Por el personal de Techopedia, 14 de septiembre de 2016
Para llevar: El presentador Eric Kavanagh analiza la auditoría de la base de datos y el cumplimiento con los analistas Robin Bloor y Dez Blanchfield, así como con Bullett Manale de IDERA en este episodio de Hot Technologies.
Actualmente no has iniciado sesión. Inicia sesión o regístrate para ver el video.
Eric Kavanagh: Damas y caballeros, ¡hola y bienvenidos nuevamente, a Hot Technologies! Sí, de hecho, de 2016. Estamos en el tercer año de este espectáculo, es algo muy emocionante. Hemos estado rockeando y rodando este año. Este es Eric Kavanagh, su anfitrión. El tema de hoy: este es un gran tema, tiene muchas aplicaciones en una serie de industrias, francamente: "Quién, qué, dónde y cómo: por qué quieres saber". Sí, de hecho, vamos a hablar de todas esas cosas divertidas. Hay una diapositiva sobre la tuya de verdad, contáctame en Twitter @eric_kavanagh. Intento volver a tuitear todas las menciones y volver a tuitear todo lo que alguien me envíe. De lo contrario, que así sea.
Hace calor, sí, de hecho! Todo el programa aquí está diseñado para ayudar a organizaciones e individuos a comprender tipos particulares de tecnología. Diseñamos todo el programa aquí, Hot Technologies, como una forma de definir un tipo particular de software, o una tendencia particular, o un tipo particular de tecnología. La razón es porque, francamente, en el mundo del software, a menudo se obtienen estos términos de marketing que se vuelven populares y, a veces, pueden bastardar francamente los conceptos que pretendían describir.
En este programa, realmente estamos tratando de ayudarlo a comprender qué es un tipo particular de tecnología, cómo funciona, cuándo puede usarla, cuándo quizás no debería usarla, y brindarle tantos detalles como sea posible. Tendremos tres presentadores hoy: nuestro propio Robin Bloor, analista jefe aquí en el Grupo Bloor; nuestro científico de datos llamando desde Sydney, Australia, al otro lado del planeta, Dez Blanchfield, y uno de nuestros invitados favoritos, Bullett Manale, director de ingeniería de ventas de IDERA.
Solo diré un par de cosas aquí, entendiendo quién está haciendo qué con qué datos, bueno, eso es algo así como la gobernanza, ¿verdad? Si piensa en todas las regulaciones en torno a las industrias, como la atención médica y los servicios financieros, en esos dominios, eso es increíblemente importante. Necesita saber quién tocó la información, quién cambió algo, quién accedió a él, quién lo cargó, por ejemplo. ¿Cuál es el linaje, cuál es la providencia de estos datos? Puede estar seguro de que todos estos problemas seguirán siendo importantes en los próximos años por todo tipo de razones. No solo para el cumplimiento, aunque HIPAA, y Sarbanes-Oxley, y Dodd-Frank, y todas estas regulaciones son muy significativas, sino también para que entiendas en tu negocio quién está haciendo qué, dónde, cuándo, por qué y cómo. Esto es bueno, vamos a estar prestando atención.
Adelante, llévatelo, Robin Bloor.
Robin Bloor: Bien, bien, gracias por esa presentación, Eric. Esta área de gobierno es, quiero decir, gobierno en TI no fue una palabra que escuchaste hasta poco después del año 2000, creo. Surgió principalmente porque, creo que de todos modos, surgió principalmente porque hay una legislación de cumplimiento en curso. Particularmente HIPAA y Sarbanes-Oxley. En realidad hay mucho de eso. Por lo tanto, las organizaciones se dieron cuenta de que tenían que tener un conjunto de reglas y un conjunto de procedimientos porque era necesario según la ley para hacerlo. Mucho antes de eso, particularmente en el sector bancario, había varias iniciativas que tenía que obedecer dependiendo de qué tipo de banco fuera, y particularmente los banqueros internacionales. Todo el cumplimiento de Basilea comenzó mucho antes de ese conjunto particular de iniciativas después del año 2000. Todo se reduce realmente a la gobernanza. Pensé que hablaría sobre el tema de la gobernanza como una introducción al enfoque de vigilar quién obtiene los datos.
Gobierno de datos, solía mirar alrededor, creo que hace cinco o seis años, buscaba definiciones y no estaba bien definido. Se ha vuelto cada vez más claro lo que realmente significa. La realidad de la situación era que, dentro de ciertos límites, todos los datos estaban gobernados previamente, pero no había reglas formales para ello. Hubo reglas especiales que se hicieron particularmente en la industria bancaria para hacer cosas como esa, pero una vez más, se trataba más de cumplimiento. De una forma u otra, demuestra que en realidad era un … está asociado con el riesgo, por lo que demuestra que era un banco viable.
Si nos fijamos en el desafío de gobernanza ahora, comienza con un hecho del movimiento de big data. Tenemos un número creciente de fuentes de datos. El volumen de datos, por supuesto, es un problema con eso. En particular, comenzamos a hacer mucho, mucho más con datos no estructurados. Comenzó a convertirse en algo que forma parte de todo el juego de análisis. Y debido a los análisis, la procedencia de datos y los linajes son importantes. Realmente desde el punto de vista del uso de análisis de datos de cualquier manera relacionada con cualquier tipo de cumplimiento, realmente debe tener conocimiento de dónde provienen los datos y cómo llegaron a ser lo que son.
El cifrado de datos comenzó a convertirse en un problema, se convirtió en un problema mayor tan pronto como fuimos a Hadoop porque la idea de un lago de datos en el que almacenamos una gran cantidad de datos, de repente significa que tiene una gran área de vulnerabilidad de las personas que pueden obtener en eso El cifrado de datos se hizo mucho más prominente. La autenticación siempre fue un problema. En el entorno más antiguo, estrictamente entorno de mainframe, tenían una protección de seguridad perimetral tan maravillosa; La autenticación nunca fue realmente un problema. Más tarde se convirtió en un problema mayor y ahora es mucho más un problema porque tenemos entornos distribuidos enormemente. Monitoreo de acceso a datos, que se convirtió en un problema. Parece que recuerdo varias herramientas que surgieron hace unos diez años. Creo que la mayoría de ellos fueron impulsados por iniciativas de cumplimiento. Por lo tanto, también tenemos todas las reglas de cumplimiento, informes de cumplimiento.
Lo que se me viene a la mente es que incluso en la década de 1990, cuando realizabas ensayos clínicos en la industria farmacéutica, no solo tenías que ser capaz de probar de dónde provenían los datos, obviamente es muy importante, si estás intentando detectar drogas en varios contextos, para saber quién se está probando y cuáles son los datos contextuales que lo rodean: tenía que poder proporcionar una auditoría del software que realmente creó los datos. Es la parte de cumplimiento más severa que he visto en ningún lado, en términos de demostrar que en realidad no estás arruinando las cosas deliberadamente o accidentalmente. En los últimos tiempos, particularmente la gestión del ciclo de vida de los datos se ha convertido en un problema. Todos estos son desafíos de alguna manera porque muchos de estos no se han hecho bien. En muchas circunstancias es necesario hacerlas.
Esto es lo que yo llamo la pirámide de datos. Ya he hablado de esto antes. Me parece una forma muy interesante de ver las cosas. Puede pensar que los datos tienen capas. Los datos sin procesar, si lo desea, son realmente solo señales o medidas, grabaciones, eventos, registros únicos en su mayoría. Posiblemente, las transacciones, los cálculos y las agregaciones, por supuesto, crean nuevos datos. Pueden pensarse a nivel de datos. Por encima de eso, una vez que realmente conecta los datos, se convierte en información. Se vuelve más útil, pero por supuesto se vuelve más vulnerable a las personas que lo piratean o abusan de él. Lo defino como creado, realmente, a través de la estructuración de datos, pudiendo visualizar los datos con glosarios, esquemas, ontologías sobre la información. Esas dos capas inferiores son lo que procesamos de una forma u otra. Por encima de eso es lo que yo llamo la capa de conocimiento que consiste en reglas, políticas, directrices, procedimientos. Algunos de los cuales pueden ser creados por ideas descubiertas en análisis. Muchos de ellos son en realidad políticas que debe cumplir. Esta es la capa, si lo desea, de la gobernanza. Aquí es donde, de una forma u otra, si esta capa no se llena correctamente, las dos capas siguientes no se están administrando. El punto final sobre esto es comprender en algo que reside solo en los seres humanos. Las computadoras aún no han logrado hacer eso, afortunadamente. De lo contrario, me quedaría sin trabajo.
