يبعد: يناقش المضيف إريك كافاناغ تدقيق قاعدة البيانات والامتثال مع المحللين روبن بلور و Dez Blanchfield وكذلك Bullett Manale من IDERA في هذه الحلقة من Hot Technologies.
أنت لم تسجل الدخول حاليًا. يرجى تسجيل الدخول أو التسجيل لمشاهدة الفيديو.
إريك كافانا: سيداتي وسادتي ، مرحباً ومرحباً بكم مرة أخرى في شركة Hot Technologies! نعم بالفعل ، عام 2016. في السنة الثالثة من هذا المعرض ، أشياء مثيرة للغاية. لقد تم هزاز والمتداول هذا العام. هذا هو إريك كافانا ، مضيفك. موضوع اليوم - هذا موضوع رائع ، فهو يحتوي على الكثير من التطبيقات في جميع المجالات ، وبصراحة تامة - "من وماذا وأين وكيف: لماذا تريد أن تعرف". نعم بالفعل ، سوف يتحدثون عن كل هذه الأشياء الممتعة. هناك شريحة تخصك حقًا ، وضربني علىeric_kavanagh. أحاول إعادة تغريد جميع الإشارات وإعادة تغريدة أي شخص لي. خلاف ذلك ، فليكن.
لها الساخنة ، نعم في الواقع! تم تصميم المعرض بأكمله هنا لمساعدة المنظمات والأفراد على فهم أنواع معينة من التكنولوجيا. لقد صممنا البرنامج بالكامل هنا ، Hot Technologies ، كطريقة لتحديد نوع معين من البرامج ، أو اتجاه معين ، أو نوع معين من التكنولوجيا. والسبب هو أنه بصراحة ، في عالم البرمجيات ، ستحصل غالبًا على مصطلحات التسويق التي تتعاطى وأحيانًا يمكن أن تتفادى بصراحة المفاهيم التي صُممت لوصفها.
في هذا العرض ، نحاول حقًا مساعدتك في فهم نوع التقنية المعينة ، وكيف تعمل ، ومتى يمكنك استخدامها ، وعندما لا يجب استخدامها ، ونقدم لك أكبر قدر ممكن من التفاصيل. حسنًا ، لدينا ثلاثة من مقدمي العروض: روبن بلور ، كبير المحللين لدينا في مجموعة بلور ؛ يتصل عالم البيانات لدينا من سيدني ، أستراليا على الجانب الآخر من الكوكب ، Dez Blanchfield ، وأحد ضيوفنا المفضلين Bullett Manale ، مدير هندسة المبيعات في IDERA.
أقول فقط شيئين هنا ، فهم من يفعل ماذا مع أي جزء من البيانات ، هذا نوع من الحوكمة ، أليس كذلك؟ إذا كنت تفكر في جميع اللوائح حول الصناعات ، مثل الرعاية الصحية والخدمات المالية ، في تلك المجالات ، فإن هذه الأشياء مهمة بشكل لا يصدق. تحتاج إلى معرفة من الذي لمس هذه المعلومات ، ومن قام بتغيير شيء ما ومن قام بالوصول إليها ومن قام بتحميلها ، على سبيل المثال. ما هي النسب ، ما هو بروفيدانس هذه البيانات؟ يمكنك أن تطمئن إلى أن جميع هذه القضايا ستظل بارزة في السنوات القادمة لجميع أنواع الأسباب. ليس فقط للامتثال ، على الرغم من HIPAA ، و Sarbanes-Oxley ، و Dodd-Frank ، وجميع هذه اللوائح مهمة للغاية ، ولكن أيضًا حتى تفهم في عملك من يفعل ماذا وأين ومتى ولماذا وكيف. هذه هي الأشياء الجيدة ، وكان من المفترض أن تولي اهتماما.
المضي قدما ، خذها بعيدا ، روبن بلور.
روبن بلور: حسنًا ، شكرًا جزيلاً على هذه المقدمة ، إريك. هذا المجال من الحكم ، يعني ، لم يكن الحكم في تكنولوجيا المعلومات كلمة سمعتها إلا بعد عام 2000 بقليل ، على ما أعتقد. لقد حدث ذلك في المقام الأول لأنه ، على أية حال ، أعتقد أنه حدث في المقام الأول بسبب وجود تشريع للامتثال كان يحدث. خاصة HIPAA و Sarbanes-Oxley. هناك فعلا الكثير منه. لذلك ، أدركت المنظمات أنه يجب أن يكون لديها مجموعة من القواعد ومجموعة من الإجراءات لأنها ضرورية بموجب القانون للقيام بذلك. قبل ذلك بفترة طويلة ، لا سيما في القطاع المصرفي ، كان هناك العديد من المبادرات التي كان عليك أن تطيعها اعتمادًا على نوع البنك الذي أنت فيه ، وخاصة البنوك الدولية. بدأ كل المتوافق مع بازل الطريق ، قبل تلك المجموعة المحددة من المبادرات بعد عام 2000. كل ذلك يتعلق بالحكم. اعتقدت الحديث يتحدث حول موضوع الحكم كمقدمة للتركيز على مراقبة من يحصل على البيانات.
لقد كانت حوكمة البيانات ، التي كنت أنظر حولي ، أفكر فيها منذ حوالي خمس أو ست سنوات ، ونظر حولي بحثًا عن التعاريف ولم يتم تعريفها جيدًا على الإطلاق. تصبح أكثر وضوحا وأكثر وضوحا لما يعنيه في الواقع. كان واقع الوضع أنه ضمن حدود معينة ، كانت جميع البيانات محكومة بالفعل من قبل ، ولكن لم تكن هناك قواعد رسمية لذلك.كانت هناك قواعد خاصة تم وضعها بشكل خاص في الصناعة المصرفية لفعل أشياء من هذا القبيل ، ولكن مرة أخرى كان ذلك أكثر حول الامتثال. بطريقة أو بأخرى تثبت أنك في الواقع - نوع من المخاطر المرتبطة بها ، لذلك فإن إثبات أنك بنك قابل للبقاء كان هو الصفقة.
إذا نظرت إلى تحدي الحوكمة الآن ، فسيبدأ بحقيقة حركة البيانات الكبيرة. لقد حصلنا على عدد متزايد من مصادر البيانات. حجم البيانات بالطبع هو مشكلة مع ذلك. على وجه الخصوص ، بدأنا في فعل الكثير والكثير ، مع بيانات غير منظمة. لقد أصبحت شيئًا ما جزءًا من لعبة التحليلات بأكملها. وبسبب التحليلات ، يعد مصدر البيانات والنسب مهمة. حقا من وجهة نظر استخدام تحليلات البيانات بأي شكل من الأشكال المتعلقة بأي نوع من الامتثال ، عليك حقا أن يكون لديك معرفة من أين جاءت البيانات وكيف يجب أن تكون ما هي عليه.
أصبح تشفير البيانات مشكلة ، أصبح مشكلة أكبر بمجرد أن ذهبنا إلى Hadoop لأن فكرة بحيرة البيانات التي نخزن فيها الكثير من البيانات ، تعني فجأة أن لديك مساحة كبيرة من الضعف للأشخاص الذين يمكنهم الحصول عليها في ذلك. أصبح تشفير البيانات أكثر بروزًا. كانت المصادقة دائمًا مشكلة. في البيئة الأقدم ، بيئة حاسب مركزي صارم ، كان لديهم حماية أمنية محيطية رائعة ؛ المصادقة لم تكن أبدًا مشكلة كبيرة. في وقت لاحق أصبح مشكلة أكبر وأكثر من مشكلة الآن لأننا حصلنا على مثل هذه البيئات الموزعة بشكل كبير. مراقبة الوصول إلى البيانات ، التي أصبحت مشكلة. يبدو أنني أتذكر الأدوات المختلفة التي ظهرت إلى الوجود منذ حوالي عشر سنوات. أعتقد أن معظم هؤلاء كانوا مدفوعين بمبادرات الامتثال. لذلك لدينا أيضا جميع قواعد الامتثال ، الإبلاغ عن الامتثال.
الشيء الذي يتبادر إلى الذهن هو أنه حتى في التسعينات من القرن الماضي ، عندما كنت تجري تجارب سريرية في صناعة المستحضرات الصيدلانية ، لم يكن عليك فقط أن تكون قادرًا على إثبات من أين جاءت البيانات - من الواضح أهميتها البالغة ، إذا كنت تحاول الخروج من المخدرات في سلبيات مختلفة ، لمعرفة من الذي تجري محاكمته وما هي البيانات الموصولة حوله - كان عليك أن تكون قادرًا على تقديم مراجعة للبرنامج الذي أنشأ البيانات بالفعل. إنه أقسى جزء من الامتثال الذي رأيته في أي مكان على الإطلاق ، من حيث إثبات أنك تخلخل عن الأشياء في غير قصد أو عن غير قصد. في الآونة الأخيرة ، لا سيما إدارة دورة حياة البيانات أصبحت مشكلة. كل هذه التحديات بطريقة ما لأن الكثير من هذه الأمور لم تتم بشكل جيد. في كثير من الظروف من الضروري القيام بها.
هذا ما أسميه هرم البيانات. لقد تحدثت من خلال هذا من قبل. أجدها طريقة ممتعة للغاية للنظر إلى الأشياء. يمكنك التفكير في البيانات على أنها تحتوي على طبقات. البيانات الأولية ، إن أردت ، هي مجرد إشارات أو قياسات ، تسجيلات ، أحداث ، سجلات فردية في الغالب. ربما المعاملات والحسابات والتجمعات بالطبع إنشاء بيانات جديدة. يمكن التفكير بها على مستوى البيانات. علاوة على ذلك ، بمجرد توصيل البيانات معًا فعليًا ، تصبح معلومات. يصبح أكثر فائدة ، لكن بالطبع يصبح أكثر عرضة للأشخاص الذين يقرصونه أو يسيئون معاملته. أقوم بتحديد ذلك على أنه يتم إنشاؤه ، حقًا ، من خلال هيكلة البيانات ، والقدرة على تصور البيانات التي تحتوي على مسارد ، ومخططات ، وأنطولوجيات على المعلومات. هاتان الطبقات السفلى هما ما نعالجه بطريقة أو بأخرى. أعلاه هو ما أسميه طبقة المعرفة التي تتكون من القواعد والسياسات والمبادئ التوجيهية والإجراءات. قد يتم إنشاء بعضها بالفعل بواسطة رؤى اكتشفت في التحليلات. كثير منهم في الواقع سياسات عليك الالتزام بها. هذه هي طبقة الحكم إذا أردت. هذا هو المكان ، بطريقة أو بأخرى ، إذا لم يتم ملء هذه الطبقة بشكل صحيح ، فلن تتم إدارة الطبقتين أدناه. النقطة الأخيرة في هذا الأمر هي ، الفهم في شيء يكمن فقط في البشر. تمكنت أجهزة الكمبيوتر طعاما من القيام بذلك حتى الآن ، والحمد لله. خلاف ذلك ، معرف يكون خارج الوظيفة.
