Особље Тецхопедиа, 14. септембра 2016
Извлачење: Домаћин Ериц Каванагх разговара о ревизији базе података и усклађености с аналитичарима Робин Блоор и Дез Бланцхфиелд, као и Буллетт Манале из ИДЕРА-е у овој епизоди Хот Тецхнологиес.
Тренутно нисте пријављени. Пријавите се или пријавите да бисте видели видео.
Ериц Каванагх: Даме и господо, здраво и добродошли натраг у Хот Тецхнологиес! Да, заиста, 2016. У трећој смо години од ове емисије, то су врло узбудљиве ствари. Ми смо се љуљали и котрљали ове године. Ово је Ериц Каванагх, твој домаћин. Данашња тема - ово је сјајна тема, има пуно примена у бројним индустријама, искрено - „Ко, шта, где и како: зашто желите да знате“. Да, заиста, разговараћемо о свим тим забавним стварима. Постоји слајд о вашем заиста, погодите ме на Твиттеру @ериц_каванагх. Покушавам да поновим твитовање свих спомињања и поновно твитовање свега што ми неко пошаље. Иначе, нека буде тако.
Вруће је, да! Цео овај схов дизајниран је тако да помогне организацијама и појединцима да разумеју одређене врсте технологије. Овде смо осмислили целокупни програм Хот Хот Тецхнологиес као начин дефинисања одређене врсте софтвера или одређеног тренда или одређене технологије. Разлог је зато што, искрено, у софтверском свету често добијате ове маркетиншке појмове који вам се доводе у везу, а понекад могу и искрено поништити појмове које су намеравали да опишу.
У овој емисији стварно покушавамо да вам помогнемо да схватите шта је одређена врста технологије, како она функционише, када можете да је користите, када можда не би требало да је користите, и пружићемо вам што више детаља. Данас ћемо имати три излагача: нашег сопственог Робин Блоор-а, главног аналитичара из Блоор Гроуп; наш научник који долази из Сиднеја у Аустралији са друге стране планете, Дез Бланцхфиелд, и један од наших најдражих гостију Буллетт Манале, директор инжењерског продаје у ИДЕРА.
Ја ћу само рећи пар ствари овде, разумевајући ко ради шта са којим делом података, то је некако попут управљања, зар не? Ако размишљате о свим регулативама око индустрије, попут здравствене заштите и финансијских услуга, на тим доменима, те ствари су невероватно важне. Морате знати ко је додирнуо информацију, ко је нешто променио, коме приступио, ко је учитао, на пример. Која је генерација, која је провидност ових података? Можете бити сигурни да ће та питања и даље остати истакнута у годинама које долазе из разних разлога. Не само ради поштивања закона, иако ХИПАА, Сарбанес-Оклеи и Додд-Франк, и сви ти прописи су веома значајни, већ и зато да у вашем послу схватите ко шта ради, где, када, зашто и како. Ово је добра ствар, ми ћемо обратити пажњу.
Само напред, однеси то, Робин Блоор.
Робин Блоор: У реду, хвала на уводу, Ериц. Мислим, ово подручје управљања је, мислим, управљање у ИТ-у није била ријеч коју сте чули тек након 2000, мислим. Дошло је пре свега зато што, мислим, у сваком случају, настало је пре свега зато што се дешава законодавство о усаглашавању. Нарочито ХИПАА и Сарбанес-Оклеи. Заправо је пуно тога. Стога су организације схватиле да морају имати скуп правила и скуп поступака, јер је то законом требало учинити. Много пре тога, посебно у банкарском сектору, постојале су разне иницијативе којих сте се морали придржавати у зависности од врсте банке, а нарочито од међународних банкара. Читав Базелски компатибилан начин започео је, прије него што је тај скуп иницијатива иза 2000. године. Све се заправо своди на управљање. Мислио сам да ћу разговарати о теми управљања као уводу у фокус пажње о томе ко добија податке.
Управљање подацима, некада сам се освртао око себе, мислим пре пет или шест година, осврнуо се на дефиниције и то уопште није било добро дефинисано. Постаје све јасније и јасније шта то заправо значи. Стварност ситуације била је да су у одређеним границама сви подаци заправо раније вођени, али за то не постоје формална правила. Постојала су посебна правила која су посебно израђена у банкарској индустрији за такве ствари, али опет се више радило о поштовању правила. На један или други начин доказивање да сте заправо били - то је на неки начин повезано са ризиком, тако да је доказивање да сте одржива банка био договор.
Ако сада погледате на изазов управљања, оно почиње са чињеницом кретања великих података. Имамо све већи број извора података. Обим података је наравно проблем у вези с тим. Конкретно, почели смо много, много више, са неструктуираним подацима. Почело је да постаје нешто што је део читаве аналитичке игре. А због аналитике, порекло података и родови су важни. Заиста са становишта употребе аналитике података на било који начин који је повезан са било којом врстом усаглашености, заиста морате имати сазнања одакле су подаци дошли и како они морају бити оно што јесу.
Шифрирање података је почело да постаје проблем, постало је веће питање чим смо отишли у Хадооп јер идеја о језеру података у коју чувамо пуно података одједном значи да имате огромно подручје рањивости људи који могу добити у томе. Шифровање података постало је много израженије. Аутентификација је увек била проблем. У старијим срединама, строго главном окружењу, имали су тако дивну заштиту по ободу; аутентификација никада није била много проблем. Касније је то постало веће питање и сада је то много више питање јер имамо тако распрострањено окружење. Праћење приступа подацима то је постало проблем. Изгледа да се сећам разних алата који су настали пре десетак година. Мислим да су већину њих покренуле иницијативе за поштовање закона. Стога имамо и сва правила о усаглашености, извештавање о усаглашености.
Оно што вам пада на памет је да чак и током деведесетих, када сте радили клиничка испитивања у фармацеутској индустрији, не само да сте морали да докажете одакле подаци долазе - очигледно је веома важно, ако покушавате да бисте сазнали за кога се суди и који су контекстуални подаци око њега - морали сте да обезбедите ревизију софтвера који су уствари створили податке. То је најоштрији начин на који сам икада видео, у смислу доказивања да заправо не намећете ствари случајно или случајно. У посљедње вријеме, посебно управљање животним циклусом података постало је проблем. Све је то на неки начин изазов, јер много тога није добро урађено. У многим околностима то је потребно учинити.
То је оно што ја зовем пирамида података. Раније сам разговарао о овоме. Сматрам да је то врло занимљив начин гледања на ствари. Можете да сматрате да су подаци слојеви. Сирови подаци, ако желите, заправо су само сигнали или мерења, снимци, догађаји, углавном појединачни записи. Могуће је да трансакције, калкулације и обједињавање стварају нове податке. О њима се може размишљати на нивоу података. Изнад тога, када стварно повежете податке, они постају информација. Постаје кориснији, али наравно постаје рањивији према људима који га хакују или злоупотребљавају. Дефинишем то као креирање, заиста структуирањем података, способношћу да се визуелно приказују подаци који имају глосаре, шеме, онтологије на информацијама. Та два доња слоја су оно што обрађујемо на овај или онај начин. Изнад тога ја зовем слој знања који се састоји од правила, политике, смерница, поступка. Неке од њих могу заправо створити увиди откривени у аналитикама. Много њих су заправо политике којих се морате придржавати. Ово је слој, ако желите, управљања. Овде се, на овај или онај начин, ако овај слој није правилно попуњен, два слоја испод не управљају. Крајња поанта у вези с тим је разумевање нечега што постоји само у људским бићима. Рачунари то још увек нису успели, на срећу. Иначе бих остао без посла.