El imperio de la gobernanza: de alguna manera lo armé, creo que debe haber sido hace unos nueve meses, posiblemente mucho antes de eso. Básicamente, lo mejoré un poco, pero tan pronto como comenzamos a preocuparnos por la gobernanza, entonces, en términos del centro de datos corporativos, no había solo un depósito de datos, recursos de lago de datos, sino también servidores generales de varios tipos, servidores de datos especializados. Todo lo cual necesitaba ser gobernado. Cuando realmente examinó las diversas dimensiones también: seguridad de datos, limpieza de datos, descubrimiento de metadatos y gestión de metadatos, creación de un glosario empresarial, mapeo de datos, linaje de datos, gestión del ciclo de vida de los datos, luego, gestión de supervisión del rendimiento, gestión de nivel de servicio, administración del sistema, que quizás no asocie realmente con la gobernanza, pero cierto: ahora que vamos a un mundo cada vez más rápido con más y más flujos de datos, en realidad poder hacer algo con un rendimiento particular es realmente una necesidad y comienza a convertirse en una regla de operación en lugar de cualquier otra cosa.
Resumiendo en términos del crecimiento del cumplimiento, vi que esto sucedió durante muchos, muchos años, pero la protección de datos en general llegó en la década de 1990 en Europa. Simplemente se volvió más y más sofisticado desde entonces. Entonces, todas estas cosas comenzaron a introducirse o a hacerse más sofisticadas. GRC, que es el riesgo de gobierno y el cumplimiento, ha estado sucediendo desde que los bancos hicieron Basilea. ISO ha estado creando estándares de varios tipos de operaciones. Sé todo el tiempo que he estado en TI, ha pasado mucho tiempo, el gobierno de los Estados Unidos ha sido particularmente activo en la creación de varias legislaciones: SOX, hay Gramm-Leach-Bliley, HIPAA, FISMA, FERPA. También tiene la maravillosa organización NIST que crea muchos estándares, particularmente estándares de seguridad, muy útiles. Las leyes de protección de datos en Europa tienen variaciones locales. Lo que puede hacer con los datos personales en Alemania, por ejemplo, es diferente de lo que puede hacer en la República Eslovaca, Eslovenia o en cualquier lugar. Presentaron recientemente, y pensé en mencionar esto porque me parece divertido, Europa está presentando la idea del derecho al olvido. Es decir, debe haber un estatuto de limitaciones sobre los datos que han sido públicos y que en realidad son datos personales. Creo que es gracioso. Desde el punto de vista de TI, será muy, muy difícil si comienza a convertirse en una legislación efectiva. En resumen, diría lo siguiente: Debido a que los datos y la administración de TI están evolucionando rápidamente, el gobierno también debe evolucionar rápidamente y se aplica a todas las áreas de gobierno.
Habiendo dicho eso, le pasaré el balón a Dez.
Eric Kavanagh: Sí, de hecho, así que Dez Blanchfield, quítatelo. Robin, estoy contigo, hombre, me muero por ver cómo se desarrolla este derecho a ser olvidado. Creo que no va a ser solo un desafío, sino básicamente imposible. Es solo una violación de la espera de ser ejercido por las agencias gubernamentales. Dez, llévatelo.
Dez Blanchfield: De hecho, es un tema para otra discusión. Tenemos un desafío muy similar aquí en Asia-Pacífico, y particularmente en Australia, donde los operadores y los ISP deben registrar todo lo relacionado con Internet y poder grabarlo y regurgitarlo en caso de que alguien de interés haga algo mal. Es una ley y hay que cumplirla. El desafío, al igual que a alguien en Google en EE. UU. Se le podría pedir que elimine mi historial de búsqueda o lo que sea, podría ser cumplir con la ley europea, particularmente la ley de privacidad alemana. En Australia, si una agencia quiere investigarlo, un operador debe poder proporcionar detalles de las llamadas y el historial de búsqueda realizado, lo cual es un desafío, pero es el mundo en el que vivimos. Hay muchas razones para eso. Déjame saltar al mío.
Deliberadamente hice mi página de título difícil de leer. Tienes que mirar mucho ese texto. Cumplimiento, conforme a un conjunto de reglas, especificaciones, controles, políticas, estándares o leyes, con un trasfondo tonto y desordenado. Esto se debe a que realmente tiene que verlo con dificultad para obtener los detalles y extraer información de lo que se superpone, que es una serie de tablas y filas y columnas, ya sea una base de datos, un esquema o una maqueta en Visio. Así es como se siente el cumplimiento día a día. Es bastante difícil sumergirse en los detalles y extraer los datos relevantes que necesita para poder confirmar que cumple con los requisitos. Informe sobre eso, vigílelo y pruébelo.
De hecho, pensé en una muy buena manera de visualizar esto cuando nos hacemos la pregunta: "¿Cumple usted?" "¿Estás seguro?" "Bueno, ¡pruébalo!" Hay algo realmente divertido que es quizás un poco más anglo-celta, pero estoy seguro de que se ha abierto camino en todo el mundo hacia los Estados Unidos, por lo que es: "¿Dónde está Wally?" Wally es un pequeño personaje que se mete en estos dibujos animados en forma de libros. Por lo general, imágenes a gran escala de A3 o más grandes. Entonces, dibujos del tamaño de una mesa. Es un pequeño personaje que usa un gorro y una camisa a rayas rojas y blancas. La idea del juego es que miras esta imagen y miras en círculos para tratar de encontrar a Wally. Él está en esa foto allí en alguna parte. Cuando piensas en cómo descubrir, describir e informar sobre el cumplimiento, en muchos sentidos es como interpretar "Where's Wally". Si miras esa imagen, es casi imposible encontrar el personaje. Los niños pasan horas en eso y ayer me divertí mucho haciéndolo. Cuando lo miramos, encontramos a un montón de personas en estas caricaturas, colocadas deliberadamente allí con piezas similares del atuendo de Wally de un gorro a rayas y un jersey, o un top de lana. Pero se convierten en falsos positivos.
Este es un desafío similar que tenemos con el cumplimiento. Cuando miramos las cosas, a veces algo creemos que este es el caso, no es el caso en absoluto. Alguien puede tener acceso a una base de datos y se supone que debe tener ese acceso a una base de datos, pero la forma en que la usan es ligeramente diferente de lo que esperamos. Podríamos decidir que eso es algo que debemos observar. Cuando lo investigamos, encontramos que, en realidad, es un usuario muy válido. Solo están haciendo algo peculiar. Tal vez es un investigador de PC o quién sabe. En otros casos, podría ser lo contrario. La realidad, cuando vuelvo a avanzar, está Wally. Si miraste muy duro en esta alta resolución, hay un personaje que en realidad usa la vestimenta adecuada. Todos los demás son solo parecidos y parecidos. El cumplimiento se parece mucho a eso. La mayoría de las personas que conozco trabajan en áreas de control y cumplimiento y políticas de las empresas. En una amplia gama de áreas, ya sea tecnología, finanzas u operación, y riesgo. A menudo es muy difícil ver a Wally en la foto, verás los árboles o el bosque.
La pregunta que nos hacemos, cuando pensamos en cosas como el cumplimiento, es "Gran cosa, ¿qué podría salir mal si no cumplimos con el cumplimiento?" En el contexto de la discusión de hoy, específicamente en torno a la base de datos y el control del acceso a los datos, les voy a dar algunos ejemplos de llamadas de atención muy reales sobre lo que puede salir mal en forma breve y sucinta. Si pensamos en las violaciones de datos, y todos estamos familiarizados con las violaciones de datos, las escuchamos en los medios de comunicación, y nos detenemos y reímos, porque la gente piensa que son mercados. Son cosas personales. Es Ashley Madison y las personas que buscan obtener citas fuera de sus relaciones y matrimonios. Es lanzar cuentas. Son todas estas cosas extrañas o algún ISP o compañía de hosting aleatoria europea o rusa es hackeada. Cuando se trata de cosas como MySpace y estos diez principales, cuando se miran estos números, lo que quiero que se den cuenta es esto: 1.100 millones de detalles de personas en estas diez violaciones principales. Y sí, hay superposiciones, probablemente haya personas que tengan una cuenta de MySpace, una cuenta de Dropbox y una cuenta de Tumblr, pero vamos a redondearlo a mil millones de personas.
