โดยเจ้าหน้าที่ Techopedia 14 กันยายน 2559
Takeaway: Host Eric Kavanagh กล่าวถึงการตรวจสอบฐานข้อมูลและการปฏิบัติตามนักวิเคราะห์ Robin Bloor และ Dez Blanchfield รวมถึง Bullett Manale of IDERA ในตอนนี้ของ Hot Technologies
คุณยังไม่ได้เข้าสู่ระบบโปรดเข้าสู่ระบบหรือลงทะเบียนเพื่อดูวิดีโอ
Eric Kavanagh: ท่านสุภาพบุรุษและสุภาพสตรีสวัสดีและยินดีต้อนรับกลับมาอีกครั้งเพื่อเทคโนโลยีสุดฮอต! ใช่แน่นอนในปี 2016 เราอยู่ในปีที่สามของการแสดงนี้มันเป็นสิ่งที่น่าตื่นเต้นมาก เราได้โยกและกลิ้งในปีนี้ นี่คือ Eric Kavanagh โฮสต์ของคุณ หัวข้อสำหรับวันนี้ - นี่เป็นหัวข้อที่ยอดเยี่ยมมีแอปพลิเคชั่นมากมายในอุตสาหกรรมต่างๆค่อนข้างตรงไปตรงมา - "ใครอะไรที่ไหนที่ไหนและอย่างไร: ทำไมคุณถึงอยากรู้" ใช่แน่นอนเราจะพูดถึงเรื่องสนุก ๆ มีสไลด์เกี่ยวกับตัวคุณอย่างแท้จริงมาหาฉันที่ Twitter @eric_kavanagh ฉันพยายามทวีตใหม่ทั้งหมดที่กล่าวถึงและทวีตสิ่งที่มีคนส่งถึงฉัน ไม่อย่างนั้นไม่ว่าจะเป็น
มันร้อนใช่แล้ว! การแสดงทั้งหมดที่นี่ถูกออกแบบมาเพื่อช่วยให้องค์กรและบุคคลเข้าใจเทคโนโลยีเฉพาะ เราออกแบบโปรแกรมทั้งหมดที่นี่เทคโนโลยีสุดฮอตเพื่อเป็นแนวทางในการกำหนดซอฟต์แวร์ประเภทใดประเภทหนึ่งหรือแนวโน้มเฉพาะหรือเทคโนโลยีประเภทใดประเภทหนึ่ง เหตุผลก็คือในโลกของซอฟแวร์คุณมักจะได้รับเงื่อนไขทางการตลาดเหล่านี้ที่ได้รับการพูดคุยและบางครั้งพวกเขาสามารถกำจัดแนวคิดที่พวกเขาตั้งใจจะอธิบาย
ในรายการนี้เรากำลังพยายามช่วยให้คุณเข้าใจว่าเทคโนโลยีชนิดใดทำงานอย่างไรเมื่อคุณสามารถใช้งานได้เมื่อคุณไม่ควรใช้และอาจให้รายละเอียดมากที่สุดเท่าที่จะทำได้ เราจะมีผู้นำเสนอสามคนในวันนี้: Robin Bloor ของเราเองหัวหน้านักวิเคราะห์ที่นี่ที่ Bloor Group; นักวิทยาศาสตร์ด้านข้อมูลของเราโทรมาจากซิดนีย์ออสเตรเลียในอีกด้านหนึ่งของโลก Dez Blanchfield และเป็นหนึ่งในแขกโปรดของเรา Bullett Manale ผู้อำนวยการฝ่ายขายของ IDERA
ฉันจะพูดอะไรสองสามอย่างที่นี่ทำความเข้าใจว่าใครทำอะไรกับข้อมูลส่วนไหนนั่นก็เหมือนกับการกำกับดูแลใช่มั้ย หากคุณคิดถึงกฎระเบียบทั้งหมดที่เกี่ยวกับอุตสาหกรรมเช่นการดูแลสุขภาพและบริการทางการเงินในโดเมนเหล่านั้นสิ่งนั้นมีความสำคัญอย่างเหลือเชื่อ คุณต้องรู้ว่าใครบ้างที่สัมผัสข้อมูลใครเปลี่ยนอะไรบางอย่างใครบ้างที่เข้าถึงข้อมูลใครเป็นคนอัปโหลด เชื้อสายคืออะไรการจัดเตรียมของข้อมูลนี้คืออะไร? คุณสามารถมั่นใจได้ว่าปัญหาเหล่านี้ทั้งหมดจะยังคงโดดเด่นในช่วงหลายปีที่ผ่านมาด้วยเหตุผลหลายประการ ไม่เพียง แต่ปฏิบัติตาม HIPAA และ Sarbanes-Oxley และ Dodd-Frank และข้อบังคับเหล่านี้มีความสำคัญมาก แต่คุณยังต้องเข้าใจธุรกิจของคุณที่กำลังทำอะไรที่ไหนเมื่อไรทำไมและอย่างไร นี่คือสิ่งที่ดีเราจะต้องให้ความสนใจ
เอาเลยเอาไปโรบินบลอร์
Robin Bloor: โอเคขอบคุณมากสำหรับการแนะนำเอริค ฉันหมายถึงการกำกับดูแลในเรื่องนี้การกำกับดูแลด้านไอทีไม่ใช่คำที่คุณได้ยินจนกระทั่งหลังจากปี 2000 ฉันคิดว่า มาเป็นหลักเพราะฉันคิดว่ามันเกี่ยวกับมาเป็นหลักเพราะมีการออกกฎหมายการปฏิบัติตามที่เกิดขึ้น โดยเฉพาะอย่างยิ่ง HIPAA และ Sarbanes-Oxley มีอยู่มากมายจริงๆ ดังนั้นองค์กรจึงตระหนักว่าพวกเขาจะต้องมีชุดของกฎและชุดของขั้นตอนเพราะมันเป็นสิ่งจำเป็นภายใต้กฎหมายที่จะทำเช่นนั้น นานก่อนหน้านั้นโดยเฉพาะอย่างยิ่งในภาคธนาคารมีการริเริ่มต่าง ๆ ที่คุณต้องเชื่อฟังขึ้นอยู่กับว่าคุณเป็นธนาคารประเภทใดและโดยเฉพาะอย่างยิ่งธนาคารต่างประเทศ วิธีการเริ่มต้นที่เป็นไปตาม Basel ทั้งหมดเริ่มต้นก่อนที่จะมีการริเริ่มชุดใหม่หลังจากปี 2000 ทั้งหมดนี้เกิดขึ้นกับการกำกับดูแล ฉันคิดว่าฉันจะพูดถึงเรื่องของการกำกับดูแลเพื่อเป็นการแนะนำเกี่ยวกับการจับตาดูว่าใครได้รับข้อมูล
การกำกับข้อมูลฉันเคยมองไปรอบ ๆ ฉันคิดว่าประมาณห้าหรือหกปีที่แล้วมองไปรอบ ๆ เพื่อหาคำจำกัดความและมันก็ไม่ได้กำหนดไว้อย่างดีเลย มันชัดเจนและชัดเจนขึ้นว่ามันหมายถึงอะไรจริง ความเป็นจริงของสถานการณ์คือภายในขอบเขตที่ จำกัด ข้อมูลทั้งหมดถูกควบคุมก่อนหน้านี้ แต่ไม่มีกฎอย่างเป็นทางการสำหรับมัน มีกฎพิเศษที่ทำขึ้นโดยเฉพาะในอุตสาหกรรมการธนาคารเพื่อทำสิ่งนั้น แต่อีกครั้งนั้นเกี่ยวกับการปฏิบัติตามกฎระเบียบมากกว่า ไม่ทางใดก็ทางหนึ่งที่พิสูจน์ว่าคุณเป็นจริง - มันเกี่ยวข้องกับความเสี่ยงดังนั้นการพิสูจน์ว่าคุณเป็นธนาคารที่มีศักยภาพเป็นข้อตกลง
หากคุณดูความท้าทายด้านการกำกับดูแลในตอนนี้มันเริ่มต้นด้วยการเคลื่อนย้ายข้อมูลขนาดใหญ่ เรามีแหล่งข้อมูลจำนวนมากขึ้น ปริมาณข้อมูลของหลักสูตรเป็นปัญหากับที่ โดยเฉพาะอย่างยิ่งเราเริ่มทำมากยิ่งขึ้นกับข้อมูลที่ไม่มีโครงสร้าง มันเริ่มกลายเป็นสิ่งที่เป็นส่วนหนึ่งของเกมการวิเคราะห์ทั้งหมด และเนื่องจากการวิเคราะห์แหล่งข้อมูลและเชื้อสายจึงมีความสำคัญ จากมุมมองของการใช้การวิเคราะห์ข้อมูลไม่ว่าในทางใดก็ตามที่เกี่ยวข้องกับการปฏิบัติตามกฎระเบียบใด ๆ คุณต้องมีความรู้ว่าข้อมูลมาจากไหนและเป็นอย่างไร
การเข้ารหัสข้อมูลเริ่มเป็นปัญหากลายเป็นปัญหาที่ใหญ่ขึ้นทันทีที่เราไปที่ Hadoop เพราะความคิดเกี่ยวกับ data lake ที่เราเก็บข้อมูลไว้มากมายทันใดนั้นหมายความว่าคุณมีช่องโหว่ขนาดใหญ่ของคนที่สามารถรับ ที่มัน การเข้ารหัสข้อมูลมีความโดดเด่นกว่ามาก การรับรองความถูกต้องเป็นปัญหาเสมอ ในสภาพแวดล้อมแบบเก่าสภาพแวดล้อมเมนเฟรมอย่างเข้มงวดพวกเขามีการป้องกันความปลอดภัยที่ยอดเยี่ยมเช่นนั้น การรับรองความถูกต้องไม่เคยเป็นปัญหามากนัก ต่อมามันกลายเป็นปัญหาที่ใหญ่กว่าและมันก็มีปัญหาอีกมากในตอนนี้เพราะเรามีสภาพแวดล้อมที่มีการกระจายอย่างมหาศาล การตรวจสอบการเข้าถึงข้อมูลที่กลายเป็นปัญหา ฉันดูเหมือนจะจำเครื่องมือต่าง ๆ ที่เกิดขึ้นประมาณสิบปีที่ผ่านมา ฉันคิดว่าสิ่งเหล่านี้ส่วนใหญ่ได้รับแรงหนุนจากความคิดริเริ่มการปฏิบัติตาม ดังนั้นเราจึงได้กฎการปฏิบัติตามกฎทั้งหมดการรายงานการปฏิบัติตาม
สิ่งที่อยู่ในใจคือแม้กระทั่งในช่วงปี 1990 เมื่อคุณทำการทดลองทางคลินิกในอุตสาหกรรมยาคุณไม่เพียงต้องสามารถพิสูจน์ได้ว่าข้อมูลมาจากไหน - เห็นได้ชัดว่ามันสำคัญมากหากคุณพยายาม ยาเสพติดในบริบทต่าง ๆ เพื่อรู้ว่าใครกำลังพยายามทำอยู่และข้อมูลบริบทรอบตัวคุณต้องให้การตรวจสอบซอฟต์แวร์ที่สร้างข้อมูลจริง ๆ มันเป็นข้อปฏิบัติที่รุนแรงที่สุดที่ฉันเคยเห็นในทุกแง่มุมในการพิสูจน์ว่าคุณไม่ได้ยุ่งกับสิ่งต่าง ๆ โดยเจตนาหรือไม่ตั้งใจ ในครั้งล่าสุดการจัดการวงจรข้อมูลโดยเฉพาะอย่างยิ่งได้กลายเป็นปัญหา ทั้งหมดนี้เป็นความท้าทายเพราะสิ่งเหล่านี้ยังไม่ได้ผล ในหลายสถานการณ์จำเป็นต้องทำเช่นนั้น
นี่คือสิ่งที่ฉันเรียกว่าปิรามิดข้อมูล ฉันเคยพูดคุยเรื่องนี้มาก่อน ฉันพบว่ามันเป็นวิธีที่น่าสนใจมากในการมองสิ่งต่าง ๆ คุณสามารถนึกถึงข้อมูลว่ามีเลเยอร์ ข้อมูลดิบหากคุณต้องการเป็นเพียงสัญญาณหรือการวัดการบันทึกเหตุการณ์บันทึกส่วนใหญ่เท่านั้น การทำธุรกรรมการคำนวณและการรวมที่แน่นอนอาจสร้างข้อมูลใหม่ พวกเขาสามารถคิดในระดับของข้อมูล ยิ่งไปกว่านั้นเมื่อคุณเชื่อมต่อข้อมูลเข้าด้วยกันมันจะกลายเป็นข้อมูล มันมีประโยชน์มากกว่า แต่แน่นอนว่ามันจะมีความเสี่ยงต่อผู้ที่ถูกแฮ็คหรือใช้ในทางที่ผิด ฉันกำหนดว่าในขณะที่ถูกสร้างขึ้นจริง ๆ แล้วผ่านโครงสร้างของข้อมูลความสามารถในการเห็นภาพข้อมูลที่มีอภิธานศัพท์, schemas, ontology เกี่ยวกับข้อมูล เลเยอร์สองชั้นล่างนั้นเป็นสิ่งที่เราดำเนินการไม่ทางใดทางหนึ่ง ข้างต้นนั่นคือสิ่งที่ฉันเรียกว่าเลเยอร์ของความรู้ซึ่งประกอบด้วยกฎนโยบายแนวทางขั้นตอน ซึ่งบางส่วนอาจถูกสร้างขึ้นจริงโดยข้อมูลเชิงลึกที่ค้นพบในการวิเคราะห์ ส่วนใหญ่เป็นนโยบายที่คุณต้องปฏิบัติตาม นี่คือเลเยอร์ของการกำกับดูแลหากคุณต้องการ ที่นี่ไม่ทางใดก็ทางหนึ่งถ้าเลเยอร์นี้ไม่ได้รับการเติมอย่างเหมาะสมดังนั้นเลเยอร์ทั้งสองด้านล่างจะไม่ได้รับการจัดการ ประเด็นสุดท้ายเกี่ยวกับเรื่องนี้คือการทำความเข้าใจในสิ่งที่อยู่ในมนุษย์เท่านั้น คอมพิวเตอร์ยังไม่สามารถทำเช่นนั้นได้ขอบคุณ มิฉะนั้นฉันจะออกจากงาน