إمبراطورية الحكم - لقد وضعت هذا الأمر معًا ، أعتقد أنه كان يجب أن يكون منذ حوالي تسعة أشهر ، ربما قبل ذلك بكثير. في الأساس ، قمت بتحسينه ، لكن بمجرد أن بدأنا نشعر بالقلق بشأن الحوكمة ، كان هناك ، من حيث مركز بيانات الشركة ، ليس فقط خزان البيانات ، موارد بحيرة البيانات ، ولكن أيضًا الخوادم العامة من أنواع مختلفة ، خوادم البيانات المتخصصة. كل ذلك يحتاج إلى أن يحكم. عندما نظرت بالفعل إلى البعد المتنوع أيضًا - أمان البيانات ، وتنظيف البيانات ، واكتشاف البيانات الوصفية وإدارة البيانات الوصفية ، وإنشاء مسرد للأعمال ، ورسم الخرائط للبيانات ، ونسب البيانات ، وإدارة دورة حياة البيانات - ثم إدارة مراقبة الأداء وإدارة مستوى الخدمة ، وإدارة النظام ، والتي قد لا تربطها فعليًا بالحوكمة ، ولكن بعضها - الذي كان الآن في طريقه إلى عالم أسرع وأسرع مع المزيد من تدفقات البيانات ، أن تكون قادرًا على فعل شيء مع أداء معين هو في الواقع ضرورة ويبدأ في تصبح قاعدة للعمل بدلا من أي شيء آخر.
بإيجاز فيما يتعلق بنمو الامتثال ، شاهدت أن هذا يحدث على مدار سنوات عديدة ، لكن حماية البيانات العامة جاءت بالفعل في التسعينيات في أوروبا. لقد أصبحت أكثر وأكثر تطوراً منذ ذلك الحين. بعد ذلك ، بدأت كل هذه الأشياء في التقديم أو جعلها أكثر تطوراً. GRC ، وهذا هو مخاطر الحوكمة والامتثال ، ما زال مستمرا منذ أن قامت البنوك ببازل. تقوم ISO بوضع معايير لأنواع مختلفة من العمليات. أعلم طوال الوقت أنني كنت في تكنولوجيا المعلومات - لقد مضى وقت طويل - كانت الحكومة الأمريكية نشطة بشكل خاص في إنشاء تشريعات مختلفة: SOX ، theres Gramm-Leach-Bliley و HIPAA و FISMA و FERPA. لقد حصلت أيضًا على منظمة NIST الرائعة التي تخلق العديد من المعايير ، خاصة معايير الأمان ، مفيدة جدًا. قوانين حماية البيانات في أوروبا لها فروق محلية. ما يمكنك فعله بالبيانات الشخصية في ألمانيا ، على سبيل المثال ، يختلف عما يمكنك القيام به في جمهورية سلوفاكيا ، أو سلوفينيا ، أو في أي مكان. لقد قدموا مؤخرًا - واعتقدت أيد أن أذكر هذا لأنني أجده مسلياً - تقوم أوروبا بتقديم فكرة الحق في النسيان. أي ، يجب أن يكون هناك تشريع للقيود على البيانات التي كانت علنية والتي هي في الواقع بيانات شخصية. أعتقد أن هذا فرحان. من وجهة نظر تكنولوجيا المعلومات ، سيكون الأمر بالغ الصعوبة للغاية إذا أصبح التشريع الفعال. في الخلاصة ، ذكر المعرف التالي: نظرًا لتطور بيانات تكنولوجيا المعلومات وإدارتها بسرعة ، يجب أن تتطور الحوكمة أيضًا بسرعة وتنطبق على جميع مجالات الإدارة.
بعد أن قلت أن Ill يمرر الكرة إلى Dez.
إريك كافانا: نعم بالفعل ، حتى ديز بلانشفيلد ، خذها بعيدًا. روبن ، أنا معك ، يا رجل ، أنا أموت لنرى كيف يلعب هذا الحق في النسيان. أعتقد أن الأمر لن يكون مجرد تحدٍ ولكنه مستحيل بشكل أساسي. انها مجرد انتهاك للانتظار لممارسة عليها من قبل الوكالات الحكومية. ديز ، خذها بعيدا.
ديز بلانشفيلد: إنه بالفعل وهذا موضوع لمناقشة أخرى. لدينا تحدٍ مشابه جدًا هنا في منطقة آسيا والمحيط الهادئ ، وخاصةً في أستراليا ، حيث يتعين على شركات النقل ومزودي خدمة الإنترنت تسجيل كل ما يتعلق بالإنترنت والقدرة على تسجيله واستعادته في حالة قيام شخص ما بفعل شيء خاطئ. إنه قانون وعليك الالتزام به. التحدي ، تمامًا كما قد يُطلب من شخص ما في Google في الولايات المتحدة حذف سجل البحث الخاص بي أو أيًا كان ، فقد يكون الامتثال للقانون الأوروبي ، وخاصة قانون الخصوصية الألماني. إذا أرادت وكالة في أستراليا أن تنظر إليك ، فيجب أن يكون بمقدور شركة الاتصالات تقديم تفاصيل عن المكالمات وسجل البحث الذي تم إجراؤه ، وهذا أمر صعب ، ولكنه العالم الذي نعيش فيه. هناك مجموعة من الأسباب لذلك. واسمحوا لي فقط القفز في بلدي.
لقد تعمدت جعل صفحة العنوان صعبة القراءة. عليك أن تنظر بجد إلى ذلك. الامتثال ، يتوافق مع مجموعة من القواعد أو المواصفات أو الضوابط أو السياسات أو المعايير أو القوانين ، مع خلفية سخيفة ، فوضوي. ولهذا نظرت إلى أنه من الصعب عليك الحصول على التفاصيل وسحب المعلومات من محتوياتها المتراكبة ، وهي عبارة عن سلسلة من الجداول والصفوف والأعمدة ، إما قاعدة بيانات أو مخطط أو نموذج نموذجي في Visio. هذا هو ما نوع الامتثال يشعر وكأنه يوما بعد يوم. من الصعب للغاية الغوص في التفاصيل وسحب أجزاء المعلومات ذات الصلة التي تحتاجها لتتمكن من التأكيد على التزامك. الإبلاغ عن ذلك ، ومراقبته واختباره.
في الواقع ، اعتقدت أن هناك طريقة جيدة بالفعل لتصور هذا عندما نسأل أنفسنا السؤال ، "هل أنت متوافق؟" "هل أنت واثق؟" "حسنا ، اثبت ذلك!" هناك شيء ممتع حقًا ربما يكون أكثر قليلاً من الأنجلو سلتيك ، لكن أنا متأكد من أنه شق طريقه في جميع أنحاء العالم إلى الولايات المتحدة ، لذلك: "Wheres Wally؟" Wally هي شخصية صغيرة تدخل في هذه الرسوم الكاريكاتورية في شكل كتب. عادةً صور كبيرة جدًا بحجم A3 أو أكبر. لذلك ، رسومات حجم الجدول. إنه شخصية صغيرة ترتدي قبعة صغيرة وقميصًا أحمر مقلم. فكرة اللعبة هي إلقاء نظرة على هذه الصورة وأنت تنظر حولك في دوائر لمحاولة العثور على Wally. في هذه الصورة هناك في مكان ما. عندما تفكر في كيفية اكتشاف التوافق ووصفه والإبلاغ عنه ، من نواحٍ كثيرة ، مثل "Wheres Wally". إذا نظرت إلى تلك الصورة ، فمن شبه المستحيل العثور على الشخصية. الأطفال يقضون ساعات في ذلك وكان لدي الكثير من المرح في القيام بذلك بنفسي أمس. عندما ننظر إلى الأمر ، نجد مجموعة كاملة من الأشخاص في هذه الرسوم ، يوضعون هناك عمداً مع قطع متشابهة من الزي والي ل قبعة صغيرة مخططة وقميص ، أو قميص صوفي. لكنهم يتحولون إلى إيجابيات كاذبة.
هذا هو تحد مماثل لدينا مع الامتثال. عندما كان ينظر إلى الأشياء ، في بعض الأحيان شيء نعتقد أنه هذا هو الحال ، ليس هو الحال على الإطلاق. قد يكون لدى شخص ما حق الوصول إلى قاعدة بيانات ومن المفترض أن يكون لديه هذا الوصول إلى قاعدة بيانات ولكن الطريقة التي يستخدمونها مختلفة قليلاً عن ما نتوقعه. قد نقرر أن هذا شيء نحتاج أن ننظر إليه. عندما ننظر إلى ذلك نجد ، في الواقع ، هذا مستخدم صالح للغاية. انهم مجرد القيام بشيء غريب. ربما يكون باحث كمبيوتر أو من يعرف. في حالات أخرى ، قد يكون عكس ذلك. الحقيقة ، عندما أتقدم مرة أخرى ، هناك والي. إذا بدت صعبة للغاية في هذه الدقة العالية ، فهناك شخصية واحدة ترتدي بالفعل الزي المناسب. جميع الآخرين مجرد lookalikes ويشعرون. الامتثال يشبه إلى حد كبير ذلك. معظم الأشخاص الذين أعرفهم ، يعملون في مجالات الضوابط والامتثال وسياسات الشركات. في مجموعة كاملة من المجالات ، سواء التكنولوجيا أو التمويل أو التشغيل أو المخاطرة. غالبًا ما يكون من الصعب رؤية Wally في الصورة ، سترى الأشجار أو الخشب.
والسؤال الذي نطرحه على أنفسنا ، عندما نفكر في أشياء مثل الامتثال ، هو "الصفقة الكبيرة ، ما الذي يمكن أن يحدث إذا لم نلتزم بالامتثال تمامًا؟" في سياق مناقشة اليوم ، وتحديداً حول قاعدة البيانات والتحكم في الوصول إلى البيانات ، سأقدم لك Im بعض أمثلة مكالمات الإيقاظ الحقيقية للغاية حول ما يمكن أن يحدث في شكل موجز للغاية. إذا فكرنا في خروقات البيانات ، وكنا على دراية بخروقات البيانات ، فإننا نسمعها في وسائل الإعلام ، ونوقف ونضحك نوعًا ما ، لأن الناس يفكرون في أسواقها. الأشياء الشخصية. إنه آشلي ماديسون والأشخاص الذين يتطلعون للحصول على تواريخ خارج علاقاتهم وزواجهم. لها حسابات قذف. في كل هذه الأشياء الغريبة أو بعض الشركات المزودة لخدمات الإنترنت أو الشركات المضيفة أو الأوروبية أو الروسية. عندما يتعلق الأمر بأشياء مثل MySpace وهؤلاء العشرة الأوائل ، عندما تنظر إلى هذه الأرقام ، فإن ما أريدك أن تدركه هو: 1.1 مليار شخص من التفاصيل في هذه الخروقات العشرة الأولى. ونعم ، هناك تداخلات ، من المحتمل أن يكون لدى الأشخاص الذين لديهم حساب في MySpace ، وحساب Dropbox ، وحساب Tumblr ، ولكن يتيح لك تقريبه إلى مليار شخص.
هذه الانتهاكات العشرة الأولى خلال العقد الماضي أو نحو ذلك - ولا حتى عقد من الزمان ، في معظم الحالات - تلخص ما يقرب من سبع سكان العالم من البشر ، ولكن بشكل أكثر واقعية ، حوالي 50 في المئة من عدد الأشخاص المتصلين الانترنت ، أكثر من مليار شخص. هذه تأتي لأن الامتثال لم يتحقق في بعض الحالات. في معظم الحالات ، تم التحكم في الوصول إلى قاعدة البيانات ، والتحكم في الوصول إلى مجموعات بيانات معينة ، والأنظمة والشبكات. هذا هو التحقق من واقع مخيف. إذا لم يخيفك ذلك ، عندما تنظر إلى المراكز العشرة الأولى ويمكنك أن ترى أن هذا - أو يمكنك أن ترى أن هناك مليار شخص ، بشر حقيقي مثلنا ، على هذه الدعوة الآن. إذا كان لديك حساب LinkedIn أو إذا كان لديك حساب Dropbox أو حساب Tumblr أو إذا كنت قد اشتريت من منتجات Adobe أو حتى قمت بتنزيل Adobe Viewer المجاني. من المحتمل تمامًا ، وليس ممكنًا ، من المحتمل تمامًا أن تكون بياناتك أو اسمك الأول أو اسمك الأخير أو عنوانك أو حتى عنوان شركة عملك أو عنوان منزلك أو بطاقتك الائتمانية موجودة بالفعل بسبب وجود خرق حدث بسبب الضوابط ، التي werent بالضرورة تدار بشكل جيد في شكل إدارة البيانات ، وإدارة البيانات.
