Oleh Staf Techopedia, 14 September 2016
Takeaway: Host Eric Kavanagh membahas audit basis data dan kepatuhan dengan analis Robin Bloor dan Dez Blanchfield serta Bullett Manale dari IDERA dalam episode Hot Technologies ini.
Anda saat ini belum masuk. Silakan masuk atau daftar untuk melihat video.
Eric Kavanagh: Hadirin sekalian, halo dan selamat datang kembali, sekali lagi, ke Hot Technologies! Ya memang, tahun 2016. Kami berada di tahun ketiga pertunjukan ini, ini adalah hal yang sangat menarik. Kami telah goyang dan bergulir tahun ini. Ini Eric Kavanagh, tuan rumah Anda. Topik untuk hari ini - ini adalah topik yang hebat, ia memiliki banyak aplikasi di sejumlah industri, terus terang - "Siapa, Apa, Di mana dan Bagaimana: Mengapa Anda Ingin Tahu." Ya memang, kita akan membicarakan semua hal menyenangkan itu. Ada slide tentang Anda benar-benar, pukul saya di Twitter @eric_kavanagh. Saya mencoba men-tweet semua menyebutkan dan men-tweet apa pun yang dikirimkan seseorang kepada saya. Kalau tidak, biarlah.
Panas, ya memang! Seluruh pertunjukan di sini dirancang untuk membantu organisasi dan individu memahami jenis teknologi tertentu. Kami merancang seluruh program di sini, Hot Technologies, sebagai cara mendefinisikan jenis perangkat lunak tertentu, atau tren tertentu, atau jenis teknologi tertentu. Alasannya adalah karena terus terang, di dunia perangkat lunak, Anda akan sering mendapatkan istilah-istilah pemasaran yang dipermasalahkan dan kadang-kadang mereka dapat terus terang membombardir konsep-konsep yang ingin mereka gambarkan.
Dalam acara ini kami benar-benar berusaha membantu Anda memahami apa jenis teknologi tertentu, cara kerjanya, kapan Anda bisa menggunakannya, saat Anda seharusnya tidak menggunakannya, dan memberikan Anda detail sebanyak mungkin. Kami akan memiliki tiga presenter hari ini: Robin Bloor kami sendiri, kepala analis di sini di Grup Bloor; ilmuwan data kami menelepon dari Sydney, Australia di sisi lain planet ini, Dez Blanchfield, dan salah satu tamu favorit kami Bullett Manale, direktur teknik penjualan di IDERA.
Saya hanya akan mengatakan beberapa hal di sini, memahami siapa yang melakukan apa dengan data yang mana, yah itu semacam tata pemerintahan, bukan? Jika Anda memikirkan semua peraturan di sekitar industri, seperti layanan kesehatan dan jasa keuangan, pada domain tersebut, hal itu sangat penting. Anda perlu tahu siapa yang menyentuh informasi, siapa yang mengubah sesuatu, siapa yang mengaksesnya, siapa yang mengunggahnya, misalnya. Apa garis keturunannya, apa penyediaan data ini? Anda dapat yakin bahwa semua masalah ini akan tetap menonjol di tahun-tahun mendatang karena semua jenis alasan. Bukan hanya untuk kepatuhan, meskipun HIPAA, dan Sarbanes-Oxley, dan Dodd-Frank, dan semua peraturan ini sangat penting, tetapi juga agar Anda memahami dalam bisnis Anda siapa yang melakukan apa, di mana, kapan, mengapa dan bagaimana. Ini barang bagus, kita akan memperhatikan.
Silakan, bawa pergi, Robin Bloor.
Robin Bloor: Oke, terima kasih untuk perkenalan itu, Eric. Wilayah tata kelola ini, maksud saya, tata kelola di bidang TI bukan kata yang Anda dengar sampai sedikit setelah tahun 2000, saya pikir. Itu terjadi terutama karena, saya pikir, itu terjadi terutama karena ada undang-undang kepatuhan yang sedang terjadi. Terutama HIPAA dan Sarbanes-Oxley. Sebenarnya ada banyak. Oleh karena itu, organisasi menyadari bahwa mereka harus memiliki seperangkat aturan dan seperangkat prosedur karena perlu menurut hukum untuk melakukan itu. Jauh sebelum itu, khususnya di sektor perbankan, ada berbagai inisiatif yang harus Anda patuhi tergantung pada jenis bank Anda, dan terutama para bankir internasional. Seluruh kepatuhan Basel dimulai dengan cara, jauh sebelum serangkaian inisiatif khusus setelah tahun 2000. Semuanya benar-benar bermuara pada tata kelola. Saya pikir saya akan berbicara tentang subjek pemerintahan sebagai pengantar fokus mengawasi siapa yang mendapatkan data.
Tata kelola data, yang saya gunakan untuk melihat-lihat sekitar lima atau enam tahun yang lalu, mencari-cari definisi dan tidak didefinisikan dengan baik. Ini menjadi lebih jelas dan lebih jelas tentang apa artinya sebenarnya. Realitas situasi adalah bahwa dalam batas-batas tertentu, semua data sebenarnya sudah diatur sebelumnya, tetapi tidak ada aturan formal untuk itu. Ada aturan khusus yang dibuat khususnya di industri perbankan untuk melakukan hal-hal seperti itu, tetapi sekali lagi itu lebih tentang kepatuhan. Dalam satu atau lain hal membuktikan bahwa Anda sebenarnya - itu semacam dikaitkan dengan risiko, jadi itu membuktikan bahwa Anda adalah bank yang layak adalah kesepakatan.
Jika Anda melihat tantangan tata kelola sekarang, itu dimulai dengan fakta pergerakan data besar. Kami memiliki semakin banyak sumber data. Volume data tentu saja merupakan masalah dengan itu. Secara khusus, kami mulai berbuat banyak, banyak, lebih banyak dengan data yang tidak terstruktur. Itu mulai menjadi sesuatu yang merupakan bagian dari keseluruhan permainan analitik. Dan karena analitik, asal-usul data dan garis keturunan adalah penting. Sungguh dari sudut pandang menggunakan analisis data dengan cara apa pun yang terkait dengan segala jenis kepatuhan, Anda benar-benar harus memiliki pengetahuan tentang dari mana data berasal dan bagaimana itu bisa menjadi apa adanya.
Enkripsi data mulai menjadi masalah, menjadi masalah yang lebih besar segera setelah kami pergi ke Hadoop karena gagasan danau data tempat kami menyimpan banyak data, tiba-tiba berarti bahwa Anda memiliki area besar kerentanan orang yang bisa mendapatkan itu Enkripsi data menjadi jauh lebih menonjol. Otentikasi selalu menjadi masalah. Di lingkungan yang lebih tua, lingkungan mainframe, mereka memiliki perlindungan keamanan yang luar biasa; otentikasi tidak pernah benar-benar menjadi masalah. Kemudian itu menjadi masalah yang lebih besar dan itu jauh lebih dari masalah sekarang karena kita punya lingkungan yang sangat terdistribusi. Pemantauan akses data, yang menjadi masalah. Saya ingat berbagai alat muncul sekitar sepuluh tahun yang lalu. Saya pikir sebagian besar dari mereka didorong oleh inisiatif kepatuhan. Karena itu, kami juga memiliki semua peraturan kepatuhan, pelaporan kepatuhan.
Hal yang terlintas dalam pikiran adalah bahwa bahkan di tahun 1990-an, ketika Anda melakukan uji klinis di industri farmasi, Anda tidak hanya harus dapat membuktikan dari mana data berasal - jelas itu sangat penting, jika Anda mencoba sebuah obat dalam berbagai konteks, untuk mengetahui siapa yang sedang diadili dan apa data kontekstual di sekitarnya - Anda harus dapat memberikan audit terhadap perangkat lunak yang benar-benar membuat data. Ini adalah bagian kepatuhan paling parah yang pernah saya lihat di mana pun, dalam hal membuktikan Anda tidak benar-benar mengacaukan semuanya dengan sengaja atau tidak sengaja. Dalam waktu belakangan ini, khususnya manajemen siklus hidup data telah menjadi masalah. Semua ini merupakan tantangan karena banyak dari ini belum dilakukan dengan baik. Dalam banyak keadaan, itu perlu dilakukan.
Inilah yang saya sebut piramida data. Saya sudah pernah membicarakan hal ini sebelumnya. Saya menemukan cara yang sangat menarik untuk melihat sesuatu. Anda dapat menganggap data memiliki lapisan. Data mentah, jika Anda suka, benar-benar hanya sinyal atau pengukuran, rekaman, peristiwa, sebagian besar catatan tunggal. Mungkin transaksi, perhitungan, dan agregasi tentu saja membuat data baru. Mereka dapat dianggap di tingkat data. Di atas itu, begitu Anda benar-benar menghubungkan data bersama, itu menjadi informasi. Ini menjadi lebih bermanfaat, tetapi tentu saja menjadi lebih rentan terhadap orang yang meretas atau menyalahgunakannya. Saya mendefinisikan bahwa sebagai diciptakan, sungguh, melalui penataan data, mampu memvisualisasikan data yang memiliki glosarium, skema, ontologi pada informasi. Dua lapisan bawah itu adalah apa yang kami proses dengan satu atau lain cara. Di atas itulah yang saya sebut sebagai lapisan pengetahuan yang terdiri dari aturan, kebijakan, pedoman, prosedur. Beberapa di antaranya mungkin sebenarnya diciptakan oleh wawasan yang ditemukan dalam analitik. Banyak dari mereka sebenarnya adalah kebijakan yang harus Anda patuhi. Ini adalah lapisan, jika Anda suka, tata kelola. Di sinilah, dalam satu atau lain cara, jika lapisan ini tidak terisi dengan baik, maka dua lapisan di bawah tidak dikelola. Poin terakhir tentang ini adalah, pemahaman akan sesuatu yang hanya ada pada manusia. Untungnya, komputer belum berhasil melakukannya. Kalau tidak, saya akan keluar dari pekerjaan.
