Door Techopedia Staff, 14 september 2016
Takeaway: Host Eric Kavanagh bespreekt database-auditing en compliance met analisten Robin Bloor en Dez Blanchfield en Bullett Manale van IDERA in deze aflevering van Hot Technologies.
Je bent momenteel niet ingelogd. Log in of meld je aan om de video te bekijken.
Eric Kavanagh: Dames en heren, hallo en weer welkom bij Hot Technologies! Ja inderdaad, van 2016. We zitten in jaar drie van deze show, het is heel spannend. We schommelen en rollen dit jaar. Dit is Eric Kavanagh, je gastheer. Het onderwerp van vandaag - dit is een geweldig onderwerp, het heeft heel veel toepassingen in een aantal industrieën, eerlijk gezegd - "Wie, wat, waar en hoe: waarom je het wilt weten." Ja inderdaad, we gaan het hebben over al die leuke dingen. Er is echt een dia over die van jou, sla me op Twitter @eric_kavanagh. Ik probeer alle vermeldingen opnieuw te tweeten en alles wat iemand naar mij verzendt opnieuw te tweeten. Anders, het zij zo.
Het is heet, ja inderdaad! De hele show hier is ontworpen om organisaties en individuen te helpen bepaalde soorten technologie te begrijpen. We hebben het hele programma hier ontworpen, Hot Technologies, als een manier om een bepaald soort software, of een bepaalde trend of een bepaald soort technologie te definiëren. De reden is dat eerlijk gezegd, in de softwarewereld, je vaak deze marketingvoorwaarden krijgt waar je over begint te praten en soms kunnen ze eerlijk gezegd de concepten die ze bedoeld waren te verbasteren.
In deze show proberen we je echt te helpen begrijpen wat een bepaald soort technologie is, hoe het werkt, wanneer je het kunt gebruiken, wanneer je het misschien niet zou moeten gebruiken, en je zoveel mogelijk details geven. We hebben vandaag drie presentatoren: onze eigen Robin Bloor, hoofdanalist hier bij de Bloor Group; onze datawetenschapper die uit Sydney, Australië aan de andere kant van de planeet, Dez Blanchfield belt, en een van onze favoriete gasten Bullett Manale, directeur sales engineering bij IDERA.
Ik zal hier een paar dingen zeggen, begrijpen wie wat doet met welk stukje gegevens, nou dat is een beetje zoals governance, toch? Als je nadenkt over alle regelgeving rond industrieën, zoals gezondheidszorg en financiële diensten, op die domeinen, is dat spul ongelooflijk belangrijk. Je moet weten wie de informatie heeft aangeraakt, wie iets heeft gewijzigd, wie er toegang toe heeft gehad, wie het bijvoorbeeld heeft geüpload. Wat is de afkomst, wat is de voorzienigheid van deze gegevens? U kunt erop vertrouwen dat al deze kwesties de komende jaren om allerlei redenen prominent zullen blijven. Niet alleen voor compliance, hoewel HIPAA en Sarbanes-Oxley en Dodd-Frank, en al deze voorschriften erg belangrijk zijn, maar ook zodat u in uw bedrijf begrijpt wie wat doet, waar, wanneer, waarom en hoe. Dit is goed spul, we gaan opletten.
Ga je gang, haal het weg, Robin Bloor.
Robin Bloor: Oké, nou bedankt voor die introductie, Eric. Dit gebied van governance is, ik bedoel, governance in IT was geen woord dat je hoorde tot iets na het jaar 2000, denk ik. Het is voornamelijk ontstaan omdat het volgens mij in de eerste plaats is ontstaan omdat er conformiteitswetgeving aan de gang was. In het bijzonder HIPAA en Sarbanes-Oxley. Er is eigenlijk veel van. Daarom realiseerden organisaties zich dat ze een aantal regels en een aantal procedures moesten hebben, omdat dit wettelijk verplicht was. Lang daarvoor waren er, vooral in de banksector, verschillende initiatieven waaraan je moest voldoen, afhankelijk van wat voor soort bank je was, en met name de internationale bankiers. Het geheel van de Basel-compliant begon, ver vóór die specifieke reeks initiatieven na het jaar 2000. Het komt allemaal echt neer op het bestuur. Ik dacht dat ik het zou hebben over het onderwerp governance als een inleiding op de focus om in de gaten te houden wie de gegevens krijgt.
Data governance, ik keek altijd rond, denk vijf of zes jaar geleden, kijk rond voor definities en het was helemaal niet goed gedefinieerd. Het wordt steeds duidelijker wat het eigenlijk betekent. De realiteit van de situatie was dat binnen bepaalde grenzen alle gegevens feitelijk eerder werden beheerd, maar er waren geen formele regels voor. Er waren speciale regels die met name in de banksector werden gemaakt om dat soort dingen te doen, maar nogmaals, dat ging meer over compliance. Op de een of andere manier bewijst het dat je eigenlijk een bent - het is een soort geassocieerd met risico, dus het bewijst dat je een levensvatbare bank was.
Als je nu naar de governance-uitdaging kijkt, begint het met een feit van de big data-beweging. We hebben een toenemend aantal gegevensbronnen. Datavolume is daar natuurlijk een probleem. In het bijzonder zijn we veel, veel, meer gaan doen met ongestructureerde gegevens. Het begon iets te worden dat deel uitmaakt van het hele analysespel. En vanwege analyses zijn data herkomst en afkomst van belang. Vanuit het oogpunt van het gebruik van data-analyse op enigerlei wijze die verband houdt met enige vorm van compliance, moet u echt weten waar de gegevens vandaan komen en hoe het is geworden wat het is.
Gegevenscodering begon een probleem te worden, werd een groter probleem zodra we naar Hadoop gingen, omdat het idee van een gegevensmeer waarin we veel gegevens opslaan, plotseling betekent dat je een enorm kwetsbaar gebied hebt van mensen die er naar toe. De codering van gegevens werd veel prominenter. Verificatie was altijd een probleem. In de oudere omgeving, strikt mainframe-omgeving, hadden ze zo'n prachtige perimeterbeveiliging; authenticatie was nooit echt een probleem. Later werd het een groter probleem en het is nu veel meer een probleem omdat we zulke enorm verspreide omgevingen hebben. Data access monitoring, dat werd een probleem. Ik meen me te herinneren dat verschillende instrumenten ongeveer tien jaar geleden zijn ontstaan. Ik denk dat de meeste daarvan werden aangedreven door compliance-initiatieven. Daarom hebben we ook alle compliance-regels, compliance-rapportage.
Waar ik aan denk, is dat je zelfs in de jaren negentig, toen je klinische proeven in de farmaceutische industrie deed, niet alleen moest kunnen bewijzen waar de gegevens vandaan kwamen - het is natuurlijk heel belangrijk als je probeert medicijnen uit in verschillende contexten, om te weten wie er wordt gepast en wat de contextuele gegevens eromheen zijn - je moest een audit kunnen geven van de software die de gegevens daadwerkelijk heeft gemaakt. Het is het ergste stukje compliance dat ik ooit heb gezien, in de zin dat je bewijst dat je dingen niet opzettelijk of per ongeluk verpest. De laatste tijd is met name datalevenscyclusbeheer een probleem geworden. Dit zijn allemaal uitdagingen, omdat veel hiervan niet goed zijn gedaan. In veel omstandigheden is het noodzakelijk om ze te doen.
Dit noem ik de datapiramide. Ik heb dit eerder al eerder besproken. Ik vind het een heel interessante manier om naar dingen te kijken. Je kunt gegevens beschouwen als lagen. Ruwe gegevens zijn, als u dat wilt, eigenlijk alleen signalen of metingen, opnames, gebeurtenissen, meestal enkele records. Mogelijk maken transacties, berekeningen en aggregaties natuurlijk nieuwe gegevens. Ze kunnen worden gedacht op het niveau van gegevens. Bovendien wordt het, zodra u daadwerkelijk gegevens met elkaar verbindt, informatie. Het wordt nuttiger, maar het wordt natuurlijk ook kwetsbaarder voor mensen die het hacken of misbruiken. Ik definieer dat het gecreëerd is, echt, door het structureren van gegevens, het kunnen visualiseren van de gegevens met woordenlijsten, schema's, ontologieën op de informatie. Die twee onderste lagen zijn wat we op de een of andere manier verwerken. Daarboven noem ik de kennislaag die bestaat uit regels, beleid, richtlijnen, procedures. Sommige daarvan zijn mogelijk gemaakt door inzichten die in analyses zijn ontdekt. Veel daarvan zijn eigenlijk beleid waaraan u zich moet houden. Dit is de laag, als je wilt, van governance. Dit is waar, op de een of andere manier, als deze laag niet correct is gevuld, de twee onderliggende lagen niet worden beheerd. Het laatste punt hierover is, begrip in iets dat alleen in mensen woont. Gelukkig is het computers nog niet gelukt. Anders zou ik werkloos zijn.