จักรวรรดิธรรมาภิบาล - ฉันรวบรวมมันเข้าด้วยกันฉันคิดว่ามันน่าจะประมาณเก้าเดือนที่แล้วอาจจะเร็วกว่านั้นมาก โดยพื้นฐานแล้วฉันปรับปรุงมัน แต่ทันทีที่เราเริ่มกังวลเกี่ยวกับการกำกับดูแลแล้วในแง่ของฮับข้อมูลขององค์กรนั้นไม่ได้มีแค่แหล่งเก็บข้อมูลแหล่งข้อมูลดาต้าแวร์ แต่ยังรวมถึงเซิร์ฟเวอร์ทั่วไปทุกประเภท เซิร์ฟเวอร์ข้อมูลผู้เชี่ยวชาญ ทั้งหมดนี้จำเป็นต้องได้รับการควบคุม เมื่อคุณมองมิติต่างๆเช่นความปลอดภัยของข้อมูลการล้างข้อมูลการค้นหาข้อมูลเมตาและการจัดการเมทาดาทาการสร้างอภิธานศัพท์ทางธุรกิจการแมปข้อมูลการจัดสายข้อมูลการจัดการวงจรชีวิตข้อมูลจากนั้นการจัดการตรวจสอบประสิทธิภาพการจัดการระดับบริการ การจัดการระบบซึ่งคุณอาจไม่ได้เกี่ยวข้องกับการกำกับดูแล แต่อย่างแน่นอน - ตอนนี้เรากำลังจะไปสู่โลกที่เร็วขึ้นและเร็วขึ้นด้วยดาต้าโฟลว์มากขึ้นจริง ๆ แล้วการสามารถทำบางสิ่งบางอย่างด้วยประสิทธิภาพบางอย่างนั้นเป็นสิ่งจำเป็น เริ่มที่จะกลายเป็นกฎของการดำเนินงานมากกว่าสิ่งอื่นใด
โดยสรุปในแง่ของการเติบโตของการปฏิบัติตามฉันได้เห็นสิ่งนี้เกิดขึ้นในช่วงหลายปีที่ผ่านมา แต่การปกป้องข้อมูลทั่วไปเกิดขึ้นจริงในปี 1990 ในยุโรป มันมีมากขึ้นและมีความซับซ้อนมากขึ้นตั้งแต่นั้นมา จากนั้นทุกสิ่งเหล่านี้เริ่มที่จะได้รับการแนะนำหรือทำให้ซับซ้อนยิ่งขึ้น GRC ซึ่งเป็นความเสี่ยงด้านการกำกับดูแลและการปฏิบัติตามกฎระเบียบได้ดำเนินต่อไปตั้งแต่ธนาคารทำบาเซิล ISO ได้สร้างมาตรฐานของการปฏิบัติงานหลายประเภท ฉันรู้อยู่ตลอดเวลาว่าฉันอยู่ในแวดวงไอทีมานานแล้ว - รัฐบาลสหรัฐมีบทบาทอย่างแข็งขันในการสร้างกฎหมายต่าง ๆ : SOX มีแกรม - กรอง - แบลลีย์, HIPAA, FISMA, FERPA คุณยังมีองค์กร NIST ที่ยอดเยี่ยมที่สร้างมาตรฐานมากมายโดยเฉพาะมาตรฐานความปลอดภัยมีประโยชน์มาก กฎหมายคุ้มครองข้อมูลในยุโรปมีความแตกต่างในท้องถิ่น ตัวอย่างเช่นคุณสามารถทำอะไรกับข้อมูลส่วนบุคคลในเยอรมนีแตกต่างจากสิ่งที่คุณสามารถทำได้ในสาธารณรัฐสโลวะเกียหรือสโลวีเนียหรือที่ใดก็ตาม พวกเขาแนะนำเมื่อเร็ว ๆ นี้ - และฉันคิดว่าฉันจะพูดถึงเรื่องนี้เพราะฉันคิดว่ามันน่าขบขัน - ยุโรปกำลังแนะนำแนวคิดที่ถูกลืม กล่าวคือควรมีข้อ จำกัด เกี่ยวกับข้อมูลที่เปิดเผยต่อสาธารณชนว่าเป็นข้อมูลส่วนบุคคล ฉันคิดว่ามันเฮฮา จากมุมมองของฝ่ายไอทีที่เป็นไปได้ยากมากหากเริ่มเป็นกฎหมายที่มีประสิทธิภาพ โดยสรุปฉันพูดได้ดังต่อไปนี้: เนื่องจากข้อมูลและการจัดการด้านไอทีกำลังพัฒนาอย่างรวดเร็วการกำกับดูแลจึงต้องมีการพัฒนาอย่างรวดเร็วและใช้ได้กับทุกด้านของการกำกับดูแล
ต้องบอกว่าฉันจะส่งบอลให้เดซ
Eric Kavanagh: ใช่แล้วดังนั้น Dez Blanchfield เอามันออกไป Robin ฉันอยู่กับคุณชายฉันกำลังจะตายเพื่อดูว่าสิทธิ์นี้ถูกลืมได้อย่างไร ฉันคิดว่ามันจะไม่ใช่แค่ท้าทาย แต่เป็นไปไม่ได้ มันเป็นเพียงการละเมิดรอที่จะใช้โดยหน่วยงานภาครัฐ โปรดนำมันออกไป
Dez Blanchfield: มันเป็นเรื่องจริงและเป็นหัวข้อสำหรับการสนทนาอื่น เรามีความท้าทายที่คล้ายกันมากที่นี่ในเอเชียแปซิฟิกโดยเฉพาะอย่างยิ่งในประเทศออสเตรเลียที่ผู้ให้บริการและผู้ให้บริการอินเทอร์เน็ตจำเป็นต้องบันทึกทุกอย่างที่เกี่ยวข้องกับอินเทอร์เน็ตและสามารถบันทึกและสำรอกมันในกรณีที่ใครบางคนสนใจทำอะไรผิด มันเป็นกฎหมายและคุณต้องปฏิบัติตาม ความท้าทายเช่นเดียวกับบางคนใน Google ในสหรัฐอเมริกาอาจถูกบอกให้ลบประวัติการค้นหาของฉันหรืออะไรก็ตามมันอาจจะเป็นไปตามกฎหมายของยุโรปโดยเฉพาะกฎหมายความเป็นส่วนตัวของเยอรมัน ในออสเตรเลียหากเอเจนซี่ต้องการที่จะมองคุณผู้ให้บริการจะต้องสามารถให้รายละเอียดของการโทรและประวัติการค้นหาซึ่งเป็นสิ่งที่ท้าทาย แต่เป็นโลกที่เราอาศัยอยู่มีเหตุผลหลายประการ ขอผมกระโดดเข้าไปในเหมือง
ฉันจงใจทำให้หน้าชื่อเรื่องอ่านยาก คุณต้องดูข้อความนี้ให้หนัก การปฏิบัติตามกฎระเบียบข้อกำหนดข้อกำหนดการควบคุมนโยบายมาตรฐานหรือกฎหมายด้วยภูมิหลังที่ไร้สาระ นั่นเป็นเพราะคุณต้องดูอย่างหนักเพื่อให้ได้รายละเอียดและดึงข้อมูลจากสิ่งที่วางซ้อนซึ่งเป็นชุดของตารางและแถวและคอลัมน์ทั้งฐานข้อมูลแบบแผนหรือแบบจำลองใน Visio นั่นคือสิ่งที่ปฏิบัติตามความรู้สึกเหมือนวันต่อวัน เป็นการยากที่จะดำน้ำในรายละเอียดและดึงข้อมูลที่เกี่ยวข้องที่คุณต้องการเพื่อยืนยันว่าคุณเป็นไปตามมาตรฐาน รายงานสิ่งนั้นตรวจสอบและทดสอบ
ในความเป็นจริงฉันคิดว่าวิธีที่ดีมากในการมองภาพนี้เมื่อเราถามคำถามตัวเองว่า "คุณปฏิบัติตามหรือไม่" "คุณแน่ใจไหม?" "พิสูจน์ได้! มีสิ่งที่สนุกจริงๆที่อาจจะเป็นแองโกล - เซลติกเพิ่มขึ้นนิดหน่อย แต่ฉันแน่ใจว่ามันกำลังเดินทางไปทั่วโลกสู่สหรัฐอเมริกาดังนั้นมันคือ: "Where's Wally?" วอลลี่เป็นตัวละครตัวเล็ก ๆ ที่เข้ามาในภาพวาดการ์ตูนเหล่านี้ในรูปแบบของหนังสือ โดยปกติแล้วรูปภาพขนาดใหญ่ของ A3 หรือใหญ่กว่า ดังนั้นภาพวาดขนาดตาราง เขาเป็นตัวละครตัวเล็ก ๆ ที่สวมหมวกและเสื้อเชิ้ตลายทางสีแดงขาว ความคิดของเกมคือคุณดูรูปนี้และมองไปรอบ ๆ เพื่อลองหา Wally เขาอยู่ในรูปนั้นมีอยู่ที่ไหนซักแห่ง เมื่อคุณคิดถึงวิธีการค้นพบและอธิบายและรายงานเกี่ยวกับการปฏิบัติตามกฎในหลาย ๆ อย่างมันเหมือนกับการเล่น“ Where's Wally” ถ้าคุณดูรูปนั้นมันแทบจะเป็นไปไม่ได้เลยที่จะหาตัวละคร เด็ก ๆ ใช้เวลาหลายชั่วโมงในการทำสิ่งนั้นและฉันสนุกมากที่ทำสิ่งนั้นด้วยตัวเองเมื่อวานนี้ เมื่อเรามองดูเราจะพบผู้คนจำนวนมากในการ์ตูนเหล่านี้โดยจงใจวางไว้ที่นั่นด้วยชิ้นส่วนที่คล้ายกันของชุด Wally ของหมวกลายและเสื้อหรือผ้าขนสัตว์ แต่พวกเขากลับกลายเป็นผลบวกปลอม
นี่เป็นความท้าทายที่คล้ายกันที่เรามีกับการปฏิบัติตาม เมื่อเราดูสิ่งต่าง ๆ บางครั้งสิ่งที่เราคิดว่าเป็นกรณีนี้ก็ไม่ใช่กรณี บางคนอาจมีการเข้าถึงฐานข้อมูลและพวกเขาควรจะมีสิทธิ์เข้าถึงฐานข้อมูลนั้น แต่วิธีการที่พวกเขาใช้มันแตกต่างจากที่เราคาดไว้เล็กน้อย เราอาจตัดสินใจว่านั่นเป็นสิ่งที่เราต้องดู เมื่อเรามองเข้าไปเราพบว่าจริงๆแล้วมันเป็นผู้ใช้ที่ถูกต้องมาก พวกเขากำลังทำสิ่งที่แปลกประหลาด อาจจะเป็นนักวิจัยพีซีหรือใครจะรู้ ในกรณีอื่น ๆ อาจเป็นสิ่งที่ตรงกันข้าม ความจริงเมื่อฉันไปข้างหน้าอีกครั้งมี Wally หากคุณดูหนักมากในความละเอียดสูงนี้มีตัวละครตัวหนึ่งที่สวมชุดที่เหมาะสม คนอื่น ๆ ทั้งหมดเป็นเพียงคนที่ดูเหมือนและรู้สึกเหมือนกัน การปฏิบัติตามกฎระเบียบนั้นให้ความรู้สึกเป็นอย่างมาก คนส่วนใหญ่ฉันรู้ว่าพวกเขาทำงานในการควบคุมและการปฏิบัติตามนโยบายและพื้นที่ของธุรกิจ ไม่ว่าจะเป็นด้านเทคโนโลยีไม่ว่าจะเป็นด้านการเงินหรือด้านปฏิบัติการและความเสี่ยง บ่อยครั้งที่ยากมากที่จะเห็น Wally ในภาพคุณจะเห็นต้นไม้หรือไม้
คำถามที่เราถามตัวเองเมื่อเราคิดถึงสิ่งต่าง ๆ เช่นการปฏิบัติตามกฎระเบียบคือ "เรื่องใหญ่อะไรที่อาจผิดไปหากเราไม่ปฏิบัติตามกฎระเบียบ" ในบริบทของการสนทนาวันนี้โดยเฉพาะเกี่ยวกับฐานข้อมูลและการควบคุมการเข้าถึงข้อมูลฉันจะให้ตัวอย่างการโทรปลุกจริง ๆ แก่คุณเกี่ยวกับสิ่งที่ผิดพลาดในรูปแบบรวบรัดสั้น ๆ หากเราคิดถึงการรั่วไหลของข้อมูลและเราทุกคนคุ้นเคยกับการรั่วไหลของข้อมูลเราได้ยินพวกเขาในสื่อและเราหยุดและหัวเราะเพราะคนคิดว่ามันเป็นตลาด มันเป็นเรื่องส่วนตัว แอชลีย์เมดิสันและผู้ที่กำลังมองหาเพื่อออกเดทนอกความสัมพันธ์และการแต่งงาน มันโยนบัญชี มันคือสิ่งแปลกประหลาดเหล่านี้หรือผู้ให้บริการอินเทอร์เน็ตแบบยุโรปหรือรัสเซียหรือ บริษัท โฮสติ้งที่ถูกแฮ็ก เมื่อมาถึงสิ่งต่าง ๆ เช่น MySpace และสิบอันดับแรกเมื่อคุณดูตัวเลขเหล่านี้สิ่งที่ฉันต้องการให้คุณรู้คือ: รายละเอียด 1.1 พันล้านคนในสิบอันดับแรก และใช่มีการทับซ้อนอาจเป็นคนที่มีบัญชี MySpace และบัญชี Dropbox และบัญชี Tumblr แต่ลองปัดมันขึ้นมาเป็นพันล้านคน