Kerajaan pemerintahan - saya semacam menyatukan ini, saya pikir itu pasti sekitar sembilan bulan yang lalu, mungkin jauh lebih awal dari itu. Pada dasarnya, saya agak meningkatkannya, tetapi segera setelah kami mulai khawatir tentang tata kelola, maka ada, dalam hal pusat data perusahaan, tidak hanya ada data reservoir, sumber daya data lake, tetapi juga server umum dari berbagai jenis, server data spesialis. Semua yang perlu diatur. Ketika Anda benar-benar melihat berbagai dimensi juga - keamanan data, pembersihan data, penemuan metadata dan manajemen metadata, membuat daftar istilah bisnis, pemetaan data, garis keturunan data, manajemen siklus hidup data - kemudian, manajemen pemantauan kinerja, manajemen tingkat layanan, manajemen sistem, yang mungkin Anda tidak benar-benar asosiasikan dengan tata kelola, tetapi yang pasti - sekarang kita akan menuju dunia yang lebih cepat dan lebih cepat dengan semakin banyak data mengalir, sebenarnya dapat melakukan sesuatu dengan kinerja tertentu sebenarnya merupakan kebutuhan dan mulai menjadi aturan operasi daripada apa pun.
Merangkum dalam hal pertumbuhan kepatuhan, saya menyaksikan ini terjadi selama bertahun-tahun, tetapi perlindungan data secara umum benar-benar datang pada 1990-an di Eropa. Hanya saja semakin, dan semakin canggih sejak itu. Kemudian, semua hal ini mulai diperkenalkan atau dibuat lebih canggih. GRC, itu risiko tata kelola dan kepatuhan, telah berlangsung sejak bank melakukan Basel. ISO telah menciptakan standar berbagai jenis operasi. Saya tahu selama ini bahwa saya sudah berada di IT - sudah lama - pemerintah AS telah sangat aktif dalam menciptakan berbagai peraturan perundang-undangan: SOX, ada Gramm-Leach-Bliley, HIPAA, FISMA, FERPA. Anda juga memiliki organisasi NIST yang luar biasa yang menciptakan banyak standar, terutama standar keamanan, sangat berguna. Undang-undang perlindungan data di Eropa memiliki varian lokal. Apa yang dapat Anda lakukan dengan data pribadi di Jerman, misalnya, berbeda dari apa yang dapat Anda lakukan di Republik Slovakia, atau Slovenia, atau di mana pun. Mereka memperkenalkan baru-baru ini - dan saya pikir saya akan menyebutkan ini karena saya merasa lucu - Eropa memperkenalkan gagasan tentang hak untuk dilupakan. Artinya, harus ada undang-undang pembatasan data yang telah publik yang sebenarnya adalah data pribadi. Saya pikir itu lucu. Dari sudut pandang TI, itu akan sangat, sangat sulit jika mulai menjadi undang-undang yang efektif. Singkatnya saya akan mengatakan yang berikut: Karena data dan manajemen TI berkembang dengan cepat, tata kelola juga harus berkembang dengan cepat dan itu berlaku untuk semua bidang tata kelola.
Setelah mengatakan bahwa saya akan mengoper bola ke Dez.
Eric Kavanagh: Ya benar, jadi Dez Blanchfield, bawa pergi. Robin, aku bersamamu, kawan, aku sangat ingin melihat bagaimana hak ini dilupakan. Saya pikir itu tidak akan hanya menantang tetapi pada dasarnya tidak mungkin. Itu hanya pelanggaran menunggu untuk dilakukan oleh lembaga pemerintah. Dez, bawa pergi.
Dez Blanchfield: Memang dan itulah topik untuk diskusi lain. Kami memiliki tantangan yang sangat mirip di sini di Asia-Pasifik, dan khususnya di Australia di mana operator dan ISP diharuskan untuk mencatat segala sesuatu yang berhubungan dengan internet dan dapat merekam dan memuntahkannya jika ada orang yang tertarik melakukan sesuatu yang salah. Ini adalah hukum dan Anda harus mematuhinya. Tantangannya, sama seperti seseorang di Google di AS mungkin diminta untuk menghapus riwayat pencarian saya atau apa pun, itu mungkin untuk mematuhi hukum Eropa, khususnya hukum privasi Jerman. Di Australia jika agensi ingin melihat Anda, operator harus dapat memberikan rincian panggilan dan riwayat pencarian yang dibuat, yang menantang, tetapi dunia tempat kami tinggal. Ada banyak alasan untuk itu. Biarkan aku melompat ke milikku.
Saya sengaja membuat halaman judul saya sulit dibaca. Anda harus benar-benar memperhatikan teks itu. Kepatuhan, sesuai dengan seperangkat aturan, spesifikasi, kontrol, kebijakan, standar atau hukum, dengan latar belakang konyol dan berantakan. Itu karena Anda harus benar-benar melihatnya sulit untuk mendapatkan detail dan mengeluarkan informasi dari apa yang disalut, yang merupakan serangkaian tabel dan baris dan kolom, baik basis data, skema atau mock-up di Visio. Seperti itulah rasanya kepatuhan sehari-hari. Cukup sulit untuk menyelami detailnya dan mengeluarkan bit informasi yang relevan yang Anda butuhkan untuk dapat mengonfirmasi bahwa Anda patuh. Laporkan itu, pantau dan uji.
Sebenarnya, saya berpikir cara yang sangat bagus untuk memvisualisasikan ini ketika kita bertanya pada diri sendiri pertanyaan, "Apakah Anda patuh?" "Apakah kamu yakin?" "Yah, buktikan!" Ada hal yang sangat menyenangkan yang mungkin sedikit lebih Anglo-Celtic tapi saya yakin itu membuat jalan di seluruh dunia ke AS, jadi: "Di mana Wally?" Wally adalah karakter kecil yang masuk ke dalam gambar kartun ini dalam bentuk buku. Biasanya gambar berskala sangat besar dari A3 atau lebih besar. Jadi, gambar ukuran meja. Dia adalah karakter kecil yang mengenakan beanie dan kemeja bergaris merah-putih. Ide dari gim ini adalah Anda melihat gambar ini dan melihat-lihat lingkaran untuk mencoba dan menemukan Wally. Dia ada di foto itu di suatu tempat. Ketika Anda berpikir tentang bagaimana menemukan dan menggambarkan dan melaporkan kepatuhan, dalam banyak hal itu seperti bermain "Di mana Wally." Jika Anda melihat gambar itu, hampir tidak mungkin untuk menemukan karakter. Anak-anak menghabiskan berjam-jam untuk itu dan saya bersenang-senang melakukan itu sendiri kemarin. Ketika kita melihatnya, kita menemukan sejumlah besar orang di kartun ini, sengaja ditempatkan di sana dengan potongan pakaian Wally yang mirip beanie bergaris dan jersey, atau atasan wol. Tapi mereka berubah menjadi positif palsu.
Ini adalah tantangan serupa yang kami miliki dengan kepatuhan. Ketika kita melihat sesuatu, kadang-kadang sesuatu yang kita pikir ini masalahnya, bukan itu masalahnya sama sekali. Seseorang mungkin memiliki akses ke database dan mereka seharusnya memiliki akses ke database tetapi cara mereka menggunakannya sedikit berbeda dari yang kita harapkan. Kita mungkin memutuskan bahwa itu adalah sesuatu yang perlu kita perhatikan. Ketika kami melihat ke dalamnya, kami menemukan, oh sebenarnya, itu adalah pengguna yang sangat valid. Mereka hanya melakukan sesuatu yang aneh. Mungkin peneliti PC atau siapa yang tahu. Dalam kasus lain, mungkin sebaliknya. Kenyataannya, ketika saya maju lagi, ada Wally. Jika Anda terlihat sangat keras dalam resolusi tinggi ini, ada satu karakter yang sebenarnya mengenakan pakaian yang pantas. Semua yang lain hanyalah lookalikes dan feel-like. Kepatuhan terasa sangat seperti itu. Kebanyakan orang yang saya kenal, mereka bekerja dalam kontrol dan kepatuhan serta kebijakan bidang bisnis. Di seluruh jajaran bidang, apakah itu teknologi, apakah itu keuangan, atau operasi, dan risiko. Seringkali sangat sulit untuk melihat Wally dalam gambar, Anda akan melihat pohon atau kayu.
Pertanyaan yang kita tanyakan pada diri kita sendiri, ketika kita memikirkan hal-hal seperti kepatuhan, adalah "Masalah besar, apa yang mungkin salah jika kita tidak memenuhi kepatuhan?" Dalam konteks diskusi hari ini, khususnya seputar basis data dan kontrol akses ke data, saya akan memberi Anda beberapa contoh panggilan bangun yang sangat nyata tentang apa yang bisa salah dalam bentuk ringkas yang sangat singkat. Jika kita berpikir tentang pelanggaran data, dan kita semua akrab dengan pelanggaran data, kita mendengarnya di media, dan kita berhenti dan tertawa, karena orang berpikir itu pasar. Ini masalah pribadi. Ashley Madison dan orang-orang yang mencari kencan di luar hubungan dan pernikahan mereka. Itu adalah akun-akun selingan. Ini semua adalah hal-hal aneh atau ISP Eropa atau Rusia atau perusahaan hosting acak akan diretas. Ketika sampai pada hal-hal seperti MySpace dan sepuluh besar ini, ketika Anda melihat angka-angka ini, apa yang saya ingin Anda sadari adalah ini: 1, 1 miliar detail orang dalam sepuluh pelanggaran besar ini. Dan ya, ada tumpang tindih, mungkin ada orang yang punya akun MySpace, dan akun Dropbox, dan akun Tumblr, tapi mari kita himpun menjadi satu miliar orang.
Sepuluh besar pelanggaran ini pada dekade terakhir - bahkan tidak satu dekade, dalam banyak kasus - merangkum sekitar seperlima dari populasi manusia di dunia, tetapi lebih realistis lagi, sekitar 50 persen dari jumlah orang yang terhubung ke internet, lebih dari satu miliar individu. Ini terjadi karena kepatuhan belum terpenuhi dalam beberapa kasus. Dalam kebanyakan kasus, ada kontrol akses ke database, kontrol akses ke set data tertentu, dan sistem, dan jaringan. Ini adalah pengecekan realitas yang menakutkan. Jika itu tidak membuat Anda takut, ketika Anda melihat sepuluh besar dan Anda dapat melihat bahwa ini adalah - atau dapat melihat ini adalah satu miliar individu, manusia sejati seperti kita, dalam panggilan ini sekarang. Jika Anda memiliki akun LinkedIn, jika Anda memiliki akun Dropbox, atau akun Tumblr atau jika Anda membeli dari produk Adobe atau bahkan mengunduh unduh gratis Adobe viewer. Kemungkinan besar, tidak mungkin, kemungkinan besar detail Anda, nama depan Anda, nama belakang Anda, alamat email Anda, bahkan berpotensi alamat perusahaan kantor Anda, atau alamat rumah Anda atau kartu kredit Anda, sebenarnya ada di luar sana karena pelanggaran. yang terjadi karena kontrol, yang belum tentu dikelola dengan baik dalam bentuk manajemen data, tata kelola data.