لنلقي نظرة عليه عندما ننظر إليه بتفاصيل حقيقية. هناك شاشة واحدة منهم ، وهناك حوالي 50 شيء هناك. 15 أخرى. هناك 25 أخرى. هذه هي خروقات البيانات التي يتم سردها على موقع ويب يسمى haveibeenpwned.com. هذا هو ما يمكن أن يحدث خطأ إذا كان هناك شيء بسيط مثل التحكم في من لديه حق الوصول إلى البيانات في قواعد البيانات في مختلف المجالات والصفوف والأعمدة والتطبيقات المختلفة في عملك ، لم يتم إدارتها بشكل صحيح. هذه المنظمات هي الآن مدفوعة البيانات. تعيش معظم البيانات في قاعدة بيانات في شكل ما. عندما تفكر في ذلك ، تلك القائمة من الانتهاكات التي نظرنا إليها للتو ، ونأمل أن تعطيك قليلاً من الاستحمام البارد بمعنى ما ، من حيث أنك فكرت "حسنًا ، هذا حقيقي جدًا" ، وقد أثرت عليك. في عام 2012 ، هذا الاختراق لـ LinkedIn على سبيل المثال ، يمتلك معظم المحترفين حسابًا على LinkedIn هذه الأيام ومن المحتمل أن يتم فقد التفاصيل الخاصة بك. لقد تم نشرها على الإنترنت منذ عام 2012. لقد تم إبلاغنا عنها للتو في عام 2016. ماذا حدث معك المعلومات في تلك السنوات الأربع؟ حسنًا ، إنها مثيرة للاهتمام ويمكننا التحدث عن ذلك بشكل منفصل.
إدارة قواعد البيانات والأنظمة - غالبًا ما أتحدث عن ما أعتبره التحديات الخمسة الأولى في إدارة هذه الأشياء. في المقدمة ، أضع هذه المعلومات في المرتبة الأولى حسب ترتيب التفضيل مني ، ولكن أيضًا حسب ترتيب التأثير ، رقم واحد هو الأمان والامتثال. الضوابط والآليات والسياسات المتعلقة بالتحكم في من لديه حق الوصول إلى أي نظام ولأي سبب وغرض. الإبلاغ عن ذلك ومراقبته ، والنظر في الأنظمة ، والنظر في قواعد البيانات ، ومعرفة من يمكنه بالفعل الوصول إلى السجلات والحقول الفردية والسجلات.
فكر في هذا في شكل بسيط للغاية. دعنا نتحدث عن البنوك وإدارة الثروات كمثال واحد. عند التسجيل للحصول على حساب بنكي ، دعنا نقول فقط حساب نقدي عادي لبطاقة EFTPOS أو حساب نقدي أو حساب شيك. تقوم بملء نموذج وهناك الكثير من المعلومات الخاصة للغاية في تلك الورقة التي تملأها أو تقوم بها عبر الإنترنت وتنتقل إلى نظام الكمبيوتر. الآن ، إذا كان شخص ما في التسويق يريد الاتصال بك وبك كتيب ، فيُسمح له برؤية اسمك الأول واسم العائلة وعنوانك الشخصي ، على سبيل المثال ، وربما رقم هاتفك إذا كانوا يريدون الاتصال بك والبيع انت شيء. من المحتمل ألا يروا المبلغ الإجمالي الذي حصلت عليه في البنك لمجموعة من الأسباب. إذا كان شخص ما ينظر إليك من وجهة نظر مخاطرة ، أو يحاول مساعدتك في القيام بشيء ما مثل الحصول على أسعار فائدة أفضل على حسابك ، فربما يريد هذا الشخص بعينه معرفة مقدار الأموال التي حصلت عليها في البنك ، حتى يتمكنوا من تقديمك المستويات المناسبة من الفائدة العائد على أموالك. هذان الشخصان لهما أدوار مختلفة تمامًا وأسباب مختلفة جدًا لتلك الأدوار وأغراض لهذين الأدوار. نتيجة لذلك ، يجب أن تشاهد معلومات مختلفة في السجل الخاص بك ، ولكن ليس كل السجل.
تتحكم عناصر التحكم هذه حول التقرير المختلف للشاشات أو النماذج المعتادة الموجودة في التطبيقات المستخدمة لإدارة حسابك. إن التطوير لهؤلاء ، والحفاظ على هؤلاء ، وإدارة هؤلاء ، والإبلاغ حول هؤلاء ، والحوكمة والامتثال المحيطين بأولئك مثل التفاف الفقاعة ، كلها تحد كبير للغاية. هذا هو التحدي الأول في إدارة البيانات والأنظمة. عندما نتعمق في هذا المكوّن في الأداء والمراقبة ، واكتشاف حالات الإصابة والاستجابة لها ، وإدارة النظام وإدارته ، والامتثال من حولهم ، وتصميم النظم وتطويرها من الامتثال ، يصبح الأمر أكثر صعوبة.
إدارة القضية بأكملها المتمثلة في تقليل المخاطر وتحسين الأمن. أهم خمسة تحديات في هذا الفضاء - وأنا أحب الصور التي تتوافق مع مكتب الجمارك عند دخولك إلى بلد ما - يقدمون جواز سفرك ، ويقومون بفحصك ، وينظرون إلى نظام الكمبيوتر الخاص بهم لمعرفة ما إذا كان يجب عليك المرور أو ليس. إذا كنت لا يجب أن تضعك على متن الطائرة القادمة في الوطن. بخلاف ذلك ، يسمحون لك بالعودة ويسألونك أسئلة مثل: "هل ستأتي في إجازة؟ هل أنت هنا سائح؟ هل أنت هنا للعمل؟ ما نوع العمل الذي ستراه؟ أين ستبقى؟ "ما المدة التي ستقضيها؟ هل لديك ما يكفي من المال لتغطية مصاريفك وتكاليفك ، أو هل ستصبح خطراً على البلد الذي تتواجد فيه وقد يتعين عليهم الاعتناء بك وإطعامك؟"
هناك بعض المشكلات حول مساحة البيانات هذه ، إدارة حماية البيانات. على سبيل المثال ، في مساحة قاعدة البيانات ، نحتاج إلى التفكير في تخفيف تجاوزات قاعدة البيانات. إذا كانت البيانات في قاعدة البيانات ، في بيئة طبيعية وهناك ضوابط وآليات حول ذلك في النظام. ماذا يحدث إذا تم تفريغ البيانات في المزيد من SQL والنسخ الاحتياطي لشريط؟ يتم تفريغ قواعد البيانات بشكل أولي ويتم نسخها احتياطيًا في بعض الأحيان. في بعض الأحيان القيام به لأسباب فنية ، وأسباب التنمية. دعنا نقول فقط أن تفريغ الديسيبل تم التقاطه ونسخه احتياطيًا على الشريط. ماذا يحدث إذا صادفت يدي على هذا الشريط واستعادته؟ وحصلت على نسخة أولية من قاعدة البيانات في SQL. لها ملف النائب ، لها ، يمكنني قراءتها. جميع كلمات المرور المخزنة في هذا التفريغ ليس لها أي سيطرة علىي لأن Im أصبح الآن قادرًا على الوصول إلى المحتوى الفعلي لقاعدة البيانات دون أن يحميها مشغل قاعدة البيانات. لذلك يمكنني من الناحية الفنية تجاوز أمان منصة قاعدة البيانات التي يتم بناؤها في المحرك مع الامتثال ، وإدارة المخاطر لمنعني من النظر إلى البيانات. لأنه من المحتمل أن يكون المطور ، مسؤول النظام ، لقد حصلت على يدي على تفريغ كامل لقاعدة البيانات التي يجب استخدامها للنسخ الاحتياطية.
إساءة استخدام البيانات - من المحتمل أن تجعل شخصًا ما يسجل الدخول كحساب مرتفع لديه ويسمح لي بالجلوس على الشاشة أو البحث عن معلومات أو أشياء مماثلة.تدقيق الملكية ، والوصول إلى البيانات واستخدامها ، وعرض البيانات أو التغييرات على البيانات. ثم الإبلاغ حول هذه السيطرة والامتثال المطلوب. مراقبة حركة المرور والوصول وما إلى ذلك ، ومنع التهديدات التي تأتي من مواقع وخوادم خارجية. على سبيل المثال ، إذا تم تقديم البيانات عبر نموذج على صفحة ويب على الإنترنت ، فهل تمت حماية حقن SQL من خلال جدران الحماية وعناصر التحكم في المفاهيم؟ هناك قصة طويلة مفصلة وراء ذلك. يمكنك أن ترى هنا أن بعض هذه الأشياء الأساسية للغاية التي نفكر بها في تخفيف وإدارة المخاطر حول البيانات داخل قواعد البيانات. في الواقع من السهل نسبيا الحصول على بعض هذه الجولة إذا كنت على مستويات مختلفة من أكوام من التقنيات. يصبح التحدي أصعب وأصعب حيث تحصل على المزيد والمزيد من البيانات ، والمزيد من قواعد البيانات. أكثر وأكثر تحديًا مع اضطرار الأشخاص لإدارة الأنظمة ومراقبة استخدامها ، تتبع التفاصيل ذات الصلة التي تتعلق بالتحديد بالأشياء التي تحدث عنها روبن ، حول أشياء مثل الامتثال الشخصي. الأفراد لديهم ضوابط وآليات من حولهم تمتثل - إذا قمت بشيء خاطئ ، فمن المحتمل أن تطلق النار. إذا قمت بتسجيل الدخول لأن حسابي يسمح لك برؤيته ، فيجب أن يكون ذلك بمثابة جريمة قابلة للتشغيل. لقد أعطيتني الآن إمكانية الوصول إلى البيانات التي لا يجب أن تراها بشكل طبيعي.
يوجد ثيريس الامتثال الشخصي ، ثيريس الامتثال للشركات ، الشركات لديها سياسات وقواعد ، والضوابط التي وضعوها على أنفسهم تماما حتى تعمل الشركة بشكل جيد ويوفر عائد على الربح وعائد جيد للمستثمرين والمساهمين. بعد ذلك ، غالبًا ما يكون هناك على مستوى المدينة أو على مستوى الولاية أو على المستوى الوطني أو الفيدرالي كما قلت. ثم هناك تلك العالمية. بعض الحوادث الكبرى في العالم ، حيث أمثال ساربانيس أوكسلي ، شخصان يُطلب إليهما التوصل إلى طرق حول كيفية حماية البيانات والأنظمة. يوجد Theres Basel في أوروبا وكل مجموعة من الضوابط في أستراليا ، خاصة حول البورصات ومنصات الاعتماد ، ومن ثم الخصوصية على مستوى الفرد أو الشركة. عندما يتم تجميع كل منها كما رأيت في أحد المواقع التي كان بها روبن ، تصبح جبلًا شبه مستحيل تقريبًا يصعد. ترتفع التكاليف وكانت في الوقت الذي لم يعد فيه النهج التقليدي الأصلي الذي تعرفه ، مثل البشر الذين يقيسون التحكم ، طريقة مناسبة لأن المقياس كبير جدًا.