Het bestuursimperium - ik stel dit soort samen, ik denk dat het ongeveer negen maanden geleden moet zijn geweest, mogelijk veel eerder dan dat. Kortom, ik heb het een beetje verbeterd, maar zodra we ons zorgen begonnen te maken over governance, was er, in termen van de bedrijfsgegevenshub, niet alleen een gegevensreservoir, gegevensbronnen, maar ook algemene servers van verschillende soorten, gespecialiseerde gegevensservers. Die allemaal moesten worden geregeerd. Toen je ook echt naar de verschillende dimensies keek - gegevensbeveiliging, gegevens opschonen, metadata-ontdekking en metadatabeheer, het creëren van een zakelijke woordenlijst, datamapping, datalijn, datalevenscyclusbeheer - dan, prestatiebewakingsbeheer, serviceniveaubeheer, systeembeheer, dat u misschien niet echt associeert met governance, maar een zekere - nu we naar een snellere en snellere wereld gaan met meer en meer gegevensstromen, is het feitelijk iets kunnen doen met een bepaalde prestatie eigenlijk een noodzaak en begint een regel van werking te worden in plaats van iets anders.
Samenvattend in termen van de groei van de naleving, zag ik dit gebeuren gedurende vele, vele jaren, maar de algemene gegevensbescherming kwam eigenlijk in de jaren negentig in Europa. Sindsdien is het alleen maar meer en verfijnder geworden. Toen werden al deze dingen geïntroduceerd of verfijnder gemaakt. GRC, dat is governance-risico en compliance, is aan de gang sinds de banken Basel deden. ISO heeft normen opgesteld voor verschillende soorten bewerkingen. Ik weet al die tijd dat ik bij IT ben geweest - het is lang geleden - dat de Amerikaanse regering bijzonder actief is geweest bij het creëren van verschillende wetgevingen: SOX, er is Gramm-Leach-Bliley, HIPAA, FISMA, FERPA. Je hebt ook de prachtige NIST-organisatie die veel normen, met name beveiligingsstandaarden, erg handig maakt. De gegevensbeschermingswetten in Europa hebben lokale verschillen. Wat u bijvoorbeeld kunt doen met persoonlijke gegevens in Duitsland, is anders dan wat u kunt doen in Slowakije, Slovenië of waar dan ook. Ze introduceerden onlangs - en ik dacht dat ik dit zou vermelden omdat ik het grappig vind - Europa introduceert het idee van het recht om te worden vergeten. Dat wil zeggen, er zou een statuut moeten zijn van beperkingen op gegevens die openbaar zijn geweest en die in feite persoonlijke gegevens zijn. Ik vind dat hilarisch. Vanuit IT-oogpunt zal dat heel, heel moeilijk zijn als het effectieve wetgeving begint te worden. Samenvattend zou ik het volgende zeggen: omdat IT-gegevens en -beheer snel evolueren, moet governance ook snel evolueren en het is van toepassing op alle bestuursgebieden.
Dat gezegd hebbende zal ik de bal doorgeven aan Dez.
Eric Kavanagh: Ja inderdaad, dus Dez Blanchfield, haal het weg. Robin, ik ben bij je, man, ik sterf om te zien hoe dit recht om te worden vergeten zich afspeelt. Ik denk dat het niet alleen een uitdaging zal zijn, maar in principe onmogelijk. Het is gewoon een schending van het wachten om te worden uitgeoefend door overheidsinstanties. Dez, haal het weg.
Dez Blanchfield: Dat is het inderdaad en dat is een onderwerp voor een andere discussie. We hebben een vergelijkbare uitdaging hier in Azië-Pacific, en met name in Australië, waar vervoerders en internetproviders verplicht zijn om alles met betrekking tot internet te loggen en te registreren en op te zuigen in het geval dat iemand van belang iets verkeerd doet. Het is een wet en je moet je eraan houden. De uitdaging, net als iemand in Google in de VS misschien te horen krijgt dat ik mijn zoekgeschiedenis of wat dan ook moet verwijderen, is het misschien om te voldoen aan de Europese wetgeving, met name de Duitse privacywetgeving. Als een bureau in Australië naar je wil kijken, moet een koerier in staat zijn om details van gemaakte oproepen en zoekgeschiedenis te verstrekken, wat een uitdaging is, maar het is de wereld waarin we leven. Daar zijn een aantal redenen voor. Laat me gewoon in de mijne springen.
Ik heb mijn titelpagina bewust moeilijk leesbaar gemaakt. Je moet echt goed naar die tekst kijken. Naleving, conform aan een reeks regels, specificaties, bedieningselementen, beleid, normen of wetten, met een gekke, rommelige achtergrond. Dat komt omdat je er echt hard naar moet kijken om de details te achterhalen en informatie te halen uit wat er op staat, wat een reeks tabellen en rijen en kolommen is, ofwel een database, een schema of een mock-up in Visio. Dat is hoe compliance elke dag aanvoelt. Het is vrij moeilijk om in de details te duiken en de relevante stukjes informatie te verwijderen die je nodig hebt om te kunnen bevestigen dat je voldoet. Meld daarover, volg het en test het.
Ik vond zelfs een heel goede manier om dit te visualiseren wanneer we onszelf de vraag stellen: "Bent u compliant?" "Weet je het zeker?" "Wel, bewijs het!" Er is echt iets leuks dat misschien een beetje meer Anglo-Celtic is, maar ik weet zeker dat het zijn weg naar de VS heeft gevonden, dus het is: "Waar is Wally?" Wally is een klein personage dat in deze cartoontekeningen terechtkomt in de vorm van boeken. Meestal zeer grootschalige foto's van A3 of groter. Dus tekeningen op tafelformaat. Hij is een klein personage dat een muts en een rood-wit gestreept shirt draagt. Het idee van het spel is dat je naar deze foto kijkt en dat je rondjes kijkt om Wally te vinden. Hij staat daar ergens op die foto. Als je nadenkt over hoe je compliance kunt ontdekken en beschrijven en daarover kunt rapporteren, lijkt het in veel opzichten op het spelen van 'Where's Wally'. Als je naar die foto kijkt, is het bijna onmogelijk om het personage te vinden. Kinderen besteden daar uren aan en ik heb er gisteren veel plezier aan beleefd. Als we ernaar kijken, vinden we een heleboel mensen in deze tekenfilms, opzettelijk daar geplaatst met vergelijkbare stukken van de Wally-outfit van een gestreepte muts en een jersey of wollen top. Maar het worden valse positieven.
Dit is een vergelijkbare uitdaging die we hebben met compliance. Als we naar dingen kijken, is soms iets waarvan we denken dat dit het geval is, helemaal niet het geval. Iemand heeft misschien toegang tot een database en ze worden verondersteld die toegang tot een database te hebben, maar de manier waarop ze deze gebruiken, wijkt enigszins af van wat we verwachten. We kunnen besluiten dat we daar naar moeten kijken. Als we ernaar kijken, zien we, oh eigenlijk, dat is een zeer geldige gebruiker. Ze doen gewoon iets eigenzinnigs. Misschien is het een pc-onderzoeker of wie weet. In andere gevallen kan dit het tegenovergestelde zijn. De realiteit, wanneer ik weer vooruit ga, is er Wally. Als je heel hard keek in deze hoge resolutie, is er één personage dat eigenlijk de juiste kleding draagt. Alle anderen zijn slechts lookalikes en feel-alikes. Compliance voelt zo erg aan. De meeste mensen die ik ken, werken op het gebied van controles en compliance en beleid van bedrijven. Op een hele reeks gebieden, of het nu gaat om technologie, of het nu gaat om financiën of bedrijfsvoering en risico's. Vaak is het heel moeilijk om de Wally op de foto te zien, je ziet de bomen of het bos.
De vraag die we onszelf stellen, als we denken aan zaken als compliance, is "Big deal, wat kan er misgaan als we niet helemaal aan de compliance voldoen?" In de context van de discussie van vandaag, in het bijzonder rond de database en de controle op de toegang tot gegevens, ga ik u enkele zeer echte wake-up call-voorbeelden geven over wat er in een zeer korte beknopte vorm kan gebeuren. Als we denken aan datalekken, en we zijn allemaal bekend met datalekken, horen we ze in de media, en we stoppen een beetje en lachen, omdat mensen denken dat het markten zijn. Het zijn persoonlijke dingen. Het zijn Ashley Madison en mensen die op zoek zijn naar dates buiten hun relaties en huwelijken. Het gooit accounts op. Het zijn al die rare dingen of een willekeurig Europees of Russisch ISP of hostingbedrijf wordt gehackt. Als het gaat om dingen als MySpace en deze top tien, als je naar deze cijfers kijkt, wil ik dat je je realiseert dat dit is: 1, 1 miljard mensen details in deze top tien inbreuken. En ja, er zijn overlappingen, er zijn waarschijnlijk mensen die een MySpace-account hebben, en een Dropbox-account en een Tumblr-account, maar laten we het afronden op een miljard mensen.
Deze top tien inbreuken voor het laatste decennium of zo - in de meeste gevallen zelfs geen tien jaar - geven ongeveer een zevende van de wereldbevolking aan mensen weer, maar meer realistisch gezien is ongeveer 50 procent van het aantal mensen verbonden met de internet, meer dan een miljard individuen. Deze komen tot stand omdat in sommige gevallen niet aan de naleving is voldaan. In de meeste gevallen waren de controles op de toegang tot de database, de controle op de toegang tot bepaalde gegevenssets en systemen en netwerken. Dit is een enge reality check. Als het je niet bang maakt, als je naar de top tien kijkt en je kunt zien dat dit een - of kan zien dat dit een miljard individuen zijn, echte mensen net als wij, op dit moment op deze oproep. Als je een LinkedIn-account hebt, als je een Dropbox-account of een Tumblr-account hebt, of als je hebt gekocht bij Adobe-producten of zelfs een gratis download hebt geregistreerd voor Adobe Viewer. Het is heel waarschijnlijk, niet mogelijk, het is heel waarschijnlijk dat uw gegevens, uw voornaam, uw achternaam, uw e-mailadres, mogelijk zelfs uw bedrijfsadres, of uw thuisadres of uw creditcard, daadwerkelijk beschikbaar zijn vanwege een inbreuk die plaatsvond vanwege de controles, die niet noodzakelijk goed werden beheerd in de vorm van gegevensbeheer, gegevensbeheer.