Mari kita melihatnya ketika kita melihatnya secara detail. Ada satu layar dari mereka, ada sekitar 50-sesuatu di sana. Ada lagi 15. Ada sekitar 25 lainnya. Ini adalah pelanggaran data yang terdaftar di situs web yang disebut haveibeenpwned.com. Inilah yang mungkin salah jika sesuatu yang sederhana seperti mengendalikan siapa yang memiliki akses ke data dalam database di berbagai bidang dan baris dan kolom dan berbagai aplikasi dalam bisnis Anda, tidak dikelola dengan baik. Organisasi-organisasi ini sekarang didorong oleh data. Sebagian besar data hidup dalam database dalam beberapa bentuk. Ketika Anda berpikir tentang itu, daftar pelanggaran yang baru saja kita lihat, dan semoga itu memberi Anda sedikit mandi dingin dalam arti, di mana Anda berpikir "Hmm, itu sangat nyata, " dan berpotensi berdampak pada Anda. Pada 2012, pelanggaran LinkedIn misalnya, sebagian besar profesional memiliki akun LinkedIn hari ini dan kemungkinan detail Anda hilang. Mereka sudah keluar di internet sejak 2012. Kami baru diberitahu tentang hal itu pada 2016. Apa yang terjadi dengan informasi Anda selama empat tahun itu? Yah itu menarik dan kita bisa membicarakannya secara terpisah.
Manajemen basis data dan sistem - Saya sering berbicara tentang apa yang saya anggap sebagai tantangan lima besar dalam mengelola hal-hal ini. Di bagian paling atas, paling atas dan saya peringkat ini berdasarkan urutan pilihan saya, tetapi juga urutan dampak, nomor satu adalah keamanan dan kepatuhan. Kontrol dan mekanisme, dan kebijakan seputar pengendalian siapa yang memiliki akses apa ke sistem apa, untuk alasan dan tujuan apa. Melaporkan hal itu dan memonitornya, melihat ke dalam sistem, melihat ke dalam database, dan melihat siapa yang sebenarnya dapat mengakses catatan, masing-masing bidang dan catatan.
Pikirkan ini dalam bentuk yang sangat sederhana. Mari kita bicara tentang perbankan dan manajemen kekayaan sebagai salah satu contoh. Ketika Anda mendaftar untuk rekening bank, katakan saja akun kas normal untuk kartu EFTPOS, atau akun tunai atau akun cek. Anda mengisi formulir dan ada banyak informasi yang sangat pribadi di selembar kertas yang Anda isi atau Anda lakukan secara online dan itu masuk ke sistem komputer. Sekarang, jika seseorang dalam pemasaran ingin menghubungi Anda dan mengirimi Anda brosur, mereka harus diizinkan untuk melihat nama depan Anda, dan nama belakang, dan alamat pribadi Anda, misalnya dan berpotensi nomor telepon Anda jika mereka ingin menelepon Anda dan menjual sesuatu padamu. Mereka mungkin seharusnya tidak melihat jumlah total uang yang Anda dapatkan di bank karena banyak alasan. Jika seseorang melihat Anda dari sudut pandang risiko, atau mencoba membantu Anda melakukan sesuatu seperti mendapatkan suku bunga yang lebih baik di akun Anda, orang tersebut mungkin ingin melihat berapa banyak uang yang Anda dapatkan di bank, sehingga mereka dapat menawarkan tingkat pengembalian bunga yang sesuai untuk uang Anda. Kedua individu tersebut memiliki peran yang sangat berbeda dan alasan yang sangat berbeda untuk peran tersebut, dan tujuan untuk peran tersebut. Akibatnya, perlu melihat informasi yang berbeda di catatan Anda, tetapi tidak semua catatan.
Kontrol ini di sekitar laporan berbeda dari layar biasa atau formulir yang mereka miliki di aplikasi yang digunakan untuk mengelola akun Anda. Pengembangan untuk itu, pemeliharaan itu, administrasi itu, pelaporan di sekitar itu, dan tata kelola dan kepatuhan melilit orang-orang seperti bungkus gelembung, semua adalah tantangan yang sangat, sangat besar. Itu hanya tantangan nomor satu dalam mengelola data dan sistem. Ketika kita masuk lebih dalam ke dalam kinerja dan pemantauan, dan deteksi insiden dan respons, manajemen dan administrasi sistem, dan kepatuhan di sekitar mereka, desain dan pengembangan sistem dari kepatuhan, itu menjadi jauh lebih sulit.
Mengelola seluruh masalah pengurangan risiko dan meningkatkan keamanan. Lima tantangan utama saya di ruang ini - dan saya suka citra yang menyertai meja bea cukai ketika Anda memasuki negara - mereka menunjukkan paspor Anda, dan mereka memeriksa Anda, dan mereka melihat sistem komputer mereka untuk melihat apakah Anda harus lulus atau tidak. Jika tidak, mereka menempatkan Anda di pesawat berikutnya kembali ke rumah. Kalau tidak, mereka membiarkan Anda kembali dan mereka bertanya kepada Anda seperti, "Apakah Anda datang berlibur? Apakah Anda di sini turis? Apakah Anda di sini untuk bekerja? Pekerjaan seperti apa yang akan Anda lihat? Di mana Anda akan tinggal? "Berapa lama Anda akan datang? Apakah Anda punya cukup uang untuk menutupi pengeluaran dan biaya Anda? Atau apakah Anda akan menjadi risiko bagi negara tempat Anda berada dan mereka mungkin harus menjaga dan memberi makan Anda?"
Ada beberapa masalah di sekitar ruang data ini, mengelola perlindungan data. Sebagai contoh di ruang basis data, kita perlu memikirkan mitigasi bypass basis data. Jika data ada di database, dalam lingkungan normal dan ada kontrol dan mekanisme di sekitarnya dalam sistem. Apa yang terjadi jika dump data dibuat dalam lebih banyak SQL dan dicadangkan untuk direkam? Basis data dibuang dalam bentuk mentah dan kadang-kadang didukung. Kadang-kadang dilakukan karena alasan teknis, alasan pengembangan. Anggap saja dump DB diambil dan dicadangkan untuk direkam. Apa yang terjadi jika saya mendapatkan pita itu dan mengembalikannya? Dan saya punya salinan mentah dari database dalam SQL. Ini file MP, itu teks, saya bisa membacanya. Semua kata sandi yang disimpan dalam dump itu tidak memiliki kendali atas saya karena saya sekarang mendapatkan akses ke konten aktual dari basis data tanpa mesin basis data melindunginya. Jadi saya secara teknis dapat mem-bypass keamanan platform database yang sedang dibangun di mesin dengan kepatuhan, dan manajemen risiko untuk menghentikan saya melihat data. Karena berpotensi sebagai pengembang, administrator sistem, saya sudah memiliki banyak database yang harus digunakan untuk cadangan.
Penyalahgunaan data - berpotensi membuat seseorang untuk masuk sebagai akun mereka yang ditinggikan dan membiarkan saya duduk di layar, mencari informasi, atau hal serupa. Audit hak milik, dari akses dan penggunaan data, dan melihat data atau perubahan data. Kemudian pelaporan seputar kontrol itu dan kepatuhan diperlukan. Memantau lalu lintas dan akses dan sebagainya, memblokir ancaman yang datang dari lokasi dan server eksternal. Sebagai contoh jika data disajikan melalui formulir di halaman web di internet, apakah injeksi SQL mereka telah dilindungi melalui firewall dan kontrol konsep? Ada cerita panjang yang terperinci di balik ini. Anda dapat melihat di sini bahwa hanya beberapa dari hal-hal yang benar-benar mendasar yang kami pikirkan dalam mengurangi dan mengelola risiko di sekitar data di dalam basis data. Ini sebenarnya relatif mudah untuk menyelesaikan beberapa dari ini jika Anda berada di tingkat tumpukan teknologi yang berbeda. Tantangan semakin sulit saat Anda mendapatkan lebih banyak data, dan lebih banyak basis data. Lebih banyak, dan lebih menantang dengan orang yang harus mengelola sistem, dan memantau penggunaannya, melacak detail yang relevan yang secara khusus berkaitan dengan hal-hal yang dibicarakan Robin, seputar hal-hal seperti kepatuhan pribadi. Individu memiliki kontrol dan mekanisme di sekitar mereka yang mematuhi - jika Anda melakukan sesuatu yang salah, Anda berpotensi dipecat. Jika saya masuk sebagai akun saya membiarkan Anda melihatnya, itu harus menjadi pelanggaran yang bisa dipadamkan. Sekarang saya memberi Anda akses ke data yang seharusnya tidak Anda lihat secara normal.
Ada kepatuhan pribadi, ada kepatuhan perusahaan, perusahaan memiliki kebijakan dan aturan, dan kontrol yang mereka tetapkan untuk diri mereka sendiri agar perusahaan berjalan dengan baik dan memberikan pengembalian laba dan pengembalian yang baik bagi investor dan pemegang saham. Lalu sering ada di seluruh kota atau di seluruh negara bagian atau nasional, federal seperti yang Anda katakan kontrol dan hukum AS. Lalu ada yang global. Beberapa insiden besar di dunia, di mana orang-orang seperti Sarbanes-Oxley, dua individu yang diminta untuk menemukan cara bagaimana melindungi data dan sistem. Ada Basel di Eropa dan ada semua rentang kendali di Australia, terutama di sekitar bursa saham dan platform kredensial, dan kemudian privasi di tingkat individu atau perusahaan. Ketika masing-masing ditumpuk seperti yang Anda lihat di salah satu situs yang dimiliki Robin, mereka hampir menjadi gunung yang hampir mustahil untuk didaki. Biayanya menjadi tinggi dan kami berada pada titik di mana pendekatan tradisional asli yang Anda tahu, seperti manusia yang mengukur kontrol, tidak lagi menjadi pendekatan yang tepat karena skalanya terlalu besar.
