Od zamestnancov Techopedia, 14. septembra 2016
Take away : Host Eric Kavanagh diskutuje o audite databázy a o súlade s analytikmi Robinom Bloorom a Dezom Blanchfieldom, ako aj s Bullett Manale z IDERA v tejto epizóde Hot Technologies.
Momentálne nie ste prihlásení. Ak chcete vidieť video, prihláste sa alebo sa zaregistrujte.
Eric Kavanagh: Dámy a páni, ahoj, vitajte opäť v Hot Technologies! Áno, v roku 2016. Sme v treťom roku tejto výstavy, je to veľmi vzrušujúce. Tento rok sme húpali a kývali. Toto je Eric Kavanagh, váš hostiteľ. Téma pre dnešok - je to skvelá téma, má veľa aplikácií v celom rade priemyselných odvetví, úprimne povedané - „Kto, čo, kde a ako: Prečo chcete vedieť.“ Áno, skutočne budeme hovoriť o všetkých tých zábavných veciach. Je tu nejaká snímka o vás, zasiahla ma na Twitteri @eric_kavanagh. Snažím sa znova tweetovať všetky zmienky a znova tweetovať všetko, čo mi niekto pošle. V opačnom prípade to tak bude.
Je skutočne horúco! Celá show je určená na pomoc organizáciám a jednotlivcom porozumieť konkrétnym druhom technológie. Celý program, Hot Technologies, sme navrhli ako spôsob definovania konkrétneho druhu softvéru alebo konkrétneho trendu alebo konkrétneho druhu technológie. Dôvod je ten, že úprimne povedané, v softvérovom svete často dostávate tieto marketingové výrazy, ktoré sa obťažujú, a niekedy môžu úprimne bastardizovať pojmy, ktoré mali v úmysle opísať.
Na tejto výstave sa vám skutočne snažíme pomôcť pochopiť, čo je to konkrétny druh technológie, ako to funguje, kedy ju môžete používať, kedy ju možno nemáte používať, a poskytneme vám čo najviac podrobností. Dnes budeme mať troch moderátorov: náš vlastný Robin Bloor, hlavný analytik tu v skupine Bloor; náš vedec údajov, ktorý sa volá z austrálskeho Sydney na druhej strane planéty, Dez Blanchfield a jeden z našich obľúbených hostí Bullett Manale, riaditeľ obchodného inžinierstva v spoločnosti IDERA.
Poviem tu len pár vecí, pochopím, kto robí čo s akým údajom, no to je niečo ako správa, nie? Ak premýšľate o všetkých nariadeniach týkajúcich sa priemyselných odvetví, ako sú zdravotná starostlivosť a finančné služby, v týchto oblastiach, tieto veci sú nesmierne dôležité. Musíte napríklad vedieť, kto sa dotkol informácií, kto niečo zmenil, kto k nim pristupoval, kto ich nahral. Aká je línia, aká je prozreteľnosť týchto údajov? Môžete si byť istí, že všetky tieto problémy zostanú v nadchádzajúcich rokoch významné z rôznych dôvodov. Nielen pre dodržiavanie predpisov, aj keď HIPAA, Sarbanes-Oxley a Dodd-Frank, a všetky tieto nariadenia sú veľmi dôležité, ale tiež len preto, aby ste vo svojom podnikaní pochopili, kto robí čo, kde, kedy, prečo a ako. Toto je dobrá vec, budeme venovať pozornosť.
Choďte do toho, odneste to, Robin Bloor.
Robin Bloor: Dobre, ďakujem za úvod, Eric. Myslím si, že táto oblasť správy vecí verejných nie je slovo, ktoré ste počuli až po roku 2000. Stalo sa to predovšetkým preto, že si myslím, že sa to stalo predovšetkým preto, že sa tu konalo právne predpisy o dodržiavaní predpisov. Najmä HIPAA a Sarbanes-Oxley. Je toho skutočne veľa. Organizácie si preto uvedomili, že musia mať súbor pravidiel a súbor postupov, pretože podľa zákona to bolo potrebné. Už dávno, najmä v bankovom sektore, ste museli nasledovať rôzne iniciatívy, v závislosti od toho, aký druh banky ste boli, a najmä od medzinárodných bankárov. Celá zhoda z Bazileja začala ešte pred týmto konkrétnym súborom iniciatív po roku 2000. Všetko sa skutočne týka riadenia. Myslel som si, že budem hovoriť o predmete správy vecí verejných ako úvod k zameraniu pozornosti toho, kto získava údaje.
Spravovanie údajov, obzeral som sa, myslím asi pred piatimi alebo šiestimi rokmi, rozhliadam sa po definíciách a nebolo to vôbec dobre definované. Je to jasnejšie a jasnejšie, čo to vlastne znamená. Realita situácie spočívala v tom, že v rámci určitých limitov sa všetky údaje v skutočnosti predtým riadili, ale neexistovali pre ne formálne pravidlá. Obzvlášť v bankovom priemysle boli stanovené špeciálne pravidlá na vykonávanie takýchto činností, ale opäť to bolo viac o dodržiavaní predpisov. Tak či onak, čo dokazuje, že ste skutočne - je to druh rizika, takže dokazuje, že ste boli životaschopnou bankou.
Ak sa teraz pozriete na výzvu v oblasti správy vecí verejných, začína to skutočnosťou, že ide o veľké množstvo údajov. Máme čoraz viac zdrojov údajov. S tým samozrejme súvisí aj objem údajov. Najmä sme začali robiť veľa, oveľa, viac s neštruktúrovanými údajmi. Začalo sa to stať súčasťou celej analytickej hry. A z dôvodu analýzy sú dôležité údaje o pôvode a počtoch línií. Naozaj, z hľadiska používania analytických údajov akýmkoľvek spôsobom súvisiacim s akýmkoľvek druhom dodržiavania predpisov, naozaj musíte vedieť, odkiaľ údaje pochádzajú a ako to musí byť.
Šifrovanie údajov sa začalo stávať problémom, stalo sa väčším problémom, hneď ako sme šli do spoločnosti Hadoop, pretože myšlienka dátového jazera, v ktorom ukladáme veľa údajov, zrazu znamená, že máte obrovskú oblasť zraniteľnosti ľudí, ktorí sa môžu dostať V tom. Šifrovanie údajov sa stalo oveľa výraznejším. Autentifikácia bola vždy problémom. V staršom prostredí, striktne mainframovom prostredí, mali takú úžasnú ochranu obvodu; autentifikácia nebola nikdy problémom. Neskôr sa to stalo väčším problémom a teraz je to oveľa väčší problém, pretože máme také nesmierne distribuované prostredia. Monitorovanie prístupu k údajom, ktoré sa stalo problémom. Zdá sa mi, že si pamätám rôzne nástroje, ktoré vznikli asi pred desiatimi rokmi. Myslím si, že väčšinu z nich viedli iniciatívy na dosiahnutie súladu. Preto máme tiež všetky pravidlá dodržiavania predpisov, nahlasovanie zhody.
To, čo ma napadne, je to, že už v 90. rokoch, keď ste robili klinické skúšky vo farmaceutickom priemysle, ste nielen dokázali dokázať, odkiaľ údaje pochádzajú - samozrejme je to veľmi dôležité, ak sa snažíte aby ste vedeli, kto je skúšaný a aké kontextové údaje sú v ňom obsiahnuté - museli ste byť schopní vykonať audit softvéru, ktorý tieto údaje skutočne vytvoril. Je to najzávažnejšia časť dodržiavania, akú som kedy videla, pokiaľ ide o preukázanie toho, že veci vlastne neplánujete úmyselne alebo náhodne. V nedávnej dobe sa problémom stala najmä správa životného cyklu údajov. Všetky tieto výzvy sú výzvou, pretože mnohé z nich sa nedosiahli dobre. Za mnohých okolností je potrebné ich vykonať.
Tomu hovorím dátová pyramída. Už som o tom predtým hovoril. Považujem to za veľmi zaujímavý spôsob, ako sa na veci pozerať. Môžete si myslieť, že dáta majú vrstvy. Nespracované údaje, ak sa vám páčia, sú skutočne iba signály alebo merania, záznamy, udalosti, väčšinou väčšinou jednotlivé záznamy. Transakcie, výpočty a agregácie samozrejme vytvárajú nové údaje. Môže sa o nich uvažovať na úrovni údajov. Akonáhle sa údaje skutočne spoja, stanú sa informáciami. Je to užitočnejšie, ale samozrejme stáva sa zraniteľnejšie pre ľudí, ktorí ho hackujú alebo zneužívajú. Definujem, že ako sa vytvára, v skutočnosti prostredníctvom štruktúrovania údajov, je možné vizualizovať údaje, ktoré obsahujú slovníky, schémy, ontológie informácií. Tieto dve spodné vrstvy sú tým, čo spracúvame rovnakým spôsobom. Nad tým hovorím úroveň znalostí pozostávajúca z pravidiel, politík, usmernení, postupov. Niektoré z nich môžu byť v skutočnosti vytvorené poznatkami objavenými v analytike. Veľa z nich sú v skutočnosti pravidlá, ktoré musíte dodržiavať. Toto je vrstva riadenia, ak sa vám páči. V takom prípade, ak táto vrstva nie je správne obsadená, potom dve vrstvy uvedené nižšie nie sú spravované. Posledným bodom je pochopenie niečoho, čo býva iba u ľudí. Počítačom sa to ešte našťastie nepodarilo. Inak by som bol bez práce.