Laten we er eens naar kijken als we er heel gedetailleerd naar kijken. Er is een scherm van hen, er is ongeveer 50-iets daar. Er is nog een 15. Er zijn er nog eens 25. Dit zijn datalekken die worden vermeld op een website met de naam haveibeenpwned.com. Dit kan mogelijk fout gaan als iets eenvoudigs, zoals controleren wie toegang heeft gehad tot gegevens in databases in verschillende velden en rijen en kolommen en verschillende applicaties in uw bedrijf, niet goed wordt beheerd. Deze organisaties zijn nu data-driven. De meeste gegevens bevinden zich in een of andere vorm in een database. Als je daarover nadenkt, die lijst met inbreuken waar we net naar hebben gekeken, en hopelijk krijg je in zekere zin een beetje een koude douche, in die zin dat je dacht: "Hmm, dat is echt, " en het heeft mogelijk invloed op je gehad. In 2012, die inbreuk op bijvoorbeeld LinkedIn, hebben de meeste professionals tegenwoordig een LinkedIn-account en zijn uw gegevens waarschijnlijk verloren. Ze zijn sinds 2012 op internet. We hebben er pas in 2016 over gehoord. Wat gebeurde er met je informatie in die vier jaar? Het is interessant en daar kunnen we het afzonderlijk over hebben.
Database- en systeembeheer - ik praat vaak over wat ik beschouw als de top vijf van uitdagingen bij het beheer van deze dingen. Helemaal bovenaan, en ik rangschik deze in volgorde van voorkeur van mezelf, maar ook in volgorde van impact, nummer één is veiligheid en compliance. De bedieningselementen en mechanismen en het beleid rond het bepalen wie welke toegang heeft tot welk systeem, om welke reden en met welk doel. Daarover rapporteren en monitoren, in de systemen kijken, in de databases kijken en zien wie daadwerkelijk toegang heeft tot records, individuele velden en records.
Denk hier eens heel eenvoudig over na. Laten we het hebben over bankieren en vermogensbeheer als een voorbeeld. Wanneer u zich aanmeldt voor een bankrekening, laten we zeggen een normale geldrekening voor een EFTPOS-kaart, of een geldrekening of een cheque-account. Je vult een formulier in en er zit veel zeer persoonlijke informatie in dat stuk papier dat je invult of je doet het online en dat gaat in een computersysteem. Als iemand in marketing contact met u wil opnemen en u een brochure wil sturen, moet hij of zij bijvoorbeeld uw voornaam en achternaam en uw persoonlijk adres kunnen zien en mogelijk uw telefoonnummer als hij u koud wil bellen en je iets verkopen. Ze zouden om een aantal redenen waarschijnlijk niet het totale bedrag dat je op de bank hebt moeten zien. Als iemand u vanuit een risico-oogpunt bekijkt, of probeert u iets te helpen doen zoals betere rentetarieven op uw account krijgen, wil die persoon waarschijnlijk zien hoeveel geld u op de bank heeft, zodat ze kunnen bieden u het juiste rentetarief op uw geld. Die twee individuen hebben zeer verschillende rollen en zeer verschillende redenen voor die rollen, en doeleinden voor die rollen. Als gevolg hiervan moet u andere informatie in uw record zien, maar niet alle records.
Deze besturingselementen rond het verschillende rapport van gebruikelijke schermen of formulieren die ze hebben in de applicaties die worden gebruikt om uw account te beheren. De ontwikkeling daarvan, het onderhoud daarvan, het beheer daarvan, de rapportage eromheen, en de governance en compliance rond die zoals bubbeltjesplastic, zijn allemaal een heel, heel grote uitdaging. Dat is gewoon de grootste uitdaging bij het beheer van gegevens en systemen. Wanneer we dieper ingaan op die stapel in prestaties en monitoring, en incidentie detectie en respons, beheer en administratie van het systeem, en compliance rondom hen, het ontwerp en de ontwikkeling van de systemen van de compliance, wordt het veel moeilijker.
Het hele probleem van het verminderen van risico's en het verbeteren van de beveiliging beheren. Mijn top vijf-uitdagingen in deze ruimte - en ik hou van de beelden die horen bij een douanebalie wanneer je een land binnenkomt - ze presenteren je paspoort en ze checken je uit, en ze kijken naar hun computersysteem om te zien of je moet slagen of niet. Als je dat niet zou doen, zetten ze je in het volgende vliegtuig terug naar huis. Anders laten ze je weer binnen en stellen ze je vragen als: "Ga je op vakantie? Ben je hier een toerist? Ben je hier voor werk? Wat voor werk ga je zien? Waar ga je verblijven?" ? Hoe lang ga je mee? Heb je genoeg geld om je uitgaven en kosten te dekken? Of ga je een risico worden voor het land waar je bent en misschien moeten ze voor je zorgen en je voeden? '
Er zijn enkele problemen rond deze gegevensruimte, het beheren van gegevensbescherming. In de database-ruimte moeten we bijvoorbeeld nadenken over het verminderen van database-bypass. Als de gegevens zich in de database bevinden, in een normale omgeving en er zijn bedieningselementen en mechanismen daarvoor in het systeem. Wat gebeurt er als een dump van de gegevens in meer SQL wordt gemaakt en op tape wordt opgeslagen? De databases worden in onbewerkte vorm gedumpt en er wordt soms een back-up van gemaakt. Soms gebeurt het om technische redenen, ontwikkelingsredenen. Laten we zeggen dat er een DB-dump is genomen en dat deze op tape is opgeslagen. Wat gebeurt er als ik die band in handen krijg en deze herstel? En ik heb een onbewerkte kopie van de database in SQL. Het is een MP-bestand, het is tekst, ik kan het lezen. Alle wachtwoorden die in die dump zijn opgeslagen, hebben geen controle over mij, omdat ik nu toegang krijg tot de eigenlijke inhoud van de database zonder dat de database-engine deze beschermt. Dus ik kan technisch de beveiliging van het databaseplatform dat in de engine wordt gebouwd omzeilen met compliance en risicobeheer om te voorkomen dat ik naar de gegevens kijk. Omdat mogelijk de ontwikkelaar, systeembeheerder, ik een volledige dump van de database in handen heb die voor back-ups moet worden gebruikt.
Misbruik van de gegevens - mogelijk iemand ertoe brengen om in te loggen als hun verhoogde account en me op het scherm laten zitten, op zoek naar informatie of soortgelijke dingen. Bedrijfseigen controle van de toegang tot en het gebruik van de gegevens en het bekijken van de gegevens of wijzigingen in de gegevens. Vervolgens de rapportage rondom die controle en de vereiste compliance. Monitoring van het verkeer en toegang enzovoort, waarmee bedreigingen van externe locaties en servers worden geblokkeerd. Als de gegevens bijvoorbeeld worden gepresenteerd via een formulier op een webpagina op internet, zijn hun SQL-injecties beschermd door firewalls en conceptcontroles? Er gaat een lang gedetailleerd verhaal achter schuil. U kunt hier zien dat slechts enkele van deze absoluut fundamentele dingen waar we aan denken bij het beperken en beheren van risico's rondom gegevens in databases. Het is eigenlijk relatief eenvoudig om sommige hiervan te omzeilen als je op verschillende niveaus van stapels van de technologieën zit. De uitdaging wordt steeds moeilijker naarmate je meer en meer gegevens en meer databases krijgt. Meer, en uitdagender met mensen die de systemen moeten beheren, en het gebruik ervan controleren, de relevante details bijhouden die specifiek betrekking hebben op dingen waar Robin het over had, rond zaken als persoonlijke compliance. Individuen hebben controles en mechanismen om zich heen die hieraan voldoen - als je iets verkeerd doet, word je mogelijk ontslagen. Als ik me aanmeld terwijl mijn account het je laat zien, zou dat een aanstootgevend feit moeten zijn. Nu heb ik je toegang gegeven tot gegevens die je normaal niet had moeten zien.
Er is persoonlijke compliance, er is corporate compliance, bedrijven hebben beleid en regels, en controles die ze zichzelf hebben opgelegd, zodat het bedrijf goed draait en een rendement op winst en een goed rendement biedt voor investeerders en aandeelhouders. Dan is er vaak de hele stad of de hele staat of nationaal, federaal zoals je zei Amerikaanse controles en wetten. Dan zijn er globale. Enkele van de grotere incidenten ter wereld, zoals Sarbanes-Oxley, twee personen die gevraagd worden manieren te bedenken om gegevens en systemen te beschermen. Er is Basel in Europa en er is een hele reeks controles in Australië, met name rond beurs- en crediteurenplatforms, en vervolgens privacy op individueel of bedrijfsniveau. Wanneer elk van deze op elkaar gestapeld is zoals je zag op een van de locaties die Robin had, worden ze bijna een bijna onmogelijke berg om te beklimmen. De kosten worden hoog en we zijn op het punt dat de originele traditionele aanpak die je kent, zoals mensen die de controle meten, niet langer een geschikte aanpak is omdat de schaal te groot is.