لدينا سيناريو حيث الامتثال هو ما أسميه الآن مشكلة دائمة. وهذا هو أننا اعتدنا أن يكون لدينا نقطة زمنية ، إما شهرية أو ربع سنوية أو سنوية ، حيث سنراجع حالة الأمة لدينا وسنساعد في الالتزام والسيطرة. التأكد من أن بعض الأشخاص لديهم حق وصول معين وليس لديهم وصول معين اعتمادًا على أذوناتهم. الآن هي حالة سرعة الأشياء التي تتحرك بها الأشياء ، والسرعة التي تتغير بها الأشياء ، والمقياس الذي كانت تعمل عليه. يمثل الامتثال مشكلة دائمة ، وكانت الأزمة المالية العالمية مجرد مثال واحد يمكن أن تتجنب فيه الضوابط ذات الصلة ، والتدابير المتعلقة بالأمن والامتثال سيناريو حيث كان لدينا قطار شحن هارب لسلوك معين. مجرد خلق موقف مع العالم بأسره مع العلم أنه سوف ينهار ويفلس. للقيام بذلك ، نحن بحاجة إلى الأدوات الصحيحة. رمي البشر في القطار ، لم يعد إلقاء الجثث مقاربة صحيحة لأن المقياس كبير للغاية وتتحرك الأشياء بسرعة كبيرة. النقاش اليوم ، على ما أعتقد ، سيكون حول أنواع الأدوات التي يجب تطبيقها على هذا. على وجه الخصوص الأدوات التي يمكن أن تقدمها IDERA لنا والتي يجب أن تفعل ذلك. ومع أخذ ذلك في الاعتبار ، سأقوم بتسليمه إلى Bullett للتجول في مواده وإظهار نهجنا والأدوات التي حصلوا عليها لحل هذه المشكلة التي قدمناها لك الآن.
مع ذلك ، Bullett ، سأسلم لك.
بوليت مانالي: تبدو رائعة ، شكرا لك. أريد أن أتحدث عن بعض الشرائح وأريد أيضًا أن أريك منتجًا نستخدمه لقواعد بيانات SQL Server خصيصًا للمساعدة في مواقف التوافق. في الواقع ، فإن التحدي في العديد من الحالات - إيم الذهاب إلى تخطي عدد قليل من هذه - هذه ليست سوى مجموعة منتجاتنا ، وسأذهب إلى ذلك بسرعة كبيرة. فيما يتعلق بالجهة التي سيتناول فيها هذا المنتج حقًا وكيفية ارتباطه بالامتثال ، أقوم دائمًا بسحب هذا الأمر كأول شريحة لأن نوعه عام ، "مهلا ، ما مسؤولية DBA؟" أحد الأشياء هو مراقبة ورصد وصول المستخدم وأيضا القدرة على إنشاء التقارير. سيكون ذلك مرتبطًا عندما تتحدث إلى مدقق الحسابات الخاص بك ، ومدى صعوبة تغيير هذه العملية اعتمادًا على ما إذا كنت ستقوم بذلك بمفردك أو إذا كنت ستستخدم أداة تابعة لجهة خارجية للمساعدة.
بشكل عام ، عندما أتحدث مع مسؤولي قواعد البيانات ، لم يشاركوا في كثير من الأحيان في التدقيق. يجب عليك تثقيفهم في حقيقة الأمر الذي يتعين عليك فعله بالفعل. تتعلق بنوع الامتثال المطلوب الوفاء به والقدرة على إثبات أنك تتبع القواعد فعليًا كما ينطبق على هذا المستوى من الالتزام. الكثير من الناس لا يحصلون عليها في البداية. يعتقدون ، "أوه ، يمكنني فقط شراء أداة تجعلني متوافقًا." الواقع هو ، هذا ليس هو الحال. أتمنى أن أقول إن منتجنا بطريقة سحرية ، كما تعلم ، ضرب الزر السهل ، أعطاك القدرة على التأكد من توافقك. في الواقع ، يجب أن تكون البيئة الخاصة بك مضبوطة من حيث الضوابط ، من حيث كيفية وصول الناس إلى البيانات ، وأن كل ذلك لابد من إعداده مع التطبيق الذي لديك. حيث يتم تخزين البيانات الحساسة ، ما نوع المتطلبات التنظيمية التي يتم تخزينها. بعد ذلك ، يجب أيضًا العمل مع ضابط الامتثال الداخلي أيضًا حتى تكون قادرًا على التأكد من اتباع جميع القواعد.
هذا يبدو معقدا حقا. إذا نظرت إلى جميع المتطلبات التنظيمية ، فأنت تعتقد أن هذا سيكون هو الحال ، ولكن الواقع هو أن هناك قاسمًا مشتركًا هنا. في حالتنا مع الأداة التي سنقوم بعرضها لك Im اليوم ، وهو منتج Compliance Manager ، ستكون العملية في وضعنا هي أننا ، أولاً وقبل كل شيء ، نحتاج إلى التأكد من قيامنا بجمع بيانات مراجعة الحسابات ، المتعلقة بمكان البيانات في قاعدة البيانات التي حساسة. يمكنك جمع كل شيء ، أليس كذلك؟ يمكنني الخروج وأقول أنني أرغب في جمع كل معاملة تحدث على قاعدة البيانات هذه. الحقيقة هي أنه ربما لا يكون لديك سوى جزء صغير أو نسبة مئوية صغيرة من المعاملات المرتبطة فعليًا بالبيانات الحساسة. إذا كان PCI الامتثال لها سيكون حول معلومات بطاقة الائتمان ، ومالكي بطاقات الائتمان ، ومعلوماتهم الشخصية. قد يكون هناك الكثير من المعاملات الأخرى من حيث صلتها بالتطبيق الخاص بك ، والتي لا تؤثر حقًا على المتطلبات التنظيمية لـ PCI.
من وجهة النظر هذه ، فإن أول شيء عندما أتحدث إلى DBA هو أن أقول ، "إن التحدي الأول لا يحاول الحصول على أداة للقيام بهذه الأشياء نيابة عنك. إنه مجرد معرفة أين توجد تلك البيانات الحساسة وكيف يمكننا إغلاق هذه البيانات؟ "إذا كان لديك ذلك ، إذا كان يمكنك الإجابة على هذا السؤال ، فأنت في منتصف الطريق من حيث قدرتك على إظهار أنك في حالة امتثال ، على افتراض أنك تتبع الضوابط الصحيحة. دعنا نقول لثانية واحدة أنك تتبع الضوابط الصحيحة وأبلغت مدققي الحسابات أن هذا هو الحال. من الواضح أن الجزء التالي من العملية قادر على توفير مسار تدقيق يوضح وتثبت أن عناصر التحكم هذه تعمل بالفعل. ثم ، متابعة ذلك مع التأكد من حفظ هذه البيانات. عادة مع أشياء مثل توافق PCI و HIPAA ، وتلك الأنواع من الأشياء ، فأنت تتحدث لمدة سبع سنوات بقيمة الاحتفاظ بها. كنت تتحدث عن الكثير من المعاملات والكثير من البيانات.
إذا كنت تحتفظ بجمع كل معاملة على الرغم من أن خمسة بالمائة فقط من المعاملات مرتبطة بالبيانات الحساسة ، فأنت تتحدث عن تكلفة كبيرة جدًا مرتبطة بالحاجة إلى تخزين هذه البيانات لمدة سبع سنوات. أعتقد أن أحد أكبر التحديات يتمثل في جعل الناس يتفرجون على ذلك ليقولوا ، وهذا تكلفة غير ضرورية حقًا ، بكل وضوح. كما أنه أسهل بكثير إذا تمكنا من التركيز بشكل محبب على المناطق الحساسة داخل قاعدة البيانات. بالإضافة إلى ذلك ، ستريد أيضًا التحكم في بعض المعلومات الحساسة أيضًا. لا يقتصر الأمر على العرض من حيث مراجعة الحسابات ، ولكن أيضًا لتكون قادرًا على ربط الأشياء بالأفعال التي تحدث وتكون قادرة على أن يتم إعلامك في الوقت الفعلي ، بحيث يمكنك أن تكون على دراية بذلك.
المثال الذي أستخدمه دائمًا ، وقد لا يكون بالضرورة متعلقًا بأي نوع من المتطلبات التنظيمية ولكن فقط القدرة على تتبعه ، على سبيل المثال ، شخص ما كان عليه إسقاط الجدول المرتبط بكشوف المرتبات. إذا حدث ذلك ، فإن الطريقة التي تكتشف بها ، إذا كنت لا تتبع ذلك ، لن يتم دفع أي شخص. هذا متأخر جدا. تريد أن تعرف متى يتم إسقاط هذا الجدول ، وحين يتم إسقاطه ، لتجنب أي أشياء سيئة تحدث نتيجة لقيام بعض الموظفين الساخطين بحذف الجدول الذي يرتبط مباشرةً بكشوف المرتبات.
مع قول ذلك ، تكمن الحيلة في إيجاد القاسم المشترك أو استخدام هذا القاسم المشترك لرسم خريطة لمستوى الامتثال. وهذا نوع من ما نحاول القيام به مع هذه الأداة. نحن نتبع بشكل أساسي مقاربة ، لن نعرض عليك تقريرًا خاصًا بـ PCI ، خاص بالأسهم ؛ القاسم المشترك هو أن لديك تطبيقًا يستخدم SQL Server لتخزين البيانات الحساسة داخل قاعدة البيانات. بمجرد أن تتغلب على ما تقوله ، "نعم هذا هو الشيء الرئيسي الذي نحتاج إلى التركيز عليه - أين هذه البيانات الحساسة ، وكيف يتم الوصول إليها؟" بمجرد الحصول على هذا ، هناك الكثير من التقارير التي نقدمها والتي يمكن أن توفر هذا الدليل ، وسوف ، في الامتثال.
بالعودة إلى الأسئلة التي طرحها المدقق ، ستكون الأسئلة الأولى: من يمكنه الوصول إلى البيانات وكيف يحصلون على هذا الوصول؟ هل يمكنك إثبات أن الأشخاص المناسبين يقومون بالوصول إلى البيانات والأشخاص الخطأ لا؟ هل يمكن أن تثبت أيضًا أن مسار التدقيق نفسه شيء يمكنني الوثوق به كمصدر ثابت للمعلومات؟ إذا أعطيك إيم دربًا للتدقيق ، ملفوفًا ، فليس من الجيد حقًا أن أكون مدققًا جيدًا لتصحيح رقابة ما إذا كانت المعلومات ملفقة. نحتاج إلى دليل على ذلك ، عادةً من منظور التدقيق.
من خلال طرح هذه الأسئلة ، نوع من التفاصيل أكثر قليلاً. التحدي في السؤال الأول هو ، عليك أن تعرف ، كما قلت ، أين توجد تلك البيانات الحساسة من أجل الإبلاغ عن من يصل إليها. عادةً ما يكون هناك نوع من الاكتشاف وحقًا حصلت على الآلاف من التطبيقات المختلفة الموجودة هناك ، لديك الكثير من المتطلبات التنظيمية المختلفة. في معظم الحالات ، ترغب في العمل مع مسؤول الامتثال الخاص بك إذا كان لديك واحدًا ، أو على الأقل شخصًا ما لديه بعض الرؤية الإضافية فيما يتعلق بالواقع الحقيقي لبياناتي الحساسة داخل التطبيق. لدينا أداة لدينا ، وهي أداة مجانية ، تسمى أداة البحث بعمود SQL. نقول لعملائنا والمستخدمين المحتملين المهتمين بهذا السؤال ، يمكنهم الانتقال إلى تنزيله. ما ستقوم به هو البحث بشكل أساسي عن المعلومات الموجودة في قاعدة البيانات والتي من المحتمل أن تكون حساسة في طبيعتها.