Estas diez violaciones principales durante la última década más o menos, ni siquiera una década, en la mayoría de los casos, suman aproximadamente una séptima parte de la población mundial de seres humanos, pero de manera más realista, aproximadamente el 50 por ciento del número de personas están conectadas Internet, más de mil millones de personas. Esto ocurre porque el cumplimiento no se ha cumplido en algunos casos. En la mayoría de los casos, hubo controles de acceso a la base de datos, control de acceso a conjuntos de datos particulares, sistemas y redes. Esta es una prueba de realidad aterradora. Si no te asusta, cuando miras los diez primeros y puedes ver que esto es un … o puedes ver que son mil millones de personas, seres humanos reales como nosotros, en este momento. Si tiene una cuenta de LinkedIn, si tenía una cuenta de Dropbox, o una cuenta de Tumblr o si compró productos de Adobe o incluso se registró, descargue el visor gratuito de Adobe. Es muy probable, no es posible, es muy probable que sus datos, su nombre, su apellido, su dirección de correo electrónico, incluso la dirección de su empresa de trabajo, o su domicilio o su tarjeta de crédito, estén realmente a la vista debido a una violación eso tuvo lugar debido a los controles, que no necesariamente se gestionaron bien en forma de gestión de datos, gobierno de datos.
Echemos un vistazo cuando lo veamos en detalle real. Hay una pantalla de ellos, hay alrededor de 50 y algo allí. Hay otros 15. Hay alrededor de otros 25. Estas son violaciones de datos que se enumeran en un sitio web llamado haveibeenpwned.com. Esto es lo que posiblemente podría salir mal si algo simple como controlar quién ha tenido acceso a los datos en bases de datos en diferentes campos, filas y columnas y diferentes aplicaciones en su negocio, no se administran correctamente. Estas organizaciones ahora están basadas en datos. La mayoría de los datos viven en una base de datos de alguna forma. Cuando piensas en eso, esa lista de infracciones que acabamos de ver, y con suerte te ha dado un poco de ducha fría en cierto sentido, en el sentido de que pensaste "Hmm, eso es muy real", y potencialmente te ha impactado. En 2012, ese incumplimiento de LinkedIn, por ejemplo, la mayoría de los profesionales tienen una cuenta de LinkedIn en estos días y es probable que se pierdan sus datos. Han estado en Internet desde 2012. Acabamos de informarnos sobre esto en 2016. ¿Qué pasó con su información en esos cuatro años? Bueno, es interesante y podemos hablar de eso por separado.
Gestión de bases de datos y sistemas: a menudo hablo de lo que considero los cinco principales desafíos en la gestión de estas cosas. En lo más alto, estoy clasificando estos en orden de preferencia de mí mismo, pero también en orden de impacto, el número uno es la seguridad y el cumplimiento. Los controles y mecanismos, y políticas en torno a controlar quién tiene qué acceso a qué sistema, por qué razón y propósito. Informar sobre eso y monitorearlo, mirar los sistemas, mirar las bases de datos y ver quién puede acceder a los registros, campos individuales y registros.
Piensa en esto de una forma muy simple. Hablemos de la banca y la gestión del patrimonio como un ejemplo. Cuando se registra para obtener una cuenta bancaria, digamos una cuenta de efectivo normal para una tarjeta EFTPOS, o una cuenta de efectivo o una cuenta de cheques. Rellena un formulario y hay mucha información muy privada en ese papel que completa o lo hace en línea y eso va a un sistema informático. Ahora, si alguien en marketing quiere contactarlo y enviarle un folleto, se le debe permitir ver su nombre y apellido, y su dirección personal, por ejemplo, y posiblemente su número de teléfono si quieren llamarlo en frío y venderte algo Probablemente no deberían ver la cantidad total de dinero que tienes en el banco por muchas razones. Si alguien lo está mirando desde un punto de vista de riesgo, o está tratando de ayudarlo a hacer algo como obtener mejores tasas de interés en su cuenta, esa persona en particular probablemente quiera ver cuánto dinero tiene en el banco, para que pueda Ofrecerle los niveles adecuados de interés de retorno de su dinero. Esos dos individuos tienen roles muy diferentes y razones muy diferentes para esos roles, y propósitos para esos roles. Como resultado, necesita ver información diferente en su registro, pero no todo el registro.
Estos controles rodean los diferentes informes de pantallas o formularios habituales que tienen en las aplicaciones que se utilizan para administrar su cuenta. El desarrollo para esos, el mantenimiento de esos, la administración de esos, la presentación de informes en torno a ellos, y la gobernanza y el cumplimiento en torno a aquellos como el plástico de burbujas, todos son un desafío muy, muy grande. Ese es solo el desafío número uno en la gestión de datos y sistemas. Cuando profundizamos en esa pila en rendimiento y monitoreo, y detección y respuesta de incidentes, administración y administración del sistema, y cumplimiento a su alrededor, el diseño y desarrollo de los sistemas a partir del cumplimiento, se vuelve mucho más difícil.
Gestionar todo el problema de reducir riesgos y mejorar la seguridad. Mis cinco desafíos principales en este espacio, y me gustan las imágenes que acompañan a un mostrador de aduanas cuando ingresas a un país, presentan tu pasaporte, te revisan y miran su sistema informático para ver si debes pasar o no. Si no deberías, te ponen en el próximo avión de regreso a casa. De lo contrario, te dejan volver y te hacen preguntas como: "¿Vienes de vacaciones? ¿Estás aquí como turista? ¿Estás aquí por trabajo? ¿Qué tipo de trabajo vas a ver? ¿Dónde vas a quedarte? "¿Por cuánto tiempo vendrá? ¿Tiene suficiente dinero para cubrir sus gastos y costos? ¿O se convertirá en un riesgo para el país en el que se encuentra y podrían tener que cuidarlo y alimentarlo?"
Hay algunos problemas en torno a este espacio de datos, la gestión de la protección de datos. Por ejemplo, en el espacio de la base de datos, debemos pensar en mitigar los desvíos de la base de datos. Si los datos están en la base de datos, en un entorno normal y hay controles y mecanismos alrededor de eso en el sistema. ¿Qué sucede si se realiza un volcado de los datos en más SQL y se realiza una copia de seguridad en cinta? Las bases de datos se vuelcan en forma cruda y a veces se respaldan. A veces se hace por razones técnicas, razones de desarrollo. Digamos que se realizó un volcado de base de datos y se realizó una copia de seguridad en cinta. ¿Qué sucede si por casualidad tengo en mis manos esa cinta y la restauro? Y tengo una copia cruda de la base de datos en SQL. Es un archivo MP, es texto, puedo leerlo. Todas las contraseñas que se almacenan en ese volcado no tienen control sobre mí porque ahora tengo acceso al contenido real de la base de datos sin que el motor de la base de datos lo proteja. Por lo tanto, técnicamente puedo eludir la seguridad de la plataforma de base de datos que se está construyendo en el motor con el cumplimiento y la gestión de riesgos para evitar que vea los datos. Debido potencialmente al desarrollador, administrador del sistema, tengo en mis manos un volcado completo de la base de datos que debería usarse para las copias de seguridad.
Uso indebido de los datos: potencialmente hacer que alguien inicie sesión como su cuenta elevada y dejarme sentarme en la pantalla, buscando información o cosas similares. Auditoría patentada, del acceso y uso de los datos, y visualización de los datos o cambios en los datos. Luego, la presentación de informes sobre ese control y el cumplimiento requerido. Monitorear el tráfico y el acceso, etc., bloqueando las amenazas que provienen de ubicaciones y servidores externos. Por ejemplo, si los datos se presentan a través de un formulario en una página web en Internet, ¿se han protegido sus inyecciones SQL a través de firewalls y controles conceptuales? Hay una larga historia detallada que va detrás de esto. Puede ver aquí que solo algunas de estas cosas absolutamente fundamentales en las que pensamos al mitigar y administrar el riesgo en torno a los datos dentro de las bases de datos. En realidad, es relativamente fácil sortear algunos de estos si estás en diferentes niveles de pilas de tecnologías. El desafío se vuelve cada vez más difícil a medida que obtiene más y más datos y más bases de datos. Más y más desafiante con las personas que tienen que administrar los sistemas y monitorear el uso de ellos, rastrear los detalles relevantes que se refieren específicamente a cosas de las que Robin habló, en torno a cosas como el cumplimiento personal. Las personas tienen controles y mecanismos a su alrededor que cumplen: si haces algo mal, estás potencialmente despedido. Si inicio sesión como mi cuenta lo dejo ver, eso debería ser un delito que se puede disparar. Ahora te he dado acceso a datos que no deberías haber visto normalmente.