สิบอันดับแรกของการละเมิดในช่วงสิบปีที่ผ่านมาหรือในกรณีส่วนใหญ่ไม่รวมถึงสิบปีที่ผ่านมาสรุปจำนวนประชากรมนุษย์ประมาณหนึ่งในเจ็ดของโลก แต่ในความเป็นจริงประมาณ 50 เปอร์เซ็นต์ของจำนวนคนเชื่อมต่อกับ อินเทอร์เน็ตกว่าพันล้านคน สิ่งเหล่านี้เกิดขึ้นเพราะการปฏิบัติตามกฎระเบียบไม่ได้พบในบางกรณี ในกรณีส่วนใหญ่เป็นการควบคุมการเข้าถึงฐานข้อมูลการควบคุมการเข้าถึงชุดข้อมูลเฉพาะและระบบและเครือข่าย นี่คือการตรวจสอบความเป็นจริงที่น่ากลัว ถ้ามันไม่ทำให้คุณหวาดกลัวเมื่อคุณดูอันดับหนึ่งในสิบและคุณจะเห็นว่านี่คือ - หรือสามารถเห็นได้ว่านี่คือหนึ่งพันล้านคนมนุษย์ที่แท้จริงเช่นเดียวกับเราในตอนนี้ หากคุณมีบัญชี LinkedIn หากคุณมีบัญชี Dropbox หรือบัญชี Tumblr หรือหากคุณซื้อจากผลิตภัณฑ์ Adobe หรือแม้แต่การลงทะเบียนดาวน์โหลดโปรแกรมดู Adobe ฟรี มีความเป็นไปได้อย่างมากว่าเป็นไปไม่ได้เป็นไปได้อย่างสิ้นเชิงว่ารายละเอียดชื่อนามสกุลที่อยู่อีเมลของคุณหรือแม้แต่ที่อยู่ บริษัท ที่ทำงานของคุณหรือที่อยู่บ้านหรือบัตรเครดิตของคุณนั้นมีสาเหตุมาจากการฝ่าฝืน ที่เกิดขึ้นเนื่องจากการควบคุมที่ไม่จำเป็นต้องมีการจัดการที่ดีในรูปแบบของการจัดการข้อมูลการกำกับดูแลข้อมูล
เรามาดูกันในรายละเอียดที่แท้จริง มีหนึ่งหน้าจอของพวกเขามีประมาณ 50 อย่างที่นั่น มีอีก 15. มีประมาณ 25 อีกเหล่านี้เป็นการละเมิดข้อมูลที่ระบุไว้ในเว็บไซต์ที่เรียกว่า haveibeenpwned.com นี่คือสิ่งที่อาจผิดไปถ้าสิ่งที่ง่าย ๆ เช่นการควบคุมผู้ที่สามารถเข้าถึงข้อมูลในฐานข้อมูลในเขตข้อมูลและแถวและคอลัมน์และแอปพลิเคชันที่แตกต่างกันในธุรกิจของคุณไม่ได้รับการจัดการอย่างเหมาะสม องค์กรเหล่านี้ได้รับการขับเคลื่อนข้อมูล ข้อมูลส่วนใหญ่อาศัยอยู่ในฐานข้อมูลในบางรูปแบบ เมื่อคุณคิดเกี่ยวกับสิ่งนั้นรายการการละเมิดที่เราเพิ่งดูและหวังว่ามันจะทำให้คุณรู้สึกถึงความเย็นในการที่คุณคิดว่า "อืมมันเป็นเรื่องจริง" และอาจส่งผลกระทบต่อคุณ ในปี 2012 ตัวอย่างเช่นการฝ่าฝืน LinkedIn ผู้เชี่ยวชาญส่วนใหญ่มีบัญชี LinkedIn วันนี้และเป็นไปได้ว่ารายละเอียดของคุณจะหายไป พวกเขาออกมาทางอินเทอร์เน็ตตั้งแต่ปี 2012 เราเพิ่งได้รับการบอกเล่าเกี่ยวกับเรื่องนี้ในปี 2559 เกิดอะไรขึ้นกับข้อมูลของคุณในช่วงสี่ปีที่ผ่านมา? มันเป็นเรื่องที่น่าสนใจและเราสามารถพูดคุยกันได้
การจัดการฐานข้อมูลและระบบ - ฉันมักจะพูดคุยเกี่ยวกับสิ่งที่ฉันพิจารณาความท้าทายห้าอันดับแรกในการจัดการสิ่งเหล่านี้ ที่สุดยอดมากและฉันจัดอันดับสิ่งเหล่านี้ตามลำดับความชอบจากตัวเอง แต่ยังมีผลกระทบอันดับที่หนึ่งคือความปลอดภัยและการปฏิบัติตาม การควบคุมและกลไกและนโยบายเกี่ยวกับการควบคุมผู้ที่สามารถเข้าถึงระบบใดด้วยเหตุผลและวัตถุประสงค์อะไร การรายงานเกี่ยวกับสิ่งนั้นและตรวจสอบดูระบบตรวจสอบฐานข้อมูลและดูว่าใครสามารถเข้าถึงระเบียนแต่ละเขตข้อมูลและระเบียนได้
คิดเกี่ยวกับเรื่องนี้ในรูปแบบที่ง่ายมาก ลองมาพูดถึงการจัดการธนาคารและความมั่งคั่งเป็นตัวอย่างหนึ่ง เมื่อคุณลงทะเบียนบัญชีธนาคารสมมติว่าบัญชีเงินสดปกติสำหรับบัตร EFTPOS หรือบัญชีเงินสดหรือบัญชีตรวจสอบ คุณกรอกแบบฟอร์มและมีข้อมูลส่วนตัวจำนวนมากในกระดาษแผ่นนั้นที่คุณกรอกหรือคุณออนไลน์และเข้าสู่ระบบคอมพิวเตอร์ ตอนนี้ถ้าใครในฝ่ายการตลาดต้องการติดต่อคุณและส่งโบรชัวร์ถึงคุณพวกเขาควรได้รับอนุญาตให้เห็นชื่อและนามสกุลและที่อยู่ส่วนตัวของคุณตัวอย่างเช่นและหมายเลขโทรศัพท์ของคุณหากพวกเขาต้องการโทรหาคุณและ ขายคุณบางอย่าง พวกเขาอาจไม่เห็นจำนวนเงินทั้งหมดที่คุณได้รับจากธนาคารด้วยเหตุผลหลายประการ หากใครบางคนกำลังมองคุณจากมุมมองที่มีความเสี่ยงหรือพยายามช่วยคุณทำบางสิ่งเช่นรับอัตราดอกเบี้ยที่ดีขึ้นในบัญชีของคุณบุคคลนั้นอาจต้องการเห็นว่าคุณมีเงินอยู่ในธนาคารมากแค่ไหน ให้ผลตอบแทนที่น่าสนใจในระดับที่เหมาะสมกับคุณ บุคคลสองคนเหล่านี้มีบทบาทที่แตกต่างกันมากและเหตุผลที่แตกต่างกันมากสำหรับบทบาทเหล่านั้นและวัตถุประสงค์สำหรับบทบาทเหล่านั้น เป็นผลให้ต้องเห็นข้อมูลที่แตกต่างกันในบันทึกของคุณ แต่ไม่ได้บันทึกทั้งหมด
ควบคุมเหล่านี้ในรายงานต่าง ๆ ของหน้าจอหรือแบบฟอร์มปกติที่มีในแอปพลิเคชันที่ใช้ในการจัดการบัญชีของคุณ การพัฒนาสิ่งเหล่านี้การบำรุงรักษาสิ่งเหล่านี้การบริหารสิ่งเหล่านั้นการรายงานรอบ ๆ และการกำกับดูแลและการปฏิบัติตามกฎระเบียบที่ห่อหุ้มสิ่งเหล่านั้นอย่างเช่นการห่อฟองทั้งหมดล้วนเป็นความท้าทายที่ยิ่งใหญ่มาก นั่นเป็นความท้าทายอันดับหนึ่งในการจัดการข้อมูลและระบบ เมื่อเราเจาะลึกลงไปถึงประสิทธิภาพและการตรวจสอบและการตรวจจับและการตอบสนองการจัดการและการบริหารระบบและการปฏิบัติตามสิ่งรอบตัวการออกแบบและพัฒนาระบบจากการปฏิบัติตามกฎนั้นจะยิ่งยากขึ้นมาก
การจัดการปัญหาทั้งหมดของการลดความเสี่ยงและปรับปรุงความปลอดภัย ความท้าทายห้าอันดับแรกของฉันในพื้นที่นี้ - และฉันชอบภาพที่ไปกับโต๊ะศุลกากรเมื่อคุณเข้าประเทศ - พวกเขาแสดงหนังสือเดินทางของคุณและพวกเขาตรวจสอบคุณและพวกเขาดูระบบคอมพิวเตอร์ของพวกเขาเพื่อดูว่าคุณควร ผ่านหรือไม่ หากคุณไม่ควรพวกเขาจะพาคุณขึ้นเครื่องบินลำต่อไปที่บ้าน มิฉะนั้นพวกเขาจะให้คุณย้อนกลับไปและพวกเขาถามคำถามเช่น "คุณกำลังจะไปเที่ยวพักผ่อนที่นี่คุณเป็นนักท่องเที่ยวหรือไม่คุณอยู่ที่นี่เพื่อทำงานหรือไม่คุณจะเห็นงานประเภทใด คุณจะมานานแค่ไหนคุณมีเงินเพียงพอที่จะครอบคลุมค่าใช้จ่ายและค่าใช้จ่ายของคุณหรือคุณจะกลายเป็นความเสี่ยงต่อประเทศที่คุณอยู่และพวกเขาอาจต้องดูแลคุณและให้อาหารคุณ?
มีปัญหาบางอย่างเกี่ยวกับพื้นที่ของข้อมูลนี้การจัดการการปกป้องข้อมูล ตัวอย่างเช่นในพื้นที่ฐานข้อมูลเราจำเป็นต้องคิดถึงการหลีกเลี่ยงการหลีกเลี่ยงฐานข้อมูล หากข้อมูลอยู่ในฐานข้อมูลในสภาพแวดล้อมปกติและมีการควบคุมและกลไกรอบ ๆ ในระบบ จะเกิดอะไรขึ้นหากมีการถ่ายโอนข้อมูลใน SQL มากขึ้นและสำรองข้อมูลไว้ในเทป ฐานข้อมูลถูกทิ้งในรูปแบบดิบและสำรองในบางครั้ง บางครั้งมันทำด้วยเหตุผลทางเทคนิคเหตุผลในการพัฒนา สมมติว่ามีการถ่ายโอนฐานข้อมูลและสำรองข้อมูลไว้ในเทป จะเกิดอะไรขึ้นถ้าฉันจับมือเทปและเรียกคืนมันจะเกิดอะไรขึ้น? และฉันได้รับสำเนาดิบของฐานข้อมูลใน SQL มันเป็นไฟล์ MP มันเป็นข้อความฉันอ่านได้ รหัสผ่านทั้งหมดที่เก็บไว้ในการถ่ายโอนข้อมูลนั้นไม่สามารถควบคุมฉันได้เพราะตอนนี้ฉันได้รับการเข้าถึงเนื้อหาจริงของฐานข้อมูลโดยไม่มีกลไกจัดการฐานข้อมูลปกป้องอยู่ ดังนั้นฉันจึงสามารถข้ามความปลอดภัยของแพลตฟอร์มฐานข้อมูลที่ถูกสร้างขึ้นในเครื่องยนต์ด้วยการปฏิบัติตามกฎระเบียบและการจัดการความเสี่ยงเพื่อหยุดฉันดูข้อมูล เนื่องจากผู้พัฒนาระบบและผู้ดูแลระบบอาจเป็นเพราะฉันได้รับมือกับการถ่ายโอนข้อมูลเต็มรูปแบบของฐานข้อมูลที่ควรใช้สำหรับการสำรองข้อมูล
การใช้ข้อมูลในทางที่ผิด - อาจทำให้บางคนเข้าสู่ระบบเป็นบัญชีที่มีการยกระดับและให้ฉันนั่งที่หน้าจอค้นหาข้อมูลหรือสิ่งที่คล้ายกัน การตรวจสอบที่เป็นกรรมสิทธิ์ของการเข้าถึงและการใช้ข้อมูลและการดูข้อมูลหรือการเปลี่ยนแปลงข้อมูล จากนั้นจึงรายงานเกี่ยวกับการควบคุมนั้นและการปฏิบัติตามที่ต้องการ ตรวจสอบปริมาณการใช้และการเข้าถึงและอื่น ๆ ปิดกั้นภัยคุกคามที่มาจากตำแหน่งภายนอกและเซิร์ฟเวอร์ ตัวอย่างเช่นหากมีการนำเสนอข้อมูลผ่านแบบฟอร์มบนเว็บเพจบนอินเทอร์เน็ตการฉีด SQL ของพวกเขาได้รับการคุ้มครองผ่านไฟร์วอลล์และการควบคุมแนวคิดหรือไม่ มีเรื่องราวที่ละเอียดเกี่ยวกับเรื่องนี้ คุณสามารถดูได้ที่นี่ว่ามีเพียงบางสิ่งพื้นฐานที่เราคิดในการบรรเทาและจัดการความเสี่ยงรอบ ๆ ข้อมูลในฐานข้อมูล จริงๆแล้วมันค่อนข้างง่ายที่จะปัดเศษสิ่งเหล่านี้ถ้าคุณอยู่ในระดับที่แตกต่างกันของเทคโนโลยี ความท้าทายนั้นยากขึ้นเรื่อย ๆ เมื่อคุณได้รับข้อมูลมากขึ้นและฐานข้อมูลมากขึ้น มากขึ้นและท้าทายมากขึ้นกับผู้ที่ต้องจัดการระบบและตรวจสอบการใช้งานของพวกเขาติดตามรายละเอียดที่เกี่ยวข้องที่เกี่ยวข้องกับสิ่งที่ Robin พูดถึงโดยเฉพาะเกี่ยวกับการปฏิบัติตามข้อกำหนดส่วนบุคคล บุคคลที่มีการควบคุมและกลไกรอบ ๆ พวกเขาที่ปฏิบัติตาม - ถ้าคุณทำอะไรผิดคุณอาจถูกไล่ออก หากฉันเข้าสู่ระบบในฐานะบัญชีของฉันให้คุณเห็นมันควรจะเป็นความผิดที่ทนไฟ ตอนนี้ฉันให้สิทธิ์การเข้าถึงข้อมูลที่คุณไม่ควรเห็นตามปกติ
