通过Techopedia Staff,2016年9月14日
总结:主持人Eric Kavanagh在这一期热门技术中与分析师Robin Bloor和Dez Blanchfield以及IDERA的Bullett Manale讨论了数据库审计和合规性。
您目前尚未登录。请登录或注册以观看视频。
埃里克·卡瓦纳(Eric Kavanagh):女士们,先生们,您好,欢迎再次回到Hot Technologies! 是的,确实是2016年。我们已经进入了该节目的第三年,这是非常令人兴奋的事情。 今年我们一直在摇摆。 这是您的房东Eric Kavanagh。 坦率地说,今天的主题-这是一个伟大的主题,它在许多行业中都有许多应用程序-“谁,什么,在哪里和如何:您想知道的原因”。 是的,确实,我们将讨论所有有趣的东西。 确实有一张关于您的幻灯片,请在Twitter @eric_kavanagh上打我。 我会尝试重新转发所有提及内容,并重新转发某人发送给我的任何内容。 否则,就这样吧。
很热,的确如此! 这里的整个展览旨在帮助组织和个人了解特定种类的技术。 我们在这里设计了整个程序,即Hot Technologies,作为定义特定类型的软件,特定趋势或特定类型技术的一种方式。 原因是,坦率地说,在软件世界中,您经常会得到这些营销术语的困扰,有时它们可能会坦率地使本来打算描述的概念混为一谈。
在本次展览中,我们实际上是在尝试帮助您了解某种特定技术,其工作方式,何时可以使用,何时不应该使用它,并尽我们所能提供详细信息。 今天,我们将有三位主持人:Bloor集团首席分析师Robin Bloor; 我们的数据科学家从地球另一端的澳大利亚悉尼打电话给Dez Blanchfield,也是我们最喜欢的客人之一,IDERA销售工程总监Bullett Manale。
在这里我只想说几件事,了解谁在处理哪些数据,这就像治理一样,对吗? 如果您考虑这些领域中与行业相关的所有法规,例如医疗保健和金融服务,那么这些内容就非常重要。 例如,您需要知道谁触摸了信息,谁进行了更改,谁访问了信息,谁上传了信息。 什么是血统,这些数据的意义是什么? 您可以放心,由于种种原因,所有这些问题在未来的几年中仍将是突出的。 尽管HIPAA,Sarbanes-Oxley和Dodd-Frank以及所有这些法规都非常重要,但是为了确保合规性,还可以使您了解业务中谁在做什么,在哪里,何时,为什么以及如何做。 这是好东西,我们将要注意。
继续,把它拿走,Robin Bloor。
Robin Bloor:好的,非常感谢您的介绍,Eric。 我认为这是治理领域,直到2000年以后,您才听说到IT领域的治理。 无论如何,这主要是因为我想无论如何,主要是因为正在进行合规性立法。 特别是HIPAA和Sarbanes-Oxley。 实际上有很多。 因此,组织意识到他们必须有一套规则和一套程序,因为法律有必要这样做。 在此之前很久,尤其是在银行业,您必须遵循各种举措,这取决于您是哪种类型的银行,尤其是国际银行家。 整个巴塞尔协议合规的开始,早于2000年之后那套特定计划的开始。这实际上都归功于治理。 我以为我会谈论治理主题,作为对关注谁在获取数据的关注点的介绍。
过去大约五,六年前,我曾经四处查看数据治理,四处寻找定义,但根本没有很好地定义。 实际含义越来越清晰。 这种情况的现实情况是,在一定范围内,所有数据实际上都是以前控制过的,但是没有正式的规则。 在银行业中,有专门针对此类问题制定的特殊规则,但同样,更多的是合规性。 在某种程度上,证明您实际上是一个–与风险相关,因此,证明您是一家可行的银行才是交易。
如果您现在看一下治理挑战,那就是大数据运动的事实。 我们拥有越来越多的数据源。 数据量当然是一个问题。 尤其是,我们开始对非结构化数据进行很多工作。 它开始成为整个分析游戏的一部分。 并且由于分析,数据来源和血统很重要。 实际上,从以与合规性相关的任何方式使用数据分析的角度来看,您确实必须了解数据来自何处以及如何成为数据。
数据加密开始成为一个问题,当我们进入Hadoop时,它就成为一个更大的问题,因为在其中存储大量数据的数据湖的想法突然意味着您容易受到攻击的人们的脆弱性很大。在它。 数据加密变得更加重要。 身份验证始终是一个问题。 在较旧的环境(严格来说是大型机环境)中,它们具有如此出色的外围安全保护; 身份验证从来就不是一个大问题。 后来,这成为了一个更大的问题,由于我们已经拥有了如此庞大的分布式环境,所以现在的问题更多了。 数据访问监控成为一个问题。 我似乎记得大约十年前出现的各种工具。 我认为其中大多数是由合规举措推动的。 因此,我们还获得了所有合规性规则,合规性报告。
我想到的是,即使在1990年代,当您在制药行业进行临床试验时,您不仅必须能够证明数据的来源-显然,如果您要尝试的话,这非常重要。在各种情况下找出药物,以了解正在尝试的人以及周围的背景数据–您必须能够对实际创建数据的软件进行审核。 就证明您不是故意或无意地弄乱了事情而言,这是我在任何地方见过的最严格的合规性。 近年来,尤其是数据生命周期管理已成为一个问题。 所有这些在某种程度上都是挑战,因为其中许多工作做得不好。 在很多情况下,有必要这样做。
这就是我所说的数据金字塔。 之前我已经讨论过了。 我发现这是一种看待事物的非常有趣的方式。 您可以认为数据具有层次。 如果您愿意,原始数据实际上实际上只是信号或测量值,记录,事件,单个记录。 当然,交易,计算和汇总当然会创建新数据。 可以在数据级别上考虑它们。 除此之外,一旦将数据实际连接在一起,它便成为信息。 它变得更加有用,但是,当然,它更容易受到黑客的攻击或滥用。 我将其定义为实际上是通过数据的结构创建的,能够可视化具有信息词汇表,模式和本体的数据。 这两个较低的层是我们以一种或另一种方式处理的层。 在此之上,我称之为知识层,包括规则,策略,准则,过程。 其中一些可能实际上是由分析中发现的见解创建的。 实际上,其中许多是您必须遵守的政策。 如果您愿意,这是治理层。 在这一方面,如果未正确填充此层,则不会管理下面的两个层。 关于这一点的最后一点是,对仅存在于人类中的事物的理解。 值得庆幸的是,计算机还没有做到这一点。 否则,我会失业。
