Par Techopedia Staff, 14 septembre 2016
À retenir: l' hôte Eric Kavanagh discute de l'audit de la base de données et de la conformité avec les analystes Robin Bloor et Dez Blanchfield ainsi que Bullett Manale d'IDERA dans cet épisode de Hot Technologies.
Vous n'êtes actuellement pas connecté. Veuillez vous connecter ou vous inscrire pour voir la vidéo.
Eric Kavanagh: Mesdames et messieurs, bonjour et bienvenue, encore une fois, à Hot Technologies! Oui en effet, de 2016. Nous sommes en troisième année de ce spectacle, c'est très excitant. Nous avons basculé et roulé cette année. Voici Eric Kavanagh, votre hôte. Le sujet d'aujourd'hui - c'est un grand sujet, il a beaucoup d'applications dans un certain nombre d'industries, très franchement - "Qui, quoi, où et comment: pourquoi vous voulez savoir." Oui, en effet, nous allons parler de toutes ces choses amusantes. Il y a vraiment une diapositive sur la vôtre, lancez-moi sur Twitter @eric_kavanagh. J'essaye de re-tweeter toutes les mentions et re-tweeter tout ce que quelqu'un m'envoie. Sinon, qu'il en soit ainsi.
Il fait chaud, oui en effet! L'ensemble du spectacle ici est conçu pour aider les organisations et les individus à comprendre des types particuliers de technologie. Nous avons conçu l'ensemble du programme ici, Hot Technologies, comme un moyen de définir un type particulier de logiciel, ou une tendance particulière, ou un type particulier de technologie. La raison en est que, franchement, dans le monde du logiciel, vous obtiendrez souvent ces termes marketing qui se propagent et parfois ils peuvent franchement bâtarder les concepts qu'ils étaient censés décrire.
Dans cette émission, nous essayons vraiment de vous aider à comprendre ce qu'est un type particulier de technologie, comment elle fonctionne, quand vous pouvez l'utiliser, quand vous ne devriez pas l'utiliser peut-être, et vous donner autant de détails que possible. Nous aurons trois témoins aujourd'hui: notre propre Robin Bloor, analyste en chef ici au Bloor Group; notre data scientist venant de Sydney, en Australie de l'autre côté de la planète, Dez Blanchfield, et l'un de nos invités préférés Bullett Manale, directeur de l'ingénierie des ventes chez IDERA.
Je vais juste dire deux ou trois choses ici, comprendre qui fait quoi avec quelle donnée, eh bien, c'est un peu comme la gouvernance, non? Si vous pensez à toutes les réglementations concernant les industries, comme les soins de santé et les services financiers, dans ces domaines, ces choses sont extrêmement importantes. Vous devez savoir qui a touché l'information, qui a changé quelque chose, qui y a accédé, qui l'a téléchargée, par exemple. Quelle est la lignée, quelle est la providence de ces données? Vous pouvez être assuré que toutes ces questions resteront importantes dans les années à venir pour toutes sortes de raisons. Non seulement pour la conformité, bien que HIPAA, Sarbanes-Oxley et Dodd-Frank, et toutes ces réglementations sont très importantes, mais aussi pour que vous compreniez dans votre entreprise qui fait quoi, où, quand, pourquoi et comment. C'est une bonne chose, nous allons faire attention.
Allez-y, emportez-le, Robin Bloor.
Robin Bloor: D'accord, merci pour cette introduction, Eric. Ce domaine de la gouvernance est, je veux dire, la gouvernance en informatique n'était pas un mot que vous avez entendu jusqu'à un peu après l'an 2000, je pense. Elle est née principalement parce que, je pense de toute façon, elle est due principalement à la mise en place d'une loi sur la conformité. Particulièrement HIPAA et Sarbanes-Oxley. Il y en a beaucoup. Par conséquent, les organisations se sont rendues compte qu'elles devaient avoir un ensemble de règles et un ensemble de procédures parce que cela était nécessaire en vertu de la loi. Bien avant cela, en particulier dans le secteur bancaire, il y avait diverses initiatives auxquelles vous deviez obéir selon le type de banque que vous étiez, et en particulier les banquiers internationaux. L'ensemble de la conformité de Bâle a commencé, bien avant cet ensemble particulier d'initiatives après l'an 2000. Tout dépend vraiment de la gouvernance. Je pensais parler du sujet de la gouvernance comme introduction à l'objectif de garder un œil sur qui obtient les données.
La gouvernance des données, je regardais autour il y a environ cinq ou six ans, je cherchais des définitions et ce n'était pas du tout bien défini. Il devient de plus en plus clair de ce que cela signifie réellement. La réalité de la situation était que, dans certaines limites, toutes les données étaient en fait auparavant régies, mais il n'y avait pas de règles formelles pour cela. Il y avait des règles spéciales qui ont été établies en particulier dans le secteur bancaire pour faire des choses comme ça, mais encore une fois, il s'agissait davantage de conformité. D'une manière ou d'une autre prouvant que vous étiez en fait un - c'est en quelque sorte associé au risque, donc cela prouve que vous étiez une banque viable était l'affaire.
Si vous regardez le défi de la gouvernance maintenant, il commence par un fait du mouvement des mégadonnées. Nous avons un nombre croissant de sources de données. Le volume de données est bien sûr un problème avec cela. En particulier, nous avons commencé à faire beaucoup, beaucoup plus avec des données non structurées. Cela a commencé à devenir quelque chose qui fait partie de l'ensemble du jeu d'analyse. Et en raison de l'analyse, la provenance et les lignées des données sont importantes. Du point de vue de l'utilisation de l'analyse de données de quelque manière que ce soit liée à tout type de conformité, vous devez vraiment savoir d'où proviennent les données et comment elles sont devenues ce qu'elles sont.
Le chiffrement des données a commencé à devenir un problème, est devenu un problème plus important dès que nous sommes allés à Hadoop parce que l'idée d'un lac de données dans lequel nous stockons beaucoup de données, signifie soudainement que vous avez une énorme zone de vulnérabilité de personnes qui peuvent obtenir à elle. Le cryptage des données est devenu beaucoup plus important. L'authentification a toujours été un problème. Dans un environnement plus ancien, strictement un environnement mainframe, ils avaient une merveilleuse protection de sécurité du périmètre; l'authentification n'a jamais vraiment posé de problème. Plus tard, c'est devenu un problème plus important et c'est beaucoup plus un problème maintenant parce que nous avons des environnements extrêmement distribués. La surveillance de l'accès aux données est devenue un problème. Il me semble me souvenir de divers outils qui ont vu le jour il y a une dizaine d'années. Je pense que la plupart d'entre elles étaient motivées par des initiatives de conformité. Par conséquent, nous avons également toutes les règles de conformité, les rapports de conformité.
Ce qui m'est venu à l'esprit, c'est que même dans les années 1990, lorsque vous faisiez des essais cliniques dans l'industrie pharmaceutique, vous deviez non seulement être en mesure de prouver d'où venaient les données - évidemment, c'est très important, si vous essayez sur un médicament dans divers contextes, pour savoir qui est essayé et quelles sont les données contextuelles qui l'entourent - vous devez être en mesure de fournir un audit du logiciel qui a réellement créé les données. C'est l'élément de conformité le plus sévère que j'aie jamais vu, en termes de preuve que vous ne gâchez pas les choses délibérément ou accidentellement. Ces derniers temps, en particulier la gestion du cycle de vie des données est devenue un problème. Tous ces éléments sont en quelque sorte des défis car beaucoup d'entre eux n'ont pas été bien faits. Dans de nombreuses circonstances, il est nécessaire de les faire.
C'est ce que j'appelle la pyramide des données. J'ai en quelque sorte parlé de cela avant. Je trouve que c'est une façon très intéressante de voir les choses. Vous pouvez considérer les données comme ayant des couches. Les données brutes, si vous le souhaitez, ne sont en réalité que des signaux ou des mesures, des enregistrements, des événements, des enregistrements uniques pour la plupart. Les transactions, les calculs et les agrégations peuvent bien sûr créer de nouvelles données. On peut les penser au niveau des données. Au-dessus de cela, une fois que vous avez réellement connecté des données, elles deviennent des informations. Il devient plus utile, mais bien sûr, il devient plus vulnérable aux personnes qui le piratent ou en abusent. Je définis cela comme étant créé, vraiment, à travers la structuration des données, pouvoir visualiser les données ayant des glossaires, des schémas, des ontologies sur l'information. Ces deux couches inférieures sont ce que nous traitons d'une manière ou d'une autre. Ci-dessus, c'est ce que j'appelle la couche de connaissances composée de règles, de politiques, de directives, de procédures. Certains d'entre eux peuvent en fait être créés par des informations découvertes dans l'analyse. Beaucoup d'entre eux sont en fait des politiques que vous devez respecter. C'est la couche, si vous voulez, de la gouvernance. C'est là que, d'une manière ou d'une autre, si cette couche n'est pas correctement remplie, les deux couches ci-dessous ne sont pas gérées. Le dernier point à ce sujet est la compréhension de quelque chose qui ne réside que dans les êtres humains. Heureusement, les ordinateurs n'ont pas encore réussi à le faire. Sinon, je serais sans emploi.