มีการปฏิบัติตามข้อกำหนดส่วนบุคคลมีการปฏิบัติตามกฎระเบียบของ บริษัท บริษัท มีนโยบายและกฎระเบียบและการควบคุมที่พวกเขาตั้งไว้เพื่อตัวเองเพื่อให้ บริษัท ทำงานได้ดีและให้ผลตอบแทนจากผลกำไรและผลตอบแทนที่ดีต่อนักลงทุนและผู้ถือหุ้น จากนั้นก็มักจะมีโครงข่ายทั่วประเทศหรือโจเซฟหรือระดับชาติของรัฐบาลกลางตามที่คุณกล่าวว่าการควบคุมและกฎหมายของสหรัฐฯ จากนั้นก็มีทั่วโลก เหตุการณ์ที่ยิ่งใหญ่ที่สุดในโลกที่ Sarbanes-Oxley ชอบซึ่งเป็นบุคคลสองคนที่ถูกขอให้สร้างวิธีปกป้องข้อมูลและระบบ มีบาเซิลในยุโรปและมีการควบคุมทุกอย่างในออสเตรเลียโดยเฉพาะอย่างยิ่งเกี่ยวกับตลาดหลักทรัพย์และแพลตฟอร์มข้อมูลรับรองจากนั้นความเป็นส่วนตัวในระดับบุคคลหรือ บริษัท เมื่อแต่ละสิ่งเหล่านี้เรียงซ้อนกันตามที่คุณเห็นในหนึ่งในเว็บไซต์ที่โรบินมีพวกเขากลายเป็นภูเขาที่แทบจะเป็นไปไม่ได้ที่จะปีนขึ้นไป ค่าใช้จ่ายสูงขึ้นและเราก็ถึงจุดที่วิธีดั้งเดิมดั้งเดิมที่คุณรู้จักเช่นการควบคุมการวัดของมนุษย์นั้นไม่ใช่วิธีการที่เหมาะสมอีกต่อไปเพราะเครื่องชั่งมีขนาดใหญ่เกินไป
เรามีสถานการณ์ที่การปฏิบัติตามเป็นสิ่งที่ฉันเรียกตอนนี้เป็นปัญหาที่เกิดขึ้นตลอดเวลา และนั่นคือที่เราเคยมีจุดเวลาไม่ว่าจะเป็นรายเดือนหรือรายไตรมาสหรือรายปีที่เราจะตรวจสอบสถานะของประเทศของเราและช่วยในการปฏิบัติตามและการควบคุม ตรวจสอบให้แน่ใจว่าบางคนมีสิทธิ์เข้าถึงบางอย่างและไม่มีสิทธิ์เข้าถึงบางอย่างขึ้นอยู่กับสิทธิ์ของพวกเขา ตอนนี้เป็นกรณีของความเร็วของสิ่งต่าง ๆ ที่สิ่งต่าง ๆ เคลื่อนไหวจังหวะที่สิ่งต่าง ๆ เปลี่ยนแปลงระดับที่เรากำลังดำเนินการอยู่ การปฏิบัติตามกฎระเบียบเป็นปัญหาที่เกิดขึ้นตลอดเวลาและวิกฤตการณ์ทางการเงินทั่วโลกเป็นเพียงตัวอย่างหนึ่งที่การควบคุมที่เกี่ยวข้องและมาตรการด้านความปลอดภัยและการปฏิบัติตามกฎระเบียบสามารถหลีกเลี่ยงสถานการณ์ที่เรามีขบวนรถไฟบรรทุกสินค้าที่มีพฤติกรรมบางอย่าง เพียงแค่สร้างสถานการณ์กับคนทั้งโลกได้อย่างมีประสิทธิภาพรู้ว่ามันจะพังและล้มละลาย ในการทำเช่นนั้นเราต้องการเครื่องมือที่เหมาะสม การขว้างมนุษย์ไปบนรถไฟการโยนศพไม่ใช่วิธีที่ถูกต้องอีกต่อไปเพราะขนาดใหญ่เกินไปและสิ่งต่าง ๆ ก็เคลื่อนไหวเร็วเกินไป การสนทนาวันนี้ฉันคิดว่าเรากำลังจะมีเกี่ยวกับประเภทของเครื่องมือที่ใช้กับสิ่งนี้ โดยเฉพาะอย่างยิ่งเครื่องมือที่ IDERA สามารถจัดหาให้เราได้ซึ่งควรทำเช่นนั้น และด้วยความคิดนั้นฉันจะส่งมอบให้ Bullett เพื่อเดินผ่านวัสดุของเขาและแสดงวิธีการของพวกเขาและเครื่องมือที่พวกเขาต้องแก้ปัญหานี้ที่เราได้รับจากคุณตอนนี้
ด้วยสิ่งที่ Bullett ฉันจะมอบให้คุณ
Bullett Manale: ฟังดูดีขอบคุณ ฉันต้องการพูดถึงสไลด์ไม่กี่สไลด์และฉันยังต้องการแสดงผลิตภัณฑ์ที่เราใช้สำหรับฐานข้อมูล SQL Server โดยเฉพาะเพื่อช่วยในการปฏิบัติตามสถานการณ์ จริงๆแล้วความท้าทายในหลาย ๆ กรณี - ฉันจะข้ามผ่านบางส่วน - นี่เป็นเพียงผลงานผลิตภัณฑ์ของเราฉันจะผ่านมันไปเร็วมาก ในแง่ที่ว่าผลิตภัณฑ์นี้จะไปถึงที่ใดและเกี่ยวข้องอย่างไรกับการปฏิบัติตามฉันดึงมันขึ้นมาเหมือนสไลด์แรกเพราะมันเป็นเรื่องทั่วไป“ เฮ้อะไรคือความรับผิดชอบของ DBA” หนึ่งในสิ่งต่าง ๆ คือการควบคุมและตรวจสอบการเข้าถึงของผู้ใช้และยังสามารถสร้างรายงานได้ นั่นจะผูกไว้เมื่อคุณพูดคุยกับผู้สอบบัญชีของคุณว่ากระบวนการนั้นจะแตกต่างกันไปได้ยากเพียงใดขึ้นอยู่กับว่าคุณจะทำด้วยตัวเองหรือถ้าคุณจะใช้บุคคลที่สาม เครื่องมือที่จะช่วย
โดยทั่วไปแล้วเมื่อฉันพูดคุยกับผู้ดูแลระบบฐานข้อมูลหลายครั้งที่พวกเขาไม่เคยมีส่วนร่วมในการตรวจสอบ คุณต้องให้ความรู้แก่พวกเขาเกี่ยวกับสิ่งที่คุณต้องทำ เกี่ยวข้องกับประเภทของการปฏิบัติตามที่จำเป็นต้องปฏิบัติตามและสามารถพิสูจน์ได้ว่าคุณกำลังปฏิบัติตามกฎจริงตามที่ใช้กับการปฏิบัติตามระดับนั้น ผู้คนจำนวนมากไม่เข้าใจในตอนแรก พวกเขาคิดว่า "โอ้ฉันสามารถซื้อเครื่องมือที่จะทำให้ฉันเข้ากันได้" ความจริงก็คือมันไม่ใช่อย่างนั้น ฉันหวังว่าฉันจะบอกว่าผลิตภัณฑ์ของเราอย่างน่าอัศจรรย์โดยที่คุณรู้ว่ากดปุ่มง่าย ๆ ทำให้คุณมีความสามารถในการตรวจสอบให้แน่ใจว่าคุณปฏิบัติตาม ความจริงก็คือคุณต้องตั้งค่าสภาพแวดล้อมของคุณในแง่ของการควบคุมในแง่ของวิธีการที่ผู้คนเข้าถึงข้อมูลที่ทุกคนจะต้องทำงานกับแอพพลิเคชั่นที่คุณมี หากมีการจัดเก็บข้อมูลที่อ่อนไหวต้องมีข้อกำหนดด้านกฎระเบียบประเภทใด จากนั้นยังต้องทำงานกับเจ้าหน้าที่กำกับดูแลการปฏิบัติตามภายในด้วยเช่นกันเพื่อให้แน่ใจว่าคุณกำลังปฏิบัติตามกฎทั้งหมด
ฟังดูซับซ้อนจริงๆ หากคุณดูข้อกำหนดทั้งหมดคุณจะคิดว่าเป็นเช่นนั้น แต่ความจริงก็คือมีตัวหารร่วมอยู่ที่นี่ ในกรณีของเราด้วยเครื่องมือที่ฉันจะแสดงให้คุณเห็นในวันนี้ผลิตภัณฑ์ Compliance Manager กระบวนการในสถานการณ์ของเราจะเป็นอย่างนั้นก่อนอื่นเราต้องแน่ใจว่าเรารวบรวมข้อมูลหลักฐานการตรวจสอบที่เกี่ยวข้อง ข้อมูลที่อยู่ในฐานข้อมูลที่อ่อนไหว คุณสามารถรวบรวมทุกอย่างใช่มั้ย ฉันสามารถออกไปและบอกว่าฉันต้องการรวบรวมทุกธุรกรรมที่เกิดขึ้นในฐานข้อมูลนี้ ความจริงก็คือคุณอาจมีเพียงส่วนเล็ก ๆ หรือร้อยละเล็กน้อยของธุรกรรมที่เกี่ยวข้องกับข้อมูลที่ละเอียดอ่อน หากเป็นไปตามมาตรฐาน PCI จะเป็นไปตามข้อมูลบัตรเครดิตเจ้าของบัตรเครดิตข้อมูลส่วนบุคคลของพวกเขา อาจมีการทำธุรกรรมอื่น ๆ อีกมากมายเนื่องจากเกี่ยวข้องกับแอปพลิเคชันของคุณซึ่งไม่มีผลต่อข้อกำหนดของ PCI
จากมุมมองนั้นสิ่งแรกที่ฉันพูดกับ DBA คือฉันพูดว่า“ ความท้าทายอันดับหนึ่งไม่ได้พยายามที่จะได้รับเครื่องมือในการทำสิ่งเหล่านี้ให้คุณ เป็นเพียงการรู้ว่าข้อมูลที่ละเอียดอ่อนนั้นอยู่ที่ไหนและเราจะล็อคข้อมูลนั้นอย่างไร?” ถ้าคุณมีถ้าคุณสามารถตอบคำถามนั้นคุณก็กลับบ้านไปครึ่งทางในแง่ของความสามารถในการแสดงให้เห็นว่าคุณกำลังปฏิบัติตาม สมมติว่าคุณกำลังติดตามการควบคุมที่ถูกต้อง สมมติว่าเป็นวินาทีที่คุณทำตามการควบคุมที่ถูกต้องและคุณบอกผู้สอบบัญชีว่าเป็นกรณีนี้ ส่วนต่อไปของกระบวนการนี้เห็นได้ชัดว่าสามารถให้หลักฐานการตรวจสอบที่แสดงและตรวจสอบความถูกต้องของการควบคุมเหล่านั้นได้จริง จากนั้นติดตามดูให้แน่ใจว่าคุณบันทึกข้อมูลนั้น โดยทั่วไปมักมีสิ่งต่าง ๆ เช่นการปฏิบัติตาม PCI และ HIPAA และสิ่งต่าง ๆ เหล่านั้นคุณกำลังพูดถึงการเก็บรักษาไว้เจ็ดปี คุณกำลังพูดถึงธุรกรรมจำนวนมากและข้อมูลจำนวนมาก
หากคุณยังคงเก็บรวบรวมทุกธุรกรรมแม้ว่าเพียงร้อยละห้าของการทำธุรกรรมที่เกี่ยวข้องกับข้อมูลที่สำคัญคุณกำลังพูดถึงค่าใช้จ่ายที่ค่อนข้างใหญ่ที่เกี่ยวข้องกับการจัดเก็บข้อมูลนั้นเป็นเวลาเจ็ดปี ฉันคิดว่านั่นเป็นหนึ่งในความท้าทายที่ยิ่งใหญ่ที่สุดคือการทำให้คนอื่นคิดว่านั่นเป็นค่าใช้จ่ายที่ไม่จำเป็นจริงๆ นอกจากนี้ยังเป็นเรื่องง่ายขึ้นมากถ้าเราสามารถมุ่งเน้นไปที่พื้นที่อ่อนไหวภายในฐานข้อมูล นอกจากนั้นคุณยังต้องการควบคุมข้อมูลที่ละเอียดอ่อนเช่นกัน ไม่เพียง แต่จะแสดงในแง่ของหลักฐานการตรวจสอบ แต่ยังสามารถผูกสิ่งต่าง ๆ กลับไปสู่การกระทำที่เกิดขึ้นและสามารถรับการแจ้งเตือนแบบเรียลไทม์เพื่อที่คุณจะได้ตระหนักถึงสิ่งนั้น
ตัวอย่างที่ฉันใช้เสมอและอาจไม่จำเป็นต้องเกี่ยวข้องกับข้อกำหนดด้านกฎระเบียบประเภทใด ๆ แต่ก็สามารถติดตามได้ตัวอย่างเช่นบางคนต้องวางตารางที่เกี่ยวข้องกับบัญชีเงินเดือน หากสิ่งนั้นเกิดขึ้นวิธีที่คุณทราบเกี่ยวกับเรื่องนี้หากคุณไม่ได้ติดตามสิ่งนั้นคือไม่มีใครได้รับเงิน มันสายเกินไปแล้ว คุณต้องการที่จะรู้ว่าเมื่อไหร่ที่โต๊ะถูกทิ้ง, เมื่อถูกทิ้ง, เพื่อหลีกเลี่ยงสิ่งเลวร้ายใด ๆ ที่เกิดขึ้นจากการที่พนักงานไม่พอใจไปและลบตารางที่ผูกติดกับบัญชีเงินเดือนโดยตรง
เมื่อใช้วิธีดังกล่าวเคล็ดลับคือการค้นหาตัวส่วนร่วมหรือใช้ตัวส่วนร่วมนั้นเพื่อทำแผนที่ว่าระดับการปฏิบัติตามคืออะไร นั่นเป็นสิ่งที่เราพยายามทำกับเครื่องมือนี้ โดยทั่วไปเราใช้วิธีการเราจะไม่แสดงรายงานเฉพาะ PCI สำหรับหุ้น ตัวหารร่วมคือคุณมีแอปพลิเคชันที่ใช้ SQL Server เพื่อจัดเก็บข้อมูลที่สำคัญภายในฐานข้อมูล เมื่อคุณได้รับมากกว่าที่คุณพูดว่า "ใช่นั่นคือสิ่งสำคัญที่เราต้องให้ความสำคัญ - ข้อมูลสำคัญนั้นอยู่ที่ไหนและเข้าถึงได้อย่างไร?" เมื่อคุณมีแล้วมีรายงานมากมายที่เราเสนอให้ซึ่งสามารถพิสูจน์ได้ว่าคุณจะต้องปฏิบัติตาม
กลับไปที่คำถามที่ผู้สอบบัญชีถามคำถามแรกคือ: ใครมีสิทธิ์เข้าถึงข้อมูลและพวกเขาเข้าถึงข้อมูลเหล่านั้นได้อย่างไร คุณสามารถพิสูจน์ได้ว่าคนที่ใช่กำลังเข้าถึงข้อมูลและคนที่ไม่ถูกต้องไม่ได้เป็นอย่างนั้นหรือ คุณสามารถพิสูจน์ได้ว่าหลักฐานการตรวจสอบเป็นสิ่งที่ฉันสามารถเชื่อถือได้ในฐานะแหล่งข้อมูลที่ไม่เปลี่ยนรูปแบบ? หากฉันให้หลักฐานการตรวจสอบกับคุณซึ่งประดิษฐ์ขึ้นมาฉันไม่ดีเท่าไหร่ในฐานะผู้สอบบัญชีที่จะทำการตรวจสอบบัญชีของคุณหากมีการประดิษฐ์ข้อมูล เราจำเป็นต้องพิสูจน์สิ่งนั้นโดยทั่วไปจากมุมมองการตรวจสอบ