Ríši v oblasti správy vecí verejných - tak trochu to dokážem, myslím, že to muselo byť asi pred deviatimi mesiacmi, možno omnoho skôr. V podstate som to trochu vylepšil, ale hneď ako sme sa začali zaujímať o správu vecí verejných, potom z hľadiska podnikového dátového centra neexistoval iba zásobník údajov, zdroje dátových jazier, ale aj všeobecné servery rôznych druhov, špecializované dátové servery. To všetko sa muselo riadiť. Keď ste sa skutočne pozreli aj na rôzne dimenzie - bezpečnosť údajov, čistenie údajov, zisťovanie metadát a správa metadát, vytvorenie obchodného slovníka, mapovanie údajov, počet riadkov údajov, riadenie životného cyklu údajov - potom riadenie monitorovania výkonu, riadenie úrovne služieb, správa systému, ktorú možno s vlastnou správou nemusíte spájať, ale s istotou - teraz, keď ideme do rýchlejších a rýchlejších svetov s väčším počtom ďalších tokov údajov, je skutočne nevyhnutné urobiť niečo s konkrétnym výkonom a sa stáva skôr prevádzkovým poriadkom než čímkoľvek iným.
Po zhrnutí, čo sa týka rastu dodržiavania predpisov, som sledoval, ako sa to deje po mnoho, mnoho rokov, ale všeobecná ochrana údajov skutočne nastala v 90. rokoch v Európe. Odvtedy to bolo viac a sofistikovanejšie. Potom sa začali všetky tieto veci zavádzať alebo prepracovávať. GRC, to je riziko riadenia a dodržiavanie predpisov, prebieha už od čias, keď banky urobili Basel. ISO vytvára normy pre rôzne druhy operácií. Po celú dobu viem, že som bol v IT - je to už dlho - vláda USA bola obzvlášť aktívna pri tvorbe rôznych právnych predpisov: SOX, sú tu Gramm-Leach-Bliley, HIPAA, FISMA, FERPA. Máte tiež úžasnú organizáciu NIST, ktorá vytvára mnoho užitočných štandardov, najmä bezpečnostných štandardov. Zákony o ochrane údajov v Európe majú miestne rozdiely. Napríklad to, čo s osobnými údajmi môžete robiť v Nemecku, je iné ako to, čo môžete robiť v Slovenskej republike alebo Slovinsku alebo kdekoľvek inde. Predstavili sa nedávno - a ja som si myslel, že to spomeniem, pretože sa mi zdá zábavné - Európa zavádza myšlienku práva byť zabudnutý. To znamená, že by malo existovať ustanovenie o obmedzeniach údajov, ktoré sú verejné a ktoré sú vlastne osobnými údajmi. Myslím, že je to veselé. Z pohľadu IT to bude veľmi, veľmi ťažké, ak sa to stane účinnou legislatívou. V skratke by som povedal toto: Pretože sa údaje a správa IT rýchlo vyvíjajú, musí sa správa rýchlo rozvíjať a týka sa všetkých oblastí správy.
Po tom, čo som povedal, že dám loptu do Dez.
Eric Kavanagh: Áno, naozaj, tak Dez Blanchfield, zober to. Robin, som s vami, chlape, chcem vidieť, ako sa toto právo na zabudnutie hrá. Myslím si, že to nebude len náročné, ale v podstate nemožné. Je to iba porušenie čakania na vykonanie zo strany vládnych agentúr. Dez, zober to.
Dez Blanchfield: Je to a je to téma pre ďalšiu diskusiu. Máme tu veľmi podobnú výzvu v Ázii a Tichomorí, a najmä v Austrálii, kde sú dopravcovia a poskytovatelia internetových služieb povinní zaznamenávať všetko, čo súvisí s internetom, a byť schopní ich zaznamenať a opätovne zaregistrovať v prípade, že niekto, kto prejaví záujem, urobí niečo zle. Je to zákon, ktorý musíte dodržiavať. Výzvou, rovnako ako niekto v Google v USA, by mohol byť vyzvaný na vymazanie mojej histórie vyhľadávania alebo čokoľvek, môže to byť v súlade s európskymi zákonmi, najmä nemeckými zákonmi o ochrane súkromia. Ak sa v Austrálii chce agentúra pozerať do vás, dopravca musí byť schopný poskytnúť podrobnosti o uskutočnených hovoroch a histórii vyhľadávania, čo je náročné, ale je to svet, v ktorom žijeme. Existuje veľa dôvodov. Dovoľte mi len skočiť do bane.
Zámerne som sťažil čítanie svojej titulnej stránky. Na tento text sa musíte skutočne dôkladne pozrieť. Súlad s pravidlami, špecifikáciami, ovládacími prvkami, politikami, normami alebo zákonmi, s hlúpym, chaotickým pozadím. Je to preto, že sa na to musíte skutočne pozrieť, aby ste získali detail a vytrhli informácie z toho, čo je prekryté, čo je séria tabuliek a riadkov a stĺpcov, buď databázy, schémy alebo makety v aplikácii Visio. To je to, ako sa cíti dodržiavanie predpisov zo dňa na deň. Je dosť ťažké ponoriť sa do detailov a vytiahnuť príslušné kúsky informácií, ktoré potrebujete, aby ste mohli potvrdiť, že ste v súlade. Podajte správu, monitorujte ju a otestujte ju.
V skutočnosti som si myslel, že je to skutočne dobrý spôsob, ako si to predstaviť, keď si kladieme otázku: „Ste v súlade?“ "Si si istý?" "Dobre, dokáz to!" Je tu naozaj zábavná vec, ktorá je možno trochu viac anglo-keltská, ale som si istý, že sa dostala do celého sveta do USA, takže je to: „Kde je Wally?“ Wally je malá postavička, ktorá sa dostáva do týchto kreslených kresieb vo forme kníh. Zvyčajne obrázky vo veľkom meradle A3 alebo väčšie. Takže, tabuľky veľkosti výkresov. Je to malý znak, ktorý nosí čiapku a červeno-biele pruhované tričko. Myšlienkou hry je pozerať sa na tento obrázok a rozhliadať sa v kruhoch, aby ste našli Wally. Je niekde na tom obrázku. Keď premýšľate o tom, ako objaviť a opísať a podať správu o zhode, v mnohých ohľadoch je to ako hrať „Kde je Wally.“ Ak sa pozriete na tento obrázok, je takmer nemožné nájsť postavu. Deti na tom trávia hodiny a včera som si to užil veľa zábavy. Keď sa na to pozrieme, v týchto karikatúrach nájdeme veľa ľudí, ktorí tam úmyselne umiestnia podobné kusy odevu Wally z prúžkovanej čiapky a dresu alebo z vlnenej pokrývky. Ale oni sa stali falošnými pozitívami.
Toto je podobná výzva ako pri dodržiavaní právnych predpisov. Keď sa pozeráme na veci, niekedy si myslíme, že je to tak, vôbec nie. Niekto by mohol mať prístup k databáze a mali by mať tento prístup k databáze, ale spôsob, akým ho používajú, sa mierne líši od toho, čo očakávame. Môžeme sa rozhodnúť, že na to sa musíme pozrieť. Keď sa na to pozrieme, zistíme, že je to skutočne platný používateľ. Robia len niečo bizarné. Možno je to výskumník v oblasti PC alebo kto vie. V iných prípadoch to môže byť naopak. Realita, keď idem znova vpred, je tu Wally. Ak ste v tomto vysokom rozlíšení vyzerali naozaj tvrdo, je tu jedna postava, ktorá skutočne nosí správny odev. Všetci ostatní sú len vyhliadkové a podobné. Dodržiavanie sa cíti veľmi podobne. Väčšina ľudí, ktorých poznám, pracujú v oblasti kontroly a dodržiavania predpisov a politiky v podnikoch. V celej rade oblastí, či už ide o technológiu, či už ide o financie alebo prevádzku, alebo o riziká. Často je veľmi ťažké vidieť Wally na obrázku, uvidíte stromy alebo drevo.
Otázka, ktorú si kladieme, keď premýšľame o veciach, ako sú dodržiavanie predpisov, znie: „Veľký problém, čo by sa mohlo pokaziť, ak by sme dodržiavanie nedodržali úplne?“ V súvislosti s dnešnou diskusiou, konkrétne v súvislosti s databázou a kontrolou prístupu k údajom, vám ukážem veľmi reálne príklady budiaceho hovoru, čo sa môže vo veľmi krátkej stručnej forme pokaziť. Ak myslíme na narušenie údajov a všetci vieme, že došlo k porušeniu údajov, počujeme ich v médiách a my sa zastavíme a smejeme sa, pretože si ľudia myslia, že ide o trhy. Sú to osobné veci. Je to Ashley Madison a ľudia, ktorí chcú získať rande mimo svojich vzťahov a manželstiev. Je to hádzanie účtov. Sú to všetky tieto podivné veci alebo nejaký náhodný európsky alebo ruský poskytovateľ internetových služieb alebo hostiteľská spoločnosť je hacknutý. Keď sa pozrieme na veci ako MySpace a týchto desať najlepších, keď sa pozriete na tieto čísla, chcem, aby ste si uvedomili toto: 1, 1 miliardy ľudí v týchto desiatich prípadoch porušenia. A áno, prekrývajú sa pravdepodobne ľudia, ktorí majú účet MySpace a Dropbox a Tumblr, ale zaokrúhlime ho na miliardu ľudí.
