بواسطة Techopedia Staff ، 14 سبتمبر 2016
الوجبات الجاهزة: يناقش المضيف إريك كافاناغ تدقيق قاعدة البيانات والامتثال لها مع المحللين روبن بلور وديز بلانشفيلد وكذلك بوليت مانالي من IDERA في هذه الحلقة من Hot Technologies.
أنت لم تسجل الدخول حاليًا. يرجى تسجيل الدخول أو التسجيل لمشاهدة الفيديو.
إريك كافاناغ: سيداتي وسادتي ، مرحبًا بكم مرة أخرى في تقنيات ساخنة! نعم بالفعل ، في عام 2016. نحن في السنة الثالثة من هذا العرض ، إنه أمر مثير للغاية. لقد تم هزاز والمتداول هذا العام. هذا هو إريك كافانا ، مضيفك. موضوع اليوم - هذا موضوع رائع ، فهو يحتوي على الكثير من التطبيقات في جميع المجالات ، وبصراحة تامة - "من وماذا وأين وكيف: لماذا تريد أن تعرف". نعم بالفعل ، سنتحدث عن كل هذه الأشياء الممتعة. هناك شريحة تخصك حقًا ، وضربني على Twittereric_kavanagh. أحاول إعادة تغريدة جميع الإشارات وإعادة تغريدة أي شيء يرسله لي أحد. خلاف ذلك ، فليكن.
الجو حار ، نعم بالفعل! تم تصميم المعرض بأكمله هنا لمساعدة المنظمات والأفراد على فهم أنواع معينة من التكنولوجيا. لقد صممنا البرنامج بالكامل هنا ، Hot Technologies ، كطريقة لتحديد نوع معين من البرامج ، أو اتجاه معين ، أو نوع معين من التكنولوجيا. والسبب هو أنه بصراحة ، في عالم البرمجيات ، ستحصل غالبًا على مصطلحات التسويق التي تتعاطى وأحيانًا يمكن أن تتفادى بصراحة المفاهيم التي صُممت لوصفها.
في هذا العرض ، نحاول حقًا مساعدتك في فهم ماهية نوع معين من التكنولوجيا ، وكيف تعمل ، ومتى يمكنك استخدامها ، ومتى لا ينبغي عليك استخدامها ، ونقدم لك أكبر قدر ممكن من التفاصيل. سيكون لدينا ثلاثة محاضرين اليوم: لدينا روبن بلور ، كبير المحللين هنا في مجموعة بلور ؛ يتصل عالم البيانات لدينا من سيدني ، أستراليا على الجانب الآخر من الكوكب ، Dez Blanchfield ، وأحد ضيوفنا المفضلين Bullett Manale ، مدير هندسة المبيعات في IDERA.
سأقول فقط شيئين هنا ، وفهم من يفعل ماذا مع أي قطعة من البيانات ، حسناً هذا نوع من الحوكمة ، أليس كذلك؟ إذا كنت تفكر في جميع اللوائح حول الصناعات ، مثل الرعاية الصحية والخدمات المالية ، في تلك المجالات ، فإن هذه الأشياء مهمة بشكل لا يصدق. تحتاج إلى معرفة من الذي لمس هذه المعلومات ، ومن قام بتغيير شيء ما ومن قام بالوصول إليها ومن قام بتحميلها ، على سبيل المثال. ما هي النسب ، ما هو بروفيدانس هذه البيانات؟ يمكنك أن تطمئن إلى أن جميع هذه القضايا ستظل بارزة في السنوات القادمة لجميع أنواع الأسباب. ليس فقط للامتثال ، على الرغم من HIPAA ، و Sarbanes-Oxley ، و Dodd-Frank ، وجميع هذه اللوائح مهمة للغاية ، ولكن أيضًا حتى تفهم في عملك من يفعل ماذا وأين ومتى ولماذا وكيف. هذه أشياء جيدة ، سنولي اهتمامًا.
المضي قدما ، خذها بعيدا ، روبن بلور.
روبن بلور: حسنًا ، شكرًا جزيلاً على هذه المقدمة ، إريك. إن مجال الإدارة هذا ، يعني ، أن الحوكمة في تكنولوجيا المعلومات لم تكن كلمة سمعتها إلا بعد عام 2000 بقليل ، على ما أعتقد. لقد حدث ذلك في المقام الأول لأنه ، على أية حال ، أعتقد أنه حدث في المقام الأول بسبب وجود تشريع امتثال كان يحدث. خاصة HIPAA و Sarbanes-Oxley. في الواقع هناك الكثير منه. لذلك ، أدركت المنظمات أنه يجب أن يكون لديها مجموعة من القواعد ومجموعة من الإجراءات لأنها ضرورية بموجب القانون للقيام بذلك. قبل ذلك بفترة طويلة ، لا سيما في القطاع المصرفي ، كان هناك العديد من المبادرات التي كان عليك أن تطيعها اعتمادًا على نوع البنك الذي أنت فيه ، وخاصة البنوك الدولية. بدأ كل المتوافق مع بازل الطريق ، قبل تلك المجموعة المحددة من المبادرات بعد عام 2000. كل ذلك يتعلق بالحكم. اعتقدت أنني سأتحدث عن موضوع الحوكمة كمقدمة للتركيز على مراقبة من يحصل على البيانات.
كانت حوكمة البيانات ، التي اعتدت أن أنظر حولي ، أفكر فيها منذ حوالي خمس أو ست سنوات ، ونظر حولي بحثًا عن التعاريف ولم يتم تعريفها جيدًا على الإطلاق. أصبح الأمر أكثر وضوحًا وضوحًا لما يعنيه فعليًا. كان واقع الوضع أنه ضمن حدود معينة ، كانت جميع البيانات محكومة بالفعل من قبل ، ولكن لم تكن هناك قواعد رسمية لذلك. كانت هناك قواعد خاصة تم وضعها بشكل خاص في الصناعة المصرفية لفعل أشياء من هذا القبيل ، ولكن مرة أخرى كان ذلك أكثر حول الامتثال. بطريقة أو بأخرى تثبت أنك في الواقع - إنه نوع من المخاطرة ، لذلك فإن إثبات أنك بنك قادر على البقاء هو الصفقة.
إذا نظرت إلى تحدي الحوكمة الآن ، فسيبدأ بحقيقة حركة البيانات الكبيرة. لدينا عدد متزايد من مصادر البيانات. حجم البيانات بالطبع هو مشكلة مع ذلك. على وجه الخصوص ، بدأنا في فعل الكثير والكثير ، مع بيانات غير منظمة. لقد أصبحت شيئًا ما جزءًا من لعبة التحليلات بأكملها. وبسبب التحليلات ، يعد مصدر البيانات والنسب مهمة. حقا من وجهة نظر استخدام تحليلات البيانات بأي شكل من الأشكال المتعلقة بأي نوع من الامتثال ، عليك حقا أن يكون لديك معرفة من أين جاءت البيانات وكيف يجب أن تكون ما هي عليه.
أصبح تشفير البيانات مشكلة ، أصبح مشكلة أكبر بمجرد أن ذهبنا إلى Hadoop لأن فكرة بحيرة البيانات التي نخزن فيها الكثير من البيانات ، تعني فجأة أن لديك مساحة كبيرة من الضعف للأشخاص الذين يمكنهم الحصول عليها في ذلك. أصبح تشفير البيانات أكثر بروزًا. كانت المصادقة دائمًا مشكلة. في البيئة الأقدم ، بيئة حاسب مركزي صارم ، كان لديهم حماية أمنية محيطية رائعة ؛ المصادقة لم تكن أبدًا مشكلة كبيرة. في وقت لاحق أصبحت مشكلة أكبر وأصبحت مشكلة أكثر بكثير الآن لأن لدينا مثل هذه البيئات الموزعة بشكل كبير. مراقبة الوصول إلى البيانات ، التي أصبحت مشكلة. يبدو أنني أتذكر الأدوات المختلفة التي ظهرت إلى الوجود منذ حوالي عشر سنوات. أعتقد أن معظم هؤلاء كانوا مدفوعين بمبادرات الامتثال. لذلك لدينا أيضًا جميع قواعد الامتثال ، وإعداد تقارير الامتثال.
الشيء الذي يتبادر إلى الذهن هو أنه حتى في التسعينيات ، عندما كنت تجري تجارب سريرية في صناعة المستحضرات الصيدلانية ، لم يكن عليك فقط أن تكون قادرًا على إثبات مصدر البيانات - من الواضح أنها مهمة للغاية ، إذا كنت تحاول من العقاقير في سياقات مختلفة ، لمعرفة من الذي يجري تجربته وما هي البيانات السياقية المحيطة به - كان عليك أن تكون قادرًا على تقديم تدقيق للبرنامج الذي أنشأ البيانات بالفعل. إنه أقسى جزء من الامتثال الذي رأيته في أي مكان ، من حيث إثبات أنك لا تفسد الأمور عن قصد أو عن غير قصد. في الآونة الأخيرة ، لا سيما إدارة دورة حياة البيانات أصبحت مشكلة. كل هذه التحديات بطريقة ما لأن الكثير من هذه الأمور لم تتم بشكل جيد. في الكثير من الظروف ، من الضروري القيام بها.
هذا ما أسميه هرم البيانات. لقد تحدثت من خلال هذا من قبل. أجدها طريقة ممتعة للغاية للنظر إلى الأشياء. يمكنك التفكير في البيانات على أنها تحتوي على طبقات. البيانات الأولية ، إن أردت ، هي مجرد إشارات أو قياسات ، تسجيلات ، أحداث ، سجلات فردية في الغالب. ربما المعاملات والحسابات والتجمعات بالطبع إنشاء بيانات جديدة. يمكن التفكير بها على مستوى البيانات. علاوة على ذلك ، بمجرد توصيل البيانات معًا فعليًا ، تصبح معلومات. يصبح أكثر فائدة ، لكن بالطبع يصبح أكثر عرضة للأشخاص الذين يقرصونه أو يسيئون معاملته. أقوم بتحديد ذلك على أنه يتم إنشاؤه ، حقًا ، من خلال هيكلة البيانات ، والقدرة على تصور البيانات التي تحتوي على مسارد ، ومخططات ، وأنطولوجيات على المعلومات. هاتان الطبقات السفلى هما ما نعالجه بطريقة أو بأخرى. أعلاه هو ما أسميه طبقة المعرفة التي تتكون من القواعد والسياسات والمبادئ التوجيهية والإجراءات. قد يتم إنشاء بعضها بالفعل بواسطة رؤى اكتشفت في التحليلات. كثير منهم في الواقع سياسات عليك الالتزام بها. هذه هي طبقة الحكم إذا أردت. هذا هو المكان ، بطريقة أو بأخرى ، إذا لم يتم ملء هذه الطبقة بشكل صحيح ، فلن تتم إدارة الطبقتين أدناه. النقطة الأخيرة في هذا الأمر هي ، الفهم في شيء يكمن فقط في البشر. لم تتمكن أجهزة الكمبيوتر من فعل ذلك بعد ، والحمد لله. خلاف ذلك ، سأكون خارج العمل.