治理帝国–我把它们放在一起,我认为它必须已经存在了大约9个月前,可能比这还早很多。 基本上,我对它进行了增强,但是当我们开始关注治理时,就公司数据中心而言,不仅有数据存储库,数据湖资源,而且还有各种通用服务器,专业数据服务器。 所有这些都需要治理。 当您实际研究各个方面时-数据安全性,数据清理,元数据发现和元数据管理,创建业务词汇表,数据映射,数据沿袭,数据生命周期管理-然后是性能监视管理,服务级别管理系统管理,您实际上可能不会与治理相关联,但是可以肯定的是,既然我们要通过越来越多的数据流进入一个越来越快的世界,那么实际上能够以特定的性能执行某些工作实际上是必要的,开始成为一种操作规则,而不是其他任何事情。
总结一下合规性的增长,我看到这种情况发生了很多年,但是一般的数据保护实际上发生在1990年代的欧洲。 从那时起,它变得越来越复杂。 然后,所有这些东西开始被引入或变得更加复杂。 自银行执行巴塞尔协议以来,GRC(即治理风险和合规性)一直在持续。 ISO一直在创建各种操作的标准。 我一直以来都在IT领域工作,这已经很长一段时间了,我知道美国政府在制定各种立法方面特别活跃:SOX,Gramm-Leach-Bliley,HIPAA,FISMA,FERPA。 您还会得到一个很棒的NIST组织,该组织创建了很多非常有用的标准,尤其是安全标准。 欧洲的数据保护法存在局部差异。 例如,您在德国可以使用个人数据进行的操作不同于在斯洛伐克共和国,斯洛文尼亚或其他任何地方可以进行的操作。 他们最近介绍了-我想提一提是因为我觉得这很有趣-欧洲正在介绍被遗忘权的概念。 也就是说,应该对已公开的数据(实际上是个人数据)进行限制。 我认为这很有趣。 从IT的角度来看,如果它开始成为有效的立法,将会非常非常困难。 总而言之,我要说以下几点:由于IT数据和管理在迅速发展,因此治理也必须迅速发展,并且适用于治理的所有领域。
话虽如此,我将球传给了Dez。
埃里克·卡瓦纳(Eric Kavanagh):是的,的确如此,所以Dez Blanchfield,把它拿走。 罗宾,我和你在一起,伙计,我渴望看到被遗忘的这项权利如何发挥作用。 我认为这不只是挑战,而且基本上是不可能的。 这只是对政府机构等待执行的侵犯。 Dez,拿走它。
Dez Blanchfield:的确如此,这是另一个讨论的主题。 在亚太地区,尤其是在澳大利亚,运营商和ISP需要记录与互联网相关的所有信息,并能够记录和重新注册以防万一,如果有人感兴趣的话,我们面临着非常相似的挑战。 这是一项法律,您必须遵守。 就像美国Google的某人可能会被告知删除我的搜索记录或其他内容一样,挑战可能在于遵守欧洲法律,尤其是德国隐私法。 在澳大利亚,如果代理商想对您进行调查,则运营商必须能够提供致电的详细信息和搜索历史记录,这很具挑战性,但这是我们所生活的世界。这有很多原因。 让我跳进我的。
我故意使标题页难以阅读。 您必须认真研究该文本。 合规性,符合一组规则,规范,控制,政策,标准或法律,具有愚蠢而混乱的背景。 这是因为您必须真正了解要获取详细信息并从覆盖的内容中提取信息的困难,这些信息是一系列表,行和列,可以是数据库,方案或Visio中的模型。 这就是日常合规性的感觉。 深入研究细节并提取所需的相关信息以确认您的合规性非常困难。 对此进行报告,对其进行监视和测试。
实际上,当我们问自己一个问题:“您符合要求吗?”时,我想出了一种很好的可视化方法。 “你确定吗?” “好,证明一下!” 有一件非常有趣的事情,也许它比盎格鲁凯尔特人多一点,但我敢肯定,它已经遍及全球进入美国,所以它是:“沃利在哪里?” 沃利(Wally)是一个小人物,以书籍的形式进入这些卡通图画。 通常是A3或更大尺寸的超大型图片。 因此,图纸尺寸的图纸。 他是一个小人物,穿着无檐小便帽和红白色条纹衬衫。 游戏的想法是,您看着这张照片,然后环顾四周,尝试找到Wally。 他在那张照片中的某个地方。 当您考虑如何发现,描述和报告合规性时,在许多方面就像玩“ Wall's Wally”。如果您看这张照片,几乎找不到角色。 孩子们花了很多时间在上面,昨天我自己做了很多有趣的事情。 当我们看到它时,我们发现这些漫画中有一整群人,故意将它们放置在类似的沃利服装中,例如条纹无檐小便帽和针织衫或羊毛上衣。 但是它们变成了误报。
这是我们在合规方面面临的类似挑战。 当我们查看事物时,有时我们认为是这种情况,根本不是这种情况。 某人可能有权访问数据库,但他们本来应该具有对数据库的访问权,但使用数据库的方式与我们的预期稍有不同。 我们可能会认为这是我们需要考虑的事情。 当我们调查它时,我们发现,噢,实际上,这是一个非常有效的用户。 他们只是在做一些古怪的事情。 也许是PC研究人员或谁知道。 在其他情况下,情况可能恰恰相反。 现实是,当我再次前进时,便有了沃利。 如果您在这种高分辨率下看起来真的很努力,那么有一个角色实际上穿着适当的服装。 所有其他的都只是相似和相似。 合规感很像那样。 我认识的大多数人都在企业的控制,合规性和政策领域工作。 在整个领域中,无论是技术,金融,运营还是风险。 通常很难在图片中看到Wally,您会看到树木或树林。