L'empire de la gouvernance - j'ai en quelque sorte mis cela ensemble, je pense que cela devait être il y a environ neuf mois, peut-être beaucoup plus tôt que cela. En gros, je l'ai en quelque sorte amélioré, mais dès que nous avons commencé à nous préoccuper de la gouvernance, il y avait, en termes de hub de données d'entreprise, il n'y avait pas seulement un réservoir de données, des ressources de lac de données, mais aussi des serveurs généraux de toutes sortes, serveurs de données spécialisés. Tout cela devait être régi. Lorsque vous avez également examiné les différentes dimensions - sécurité des données, nettoyage des données, découverte des métadonnées et gestion des métadonnées, création d'un glossaire métier, cartographie des données, lignage des données, gestion du cycle de vie des données -, puis gestion de la surveillance des performances, gestion du niveau de service, la gestion de système, que vous ne pouvez pas réellement associer à la gouvernance, mais une certaine - maintenant que nous allons dans un monde de plus en plus rapide avec de plus en plus de flux de données, être en mesure de faire quelque chose avec une performance particulière est en fait une nécessité et commence à devenir une règle de fonctionnement plutôt que toute autre chose.
Pour résumer en termes de croissance de la conformité, j'ai vu cela se produire pendant de très nombreuses années, mais la protection générale des données est en fait apparue dans les années 1990 en Europe. Il est devenu de plus en plus sophistiqué depuis. Ensuite, toutes ces choses ont commencé à être introduites ou à devenir plus sophistiquées. GRC, c'est-à-dire le risque de gouvernance et la conformité, existe depuis que les banques ont fait Bâle. L'ISO a créé des normes pour différents types d'opérations. Je sais depuis toujours que je travaille dans l'informatique - cela fait longtemps - le gouvernement américain a été particulièrement actif dans la création de diverses législations: SOX, il y a Gramm-Leach-Bliley, HIPAA, FISMA, FERPA. Vous avez également la merveilleuse organisation du NIST qui crée de nombreuses normes, en particulier des normes de sécurité, très utiles. Les lois sur la protection des données en Europe ont des différences locales. Ce que vous pouvez faire avec des données personnelles en Allemagne, par exemple, est différent de ce que vous pouvez faire en République slovaque, en Slovénie ou ailleurs. Ils ont présenté récemment - et j'ai pensé le mentionner parce que je trouve cela amusant - l'Europe introduit l'idée du droit à l'oubli. Autrement dit, il devrait y avoir un délai de prescription sur les données qui sont publiques et qui sont en fait des données personnelles. Je pense que c'est hilarant. D'un point de vue informatique, cela va être très, très difficile si cela commence à devenir une législation efficace. En résumé, je dirais ce qui suit: Parce que les données et la gestion informatiques évoluent rapidement, la gouvernance doit également évoluer rapidement et elle s'applique à tous les domaines de la gouvernance.
Cela dit, je vais passer le ballon à Dez.
Eric Kavanagh: Oui en effet, alors Dez Blanchfield, retirez-le. Robin, je suis avec toi, mec, je meurs d'envie de voir comment ce droit à l'oubli se joue. Je pense que ce ne sera pas seulement difficile mais fondamentalement impossible. C'est juste une violation de l'attente d'être exercée par les agences gouvernementales. Dez, emportez-le.
Dez Blanchfield: C'est effectivement le cas et c'est un sujet pour une autre discussion. Nous avons un défi très similaire ici en Asie-Pacifique, et en particulier en Australie où les opérateurs et les FAI sont tenus de se connecter à tout ce qui concerne Internet et de pouvoir l'enregistrer et le régurgiter au cas où quelqu'un d'intéressé ferait quelque chose de mal. C'est une loi et vous devez vous y conformer. Le défi, tout comme quelqu'un de Google aux États-Unis pourrait se voir demander de supprimer mon historique de recherche ou autre, cela pourrait être de se conformer au droit européen, en particulier au droit allemand sur la confidentialité. En Australie, si une agence veut vous consulter, un opérateur doit être en mesure de fournir des détails sur les appels et l'historique des recherches effectués, ce qui est difficile, mais c'est le monde dans lequel nous vivons. Il y a beaucoup de raisons à cela. Permettez-moi de sauter dans le mien.
J'ai délibérément rendu ma page de titre difficile à lire. Vous devez vraiment regarder attentivement ce texte. Conformité, conforme à un ensemble de règles, spécifications, contrôles, politiques, normes ou lois, avec un arrière-plan idiot et désordonné. C'est parce que vous devez vraiment regarder attentivement pour obtenir les détails et extraire des informations de ce qui est superposé, qui est une série de tables et de lignes et de colonnes, soit une base de données, un schéma ou une maquette dans Visio. Voilà à quoi ressemble la conformité au quotidien. Il est assez difficile de plonger dans les détails et d'extraire les informations pertinentes dont vous avez besoin pour pouvoir confirmer que vous êtes conforme. Signalez cela, surveillez-le et testez-le.
En fait, j'ai pensé à un très bon moyen de visualiser cela lorsque nous nous posons la question "Êtes-vous conforme?" "Êtes-vous sûr?" "Eh bien, prouve-le!" Il y a quelque chose de vraiment amusant qui est peut-être un peu plus anglo-celtique mais je suis sûr qu'il a fait le tour du monde aux États-Unis, alors c'est: "Où est Wally?" Wally est un petit personnage qui entre dans ces dessins animés sous forme de livres. Habituellement, des images A3 à très grande échelle ou plus grandes. Donc, des dessins au format tableau. C'est un petit personnage qui porte un bonnet et une chemise à rayures rouges et blanches. L'idée du jeu est que vous regardez cette image et que vous regardez en rond pour essayer de trouver Wally. Il est sur cette photo quelque part. Lorsque vous réfléchissez à la façon de découvrir et de décrire la conformité et d'en rendre compte, à bien des égards, c'est comme jouer "Où est Wally". Si vous regardez cette image, il est presque impossible de trouver le personnage. Les enfants passent des heures là-dessus et j'ai eu beaucoup de plaisir à le faire moi-même hier. Quand nous le regardons, nous trouvons tout un tas de gens dans ces dessins animés, délibérément placés là avec des pièces similaires de la tenue Wally d'un bonnet rayé et d'un maillot ou d'un haut en laine. Mais ils se transforment en faux positifs.
C'est un défi similaire que nous avons avec la conformité. Quand nous regardons les choses, parfois quelque chose que nous pensons que c'est le cas, n'est pas du tout le cas. Quelqu'un peut avoir accès à une base de données et il est censé avoir cet accès à une base de données, mais la façon dont il l'utilise est légèrement différente de ce à quoi nous nous attendons. Nous pourrions décider que c'est quelque chose que nous devons examiner. Lorsque nous l'examinons, nous constatons, oh en fait, que c'est un utilisateur très valide. Ils font juste quelque chose de bizarre. C'est peut-être un chercheur sur PC ou qui sait. Dans d'autres cas, ce pourrait être le contraire. La réalité, quand j'avance à nouveau, il y a Wally. Si vous avez regardé très fort dans cette haute résolution, il y a un personnage qui porte en fait la tenue appropriée. Tous les autres ne sont que des sosies et des sensations. La conformité ressemble beaucoup à ça. La plupart des gens que je connais travaillent dans les domaines des contrôles et de la conformité et des politiques des entreprises. Dans toute une gamme de domaines, qu'il s'agisse de technologie, de finance, d'opération et de risque. Souvent, il est très difficile de voir le Wally sur la photo, vous verrez les arbres ou le bois.
La question que nous nous posons, quand nous pensons à des choses comme la conformité, est "Big deal, qu'est-ce qui pourrait mal tourner si nous ne respectons pas tout à fait la conformité?" Dans le contexte de la discussion d'aujourd'hui, en particulier autour de la base de données et du contrôle de l'accès aux données, je vais vous donner des exemples très réels de réveil sur ce qui peut mal se passer sous une forme succincte très courte. Si nous pensons aux violations de données et que nous connaissons tous les violations de données, nous les entendons dans les médias et nous nous arrêtons et rions en quelque sorte, parce que les gens pensent que ce sont des marchés. Ce sont des choses personnelles. C'est Ashley Madison et les gens qui cherchent à obtenir des dates en dehors de leurs relations et mariages. Ce sont des comptes à jeter. Ce sont toutes ces choses étranges ou un fournisseur de services Internet ou un fournisseur d'hébergement européen ou russe aléatoire est piraté. En ce qui concerne des choses comme MySpace et ces dix premiers, lorsque vous regardez ces chiffres, ce que je veux que vous réalisiez, c'est: 1, 1 milliard de détails sur ces dix principales violations. Et oui, il y a des chevauchements, il y a probablement des gens qui ont un compte MySpace, un compte Dropbox et un compte Tumblr, mais arrondissons-le à un milliard de personnes.