Царство управљања - некако сам то саставио, мислим да је морало бити пре око девет месеци, вероватно много раније од тога. У основи, некако сам то побољшао, али чим смо почели да се бринемо о управљању, тада, у погледу корпоративног центра за податке, није постојао само резервоар података, ресурси језера података, већ и општи сервери разних врста, специјални сервери података. Све је то требало да се управља. Када сте такође погледали различите димензије - сигурност података, чишћење података, откривање метаподатака и метаподаци, креирање пословног појмовника, мапирање података, податковна линија, управљање животним циклусом података - тада, управљање надгледањем перформанси, управљање нивоом услуга, управљање системом, које можда не повезујете са управљањем, али извесно - сада када идемо у бржи и бржи свет са све више протока података, заправо бити у могућности да урадимо нешто са одређеном перформансом заправо је потреба и почиње да постаје правило рада, а не било шта друго.
Резимирајући у погледу раста усклађености, посматрао сам то током многих, много година, али општа заштита података је заправо у деведесетима стигла у Европу. Од тада је постало више и софистицираније. Затим су се све ове ствари почеле уводити или постајати софистицираније. ГРЦ, то је ризик управљања и поштовање правила, траје још од времена када су банке урадиле Базел. ИСО ствара стандарде разних врста операција. Знам за све време да сам био у ИТ-у - то је већ дуже време - америчка влада је била посебно активна у креирању различитих закона: СОКС, ту су Грамм-Леацх-Блилеи, ХИПАА, ФИСМА, ФЕРПА. Такође сте добили дивну НИСТ организацију која ствара многе стандарде, посебно безбедносне стандарде, веома корисне. Закони о заштити података у Европи имају локалне разлике. На пример, оно што можете да урадите са личним подацима у Немачкој разликује се од онога што можете да учините у Словачкој, Словенији или Словенији. Представили су се недавно - и мислио сам да ћу ово споменути јер сматрам да је забавно - Европа уводи идеју права да се заборавимо. Односно, требало би постојати застара ограничења јавно објављених података који су заправо лични подаци. Мислим да је то смешно. Са ИТ тачке гледишта, то ће бити врло, врло тешко ако почну да постају ефикасно законодавство. Укратко бих рекао следеће: Будући да се подаци и управљање информацијама брзо развијају, управљање се такође мора брзо развијати и односи се на све области управљања.
Након што сам рекао да ћу лопту проследити Дез.
Ериц Каванагх: Да, заиста, Дез Бланцхфиелд, однесите то. Робин, ја сам с тобом, човече, умирем да видим како се одиграва ово право на заборав. Мислим да то неће бити само изазовно, већ у основи немогуће. То је само кршење чекања на које ће се извршити владине агенције. Дез, однеси то.
Дез Бланцхфиелд: То је заиста и то је тема за нову дискусију. Ми имамо веома сличан изазов овде у Азијско-Тихом океану, а посебно у Аустралији где се од оператора и ИСП-а тражи да евидентирају све што је повезано са интернетом и да могу да га снимају и регрутирају у случају да неко од интереса учини нешто погрешно. То је закон и морате га се придржавати. Изазов, баш као што ће неко из Гооглеа у САД-у можда добити да избрише моју историју претраживања или било шта друго, могло би бити у складу са европским законом, посебно немачким законом о приватности. У Аустралији, ако нека агенција жели да вас прегледа, превозник мора бити у могућности да пружи детаље о обављеним позивима и историји претраге, што је изазовно, али то је свет у којем живимо. За то постоји гомила разлога. Дозволите ми да скочим у своје.
Намјерно сам учинила да моја насловна страница буде тешко прочитана. Морате заиста тешко да погледате тај текст. Поштовање, у складу са сетом правила, спецификацијама, контролама, правилима, стандардима или законима, са блесавом, неуредном позадином. То је зато што морате стварно да схватите како бисте могли детаљно да извучете детаље и извучете информације из онога што је прекривено, а то је низ табела и редака и ступаца, било базе података, шема или нацрта у Висио-у. То је осећај усклађености из дана у дан. Прилично је тешко уронити у детаље и извући одговарајуће делове информација које су вам потребне да бисте могли да потврдите да сте сагласни. Извештавајте о томе, надгледајте га и тестирајте.
У ствари, мислио сам на заиста добар начин да то визуелно представим када себи поставимо питање „Да ли сте сагласни?“. "Да ли сте сигурни?" "Па, докажи!" Постоји заиста забавна ствар која је можда мало више англо-келтска, али сигуран сам да је успео широм света у САД, тако да је: „Где је Валли?“ Валли је мали лик који улази у ове цртане цртеже у облику књига. Обично слике великих димензија А3 или веће. Дакле, цртежи величине таблице. Он је мали лик који носи зрно и црвено-белу пругасту кошуљу. Идеја игре је да погледате ову слику и да се осврнете око себе како бисте покушали да пронађете Валлија. Ту је негде на тој слици. Када размишљате о томе како открити и описати и известити о усклађености, на много начина то је попут играња „Вхере'с Валли“. Ако погледате ту слику, лик је готово немогуће пронаћи. Дјеца на то троше сате и ја сам се јучер јако забављао радећи то. Када га погледамо, налазимо читаву гомилу људи у тим цртаним филмовима, намјерно смјештене тамо са сличним комадима Валлијеве одјеће у пругастом дресу и дресу или вуненом врху. Али они постају лажно позитивни.
То је сличан изазов који имамо код усаглашавања. Када посматрамо ствари, понекад нешто што мислимо да је то случај, уопште није случај. Неко може имати приступ бази података и требало би да има тај приступ бази података, али начин на који је користи је мало другачији од онога што очекујемо. Могли бисмо одлучити да је то нешто на што морамо гледати. Кад то погледамо увидимо, у ствари, то је врло валидан корисник. Само раде нешто чудно. Можда је то ПЦ истраживач или ко зна. У другим случајевима може бити супротно. Стварност, кад опет кренем напред, ту је Валли. Ако сте изгледали јако тешко у овој високој резолуцији, постоји један лик који заправо носи одговарајуће одело. Сви остали су подједнако лоокаликеси. Усклађеност се осећа баш тако. Већина људи које познајем раде у областима контроле и поштивања прописа и политика пословања. У читавом низу подручја, било да је у питању технологија, било да је ријеч о финансијама или пословању и ризику. Често је јако тешко видети Валлија на слици, видећете дрвеће или дрво.
Питање које си постављамо када размишљамо о стварима попут усаглашености гласи: "Велика ствар, шта би могло поћи по злу ако не испунимо сасвим одговарајуће услове?" У контексту данашње расправе, посебно око базе података и контроле приступа подацима, даћу вам неколико врло стварних примера позива на буђење о томе шта може поћи по злу у врло кратком сажетом облику. Ако помислимо на кршење података и сви смо упознати са кршењима података, чујемо их у медијима и некако се заустављамо и смејемо, јер људи мисле да је то тржиште. То су личне ствари. То је Асхлеи Мадисон и људи који желе да добију излазе изван својих односа и бракова. То је рачуне. Све су ове чудне ствари или неки случајни европски или руски ИСП или хостинг компанија хакирани. Кад дођете до ствари попут МиСпацеа и ових десет најбољих, када погледате ове бројеве, оно што желим да схватите је ово: детаљи милијарде људи у ових десет кршења првих десет. И да, постоје преклапања, вероватно има људи који имају МиСпаце налог, и Дропбок налог, и Тумблр налог, али хајде да га заокружимо на милијарду људи.
