Por Techopedia Staff, 14 de setembro de 2016
Resumo: O anfitrião Eric Kavanagh discute a auditoria do banco de dados e a conformidade com os analistas Robin Bloor e Dez Blanchfield, bem como Bullett Manale da IDERA neste episódio da Hot Technologies.
No momento, você não está logado. Faça o login ou inscreva-se para ver o vídeo.
Eric Kavanagh: Senhoras e senhores, olá e bem-vindos de volta, mais uma vez, à Hot Technologies! Sim, de fato em 2016. Estamos no terceiro ano deste show, é uma coisa muito emocionante. Nós estamos agitando e rolando este ano. Este é Eric Kavanagh, seu anfitrião. O tópico de hoje - este é um ótimo tópico, tem muitas aplicações em vários setores, francamente - "Quem, O quê, Onde e Como: Por que você quer saber". Sim, de fato, vamos falar sobre todas essas coisas divertidas. Há realmente um slide sobre o seu, me escreva no Twitter @eric_kavanagh. Tento re-tweetar todas as menções e re-tweetar qualquer coisa que alguém me envie. Caso contrário, que assim seja.
Está quente, sim mesmo! Todo o programa aqui foi projetado para ajudar organizações e indivíduos a entender tipos específicos de tecnologia. Nós projetamos todo o programa aqui, Hot Technologies, como uma maneira de definir um tipo específico de software, uma tendência específica ou um tipo específico de tecnologia. O motivo é que, francamente, no mundo do software, muitas vezes você obtém esses termos de marketing que são cogitados e, às vezes, podem francamente bastardizar os conceitos que pretendiam descrever.
Neste programa, estamos realmente tentando ajudá-lo a entender o que é um tipo específico de tecnologia, como ela funciona, quando você pode usá-la, quando talvez não deva usá-la e fornecer o máximo de detalhes possível. Hoje teremos três apresentadores: nosso próprio Robin Bloor, analista-chefe aqui no Bloor Group; nosso cientista de dados que telefonou de Sydney, na Austrália, do outro lado do planeta, Dez Blanchfield, e um de nossos convidados favoritos Bullett Manale, diretor de engenharia de vendas da IDERA.
Vou apenas dizer algumas coisas aqui, entender quem está fazendo o quê e com quais dados, bem, isso é como governança, certo? Se você pensar em todos os regulamentos relacionados a indústrias, como serviços de saúde e serviços financeiros, nesses domínios, essas coisas são incrivelmente importantes. Você precisa saber quem tocou nas informações, quem mudou alguma coisa, quem acessou, quem fez o upload, por exemplo. Qual é a linhagem, qual é a providência desses dados? Você pode ter certeza de que todos esses problemas permanecerão importantes nos próximos anos por todos os tipos de razões. Não apenas pela conformidade, embora HIPAA, Sarbanes-Oxley e Dodd-Frank, e todas essas regulamentações sejam muito significativas, mas também para que você entenda em sua empresa quem está fazendo o que, onde, quando, por que e como. Isso é bom, vamos prestar atenção.
Vá em frente, leve embora, Robin Bloor.
Robin Bloor: Ok, obrigado por essa introdução, Eric. Essa área de governança é, quero dizer, governança em TI não era uma palavra que você ouviu até pouco depois do ano 2000, eu acho. Surgiu principalmente porque, acho que de qualquer maneira, surgiu principalmente porque havia legislação em conformidade em andamento. Particularmente HIPAA e Sarbanes-Oxley. Na verdade, há muito disso. Portanto, as organizações perceberam que precisavam ter um conjunto de regras e um conjunto de procedimentos, porque era necessário, nos termos da lei, fazer isso. Muito antes disso, particularmente no setor bancário, havia várias iniciativas que você tinha que obedecer, dependendo do tipo de banco que você era, e particularmente dos banqueiros internacionais. Todo o complemento da Basiléia começou muito antes desse conjunto específico de iniciativas após o ano 2000. Tudo realmente se resume à governança. Pensei em falar sobre o assunto governança como uma introdução ao foco de manter um olho em quem está obtendo os dados.
Governança de dados, eu olhava em volta, penso há cinco ou seis anos atrás, procurava definições e não estava bem definida. Tornou-se cada vez mais claro o que realmente significa. A realidade da situação era que, dentro de certos limites, todos os dados eram realmente governados anteriormente, mas não havia regras formais para isso. Havia regras especiais que foram feitas especialmente no setor bancário para fazer coisas assim, mas, novamente, tratava-se mais de conformidade. De uma forma ou de outra, provar que você era realmente um - está meio que associado ao risco, então provar que você era um banco viável era o negócio.
Se você olhar para o desafio de governança agora, ele começa com um fato do movimento de big data. Temos um número crescente de fontes de dados. O volume de dados, é claro, é um problema com isso. Em particular, começamos a fazer muito, muito, mais com dados não estruturados. Começou a se tornar algo que faz parte de todo o jogo de análise. E, devido à análise, a proveniência e as linhagens dos dados são importantes. Realmente, do ponto de vista do uso da análise de dados de qualquer forma relacionada a qualquer tipo de conformidade, você realmente precisa ter conhecimento de onde os dados vieram e como chegaram a ser o que são.
A criptografia de dados começou a se tornar um problema, se tornou um problema maior assim que entramos no Hadoop porque a ideia de um data lake em que armazenamos muitos dados, de repente significa que você tem uma enorme área de vulnerabilidade de pessoas que podem obter Nisso. A criptografia de dados se tornou muito mais proeminente. A autenticação sempre foi um problema. No ambiente antigo, estritamente em mainframe, eles tinham uma proteção de segurança de perímetro tão maravilhosa; autenticação nunca foi realmente um problema. Mais tarde, tornou-se um problema maior e é muito mais um problema agora, porque temos ambientes extremamente distribuídos. Monitoramento de acesso a dados, que se tornou um problema. Parece que me lembro de várias ferramentas surgindo há cerca de dez anos. Eu acho que a maioria deles foi impulsionada por iniciativas de conformidade. Portanto, também temos todas as regras de conformidade, relatórios de conformidade.
O que vem à mente é que, mesmo nos anos 90, quando você estava realizando testes clínicos na indústria farmacêutica, não era necessário apenas provar de onde vinham os dados - obviamente é muito importante, se você estiver tentando usando drogas em vários contextos, para saber quem está sendo testado e quais os dados contextuais ao seu redor - você tinha que poder fornecer uma auditoria ao software que realmente criou os dados. É a parte mais severa de conformidade que eu já vi em qualquer lugar, em termos de provar que você não está realmente bagunçando as coisas deliberada ou acidentalmente. Nos últimos tempos, principalmente o gerenciamento do ciclo de vida dos dados se tornou um problema. Todos esses desafios são de certa forma, porque muitos deles não foram bem-sucedidos. Em muitas circunstâncias, é necessário fazê-las.
É o que chamo de pirâmide de dados. Eu já falei sobre isso antes. Acho uma maneira muito interessante de ver as coisas. Você pode pensar em dados como tendo camadas. Dados brutos, se você preferir, são realmente apenas sinais ou medições, gravações, eventos, principalmente registros únicos. Possivelmente transações, cálculos e agregações, é claro, criam novos dados. Eles podem ser pensados no nível dos dados. Acima disso, uma vez que você realmente conecta os dados, eles se tornam informações. Torna-se mais útil, mas é claro que se torna mais vulnerável a pessoas que a invadiram ou abusaram. Defino isso como sendo criado, realmente, através da estruturação de dados, podendo visualizar os dados com glossários, esquemas, ontologias nas informações. Essas duas camadas inferiores são o que processamos de uma maneira ou de outra. Acima disso, chamo de camada de conhecimento que consiste em regras, políticas, diretrizes, procedimentos. Alguns dos quais podem realmente ser criados por insights descobertos no analytics. Muitos deles são, na verdade, políticas que você deve respeitar. Essa é a camada, se você preferir, de governança. É aqui que, de uma maneira ou de outra, se essa camada não estiver preenchida corretamente, as duas camadas abaixo não serão gerenciadas. O ponto final sobre isso é a compreensão de algo que reside apenas nos seres humanos. Os computadores ainda não conseguiram fazer isso, felizmente. Caso contrário, eu ficaria sem emprego.