จะผ่านคำถามเหล่านั้นรายละเอียดเพิ่มเติมเล็กน้อย ความท้าทายของคำถามแรกคือคุณต้องรู้เหมือนที่ฉันพูดซึ่งข้อมูลที่ละเอียดอ่อนนั้นเพื่อรายงานว่าใครกำลังเข้าถึงอยู่ โดยทั่วไปแล้วการค้นพบบางประเภทและจริงๆแล้วคุณมีแอปพลิเคชั่นหลายพันรายการที่อยู่ข้างนอกคุณมีข้อกำหนดด้านกฎระเบียบมากมาย ในกรณีส่วนใหญ่คุณต้องการทำงานร่วมกับเจ้าหน้าที่กำกับดูแลการปฏิบัติตามกฎเกณฑ์ของคุณหากคุณมีหนึ่งคนหรืออย่างน้อยก็มีคนที่จะมีความเข้าใจเพิ่มเติมในแง่ของข้อมูลที่ละเอียดอ่อนของฉันอยู่ในแอปพลิเคชัน เรามีเครื่องมือที่เรามีมันเป็นเครื่องมือฟรีเรียกว่าการค้นหาคอลัมน์ SQL เราบอกลูกค้าในอนาคตของเราและผู้ใช้ที่สนใจในคำถามนั้นพวกเขาสามารถไปดาวน์โหลดได้ สิ่งที่มันจะทำคือการหาข้อมูลภายในฐานข้อมูลที่มีความอ่อนไหวในธรรมชาติ
จากนั้นเมื่อคุณทำเช่นนั้นคุณต้องเข้าใจว่าผู้คนเข้าถึงข้อมูลนั้นอย่างไร และนั่นจะเป็นอีกครั้งที่บัญชีใดที่อยู่ในกลุ่ม Active Directory ซึ่งผู้ใช้ฐานข้อมูลใดที่เกี่ยวข้องมีบทบาทสมาชิกที่เกี่ยวข้องกับสิ่งนี้ แน่นอนว่าสิ่งเหล่านี้ทั้งหมดที่เรากำลังพูดถึงจะต้องได้รับการอนุมัติจากผู้สอบบัญชีดังนั้นหากคุณพูดว่า "นี่คือวิธีที่เราล็อกข้อมูล" ผู้ตรวจสอบสามารถมาได้ กลับมาแล้วพูดว่า“ เอาล่ะคุณทำผิด” แต่เรามาพูดกันว่า“ ใช่นั่นมันดูดีนะ คุณกำลังล็อคข้อมูลอย่างเพียงพอ”
การย้ายไปยังคำถามถัดไปซึ่งเป็นไปได้คุณสามารถพิสูจน์ได้ว่าคนที่เหมาะสมกำลังเข้าถึงข้อมูลนั้นหรือไม่ กล่าวอีกนัยหนึ่งคุณสามารถบอกได้ว่าพวกเขาเป็นผู้ควบคุมนี่คือการควบคุมที่คุณกำลังติดตาม แต่น่าเสียดายที่ผู้ตรวจสอบบัญชีไม่ใช่บุคคลที่เชื่อถือได้จริง พวกเขาต้องการพิสูจน์มันและพวกเขาต้องการที่จะเห็นมันในหลักฐานการตรวจสอบ และสิ่งนี้กลับไปยังสิ่งที่เป็นตัวส่วนร่วมทั้งหมด ไม่ว่าจะเป็น PCI, SOX, HIPAA, GLBA, Basel II อะไรก็ตามที่จริงคือคือคำถามประเภทเดียวกันจะถูกถามโดยทั่วไป วัตถุที่มีข้อมูลที่ละเอียดอ่อนใครบ้างที่เข้าถึงวัตถุนั้นภายในเดือนที่แล้ว ซึ่งควรแมปตามการควบคุมของฉันและฉันควรจะผ่านการตรวจสอบของฉันในที่สุดด้วยการแสดงรายงานประเภทเหล่านั้น
และสิ่งที่เราทำคือเราได้รวบรวมรายงานต่าง ๆ ประมาณ 25 รายงานที่ตามมาในพื้นที่เดียวกันกับตัวส่วนร่วมนั้น ดังนั้นเราจึงไม่มีรายงานสำหรับ PCI หรือ HIPAA หรือสำหรับ SOX เรามีรายงานว่าอีกครั้งพวกเขาขึ้นไปเทียบกับส่วนร่วมนั้น และดังนั้นจึงไม่สำคัญว่าข้อกำหนดด้านกฎระเบียบใดที่คุณกำลังพยายามเติมเต็มในกรณีส่วนใหญ่คุณจะสามารถตอบคำถามใด ๆ ที่ผู้สอบบัญชีรายนั้นถามคุณ และพวกเขาจะบอกคุณว่าใครทำอะไรเมื่อไหร่และที่ไหนในทุกธุรกรรม คุณรู้ว่าผู้ใช้เวลาที่เกิดรายการธุรกรรมคำสั่ง SQL แอปพลิเคชันที่มาจากสิ่งที่ดีทั้งหมดแล้วยังสามารถส่งข้อมูลนี้ไปยังรายงานโดยอัตโนมัติ
จากนั้นอีกครั้งเมื่อคุณผ่านพ้นสิ่งนั้นไปและคุณได้มอบมันให้กับผู้สอบบัญชีดังนั้นคำถามต่อไปก็คือพิสูจน์ให้เห็น และเมื่อฉันพูดพิสูจน์มันฉันหมายถึงพิสูจน์ว่าหลักฐานการตรวจสอบนั้นเป็นสิ่งที่เราเชื่อถือได้ และวิธีที่เราทำเช่นนั้นในเครื่องมือของเราคือเรามีค่าแฮชและค่า CRC ที่ผูกกลับไปยังเหตุการณ์โดยตรงภายในหลักฐานการตรวจสอบ และความคิดก็คือถ้ามีใครออกไปและลบบันทึกหรือถ้ามีคนออกไปและลบหรือเพิ่มบางสิ่งบางอย่างให้กับหลักฐานการตรวจสอบหรือเปลี่ยนแปลงบางสิ่งบางอย่างในหลักฐานการตรวจสอบตัวเองเราสามารถพิสูจน์ได้ว่าข้อมูล ข้อมูลตัวเองถูกละเมิด และ 99.9 เปอร์เซ็นต์ของเวลาถ้าคุณมีฐานข้อมูลหลักฐานการตรวจสอบของเราถูกล็อคคุณจะไม่พบปัญหานั้นเพราะเมื่อเราทำการตรวจสอบความสมบูรณ์นั้นเราจะพิสูจน์ให้ผู้ตรวจสอบเห็นว่าข้อมูลไม่ได้ เปลี่ยนและลบหรือเพิ่มตั้งแต่การเขียนต้นฉบับจากบริการการจัดการเอง
นั่นเป็นภาพรวมทั่วไปของประเภทคำถามทั่วไปที่คุณจะถาม ตอนนี้เครื่องมือที่เราต้องกล่าวถึงจำนวนมากนี้เรียกว่า SQL Compliance Manager และมันทำทุกสิ่งเหล่านั้นในแง่ของการติดตามธุรกรรมผู้ที่ทำอะไรเมื่อใดและที่ไหนของการทำธุรกรรมสามารถทำได้ใน จำนวนพื้นที่ที่แตกต่างกันเช่นกัน การเข้าสู่ระบบการเข้าสู่ระบบที่ล้มเหลวการเปลี่ยนแปลงสคีมาการเข้าถึงข้อมูลอย่างชัดเจนเลือกกิจกรรมทุกสิ่งที่เกิดขึ้นภายในเอ็นจิ้นฐานข้อมูล และเรายังสามารถแจ้งเตือนผู้ใช้เกี่ยวกับเงื่อนไขที่ละเอียดและละเอียดมากได้หากต้องการ ตัวอย่างเช่นมีใครบางคนกำลังออกไปและดูตารางที่มีหมายเลขบัตรเครดิตของฉันทั้งหมด พวกเขาไม่ได้เปลี่ยนข้อมูลพวกเขาแค่มองไปที่มัน ในสถานการณ์นั้นฉันสามารถแจ้งเตือนและฉันสามารถให้คนรู้ว่าสิ่งที่เกิดขึ้นไม่ใช่หกชั่วโมงต่อมาเมื่อเรากำลังคัดลอกบันทึก แต่ในเวลาจริง โดยทั่วไปตราบเท่าที่เราใช้ในการประมวลผลธุรกรรมนั้นผ่านบริการการจัดการ
ดังที่ฉันได้กล่าวไว้ก่อนหน้านี้เราได้เห็นสิ่งนี้ถูกใช้ในข้อกำหนดด้านกฎระเบียบที่หลากหลายและไม่จริง - คุณรู้ข้อกำหนดด้านกฎระเบียบใด ๆ อีกครั้งตราบใดที่ผู้มีส่วนร่วมทั่วไปคุณมีข้อมูลที่ละเอียดอ่อนใน SQL Server ฐานข้อมูลนี้เป็นเครื่องมือที่จะช่วยในสถานการณ์ประเภทนั้น สำหรับรายงาน 25 ฉบับที่สร้างขึ้นในตอนนี้ความจริงก็คือเราสามารถทำให้เครื่องมือนี้ดีสำหรับผู้ตรวจสอบบัญชีและตอบคำถามทุกคำถามที่พวกเขาถาม แต่ DBA นั้นเป็นสิ่งที่ต้องทำ นอกจากนี้ยังมีความคิดที่คุณรู้ดีจากมุมมองการบำรุงรักษาที่เราต้องทำให้แน่ใจว่า SQL ทำงานในแบบที่เราต้องการ นอกจากนี้เรายังต้องสามารถเข้าไปดูสิ่งที่กำลังจะออกไปและดูข้อมูลอื่น ๆ ที่คุณรู้เท่าที่เก็บข้อมูลการทำงานอัตโนมัติของที่และค่าใช้จ่าย ตัวเองของผลิตภัณฑ์ นี่คือสิ่งที่เราคำนึงถึงอย่างชัดเจน
ซึ่งจะทำให้เกิดสถาปัตยกรรมขึ้นมานั้นเอง ดังนั้นทางด้านขวาของหน้าจอเรามีอินสแตนซ์ของ SQL ที่เราจัดการทุกอย่างตั้งแต่ปี 2000 จนถึงปี 2014 เตรียมพร้อมที่จะปล่อยเวอร์ชั่นสำหรับปี 2559 สิ่งที่สำคัญที่สุดบนหน้าจอนี้คือการจัดการ เซิร์ฟเวอร์ตัวเองกำลังทำทุกอย่างที่ยกหนัก เราแค่รวบรวมข้อมูลโดยใช้ API การติดตามซึ่งอยู่ในตัวด้วย SQL Server ข้อมูลดังกล่าวกำลังไหลไปสู่เซิร์ฟเวอร์การจัดการของเรา เซิร์ฟเวอร์การจัดการนั้นกำลังระบุตัวเองและหากมีเหตุการณ์ใด ๆ ที่เชื่อมโยงกับธุรกรรมประเภทใด ๆ ที่เราไม่ต้องการส่งการแจ้งเตือนและสิ่งต่าง ๆ เหล่านั้นจากนั้นเติมข้อมูลภายในที่เก็บข้อมูล จากตรงนั้นเราสามารถเรียกใช้รายงานได้เราจะสามารถออกไปและเห็นข้อมูลจริงในรายงานหรือแม้แต่ในคอนโซลของแอปพลิเคชัน
ดังนั้นสิ่งที่ฉันจะไปข้างหน้าและทำคือฉันจะพาเราผ่านจริง ๆ อย่างรวดเร็วและฉันต้องการที่จะชี้ให้เห็นสิ่งที่รวดเร็วก่อนที่เราจะกระโดดลงในผลิตภัณฑ์ที่มีการเชื่อมโยงบนเว็บไซต์ในขณะนี้ หรือในงานนำเสนอที่จะพาคุณไปยังเครื่องมือฟรีที่ฉันกล่าวถึงก่อนหน้านี้ เครื่องมือฟรีนั่นคืออย่างที่ฉันพูดมันกำลังจะออกไปข้างนอกและดูฐานข้อมูลและพยายามค้นหาพื้นที่ที่ดูเหมือนข้อมูลสำคัญหมายเลขประกันสังคมหมายเลขบัตรเครดิตตามชื่อของคอลัมน์หรือตาราง หรือตามวิธีการที่รูปแบบของข้อมูลมีลักษณะและคุณสามารถปรับแต่งได้เช่นกันดังนั้นเพียงแค่ชี้ไปที่
ตอนนี้ในกรณีของเราให้ฉันไปข้างหน้าและแบ่งปันหน้าจอของฉันให้ฉันหนึ่งวินาทีที่นี่ เอาล่ะและสิ่งที่ฉันต้องการพาคุณไปก่อนคือฉันต้องการพาคุณไปที่แอปพลิเคชันตัวจัดการการปฏิบัติตามกฎระเบียบและฉันจะผ่านเรื่องนี้อย่างรวดเร็ว แต่นี่เป็นแอปพลิเคชั่นและคุณจะเห็นว่าฉันมีฐานข้อมูลอยู่สองสามตัวที่นี่และฉันจะแสดงให้คุณเห็นว่ามันง่ายแค่ไหนที่จะเข้าไปและบอกสิ่งที่คุณต้องการตรวจสอบ จากมุมมองของการเปลี่ยนแปลงสคีมาการเปลี่ยนแปลงความปลอดภัยกิจกรรมการดูแลระบบ DML เลือกเรามีตัวเลือกทั้งหมดที่มีให้เราเรายังสามารถกรองสิ่งนั้นลงได้ สิ่งนี้กลับไปสู่แนวทางปฏิบัติที่ดีที่สุดในการพูดว่า“ ฉันต้องการเพียงตารางนี้เพราะมันมีหมายเลขบัตรเครดิตของฉัน ฉันไม่ต้องการตารางอื่น ๆ ที่มีข้อมูลผลิตภัณฑ์สิ่งอื่น ๆ เหล่านั้นทั้งหมดที่ไม่สัมพันธ์กับระดับความสอดคล้องฉันพยายามพบ”