Ces dix principales violations au cours de la dernière décennie environ - même pas une décennie, dans la plupart des cas - résument environ un septième de la population mondiale d'êtres humains, mais plus réaliste, environ 50% du nombre de personnes sont connectées au Internet, plus d'un milliard de personnes. Ceux-ci surviennent parce que la conformité n'a pas été respectée dans certains cas. Dans la plupart des cas, il s'agissait des contrôles de l'accès à la base de données, du contrôle de l'accès à des ensembles de données particuliers, des systèmes et des réseaux. Ceci est un test de réalité effrayant. Si cela ne vous fait pas peur, lorsque vous regardez les dix premiers et que vous pouvez voir que c'est un - ou que vous pouvez voir que c'est un milliard d'individus, de vrais êtres humains comme nous, à cet appel en ce moment. Si vous avez un compte LinkedIn, si vous aviez un compte Dropbox, ou un compte Tumblr ou si vous avez acheté des produits Adobe ou même enregistré, téléchargez gratuitement la visionneuse Adobe. Il est tout à fait probable, pas possible, il est tout à fait probable que vos coordonnées, votre prénom, votre nom de famille, votre adresse e-mail, éventuellement même l'adresse de votre entreprise, ou votre adresse personnelle ou votre carte de crédit, soient réellement présentes en raison d'une violation. cela a eu lieu à cause des contrôles, qui n'étaient pas nécessairement bien gérés sous forme de gestion des données, de gouvernance des données.
Jetons-y un coup d'œil lorsque nous le regardons en détail. Il y en a un écran, il y en a environ 50. Il y en a encore 15. Il y en a environ 25. Il s'agit de violations de données répertoriées sur un site Web appelé haveibeenpwned.com. C'est ce qui pourrait mal tourner si quelque chose de simple comme contrôler qui a eu accès aux données dans les bases de données dans différents champs et lignes et colonnes et différentes applications dans votre entreprise, n'est pas géré correctement. Ces organisations sont désormais axées sur les données. La plupart des données vivent dans une base de données sous une forme ou une autre. Quand vous y pensez, cette liste de violations que nous venons de regarder, et j'espère qu'elle vous a donné un peu de douche froide dans un sens, en ce que vous avez pensé «Hmm, c'est très réel», et cela vous a potentiellement impacté. En 2012, cette violation de LinkedIn par exemple, la plupart des professionnels ont un compte LinkedIn de nos jours et il est probable que vos coordonnées soient perdues. Ils sont sur Internet depuis 2012. On ne nous en a parlé qu'en 2016. Qu'est-il arrivé à vos informations au cours de ces quatre années? Eh bien, c'est intéressant et nous pouvons en parler séparément.
Gestion des bases de données et des systèmes - Je parle souvent de ce que je considère comme les cinq principaux défis dans la gestion de ces choses. Au sommet, très haut et je les classe par ordre de préférence, mais aussi par ordre d'impact, le premier est la sécurité et la conformité. Les contrôles et mécanismes, et les politiques concernant le contrôle de qui a quel accès à quel système, pour quelle raison et dans quel but. Faire rapport sur cela et le surveiller, regarder dans les systèmes, regarder dans les bases de données et voir qui peut réellement accéder aux enregistrements, aux champs individuels et aux enregistrements.
Pensez-y sous une forme très simple. Parlons de la banque et de la gestion de patrimoine comme exemple. Lorsque vous vous inscrivez pour un compte bancaire, disons simplement un compte en espèces normal pour une carte EFTPOS, ou un compte en espèces ou un compte chèque. Vous remplissez un formulaire et il y a beaucoup d'informations très privées dans cette feuille de papier que vous remplissez ou que vous le faites en ligne et qui va dans un système informatique. Maintenant, si quelqu'un dans le marketing veut vous contacter et vous envoyer une brochure, il devrait être autorisé à voir votre prénom, votre nom et votre adresse personnelle, par exemple et potentiellement votre numéro de téléphone s'il veut vous appeler à froid et vous vendre quelque chose. Ils ne devraient probablement pas voir le montant total que vous avez en banque pour plusieurs raisons. Si quelqu'un vous regarde du point de vue du risque ou essaie de vous aider à faire quelque chose comme obtenir de meilleurs taux d'intérêt sur votre compte, cette personne en particulier voudra probablement voir combien d'argent vous avez en banque, afin qu'elle puisse vous offrir les niveaux appropriés de retour d'intérêt sur votre argent. Ces deux individus ont des rôles très différents et des raisons très différentes pour ces rôles, et des objectifs pour ces rôles. Par conséquent, vous devez voir différentes informations dans votre dossier, mais pas tout le dossier.
Ces contrôles entourent les différents rapports d'écrans ou de formulaires habituels qu'ils ont dans les applications utilisées pour gérer votre compte. Le développement de ceux-ci, le maintien de ceux-ci, l'administration de ceux-ci, les rapports sur ceux-ci, ainsi que la gouvernance et la conformité entourant ceux comme le papier bulle, sont tous un très, très grand défi. C'est juste le défi numéro un dans la gestion des données et des systèmes. Lorsque nous approfondissons cette pile dans les performances et la surveillance, la détection et la réponse d'incidence, la gestion et l'administration du système, et la conformité qui les entoure, la conception et le développement des systèmes à partir de la conformité, cela devient beaucoup plus difficile.
Gérer toute la problématique de la réduction des risques et de l'amélioration de la sécurité. Mes cinq principaux défis dans cet espace - et j'aime l'imagerie qui accompagne un bureau de douane lorsque vous entrez dans un pays - ils présentent votre passeport, ils vous vérifient et regardent leur système informatique pour voir si vous devez passer ou non. Si tu ne devrais pas, ils t'ont mis dans le prochain avion pour rentrer. Sinon, ils vous laissent rentrer et vous posent des questions comme: «Vous venez en vacances? Êtes-vous ici un touriste? Êtes-vous ici pour travailler? Quel genre de travail allez-vous voir? Où allez-vous rester "Combien de temps venez-vous? Avez-vous suffisamment d'argent pour couvrir vos dépenses et vos dépenses? Ou allez-vous devenir un risque pour le pays dans lequel vous vous trouvez et ils pourraient avoir à prendre soin de vous et à vous nourrir?"
Il y a quelques problèmes autour de cet espace de données, la gestion de la protection des données. Par exemple, dans l'espace de base de données, nous devons penser à atténuer les contournements de base de données. Si les données sont dans la base de données, dans un environnement normal et qu'il y a des contrôles et des mécanismes autour de cela dans le système. Que se passe-t-il si un vidage des données est effectué dans davantage de SQL et sauvegardé sur bande? Les bases de données sont vidées sous forme brute et parfois sauvegardées. Parfois, cela se fait pour des raisons techniques, des raisons de développement. Disons simplement qu'un vidage de la base de données a été effectué et qu'il est sauvegardé sur bande. Que se passe-t-il s'il m'arrive de mettre la main sur cette bande et de la restaurer? Et j'ai une copie brute de la base de données en SQL. C'est un fichier MP, c'est du texte, je peux le lire. Tous les mots de passe qui sont stockés dans ce vidage n'ont aucun contrôle sur moi car j'ai maintenant accès au contenu réel de la base de données sans que le moteur de base de données le protège. Je peux donc techniquement contourner la sécurité de la plate-forme de base de données qui est intégrée dans le moteur avec la conformité et la gestion des risques pour m'empêcher de regarder les données. Parce que potentiellement le développeur, l'administrateur système, j'ai mis la main sur un vidage complet de la base de données qui devrait être utilisée pour les sauvegardes.
Utilisation abusive des données - potentiellement demander à quelqu'un de se connecter en tant que compte élevé et me laisser m'asseoir à l'écran, à la recherche d'informations ou de choses similaires. Audit propriétaire, de l'accès et de l'utilisation des données, et de la visualisation des données ou des modifications des données. Ensuite, le reporting autour de ce contrôle et la conformité requise. Surveillance du trafic et de l'accès, etc., bloquant les menaces provenant d'emplacements et de serveurs externes. Par exemple, si les données sont présentées via un formulaire sur une page Web sur Internet, leurs injections SQL ont-elles été protégées par des pare-feu et des contrôles de concept? Il y a une longue histoire détaillée qui se cache derrière cela. Vous pouvez voir ici que certaines de ces choses absolument fondamentales auxquelles nous pensons pour atténuer et gérer les risques liés aux données dans les bases de données. Il est en fait relativement facile de contourner certains d'entre eux si vous êtes à différents niveaux de piles de technologies. Le défi devient de plus en plus difficile à mesure que vous obtenez de plus en plus de données et de bases de données. De plus en plus difficile pour les personnes devant gérer les systèmes et surveiller leur utilisation, suivre les détails pertinents qui concernent spécifiquement les choses dont Robin a parlé, autour de choses comme la conformité personnelle. Les individus ont des contrôles et des mécanismes autour d'eux qui sont conformes - si vous faites quelque chose de mal, vous êtes potentiellement renvoyé. Si je me connecte comme mon compte vous le permet, cela devrait être une infraction pouvant être mise à feu. Maintenant, je vous ai donné accès à des données que vous n'auriez pas dû voir normalement.