O império da governança - eu meio que montei isso, acho que deve ter sido cerca de nove meses atrás, possivelmente muito antes disso. Basicamente, eu meio que a aprimorei, mas assim que começamos a nos preocupar com a governança, havia, em termos de hub de dados corporativo, não apenas um reservatório de dados, recursos de data lake, mas também servidores gerais de vários tipos, servidores de dados especializados. Tudo o que precisava ser governado. Quando você também analisou as várias dimensões - segurança de dados, limpeza de dados, descoberta de metadados e gerenciamento de metadados, criando um glossário de negócios, mapeamento de dados, linhagem de dados, gerenciamento do ciclo de vida dos dados -, gerenciamento de monitoramento de desempenho, gerenciamento de nível de serviço, gerenciamento de sistema, que você pode não associar de fato à governança, mas sim - agora que estamos indo para um mundo cada vez mais rápido, com mais e mais fluxos de dados, poder fazer algo com um desempenho específico é realmente uma necessidade e começa a se tornar uma regra de operação e não qualquer outra coisa.
Resumindo em termos do crescimento da conformidade, observei isso acontecer por muitos e muitos anos, mas a proteção geral de dados realmente veio nos anos 90 na Europa. Ficou cada vez mais sofisticado desde então. Então, todas essas coisas começaram a ser introduzidas ou tornadas mais sofisticadas. O GRC, que é risco e conformidade de governança, vem acontecendo desde que os bancos fizeram Basileia. A ISO vem criando padrões para vários tipos de operações. Sei que durante todo o tempo que estive em TI - faz muito tempo - o governo dos EUA tem sido particularmente ativo na criação de várias legislações: SOX, há Gramm-Leach-Bliley, HIPAA, FISMA, FERPA. Você também tem a maravilhosa organização do NIST, que cria muitos padrões, particularmente os padrões de segurança, muito úteis. As leis de proteção de dados na Europa têm variações locais. O que você pode fazer com dados pessoais na Alemanha, por exemplo, é diferente do que você pode fazer na república eslovaca, na Eslovênia ou em qualquer outro lugar. Eles introduziram recentemente - e eu pensei em mencionar isso porque acho divertido - a Europa está introduzindo a idéia do direito de ser esquecido. Ou seja, deve haver um estatuto de limitações nos dados públicos que realmente são dados pessoais. Eu acho isso hilário. Do ponto de vista de TI, será muito, muito difícil se começar a se tornar uma legislação eficaz. Em resumo, eu diria o seguinte: Como os dados e o gerenciamento de TI estão evoluindo rapidamente, a governança também deve evoluir rapidamente e se aplica a todas as áreas da governança.
Dito isto, vou passar a bola para Dez.
Eric Kavanagh: Sim, de fato, então Dez Blanchfield, leve embora. Robin, estou com você, cara, estou morrendo de vontade de ver como esse direito de ser esquecido se desenrola. Eu acho que não será apenas um desafio, mas basicamente impossível. É apenas uma violação da espera de ser exercida pelas agências governamentais. Dez, leve embora.
Dez Blanchfield: É verdade e esse é um tópico para outra discussão. Temos um desafio muito semelhante aqui na Ásia-Pacífico, e particularmente na Austrália, onde as operadoras e ISPs são obrigados a registrar tudo relacionado à Internet e poder registrá-lo e regurgitá-lo, caso alguém de interesse faça algo errado. É uma lei e você tem que cumpri-la. O desafio, assim como alguém no Google nos EUA pode ser instruído a excluir meu histórico de pesquisa ou o que seja, pode ser o cumprimento da legislação européia, particularmente da lei de privacidade alemã. Na Austrália, se uma agência quiser investigar você, uma operadora deve ser capaz de fornecer detalhes das chamadas e do histórico de pesquisas realizadas, o que é desafiador, mas é o mundo em que vivemos. Existem várias razões para isso. Deixe-me pular no meu.
Eu deliberadamente tornei minha página de rosto difícil de ler. Você realmente precisa olhar muito para esse texto. Conformidade, em conformidade com um conjunto de regras, especificações, controles, políticas, padrões ou leis, com um fundo bobo e confuso. Isso ocorre porque você precisa realmente se esforçar para obter os detalhes e extrair informações do que é sobreposto, que é uma série de tabelas e linhas e colunas, seja um banco de dados, um esquema ou uma maquete no Visio. É assim que parece a conformidade dia a dia. É muito difícil mergulhar nos detalhes e extrair as informações relevantes necessárias para confirmar que você é compatível. Relate isso, monitore e teste.
Na verdade, pensei em uma maneira realmente boa de visualizar isso quando nos perguntamos: "Você é compatível?" "Você tem certeza?" "Bem, prove!" Há uma coisa realmente divertida que talvez seja um pouco mais anglo-celta, mas eu tenho certeza que ela fez o seu caminho ao redor do mundo para os EUA, então é: "Onde está o Wally?" Wally é um pequeno personagem que entra nesses desenhos em forma de livros. Geralmente, imagens em escala muito grande de A3 ou superior. Então, desenhos em tamanho de tabela. Ele é um personagem pequeno que usa um gorro e uma camisa listrada de vermelho e branco. A idéia do jogo é você olhar para esta foto e olhar em círculos para tentar encontrar Wally. Ele está nessa foto em algum lugar. Quando você pensa em como descobrir, descrever e relatar sobre conformidade, de várias maneiras, é como jogar "Where's Wally". Se você olhar para essa foto, é quase impossível encontrar o personagem. As crianças passam horas nisso e eu me diverti muito fazendo isso ontem. Quando olhamos para ele, encontramos um monte de gente nesses desenhos animados, deliberadamente colocados ali com peças semelhantes da roupa de Wally, de um gorro listrado e uma camiseta ou blusa de lã. Mas eles se tornam falsos positivos.
Esse é um desafio semelhante que temos com a conformidade. Quando estamos olhando as coisas, às vezes algo que achamos que é esse o caso, não é o caso. Alguém pode ter acesso a um banco de dados e eles devem ter acesso a um banco de dados, mas a maneira como eles o usam é um pouco diferente do que esperamos. Podemos decidir que é algo que precisamos examinar. Quando analisamos, descobrimos que, na verdade, é um usuário muito válido. Eles estão apenas fazendo algo peculiar. Talvez seja um pesquisador de PC ou quem sabe. Em outros casos, pode ser o oposto. A realidade, quando eu avançar novamente, há Wally. Se você olhou muito duro nesta alta resolução, há um personagem que está realmente vestindo o traje adequado. Todos os outros são apenas parecidos e parecidos. A conformidade se parece muito com isso. A maioria das pessoas que conheço trabalha nas áreas de controles e conformidade e políticas das empresas. Em toda uma gama de áreas, seja tecnologia, seja finanças, operação ou risco. Muitas vezes é muito difícil ver o Wally na foto, você vê as árvores ou a madeira.
A pergunta que fazemos a nós mesmos, quando pensamos em coisas como conformidade, é "grande coisa, o que poderia dar errado se não cumprirmos a conformidade?" No contexto da discussão de hoje, especificamente sobre banco de dados e controle de acesso a dados, vou dar alguns exemplos reais de chamadas de despertar sobre o que pode dar errado em uma forma sucinta muito curta. Se pensarmos em violações de dados, e todos estivermos familiarizados com violações de dados, nós os ouvimos na mídia e paramos e rimos, porque as pessoas pensam que são mercados. São coisas pessoais. É Ashley Madison e as pessoas que estão procurando encontros fora de seus relacionamentos e casamentos. É arremessar contas. São todas essas coisas estranhas ou algum provedor de hospedagem de Internet europeu ou russo aleatório é invadido. Quando se trata de coisas como o MySpace e os dez primeiros, quando você olha para esses números, o que eu quero que você perceba é o seguinte: 1, 1 bilhão de detalhes das pessoas nessas dez principais violações. E sim, há sobreposições, provavelmente há pessoas que têm uma conta no MySpace, uma conta do Dropbox e uma conta do Tumblr, mas vamos arredondar para um bilhão de pessoas.