Týchto desať najväčších porušení za posledných desať rokov - a to ani desať rokov, vo väčšine prípadov - predstavuje približne jednu sedminu svetovej populácie ľudí, ale realistickejšie je, že približne 50 percent z celkového počtu ľudí je spojených s internet, viac ako miliarda jednotlivcov. Deje sa tak preto, lebo v niektorých prípadoch neboli dodržané podmienky. Vo väčšine prípadov išlo o kontrolu prístupu k databáze, kontrolu prístupu k určitým súborom údajov a systémom a sieťam. Toto je strašidelná kontrola reality. Ak vás to nezľakne, keď sa pozriete na prvú desiatku a vidíte, že toto je - alebo vidíte, že je to miliarda jednotlivcov, skutočných ľudských bytostí, ako sme my, v tejto výzve práve teraz. Ak máte účet LinkedIn, ak ste mali účet Dropbox alebo účet Tumblr, alebo ste si kúpili produkty spoločnosti Adobe alebo si dokonca stiahli bezplatný prehliadač Adobe, stiahnite si ho. Je úplne pravdepodobné, že nie je možné, je úplne pravdepodobné, že vaše údaje, vaše meno, priezvisko, vaša e-mailová adresa, prípadne aj adresa vašej pracovnej spoločnosti alebo vaša domáca adresa alebo vaša kreditná karta, sú skutočne k dispozícii z dôvodu porušenia ktoré sa uskutočnili z dôvodu kontrol, ktoré sa nemuseli nevyhnutne spravovať vo forme správy údajov, správy údajov.
Poďme sa na to pozrieť, keď sa na to pozrieme v skutočných detailoch. Je ich jedna obrazovka, je tam asi 50-niečo. Je tu ďalších 15. Je tu ďalších 25. Jedná sa o porušenia údajov, ktoré sú uvedené na webovej stránke s názvom haveibeenpwned.com. To by sa mohlo pokaziť, ak nie je správne spravované niečo jednoduchého, ako napríklad kontrola toho, kto má prístup k údajom v databázach v rôznych poliach a riadkoch a stĺpcoch a rôznych aplikáciách vo vašej firme. Tieto organizácie sa teraz riadia údajmi. Väčšina údajov žije v databáze nejakou formou. Keď o tom premýšľate, tento zoznam porušení, na ktorý sme sa práve pozerali, a dúfajme, že vám dá trochu studenej sprchy v tom zmysle, že ste si mysleli „Hmm, to je veľmi skutočné“ a potenciálne vás to ovplyvnilo. V roku 2012, napríklad v prípade porušenia LinkedIn, má väčšina profesionálov v súčasnosti účet LinkedIn a je pravdepodobné, že sa stratia vaše údaje. Na internete sú už od roku 2012. O tom sme sa dozvedeli až v roku 2016. Čo sa s vami stalo za tie štyri roky? Je to zaujímavé a môžeme o tom hovoriť samostatne.
Správa databáz a systémov - často hovorím o tom, čo považujem za päť najdôležitejších problémov pri riadení týchto vecí. Úplne na vrchole a hodnotím ich podľa poradia preferencie odo mňa, ale tiež podľa poradia dopadu, číslo jedna je bezpečnosť a súlad. Kontroly a mechanizmy a politiky týkajúce sa kontroly, kto má aký prístup k akému systému, z akého dôvodu a účelu. Podávanie správ o tomto postupe a jeho monitorovanie, skúmanie systémov, prehľadávanie databáz a zisťovanie, kto môže skutočne získať prístup k záznamom, jednotlivým poliam a záznamom.
Premýšľajte o tom veľmi jednoduchou formou. Ako jeden príklad si povedzme o bankovníctve a správe majetku. Keď sa zaregistrujete na bankový účet, povedzme obyčajne hotovostný účet pre kartu EFTPOS alebo hotovostný účet alebo bežný účet. Vyplníte formulár a v tomto papieri je veľa veľmi súkromných informácií, ktoré vyplníte alebo urobíte online a ktoré prechádzajú do počítačového systému. Ak vás chce niekto v oblasti marketingu kontaktovať a poslať vám brožúru, malo by sa mu umožniť, aby videli vaše meno, priezvisko a vašu osobnú adresu, napríklad vaše telefónne číslo a prípadne vaše telefónne číslo, ak vás chce za studena zavolať a niečo ti predám. Pravdepodobne by nemali vidieť celkové množstvo peňazí, ktoré máte v banke, z mnohých dôvodov. Ak sa na vás niekto pozerá z rizikového hľadiska alebo sa vás snaží pomôcť urobiť niečo, ako získať na svojom účte lepšie úrokové sadzby, pravdepodobne chce daná osoba zistiť, koľko peňazí máte v banke, aby mohli ponúknuť vám primeranú úroveň úrokovej návratnosti vašich peňazí. Títo dvaja jednotlivci majú veľmi odlišné úlohy a veľmi odlišné dôvody pre tieto úlohy a ich účel. V dôsledku toho musíte vo svojom zázname vidieť rôzne informácie, ale nie všetky záznamy.
Tieto ovládacie prvky sa týkajú rôznych hlásení o obvyklých obrazovkách alebo formulároch, ktoré majú v aplikáciách používaných na správu účtu. Vývoj pre tých, ich údržba, ich správa, podávanie správ o nich a riadenie a dodržiavanie predpisov okolo tých, ako sú bublinky, sú veľmi veľkou výzvou. To je len výzva číslo jedna pri správe údajov a systémov. Keď dôjdeme hlbšie dole na tento výkon, sledovanie a detekciu a reakciu na incidenty, správu a správu systému a dodržiavanie predpisov, návrh a vývoj systémov na základe súladu, bude to oveľa ťažšie.
Riadenie celého problému znižovania rizík a zvyšovania bezpečnosti. Mojich prvých päť výziev v tomto priestore - a páči sa mi snímka, ktorá sa spája s colným pultom, keď vstupujete do krajiny - predložia váš pas a skontrolujú vás a pozerajú sa na svoj počítačový systém, aby zistili, či by ste mali prejsť alebo nie. Ak by ste to nemali, umiestnili vás na ďalšie lietadlo späť domov. V opačnom prípade vás vrátia späť a pýtajú sa vás napríklad: „Chodíte na dovolenku? Ste tu turista? Ste tu za prácou? Aký druh práce sa chystáte navštíviť? "Ako dlho hľadáte? Máte dosť peňazí na pokrytie svojich výdavkov a výdavkov? Alebo sa stanete rizikom pre krajinu, v ktorej sa nachádzate, a možno sa budú musieť postarať o vás a nakŕmiť?"
V tomto priestore údajov sa vyskytujú problémy so správou ochrany údajov. Napríklad v databázovom priestore musíme myslieť na zmiernenie obtokov databázy. Ak sú údaje v databáze, v normálnom prostredí a okolo systému a ovládacích prvkov. Čo sa stane, ak sa výpis údajov vytvorí vo viac SQL a zálohuje sa na pásku? Databázy sa ukladajú v surovej podobe a niekedy sa zálohujú. Niekedy sa to robí z technických dôvodov, z dôvodov rozvoja. Povedzme, že došlo k výpisu DB a je zálohovaná na pásku. Čo sa stane, ak náhodou položím pásku na pásku a obnovím ju? A mám surovú kópiu databázy v SQL. Je to súbor MP, je to text, môžem ho prečítať. Všetky heslá, ktoré sú uložené na tomto výpise, nado mnou nemajú kontrolu, pretože teraz získam prístup k aktuálnemu obsahu databázy bez toho, aby ho databázový stroj chránil. Takže môžem technicky obísť bezpečnosť databázovej platformy, ktorá je zabudovaná do motora, s dodržiavaním predpisov a riadenia rizík, aby som sa zastavil pri pohľade na údaje. Pretože potenciálne vývojár, správca systému, mám ruky na úplnom výpise databázy, ktorý by sa mal použiť na zálohovanie.
Zneužitie údajov - potenciálne prinútiť niekoho, aby sa prihlásil ako svoj zvýšený účet, a nechal ma sedieť pri obrazovke, hľadať informácie alebo podobné veci. Vlastné audity, prístupu a použitia údajov a prezerania údajov alebo zmien údajov. Potom sa vyžaduje podávanie správ o tejto kontrole a dodržiavaní predpisov. Monitorovanie prenosu a prístupu a tak ďalej, blokovanie hrozieb, ktoré pochádzajú z externých umiestnení a serverov. Napríklad, ak sú údaje prezentované prostredníctvom formulára na webovej stránke na internete, boli ich injekcie SQL chránené pomocou brány firewall a kontroly koncepcie? Za tým stojí dlhý podrobný príbeh. Tu vidíte, že len niektoré z týchto absolútne základných vecí, o ktorých uvažujeme pri zmierňovaní a riadení rizika okolo údajov v databázach. V skutočnosti je relatívne ľahké niektoré z nich obísť, ak ste na rôznych úrovniach technológií. Úloha sa stáva ťažšou a ťažšou, keď získavate čoraz viac údajov a viac databáz. Čoraz náročnejšie na ľudí, ktorí musia systémy spravovať a monitorovať ich používanie, sledovať relevantné podrobnosti, ktoré sa špecificky týkajú vecí, o ktorých Robin hovoril, okolo vecí, ako je napríklad osobné dodržiavanie predpisov. Jednotlivci majú okolo seba ovládacie prvky a mechanizmy, ktoré ich dodržiavajú - ak urobíte niečo zle, môžete byť prepustený. Ak sa prihlásim ako môj účet, vidím to, malo by ísť o priestupok. Teraz som vám dal prístup k údajom, ktoré ste nemali normálne vidieť.