إمبراطورية الحكم - لقد وضعت هذا الأمر معًا ، أعتقد أنه كان يجب أن يكون منذ حوالي تسعة أشهر ، ربما قبل ذلك بكثير. في الأساس ، قمت بتحسينه ، لكن بمجرد أن بدأنا نشعر بالقلق بشأن الحوكمة ، كان هناك ، من حيث مركز بيانات الشركة ، ليس فقط خزان البيانات ، موارد بحيرة البيانات ، ولكن أيضًا الخوادم العامة من أنواع مختلفة ، خوادم البيانات المتخصصة. كل ذلك يحتاج إلى أن يحكم. عندما نظرت بالفعل إلى البعد المتنوع أيضًا - أمان البيانات ، وتنقية البيانات ، واكتشاف البيانات الوصفية وإدارة البيانات الوصفية ، وإنشاء مسرد للأعمال ، ورسم الخرائط للبيانات ، ونسب البيانات ، وإدارة دورة حياة البيانات - ثم إدارة مراقبة الأداء وإدارة مستوى الخدمة ، وإدارة النظام ، والتي قد لا تربطها فعليًا بالحوكمة ، ولكن بالتأكيد - الآن بعد أن ذهبنا إلى عالم أسرع وأسرع مع المزيد من تدفقات البيانات ، فإن القدرة على فعل شيء ما بأداء معين هو في الواقع ضرورة و يبدأ في أن يصبح قاعدة للعمل بدلاً من أي شيء آخر.
بإيجاز فيما يتعلق بنمو الامتثال ، شاهدت أن هذا يحدث على مدار سنوات عديدة ، لكن حماية البيانات العامة جاءت بالفعل في التسعينيات في أوروبا. لقد أصبحت أكثر وأكثر تطوراً منذ ذلك الحين. بعد ذلك ، بدأت كل هذه الأشياء في التقديم أو جعلها أكثر تطوراً. إن مركز الخليج للأبحاث ، الذي يمثل مخاطر الحوكمة والامتثال لها ، مستمر منذ أن قامت البنوك ببازل. تقوم ISO بوضع معايير لأنواع مختلفة من العمليات. أعلم طوال الوقت أنني كنت في تكنولوجيا المعلومات - لقد مضى وقت طويل - كانت الحكومة الأمريكية نشطة بشكل خاص في وضع تشريعات مختلفة: SOX ، هناك Gramm-Leach-Bliley و HIPAA و FISMA و FERPA. لديك أيضًا مؤسسة NIST الرائعة التي تنشئ العديد من المعايير ، خاصة معايير الأمان ، مفيدة للغاية. قوانين حماية البيانات في أوروبا لها فروق محلية. ما يمكنك فعله بالبيانات الشخصية في ألمانيا ، على سبيل المثال ، يختلف عما يمكنك القيام به في جمهورية سلوفاكيا ، أو سلوفينيا ، أو في أي مكان. لقد طرحوا مؤخرًا - واعتقدت أنني أذكر هذا لأنني أجده مسلياً - أوروبا تقدم فكرة الحق في النسيان. أي ، يجب أن يكون هناك تشريع للقيود على البيانات التي كانت علنية والتي هي في الواقع بيانات شخصية. أعتقد أن هذا فرحان. من وجهة نظر تكنولوجيا المعلومات ، سيكون الأمر بالغ الصعوبة إذا أصبح التشريع الفعال. باختصار ، أقول ما يلي: نظرًا لتطور بيانات تكنولوجيا المعلومات وإدارتها بسرعة ، يجب أن تتطور الحوكمة أيضًا بسرعة وتنطبق على جميع مجالات الإدارة.
بعد قولي هذا سأمرر الكرة إلى Dez.
إريك كافاناغ: نعم بالفعل ، إذن ديز بلانشفيلد ، خذها بعيدًا. روبن ، أنا معك ، يا رجل ، أنا أموت لنرى كيف يلعب هذا الحق في النسيان. أعتقد أنه لن يكون مجرد تحد لكنه مستحيل بشكل أساسي. إنه مجرد انتهاك لانتظار تمارسه الهيئات الحكومية. ديز ، خذها بعيدا.
ديز بلانشفيلد: إنه بالفعل موضوع نقاش آخر. لدينا تحدٍ مشابه جدًا هنا في منطقة آسيا والمحيط الهادئ ، وخاصةً في أستراليا ، حيث يتعين على شركات النقل ومزودي خدمة الإنترنت تسجيل كل ما يتعلق بالإنترنت والقدرة على تسجيله واستعادته في حالة قيام شخص ما بفعل شيء خاطئ. إنه قانون وعليك الالتزام به. التحدي ، تمامًا كما قد يُطلب من شخص ما في Google في الولايات المتحدة حذف سجل البحث الخاص بي أو أيًا كان ، فقد يكون الامتثال للقانون الأوروبي ، وخاصة قانون الخصوصية الألماني. إذا أرادت وكالة في أستراليا أن تنظر إليك ، فيجب أن يكون بمقدور شركة الاتصالات تقديم تفاصيل عن المكالمات وسجل البحث الذي تم إجراؤه ، وهذا أمر صعب ، ولكنه العالم الذي نعيش فيه. هناك مجموعة من الأسباب لذلك. واسمحوا لي فقط القفز في بلدي.
لقد تعمدت جعل صفحة العنوان صعبة القراءة. عليك أن تنظر بجد إلى هذا النص. الامتثال ، يتوافق مع مجموعة من القواعد أو المواصفات أو الضوابط أو السياسات أو المعايير أو القوانين ، مع خلفية سخيفة ، فوضوي. ذلك لأنك يجب أن تنظر إليها بصعوبة شديدة للحصول على التفاصيل وسحب المعلومات مما تحتوي عليه ، وهي عبارة عن سلسلة من الجداول والصفوف والأعمدة ، إما قاعدة بيانات أو مخطط أو نموذج نموذجي في Visio. هذا ما يبدو وكأنه نوع من الامتثال يوما بعد يوم. من الصعب للغاية الاطلاع على التفاصيل وسحب أجزاء المعلومات ذات الصلة التي تحتاجها لتتمكن من التأكيد على التزامك. الإبلاغ عن ذلك ، ومراقبته واختباره.
في الواقع ، اعتقدت أن هناك طريقة جيدة بالفعل لتصور هذا عندما نسأل أنفسنا السؤال ، "هل أنت متوافق؟" "هل أنت واثق؟" "حسنا ، اثبت ذلك!" هناك شيء ممتع حقًا ربما يكون أكثر قليلاً من الأنجلو سلتيك ، لكنني متأكد من أنه شق طريقه في جميع أنحاء العالم إلى الولايات المتحدة ، لذلك: "أين والي؟" Wally هي شخصية صغيرة تدخل في هذه الرسوم الكاريكاتورية في شكل كتب. عادةً صور كبيرة جدًا بحجم A3 أو أكبر. لذلك ، رسومات حجم الجدول. إنه شخصية صغيرة ترتدي قبعة صغيرة وقميصًا أحمر مقلم. فكرة اللعبة هي إلقاء نظرة على هذه الصورة وأنت تنظر حولك في دوائر لمحاولة العثور على Wally. انه في تلك الصورة هناك في مكان ما. عندما تفكر في كيفية اكتشاف التوافق ووصفه والإبلاغ عنه ، فإن الأمر يشبه في كثير من الأحيان تشغيل "Where Wally". إذا نظرت إلى تلك الصورة ، يكاد يكون من المستحيل العثور على الشخصية. الأطفال يقضون ساعات في ذلك وكان لدي الكثير من المرح في القيام بذلك بنفسي أمس. عندما ننظر إلى الأمر ، نجد مجموعة كاملة من الأشخاص في هذه الرسوم ، يوضعون هناك عمداً مع قطع متشابهة من الزي والي ل قبعة صغيرة مخططة وقميص ، أو قميص صوفي. لكنهم يتحولون إلى إيجابيات كاذبة.
هذا هو تحد مماثل لدينا مع الامتثال. عندما ننظر إلى الأشياء ، في بعض الأحيان شيء نعتقد أنه هذا هو الحال ، ليس هو الحال على الإطلاق. قد يكون لدى شخص ما حق الوصول إلى قاعدة بيانات ومن المفترض أن يكون لديه هذا الوصول إلى قاعدة بيانات ولكن الطريقة التي يستخدمونها مختلفة قليلاً عن ما نتوقعه. قد نقرر أن هذا شيء نحتاج إلى النظر إليه. عندما ننظر إلى ذلك نجد ، أوه في الواقع ، هذا مستخدم صالح للغاية. إنهم يفعلون مجرد شيء غريب. ربما يكون باحث كمبيوتر أو من يعرف. في حالات أخرى ، قد يكون عكس ذلك. الحقيقة ، عندما أتقدم مرة أخرى ، هناك والي. إذا بدت صعبة للغاية في هذه الدقة العالية ، فهناك شخصية واحدة ترتدي بالفعل الزي المناسب. جميع الآخرين مجرد lookalikes ويشعرون. الامتثال يشبه إلى حد كبير ذلك. معظم الأشخاص الذين أعرفهم ، يعملون في مجالات الضوابط والامتثال وسياسات الشركات. في مجموعة كاملة من المجالات ، سواء كانت تقنية أم أنها تمويل أم تشغيل أم مخاطرة. غالبًا ما يكون من الصعب جدًا رؤية Wally في الصورة ، فسترى الأشجار أو الخشب.
والسؤال الذي نطرحه على أنفسنا ، عندما نفكر في أشياء مثل الامتثال ، هو "الصفقة الكبيرة ، ما الذي يمكن أن يحدث خطأ إذا لم نلتزم بالامتثال تمامًا؟" في سياق مناقشة اليوم ، وتحديداً حول قاعدة البيانات والتحكم في الوصول إلى البيانات ، سأقدم لك بعض أمثلة مكالمات الإيقاظ الحقيقية للغاية بشأن ما يمكن أن يحدث في شكل موجز للغاية. إذا فكرنا في خروقات البيانات ، وكلنا على دراية بخروقات البيانات ، فإننا نسمعها في وسائل الإعلام ، ونوقف ونضحك نوعًا ما ، لأن الناس يعتقدون أنها أسواق. إنها أشياء شخصية. انها اشلي ماديسون والناس الذين يتطلعون للحصول على تواريخ خارج علاقاتهم والزواج. انها قذف الحسابات. إنها كل هذه الأشياء الغريبة أو يتم اختراق أي شركة إنترنت أو روسية عشوائية أو شركة استضافة أوروبية عشوائية. عندما يتعلق الأمر بأشياء مثل MySpace وهؤلاء العشرة الأوائل ، عندما تنظر إلى هذه الأرقام ، فإن ما أريدك أن تدركه هو: 1.1 مليار شخص في هذه الخروقات العشرة الأولى. ونعم ، هناك تداخلات ، وربما يكون هناك أشخاص لديهم حساب MySpace ، وحساب Dropbox ، وحساب Tumblr ، ولكن دعنا نقربه إلى مليار شخص.
هذه الانتهاكات العشرة الأولى خلال العقد الماضي أو نحو ذلك - ولا حتى عقد من الزمان ، في معظم الحالات - تلخص ما يقرب من سبع سكان العالم من البشر ، ولكن بشكل أكثر واقعية ، حوالي 50 في المئة من عدد الأشخاص المتصلين الانترنت ، أكثر من مليار شخص. هذه تأتي لأن الامتثال لم يتحقق في بعض الحالات. في معظم الحالات ، تم التحكم في الوصول إلى قاعدة البيانات ، والتحكم في الوصول إلى مجموعات بيانات معينة ، والأنظمة والشبكات. هذا هو التحقق من واقع مخيف. إذا لم يخيفك ذلك ، عندما تنظر إلى العشرة الأوائل ويمكنك أن ترى أن هذا - أو يمكنك أن ترى أن هناك مليار شخص ، بشر حقيقي مثلنا ، على هذه الدعوة الآن. إذا كان لديك حساب LinkedIn أو إذا كان لديك حساب Dropbox أو حساب Tumblr أو إذا كنت قد اشتريت من منتجات Adobe أو حتى قمت بتنزيل Adobe Viewer المجاني. من المحتمل تمامًا ، وليس ممكنًا ، من المحتمل جدًا أن تكون بياناتك أو اسمك الأول أو اسمك الأخير أو عنوان بريدك الإلكتروني أو عنوان شركتك أو بطاقة منزلك أو بطاقة ائتمانك موجودة بالفعل بسبب الخرق التي حدثت بسبب الضوابط ، التي لم تكن تدار بالضرورة بشكل جيد في شكل إدارة البيانات ، وإدارة البيانات.