Essas dez principais violações da última década - nem mesmo uma década, na maioria dos casos - somam aproximadamente um sétimo da população mundial de seres humanos, mas, mais realista, cerca de 50% do número de pessoas estão conectadas à rede. Internet, mais de um bilhão de indivíduos. Isso ocorre porque a conformidade não foi atendida em alguns casos. Na maioria dos casos, havia controles de acesso ao banco de dados, controle de acesso a conjuntos de dados e sistemas e redes específicos. Esta é uma verificação assustadora da realidade. Se isso não o assusta, quando você olha para os dez primeiros e pode ver que isso é um - ou pode ser um bilhão de indivíduos, seres humanos reais como nós, neste momento. Se você possui uma conta no LinkedIn, se possui uma conta do Dropbox, ou uma conta do Tumblr ou se comprou de produtos da Adobe ou até mesmo registrou o download gratuito do visualizador da Adobe. É totalmente provável, impossível, seus dados, seu primeiro nome, seu sobrenome, seu endereço de e-mail, potencialmente o endereço da sua empresa ou seu endereço residencial ou cartão de crédito, estão realmente disponíveis por causa de uma violação isso ocorreu por causa dos controles, que não foram necessariamente gerenciados bem na forma de gerenciamento de dados, governança de dados.
Vamos dar uma olhada quando olhamos em detalhes reais. Há uma tela deles, há cerca de 50 e poucos lá. Existem outros 15. Existem outros 25. Essas são violações de dados listadas em um site chamado haveibeenpwned.com. Isso é o que poderia dar errado se algo simples como controlar quem teve acesso a dados em bancos de dados em diferentes campos e linhas e colunas e aplicativos diferentes em seus negócios, não for gerenciado adequadamente. Essas organizações agora são orientadas por dados. A maioria dos dados reside em um banco de dados de alguma forma. Quando você pensa sobre isso, essa lista de violações que acabamos de ver, e espero que tenha lhe dado um banho frio em certo sentido, no sentido de que você pensou "Hmm, isso é muito real", e potencialmente afetou você. Em 2012, essa violação do LinkedIn, por exemplo, a maioria dos profissionais tem uma conta do LinkedIn atualmente e é provável que seus dados sejam perdidos. Eles estão na internet desde 2012. Só fomos informados sobre isso em 2016. O que aconteceu com você durante esses quatro anos? Bem, é interessante e podemos falar sobre isso separadamente.
Banco de dados e gerenciamento de sistemas - costumo falar sobre o que considero os cinco principais desafios no gerenciamento dessas coisas. No topo, no topo e estou classificando-os em ordem de preferência, mas também em ordem de impacto, o número um é a segurança e conformidade. Os controles, mecanismos e políticas para controlar quem tem que acesso a qual sistema, por que razão e propósito. Relatando e monitorando, analisando os sistemas, analisando os bancos de dados e vendo quem realmente pode acessar registros, campos e registros individuais.
Pense sobre isso de uma forma muito simples. Vamos falar sobre bancos e gerenciamento de patrimônio como um exemplo. Ao se inscrever em uma conta bancária, digamos apenas uma conta em dinheiro normal para um cartão EFTPOS, uma conta em dinheiro ou uma conta em cheque. Você preenche um formulário e há muitas informações muito particulares nesse pedaço de papel que você preenche ou o faz on-line e que entra em um sistema de computador. Agora, se alguém em marketing quiser entrar em contato com você e enviar uma brochura, deverá ver seu nome, sobrenome e endereço pessoal, por exemplo, e potencialmente seu número de telefone, se desejar ligar para você e vender alguma coisa. Eles provavelmente não devem ver a quantidade total de dinheiro que você tem no banco por vários motivos. Se alguém está olhando para você do ponto de vista de risco ou tentando ajudá-lo a obter melhores taxas de juros em sua conta, essa pessoa provavelmente deseja ver quanto dinheiro você tem no banco, para que eles possam oferecer-lhe os níveis adequados de retorno do seu dinheiro. Esses dois indivíduos têm papéis muito diferentes e razões muito diferentes para esses papéis e propósitos para esses papéis. Como resultado, você precisa ver informações diferentes em seu registro, mas não todo o registro.
Esses controles envolvem os diferentes relatórios de telas ou formulários comuns que eles possuem nos aplicativos usados para gerenciar sua conta. O desenvolvimento para esses, a manutenção desses, a administração desses, os relatórios em torno deles e a governança e conformidade em torno daqueles como plástico bolha, são todos um desafio muito, muito grande. Esse é apenas o desafio número um no gerenciamento de dados e sistemas. Quando nos aprofundamos mais sobre desempenho e monitoramento, detecção e resposta de incidência, gerenciamento e administração do sistema e conformidade com eles, o design e desenvolvimento dos sistemas a partir da conformidade, fica muito mais difícil.
Gerenciando toda a questão de reduzir riscos e melhorar a segurança. Meus cinco principais desafios neste espaço - e eu gosto das imagens que acompanham uma alfândega quando você entra em um país - eles apresentam seu passaporte, fazem check-out e examinam o sistema de computadores para ver se você deve passar ou não. Se não, eles o colocam no próximo avião de volta para casa. Caso contrário, eles deixam você voltar e fazem perguntas como: "Você vem de férias? Você é turista? Você está aqui para trabalhar? Que tipo de trabalho você vai ver? Onde você vai ficar? "Há quanto tempo você está vindo? Você tem dinheiro suficiente para cobrir suas despesas e custos? Ou você vai se tornar um risco para o país em que está e eles podem ter que cuidar de você e alimentá-lo?"
Existem alguns problemas nesse espaço de dados, gerenciando a proteção de dados. Por exemplo, no espaço do banco de dados, precisamos pensar em mitigar desvios de banco de dados. Se os dados estiverem no banco de dados, em um ambiente normal e houver controles e mecanismos em torno disso no sistema. O que acontece se um dump dos dados for feito em mais SQL e for feito backup em fita? Os bancos de dados são despejados em formato bruto e, às vezes, copiados. Às vezes, é feito por razões técnicas, razões de desenvolvimento. Digamos que um despejo de banco de dados foi feito e feito em fita. O que acontece se eu colocar minhas mãos nessa fita e restaurá-la? E eu tenho uma cópia bruta do banco de dados no SQL. É um arquivo MP, é um texto, eu posso lê-lo. Todas as senhas armazenadas nesse despejo não têm controle sobre mim, porque agora estou obtendo acesso ao conteúdo real do banco de dados sem que o mecanismo de banco de dados o proteja. Para que eu possa tecnicamente ignorar a segurança da plataforma de banco de dados que está sendo construída no mecanismo com conformidade e gerenciamento de riscos para me impedir de examinar os dados. Porque potencialmente o desenvolvedor, administrador do sistema, eu tenho minhas mãos em um despejo completo do banco de dados que deve ser usado para backups.
Uso indevido dos dados - potencialmente fazer com que alguém faça login como sua conta elevada e me deixar sentar na tela, procurando informações ou coisas semelhantes. Auditoria proprietária, do acesso e uso dos dados e visualização dos dados ou alterações nos dados. Em seguida, os relatórios em torno desse controle e a conformidade necessária. Monitorando o tráfego, o acesso e assim por diante, bloqueando as ameaças provenientes de locais e servidores externos. Por exemplo, se os dados são apresentados por meio de um formulário em uma página da Web na Internet, suas injeções de SQL foram protegidas por firewalls e controles de conceito? Há uma longa história detalhada por trás disso. Você pode ver aqui que apenas algumas dessas coisas absolutamente fundamentais que pensamos em mitigar e gerenciar riscos em torno de dados em bancos de dados. Na verdade, é relativamente fácil contornar algumas delas, se você estiver em diferentes níveis de pilhas de tecnologias. O desafio fica cada vez mais difícil à medida que você obtém mais e mais dados e mais bancos de dados. Mais e mais desafiador, com as pessoas que precisam gerenciar os sistemas e monitorar o uso deles, acompanha os detalhes relevantes que pertencem especificamente às coisas de que Robin falou, em torno de coisas como conformidade pessoal. Os indivíduos têm controles e mecanismos ao seu redor que cumprem - se você fizer algo errado, poderá ser demitido. Se eu entrar como minha conta, você verá isso, isso deve ser uma ofensa passível de fogo. Agora eu lhe dei acesso a dados que você não deveria ter visto normalmente.