当我们考虑诸如合规性之类的问题时,我们问自己的问题是“大不了,如果我们不完全符合合规性,可能会出什么问题?” 在今天的讨论中,特别是在数据库和对数据访问的控制方面,我将为您提供一些非常真实的唤醒示例,以简短的形式说明可能会出现的问题。 如果我们想到数据泄露,并且我们都熟悉数据泄露,我们就会在媒体上听到它们,并且我们会停下来大笑,因为人们认为这是市场。 这是个人的事情。 正是Ashley Madison和其他人希望在约会和婚姻之外获得约会。 这是非法账户。 这些都是怪异的事情,或者是一些随机的欧洲或俄罗斯ISP或托管公司被黑客入侵。 当涉及到MySpace和前十名时,当您查看这些数字时,我想让您意识到的是:在前十名中,有11亿人的详细信息。 是的,这里有很多重叠之处,可能有人拥有MySpace帐户,Dropbox帐户和Tumblr帐户,但让我们将其扩大到十亿。
在过去十年左右的时间内(在大多数情况下,甚至是十年甚至十年),这十大违规事件总计约占世界人口总数的七分之一,但更现实的是,约有50%的人与互联网,超过10亿个人。 之所以会这样,是因为在某些情况下还没有达到合规性。 在大多数情况下,控制访问数据库,控制访问特定数据集,系统和网络。 这是一个可怕的现实检查。 如果这并没有使您感到恐惧,那么当您查看前十名时,您可以看到这是一个–或可以看到这是十亿个人,像我们这样的真实人类,现在正在这个电话上。 如果您有LinkedIn帐户,Dropbox帐户或Tumblr帐户,或者您是从Adobe产品购买的,甚至注册了免费下载的Adobe Viewer。 很有可能您的详细信息,您的名字,您的姓氏,您的电子邮件地址,甚至您的工作公司地址,您的家庭住址或您的信用卡都确实存在,很可能,不可能由于控制而发生的控制并不一定以数据管理,数据治理的形式进行良好的管理。
让我们看一下它的细节。 它们只有一个屏幕,大约有50多个。 还有另外15个。大约还有25个。这些是数据泄露,该数据泄露在一个名为haveibeenpwned.com的网站上。 如果诸如对谁有权访问您业务中不同字段,行和列以及不同应用程序中的数据库中的数据的简单访问这样的简单管理工作不正确,则可能会出错。 这些组织现在是数据驱动的。 大多数数据以某种形式存在于数据库中。 当您考虑到这一点时,我们刚刚查看的违规列表就可以在某种意义上给您带来一些凉爽的感觉,因为您认为“嗯,那是非常真实的”,并且可能会影响您。 例如,在2012年,由于违反了LinkedIn,大多数专业人士如今都拥有LinkedIn帐户,并且您的详细信息很可能会丢失。 自2012年以来,他们就一直在互联网上。我们只是在2016年才被告知。在这四年中,您的信息发生了什么? 好吧,这很有趣,我们可以分别讨论。
数据库和系统管理–我经常谈论在管理这些方面我认为最重要的五个挑战。 在最高层,我按自己的喜好排序,但也按影响力排序,第一是安全性和合规性。 关于控制谁,出于何种原因和目的有权访问哪些系统的控制,机制和策略。 报告并对其进行监视,调查系统,调查数据库,并查看谁可以实际访问记录,各个字段和记录。
用一个非常简单的形式考虑一下。 让我们以银行和财富管理为例。 当您注册一个银行帐户时,我们只说一个EFTPOS卡的普通现金帐户,或者一个现金帐户或支票帐户。 您填写一张表格,然后在网上填写的纸上有很多非常私人的信息,然后进入计算机系统。 现在,如果营销人员想要与您联系并向您发送宣传册,则应该允许他们看到您的名字和姓氏以及您的个人地址,例如,如果他们想给您打个电话,可以查看您的电话号码。给你卖东西。 由于多种原因,他们可能不应该看到您在银行中获得的总金额。 如果有人从风险的角度看您,或者试图帮助您做一些事情,例如在您的帐户上获得更高的利率,那么该人可能想查看您在银行中有多少钱,这样他们就可以为您提供适当水平的资金收益。 这两个人具有非常不同的角色,以及这些角色的不同原因以及这些角色的目的。 因此,需要查看记录中的不同信息,但不是全部记录。
这些控件围绕用于管理帐户的应用程序中的常规屏幕或表单的不同报告。 这些开发,维护,管理,围绕这些的报告以及围绕诸如泡沫包装之类的治理和合规性都是非常非常大的挑战。 那只是管理数据和系统的第一大挑战。 当我们深入研究性能和监视,事件检测和响应,系统的管理和管理以及围绕它们的合规性,从合规性进行系统的设计和开发时,将变得更加困难。
管理降低风险和提高安全性的整个问题。 在这个领域中我面临的五个主要挑战-我喜欢您进入某个国家/地区时海关柜台提供的图像-他们出示护照,结账,然后查看计算机系统,看是否应该是否通过。 如果您不应该,他们会把您带回您回家的下一架飞机。 否则,他们会让您返回,并问您一些问题,例如:“您要去度假吗?您在这里是游客吗?您在这里上班吗?您打算去看什么样的工作?您将在哪里住? “你要来多久?你有足够的钱来负担你的开支和成本吗?还是要对你所在的国家构成风险,他们可能不得不照顾你并养活你?”
在此数据空间周围存在一些问题,需要管理数据保护。 例如,在数据库领域,我们需要考虑减轻数据库绕过。 如果数据在数据库中,则在正常环境中,并且系统中将围绕这些数据进行控制和机制。 如果在更多的SQL中转储数据并将其备份到磁带上,该怎么办? 数据库以原始格式转储,有时会备份。 有时是出于技术原因,开发原因而完成的。 我们只说数据库转储已完成,并将其备份到磁带上。 如果我碰巧拿到那盘录像带并还原它,会发生什么情况? 而且我已经用SQL获得了数据库的原始副本。 这是一个MP文件,它是文本,我可以阅读。 存储在该转储中的所有密码都无法控制我,因为我现在无需数据库引擎保护即可访问数据库的实际内容。 因此,我可以从技术上绕过引擎中遵从法规遵从性和风险管理的安全性,以阻止我查看数据。 因为可能是开发人员,系统管理员,所以我亲自进行了应用于备份的数据库的完整转储。