دعونا نلقي نظرة عليه عندما ننظر إليه بتفاصيل حقيقية. هناك شاشة واحدة منهم ، وهناك حوالي 50 شيء هناك. هناك 15 أخرى. هناك 25 أخرى. هذه هي خروقات البيانات التي يتم سردها على موقع ويب يسمى haveibeenpwned.com. هذا هو ما يمكن أن يحدث إذا لم تتم إدارة شيء بسيط مثل التحكم في من لديه حق الوصول إلى البيانات في قواعد البيانات في الحقول والصفوف والأعمدة والتطبيقات المختلفة في عملك بشكل صحيح. هذه المنظمات هي الآن مدفوعة البيانات. تعيش معظم البيانات في قاعدة بيانات في شكل ما. عندما تفكر في ذلك ، تلك القائمة من الانتهاكات التي نظرنا إليها للتو ، ونأمل أن يتم إعطائك القليل من الاستحمام البارد بمعنى ما ، من حيث أنك فكرت "حسنًا ، هذا حقيقي جدًا" ، وقد أثرت عليك. في عام 2012 ، هذا الاختراق لـ LinkedIn على سبيل المثال ، يمتلك معظم المحترفين حسابًا على LinkedIn هذه الأيام ومن المحتمل أن يتم فقد بياناتك. لقد تم نشرها على الإنترنت منذ عام 2012. لقد تم إخبارنا بها للتو في عام 2016. ماذا حدث معك المعلومات في تلك السنوات الأربع؟ حسنًا ، إنه أمر مثير للاهتمام ويمكننا التحدث عن ذلك بشكل منفصل.
إدارة قواعد البيانات والأنظمة - غالبًا ما أتحدث عن ما أعتبره التحديات الخمسة الأولى في إدارة هذه الأشياء. في المقدمة ، أنا في المرتبة الأولى من حيث ترتيب الأفضليات من نفسي ، ولكن أيضًا حسب ترتيب التأثير ، رقم واحد هو الأمن والامتثال. الضوابط والآليات والسياسات المتعلقة بالتحكم في من لديه حق الوصول إلى أي نظام ولأي سبب وغرض. الإبلاغ عن ذلك ومراقبته ، والنظر في الأنظمة ، والنظر في قواعد البيانات ، ومعرفة من يمكنه بالفعل الوصول إلى السجلات والحقول الفردية والسجلات.
فكر في هذا في شكل بسيط للغاية. دعونا نتحدث عن إدارة البنوك والثروة كمثال واحد. عند التسجيل للحصول على حساب مصرفي ، دعنا نقول فقط حسابًا نقديًا عاديًا للحصول على بطاقة EFTPOS أو حساب نقدي أو حساب شيك. تقوم بملء نموذج وهناك الكثير من المعلومات الخاصة جدًا في هذا الجزء من الورق الذي تملؤه أو تقوم بفعله عبر الإنترنت وينتقل إلى نظام الكمبيوتر. الآن ، إذا كان شخص ما في التسويق يريد الاتصال بك وإرسال كتيب لك ، فيُسمح له برؤية اسمك الأول واسم العائلة وعنوانك الشخصي ، على سبيل المثال ، وربما رقم هاتفك إذا كانوا يريدون الاتصال بك على تبيع لك شيئا. من المحتمل ألا يروا المبلغ الإجمالي الذي حصلت عليه في البنك لعدة أسباب. إذا كان شخص ما ينظر إليك من وجهة نظر مخاطرة ، أو يحاول مساعدتك في القيام بشيء ما مثل الحصول على أسعار فائدة أفضل على حسابك ، فمن المحتمل أن هذا الشخص المعين يريد معرفة مقدار الأموال التي حصلت عليها في البنك ، حتى يتمكنوا من نقدم لك مستويات الفائدة المناسبة من عائد أموالك. هذان الشخصان لهما أدوار مختلفة تمامًا وأسباب مختلفة جدًا لتلك الأدوار وأغراض لهذين الأدوار. نتيجة لذلك ، يجب أن تشاهد معلومات مختلفة في السجل الخاص بك ، ولكن ليس كل السجل.
تتحكم عناصر التحكم هذه حول التقرير المختلف للشاشات أو النماذج المعتادة الموجودة في التطبيقات المستخدمة لإدارة حسابك. إن التطوير لهؤلاء ، والحفاظ على هؤلاء ، وإدارة هؤلاء ، والإبلاغ حول هؤلاء ، والحوكمة والامتثال المحيطين بأولئك مثل التفاف الفقاعة ، كلها تحد كبير للغاية. هذا هو التحدي الأول في إدارة البيانات والأنظمة. عندما نتعمق في هذا المكوّن في الأداء والمراقبة ، واكتشاف حالات الإصابة والاستجابة لها ، وإدارة النظام وإدارته ، والامتثال من حولهم ، وتصميم النظم وتطويرها من الامتثال ، يصبح الأمر أكثر صعوبة.
إدارة القضية بأكملها المتمثلة في تقليل المخاطر وتحسين الأمن. أهم خمسة تحديات في هذا الفضاء - وأنا أحب الصور التي تتوافق مع مكتب الجمارك عند دخولك إلى بلد ما - حيث تقدم جواز سفرك ، ويقومون بفحصك ، وينظرون إلى نظام الكمبيوتر الخاص بهم لمعرفة ما إذا كان يجب عليك تمر أم لا. إذا لم يكن عليك ذلك ، فقد وضعوك على متن الطائرة القادمة إلى المنزل. بخلاف ذلك ، يسمحون لك بالعودة ويسألونك أسئلة مثل: "هل ستأتي في إجازة؟ هل أنت هنا سائح؟ هل أنت هنا للعمل؟ ما نوع العمل الذي ستراه؟ أين ستبقى؟ "ما المدة التي ستقضيها؟ هل لديك ما يكفي من المال لتغطية نفقاتك وتكاليفك ، أم أنك ستصبح خطراً على البلد الذي تتواجد فيه وقد يتعين عليها الاعتناء بك وإطعامك؟"
هناك بعض المشكلات حول مساحة البيانات هذه ، إدارة حماية البيانات. على سبيل المثال ، في مساحة قاعدة البيانات ، نحتاج إلى التفكير في تخفيف تجاوزات قاعدة البيانات. إذا كانت البيانات موجودة في قاعدة البيانات ، في بيئة طبيعية وهناك ضوابط وآليات حول ذلك في النظام. ماذا يحدث إذا تم تفريغ البيانات في المزيد من SQL والنسخ الاحتياطي لشريط؟ يتم تفريغ قواعد البيانات بشكل أولي ويتم نسخها احتياطيًا في بعض الأحيان. في بعض الأحيان يتم ذلك لأسباب فنية ، وأسباب التطوير. دعنا نقول فقط تم تفريغ DB وتم نسخها احتياطيًا إلى شريط. ماذا يحدث إذا صادفت يدي على هذا الشريط واستعادته؟ ولدي نسخة أولية من قاعدة البيانات في SQL. إنه ملف MP ، إنه نص ، يمكنني قراءته. جميع كلمات المرور المخزنة في هذا التفريغ ليس لها سيطرة علي لأنني الآن أحصل على حق الوصول إلى المحتوى الفعلي لقاعدة البيانات دون أن يحميها مشغل قاعدة البيانات. لذلك يمكنني من الناحية الفنية تجاوز أمان منصة قاعدة البيانات التي يتم بناؤها في المحرك مع الامتثال ، وإدارة المخاطر لمنعني من النظر إلى البيانات. لأنه من المحتمل أن يكون المطور ، مسؤول النظام ، فقد وضعت يدي في تفريغ كامل لقاعدة البيانات التي يجب استخدامها للنسخ الاحتياطية.
إساءة استخدام البيانات - من المحتمل أن تجعل شخصًا ما يسجل الدخول كحساب مرتفع لديه ويسمح لي بالجلوس على الشاشة أو البحث عن معلومات أو أشياء مماثلة. تدقيق الملكية ، والوصول إلى البيانات واستخدامها ، وعرض البيانات أو التغييرات على البيانات. ثم الإبلاغ حول هذه السيطرة والامتثال المطلوب. مراقبة حركة المرور والوصول وما إلى ذلك ، ومنع التهديدات التي تأتي من مواقع وخوادم خارجية. على سبيل المثال ، إذا تم تقديم البيانات عبر نموذج على صفحة ويب على الإنترنت ، فهل تمت حماية حقن SQL من خلال جدران الحماية وعناصر التحكم في المفاهيم؟ هناك قصة طويلة مفصلة وراء ذلك. يمكنك أن ترى هنا أن بعض هذه الأشياء الأساسية للغاية التي نفكر بها في تخفيف وإدارة المخاطر حول البيانات داخل قواعد البيانات. من السهل نسبيًا الالتفاف حول بعض هذه الأشياء إذا كنت في مستويات مختلفة من مجموعات التقنيات. يصبح التحدي أصعب وأصعب حيث تحصل على المزيد والمزيد من البيانات ، والمزيد من قواعد البيانات. أكثر وأكثر تحديًا مع اضطرار الأشخاص لإدارة الأنظمة ومراقبة استخدامها ، تتبع التفاصيل ذات الصلة التي تتعلق بالتحديد بالأشياء التي تحدث عنها روبن ، حول أشياء مثل الامتثال الشخصي. الأفراد لديهم ضوابط وآليات من حولهم تمتثل - إذا قمت بشيء خاطئ ، فمن المحتمل أن تطرد. إذا قمت بتسجيل الدخول لأن حسابي يسمح لك برؤيته ، فيجب أن يكون ذلك بمثابة جريمة قابلة للتشغيل. لقد منحتك الآن حق الوصول إلى البيانات التي لا يجب أن تراها بشكل طبيعي.
هناك امتثال شخصي ، وهناك امتثال للشركات ، وللشركات سياسات وقواعد ، وتتحكم فيها بنفسها حتى تعمل الشركة بشكل جيد وتوفر عائدًا على الربح وعائدًا جيدًا للمستثمرين والمساهمين. ثم غالبًا ما يكون هناك على مستوى المدينة أو على مستوى الولاية أو على المستوى الوطني أو الفيدرالي كما قلت. ثم هناك العالمية. بعض الحوادث الكبرى في العالم ، حيث أمثال ساربانيس أوكسلي ، شخصان يُطلب إليهما التوصل إلى طرق حول كيفية حماية البيانات والأنظمة. توجد بازل في أوروبا ، وهناك مجموعة واسعة من الضوابط في أستراليا ، وخاصة حول البورصات ومنصات الاعتماد ، ومن ثم الخصوصية على مستوى الفرد أو الشركة. عندما يتم تجميع كل منها كما رأيت في أحد المواقع التي كان بها روبن ، تصبح جبلًا شبه مستحيل تقريبًا يصعد. ترتفع التكاليف ونحن في المرحلة التي لم يعد فيها النهج التقليدي الأصلي الذي تعرفه ، مثل البشر الذين يقيسون التحكم ، طريقة مناسبة لأن المقياس كبير جدًا.