Existe conformidade pessoal, há conformidade corporativa, as empresas têm políticas e regras e controles que eles mesmos estabeleceram para que a empresa funcione bem e forneça um retorno sobre o lucro e um bom retorno para investidores e acionistas. Depois, muitas vezes, em toda a cidade ou em todo o estado ou nacional, federal, como você disse nos EUA. Depois, existem os globais. Alguns dos maiores incidentes do mundo, como Sarbanes-Oxley, dois indivíduos solicitados a encontrar maneiras de proteger dados e sistemas. Existe Basileia na Europa e toda a gama de controles na Austrália, particularmente em torno de plataformas de bolsa e credenciais e, em seguida, privacidade em nível individual ou empresarial. Quando cada um deles é empilhado como você viu em um dos locais que Robin tinha, eles se tornam quase uma montanha quase impossível de escalar. Os custos aumentam e estamos no ponto em que a abordagem tradicional original, como os seres humanos que medem o controle, não é mais uma abordagem apropriada, porque a escala é muito grande.
Temos um cenário em que a conformidade é o que chamo agora de um problema sempre ativo. E é assim que costumávamos ter um ponto no tempo, mensalmente ou trimestralmente ou anualmente, em que revisaríamos nosso estado da nação e ajudaríamos a conformidade e controle. Garantir que certas pessoas tivessem certo acesso e não tivessem certo acesso, dependendo de quais eram suas permissões. Agora é o caso da velocidade das coisas com as quais as coisas se movem, o ritmo em que as coisas mudam, a escala na qual estamos operando. A conformidade é uma questão sempre constante e a crise financeira global foi apenas um exemplo em que os controles relevantes e as medidas de segurança e conformidade poderiam ter potencialmente evitado um cenário em que tínhamos um trem de carga descontrolado com determinado comportamento. Apenas criando uma situação com o mundo inteiro efetivamente sabendo que ela iria à falência e à falência. Para fazer isso, precisamos das ferramentas certas. Atirar seres humanos no trem, atirar corpos não é mais uma abordagem válida, porque a balança é muito grande e as coisas estão se movendo muito rápido. A discussão de hoje, acho que vamos ter, é sobre os tipos de ferramentas a serem aplicadas a isso. Em particular, as ferramentas que o IDERA pode nos fornecer e que devem fazer isso. E com isso em mente, vou passar para Bullett percorrer o material dele e nos mostrar sua abordagem e as ferramentas que eles têm para resolver esse problema que apresentamos agora para você.
Com isso, Bullett, entregarei a você.
Bullett Manale: Parece ótimo, obrigado. Quero falar sobre alguns slides e também mostrar um produto que usamos nos bancos de dados do SQL Server especificamente para ajudar em situações de conformidade. Realmente, o desafio em muitos casos - eu vou pular alguns desses - esse é apenas o nosso portfólio de produtos, vou passar por isso rapidamente. Em termos de realmente onde esse produto vai abordar e como ele se relaciona à conformidade, eu sempre faço isso como o primeiro slide, porque é um tipo genérico: "Ei, qual é a responsabilidade de um DBA?" está controlando e monitorando o acesso do usuário e também podendo gerar relatórios. Isso está relacionado a quando você está conversando com seu auditor, o quão difícil esse processo pode variar, dependendo se você o fará por conta própria ou se vai usar terceiros. ferramenta para ajudar.
De um modo geral, quando falo com administradores de banco de dados, muitas vezes eles nunca se envolveram em uma auditoria. Você meio que tem que educá-los para realmente o que realmente está tendo que fazer. Relacionado com o tipo de conformidade que precisa ser cumprida e com a capacidade de provar que você está realmente seguindo as regras que se aplicam a esse nível de conformidade. Muitas pessoas não entendem no começo. Eles pensam: "Oh, eu posso apenas comprar uma ferramenta que me torne compatível". A realidade é que não é esse o caso. Eu gostaria de poder dizer que, como você sabe, apertando o botão fácil, nosso produto deu a você a capacidade de garantir a conformidade. A realidade é que você precisa configurar seu ambiente em termos de controles, de como as pessoas estão acessando os dados, para que tudo tenha que ser resolvido com o aplicativo que você possui. Onde esses dados são confidenciais, que tipo de requisito regulatório é esse. Além disso, também é necessário trabalhar com um oficial de conformidade interno para garantir que você esteja seguindo todas as regras.
Isso parece realmente complicado. Se você olhar para todos os requisitos regulatórios, você pensaria que seria esse o caso, mas a realidade é que existe um denominador comum aqui. No nosso caso, com a ferramenta que mostrarei hoje, o produto Compliance Manager, o processo em nossa situação seria que, em primeiro lugar, precisamos garantir que estamos coletando os dados da trilha de auditoria, relacionados para onde os dados estão no banco de dados que é sensível. Você pode colecionar tudo, certo? Eu poderia dizer que quero coletar todas as transações que acontecem nesse banco de dados. A realidade é que você provavelmente possui apenas uma pequena fração ou uma pequena porcentagem de transações que estão realmente relacionadas aos dados confidenciais. Se estiver em conformidade com o PCI, será sobre as informações do cartão de crédito, os proprietários dos cartões de crédito e suas informações pessoais. Pode haver várias outras transações relacionadas à sua aplicação que realmente não têm nenhuma influência nos requisitos regulamentares do PCI.
Desse ponto de vista, a primeira coisa quando falo com o DBA é: “O desafio número um não é tentar obter uma ferramenta para fazer essas coisas por você. É apenas saber onde estão esses dados confidenciais e como estamos bloqueando esses dados. ”Se você tiver esses dados, se puder responder a essa pergunta, estará no meio do caminho para poder mostrar que está em conformidade, assumindo que você está seguindo os controles corretos. Digamos por um segundo que você está seguindo os controles certos e disse aos auditores que é esse o caso. A próxima parte do processo é obviamente poder fornecer uma trilha de auditoria que mostre e valide se esses controles estão realmente funcionando. Em seguida, verifique se você salvou esses dados. Geralmente com coisas como conformidade com PCI e HIPAA e esse tipo de coisa, você está falando de sete anos de retenção. Você está falando sobre muitas transações e muitos dados.
Se você está mantendo, coletando todas as transações, mesmo que apenas cinco por cento das transações estejam relacionadas aos dados confidenciais, você está falando de um custo bastante grande associado ao armazenamento desses dados por sete anos. Acho que esse é um dos maiores desafios em convencer as pessoas a dizerem que é um custo realmente desnecessário, obviamente. Também é muito mais fácil se pudermos focar granularmente as áreas sensíveis do banco de dados. Além disso, você também desejará controles sobre algumas das informações confidenciais. Não apenas para mostrar em termos de uma trilha de auditoria, mas também para vincular as coisas às ações que estão acontecendo e ser notificado em tempo real, para que você fique ciente disso.
O exemplo que eu sempre uso, e pode não estar necessariamente relacionado a qualquer tipo de requisito regulatório, mas apenas ao fato de rastrear, por exemplo, alguém que deve abandonar a tabela associada à folha de pagamento. Se isso acontecer, a maneira como você descobre isso, se você não está acompanhando isso, é que ninguém é pago. Isso é tarde demais. Você quer saber quando essa mesa é derrubada, exatamente quando é derrubada, para evitar coisas ruins que acontecem como resultado de um funcionário insatisfeito ir e excluir a tabela que está diretamente ligada à folha de pagamento.
Com isso dito, o truque é encontrar o denominador comum ou usá-lo para mapear qual é o nível de conformidade. É o que tentamos fazer com essa ferramenta. Basicamente, adotamos a abordagem de: não mostraremos um relatório específico para PCI, específico para ações; o denominador comum é que você tem um aplicativo que está usando o SQL Server para armazenar os dados confidenciais no banco de dados. Quando você supera o que diz, "Sim, essa é realmente a principal coisa em que precisamos nos concentrar - onde estão esses dados confidenciais e como eles estão sendo acessados?" Depois que você tiver isso, há vários relatórios que oferecemos que podem fornecer essa prova, você estará dentro da conformidade.
Voltando às perguntas feitas por um auditor, a primeira pergunta será: quem tem acesso aos dados e como eles estão obtendo esse acesso? Você pode provar que as pessoas certas estão acessando os dados e as pessoas erradas não? Você também pode provar que a trilha de auditoria em si é algo em que posso confiar como fonte imutável de informações? Se eu estou lhe dando uma trilha de auditoria fabricada, realmente não me faz muito bem como auditor corrigir sua auditoria se as informações forem fabricadas. Precisamos de prova disso, normalmente do ponto de vista da auditoria.