Il y a la conformité personnelle, la conformité des entreprises, les entreprises ont des politiques et des règles et des contrôles qu'elles se sont imposées juste pour que l'entreprise fonctionne bien et offre un retour sur les bénéfices et un bon retour aux investisseurs et aux actionnaires. Ensuite, il y a souvent à l'échelle de la ville ou de l'État ou au niveau national, fédéral, comme vous l'avez dit, les lois et contrôles américains. Ensuite, il y en a des mondiaux. Certains des plus gros incidents dans le monde, comme Sarbanes-Oxley, deux personnes à qui l'on demande de trouver des moyens de protéger les données et les systèmes. Il y a Bâle en Europe et il y a toute une gamme de contrôles en Australie, en particulier autour des plates-formes boursières et d'identification, puis la confidentialité au niveau individuel ou de l'entreprise. Lorsque chacun d'eux est empilé comme vous l'avez vu dans l'un des sites de Robin, ils deviennent presque une montagne presque impossible à gravir. Les coûts deviennent élevés et nous en sommes au point où l'approche traditionnelle originale que vous connaissez, comme les êtres humains mesurant le contrôle, n'est plus une approche appropriée car l'échelle est trop grande.
Nous avons un scénario où la conformité est ce que j'appelle maintenant un problème permanent. Et c'est que nous avions l'habitude d'avoir potentiellement un moment, mensuel ou trimestriel ou annuel, où nous examinerions notre état de la nation et aiderions à la conformité et au contrôle. S'assurer que certaines personnes ont un certain accès et ne l'ont pas en fonction de leurs autorisations. Il s'agit maintenant de la vitesse à laquelle les choses évoluent, du rythme auquel les choses changent, de l'échelle à laquelle nous fonctionnons. La conformité est une question toujours d'actualité et la crise financière mondiale n'est qu'un exemple où les contrôles et les mesures de sécurité et de conformité pertinents auraient pu potentiellement éviter un scénario où nous avions un train de marchandises en fuite de certains comportements. Il suffit de créer une situation avec le monde entier en sachant que cela ferait faillite et ferait faillite. Pour ce faire, nous avons besoin des bons outils. Jeter des êtres humains dans le train, jeter des corps n'est plus une approche valable car l'échelle est trop grande et les choses avancent trop vite. La discussion d'aujourd'hui, je pense que nous allons avoir, porte sur les types d'outils à appliquer à cela. En particulier, les outils que IDERA peut nous fournir qui devraient le faire. Et dans cet esprit, je vais remettre à Bullett de parcourir son matériel et de nous montrer leur approche et les outils dont ils disposent pour résoudre ce problème que nous vous avons présenté maintenant.
Avec cela, Bullett, je vais vous remettre.
Bullett Manale: Ça a l' air génial, merci. Je veux parler de quelques diapositives et je veux également vous montrer un produit que nous utilisons pour les bases de données SQL Server spécifiquement pour aider avec les situations de conformité. Vraiment, le défi dans de nombreux cas - je vais en sauter quelques-uns - ce n'est que notre portefeuille de produits, je vais le passer assez rapidement. Pour ce qui est de savoir où ce produit va aborder et comment il se rapporte à la conformité, je tire toujours ceci comme la première diapositive parce que c'est une sorte de générique, "Hé, quelle est la responsabilité d'un DBA?" L'une des choses contrôle et surveille l'accès des utilisateurs et peut également générer des rapports. Cela dépendra de la difficulté de ce processus à parler à votre auditeur, selon que vous le ferez vous-même ou que vous ferez appel à un tiers. outil pour aider.
De manière générale, lorsque je parle à des administrateurs de base de données, ils n'ont souvent jamais été impliqués dans un audit. Vous devez en quelque sorte les éduquer sur ce que vous devez vraiment faire. Relatif au type de conformité qui doit être respecté et être en mesure de prouver que vous suivez réellement les règles qui s'appliquent à ce niveau de conformité. Beaucoup de gens ne comprennent pas au début. Ils pensent: "Oh, je peux simplement acheter un outil qui me rendra conforme." La réalité est que ce n'est pas le cas. J'aimerais pouvoir dire que notre produit par magie, par vous le savez, en appuyant sur le bouton facile, vous a donné la possibilité de vous assurer que vous êtes en conformité. La réalité est que vous devez configurer votre environnement en termes de contrôles, en termes de la façon dont les gens accèdent aux données, que tout doit être réglé avec l'application que vous avez. Lorsque ces données sensibles sont stockées, de quel type d'exigence réglementaire il s'agit. Ensuite, vous devez également travailler avec généralement un responsable de la conformité interne pour être en mesure de vous assurer que vous suivez toutes les règles.
Cela semble vraiment compliqué. Si vous regardez toutes les exigences réglementaires, vous penseriez que ce serait le cas, mais la réalité est qu'il y a un dénominateur commun ici. Dans notre cas avec l'outil que je vais vous montrer aujourd'hui, le produit Compliance Manager, le processus dans notre situation serait que, nous devons d'abord et avant tout, nous assurer que nous collectons les données de la piste d'audit, liées à l'endroit où les données sont sensibles dans la base de données. Vous pouvez tout collecter, non? Je pourrais sortir et dire que je veux collecter toutes les transactions qui se produisent sur cette base de données. La réalité est que vous n'avez probablement qu'une petite fraction ou un petit pourcentage de transactions qui sont réellement liées aux données sensibles. Si c'est la conformité PCI, ce sera autour des informations de carte de crédit, les propriétaires des cartes de crédit, leurs informations personnelles. Il peut y avoir une tonne d'autres transactions liées à votre application, qui n'ont pas vraiment d'incidence sur les exigences réglementaires de PCI.
De ce point de vue, la première chose quand je parle à DBA est que je dis: «Le défi numéro un n'est pas d'essayer d'obtenir un outil pour faire ces choses pour vous. C'est juste de savoir où se trouvent ces données sensibles et comment pouvons-nous verrouiller ces données? "Si vous avez cela, si vous pouvez répondre à cette question, alors vous êtes à mi-chemin en termes de pouvoir montrer que vous êtes en conformité, en supposant que vous suivez les bons contrôles. Disons une seconde que vous suivez les bons contrôles et que vous avez dit aux vérificateurs que c'était le cas. La prochaine partie du processus est évidemment d'être en mesure de fournir une piste d'audit qui montre et valide que ces contrôles fonctionnent réellement. Ensuite, assurez-vous d'enregistrer ces données. Habituellement, avec des choses comme la conformité PCI et HIPAA, et ce genre de choses, vous parlez d'une durée de conservation de sept ans. Vous parlez de beaucoup de transactions et de beaucoup de données.
Si vous continuez à collecter chaque transaction même si seulement cinq pour cent des transactions sont liées aux données sensibles, vous parlez d'un coût assez élevé lié au fait de devoir stocker ces données pendant sept ans. C'est l'un des plus grands défis, je pense, à faire en sorte que la tête des gens dise que c'est un coût vraiment inutile, évidemment. C'est aussi beaucoup plus facile si nous pouvons nous concentrer uniquement de manière granulaire sur les zones sensibles de la base de données. En plus de cela, vous souhaiterez également des contrôles sur certaines des informations sensibles. Non seulement pour montrer en termes de piste d'audit, mais aussi pour pouvoir relier les choses aux actions qui se produisent et être informé en temps réel, afin que vous puissiez en être informé.
L'exemple que j'utilise toujours, et il n'est peut-être pas nécessairement lié à n'importe quel type d'exigence réglementaire, mais le simple fait de pouvoir suivre, par exemple, quelqu'un devait supprimer la table associée à la paie. Si cela se produit, la façon dont vous le découvrez, si vous ne suivez pas cela, est que personne n'est payé. C'est trop tard. Vous voulez savoir quand cette table est supprimée, juste au moment où elle est supprimée, pour éviter toute mauvaise chose qui se produit suite à un employé mécontent qui a supprimé et supprimé la table directement liée à la paie.
Cela dit, l'astuce consiste à trouver le dénominateur commun ou à utiliser ce dénominateur commun pour cartographier le niveau de conformité. C'est un peu ce que nous essayons de faire avec cet outil. Nous adoptons essentiellement l'approche de, nous n'allons pas vous montrer un rapport spécifique au PCI, spécifique aux stocks; le dénominateur commun est que vous avez une application qui utilise SQL Server pour stocker les données sensibles dans la base de données. Une fois que vous vous en sortez, vous dites: "Oui, c'est vraiment la principale chose sur laquelle nous devons nous concentrer - où sont ces données sensibles et comment sont-elles accessibles?" Une fois que vous avez cela, il y a une tonne de rapports que nous proposons qui peuvent fournir que la preuve est, vous le serez, en conformité.
Pour revenir aux questions posées par un auditeur, la première question sera: qui a accès aux données et comment obtient-il cet accès? Pouvez-vous prouver que les bonnes personnes accèdent aux données et les mauvaises personnes non? Pouvez-vous également prouver que la piste d'audit elle-même est une chose à laquelle je peux faire confiance en tant que source d'information immuable? Si je vous donne une piste d'audit qui est fabriquée, cela ne m'aide pas vraiment en tant qu'auditeur de corriger votre audit si les informations sont fabriquées. Nous avons besoin d'une preuve de cela, généralement d'un point de vue d'audit.