لدينا سيناريو حيث الامتثال هو ما أسميه الآن مشكلة دائمة. وهذا هو أننا اعتدنا أن يكون لدينا نقطة زمنية ، إما شهرية أو ربع سنوية أو سنوية ، حيث سنراجع حالة الأمة لدينا وسنساعد في الالتزام والسيطرة. التأكد من أن بعض الأشخاص لديهم وصول معين وليس لديهم إمكانية وصول معينة استنادًا إلى أذوناتهم. الآن هي حالة سرعة الأشياء التي تتحرك بها الأشياء ، والسرعة التي تتغير بها الأشياء ، والمقياس الذي نعمل عليه. يمثل الامتثال مشكلة دائمة ، وكانت الأزمة المالية العالمية مجرد مثال واحد يمكن أن تتجنب فيه الضوابط ذات الصلة ، والتدابير المتعلقة بالأمن والامتثال سيناريو حيث كان لدينا قطار شحن هارب لسلوك معين. مجرد خلق موقف مع العالم بأسره مع العلم أنه سوف ينهار ويفلس. للقيام بذلك ، نحن بحاجة إلى الأدوات الصحيحة. رمي البشر في القطار ، لم يعد إلقاء الجثث مقاربة صحيحة لأن المقياس كبير للغاية وتتحرك الأشياء بسرعة كبيرة. المناقشة اليوم ، أعتقد أننا سنجريها ، تدور حول أنواع الأدوات التي يجب تطبيقها على هذا. على وجه الخصوص الأدوات التي يمكن أن تقدمها IDERA لنا والتي يجب أن تفعل ذلك. ومع أخذ ذلك في الاعتبار ، سأقوم بتسليمه إلى Bullett للتجول في مواده وإظهار نهجنا والأدوات التي لديهم لحل هذه المشكلة التي قدمناها لك الآن.
مع ذلك ، Bullett ، سأسلم لك.
بوليت مانالي: يبدو رائعًا ، شكرًا لك. أريد أن أتحدث عن بعض الشرائح وأريد أيضًا أن أريك منتجًا نستخدمه لقواعد بيانات SQL Server خصيصًا للمساعدة في مواقف التوافق. في الواقع ، فإن التحدي في كثير من الحالات - سأقوم بتخطي عدد قليل من هذه - هذه مجرد مجموعة منتجاتنا ، وسأواجه ذلك بسرعة كبيرة. فيما يتعلق بالمكان الذي سيتناول فيه هذا المنتج حقًا وكيفية ارتباطه بالامتثال ، أقوم دائمًا بسحب هذا الأمر كأول شريحة لأنه نوعًا ما عامًا ، "مهلا ، ما مسؤولية DBA؟" أحد الأشياء هو مراقبة ورصد وصول المستخدم وأيضا القدرة على إنشاء التقارير. سيكون ذلك مرتبطًا عندما تتحدث إلى مدقق الحسابات الخاص بك ، ومدى صعوبة هذه العملية سوف تختلف اعتمادًا على ما إذا كنت ستقوم بذلك بنفسك أو إذا كنت ستستخدم طرفًا ثالثًا أداة للمساعدة.
بشكل عام ، عندما أتحدث إلى مسؤولي قواعد البيانات ، في كثير من الأحيان لم يشاركوا في أي عملية تدقيق. يجب عليك تثقيفهم في حقيقة الأمر الذي يتعين عليك فعله بالفعل. يرتبط بنوع الامتثال المطلوب الوفاء به والقدرة على إثبات أنك تتبع القواعد فعليًا لأنها تنطبق على هذا المستوى من الامتثال. الكثير من الناس لا يحصلون عليها في البداية. يعتقدون ، "أوه ، يمكنني فقط شراء أداة تجعلني متوافقًا." الحقيقة هي أن هذا ليس هو الحال. أتمنى أن أقول إن منتجنا بطريقة سحرية ، كما تعلم ، الضغط على الزر السهل ، قد منحك القدرة على التأكد من التزامك. في الواقع ، يجب أن تكون البيئة الخاصة بك مضبوطة من حيث الضوابط ، من حيث كيفية وصول الناس إلى البيانات ، وأن كل ذلك لابد من إعداده مع التطبيق الذي لديك. حيث يتم تخزين البيانات الحساسة ، ما نوع المتطلبات التنظيمية التي يتم تخزينها. بعد ذلك ، عليك أيضًا العمل مع ضابط الامتثال الداخلي أيضًا حتى تكون قادرًا على التأكد من اتباعك لجميع القواعد.
هذا يبدو معقدا حقا. إذا نظرت إلى جميع المتطلبات التنظيمية ، فأنت تعتقد أن هذا سيكون هو الحال ، ولكن الواقع هو أن هناك قاسمًا مشتركًا هنا. في حالتنا مع الأداة التي سأعرضها عليك اليوم ، منتج Compliance Manager ، ستكون العملية في وضعنا هي أننا ، أولاً وقبل كل شيء ، نحتاج إلى التأكد من أننا نجمع بيانات مراجعة الحسابات ذات الصلة إلى حيث توجد البيانات في قاعدة البيانات الحساسة. يمكنك جمع كل شيء ، أليس كذلك؟ يمكنني الخروج وأقول أنني أرغب في جمع كل معاملة تحدث على قاعدة البيانات هذه. الحقيقة هي أنه ربما لا يكون لديك سوى جزء صغير أو نسبة مئوية صغيرة من المعاملات المرتبطة فعليًا بالبيانات الحساسة. إذا كان التوافق PCI سيكون حول معلومات بطاقة الائتمان ، ومالكي بطاقات الائتمان ، ومعلوماتهم الشخصية. قد يكون هناك الكثير من المعاملات الأخرى التي تتعلق بتطبيقك ، والتي ليس لها أي تأثير على المتطلبات التنظيمية لـ PCI.
من وجهة النظر هذه ، فإن أول شيء عندما أتحدث إلى DBA هو أن أقول ، "إن التحدي الأول لا يحاول الحصول على أداة للقيام بهذه الأشياء نيابة عنك. إنها مجرد معرفة أين توجد تلك البيانات الحساسة وكيف يمكننا إغلاق هذه البيانات؟ "إذا كان لديك ذلك ، إذا كان يمكنك الإجابة على هذا السؤال ، فأنت في منتصف الطريق من حيث قدرتك على إظهار أنك في حالة امتثال ، على افتراض أنك تتبع الضوابط الصحيحة. لنفترض للمرة الثانية أنك تتبع الضوابط الصحيحة وأبلغت مدققي الحسابات أن هذا هو الحال. من الواضح أن الجزء التالي من العملية قادر على توفير مسار تدقيق يوضح وتثبت أن عناصر التحكم هذه تعمل بالفعل. ثم ، متابعة ذلك مع التأكد من حفظ هذه البيانات. عادةً مع أشياء مثل توافق PCI و HIPAA ، وتلك الأنواع من الأشياء ، فأنت تتحدث عن استبقاء لمدة سبع سنوات. أنت تتحدث عن الكثير من المعاملات والكثير من البيانات.
إذا كنت تحتفظ بجمع كل معاملة على الرغم من أن خمسة بالمائة فقط من المعاملات مرتبطة بالبيانات الحساسة ، فأنت تتحدث عن تكلفة كبيرة جدًا مرتبطة بالحاجة إلى تخزين هذه البيانات لمدة سبع سنوات. هذا أحد أكبر التحديات ، حسب اعتقادي ، في جعل الناس يتفوهون بذلك ليقولوا ، إنها تكلفة غير ضرورية حقًا. كما أنه أسهل بكثير إذا تمكنا من التركيز بشكل محبب على المناطق الحساسة داخل قاعدة البيانات. بالإضافة إلى ذلك ، ستحتاج أيضًا إلى عناصر تحكم حول بعض المعلومات الحساسة أيضًا. لا يقتصر الأمر على العرض من حيث مراجعة الحسابات ، ولكن أيضًا لتكون قادرًا على ربط الأشياء بالأفعال التي تحدث وتكون قادرة على أن يتم إعلامك في الوقت الفعلي ، بحيث يمكنك أن تكون على دراية بذلك.
المثال الذي أستخدمه دائمًا ، وقد لا يكون بالضرورة متعلقًا بأي نوع من المتطلبات التنظيمية ولكن فقط القدرة على تتبعه ، على سبيل المثال ، شخص ما كان عليه إسقاط الجدول المرتبط بكشوف المرتبات. إذا حدث ذلك ، فإن الطريقة التي تعرف بها ، إذا كنت لا تتبع ذلك ، لا يتم دفع أي شخص. انه متأخر جدا. تريد أن تعرف متى يتم إسقاط هذا الجدول ، وحين يتم إسقاطه ، لتجنب أي أشياء سيئة تحدث نتيجة لقيام بعض الموظفين الساخطين بحذف الجدول المرتبط مباشرةً بكشوف المرتبات.
مع قول ذلك ، تكمن الحيلة في إيجاد القاسم المشترك أو استخدام هذا القاسم المشترك لرسم خريطة لمستوى الامتثال. هذا نوع من ما نحاول القيام به مع هذه الأداة. نحن نتبع النهج بشكل أساسي ، لن نعرض عليك تقريرًا خاصًا بـ PCI ، خاصة بالأسهم ؛ القاسم المشترك هو أن لديك تطبيقًا يستخدم SQL Server لتخزين البيانات الحساسة داخل قاعدة البيانات. بمجرد أن تتغلب على ما تقوله ، "نعم هذا هو الشيء الرئيسي الذي نحتاج إلى التركيز عليه - أين هذه البيانات الحساسة ، وكيف يتم الوصول إليها؟" بمجرد الحصول على هذا ، هناك الكثير من التقارير التي نقدمها والتي يمكن أن توفر هذا الدليل ، وسوف ، في الامتثال.
بالعودة إلى الأسئلة التي يطرحها المدقق ، سيكون السؤال الأول: من يمكنه الوصول إلى البيانات وكيف يحصلون على هذا الوصول؟ هل تستطيع أن تثبت أن الأشخاص المناسبين يقومون بالوصول إلى البيانات وأن الأشخاص الخطأ لا يقومون بذلك؟ هل يمكن أن تثبت أيضًا أن مسار التدقيق نفسه شيء يمكنني الوثوق به كمصدر ثابت للمعلومات؟ إذا أعطيتك مسار تدقيق ملفقًا ، فليس من الجيد حقًا أن أكون مدققًا في تصحيح التدقيق إذا كانت المعلومات ملفقة. نحتاج إلى دليل على ذلك ، عادةً من منظور التدقيق.
من خلال طرح هذه الأسئلة ، نوع من التفاصيل أكثر قليلاً. التحدي في السؤال الأول هو ، عليك أن تعرف ، كما قلت ، أين توجد تلك البيانات الحساسة للإبلاغ عن من يمكنه الوصول إليها. هذا عادة ما يكون نوعًا من الاكتشاف وحقًا لديك الآلاف من التطبيقات المختلفة الموجودة هناك ، لديك الكثير من المتطلبات التنظيمية المختلفة. في معظم الحالات ، ترغب في العمل مع مسؤول الامتثال الخاص بك إذا كان لديك واحدًا ، أو على الأقل شخصًا ما لديه بعض الرؤية الإضافية فيما يتعلق بالواقع الحقيقي لبياناتي الحساسة داخل التطبيق. لدينا أداة لدينا ، إنها أداة مجانية ، وتسمى "بحث أعمدة SQL". نقول لعملائنا والمستخدمين المحتملين المهتمين بهذا السؤال ، يمكنهم الانتقال إلى تنزيله. ما ستقوم به هو البحث بشكل أساسي عن المعلومات الموجودة في قاعدة البيانات والتي ستكون على الأرجح حساسة في طبيعتها.