Ових десет првих кршења последње деценије или тако нешто - чак и деценија у већини случајева - не представљају приближно једну седму светске популације људи, али реалније, око 50 процената броја људи је повезано са Интернета, преко милијарду појединаца. До тога долази јер поштовање закона није испуњено у неким случајевима. У већини случајева то су биле контроле приступа бази података, контрола приступа одређеним скуповима података, системима и мрежама. Ово је застрашујућа провјера стварности. Ако вас то не уплаши, кад погледате првих десет и видите да је ово - или можете видети да је то милијарда појединаца, правих људских бића баш попут нас, на овај позив тренутно. Ако имате ЛинкедИн налог, ако сте имали Дропбок налог или Тумблр налог или ако сте купили од Адобе производа или чак регистровали, преузмите бесплатни Адобе прегледач. То је потпуно вероватно, није могуће, сасвим је вероватно да су ваши детаљи, ваше име, презиме, адреса е-поште, потенцијално чак и адреса радне компаније или ваша кућна адреса или ваша кредитна картица, заправо због кршења правила која се догодила због контрола, нису се нужно добро водиле у облику управљања подацима, управљања подацима.
Погледајмо га када га посматрамо у стварним детаљима. Има један екран од њих, тамо има око 50-так. Постоји још 15. Постоји још око 25. То су кршења података која су наведена на веб локацији која се зове хавеибеенпвнед.цом. Ово би могло поћи по злу ако се нешто једноставно, као што је контрола ко је имао приступ подацима у базама података у различитим пољима и редовима и колонама и различитим апликацијама у вашем послу, не управља правилно. Ове организације сада управљају подацима. Већина података живи у бази података у неком облику. Када размислите о томе, листа кршења која смо управо гледали, и надамо се да вам је донесен хладан туш, у смислу да сте помислили: „Хмм, то је врло стварно“, а потенцијално је утицало на вас. На пример, 2012. године, када је дошло до кршења ЛинкедИна, већина професионалаца има ЛинкедИн налог ових дана и вероватно ће се изгубити ваши детаљи. На Интернету су од 2012. године. О томе су нам тек рекли 2016. 2016. Шта се с вама догодило у те четири године? Па то је занимљиво и о томе можемо разговарати одвојено.
Управљање базама података и системима - често говорим о томе што сматрам пет најбољих изазова у управљању тим стварима. У самом, самом врху и рангирам их према преференцијама од себе, али и по редоследу утицаја, број један је сигурност и поштовање. Контроле и механизми и политике око контроле ко има какав приступ каквом систему, из којих разлога и сврхе. Извештавање о томе и надгледање, гледање у системе, гледање у базе података и увид у то ко заправо може да приступи записима, појединим пољима и записима.
Размислите о томе у врло једноставном облику. Разговарајмо о банкарству и управљању богатством као једном од примера. Када се пријавите за банковни рачун, рецимо само нормалан рачун у готовини за ЕФТПОС картицу, или готовински или чековни рачун. Испуните образац и на том комаду папира који сте унијели или радите на мрежи има пуно врло приватних података које иду у рачунарски систем. Сада, ако неко из маркетинга жели да вас контактира и пошаље вам брошуру, требало би им дозволити да виде ваше име и презиме, као и вашу личну адресу, на пример, и потенцијални ваш телефонски број ако вас желе хладно назвати и продат цу ти несто. Они вероватно не би требали видети укупан износ новца који сте добили у банци из гомиле разлога. Ако вас неко посматра са ризичног становишта или вам покушава помоћи да учините нешто попут бољег камата на вашем рачуну, та особа ће вероватно желети да видите колико новца имате у банци, како би могли понудити одговарајуће нивое поврата камате на свој новац. Те две особе имају врло различите улоге и врло различите разлоге за те улоге и сврхе тих улога. Као резултат, у вашој евиденцији морате видјети различите информације, али не и све у запису.
Ове контроле су око различитих извештаја уобичајених екрана или облика који имају у апликацијама које се користе за управљање вашим налогом. Развој за оне, њихово одржавање, њихово управљање, извештавање око њих и управљање и поштовање правила омотаних онима попут омотача балонима, све је то врло, веома велики изазов. То је само изазов број један у управљању подацима и системима. Када дубље спустимо тај слој у перформансе и надзор, откривање и реаговање инцидената, управљање и администрирање система и усклађеност око њих, дизајн и развој система од усаглашености, постаје много теже.
Управљање целим питањем смањења ризика и побољшања сигурности. Мојих пет највећих изазова на овом простору - и свиђају ми се слике које иду са царинарницом кад уђете у неку земљу - предоче ваш пасош, и провере вас, и погледају у свој рачунарски систем да виде да ли би требало проћи или не. Ако не будете требали, пребацили су вас на следећи авион кући. Иначе вас враћају унутра и постављају вам питања попут: "Долазите ли на одмор? Да ли сте овде туриста? Да ли сте овде због посла? Какве послове желите да видите? Где ћете остати? ? Колико дуго долазите? Имате ли довољно новца да покријете трошкове и трошкове? Или ћете постати ризик држави у којој се налазите и можда ће морати пазити на вас и хранити вас? "
Постоје проблеми око овог простора података који управљају заштитом података. На примјер, у простору базе података, морамо размишљати о ублажавању заобилазних података. Ако су подаци у бази података, у нормалном окружењу и око тога постоје контроле и механизми. Шта се дешава ако се сметај података направи у више СКЛ-а и направи сигурносна копија на врпцу? Базе се одбацују у сировом облику и стварају резервне копије понекад. Понекад се то ради из техничких, развојних разлога. Рецимо само да је ДБ деумп снимљен и копиран је у врпцу. Шта се догоди ако случајно ставим руку на ту врпцу и вратим је? И имам необрађену копију базе података у СКЛ-у. То је МП датотека, то је текст, могу да је прочитам. Све лозинке које су смештене на том смећу немају контролу над мном јер сада имам приступ стварном садржају базе података без да га механизам базе података штити. На тај начин могу технички заобићи сигурност платформе базе података која се уграђује у мотор уз усаглашеност и управљање ризиком да ме спрече да гледам податке. Пошто је потенцијално програмер, администратор система, ја имам руке на пуном башту базе података која би требало да се користи за израду резервних копија.
Злоупотреба података - потенцијално натера некога да се пријави као свој повишени налог и пусти ме да седнем за екран, тражим информације или сличне ствари. Власничка ревизија, приступ и употреба података и преглед података или промена података. Затим је потребно извештавање око те контроле и усаглашавање. Надгледање промета и приступа итд., Блокирање претњи које долазе са спољних локација и сервера. На пример, ако су подаци представљени путем обрасца на веб страници на Интернету, да ли су њихове СКЛ ињекције заштићене заштитним зидовима и контролама концепта? Иза тога стоји дуга детаљна прича. Овде можете видети да само неке од ових апсолутно основних ствари о којима размишљамо у ублажавању и управљању ризиком око података унутар база података. Заправо је релативно лако заобићи неке од њих ако сте на различитим нивоима технологија. Изазов постаје све тежи и тежи јер добијате све више и више података и више база података. Још више и изазовније људима који морају да управљају системима и надгледају њихову употребу, пратите релевантне детаље који се посебно односе на ствари о којима је Робин говорио, око ствари попут личне сагласности. Појединци имају контроле и механизме око себе који се поклапају - ако учините нешто погрешно, потенцијално ће вас отпустити. Ако се пријавим на рачун како бисте га видели, то би требало бити кривично дело. Сада сам вам дао приступ подацима које не би требало да видите нормално.