数据滥用–可能使某人以其高级帐户身份登录,并让我坐在屏幕上查找信息或类似内容。 专有审核,数据访问和使用以及数据查看或数据更改。 然后围绕该控件的报告和所需的合规性。 监控流量和访问等,阻止来自外部位置和服务器的威胁。 例如,如果数据是通过Internet上的网页上的表单显示的,那么它们的SQL注入是否已通过防火墙和概念控件得到保护? 这背后有一个很长的故事。 您可以在此处看到我们在缓解和管理数据库内数据风险方面所考虑的一些绝对基础的事情。 如果您处于不同层次的技术中,则实际上相对容易解决其中的一些问题。 随着您获得越来越多的数据和更多的数据库,挑战变得越来越困难。 人们必须管理系统,监视系统的使用,跟踪与Robin谈到的事情特别相关的相关详细信息,这与个人合规性相关的问题越来越多。 每个人都有遵守的控制和机制,如果您做错了事,就可能被解雇。 如果我以我的帐户让您看到的身份登录,那将是可燃的违法行为。 现在,我已为您提供了您不应该正常查看的数据的访问权限。
有个人合规性,也有公司合规性,公司具有自己制定的政策和规则以及控制措施,以使公司运转良好并为投资者和股东带来丰厚的利润回报。 就像您所说的美国管制和法律一样,通常在全市范围内或全州范围内或全国范围内都是联邦制。 然后是全球性的。 世界上一些较大的事件,例如萨班斯-奥克斯利法案(Sarbanes-Oxley)之类的事件,有两个人被要求提出如何保护数据和系统的方法。 欧洲有巴塞尔,澳大利亚有各种各样的控制措施,特别是围绕证券交易所和凭证平台的控制,然后是个人或公司级别的隐私。 当您在罗宾(Robin)拥有的其中一个地点中看到的每个地点堆叠在一起时,它们几乎变成了几乎不可能攀登的山脉。 成本很高,而我们正处在您所知道的原始传统方法(例如人类测量控制)不再适合的方法,因为规模太大。
我们有一个场景,合规性是我现在经常提到的问题。 那就是我们过去可能有一个时间点,无论是每月,每季度还是每年,我们都将在该时间点上审查我们的国家状况并帮助遵守和控制。 确保某些人具有特定的访问权限,而没有特定的访问权限,这取决于他们的权限。 现在,我们来讨论事物移动的速度,事物变化的速度,我们进行工作的规模。 合规是一个永远存在的问题,全球金融危机只是其中一个例子,相关的控制措施,安全和合规措施可能避免了某些行为失控的情况。 只是在与整个世界一起创造一种情况的情况下,就知道它会破产而破产。 为此,我们需要正确的工具。 将人扔到火车上,将身体扔掉已不再是一种有效的方法,因为规模太大并且事物移动得太快。 我认为今天的讨论将涉及适用于此的工具类型。 特别是IDERA可以提供给我们的工具应该做到这一点。 考虑到这一点,我将把它交给Bullett讲解他的材料,并向我们展示他们解决这个问题的方法以及为解决这些问题而需要向我们提供的工具。
有了这些,Bullett,我将交给您。
Bullett Manale:听起来不错,谢谢。 我想谈谈几张幻灯片,也想向您展示我们专门用于SQL Server数据库的产品,以帮助解决合规性问题。 确实,在很多情况下都是挑战-我将跳过其中的一些-这只是我们的产品组合,我将很快进行处理。 关于该产品的实际用途以及与合规性的关系,我总是像第一张幻灯片一样提起它,因为它有点通用,“嘿,DBA的责任是什么?”正在控制和监视用户访问权限,还能够生成报告。 当您与审计师交谈时,这将与之联系在一起,该过程的难易程度将取决于您是自己决定还是使用第三方帮助的工具。
一般来说,当我与数据库管理员交谈时,很多时候他们从未参与过审核。 您必须教育他们真正要做什么。 与需要满足的合规类型有关,并能够证明您实际上遵守了适用于该合规级别的规则。 很多人一开始都不了解。 他们认为,“哦,我可以购买使我符合要求的工具。” 实际情况并非如此。 我希望我可以说,我们的产品神奇地按了一下“轻松”按钮,使您能够确保自己合规。 现实情况是,您必须根据控件,人们访问数据的方式来设置环境,所有这些都必须由您拥有的应用程序来解决。 存储数据的敏感位置是什么类型的法规要求。 然后,通常还必须与内部合规官一起工作,以确保您遵守所有规则。
这听起来真的很复杂。 如果您查看所有法规要求,可能会是这种情况,但现实是这里有一个共同点。 就我今天要向您展示的工具(即Compliance Manager产品)而言,我们所处的流程是,我们首先要确保收集的审计跟踪数据与相关敏感数据在数据库中的位置。 你可以收集一切,对不对? 我可以出去说我想收集该数据库上发生的每笔交易。 现实情况是,您实际上只有一小部分或一小部分与敏感数据实际相关的交易。 如果是PCI合规性,那么它将涉及信用卡信息,信用卡所有者以及他们的个人信息。 与您的应用程序相关的交易可能还有很多,而这些交易实际上与PCI的法规要求没有任何关系。
从这个角度出发,当我与DBA交谈时,我首先要说的是:“首要挑战不是试图找到一种工具来为您做这些事情。 只是知道这些敏感数据在哪里,我们如何将这些数据锁定?”如果您有,只要您可以回答该问题,就可以证明自己符合法规,您就半途而废了,假设您遵循正确的控制方法。 让我们再说一秒钟,您正在遵循正确的控制措施,并且您告诉审计师就是这种情况。 该过程的下一部分显然将能够提供审计跟踪,以显示并验证那些控件是否确实有效。 然后,确保您保存该数据。 通常,对于诸如PCI和HIPAA合规性之类的事情,您所说的保留期为7年。 您正在谈论很多交易和很多数据。
如果您坚持不懈地收集每笔交易,即使只有5%的交易与敏感数据有关,那么您所谈论的是与必须存储该数据7年相关的巨大成本。 我认为,这是最大的挑战之一,这就是使人们无法理解,这显然是不必要的成本。 如果我们可以仅关注数据库中的敏感区域,则也容易得多。 除此之外,您还需要控制一些敏感信息。 不仅要在审计跟踪方面进行显示,而且还要将事情与正在发生的操作联系起来并能够实时得到通知,以便使您意识到这一点。
我一直使用的示例,它不一定与任何类型的监管要求有关,而仅是能够跟踪,例如有人将与工资单相关的表删除了。 如果发生这种情况,那么您发现问题的方式(如果您没有跟踪它的话)将不会有人得到报酬。 为时已晚。 您想知道何时删除该表,何时删除该表,以避免由于某些心怀不满的员工离开并删除与工资单直接相关的表而导致的任何不良情况。