เรายังมีความสามารถในการรวบรวมข้อมูลและแสดงเป็นค่าของเขตข้อมูลที่มีการเปลี่ยนแปลง ในเครื่องมือจำนวนมากคุณจะมีสิ่งที่จะให้ความสามารถในการจับคำสั่ง SQL แสดงผู้ใช้แสดงแอปพลิเคชันเวลาและวันที่สิ่งที่ดีทั้งหมด แต่ในบางกรณีคำสั่ง SQL นั้นจะไม่ให้ข้อมูลที่เพียงพอแก่คุณเพื่อให้สามารถบอกคุณได้ว่าค่าของเขตข้อมูลคืออะไรก่อนที่จะเกิดการเปลี่ยนแปลงเช่นเดียวกับค่าของเขตข้อมูลหลังจากการเปลี่ยนแปลงเกิดขึ้น และในบางสถานการณ์ที่คุณต้องการ ฉันอาจต้องการติดตามข้อมูลปริมาณของแพทย์สำหรับยาที่ต้องสั่งโดยแพทย์ มันเปลี่ยนจาก 50 มก. เป็น 80 มก. เป็น 120 มก. ฉันสามารถติดตามได้ว่าใช้ก่อนและหลัง
คอลัมน์ที่ละเอียดอ่อนเป็นอีกสิ่งหนึ่งที่เราพบเจอมากมายเช่นด้วยการปฏิบัติตาม PCI ในสถานการณ์ที่นี่คุณมีข้อมูลที่อ่อนไหวในลักษณะที่เพียงแค่ดูข้อมูลนั้นฉันไม่ต้องเปลี่ยนลบหรือเพิ่มเข้าไปฉันสามารถทำให้เกิดอันตรายที่แก้ไขไม่ได้ หมายเลขบัตรเครดิตหมายเลขประกันสังคมทุกประเภทที่ดีที่เราสามารถระบุคอลัมน์ที่ละเอียดอ่อนและผูกการแจ้งเตือนไป หากใครออกไปและดูข้อมูลที่เราจะสามารถแจ้งเตือนและส่งอีเมลหรือสร้างกับดัก SNMP และสิ่งต่าง ๆ เหล่านั้น
ในบางกรณีคุณจะพบกับสถานการณ์ที่คุณอาจมีข้อยกเว้น และสิ่งที่ฉันหมายถึงคือคุณมีสถานการณ์ที่คุณมีผู้ใช้ที่มีบัญชีผู้ใช้ที่อาจเชื่อมโยงกับงาน ETL บางประเภทที่ทำงานในตอนกลางคืน มันเป็นกระบวนการที่ทำเป็นเอกสารและฉันเพียงแค่ไม่จำเป็นต้องรวมข้อมูลการทำธุรกรรมนั้นสำหรับบัญชีผู้ใช้นั้น ในกรณีนั้นเราจะมีผู้ใช้ที่เชื่อถือได้ และในสถานการณ์อื่น ๆ เราจะใช้คุณสมบัติของการตรวจสอบผู้ใช้ที่มีสิทธิ์ซึ่งเป็นหลักถ้าฉันมีตัวอย่างเช่นแอปพลิเคชันและแอปพลิเคชันที่ทำการตรวจสอบแล้วของผู้ใช้ที่กำลังผ่านแอปพลิเคชันนั่นคือ เยี่ยมมากฉันมีบางอย่างที่จะอ้างอิงในแง่ของการตรวจสอบของฉัน แต่สำหรับสิ่งต่าง ๆ ที่เชื่อมโยงกับผู้ใช้ที่ได้รับสิทธิพิเศษของฉันพวกที่สามารถเข้าไปในสตูดิโอการจัดการ SQL Server เพื่อดูข้อมูลภายในฐานข้อมูลนั่นจะไม่ตัดมัน และนี่คือที่เราสามารถกำหนดผู้ใช้ที่มีสิทธิ์ของเราไม่ว่าจะเป็นสมาชิกบทบาทหรือผ่านบัญชี Active Directory, กลุ่ม, บัญชีที่ได้รับการรับรองความถูกต้องของ SQL ซึ่งเราจะสามารถเลือกตัวเลือกประเภทต่างๆทั้งหมดและ จากนั้นตรวจสอบให้แน่ใจว่าสำหรับผู้ใช้ที่มีสิทธิ์เราสามารถระบุประเภทของธุรกรรมที่เราสนใจในการตรวจสอบ
นี่คือตัวเลือกที่แตกต่างกันทุกประเภทที่คุณมีและฉันจะไม่ผ่านทุกประเภทของสิ่งต่าง ๆ ตามข้อ จำกัด เวลาที่นี่สำหรับงานนำเสนอนี้ แต่ฉันต้องการแสดงให้คุณเห็นว่าเราสามารถดูข้อมูลได้อย่างไรและฉันคิดว่าคุณจะชอบวิธีการทำงานเพราะมีสองวิธีที่เราสามารถทำได้ ฉันสามารถทำได้แบบโต้ตอบและเมื่อเราคุยกับคนที่สนใจเครื่องมือนี้สำหรับการควบคุมภายในของพวกเขาพวกเขาแค่อยากรู้ว่าเกิดอะไรขึ้นในหลายกรณี พวกเขาไม่จำเป็นต้องให้ผู้ตรวจสอบมาที่ไซต์ พวกเขาแค่อยากรู้ว่า“ เฮ้ฉันอยากไปตามตารางนี้และดูว่าใครแตะต้องมันในสัปดาห์ที่แล้วหรือเดือนที่แล้วหรืออะไรก็ตามที่เป็นไปได้” ในกรณีนี้คุณจะเห็นว่าเราสามารถทำสิ่งนั้นได้รวดเร็ว
ในกรณีของฐานข้อมูลการดูแลสุขภาพฉันมีตารางที่ชื่อว่าระเบียนผู้ป่วย และตารางนั้นถ้าฉันจะจัดกลุ่มตามวัตถุมันจะเริ่มแคบลงอย่างรวดเร็วในที่ที่เรากำลังมองหา บางทีฉันอาจต้องการจัดกลุ่มตามหมวดหมู่แล้วตามด้วยเหตุการณ์ และเมื่อฉันทำอย่างนั้นคุณจะเห็นว่ามันปรากฏเร็วแค่ไหนและมีตารางประวัติผู้ป่วยของฉันอยู่ที่นั่น และเมื่อฉันเจาะลึกในตอนนี้เราสามารถเห็นกิจกรรม DML เราจะเห็นว่าเรามีเม็ดมีด DML นับพันแทรกและเมื่อเราเปิดธุรกรรมหนึ่งรายการเหล่านี้เราจะเห็นข้อมูลที่เกี่ยวข้อง ใครทำอะไรเมื่อใดที่ไหนของธุรกรรมคำสั่ง SQL เห็นได้ชัดว่าแอปพลิเคชันจริงที่ใช้ในการทำธุรกรรมบัญชีเวลาและวันที่
ตอนนี้ถ้าคุณดูที่แท็บถัดไปตรงนี้แท็บรายละเอียดนี่จะย้อนกลับไปยังคำถามที่สามที่เรากำลังพูดถึงพิสูจน์ว่าความสมบูรณ์ของข้อมูลนั้นไม่ได้ถูกละเมิด ดังนั้นโดยทั่วไปทุกเหตุการณ์เรามีการคำนวณความลับสำหรับค่าแฮชของเราและสิ่งนี้จะถูกผูกกลับไปเมื่อเราทำการตรวจสอบความสมบูรณ์ของเรา ตัวอย่างเช่นถ้าฉันต้องออกไปที่เครื่องมือให้ไปที่เมนูการตรวจสอบและฉันจะออกไปและพูดว่าให้ตรวจสอบความสมบูรณ์ของที่เก็บฉันสามารถชี้ไปที่ฐานข้อมูลที่มีหลักฐานการตรวจสอบมันจะทำงาน ผ่านการตรวจสอบความถูกต้องจับคู่ค่าแฮชและค่า CRC กับเหตุการณ์จริงและจะบอกเราว่าไม่พบปัญหาใด ๆ กล่าวอีกนัยหนึ่งข้อมูลในหลักฐานการตรวจสอบยังไม่ได้รับการแก้ไขเนื่องจากเดิมถูกเขียนโดยบริการการจัดการ เห็นได้ชัดว่าเป็นวิธีหนึ่งในการโต้ตอบกับข้อมูล อีกวิธีหนึ่งคือผ่านรายงานเอง ดังนั้นฉันจะยกตัวอย่างรายงานด่วนให้คุณ
และอีกครั้งรายงานเหล่านี้ซึ่งเป็นวิธีที่เราใช้กับพวกเขาไม่ได้เจาะจงเฉพาะมาตรฐานประเภทใด ๆ เช่น PCI, HIPAA, SOX หรืออะไรทำนองนั้น เป็นตัวส่วนร่วมของสิ่งที่เราทำและในกรณีนี้ถ้าเรากลับไปที่ตัวอย่างบันทึกผู้ป่วยเราจะสามารถออกไปพูดในกรณีของเราที่นี่เรากำลังมองหา ที่ฐานข้อมูลการดูแลสุขภาพและในกรณีของเราเราต้องการมุ่งเน้นเฉพาะในตารางที่เรารู้ว่ามีข้อมูลส่วนตัวในกรณีของเราที่เกี่ยวข้องกับผู้ป่วยของเรา ขอผมดูว่าผมพิมพ์มันตรงนี้ได้ไหมและเราจะทำต่อไปและเรียกใช้รายงานนั้น จากนั้นเราจะเห็นข้อมูลที่เกี่ยวข้องทั้งหมดที่เกี่ยวข้องกับวัตถุนั้น และในกรณีของเรามันแสดงให้เราเห็นเป็นระยะเวลาหนึ่งเดือน แต่เราสามารถย้อนกลับไปได้หกเดือนต่อปีอย่างไรก็ตามนานแค่ไหนที่เราเก็บข้อมูลไว้
นี่เป็นวิธีที่คุณจะสามารถพิสูจน์ให้ผู้ตรวจสอบบัญชีเห็นว่าคุณกำลังติดตามการควบคุมของคุณ เมื่อคุณระบุแล้วชัดเจนว่าเป็นสิ่งที่ดีในแง่ของการผ่านการตรวจสอบและสามารถแสดงให้เห็นว่าคุณกำลังติดตามการควบคุมและทุกอย่างทำงานได้ดี
สิ่งสุดท้ายที่จะพูดเกี่ยวกับชนิดที่ฉันต้องการแสดงอยู่ในส่วนการบริหาร นอกจากนี้ยังมีการควบคุมจากมุมมองของเครื่องมือนี้เองที่สามารถตั้งค่าการควบคุมเพื่อให้แน่ใจว่าหากใครบางคนกำลังทำอะไรบางอย่างที่พวกเขาไม่ควรทำอย่างที่ฉันรู้ และฉันจะให้คุณตัวอย่างที่นั่น ฉันมีบัญชีเข้าสู่ระบบที่เชื่อมโยงกับบริการและบริการนั้นต้องการการยกระดับสิทธิ์เพื่อทำสิ่งที่มันทำ สิ่งที่ฉันไม่ต้องการคือมีใครบางคนกำลังเข้ามาและใช้บัญชีนั้นใน Management Studio จากนั้นคุณก็รู้ว่าใช้มันเพื่อสิ่งที่มันไม่ได้มีไว้สำหรับ เราจะมีเกณฑ์สองข้อที่เราสามารถนำไปใช้ได้ ฉันสามารถพูดได้ว่า“ ดูสิเราสนใจงานนี้จริง ๆ พูดด้วยแอปพลิเคชั่น PeopleSoft ของเรา” เป็นตัวอย่างใช่ไหม
ตอนนี้ฉันทำไปแล้วสิ่งที่ฉันพูดที่นี่คือฉันอยากรู้ว่ามีการเข้าสู่ระบบใด ๆ ที่เชื่อมโยงกับบัญชีที่ฉันพร้อมจะระบุหากแอปพลิเคชันที่ใช้ในการเข้าสู่ระบบด้วยบัญชีนี้ ไม่ใช่ PeopleSoft แล้วนั่นจะเป็นการเพิ่มการเตือนภัย และแน่นอนว่าเราต้องระบุชื่อบัญชีเองดังนั้นในกรณีของเราลองเรียกบัญชี Priv นี้เพราะมันเป็นสิทธิพิเศษ ตอนนี้เมื่อเราทำเช่นนั้นเมื่อเราทำสิ่งนี้ที่นี่ตอนนี้เราจะสามารถระบุสิ่งที่เราต้องการให้เกิดขึ้นเมื่อเกิดเหตุการณ์นี้และสำหรับเหตุการณ์ทุกประเภทหรือฉันควรจะพูดว่าเตือนคุณสามารถ มีการแจ้งเตือนแยกต่างหากไปยังบุคคลที่รับผิดชอบข้อมูลนั้น
ตัวอย่างเช่นหากเป็นข้อมูลเงินเดือนอาจไปที่ผู้อำนวยการฝ่ายทรัพยากรบุคคลของฉัน ในกรณีนี้การจัดการกับแอพพลิเคชั่น PeopleSoft มันจะเป็นผู้ดูแลแอพพลิเคชั่นนั้น ไม่ว่ากรณีใดก็ตาม ฉันจะสามารถใส่ที่อยู่อีเมลของฉันปรับแต่งข้อความแจ้งเตือนที่เกิดขึ้นจริงและทุกสิ่งที่ดี สิ่งนี้กลับไปสู่ความสามารถเพื่อให้แน่ใจว่าคุณสามารถแสดงให้เห็นว่าคุณกำลังติดตามตัวควบคุมของคุณและตัวควบคุมเหล่านั้นทำงานในแบบที่พวกเขาตั้งใจไว้ จากมุมมองสุดท้ายที่นี่เพียงในแง่ของการบำรุงรักษาเรามีความสามารถในการใช้ข้อมูลนี้และทำให้ออฟไลน์ ฉันสามารถเก็บข้อมูลได้และฉันสามารถกำหนดเวลาและเราจะสามารถทำสิ่งเหล่านี้ได้อย่างง่ายดายในแง่ที่ว่าคุณจะสามารถทำได้จริง ๆ ในฐานะ DBA ที่ใช้เครื่องมือนี้ตั้งค่าและชนิดของ เดินออกไปจากที่นี่ไม่มีมือที่จับได้มากนักเมื่อคุณตั้งค่าในแบบที่ควรจะเป็น อย่างที่ฉันพูดส่วนที่ยากที่สุดเกี่ยวกับสิ่งนี้ฉันคิดว่าไม่ได้ตั้งค่าสิ่งที่คุณต้องการตรวจสอบ แต่เป็นสิ่งที่รู้ว่าคุณต้องการตั้งค่าการตรวจสอบ