ثم بمجرد القيام بذلك ، يجب عليك أيضًا فهم كيفية وصول الأشخاص إلى تلك البيانات. وسيكون هذا مرة أخرى الحسابات التي تدخل ضمنها مجموعات Active Directory ، والتي يشارك فيها مستخدمو قاعدة البيانات ، وهناك دور دور في هذا الأمر. مع الأخذ في الاعتبار ، بالطبع ، أن كل هذه الأشياء التي نتحدث عنها يجب أن تتم الموافقة عليها من قبل المدقق ، لذلك إذا قلت ، "هذه هي الطريقة التي نحبس بها البيانات ،" يمكن للمدققين أن يأتوا إلى الوراء ونقول ، "حسنًا ، أنت تفعل ذلك بطريقة خاطئة." ولكن دعنا نقول أنهم يقولون ، "نعم ، هذا يبدو جيدًا. أنت تحبس البيانات بما فيه الكفاية. "
بالانتقال إلى السؤال التالي ، الذي سيكون ، هل يمكنك إثبات أن الأشخاص المناسبين يقومون بالوصول إلى تلك البيانات؟ بمعنى آخر ، يمكنك إخبارهم بأن عناصر التحكم الخاصة بك ، هي عناصر التحكم التي تتابعها ، لكن لسوء الحظ ، فإن مراجعي الحسابات ليسوا أشخاصًا موثوقين بهم. إنهم يريدون إثبات ذلك ويريدون أن يكونوا قادرين على رؤيته داخل سجل التدقيق. وهذا يعود إلى هذا القاسم المشترك بأكمله. سواء أكان الأمر PCI ، SOX ، HIPAA ، GLBA ، Basel II ، أيا كان ، في الواقع ، هو أن نفس أنواع الأسئلة سوف يتم طرحها عادة. الكائن ذو المعلومات الحساسة ، من الذي وصل إلى هذا الكائن خلال الشهر الماضي؟ يجب أن يكون ذلك بمثابة خريطة لعناصر التحكم الخاصة بي وسأكون قادرًا على اجتياز التدقيق في النهاية من خلال إظهار هذه الأنواع من التقارير.
وهكذا فإن ما قمنا به هو أننا جمعنا حوالي 25 تقريرًا مختلفًا تتبع نفس النوع من المجالات مثل هذا القاسم المشترك. لذلك ليس لدينا تقرير عن PCI أو HIPAA أو SOX ، لدينا تقارير تفيد بأنهم ، مرة أخرى ، يواجهون هذا القاسم المشترك. وبالتالي ، لا يهم حقًا المتطلبات التنظيمية التي تحاول الوفاء بها ، وفي معظم الحالات ستكون قادرًا على الإجابة عن أي سؤال يطرحه عليك هذا المراجع. وسيقولون لك من وماذا ومتى وأين كل معاملة. أنت تعرف ، المستخدم ، وقت حدوث المعاملة ، بيان SQL نفسه ، التطبيق الذي أتت منه ، كل تلك الأشياء الجيدة ، ومن ثم يمكنك أيضًا أتمتة تسليم هذه المعلومات إلى التقارير.
ثم ، مرة أخرى ، بمجرد أن تتخطى ذلك وقد قدمت ذلك إلى المدقق ، فإن السؤال التالي سيكون إثبات ذلك. وعندما أقول أثبت ذلك ، أقصد إثبات أن مسار التدقيق نفسه شيء يمكننا الوثوق به. والطريقة التي نقوم بها في أداتنا هي أن لدينا قيم تجزئة وقيم CRC ترتبط مباشرة بالأحداث نفسها داخل مسار التدقيق. وهكذا فإن الفكرة هي أنه إذا خرج شخص ما وحذف سجلًا أو إذا خرج شخص ما وقام بإزالة أو إضافة شيء إلى مسار التدقيق أو تغيير شيء ما في مسار المراجعة نفسه ، يمكننا أن نثبت أن هذه البيانات ، وسلامة البيانات نفسها ، قد انتهكت. وهكذا 99.9 في المائة من الوقت إذا كنت قد أغلقت قاعدة بيانات درب التدقيق الخاصة بنا ، فلن تواجه هذه المشكلة لأننا عندما نقوم بتشغيل هذا التحقق من السلامة ، فإننا نثبت للمراجع أن البيانات نفسها لم يتم إغلاقها تم تغييرها وحذفها أو إضافتها منذ الكتابة الأصلية من خدمة الإدارة نفسها.
لذلك هذا نوع من النظرة العامة للأنواع النموذجية من الأسئلة التي سيتم طرحها. الآن ، تسمى الأداة التي يتعين علينا معالجتها كثيرًا من ذلك ، مدير التوافق في SQL وهي تقوم بكل هذه الأشياء من حيث تتبع المعاملات ، ومن ، وماذا ، ومتى ، وأين ، من المعاملات ، أن تكون قادرة على القيام بذلك في عدد المناطق المختلفة كذلك. عمليات تسجيل الدخول ، عمليات تسجيل الدخول الفاشلة ، تغييرات المخطط ، الوصول الواضح إلى البيانات ، تحديد النشاط ، كل تلك الأشياء التي تحدث داخل مشغل قاعدة البيانات. ونحن أيضًا قادرون على تنبيه المستخدمين بظروف محددة دقيقة للغاية ، إذا لزم الأمر. على سبيل المثال ، يقوم شخص ما بالخروج وعرض الجدول الذي يحتوي على جميع أرقام بطاقات الائتمان الخاصة بي بالفعل. إنهم لا يغيرون البيانات ، بل يبحثون عنها فقط. في هذه الحالة ، يمكنني التنبيه ، ويمكنني أن أعلم الأشخاص أن هذا يحدث ، وليس بعد ست ساعات عندما نقوم بتفكيك السجلات ولكن في الوقت الفعلي. إنه في الأساس ما دام الأمر يتطلب منا معالجة تلك المعاملة من خلال خدمة إدارة.
كما ذكرت من قبل ، لقد رأينا ذلك مستخدمًا في مجموعة متنوعة من المتطلبات التنظيمية المختلفة ، وهو ليس كذلك - كما تعلمون ، أي شرط تنظيمي ، مرة أخرى ، طالما أن القواسم المشتركة ، لديك بيانات حساسة في SQL Server قاعدة البيانات ، هذه هي الأداة التي من شأنها أن تساعد في هذا النوع من الحالات. بالنسبة إلى التقارير الـ 25 التي تم إنشاؤها ، فإن الحقيقة الآن هي أنه يمكننا جعل هذه الأداة جيدة للمراجع والإجابة على كل سؤال يطرحونه ، لكن DBAs هي التي يجب أن تنجح. لذلك هناك أيضًا هذا التفكير ، كما تعلمون جيدًا ، من منظور الصيانة ، علينا التأكد من أن SQL تعمل بالطريقة التي نريدها. يجب علينا أيضًا أن نكون قادرين على الدخول وإلقاء نظرة على الأشياء التي ستكون قادرة على الخروج والنظر إلى أجزاء أخرى من المعلومات ، كما تعلمون ، بقدر ما أرشفة البيانات وأتمتة ذلك والنفقات العامة نفسه من المنتج. تلك هي الأشياء التي نراعيها بوضوح.
الذي يطرح العمارة نفسها. لذلك على الجانب الأيمن من الشاشة ، لدينا مثيلات SQL التي نديرها ، كل شيء بدءًا من عام 2000 حتى عام 2014 ، والاستعداد لإصدار إصدار لعام 2016. وأكبر الوجبات الجاهزة في هذه الشاشة هي أن الإدارة الخادم نفسه يفعل كل رفع الأحمال الثقيلة. نحن فقط نجمع البيانات ، باستخدام واجهة برمجة تطبيقات التتبع ، المضمنة مع SQL Server. تتدفق هذه المعلومات إلى خادم الإدارة الخاص بنا. يقوم خادم الإدارة نفسه بتحديد ما إذا كانت هناك أي أحداث مرتبطة بأي نوع من المعاملات التي لا نريدها ، وإرسال التنبيهات ، وأنواع الأشياء هذه ، ثم نشر البيانات داخل مستودع. من هناك يمكننا تشغيل التقارير ، سنكون قادرين على الخروج ورؤية هذه المعلومات في التقارير أو حتى داخل وحدة التحكم في التطبيق.
لذا فإن ما سأفعله هو أن أقودنا بسرعة ، وأريد فقط أن أشير إلى شيء واحد سريع قبل أن ننتقل إلى المنتج ، هناك رابط على الموقع الآن ، أو في العرض التقديمي ، سينقلك ذلك إلى هذه الأداة المجانية التي ذكرتها سابقًا. هذه الأداة المجانية ، كما قلت ، ستخرج وتنظر إلى قاعدة بيانات وتحاول العثور على المناطق التي تبدو مثل البيانات الحساسة أو أرقام الضمان الاجتماعي أو أرقام بطاقات الائتمان ، بناءً على أسماء الأعمدة أو الجداول ، أو استنادًا إلى الطريقة التي يبدو بها تنسيق البيانات ، ويمكنك تخصيص ذلك أيضًا ، وذلك فقط لتوضيح ذلك.
الآن ، في حالتنا ، دعني أتقدم وشارك شاشتي ، أعطني ثانية واحدة هنا. حسنًا ، وهكذا ، ما أردت أن آخذك إليه أولاً هو أنني أريد أن آخذك إلى تطبيق Compliance Manager نفسه وسأقوم بالبحث في هذا بسرعة كبيرة. ولكن هذا هو التطبيق ويمكنك أن ترى أن لديّ بضع قواعد بيانات هنا ، وسأوضح لك فقط مدى سهولة الدخول وأخبرك بما تبحث عنه للتدقيق. من وجهة نظر تغييرات المخطط ، تغييرات الأمان ، الأنشطة الإدارية ، DML ، حدد ، لدينا كل تلك الخيارات المتاحة لنا ، يمكننا أيضًا تصفية ذلك. ويعود ذلك إلى أفضل ممارسة تتمثل في القدرة على القول: "أنا حقًا أحتاج إلى هذا الجدول فقط لأنه يحتوي على أرقام بطاقات الائتمان الخاصة بي. لا أحتاج إلى الجداول الأخرى التي تحتوي على معلومات المنتج ، كل تلك الأشياء الأخرى التي لا تتعلق بمستوى الامتثال الذي أحاول الوفاء به. "
لدينا أيضًا القدرة على التقاط البيانات وإظهارها من حيث قيم الحقول التي تتغير. في الكثير من الأدوات ، سيكون لديك شيء يمنحك القدرة على التقاط بيان SQL ، وإظهار المستخدم ، وإظهار التطبيق ، والوقت والتاريخ ، وكل هذه الأشياء الجيدة. لكن في بعض الحالات ، لن توفر لك عبارة SQL نفسها معلومات كافية لتتمكن من إخبارك بقيمة الحقل قبل حدوث التغيير بالإضافة إلى قيمة الحقل بعد حدوث التغيير. وفي بعض الحالات تحتاج إلى ذلك. قد أرغب في تتبع ، على سبيل المثال ، معلومات جرعة الطبيب للعقاقير الطبية. لقد انتقلت من 50 ملجم إلى 80 ملجم إلى 120 ملجم ، وسأكون قادراً على تتبع ذلك باستخدام ما قبل وبعد.