话虽如此,诀窍是找到公分母或使用该公母来映射合规水平。 这就是我们尝试使用此工具进行的操作。 我们基本上采用的方法是,我们不会向您显示针对PCI的报告,针对股票的报告; 共同点是您有一个使用SQL Server在数据库中存储敏感数据的应用程序。 一旦您克服困难,您就会说:“是的,这确实是我们需要重点关注的主要内容–敏感数据在哪里以及如何访问?” 获得这些证明后,我们将提供大量报告,证明您可以在合规范围内。
回到审计员提出的问题,第一个问题将是:谁有权访问数据,以及他们如何获得该访问权? 您能否证明合适的人正在访问数据而错误的人没有访问数据? 您是否还可以证明审计跟踪本身是我不可变的信息来源,我可以信赖? 如果我要给您提供虚假的审计线索,那么作为一名审计师,如果信息是虚假的,则无法对您的审计进行修补,这对我没有多大帮助。 我们通常从审计的角度来证明这一点。
经历这些问题时,会稍微详细一点。 第一个问题的挑战是,就像我说的那样,您必须知道敏感数据在哪里,以便报告谁在访问它。 通常这是某种发现,实际上,您已经拥有成千上万种不同的应用程序,并且您有大量不同的法规要求。 在大多数情况下,如果您有一个或至少一个对我的敏感数据在应用程序中的实际位置有其他了解的人,则希望与合规官一起工作。 我们拥有一个工具,它是一个免费工具,称为SQL列搜索。 我们告诉潜在的客户和用户对该问题感兴趣,他们可以下载该问题。 它要做的是基本上从数据库中寻找本质上可能敏感的信息。
然后,一旦执行此操作,您还必须了解人们如何访问该数据。 这将再次是,哪些帐户属于哪个Active Directory组,涉及哪些数据库用户,并且与此相关的角色成员身份也是如此。 当然,请记住,我们正在谈论的所有这些事情都必须由审核员批准,因此,如果您说“这就是我们锁定数据的方式”,那么审核员可以来回来说:“好吧,您做错了。”但是可以说,他们说:“是的,这看起来不错。 您正在充分锁定数据。”
继续进行下一个问题,您能否证明合适的人正在访问该数据? 换句话说,您可以告诉他们您的控制是,这是您要遵循的控制,但是不幸的是,审计师并不是真正的信任个人。 他们想要证明它,并且希望能够在审计线索中看到它。 这可以追溯到整个共同点。 无论是PCI,SOX,HIPAA,GLBA,Basel II,实际上是,通常都会问相同类型的问题。 具有敏感信息的对象,谁在上个月访问过该对象? 那应该映射到我的控件上,并且我应该能够通过显示那些类型的报告来最终通过我的审核。
因此,我们要做的是,我们编写了约25种不同的报告,这些报告遵循与该共同指标相同的领域。 因此,我们没有关于PCI或HIPAA或SOX的报告,我们的报告再次表明它们违反了这一共同标准。 因此,您要满足什么监管要求实际上并不重要,在大多数情况下,您将能够回答该审核员提出的任何问题。 他们会告诉您每笔交易的对象,内容,时间和地点。 您知道,用户,交易发生的时间,SQL语句本身,它来自的应用程序,所有这些好东西,然后还能够自动将这些信息传递到报表中。
然后,再一次,一旦您超过了这一要求,并且已经将其提供给了审计员,那么下一个问题就将得到证明。 当我说出证明时,我的意思是证明审计追踪本身就是我们可以信任的东西。 我们在工具中执行此操作的方式是拥有哈希值和CRC值,它们直接与审核跟踪中的事件本身联系在一起。 因此,我们的想法是,如果有人出去并删除记录,或者有人出去并向审计跟踪中添加或删除某些内容,或者更改审计跟踪本身中的某些内容,则我们可以证明数据的完整性数据本身被违反。 因此,如果您将我们的审计跟踪数据库锁定在99.9%的时间里,您就不会遇到这个问题,因为当我们运行完整性检查时,我们实际上是在向审计员证明数据本身尚未被保存。自管理服务本身进行原始写入以来,已更改,删除或添加。
因此,这是对您通常会问的典型问题的总体概述。 现在,我们必须解决的很多工具称为SQL Compliance Manager,它在跟踪事务,谁,什么,何时何地进行事务,能够在一个事务中完成这些方面进行所有这些工作。不同区域的数量也是如此。 登录,登录失败,模式更改,显然是数据访问,选择活动以及数据库引擎中正在发生的所有这些事情。 如果需要的话,我们还可以提醒用户特定的,非常细微的状况。 例如,某人外出并实际查看包含我所有信用卡号的表。 他们没有更改数据,只是在查看数据。 在这种情况下,我可以发出警报,并且可以让人们知道发生了这种情况,而不是在六个小时后我们实时抓取日志时。 基本上只要我们通过管理服务处理该交易即可。
正如我之前提到的,我们已经看到此规则用于各种不同的法规要求中,实际上,您并不会知道任何法规要求,只要有共同的分母,您就可以在SQL Server中获得敏感数据。数据库,这是一种可以在这种情况下提供帮助的工具。 对于内置的25个报告,现在的现实是,我们可以使该工具对审计师有用,并回答他们提出的每个问题,但是DBA才是使它起作用的工具。 因此,从维护的角度来看,还有一种想法,我们必须确保SQL能够按照我们想要的方式工作。 我们还必须能够了解将要出去的事物,并查看其他信息,就数据存档而言,这些信息的自动化和开销产品本身。 这些显然是我们要考虑的。
这带来了架构本身。 因此,在屏幕的最右侧,我们管理着SQL实例,从2000一直到2014年的所有内容,准备发布2016年的版本。此屏幕上最大的收获是管理服务器本身正在做所有繁重的工作。 我们只是使用SQL Server内置的跟踪API收集数据。 这些信息正在散播到我们的管理服务器中。 该管理服务器本身正在识别并且是否有任何事件与我们不想要的任何类型的交易相关,然后发出警报以及此类事件,然后在存储库中填充数据。 从那里我们可以运行报告,我们可以出去并在报告中甚至在应用程序控制台中实际查看该信息。
所以我要继续做的是,我将迅速地带我们通过,我只想指出一个快速的事情,然后再进入产品,现在网站上有一个链接,或在演示文稿上,这将带您进入我之前提到的免费工具。 就像我说的那样,这个免费工具将要出去查看数据库,并根据列或表格的命名来查找看起来像敏感数据,社会保险号,信用卡号的区域,或基于数据格式的外观,您也可以自定义该格式,因此请指出。