We hebben een scenario waarin compliance is wat ik nu een altijd actueel probleem noem. En dat is dat we vroeger een punt in de tijd hadden, hetzij maandelijks, driemaandelijks of jaarlijks, waar we onze staat van de natie zouden herzien en zouden helpen bij de naleving en controle. Ervoor zorgen dat bepaalde mensen bepaalde toegang hadden en bepaalde toegang niet hadden, afhankelijk van wat hun rechten waren. Nu gaat het om de snelheid van dingen waarmee dingen bewegen, het tempo waarin dingen veranderen, de schaal waarop we werken. Naleving is een altijd aan de orde zijnde en de wereldwijde financiële crisis was slechts één voorbeeld waarbij de relevante controles en maatregelen op het gebied van beveiliging en naleving mogelijk een scenario hadden kunnen voorkomen waarin we een wegvlucht hadden van bepaald gedrag. Gewoon een situatie creëren waarbij de hele wereld weet dat deze failliet zou gaan. Daarvoor hebben we de juiste tools nodig. Het werpen van mensen in de trein, het gooien van lichamen is niet langer een geldige aanpak omdat de schaal te groot is en dingen te snel gaan. Ik denk dat de discussie vandaag gaat over de soorten tools die hierop van toepassing zijn. In het bijzonder de tools die IDERA ons kan bieden om dat te doen. En met dat in gedachten, ga ik het aan Bullett overhandigen om zijn materiaal te bekijken en ons hun aanpak en de tools te tonen die ze hebben om dit probleem op te lossen dat we nu voor jou hebben ingediend.
Daarmee, Bullett, zal ik je overhandigen.
Bullett Manale: Klinkt geweldig, dank je. Ik wil het hebben over een paar dia's en ik wil u ook een product laten zien dat we specifiek gebruiken voor SQL Server-databases om te helpen bij compliance-situaties. Echt, de uitdaging in veel gevallen - ik ga er een paar overslaan - dit is gewoon onze portfolio van producten, daar ga ik vrij snel doorheen. In termen van waar dit product het gaat behandelen en hoe het verband houdt met de naleving, haal ik dit altijd op als de eerste dia omdat het een soort generieke is: "Hé, wat is de verantwoordelijkheid van een DBA?" Een van de dingen beheert en bewaakt gebruikerstoegang en kan ook rapporten genereren. Dat hangt samen met wanneer je met je auditor praat, hoe moeilijk dat proces kan zijn, afhankelijk van of je het alleen gaat doen of als je een derde gaat gebruiken hulpmiddel om te helpen.
Over het algemeen, wanneer ik met databasebeheerders praat, zijn ze vaak nooit betrokken geweest bij een audit. Je moet ze eigenlijk onderwijzen in wat je echt moet doen. Gerelateerd aan het type naleving waaraan moet worden voldaan en het kunnen aantonen dat u daadwerkelijk de regels volgt die van toepassing zijn op dat nalevingsniveau. Veel mensen snappen het in eerste instantie niet. Ze denken: "Oh, ik kan gewoon een tool kopen dat me compliant maakt." De realiteit is dat dat niet het geval is. Ik wou dat ik kon zeggen dat ons product op magische wijze, weet je, door op de eenvoudige knop te drukken, je de mogelijkheid gaf om ervoor te zorgen dat je aan de regels voldoet. De realiteit is dat uw omgeving moet zijn ingesteld met betrekking tot de bedieningselementen, in termen van hoe mensen toegang hebben tot de gegevens, dat alles moet worden uitgewerkt met de applicatie die u hebt. Waar dat gevoelig is, worden de gegevens opgeslagen, wat voor soort wettelijke eis het is. Vervolgens moet u ook werken met doorgaans een interne compliance officer om ervoor te zorgen dat u alle regels volgt.
Dit klinkt heel ingewikkeld. Als je naar alle wettelijke vereisten kijkt, zou je denken dat dat het geval zou zijn, maar de realiteit is dat er hier een gemene deler is. In ons geval met de tool die ik u vandaag ga tonen, het Compliance Manager-product, zou het proces in onze situatie zijn dat we eerst en vooral moeten zorgen dat we de audit trail-gegevens verzamelen, gerelateerd aan naar waar de gegevens zich in de database bevinden die gevoelig is. Je kunt alles verzamelen, toch? Ik zou kunnen uitgaan en zeggen dat ik elke transactie wil verzamelen die in deze database gebeurt. De realiteit is dat u waarschijnlijk slechts een kleine fractie of een klein percentage transacties heeft die daadwerkelijk verband houden met de gevoelige gegevens. Als het voldoet aan PCI, zal het gaan om de creditcardinformatie, de eigenaars van de creditcard, hun persoonlijke informatie. Er kunnen heel wat andere transacties zijn die betrekking hebben op uw toepassing en die niet echt van invloed zijn op de wettelijke vereisten van PCI.
Vanuit dat oogpunt zeg ik als eerste met DBA: “De grootste uitdaging is niet om een hulpmiddel te vinden om deze dingen voor u te doen. Het is gewoon weten waar die gevoelige gegevens zijn en hoe vergrendelen we die gegevens? "Als je dat hebt, als je die vraag kunt beantwoorden, dan ben je halverwege thuis om te kunnen aantonen dat je voldoet, ervan uitgaande dat u de juiste controles volgt. Laten we even zeggen dat u de juiste controles volgt en u de auditors hebt verteld dat dat het geval is. Het volgende deel van het proces is uiteraard in staat te zijn om een audittrail te bieden dat laat zien en valideert dat die controles daadwerkelijk werken. Vervolgens volgt u erop en zorgt u ervoor dat u die gegevens opslaat. Meestal met dingen als PCI en HIPAA-compliance, en dat soort dingen, heb je het over zeven jaar retentie. Je hebt het over veel transacties en veel gegevens.
Als u doorgaat met het verzamelen van elke transactie, hoewel slechts vijf procent van de transacties verband houdt met de gevoelige gegevens, hebt u het over behoorlijk hoge kosten die gepaard gaan met het zeven jaar bewaren van die gegevens. Dat is een van de grootste uitdagingen, denk ik, in het zover krijgen van mensen om te zeggen dat dat echt onnodige kosten zijn. Het is ook een stuk eenvoudiger als we ons gewoon gedetailleerd kunnen concentreren op de gevoelige gebieden in de database. Daarnaast zul je ook controle willen hebben over sommige gevoelige informatie. Niet alleen om te laten zien in termen van een audittrail, maar ook om dingen terug te koppelen aan acties die plaatsvinden en in realtime op de hoogte te worden gebracht, zodat u hiervan op de hoogte kunt worden gebracht.
Het voorbeeld dat ik altijd gebruik, en het hoeft niet noodzakelijkerwijs te maken te hebben met enige vorm van wettelijke vereisten, maar alleen het kunnen volgen, bijvoorbeeld, iemand zou de tafel laten vallen die aan de loonlijst is gekoppeld. Als dat gebeurt, is de manier waarop u erachter komt, als u dat niet volgt, dat niemand wordt betaald. Dat is te laat. U wilt weten wanneer die tafel valt, precies wanneer deze valt, om te voorkomen dat er slechte dingen gebeuren als gevolg van een ontevreden medewerker die de tafel verlaat die rechtstreeks aan de loonlijst is gekoppeld.
Dat gezegd hebbende, de kunst is om de gemene deler te vinden of die gemene deler te gebruiken om in kaart te brengen wat het nalevingsniveau is. Dat is een soort van wat we proberen te doen met deze tool. We nemen in principe de benadering van, we gaan u geen rapport tonen dat specifiek is voor PCI, specifiek voor aandelen; de gemene deler is dat u een toepassing hebt die SQL Server gebruikt om de gevoelige gegevens in de database op te slaan. Als je er eenmaal overheen bent, zeg je: "Ja, dat is echt het belangrijkste waar we ons op moeten concentreren - waar zijn die gevoelige gegevens en hoe worden ze benaderd?" Als u dat eenmaal hebt, zijn er een heleboel rapporten die we aanbieden die kunnen aantonen dat u dat wel doet, binnen de naleving.
Terugkomend op de vragen die door een auditor worden gesteld, zal de eerste vraag zijn: wie heeft toegang tot de gegevens en hoe krijgen zij die toegang? Kun je bewijzen dat de juiste mensen toegang hebben tot de gegevens en de verkeerde mensen niet? Kun je ook bewijzen dat het controlespoor zelf iets is dat ik kan vertrouwen als een onveranderlijke informatiebron? Als ik u een audittrail geef die is gefabriceerd, doet het mij als auditor niet echt veel om uw audit te patchen als de informatie is gefabriceerd. We hebben dat nodig, meestal vanuit een auditperspectief.
Het doornemen van die vragen, een beetje een beetje meer gedetailleerd. De uitdaging met de eerste vraag is, zoals ik al zei, je moet weten waar die gevoelige gegevens zijn om te rapporteren over wie er toegang toe heeft. Dat is meestal een soort ontdekking en eigenlijk heb je duizenden verschillende applicaties die er zijn, je hebt heel veel verschillende wettelijke vereisten. In de meeste gevallen wilt u samenwerken met uw compliance officer als u die hebt, of op zijn minst iemand die wat extra inzicht zou hebben in termen van waar mijn gevoelige gegevens zich in de applicatie bevinden. We hebben een tool die we hebben, het is een gratis tool, het heet een SQL Column Search. We vertellen onze potentiële klanten en gebruikers die geïnteresseerd zijn in die vraag, dat ze deze kunnen gaan downloaden. Wat het gaat doen, is dat het in principe op zoek gaat naar de informatie in de database die waarschijnlijk gevoelig van aard zal zijn.