Постоји лична сагласност, корпоративна усаглашеност, компаније имају политике и правила и контроле које су поставиле на себе само тако да компанија добро послује и омогућава поврат добити и добар повратак инвеститорима и акционарима. Тада често постоје државне или државне или државне, савезне државе као што сте рекли, америчке контроле и закони. Онда су глобалне. Неки од већих инцидената у свету, где се воле Сарбанес-Оклеи, две особе које се тражи да пронађу начине како заштитити податке и системе. У Европи постоји Базел, а у Аустралији постоји читав низ контрола, нарочито око берзи и платних записа, а затим приватност на нивоу појединца или компаније. Кад се сваки од њих стави на место на коме сте видели Робин, они постају скоро немогућа планина за пењање. Трошкови постају високи и ми смо на месту где оригинални традиционални приступ који знате, попут мерења људског бића, више није одговарајући приступ јер је скала превелика.
Имамо сценарио где је усклађеност оно што ја сада зовем увек актуелно питање. А то је да смо потенцијално имали тачку времена, било месечно или тромесечно или годишње, где бисмо прегледали своје стање у нацији и помогли у усаглашавању и контроли. Осигурати да су одређени људи имали одређени приступ и нису имали одређени приступ, овисно о њиховим дозволама. Сада је случај брзине ствари којом се ствари крећу, темпа којим се ствари мењају, размере на којима радимо. Усклађеност је увек актуелно и глобална финансијска криза била је само један пример где су релевантне контроле и мере безбедности и поштовања могу потенцијално избећи сценарио где смо имали одбегли теретни воз одређеног понашања. Само стварање ситуације са целим светом, ефективно знајући да ће пропасти и банкротирати. Да бисмо то постигли, потребни су нам исправни алати. Бацање људи у воз, бацање тела више није валидан приступ, јер је скала превелика и ствари се крећу пребрзо. Мислим да ћемо данас разговарати о врстама алата за примену на ово. Нарочито алате које ИДЕРА може да нам пружи због тога. А имајући то у виду, предаћу га Буллетту да прође кроз његов материјал и покаже нам свој приступ и алате којима располажу да би решили овај проблем који смо вам сада представили.
Са тим, Буллетт, предаћу вам се.
Буллетт Манале: Звучи одлично, хвала. Желим да причам о неколико слајдова, а такође желим да вам покажем производ који посебно користимо за базе података СКЛ Сервер за помоћ у ситуацијама усклађености. Заиста, изазов у многим случајевима - прескочит ћу неколико ових - ово је само наш портфељ производа, то ћу брзо проћи. У смислу где ће се овај производ бавити и како се повезује са усаглашеношћу, то увек извлачим као први слајд јер је то генерички, „Хеј, шта је одговорност ДБА?“ Једна од ствари контролише и надгледа приступ корисника, а такође може да ствара и извештаје. То ће се повезати када разговарате са својим ревизором, колико ће тај процес бити тежак варираће у зависности од тога да ли ћете то радити сами или ћете користити трећу страну алат за помоћ.
Генерално говорећи, када говорим са администраторима база података, пуно пута никада нису били укључени у ревизију. Некако их морате едуцирати у оно што стварно требате да радите. Повезано са оном врстом усаглашености која треба да се испуни и способна је да се докаже да заправо следите правила јер се односи на тај ниво усаглашености. Многи људи то не схватају у почетку. Они мисле: "Ох, могу само купити алат који ће ме учинити усаглашеним." Реалност је, то није случај. Волео бих да кажем да је наш производ чаробно, притиском на лако дугме, дао могућност да се уверите да сте у складу. Реалност је да морате успоставити своје окружење у смислу контрола, у смислу начина на који људи приступају подацима, а све то мора бити разрађено са апликацијом коју имате. Где се чувају ти осетљиви подаци, о којој врсти регулаторног захтева се ради. Затим, такође, морате сарађивати са обично службеницима за интерни надзор и да бисте били сигурни да поштујете сва правила.
Звучи заиста компликовано. Ако погледате све регулаторне захтеве, могли бисте помислити да би то било тако, али реалност је да овде постоји заједнички називник. У нашем случају с алатом који ћу вам данас показати, производом Цомплианце Манагер, процес у нашој ситуацији био би тај да пре свега морамо да будемо сигурни да прикупљамо податке о ревизорском трагу, где су подаци у осетљивој бази података. Можете све да сакупите, зар не? Могао бих изаћи и рећи да желим прикупити сваку трансакцију која се деси у овој бази података. Реалност је да вероватно имате само мали део или мали проценат трансакција који су заправо повезани са осетљивим подацима. Ако се ради о ПЦИ усаглашености, имаће око података о кредитној картици, власника кредитних картица, њихових личних података. Можда постоји мноштво других трансакција које се односе на вашу пријаву, а које заправо немају утицаја на регулаторне захтеве ПЦИ-ја.
Са тог становишта, прво када разговарам са ДБА-ом је оно што говорим: „Изазов број један није покушај да нађете алат да то урадите уместо вас. Једноставно је знати где су ти осетљиви подаци и како их забележимо? "Ако то имате, ако можете да одговорите на то питање, онда сте на пола пута у смислу да можете да покажете да се слажете, под претпоставком да пратите исправне контроле. Рецимо на тренутак да пратите праве контроле и рекли сте ревизорима да је то случај. Следећи део процеса је очигледно у могућности да пружи ревизорски траг који показује и потврђује да ове контроле заправо раде. Затим, пратећи то и осигурајте да сачувате те податке. Обично са стварима попут ПЦИ и ХИПАА усклађености, и са таквим врстама ствари, причате о задржавању седам година. Говорите о пуно трансакција и пуно података.
Ако чувате, прикупљате сваку трансакцију иако је само пет процената трансакција повезано са осетљивим подацима, говорите о прилично великим трошковима повезаним са складиштењем тих података током седам година. Мислим да је то један од највећих изазова у налагању људи око тога да кажу, то је очигледно непотребан трошак. Такође је много лакше ако се можемо прецизно усредсредити на осетљива подручја у бази података. Поред тога, такође ћете желети контролу и око неких осетљивих информација. Не само да се покаже ревизорским трагом, већ и да будете у стању да све ствари повежете са радњама које се дешавају и да будете у могућности да будете обавештени у реалном времену, тако да можете бити свјесни тога.
Примјер који увијек користим и који можда није нужно повезан с било којом врстом регулаторних захтјева, али само да би могао пратити, на примјер, неко је бацио табелу повезану са платном списком. Ако се то догоди, начин на који сазнате за то, ако то не пратите, нико неће бити плаћен. То је прекасно. Желите да знате када та таблица падне, тачно када падне, да избегнете било какве лоше ствари које се дешавају као резултат незадовољног запосленог и бришу табелу која је везана директно за платне спискове.
Уз то речено, трик је пронаћи заједнички именитељ или користити тај заједнички именитељ за мапирање нивоа усаглашености. То је оно што покушавамо да учинимо са овим алатом. У основи користимо приступ, нећемо вам показати извештај који је специфичан за ПЦИ, специфичан за залихе; заједнички називник је да ли имате апликацију која користи СКЛ Сервер за чување осетљивих података у бази података. Једном када то пређете кажете: "Да, то је заиста главна ствар на коју се морамо фокусирати - где су ти осетљиви подаци и како им се приступа?" Једном када то будете имали, нудимо тону извештаја који могу да пруже тај доказ и ви ћете бити у складу са тим.
Када се вратимо на питања која поставља ревизор, прво питање биће: ко има приступ подацима и како добија тај приступ? Можете ли доказати да прави људи приступају подацима, а погрешни нису? Можете ли такође доказати да је сам траг ревизије нечему чему се могу веровати као непромењив извор информација? Ако вам дам припремљени ревизорски траг, мени као ревизору не иде баш добро да закрпи вашу ревизију ако су информације измишљене. Потребан нам је доказ о томе, обично из перспективе ревизије.