Kami memiliki skenario di mana kepatuhan adalah apa yang saya sebut sekarang sebagai masalah yang selalu ada. Dan itu adalah bahwa kami dulu berpotensi memiliki titik waktu, baik bulanan atau triwulanan atau tahunan, di mana kami akan meninjau keadaan negara kami dan membantu kepatuhan dan kontrol. Memastikan bahwa orang-orang tertentu memiliki akses tertentu dan tidak memiliki akses tertentu tergantung pada apa izin mereka. Sekarang ini adalah kasus kecepatan hal-hal yang bergerak, kecepatan di mana hal-hal berubah, skala di mana kita beroperasi. Kepatuhan selalu menjadi masalah dan krisis keuangan global hanyalah satu contoh di mana kontrol yang relevan, dan langkah-langkah dalam keamanan dan kepatuhan bisa berpotensi menghindari skenario di mana kami memiliki kereta api barang yang tidak dapat dikendalikan dari perilaku tertentu. Hanya menciptakan situasi dengan seluruh dunia secara efektif mengetahui itu akan bangkrut dan bangkrut. Untuk melakukan itu, kita membutuhkan alat yang tepat. Melempar manusia ke kereta, melempar mayat bukan lagi pendekatan yang valid karena skalanya terlalu besar dan benda bergerak terlalu cepat. Diskusi hari ini, saya pikir akan kita bahas, adalah tentang jenis alat yang berlaku untuk ini. Secara khusus alat-alat yang IDERA dapat berikan kepada kami yang harus melakukan itu. Dan dengan itu dalam pikiran, saya akan menyerahkannya kepada Bullett untuk memeriksa bahan-bahannya dan menunjukkan kepada kita pendekatan mereka dan alat-alat yang mereka miliki untuk menyelesaikan masalah ini yang telah kami tunjukkan untuk Anda.
Dengan itu, Bullett, aku akan menyerahkan padamu.
Bullett Manale: Kedengarannya bagus, terima kasih. Saya ingin berbicara tentang beberapa slide dan saya juga ingin menunjukkan kepada Anda sebuah produk yang kami gunakan untuk database SQL Server khusus untuk membantu dengan situasi kepatuhan. Sungguh, tantangan dalam banyak kasus - saya akan melewati beberapa di antaranya - ini hanya portofolio produk kami, saya akan melalui itu dengan cukup cepat. Dalam hal benar-benar ke mana produk ini akan membahas dan bagaimana kaitannya dengan kepatuhan, saya selalu menarik ini sebagai slide pertama karena ini semacam generik, "Hei, apa tanggung jawab DBA?" Salah satu hal mengendalikan dan memantau akses pengguna dan juga dapat menghasilkan laporan. Itu akan mengikat ketika Anda berbicara dengan auditor Anda, betapa sulitnya proses itu akan bervariasi tergantung pada apakah Anda akan melakukannya sendiri atau jika Anda akan menggunakan pihak ketiga alat untuk membantu.
Secara umum, ketika saya berbicara dengan administrator database, sering kali mereka tidak pernah terlibat dalam audit. Anda harus mendidik mereka agar benar-benar harus melakukan apa. Terkait dengan jenis kepatuhan apa yang perlu dipenuhi dan dapat membuktikan bahwa Anda benar-benar mengikuti aturan yang berlaku untuk tingkat kepatuhan tersebut. Banyak orang pada awalnya tidak mengerti. Mereka berpikir, "Oh, saya hanya bisa membeli alat yang akan membuat saya patuh." Kenyataannya adalah, bukan itu masalahnya. Saya berharap bisa mengatakan bahwa produk kami secara ajaib, dengan Anda tahu, menekan tombol yang mudah, memberi Anda kemampuan untuk memastikan bahwa Anda patuh. Kenyataannya adalah bahwa Anda harus mengatur lingkungan Anda dalam hal kontrol, dalam hal bagaimana orang mengakses data, bahwa semua harus dikerjakan dengan aplikasi yang Anda miliki. Di mana data sensitif disimpan, jenis persyaratan regulasi apa itu. Kemudian, juga harus bekerja sama dengan petugas kepatuhan internal juga untuk memastikan Anda mengikuti semua aturan.
Ini terdengar sangat rumit. Jika Anda melihat semua persyaratan peraturan, Anda akan berpikir bahwa itulah masalahnya, tetapi kenyataannya adalah bahwa ada penyebut yang sama di sini. Dalam kasus kami dengan alat yang akan saya tunjukkan hari ini, produk Manajer Kepatuhan, proses dalam situasi kami adalah bahwa, pertama-tama dan terutama, kami perlu memastikan bahwa kami mengumpulkan data jejak audit, terkait ke tempat data berada dalam database yang sensitif. Anda dapat mengumpulkan semuanya, bukan? Saya bisa keluar dan mengatakan saya ingin mengumpulkan setiap transaksi yang terjadi pada database ini. Kenyataannya adalah bahwa Anda mungkin hanya memiliki sebagian kecil atau persentase kecil dari transaksi yang sebenarnya terkait dengan data sensitif. Jika kepatuhan PCI itu akan berada di sekitar informasi kartu kredit, pemilik kartu kredit, informasi pribadi mereka. Mungkin ada satu ton transaksi lain yang terkait dengan aplikasi Anda, yang tidak benar-benar mempengaruhi persyaratan peraturan PCI.
Dari sudut pandang itu, hal pertama ketika saya berbicara dengan DBA adalah saya katakan, “Tantangan nomor satu bukanlah mencoba mendapatkan alat untuk melakukan hal-hal ini untuk Anda. Itu hanya mengetahui di mana data sensitif itu dan bagaimana kita mengunci data itu? ”Jika Anda memiliki itu, jika Anda dapat menjawab pertanyaan itu, maka Anda setengah jalan dalam hal mampu menunjukkan bahwa Anda mematuhi, dengan asumsi Anda mengikuti kontrol yang tepat. Katakanlah sejenak bahwa Anda mengikuti kontrol yang tepat dan Anda memberi tahu auditor bahwa itulah masalahnya. Bagian selanjutnya dari proses ini jelas mampu memberikan jejak audit yang menunjukkan dan memvalidasi kontrol yang benar-benar berfungsi. Kemudian, lanjutkan dengan memastikan Anda menyimpan data itu. Biasanya dengan hal-hal seperti kepatuhan PCI dan HIPAA, dan hal-hal semacam itu, Anda berbicara tentang retensi senilai tujuh tahun. Anda sedang berbicara tentang banyak transaksi dan banyak data.
Jika Anda menjaga, mengumpulkan setiap transaksi meskipun hanya lima persen dari transaksi terkait dengan data sensitif, Anda berbicara tentang biaya yang cukup besar terkait dengan harus menyimpan data itu selama tujuh tahun. Itu salah satu tantangan terbesar, saya pikir, adalah membuat orang mengatasinya untuk mengatakan, itu benar-benar biaya yang tidak perlu, jelas. Ini juga jauh lebih mudah jika kita hanya bisa fokus pada area sensitif dalam database. Selain itu, Anda juga ingin kontrol di sekitar beberapa informasi sensitif juga. Bukan hanya untuk menunjukkan dalam hal jejak audit, tetapi juga untuk dapat mengikat hal-hal kembali ke tindakan yang terjadi dan dapat diberitahukan secara real time, sehingga Anda dapat dibuat sadar akan hal itu.
Contoh yang selalu saya gunakan, dan mungkin tidak selalu terkait dengan segala jenis persyaratan peraturan tetapi hanya bisa melacak, misalnya, seseorang harus menjatuhkan tabel yang terkait dengan daftar gaji. Jika itu terjadi, cara Anda mengetahuinya, jika Anda tidak melacaknya, tidak ada yang dibayar. Sudah terlambat. Anda ingin tahu kapan meja itu terjatuh, tepat saat terjatuh, untuk menghindari hal-hal buruk yang terjadi sebagai akibat dari beberapa karyawan yang tidak puas pergi dan menghapus meja yang terkait langsung dengan penggajian.
Dengan mengatakan itu, triknya adalah menemukan common denominator atau menggunakan common denominator untuk memetakan tingkat kepatuhannya. Itulah yang kami coba lakukan dengan alat ini. Kami pada dasarnya mengambil pendekatan, kami tidak akan menunjukkan kepada Anda laporan yang khusus untuk PCI, khusus untuk saham; penyebut yang umum adalah Anda memiliki aplikasi yang menggunakan SQL Server untuk menyimpan data sensitif dalam database. Begitu Anda berhasil mengatasinya, Anda berkata, "Ya, itu benar-benar hal utama yang perlu kita fokuskan - di mana data sensitif itu, dan bagaimana data itu diakses?" Setelah Anda memilikinya, ada banyak laporan yang kami tawarkan yang dapat memberikan bukti itu, Anda akan, dalam kepatuhan.
Kembali ke pertanyaan yang diajukan oleh auditor, pertanyaan pertama adalah: Siapa yang memiliki akses ke data dan bagaimana mereka mendapatkan akses itu? Bisakah Anda membuktikan bahwa orang yang tepat mengakses data dan orang yang salah tidak? Bisakah Anda juga membuktikan bahwa jejak audit itu sendiri adalah sesuatu yang dapat saya percayai sebagai sumber informasi yang tidak dapat diubah? Jika saya memberi Anda jejak audit yang dibuat, itu tidak benar-benar baik bagi saya sebagai auditor untuk menambal audit Anda jika informasinya dibuat. Kami membutuhkan bukti tentang itu, biasanya dari perspektif audit.
Menjawab pertanyaan-pertanyaan itu, sedikit lebih detail. Tantangan dengan pertanyaan pertama adalah, Anda harus tahu, seperti yang saya katakan, di mana data sensitif itu untuk melaporkan siapa yang mengaksesnya. Itu biasanya beberapa jenis penemuan dan Anda benar-benar memiliki ribuan aplikasi berbeda di luar sana, Anda punya banyak persyaratan peraturan yang berbeda. Dalam kebanyakan kasus, Anda ingin bekerja dengan petugas kepatuhan Anda jika Anda memilikinya, atau setidaknya seseorang yang akan memiliki beberapa wawasan tambahan dalam hal benar-benar di mana data sensitif saya berada dalam aplikasi. Kami memiliki alat yang kami miliki, ini alat gratis, ini disebut Pencarian Kolom SQL. Kami memberi tahu calon pelanggan dan pengguna kami yang tertarik dengan pertanyaan itu, mereka dapat mengunduhnya. Apa yang akan dilakukan adalah pada dasarnya mencari informasi di dalam basis data yang cenderung sensitif.