En passant par ces questions, un peu plus en détail. Le défi avec la première question est, vous devez savoir, comme je l'ai dit, où se trouvent ces données sensibles afin de signaler qui y accède. C'est généralement un type de découverte et vous avez vraiment des milliers d'applications différentes, vous avez des tonnes d'exigences réglementaires différentes. Dans la plupart des cas, vous souhaitez travailler avec votre responsable de la conformité si vous en avez un, ou du moins avec quelqu'un qui aurait une idée supplémentaire de la position réelle de mes données sensibles dans l'application. Nous avons un outil que nous avons, c'est un outil gratuit, il s'appelle une recherche de colonne SQL. Nous disons à nos clients et utilisateurs potentiels qui sont intéressés par cette question, qu'ils peuvent aller la télécharger. Ce qu'il va faire, c'est qu'il va essentiellement chercher les informations dans la base de données qui seront probablement de nature sensible.
Et puis une fois que vous faites cela, vous devez également comprendre comment les gens accèdent à ces données. Et cela va être, encore une fois, quels comptes sont dans quels groupes Active Directory, quels utilisateurs de base de données sont impliqués, il y a un rôle d'appartenance associé à cela. Et en gardant à l'esprit, bien sûr, que toutes ces choses dont nous parlons doivent être approuvées par l'auditeur, donc si vous dites: «C'est comme ça que nous verrouillons les données», alors les auditeurs peuvent venir revenir et dire: «Eh bien, vous vous trompez.» Mais disons qu'ils disent: «Ouais, ça a l'air bien. Vous bloquez suffisamment les données. »
Pour passer à la question suivante, qui va être, pouvez-vous prouver que les bonnes personnes accèdent à ces données? En d'autres termes, vous pouvez leur dire que vos contrôles sont, ce sont les contrôles que vous suivez, mais malheureusement, les auditeurs ne sont pas de véritables personnes de confiance. Ils en veulent une preuve et veulent pouvoir la voir dans la piste d'audit. Et cela remonte à tout ce dénominateur commun. Que ce soit PCI, SOX, HIPAA, GLBA, Bâle II, peu importe, la réalité est que les mêmes types de questions vont généralement être posées. L'objet contenant les informations sensibles, qui a accédé à cet objet au cours du dernier mois? Cela devrait correspondre à mes contrôles et je devrais pouvoir passer mon audit à terme en montrant ces types de rapports.
Et donc ce que nous avons fait, c'est que nous avons compilé environ 25 rapports différents qui suivent sur le même genre de domaines que ce dénominateur commun. Nous n'avons donc pas de rapport pour PCI ou pour HIPAA ou pour SOX, nous avons des rapports selon lesquels, une fois de plus, ils se heurtent à ce dénominateur commun. Et donc peu importe l'exigence réglementaire que vous essayez de respecter, dans la plupart des cas, vous serez en mesure de répondre à toutes les questions que vous posera cet auditeur. Et ils vont vous dire qui, quoi, quand et où de chaque transaction. Vous savez, l'utilisateur, l'heure à laquelle la transaction s'est produite, l'instruction SQL elle-même, l'application dont elle est issue, toutes ces bonnes choses, et vous pouvez également automatiser la livraison de ces informations aux rapports.
Et puis, encore une fois, une fois que vous avez dépassé cela et que vous avez fourni cela à l'auditeur, alors la question suivante va être, prouvez-le. Et quand je dis le prouver, je veux dire prouver que la piste d'audit elle-même est une chose à laquelle nous pouvons faire confiance. Et la façon dont nous le faisons dans notre outil est que nous avons des valeurs de hachage et des valeurs CRC qui sont directement liées aux événements eux-mêmes dans la piste d'audit. Et donc l'idée est que si quelqu'un sort et supprime un enregistrement ou si quelqu'un sort et supprime ou ajoute quelque chose à la piste d'audit ou change quelque chose dans la piste d'audit elle-même, nous pouvons prouver que ces données, l'intégrité de les données elles-mêmes ont été violées. Et donc 99, 9% du temps si vous avez verrouillé notre base de données de piste d'audit, vous ne rencontrerez pas ce problème parce que lorsque nous effectuons ce contrôle d'intégrité, nous prouvons essentiellement à l'auditeur que les données elles-mêmes n'ont pas été modifié et supprimé ou ajouté depuis l'écriture d'origine du service de gestion lui-même.
Voilà donc un aperçu général des types de questions typiques qui vous seraient posées. Maintenant, l'outil que nous devons traiter en grande partie s'appelle SQL Compliance Manager et il fait toutes ces choses en termes de suivi des transactions, qui, quoi, quand et où des transactions, être en mesure de le faire dans un nombre de domaines différents. Connexions, connexions échouées, modifications de schéma, évidemment accès aux données, activité de sélection, tout ce qui se passe dans le moteur de base de données. Et nous pouvons également alerter les utilisateurs de conditions spécifiques et très granulaires, si besoin est. Par exemple, quelqu'un sort et regarde réellement la table qui contient tous mes numéros de carte de crédit. Ils ne changent pas les données, ils les regardent simplement. Dans cette situation, je peux alerter et faire savoir aux gens que cela se produit, pas six heures plus tard lorsque nous grattons les journaux, mais en temps réel. C'est essentiellement aussi long qu'il nous faut pour traiter cette transaction via un service de gestion.
Comme je l'ai mentionné précédemment, nous avons vu cela utilisé dans une variété d'exigences réglementaires différentes et cela n'a pas vraiment - vous savez, aucune exigence réglementaire, encore une fois, tant que les dénominateurs communs, vous avez des données sensibles dans un serveur SQL base de données, c'est un outil qui pourrait aider dans ce type de situation. Pour les 25 rapports intégrés, la réalité est que nous pouvons rendre cet outil bon pour l'auditeur et répondre à toutes les questions qu'il pose, mais les DBA sont ceux qui doivent le faire fonctionner. Il y a donc aussi cette réflexion, vous savez bien, du point de vue de la maintenance, nous devons nous assurer que le SQL fonctionne comme nous le souhaitons. Nous devons aussi pouvoir entrer et regarder les choses qui vont pouvoir sortir et regarder d'autres informations, vous savez, en ce qui concerne l'archivage des données, leur automatisation et les frais généraux lui-même du produit. Ce sont des choses dont nous tenons évidemment compte.
Ce qui évoque l'architecture elle-même. Donc, tout à droite de l'écran, nous avons les instances de SQL que nous gérons, de 2000 à 2014, en nous préparant à publier une version pour 2016. Le plus gros point à retenir sur cet écran est que la gestion serveur lui-même fait tout le gros du travail. Nous collectons simplement les données à l'aide de l'API de trace intégrée à SQL Server. Ces informations sont transmises à notre serveur de gestion. Ce serveur de gestion lui-même identifie et s'il y a des événements liés à des types de transactions que nous ne voulons pas, envoie des alertes et ce genre de choses, puis remplit les données dans un référentiel. De là, nous pouvons exécuter des rapports, nous pourrions sortir et voir réellement ces informations dans les rapports ou même dans la console de l'application.
Donc, ce que je vais faire, c'est que je vais passer en revue très rapidement, et je veux juste souligner une chose rapide avant de passer au produit, il y a un lien sur le site Web en ce moment, ou sur la présentation, cela vous amènera à cet outil gratuit que j'ai mentionné plus tôt. Cet outil gratuit est, comme je l'ai dit, il va sortir et regarder une base de données et essayer de trouver les zones qui ressemblent à des données sensibles, des numéros de sécurité sociale, des numéros de carte de crédit, en fonction des noms des colonnes ou des tableaux, ou en fonction de l'apparence du format des données, et vous pouvez également le personnaliser, juste pour le signaler.
Maintenant, dans notre cas, laissez-moi aller de l'avant et partager mon écran, donnez-moi une seconde ici. Très bien, et donc, ce que je voulais vous amener en premier, c'est que je veux vous amener à l'application Compliance Manager elle-même et je vais passer en revue assez rapidement. Mais c'est l'application et vous pouvez voir que j'ai quelques bases de données ici et je vais juste vous montrer à quel point il est facile d'entrer et de lui dire ce que vous cherchez à auditer. Du point de vue des changements de schéma, des changements de sécurité, des activités administratives, DML, Select, nous avons toutes ces options à notre disposition, nous pouvons également filtrer cela. Cela revient à la meilleure pratique de pouvoir dire: «Je n'ai vraiment besoin que de cette table car elle contient mes numéros de carte de crédit. Je n'ai pas besoin des autres tableaux contenant des informations sur le produit, de toutes ces autres choses qui ne sont pas relatives au niveau de conformité que j'essaie de respecter. »
Nous avons également la possibilité de capturer des données et de les afficher en termes de valeurs des champs qui changent. Dans de nombreux outils, vous aurez quelque chose qui vous donnera la possibilité de capturer l'instruction SQL, de montrer à l'utilisateur, d'afficher l'application, l'heure et la date, toutes ces bonnes choses. Mais dans certains cas, l'instruction SQL elle-même ne vous fournira pas suffisamment d'informations pour pouvoir vous dire quelle était la valeur du champ avant la modification ainsi que la valeur du champ après la modification. Et dans certaines situations, vous en avez besoin. Je pourrais vouloir suivre, par exemple, les informations posologiques d'un médecin pour les médicaments sur ordonnance. Il est passé de 50 mg à 80 mg à 120 mg, je pourrais suivre cela en utilisant l'avant et après.