Hay cumplimiento personal, hay cumplimiento corporativo, las compañías tienen políticas y reglas y controles que se han impuesto a sí mismos solo para que la compañía funcione bien y proporcione un retorno de las ganancias y un buen retorno a los inversores y accionistas. Luego, a menudo hay en toda la ciudad o en todo el estado o nacional, federal, como dijiste, controles y leyes de los EE. Luego están los globales. Algunos de los incidentes más grandes en el mundo, donde personas como Sarbanes-Oxley, dos personas a las que se les pide que inventen formas de proteger los datos y los sistemas. Hay Basilea en Europa y hay toda la gama de controles en Australia, particularmente alrededor de la bolsa de valores y las plataformas de credenciales, y luego la privacidad a nivel individual o de la empresa. Cuando cada uno de estos se apila como viste en uno de los sitios que Robin tenía, se convierten en una montaña casi imposible de escalar. Los costos se elevan y estamos en el punto en que el enfoque tradicional original, como los seres humanos que miden el control, ya no es un enfoque apropiado porque la escala es demasiado grande.
Tenemos un escenario donde el cumplimiento es lo que yo llamo ahora un problema siempre activo. Y es que solíamos tener un punto en el tiempo, ya sea mensual o trimestral o anualmente, en el que revisaríamos nuestro estado de la nación y ayudaríamos al cumplimiento y el control. Asegurarse de que ciertas personas tuvieran cierto acceso y no tuvieran cierto acceso dependiendo de cuáles fueran sus permisos. Ahora se trata de la velocidad de las cosas con las que se mueven las cosas, el ritmo al que cambian las cosas, la escala a la que estamos operando. El cumplimiento es un problema permanente y la crisis financiera global fue solo un ejemplo en el que los controles relevantes y las medidas de seguridad y cumplimiento podrían haber evitado potencialmente un escenario en el que teníamos un tren de carga descontrolado de cierto comportamiento. Simplemente creando una situación con todo el mundo efectivamente sabiendo que iría a la quiebra y a la quiebra. Para hacer eso, necesitamos las herramientas adecuadas. Lanzar seres humanos al tren, arrojar cuerpos ya no es un enfoque válido porque la escala es demasiado grande y las cosas se mueven demasiado rápido. La discusión de hoy, creo que vamos a tener, trata sobre los tipos de herramientas para aplicar a esto. En particular, las herramientas que IDERA puede proporcionarnos que deberían hacerlo. Y con eso en mente, voy a entregárselo a Bullett para que revise su material y nos muestre su enfoque y las herramientas que tienen para resolver este problema que hemos presentado para usted.
Con eso, Bullett, te lo entregaré.
Bullett Manale: Suena genial, gracias. Quiero hablar sobre algunas diapositivas y también quiero mostrarle un producto que usamos para las bases de datos de SQL Server específicamente para ayudar con situaciones de cumplimiento. Realmente, el desafío en muchos casos: voy a pasar por alto algunos de estos, este es solo nuestro portafolio de productos, voy a pasar por eso bastante rápido. En términos de dónde va a dirigirse este producto y cómo se relaciona con el cumplimiento, siempre hago esto como si fuera la primera diapositiva porque es una especie de genérico: "¿Cuál es la responsabilidad de un DBA?". Una de las cosas controla y supervisa el acceso de los usuarios y también puede generar informes. Eso va a relacionarse cuando hables con tu auditor, lo difícil que puede ser ese proceso variará dependiendo de si vas a hacerlo por tu cuenta o si vas a usar un tercero herramienta para ayudar.
En términos generales, cuando hablo con los administradores de bases de datos, muchas veces nunca han estado involucrados en una auditoría. Tienes que educarlos sobre lo que realmente tienes que hacer. Relacionado con el tipo de cumplimiento que debe cumplirse y poder demostrar que en realidad está siguiendo las reglas que se aplican a ese nivel de cumplimiento. Mucha gente no lo entiende al principio. Piensan: "Oh, puedo comprar una herramienta que me haga cumplir". La realidad es que ese no es el caso. Desearía poder decir que nuestro producto mágicamente, por saber, presionando el botón fácil, le dio la capacidad de asegurarse de que cumple. La realidad es que debe tener su entorno configurado en términos de controles, en términos de cómo las personas acceden a los datos, todo tiene que ser resuelto con la aplicación que tiene. Donde se guardan los datos sensibles, qué tipo de requisito regulatorio es. Luego, también tiene que trabajar con un oficial de cumplimiento interno para asegurarse de que está siguiendo todas las reglas.
Esto suena realmente complicado. Si observa todos los requisitos reglamentarios, pensaría que ese sería el caso, pero la realidad es que aquí hay un denominador común. En nuestro caso con la herramienta que les voy a mostrar hoy, el producto de Compliance Manager, el proceso en nuestra situación sería que, ante todo, debemos asegurarnos de que estamos recopilando los datos de seguimiento de auditoría, relacionados a dónde están los datos en la base de datos que es sensible. Puedes recoger todo, ¿verdad? Podría salir y decir que quiero recopilar todas las transacciones que suceden en esta base de datos. La realidad es que probablemente solo tenga una pequeña fracción o un pequeño porcentaje de transacciones que estén realmente relacionadas con los datos confidenciales. Si se trata del cumplimiento de PCI, se tratará de la información de la tarjeta de crédito, los propietarios de las tarjetas de crédito, su información personal. Puede haber un montón de otras transacciones relacionadas con su aplicación, que realmente no tienen ninguna relación con los requisitos reglamentarios de PCI.
Desde ese punto de vista, lo primero que cuando hablo con DBA es que digo: "El desafío número uno no es tratar de obtener una herramienta para hacer estas cosas por usted". Es solo saber dónde están esos datos confidenciales y cómo estamos bloqueando esos datos ”. Si tiene eso, si puede responder a esa pregunta, entonces está a medio camino de ser capaz de demostrar que está cumpliendo, asumiendo que está siguiendo los controles correctos. Digamos por un segundo que está siguiendo los controles correctos y le dijo a los auditores que ese es el caso. La siguiente parte del proceso es, obviamente, ser capaz de proporcionar una pista de auditoría que muestre y valide que esos controles realmente están funcionando. Luego, luego de eso, asegúrese de guardar esos datos. Por lo general, con cosas como el cumplimiento de PCI e HIPAA, y ese tipo de cosas, estás hablando de siete años de retención. Estás hablando de muchas transacciones y muchos datos.
Si está guardando, recolectando cada transacción a pesar de que solo el cinco por ciento de las transacciones están relacionadas con los datos confidenciales, está hablando de un costo bastante grande asociado con tener que almacenar esos datos durante siete años. Creo que ese es uno de los desafíos más grandes: hacer que la gente se dé cuenta de eso, obviamente, es un costo realmente innecesario. También es mucho más fácil si solo podemos enfocarnos de manera granular en las áreas sensibles dentro de la base de datos. Además de eso, también querrá controles sobre parte de la información confidencial. No solo para mostrar en términos de un seguimiento de auditoría, sino también para poder vincular las cosas a las acciones que están sucediendo y poder recibir notificaciones en tiempo real, para que pueda estar al tanto de eso.
El ejemplo que siempre uso, y puede que no esté necesariamente relacionado con ningún tipo de requisito reglamentario, sino simplemente poder rastrear, por ejemplo, que alguien elimine la tabla asociada a la nómina. Si eso sucede, la forma en que te enteras, si no estás rastreando eso, es que a nadie se le paga. Eso es muy tarde. Desea saber cuándo se cae esa tabla, justo cuando se cae, para evitar cualquier cosa mala que suceda como resultado de que un empleado descontento vaya y elimine la tabla que está vinculada directamente a la nómina.
Dicho esto, el truco es encontrar el denominador común o usar ese denominador común para mapear cuál es el nivel de cumplimiento. Eso es lo que intentamos hacer con esta herramienta. Básicamente adoptamos el enfoque de, no vamos a mostrarle un informe que sea específico para PCI, específico para acciones; el denominador común es que tiene una aplicación que usa SQL Server para almacenar los datos confidenciales dentro de la base de datos. Una vez que superas eso, dices: "Sí, eso es realmente lo principal en lo que debemos centrarnos: ¿dónde están esos datos confidenciales y cómo se accede a ellos?" Una vez que tenga eso, hay un montón de informes que ofrecemos que pueden proporcionar que la prueba está, lo hará, dentro del cumplimiento.
Volviendo a las preguntas que hace un auditor, la primera pregunta será: ¿Quién tiene acceso a los datos y cómo obtienen ese acceso? ¿Puede probar que las personas correctas están accediendo a los datos y las personas incorrectas no? ¿Puede probar también que la pista de auditoría en sí misma es algo en lo que puedo confiar como fuente inmutable de información? Si le estoy dando una pista de auditoría que está fabricada, realmente no me sirve de mucho como auditor para parchear su auditoría si la información es fabricada. Necesitamos pruebas de ello, generalmente desde una perspectiva de auditoría.
