשוני ב- SOX, אבל העניין עם, אני אומר, אתה יודע, אתה מקבל תועלת רבה על ידי שימוש בכלי הזה במובן זה שהוא לא דורש הרבה אנשים שיעשו זאת והרבה אנשים מסוג אחר שיעשו זאת. וכמו שאמרתי, ה- DBA אינו בדרך כלל הבחור שממש מצפה לקיים את השיחות האלה עם מבקרי הביקורת. אז בהרבה מקרים נראה כי ה- DBA יכול להוריד את זה ולהיות מסוגל לספק את הדו"ח שמתממשק למבקר והם יכולים להוציא את עצמם לחלוטין מהמשוואה במקום להיות מעורבים. אז אתה יודע, זה חיסכון אדיר גם מבחינת המשאב כשאתה יכול לעשות זאת.

דז בלנשפילד: אתה מדבר על הפחתות עלויות מאסיביות, נכון? הארגונים לא רק מסירים את הסיכון ואת התקורה בכך, אבל אני מתכוון שבעצם אתה מדבר על הפחתה משמעותית בעלות, א) תפעולית וגם B) בעובדה שאתה יודע אם הם באמת יכולים לספק- דיווח על תאימות זמן כי קיים סיכון מופחת באופן משמעותי להפרת נתונים או קנס משפטי כלשהו או השפעה על כך שאינו תואם, נכון?

בולט מאלה: כן, בהחלט. כלומר, בגלל שלא מצייתנים יש כל מיני דברים רעים שקורים. הם יכולים להשתמש בכלי הזה וזה יהיה נהדר או שהם לא והם יגלו כמה זה באמת גרוע. אז כן, זה לא רק הכלי, כמובן, אתה יכול לבצע את ההמחאות שלך והכל בלי כלי כזה. כמו שאמרתי, זה פשוט ייקח הרבה יותר זמן ועלות.

דז בלנשפילד: זה נהדר. אז אריק, אני אחזור אליך כי אני חושב שהמסירה עבורי היא, אתה יודע, סוג השוק הוא פנטסטי. אבל גם, בעיקרו של דבר, שווה הדבר של משקלו בזהב על בסיס היכולת להימנע מההשפעה המסחרית של נושא שמתרחש או היכולת לצמצם את הזמן שלוקח לדווח ולנהל את הציות רק הופך אותו, אתה יודע, ל הכלי משלם לעצמו באופן מיידי על ידי קולות הדברים.

אריק קוואנה: זה בדיוק נכון. ובכן, תודה רבה על הזמן שלך היום, בולט. תודה לכולכם שם בחוץ על זמנכם ותשומת ליבכם, ורובין ודז. עוד מצגת נהדרת היום. תודה לחברינו ב- IDERA שאפשרו לנו להביא לך תוכן זה ללא עלות. נעבור לארכיון של שידור רשת זה לצפייה מאוחרת יותר. הארכיון נמשך בדרך כלל תוך יום. ותן לנו לדעת מה אתה חושב על האתר החדש שלנו, insideanalysis.com. עיצוב חדש לגמרי, מראה ותחושה חדשים לגמרי. נשמח לשמוע את המשוב שלך ועם זה אני הולך להיפרד ממך, חברים. אתה יכול אותי . אחרת נתייחס אליך בשבוע הבא. יש לנו שבעה שידורי אינטרנט בחמשת השבועות הקרובים או משהו כזה. אנחנו נהיה עסוקים. ואנחנו נגיע בוועידת השכבות ובפסגת האנליסטים של יבמ בניו יורק בהמשך החודש. אז אם אתם בסביבה, עצרו לידכם ותגידו שלום. תשמור, אנשים. ביי ביי.