Les colonnes sensibles sont une autre chose que nous rencontrons beaucoup, par exemple, avec la conformité PCI. Dans la situation ici, vous avez des données d'une nature si sensible que rien qu'en regardant ces informations, je n'ai pas à les modifier, à les supprimer ou à y ajouter, je peux causer un préjudice irréparable. Numéros de carte de crédit, numéros de sécurité sociale, tout ce genre de bonnes choses, nous pouvons identifier les colonnes sensibles et y lier des alertes. Si quelqu'un sort et regarde ces informations, nous pourrons évidemment alerter et envoyer un e-mail ou générer un piège SNMP et ce genre de choses.
Maintenant, dans certains cas, vous allez rencontrer une situation où vous pourriez avoir une exception. Et ce que je veux dire par là, vous avez une situation où vous avez un utilisateur qui a un compte d'utilisateur qui pourrait être lié à un type de travail ETL qui s'exécute au milieu de la nuit. C'est un processus documenté et je n'ai tout simplement pas besoin d'inclure ces informations transactionnelles pour ce compte d'utilisateur. Dans ce cas, nous aurions un utilisateur de confiance. Et puis, dans d'autres situations, nous utiliserions la fonction d'audit des utilisateurs privilégiés qui est essentiellement, si j'ai, disons par exemple, une application, et que cette application effectue déjà un audit, des utilisateurs qui passent par l'application, c'est super, j'ai déjà quelque chose à référencer en termes de mon audit. Mais pour les choses qui sont liées, par exemple, à mes utilisateurs privilégiés, les gars qui peuvent aller dans SQL Server Management Studio pour regarder les données dans la base de données, cela ne va pas les couper. Et c'est donc là que nous pourrions définir qui sont nos utilisateurs privilégiés, soit via les appartenances aux rôles, soit via leurs comptes Active Directory, leurs groupes, leurs comptes authentifiés SQL, où nous pourrons choisir tous ces différents types d'options et à partir de là, assurez-vous que pour ces utilisateurs privilégiés, nous pouvons spécifier les types de transactions que nous souhaitons auditer.
Ce sont toutes sortes d'options différentes que vous avez et je ne vais pas passer en revue tous les types de choses en fonction des contraintes de temps ici pour cette présentation. Mais je veux vous montrer comment nous pouvons afficher les données et je pense que vous aimerez comment cela fonctionne, car il y a deux façons de le faire. Je peux le faire de manière interactive et donc lorsque nous parlons à des personnes intéressées par cet outil pour peut-être leurs propres contrôles internes, elles veulent simplement savoir ce qui se passe dans de nombreux cas. Ils n'ont pas nécessairement d'auditeurs sur place. Ils veulent juste savoir: «Hé, je veux aller après cette table et voir qui l'a touchée la semaine dernière ou le mois dernier ou quoi que ce soit.» Dans ce cas, vous pouvez voir à quelle vitesse nous pouvons le faire.
Dans le cas de la base de données sur les soins de santé, j'ai un tableau intitulé Dossiers des patients. Et cette table, si je devais simplement regrouper par objet, elle pourrait très rapidement commencer à rétrécir où nous recherchons. Peut-être que je veux regrouper par catégorie, puis peut-être par événement. Et quand je le fais, vous pouvez voir à quelle vitesse cela apparaît, et il y a ma table des dossiers des patients ici. Et pendant que j'explore, nous pouvons maintenant voir l'activité DML, nous pouvons voir que nous avons eu mille insertions de DML, et lorsque nous ouvrons l'une de ces transactions, nous pouvons voir les informations pertinentes. Le qui, le quoi, le quand, le où de la transaction, l'instruction SQL, évidemment, l'application réelle utilisée pour effectuer la transaction, le compte, l'heure et la date.
Maintenant, si vous regardez l'onglet suivant ici, l'onglet Détails, cela revient à la troisième question dont nous parlons, prouvant que l'intégrité des données n'a pas été violée. Donc, fondamentalement, à chaque événement, nous avons un calcul secret pour notre valeur de hachage, et cela va ensuite revenir au moment où nous ferons notre vérification d'intégrité. Par exemple, si je devais aller à l'outil, aller dans le menu d'audit, et je devais sortir et dire, vérifions l'intégrité du référentiel, je pourrais pointer vers la base de données où se trouve la piste d'audit, il fonctionnera grâce à un contrôle d'intégrité faisant correspondre ces valeurs de hachage et les valeurs CRC aux événements réels et cela va nous dire qu'aucun problème n'a été trouvé. En d'autres termes, les données de la piste d'audit n'ont pas été falsifiées depuis qu'elles ont été initialement écrites par le service de gestion. C'est évidemment une façon d'interagir avec les données. L'autre façon serait de passer par les rapports eux-mêmes. Je vais donc vous donner un petit exemple de rapport.
Et encore une fois, ces rapports, la façon dont nous les avons élaborés, ne sont spécifiques à aucun type de norme comme PCI, HIPAA, SOX ou quelque chose du genre. Encore une fois, c'est le dénominateur commun de ce que nous faisons, et dans ce cas, si nous revenons à cet exemple de dossier patient, nous pourrions sortir et dire, dans notre cas ici, nous cherchons à la base de données des soins de santé et dans notre cas, nous voulons nous concentrer spécifiquement sur ce tableau qui, nous le savons, contient des informations privées, dans notre cas, relatives à nos patients. Et donc, laissez-moi voir si je peux le taper ici, et nous allons continuer et exécuter ce rapport. Et nous allons voir alors, évidemment, à partir de là toutes les données pertinentes associées à cet objet. Et dans notre cas, cela nous montre pendant un mois. Mais nous pourrions remonter six mois, un an, aussi longtemps que nous conservions les données.
Voilà le genre de façons dont vous pourriez réellement prouver, si vous le voulez, à l'auditeur que vous suivez vos contrôles. Une fois que vous l'avez identifié, c'est évidemment une bonne chose en termes de réussite de votre audit et de pouvoir montrer que vous suivez les contrôles et que tout fonctionne.
La dernière chose dont je voulais vous parler est la section administration. Il y a aussi des contrôles du point de vue de cet outil lui-même pouvant définir des contrôles pour être sûr que si quelqu'un fait quelque chose qu'il n'est pas censé faire, je peux en être informé. Et je vais vous donner quelques exemples là-bas. J'ai un compte de connexion lié à un service et ce service a besoin d'autorisations élevées pour faire ce qu'il fait. Ce que je ne veux pas, c'est que quelqu'un entre et utilise ce compte dans Management Studio puis, vous savez, l'utilise pour des choses auxquelles il n'était pas destiné. Nous aurions ici deux critères que nous pourrions appliquer. Je pourrais dire: «Écoutez, nous sommes vraiment intéressés par ce travail, disons, avec notre application PeopleSoft», à titre d'exemple, d'accord?
Maintenant que je l'ai fait, ce que je dis ici, c'est que je suis curieux de savoir toutes les connexions liées au compte que je m'apprête à spécifier, si l'application utilisée pour se connecter avec ce compte n'est pas PeopleSoft, alors ce sera un signal d'alarme. Et évidemment, nous devons spécifier le nom du compte lui-même, alors dans notre cas, appelons simplement ce compte privé, car il est privilégié. Maintenant, une fois que nous avons fait cela, quand nous faisons cela ici, maintenant nous pourrions alors spécifier ce que nous voudrions que cela se produise quand cela se produit et pour chaque type d'événement ou, je devrais dire, alerte, vous pouvez avoir une notification distincte à la personne responsable de cette donnée particulière.
Par exemple, s'il s'agit d'informations sur le salaire, elles pourraient être transmises à mon directeur des RH. Dans ce cas, concernant l'application PeopleSoft, ce sera l'administrateur de cette application. Quel que soit le cas. Je serais en mesure de mettre mon adresse e-mail, de personnaliser le message d'alerte réel et tout ce genre de bonnes choses. Encore une fois, cela revient à pouvoir vous assurer que vous pouvez montrer que vous suivez vos contrôles et que ces contrôles fonctionnent comme prévu. Du dernier point de vue ici, juste en termes de maintenance, nous avons la possibilité de prendre ces données et de les mettre hors ligne. Je peux archiver les données et je peux les planifier et nous serions en mesure de faire ces choses très facilement dans le sens où vous seriez en mesure, en tant que DBA, d'utiliser cet outil, de le configurer et de éloignez-vous de lui Il n'y a pas beaucoup de prise de main qui aura lieu une fois que vous l'avez installé comme il se doit. Comme je l'ai dit, la partie la plus difficile de tout cela, je pense, n'est pas de configurer ce que vous voulez auditer, c'est de savoir ce que vous voulez configurer pour auditer.