Passando por essas perguntas, um pouco mais detalhadas. O desafio da primeira pergunta é: você precisa saber, como eu disse, onde estão esses dados confidenciais para informar quem está acessando. Isso geralmente é algum tipo de descoberta e, na verdade, você tem milhares de aplicativos diferentes por aí, vários requisitos regulatórios diferentes. Na maioria dos casos, você deseja trabalhar com seu diretor de conformidade, se você tiver um, ou pelo menos alguém que possa ter uma visão adicional em termos de onde meus dados confidenciais estão dentro do aplicativo. Temos uma ferramenta que temos, é uma ferramenta gratuita, chamada Pesquisa de Colunas SQL. Dizemos aos nossos clientes e usuários em potencial que estão interessados nessa pergunta que podem fazer o download. O que vai fazer é procurar basicamente as informações no banco de dados que provavelmente serão de natureza sensível.
E depois que você fizer isso, também precisará entender como as pessoas estão acessando esses dados. E, mais uma vez, quais contas estão dentro de quais grupos do Active Directory, quais usuários de banco de dados estão envolvidos, há uma associação de função associada a isso. E tendo em mente, é claro, que todas essas coisas sobre as quais estamos falando precisam ser aprovadas pelo auditor, portanto, se você disser: "É assim que estamos bloqueando os dados", os auditores poderão entrar volte e diga: “Bem, você está fazendo errado.” Mas digamos que eles digam: “Sim, isso parece bom. Você está bloqueando os dados o suficiente.
Passando para a próxima pergunta, que será, você pode provar que as pessoas certas estão acessando esses dados? Em outras palavras, você pode dizer a eles que seus controles são, esses são os controles que você está seguindo, mas infelizmente os auditores não são indivíduos reais e confiáveis. Eles querem uma prova disso e desejam poder vê-lo na trilha de auditoria. E isso remonta a todo esse denominador comum. Seja PCI, SOX, HIPAA, GLBA, Basileia II, qualquer que seja a realidade, é que os mesmos tipos de perguntas serão tipicamente feitos. O objeto com as informações confidenciais, quem acessou esse objeto no último mês? Isso deve ser mapeado para meus controles e, eventualmente, eu posso passar na minha auditoria mostrando esses tipos de relatórios.
Então, o que fizemos foi compilar cerca de 25 relatórios diferentes que se seguem ao mesmo tipo de áreas que o denominador comum. Portanto, não temos um relatório para PCI, HIPAA ou SOX, temos relatórios de que, mais uma vez, eles enfrentam esse denominador comum. E, portanto, realmente não importa qual requisito regulatório você está tentando cumprir, na maioria dos casos você será capaz de responder a qualquer pergunta que esse auditor lhe fizer. E eles lhe dirão quem, o que, quando e onde de cada transação. Você sabe, o usuário, a hora em que a transação ocorreu, a própria instrução SQL, o aplicativo de onde veio, todas essas coisas boas e também pode automatizar a entrega dessas informações aos relatórios.
E então, mais uma vez, uma vez que você supere isso e forneça isso ao auditor, a próxima pergunta será: prove. E quando digo provar, quero dizer provar que a trilha de auditoria em si é algo em que podemos confiar. E a maneira como fazemos isso em nossa ferramenta é que temos valores de hash e valores de CRC que se vinculam diretamente aos eventos em si na trilha de auditoria. E então a ideia é: se alguém sai e exclui um registro ou se alguém sai e remove ou adiciona algo à trilha de auditoria ou altera algo na trilha de auditoria, podemos provar que esses dados, a integridade de os dados em si foram violados. E, portanto, 99, 9% das vezes, se você tiver nosso banco de dados de trilha de auditoria bloqueado, não terá esse problema porque, quando executamos essa verificação de integridade, estamos essencialmente provando ao auditor que os dados em si não foram alterado e excluído ou adicionado desde a gravação original do próprio serviço de gerenciamento.
Portanto, esse é um tipo de visão geral dos tipos típicos de perguntas que você faria. Agora, a ferramenta que precisamos abordar muito disso é chamada SQL Compliance Manager e faz todas essas coisas em termos de rastreamento das transações, quem, o quê, quando e onde as transações, podendo fazer isso em um número de áreas diferentes também. Logins, logins com falha, alterações de esquema, obviamente acesso a dados, selecione atividades, todas as coisas que estão acontecendo no mecanismo de banco de dados. E também podemos alertar os usuários sobre condições específicas e muito granulares, se necessário. Por exemplo, alguém está saindo e realmente visualizando a tabela que contém todos os meus números de cartão de crédito. Eles não estão mudando os dados, apenas estão olhando para eles. Nessa situação, posso alertar e avisar às pessoas que isso está acontecendo, seis horas depois, quando estamos raspando logs, mas em tempo real. É basicamente o tempo necessário para processarmos essa transação por meio de um serviço de gerenciamento.
Como mencionei antes, vimos isso ser usado em vários requisitos regulatórios diferentes e, na verdade, não existe - você sabe, qualquer requisito regulatório, mais uma vez, desde que os denominadores comuns, você tenha dados confidenciais em um SQL Server banco de dados, essa é uma ferramenta que ajudaria nesse tipo de situação. Para os 25 relatórios incorporados, agora a realidade é que podemos tornar essa ferramenta boa para o auditor e responder a todas as perguntas que eles fazem, mas os DBAs são os que precisam fazê-la funcionar. Portanto, há também esse pensamento, você sabe bem, de uma perspectiva de manutenção, para garantir que o SQL esteja funcionando da maneira que queremos. Também precisamos ser capazes de analisar as coisas que serão capazes de analisar outras informações, como o arquivamento dos dados, a automação deles e as despesas gerais próprio produto. Essas são coisas que obviamente levamos em consideração.
O que traz a arquitetura em si. Portanto, no lado direito da tela, temos as instâncias de SQL que gerenciamos, desde 2000 até 2014, preparando-se para lançar uma versão para 2016. O maior diferencial nessa tela é que o gerenciamento próprio servidor está fazendo todo o trabalho pesado. Estamos apenas coletando os dados, usando a API de rastreamento, integrada no SQL Server. Essas informações estão chegando ao nosso servidor de gerenciamento. O próprio servidor de gerenciamento está identificando e se existem eventos vinculados a qualquer tipo de transação que não desejamos, enviando alertas e esse tipo de coisa e, em seguida, preenchendo os dados em um repositório. A partir daí, podemos executar relatórios, poderíamos sair e realmente ver essas informações nos relatórios ou mesmo no console do aplicativo.
Então, o que vou fazer é seguir adiante, bem rápido, e só quero apontar uma coisa rápida antes de entrarmos no produto, há um link no site agora, ou na apresentação, isso levará você à ferramenta gratuita que mencionei anteriormente. Essa ferramenta gratuita, como eu disse, será lançada e examinará um banco de dados e tentará encontrar áreas que se parecem com dados confidenciais, números de previdência social, números de cartão de crédito, com base nos nomes das colunas ou das tabelas, ou com base na aparência do formato dos dados, e você também pode personalizá-lo, apenas para salientar isso.
Agora, no nosso caso, deixe-me ir em frente e compartilhar minha tela, me dê um segundo aqui. Tudo bem, e então, o que eu queria levar você primeiro é que quero levá-lo para o próprio aplicativo Compliance Manager e vou passar por isso rapidamente. Mas esse é o aplicativo e você pode ver que tenho alguns bancos de dados aqui e vou mostrar como é fácil entrar e dizer o que você deseja auditar. Do ponto de vista de alterações de esquema, alterações de segurança, atividades administrativas, DML, Select, temos todas essas opções disponíveis, também podemos filtrá-las. Isso remonta à melhor prática de poder dizer: “Eu realmente só preciso dessa tabela porque ela contém os números dos meus cartões de crédito. Não preciso das outras tabelas que contêm informações do produto, de todas as outras coisas que não são relativas ao nível de conformidade que estou tentando atender. ”
Também temos a capacidade de capturar dados e mostrá-los em termos dos valores dos campos que estão mudando. Em muitas ferramentas, você terá algo que lhe permitirá capturar a instrução SQL, mostrar ao usuário, mostrar o aplicativo, hora e data, todas essas coisas boas. Mas, em alguns casos, a própria instrução SQL não fornecerá informações suficientes para poder dizer qual era o valor do campo antes da alteração, bem como o valor do campo após a alteração. E em algumas situações você precisa disso. Talvez eu queira rastrear, por exemplo, as informações de dosagem de um médico para medicamentos prescritos. Passou de 50mg a 80mg a 120mg, eu seria capaz de acompanhar isso usando o antes e o depois.