Dan setelah Anda melakukannya, Anda juga harus memahami bagaimana orang mengakses data itu. Dan itu akan menjadi, sekali lagi, akun mana yang termasuk dalam kelompok Direktori Aktif, yang melibatkan pengguna basis data, ada peran keanggotaan yang terkait dengan ini. Dan dengan mengingat, tentu saja, bahwa semua hal yang kita bicarakan ini harus disetujui oleh auditor, jadi jika Anda berkata, "Inilah cara kami mengunci data, " maka auditor dapat datang kembali dan berkata, "Yah, kau salah melakukannya." Tapi katakan saja mereka berkata, "Ya, itu terlihat bagus. Anda mengunci data dengan cukup. "
Beralih ke pertanyaan berikutnya, yang akan menjadi, dapatkah Anda membuktikan bahwa orang yang tepat mengakses data itu? Dengan kata lain, Anda dapat memberi tahu mereka bahwa kontrol Anda adalah, ini adalah kontrol yang Anda ikuti, tetapi sayangnya auditor tidak benar-benar mempercayai individu. Mereka ingin bukti dan ingin melihatnya dalam jejak audit. Dan ini kembali ke soal denominator yang sama-sama umum itu. Apakah itu PCI, SOX, HIPAA, GLBA, Basel II, apa pun, kenyataannya, adalah bahwa jenis pertanyaan yang sama akan ditanyakan. Objek dengan informasi sensitif, siapa yang telah mengakses objek itu dalam sebulan terakhir? Itu harus memetakan ke kontrol saya dan saya harus bisa lulus audit saya akhirnya dengan menunjukkan jenis-jenis laporan.
Jadi yang kami lakukan adalah kami telah mengumpulkan sekitar 25 laporan berbeda yang mengikuti bidang-bidang yang sama dengan penyebut yang sama. Jadi kami tidak memiliki laporan untuk PCI atau untuk HIPAA atau untuk SOX, kami memiliki laporan bahwa, sekali lagi, mereka melawan penyebut yang sama. Jadi tidak masalah apa persyaratan peraturan yang Anda coba penuhi, dalam banyak kasus Anda akan bisa menjawab pertanyaan apa pun yang diajukan kepada Anda oleh auditor itu. Dan mereka akan memberi tahu Anda siapa, apa, kapan, dan di mana setiap transaksi. Anda tahu, pengguna, waktu transaksi terjadi, pernyataan SQL itu sendiri, aplikasi asalnya, semua hal yang baik, dan kemudian juga dapat mengotomatiskan pengiriman informasi ini ke laporan.
Dan kemudian, sekali lagi, setelah Anda melewati itu dan Anda telah memberikannya kepada auditor, maka pertanyaan selanjutnya adalah, buktikan. Dan ketika saya mengatakan buktikan, maksud saya buktikan bahwa jejak audit itu sendiri adalah sesuatu yang dapat kita percayai. Dan cara kami melakukannya dalam alat kami adalah kami memiliki nilai hash dan nilai CRC yang mengikat langsung kembali ke peristiwa itu sendiri dalam jejak audit. Maka demikianlah idenya adalah, adalah bahwa jika seseorang keluar dan menghapus catatan atau jika seseorang keluar dan menghapus atau menambahkan sesuatu ke jejak audit atau mengubah sesuatu di jejak audit itu sendiri, kita dapat membuktikan bahwa data itu, integritas dari data itu sendiri, dilanggar. Dan 99, 9 persen dari waktu jika Anda memiliki basis data jejak audit kami dikunci, Anda tidak akan mengalami masalah itu karena ketika kami menjalankan pemeriksaan integritas kami pada dasarnya membuktikan kepada auditor bahwa data itu sendiri belum diubah dan dihapus atau ditambahkan ke sejak tulisan asli dari layanan manajemen itu sendiri.
Jadi itu semacam gambaran umum tentang jenis pertanyaan yang biasa Anda tanyakan. Sekarang, alat yang harus kita tangani banyak dari ini disebut SQL Compliance Manager dan melakukan semua hal dalam hal pelacakan transaksi, siapa, apa, kapan, dan di mana transaksi, bisa melakukan itu dalam sejumlah area yang berbeda juga. Login, gagal login, perubahan skema, jelas akses data, pilih aktivitas, semua hal yang terjadi dalam mesin database. Dan kami juga dapat memperingatkan pengguna tentang kondisi khusus yang sangat terperinci, jika perlu. Misalnya, seseorang keluar dan benar-benar melihat tabel yang berisi semua nomor kartu kredit saya. Mereka tidak mengubah data, mereka hanya melihatnya. Dalam situasi itu saya bisa mengingatkan dan saya bisa memberi tahu orang-orang bahwa itu terjadi, bukan enam jam kemudian ketika kami sedang mengikis kayu tetapi secara real time. Pada dasarnya selama kita perlu memproses transaksi itu melalui layanan manajemen.
Seperti yang saya sebutkan sebelumnya, kita telah melihat ini digunakan dalam berbagai persyaratan peraturan yang berbeda dan tidak benar-benar - Anda tahu, persyaratan peraturan, sekali lagi, selama penyebut umum, Anda memiliki data sensitif dalam SQL Server database, ini adalah alat yang akan membantu dalam situasi semacam itu. Ke 25 laporan yang ada di dalamnya, sekarang kenyataannya adalah bahwa kita dapat membuat alat ini baik untuk auditor dan menjawab setiap pertanyaan yang mereka tanyakan, tetapi DBA adalah yang harus membuatnya berfungsi. Jadi ada juga yang berpikir, Anda tahu betul, dari perspektif pemeliharaan kita harus memastikan bahwa SQL bekerja seperti yang kita inginkan. Kita juga harus bisa masuk dan melihat hal-hal yang akan bisa keluar dan melihat potongan informasi lain, Anda tahu, sejauh pengarsipan data, otomatisasi itu dan overhead itu sendiri dari produk. Itu adalah hal-hal yang jelas kami perhitungkan.
Yang memunculkan arsitektur itu sendiri. Jadi di sisi kanan layar kita punya contoh-contoh SQL yang kita kelola, mulai dari tahun 2000 hingga 2014, bersiap-siap untuk merilis versi untuk 2016. Pesan terbesar pada layar ini adalah manajemen Server itu sendiri melakukan semua pengangkatan berat. Kami hanya mengumpulkan data, menggunakan jejak API, yang dibangun dengan SQL Server. Informasi itu mengalir ke server manajemen kami. Server manajemen itu sendiri mengidentifikasi dan jika ada peristiwa yang terkait dengan segala jenis transaksi yang tidak kita inginkan, mengirimkan peringatan, dan hal-hal semacam itu, dan kemudian mengisi data dalam repositori. Dari sana kita dapat menjalankan laporan, kita dapat keluar dan benar-benar melihat informasi itu dalam laporan atau bahkan di dalam konsol aplikasi.
Jadi apa yang akan saya lakukan adalah saya akan membawa kita melaluinya, sangat cepat, dan saya hanya ingin menunjukkan satu hal cepat sebelum kita masuk ke dalam produk, ada tautan di situs web sekarang, atau pada presentasi, itu akan membawa Anda ke alat gratis yang saya sebutkan sebelumnya. Alat gratis itu, seperti yang saya katakan, akan keluar dan melihat database dan mencoba menemukan area yang terlihat seperti data sensitif, nomor jaminan sosial, nomor kartu kredit, berdasarkan pada penamaan kolom atau tabel, atau berdasarkan pada cara format data terlihat, dan Anda dapat menyesuaikannya juga, jadi hanya untuk menunjukkannya.
Sekarang, dalam kasus kami, izinkan saya maju dan membagikan layar saya, beri saya satu detik di sini. Baiklah, jadi saya ingin membawa Anda terlebih dahulu adalah saya ingin membawa Anda ke aplikasi Compliance Manager itu sendiri dan saya akan membahasnya dengan cukup cepat. Tetapi ini adalah aplikasinya dan Anda dapat melihat saya punya beberapa basis data di sini dan saya hanya akan menunjukkan kepada Anda betapa mudahnya untuk masuk dan memberi tahu apa yang ingin Anda audit. Dari sudut pandang perubahan skema, perubahan keamanan, kegiatan administrasi, DML, Pilih, kami memiliki semua opsi yang tersedia bagi kami, kami juga dapat memfilternya. Ini kembali ke praktik terbaik untuk dapat mengatakan, “Saya benar-benar hanya perlu tabel ini karena berisi nomor kartu kredit saya. Saya tidak memerlukan tabel lain yang memiliki informasi produk, semua hal lain yang tidak relatif terhadap tingkat kepatuhan yang saya coba temui. "
Kami juga memiliki kemampuan untuk mengambil data dan menunjukkannya dalam nilai bidang yang berubah. Dalam banyak alat Anda akan memiliki sesuatu yang akan memberi Anda kemampuan untuk menangkap pernyataan SQL, menunjukkan kepada pengguna, menunjukkan aplikasi, waktu dan tanggal, semua hal yang baik. Tetapi dalam beberapa kasus pernyataan SQL itu sendiri tidak akan memberi Anda informasi yang cukup untuk dapat memberi tahu Anda apa nilai bidang itu sebelum perubahan terjadi serta nilai bidang setelah perubahan terjadi. Dan dalam beberapa situasi Anda membutuhkannya. Saya mungkin ingin melacak, misalnya, informasi dosis dokter untuk obat resep. Mulai dari 50mg ke 80mg ke 120mg, saya akan dapat melacaknya menggunakan sebelum dan sesudah.