Пролазећи кроз та питања, мало детаљније. Изазов са првим питањем је да, као што сам рекао, морате знати где су ти осетљиви подаци да бисте могли да пријавите ко им приступа. То је обично нека врста открића и заиста имате хиљаде различитих апликација које су вани, имате на тоне различитих регулаторних захтева. У већини случајева желите да сарађујете са својим службеником за поштовање правила ако имате једног или барем некога ко би имао додатни увид у смислу где су моји осетљиви подаци унутар апликације. Имамо алат који имамо, бесплатан је алат, назива се СКЛ колонама. Својим потенцијалним купцима и корисницима који су заинтересовани за то питање кажемо да могу да га преузму. Оно што ће урадити је да ће у основи потражити информације у бази података које ће по природи бити осјетљиве.
А кад једном то учините, такође морате разумети како људи приступају тим подацима. И то ће опет бити, који рачуни се налазе унутар којих група Ацтиве Дирецтори, који су укључени корисници базе података, повезано је с тим улога. И имајући у виду, наравно, да све ове ствари о којима говоримо мора да одобри ревизор, па ако кажете: „Овако закључавамо податке“, тада ревизори могу доћи натраг и реци: "Па, радиш погрешно." Али рецимо да кажу: "Да, то изгледа добро. Довољно закључавате податке. "
Прелазећи на следеће питање, које ће бити, да ли можете да докажете да прави људи приступају тим подацима? Другим речима, можете им рећи да су ваше контроле, то су контроле које пратите, али нажалост, ревизори нису прави поверени појединци. Они желе доказ о томе и желе да га виде у оквиру ревизије. А ово се враћа у ону заједничку ствар у називнику. Било да се ради о ПЦИ, СОКС, ХИПАА, ГЛБА, Басел ИИ, без обзира на то, стварност је да ће се постављати исте врсте питања. Објекат са осетљивим информацијама, ко је том објекту приступио у последњих месец дана? То би требало ускладити с мојим контролама и требао бих бити у могућности да прођем ревизију на крају показујући оне врсте извјештаја.
И тако, оно што смо урадили је да смо саставили око 25 различитих извештаја који прате на истим подручјима као и онај заједнички називник. Дакле, немамо извештај за ПЦИ или за ХИПАА или за СОКС, имамо извештаје да се, опет, супротставе том заједничком називнику. Тако да заправо није важно који регулаторни услов покушавате да испуните, у већини случајева ћете моћи да одговорите на било које питање које вам постави тај ревизор. И рећи ће вам ко, шта, када и где сваке трансакције. Знате, корисника, време трансакције, саму СКЛ изјаву, апликацију из које потиче, све те добре ствари, а затим ћете моћи да аутоматизујете испоручивање ових информација извештајима.
А онда, још једном, кад то прођете и то сте пружили ревизору, следеће питање ће бити то, доказати. А кад кажем доказати, мислим доказати да је сам ревизорски траг нешто чему можемо веровати. А начин на који то радимо у нашем алату имамо хасх вредности и ЦРЦ вредности које се директно везују за саме догађаје у оквиру ревизије. И идеја је онда да ако неко изађе и обрише запис или ако неко изађе и уклони или дода нешто у траг ревизије или нешто промени у самом трагу ревизије, можемо доказати да ти подаци, интегритет сами подаци су прекршени. И тако 99, 9 одсто времена ако закључате нашу базу података о ревизији, нећете наићи на тај проблем јер кад покренемо ту проверу интегритета, у суштини доказујемо ревизору да сами подаци нису били изменили и избрисали или додали од оригиналног писања од саме услуге управљања.
Дакле, то је нека врста општег прегледа типичних врста питања која ће вам се поставити. Сада, алат којим се морамо позабавити се зове СКЛ Цомплианце Манагер и он ради све оне ствари у смислу праћења трансакција, ко, шта, када и где трансакција, када је то могуће у такође и број различитих подручја. Пријаве, неуспеле пријаве, промене шеме, очигледно приступу подацима, одабиру активности, све оне ствари које се догађају у мотору базе података. А по потреби можемо упозорити и кориснике на специфичне, врло детаљне услове. На примјер, неко излази и заправо прегледава сто са свим бројевима моје кредитне картице. Не мењају податке, већ само гледају. У тој ситуацији могу упозорити и могу рећи људима да се то догађа, а не шест сати касније када ломимо трупце, али у стварном времену. У основи је потребно све док трансакцију требамо обрадити путем услуге управљања.
Као што сам већ напоменуо, видели смо да се користи у разним регулаторним захтевима и заправо није - знате, било који регулаторни захтев, још једном, све док заједнички називници имате осетљиве податке у СКЛ Серверу база података, ово је алат који би вам помогао у таквој ситуацији. На 25 извештаја која су уграђена, сада је реалност да овај алат можемо да учинимо добрим за ревизора и да одговори на свако постављено питање, али ДБА су ти који то морају да ураде. Дакле, постоји и то размишљање, добро знате, из перспективе одржавања, морамо бити сигурни да СКЛ делује онако како ми желимо. Морамо такође бити у могућности да уђемо и погледамо ствари које ће бити у могућности да изађемо и погледамо друге информације, што се тиче архивирања података, аутоматизације тога и режијских трошкова. самог производа. То су ствари које очигледно водимо рачуна.
Што доводи до саме архитектуре. Дакле, на десној страни екрана имамо примере СКЛ-а којим управљамо, све од 2000, па све до 2014., спремајући се за издавање верзије за 2016. Највећи потез на овом екрану је управљање сервер сам ради све тешке дизање. Ми само прикупљамо податке, користећи АПИ праћења, уграђен у СКЛ Сервер. Те информације се претапају у наш сервер за управљање. Тај сам сервер за управљање идентификује и постоје ли догађаји везани за било коју врсту трансакција које не желимо, слање упозорења и такве ствари, а затим пуштање података у спремиште. Одатле можемо покренути извјештаје, могли бисмо изаћи и заправо видјети те информације у извјештајима или чак унутар конзоле апликације.
Дакле, оно што ћу наставити и урадити је да ћу нас брзо повести, и желим само да истакнем једну брзу ствар пре него што скочимо на производ, а на веб локацији тренутно постоји линк, или на презентацији, то ће вас одвести до тог бесплатног алата који сам раније споменуо. Тај бесплатни алат ће, као што сам рекао, изаћи и погледати базу података и покушати пронаћи подручја која наликују осетљивим подацима, бројевима социјалног осигурања, бројевима кредитних картица на основу назива ступаца или табела, или на основу изгледа формата података и то можете прилагодити тако да то само укажете.
Сада, у нашем случају, пусти ме да наставим и поделим свој екран, дај ми секунду овде. У реду, и тако, прво што сам хтео да вас водим јесте да вас одведем до саме апликације Цомплианце Манагер и брзо ћу проћи кроз ово. Али ово је апликација и можете видети да овде имам неколико база података и управо ћу вам показати колико је лако ући и рећи шта желите да извршите ревизију. Са стајалишта промене шеме, промене безбедности, административних активности, ДМЛ, Селецт, имамо на располагању све те опције, можемо и то да филтрирамо. Ово се враћа у најбољу праксу да могу рећи: „Стварно ми треба та таблица јер садржи бројеве мојих кредитних картица. Не требају ми друге табеле са информацијама о производима, све оне друге ствари које нису у односу на ниво усаглашености који покушавам да испуним. "
Такође имамо могућност снимања података и приказивања у смислу вредности поља која се мењају. У пуно алата имат ћете нешто што ће вам омогућити снимање СКЛ израза, приказивање корисника, показивање апликације, времена и датума, све те добре ствари. Али у неким случајевима сама СКЛ изјава неће вам дати довољно информација да бих вам могла рећи која је вредност поља била пре промене, као и вредност поља након промене. А у неким ситуацијама то вам и треба. Можда бих желео да на пример пронађем податке о дозирању лекова на рецепт. Ишло је од 50 мг до 80 мг до 120 мг, то бих могао да пратим користећи пре и после.