Je tu osobný súlad, súlad s pravidlami spoločnosti, spoločnosti majú pravidlá a pravidlá a kontroly, ktoré si sami stanovili, aby spoločnosť fungovala dobre a poskytla návratnosť zisku a dobrú návratnosť pre investorov a akcionárov. Ako ste povedali americké zákony a zákony, potom sú často mestské alebo celoštátne alebo národné, federálne. Potom sú globálne. Niektoré z väčších incidentov na svete, kde sa páči Sarbanes-Oxley, dvaja jednotlivci, ktorí sú požiadaní, aby prišli so spôsobmi ochrany údajov a systémov. V Európe existuje Bazilej a v Austrálii existuje celá škála kontrol, najmä okolo burzových a kreditných platforiem a ochrany osobných údajov na úrovni jednotlivcov alebo spoločností. Keď je každý z nich naskladaný tak, ako ste videli na jednom z miest, ktoré mal Robin, stali sa takmer takmer nemožnou horou na lezenie. Náklady sa zvyšujú a my sme v bode, keď pôvodný tradičný prístup, ktorý poznáte, rovnako ako kontrola merania ľudských bytostí, už nie je vhodným prístupom, pretože stupnica je príliš veľká.
Máme scenár, v ktorom dodržiavanie je to, čomu teraz hovorím vždy problém. A to je to, že sme mali potenciálne časový bod, či už mesačne, štvrťročne alebo ročne, kde by sme preskúmali náš národ a pomohli sme s dodržiavaním a kontrolou. Zabezpečiť, aby niektorí ľudia mali určitý prístup a nemali určitý prístup v závislosti od toho, aké sú ich povolenia. Teraz ide o rýchlosť vecí, s ktorými sa veci pohybujú, tempo, v ktorom sa veci menia, rozsah, v ktorom pracujeme. Dodržiavanie právnych predpisov je vždy problémom a globálna finančná kríza bola iba jedným z príkladov, kde by sa prostredníctvom príslušných kontrol a opatrení v oblasti bezpečnosti a dodržiavania predpisov mohlo potenciálne vyhnúť scenáru, v ktorom by sme mali určité správanie, ktorým by sa riadil nákladný vlak. Iba vytvorenie situácie s celým svetom s účinným vedomím, že dôjde k rozpadnutiu a bankrotu. Na to potrebujeme správne nástroje. Hádzanie ľudí do vlaku, hádzanie tela už nie je platný prístup, pretože stupnica je príliš veľká a veci sa pohybujú príliš rýchlo. Myslím si, že dnešná diskusia sa týka typov nástrojov, ktoré sa v tejto súvislosti použijú. Mali by sme to urobiť najmä nástroje, ktoré nám spoločnosť IDERA môže poskytnúť. A vzhľadom na to idem Bullettovi prejsť jeho materiálom a ukázať nám ich prístup a nástroje, ktoré musia vyriešiť tento problém, ktorý sme vám teraz predložili.
S tým, Bullett, vám dám ruku.
Bullett Manale: Znie to skvele, ďakujem. Chcem hovoriť o niekoľkých snímkach a tiež vám chcem ukázať produkt, ktorý používame osobitne pre databázy SQL Server, aby sme pomohli vyriešiť situácie v oblasti dodržiavania predpisov. Naozaj, v mnohých prípadoch je to výzva - niekoľko z nich preskočím - toto je len naše portfólio produktov, ktoré prejdem dosť rýchlo. Pokiaľ ide o to, kde sa tento produkt bude zaoberať a ako súvisí s dodržiavaním predpisov, vždy to vytiahnem ako prvý snímok, pretože je to druh generického výrazu: „Hej, za čo zodpovedá spoločnosť DBA?“ Jedna z vecí je kontrola a monitorovanie prístupu užívateľov a tiež schopnosť vytvárať správy. To sa bude spájať s tým, keď hovoríte s audítorom, aké ťažké môže byť tento proces, sa bude líšiť v závislosti od toho, či to urobíte sami alebo či použijete tretiu stranu. nástroj na pomoc.
Všeobecne možno povedať, že keď hovorím so správcami databáz, často sa nikdy nezúčastnili auditu. Musíte ich vzdelávať v tom, čo skutočne musíte robiť. Súvisí s tým, aký typ súladu je potrebné splniť, a je schopný dokázať, že skutočne dodržiavate pravidlá, ktoré sa vzťahujú na túto úroveň súladu. Mnoho ľudí to najskôr nedostane. Myslia si: „Och, môžem si kúpiť iba nástroj, vďaka ktorému budem vyhovovať.“ Realita je taká. Prajem si, aby som mohol povedať, že náš produkt, ktorý viete, zasiahnutím jednoduchého tlačidla, vám dal možnosť ubezpečiť sa, že ste v zhode. Realita je taká, že musíte mať svoje prostredie nastavené z hľadiska ovládacích prvkov, z hľadiska spôsobu, akým ľudia pristupujú k údajom, a všetko, čo musí byť vypracované pomocou aplikácie, ktorú máte. Ak sa citlivé údaje ukladajú, aký typ regulačných požiadaviek to je. Potom musíte tiež spolupracovať s interným kontrolórom súladu, aby ste sa uistili, že dodržiavate všetky pravidlá.
Znie to naozaj komplikovane. Ak sa pozriete na všetky regulačné požiadavky, myslíte si, že by to tak bolo, ale realita je taká, že tu existuje spoločný menovateľ. V našom prípade nástroja, ktorý vám dnes predstavím, produktu Compliance Manager, by v našej situácii bol ten proces, že v prvom rade musíme zabezpečiť, aby sme zhromažďovali údaje z audit trail kde sú údaje v databáze, ktorá je citlivá. Môžete zbierať všetko, však? Mohol by som ísť von a povedať, že chcem zhromaždiť všetky transakcie, ktoré sa dejú v tejto databáze. Realita je taká, že pravdepodobne máte iba malý zlomok alebo malé percento transakcií, ktoré skutočne súvisia s citlivými údajmi. Ak je to v súlade s PCI, bude to okolo informácií o kreditných kartách, majiteľov kreditných kariet a ich osobných údajov. Môže ísť o veľa ďalších transakcií týkajúcich sa vašej aplikácie, ktoré v skutočnosti nemajú žiadny vplyv na regulačné požiadavky PCI.
Z tohto hľadiska, prvá vec, keď hovorím s DBA, je, že poviem: „Výzvou číslo jedna nie je snaha získať nástroj na vykonanie týchto vecí za vás. Je to len vedieť, kde sú tieto citlivé údaje a ako ich zablokujeme? “Ak to máte, ak dokážete na túto otázku odpovedať, potom ste na polceste, aby ste dokázali, že ste v súlade, za predpokladu, že dodržiavate správne ovládacie prvky. Na chvíľu povedzme, že sledujete správne kontroly a audítorom ste povedali, že to tak je. Ďalšou časťou procesu je samozrejme možnosť poskytnúť audit trail, ktorý preukáže a potvrdí, že tieto kontroly skutočne fungujú. Potom sa uistite, že tieto údaje uložíte. Zvyčajne s vecami ako sú PCI a HIPAA a s týmito typmi vecí hovoríte o udržaní sedem rokov. Hovoríte o mnohých transakciách a množstve údajov.
Ak ich udržujete, zhromažďujete všetky transakcie, aj keď iba päť percent transakcií sa týka citlivých údajov, hovoríte o dosť veľkých nákladoch spojených s tým, že sa tieto údaje musia uchovávať sedem rokov. Myslím si, že to je jedna z najväčších výziev, keď sa hovorí, že to je skutočne zbytočné náklady. Je to tiež oveľa jednoduchšie, ak sa môžeme sústrediť iba na citlivé oblasti v databáze. Okrem toho budete tiež chcieť ovládať aj niektoré citlivé informácie. Nielen, že sa ukážu v súvislosti s kontrolným záznamom, ale aj schopnosť spojiť veci s činmi, ktoré sa dejú, a byť informovaný v reálnom čase, aby ste sa o tom mohli dozvedieť.
Príklad, ktorý vždy používam, a nemusí to nevyhnutne súvisieť s akýmkoľvek typom regulačných požiadaviek, ale len s možnosťou sledovať, napríklad niekto musel vynechať tabuľku súvisiacu so mzdou. Ak k tomu dôjde, spôsob, akým sa o tom dozviete, ak to nesledujete, nikto nedostane zaplatené. Je príliš neskoro. Chcete vedieť, kedy bude táto tabuľka upustená, hneď ako dôjde k jej pádu, aby ste predišli akýmkoľvek zlým veciam, ktoré sa stanú v dôsledku toho, že nejaký nespokojný zamestnanec ide a odstráni tabuľku, ktorá je priamo spojená so mzdou.
Trik spočíva v tom, že nájde spoločného menovateľa alebo pomocou tohto spoločného menovateľa zmapuje úroveň súladu. To je niečo, čo sa snažíme s týmto nástrojom robiť. V zásade používame prístup, nebudeme vám zobrazovať správu špecifickú pre PCI, špecifickú pre zásoby; spoločným menovateľom je aplikácia, ktorá používa SQL Server na ukladanie citlivých údajov v databáze. Akonáhle sa tak trochu dostanete, poviete: „Áno, to je skutočne to hlavné, na čo sa musíme zamerať - kde sú tieto citlivé údaje a ako sa k nim pristupuje?“ Akonáhle to budete mať, je tu veľa správ, ktoré ponúkame, ktoré môžu poskytnúť tento dôkaz, budete v súlade.
Vráťte sa k otázkam, ktoré položil audítor, a prvá otázka bude: Kto má prístup k údajom a ako získava prístup? Môžete dokázať, že správni ľudia majú prístup k údajom a že zlí ľudia nie? Môžete tiež dokázať, že audit trail sám osebe môže veriť ako nemenný zdroj informácií? Ak vám poskytujem audítorský záznam, ktorý je vyrobený, v skutočnosti mi nie je ako audítora nápomocný opraviť váš audit, ak sú informácie spracované. Potrebujeme o tom dôkaz, zvyčajne z hľadiska auditu.