Pasando por esas preguntas, un poco más detallado. El desafío con la primera pregunta es, usted debe saber, como dije, dónde están esos datos confidenciales para informar sobre quién accede a ellos. Eso suele ser algún tipo de descubrimiento y realmente tienes miles de aplicaciones diferentes que existen, tienes toneladas de requisitos reglamentarios diferentes. En la mayoría de los casos, desea trabajar con su oficial de cumplimiento si tiene uno, o al menos alguien que tenga alguna información adicional en términos de dónde están realmente mis datos confidenciales dentro de la aplicación. Tenemos una herramienta que tenemos, es una herramienta gratuita, se llama SQL Column Search. Les decimos a nuestros posibles clientes y usuarios que estén interesados en esa pregunta que pueden descargarla. Lo que va a hacer es básicamente buscar la información dentro de la base de datos que probablemente sea de naturaleza sensible.
Y luego, una vez que haces eso, también tienes que entender cómo las personas acceden a esos datos. Y eso será, una vez más, qué cuentas están dentro de qué grupos de Active Directory, qué usuarios de la base de datos están involucrados, hay una membresía de roles asociada a esto. Y teniendo en cuenta, por supuesto, que todas estas cosas de las que estamos hablando tienen que ser aprobadas por el auditor, por lo que si usted dice: "Así es como estamos bloqueando los datos", entonces los auditores pueden venir volver y decir: "Bueno, lo estás haciendo mal". Pero digamos que dicen: "Sí, eso se ve bien. Estás bloqueando los datos lo suficiente ".
Pasando a la siguiente pregunta, que será, ¿puede probar que las personas adecuadas están accediendo a esos datos? En otras palabras, puede decirles que sus controles son, estos son los controles que está siguiendo, pero desafortunadamente los auditores no son personas realmente confiables. Quieren una prueba de ello y quieren poder verlo dentro de la pista de auditoría. Y esto se remonta a todo ese denominador común. Ya sea PCI, SOX, HIPAA, GLBA, Basilea II, lo que sea, la realidad es que, por lo general, se harán los mismos tipos de preguntas. El objeto con la información confidencial, ¿quién ha accedido a ese objeto en el último mes? Eso debería corresponder a mis controles y debería poder pasar mi auditoría eventualmente mostrando ese tipo de informes.
Entonces, lo que hemos hecho es que hemos compilado alrededor de 25 informes diferentes que siguen en el mismo tipo de áreas que ese denominador común. Entonces, no tenemos un informe para PCI o para HIPAA o para SOX, tenemos informes de que, una vez más, van en contra de ese denominador común. Por lo tanto, en realidad no importa qué requisito reglamentario esté tratando de cumplir, en la mayoría de los casos podrá responder cualquier pregunta que le haga ese auditor. Y le dirán quién, qué, cuándo y dónde de cada transacción. Usted sabe, el usuario, el momento en que ocurrió la transacción, la declaración SQL en sí misma, la aplicación de la que provino, todas esas cosas buenas, y luego también podrá automatizar la entrega de esta información a los informes.
Y luego, una vez más, una vez que lo superes y lo hayas proporcionado al auditor, entonces la siguiente pregunta será, pruébalo. Y cuando digo que lo pruebes, quiero decir que la pista de auditoría en sí misma es algo en lo que podemos confiar. Y la forma en que lo hacemos en nuestra herramienta es que tenemos valores hash y valores CRC que se vinculan directamente con los eventos dentro de la pista de auditoría. Entonces, la idea es que si alguien sale y elimina un registro o si alguien sale y elimina o agrega algo al registro de auditoría o cambia algo en el registro de auditoría en sí, podemos probar que esos datos, la integridad de los datos en sí mismos fueron violados. Y así, el 99.9 por ciento de las veces si tiene bloqueada nuestra base de datos de seguimiento de auditoría, no se encontrará con ese problema porque cuando ejecutamos esa verificación de integridad esencialmente estamos demostrando al auditor que los datos en sí no han sido cambiado y eliminado o agregado desde la escritura original del servicio de administración en sí.
Así que es una especie de resumen general de los tipos típicos de preguntas que se le formularían. Ahora, la herramienta que tenemos para abordar mucho de esto se llama SQL Compliance Manager y hace todas esas cosas en términos de seguimiento de las transacciones, quién, qué, cuándo y dónde de las transacciones, pudiendo hacer eso en un número de áreas diferentes también. Inicios de sesión, inicios de sesión fallidos, cambios de esquema, obviamente acceso a datos, actividad de selección, todas esas cosas que están sucediendo dentro del motor de base de datos. Y también podemos alertar a los usuarios de condiciones específicas y muy granulares, si es necesario. Por ejemplo, alguien está saliendo y viendo la tabla que contiene todos mis números de tarjeta de crédito. No están cambiando los datos, solo lo están mirando. En esa situación, puedo alertar y hacer saber a la gente que eso está sucediendo, no seis horas después cuando estamos raspando registros, sino en tiempo real. Básicamente es el tiempo que nos lleva procesar esa transacción a través de un servicio de gestión.
Como mencioné antes, hemos visto que esto se usa en una variedad de requisitos reglamentarios diferentes y realmente no lo hace, ya sabes, cualquier requisito reglamentario, una vez más, siempre que los denominadores comunes, tenga datos confidenciales en un servidor SQL base de datos, esta es una herramienta que ayudaría en ese tipo de situación. Para los 25 informes integrados, ahora la realidad es que podemos hacer que esta herramienta sea buena para el auditor y responda a todas las preguntas que hagan, pero los DBA son los que tienen que hacer que funcione. También existe esa idea, desde el punto de vista del mantenimiento, que debemos asegurarnos de que el SQL funcione de la manera que queremos. También tenemos que poder entrar y ver las cosas que van a poder salir y mirar otros datos, ya sabes, en cuanto al archivo de los datos, la automatización de eso y los gastos generales. en sí del producto. Esas son cosas que obviamente tenemos en cuenta.
Lo que trae a colación la propia arquitectura. Entonces, en el lado derecho de la pantalla, tenemos las instancias de SQL que administramos, desde 2000 hasta 2014, preparándonos para lanzar una versión para 2016. Lo más importante en esta pantalla es que la administración el servidor en sí está haciendo todo el trabajo pesado. Solo estamos recopilando los datos, utilizando la API de rastreo, integrada con SQL Server. Esa información está llegando a nuestro servidor de administración. Ese servidor de administración en sí mismo identifica y, si hay algún evento relacionado con cualquier tipo de transacción que no deseamos, envía alertas y ese tipo de cosas, y luego completa los datos dentro de un repositorio. Desde allí podemos ejecutar informes, podríamos salir y ver esa información en los informes o incluso dentro de la consola de la aplicación.
Entonces, lo que voy a seguir adelante y hacer es llevarme a través, muy rápido, y solo quiero señalar una cosa rápida antes de saltar al producto, hay un enlace en el sitio web en este momento, o en la presentación, eso te llevará a la herramienta gratuita que mencioné anteriormente. Esa herramienta gratuita es, como dije, saldrá y mirará una base de datos e intentará encontrar las áreas que parecen datos confidenciales, números de seguridad social, números de tarjetas de crédito, en función de los nombres de las columnas o las tablas, o según la forma en que se ve el formato de los datos, y también puede personalizarlo, así que solo para señalarlo.
Ahora, en nuestro caso déjame seguir adelante y compartir mi pantalla, dame un segundo aquí. Muy bien, entonces, lo que quería llevarte primero es que quiero llevarte a la aplicación de Compliance Manager en sí misma y voy a pasar por esto bastante rápido. Pero esta es la aplicación y puedes ver que tengo un par de bases de datos aquí y solo voy a mostrarte lo fácil que es entrar y decirle lo que estás buscando auditar. Desde el punto de vista de los cambios de esquema, cambios de seguridad, actividades administrativas, DML, Seleccionar, tenemos todas esas opciones disponibles, también podemos filtrarlas. Esto se remonta a la mejor práctica de poder decir: “Realmente solo necesito esta tabla porque contiene los números de mi tarjeta de crédito. No necesito las otras tablas que tienen información del producto, todas esas otras cosas que no están relacionadas con el nivel de cumplimiento que estoy tratando de cumplir ".