Осетљиви ступци је још једна ствар на коју наилазимо, на пример, са ПЦИ усаглашеношћу. У ситуацији овде имате податке који су по природи тако осетљиви да само гледањем те информације, не морам да их мењам, бришем или додајем, могу да нанесем непоправљиву штету. Бројеви кредитних картица, бројеви социјалног осигурања, све те добре ствари по којима можемо препознати осјетљиве ступце и везати упозорења о томе. Ако неко изађе и погледа те информације, очигледно бисмо могли да упозоримо и пошаљемо е-пошту или да генеришемо СНМП замку и такве ствари.
Сада ћете у неким случајевима наићи на ситуацију у којој ћете можда имати изузетак. И што под тим мислим, имате ситуацију у којој имате корисника који има кориснички налог који би могао бити везан за неку врсту ЕТЛ посла који ради усред ноћи. То је документовани поступак и једноставно не морам укључивати те трансакцијске податке за тај кориснички налог. У том случају имали бисмо поузданог корисника. А онда бисмо у другим ситуацијама користили функцију привилеговане ревизије корисника која је у суштини, ако имам, рецимо на пример, апликацију, а та апликација већ врши ревизију корисника који пролазе кроз апликацију, то је супер, већ имам на шта да се референцирам у погледу своје ревизије. Али што се тиче, на пример, мојих привилегованих корисника, момака који могу ући у студио за управљање СКЛ Сервером да погледају податке у бази података, то неће смањити. И тако смо овде могли дефинисати ко су наши привилеговани корисници, било кроз чланство у улогама, било кроз њихове Ацтиве Дирецтори налоге, групе, њихове налоге заштићене СКЛ-ом, где ћемо моћи да одаберемо све те различите врсте опција и онда се од тамо побрините да за те повлашћене кориснике можемо одредити врсте трансакција које смо заинтересовани за ревизију.
То су све врсте различитих опција које имате и нећу пролазити кроз све различите врсте ствари на основу временских ограничења за ову презентацију. Али желим вам показати како можемо видети податке и мислим да ће вам се свидети како то функционише, јер то можемо учинити на два начина. Могу то учинити интерактивно и зато када разговарамо са људима које занима овај алат за можда њихове сопствене унутрашње контроле, они само желе да знају шта се дешава у многим случајевима. Не морају нужно да на лице места долазе ревизори. Они само желе да знају: „Хеј, желим да пођем за овај сто и видим ко га је додирнуо у последњој недељи или последњем месецу или било шта друго.“ У овом случају можете видети колико брзо можемо то да урадимо.
У случају базе података о здравственој заштити, имам табелу која се зове Подаци о пацијентима. А та таблица, ако бих се само груписала по објекту, могла би се врло брзо почети сужавати где тражимо. Можда желим груписати по категоријама, а онда можда и по догађају. А кад то учиним, можете видети како се брзо то појављује, а ту је и моја таблица података о пацијентима. И док будем прегледао сада можемо видети активност ДМЛ-а, можемо видети да смо имали хиљаду додатака ДМЛ-а и када отворимо једну од ових трансакција можемо видети релевантне информације. Ко, шта, шта, када, где је трансакција, СКЛ изјава, очигледно, стварна апликација која се користи за обављање трансакције, рачун, време и датум.
Ако погледате следећу картицу овде, картицу Детаљи, ово се враћа на треће питање о којем говоримо, доказујејући да интегритет података није прекршен. Тако да у основи сваког догађаја имамо тајни прорачун за нашу вредност хасх-а, а то ће се повезати када извршимо проверу интегритета. На пример, ако бих изашао на алат, ушао у мени за ревизију, а ја бих изашао и рекао, хајде да проверимо интегритет складишта, могао бих да укажем на базу података где је траг ревизије, покренуће се путем провере интегритета упоређујући ове хасх вредности и ЦРЦ вредности са стварним догађајима и то ће нам рећи да нису пронађени проблеми. Другим речима, подаци у ревизорском трагу нису смештени јер су их првобитно написали од стране службе за управљање. То је очигледно један од начина интеракције са подацима. Други начин би био кроз саме извјештаје. И зато ћу вам само дати један брзи пример извештаја.
И још једном, ови извештаји, онако како смо их смислили, нису специфични за било који тип стандарда као што су ПЦИ, ХИПАА, СОКС или нешто слично. Још једном, то је заједнички именитељ онога што радимо, а у овом случају, ако се вратимо на пример евиденције пацијената, могли бисмо изаћи и рећи, у нашем случају овде, гледамо у бази података здравствене заштите и у нашем случају желимо се посебно фокусирати на табелу за коју знамо да садржи приватне податке, у нашем случају повезане са нашим пацијентима. И тако, да видим да ли могу овде да га упишем, а ми ћемо наставити и водити извештај. И очигледно ћемо видети одатле све релевантне податке повезане са тим објектом. А у нашем случају то нам показује месец дана. Али могли бисмо се вратити шест месеци, годину дана, колико год дуго чували податке.
То су онакви начини на које бисте могли доказати, ако хоћете, ревизору да пратите своје контроле. Једном када то утврдите, онда је очигледно да је то добра ствар у смислу проласка ваше ревизије и могућности да покажете да пратите контроле и да све функционише.
Последња ствар о којој бих желео да покажем је део администрације. Такође, са становишта унутар самог овог алата постоји и могућност постављања контрола како би били сигурни да ако неко ради нешто што не треба да ради, тога могу бити свесни. Даћу вам неколико примера тамо. Имам налог за пријаву који је везан за услугу и тој услузи су потребна повећана одобрења за обављање онога што ради. Оно што не желим је да неко уђе и користи тај рачун у Манагемент Студио-у и онда га, знате, користи за ствари за које није био намењен. Овде бисмо имали два дела критеријума које бисмо могли применити. Могао бих рећи, „Гледај, заиста нас занима ово што радимо, рецимо, са нашом ПеоплеСофт апликацијом“, само као пример, ок?
Сада када сам то учинио, оно што овде говорим је, знатижељно ми је да знам било какве пријаве које су везане за налог који сам спреман да специфицирам да ли је апликација која се користи за пријављивање са овог налога није ПеоплеСофт, онда ће то бити повишица аларма. И очигледно морамо да одредимо име самог рачуна, па ћемо у нашем случају само назвати овај Прив налог, због чињенице да је привилегован. Сада када то учинимо, када ово учинимо овде, сада бисмо могли да прецизирамо шта бисмо желели да се догоди када се то догоди и за сваку врсту догађаја или, требало би да кажем, упозорење, можете има засебно обавештење о особи која је одговорна за тај одређени податак.
На примјер, ако се ради о информацијама о платама, то би могло отићи мом директору за људске ресурсе. У овом случају, бавећи се апликацијом ПеоплеСофт, биће администратор те апликације. Који год да је случај. Могао бих да унесем своју адресу е-поште, прилагодим стварну поруку упозорења и све такве добре ствари. Још једном се ово враћа у то да можете бити сигурни да можете показати да пратите своје контроле и да те контроле раде онако како су предвиђене. Из последње перспективе овде, само у погледу одржавања, имамо могућност да те податке узимамо и стављамо ван мреже. Могу да архивирам податке и могу да их закажем и ми бисмо то врло лако могли да направимо у смислу да бисте заправо као ДБА заправо могли да користите овај алат, поставите га и некако одшетајте од ње Нема много руку које ће се одржати када га поставите онако како би требало да буде. Као што рекох, мислим да је најтежи део било чега од овога: постављање онога што желите ревизију, то је знати шта желите да поставите за ревизију.