ثم بمجرد القيام بذلك ، يجب عليك أيضًا فهم كيفية وصول الأشخاص إلى تلك البيانات. وسيكون ذلك ، مرة أخرى ، أي الحسابات الموجودة ضمن مجموعات Active Directory ، والتي يشارك فيها مستخدمو قاعدة البيانات ، هناك دور دور في هذا الأمر. مع الأخذ في الاعتبار ، بالطبع ، أن كل هذه الأشياء التي نتحدث عنها يجب أن تتم الموافقة عليها من قبل المدقق ، لذلك إذا قلت ، "هذه هي الطريقة التي نحبس بها البيانات ،" يمكن للمدققين أن يأتوا إلى الوراء ونقول ، "حسنًا ، أنت تفعل ذلك بطريقة خاطئة." ولكن دعنا نقول أنهم يقولون ، "نعم ، هذا يبدو جيدًا. أنت تغلق البيانات بما فيه الكفاية. "
بالانتقال إلى السؤال التالي ، الذي سيكون ، هل يمكنك إثبات أن الأشخاص المناسبين يقومون بالوصول إلى تلك البيانات؟ بمعنى آخر ، يمكنك إخبارهم بأن عناصر التحكم الخاصة بك ، هي عناصر التحكم التي تتابعها ، لكن لسوء الحظ ، فإن المدققين ليسوا أشخاصًا موثوق بهم حقيقيين. إنهم يريدون إثبات ذلك ويريدون أن يكونوا قادرين على رؤيته داخل سجل التدقيق. وهذا يعود إلى هذا القاسم المشترك بأكمله. سواء كان الأمر PCI ، SOX ، HIPAA ، GLBA ، Basel II ، أيا كان ، في الواقع ، هو أن نفس أنواع الأسئلة سوف يتم طرحها عادة. الكائن ذو المعلومات الحساسة ، من الذي وصل إلى هذا الكائن خلال الشهر الماضي؟ يجب أن يكون ذلك بمثابة خريطة لعناصر التحكم الخاصة بي وسأكون قادرًا على اجتياز التدقيق في النهاية من خلال إظهار هذه الأنواع من التقارير.
وهكذا فإن ما فعلناه هو أننا جمعنا حوالي 25 تقريرًا مختلفًا تتبع نفس النوع من المجالات مثل هذا القاسم المشترك. لذلك ليس لدينا تقرير عن PCI أو HIPAA أو SOX ، لدينا تقارير تفيد بأنهم ، مرة أخرى ، يعارضون هذا القاسم المشترك. وبالتالي ، لا يهم حقًا المتطلبات التنظيمية التي تحاول تنفيذها ، في معظم الحالات ، ستكون قادرًا على الإجابة عن أي سؤال طرحه عليك هذا المراجع. وسيقولون لك من وماذا ومتى وأين كل معاملة. أنت تعرف ، المستخدم ، وقت حدوث المعاملة ، بيان SQL نفسه ، التطبيق الذي أتت منه ، كل تلك الأشياء الجيدة ، ومن ثم يمكنك أيضًا أتمتة تسليم هذه المعلومات إلى التقارير.
ثم ، مرة أخرى ، بمجرد أن تتخطى ذلك وقد قدمت ذلك إلى المدقق ، فإن السؤال التالي سيكون إثبات ذلك. وعندما أقول أثبت ذلك ، أقصد إثبات أن مسار التدقيق نفسه شيء يمكننا الوثوق به. والطريقة التي نقوم بها في أداتنا هي أن لدينا قيم تجزئة وقيم CRC ترتبط مباشرة بالأحداث نفسها داخل مسار التدقيق. وهكذا فإن الفكرة هي أنه إذا خرج شخص ما وحذف سجلًا أو إذا خرج شخص ما وقام بإزالة أو إضافة شيء إلى مسار التدقيق أو تغيير شيء ما في مسار المراجعة نفسه ، يمكننا أن نثبت أن هذه البيانات ، وسلامة البيانات نفسها ، قد انتهكت. وهكذا 99.9 في المائة من الوقت إذا كنت قد أغلقت قاعدة بيانات درب التدقيق الخاصة بنا ، فلن تواجه هذه المشكلة لأننا عندما نقوم بتشغيل هذا التحقق من السلامة ، فإننا نثبت للمراجع أن البيانات نفسها لم يتم إغلاقها تم تغييرها وحذفها أو إضافتها منذ الكتابة الأصلية من خدمة الإدارة نفسها.
لذلك هذا نظرة عامة على الأنواع المعتادة من الأسئلة التي ستُطرح عليك. الآن ، تسمى الأداة التي يتعين علينا معالجتها كثيرًا من ذلك ، مدير التوافق في SQL وهي تقوم بكل هذه الأشياء من حيث تتبع المعاملات ، ومن ، وماذا ، ومتى ، وأين ، من المعاملات ، أن تكون قادرة على القيام بذلك في عدد المناطق المختلفة كذلك. عمليات تسجيل الدخول ، عمليات تسجيل الدخول الفاشلة ، تغييرات المخطط ، الوصول الواضح إلى البيانات ، تحديد النشاط ، كل تلك الأشياء التي تحدث داخل مشغل قاعدة البيانات. ونحن أيضًا قادرون على تنبيه المستخدمين بظروف محددة للغاية ، إذا لزم الأمر. على سبيل المثال ، شخص ما يخرج ويعرض فعليًا الجدول الذي يحتوي على جميع أرقام بطاقتي الائتمانية. إنهم لا يغيرون البيانات ، إنهم فقط يبحثون عنها. في هذه الحالة ، يمكنني التنبيه ، ويمكنني أن أعلم الأشخاص بأن ذلك يحدث ، وليس بعد ست ساعات عندما نلغي سجلات ولكن في الوقت الفعلي. إنه في الأساس ما دام الأمر يتطلب منا معالجة تلك المعاملة من خلال خدمة إدارة.
كما ذكرت من قبل ، لقد رأينا ذلك مستخدمًا في مجموعة متنوعة من المتطلبات التنظيمية المختلفة ، وهو ليس كذلك - كما تعلمون ، أي شرط تنظيمي ، مرة أخرى ، طالما أن القواسم المشتركة ، لديك بيانات حساسة في SQL Server قاعدة البيانات ، هذه هي الأداة التي من شأنها أن تساعد في هذا النوع من الحالات. بالنسبة إلى التقارير الـ 25 التي تم إنشاؤها ، فإن الحقيقة الآن هي أنه يمكننا جعل هذه الأداة جيدة للمراجع والإجابة على كل سؤال يطرحونه ، لكن DBAs هي التي يجب أن تنجح. لذلك هناك أيضًا هذا التفكير ، كما تعلمون جيدًا ، من منظور الصيانة ، علينا التأكد من أن SQL تعمل بالطريقة التي نريدها. يجب علينا أيضًا أن نكون قادرين على الدخول وإلقاء نظرة على الأشياء التي ستكون قادرة على الخروج والنظر إلى أجزاء أخرى من المعلومات ، كما تعلمون ، بقدر ما أرشفة البيانات وأتمتة ذلك والنفقات العامة نفسه من المنتج. تلك هي الأشياء التي نراعيها بوضوح.
الذي يطرح العمارة نفسها. لذلك على الجانب الأيمن من الشاشة ، لدينا مثيلات SQL التي نديرها ، كل شيء بدءًا من عام 2000 حتى عام 2014 ، والاستعداد لإصدار إصدار لعام 2016. وأكبر الوجبات الجاهزة في هذه الشاشة هي أن الإدارة الخادم نفسه يفعل كل رفع الأحمال الثقيلة. نحن نجمع البيانات فقط ، باستخدام واجهة برمجة تطبيقات التتبع ، المضمنة في SQL Server. تتدفق هذه المعلومات إلى خادم الإدارة الخاص بنا. يقوم خادم الإدارة نفسه بتحديد ما إذا كانت هناك أية أحداث مرتبطة بأي نوع من المعاملات التي لا نريدها ، وإصدار التنبيهات ، وتلك الأنواع من الأشياء ، ثم نشر البيانات داخل مستودع التخزين. من هناك يمكننا تشغيل التقارير ، سنكون قادرين على الخروج ورؤية هذه المعلومات في التقارير أو حتى داخل وحدة تحكم التطبيق.
لذا فإن ما سأفعله هو أن أقودنا بسرعة ، وأريد فقط أن أشير إلى شيء واحد سريع قبل أن ننتقل إلى المنتج ، هناك رابط على الموقع الآن ، أو في العرض التقديمي ، سينقلك ذلك إلى هذه الأداة المجانية التي ذكرتها سابقًا. هذه الأداة المجانية ، كما قلت ، ستخرج وتنظر إلى قاعدة بيانات وتحاول العثور على المناطق التي تبدو مثل البيانات الحساسة أو أرقام الضمان الاجتماعي أو أرقام بطاقات الائتمان ، بناءً على أسماء الأعمدة أو الجداول ، أو استنادًا إلى الطريقة التي يبدو بها تنسيق البيانات ، ويمكنك تخصيص ذلك أيضًا ، وذلك فقط لتوضيح ذلك.
الآن ، في حالتنا ، دعني أتقدم وشارك شاشتي ، أعطني ثانية واحدة هنا. حسنًا ، وهكذا ، ما أردت أن آخذك إليه أولاً هو أنني أريد أن آخذك إلى تطبيق Compliance Manager نفسه وسأقوم بالبحث في هذا بسرعة كبيرة. ولكن هذا هو التطبيق ويمكنك أن ترى أنني حصلت على بضع قواعد بيانات هنا ، وسأوضح لك فقط مدى سهولة الدخول وإخباره بما تريد مراجعته. من وجهة نظر تغييرات المخطط ، تغييرات الأمان ، الأنشطة الإدارية ، DML ، حدد ، لدينا كل تلك الخيارات المتاحة لنا ، يمكننا أيضًا تصفية ذلك. يرجع هذا إلى أفضل ممارسة تتمثل في القدرة على القول: "أنا حقًا أحتاج إلى هذا الجدول فقط لأنه يحتوي على أرقام بطاقتي الائتمانية. لا أحتاج إلى الجداول الأخرى التي تحتوي على معلومات المنتج ، كل تلك الأشياء الأخرى التي لا تتعلق بمستوى التوافق الذي أحاول الوفاء به. "
لدينا أيضًا القدرة على التقاط البيانات وإظهارها من حيث قيم الحقول التي تتغير.في الكثير من الأدوات ، سيكون لديك شيء يمنحك القدرة على التقاط بيان SQL ، وإظهار المستخدم ، وإظهار التطبيق ، والوقت والتاريخ ، وكل هذه الأشياء الجيدة. لكن في بعض الحالات ، لن توفر لك عبارة SQL نفسها معلومات كافية لتتمكن من إخبارك بقيمة الحقل قبل حدوث التغيير وكذلك قيمة الحقل بعد حدوث التغيير. وفي بعض الحالات تحتاج إلى ذلك. قد أرغب في تتبع ، على سبيل المثال ، معلومات جرعة الطبيب للعقاقير الطبية. لقد انتقلت من 50 ملجم إلى 80 ملجم إلى 120 ملجم ، وسأكون قادراً على تتبع ذلك باستخدام ما قبل وبعد.