Et comme je l'ai dit, la nature de la bête avec l'audit, vous devez conserver les données pendant sept ans, il est donc logique de se concentrer sur les domaines qui sont sensibles dans la nature. Mais si vous voulez adopter l'approche de la collecte de tout, vous le pouvez absolument, ce n'est tout simplement pas considéré comme la meilleure pratique. Donc, de ce point de vue, je voudrais simplement rappeler aux gens que si c'est quelque chose qui vous intéresse, vous pouvez aller sur le site Web à IDERA.com et télécharger un essai de cela et jouer avec lui-même. En ce qui concerne l'outil gratuit dont nous avons parlé plus tôt, c'est bien, c'est gratuit, vous pouvez aller le télécharger et l'utiliser pour toujours, que vous utilisiez le produit Compliance Manager. Et la chose intéressante à propos de cet outil de recherche de colonnes est que nos conclusions que vous proposez, et je peux réellement montrer que, je pense, c'est que vous pourrez exporter ces données et ensuite les importer dans Compliance Manager ainsi que. Je ne le vois pas, je sais que c'est ici, ça y est. Ce n'est qu'un exemple de cela. C'est là qu'il trouve les données sensibles associées.
Maintenant, ce cas, je suis sorti et j'ai vraiment, je regarde tout, mais vous avez juste une tonne de choses que nous pouvons vérifier. Numéros de carte de crédit, adresses, noms, tout ce genre de choses. Et nous allons identifier où il se trouve dans la base de données, puis à partir de là, vous pouvez décider si vous souhaitez réellement auditer ces informations. Mais c'est certainement un moyen de vous faciliter la tâche pour définir votre portée d'audit lorsque vous regardez un outil comme celui-ci.
Je vais simplement continuer et terminer avec ça, et je vais continuer et le transmettre à Eric.
Eric Kavanagh: C'est une présentation fantastique. J'adore la façon dont vous entrez vraiment dans les moindres détails et nous montrez ce qui se passe. Parce qu'à la fin de la journée, il y a un système qui va accéder à certains enregistrements, qui va vous donner un rapport, qui vous amènera à raconter votre histoire, que ce soit à un régulateur ou à un auditeur ou à quelqu'un de votre équipe, il est donc bon que vous sachiez que vous êtes prêt si et quand, ou au fur et à mesure que cette personne vient frapper, et bien sûr, c'est la situation désagréable que vous essayez d'éviter. Mais si cela se produit, et cela se produira probablement de nos jours, vous voulez être sûr que vous avez votre I en pointillé et votre T en croix.
Il y a une bonne question d'un membre de l'auditoire que je veux d'abord vous adresser, Bullett, puis si un présentateur veut commenter, n'hésitez pas. Et puis peut-être que Dez posera une question et Robin. La question est donc: est-il juste de dire que pour faire tout ce que vous avez mentionné, vous devez commencer un effort de classification des données au niveau élémentaire? Vous devez connaître vos données lorsqu'elles deviennent un atout potentiel précieux et faire quelque chose à ce sujet. Je pense que vous seriez d'accord, Bullett, non?
Bullett Manale: Oui, absolument. Je veux dire, vous devez connaître vos données. Et je me rends compte, je reconnais qu'il y a beaucoup d'applications qui sont là-bas et il y a beaucoup de choses différentes qui ont des pièces mobiles dans votre organisation. L'outil de recherche de colonnes est très utile pour franchir une étape vers une meilleure compréhension de ces données. Mais oui, c'est très important. Je veux dire, vous avez la possibilité d'adopter l'approche Firehose et de tout auditer, mais c'est juste beaucoup plus difficile de cette façon logistique lorsque vous parlez de devoir stocker ces données et de les rapporter. Et puis, vous avez toujours besoin de savoir où se trouvent ces données, car lorsque vous exécutez vos rapports, vous devrez également montrer ces informations à vos auditeurs. Je pense donc que, comme je l'ai dit, le plus grand défi lorsque je parle aux administrateurs de base de données est de savoir, oui.
Eric Kavanagh: Oui, mais peut-être que Robin nous vous amènera très rapidement. Il me semble que la règle des 80/20 s'applique ici, non? Vous ne trouverez probablement pas tous les systèmes d'enregistrement qui comptent si vous êtes dans une organisation de taille moyenne ou grande, mais si vous vous concentrez sur - comme Bullett le suggérait ici - PeopleSoft par exemple, ou d'autres systèmes d'enregistrement qui sont prédominant dans l'entreprise, c'est là que vous concentrez 80% de vos efforts, puis 20% sur les autres systèmes qui peuvent être quelque part, non?
Robin Bloor: Eh bien, je suis sûr, oui. Je veux dire, vous savez, je pense que le problème avec cette technologie, et je pense qu'il vaut probablement la peine d'avoir un commentaire à ce sujet, mais le problème avec cette technologie est, comment la mettez-vous en œuvre? Je veux dire, il y a très certainement un manque de connaissances, disons, dans la plupart des organisations quant au nombre de bases de données qui existent. Vous savez, il y a énormément de manque d'inventaire, disons. Vous savez, la question est, imaginons que nous commençons dans une situation où il n'y a pas de conformité particulièrement bien gérée, comment prendre cette technologie et l'injecter dans l'environnement, pas seulement dans, vous savez, la technologie termes, la mise en place des trucs, mais comme qui gère, qui détermine quoi? Comment commencez-vous à transformer ce chausse-pied en une sorte de chose authentique qui fait son travail?
Bullett Manale: Eh bien, je veux dire, c'est une bonne question. Dans de nombreux cas, le défi est que, je veux dire, vous devez commencer à poser les questions dès le début. J'ai rencontré beaucoup d'entreprises où, vous savez, peut-être que c'est une entreprise privée et qu'elles ont été acquises, il y a une première, une première, une sorte de bosse de route, si vous voulez l'appeler ainsi. Par exemple, si je viens de devenir une société cotée en bourse à cause d'une acquisition, je vais devoir revenir en arrière et probablement trouver des trucs.
Et dans certains cas, nous parlons à des organisations qui, vous savez, même si elles sont privées, elles respectent les règles de conformité SOX, simplement parce que si elles veulent se faire acquérir, elles savent qu'elles doivent être en conformité. Vous ne voulez certainement pas adopter l'approche de «Je n'ai pas besoin de m'inquiéter à ce sujet maintenant». Tout type de conformité réglementaire comme PCI ou SOX ou autre, vous voulez investir dans la recherche ou la comprendre où se trouvent ces informations sensibles, sinon vous pourriez vous retrouver face à des amendes importantes et lourdes. Et c'est beaucoup mieux d'investir ce temps, vous savez, pour trouver ces données et pouvoir les rapporter et montrer que les contrôles fonctionnent.
Oui, en termes de mise en place, comme je l'ai dit, la première chose que je recommanderais aux gens qui se préparent à faire face à un audit, c'est de sortir et de faire un examen superficiel de la base de données, et de comprendre, vous savoir, dans leurs meilleurs efforts, essayer de comprendre où se trouvent ces données sensibles. Et l'autre approche serait de commencer avec peut-être un réseau plus large en termes de portée de l'audit, puis de ralentir lentement votre chemin une fois que vous avez, en quelque sorte, compris où se trouvent les domaines du système qui sont liés à la information sensible. Mais j'aimerais pouvoir vous dire qu'il y a une réponse facile à cette question. Cela va probablement varier un peu d'une organisation à l'autre et le type de conformité et vraiment comment, vous savez, combien de structure ils ont dans leurs applications et combien ont, diverses applications qu'ils ont, certaines peuvent être des applications écrites personnalisées, donc ça va vraiment dépendre de la situation dans beaucoup de cas.
Eric Kavanagh: Allez-y, Dez, je suis sûr que vous avez une ou deux questions.
Dez Blanchfield: Je souhaite simplement avoir un aperçu de vos observations concernant l'impact sur les organisations du point de vue des personnes, en fait. Je pense que l'un des domaines où je vois le plus de valeur pour cette solution particulière est que lorsque les gens se réveillent le matin et vont travailler à différents niveaux de l'organisation, ils se réveillent avec une série de responsabilités, ou une chaîne de responsabilités. qu'ils doivent gérer. Et je tiens à avoir un aperçu de ce que vous voyez là-bas avec et sans les types d'outils dont vous parlez. Et le contexte dont je parle ici va du président du conseil d'administration au PDG et au DSI et à la suite C. Et maintenant, nous avons des directeurs des risques, qui réfléchissent davantage aux types de choses dont nous parlons ici en matière de conformité et de gouvernance, puis nous avons maintenant de nouveaux chefs de jeux de rôle, le responsable des données, qui est, vous savez, encore plus préoccupé par cela.
Et de chaque côté, autour du DSI, nous avons des responsables informatiques d'un côté avec, en quelque sorte vous savez, des pistes techniques, puis des pistes de base de données. Et dans l'espace opérationnel, nous avons des responsables de développement et des responsables de développement, puis des développements individuels, et ils retournent également dans la couche d'administration de la base de données. Que voyez-vous autour de la réaction de chacune de ces différentes parties de l'entreprise face au défi de la conformité et des rapports réglementaires et de leur approche? Voyez-vous que les gens y viennent avec ferveur et peuvent en voir les avantages, ou voyez-vous qu'ils traînent à contrecœur leurs pieds vers cette chose et juste, vous savez, le faire pour une coche dans la boîte? Et quels sont les types de réponses que vous voyez une fois qu'ils voient votre logiciel?