Colunas sensíveis são outra coisa que encontramos muito, por exemplo, com a conformidade com PCI. Na situação aqui, você tem dados de natureza tão sensível que, ao olhar para essas informações, não preciso alterá-las, excluí-las ou adicioná-las para causar danos irreparáveis. Números de cartão de crédito, números de previdência social, todo esse tipo de coisa boa, podemos identificar colunas sensíveis e vincular alertas a ela. Se alguém sair e olhar para essas informações, obviamente, poderemos alertar e enviar um email ou gerar uma interceptação SNMP e esse tipo de coisa.
Agora, em alguns casos, você encontrará uma situação em que poderá ter uma exceção. E o que quero dizer com isso, você tem uma situação em que você tem um usuário que possui uma conta de usuário que pode estar vinculada a algum tipo de trabalho ETL que é executado no meio da noite. É um processo documentado e eu simplesmente não preciso incluir essas informações transacionais para essa conta de usuário. Nesse caso, teríamos um usuário confiável. E então, em outras situações, usaríamos o recurso de Auditoria Privilegiada do Usuário, que é essencialmente, se eu tenho, digamos, por exemplo, um aplicativo, e esse aplicativo já está fazendo auditoria, dos usuários que estão passando pelo aplicativo, isso é ótimo, eu já tenho algo a referenciar em termos de minha auditoria. Mas, para as coisas ligadas a, por exemplo, meus usuários privilegiados, os caras que podem entrar no estúdio de gerenciamento do SQL Server para examinar os dados no banco de dados, isso não é suficiente. E é aqui que podemos definir quem são nossos usuários privilegiados, por meio de Associações de Função ou por suas contas do Active Directory, grupos, contas autenticadas por SQL, onde poderemos escolher todos esses tipos diferentes de opções e a partir daí, verifique se, para esses usuários privilegiados, podemos especificar os tipos de transações que estamos interessados em auditar.
Esses são todos os tipos de opções diferentes que você tem e eu não vou passar por todos os tipos diferentes de coisas com base nas restrições de tempo aqui para esta apresentação. Mas quero mostrar como podemos visualizar os dados e acho que você gostará de como isso funciona, porque há duas maneiras de fazê-lo. Eu posso fazer isso de forma interativa e, portanto, quando conversamos com pessoas interessadas nesta ferramenta para talvez seus próprios controles internos, elas só querem saber o que está acontecendo em muitos casos. Eles não necessariamente têm auditores entrando no local. Eles só querem saber: “Ei, eu quero ir atrás desta mesa e ver quem a tocou na última semana ou no mês passado ou o que quer que seja.” Nesse caso, você pode ver com que rapidez podemos fazer isso.
No caso do banco de dados de assistência médica, tenho uma tabela chamada Registros do Paciente. E essa tabela, se eu fosse apenas agrupar por objeto, poderia rapidamente começar a diminuir para onde estamos procurando. Talvez eu queira agrupar por categoria e depois por evento. E quando eu faço isso, você pode ver com que rapidez isso aparece, e há minha tabela de registros de pacientes ali. E, ao detalhar, agora podemos ver a atividade DML, podemos ver que tivemos milhares de inserções de DML e, quando abrimos uma dessas transações, podemos ver as informações relevantes. Quem, o quê, o quando, o local da transação, a instrução SQL, obviamente, o aplicativo real sendo usado para realizar a transação, a conta, a hora e a data.
Agora, se você olhar para a próxima guia aqui, a guia Detalhes, isso remonta à terceira pergunta sobre a qual estamos falando, provando que a integridade dos dados não foi violada. Então, basicamente, todos os eventos, temos um cálculo secreto para o nosso valor de hash, e isso será vinculado a quando fizermos nossa verificação de integridade. Por exemplo, se eu fosse para a ferramenta, entre no menu de auditoria e diga, vamos verificar a integridade do repositório, eu poderia apontar para o banco de dados onde a trilha de auditoria está, ela será executada através de uma verificação de integridade que combina esses valores de hash e valores de CRC com os eventos reais, e isso indica que não foram encontrados problemas. Em outras palavras, os dados na trilha de auditoria não foram violados desde que foram originalmente gravados pelo serviço de gerenciamento. Obviamente, essa é uma maneira de interagir com os dados. A outra maneira seria através dos próprios relatórios. E assim, vou apenas dar um exemplo rápido de um relatório.
E mais uma vez, esses relatórios, da maneira como os criamos, não são específicos para nenhum tipo de padrão como PCI, HIPAA, SOX ou qualquer coisa assim. Mais uma vez, é o denominador comum do que estamos fazendo e, neste caso, se voltarmos ao exemplo de registros de pacientes, poderíamos sair e dizer, no nosso caso aqui, estamos procurando no banco de dados de assistência médica e, no nosso caso, queremos nos concentrar especificamente na tabela que sabemos que contém informações privadas, no nosso caso, relacionadas aos nossos pacientes. Então, deixe-me ver se consigo digitar aqui, e vamos executar esse relatório. E veremos, obviamente, a partir daí todos os dados relevantes associados a esse objeto. E no nosso caso, isso nos mostra por um mês. Mas poderíamos voltar seis meses, um ano, por quanto tempo mantivemos os dados.
Essas são as maneiras pelas quais você seria capaz de realmente provar, se quiser, ao auditor que está seguindo seus controles. Depois de identificar isso, obviamente é bom passar na auditoria e mostrar que você está seguindo os controles e tudo está funcionando.
A última coisa a falar sobre o que eu queria demonstrar está na seção de administração. Também há controles, do ponto de vista de dentro dessa ferramenta, ser capaz de definir controles para garantir que, se alguém estiver fazendo algo que não deveria estar fazendo, eu possa ser informado. E eu vou te dar alguns exemplos lá. Eu tenho uma conta de logon vinculada a um serviço e esse serviço precisa de permissões elevadas para fazer o que faz. O que eu não quero é que alguém entre e use essa conta no Management Studio e, então, use-a para coisas para as quais não foi planejada. Teríamos aqui dois critérios que poderíamos aplicar. Eu poderia dizer: “Olha, estamos realmente interessados nesse trabalho, digamos, com nosso aplicativo PeopleSoft”, apenas como exemplo, ok?
Agora que eu fiz isso, o que estou dizendo aqui é que estou curioso para saber quaisquer logins vinculados à conta que estou me preparando para especificar, se o aplicativo que está sendo usado para efetuar login com esta conta não é PeopleSoft, então isso será um aumento para o alarme. E, obviamente, temos que especificar o nome da conta em si; portanto, no nosso caso, vamos chamar essa conta particular, pelo fato de ser privilegiada. Agora, depois que fizermos isso, quando fizermos isso aqui, poderemos especificar o que queremos que aconteça quando isso ocorrer e para cada tipo de evento ou, devo dizer, alertar, você pode tenha uma notificação separada para a pessoa responsável por esse dado específico.
Por exemplo, se for uma informação salarial, pode ser enviada ao meu diretor de RH. Nesse caso, ao lidar com o aplicativo PeopleSoft, ele será o administrador desse aplicativo. Seja qual for o caso. Eu seria capaz de inserir meu endereço de e-mail, personalizar a mensagem de alerta real e todo esse tipo de coisa boa. Mais uma vez, isso remonta a ser capaz de garantir que você possa mostrar que está seguindo seus controles e que esses controles estão funcionando da maneira que se destinam. Da última perspectiva aqui, apenas em termos de manutenção, temos a capacidade de pegar esses dados e colocá-los offline. Posso arquivar os dados e agendá-los, e poderíamos fazer essas coisas com muita facilidade, no sentido de que você seria capaz de, como DBA, usar esta ferramenta, configurá-la e meio que afaste-se dela Não há muitas mãos dadas que acontecerão depois que você a tiver configurado da maneira que deveria ser. Como eu disse, a parte mais difícil de tudo isso, penso, não é configurar o que você deseja auditar, é saber o que você deseja configurar para auditar.