الأعمدة الحساسة هي شيء آخر نواجهه كثيرًا ، على سبيل المثال ، مع توافق PCI. في الحالة هنا ، لديك بيانات حساسة للغاية بطبيعتها ، فبمجرد النظر إلى تلك المعلومات فقط ، لا يتعين عليّ تغييرها أو حذفها أو إضافتها ، يمكن أن أتسبب في ضرر لا يمكن إصلاحه. أرقام بطاقات الائتمان وأرقام الضمان الاجتماعي وكل ذلك النوع من الأشياء الجيدة يمكننا تحديد الأعمدة الحساسة وربط التنبيهات بها. إذا خرج أي شخص ونظر إلى تلك المعلومات ، فسنكون قادرين ، من الواضح ، على تنبيه البريد الإلكتروني وإرساله أو إنشاء فخ SNMP وتلك الأنواع من الأشياء.
الآن في بعض الحالات ، ستواجه موقفًا قد يكون لديك فيه استثناء. وما أعنيه بذلك ، لديك موقف حيث لديك مستخدم لديه حساب مستخدم قد يكون مرتبطًا بنوع من مهام ETL التي تعمل في منتصف الليل. إنها عملية موثقة وأنا ببساطة لست بحاجة إلى تضمين معلومات المعاملات الخاصة بحساب المستخدم هذا. في هذه الحالة سيكون لدينا مستخدم موثوق. وبعد ذلك في حالات أخرى ، نستخدم ميزة "تدقيق المستخدم المميز" ، والتي هي أساسًا ، إذا كان لدي ، فلنقل على سبيل المثال ، تطبيق ما ، ويقوم التطبيق بالفعل بتدقيق ، للمستخدمين الذين يمرون بالتطبيق ، عظيم ، لدي بالفعل شيء للإشارة إليه فيما يتعلق بالتدقيق. ولكن بالنسبة للأشياء المرتبطة ، على سبيل المثال ، المستخدمين المميزين ، فإن اللاعبين الذين يمكنهم الذهاب إلى استوديو إدارة SQL Server للنظر في البيانات الموجودة في قاعدة البيانات ، لن يؤدي ذلك إلى قطعها. وهذا هو المكان الذي يمكننا فيه تحديد هوية مستخدمينا المميزين ، إما من خلال عضوية الدور ، أو من خلال حسابات Active Directory ، أو المجموعات ، أو حساباتهم المصادق عليها من SQL ، حيث سنكون قادرين على اختيار جميع هذه الأنواع المختلفة من الخيارات و ثم من هناك تأكد من أنه بالنسبة لأولئك المستخدمين المميزين ، يمكننا تحديد أنواع المعاملات التي نرغب في تدقيقها.
هذه هي جميع أنواع الخيارات المختلفة التي لديك ولن أخوض في جميع أنواع أنواع الأشياء المختلفة بناءً على ضيق الوقت هنا لهذا العرض التقديمي. لكنني أريد أن أوضح لك كيف يمكننا عرض البيانات وأعتقد أنك ستعجبك طريقة عمل هذا لأن هناك طريقتين يمكننا القيام به. يمكنني القيام بذلك بشكل تفاعلي وهكذا عندما نتحدث إلى أشخاص مهتمين بهذه الأداة ربما لضوابطهم الداخلية ، يريدون فقط معرفة ما يجري في كثير من الحالات. ليس لديهم بالضرورة مدققون قادمون إلى الموقع. إنهم يريدون فقط أن يعرفوا ، "مهلا ، أريد أن أتبع هذا الجدول ونرى من الذي لمسته في الأسبوع الماضي أو الشهر الماضي أو ما قد يكون." في هذه الحالة ، يمكنك أن ترى مدى سرعة قيامنا بذلك.
في حالة قاعدة بيانات الرعاية الصحية ، لدي جدول يسمى سجلات المرضى. وفي ذلك الجدول ، إذا كنت سأقوم بتجميع الأشياء حسب الأشياء ، فقد يبدأ سريعا في تضييق المكان الذي نبحث عنه. ربما أرغب في التجميع حسب الفئة ومن ثم ربما حسب الحدث. وعندما أفعل ذلك ، يمكنك معرفة مدى سرعة ظهور ذلك ، وهناك جدول سجلات المرضى الخاص بي هناك. وأثناء قيامي بالبحث ، يمكننا الآن رؤية نشاط DML ، يمكننا أن نرى أن لدينا ألف إدراج من DML ، وعندما نفتح أحد هذه المعاملات ، يمكننا أن نرى المعلومات ذات الصلة. من ، ماذا ، متى ، مكان المعاملة ، بيان SQL ، من الواضح ، التطبيق الفعلي الذي يتم استخدامه لتنفيذ المعاملة والحساب والوقت والتاريخ.
الآن إذا نظرت إلى علامة التبويب التالية هنا ، علامة التبويب "تفاصيل" ، يعود هذا إلى السؤال الثالث الذي نتحدث عنه ، لإثبات أن سلامة البيانات لم تنتهك. لذلك ، في الأساس ، كل حدث ، لدينا حساب سري لقيمة التجزئة الخاصة بنا ، وهذا سيعاد إلى الوراء عندما نتحقق من سلامتنا. على سبيل المثال ، إذا كنت سأذهب إلى الأداة ، اذهب إلى قائمة التدقيق ، وكنت أخرج وأقول ، دعنا نتحقق من سلامة المستودع ، يمكنني الإشارة إلى قاعدة البيانات حيث يوجد مسار التدقيق ، فسوف يتم تشغيله من خلال التحقق من التكامل ، تطابق قيم التجزئة وقيم CRC مع الأحداث الفعلية ، وسوف يخبرنا أنه لم يتم العثور على أية مشكلات. بمعنى آخر ، لم يتم العبث بالبيانات الموجودة في مسار التدقيق حيث تمت كتابتها في الأصل بواسطة خدمة الإدارة. من الواضح أن هذه طريقة واحدة للتفاعل مع البيانات. الطريقة الأخرى ستكون من خلال التقارير نفسها. ولذا سأقدم لك مثالًا واحدًا سريعًا على التقرير.
ومرة أخرى ، لا تعد هذه التقارير ، بالطريقة التي توصلنا إليها ، خاصة بأي نوع من المعايير مثل PCI أو HIPAA أو SOX أو أي شيء من هذا القبيل. مرة أخرى ، إنه القاسم المشترك لما نقوم به ، وفي هذه الحالة ، إذا عدنا إلى مثال سجلات المرضى ، فسنكون قادرين على الخروج ونقول ، في حالتنا هنا ، نحن نبحث في قاعدة بيانات الرعاية الصحية وفي حالتنا نريد التركيز بشكل خاص على هذا الجدول الذي نعرفه يحتوي على معلومات خاصة ، في حالتنا ، تتعلق بمرضانا. وهكذا ، دعني أرى ما إذا كان بإمكاني كتابته هنا ، وسوف نمضي قدمًا ونشغل هذا التقرير. وسنرى حينئذٍ ، من الواضح ، جميع البيانات ذات الصلة بهذا الكائن. وفي حالتنا ، تظهر لنا فترة شهر من الوقت. لكن يمكن أن نعود إلى ستة أشهر أو سنة ، ولكن منذ فترة طويلة نحتفظ بها البيانات.
هذه هي الطرق التي يمكنك من خلالها إثبات ، إن صح التعبير ، للمدقق أنك تتابع ضوابطك. بمجرد تحديد ذلك ، من الواضح أنه أمر جيد فيما يتعلق بتمرير التدقيق الخاص بك والقدرة على إظهار أنك تتبع عناصر التحكم وتعمل كل شيء.
آخر ما يمكن الحديث عنه هو أنني أردت التوضيح في قسم الإدارة. هناك أيضًا عناصر تحكم من وجهة نظر داخل هذه الأداة نفسها تكون قادرة على تعيين عناصر تحكم لتتأكد من أنه إذا قام شخص ما بشيء لا يُفترض أن يفعله ، فيمكنني إطلاعه عليه. وسوف أعطيك بضعة أمثلة هناك. لدي حساب تسجيل دخول مرتبط بخدمة ما وتحتاج هذه الخدمة إلى أذونات مرتفعة للقيام بما تقوم به. ما لا أريده هو إدخال شخص ما واستخدام هذا الحساب في Management Studio ، ثم ، كما تعلم ، استخدامه للأشياء التي لم يكن الغرض منها. سيكون لدينا اثنين من المعايير هنا التي يمكننا تطبيقها. يمكنني أن أقول ، "انظر ، نحن مهتمون حقًا بهذا العمل ، على سبيل المثال ، من خلال تطبيق PeopleSoft ،" تمامًا كمثال ، حسناً؟
الآن بعد أن قمت بذلك ، ما أقوله هنا ، أشعر بالفضول لمعرفة أي معلومات تسجيل دخول مرتبطة بالحساب الذي أكون مستعدًا لتحديده ، إذا كان التطبيق قيد الاستخدام لتسجيل الدخول باستخدام هذا الحساب ليس برنامج PeopleSoft ، فسيكون ذلك بمثابة إنذار للإنذار. ومن الواضح أنه يتعين علينا تحديد اسم الحساب نفسه ، لذلك في حالتنا دعونا ندعو فقط هذا الحساب الخاص ، لحقيقة أنه متميز. الآن بمجرد قيامنا بذلك ، عندما نفعل هذا هنا ، سنكون قادرين بعد ذلك على تحديد ما نريد أن يحدث عندما يحدث ذلك ولكل نوع من أنواع الأحداث أو ، يجب أن أقول ، في حالة تأهب ، يمكنك لديك إشعار منفصل للشخص المسؤول عن هذا الجزء من البيانات.
على سبيل المثال ، إذا كانت المعلومات المتعلقة بالراتب قد تذهب إلى مدير الموارد البشرية. في هذه الحالة ، عند التعامل مع تطبيق PeopleSoft ، سيكون المسؤول عن هذا التطبيق. مهما كان الوضع. سأكون قادرًا على وضع عنوان بريدي الإلكتروني وتخصيص رسالة التنبيه الفعلية وكل هذا النوع من الأشياء الجيدة. مرة أخرى ، يعود هذا كله إلى القدرة على التأكد من أنه يمكنك إظهار أنك تتبع عناصر التحكم الخاصة بك وأن عناصر التحكم هذه تعمل بالطريقة التي تهدف إليها. من المنظور الأخير هنا ، فقط فيما يتعلق بالصيانة ، لدينا القدرة على أخذ هذه البيانات ووضعها في وضع عدم الاتصال. يمكنني أرشفة البيانات وأستطيع جدولتها وسنكون قادرين على القيام بهذه الأشياء بسهولة شديدة ، بمعنى أنك ستتمكن فعلاً ، ك DBA ، من استخدام هذه الأداة وإعدادها ونوع من ابتعد عنه ، ليس هناك الكثير من قبضة اليد التي ستحدث بمجرد إعدادها كما ينبغي. كما قلت ، فإن الجزء الأصعب في أي شيء من هذا ، في اعتقادي ، هو عدم إعداد ما تريد تدقيقه ، إنه يعرف ما تريد إعداده للتدقيق.