Prechádzam si týmito otázkami, trochu podrobnejšie. Výzvou pre prvú otázku je, ako som povedal, vedieť, kde sú citlivé údaje, aby ste mohli informovať o tom, kto k nim má prístup. To je zvyčajne nejaký druh objavu a naozaj máte tisíce rôznych aplikácií, ktoré sú tam, máte veľa rôznych regulačných požiadaviek. Vo väčšine prípadov chcete spolupracovať s úradníkom zodpovedným za dodržiavanie predpisov, ak ho máte, alebo aspoň s niekým, kto by mal nejaké ďalšie informácie o tom, kde sa moje citlivé údaje nachádzajú v aplikácii. Máme nástroj, ktorý máme, je to bezplatný nástroj, ktorý sa nazýva SQL Column Search. Našim potenciálnym zákazníkom a používateľom, ktorí sa zaujímajú o túto otázku, hovoríme, že si ju môžu stiahnuť. Čo urobí, je to, že v zásade vyhľadá informácie v databáze, ktoré budú pravdepodobne citlivé.
A potom, čo to urobíte, musíte tiež pochopiť, ako ľudia k týmto údajom pristupujú. A to bude opäť, ktoré účty sú v rámci skupín Active Directory, ktorých sa zúčastňujú používatelia databáz, s tým sú spojené členstvá rolí. A samozrejme, že všetky tieto veci, o ktorých hovoríme, musia byť schválené audítorom, takže ak poviete: „Takto zablokujeme údaje, “ potom môžu prísť audítori späť a povedzte: „Dobre, robíte to zle.“ Ale povedzme, že povedia: „Áno, vyzerá to dobre. Dáta dostatočne zamknete. “
Ak prejdete na ďalšiu otázku, ktorá bude, môžete dokázať, že správni ľudia majú prístup k týmto údajom? Inými slovami im môžete povedať, že sú to vaše ovládacie prvky, jedná sa o ovládacie prvky, ktoré sledujete, ale nanešťastie audítori nie sú skutočne dôveryhodnými jednotlivcami. Chcú o tom dôkaz a chcú to vidieť v audit trail. A to sa týka celej veci spoločného menovateľa. Či už je to PCI, SOX, HIPAA, GLBA, Basel II, čokoľvek je realita, je to, že sa zvyčajne kladú rovnaké typy otázok. Objekt s citlivými informáciami, kto k nemu pristupoval za posledný mesiac? To by malo zmapovať moje kontroly a nakoniec by som mal mať možnosť prejsť auditom tým, že uvediem tieto typy správ.
A urobili sme preto, že sme zostavili asi 25 rôznych správ, ktoré sledujú rovnaké oblasti ako spoločný menovateľ. Takže nemáme správu pre PCI alebo pre HIPAA alebo pre SOX, máme správy, že opäť vystupujú proti spoločnému menovateľovi. Preto nezáleží na tom, akú regulačnú požiadavku sa snažíte splniť, vo väčšine prípadov budete schopní odpovedať na všetky otázky, ktoré vám tento audítor položí. A povedia vám, kto, čo, kedy a kde z každej transakcie. Vy viete, používateľ, kedy k transakcii došlo, samotný príkaz SQL, aplikácia, z ktorej pochádza, všetko dobré, a potom budete môcť automatizovať doručovanie týchto informácií do správ.
A potom, raz, keď sa tým prekonáte a poskytli ste to audítorovi, potom bude nasledovať ďalšia otázka. A keď hovorím, že to dokazujem, mám na mysli dokázanie, že samotný audit trail je niečo, čomu môžeme veriť. A v našom nástroji to robíme tak, že máme hodnoty hash a hodnoty CRC, ktoré sa priamo viažu na samotné udalosti v rámci auditu. Ide teda o to, že ak niekto vyjde a vymaže záznam alebo ak niekto vyjde a niečo odstráni alebo pridá do auditu alebo niečo zmení v samotnom audite, môžeme dokázať, že tieto údaje, integrita samotné údaje boli porušené. Takže ak máte uzamknutú databázu auditovacích záznamov 99, 9 percent času, nebudete sa s týmto problémom stretnúť, pretože keď vykonáme túto kontrolu integrity, audítorovi v podstate dokážeme, že samotné údaje neboli zmenené a odstránené alebo pridané od pôvodného zápisu od samotnej služby správy.
Ide teda o všeobecný prehľad o typických druhoch otázok, ktoré by ste mali položiť. Teraz sa nástroj, ktorý musíme veľa riešiť, nazýva SQL Compliance Manager a robí všetky tieto veci, pokiaľ ide o sledovanie transakcií, kto, čo, kedy a kde z transakcií, je schopný to urobiť v počet rôznych oblastí. Prihlasovanie, neúspešné prihlásenie, zmeny schémy, samozrejme prístup k údajom, výber aktivity, všetky tie veci, ktoré sa dejú v databázovom stroji. V prípade potreby sme tiež schopní upozorniť používateľov na konkrétne a veľmi podrobné podmienky. Napríklad, niekto ide a skutočne prezerá tabuľku, ktorá obsahuje všetky moje čísla kreditných kariet. Údaje nemenia, iba sa na ne pozerajú. V tejto situácii môžem varovať a môžem informovať ľudí, že sa to deje, nie o šesť hodín neskôr, keď zoškrabávame protokoly, ale v reálnom čase. V zásade je to tak dlho, ako nám trvá, kým spracujeme túto transakciu prostredníctvom služby správy.
Ako som už spomenul, videli sme, že sa to používa v rôznych regulačných požiadavkách a nie je to naozaj tak, viete, akákoľvek regulačná požiadavka, ak máte spoločné menovatele, máte citlivé údaje na serveri SQL Server. databázy, je to nástroj, ktorý by v takomto prípade pomohol. K 25 vstavaným správam je teraz skutočnosťou, že tento nástroj môžeme urobiť pre audítora dobrým a odpovedať na každú jednu otázku, ktorú položia, ale DBA sú tie, ktoré ho musia prinútiť, aby fungoval. Takže existuje aj to myslenie, viete dobre, z hľadiska údržby musíme zabezpečiť, aby SQL fungoval tak, ako chceme. Musíme tiež byť schopní vstúpiť a pozerať sa na veci, ktoré sa chystajú vydať a pozrieť sa na ďalšie informácie, viete, pokiaľ ide o archiváciu údajov, ich automatizáciu a režijné náklady. samotný produkt. Toto sú veci, ktoré samozrejme berieme do úvahy.
To vyvoláva samotnú architektúru. Takže na pravej strane obrazovky máme inštancie SQL, ktoré spravujeme, všetko od roku 2000 až po rok 2014, ktoré sa pripravuje na vydanie verzie pre rok 2016. Najväčší priestor na tejto obrazovke je, že správa server sám robí všetko ťažké zdvíhanie. Zhromažďujeme iba údaje pomocou sledovacieho rozhrania API zabudovaného so serverom SQL Server. Tieto informácie sa nachádzajú na našom serveri pre správu. Samotný server pre správu identifikuje, a ak existujú nejaké udalosti, ktoré sú spojené s akýmikoľvek typmi transakcií, ktoré nechceme, rozposielaním upozornení a takýmito vecami, a potom vyplní údaje v úložisku. Odtiaľ môžeme spúšťať prehľady, mohli by sme ísť von a skutočne vidieť tieto informácie v prehľadoch alebo dokonca v konzole aplikácie.
Takže, čo sa chystám urobiť a urobiť, je, že sa k nám dostanem skutočne rýchlo a chcem len poukázať na jednu rýchlu vec, predtým ako skočíme do produktu, práve teraz existuje odkaz na webovú stránku, alebo pri prezentácii vás zavedie k tomuto bezplatnému nástroju, ktorý som spomenul vyššie. Tento bezplatný nástroj je, ako som už povedal, ide ísť von a pozrieť sa do databázy a pokúsiť sa nájsť oblasti, ktoré vyzerajú ako citlivé údaje, čísla sociálneho zabezpečenia, čísla kreditných kariet, na základe názvov stĺpcov alebo tabuliek, alebo podľa toho, ako vyzerá formát údajov, a môžete si to tiež prispôsobiť, aby ste to zdôraznili.
Teraz, v našom prípade, dovoľte mi ísť ďalej a zdieľať svoju obrazovku, dajte mi jednu sekundu tu. Dobre, a tak som vás chcel vziať na prvé miesto, aby som vás dostal do samotnej aplikácie Compliance Manager a ja to veľmi rýchlo prejdem. Ale toto je aplikácia a vidíte, mám tu pár databáz a ja vám len ukážem, aké ľahké je ísť a povedať, čo hľadáte na audit. Z hľadiska zmien schémy, bezpečnostných zmien, administratívnych aktivít, DML, Select, máme k dispozícii všetky tieto možnosti, ktoré môžeme tiež filtrovať. Toto sa vracia k osvedčenému postupu, keď môžem povedať: „Túto tabuľku naozaj potrebujem, pretože obsahuje moje čísla kreditných kariet. Nepotrebujem ďalšie tabuľky, ktoré obsahujú informácie o produkte, všetky ostatné veci, ktoré nesúvisia s úrovňou zhody, ktorú sa snažím splniť. “
Máme tiež schopnosť zachytiť údaje a ukázať ich z hľadiska hodnôt polí, ktoré sa menia. V mnohých nástrojoch budete mať niečo, čo vám umožní zachytiť príkaz SQL, ukázať používateľovi, ukázať aplikácii, čas a dátum, všetko dobré. V niektorých prípadoch však samotný príkaz SQL neposkytuje dostatok informácií, aby ste mohli povedať, aká bola hodnota poľa pred uskutočnením zmeny, ako aj hodnota poľa po zmene. A v niektorých situáciách to potrebujete. Možno by som chcel sledovať napríklad informácie o dávkovaní liekov na predpis u lekára. Bolo to z 50 mg na 80 mg na 120 mg, bol by som schopný sledovať, že pomocou pred a po.