E, como eu disse, a natureza da besta com a auditoria, você deve manter os dados por sete anos; portanto, só faz sentido focar nas áreas que são de natureza sensível. Mas se você deseja adotar a abordagem de coletar tudo, pode absolutamente, simplesmente não é considerada a melhor prática. Então, desse ponto de vista, eu gostaria de lembrar às pessoas que, se isso é algo de interesse, você pode acessar o site da IDERA.com, baixar uma versão de avaliação e brincar com você. Em termos da ferramenta gratuita de que falamos anteriormente, é grátis. Você pode fazer o download e usá-lo para sempre, independentemente de estar usando o produto Compliance Manager. E o interessante dessa ferramenta de pesquisa de colunas é que nossas descobertas são apresentadas, e posso mostrar que, na minha opinião, é possível exportar esses dados e importá-los para o Compliance Manager também. Não vejo, sei que está aqui, está. Este é apenas um exemplo disso. É aqui que ele encontra os dados confidenciais relacionados.
Agora, neste caso, eu saí e realmente estou vendo tudo, mas você tem apenas uma tonelada de coisas que podemos verificar. Números de cartão de crédito, endereços, nomes, todo esse tipo de coisa. E identificaremos onde ele está no banco de dados e, a partir daí, você poderá decidir se deseja ou não auditar essas informações. Mas é definitivamente uma maneira de facilitar muito a definição de seu escopo de auditoria quando você está olhando para uma ferramenta como essa.
Eu apenas irei adiante e fecharei com isso, e irei adiante e passarei de volta para Eric.
Eric Kavanagh: Essa é uma apresentação fantástica. Eu amo o jeito que você realmente entra nos detalhes e mostra o que está acontecendo. Porque no final do dia, existe um sistema que acessa alguns registros, que fornece um relatório, que permite que você conte sua história, seja para um regulador, auditor ou alguém da sua equipe, então é bom que você saiba que está preparado se e quando, ou como e quando, essa pessoa bate, e é claro que essa é a situação desagradável que você está tentando evitar. Mas se acontecer, e provavelmente acontecerá nos dias de hoje, você quer ter certeza de que o seu eu é pontilhado e o seu T é cruzado.
Há uma boa pergunta de um membro da platéia que eu gostaria de fazer, talvez para você primeiro, Bullett, e se um apresentador quiser comentar sobre isso, fique à vontade. E então talvez Dez faça uma pergunta e Robin. Portanto, a questão é: é justo dizer que, para fazer todas as coisas que você mencionou, é necessário iniciar um esforço de classificação de dados em um nível elementar? Você precisa conhecer seus dados quando eles emergem como um ativo potencial valioso e fazer algo a respeito. Eu acho que você concorda, Bullett, certo?
Bullett Manale: Sim, absolutamente. Quero dizer, você precisa conhecer seus dados. E percebo que reconheço que existem muitos aplicativos por aí e muitas coisas diferentes que têm partes móveis em sua organização. A ferramenta de pesquisa de colunas é muito útil em termos de dar um passo na direção de entender melhor esses dados. Mas sim, é muito importante. Quero dizer, você tem a opção de adotar a abordagem de mangueira de incêndio e auditar tudo, mas é muito mais desafiador desse jeito logisticamente quando você fala sobre ter que armazenar e reportar esses dados. E você ainda precisa saber onde estão esses dados, porque, quando você executa seus relatórios, também precisa mostrar essas informações aos auditores. Então eu acho que, como eu disse, o maior desafio quando falo com administradores de banco de dados é saber, sim.
Eric Kavanagh: Sim, mas talvez o Robin traga você rapidamente. Parece-me que a regra 80/20 se aplica aqui, certo? Você provavelmente não encontrará todos os sistemas de registro que importam se você estiver em uma organização de médio ou grande porte, mas se concentrar - como Bullett sugeria aqui - no PeopleSoft, por exemplo, ou em outros sistemas de registro que sejam predominante na empresa, é aí que você concentra 80% de seu esforço e 20% se concentra nos outros sistemas que podem estar disponíveis em algum lugar, certo?
Robin Bloor: Bem, eu tenho certeza, sim. Quero dizer, você sabe, acho que o problema com esta tecnologia e acho que provavelmente vale a pena comentar sobre ela, mas o problema com essa tecnologia é: como você a implementa? Quero dizer, existe definitivamente uma falta de conhecimento, digamos, na maioria das organizações, quanto ao número de bancos de dados existentes. Você sabe, há uma enorme falta de inventário, digamos. Você sabe, a questão é: vamos imaginar que estamos começando em uma situação em que não há uma conformidade particularmente bem gerenciada, como você pega essa tecnologia e a injeta no ambiente, não apenas na tecnologia termos, configurando coisas, mas como quem gerencia, quem determina o quê? Como você começa a transformar isso em algo genuíno, fazendo o seu trabalho?
Bullett Manale: Bem, quero dizer, é uma boa pergunta. O desafio em muitos casos é que, quero dizer, você precisa começar a fazer as perguntas logo no início. Já encontrei muitas empresas em que elas talvez sejam uma empresa privada e que foram adquiridas, existe um tipo inicial, meio, primeiro, meio que, se você quiser chamar assim. Por exemplo, se agora me tornei uma empresa de capital aberto por causa da aquisição, terei que voltar e provavelmente descobrir algumas coisas.
E, em alguns casos, conversamos com organizações que, mesmo sendo privadas, seguem as regras de conformidade com SOX, simplesmente porque, no caso de quererem ser adquiridas, sabem que precisam estar em conformidade. Você definitivamente não quer adotar a abordagem de "Não preciso me preocupar com isso agora". Qualquer tipo de conformidade regulamentar como PCI ou SOX ou qualquer outra coisa, você deseja investir na pesquisa ou no compreensão de onde estão essas informações confidenciais; caso contrário, você poderá estar lidando com algumas multas significativas e pesadas. E é muito melhor investir esse tempo, você sabe, encontrando esses dados e sendo capaz de relatar esses dados e mostrar que os controles estão funcionando.
Sim, em termos de configuração, como eu disse, a primeira coisa que eu recomendaria para as pessoas que estão se preparando para enfrentar uma auditoria é apenas sair e fazer um exame superficial do banco de dados e descobrir, você sabem, em seus melhores esforços, tentando descobrir onde estão esses dados confidenciais. E a outra abordagem seria começar talvez com uma rede maior em termos de qual é o escopo da auditoria e depois diminuir lentamente o seu caminho quando você meio que descobre onde estão as áreas do sistema que estão relacionadas ao informação sensível. Mas gostaria de poder dizer que há uma resposta fácil para essa pergunta. Provavelmente vai variar bastante de uma organização para outra e o tipo de conformidade e realmente como, você sabe, quanta estrutura eles têm em seus aplicativos e quantos têm, diversos aplicativos, alguns podem ser aplicativos escritos personalizados, então realmente vai depender da situação em muitos casos.
Eric Kavanagh: Vá em frente, Dez, tenho certeza que você tem uma ou duas perguntas.
Dez Blanchfield: Estou ansioso para ter uma ideia das suas observações sobre o impacto nas organizações do ponto de vista das pessoas, na verdade. Acho que uma das áreas em que vejo maior valor para essa solução em particular é que, quando as pessoas acordam de manhã e vão trabalhar em vários níveis da organização, elas acordam com uma série de responsabilidades ou uma cadeia de responsabilidades. com os quais eles precisam lidar. E estou ansioso para ter uma ideia do que você está vendo por aí, com e sem os tipos de ferramentas de que está falando. E o contexto do qual estou falando aqui é do presidente do conselho de administração ao CEO, CIO e C-suite. E agora temos diretores de risco, que estão pensando mais sobre os tipos de coisas que estamos falando aqui em conformidade e governança, e agora temos novos chefes de dramatização, diretor de dados, quem sabe, , ainda mais preocupado com isso.
E, ao lado de cada um deles, em torno do CIO, temos gerentes de TI de um lado, como vocês sabem, líderes técnicos e, em seguida, líderes de banco de dados. E no espaço operacional, temos gerentes e líderes de desenvolvimento e desenvolvimentos individuais, e eles também retornam à camada de administração do banco de dados. O que você está vendo em relação à reação de cada uma dessas diferentes partes do negócio ao desafio dos relatórios de conformidade e regulamentares e sua abordagem em relação a isso? Você está vendo que as pessoas estão vendo isso com fervor e pode ver o benefício disso, ou está vendo que elas estão relutantemente arrastando os pés para essa coisa e apenas, você sabe, fazendo isso por um sinal na caixa? E quais são os tipos de respostas que você vê quando vêem seu software?