الأعمدة الحساسة هي شيء آخر نواجهه كثيرًا ، على سبيل المثال ، مع توافق PCI. في الحالة التي حصلت فيها هنا على بيانات حساسة للغاية بطبيعتها لدرجة أنه بمجرد النظر إلى تلك المعلومات ، لا يتعين عليَّ تغييرها أو حذفها أو إضافتها ، حيث يمكن أن أتسبب في ضرر لا يمكن إصلاحه. أرقام بطاقات الائتمان وأرقام الضمان الاجتماعي وكل ذلك النوع من الأشياء الجيدة يمكننا تحديد الأعمدة الحساسة وربط التنبيهات بها. إذا خرج أي شخص ونظر إلى تلك المعلومات ، فسنكون قادرين ، من الواضح ، على تنبيه وإنشاء أو إنشاء مصيدة SNMP وتلك الأنواع من الأشياء.
الآن في بعض الحالات ، ستواجه وضعا قد يكون لديك فيه استثناء. وما أعنيه بذلك ، لديك موقف حيث لديك مستخدم لديه حساب مستخدم قد يكون مرتبطًا بنوع من مهام ETL التي تعمل في منتصف الليل. إنها عملية موثقة وأنا ببساطة لست بحاجة إلى تضمين معلومات المعاملات الخاصة بحساب المستخدم هذا. في هذه الحالة سيكون لدينا مستخدم موثوق. وبعد ذلك في حالات أخرى ، نستخدم ميزة "تدقيق المستخدم المميز" ، والتي هي أساسًا ، إذا كان لدي ، فلنقل على سبيل المثال ، تطبيق ما ، ويقوم التطبيق بالفعل بتدقيق ، للمستخدمين الذين يمرون بالتطبيق ، عظيم ، لدي بالفعل شيء للإشارة إليه فيما يتعلق بالتدقيق. ولكن بالنسبة للأشياء المرتبطة ، على سبيل المثال ، المستخدمين المميزين ، فإن الأشخاص الذين يمكنهم الذهاب إلى استوديو إدارة SQL Server للنظر في البيانات الموجودة في قاعدة البيانات ، لن يؤدي ذلك إلى قطعها. وهذا هو المكان الذي يمكننا فيه تحديد هوية مستخدمينا المميزين ، إما من خلال عضوية الدور ، أو من خلال حسابات Active Directory ، أو المجموعات ، أو حساباتهم المصادق عليها من SQL ، حيث سنكون قادرين على اختيار جميع هذه الأنواع المختلفة من الخيارات و ثم من هناك تأكد من أنه بالنسبة لأولئك المستخدمين المميزين ، يمكننا تحديد أنواع المعاملات التي نرغب في تدقيقها.
هذه هي جميع أنواع الخيارات المختلفة التي لديك ولن أتطرق إلى جميع أنواع الأنواع المختلفة بناءً على ضيق الوقت هنا لهذا العرض التقديمي. لكنني أريد أن أوضح لك كيف يمكننا عرض البيانات وأعتقد أنك ستعجبك الطريقة التي يعمل بها هذا لأن هناك طريقتين يمكننا القيام به. يمكنني القيام بذلك بشكل تفاعلي وهكذا عندما نتحدث إلى أشخاص مهتمين بهذه الأداة ربما لضوابطهم الداخلية ، يريدون فقط معرفة ما يحدث في كثير من الحالات. ليس لديهم بالضرورة مدققون قادمون إلى الموقع. إنهم يريدون فقط أن يعرفوا ، "مهلا ، أريد أن أتبع هذا الجدول ونرى من الذي لمسته في الأسبوع الماضي أو الشهر الماضي أو ما قد يكون." في هذه الحالة ، يمكنك أن ترى مدى سرعة قيامنا بذلك.
في حالة قاعدة بيانات الرعاية الصحية ، حصلت على جدول يسمى سجلات المرضى. وفي هذا الجدول ، إذا كنت أريد تجميع الأشياء حسب الأشياء ، فقد يبدأ سريعا في تضييق المكان الذي نبحث عنه. ربما أرغب في التجميع حسب الفئة ومن ثم ربما حسب الحدث. وعندما أفعل ذلك ، يمكنك معرفة مدى سرعة ظهور ذلك ، وهناك جدول سجلات المرضى الخاص بي هناك. وبينما أستكشف الآن ، يمكننا الآن رؤية نشاط DML ، يمكننا أن نرى أن لدينا ألف إدراج من DML ، وعندما نفتح إحدى هذه المعاملات ، يمكننا أن نرى المعلومات ذات الصلة. من ، ماذا ، متى ، مكان المعاملة ، بيان SQL ، من الواضح ، التطبيق الفعلي الذي يتم استخدامه لتنفيذ المعاملة والحساب والوقت والتاريخ.
الآن إذا نظرت إلى علامة التبويب التالية هنا ، علامة التبويب "تفاصيل" ، يعود هذا إلى السؤال الثالث الذي نتحدث عنه ، لإثبات أن سلامة البيانات لم يتم انتهاكها. لذلك ، في الأساس ، كل حدث ، لدينا حساب سري لقيمة التجزئة الخاصة بنا ، وهذا سيعاد إلى الوراء عندما نتحقق من سلامتنا. على سبيل المثال ، إذا كنت سأذهب إلى الأداة ، اذهب إلى قائمة التدقيق ، وكنت أخرج وأقول ، دعنا نتحقق من سلامة المستودع ، يمكنني الإشارة إلى قاعدة البيانات حيث يوجد مسار التدقيق ، فسوف يتم تشغيله من خلال التحقق من التكامل ، تطابق قيم التجزئة وقيم CRC مع الأحداث الفعلية ، وسوف يخبرنا أنه لم يتم العثور على أية مشكلات. بمعنى آخر ، لم يتم العبث بالبيانات الموجودة في مسار المراجعة منذ أن تمت كتابتها في الأصل بواسطة خدمة الإدارة. من الواضح أن هذه طريقة واحدة للتفاعل مع البيانات. الطريقة الأخرى ستكون من خلال التقارير نفسها. وسأقدم لك مثالًا سريعًا على التقرير.
ومرة أخرى ، لا تعد هذه التقارير ، بالطريقة التي توصلنا إليها ، خاصة بأي نوع من المعايير مثل PCI أو HIPAA أو SOX أو أي شيء من هذا القبيل. مرة أخرى ، إنه القاسم المشترك لما نقوم به ، وفي هذه الحالة ، إذا عدنا إلى مثال سجلات المرضى ، فسنكون قادرين على الخروج ونقول ، في حالتنا هنا ، نحن نبحث في قاعدة بيانات الرعاية الصحية وفي حالتنا نريد التركيز بشكل خاص على هذا الجدول الذي نعرفه يحتوي على معلومات خاصة ، في حالتنا ، تتعلق بمرضانا. وهكذا ، اسمحوا لي أن أرى ما إذا كان يمكنني كتابته هنا ، وسوف نمضي قدمًا ونشغل هذا التقرير. وسنرى حينئذٍ ، من الواضح ، جميع البيانات ذات الصلة بهذا الكائن. وفي حالتنا تظهر لنا فترة شهر من الزمن. لكننا قد نعود إلى ستة أشهر أو سنة ، مهما كنا نحتفظ بالبيانات لفترة طويلة.
هذه هي الطرق التي يمكنك من خلالها إثبات ، إن صح التعبير ، للمدقق أنك تتابع ضوابطك. بمجرد تحديد ذلك ، من الواضح أن هذا أمر جيد فيما يتعلق بتمرير التدقيق الخاص بك والقدرة على إظهار أنك تتبع عناصر التحكم وكل شيء يعمل.
آخر ما يمكن الحديث عنه هو أنني أردت التوضيح في قسم الإدارة. هناك أيضًا عناصر تحكم من وجهة نظر داخل هذه الأداة نفسها لتكون قادرًا على تعيين عناصر تحكم لتتأكد من أنه إذا كان شخص ما يفعل شيئًا لا يفترض أن يفعله ، فيمكنني إطلاعه عليه. وسأقدم لكم بعض الأمثلة هناك. لدي حساب تسجيل دخول مرتبط بخدمة ما وتحتاج هذه الخدمة إلى أذونات مرتفعة لفعل ما تفعله. ما لا أريده هو إدخال شخص ما واستخدام هذا الحساب في Management Studio ، ثم ، كما تعلمون ، استخدامه للأشياء التي لم يكن الغرض منها. سيكون لدينا اثنين من المعايير هنا التي يمكننا تطبيقها. يمكنني أن أقول ، "انظر ، نحن مهتمون حقًا بهذا العمل ، على سبيل المثال ، مع تطبيق PeopleSoft ،" تمامًا كمثال ، حسنًا؟
الآن بعد أن قمت بذلك ، ما أقوله هنا ، أشعر بالفضول لمعرفة أي معلومات تسجيل دخول مرتبطة بالحساب الذي أكون مستعدًا لتحديده ، إذا كان التطبيق قيد الاستخدام لتسجيل الدخول باستخدام هذا الحساب ليس برنامج PeopleSoft ، فسيكون ذلك بمثابة إنذار للإنذار. ومن الواضح أنه يتعين علينا تحديد اسم الحساب نفسه ، لذلك في حالتنا ، دعونا فقط ندعو هذا الحساب الخاص ، لحقيقة أنه متميز. الآن بمجرد قيامنا بذلك ، عندما نفعل هذا هنا ، سنكون قادرين بعد ذلك على تحديد ما نريد أن يحدث عندما يحدث ذلك ولكل نوع من أنواع الأحداث أو ، يجب أن أقول ، في حالة تأهب ، يمكنك لديك إشعار منفصل للشخص المسؤول عن هذا الجزء من البيانات.
على سبيل المثال ، إذا كانت معلومات عن الرواتب ، فقد تذهب إلى مدير الموارد البشرية. في هذه الحالة ، عند التعامل مع تطبيق PeopleSoft ، سيكون المسؤول عن هذا التطبيق. مهما كان الوضع. سأكون قادرًا على وضع عنوان بريدي وتخصيص التنبيه الفعلي وكل هذا النوع من الأشياء الجيدة. مرة أخرى ، يعود هذا إلى القدرة على التأكد من أنه يمكنك إظهار أنك تتبع عناصر التحكم الخاصة بك وأن عناصر التحكم هذه تعمل بالطريقة التي تهدف إليها. من المنظور الأخير هنا ، فقط فيما يتعلق بالصيانة ، لدينا القدرة على أخذ هذه البيانات ووضعها في وضع عدم الاتصال. يمكنني أرشفة البيانات وأستطيع جدولتها وسنكون قادرين على القيام بهذه الأشياء بسهولة شديدة ، بمعنى أنك ستتمكن فعلاً ، ك DBA ، من استخدام هذه الأداة وإعدادها ونوع من ابتعد عنه ، ليس هناك الكثير من قبضة اليد التي ستحدث بمجرد إعدادها كما ينبغي. كما قلت ، فإن الجزء الأصعب في أي شيء من هذا ، على ما أعتقد ، هو عدم إعداد ما تريد تدقيقه ، إنه يعرف ما تريد إعداده للتدقيق.