وكما قلت ، طبيعة الوحش مع التدقيق ، يجب عليك الاحتفاظ بالبيانات لمدة سبع سنوات ، لذلك من المنطقي التركيز فقط في تلك المناطق الحساسة في الطبيعة. ولكن إذا كنت ترغب في اتباع نهج جمع كل شيء ، يمكنك ذلك تمامًا ، فهو لا يعتبر أفضل ممارسة. لذلك من وجهة النظر هذه ، أود فقط أن أذكر الأشخاص بأنه إذا كان هذا أمرًا مثيرًا للاهتمام ، فيمكنك الانتقال إلى موقع الويب على IDERA.com وتنزيل نسخة تجريبية من هذا الأمر والتجول معه بنفسك. من ناحية الأداة المجانية التي تحدثنا عنها سابقًا ، حسنًا ، يمكنك تنزيلها واستخدامها إلى الأبد ، بغض النظر عما إذا كنت تستخدم منتج Compliance Manager. والشيء الممتع في أداة البحث عن الأعمدة هو أن النتائج التي توصلت إليها والتي توصلت إليها ، وأستطيع بالفعل أن أوضح أنه ، في اعتقادي ، أنك ستكون قادرًا على تصدير هذه البيانات إلى الخارج ومن ثم يمكنك استيرادها إلى مدير التوافق كذلك. أنا لا أرى ذلك ، أعرف أنه هنا ، هناك. هذا مجرد مثال على ذلك. هذا هو المكان الذي تجد فيه البيانات الحساسة ذات الصلة.
الآن هذه الحالة التي خرجت بها وأنا بالفعل ، لقد ألقيت نظرة على كل شيء ، لكن لديك الكثير من الأشياء التي يمكننا البحث عنها. أرقام بطاقات الائتمان والعناوين والأسماء ، كل هذا النوع من الأشياء. وسنعمل على تحديد مكان وجوده في قاعدة البيانات ومن ثم يمكنك اتخاذ قرار بشأن ما إذا كنت تريد بالفعل مراجعة تلك المعلومات أم لا. ولكن من المؤكد أنها طريقة لجعل الأمر أسهل بالنسبة لك لتحديد نطاق التدقيق عند النظر في أداة مثل هذه.
أنا فقط سأمضي قدما وأغلق ذلك ، وسأمضي قدما ونعيده إلى إريك.
إريك كافاناغ: هذا عرض رائع. أنا أحب الطريقة التي تحصل بها حقا على التفاصيل الجريئة هناك وتبين لنا ما يجري. لأنه في نهاية اليوم ، هناك نظام ما يمكنه الوصول إلى بعض السجلات ، وسيقدم لك تقريراً ، وسيقوم هذا بإخبار قصتك ، سواء كان ذلك لمنظم أو مدقق أو شخص في فريقك ، لذلك من الجيد أنك تعلم أنك مستعد إذا ومتى ، أو متى ، ومتى ، يطرق هذا الشخص ، وبالطبع هذا هو الوضع غير السار الذي تحاول تجنبه. ولكن إذا حدث ذلك ، ومن المحتمل أن يحدث هذا في هذه الأيام ، فأنت تريد أن تتأكد من أنك قد انقسمت وتقاطع حرف T الخاص بك.
هناك سؤال جيد من أحد أعضاء الجمهور الذي أود أن أطرحه ربما عليك أولاً ، Bullett ، ثم إذا كان أحد المقدمين يريد التعليق عليه ، فلا تتردد. ثم ربما يطرح ديز سؤالا وروبين. لذا فإن السؤال المطروح هو ، هل من العدل أن نقول إن القيام بكل هذه الأشياء التي ذكرتها تحتاج إلى البدء في جهد لتصنيف البيانات على المستوى الابتدائي؟ تحتاج إلى معرفة بياناتك عندما تظهر كأصل محتمل له قيمة وتفعل شيئًا حيال ذلك. أعتقد أنك توافق ، بوليت ، أليس كذلك؟
بوليت مانالي: نعم ، بالتأكيد . أعني ، عليك أن تعرف بياناتك. وأدرك أنني أدرك أن هناك الكثير من التطبيقات الموجودة وهناك الكثير من الأشياء المختلفة التي حصلت على أجزاء متحركة في مؤسستك. أداة البحث في العمود مفيدة للغاية من حيث الانتقال خطوة نحو اتجاه فهم تلك البيانات بشكل أفضل. لكن نعم ، إنه مهم للغاية. أعني ، لديك خيار استخدام نهج خراطيم الحريق ومراجعة كل شيء ، ولكن الأمر أكثر صعوبة بكثير من الناحية المنطقية عندما تتحدث عن الاضطرار إلى تخزين تلك البيانات والإبلاغ عنها. وبعد ذلك لا تزال بحاجة إلى معرفة مكان وجود تلك البيانات لأنه عندما تقوم بتشغيل تقاريرك ، ستحتاج إلى عرض مراجعي الحسابات على هذه المعلومات أيضًا. لذلك أعتقد ، كما قلت ، أن التحدي الأكبر عندما أتحدث إلى مسؤولي قواعد البيانات هو معرفة ، نعم.
إريك كافاناغ: نعم ، ولكن ربما روبن سنقدم لك سريعًا حقيقيًا. يبدو لي أن قاعدة 80/20 تنطبق هنا ، أليس كذلك؟ ربما لن تجد كل نظام سجل مهم إذا كنت في مؤسسة متوسطة الحجم أو كبيرة ، ولكن إذا كنت تركز على - مثلما يقترح Bullett هنا - PeopleSoft على سبيل المثال ، أو أنظمة أخرى للتسجيل غالبًا في المشروع ، حيث تركز 80 بالمائة من مجهودك ، ثم 20 بالمائة على الأنظمة الأخرى التي قد تكون موجودة في مكان ما ، أليس كذلك؟
روبن بلور: حسنًا ، أنا متأكد ، نعم. أقصد ، كما تعلمون ، أنني أعتقد أن المشكلة في هذه التكنولوجيا ، وأعتقد أنه من المحتمل أن يكون لديك تعليق عليها ، لكن المشكلة مع هذه التكنولوجيا هي ، كيف يمكنك تنفيذها؟ أقصد ، هناك بالتأكيد نقص في المعرفة ، دعنا نقول ، في معظم المنظمات حتى عدد قواعد البيانات الموجودة هناك. كما تعلمون ، هناك الكثير من النقص في المخزون ، دعنا نقول. كما تعلمون ، السؤال هو ، دعونا نتخيل أننا نبدأ في موقف لا يوجد فيه امتثال مُدار جيدًا بشكل خاص ، وكيف تأخذ هذه التكنولوجيا وتُحقن بها في البيئة ، وليس فقط ، كما تعلم ، التكنولوجيا شروط ، إعداد الأشياء ، ولكن مثل من يديرها ، من يحدد ماذا؟ كيف يمكنك البدء في تغيير موقع هذا الأمر إلى شيء حقيقي يقوم بعمله؟
بوليت مانالي: حسنًا ، هذا سؤال جيد. التحدي في كثير من الحالات هو أنه يجب عليك البدء في طرح الأسئلة في البداية. لقد واجهت العديد من الشركات حيث تعرف ، ربما تعرف أنها شركة خاصة ، وتم الاستحواذ عليها ، فهناك نوع أولي من النوع الأول من عثرة الطريق ، إذا كنت تريد تسميته. على سبيل المثال ، إذا أصبحت للتو شركة تجارية عامة بسبب عملية الاستحواذ ، فسيتعين علي العودة وربما معرفة بعض الأشياء.
وفي بعض الحالات ، نتحدث إلى منظمات ، كما تعلمون ، على الرغم من كونها خاصة ، إلا أنها تتبع قواعد امتثال SOX ، لأنه ببساطة في حالة رغبتها في الحصول عليها ، فإنها تعلم أنها يجب أن تكون في حالة امتثال. أنت بالتأكيد لا تريد أن تأخذ مقاربة عادل ، "لا داعي للقلق بشأن هذا الآن." أي نوع من الامتثال التنظيمي مثل PCI أو SOX أو أي شيء آخر ، كنت تريد أن تجعل الاستثمار في إجراء البحوث أو فهم أين توجد هذه المعلومات الحساسة ، وإلا فقد تجد نفسك تتعامل مع بعض الغرامات الضخمة. ومن الأفضل كثيراً استثمار ذلك الوقت ، كما تعلم ، في العثور على تلك البيانات والقدرة على الإبلاغ عنها وإظهار عناصر التحكم التي تعمل.
نعم ، فيما يتعلق بإعداده ، كما قلت ، فإن أول شيء أود أن أوصي به الأشخاص الذين يستعدون لمواجهة التدقيق ، هو مجرد الخروج وإجراء فحص سريع لقاعدة البيانات ، ومعرفة ذلك ، تعرف ، في أفضل جهودها ، محاولة تحديد مكان وجود هذه البيانات الحساسة. ويتمثل النهج الآخر في البدء بشبكة أكبر من حيث نطاق التدقيق ، ثم كبح ببطء طريقك بمجرد اكتشاف نوع من المجالات داخل النظام التي تتعلق بـ معلومات حساسة. ولكني أتمنى أن أخبرك أن هناك إجابة سهلة على هذا السؤال. من المحتمل أن تختلف بعض الشيء من مؤسسة إلى أخرى ونوع الامتثال ، وكيف تعرف ، حقًا ، ما هو هيكلها داخل تطبيقاتها وعدد التطبيقات التي لديها ، والعديد منها ، يمكن أن يكون بعضها تطبيقات مكتوبة مخصصة ، لذلك سوف يعتمد حقًا على الموقف في كثير من الحالات.
إريك كافاناغ: تابع ، Dez ، أنا متأكد من أن لديك سؤالًا أو سؤالين.
ديز بلانشفيلد: أنا حريص على إلقاء نظرة ثاقبة على ملاحظاتك حول التأثير على المنظمات من وجهة نظر الأشخاص ، في الواقع. أعتقد أن أحد المجالات التي أرى فيها أكبر قيمة لهذا الحل بالتحديد هو أنه عندما يستيقظ الناس في الصباح ويذهبون للعمل على مختلف مستويات المنظمة ، فإنهم يستيقظون مع سلسلة من المسئوليات أو سلسلة من المسؤوليات. أن لديهم للتعامل معها. وأنا حريص على إلقاء نظرة ثاقبة على ما تراه هناك وبدون أنواع الأدوات التي تتحدث عنها. والسياق الذي أتحدث عنه هنا هو من رئيس مجلس الإدارة إلى الرئيس التنفيذي والمدير التنفيذي للمعلومات ومجموعة C. والآن لدينا كبار مسؤولي المخاطر ، الذين يفكرون أكثر في أنواع الأشياء التي نتحدث عنها هنا في الامتثال والحوكمة ، وبعد ذلك أصبح لدينا الآن رؤساء لعب الأدوار الجدد ، كبير مسؤولي البيانات ، من ، كما تعلمون ، حتى أكثر قلقا حيال ذلك.