Citlivé stĺpce sú ďalšou vecou, s ktorou sa veľa stretávame, napríklad s dodržiavaním pravidiel PCI. V tejto situácii máte údaje, ktoré majú takú citlivú povahu, že keď sa na tieto informácie pozerám, nemusím ich meniť, mazať alebo pridávať, môžem spôsobiť nenapraviteľné škody. Čísla kreditných kariet, čísla sociálneho zabezpečenia, všetko dobré, čo dokážeme identifikovať citlivé stĺpce a priradiť k nim upozornenia. Ak niekto vyjde a pozrie sa na tieto informácie, budeme schopní, samozrejme, upozorniť a poslať e-mail alebo vygenerovať pascu SNMP a podobné veci.
Teraz sa v niektorých prípadoch dostanete do situácie, že by ste mohli mať výnimku. A tým myslím tým, že máte situáciu, keď máte používateľa, ktorý má užívateľské konto, ktoré by mohlo byť spojené s nejakým typom úlohy ETL, ktorá prebieha uprostred noci. Je to zdokumentovaný proces a ja jednoducho nemusím uvádzať tieto transakčné informácie pre tento používateľský účet. V takom prípade by sme mali dôveryhodného používateľa. A potom v iných situáciách by sme použili funkciu Privileged User Auditing, ktorá je v podstate, ak mám napríklad povedzme napríklad aplikáciu a táto aplikácia už vykonáva audit používateľov, ktorí prechádzajú touto aplikáciou, to je skvelé, už mám niečo, čo sa týka môjho auditu. Ale čo sa týka vecí, ktoré sú spojené napríklad s mojimi privilegovanými používateľmi, chalani, ktorí môžu ísť do štúdia na správu serverov SQL Server, aby sa pozreli na údaje v databáze, to ich nezníži. Preto by sme mohli definovať, kto sú našimi privilegovanými používateľmi, a to buď prostredníctvom členstva v rolách, alebo prostredníctvom ich účtov Active Directory, skupín, ich autentifikovaných účtov SQL, kde si budeme môcť vybrať všetky tieto rôzne typy možností a potom sa uistite, že pre týchto privilegovaných používateľov môžeme určiť typy transakcií, ktoré nás zaujímajú o audit.
Toto sú všetky druhy rôznych možností a ja nebudem prechádzať všetkými rôznymi druhmi vecí na základe časových obmedzení tejto prezentácie. Chcem vám však ukázať, ako môžeme údaje zobraziť, a myslím si, že sa vám bude páčiť, ako to funguje, pretože to môžeme urobiť dvoma spôsobmi. Môžem to urobiť interaktívne, a tak keď hovoríme s ľuďmi, ktorí sa zaujímajú o tento nástroj, možno pre svoje vlastné vnútorné kontroly, len chcú vedieť, čo sa deje v mnohých prípadoch. Nemusia nevyhnutne prichádzať na miesto audítorov. Chcú len vedieť, „Hej, chcem ísť za touto tabuľkou a uvidíme, kto sa jej dotkol za posledný týždeň alebo minulý mesiac alebo čo by mohlo byť.“ V tomto prípade vidíte, ako rýchlo to dokážeme.
V prípade databázy zdravotnej starostlivosti mám tabuľku s názvom Patient Records. A tá tabuľka, ak by som sa mal len zoskupiť podľa predmetu, mohla by sa veľmi rýchlo začať zúžiť tam, kde hľadáme. Možno sa chcem zoskupiť podľa kategórie a potom podľa udalosti. A keď to urobím, uvidíte, ako rýchlo sa to ukáže, a tam je moja tabuľka záznamov o pacientoch. A keď sa podrobne venujem, môžeme teraz vidieť aktivitu DML, môžeme vidieť, že sme mali tisíc príloh DML, a keď otvoríme jednu z týchto transakcií, uvidíme relevantné informácie. Kto, čo, kedy, kde sa transakcia, príkaz SQL, samozrejme, skutočná aplikácia použitá na vykonanie transakcie, účet, čas a dátum.
Ak sa teraz pozriete na nasledujúcu kartu, kartu Podrobnosti, prejde to na tretiu otázku, o ktorej hovoríme, čo dokazuje, že neporušila integrita údajov. Takže v podstate každá udalosť má tajný výpočet hodnoty hash, a to sa potom vráti späť, keď vykonáme kontrolu integrity. Napríklad, ak by som mal ísť do nástroja, ísť do audítorskej ponuky a ja by som mal ísť von a povedať, poďme skontrolovať integritu úložiska, mohol by som ukázať na databázu, kde je audit trail, bude spustený prostredníctvom kontroly integrity, ktorá porovnáva tieto hodnoty hash a hodnoty CRC so skutočnými udalosťami a povie nám, že sa nenašli žiadne problémy. Inými slovami, s údajmi v audit trail neboli manipulované, pretože boli pôvodne napísané správcovskou službou. To je samozrejme jeden zo spôsobov interakcie s údajmi. Iným spôsobom by boli samotné správy. A tak vám ukážem jeden rýchly príklad správy.
A opäť, tieto správy, spôsob, akým sme s nimi prišli, sa netýkajú žiadnych typov noriem, ako sú PCI, HIPAA, SOX alebo čokoľvek podobné. Opäť je to spoločný menovateľ toho, čo robíme, a v tomto prípade, ak sa vrátime k príkladu záznamov o pacientoch, mohli by sme ísť von a povedať, v našom prípade tu hľadáme v databáze zdravotnej starostlivosti a v našom prípade sa chceme zamerať konkrétne na tú tabuľku, o ktorej vieme, že obsahuje súkromné informácie, v našom prípade týkajúce sa našich pacientov. A tak mi dovoľte, aby som zistil, či to môžem napísať tu. Budeme pokračovať a spustiť túto správu. A potom uvidíme, samozrejme, odtiaľ všetky relevantné údaje spojené s týmto objektom. A v našom prípade nás to ukazuje na mesiac. Mohli by sme sa však vrátiť o šesť mesiacov, rok, akokoľvek dlho sme údaje uchovávali.
Toto sú druhy spôsobov, ktorými by ste mohli audítorovi skutočne dokázať, že sledujete svoje kontroly. Keď to zistíte, potom je zrejmé, že je to dobrá vec, pokiaľ ide o absolvovanie auditu a schopnosť preukázať, že dodržiavate kontroly a všetko funguje.
Posledná vec, o ktorej som chcel hovoriť, je v administratívnej časti. V rámci tohto nástroja sú tiež ovládacie prvky, ktoré dokážu nastaviť ovládacie prvky tak, aby sa ubezpečili, že ak niekto robí niečo, čo by nemal robiť, môžem o tom byť informovaný. A dám vám tam niekoľko príkladov. Mám prihlasovací účet, ktorý je viazaný na službu a táto služba potrebuje zvýšené povolenia na vykonávanie svojich činností. Nechcem, aby niekto vstúpil a používal tento účet v Management Studio a potom, viete, použil ho na veci, na ktoré nebol určený. Mali by sme tu dve kritériá, ktoré by sme mohli uplatniť. Mohol by som povedať: „Pozri, skutočne nás to zaujíma, povedzme, s našou aplikáciou PeopleSoft, “ len ako príklad, dobre?
Teraz, keď som to urobil, hovorím tu, že som zvedavý na všetky prihlasovacie údaje, ktoré sú spojené s účtom, na ktorý sa chystám špecifikovať, či ide o aplikáciu, ktorá sa používa na prihlásenie pomocou tohto účtu. nie je PeopleSoft, potom to bude zvyšovanie poplachu. A samozrejme musíme zadať názov samotného účtu, takže v našom prípade povedzme tento privátny účet, pretože je privilegovaný. Teraz, keď to urobíme, keď to urobíme tu, teraz by sme mohli špecifikovať, čo by sa malo stať, keď k tomu dôjde, a pre každú jednotlivú udalosť alebo, mali by som povedať, varovanie, môžete mať samostatné oznámenie osobe, ktorá je zodpovedná za konkrétny údaj.
Napríklad, ak ide o informácie o mzdách, môže ísť o môjho riaditeľa pre ľudské zdroje. V tomto prípade, čo sa týka aplikácie PeopleSoft, bude to administrátor tejto aplikácie. Nech je to v akomkoľvek prípade. Bol by som schopný vložiť svoju e-mailovú adresu, prispôsobiť si skutočnú výstražnú správu a všetko také dobré. Opäť to všetko vedie k tomu, aby ste si mohli byť istí, že dokážete, že sledujete svoje ovládacie prvky a či tieto ovládacie prvky fungujú tak, ako sú určené. Z posledného hľadiska tu máme, len pokiaľ ide o údržbu, tieto údaje možnosť vziať do stavu offline. Môžem údaje archivovať a môžem ich naplánovať a my by sme mohli tieto veci robiť veľmi ľahko v tom zmysle, že by ste boli ako DBA skutočne schopní tento nástroj používať, nastavovať a odísť od nej Nie je veľa rúk, ktoré sa stanú, keď ich nastavíte tak, ako má byť. Ako som už povedal, myslím si, že najťažšia časť z tohto nie je nastavenie toho, čo chcete vykonať audit, ale viete, čo chcete nastaviť na vykonanie auditu.