Kolom sensitif adalah hal lain yang sering kita temui, misalnya, dengan kepatuhan PCI. Dalam situasi di sini Anda memiliki data yang sangat sensitif sehingga hanya dengan melihat informasi itu, saya tidak perlu mengubahnya, menghapusnya, atau menambahkannya, saya dapat menyebabkan kerusakan yang tidak dapat diperbaiki. Nomor kartu kredit, nomor jaminan sosial, semua jenis barang bagus yang bisa kita identifikasi kolom sensitif dan tanda peringatan padanya. Jika ada yang keluar dan melihat informasi itu, kami dapat, tentu saja, mengingatkan dan mengirim email atau menghasilkan perangkap SNMP dan hal-hal semacam itu.
Sekarang dalam beberapa kasus Anda akan mengalami situasi di mana Anda mungkin memiliki pengecualian. Dan apa yang saya maksud dengan itu, Anda memiliki situasi di mana Anda memiliki pengguna yang memiliki akun pengguna yang mungkin terkait dengan beberapa jenis pekerjaan ETL yang berjalan di tengah malam. Ini adalah proses yang terdokumentasi dan saya hanya tidak perlu memasukkan informasi transaksional untuk akun pengguna itu. Dalam hal ini kami akan memiliki pengguna tepercaya. Dan kemudian dalam situasi lain kita akan menggunakan fitur Audit Pengguna Privileged yang pada dasarnya, jika saya punya, katakanlah misalnya, sebuah aplikasi, dan aplikasi itu sudah melakukan audit, dari pengguna yang akan melalui aplikasi, itu hebat, saya sudah punya sesuatu untuk referensi dalam hal audit saya. Tetapi untuk hal-hal yang terkait, misalnya, pengguna istimewa saya, orang-orang yang bisa masuk ke studio manajemen SQL Server untuk melihat data dalam database, itu tidak akan memotongnya. Dan di sinilah kita dapat menentukan siapa pengguna istimewa kami, baik melalui Keanggotaan Peran, atau melalui akun Active Directory mereka, grup, akun terotentikasi SQL mereka, di mana kami akan dapat memilih semua jenis opsi yang berbeda dan lalu dari sana pastikan bahwa untuk pengguna istimewa itu kami dapat menentukan jenis transaksi yang kami minati dalam audit.
Ini semua jenis opsi berbeda yang Anda miliki dan saya tidak akan membahas semua jenis hal berdasarkan pada batasan waktu untuk presentasi ini. Tetapi saya ingin menunjukkan kepada Anda bagaimana kami dapat melihat data dan saya pikir Anda akan menyukai cara kerjanya karena ada dua cara kami bisa melakukannya. Saya dapat melakukannya secara interaktif dan ketika kami berbicara dengan orang-orang yang tertarik dengan alat ini untuk mungkin kontrol internal mereka sendiri, mereka hanya ingin tahu apa yang terjadi dalam banyak kasus. Mereka tidak harus memiliki auditor yang datang di lokasi. Mereka hanya ingin tahu, "Hei, aku ingin pergi ke meja ini dan melihat siapa yang menyentuhnya di minggu terakhir atau bulan lalu atau apa pun yang terjadi." Dalam hal ini Anda dapat melihat seberapa cepat kita bisa melakukan itu.
Dalam kasus database perawatan kesehatan, saya punya meja yang disebut Catatan Pasien. Dan meja itu, jika saya hanya mengelompokkan objek, itu bisa dengan cepat mulai mempersempit tempat yang kita cari. Mungkin saya ingin mengelompokkan berdasarkan kategori dan kemudian mungkin berdasarkan peristiwa. Dan ketika saya melakukan itu, Anda bisa melihat seberapa cepat itu muncul, dan ada tabel Catatan Pasien saya di sana. Dan ketika saya menelusuri sekarang kita dapat melihat aktivitas DML, kita dapat melihat bahwa kita telah memiliki ribuan sisipan DML, dan ketika kita membuka salah satu transaksi ini kita dapat melihat informasi yang relevan. Siapa, apa, kapan, di mana transaksi, pernyataan SQL, jelas, aplikasi aktual yang digunakan untuk melakukan transaksi, akun, waktu dan tanggal.
Sekarang jika Anda melihat tab berikutnya di sini, tab Detail, ini kembali ke pertanyaan ketiga yang kita bicarakan, membuktikan bahwa integritas data belum dilanggar. Jadi pada dasarnya setiap peristiwa, kami memiliki perhitungan rahasia untuk nilai hash kami, dan ini akan mengikat kembali ketika kami melakukan pemeriksaan integritas kami. Sebagai contoh, jika saya pergi ke alat, masuk ke menu audit, dan saya pergi keluar dan berkata, mari kita periksa integritas repositori, saya bisa menunjuk ke database di mana jejak audit berada, itu akan berjalan melalui pemeriksaan integritas yang mencocokkan nilai hash dan nilai CRC tersebut dengan kejadian aktual dan ini akan memberi tahu kami bahwa tidak ada masalah yang ditemukan. Dengan kata lain, data dalam jejak audit belum dirusak sejak aslinya ditulis oleh layanan manajemen. Itu jelas salah satu cara untuk berinteraksi dengan data. Cara lain adalah melalui laporan sendiri. Jadi saya hanya akan memberi Anda satu contoh cepat dari sebuah laporan.
Dan sekali lagi, laporan-laporan ini, cara kami mengatasinya, tidak spesifik untuk semua jenis standar seperti PCI, HIPAA, SOX atau semacamnya. Sekali lagi, itu adalah denominator umum dari apa yang kita lakukan, dan dalam kasus ini, jika kita kembali ke contoh catatan pasien, kita akan dapat pergi keluar dan berkata, dalam kasus kita di sini, kita melihat di database perawatan kesehatan dan dalam kasus kami, kami ingin fokus secara khusus pada tabel yang kami ketahui berisi informasi pribadi, dalam kasus kami, terkait dengan pasien kami. Jadi, biarkan saya melihat apakah saya bisa mengetiknya di sini, dan kita akan melanjutkan dan menjalankan laporan itu. Dan kita akan melihat kemudian, jelasnya, dari sana semua data relevan yang terkait dengan objek itu. Dan dalam kasus kami itu menunjukkan kita selama periode waktu satu bulan. Tapi kita bisa kembali enam bulan, setahun, betapapun lama kita menyimpan data.
Itu adalah cara-cara di mana Anda dapat benar-benar membuktikan, jika Anda mau, kepada auditor bahwa Anda mengikuti kendali Anda. Setelah Anda mengidentifikasi itu, maka jelas itu hal yang baik dalam hal melewati audit Anda dan mampu menunjukkan bahwa Anda mengikuti kontrol dan semuanya berfungsi.
Hal terakhir yang perlu dibicarakan adalah tentang bagian administrasi. Ada juga kontrol dari sudut pandang di dalam alat ini sendiri yang dapat mengatur kontrol untuk dapat memastikan bahwa jika seseorang melakukan sesuatu yang tidak seharusnya mereka lakukan, saya dapat dibuat sadar akan hal itu. Dan saya akan memberikan beberapa contoh di sana. Saya punya akun masuk yang terkait dengan layanan dan layanan itu memerlukan izin yang ditingkatkan untuk melakukan apa yang dilakukannya. Yang tidak saya inginkan adalah seseorang masuk dan menggunakan akun itu di Management Studio dan kemudian, Anda tahu, menggunakannya untuk hal-hal yang tidak dimaksudkan. Kami akan memiliki dua kriteria di sini yang dapat kami terapkan. Saya bisa mengatakan, "Lihat, kami benar-benar tertarik pada pekerjaan ini, katakanlah, dengan aplikasi PeopleSoft kami, " seperti contohnya, oke?
Sekarang saya telah melakukan itu, apa yang saya katakan di sini adalah, saya ingin tahu ada info masuk yang terkait dengan akun yang saya siap tentukan, jika aplikasi yang digunakan untuk masuk dengan akun ini bukan PeopleSoft, maka itu akan menjadi kenaikan untuk alarm. Dan jelas kita harus menentukan nama akun itu sendiri, jadi dalam kasus kami, mari kita panggil Akun Priv ini, untuk fakta bahwa itu istimewa. Sekarang setelah kita selesai melakukannya, ketika kita melakukan ini di sini, sekarang kita akan dapat menentukan apa yang kita inginkan terjadi ketika itu terjadi dan untuk setiap jenis acara atau, saya harus mengatakan, waspada, Anda dapat memiliki pemberitahuan terpisah kepada orang yang bertanggung jawab atas bagian data tertentu.
Sebagai contoh, jika ini adalah informasi gaji, itu mungkin pergi ke direktur SDM saya. Dalam hal ini, berurusan dengan aplikasi PeopleSoft, itu akan menjadi administrator aplikasi itu. Apapun masalahnya. Saya akan bisa memasukkan alamat email saya, menyesuaikan pesan peringatan aktual dan semua hal baik semacam itu. Sekali lagi, ini semua kembali untuk memastikan bahwa Anda dapat menunjukkan bahwa Anda mengikuti kontrol Anda dan bahwa kontrol tersebut bekerja dengan cara yang dimaksudkan. Dari perspektif terakhir di sini, hanya dalam hal pemeliharaan, kami memiliki kemampuan untuk mengambil data ini dan membuatnya offline. Saya dapat mengarsipkan data dan saya dapat menjadwalkannya dan kami akan dapat melakukan hal-hal ini dengan sangat mudah dalam arti bahwa Anda benar-benar dapat, sebagai DBA, yang menggunakan alat ini, mengaturnya dan jenisnya. menjauh darinya. Tidak ada banyak pegangan tangan yang akan terjadi begitu Anda mengaturnya sebagaimana mestinya. Seperti yang saya katakan, bagian tersulit tentang semua ini, saya pikir, bukanlah mengatur apa yang Anda inginkan diaudit, itu tahu apa yang ingin Anda atur untuk diaudit.
Dan seperti yang saya katakan, sifat binatang dengan audit, Anda harus menyimpan data selama tujuh tahun, jadi hanya masuk akal untuk fokus pada area yang sensitif di alam. Tetapi jika Anda ingin melakukan pendekatan mengumpulkan segalanya, Anda benar-benar bisa, itu tidak dianggap praktik terbaik. Jadi dari sudut pandang itu saya hanya ingin mengingatkan orang-orang bahwa jika ini adalah sesuatu yang menarik, Anda dapat mengunjungi situs web di IDERA.com dan mengunduh uji coba ini dan bermain-main dengan itu sendiri. Dalam hal alat gratis yang kita bicarakan sebelumnya itu, yah, gratis, Anda dapat mengunduhnya dan menggunakannya selamanya, terlepas dari apakah Anda menggunakan produk Compliance Manager. Dan hal keren tentang alat pencarian kolom itu adalah temuan kami yang Anda buat, dan saya benar-benar dapat menunjukkan bahwa, saya pikir, adalah Anda dapat mengekspor data itu dan kemudian dapat mengimpornya ke Compliance Manager demikian juga. Saya tidak melihatnya, saya tahu itu ada di sini, itu dia. Ini hanya contoh dari itu. Di sinilah ia menemukan data sensitif terkait.