Bullett Manale: Sim, essa é uma boa pergunta. Eu diria que este produto, as vendas deste produto, são principalmente motivados por alguém que está no centro da situação, se isso faz sentido. Na maioria dos casos, esse é o DBA e, da nossa perspectiva, em outras palavras, eles sabem que há uma auditoria sendo executada e serão responsáveis, porque são os DBAs, para poder fornecer as informações que o auditor irá pergunte. Eles podem fazer isso escrevendo seus próprios relatórios e criando seus próprios rastreamentos personalizados e todo esse tipo de coisa. A realidade é que eles não querem fazer isso. Na maioria dos casos, os DBAs não estão realmente ansiosos para ter essas conversas com o auditor, para começar. Sabe, eu prefiro dizer que podemos chamar uma empresa e dizer: "Ei, essa é uma ótima ferramenta e você vai adorar", e mostre a eles todos os recursos e eles comprarão.
A realidade é que eles normalmente não vão olhar para essa ferramenta, a menos que sejam confrontados com uma auditoria ou o outro lado dessa moeda seja que eles fizeram uma auditoria e falharam miseravelmente e agora estão sendo dito para obter ajuda ou eles serão multados. Eu diria que, em termos gerais, quando você mostra esse produto para as pessoas, elas definitivamente vêem o valor, porque economizam uma tonelada de tempo em termos de ter que descobrir o que querem informar sobre, esses tipos de coisas. Todos esses relatórios já estão integrados, os mecanismos de alerta estão em vigor e, com a terceira pergunta, também, em muitos casos, pode ser um desafio. Como eu posso lhe mostrar relatórios o dia inteiro, mas, a menos que você possa me provar que esses relatórios são realmente válidos, sabe, é uma proposta muito mais difícil para mim, como DBA, ser capaz de mostrar isso. Mas desenvolvemos a tecnologia, a técnica de hash e todo esse tipo de coisa para poder ajudar a garantir que os dados em sua integridade das trilhas de auditoria sejam mantidos.
E então essas são as coisas que, essas são minhas observações em termos da maioria das pessoas com quem conversamos. Você sabe, definitivamente, em diferentes organizações, você sabe, você ouvirá, você sabe, o Target, por exemplo, teve uma violação de dados e, você sabe, quero dizer, quando outras organizações ouvem sobre as multas e aquelas tipos de coisas que as pessoas começam, levanta uma sobrancelha, então, espero que isso responda à pergunta.
Dez Blanchfield: Sim, definitivamente. Eu posso imaginar alguns DBAs quando eles finalmente vêem o que pode ser feito com a ferramenta, apenas percebendo que eles têm suas noites e fins de semana de volta também. Reduções de tempo e custos e outras coisas que estou vendo quando as ferramentas apropriadas são aplicadas a todo esse problema, ou seja, três semanas em que estive em um banco aqui na Austrália. Eles são um banco global, um dos três principais, são massivos. E eles tinham um projeto no qual precisavam relatar sua conformidade com o gerenciamento de patrimônio e, particularmente, os riscos, e estavam procurando 60 semanas de trabalho para algumas centenas de seres humanos. E quando foram mostrados tipos de ferramentas como você, capazes de automatizar o processo, nesse sentido, o olhar em seus rostos quando eles perceberam que não precisavam passar um número X de semanas com centenas de pessoas fazendo um processo manual era como se tivessem encontrado Deus. Mas o mais desafiador então era como colocá-lo no plano, como o Dr. Robin Bloor indicou, você sabe, isso é algo que se torna uma mistura de mudança cultural e comportamental. Nos níveis em que você está lidando, que está lidando com isso diretamente no nível do aplicativo, que tipo de mudança você vê quando começa a adotar uma ferramenta para executar o tipo de relatório, auditoria e controle que você pode oferecer, como em oposição ao que eles poderiam ter feito manualmente? Como é isso quando eles realmente colocam em prática?
Bullett Manale: Você está perguntando, qual é a diferença em termos de lidar com isso manualmente versus usar essa ferramenta? Essa é a pergunta?
Dez Blanchfield: Bem, especificamente o impacto dos negócios. Por exemplo, se estamos tentando entregar a conformidade em um processo manual, invariavelmente demoramos muito tempo com muitos seres humanos. Mas acho que, para colocar algum contexto em torno da pergunta, como você sabe, estamos falando de uma única pessoa executando esta ferramenta substituindo potencialmente 50 pessoas e sendo capaz de fazer a mesma coisa em tempo real ou em horas e meses? É esse o tipo de coisa que geralmente acaba sendo?
Bullett Manale: Bem, quero dizer, tudo se resume a duas coisas. Um deles é ter a capacidade de responder a essas perguntas. Algumas dessas coisas não serão feitas com muita facilidade. Então, sim, o tempo que leva para fazer as coisas em casa, para escrever os relatórios por conta própria, para configurar os rastreamentos ou os eventos estendidos para coletar os dados manualmente, pode levar muito tempo. Realmente, vou lhe dar algumas, quero dizer, isso realmente não se relaciona com bancos de dados em geral, mas, logo após a Enron acontecer e o SOX se tornar predominante, eu estava em uma das maiores empresas de petróleo de Houston e contamos com, Acho que 25% dos nossos custos de negócios estavam relacionados à conformidade com SOX.
Agora isso foi logo depois e esse foi o primeiro passo inicial na SOX, mas a coisa com, eu diria, você sabe, você obtém muitos benefícios ao usar essa ferramenta no sentido de que ela não requer muito de pessoas para fazer isso e muitos tipos diferentes de pessoas para fazer isso. E, como eu disse, o DBA normalmente não é o cara que está realmente ansioso para ter essas conversas com os auditores. Portanto, em muitos casos, veremos que o DBA pode descarregar isso e poder fornecer o relatório que está sendo interface com o auditor e eles podem se remover completamente da equação, em vez de terem que se envolver. Então, você sabe, isso é uma tremenda economia também em termos de recursos quando você pode fazer isso.
Dez Blanchfield: Você está falando sobre grandes reduções de custos, certo? As organizações não apenas removem o risco e as despesas gerais, mas quero dizer essencialmente que você está falando de uma redução significativa no custo, A) operacionalmente e também B) no fato de que, se você pode realmente fornecer relatórios de conformidade de tempo em que há um risco significativamente reduzido de violação de dados ou multa ou impacto legal por não ser compatível, certo?
Bullett Manale: Sim, absolutamente. Quero dizer, por não ser compatível, todos os tipos de coisas ruins acontecem. Eles podem usar essa ferramenta e seria ótimo ou não, e descobrirão o quão ruim é realmente. Então, sim, obviamente não é apenas a ferramenta, você pode fazer suas verificações e tudo sem uma ferramenta como essa. Como eu disse, só vai demorar muito mais tempo e custo.
Dez Blanchfield: Isso é ótimo. Eric, eu vou voltar para você, porque acho que o melhor para mim é que, tipo, o mercado é fantástico. Mas também, essencialmente, a coisa vale o seu peso em ouro, com base em que, para evitar o impacto comercial de um problema ou reduzir o tempo necessário para relatar e gerenciar a conformidade, apenas é necessário, você sabe, o ferramenta se paga imediatamente pelos sons das coisas.
Eric Kavanagh: Isso é exatamente certo. Bem, muito obrigado pelo seu tempo hoje, Bullett. Obrigado a todos vocês por seu tempo e atenção, e Robin e Dez. Outra ótima apresentação hoje. Agradecemos aos nossos amigos da IDERA por nos oferecerem esse conteúdo gratuitamente. Arquivaremos este webcast para visualização posterior. O arquivo geralmente é aberto em cerca de um dia. E deixe-nos saber o que você pensa sobre o nosso novo site, insideanalysis.com. Um design totalmente novo, uma aparência totalmente nova. Gostaríamos muito de ouvir seus comentários e com isso vou me despedir, pessoal. Você pode me enviar um email. Caso contrário, entraremos em contato com você na próxima semana. Temos sete webcasts nas próximas cinco semanas ou algo assim. Nós vamos estar ocupados. E estaremos na Strata Conference e na IBM Analyst Summit em Nova York ainda este mês. Então, se você estiver por aqui, pare e diga olá. Tome cuidado, pessoal. Tchau tchau.