และอย่างที่ฉันบอกไว้ว่าธรรมชาติของสัตว์ร้ายที่มีการตรวจสอบคุณต้องเก็บข้อมูลไว้เจ็ดปีดังนั้นจึงเหมาะสมที่จะให้ความสำคัญในพื้นที่เหล่านั้นที่มีความอ่อนไหวในธรรมชาติ แต่ถ้าคุณต้องการใช้วิธีการรวบรวมทุกอย่างคุณทำได้จริง ๆ มันก็ไม่ถือว่าเป็นแนวปฏิบัติที่ดีที่สุด ดังนั้นจากจุดยืนนั้นฉันแค่อยากจะเตือนผู้คนว่าถ้านี่คือสิ่งที่คุณสนใจคุณสามารถเข้าไปที่เว็บไซต์ที่ IDERA.com และดาวน์โหลดตัวอย่างนี้และลองเล่นด้วยตัวเอง ในแง่ของเครื่องมือฟรีที่เราพูดถึงก่อนหน้านี้นั่นคือฟรีคุณสามารถไปดาวน์โหลดและใช้งานได้ตลอดไปไม่ว่าคุณจะใช้ผลิตภัณฑ์ Compliance Manager ก็ตาม และสิ่งที่ยอดเยี่ยมเกี่ยวกับเครื่องมือค้นหาคอลัมน์นั้นคือสิ่งที่เราค้นพบและคุณสามารถแสดงให้เห็นว่าจริง ๆ แล้วฉันคิดว่าคุณจะสามารถส่งออกข้อมูลนั้นและนำเข้าลงในเครื่องมือจัดการการปฏิบัติตามกฎได้ เช่นกัน ฉันไม่เห็นฉันรู้ว่ามันอยู่ที่นี่มี นี่เป็นเพียงตัวอย่างของสิ่งนั้น นี่คือที่ที่มันค้นหาข้อมูลที่ละเอียดอ่อนที่เกี่ยวข้อง
ตอนนี้กรณีนี้ฉันออกไปแล้วและฉันจริง ๆ แล้วฉันกำลังดูทุกอย่าง แต่คุณมีสิ่งที่เราสามารถตรวจสอบได้ หมายเลขบัตรเครดิตที่อยู่ชื่อทุกชนิดของสิ่งนั้น และเราจะระบุตำแหน่งที่อยู่ในฐานข้อมูลจากนั้นคุณสามารถตัดสินใจได้ว่าคุณต้องการตรวจสอบข้อมูลจริงหรือไม่ แต่มันเป็นวิธีที่ทำให้คุณง่ายขึ้นมากในการกำหนดขอบเขตการตรวจสอบของคุณเมื่อคุณมองหาเครื่องมือเช่นนี้
ฉันแค่จะไปข้างหน้าและปิดด้วยและฉันจะไปข้างหน้าและผ่านมันกลับไปที่เอริค
Eric Kavanagh: นั่นเป็นการนำเสนอที่ยอดเยี่ยม ฉันชอบวิธีที่คุณได้รับรายละเอียดที่แท้จริงและแสดงให้เราเห็นว่าเกิดอะไรขึ้น เนื่องจากในตอนท้ายของวันมีระบบบางอย่างที่จะเข้าถึงระเบียนบางอย่างที่จะให้รายงานคุณจะบอกเล่าเรื่องราวของคุณไม่ว่าจะเป็นหน่วยงานกำกับดูแลหรือผู้ตรวจสอบบัญชีหรือคนในทีมของคุณ ดังนั้นจึงเป็นเรื่องดีที่คุณรู้ว่าคุณได้เตรียมการไว้แล้วว่าใครจะมาเคาะและเมื่อใดและเมื่อใดและเมื่อไรและแน่นอนว่าเป็นสถานการณ์ที่ไม่พึงประสงค์ที่คุณพยายามหลีกเลี่ยง แต่ถ้ามันเกิดขึ้นและมันอาจจะเกิดขึ้นในวันนี้คุณต้องการให้แน่ใจว่าคุณมีจุดของคุณและจุดตัดของคุณ
มีคำถามที่ดีจากสมาชิกผู้ชมที่ฉันอยากจะโยนให้คุณก่อน Bullett และบางทีหากผู้นำเสนอต้องการแสดงความคิดเห็นให้รู้สึกฟรี และบางทีเดซก็ถามคำถามกับโรบิน ดังนั้นคำถามคือมันยุติธรรมที่จะบอกว่าการทำสิ่งเหล่านั้นทั้งหมดที่คุณได้กล่าวถึงคุณต้องเริ่มต้นความพยายามของการจำแนกข้อมูลในระดับประถมศึกษา? คุณจำเป็นต้องรู้ข้อมูลของคุณเมื่อมันปรากฏว่าเป็นสินทรัพย์ที่มีค่าที่มีค่าและทำอะไรกับมัน ฉันคิดว่าคุณเห็นด้วย Bullett ใช่ไหม
Bullett Manale: ใช่แล้ว ฉันหมายความว่าคุณต้องรู้ข้อมูลของคุณ และฉันก็รู้ว่าฉันรู้ว่ามีแอปพลิเคชั่นมากมายที่อยู่ข้างนอกและมีสิ่งต่าง ๆ มากมายที่มีส่วนเคลื่อนไหวในองค์กรของคุณ เครื่องมือการค้นหาคอลัมน์มีประโยชน์มากในแง่ของการก้าวไปสู่ทิศทางของการทำความเข้าใจข้อมูลที่ดีขึ้น แต่ใช่มันสำคัญมาก ฉันหมายความว่าคุณมีทางเลือกในการเข้าไปใช้วิธีดับเพลิงและตรวจสอบทุกอย่าง แต่มันก็เป็นเรื่องที่ท้าทายมากขึ้นเมื่อคุณพูดคุยเกี่ยวกับการจัดเก็บข้อมูลนั้นและรายงานกับข้อมูลนั้น แล้วคุณก็ยังต้องการทราบว่าส่วนใดของข้อมูลนั้นเป็นเพราะเมื่อคุณเรียกใช้รายงานของคุณคุณจะต้องแสดงข้อมูลของผู้ตรวจสอบของคุณด้วย ดังนั้นฉันคิดว่าอย่างที่ฉันพูดความท้าทายที่ยิ่งใหญ่ที่สุดเมื่อฉันพูดคุยกับผู้ดูแลระบบฐานข้อมูลคือรู้ใช่
Eric Kavanagh: ใช่ แต่บางที Robin เราจะพาคุณมาเร็ว ดูเหมือนว่าฉันจะใช้กฎ 80/20 ที่นี่ใช่ไหม คุณอาจจะไม่พบทุกระบบของการบันทึกที่มีความสำคัญหากคุณอยู่ในองค์กรขนาดกลางหรือขนาดใหญ่ แต่ถ้าคุณมุ่งเน้นไปที่ - เหมือน Bullett แนะนำให้ที่นี่ - PeopleSoft ยกตัวอย่างเช่นหรือระบบบันทึกอื่น ๆ ส่วนใหญ่ในองค์กรนั่นคือที่ที่คุณเน้น 80 เปอร์เซ็นต์ของความพยายามของคุณแล้ว 20 เปอร์เซ็นต์ก็อยู่ในระบบอื่น ๆ ที่อาจจะอยู่ที่ไหนสักแห่งใช่ไหม?
Robin Bloor: อืมฉันแน่ใจแล้วใช่ ฉันหมายความว่าคุณคิดว่าฉันคิดว่าปัญหาเกี่ยวกับเทคโนโลยีนี้และฉันคิดว่ามันอาจจะคุ้มค่าที่จะแสดงความคิดเห็น แต่ปัญหาของเทคโนโลยีนี้คือคุณจะนำไปใช้อย่างไร ฉันหมายถึงมีการขาดความรู้อย่างแน่นอนในองค์กรส่วนใหญ่แม้แต่จำนวนฐานข้อมูลที่อยู่ที่นั่น คุณรู้ไหมว่ามีสินค้าคงคลังจำนวนมากเหลือร้าย คุณรู้ไหมว่าคำถามคือลองจินตนาการว่าเรากำลังเริ่มต้นในสถานการณ์ที่ไม่มีการปฏิบัติตามกฎระเบียบที่มีการจัดการเป็นอย่างดีคุณจะนำเทคโนโลยีนี้มาใช้และฉีดเข้าสู่สิ่งแวดล้อมได้อย่างไรไม่ใช่แค่ในเทคโนโลยีเท่านั้น เงื่อนไข, การตั้งค่า, แต่เหมือนใครจัดการ, ใครเป็นผู้กำหนดอะไร? คุณจะเริ่มใส่รองเท้าให้เป็นของแท้และทำมันได้อย่างไร?
Bullett Manale: ผมหมายถึงเป็นคำถามที่ดี ความท้าทายในหลายกรณีคือผมหมายถึงคุณต้องเริ่มถามคำถามตั้งแต่แรก ฉันเจอ บริษัท หลายแห่งที่พวกเขารู้บางทีพวกเขาอาจเป็น บริษัท เอกชนและพวกเขาได้มามีการเริ่มต้นชนิดแรกชนิดของถนนชนถ้าคุณต้องการเรียกมันว่า ตัวอย่างเช่นถ้าตอนนี้ฉันเพิ่งกลายเป็น บริษัท ที่ซื้อขายต่อสาธารณชนเพราะการได้มาฉันจะต้องกลับไปและอาจจะคิดออก
และในบางกรณีเราพูดคุยกับองค์กรที่คุณรู้แม้ว่าพวกเขาจะเป็นส่วนตัวพวกเขาปฏิบัติตามกฎระเบียบ SOX เพียงเพราะในกรณีที่พวกเขาต้องการที่จะได้รับพวกเขารู้ว่าพวกเขาจะต้องปฏิบัติตาม แน่นอนว่าคุณไม่ต้องการใช้วิธีการเพียง“ ฉันไม่ต้องกังวลเกี่ยวกับเรื่องนี้ตอนนี้” การปฏิบัติตามกฎระเบียบทุกประเภทเช่น PCI หรือ SOX หรืออะไรก็ตามที่คุณต้องการลงทุนในการทำวิจัยหรือ ทำความเข้าใจว่าข้อมูลสำคัญนั้นคืออะไรมิฉะนั้นคุณอาจพบว่าตัวเองกำลังเผชิญกับค่าปรับที่สำคัญบางอย่าง และมันเป็นการดียิ่งกว่าที่จะลงทุนในเวลานั้นคุณรู้ว่าค้นหาข้อมูลและสามารถรายงานกับมันและแสดงให้เห็นว่าการควบคุมกำลังทำงานอยู่
ใช่ในแง่ของการตั้งค่าอย่างที่ฉันพูดสิ่งแรกที่ฉันอยากจะแนะนำให้กับคนที่พร้อมจะเผชิญกับการตรวจสอบคือการออกไปและทำการตรวจสอบคร่าวๆของฐานข้อมูลและหาคุณ รู้ในความพยายามอย่างดีที่สุดพยายามหาว่าข้อมูลสำคัญนั้นอยู่ที่ไหน และวิธีการอื่น ๆ ก็คือเริ่มด้วยเครือข่ายที่ใหญ่กว่าในแง่ของขอบเขตการตรวจสอบและจากนั้นค่อย ๆ ลดวิธีการของคุณลงเมื่อคุณคิดออกว่าพื้นที่เหล่านั้นในระบบที่เกี่ยวข้องกับ ข้อมูลที่ละเอียดอ่อน แต่ฉันหวังว่าฉันจะบอกคุณได้ว่ามีคำตอบง่ายๆสำหรับคำถามนั้น มันอาจจะแตกต่างกันเล็กน้อยจากองค์กรหนึ่งไปอีกองค์กรหนึ่งและประเภทของการปฏิบัติตามกฎระเบียบและวิธีการที่คุณรู้ว่าพวกเขามีโครงสร้างภายในแอปพลิเคชั่นเท่าไหร่และมีแอปพลิเคชั่นที่หลากหลายที่พวกเขามี ดังนั้นมันจะขึ้นอยู่กับสถานการณ์ในหลายกรณี
Eric Kavanagh: ไปข้างหน้า Dez ฉันแน่ใจว่าคุณมีคำถามหนึ่งหรือสองข้อ
Dez Blanchfield: ฉันกระตือรือร้นที่จะเข้าใจการสังเกตของคุณเกี่ยวกับผลกระทบที่มีต่อองค์กรจากมุมมองของผู้คนจริง ๆ แล้ว ฉันคิดว่าหนึ่งในพื้นที่ที่ฉันเห็นคุณค่าที่ยิ่งใหญ่ที่สุดสำหรับวิธีแก้ปัญหาเฉพาะนี้คือเมื่อผู้คนตื่นขึ้นมาในตอนเช้าและไปทำงานในระดับต่าง ๆ ขององค์กรพวกเขาตื่นขึ้นพร้อมกับชุดหรือความรับผิดชอบ ที่พวกเขาต้องรับมือ และฉันกระตือรือร้นที่จะรับข้อมูลเชิงลึกเกี่ยวกับสิ่งที่คุณเห็นที่นั่นด้วยและไม่มีเครื่องมือประเภทที่คุณกำลังพูดถึง และบริบทที่ฉันกำลังพูดถึงที่นี่มาจากประธานคณะกรรมการระดับ CEO และ CIO และ C-suite และตอนนี้เรามีหัวหน้าเจ้าหน้าที่ความเสี่ยงที่คิดเกี่ยวกับประเภทของสิ่งที่เรากำลังพูดถึงที่นี่ในการปฏิบัติตามและการกำกับดูแลและจากนั้นตอนนี้เราได้รับบทบาทใหม่หัวหน้าหน่วยข้อมูลหัวหน้าใครคุณรู้ ยิ่งกังวลมากขึ้น