Sekarang kasus ini saya sudah keluar dan saya benar-benar, saya sudah melihat semuanya, tetapi Anda memiliki banyak hal yang dapat kita periksa. Nomor kartu kredit, alamat, nama, semua barang semacam itu. Dan kami akan mengidentifikasi di mana itu di dalam basis data dan kemudian dari sana Anda dapat membuat keputusan apakah Anda benar-benar ingin mengaudit informasi itu. Tapi itu jelas cara untuk membuatnya lebih mudah bagi Anda untuk menentukan ruang lingkup audit Anda ketika Anda melihat alat seperti ini.
Saya hanya akan pergi ke depan dan menutup dengan itu, dan saya akan pergi ke depan dan memberikannya kembali kepada Eric.
Eric Kavanagh: Itu presentasi yang fantastis. Saya suka cara Anda benar-benar masuk ke rincian berpasir di sana dan menunjukkan kepada kita apa yang terjadi. Karena pada akhirnya ada beberapa sistem yang akan mengakses beberapa catatan, yang akan memberi Anda laporan, yang akan membuat Anda menceritakan kisah Anda, apakah itu ke regulator atau auditor atau seseorang di tim Anda, jadi ada baiknya Anda tahu Anda siap jika dan kapan, atau ketika dan ketika, orang itu datang mengetuk, dan tentu saja itu situasi yang tidak menyenangkan yang Anda coba hindari. Tetapi jika itu terjadi, dan itu mungkin akan terjadi hari ini, Anda ingin memastikan bahwa Anda memiliki titik-titik Anda dan huruf T Anda dilewati.
Ada pertanyaan bagus dari anggota audiens yang ingin saya sampaikan kepada Anda, Bullett, dan kemudian jika mungkin seorang presenter ingin mengomentarinya, jangan ragu. Dan mungkin Dez mengajukan pertanyaan dan Robin. Jadi pertanyaannya adalah, apakah adil untuk mengatakan bahwa untuk melakukan semua hal yang telah Anda sebutkan, Anda perlu memulai upaya klasifikasi data di tingkat dasar? Anda perlu mengetahui data Anda ketika itu muncul sebagai aset potensial yang berharga dan melakukan sesuatu tentang itu. Saya pikir Anda akan setuju, Bullett, kan?
Bullett Manale: Ya, tentu saja. Maksud saya, Anda harus mengetahui data Anda. Dan saya sadar, saya menyadari bahwa ada banyak aplikasi yang ada di luar sana dan ada banyak hal berbeda yang membuat komponen Anda bergerak. Alat pencarian kolom sangat membantu dalam hal melangkah ke arah pemahaman data yang lebih baik. Tapi ya, ini sangat penting. Maksud saya, Anda memiliki pilihan untuk melakukan pendekatan firehose dan mengaudit semuanya, tetapi jauh lebih menantang secara logistik ketika Anda berbicara tentang keharusan menyimpan data itu dan melaporkan data itu. Dan kemudian Anda masih perlu tahu di mana potongan data itu karena ketika Anda menjalankan laporan Anda, Anda akan perlu menunjukkan kepada auditor Anda informasi itu juga. Jadi saya pikir, seperti yang saya katakan, tantangan terbesar ketika saya berbicara dengan administrator basis data adalah mengetahui, ya.
Eric Kavanagh: Ya, tapi mungkin Robin akan membawa Anda dengan sangat cepat. Menurut saya aturan 80/20 berlaku di sini, bukan? Anda mungkin tidak akan menemukan setiap sistem rekaman yang penting jika Anda berada di suatu organisasi menengah atau besar, tetapi jika Anda fokus pada - seperti yang disarankan Bullett di sini - PeopleSoft misalnya, atau sistem catatan lain yang ada dominan di perusahaan, di situlah Anda memfokuskan 80 persen dari upaya Anda dan kemudian 20 persen pada sistem lain yang mungkin ada di luar sana, kan?
Robin Bloor: Ya saya yakin, ya. Maksud saya, Anda tahu, saya pikir masalah dengan teknologi ini, dan saya pikir mungkin ada baiknya berkomentar tentang itu, tetapi masalah dengan teknologi ini adalah, bagaimana Anda menerapkannya? Maksud saya, pasti ada sangat sedikit pengetahuan, katakanlah, di sebagian besar organisasi bahkan jumlah database yang ada di luar sana. Anda tahu, ada banyak sekali kekurangan inventaris, katakanlah. Anda tahu, pertanyaannya adalah, mari kita bayangkan bahwa kita mulai dalam situasi di mana tidak ada kepatuhan yang dikelola dengan sangat baik, bagaimana Anda mengambil teknologi ini dan menyuntikkannya ke lingkungan, tidak hanya di, Anda tahu, teknologi syarat, pengaturan barang, tapi seperti siapa yang mengaturnya, siapa yang menentukan apa? Bagaimana Anda mulai menyemir ini menjadi semacam pekerjaan yang benar-benar melakukan?
Bullett Manale: Ya, maksud saya, itu pertanyaan yang bagus. Tantangan dalam banyak kasus adalah, maksud saya, Anda harus mulai mengajukan pertanyaan tepat di awal. Saya telah menemui banyak perusahaan tempat mereka, Anda tahu, mungkin mereka adalah perusahaan swasta dan mereka diakuisisi, ada yang pertama, jenis, pertama, jenis, benjolan jalan, jika Anda ingin menyebutnya begitu. Misalnya, jika saya baru saja menjadi perusahaan publik karena akuisisi, saya harus kembali dan mungkin memikirkan beberapa hal.
Dan dalam beberapa kasus kami berbicara dengan organisasi yang, Anda tahu, meskipun mereka pribadi mereka mengikuti aturan kepatuhan SOX, hanya karena jika mereka ingin diakuisisi mereka tahu mereka harus mematuhi. Anda tentu tidak ingin mengambil pendekatan hanya, "Saya tidak perlu khawatir tentang ini sekarang." Semua jenis kepatuhan terhadap peraturan seperti PCI atau SOX atau apa pun, Anda ingin melakukan investasi dalam melakukan penelitian atau memahami di mana informasi sensitif itu, jika tidak, Anda mungkin menemukan diri Anda berurusan dengan beberapa denda yang besar dan kuat. Dan jauh lebih baik hanya menginvestasikan waktu itu, Anda tahu, menemukan data itu dan dapat melaporkannya dan menunjukkan kontrolnya berfungsi.
Ya, dalam hal pengaturannya, seperti yang saya katakan, hal pertama yang akan saya rekomendasikan kepada orang-orang yang bersiap-siap untuk menghadapi audit, adalah pergi keluar dan melakukan pemeriksaan sepintas dari database, dan mencari tahu, Anda tahu, dalam upaya terbaik mereka, mencoba mencari tahu di mana data sensitif itu berada. Dan pendekatan lain akan dimulai dengan mungkin jaring yang lebih besar dalam hal ruang lingkup audit, dan kemudian perlahan-lahan membatasi jalan Anda setelah Anda, jenis, mencari tahu di mana area-area dalam sistem yang terkait dengan informasi sensitif. Tapi saya berharap saya bisa memberi tahu Anda ada jawaban mudah untuk pertanyaan itu. Mungkin akan sedikit berbeda dari satu organisasi ke organisasi lain dan jenis kepatuhan dan sungguh bagaimana, Anda tahu, berapa banyak struktur yang mereka miliki dalam aplikasi mereka dan berapa banyak, beragam aplikasi yang mereka miliki, beberapa dapat merupakan aplikasi tertulis yang dapat disesuaikan, jadi itu benar-benar akan tergantung pada situasi di banyak kasus.
Eric Kavanagh: Silakan, Dez, saya yakin Anda punya satu atau dua pertanyaan.
Dez Blanchfield: Saya sangat tertarik untuk mendapatkan beberapa pengamatan tentang dampak Anda terhadap organisasi dari sudut pandang orang, sebenarnya. Saya pikir salah satu area di mana saya melihat nilai terbesar untuk solusi khusus ini adalah bahwa ketika orang bangun di pagi hari dan pergi bekerja di berbagai tingkatan organisasi, mereka bangun dengan serangkaian, atau rantai tanggung jawab, bahwa mereka harus berurusan dengan. Dan saya ingin mendapatkan wawasan tentang apa yang Anda lihat di sana dengan dan tanpa jenis alat yang Anda bicarakan. Dan konteks yang saya bicarakan di sini adalah dari ketua dewan hingga CEO dan CIO dan C-suite. Dan sekarang kita memiliki chief risk officer, yang lebih memikirkan tentang hal-hal yang kita bicarakan di sini dalam kepatuhan dan tata kelola, dan kemudian kita sekarang memiliki chief play role baru, chief data officer, yang, Anda tahu, bahkan lebih peduli tentang hal itu.
Dan di sisi masing-masing, di sekitar CIO, kami memiliki manajer TI di satu sisi dengan, semacam Anda tahu, arahan teknis dan kemudian arahan basis data. Dan di ruang operasional kami memiliki manajer pengembangan dan pemimpin pengembangan dan kemudian pengembangan individu, dan mereka juga kembali ke lapisan administrasi basis data. Apa yang Anda saksikan di sekitar reaksi masing-masing bagian bisnis yang berbeda ini terhadap tantangan kepatuhan dan pelaporan peraturan dan pendekatan mereka terhadapnya? Apakah Anda melihat bahwa orang-orang datang dengan semangat dan dapat melihat manfaatnya, atau apakah Anda melihat bahwa mereka dengan enggan menyeret kaki mereka ke benda ini dan hanya, Anda tahu, melakukannya untuk tanda centang di dalam kotak? Dan apa jenis respons yang Anda lihat begitu mereka melihat perangkat lunak Anda?