وكما قلت ، طبيعة الوحش مع التدقيق ، يجب عليك الاحتفاظ بالبيانات لمدة سبع سنوات ، لذلك من المنطقي التركيز فقط في تلك المناطق الحساسة في الطبيعة. ولكن إذا كنت ترغب في اتباع نهج جمع كل شيء ، يمكنك ذلك تمامًا ، فهو لا يعتبر أفضل ممارسة. لذلك من وجهة النظر هذه ، أود فقط أن أذكر الأشخاص بأنه إذا كان هذا أمرًا مثيرًا للاهتمام ، فيمكنك الانتقال إلى موقع الويب على IDERA.com وتنزيل نسخة تجريبية من هذا الأمر والتجول معه بنفسك. فيما يتعلق بالأداة المجانية التي تحدثنا عنها سابقًا ، حسناً ، إنها مجانية ، يمكنك تنزيلها واستخدامها إلى الأبد ، بغض النظر عما إذا كنت تستخدم منتج Compliance Manager. والشيء الممتع في أداة البحث عن الأعمدة هو أن النتائج التي توصلت إليها والتي توصلت إليها ، وأستطيع بالفعل أن أوضح أنه ، في اعتقادي ، أنك ستكون قادرًا على تصدير هذه البيانات إلى الخارج ومن ثم يمكنك استيرادها إلى مدير التوافق كذلك. أنا لا أرى ذلك ، أعرف أنه هنا ، هناك. هذا مجرد مثال على ذلك. هذا هو المكان الذي يجد فيه البيانات الحساسة ذات الصلة.
الآن هذه الحالة قد خرجت وأنا بالفعل ، لقد ألقيت نظرة على كل شيء ، لكن لديك الكثير من الأشياء التي يمكننا البحث عنها. أرقام بطاقات الائتمان والعناوين والأسماء ، كل هذا النوع من الأشياء. وسنعمل على تحديد مكان وجوده في قاعدة البيانات ومن ثم يمكنك اتخاذ قرار بشأن ما إذا كنت تريد بالفعل مراجعة تلك المعلومات أم لا. ولكن من المؤكد أنها طريقة لجعله أسهل بكثير بالنسبة لك لتحديد نطاق التدقيق عند النظر في أداة مثل هذه.
أنا فقط سأمضي قدما وأغلق ذلك ، وسأمضي قدما ونعيده إلى إريك.
إريك كافانا: هذا عرض رائع. أحب الطريقة التي تحصل بها حقًا على التفاصيل الجريئة هناك وأرينا ما يجري. لأنه في نهاية اليوم ، هناك نظام ما يمكنه الوصول إلى بعض السجلات ، وسيقدم لك تقريراً ، وسيقوم هذا بإخبار قصتك ، سواء كان ذلك لمنظم أو مدقق أو شخص في فريقك ، لذلك من الجيد أنك تعلم أنك مستعد إذا ومتى ، أو متى ، ومتى ، يطرق هذا الشخص ، وبالطبع هذا هو الوضع غير السار الذي تحاول تجنبه. ولكن إذا حدث ذلك ، وربما سيحدث هذه الأيام ، فأنت تريد أن تتأكد من أنك قد انقسمت وعبور T الخاص بك.
هناك سؤال جيد من أحد جمهور الحضور وأريد أن أخرجه إليك ربما ، Bullett ، ثم إذا كان أحد المقدمين يريد التعليق عليه ، فلا تتردد. ثم ربما يطرح ديز سؤالا وروبين. لذا فإن السؤال المطروح هو ، هل من العدل أن نقول إن القيام بكل هذه الأشياء التي ذكرتها تحتاج إلى البدء في جهد لتصنيف البيانات على المستوى الابتدائي؟ تحتاج إلى معرفة بياناتك عندما تظهر كأصل محتمل له قيمة وتفعل شيئًا حيال ذلك. أعتقد أنك توافق ، بوليت ، أليس كذلك؟
بوليت مانالي: نعم على الاطلاق. أعني ، يجب أن تعرف بياناتك. وأدرك أنني أدرك أن هناك الكثير من التطبيقات الموجودة وهناك العديد من الأشياء المختلفة التي حصلت على أجزاء متحركة في مؤسستك. أداة البحث في العمود مفيدة للغاية من حيث الانتقال خطوة نحو اتجاه فهم تلك البيانات بشكل أفضل. لكن نعم ، إنه مهم للغاية. أعني ، أن لديك خيار استخدام نهج firehose ومراجعة كل شيء ، لكن الأمر أكثر صعوبة بكثير من الناحية المنطقية عندما تتحدث عن الاضطرار إلى تخزين تلك البيانات والإبلاغ عنها. ثم ما زلت بحاجة إلى معرفة مكان وجود تلك البيانات لأنه عندما تقوم بتشغيل تقاريرك ، ستحتاج إلى إظهار مراجعي الحسابات لتلك المعلومات أيضًا. لذلك أعتقد ، كما قلت ، أن التحدي الأكبر عندما أتحدث إلى مسؤولي قواعد البيانات هو معرفة ، نعم.
إريك كافانا: نعم ، ولكن ربما روبن سنقدم لك بسرعة حقيقية. يبدو لي أن قاعدة 80/20 تنطبق هنا ، أليس كذلك؟ ربما لن تجد كل نظام سجل مهم إذا كنت في مؤسسة متوسطة الحجم أو كبيرة ، ولكن إذا كنت تركز على - مثلما يقترح Bullett هنا - PeopleSoft على سبيل المثال ، أو أنظمة أخرى للتسجيل غالبًا في المشروع ، حيث تركز 80 بالمائة من مجهودك ، ثم 20 بالمائة على الأنظمة الأخرى التي قد تكون موجودة في مكان ما ، أليس كذلك؟
روبن بلور: حسنًا ، أنا متأكد ، نعم. أعني ، كما تعلم ، أعتقد أن المشكلة مع هذه التكنولوجيا ، وأعتقد أنه من المحتمل أن يكون لديك تعليق عليها ، ولكن المشكلة مع هذه التكنولوجيا هي ، كيف يمكنك تنفيذها؟ أقصد ، هناك بالتأكيد نقص في المعرفة ، دعنا نقول ، في معظم المنظمات حتى عدد قواعد البيانات الموجودة هناك. كما تعلمون ، هناك نقص كبير في المخزون. كما تعلمون ، السؤال هو ، دعونا نتخيل أننا نبدأ في موقف لا يوجد فيه امتثال مُدار جيدًا بشكل خاص ، وكيف تأخذ هذه التكنولوجيا وتُحقن بها في البيئة ، وليس فقط ، كما تعلم ، التكنولوجيا شروط ، إعداد الأشياء ، ولكن مثل من يديرها ، من يحدد ماذا؟ كيف يمكنك البدء في تغيير موقع هذا الأمر إلى شيء حقيقي يقوم بعمله؟
بوليت مانالي: حسنًا ، هذا سؤال جيد. التحدي في كثير من الحالات هو أنه يجب عليك البدء في طرح الأسئلة في البداية. لقد واجهت العديد من الشركات حيث تعرف ، ربما تعرف أنها شركة خاصة وقد حصلت عليها ، هناك عيب أولي ، نوع ، أولاً ، عثرة على الطريق ، إذا كنت تريد تسميتها. على سبيل المثال ، إذا أصبحت للتو شركة تجارية عامة بسبب عملية الاستحواذ ، فسيتعين علي العودة وربما معرفة بعض الأشياء.
وفي بعض الحالات ، نتحدث إلى مؤسسات ، كما تعلمون ، على الرغم من أنها خاصة ، إلا أنها تتبع قواعد امتثال SOX ، ببساطة لأنهم في حالة رغبتهم في الحصول عليها ، يعرفون أنهم يجب أن يكونوا في حالة امتثال. أنت بالتأكيد لا تريد أن تأخذ مقاربة عادل ، "لا داعي للقلق بشأن هذا الآن." أي نوع من الامتثال التنظيمي مثل PCI أو SOX أو أي شيء آخر ، كنت تريد أن تجعل الاستثمار في إجراء البحوث أو فهم أين توجد هذه المعلومات الحساسة ، وإلا فقد تجد نفسك تتعامل مع بعض الغرامات الضخمة. ومن الأفضل كثيرًا استثمار ذلك الوقت ، كما تعلم ، في العثور على تلك البيانات والقدرة على الإبلاغ عنها وإظهار عناصر التحكم التي تعمل.
نعم ، فيما يتعلق بإعداده ، كما قلت ، فإن أول شيء أود أن أوصي به الأشخاص الذين يستعدون لمواجهة التدقيق ، هو مجرد الخروج وإجراء فحص سريع لقاعدة البيانات ، ومعرفة ذلك ، تعرف ، في أفضل جهودها ، محاولة تحديد مكان وجود هذه البيانات الحساسة. ويتمثل النهج الآخر في البدء بشبكة أكبر من حيث نطاق التدقيق ، ثم كبح ببطء طريقك بمجرد اكتشاف نوع من المجالات داخل النظام التي تتعلق بـ معلومات حساسة. لكنني أتمنى أن أخبرك أن هناك إجابة سهلة على هذا السؤال. من المحتمل أن تختلف بعض الشيء من مؤسسة إلى أخرى ونوع الامتثال ، وكيف تعرف ، حقًا ، ما هو هيكلها داخل تطبيقاتها وعدد التطبيقات التي لديها ، والعديد منها ، يمكن أن يكون بعضها تطبيقات مكتوبة مخصصة ، لذلك سوف يعتمد حقًا على الموقف في كثير من الحالات.
إريك كافانا: المضي قدما ، Dez ، أنا متأكد من أن لديك سؤال أو اثنين.
ديز بلانشفيلد: أنا حريص على إلقاء نظرة ثاقبة على ملاحظاتك حول التأثير على المنظمات من وجهة نظر الأشخاص ، في الواقع. أعتقد أن أحد المجالات التي أرى فيها أكبر قيمة لهذا الحل بالتحديد هو أنه عندما يستيقظ الناس في الصباح ويذهبون للعمل على مختلف مستويات المنظمة ، فإنهم يستيقظون مع سلسلة من المسئوليات أو سلسلة من المسؤوليات. أن لديهم للتعامل معها. وأنا حريص على إلقاء نظرة ثاقبة على ما تراه هناك وبدون أنواع الأدوات التي تتحدث عنها. والخداع الذي أتحدث عنه هنا هو من رئيس مجلس الإدارة إلى الرئيس التنفيذي والمدير التنفيذي للمعلومات ومجموعة C. والآن لدينا كبار مسؤولي المخاطر ، الذين يفكرون أكثر في أنواع الأشياء التي نتحدث عنها هنا في الامتثال والحوكمة ، وبعد ذلك أصبح لدينا الآن رؤساء لعب الأدوار الجدد ، كبير مسؤولي البيانات ، من ، كما تعلمون ، حتى أكثر قلقا حيال ذلك.