现在,就我们而言,让我继续分享屏幕,在这里给我一秒钟的时间。 好了,因此,我首先要带您进入Compliance Manager应用程序本身,而我将很快进行介绍。 但这是应用程序,您可以看到我在这里有几个数据库,而我仅向您展示进入数据库的难易程度并告诉您要审核的内容。 从架构更改,安全性更改,管理活动,DML,选择的角度来看,我们拥有所有可用的选项,我们还可以对其进行过滤。 这可以说是最佳实践,“我真的只需要此表,因为它包含我的信用卡号。 我不需要其他具有产品信息的表,这些其他与我要达到的合规性水平无关的其他信息。”
我们还具有捕获数据并根据变化的字段的值显示数据的能力。 在许多工具中,您将获得一些东西,使您能够捕获SQL语句,显示用户,显示应用程序,时间和日期,以及所有这些好东西。 但是在某些情况下,SQL语句本身不会为您提供足够的信息,无法告诉您更改发生前的字段值以及更改发生后的字段值。 在某些情况下,您需要这样做。 例如,我可能想跟踪医生的处方药剂量信息。 它从50mg变为80mg到120mg,我可以使用之前和之后进行跟踪。
敏感列是我们遇到的另一件事,例如,符合PCI标准。 在这种情况下,您获得的数据本质上是如此敏感,以至于仅查看这些信息,我就不必对其进行更改,删除或添加,这会造成无法弥补的伤害。 信用卡号,社会保险号以及所有这类好东西,我们可以识别敏感列并将警报与其绑定。 如果有人出去查看这些信息,我们显然可以发出警报并发送电子邮件或生成SNMP陷阱以及类似的信息。
现在,在某些情况下,您将遇到可能有例外的情况。 我的意思是,您遇到的情况是,某个用户的用户帐户可能与某个在深夜运行的ETL作业类型相关联。 这是一个文档化的流程,我只是不需要为该用户帐户添加该交易信息。 在这种情况下,我们将拥有一个受信任的用户。 然后在其他情况下,我们将使用“特权用户审核”功能,例如,如果有的话,这实际上是一个应用程序,并且该应用程序已经在审核正在通过该应用程序的用户,即太好了,我在审核方面已经有了一些参考。 但是对于与我的特权用户相关的事情,可以进入SQL Server Management Studio来查看数据库中数据的人并不会削减数据。 因此,在这里我们可以通过角色成员资格或Active Directory帐户,组,SQL身份验证帐户来定义特权用户,在这里我们可以选择所有这些不同类型的选项,以及然后从那里确保对于那些特权用户,我们可以指定我们对审计感兴趣的事务类型。
这些都是您可以使用的各种不同的选项,我不会根据此演示文稿的时间限制来介绍所有不同类型的事物。 但是,我确实想向您展示我们如何查看数据,并且我想您会喜欢它的工作原理,因为我们可以通过两种方式进行处理。 我可以以交互方式进行操作,因此当我们与对此工具感兴趣的人(也许是他们自己的内部控制)进行交谈时,他们只是想知道很多情况下的情况。 他们不一定要有审核员来现场。 他们只是想知道,“嘿,我想去桌子后面看看,谁在上周或上个月碰过它,或者可能是什么。”在这种情况下,您可以看到我们能做到多快。
对于医疗保健数据库,我有一个名为“患者记录”的表。 在那张桌子上,如果我只是按对象分组,它可能很快就会缩小我们正在寻找的位置。 也许我想按类别分组,然后按事件分组。 当我这样做时,您可以看到显示的速度有多快,并且那里有我的患者记录表。 当我深入研究时,我们现在可以看到DML活动,我们可以看到我们已经有一千个DML插入,并且当我们打开这些事务之一时,我们可以看到相关的信息。 事务的谁,什么,什么时候,什么时候,什么地方,SQL语句,显然是用于执行事务的实际应用程序,帐户,时间和日期。
现在,如果您查看此处的下一个选项卡,即“详细信息”选项卡,这可以回到我们正在讨论的第三个问题,证明数据的完整性没有受到破坏。 因此,基本上每个事件,我们都有一个用于哈希值的秘密计算,然后将其绑定到进行完整性检查时。 例如,如果我要使用该工具,进入审计菜单,然后我要出去说,让我们检查存储库的完整性,我可以指向审计跟踪所在的数据库,它将运行通过将这些哈希值和CRC值与实际事件进行匹配的完整性检查,这将告诉我们没有发现任何问题。 换句话说,由于审计跟踪中的数据最初是由管理服务编写的,因此未被篡改。 显然,这是与数据进行交互的一种方式。 另一种方法是通过报告本身。 因此,我仅举一个简短的报告示例。
再一次,这些报告(我们提出这些报告的方式)并不特定于任何类型的标准,例如PCI,HIPAA,SOX或类似的标准。 再次,这是我们正在做的事情的共同点,在这种情况下,如果我们返回该患者记录示例,我们可以出去说,在这里,我们正在寻找在医疗保健数据库中(在我们的情况下),我们要特别关注我们知道包含与患者有关的私人信息的表。 因此,让我看看是否可以在此处输入,我们将继续运行该报告。 显然,我们将从那里看到与该对象关联的所有相关数据。 在我们的情况下,它向我们显示了一个月的时间。 但是我们可以追溯到六个月(一年),无论我们将数据保存多长时间。
这些都是您可以(如果可以)向审核员证明您正在遵循自己的控制方式的方式。 一旦确定了这一点,那么很明显,这对通过审核并能够证明您正在遵循控件并且一切正常而言是一件好事。
我想演示的最后一件事是在“管理”部分。 从此工具本身的角度来看,还有一些控件可以设置控件,以确保如果有人正在做某人不应做的事情,则可以使我意识到这一点。 我在那里给你举几个例子。 我有一个与服务绑定的登录帐户,该服务需要提升的权限才能执行其操作。 我不希望有人进入并在Management Studio中使用该帐户,然后将其用于原本不希望的用途。 我们将在此处应用两个标准。 我可以说:“看,例如,我们真的对使用PeopleSoft应用程序进行这项工作很感兴趣”,好吗?