และที่ด้านข้างของพวกเขาแต่ละคนรอบ ๆ CIO เรามีผู้จัดการฝ่ายไอทีอยู่ด้านหนึ่งเรียงลำดับคุณรู้จักผู้นำด้านเทคนิคแล้วนำไปสู่ฐานข้อมูล และในพื้นที่ปฏิบัติงานเรามีผู้จัดการฝ่ายพัฒนาและผู้นำในการพัฒนาและจากนั้นแต่ละการพัฒนาและพวกเขายังวนกลับเข้าไปในชั้นการบริหารฐานข้อมูล คุณเห็นอะไรเกี่ยวกับปฏิกิริยาของแต่ละส่วนต่าง ๆ ของธุรกิจต่อความท้าทายของการปฏิบัติตามกฎระเบียบและการรายงานกฎระเบียบและแนวทางของพวกเขา คุณเห็นหรือไม่ว่าผู้คนมาที่นี่ด้วยความร้อนแรงและสามารถเห็นประโยชน์ของมันหรือคุณเห็นว่าพวกเขาไม่เต็มใจที่จะลากเท้าของพวกเขามาที่สิ่งนี้และคุณรู้ไหมว่าทำเพื่อติ๊กในกล่อง? และคำตอบแบบไหนที่คุณเห็นเมื่อพวกเขาเห็นซอฟต์แวร์ของคุณ
Bullett Manale: ใช่นั่นเป็นคำถามที่ดี ฉันจะบอกว่าผลิตภัณฑ์นี้ยอดขายของผลิตภัณฑ์นี้ส่วนใหญ่ขับเคลื่อนโดยคนที่อยู่ในที่นั่งร้อนถ้าที่เหมาะสม ในกรณีส่วนใหญ่นั่นคือ DBA และจากมุมมองของเราในคำอื่น ๆ พวกเขารู้ว่ามีการตรวจสอบขึ้นมาและพวกเขาจะต้องรับผิดชอบเพราะพวกเขาเป็น DBA เพื่อให้ข้อมูลที่ผู้สอบบัญชีจะไป ถาม. พวกเขาสามารถทำได้โดยการเขียนรายงานของตนเองและสร้างร่องรอยที่กำหนดเองและสิ่งต่าง ๆ เหล่านั้นทั้งหมด ความจริงก็คือพวกเขาไม่ต้องการทำเช่นนั้น ในกรณีส่วนใหญ่ DBA ไม่ได้รอคอยที่จะเริ่มต้นการสนทนากับผู้สอบบัญชี คุณรู้ไหมฉันอยากบอกคุณว่าเราสามารถโทรหา บริษัท และพูดว่า“ เฮ้นี่เป็นเครื่องมือที่ยอดเยี่ยมและคุณจะต้องชอบ” และแสดงคุณสมบัติทั้งหมดและพวกเขาจะซื้อ
ความจริงก็คือโดยปกติแล้วพวกเขาจะไม่มองเครื่องมือนี้เว้นแต่ว่าพวกเขาจะต้องเผชิญกับการตรวจสอบหรืออีกด้านหนึ่งของเหรียญนั่นคือพวกเขาได้ทำการตรวจสอบและล้มเหลวอย่างน่าสังเวชและตอนนี้พวกเขาเป็น ได้รับคำแนะนำให้ขอความช่วยเหลือหรือพวกเขาจะถูกปรับ ฉันจะบอกว่าในแง่ของโดยรวมแล้วเมื่อคุณแสดงผลิตภัณฑ์นี้แก่ผู้คนพวกเขาเห็นคุณค่าของมันอย่างแน่นอนเพราะมันช่วยให้พวกเขาประหยัดเวลาในแง่ของการคิดว่าพวกเขาต้องการรายงานอะไร สิ่งต่าง ๆ เหล่านั้น รายงานทั้งหมดเหล่านี้ได้ถูกสร้างขึ้นมาแล้วกลไกการแจ้งเตือนอยู่ในสถานที่และด้วยคำถามข้อที่สามในหลายกรณีก็อาจเป็นเรื่องที่ท้าทาย เพราะฉันสามารถแสดงรายงานให้คุณได้ตลอดทั้งวัน แต่ถ้าคุณไม่สามารถพิสูจน์ให้ฉันเห็นว่ารายงานเหล่านั้นถูกต้องจริง ๆ แล้วคุณก็รู้ว่ามันเป็นเรื่องที่ยากกว่ามากสำหรับฉันในฐานะ DBA เพื่อแสดงให้เห็นว่า แต่เราได้ทำงานกับเทคโนโลยีและเทคนิคการแฮ็กและสิ่งต่าง ๆ เหล่านั้นทั้งหมดเพื่อให้สามารถตรวจสอบให้แน่ใจว่าข้อมูลในความสมบูรณ์ของเส้นทางการตรวจสอบถูกเก็บไว้
และนั่นคือสิ่งที่พวกเขาเป็นข้อสังเกตของฉันในแง่ของคนส่วนใหญ่ที่เราพูดคุยด้วย ในองค์กรต่าง ๆ คุณรู้ไหมคุณจะได้ยินคุณรู้ว่ามีเป้าหมายเช่นมีการฝ่าฝืนข้อมูลและคุณรู้ไหมฉันหมายถึงเมื่อองค์กรอื่น ๆ ได้ยินเกี่ยวกับค่าปรับและสิ่งเหล่านั้น สิ่งต่าง ๆ ที่ผู้คนเริ่มต้นมันทำให้ขนคิ้วขึ้นมาดังนั้นหวังว่าจะตอบคำถามได้
Dez Blanchfield: ใช่แน่นอน ฉันนึกภาพ DBA บางอย่างได้ในที่สุดเมื่อพวกเขาเห็นสิ่งที่สามารถทำได้ด้วยเครื่องมือเพียงตระหนักว่าพวกเขาได้รับคืนและวันหยุดสุดสัปดาห์กลับด้วย การลดเวลาและค่าใช้จ่ายและสิ่งอื่น ๆ ที่ฉันเห็นเมื่อใช้เครื่องมือที่เหมาะสมกับปัญหาทั้งหมดนี้และนั่นคือสามสัปดาห์ที่ฉันนั่งกับธนาคารที่นี่ในออสเตรเลีย พวกเขาเป็นธนาคารระดับโลกสามอันดับแรกที่มีขนาดใหญ่มาก และพวกเขามีโครงการที่พวกเขาต้องรายงานเกี่ยวกับการปฏิบัติตามการจัดการความมั่งคั่งและความเสี่ยงโดยเฉพาะและพวกเขากำลังมองหางานที่มีมูลค่า 60 สัปดาห์สำหรับมนุษย์สองร้อยคน และเมื่อพวกเขาแสดงให้เห็นว่าชอบเครื่องมือที่เหมือนตัวคุณเองที่สามารถทำให้กระบวนการเป็นไปโดยอัตโนมัติความรู้สึกนี้เมื่อมองเห็นใบหน้าของพวกเขาเมื่อพวกเขารู้ว่าพวกเขาไม่ต้องใช้จำนวน X สัปดาห์กับคนหลายร้อยที่ทำกระบวนการด้วยตนเองคือ เหมือนพวกเขาได้พบกับพระเจ้า แต่สิ่งที่ท้าทายก็คือทำอย่างไรในการวางแผนอย่างแท้จริงตามที่ดร. โรบินบลอร์ระบุคุณรู้ว่านี่เป็นสิ่งที่กลายเป็นส่วนผสมของการเปลี่ยนแปลงพฤติกรรมและวัฒนธรรม ในระดับที่คุณติดต่อด้วยซึ่งเกี่ยวข้องกับสิ่งนี้โดยตรงในระดับแอปพลิเคชันคุณจะเห็นการเปลี่ยนแปลงแบบไหนเมื่อพวกเขาเริ่มใช้เครื่องมือในการรายงานและตรวจสอบและควบคุมที่คุณสามารถเสนอได้ ตรงข้ามกับสิ่งที่พวกเขาอาจทำด้วยตนเอง? มันดูเหมือนอะไรเมื่อพวกเขาฝึกซ้อมจริง ๆ ?
Bullett Manale: คุณกำลังถามความแตกต่างในแง่ของการจัดการสิ่งนี้ด้วยตนเองเมื่อเทียบกับการใช้เครื่องมือนี้คืออะไร? นั่นคือคำถามหรือไม่
Dez Blanchfield: ดีโดยเฉพาะผลกระทบของธุรกิจ ตัวอย่างเช่นหากเรากำลังพยายามส่งมอบการปฏิบัติตามกฎระเบียบด้วยตนเองคุณก็รู้ว่าเราใช้เวลานานกับมนุษย์จำนวนมาก แต่ฉันเดาเอาบริบทบางคำถามเรารู้ว่าเรากำลังพูดถึงคนเดียวที่ใช้เครื่องมือนี้แทนที่ 50 คนที่อาจเกิดขึ้นและสามารถทำสิ่งเดียวกันในเวลาจริงหรือในเวลาหลายเดือนหรือไม่? นั่นเป็นสิ่งที่โดยทั่วไปแล้วจะเป็นอะไร?
Bullett Manale: ฉันหมายถึงมันมีหลายอย่าง หนึ่งมีความสามารถในการตอบคำถามเหล่านั้น บางสิ่งเหล่านั้นจะไม่สามารถทำได้อย่างง่ายดาย ดังนั้นใช่เวลาที่ใช้ในการทำสิ่งที่ผลิตเองในการเขียนรายงานของคุณเองเพื่อตั้งค่าการติดตามหรือเหตุการณ์ขยายเพื่อรวบรวมข้อมูลด้วยตนเองอาจใช้เวลามาก จริง ๆ ฉันจะให้คุณฉันหมายถึงนี้ไม่เกี่ยวข้องกับฐานข้อมูลโดยทั่วไป แต่เหมือนหลังจาก Enron เกิดขึ้นและ SOX กลายเป็นที่แพร่หลายฉันเป็นหนึ่งใน บริษัท น้ำมันขนาดใหญ่ในฮูสตันและเรานับ ฉันคิดว่ามันเหมือน 25 เปอร์เซ็นต์ของต้นทุนธุรกิจของเราเกี่ยวข้องกับการปฏิบัติตาม SOX
หลังจากนั้นและเป็นขั้นตอนเริ่มต้นแรกที่ SOX แต่สิ่งที่ฉันพูดคุณรู้คุณได้รับประโยชน์มากมายโดยใช้เครื่องมือนี้ในแง่ที่ว่ามันไม่ต้องการอะไรมากมาย มีคนมากมายที่ทำสิ่งนี้และมีคนหลากหลายประเภทให้ทำ และอย่างที่ฉันพูด DBA ไม่ใช่คนที่แต่งตัวประหลาดที่รอคอยการสนทนากับผู้ตรวจสอบ ดังนั้นในหลายกรณีเราจะเห็นว่า DBA สามารถถ่ายสิ่งนี้และสามารถจัดทำรายงานที่ถูกเชื่อมต่อกับผู้สอบบัญชีและพวกเขาสามารถลบตัวเองออกจากสมการได้อย่างสมบูรณ์แทนที่จะต้องเข้าไปเกี่ยวข้อง ดังนั้นคุณรู้ไหมว่านั่นเป็นการประหยัดอย่างมากเช่นกันในแง่ของทรัพยากรเมื่อคุณสามารถทำได้
Dez Blanchfield: คุณกำลังพูดถึงการลดต้นทุนจำนวนมากใช่ไหม? องค์กรไม่เพียง แต่กำจัดความเสี่ยงและค่าใช้จ่ายเท่านั้น แต่ฉันหมายถึงคุณกำลังพูดถึงการลดต้นทุนที่สำคัญ A) ในการดำเนินการและ B) ในความจริงที่ว่าคุณรู้ว่าถ้าพวกเขาสามารถให้บริการจริง - การรายงานตามเวลาที่มีความเสี่ยงลดลงอย่างมีนัยสำคัญจากการละเมิดข้อมูลหรือปรับหรือผลกระทบทางกฎหมายบางอย่างสำหรับการไม่ปฏิบัติตามใช่มั้ย?
Bullett Manale: ใช่แล้ว ฉันหมายถึงการไม่ปฏิบัติตามมีสิ่งเลวร้ายเกิดขึ้นทุกชนิด พวกเขาสามารถใช้เครื่องมือนี้และมันจะยอดเยี่ยมหรือไม่และพวกเขาจะพบว่ามันแย่ขนาดไหน ดังนั้นใช่มันไม่เพียง แต่เป็นเครื่องมือที่ชัดเจนคุณสามารถทำการตรวจสอบและทุกสิ่งโดยไม่มีเครื่องมือเช่นนี้ อย่างที่ฉันบอกไปมันต้องใช้เวลาและค่าใช้จ่ายมากขึ้น
Dez Blanchfield: เยี่ยมมาก เอริคฉันจะส่งกลับมาหาคุณเพราะฉันคิดว่าสิ่งที่ฉันซื้อกลับบ้านก็คือคุณรู้ไหมตลาดที่ยอดเยี่ยม แต่โดยพื้นฐานแล้วสิ่งที่มีค่าคือน้ำหนักทองคำบนพื้นฐานที่สามารถหลีกเลี่ยงผลกระทบเชิงพาณิชย์ของปัญหาที่เกิดขึ้นหรือสามารถลดเวลาที่ใช้ในการรายงานและจัดการการปฏิบัติตามกฎระเบียบทำให้คุณรู้ เครื่องมือจ่ายสำหรับตัวเองทันทีด้วยเสียงของสิ่งต่าง ๆ
Eric Kavanagh: ถูกต้องแน่นอน ขอบคุณมากสำหรับเวลาของคุณวันนี้ Bullett ขอขอบคุณพวกคุณทุกคนสำหรับเวลาและความสนใจของคุณและ Robin และ Dez อีกการนำเสนอที่ยอดเยี่ยมในวันนี้ ขอขอบคุณเพื่อนของเราที่ IDERAA ที่ให้เรานำเนื้อหานี้มาให้คุณฟรี เราจะเก็บเว็บคาสต์นี้ไว้เพื่อดูในภายหลัง โดยปกติไฟล์เก็บถาวรจะใช้เวลาประมาณหนึ่งวัน และแจ้งให้เราทราบว่าคุณคิดอย่างไรกับเว็บไซต์ใหม่ของเรา Insideanalysis.com การออกแบบใหม่ทั้งรูปลักษณ์และความรู้สึกใหม่ เรายินดีที่จะรับฟังความคิดเห็นของคุณและฉันจะขออำลาคุณ คุณสามารถส่งอีเมลฉัน มิฉะนั้นเราจะติดต่อคุณในสัปดาห์หน้า เรามีเว็บคาสต์เจ็ดรายการในอีกห้าสัปดาห์ถัดไปหรืออย่างนั้น เรากำลังจะยุ่ง และเราจะเข้าร่วมการประชุม Strata Conference และการประชุม IBM Analyst Summit ที่นิวยอร์กในปลายเดือนนี้ ดังนั้นถ้าคุณอยู่ที่นั่นหยุดพูดทักทาย ดูแลคนด้วย ลาก่อน.