И као што рекох, природа звери са ревизијом, податке морате чувати седам година, тако да има смисла усредсређивати се само на она подручја која су осетљива по природи. Али ако желите да приступите прикупљању свега, то апсолутно можете, то се не сматра најбољом праксом. Тако да бих са тог становишта волео да подсетим људе да ако је то нешто што вас занима можете да одете на веб локацију на ИДЕРА.цом и преузмете пробу тога и сами се поиграте око тога. Што се тиче бесплатног алата о којем смо раније причали, то је, то је бесплатно, можете га преузети и заувек га користити, без обзира да ли користите производ Цомплианце Манагер. А згодна ствар тог алата за претраживање колона је да су наши налази које сте дошли и заправо могу показати да мислим да ћете моћи да извозите те податке, а затим да их можете увести у Цомплианце Манагер такође. Не видим то, знам да је овде, ту је. Ово је само пример тога. Овде се проналазе повезани осетљиви подаци.
Сада сам изашао из случаја и заиста, прегледаћу све, али имате само тону ствари које можемо да проверимо. Бројеви кредитних картица, адресе, имена, све те ствари. И идентификоваћемо где се налази у бази података и одатле можете донети одлуку да ли желите или не желите да извршите ревизију тих података. Али дефинитивно је начин да вам олакшате дефинисање опсега ревизије када гледате такав алат.
Само ћу наставити и затворити се с тим, а ја ћу га проследити Ерику.
Ериц Каванагх: То је фантастична презентација. Волим начин на који стварно уђете у тешке детаље и покажете нам шта се догађа. Јер на крају дана постоји неки систем који ће приступити неким записима, који ће вам дати извештај, то ће вас навести да испричате своју причу, било да је то регулатор или ревизор или неко из вашег тима, тако да је добро што знате да сте спремни ако и када, или као и када, та особа дође куцати, и наравно, то је непријатна ситуација коју покушавате да избегнете. Али ако се деси, а вероватно ће се догодити ових дана, желите да будете сигурни да имате свој тачак И и Т прекрижен.
Постоји добро питање члана публике које желим да избацим прво са вама, Буллетт, а онда ако можда презентатор жели да то прокоментарише, слободно се јавите. А онда можда Дез постави питање и Робин. Питање је, да ли је фер рећи да да бисте радили све оне ствари које сте споменули, требало да покренете напоре класификације података на основном нивоу? Морате знати своје податке када се појаве као драгоцено потенцијално средство и нешто учинити по том питању. Мислим да би се сложила, Буллетт, зар не?
Буллетт Манале: Да, апсолутно. Мислим, морате знати своје податке. И схватам, препознајем да постоји пуно апликација које су вани и постоји много различитих ствари које имају покретне делове у вашој организацији. Алат за претраживање колона је врло користан у смислу корака у правцу бољег разумевања тих података. Али да, врло је важно. Мислим, имате могућност да приступите ватрогасном приступу и да све прегледате, али на тај начин је логистички много изазовнији када говорите о томе да морате да складиштите те податке и да пријавите против тих података. А онда још увек морате знати где је тај податак, јер када покрећете своје извештаје, мораћете да покажете и својим ревизорима. Тако да мислим да је, као што рекох, највећи изазов када разговарам са администраторима база података знати, да.
Ериц Каванагх: Да, али можда ће те Робин довести врло брзо. Чини ми се да овде важи правило 80/20, зар не? Вероватно нећете наћи сваки систем записа који је битан ако сте у некој средњој или великој организацији, али ако се фокусирате - као што је Буллетт овде предлагао - ПеоплеСофт на пример, или друге системе записа који су који преовлађује у предузећу, тамо се фокусирате 80 одсто свог напора, а затим 20 одсто на друге системе који су можда негде вани, зар не?
Робин Блоор: Па сигуран сам, да. Мислим, знате, мислим да је проблем са овом технологијом и мислим да је вероватно вредно коментарисати је, али проблем са овом технологијом је, како је имплементирати? Мислим, у већини организација дефинитивно недостаје знање о чак и броју база података које постоје тамо. Знате, рецимо да има јако пуно недостатка залиха. Знате, питање је, замислимо да почињемо у ситуацији у којој не постоји посебно добро успешен усаглашавање, како ту технологију узимате и убризгавате у околиш, а не само у, знате, технологију термине, подешавање ствари, али као ко управља њима, ко одређује шта? Како то почети да претпостављате у стварну ствар која ради свој посао?
Буллетт Манале: Па, мислим, то је добро питање. Изазов у многим случајевима је тај, што морате да почнете да постављате питања већ на самом почетку. Налетео сам на мноштво компанија у којима су, знате, можда приватна компанија и они су се стекли, ту је иницијална, врста, прво, некаква препрека за пут, ако то желите тако назвати. На пример, ако сам тек постао компанија која се јавно тргује због куповине, морат ћу се вратити и вероватно смислити неке ствари.
У неким случајевима разговарамо са организацијама које, иако су приватне, поштују СОКС правила поштовања, једноставно зато што у случају да се желе прибавити знају да морају бити у складу. Дефинитивно не желите да прихватите само приступ: „Не морам се сада бринути због тога.“ Било који вид усклађености са прописима попут ПЦИ или СОКС или било шта друго, желите уложити у истраживање или разумевање где су те осетљиве информације, у супротном ћете можда наићи на неке значајне, огромне казне. И много је боље само уложити то време, знате, проналазећи те податке и моћи да пријавите против њих и покажете да контроле раде.
Да, у смислу постављања, као што сам рекао, прво што бих препоручио људима који се спремају да се суоче са ревизијом је да изађу напоље и прегледају базу података, и схвате, ви знају, у свим својим напорима, покушати да одгонетну где су ти осетљиви подаци. А други приступ би био да започнемо с можда већом мрежом у смислу обухвата ревизије, а затим полако обуздамо свој пут након што, некако, схватите где су та подручја у систему која су повезана са осетљиве информације. Али волео бих да вам кажем да на то питање постоји једноставан одговор. Вероватно ће се доста разликовати од једне организације до друге и врсте усаглашености и заиста како, знате, колико структуре имају унутар својих апликација и колико има, различитих апликација које имају, неке могу бити прилагођене писане апликације, па ће заиста зависити од ситуације у многим случајевима.
Ериц Каванагх: Само напред, Дез, сигуран сам да имаш питање или два.
Дез Бланцхфиелд: Заправо желим само да добијем неки увид у ваша запажања о утицају на организације са становишта људи. Мислим да је једна од области у којој видим највећу вредност за ово конкретно решење та што се људи, када се пробуде ујутро и оду на разне нивое организације, пробуде са низом одговорности или ланцем одговорности да се морају носити са њима. И ја бих волео да добијем неки увид у оно што ви видите тамо са и без врста алата о којима говорите. А контекст о којем овдје говорим је од предсједавајућег нивоа одбора до генералног директора и ЦИО-а и Ц-апартмана. И сада имамо главне службенике за ризике, који више размишљају о врстама ствари о којима овде причамо у складу и управљању, и сада имамо нове шефове улога, главни службеник за податке, ко је, знате, још више забринут због тога.
И са стране сваког од њих, око ЦИО-а, имамо ИТ менаџере на једној страни са, некако знате, техничким водичима, а затим и базама података. А у оперативном простору имамо менаџере за развој и развојне потенцијале, а затим и појединачне догађаје, који се такође враћају у слој администрације базе података. Шта видите око реакције сваког од ових различитих делова пословања на изазов усклађености и регулаторног извештавања и њихов приступ томе? Да ли видите да људи ово гледају са жаром и виде корист од тога, или видите да нерадо вуку ноге за ову ствар и једноставно, знате, то раде за крпељ у кутији? И које су врсте одговора које видите након што виде ваш софтвер?