A ako som už povedal, povaha zvieraťa s auditom, údaje musíte uchovávať sedem rokov, takže zmysel sa zameriavať len na tie oblasti, ktoré sú v prírode citlivé. Ak však chcete ísť o zhromažďovanie všetkého, určite to môžete, jednoducho sa to nepovažuje za najlepšiu prax. Z tohto hľadiska by som chcel ľuďom len pripomenúť, že ak je to niečo zaujímavé, môžete ísť na webovú stránku IDERA.com a prevziať si skúšobnú verziu a pohrať sa s ňou sami. Pokiaľ ide o bezplatný nástroj, o ktorom sme hovorili skôr, je to zadarmo, môžete si ho stiahnuť a používať navždy, bez ohľadu na to, či používate produkt Compliance Manager. A skvelá vec, ktorá sa týka tohto nástroja na vyhľadávanie stĺpcov, je, že naše zistenia, s ktorými prídete, a v skutočnosti môžem ukázať, že si myslím, že budete môcť tieto údaje exportovať a potom ich importovať do nástroja Compliance Manager. tiež. Nevidím to, viem, že je to tu, tam to je. Toto je len príklad toho. Tu nájde súvisiace citlivé údaje.
Teraz tento prípad som vyšiel a skutočne sa na všetko pozriem, ale máte len veľa vecí, ktoré môžeme skontrolovať. Čísla kreditných kariet, adresy, mená, všetko podobné. A my zistíme, kde je v databáze, a odtiaľ sa môžete rozhodnúť, či skutočne chcete tieto informácie skontrolovať. Určite je to však spôsob, ako pre vás oveľa ľahšie definovať rozsah auditu, keď hľadáte podobný nástroj.
Budem s tým len pokračovať a uzavriem ho a pošlem ho späť Ericovi.
Eric Kavanagh: To je fantastická prezentácia. Páči sa mi, ako sa tam naozaj dostanete do odvážnych detailov a ukážem nám, čo sa deje. Pretože na konci dňa existuje nejaký systém, ktorý bude mať prístup k niektorým záznamom, ktorý vám poskytne správu, ktorá vás prinúti rozprávať svoj príbeh, či už to bude regulačnému orgánu, audítorovi alebo niekomu z vášho tímu., takže je dobré, že viete, že ste pripravení na to, či a kedy, alebo ako a kedy táto osoba klepe, a samozrejme je to nepríjemná situácia, ktorej sa snažíte vyhnúť. Ale ak sa to stane a pravdepodobne sa to stane v týchto dňoch, chcete si byť istí, že máte bodku I a krížik T.
Od člena publika je dobrá otázka, ktorú chcem najskôr zahodiť, Bullettovi, a potom, ak ju chce moderátor komentovať, neváhajte. A potom sa možno Dez položí otázka a Robin. Otázkou teda je, či je spravodlivé povedať, že ak chcete robiť všetky tie veci, ktoré ste spomenuli, musíte začať so snahou o klasifikáciu údajov na základnej úrovni? Potrebujete vedieť svoje údaje, keď sa objavia ako cenný potenciálny majetok, a urobiť s tým niečo. Myslím, že by ste súhlasili, Bullett, však?
Bullett Manale: Áno, určite. Myslím, že musíte poznať svoje údaje. A uvedomujem si, že uznávam, že existuje veľa aplikácií, ktoré sú tam vonku, a existuje veľa rôznych vecí, ktoré majú vo vašej organizácii pohyblivé časti. Nástroj na vyhľadávanie stĺpcov je veľmi užitočný, pokiaľ ide o krok smerom k lepšiemu porozumeniu týchto údajov. Ale áno, je to veľmi dôležité. Myslím, že máte možnosť zvoliť si prístup pomocou firehose a auditovať všetko, ale logisticky je to oveľa náročnejšie, keď hovoríte o tom, že tieto údaje musíte uložiť a nahlásiť sa proti nim. A potom stále musíte vedieť, kde sú tieto údaje, pretože pri spustení prehľadov budete musieť audítorom tieto informácie ukázať. Takže si myslím, že, ako som už povedal, najväčšou výzvou, keď hovorím so správcami databáz, je vedieť, áno.
Eric Kavanagh: Áno, ale možno vás Robin prinesie naozaj rýchlo. Zdá sa mi, že tu platí pravidlo 80/20, však? Pravdepodobne nenájdete každý systém záznamu, na ktorom záleží, ak ste v nejakej strednej alebo veľkej organizácii, ale ak sa sústredíte na - ako tu navrhoval Bullett - napríklad PeopleSoft alebo iné systémy záznamu, ktoré sú prevládajúci v podniku, na ktorý sústreďujete 80 percent svojho úsilia a potom 20 percent je na iné systémy, ktoré tam niekde môžu byť, že?
Robin Bloor: Určite áno. Myslím, viete, myslím si, že problém s touto technológiou je, a myslím si, že by pravdepodobne stálo za to mať k tomu komentár, ale problém s touto technológiou je, ako ju implementujete? Myslím tým, že vo väčšine organizácií, pokiaľ ide o počet databáz, ktoré sú tam, je určite určite nedostatok vedomostí. Vieš, povedzme, že je tu dosť nedostatku inventára. Viete, otázkou je, predstavme si, že začíname v situácii, keď neexistuje zvlášť dobre riadený súlad, ako beriete túto technológiu a vstrekujete ju do životného prostredia, nielen do technológie, viete, v technológii? výrazy, nastavenia, ale ako kto to spravuje, kto určuje, čo? Ako to začnete prehlbovať do skutočnej veci, ktorá robí svoju prácu?
Bullett Manale: Myslím, že je to dobrá otázka. Výzva v mnohých prípadoch spočíva v tom, že musíte začať klásť otázky hneď na začiatku. Stretol som sa s mnohými spoločnosťami, kde, viete, možno ide o súkromnú spoločnosť a získali, existuje počiatočný druh, prvý, druh dopravnej hrbole, ak to chcete nazvať. Napríklad, ak som sa práve teraz stal verejne obchodovanou spoločnosťou z dôvodu akvizície, budem sa musieť vrátiť a pravdepodobne prísť na nejaké veci.
A v niektorých prípadoch hovoríme s organizáciami, ktoré, ako viete, aj keď sú súkromné, dodržiavajú pravidlá súladu so SOX, jednoducho preto, že v prípade, že sa chcú získať, vedia, že musia byť v súlade. Určite nechcete pristupovať iba k téme: „Teraz sa s tým nemusím obávať.“ Akýkoľvek druh dodržiavania predpisov, napríklad PCI alebo SOX alebo čokoľvek, chcete investovať do výskumu alebo pochopenie toho, kde sú tieto citlivé informácie, inak by ste sa mohli ocitnúť pri riešení niektorých významných a statných pokút. A je oveľa lepšie investovať ten čas, viete, zistiť, že údaje a schopnosť sa proti nim hlásiť a ukázať, že ovládacie prvky fungujú.
Áno, pokiaľ ide o jeho nastavenie, ako som už povedal, prvou vecou, ktorú by som odporučil ľuďom, ktorí sa pripravujú na audit, je jednoducho ísť von a urobiť zbežné vyšetrenie databázy a prísť na to, vy v rámci svojho maximálneho úsilia vedia zistiť, kde sú citlivé údaje. Ďalším prístupom by bolo začať s možno väčšou sieťou, pokiaľ ide o rozsah auditov, a potom sa pomaly zastaviť, keď raz, tak nejako zistíte, kde sú tie oblasti v systéme, ktoré súvisia s citlivé informácie. Ale rád by som vám mohol povedať, že na túto otázku existuje ľahká odpoveď. Pravdepodobne sa bude líšiť od jednej organizácie k druhej a typ dodržiavania a naozaj ako viete, koľko štruktúry majú v rámci svojich aplikácií a koľko má, rôznorodých aplikácií, niektoré môžu byť písané na mieru., takže v mnohých prípadoch bude skutočne závisieť od situácie.
Eric Kavanagh: Do toho, Dez, som si istý, že máš otázku alebo dve.
Dez Blanchfield: Som rád, že si len trochu nahliadnem do vašich pozorovaní týkajúcich sa dopadu na organizácie z hľadiska ľudí. Myslím si, že jednou z oblastí, v ktorej vidím najväčšiu hodnotu tohto konkrétneho riešenia, je to, že keď sa ľudia ráno zobudia a idú pracovať na rôznych úrovniach organizácie, prebudia sa so sériou zodpovednosti alebo s reťazcom zodpovednosti s ktorými sa musia vysporiadať. A rád by som získal nejaký prehľad o tom, čo tam vidíte, s typmi nástrojov, o ktorých hovoríte, a bez nich. Kontext, o ktorom tu hovorím, je od predsedu predstavenstva až po generálneho riaditeľa a generálneho riaditeľa a skupinu C-suite. A teraz máme vedúcich rizikových dôstojníkov, ktorí viac premýšľajú o druhoch vecí, o ktorých tu hovoríme v súlade a riadení, a teraz máme nových vedúcich hrania rolí, vedúceho údajových úradníkov, kto viete, o to viac znepokojený.