También tenemos la capacidad de capturar datos y mostrarlos en términos de los valores de los campos que están cambiando. En muchas herramientas tendrás algo que te dará la capacidad de capturar la declaración SQL, mostrar al usuario, mostrar la aplicación, la hora y la fecha, todo lo bueno. Pero en algunos casos, la instrucción SQL en sí misma no le dará suficiente información para poder decirle cuál era el valor del campo antes del cambio, así como el valor del campo después del cambio. Y en algunas situaciones necesitas eso. Es posible que desee rastrear, por ejemplo, la información de dosificación de un médico para medicamentos recetados. Pasó de 50 mg a 80 mg a 120 mg, podría rastrear eso usando el antes y el después.
Las columnas sensibles es otra cosa con la que nos encontramos mucho, por ejemplo, con el cumplimiento de PCI. En la situación aquí, tiene datos que son tan sensibles por naturaleza que con solo mirar esa información, no tengo que cambiarla, eliminarla o agregarla, puedo causar un daño irreparable. Números de tarjetas de crédito, números de seguridad social, todo ese tipo de cosas buenas que podemos identificar columnas sensibles y vincular alertas a ellos. Si alguien sale y mira esa información, obviamente podríamos alertar y enviar un correo electrónico o generar una trampa SNMP y ese tipo de cosas.
Ahora, en algunos casos, se encontrará con una situación en la que podría tener una excepción. Y lo que quiero decir con eso es que tiene una situación en la que tiene un usuario que tiene una cuenta de usuario que podría estar vinculada a algún tipo de trabajo ETL que se ejecuta en el medio de la noche. Es un proceso documentado y simplemente no necesito incluir esa información transaccional para esa cuenta de usuario. En ese caso tendríamos un usuario de confianza. Y luego, en otras situaciones, usaríamos la función de Auditoría de usuarios privilegiados que es esencialmente, si tengo, digamos, por ejemplo, una aplicación, y esa aplicación ya está auditando, de los usuarios que están pasando por la aplicación, eso es genial, ya tengo algo de referencia en términos de mi auditoría. Pero para las cosas que están vinculadas, por ejemplo, a mis usuarios privilegiados, los tipos que pueden ir al estudio de administración de SQL Server para ver los datos dentro de la base de datos, eso no va a ser suficiente. Y aquí es donde podríamos definir quiénes son nuestros usuarios privilegiados, ya sea a través de Membresías de roles o a través de sus cuentas de Active Directory, grupos, sus cuentas autenticadas con SQL, donde podremos elegir todos esos diferentes tipos de opciones y luego, a partir de ahí, asegúrese de que para esos usuarios privilegiados podamos especificar los tipos de transacciones que estamos interesados en auditar.
Estas son todo tipo de opciones diferentes que tiene y no voy a analizar todos los diferentes tipos de cosas en función de las limitaciones de tiempo aquí para esta presentación. Pero sí quiero mostrarle cómo podemos ver los datos y creo que le gustará cómo funciona esto porque hay dos formas en que podemos hacerlo. Puedo hacerlo de forma interactiva y, por lo tanto, cuando hablamos con personas interesadas en esta herramienta para sus propios controles internos, solo quieren saber qué está sucediendo en muchos casos. No necesariamente tienen auditores en el sitio. Solo quieren saber: "Oye, quiero ir tras esta mesa y ver quién la tocó en la última semana o el mes pasado o lo que sea". En este caso, puedes ver qué tan rápido podemos hacerlo.
En el caso de la base de datos de atención médica, tengo una tabla llamada Registros de pacientes. Y esa tabla, si solo tuviera que agrupar por objeto, podría comenzar rápidamente a reducirse donde estamos buscando. Tal vez quiero agrupar por categoría y luego tal vez por evento. Y cuando hago eso, puedes ver qué tan rápido aparece, y ahí está mi tabla de Registros de pacientes. Y a medida que profundizo podemos ver la actividad DML, podemos ver que hemos tenido miles de inserciones de DML, y cuando abrimos una de estas transacciones podemos ver la información relevante. El quién, el qué, el cuándo, el dónde de la transacción, la declaración SQL, obviamente, la aplicación real que se utiliza para realizar la transacción, la cuenta, la hora y la fecha.
Ahora, si mira la siguiente pestaña aquí, la pestaña Detalles, esto vuelve a la tercera pregunta de la que estamos hablando, lo que demuestra que no se ha violado la integridad de los datos. Básicamente, en cada evento, tenemos un cálculo secreto para nuestro valor hash, y esto se relacionará con cuando realicemos nuestra verificación de integridad. Por ejemplo, si fuera a la herramienta, entrara al menú de auditoría y saliera y dijera, verifiquemos la integridad del repositorio, podría señalar la base de datos donde está la pista de auditoría, se ejecutará a través de una verificación de integridad que combine esos valores hash y valores CRC con los eventos reales y nos dirá que no se han encontrado problemas. En otras palabras, los datos en la pista de auditoría no han sido alterados desde que fueron escritos originalmente por el servicio de administración. Obviamente, esa es una forma de interactuar con los datos. La otra forma sería a través de los informes mismos. Y, entonces, les voy a dar un ejemplo rápido de un informe.
Y una vez más, estos informes, la forma en que se nos ocurrieron, no son específicos de ningún tipo de estándar como PCI, HIPAA, SOX o algo así. Una vez más, es el denominador común de lo que estamos haciendo, y en este caso, si volvemos al ejemplo de registros de pacientes, podríamos salir y decir, en nuestro caso aquí, estamos buscando en la base de datos de atención médica y en nuestro caso queremos centrarnos específicamente en esa tabla que sabemos que contiene información privada, en nuestro caso, relacionada con nuestros pacientes. Entonces, déjame ver si puedo escribirlo aquí, y vamos a seguir adelante y ejecutar ese informe. Y vamos a ver entonces, obviamente, a partir de ahí, todos los datos relevantes asociados a ese objeto. Y en nuestro caso nos muestra por un período de un mes. Pero podríamos retroceder seis meses, un año, por el tiempo que hayamos guardado los datos.
Esas son las formas en que sería capaz de demostrarle, si lo desea, al auditor que está siguiendo sus controles. Una vez que haya identificado eso, obviamente eso es bueno en términos de aprobar su auditoría y poder demostrar que está siguiendo los controles y que todo está funcionando.
La última cosa sobre la que hablar que quería demostrar es en la sección de administración. También hay controles desde el punto de vista de que dentro de esta herramienta se pueden establecer controles para poder asegurarme de que si alguien está haciendo algo que se supone que no debe hacer, yo pueda ser consciente de ello. Y te daré un par de ejemplos allí. Tengo una cuenta de inicio de sesión que está vinculada a un servicio y ese servicio necesita permisos elevados para hacer lo que hace. Lo que no quiero es que alguien entre y use esa cuenta en Management Studio y luego, ya sabes, lo use para cosas para las que no estaba destinado. Tendríamos dos criterios aquí que podríamos aplicar. Podría decir: "Mira, estamos realmente interesados en este trabajo, por ejemplo, con nuestra aplicación PeopleSoft", solo como ejemplo, ¿de acuerdo?
Ahora que he hecho eso, lo que digo aquí es que tengo curiosidad por conocer los inicios de sesión que están vinculados a la cuenta que estoy preparando para especificar, si la aplicación que se está utilizando para iniciar sesión con esta cuenta no es PeopleSoft, entonces eso va a ser un aumento para la alarma. Y, obviamente, tenemos que especificar el nombre de la cuenta en sí, así que en nuestro caso simplemente llamemos a esta Cuenta Priv, por el hecho de que es privilegiada. Ahora, una vez que hayamos hecho eso, cuando hagamos esto aquí, ahora podremos especificar qué queremos que suceda cuando eso ocurra y para cada tipo de evento o, debo decir, alerta, puedes tener una notificación por separado a la persona responsable de ese dato en particular.
Por ejemplo, si se trata de información salarial, podría dirigirse a mi director de recursos humanos. En este caso, al tratar con la aplicación PeopleSoft, será el administrador de esa aplicación. Cualquiera sea el caso. Podría poner mi dirección de correo electrónico, personalizar el mensaje de alerta real y todo ese tipo de cosas buenas. Una vez más, todo se remonta a poder asegurarse de que puede demostrar que está siguiendo sus controles y que esos controles están funcionando de la manera prevista. Desde la última perspectiva aquí, solo en términos de mantenimiento, tenemos la capacidad de tomar estos datos y ponerlos fuera de línea. Puedo archivar los datos y puedo programarlos y podríamos hacer estas cosas muy fácilmente en el sentido de que usted, como DBA, puede usar esta herramienta, configurarlo y aléjese de él No habrá muchas manos sosteniendo una vez que lo haya configurado como debería ser. Como dije, la parte más difícil de todo esto, creo, es no configurar lo que quiere auditar, es saber lo que quiere configurar para auditar.