Bullett Manale: Oui, c'est une bonne question. Je dirais que ce produit, les ventes de ce produit, sont principalement dirigés par quelqu'un qui est sur la sellette, si cela a du sens. Dans la plupart des cas, c'est le DBA, et de notre point de vue, en d'autres termes, ils savent qu'il y a un audit à venir et ils vont être responsables, parce que ce sont les DBA, de pouvoir fournir les informations que l'auditeur va demander. Ils peuvent le faire en écrivant leurs propres rapports et en créant leurs propres traces personnalisées et toutes sortes de choses. La réalité, c'est qu'ils ne veulent pas faire ça. Dans la plupart des cas, les administrateurs de base de données ne sont pas vraiment impatients d'avoir ces conversations avec l'auditeur pour commencer. Vous savez, je préfère vous dire que nous pouvons faire appel à une entreprise et dire: «Hé, c'est un excellent outil et vous allez l'adorer», et leur montrer toutes les fonctionnalités et ils l'achèteront.
La réalité est qu'ils ne regarderont généralement pas cet outil à moins qu'ils ne soient confrontés à un audit ou de l'autre côté de la médaille s'ils ont subi un audit et l'ont échoué lamentablement et maintenant ils le sont qu'on leur dise d'obtenir de l'aide ou ils seront condamnés à une amende. Je dirais qu'en termes de, vous savez, de manière générale dans l'ensemble, lorsque vous montrez ce produit aux gens, ils en voient définitivement la valeur, car cela leur fait gagner une tonne de temps en termes de devoir déterminer sur quoi ils veulent faire rapport., ce genre de choses. Tous ces rapports sont déjà intégrés, les mécanismes d'alerte sont en place, et puis avec la troisième question est aussi, dans beaucoup de cas, peut être un défi. Parce que je peux vous montrer des rapports toute la journée, mais à moins que vous ne puissiez me prouver que ces rapports sont réellement valides, vous savez, c'est une proposition beaucoup plus difficile pour moi en tant qu'administrateur de base de données de pouvoir le montrer. Mais nous avons élaboré la technologie et la technique de hachage et toutes ces sortes de choses pour être en mesure de nous assurer que les données dans leur intégrité des pistes d'audit sont conservées.
Et donc ce sont les choses qui, ce sont mes observations en termes de la plupart des gens à qui nous parlons. Vous savez, il y a certainement, dans différentes organisations, vous savez comme, vous entendrez parler, vous savez comme, Target, par exemple, a eu une violation de données et, vous savez, je veux dire, quand d'autres organisations entendent parler des amendes et de celles genre de choses que les gens commencent, cela soulève un sourcil, donc j'espère que cela répond à la question.
Dez Blanchfield: Oui, certainement. Je peux imaginer que certains administrateurs de base de données lorsqu'ils voient enfin ce qui peut être fait avec l'outil se rendent compte qu'ils ont également récupéré leurs nuits et leurs week-ends. Réductions de temps et de coûts et d'autres choses que je constate lorsque les outils appropriés sont appliqués à tout ce problème, et c'est que, trois semaines, j'ai siégé avec une banque ici en Australie. C'est une banque mondiale, une des trois premières banques, elles sont massives. Et ils avaient un projet où ils devaient rendre compte de leur conformité à la gestion de patrimoine et en particulier des risques, et ils cherchaient l'équivalent de 60 semaines de travail pour quelques centaines d'êtres humains. Et quand on leur a montré les goûts d'un outil comme vous qui pourrait simplement automatiser le processus, ce sens, le regard sur leurs visages quand ils ont réalisé qu'ils n'avaient pas à passer X semaines pendant des centaines de personnes faisant un processus manuel était un peu comme s'ils avaient trouvé Dieu. Mais le défi était alors de savoir comment le mettre en plan, comme le Dr Robin Bloor l'a indiqué, vous savez, c'est quelque chose qui devient un mélange de changement de comportement et de culture. Aux niveaux que vous traitez, qui traitent cela directement au niveau de l'application, quel type de changement voyez-vous quand ils commencent à adopter un outil pour effectuer le type de reporting, d'audit et de contrôle que vous pouvez offrir, comme par opposition à ce qu'ils auraient pu faire manuellement? À quoi cela ressemble-t-il lorsqu'ils sont effectivement mis en pratique?
Bullett Manale: Demandez -vous quelle est la différence en termes de traitement manuel par rapport à l'utilisation de cet outil? Est-ce là la question?
Dez Blanchfield: Eh bien, en particulier l'impact de l'entreprise. Ainsi, par exemple, si nous essayons d'assurer la conformité dans un processus manuel, vous savez, nous prenons invariablement beaucoup de temps avec beaucoup d'êtres humains. Mais je suppose que, pour mettre un peu de contexte autour de la question, comme vous le savez, parlons-nous d'une seule personne exécutant cet outil remplaçant potentiellement 50 personnes, et pouvant faire la même chose en temps réel ou en heures par rapport aux mois? Est-ce que ce genre de chose se révèle généralement?
Bullett Manale: Eh bien, je veux dire, cela se résume à deux ou trois choses. L'une est d'avoir la capacité de répondre à ces questions. Certaines de ces choses ne se feront pas très facilement. Donc oui, le temps qu'il faut pour faire les choses chez vous, pour écrire les rapports vous-même, pour configurer les traces ou les événements étendus pour collecter les données manuellement, pourrait prendre beaucoup de temps. Vraiment, je vais vous en donner, je veux dire, cela ne concerne pas vraiment les bases de données en général, mais comme juste après que Enron s'est produit et que SOX est devenu répandu, j'étais dans l'une des plus grandes sociétés pétrolières de Houston, et nous avons compté pour, Je pense que 25% de nos coûts commerciaux étaient liés à la conformité SOX.
Maintenant, c'était juste après et c'était en quelque sorte la première étape initiale chez SOX, mais la chose avec, je dirais, vous savez, vous obtenez beaucoup d'avantages en utilisant cet outil dans le sens où il ne nécessite pas beaucoup de personnes pour faire cela et beaucoup de types différents de personnes pour le faire. Et comme je l'ai dit, le DBA n'est généralement pas le gars qui a vraiment hâte d'avoir ces conversations avec les auditeurs. Donc, dans de nombreux cas, nous verrons que le DBA peut décharger cela et être en mesure de fournir le rapport interfacé à l'auditeur et il peut se retirer complètement de l'équation plutôt que d'avoir à être impliqué. Donc, vous savez, c'est aussi une énorme économie en termes de ressources lorsque vous pouvez le faire.
Dez Blanchfield: Vous parlez de réductions de coûts massives, non? Les organisations suppriment non seulement le risque et les frais généraux, mais je veux dire essentiellement que vous parlez d'une réduction significative des coûts, A) sur le plan opérationnel et également B) du fait que, vous savez, s'ils peuvent réellement fournir des rapport de conformité dans le temps indiquant qu'il y a un risque considérablement réduit de violation de données ou d'une amende légale ou d'un impact pour non-conformité, n'est-ce pas?
Bullett Manale: Oui, absolument. Je veux dire, pour ne pas être conforme, il y a toutes sortes de mauvaises choses qui se produisent. Ils peuvent utiliser cet outil et ce serait génial ou ils ne le font pas et ils découvriront à quel point il est vraiment mauvais. Alors oui, ce n'est pas seulement l'outil évidemment, vous pouvez faire vos vérifications et tout sans outil comme celui-ci. Comme je l'ai dit, cela va prendre beaucoup plus de temps et d'argent.
Dez Blanchfield: C'est super. Alors Eric, je vais vous revenir parce que je pense que le point à retenir pour moi est que, vous savez, le genre de marché est fantastique. Mais aussi, essentiellement, la chose vaut son pesant d'or, car le fait de pouvoir éviter l'impact commercial d'un problème ou de réduire le temps nécessaire pour signaler et gérer la conformité en fait simplement, vous le savez, le l'outil se paie immédiatement par le son des choses.
Eric Kavanagh: C'est exactement ça. Merci beaucoup pour votre temps aujourd'hui, Bullett. Merci à vous tous pour votre temps et votre attention, ainsi qu'à Robin et Dez. Encore une excellente présentation aujourd'hui. Merci à nos amis d'IDERA de nous avoir permis de vous apporter ce contenu gratuitement. Nous archiverons cette webémission pour une visualisation ultérieure. Les archives sont généralement en place en une journée environ. Et dites-nous ce que vous pensez de notre nouveau site Web, insideanalysis.com. Un tout nouveau design, un tout nouveau look and feel. Nous serions ravis d'entendre vos commentaires et, avec cela, je vais vous dire adieu, les amis. Vous pouvez m'envoyer un e-mail. Sinon, nous vous rattraperons la semaine prochaine. Nous avons sept webcasts au cours des cinq prochaines semaines ou quelque chose comme ça. Nous allons être occupés. Et nous serons à la conférence Strata et au IBM Analyst Summit à New York plus tard ce mois-ci. Donc, si vous êtes là-bas, arrêtez-vous et dites bonjour. Faites attention, les amis. Bye Bye.