وعلى جانب كل منهم ، حول مدير المعلومات ، لدينا مدراء لتكنولوجيا المعلومات على جانب واحد ، ونعرفكم ، خيوط تقنية ومن ثم عملاء قاعدة بيانات. وفي المجال التشغيلي ، لدينا مديري التطوير ويؤدي التطوير ثم التطويرات الفردية ، كما أنهم يعودون أيضًا إلى طبقة إدارة قاعدة البيانات. ما الذي تراه حول رد فعل كل جزء من هذه الأجزاء المختلفة من العمل على تحدي الامتثال والتقارير التنظيمية ونهجها في ذلك؟ هل ترى أن الناس يأتون إلى هذا بحماس ويستطيعون رؤية الفائدة من ذلك ، أم أنك ترى أنهم يجرون أقدامهم على مضض إلى هذا الشيء وفعلًا ، كما تعلمون ، يفعلون ذلك من أجل وضع علامة في المربع؟ وما أنواع الاستجابات التي تراها بمجرد رؤية البرنامج الخاص بك؟
بوليت مانالي: نعم ، هذا سؤال جيد. أود أن أقول إن هذا المنتج ، مبيعات هذا المنتج ، مدفوع في الغالب من قبل شخص في المقعد الساخن ، إذا كان ذلك منطقيًا. في معظم الحالات ، يكون DBA ، ومن وجهة نظرنا ، بمعنى آخر ، يعلمون أن هناك مراجعة قادمة وأنهم سيكونون مسؤولين ، لأنهم DBAs ، ليكونوا قادرين على توفير المعلومات التي سيقوم المراجع بزيارتها. يطلب. يمكنهم القيام بذلك عن طريق كتابة التقارير الخاصة بهم وإنشاء آثار مخصصة خاصة بهم وجميع هذه الأنواع من الأشياء. الحقيقة هي أنهم لا يريدون فعل ذلك. في معظم الحالات ، لا تتطلع DBAs حقًا إلى إجراء تلك المحادثات مع المدقق لتبدأ. كما تعلمون ، أود أن أخبرك أنه بإمكاننا الاتصال بشركة ما والقول ، "أهلاً ، إنها أداة رائعة وستحبها" ، ونعرض عليهم جميع الميزات وسيشترونها.
الحقيقة هي أنهم عادةً ما لن ينظروا إلى هذه الأداة إلا إذا كانوا سيواجهون بالفعل مراجعة أو الجانب الآخر من تلك العملة هو أنهم خضعوا لتدقيق وفشلوا فشلاً ذريعًا والآن هم طلب منهم الحصول على بعض المساعدة أو سيتم تغريمهم. أود أن أقول أنه من حيث ، بشكل عام ، عندما تعرفون هذا المنتج على الناس ، فإنهم بالتأكيد يرون قيمة ذلك لأنه يوفر عليهم الكثير من الوقت فيما يتعلق بالحاجة إلى معرفة ما يريدون الإبلاغ عنه ، تلك الأنواع من الأشياء. كل هذه التقارير مدمجة بالفعل ، آليات التنبيه موجودة ، ومن ثم مع السؤال الثالث ، في كثير من الحالات ، يمكن أن يكون تحديا. نظرًا لأنني أستطيع عرض التقارير طوال اليوم ، لكن ما لم تتمكن من إثبات أن هذه التقارير صالحة فعليًا ، كما تعلمون ، فهذا اقتراح أكثر صرامة بالنسبة لي بصفتي DBA حتى أتمكن من إظهار ذلك. لكننا توصلنا إلى التقنية وأسلوب التجزئة وجميع هذه الأشياء لتكون قادراً على المساعدة في التأكد من أن البيانات في سلامتها من مسارات التدقيق يتم الاحتفاظ بها.
وهذه هي الأشياء ، تلك هي ملاحظاتي فيما يتعلق بمعظم الأشخاص الذين نتحدث معهم. أنت تعرف ، بالتأكيد ، في منظمات مختلفة ، تعرف ، ستسمع عنها ، تعرف ، استهدفت ، على سبيل المثال ، خرق البيانات ، وأعرف ، أعني ، عندما تسمع المنظمات الأخرى الغرامات وتلك أنواع الأشياء التي يبدأها الناس ، تثير الحاجب ، لذلك ، نأمل أن يجيب على السؤال.
ديز بلانشفيلد: نعم ، بالتأكيد. أستطيع أن أتخيل أن بعض DBAs عندما يرون أخيرًا ما يمكن القيام به من خلال الأداة يدركون تمامًا أنهم استعادوا لياليهم وعطلات نهاية الأسبوع أيضًا. تخفيضات الوقت والتكلفة وأشياء أخرى أراها عندما يتم تطبيق الأدوات المناسبة على هذه المشكلة برمتها ، وهذا هو ثلاثة أسابيع جلست مع أحد البنوك هنا في أستراليا. إنهم بنك عالمي ، ثلاثة بنوك كبرى ، إنه ضخم. وكان لديهم مشروع حيث يتعين عليهم الإبلاغ عن امتثالهم لإدارة الثروات والمخاطر بشكل خاص ، وكانوا يبحثون عن 60 أسبوعًا من العمل لبضع مئات من البشر. وعندما تم عرضهم على أمثال لأداة مثلك يمكنها فقط أتمتة العملية ، فإن هذا الشعور ، فإن المظهر على وجوههم عندما أدركوا أنهم لم يضطروا لقضاء X عدد الأسابيع مع قيام مئات الأشخاص بإجراء عملية يدوية كان نوع من مثل أنهم وجدوا الله. لكن الشيء الصعب هنا كان كيفية وضعه في الواقع ، كما أشار الدكتور روبن بلور ، كما تعلمون ، هذا شيء أصبح مزيجًا من التحول السلوكي والثقافي. على المستويات التي تتعامل معها ومن يتعامل معها مباشرة على مستوى التطبيق ، ما نوع التغيير الذي تراه عندما يبدأون في اعتماد أداة للقيام بنوع من التقارير والتدقيق والضوابط التي يمكنك تقديمها ، كما تعارض ما قد فعلوه يدويا؟ ما الذي يبدو عليه الحال عند تطبيقه فعليًا؟
Bullett Manale: هل تسأل ، ما هو الفرق من حيث التعامل مع هذه الأداة يدويًا مقابل استخدام هذه الأداة؟ هل هذا هو السؤال؟
ديز بلانشفيلد: حسنًا ، على وجه التحديد تأثير العمل. لذلك ، على سبيل المثال ، إذا كنا نحاول تقديم الامتثال في عملية يدوية ، كما تعلم ، فإننا نأخذ وقتًا طويلاً دائمًا مع الكثير من البشر. ولكني أعتقد أنه ، لوضع سياق حول السؤال ، كما تعلمون ، هل نتحدث عن شخص واحد يقوم بتشغيل هذه الأداة ليحل محل 50 شخصًا محتملين ، وأن نكون قادرين على فعل نفس الشيء في الوقت الفعلي أو في ساعات مقابل أشهر؟ هل هذا النوع من ، ما الذي يتحول إليه عمومًا؟
بوليت مانالي: حسنًا ، أعني أن الأمر يتعلق بأمرين. واحد هو القدرة على الإجابة على هذه الأسئلة. بعض هذه الأشياء لن يتم بسهولة. لذا ، نعم ، قد يستغرق الكثير من الوقت الوقت الذي يستغرقه القيام بالأشياء المحلية ، لكتابة التقارير بنفسك ، ولإعداد الآثار أو الأحداث الموسعة لجمع البيانات يدويًا. حقًا ، سأعطيك بعضًا ، أعني ، أن هذا لا يتعلق حقًا بقواعد البيانات بشكل عام ، لكن مثلما حدث مباشرة بعد حدوث Enron وأصبحت SOX سائدة ، وكنت في واحدة من أكبر شركات النفط في هيوستن ، وقد عدنا إلى ، أعتقد أنه كان مثل 25 في المئة من تكاليف أعمالنا كانت مرتبطة بامتثال SOX.
الآن كان ذلك بعد ذلك وكان ذلك نوعًا من الخطوة الأولى الأولية في SOX ، لكن الأمر ، كما قلت ، أنت تحصل على الكثير من الفوائد باستخدام هذه الأداة ، بمعنى أنها لا تتطلب الكثير من الناس للقيام بذلك والكثير من أنواع مختلفة من الناس للقيام بذلك. ومثلما قلت ، فإن DBA ليس هو الشخص الذي يتطلع حقًا إلى إجراء تلك المحادثات مع المدققين. لذلك في كثير من الحالات ، سنرى أن DBA يمكنها إلغاء تحميل هذا وتكون قادرًا على تقديم التقرير الذي يتم ربطه بمراجع الحسابات ويمكنه إزالة نفسه تمامًا من المعادلة بدلاً من الاضطرار إلى المشاركة. لذلك ، كما تعلمون ، يعد هذا مدخرًا كبيرًا أيضًا من حيث الموارد عندما يمكنك القيام بذلك.
ديز بلانشفيلد: أنت تتحدث عن تخفيضات هائلة في التكاليف ، أليس كذلك؟ لا تقوم المنظمات فقط بإزالة المخاطر والنفقات العامة لها ، لكنني أقصد بشكل أساسي أنك تتحدث عن تخفيض كبير في التكلفة ، أ) من الناحية التشغيلية وأيضًا ب) في حقيقة أنك تعرف بالفعل ما إذا كان بإمكانها توفير الإبلاغ عن الالتزام بالوقت الذي يشير إلى أن هناك انخفاضًا كبيرًا في مخاطر انتهاك البيانات أو بعض الغرامات أو التأثيرات القانونية لعدم امتثالها ، أليس كذلك؟
بوليت مانالي: نعم ، بالتأكيد . أعني ، لعدم امتثالي لكل أنواع الأشياء السيئة التي تحدث. يمكنهم استخدام هذه الأداة وسيكون ذلك رائعًا أو لا يفعلون وسيكتشفون مدى سوءها حقًا. نعم ، إنها ليست فقط الأداة الواضحة ، يمكنك أيضًا إجراء عمليات الفحص وكل شيء دون استخدام أداة كهذه. كما قلت ، سيستغرق الأمر الكثير من الوقت والتكلفة.
ديز بلانشفيلد: هذا رائع. إريك ، سأعود إليك لأنني أعتقد أن الوجبات الجاهزة بالنسبة لي هي ، كما تعلمون ، نوع السوق رائع. ولكن أيضًا ، في الأساس ، الشيء الذي يستحق ثقله بالذهب على أساس أن القدرة على تجنب التأثير التجاري لإحدى المشكلات التي تحدث أو القدرة على تقليل الوقت المستغرق للإبلاغ عن الامتثال وإدارته يجعله ، كما تعلم ، أداة يدفع عن نفسه على الفور من أصوات الأشياء.
إريك كافانا: هذا صحيح تمامًا. حسنا ، شكرا جزيلا على وقتك اليوم ، Bullett. شكراً لكم جميعاً على وقتك واهتمامكم ، وروبن و ديز. عرض رائع آخر اليوم. شكرًا لأصدقائنا في IDERA على إتاحة الفرصة لنا لتجلب لك هذا المحتوى مجانًا. سنقوم بأرشفة هذا البث الشبكي للعرض لاحقًا. الأرشيف عادة ما يكون في غضون يوم واحد. ودعنا نعرف رأيك في موقعنا الجديد ، insideanalysis.com. تصميم جديد بالكامل ، شكل ومظهر جديد تمامًا. يسعدنا سماع ملاحظاتك ومع ذلك سأقدم لك وداعًا يا أشخاص. يمكنك البريد الالكتروني لي. وإلا فإننا سنلحق بك الأسبوع المقبل. لدينا سبع عمليات بث عبر الإنترنت في الأسابيع الخمسة المقبلة أو شيء من هذا القبيل. سنكون مشغولين وسنكون في مؤتمر ستراتا وقمة محلل آي بي إم في نيويورك في وقت لاحق من هذا الشهر. لذا إذا كنت هناك ، توقف وقل مرحباً. اعتن ، الناس. مع السلامة.