Буллетт Манале: Да, то је добро питање. Рекао бих да овај производ, продајом овог производа, углавном управља неко ко је у топлом седишту, ако то има смисла. У већини случајева то је ДБА, и из наше перспективе, другим речима, они знају да долази ревизија и да ће бити одговорни, јер они су ДБА, који ће моћи да дају информације до којих ревизор иде питати. То могу учинити писањем сопствених извештаја и креирањем сопствених прилагођених трагова и свих таквих ствари. Реалност је та да они то не желе. У већини случајева ДБА-и се заиста не веселе започињању тих разговора са ревизором. Знате, радије бих вам рекао да можемо назвати компанију и рећи: "Хеј, ово је сјајно средство и свидеће вам се", и показати им све функције и они ће их купити.
Реалност је да они обично неће гледати овај алат, осим ако се стварно неће суочити с ревизијом или с друге стране те кованице, да ли су имали ревизију и пропали су је несретно и сада су ако им се каже да потраже помоћ или ће им бити изречена новчана казна. Рекао бих да у смислу, знате, генерално гледано, када овај производ људима покажете, они дефинитивно виде вредност тога јер им то штеди тону времена у смислу да морају схватити о чему желе да извештавају, такве ствари. Сви ти извештаји су већ уграђени, механизми за узбуњивање су успостављени, а тада треће питање у многим случајевима може бити и изазов. Јер могу вам показати извештаје по цео дан, али осим ако ми не будете могли да докажете да су ти извештаји тада заиста валидни, знате, то је много тежи предлог за мене као ДБА да то могу да покажем. Али, разрадили смо технологију и технику распршивања и све те ствари како бисмо вам помогли да се осигура да се чувају подаци у њеном интегритету ревизорског записа.
И то су ствари које су, то су моја запажања у односу на већину људи с којима разговарамо. Знате, дефинитивно постоје у различитим организацијама, за које знате, да ћете чути за, знате, као да је Таргет, на пример, имао повреду података и, мислим, мислим, када друге организације чују за новчане казне и оне разне ствари које људи започну, подиже обрву, тако да, надамо се, одговара на питање.
Дез Бланцхфиелд: Да, дефинитивно. Могу замислити неке ДБА-е када коначно виде шта се може учинити са алатом тек схватају да имају и касне ноћи и викенде. Смањење времена и трошкова и друге ствари које видим када се примене одговарајући алати за цео овај проблем, а то је да сам три недеље седео са банком овде у Аустралији. Они су глобална банка, прва три банке, огромне су. И имали су пројекат где су морали да извештавају о усклађености са управљањем богатством и нарочито ризику, и гледали су у раду вредан 60 недеља за неколико стотина људских бића. А када им је показано да личи на алат попут вас који би могао аутоматизовати процес, тај осећај, израз њихових лица када су схватили да не морају да проведу Кс број недеља са стотинама људи који раде ручни поступак као да су нашли Бога. Али изазовна ствар је била како то заправо ставити у план, као што је др Робин Блоор назначио, знате, то је нешто што постаје спој понашања, културолошког помака. На нивоима којима се бавите, ко се тиме директно бави на нивоу апликације, какву промену видите када почну да усвајају алат за обављање врста извештавања и ревизије и контрола које можете да понудите, као супротно ономе што су можда радили ручно? Како то изгледа када се они стварно спроведу у пракси?
Буллетт Манале: Да ли се питате, која је разлика у погледу ручног руковања с овим алатом? Да ли је то питање?
Дез Бланцхфиелд: Па, конкретно утицај посла. На пример, ако покушавамо да испунимо поштовање у ручном поступку, знате, нама пуно људи треба дуго времена. Али претпостављам, да поставимо неки контекст око питања, као што знате, говоримо ли о томе да једна особа која користи овај алат замени потенцијално 50 људи и буде у стању да уради исту ствар у реалном времену или сатима у односу на месеце? Да ли је то таква, за шта се уопште испада?
Буллетт Манале: Па, мислим, своди се на пар ствари. Једно је способност да одговори на та питања. Неке од тих ствари неће се учинити лако. Па да, време које је потребно да се ствари ураде код куће, да сами пишете извештаје, да поставите трагове или продужене догађаје за ручно прикупљање података, могло би вам одузети много времена. Стварно, даћу вам мало, мислим, ово се заправо не односи на базе података уопште, али као што је одмах након што се Енрон догодио и СОКС постао превладавајући, био сам у једној од већих нафтних компанија у Хоустону, а рачунали смо на, Мислим да се чинило да је 25 одсто наших пословних трошкова повезано са усаглашавањем са СОКС-ом.
То је било одмах након тога и то је био првобитни први корак на СОКС-у, али ствар са, рекао бих, знате, добијате велику корист коришћењем овог алата у смислу да не захтева много људи који то раде и пуно различитих врста људи који то раде. И као што рекох, ДБА није тип који се заиста весели тим разговорима са ревизорима. Тако ћемо у многим случајевима видети да ДБА то може пребацити и да буде у могућности да достави извештај који је повезан са ревизором и да се могу потпуно уклонити из једнаџбе, а не да морају бити укључени. Дакле, знате, то је огромна уштеда исто тако и у погледу ресурса када то можете учинити.
Дез Бланцхфиелд: Говорите о масовном смањењу трошкова, зар не? Организације не само да уклањају ризик и режијске трошкове, већ у суштини мислим да говорите о значајном смањењу трошкова, А) оперативно и Б) у чињеници да, знате, ако они могу заиста пружити стварну Извештавање о усклађености времена да постоји значајно смањен ризик од кршења података или неке правне казне или утицаја због непоштивања, зар не?
Буллетт Манале: Да, апсолутно. Мислим, зато што нисам сагласан догађају се разне врсте лоших ствари. Они могу користити овај алат и било би сјајно или не, и открит ће колико је то заиста лоше. Па да, то није само алат, очигледно можете вршити провере и све без овог алата. Као што рекох, само ће требати пуно више времена и трошкова.
Дез Бланцхфиелд: То је сјајно. Дакле, Ериц, пребацит ћу се с тобом јер мислим да је за мене такав потез да знате, врста тржишта је фантастична. Али у ствари, ствар вреди злата на основу тога што је у стању да избегне комерцијални утицај проблема који се догоди или да буде у стању да смањи време потребно за извештавање и управљање поштовањем, само то чини, знате, Алат се одмах исплаћује звуцима ствари.
Ериц Каванагх: Управо тако. Па, хвала вам на вашем времену данас, Буллетт. Хвала свима вама на вашем времену и пажњи, и Робин и Дез. Још једна сјајна презентација данас. Захваљујемо нашим пријатељима из ИДЕРА што су нам омогућили да вам бесплатно донесемо овај садржај. Ми ћемо архивирати ову веб емисију ради каснијег гледања. Архива се обично подиже у року од око једног дана. И јавите нам шта мислите о нашој новој веб локацији, инсидеаналисис.цом. Потпуно нови дизајн, потпуно нови изглед и осећај. Радо бисмо чули вашу повратну информацију и са тим ћу се опростити, људи. Можете ми послати е-пошту. Иначе ћемо вас контактирати следеће недеље. Имамо седам веб емисија у наредних пет недеља или нешто слично. Бићемо заузети. И бит ћемо на Страта конференцији и самиту ИБМ аналитичара у Нев Иорку касније овог мјесеца. Па ако сте негде тамо, свратите и поздравите се. Пазите, народе. Ћао.