Y como dije, la naturaleza de la bestia con la auditoría, debe mantener los datos durante siete años, por lo que solo tiene sentido concentrarse en aquellas áreas que son de naturaleza sensible. Pero si desea ir al enfoque de recopilar todo, absolutamente puede, simplemente no se considera la mejor práctica. Entonces, desde ese punto de vista, me gustaría recordarles a las personas que si esto es algo de interés, pueden ingresar al sitio web en IDERA.com y descargar una versión de prueba de esto y jugar con ellos. En términos de la herramienta gratuita de la que hablamos anteriormente, que es, bueno, es gratis, puede descargarla y usarla para siempre, independientemente de si está utilizando el producto Compliance Manager. Y lo bueno de esa herramienta de búsqueda de columnas es que nuestros hallazgos que se te ocurrieron, y realmente puedo mostrar que, creo, es que podrás exportar esos datos y luego importarlos en Compliance Manager también. No lo veo, sé que está aquí, allí está. Esto es solo un ejemplo de eso. Aquí es donde se encuentran los datos confidenciales relacionados.
Ahora, este caso me salió y realmente, estoy mirando todo, pero tienes un montón de cosas que podemos verificar. Números de tarjeta de crédito, direcciones, nombres, todo ese tipo de cosas. E identificaremos dónde está en la base de datos y luego, desde allí, puede tomar la decisión de si realmente desea auditar esa información. Pero definitivamente es una forma de facilitarle la definición de su alcance de auditoría cuando está buscando una herramienta como esta.
Seguiré adelante y cerraré con eso, y seguiré adelante y se lo pasaré a Eric.
Eric Kavanagh: Esa es una presentación fantástica. Me encanta la forma en que realmente entras en los detalles arenosos allí y nos muestras lo que está sucediendo. Porque al final del día hay algún sistema que accederá a algunos registros, que le dará un informe, que le permitirá contar su historia, ya sea a un regulador o auditor o alguien de su equipo, así que es bueno que sepa que está preparado si y cuándo, o como y cuándo, esa persona llama a la puerta y, por supuesto, esa es la situación desagradable que está tratando de evitar. Pero si sucede, y probablemente sucederá en estos días, querrás asegurarte de que tu I está punteado y tu T cruzada.
Hay una buena pregunta de un miembro de la audiencia que quiero hacerle quizás a usted primero, Bullett, y luego, si tal vez un presentador quiere comentarlo, siéntase libre. Y luego tal vez Dez haga una pregunta y Robin. Entonces, la pregunta es, ¿es justo decir que para hacer todas las cosas que ha mencionado necesita comenzar un esfuerzo de clasificación de datos a nivel elemental? Debe conocer sus datos cuando emerjan como un activo potencial valioso y hacer algo al respecto. Creo que estarías de acuerdo, Bullett, ¿verdad?
Bullett Manale: Sí, absolutamente. Quiero decir, debes conocer tus datos. Y me doy cuenta, reconozco que hay muchas aplicaciones que existen y hay muchas cosas diferentes que tienen partes móviles en su organización. La herramienta de búsqueda de columnas es muy útil en términos de ir un paso en la dirección de comprender mejor esos datos. Pero sí, es muy importante. Quiero decir, usted tiene la opción de seguir el enfoque de firehose y auditar todo, pero es mucho más desafiante de esa manera logísticamente cuando habla de tener que almacenar esos datos e informar sobre esos datos. Y aún así, necesita saber dónde se encuentra esa información, porque cuando ejecute sus informes, también tendrá que mostrar esa información a sus auditores. Así que creo que, como dije, el mayor desafío cuando hablo con los administradores de bases de datos es saber, sí.
Eric Kavanagh: Sí, pero tal vez Robin te traigamos muy rápido. Me parece que la regla 80/20 se aplica aquí, ¿verdad? Probablemente no va a encontrar todos los sistemas de registro que importan si se encuentra en una organización mediana o grande, pero si se concentra en, como sugirió Bullett aquí, PeopleSoft, por ejemplo, u otros sistemas de registro que son predominante en la empresa, ahí es donde enfocas el 80 por ciento de tu esfuerzo y luego el 20 por ciento está en los otros sistemas que pueden estar en algún lugar, ¿verdad?
Robin Bloor: Bueno, estoy seguro, sí. Quiero decir, sabes, creo que el problema con esta tecnología, y creo que probablemente valga la pena comentarlo, pero el problema con esta tecnología es, ¿cómo lo implementas? Quiero decir, definitivamente hay una falta de conocimiento, digamos, en la mayoría de las organizaciones en cuanto a la cantidad de bases de datos que existen. Sabes, hay una gran falta de inventario, digamos. Sabes, la pregunta es, imaginemos que estamos comenzando en una situación en la que no hay un cumplimiento particularmente bien administrado, ¿cómo tomas esta tecnología y la inyectas en el medio ambiente, no solo en la tecnología? términos, configurar cosas, pero como quién lo maneja, ¿quién determina qué? ¿Cómo comienzas a calzar esto en una cosa genuina que hace su trabajo?
Bullett Manale: Bueno, quiero decir, esa es una buena pregunta. El desafío en muchos casos es que, quiero decir, tienes que empezar a hacer las preguntas desde el principio. Me he encontrado con muchas empresas en las que, ya sabes, tal vez son una empresa privada y fueron adquiridas, hay un primer, primer, primer tipo de obstáculo en el camino, si quieres llamarlo así. Por ejemplo, si ahora me he convertido en una empresa que cotiza en bolsa debido a la adquisición, tendré que volver y probablemente resolver algunas cosas.
Y en algunos casos hablamos con organizaciones que, a pesar de que son privadas, siguen las reglas de cumplimiento de SOX, simplemente porque en el caso de que quieran ser adquiridas, saben que deben cumplirlas. Definitivamente no desea adoptar el enfoque de "No tengo que preocuparme por esto ahora". Cualquier tipo de cumplimiento normativo como PCI o SOX o lo que sea, desea invertir en hacer la investigación o comprensión de dónde está esa información confidencial, de lo contrario, podría encontrarse lidiando con multas considerables y considerables. Y es mucho mejor invertir ese tiempo, ya sabes, encontrar esos datos y poder informar sobre ellos y mostrar que los controles están funcionando.
Sí, en términos de configuración, como dije, lo primero que recomendaría a las personas que se están preparando para enfrentar una auditoría, es simplemente salir y hacer un examen superficial de la base de datos, y descubrir, saber, en su mejor esfuerzo, tratando de averiguar dónde están esos datos confidenciales. Y el otro enfoque sería comenzar con tal vez una red más grande en términos de cuál es el alcance de la auditoría, y luego reducir lentamente su camino una vez que, de alguna manera, descubra dónde están esas áreas dentro del sistema que están relacionadas con el información sensible. Pero desearía poder decirte que hay una respuesta fácil a esa pregunta. Probablemente va a variar bastante de una organización a otra y el tipo de cumplimiento y realmente cómo, ya sabes, cuánta estructura tienen dentro de sus aplicaciones y cuántas tienen, diversas aplicaciones que tienen, algunas pueden ser aplicaciones escritas personalizadas, así que realmente dependerá de la situación en muchos casos.
Eric Kavanagh: Adelante, Dez, estoy seguro de que tienes una o dos preguntas.
Dez Blanchfield: Estoy interesado en obtener una idea de sus observaciones sobre el impacto para las organizaciones desde el punto de vista de las personas, en realidad. Creo que una de las áreas donde veo el mayor valor para esta solución en particular es que cuando las personas se despiertan por la mañana y van a trabajar a varios niveles de la organización, se despiertan con una serie de responsabilidades o una cadena de responsabilidades. con los que tienen que lidiar. Y estoy ansioso por obtener una idea de lo que está viendo con y sin los tipos de herramientas de las que está hablando. Y el contexto del que estoy hablando aquí es desde el presidente del nivel de la junta hasta el CEO y el CIO y el C-suite. Y ahora tenemos directores de riesgo, que están pensando más en los tipos de cosas de las que estamos hablando aquí en materia de cumplimiento y gobierno, y ahora tenemos nuevos jefes de juego de roles, director de datos, quién sabe, aún más preocupado por eso.
Y del lado de cada uno de ellos, alrededor del CIO, tenemos gerentes de TI de un lado con, como ustedes saben, clientes potenciales técnicos y luego clientes potenciales de bases de datos. Y en el espacio operativo tenemos gerentes de desarrollo y líderes de desarrollo y luego desarrollos individuales, y también vuelven a la capa de administración de la base de datos. ¿Qué está viendo en torno a la reacción de cada una de estas diferentes partes del negocio al desafío del cumplimiento y los informes regulatorios y su enfoque? ¿Estás viendo que las personas están llegando a esto con fervor y pueden ver el beneficio, o estás viendo que están arrastrando sus pies a esta cosa de mala gana y simplemente, ya sabes, haciéndolo para marcar la casilla? ¿Y cuáles son los tipos de respuestas que ves una vez que ven tu software?