En zodra u dat doet, moet u ook begrijpen hoe mensen toegang krijgen tot die gegevens. En dat zal opnieuw zijn, welke accounts zijn binnen welke Active Directory-groepen, welke database-gebruikers betrokken zijn, er is een rollidmaatschap aan verbonden. En in gedachten houdend, natuurlijk, dat al deze dingen waar we het over hebben moeten worden goedgekeurd door de auditor, dus als je zegt: "Dit is hoe we de gegevens vergrendelen", dan kunnen de auditors komen terug en zeggen: "Wel, je doet het verkeerd." Maar laten we zeggen dat ze zeggen: "Ja, dat ziet er goed uit. Je vergrendelt de gegevens voldoende. "
Ga je verder met de volgende vraag, die gaat worden, kun je bewijzen dat de juiste mensen toegang hebben tot die gegevens? Met andere woorden, u kunt ze vertellen dat uw controles zijn, dit zijn de controles die u volgt, maar helaas zijn de auditors geen echt vertrouwde personen. Ze willen er een bewijs van en ze willen het kunnen zien binnen het audittraject. En dit gaat terug naar dat hele gemeenschappelijke kenmerk. Of het nu PCI, SOX, HIPAA, GLBA, Basel II is, wat de realiteit ook is, is dat dezelfde soorten vragen doorgaans worden gesteld. Het object met de gevoelige informatie, wie heeft dat object de afgelopen maand bezocht? Dat zou moeten aansluiten bij mijn controles en ik zou in staat moeten zijn om mijn audit uiteindelijk te laten slagen door dat soort rapporten te tonen.
En wat we hebben gedaan, is dat we ongeveer 25 verschillende rapporten hebben verzameld die volgen op hetzelfde soort gebieden als die gemeenschappelijke noemer. We hebben dus geen rapport voor PCI of voor HIPAA of voor SOX, we hebben rapporten dat ze het opnieuw eens zijn tegen die gemeenschappelijke noemer. En dus maakt het niet echt uit aan welke wettelijke eis u probeert te voldoen, in de meeste gevallen zult u in staat zijn om elke vraag te beantwoorden die u door die auditor wordt gesteld. En ze gaan u vertellen wie, wat, wanneer en waar van elke transactie. Je weet wel, de gebruiker, het tijdstip waarop de transactie plaatsvond, de SQL-instructie zelf, de applicatie waar het vandaan kwam, al die goede dingen, en dan ook de levering van deze informatie aan rapporten kunnen automatiseren.
En dan, nogmaals, zodra u daar voorbij bent en u hebt dat aan de auditor gegeven, dan zal de volgende vraag zijn, het bewijzen. En als ik zeg bewijs het, bedoel ik bewijs dat het controlespoor zelf iets is dat we kunnen vertrouwen. En de manier waarop we dat in onze tool doen, is dat we hash-waarden en CRC-waarden hebben die rechtstreeks verband houden met de gebeurtenissen zelf binnen het controlespoor. En dus is het idee, is dat als iemand naar buiten gaat en een record verwijdert of als iemand naar buiten gaat en iets toevoegt aan of toevoegt aan het controlespoor of iets verandert in het controlespoor zelf, we kunnen bewijzen dat die gegevens, de integriteit van de gegevens zelf zijn geschonden. En dus als u onze audit trail-database 99, 9 procent van de tijd hebt vergrendeld, zult u dat probleem niet tegenkomen, want wanneer we die integriteitscontrole uitvoeren, bewijzen we in wezen aan de auditor dat de gegevens zelf niet zijn gewijzigd en verwijderd of toegevoegd sinds het oorspronkelijke schrijven van de beheerservice zelf.
Dus dat is een soort algemeen overzicht van de typische soorten vragen die je worden gesteld. Nu wordt de tool die we veel moeten aanpakken SQL Compliance Manager genoemd en het doet al die dingen in termen van het volgen van de transacties, het wie, wat, wanneer en waar van de transacties, in staat zijn om dat te doen in een aantal verschillende gebieden ook. Logins, mislukte logins, schemawijzigingen, uiteraard gegevenstoegang, selecteer activiteit, al die dingen die binnen de database-engine gebeuren. En we kunnen ook de gebruikers waarschuwen voor specifieke, zeer gedetailleerde omstandigheden, indien nodig. Iemand gaat bijvoorbeeld naar buiten en bekijkt de tafel met al mijn creditcardnummers. Ze veranderen de gegevens niet, ze kijken er alleen naar. In die situatie kan ik waarschuwen en kan ik mensen laten weten dat dat gebeurt, niet zes uur later wanneer we logboeken schrapen, maar in realtime. Het is in principe zo lang als nodig is om die transactie via een beheerservice te verwerken.
Zoals ik al eerder zei, we hebben dit in verschillende regelgevingsvereisten gebruikt en het is niet echt - weet je, elke regelgevingsvereiste, nogmaals, zolang de gemene delers, je gevoelige gegevens in een SQL Server hebt database, dit is een hulpmiddel dat in dat soort situaties zou helpen. Aan de 25 rapporten die zijn ingebouwd, is de realiteit nu dat we deze tool goed kunnen maken voor de auditor en elke vraag die ze stellen beantwoorden, maar de DBA's zijn degenen die het moeten laten werken. Dus er is ook dat denken aan, weet je, vanuit een onderhoudsperspectief moeten we ervoor zorgen dat de SQL werkt zoals we willen. We moeten ook naar binnen kunnen gaan en kijken naar de dingen die eruit kunnen gaan en naar andere stukjes informatie kijken, weet je, voor zover het archiveren van de gegevens, de automatisering daarvan en de overhead zelf van het product. Dat zijn dingen waar we uiteraard rekening mee houden.
Dat brengt de architectuur zelf naar voren. Dus aan de rechterkant van het scherm hebben we de exemplaren van SQL die we beheren, alles van 2000 tot en met 2014, klaar om een versie voor 2016 uit te brengen. De grootste afhaalmogelijkheid op dit scherm is dat het beheer server zelf doet al het zware werk. We verzamelen alleen de gegevens met behulp van de trace-API, ingebouwd in SQL Server. Die informatie druppelt door naar onze beheerserver. Die beheerserver zelf identificeert en als er gebeurtenissen zijn die zijn gekoppeld aan alle soorten transacties die we niet willen, het verzenden van waarschuwingen en dat soort dingen en vervolgens de gegevens in een repository vullen. Van daaruit kunnen we rapporten uitvoeren, we zouden in staat zijn om die informatie te zien in de rapporten of zelfs in de console van de toepassing.
Dus wat ik ga doen en doen, is dat ik ons er heel snel doorheen ga en ik wil alleen maar op een snel ding wijzen voordat we in het product springen, er is nu een link op de website, of op de presentatie, dat brengt je naar die gratis tool die ik eerder noemde. Die gratis tool gaat, zoals ik al zei, naar een database kijken en proberen de gebieden te vinden die eruit zien als gevoelige gegevens, sofi-nummers, creditcardnummers, op basis van de naamgeving van de kolommen of de tabellen, of gebaseerd op de manier waarop het formaat van de gegevens eruit ziet, en u kunt dat ook aanpassen, om daar maar op te wijzen.
Nu, in ons geval, laat me doorgaan en mijn scherm delen, geef me hier een seconde. Oké, en dus wilde ik je eerst meenemen naar de Compliance Manager-applicatie zelf en ik ga dit vrij snel doornemen. Maar dit is de applicatie en je kunt zien dat ik hier een aantal databases heb en ik ga je gewoon laten zien hoe gemakkelijk het is om binnen te gaan en te vertellen wat je wilt controleren. Vanuit het oogpunt van schemawijzigingen, beveiligingswijzigingen, administratieve activiteiten, DML, Select, we hebben al die opties voor ons beschikbaar, we kunnen dat ook filteren. Dit gaat terug naar de beste praktijk om te kunnen zeggen: “Ik heb deze tabel echt alleen nodig omdat deze mijn creditcardnummers bevat. Ik heb de andere tabellen met productinformatie niet nodig, al die andere dingen die niet gerelateerd zijn aan het niveau van naleving waaraan ik probeer te voldoen. "
We hebben ook de mogelijkheid om gegevens vast te leggen en weer te geven in termen van de waarden van de velden die veranderen. In veel tools heb je iets waarmee je de SQL-instructie kunt vastleggen, de gebruiker kunt tonen, de toepassing, tijd en datum kunt weergeven, al die goede dingen. Maar in sommige gevallen zal de SQL-instructie zelf u niet voldoende informatie geven om u te kunnen vertellen wat de waarde van het veld was voordat de wijziging plaatsvond, evenals de waarde van het veld nadat de wijziging plaatsvond. En in sommige situaties heb je dat nodig. Ik zou bijvoorbeeld de doseringsinformatie van een arts voor geneesmiddelen op recept willen volgen. Het ging van 50 mg tot 80 mg tot 120 mg, ik zou dat kunnen volgen met het voor en na.