وعلى جانب كل منهم ، حول مدير المعلومات ، لدينا مدراء لتكنولوجيا المعلومات على جانب واحد ، ونعرفكم ، العملاء المتوقعون الفنيون ، ثم عملاء قاعدة البيانات. وفي المساحة التشغيلية ، حصلنا على مديري التطوير وقيادات التطوير ومن ثم التطورات الفردية ، كما أنهم عادوا إلى طبقة إدارة قاعدة البيانات. ما الذي تراه حول رد فعل كل جزء من هذه الأجزاء المختلفة من العمل على تحدي الامتثال والتقارير التنظيمية ونهجها في ذلك؟ هل ترى أن الناس يأتون إلى هذا بحماس ويستطيعون رؤية الفائدة من ذلك ، أم أنك ترى أنهم يجرون أقدامهم على مضض إلى هذا الشيء وفعلًا ، كما تعلمون ، يفعلون ذلك لوضع علامة في المربع؟ وما أنواع الردود التي تراها بمجرد أن ترى البرنامج الخاص بك؟
بوليت مانالي: نعم ، هذا سؤال جيد. أود أن أقول إن هذا المنتج ، أي مبيعات هذا المنتج ، مدفوعة في الغالب من قبل شخص في المقعد الساخن ، إذا كان ذلك منطقيًا. في معظم الحالات ، يكون DBA ، ومن وجهة نظرنا ، بمعنى آخر ، يعلمون أن هناك مراجعة قادمة وأنهم سيكونون مسؤولين ، لأنهم DBAs ، ليكونوا قادرين على توفير المعلومات التي سيقوم المراجع بزيارتها. يطلب. يمكنهم القيام بذلك عن طريق كتابة التقارير الخاصة بهم وإنشاء آثار مخصصة خاصة بهم وجميع هذه الأنواع من الأشياء. الحقيقة هي أنهم لا يريدون فعل ذلك. في معظم الحالات ، لا تتطلع DBAs حقًا إلى إجراء تلك المحادثات مع المدقق لتبدأ. كما تعلمون ، أود أن أخبرك أنه بإمكاننا الاتصال بشركة ما والقول ، "مرحبًا ، إنها أداة رائعة وستحبها" ، ونعرض عليهم جميع الميزات وسيشترونها.
الحقيقة هي أنهم عادةً ما لن ينظروا إلى هذه الأداة إلا إذا كانوا سيواجهون بالفعل مراجعة أو الجانب الآخر من تلك العملة هو أنهم خضعوا لتدقيق وفشلوا فشلاً ذريعًا والآن هم طلب منهم الحصول على بعض المساعدة أو سيتم تغريمهم. أود أن أقول أنه من حيث ، بشكل عام ، عندما تعرفون هذا المنتج على الناس ، فإنهم بالتأكيد يرون قيمة ذلك لأنه يوفر عليهم الكثير من الوقت فيما يتعلق بالحاجة إلى معرفة ما يريدون الإبلاغ عنه ، تلك الأنواع من الأشياء. كل هذه التقارير مدمجة بالفعل ، آليات التنبيه موجودة ، ومن ثم مع السؤال الثالث ، في كثير من الحالات ، يمكن أن يكون تحديا. نظرًا لأنني أستطيع أن أريكم التقارير طوال اليوم ، لكن ما لم تتمكن من إثبات أن هذه التقارير صالحة فعليًا ، كما تعلمون ، فهذا اقتراح أكثر صرامة بالنسبة لي بصفتي DBA لأتمكن من إظهار ذلك. لكننا توصلنا إلى التكنولوجيا وأسلوب التجزئة وجميع هذه الأشياء لتكون قادراً على المساعدة في التأكد من أن البيانات في سلامتها من مسارات التدقيق يتم الاحتفاظ بها.
وهذه هي الأشياء ، تلك هي ملاحظاتي فيما يتعلق بمعظم الأشخاص الذين نتحدث معهم. أنت تعرف ، بالتأكيد ، في منظمات مختلفة ، تعرف ، ستسمع عنها ، تعرف ، استهدفت ، على سبيل المثال ، خرق البيانات ، وأعرف ، أعني ، عندما تسمع المنظمات الأخرى الغرامات وتلك أنواع الأشياء التي يبدأها الناس ، تثير الحاجب ، لذلك ، نأمل أن يجيب على السؤال.
ديز بلانشفيلد: نعم بالتأكيد. أستطيع أن أتخيل أن بعض DBAs عندما يرون أخيرًا ما يمكن القيام به من خلال الأداة يدركون فقط أنهم استعادوا لياليهم وعطلات نهاية الأسبوع أيضًا. تخفيضات الوقت والتكلفة وغيرها من الأشياء التي أراها عندما يتم تطبيق الأدوات المناسبة على هذه المشكلة برمتها ، وهذا هو ثلاثة أسابيع جلست مع أحد البنوك هنا في أستراليا. إنه بنك عالمي ، وهو أحد البنوك الثلاثة الأولى ، إنه ضخم. وكان لديهم مشروع حيث يتعين عليهم الإبلاغ عن امتثالهم لإدارة الثروات والمخاطر بشكل خاص ، وكانوا يبحثون عن 60 أسبوعًا من العمل لبضع مئات من البشر. وعندما تم عرضهم على أمثال لأداة مثلك يمكنها فقط أتمتة العملية ، فإن هذا الشعور ، فإن المظهر على وجوههم عندما أدركوا أنهم لم يضطروا لقضاء X عدد الأسابيع مع قيام مئات الأشخاص بإجراء عملية يدوية كان نوع من مثل أنهم وجدوا الله. لكن الشيء الصعب هنا كان كيفية وضعه في الواقع ، كما أشار الدكتور روبن بلور ، كما تعلمون ، هذا شيء أصبح مزيجًا من التحول السلوكي والثقافي. على المستويات التي تتعامل معها ومن يتعامل معها مباشرة على مستوى التطبيق ، ما نوع التغيير الذي تراه عندما يبدأون في اعتماد أداة للقيام بنوع من التقارير والتدقيق والضوابط التي يمكنك تقديمها ، كما تعارض ما قد فعلوه يدويا؟ ما الذي يبدو عليه الحال عند تطبيقه فعليًا؟
بوليت مانالي: هل تسأل ، ما هو الفرق من حيث التعامل مع هذا يدويًا مقابل استخدام هذه الأداة؟ هل هذا هو السؤال؟
ديز بلانشفيلد: حسنا ، على وجه التحديد تأثير العمل. لذا ، على سبيل المثال ، إذا كنا نحاول تقديم الامتثال في عملية يدوية ، كما تعلم ، فإننا نأخذ وقتًا طويلاً دائمًا مع الكثير من البشر. لكنني أعتقد ، أن أضع بعض الخدع حول السؤال ، كما تعلمون ، هل نتحدث عن شخص واحد يقوم بتشغيل هذه الأداة ليحل محل 50 شخصًا محتملين ، ونكون قادرين على فعل نفس الشيء في الوقت الفعلي أو في ساعات مقابل أشهر؟ هل هذا النوع من ، ما الذي يتحول إليه عمومًا؟
بوليت مانالي: حسنًا أعني ، الأمر يتعلق بأمرين. واحد هو القدرة على الإجابة على هذه الأسئلة. بعض هذه الأشياء لن يتم تنفيذها بسهولة بالغة. لذا ، نعم ، قد يستغرق الكثير من الوقت الوقت الذي يستغرقه القيام بالأشياء المحلية ، لكتابة التقارير بنفسك ، ولإعداد الآثار أو الأحداث الموسعة لجمع البيانات يدويًا. حقًا ، سأعطيك بعضًا ، أعني ، أن هذا لا يتعلق حقًا بقواعد البيانات بشكل عام ، لكن مثلما حدث مباشرة بعد حدوث Enron وأصبحت SOX سائدة ، وكنت في واحدة من أكبر شركات النفط في هيوستن ، وقد عدنا إلى ، أعتقد أنه كان مثل 25 في المئة من تكاليف أعمالنا كانت مرتبطة بامتثال SOX.
الآن كان ذلك بعد ذلك وكان ذلك نوعًا من الخطوة الأولى الأولية في SOX ، لكن الأمر ، كما قلت ، أنت تحصل على الكثير من الفوائد باستخدام هذه الأداة ، بمعنى أنها لا تتطلب الكثير من الناس للقيام بذلك والكثير من أنواع مختلفة من الناس للقيام بذلك. ومثلما قلت ، فإن DBA ليس هو الشخص الذي يتطلع حقًا إلى إجراء تلك المحادثات مع المدققين. لذلك في كثير من الحالات ، سنرى أن DBA يمكنها إلغاء تحميل هذا وتكون قادرًا على تقديم التقرير الذي يتم ربطه بمراجع الحسابات ويمكنه إزالة نفسه تمامًا من المعادلة بدلاً من الاضطرار إلى المشاركة. لذا ، كما تعلمون ، يعد هذا مدخرًا كبيرًا أيضًا من حيث الموارد عندما يمكنك القيام بذلك.
ديز بلانشفيلد: أنت تتحدث عن تخفيضات هائلة في التكلفة ، أليس كذلك؟ لا تقوم المنظمات فقط بإزالة المخاطر والنفقات العامة لها ، لكنني أقصد بشكل أساسي أنك تتحدث عن انخفاض كبير في التكلفة ، أ) من الناحية التشغيلية وأيضًا ب) في حقيقة أنه ، كما تعلمون ، إذا كان بإمكانهم توفير الواقع الفعلي الإبلاغ عن الالتزام بالوقت الذي يشير إلى أن هناك انخفاضًا كبيرًا في مخاطر انتهاك البيانات أو بعض الغرامات أو التأثيرات القانونية لعدم امتثالها ، أليس كذلك؟
بوليت مانالي: نعم على الاطلاق. أعني ، لعدم امتثالي لكل أنواع الأشياء السيئة التي تحدث. يمكنهم استخدام هذه الأداة وستكون رائعة أو لا يفعلون وسيكتشفون مدى سوءها حقًا. إذن ، نعم ، إنها ليست الأداة الوحيدة التي يمكنك القيام بها بالتحققات وكل شيء دون استخدام أداة كهذه. كما قلت ، سيستغرق الأمر الكثير من الوقت والتكلفة.
ديز بلانشفيلد: ذلك رائع. إذاً إريك ، سأعود إليك لأنني أعتقد أن الوجبات الجاهزة بالنسبة لي هي ، كما تعلمون ، نوع السوق رائع. ولكن أيضًا ، في الأساس ، الشيء الذي يستحق ثقله بالذهب على أساس أن القدرة على تجنب التأثير التجاري لإحدى المشكلات التي تحدث أو القدرة على تقليل الوقت المستغرق للإبلاغ عن الامتثال وإدارته يجعله ، كما تعلم ، أداة يدفع عن نفسه على الفور من أصوات الأشياء.
إريك كافانا: هذا صحيح تماما. حسنا ، شكرا جزيلا على وقتك اليوم ، Bullett. شكراً لكم جميعاً على وقتك واهتمامكم ، وروبن و ديز. عرض رائع آخر اليوم. شكرًا لأصدقائنا في IDERA على إتاحة الفرصة لنا لتجلب لك هذا المحتوى مجانًا. سنقوم بأرشفة هذا البث الشبكي للعرض لاحقًا. الأرشيف عادة ما يكون في غضون يوم واحد. ودعنا نعرف رأيك في موقعنا الجديد ، insideanalysis.com. تصميم جديد بالكامل ، شكل ومظهر جديد تمامًا. يسعدنا سماع ملاحظاتك ، وسأقدم لك وداعًا يا وداع. يمكنك لي. وإلا فإننا سنلحق بك الأسبوع المقبل. لقد حصلنا على سبع عمليات بث عبر الإنترنت في الأسابيع الخمسة المقبلة أو شيء من هذا القبيل. سنكون مشغولين. وسنكون في مؤتمر ستراتا وقمة محلل آي بي إم في نيويورك في وقت لاحق من هذا الشهر. لذا إذا كنت موجودًا هناك ، فتوقف وقول مرحبًا. اعتن ، الناس. مع السلامة.