A na strane každej z nich, okolo CIO, máme IT manažérov na jednej strane, s typmi viem, technickými vedúcimi a potom databázovými vedúcimi. A v operačnom priestore máme vývojových manažérov a vývojových lídrov a potom individuálny vývoj a tiež sa vracajú späť do administračnej vrstvy databázy. Čo vidíte v reakcii každej z týchto rôznych častí podnikania na výzvu v súvislosti s dodržiavaním predpisov a predkladaním správ o regulačných predpisoch a ich prístup k nej? Vidíte, že ľudia prichádzajú na toto s horlivosťou a vidia výhody pre to, alebo vidíte, že neochotne ťahajú nohy k tejto veci a len, viete, robia to pre kliešte v krabici? A aké druhy odpovedí vidíte, keď uvidia váš softvér?
Bullett Manale: Áno, to je dobrá otázka. Povedal by som, že tento produkt, predaj tohto produktu, je väčšinou poháňaný niekým, kto je na horúcom sedadle, ak to má zmysel. Vo väčšine prípadov je to DBA az nášho pohľadu, inými slovami, vedia, že prichádza audit a že budú zodpovední, pretože sú to DBA, aby boli schopní poskytnúť informácie, ktoré audítor použije. opýtať sa. Môžu to urobiť písaním vlastných správ a vytváraním svojich vlastných stôp a všetkých týchto druhov vecí. Realita je taká, že to nechcú robiť. Vo väčšine prípadov sa DBA naozaj tešia na to, že sa tieto rozhovory s audítorom začnú. Vieš, radšej by som ti povedal, že môžeme ísť zavolať spoločnosti a povedať: „Hej, je to skvelý nástroj a budeš ho milovať, “ a ukážem im všetky funkcie a oni si ho kúpia.
Realita je taká, že sa na tento nástroj zvyčajne nebudú pozerať, pokiaľ sa v skutočnosti nestretnú s auditom alebo na druhej strane tejto mince, pokiaľ nevykonali audit a nešťastne zlyhali a teraz sú že im bude poskytnutá nejaká pomoc, alebo budú pokutovaní. Povedal by som, že pokiaľ ide o to, ako viete, celkovo, keď ľuďom ukážete tento produkt, určite to vidia jeho hodnotu, pretože im to ušetrí veľa času, pokiaľ ide o to, že chcú zistiť, o čom chcú informovať., také veci. Všetky tieto správy sú už zabudované, výstražné mechanizmy sú zavedené a potom tretia otázka môže byť v mnohých prípadoch výzvou. Pretože ti môžem ukázať správy celý deň, ale pokiaľ mi nedokážeš, že tieto správy sú v skutočnosti platné, vieš, je to pre mňa ako DBA oveľa tvrdší návrh, aby som to dokázal. Vypracovali sme však technológiu a techniku hashovania a všetky tieto veci, aby sme mohli pomôcť zaistiť, aby sa zachovali údaje v integrite kontrolných záznamov.
Takže to sú veci, ktoré sú moje pozorovania, pokiaľ ide o väčšinu ľudí, s ktorými hovoríme. Určite viete, že v rôznych organizáciách viete, že budete počuť, viete napríklad, že Target mal porušenie údajov a, vieš, myslím, keď iné organizácie počujú o pokutách a tých veci, ktoré ľudia začínajú, vyvolávajú obočie, takže dúfajme, že na túto otázku odpovieme.
Dez Blanchfield: Áno, určite. Viem si predstaviť, že niektoré DBA, keď konečne uvidia, čo sa dá pomocou tohto nástroja urobiť, si len uvedomujú, že majú svoje neskoré noci a víkendy späť. Zníženie času a nákladov a ďalšie veci, ktoré vidím, keď sa na tento celý problém použijú vhodné nástroje, a to znamená, že tri týždne som sedel v banke v Austrálii. Sú to globálne banky, tri najlepšie banky, sú obrovské. A mali projekt, v ktorom museli podať správu o dodržiavaní svojho práva v oblasti riadenia majetku a najmä o rizikách a pre niekoľko stoviek ľudských bytostí hľadali prácu v hodnote 60 týždňov. A keď im bolo ukázané, že sa im páči nástroj ako ste vy, ktorý by mohol proces len automatizovať, tento zmysel bol výraz na ich tvári, keď si uvedomili, že nemusia tráviť X počet týždňov so stovkami ľudí, ktorí robia manuálny proces ako keby našli Boha. Náročnou otázkou však bolo, ako to skutočne naplánovať, ako naznačil Dr. Robin Bloor, viete, je to niečo, čo sa stáva zmesou behaviorálneho a kultúrneho posunu. Aké zmeny vidíte na úrovniach, s ktorými sa zaoberáte priamo na úrovni aplikácií, keď začínajú s prijímaním nástroja na vykonávanie správ a auditov a kontrol, ktoré môžete ponúknuť, ako napríklad na rozdiel od toho, čo mohli urobiť ručne? Ako to vyzerá, keď sa skutočne uviedli do praxe?
Bullett Manale: Pýtate sa, aký je rozdiel v zaobchádzaní s týmto manuálnym v porovnaní s použitím tohto nástroja? Je to otázka?
Dez Blanchfield: Konkrétne dopad podnikania. Napríklad, ak sa pokúšame dosiahnuť súlad v manuálnom procese, viete, vždy zaberáme veľa času s množstvom ľudských bytostí. Hádam však, ako viete, položiť nejaký kontext okolo problému, hovoríme o tom, že jediná osoba prevádzkujúca tento nástroj nahradí potenciálne 50 ľudí a bude schopná urobiť to isté v reálnom čase alebo v hodinách oproti mesiacom? Je to taký, čo sa vo všeobecnosti ukazuje byť?
Bullett Manale: Myslím tým, že ide o pár vecí. Jeden má schopnosť odpovedať na tieto otázky. Niektoré z týchto vecí sa nebudú robiť veľmi ľahko. Takže áno, čas potrebný na vykonanie domácej práce, písanie správ samostatne, nastavenie stôp alebo rozšírené udalosti na manuálne zhromažďovanie údajov, môže trvať veľa času. Naozaj vám dám nejaké, myslím, že to v skutočnosti nesúvisí s databázami všeobecne, ale rovnako ako hneď po tom, čo sa stalo Enron a prevládal SOX, bol som v jednej z väčších ropných spoločností v Houstone a počítali sme, Myslím, že to bolo ako 25 percent našich obchodných nákladov súvisiacich s dodržiavaním SOX.
To bolo hneď potom a to bol prvý počiatočný krok v SOX, ale s tým, čo by som povedal, by ste mali vedieť, že používaním tohto nástroja získate veľa výhod v tom zmysle, že to nevyžaduje veľa ľudí, aby to urobili, a veľa rôznych typov ľudí, aby to urobili. A ako som už povedal, DBA zvyčajne nie je ten, kto sa skutočne teší na rozhovory s audítormi. Takže v mnohých prípadoch uvidíme, že DBA to môže zaťažiť a byť schopný poskytnúť správu, ktorá je prepojená s audítorom, a že sa môžu úplne odstrániť z rovnice, namiesto toho, aby sa museli zapojiť. Takže, viete, je to obrovská úspora, pokiaľ ide o zdroje, aj keď to dokážete.
Dez Blanchfield: Hovoríte o masívnom znižovaní nákladov, však? Organizácie nielen odstraňujú riziko a réžiu, ale v podstate hovoríme o významnom znížení nákladov, A) operačne a tiež B) v skutočnosti, že viete, či môžu skutočne poskytnúť skutočné- včasné hlásenie zhody, že existuje značné zníženie rizika porušenia údajov alebo nejakej právnej pokuty alebo dopadu za nedodržiavanie, nie?
Bullett Manale: Áno, určite. Myslím tým, že za to, že nie sú v súlade, existujú všetky druhy zlých vecí. Môžu tento nástroj používať a bolo by to skvelé alebo nie a zistia, aké je to skutočne zlé. Áno, nie je to len nástroj, samozrejme, môžete vykonávať svoje kontroly a všetko bez nástroja, ako je tento. Ako som už povedal, bude to trvať oveľa viac času a nákladov.
Dez Blanchfield: To je skvelé. Eric, tak ťa pôjdem späť k tebe, pretože si myslím, že pre mňa je to, že trh je fantastický. Ale v zásade stojí za to, že táto vec má svoju váhu v zlate na základe toho, že schopnosť vyhnúť sa obchodnému dopadu problému, ktorý sa vyskytuje, alebo schopnosť skrátiť čas potrebný na nahlásenie a správu dodržiavania právnych predpisov, ho len robí, viete, nástroj sa sám za seba oplatí podľa zvukov vecí.
Eric Kavanagh: Presne tak. Ďakujem moc za dnešný čas, Bullett. Ďakujem vám všetkým za váš čas a pozornosť a Robinovi a Dezovi. Ďalšia skvelá prezentácia dnes. Ďakujeme našim priateľom v spoločnosti IDERA za to, že ste nám tento obsah priniesli bezplatne. Toto webové vysielanie archivujeme pre neskoršie prezeranie. Archív zvyčajne trvá približne jeden deň. Dajte nám vedieť, čo si myslíte o našej novej webovej stránke, insideanalysis.com. Úplne nový dizajn, úplne nový vzhľad a dojem. Radi by sme sa dozvedeli o vašej spätnej väzbe as tým sa s vami rozlúčim, ľudia. Môžete mi poslať e-mail. V opačnom prípade vás budeme kontaktovať budúci týždeň. V najbližších piatich týždňoch máme sedem webcastov alebo niečo také. Budeme mať plné ruky práce. Koncom tohto mesiaca sa zúčastníme konferencie Strata a analytického summitu IBM v New Yorku. Takže ak ste tu, zastavte sa a pozdravte ju. Dávaj pozor, ľudia. Zbohom.