Gevoelige kolommen is een ander ding dat we veel tegenkomen, bijvoorbeeld met PCI-compliance. In de situatie hier heb je gegevens die zo gevoelig van aard zijn dat ik alleen al door naar die informatie te kijken, deze niet hoef te wijzigen, verwijderen of toevoegen, ik onherstelbare schade kan toebrengen. Creditcardnummers, sofinummers, al dat soort goede dingen kunnen we gevoelige kolommen identificeren en er waarschuwingen aan koppelen. Als iemand naar buiten gaat en naar die informatie kijkt, kunnen we uiteraard een e-mail sturen of een SNMP-val genereren en dat soort dingen.
Nu kom je in sommige gevallen in een situatie terecht waarin je een uitzondering kunt maken. En wat ik daarmee bedoel, je hebt een situatie waarin je een gebruiker hebt die een gebruikersaccount heeft dat mogelijk gekoppeld is aan een soort ETL-taak die midden in de nacht wordt uitgevoerd. Het is een gedocumenteerd proces en ik hoef gewoon die transactiegegevens niet op te nemen voor dat gebruikersaccount. In dat geval zouden we een vertrouwde gebruiker hebben. En dan in andere situaties zouden we de functie van Privileged User Auditing gebruiken die in wezen, als ik bijvoorbeeld een applicatie heb, en die applicatie al auditing doet, van de gebruikers die de applicatie doorlopen, dat is geweldig, ik heb al iets om naar te verwijzen met betrekking tot mijn audit. Maar voor de dingen die gekoppeld zijn aan bijvoorbeeld mijn bevoorrechte gebruikers, de jongens die naar SQL Server management studio kunnen gaan om naar de gegevens in de database te kijken, dat is niet van plan. En dus kunnen we hier bepalen wie onze bevoorrechte gebruikers zijn, via Rollidmaatschappen of via hun Active Directory-accounts, groepen, hun SQL-geverifieerde accounts, waar we al die verschillende soorten opties kunnen kiezen en zorg er vervolgens voor dat we voor die bevoorrechte gebruikers de soorten transacties kunnen specificeren die we willen controleren.
Dit zijn allerlei verschillende opties die je hebt en ik ga niet door alle verschillende soorten dingen die zijn gebaseerd op de tijdsdruk hier voor deze presentatie. Maar ik wil je laten zien hoe we de gegevens kunnen bekijken en ik denk dat je het leuk zult vinden hoe dit werkt, want er zijn twee manieren waarop we het kunnen doen. Ik kan het interactief doen en dus wanneer we praten met mensen die geïnteresseerd zijn in deze tool voor misschien hun eigen interne controles, willen ze gewoon weten wat er in veel gevallen aan de hand is. Ze hoeven niet per se auditors op de site te krijgen. Ze willen gewoon weten: "Hé, ik wil achter deze tafel gaan en zien wie het heeft aangeraakt in de afgelopen week of vorige maand of wat dan ook." In dit geval kun je zien hoe snel we dat kunnen doen.
In het geval van de gezondheidszorgdatabase heb ik een tabel met de naam Patiëntendossiers. En die tabel, als ik gewoon op object zou groeperen, zou het heel snel kunnen versmallen waar we naar op zoek zijn. Misschien wil ik groeperen op categorie en dan misschien op evenement. En wanneer ik dat doe, kunt u zien hoe snel dat verschijnt, en daar is mijn tabel met patiëntgegevens. En terwijl ik verder onderzoek, kunnen we nu de DML-activiteit zien, kunnen we zien dat we duizend invoegingen van DML hebben gehad en wanneer we een van deze transacties openen, kunnen we de relevante informatie zien. Het wie, het wat, het wanneer, het waar van de transactie, de SQL-instructie, uiteraard, de daadwerkelijke toepassing die wordt gebruikt om de transactie uit te voeren, het account, de tijd en de datum.
Als u nu naar het volgende tabblad hier kijkt, het tabblad Details, gaat dit terug naar die derde vraag waar we het over hebben, waaruit blijkt dat de integriteit van de gegevens niet is geschonden. Dus eigenlijk hebben we voor elke gebeurtenis een geheime berekening voor onze hash-waarde, en dit wordt dan gekoppeld aan wanneer we onze integriteitscontrole uitvoeren. Als ik bijvoorbeeld naar de tool zou gaan, naar het controlemenu ga, en ik zou gaan en zeggen, laten we de integriteit van de repository controleren, zou ik kunnen wijzen naar de database waar de audit trail is, deze wordt uitgevoerd door een integriteitscontrole die deze hash-waarden en CRC-waarden afstemt op de werkelijke gebeurtenissen en het zal ons vertellen dat er geen problemen zijn gevonden. Met andere woorden, er is niet met de gegevens in het audittraject geknoeid omdat deze oorspronkelijk door de beheerservice zijn geschreven. Dat is duidelijk een manier om met de gegevens om te gaan. De andere manier zou zijn om de rapporten zelf te doorlopen. En dus ga ik u slechts een snel voorbeeld van een rapport geven.
En nogmaals, deze rapporten, de manier waarop we ze hebben bedacht, zijn niet specifiek voor elk type standaard zoals PCI, HIPAA, SOX of iets dergelijks. Nogmaals, het is de gemeenschappelijke noemer van wat we doen, en in dit geval, als we teruggaan naar dat voorbeeld van de patiëntendossiers, zouden we in staat zijn om te zeggen dat we in ons geval hier kijken in de gezondheidszorgdatabase en in ons geval willen we ons specifiek richten op die tabel waarvan we weten dat deze in ons geval privé-informatie bevat over onze patiënten. En dus, laat me kijken of ik het hier kan typen, en we gaan door en voeren dat rapport uit. En we gaan dan uiteraard alle relevante gegevens bekijken die aan dat object zijn gekoppeld. En in ons geval toont het ons voor een periode van een maand. Maar we zouden zes maanden, een jaar terug kunnen gaan, hoe lang we de gegevens ook bewaren.
Dat zijn het soort manieren waarop u de auditor, als u wilt, daadwerkelijk kunt bewijzen dat u uw controles volgt. Als je dat eenmaal hebt vastgesteld, is dat natuurlijk een goede zaak voor het slagen van je audit en het kunnen aantonen dat je de controles volgt en alles werkt.
Het laatste waar ik het over wilde hebben waarover ik het wilde hebben, is in de administratie. Er zijn ook bedieningselementen vanuit het standpunt van dat deze tool zelf de bedieningselementen kan instellen om er zeker van te zijn dat als iemand iets doet dat hij niet hoort te doen, ik hiervan op de hoogte kan worden gebracht. En ik zal je een paar voorbeelden geven. Ik heb een inlogaccount dat gekoppeld is aan een service en die service heeft verhoogde rechten nodig om te doen wat het doet. Wat ik niet wil, is dat iemand naar binnen gaat en dat account gebruikt in Management Studio en dan, weet je, het gebruikt voor dingen waarvoor het niet bedoeld was. We zouden hier twee soorten criteria hebben die we zouden kunnen toepassen. Ik zou kunnen zeggen: "Kijk, we zijn echt geïnteresseerd in dit werken, laten we zeggen met onze PeopleSoft-applicatie, " gewoon als een voorbeeld, oké?
Nu ik dat heb gedaan, wat ik hier zeg, ben ik nieuwsgierig naar eventuele aanmeldingen die zijn gekoppeld aan het account dat ik klaar ben om aan te geven of de toepassing die wordt gebruikt om in te loggen met dit account is niet PeopleSoft, dan is dat een verhoging voor het alarm. En uiteraard moeten we de accountnaam zelf opgeven, dus laten we in ons geval gewoon dit Priv-account noemen, omdat het bevoorrecht is. Als we dat nu eenmaal hebben gedaan, kunnen we nu, wanneer we dit hier doen, specificeren wat we zouden willen laten gebeuren wanneer dat gebeurt en voor elk type gebeurtenis of, ik zou moeten zeggen, alert, je kunt een afzonderlijke melding ontvangen aan de persoon die verantwoordelijk is voor dat specifieke stuk gegevens.
Als het bijvoorbeeld salarisinformatie is, kan dit naar mijn HR-directeur gaan. In dit geval zal het omgaan met de PeopleSoft-applicatie, de beheerder van die applicatie worden. Hoe het ook zij. Ik zou mijn e-mailadres kunnen invoeren, het daadwerkelijke waarschuwingsbericht en al dat soort goede dingen kunnen aanpassen. Nogmaals, dit gaat allemaal terug om ervoor te zorgen dat u kunt laten zien dat u uw bedieningselementen volgt en dat deze bedieningselementen werken zoals ze zijn bedoeld. Vanuit het laatste perspectief hier, alleen in termen van onderhoud, hebben we de mogelijkheid om deze gegevens te nemen en offline te zetten. Ik kan de gegevens archiveren en ik kan het plannen en we zouden deze dingen heel gemakkelijk kunnen doen in de zin dat je als een DBA die tool zou kunnen gebruiken, deze zou kunnen instellen en soort van loop er van weg Er is niet veel hand vasthouden dat zal plaatsvinden als je het eenmaal hebt ingesteld zoals het zou moeten zijn. Zoals ik al zei, het moeilijkste deel hiervan is volgens mij niet het instellen van wat u wilt auditen, het is weten wat u wilt instellen voor audit.