现在,我要说的是,我很想知道是否有与我准备指定的帐户相关联的登录信息(如果正在使用该帐户登录的应用程序)不是PeopleSoft,那么这将提高警报的水平。 显然,我们必须指定帐户名称本身,因此在本例中,我们将其称为“特权帐户”,因为它具有特权。 现在,一旦完成此操作,当我们在此处执行此操作时,现在我们就可以指定发生该事件时要发生的情况以及每种事件的类型,或者,我应该说,警报,您可以单独通知负责该特定数据的人员。
例如,如果是薪水信息,它可能会交给我的人力资源总监。 在这种情况下,处理PeopleSoft应用程序时,它将成为该应用程序的管理员。 无论如何。 我将能够输入我的电子邮件地址,自定义实际的警报消息以及所有类似的好东西。 再一次,这可以确保您可以证明自己正在遵循控件,并且这些控件按照预期的方式工作。 从这里的最后一个角度来看,就维护而言,我们确实有能力获取这些数据并将其脱机。 我可以存档数据,也可以安排数据时间,从某种意义上来说,我们可以很轻松地完成这些事情,作为DBA,您实际上可以使用此工具进行设置并进行某种离开它一旦按照应有的方式设置好它,就不会有太多的牵手了。 就像我说的那样,我认为关于这方面最困难的部分不是设置要审核的内容,而是知道要设置要审核的内容。
就像我说的那样,通过审计来确定野兽的本质,您必须将数据保留七年,因此仅将注意力集中在自然界中敏感的领域是有意义的。 但是,如果您想采用收集所有内容的方法,则绝对可以,这不是最佳做法。 因此,从这个角度出发,我想提醒大家,如果您对此感兴趣,可以访问IDERA.com网站并下载它的试用版,然后亲自试用。 就我们之前讨论的免费工具而言,它是免费的,无论您是否使用Compliance Manager产品,您都可以下载并永久使用它。 关于该列搜索工具,最酷的事情是您所得出的发现,我认为我可以实际表明,您将能够导出该数据,然后将其导入到Compliance Manager中。也一样 我没有看到它,我知道它在这里,那里。 这只是一个例子。 在这里找到相关的敏感数据。
现在,这个案例我已经出去了,我真的已经在查看所有内容,但是您只有一堆东西可以检查。 信用卡号码,地址,名字,诸如此类。 然后,我们将确定它在数据库中的位置,然后从那里可以决定是否实际要审核该信息。 但这绝对是使您在查看此类工具时更轻松地定义审核范围的一种方法。
我将继续讨论并结束,然后将其传递回Eric。
埃里克·卡瓦纳(Eric Kavanagh):这是一个很棒的演讲。 我喜欢您真正深入了解那里的细节并向我们展示发生了什么的方式。 因为在一天结束时,会有一些系统要访问某些记录,这将为您提供报告,这将使您能够讲述自己的故事,无论是向监管者,审计师还是团队中的某个人讲,因此很高兴知道您已准备好在何时何地,何时何地那个人来敲门,这当然是您要避免的不愉快情况。 但是,如果发生这种情况,并且很可能会在最近几天发生,那么您要确保您的I点缀了您的T并已划线。
观众成员有一个很好的问题,我想抛给您,Bullett,然后如果主持人想对此发表评论,请随意。 然后也许Dez问一个问题,Robin。 因此,问题是,可以公平地说,要完成您提到的所有这些事情,就需要在基本级别上开始进行数据分类? 当数据成为有价值的潜在资产时,您需要了解数据,并对此进行一些处理。 我想你会同意的,布利特,对不对?
Bullett Manale:是的,绝对如此。 我的意思是,您必须了解自己的数据。 而且我意识到,我认识到那里有很多应用程序,并且有很多不同的东西在组织中发挥着重要的作用。 列搜索工具在迈向更好地理解该数据的方向方面非常有用。 但是,这非常重要。 我的意思是,您确实可以选择采用firehose方法并审核所有内容,但是在谈论必须存储该数据并根据该数据进行报告时,从逻辑上来说,这更具挑战性。 然后,您仍然需要知道该段数据的位置,因为在运行报告时,您还需要向审核员显示该信息。 因此,我认为,就像我说的那样,与数据库管理员交谈时面临的最大挑战是知道。
埃里克·卡瓦纳(Eric Kavanagh):是的,但也许罗宾(Robin)我们会尽快带您到此。 在我看来80/20规则在这里适用,对吧? 如果您位于某个中型或大型组织中,则可能不会找到所有重要的记录系统,但是如果您专注于(例如Bullett在这里建议)(例如PeopleSoft)或其他在企业中占主导地位,那就是您将80%的精力集中在工作上,然后将20%的精力放在可能存在于某处的其他系统上,对吗?
罗宾·布洛尔:我确定,是的。 我的意思是,您知道,我认为这项技术存在问题,我认为可能值得对此发表评论,但是这项技术存在的问题是,您如何实现它? 我的意思是,可以肯定地说,在大多数组织中,甚至对于那里的数据库数量都缺乏知识。 可以说,您知道很多库存不足。 您知道,问题是,让我们想象一下,我们是在没有特别妥善管理的合规性的情况下开始的,您如何采用这项技术并将其注入环境中,而不仅仅是在您知道的技术中术语,设置内容,但是像谁来管理它,谁来决定什么? 您如何开始将它拔成一种真正的,在工作中的东西?
Bullett Manale:我的意思是,这是一个很好的问题。 我的意思是,在很多情况下,您所面临的挑战是,您必须从一开始就开始提出问题。 我遇到过许多公司,在这些公司中,也许他们是一家私人公司并被收购了,如果您想这样称呼的话,这是一个起步阶段,首先是道路颠簸。 例如,如果我由于收购而刚刚成为一家上市公司,我将不得不回过头来,可能会弄清楚一些东西。
在某些情况下,我们与组织进行了交谈,您知道,即使它们是私有的,它们也会遵循SOX合规性规则,这仅仅是因为如果他们确实想被收购,他们就会知道必须遵守合规性。 您绝对不希望仅仅采取“我现在不必为此担心”的方法。任何类型的法规遵从性,例如PCI或SOX或其他任何类型,您都想投资进行研究或开发。了解敏感信息的位置,否则您可能会发现自己要面对巨额罚款。 而且,花时间花费很多,发现数据并据此报告并显示控件正在运行,这要好得多。
是的,就象我说的那样,在设置方面,我建议刚准备进行审计的人们首先要做的就是出去并粗略检查数据库,然后弄清楚,知道,他们会尽力找出敏感数据的位置。 另一种方法是,从审计范围的角度出发,也许从一个更大的网络开始,然后,一旦确定了系统中与审计范围相关的区域,就慢慢地遏制了审计的范围。敏感信息。 但是我希望我能告诉你这个问题的答案很简单。 一个组织之间的差异可能很大,合规性的类型也不同,实际上,您知道它们在应用程序中有多少结构,有多少具有不同的应用程序,有些可以是自定义编写的应用程序,因此在很多情况下,这实际上取决于情况。
埃里克·卡瓦纳(Eric Kavanagh):继续,迪斯(Dez),我确定您有一个或两个问题。
Dez Blanchfield:实际上,我非常想从您的角度对您对组织造成的影响进行一些了解。 我认为该特定解决方案最大价值的领域之一是,当人们早上醒来并去组织的各个级别工作时,他们会承担一系列或一系列责任他们必须处理的。 而且,我很想深入了解使用或不使用所讨论工具的类型时所看到的内容。 我在这里谈论的背景是从董事会主席到首席执行官,首席信息官和最高管理层。 现在我们有了首席风险官,他们正在思考我们在合规性和治理方面正在谈论的事情的类型,然后我们现在有了新的角色扮演主管,首席数据官,他们是,您知道,更加关注它。
在每个人的一边,围绕CIO,我们都将IT经理放在一边,您知道,技术主管,然后是数据库主管。 在运营空间中,我们有开发经理和开发负责人,然后是个人开发,他们还循环回到数据库管理层。 您对企业的各个不同部分对合规性和监管报告的挑战及其应对方法的反应有何看法? 您是在看到人们热衷于此并且可以看到它的好处,还是在看到他们无奈地拖着脚走到这件事上,只是想在方框中打勾呢? 当他们看到您的软件后,您会看到什么样的响应?