Bullett Manale: Sí, esa es una buena pregunta. Yo diría que este producto, las ventas de este producto, son principalmente impulsados por alguien que está en el banquillo, si eso tiene sentido. En la mayoría de los casos, ese es el DBA, y desde nuestra perspectiva, en otras palabras, saben que se avecina una auditoría y que serán responsables, porque son los DBA, para poder proporcionar la información que el auditor va a pedir. Pueden hacerlo escribiendo sus propios informes y creando sus propios rastros personalizados y todo ese tipo de cosas. La realidad es que no quieren hacer eso. En la mayoría de los casos, los DBA no están ansiosos por tener esas conversaciones con el auditor para empezar. Sabes, preferiría decirte que podemos acudir a una empresa y decir: "Oye, esta es una gran herramienta y te va a encantar", y mostrarles todas las características y la comprarán.
La realidad es que, por lo general, no verán esta herramienta a menos que se enfrenten a una auditoría o al otro lado de esa moneda, es que han tenido una auditoría y la han fallado miserablemente y ahora lo están haciendo. se les dice que busquen ayuda o serán multados. Diría que, en términos de, ya sabes, en general, cuando le muestras este producto a la gente, definitivamente ven su valor porque les ahorra un montón de tiempo en términos de tener que averiguar de qué quieren informar., ese tipo de cosas. Todos esos informes ya están integrados, los mecanismos de alerta están en su lugar, y luego con la tercera pregunta también, en muchos casos, puede ser un desafío. Porque puedo mostrarle informes todo el día, pero a menos que pueda demostrarme que esos informes son realmente válidos, es una propuesta mucho más difícil para mí como DBA poder mostrar eso. Pero hemos desarrollado la tecnología y la técnica de hashing y todo ese tipo de cosas para poder ayudar a garantizar que se mantengan los datos en su integridad de las pistas de auditoría.
Y esas son las cosas que, esas son mis observaciones en términos de la mayoría de las personas con las que hablamos. Sabes, definitivamente, en diferentes organizaciones, sabes, oirás, sabrás, Target, por ejemplo, tuvo una violación de datos y, sabes, quiero decir, cuando otras organizaciones escuchan sobre las multas y esas tipo de cosas que la gente comienza, levanta una ceja, así que, con suerte, eso responde la pregunta.
Dez Blanchfield: Sí, definitivamente. Me imagino que algunos DBA cuando finalmente ven lo que se puede hacer con la herramienta se están dando cuenta de que también han recuperado sus noches y fines de semana. Reducciones de tiempo y costos y otras cosas que veo cuando se aplican las herramientas adecuadas a todo este problema, y es que, tres semanas me senté con un banco aquí en Australia. Son un banco global, uno de los tres principales bancos, son enormes. Y tenían un proyecto en el que tenían que informar sobre el cumplimiento de su gestión de patrimonio y particularmente el riesgo, y estaban analizando 60 semanas de trabajo para un par de cientos de seres humanos. Y cuando se les mostró una herramienta como tú que podría automatizar el proceso, en este sentido, la expresión de sus caras cuando se dieron cuenta de que no tenían que pasar X semanas con cientos de personas haciendo un proceso manual fue como si hubieran encontrado a Dios. Pero lo desafiante era cómo ponerlo en plan, como indicó el Dr. Robin Bloor, ya sabes, esto es algo que se convierte en una mezcla de cambio cultural y de comportamiento. En los niveles con los que está lidiando, quienes están lidiando con esto directamente a nivel de aplicación, qué tipo de cambio ve cuando comienzan a adoptar una herramienta para hacer el tipo de informes y auditorías y controles que puede ofrecer, como opuesto a lo que podrían haber hecho manualmente? ¿Cómo se ve eso cuando realmente se ponen en práctica?
Bullett Manale: ¿Está preguntando cuál es la diferencia en términos de manejar esto manualmente versus usar esta herramienta? ¿Esa es la pregunta?
Dez Blanchfield: Bueno, específicamente el impacto del negocio. Entonces, por ejemplo, si estamos tratando de cumplir en un proceso manual, ya sabes, invariablemente pasamos mucho tiempo con muchos seres humanos. Pero supongo que, para poner un poco de contexto alrededor de la pregunta, como usted sabe, ¿estamos hablando de una sola persona que ejecuta esta herramienta que reemplaza potencialmente a 50 personas y que puede hacer lo mismo en tiempo real o en horas frente a meses? ¿Es ese tipo de, lo que generalmente resulta ser?
Bullett Manale: Bueno, quiero decir, todo se reduce a un par de cosas. Una es tener la capacidad de responder esas preguntas. Algunas de esas cosas no se van a hacer muy fácilmente. Entonces, sí, el tiempo que lleva hacer las cosas de cosecha propia, escribir los informes por su cuenta, configurar los rastreos o los eventos extendidos para recopilar los datos manualmente, podría llevar mucho tiempo. Realmente, te daré algunos, quiero decir, esto realmente no se relaciona con las bases de datos en general, pero justo después de que sucedió el Enron y SOX se hizo frecuente, estaba en una de las compañías petroleras más grandes de Houston, y contamos para, Creo que fue como si el 25 por ciento de nuestros costos comerciales estuvieran relacionados con el cumplimiento de SOX.
Ahora eso fue justo después y ese fue el primer paso inicial en SOX, pero la cosa con, yo diría, ya sabes, obtienes muchos beneficios al usar esta herramienta en el sentido de que no requiere mucho de personas para hacer esto y muchos tipos diferentes de personas para hacerlo. Y como dije, el DBA no suele ser el tipo que realmente espera tener esas conversaciones con los auditores. Entonces, en muchos casos, veremos que el DBA puede descargar esto y ser capaz de proporcionar el informe que se está interconectando con el auditor y pueden eliminarse completamente de la ecuación en lugar de tener que involucrarse. Entonces, ya sabes, también es un ahorro tremendo en términos de recursos cuando puedes hacer eso.
Dez Blanchfield: Estás hablando de reducciones masivas de costos, ¿verdad? Las organizaciones no solo eliminan el riesgo y la sobrecarga del mismo, sino que me refiero esencialmente a que está hablando de una reducción significativa en el costo, A) operacionalmente y también B) en el hecho de que, ya saben, si realmente pueden proporcionar Informes de cumplimiento de tiempo de que hay un riesgo significativamente menor de una violación de datos o alguna multa legal o impacto por no cumplir, ¿verdad?
Bullett Manale: Sí, absolutamente. Quiero decir, por no cumplir hay todo tipo de cosas malas que suceden. Pueden usar esta herramienta y sería genial o no, y descubrirán lo malo que es en realidad. Entonces, sí, no solo es la herramienta, obviamente, puedes hacer tus controles y todo sin una herramienta como esta. Como dije, solo tomará mucho más tiempo y costo.
Dez Blanchfield: Eso es genial. Eric, voy a contactarte porque creo que la conclusión para mí es que, ya sabes, el tipo de mercado es fantástico. Pero también, esencialmente, la cosa vale su peso en oro sobre la base de que ser capaz de evitar el impacto comercial de un problema o reducir el tiempo que lleva informar y gestionar el cumplimiento solo hace que, ya sabes, La herramienta se amortiza de inmediato por el sonido de las cosas.
Eric Kavanagh: Eso es exactamente correcto. Bueno, muchas gracias por tu tiempo hoy, Bullett. Gracias a todos por su tiempo y atención, y Robin y Dez. Otra gran presentación hoy. Gracias a nuestros amigos de IDERA por permitirnos brindarle este contenido de forma gratuita. Archivaremos este webcast para verlo más tarde. El archivo suele estar listo en aproximadamente un día. Y háganos saber lo que piensa sobre nuestro nuevo sitio web, insideanalysis.com. Un diseño completamente nuevo, un aspecto completamente nuevo. Nos encantaría escuchar sus comentarios y con eso me despediré, amigos. Puedes enviarme un correo electrónico. De lo contrario, te alcanzaremos la próxima semana. Tenemos siete webcasts en las próximas cinco semanas o algo así. Vamos a estar ocupados Y estaremos en la Conferencia Strata y en la Cumbre de analistas de IBM en Nueva York a finales de este mes. Así que si estás por allí, pasa y saluda. Ten cuidado, amigos. Adiós.