En zoals ik al zei, de aard van het beest met auditing, je moet de gegevens zeven jaar bewaren, dus het is alleen zinvol om je te concentreren op die gebieden die gevoelig van aard zijn. Maar als je alles wilt gaan benaderen om alles te verzamelen, kan dat absoluut niet, het wordt gewoon niet als de beste praktijk beschouwd. Dus vanuit dat oogpunt wil ik mensen eraan herinneren dat als dit iets is dat interessant is, u naar de website op IDERA.com kunt gaan en een proefversie hiervan kunt downloaden en er zelf mee kunt spelen. In termen van de gratis tool waar we het eerder over hadden, dat is, nou ja, het is gratis, je kunt het downloaden en voor altijd gebruiken, ongeacht of je het product Compliance Manager gebruikt. En het leuke van die zoekfunctie voor kolommen is dat onze bevindingen die je bedenkt, en ik kan zelfs aantonen dat ik denk dat je die gegevens kunt exporteren en vervolgens in Compliance Manager kunt importeren ook. Ik zie het niet, ik weet dat het hier is, daar is het. Dit is slechts een voorbeeld hiervan. Dit is waar het de gerelateerde gevoelige gegevens vindt.
Nu is deze zaak uitgegaan en ik heb echt alles bekeken, maar je hebt maar een hoop dingen die we kunnen controleren. Creditcardnummers, adressen, namen, dat soort dingen. En we zullen identificeren waar het zich bevindt in de database en vervolgens kunt u beslissen of u die informatie daadwerkelijk wilt controleren. Maar het is absoluut een manier om het voor u een stuk eenvoudiger te maken om uw reikwijdte van auditing te definiëren wanneer u naar een dergelijke tool kijkt.
Ik ga gewoon door en sluit daarmee, en ik ga door en geef het terug aan Eric.
Eric Kavanagh: Dat is een fantastische presentatie. Ik hou van de manier waarop je echt op de korrelige details komt en ons laat zien wat er aan de hand is. Omdat er aan het eind van de dag een systeem is dat toegang krijgt tot sommige records, dat je een rapport zal geven, waardoor je je verhaal gaat vertellen, of dat nu is aan een toezichthouder of een auditor of iemand in je team, dus het is goed dat je weet dat je voorbereid bent als en wanneer, of wanneer en wanneer die persoon komt kloppen, en dat is natuurlijk de onaangename situatie die je probeert te vermijden. Maar als het gebeurt, en het zal waarschijnlijk tegenwoordig gebeuren, wil je er zeker van zijn dat je je I's hebt gestippeld en dat je T's gekruist zijn.
Er is een goede vraag van een lid van het publiek dat ik je misschien eerst wil overbrengen, Bullett, en dan, als een presentator er misschien iets over wil zeggen, voel je vrij. En dan misschien Dez een vraag stellen en Robin. Dus de vraag is, is het eerlijk om te zeggen dat om al die dingen te doen die je hebt genoemd, je een poging moet doen om gegevens te classificeren op een elementair niveau? U moet uw gegevens kennen wanneer deze als een waardevol potentieel actief naar voren komen en daar iets aan doen. Ik denk dat je het daarmee eens bent, Bullett, toch?
Bullett Manale: Ja, absoluut. Ik bedoel, je moet je gegevens kennen. En ik realiseer me, ik erken dat er veel applicaties zijn en dat er veel verschillende dingen zijn die bewegende delen in je organisatie hebben. Het hulpprogramma voor het zoeken van kolommen is zeer nuttig om een stap te zetten in de richting van een beter begrip van die gegevens. Maar ja, het is heel belangrijk. Ik bedoel, je hebt de mogelijkheid om de firehose-aanpak te volgen en alles te controleren, maar het is op logistiek vlak een stuk uitdagender als je het hebt over het opslaan van die gegevens en tegen die gegevens moet rapporteren. En dan moet u nog steeds weten waar dat gegeven zich bevindt, want wanneer u uw rapporten uitvoert, moet u uw auditors die informatie ook laten zien. Dus ik denk dat, zoals ik al zei, de grootste uitdaging als ik met databasebeheerders praat, weet is, ja.
Eric Kavanagh: Ja, maar misschien brengen we Robin je heel snel. Het lijkt mij dat de 80/20-regel hier van toepassing is, toch? Je zult waarschijnlijk niet elk recordsysteem vinden dat ertoe doet als je in een middelgrote of grote organisatie zit, maar als je je focust op - zoals Bullett hier suggereerde - PeopleSoft, of andere recordsystemen die overheersend in de onderneming, daar concentreer je 80 procent van je inspanningen en dan 20 procent op de andere systemen die misschien ergens zijn, toch?
Robin Bloor: Nou, ik weet het zeker, ja. Ik bedoel, weet je, ik denk dat het probleem met deze technologie, en ik denk dat het waarschijnlijk de moeite waard is om er een opmerking over te maken, maar het probleem met deze technologie is, hoe implementeer je het? Ik bedoel, er is zeer zeker een gebrek aan kennis, laten we zeggen, in de meeste organisaties over zelfs het aantal databases dat er is. Weet je, er is ontzettend veel gebrek aan inventaris, laten we zeggen. Weet je, de vraag is, laten we ons voorstellen dat we beginnen in een situatie waar er geen bijzonder goed beheerde compliance is, hoe neem je deze technologie en injecteer je deze in de omgeving, niet alleen in, weet je, technologie voorwaarden, dingen instellen, maar zoals wie het beheert, wie bepaalt wat? Hoe begin je dit te schoenlezen tot een echt, doe-het-zijn-soort?
Bullett Manale: Nou, ik bedoel, dat is een goede vraag. De uitdaging in veel gevallen is dat je, ik bedoel, je moet beginnen met het stellen van de vragen vanaf het allereerste begin. Ik ben veel bedrijven tegengekomen waar ze, weet je, misschien een privébedrijf zijn en ze zijn overgenomen, er is een eerste, soort, eerste, soort verkeersdrempel, als je het zo wilt noemen. Als ik bijvoorbeeld net een beursgenoteerd bedrijf ben geworden vanwege acquisitie, moet ik teruggaan en waarschijnlijk wat dingen uitzoeken.
En in sommige gevallen praten we met organisaties die, weet je, hoewel ze privé zijn, SOX-complianceregels volgen, simpelweg omdat in het geval dat ze willen worden overgenomen, ze weten dat ze in overeenstemming moeten zijn. Je wilt absoluut niet de benadering kiezen van: "Ik hoef me hier nu geen zorgen over te maken." Elke vorm van naleving van regelgeving zoals PCI of SOX of wat dan ook, je wilt de investering doen om het onderzoek te doen of de begrip van waar die gevoelige informatie is, anders zou u misschien te maken krijgen met een aantal belangrijke, forse boetes. En het is veel beter om gewoon die tijd te investeren, weet je, die gegevens te vinden en er tegen te kunnen rapporteren en aan te tonen dat de controles werken.
Ja, in termen van het opzetten, zoals ik al zei, is het eerste wat ik zou aanbevelen aan mensen die zich klaarmaken voor een audit, gewoon naar buiten gaan en een vluchtig onderzoek van de database doen en uitzoeken, je weten, in hun beste inspanningen, proberen te achterhalen waar die gevoelige gegevens zijn. En de andere benadering zou zijn om te beginnen met misschien een groter net in termen van wat de reikwijdte van auditing is, en vervolgens langzaam je weg te banen zodra je erachter komt waar die gebieden in het systeem zijn die verband houden met de gevoelige informatie. Maar ik wou dat ik je kon vertellen dat er een eenvoudig antwoord op die vraag is. Het zal waarschijnlijk nogal verschillen van de ene organisatie naar de andere en het type compliance en echt hoe, weet je, hoeveel structuur ze hebben in hun applicaties en hoeveel hebben, diverse applicaties die ze hebben, sommige kunnen op maat geschreven applicaties zijn, dus het zal in veel gevallen echt afhangen van de situatie.
Eric Kavanagh: Ga je gang, Dez, ik weet zeker dat je een paar vragen hebt.
Dez Blanchfield: Ik wil graag gewoon wat inzicht krijgen in uw observaties over de impact op de organisaties, vanuit een mensenperspectief, eigenlijk. Ik denk dat een van de gebieden waar ik de grootste waarde voor deze specifieke oplossing zie, is dat wanneer mensen 's ochtends wakker worden en op verschillende niveaus van de organisatie gaan werken, ze wakker worden met een reeks of een keten van verantwoordelijkheid waar ze mee te maken hebben. En ik wil graag wat inzicht krijgen in wat u daar ziet met en zonder de soorten hulpmiddelen waarover u spreekt. En de context waar ik het hier over heb is van de voorzitter van het bestuursniveau tot de CEO en CIO en de C-suite. En nu hebben we chief risk officers, die meer nadenken over het soort dingen waar we het hier over hebben in compliance en governance, en dan hebben we nu nieuwe rollenspel chiefs, chief data officer, wie weet, weet je, nog meer bezorgd hierover.
En aan de zijkant van elk van hen, rondom de CIO, hebben we IT-managers aan de ene kant met, soort van weet, technische leads en vervolgens databaseleads. En in de operationele ruimte hebben we ontwikkelingsmanagers en ontwikkelingsleads en vervolgens individuele ontwikkelingen, en ze lopen ook terug naar de databasebeheerderslaag. Wat zie je rond de reactie van elk van deze verschillende onderdelen van het bedrijf op de uitdaging van compliance en wettelijke rapportage en hun aanpak daarvan? Zie je dat mensen hier met een ijver naar toe komen en het voordeel ervan zien, of zie je dat ze met tegenzin hun voeten naar dit ding slepen en gewoon, je weet wel, het doen voor een vinkje in het vak? En wat voor soort antwoorden zie je zodra ze je software zien?