Bullett Manale:是的,这是一个很好的问题。 我想说,这个产品,即这个产品的销售,主要是由坐在热座位上的人推动的,如果这是有道理的。 在大多数情况下,这就是数据库管理员,换句话说,从我们的角度来看,他们知道即将进行审核,并且他们将负责,因为他们是数据库管理员,能够提供审核员要去的信息。问。 他们可以通过编写自己的报告,创建自己的自定义跟踪以及所有类似的东西来做到这一点。 现实是,他们不想这样做。 在大多数情况下,DBA并不真正希望与审计师进行这些对话。 您知道的,我想告诉您,我们可以拜访一家公司,说:“嘿,这是一个很棒的工具,您一定会喜欢的。”然后向他们展示所有功能,他们就会购买。
现实情况是,除非他们实际上将要面临审核,否则他们通常不会使用此工具,或者另一方面,他们已经接受了审核并且惨遭失败,而现在他们被告知要寻求帮助,否则将被罚款。 我要说的是,就总体而言,当您向人们展示该产品时,他们肯定会看到它的价值,因为它确实节省了他们大量时间,因为他们不必弄清他们要报告的内容。这些东西。 所有这些报告均已内置,警报机制已经建立,然后在很多情况下,第三个问题也是一个挑战。 因为我可以整天向您显示报告,但是除非您能向我证明那些报告实际上是有效的,否则,作为DBA来说,要证明这一点对我来说要困难得多。 但是我们已经设计出了技术和哈希技术以及所有类似的东西,以帮助确保保留审计跟踪完整性中的数据。
这些就是这些,对于大多数与我们交谈的人,这些都是我的观察。 您知道,肯定在不同的组织中,您会知道,例如,Target,例如,发生了数据泄露,我的意思是,当其他组织听到有关罚款的信息时,人们开始进行各种各样的事情时,它引起了人们的注意,因此,希望可以回答这个问题。
Dez Blanchfield:好的,是的。 我可以想象一些DBA,当他们最终看到使用该工具可以完成的工作时,才意识到他们也已经恢复了深夜和周末。 将适当的工具应用于整个问题时,我会看到节省时间和成本以及其他方面的事情,也就是说,我在澳大利亚的一家银行工作了三个星期。 他们是一家全球银行,前三名银行,规模庞大。 他们有一个项目,他们必须报告其财富管理合规性,尤其是风险,并且他们正在为数百个人从事价值60周的工作。 当他们看到像您这样的可以自动执行该过程的工具时,从这个意义上说,当他们意识到自己不必花X星期的时间用数百个人进行手动处理时,他们的表情是有点像他们找到了上帝。 但是,接下来的难题是如何真正将其纳入计划中,正如罗宾·布洛尔博士(Robin Bloor)所指出的那样,这已经成为行为和文化转变的混合体。 在您正在处理的级别上,谁在应用程序级别上直接处理此问题,当他们开始采用一种工具来执行您可以提供的那种报告和审核以及控制措施时,您会看到什么样的变化。反对他们可能手动完成的工作? 他们实际付诸实践时会是什么样?
Bullett Manale:您是否在问,手动处理和使用此工具有什么区别? 那是问题吗?
Dez Blanchfield:嗯,特别是对业务的影响。 因此,举例来说,如果我们尝试通过手动流程来实现合规性,那么您与许多人之间的联系总是不可避免的。 但是我想,围绕这个问题,就像您知道的那样,我们是在谈论一个人在运行此工具,可能会取代50个人,并且能够实时或在数小时或数月内完成相同的工作吗? 那是什么,通常结果是什么?
Bullett Manale:我的意思是,这归结为两点 。 一种是有能力回答这些问题。 其中一些事情将不会轻易完成。 因此,是的,完成本地处理的事情,自行编写报告,设置跟踪或扩展事件以手动收集数据所需的时间可能会花费很多时间。 真的,我要给您一些信息,我的意思是,这通常与数据库没有真正关系,但是就像在安然发生并且SOX流行之后,我在休斯敦的一家大型石油公司中, ,我认为我们的业务成本中有25%与SOX合规性有关。
现在就在那之后,这是SOX的第一步,但是,我想说的是,使用此工具的好处是,它不需要很多东西有很多人这样做,还有很多不同类型的人都这样做。 就像我说的那样,DBA通常并不是真正希望与审计师进行对话的人。 因此,在许多情况下,我们将看到DBA可以减轻这一负担,并能够将报告提供给审计员,并且他们可以将自己完全排除在等式之外,而不必参与其中。 因此,您知道,这样做可以节省大量资源。
Dez Blanchfield:您说的是大幅降低成本,对吗? 这些组织不仅消除了风险及其开销,而且我的意思是,您实质上是在谈论成本的显着降低,A)在运营上以及B)事实是,您知道他们是否可以真正提供时间合规性报告,因为不合规性,数据泄露风险或法律罚款或影响的风险大大降低了,对吗?
Bullett Manale:是的,绝对如此。 我的意思是,由于不遵守规定,会发生各种各样的坏事。 他们可以使用这个工具,它会很棒,或者如果没有,那么他们会发现它真的很糟糕。 是的,这显然不仅是该工具,而且您可以在没有此类工具的情况下进行检查和所有操作。 就像我说的那样,这将花费更多的时间和成本。
Dez Blanchfield:太好了。 所以Eric,我将回头再说给您,因为我认为对我来说,收获是,这种市场是很棒的。 但从本质上讲,该产品也具有价值,因为它能够避免发生问题的商业影响,或者能够减少报告和管理合规性的时间,这使它物有所值。工具会因事物的声音而立即收回成本。
埃里克·卡瓦纳(Eric Kavanagh):完全正确。 好吧,非常感谢您今天的宝贵时间,Bullett。 感谢你们所有人的时间和关注,以及Robin和Dez。 今天的另一个精彩演讲。 感谢IDERA的朋友让我们免费为您带来此内容。 我们将存档此网络广播,以供以后查看。 存档通常在大约一天之内即可完成。 让我们知道您对我们的新网站insideanalysis.com的看法。 全新设计,全新外观。 希望收到您的反馈,并向大家告别。 你可以给我发电子邮件。 否则,下周我们将赶上您。 在接下来的五周之内,我们将有七个网络广播。 我们会很忙。 我们将在本月晚些时候在Strata大会和纽约的IBM Analyst峰会上。 因此,如果您在那里,请停下来打个招呼。 保重,伙计们。 再见。