Bullett Manale: Ya, itu pertanyaan yang bagus. Saya akan mengatakan bahwa produk ini, penjualan produk ini, sebagian besar didorong oleh seseorang yang ada di kursi panas, jika itu masuk akal. Dalam sebagian besar kasus, itu adalah DBA, dan dari sudut pandang kami, dengan kata lain, mereka tahu bahwa ada audit yang akan datang dan mereka akan bertanggung jawab, karena mereka adalah DBA, untuk dapat memberikan informasi yang akan dilakukan auditor meminta. Mereka dapat melakukannya dengan menulis laporan mereka sendiri dan membuat jejak adat mereka sendiri dan semua hal semacam itu. Kenyataannya adalah, mereka tidak mau melakukan itu. Dalam kebanyakan kasus, DBA tidak benar-benar berharap untuk memiliki percakapan dengan auditor untuk memulai. Anda tahu, saya lebih suka memberi tahu Anda bahwa kita dapat mengunjungi perusahaan dan berkata, "Hei ini adalah alat yang hebat dan Anda akan menyukainya, " dan tunjukkan kepada mereka semua fitur dan mereka akan membelinya.
Kenyataannya adalah bahwa mereka biasanya tidak akan melihat alat ini kecuali mereka benar-benar akan dihadapkan dengan audit atau sisi lain dari koin itu adalah mereka telah melakukan audit dan gagal dengan menyedihkan dan sekarang mereka disuruh mendapatkan bantuan atau mereka akan didenda. Saya akan mengatakan bahwa dalam hal, Anda tahu, secara umum, ketika Anda menunjukkan produk ini kepada orang-orang, mereka pasti melihat nilai itu karena itu menghemat banyak waktu dalam hal harus mencari tahu apa yang ingin mereka laporkan, hal-hal semacam itu. Semua laporan itu sudah ada di dalamnya, mekanisme peringatan sudah ada, dan kemudian dengan pertanyaan ketiga juga, dalam banyak kasus, bisa menjadi tantangan. Karena saya bisa menunjukkan laporan kepada Anda sepanjang hari tetapi kecuali jika Anda dapat membuktikan kepada saya bahwa laporan tersebut benar-benar valid, Anda tahu, itu jauh lebih sulit bagi saya sebagai DBA untuk dapat menunjukkan itu. Tetapi kami telah bekerja di luar teknologi dan teknik hashing dan segala macam hal untuk dapat memastikan bahwa data dalam integritas jalur audit disimpan.
Dan itulah hal-hal yang, itulah pengamatan saya dalam hal sebagian besar orang yang kita ajak bicara. Anda tahu, pasti ada, di organisasi yang berbeda, Anda tahu, Anda akan mendengar tentang, Anda tahu, Target, misalnya, memiliki pelanggaran data dan, Anda tahu, maksud saya, ketika organisasi lain mendengar tentang denda dan mereka macam-macam hal orang mulai, itu mengangkat alis, jadi, semoga itu menjawab pertanyaan.
Dez Blanchfield: Ya, tentu saja. Saya bisa membayangkan beberapa DBA ketika mereka akhirnya melihat apa yang bisa dilakukan dengan alat ini hanya menyadari bahwa mereka sudah larut malam dan akhir pekan juga. Pengurangan waktu dan biaya dan hal-hal lain yang saya lihat ketika alat yang tepat diterapkan untuk seluruh masalah ini, dan itu adalah bahwa, tiga minggu saya duduk dengan bank di Australia. Mereka adalah bank global, tiga bank teratas, mereka sangat besar. Dan mereka memiliki proyek di mana mereka harus melaporkan kepatuhan mereka dalam pengelolaan kekayaan dan khususnya risiko, dan mereka sedang mencari pekerjaan senilai 60 minggu untuk beberapa ratus manusia. Dan ketika mereka diperlihatkan orang-orang seperti alat seperti Anda yang hanya bisa mengotomatiskan proses, rasa ini, raut wajah mereka ketika mereka menyadari bahwa mereka tidak harus menghabiskan X jumlah minggu dengan ratusan orang melakukan proses manual adalah agak seperti mereka menemukan Tuhan. Tetapi hal yang menantang saat itu adalah bagaimana sebenarnya memasukkannya ke dalam rencana, seperti yang ditunjukkan oleh Dr. Robin Bloor, Anda tahu, ini adalah sesuatu yang menjadi campuran dari perubahan perilaku dan budaya. Pada level yang Anda hadapi, siapa yang berhadapan langsung dengan ini pada level aplikasi, perubahan seperti apa yang Anda lihat ketika mereka mulai mengadopsi alat untuk melakukan jenis pelaporan dan audit dan kontrol yang dapat Anda tawarkan, seperti menentang apa yang mungkin mereka lakukan secara manual? Seperti apa itu ketika mereka benar-benar dipraktikkan?
Bullett Manale: Apakah Anda bertanya, apa perbedaan dalam hal menangani ini secara manual dibandingkan menggunakan alat ini? Apakah itu pertanyaannya?
Dez Blanchfield: Ya, khususnya dampak bisnis. Jadi misalnya, jika kita mencoba untuk memberikan kepatuhan dalam proses manual, Anda tahu, kami selalu membutuhkan waktu yang lama dengan banyak manusia. Tapi saya kira, untuk meletakkan konteks di sekitar pertanyaan, seperti yang Anda tahu, apakah kita berbicara tentang satu orang yang menjalankan alat ini menggantikan 50 orang yang berpotensi, dan mampu melakukan hal yang sama dalam waktu nyata atau dalam hitungan jam versus bulan? Apakah seperti itu, apa yang biasanya terjadi?
Bullett Manale: Ya, maksud saya, ada beberapa hal. Salah satunya adalah memiliki kemampuan untuk menjawab pertanyaan-pertanyaan itu. Beberapa dari hal-hal itu tidak akan dilakukan dengan mudah. Jadi ya, waktu yang diperlukan untuk melakukan hal-hal yang dibuat sendiri, untuk menulis laporan Anda sendiri, untuk mengatur jejak atau acara yang diperpanjang untuk mengumpulkan data secara manual, bisa memakan banyak waktu. Sungguh, saya akan memberi Anda beberapa, maksud saya, ini tidak benar-benar berhubungan dengan database secara umum tetapi seperti tepat setelah Enron terjadi dan SOX menjadi lazim, saya berada di salah satu perusahaan minyak besar di Houston, dan kami menghitung untuk, Saya pikir itu seperti 25 persen dari biaya bisnis kami terkait dengan kepatuhan SOX.
Sekarang tepat setelah itu dan itu semacam langkah pertama awal di SOX tapi masalahnya dengan, saya akan katakan, Anda tahu, Anda mendapatkan banyak manfaat dengan menggunakan alat ini dalam arti bahwa itu tidak memerlukan banyak orang untuk melakukan ini dan banyak jenis orang untuk melakukannya. Dan seperti yang saya katakan, DBA biasanya bukan orang yang benar-benar menantikan untuk memiliki percakapan dengan para auditor. Jadi dalam banyak kasus kita akan melihat bahwa DBA dapat membongkar ini dan dapat memberikan laporan yang dihubungkan dengan auditor dan mereka dapat menghapus diri mereka sepenuhnya keluar dari persamaan daripada harus terlibat. Jadi, Anda tahu, itu penghematan yang luar biasa dalam hal sumber daya ketika Anda bisa melakukannya.
Dez Blanchfield: Anda sedang berbicara tentang pengurangan biaya besar-besaran, bukan? Organisasi tidak hanya menghilangkan risiko dan overhead, tetapi maksud saya pada dasarnya Anda berbicara tentang pengurangan biaya yang signifikan, A) secara operasional dan juga B) pada kenyataan bahwa, Anda tahu, jika mereka benar-benar dapat memberikan nyata- pelaporan kepatuhan waktu bahwa ada pengurangan risiko pelanggaran data yang signifikan atau denda hukum atau dampak karena tidak patuh, bukan?
Bullett Manale: Ya, tentu saja. Maksudku, karena tidak patuh ada banyak hal buruk yang terjadi. Mereka dapat menggunakan alat ini dan itu akan bagus atau tidak dan mereka akan mengetahui seberapa buruk itu sebenarnya. Jadi ya, itu bukan hanya alat yang jelas, Anda dapat melakukan pemeriksaan dan semuanya tanpa alat seperti ini. Seperti yang saya katakan, itu hanya akan mengambil lebih banyak waktu dan biaya.
Dez Blanchfield: Bagus sekali. Jadi Eric, saya akan membalas kepada Anda karena saya pikir takeaway untuk saya adalah, Anda tahu, jenis pasarnya fantastis. Tetapi juga, pada dasarnya, benda itu sepadan dengan bobotnya dalam emas atas dasar bahwa dapat menghindari dampak komersial dari suatu masalah yang terjadi atau mampu mengurangi waktu yang diperlukan untuk melaporkan dan mengelola kepatuhan hanya membuatnya, Anda tahu, Alat membayar untuk dirinya sendiri segera oleh suara benda.
Eric Kavanagh: Benar sekali. Terima kasih banyak atas waktu Anda hari ini, Bullett. Terima kasih untuk Anda semua di luar sana atas waktu dan perhatian Anda, dan Robin dan Dez. Presentasi hebat lainnya hari ini. Terima kasih kepada teman-teman kami di IDERA karena mengizinkan kami membawakan Anda konten ini gratis. Kami akan mengarsipkan webcast ini untuk ditonton nanti. Arsip biasanya habis dalam waktu sekitar satu hari. Dan beri tahu kami pendapat Anda tentang situs web baru kami, insideanalysis.com. Desain yang sama sekali baru, tampilan dan nuansa yang sama sekali baru. Kami akan senang mendengar tanggapan Anda dan dengan itu saya akan mengucapkan selamat tinggal kepada Anda, teman-teman. Anda dapat mengirim email kepada saya. Kalau tidak, kami akan menyusul Anda minggu depan. Kami punya tujuh webcast dalam lima minggu ke depan atau semacamnya. Kita akan sibuk. Dan kita akan berada di Konferensi Strata dan IBM Analyst Summit di New York akhir bulan ini. Jadi, jika Anda ada di sana, singgah dan katakan halo. Hati-hati, teman-teman. Sampai jumpa.