Bullett Manale: Ja, dat is een goede vraag. Ik zou zeggen dat dit product, de verkoop van dit product, meestal wordt aangedreven door iemand die op de hete stoel zit, als dat logisch is. In de meeste gevallen is dat de DBA, en vanuit ons perspectief, met andere woorden, weten ze dat er een audit op komst is en zullen ze verantwoordelijk zijn, omdat zij de DBA's zijn, om de informatie te kunnen verstrekken waar de auditor naar toe gaat vragen. Ze kunnen dat doen door hun eigen rapporten te schrijven en hun eigen aangepaste sporen en al dat soort dingen te maken. De realiteit is dat ze dat niet willen doen. In de meeste gevallen kijken DBA's er niet echt naar uit om die gesprekken met de auditor te hebben. Weet je, ik zou je liever vertellen dat we een bedrijf kunnen inschakelen en zeggen: "Hé, dit is een geweldig hulpmiddel en je zult het geweldig vinden", en ze alle functies laten zien en ze zullen het kopen.
De realiteit is dat ze meestal niet naar deze tool zullen kijken tenzij ze daadwerkelijk worden geconfronteerd met een audit of de andere kant van die medaille is dat ze een audit hebben gehad en deze jammerlijk hebben gefaald en nu zijn ze verteld om hulp te krijgen of ze krijgen een boete. Ik zou zeggen dat, in het algemeen, algemeen gezien, wanneer je dit product aan mensen laat zien, ze absoluut de waarde ervan inzien, omdat het hen een hoop tijd bespaart omdat ze moeten uitzoeken waar ze over willen rapporteren, dat soort dingen. Al die rapporten zijn al ingebouwd, de waarschuwingsmechanismen zijn aanwezig en met de derde vraag kan het in veel gevallen ook een uitdaging zijn. Omdat ik je de hele dag rapporten kan laten zien, maar tenzij je me kunt bewijzen dat die rapporten dan echt geldig zijn, weet je, het is een veel moeilijker voorstel voor mij als DBA om dat te kunnen aantonen. Maar we hebben de technologie en de hashingtechniek en al dat soort dingen uitgewerkt om ervoor te zorgen dat de gegevens in de integriteit van de audittrails worden bewaard.
En dus zijn dat de dingen die, dat zijn mijn observaties in termen van de meeste mensen waarmee we praten. Weet je, er is zeker, in verschillende organisaties, je weet wel, je zult horen, je weet wel, Target had bijvoorbeeld een datalek en, weet je, ik bedoel, wanneer andere organisaties horen over de boetes en die soorten dingen die mensen beginnen, het werpt een wenkbrauw op, dus hopelijk beantwoordt dat de vraag.
Dez Blanchfield: Ja, zeker. Ik kan me sommige DBA's voorstellen wanneer ze eindelijk zien wat er met de tool kan worden gedaan, zich realiseren dat ze ook hun late nachten en weekends terug hebben. Tijd- en kostenbesparingen en andere dingen die ik zie wanneer de juiste tools op dit hele probleem worden toegepast, en dat is dat ik drie weken bij een bank hier in Australië zat. Ze zijn een wereldwijde bank, een top drie-bank, ze zijn enorm. En ze hadden een project waarbij ze moesten rapporteren over de naleving van hun vermogensbeheer en met name risico's, en ze keken naar 60 weken werk voor een paar honderd mensen. En toen ze het idee kregen van een tool zoals jij die het proces gewoon kon automatiseren, dit gevoel, de blik op hun gezicht toen ze zich realiseerden dat ze X weken niet met honderden mensen hoefden door te brengen, was een manueel proces alsof ze God hadden gevonden. Maar het uitdagende was toen hoe het eigenlijk in plan moest worden gezet, zoals Dr. Robin Bloor aangaf, weet je, dit is iets dat een mengeling wordt van gedragsmatige, culturele verschuiving. Op de niveaus waarmee u te maken hebt, die hier direct op applicatieniveau mee te maken hebben, wat voor verandering ziet u wanneer ze een tool gaan gebruiken om het soort rapportage en audit en controles die u kunt bieden, te doen, zoals in tegenstelling tot wat ze handmatig hadden kunnen doen? Hoe ziet dat eruit wanneer ze daadwerkelijk in praktijk worden gebracht?
Bullett Manale: Vraag je je af, wat is het verschil met betrekking tot het handmatig verwerken van deze tool? Is dat de vraag?
Dez Blanchfield: Nou, specifiek de impact van het bedrijf. Dus als we bijvoorbeeld proberen naleving in een handmatig proces te leveren, weet u, we doen steevast een lange tijd met veel mensen. Maar ik denk dat, om wat context te geven rond de vraag, zoals je weet, we het hebben over een enkele persoon die deze tool uitvoert en mogelijk 50 mensen vervangt, en hetzelfde in realtime of in uren versus maanden kan doen? Is dat soort, wat blijkt dat over het algemeen te zijn?
Bullett Manale: Nou, ik bedoel, het komt neer op een paar dingen. Men is in staat om die vragen te beantwoorden. Sommige van die dingen zullen niet heel gemakkelijk worden gedaan. Dus ja, de tijd die nodig is om de dingen van eigen bodem te doen, om de rapporten zelf te schrijven, om de sporen of de uitgebreide evenementen in te stellen om de gegevens handmatig te verzamelen, kan veel tijd kosten. Echt, ik zal je wat geven, ik bedoel, dit heeft niet echt betrekking op databases in het algemeen, maar zoals direct nadat de Enron gebeurde en SOX de overhand kreeg, was ik bij een van de grotere oliemaatschappijen in Houston, en we telden voor, Ik denk dat 25 procent van onze bedrijfskosten verband hielden met SOX-compliance.
Dat was direct erna en dat was een soort van de eerste eerste stap bij SOX, maar het ding met, ik zou zeggen, weet je, je krijgt veel voordeel door deze tool te gebruiken in de zin dat het niet veel vereist van mensen om dit te doen en veel verschillende soorten mensen om het te doen. En zoals ik al zei, de DBA is meestal niet de man die er echt naar uitkijkt om die gesprekken met de auditors te hebben. Dus in veel gevallen zullen we zien dat de DBA dit kan offloaden en het rapport dat aan de auditor wordt gekoppeld kan verstrekken en dat ze zichzelf volledig uit de vergelijking kunnen verwijderen in plaats van erbij betrokken te hoeven zijn. Dus, weet u, dat is ook een enorme besparing in termen van middelen wanneer u dat kunt doen.
Dez Blanchfield: Je hebt het over enorme kostenbesparingen, toch? De organisaties verwijderen niet alleen het risico en de overhead ervan, maar ik bedoel in wezen dat je het hebt over een aanzienlijke kostenreductie, A) operationeel en ook B) in het feit dat, weet je, als ze daadwerkelijk kunnen zorgen voor real- time compliance-rapportage dat er een aanzienlijk lager risico is op een datalek of een wettelijke boete of impact omdat u niet compliant bent, toch?
Bullett Manale: Ja, absoluut. Ik bedoel, omdat je niet compliant bent, gebeuren er allerlei slechte dingen. Ze kunnen deze tool gebruiken en het zou geweldig zijn of niet en ze zullen ontdekken hoe erg het echt is. Dus ja, het is duidelijk niet alleen de tool, je kunt je controles doen en alles zonder een tool als deze. Zoals ik al zei, het gaat gewoon veel meer tijd en kosten kosten.
Dez Blanchfield: Dat is geweldig. Dus Eric, ik ga terug naar jou omdat ik denk dat het afhaalrestaurant voor mij is dat, weet je, het soort markt fantastisch is. Maar in wezen is het ding ook zijn gewicht in goud waard op basis van het feit dat het in staat is om de commerciële impact van een probleem dat zich voordoet te voorkomen of de tijd die het kost om te rapporteren en de naleving te verminderen, te verkorten, maakt het weet je tool betaalt zichzelf onmiddellijk door de geluiden van dingen.
Eric Kavanagh: Dat klopt precies. Heel erg bedankt voor je tijd vandaag, Bullett. Bedankt aan jullie allemaal voor je tijd en aandacht, en Robin en Dez. Nog een geweldige presentatie vandaag. Dank aan onze vrienden bij IDERA voor het gratis ter beschikking stellen van deze inhoud. We zullen deze webcast archiveren voor later bekijken. Het archief is meestal binnen ongeveer een dag geopend. En laat ons weten wat u vindt van onze nieuwe website, insideanalysis.com. Een geheel nieuw ontwerp, een geheel nieuwe look en feel. We horen graag je feedback en daarmee ga ik je vaarwel zeggen, mensen. Je kunt me mailen. Anders zullen we je volgende week inhalen. We hebben zeven webcasts in de komende vijf weken of zoiets. We gaan het druk hebben. En we zullen later deze maand aanwezig zijn op de Strata-conferentie en de IBM Analyst Summit in New York. Dus als je daar in de buurt bent, kom dan langs en zeg hallo. Wees voorzichtig, mensen. Tot ziens.
