टेकोपेडिया स्टाफ द्वारा, 14 सितंबर, 2016
Takeaway: होस्ट एरिक कवनघ ने हॉट टेक्नोलॉजीज के इस एपिसोड में विश्लेषकों रॉबिन ब्लोर और डीज़ ब्लांचफील्ड के साथ-साथ आइलेट के बुलेट मानले के साथ डेटाबेस ऑडिटिंग और अनुपालन पर चर्चा की।
आप वर्तमान में लॉग इन नहीं हैं। वीडियो देखने के लिए कृपया लॉग-इन या साइन-अप करें।
एरिक कावनघ: देवियों और सज्जनों, नमस्ते और एक बार फिर से, हॉट टेक्नोलॉजीज में आपका स्वागत है! हां, वास्तव में, 2016 में। हम इस शो के तीन साल में हैं, यह बहुत ही रोमांचक चीज है। हम इस वर्ष रॉकिंग और रोल कर रहे हैं। यह आपके मेजबान एरिक कवनघ है। आज के लिए विषय - यह एक महान विषय है, इसमें बहुत सारे उद्योगों में बहुत सारे आवेदन हैं, बहुत स्पष्ट रूप से - "कौन, क्या, कहां और कैसे: क्यों आप जानना चाहते हैं।" हाँ वास्तव में, हम उस मज़ेदार सामग्री के बारे में बात करने जा रहे हैं। वास्तव में आपके बारे में एक स्लाइड है, मुझे ट्विटर @eric_kavanagh पर मारा। मैं सभी उल्लेखों को फिर से ट्वीट करने की कोशिश करता हूं और कोई भी मुझे फिर से ट्वीट करता है। नहीं तो ऐसा ही हो।
यह वास्तव में गर्म है, हाँ! यहां पूरा शो संगठनों और व्यक्तियों को विशेष प्रकार की प्रौद्योगिकी को समझने में मदद करने के लिए बनाया गया है। हमने एक विशेष प्रकार के सॉफ़्टवेयर, या एक विशेष प्रवृत्ति, या एक विशेष प्रकार की तकनीक को परिभाषित करने के तरीके के रूप में, यहां पूरे कार्यक्रम को तैयार किया है। इसका कारण यह है कि सॉफ्टवेयर की दुनिया में, आप अक्सर इन मार्केटिंग शर्तों को प्राप्त करेंगे, जिनके बारे में बंधे हुए हैं और कभी-कभी वे उन अवधारणाओं को स्पष्ट रूप से संक्षिप्त कर सकते हैं, जिनका वर्णन करना चाहते थे।
इस शो में हम वास्तव में आपको यह समझने में मदद करने की कोशिश कर रहे हैं कि एक विशेष प्रकार की तकनीक क्या है, यह कैसे काम करती है, जब आप इसका उपयोग कर सकते हैं, जब आपको इसका उपयोग शायद नहीं करना चाहिए, और हम आपको जितना संभव हो उतना विस्तार दे सकते हैं। आज हमारे पास तीन प्रस्तुतकर्ता होंगे: हमारे बहुत ही रॉबिन ब्लोर, ब्लोर ग्रुप के मुख्य विश्लेषक; सिडनी, ऑस्ट्रेलिया से बुलाए गए हमारे डेटा वैज्ञानिक, ग्रह के दूसरी तरफ, डीज़ ब्लांचफील्ड, और हमारे पसंदीदा मेहमानों में से एक, बुलेट मानले, जो कि IDERA में बिक्री इंजीनियरिंग के निदेशक हैं।
मैं यहाँ सिर्फ एक दो बातें कहूँगा, यह समझकर कि कौन कौन से डेटा के टुकड़े के साथ क्या कर रहा है, अच्छी तरह से शासन की तरह है? यदि आप उन डोमेन पर उद्योगों, स्वास्थ्य देखभाल और वित्तीय सेवाओं जैसे सभी नियमों के बारे में सोचते हैं, तो यह सामान अविश्वसनीय रूप से महत्वपूर्ण है। आपको यह जानना होगा कि किसने जानकारी को छुआ, किसने कुछ बदला, किसने इसे एक्सेस किया, किसने इसे अपलोड किया, उदाहरण के लिए। वंश क्या है, इस डेटा की भविष्यवाणियां क्या हैं? आप आश्वस्त रह सकते हैं कि इन सभी मुद्दों पर सभी प्रकार के कारणों से आने वाले वर्षों में प्रमुखता बनी रहेगी। केवल अनुपालन के लिए नहीं, हालांकि HIPAA, और सर्बनेस-ऑक्सले, और डोड-फ्रैंक, और ये सभी नियम बहुत महत्वपूर्ण हैं, लेकिन यह भी सिर्फ इसलिए कि आप अपने व्यवसाय में समझते हैं कि कौन क्या कर रहा है, कहां, कब और क्यों। यह अच्छा सामान है, हम ध्यान देने जा रहे हैं।
आगे बढ़ो, इसे दूर ले जाओ, रॉबिन ब्लोर।
रॉबिन ब्लोर: ठीक है, अच्छी तरह से उस परिचय के लिए धन्यवाद, एरिक। शासन का यह क्षेत्र है, मेरा मतलब है, आईटी में शासन एक ऐसा शब्द नहीं है जिसे आपने वर्ष 2000 के बाद तक सुना था, मुझे लगता है। यह मुख्य रूप से आया क्योंकि, मुझे लगता है कि वैसे भी, यह मुख्य रूप से आया क्योंकि अनुपालन कानून है जो चल रहा था। विशेष रूप से HIPAA और सर्बनेस-ऑक्सले। वहाँ वास्तव में यह बहुत है। इसलिए, संगठनों ने महसूस किया कि उन्हें नियमों का एक सेट और प्रक्रियाओं का एक सेट होना चाहिए क्योंकि ऐसा करने के लिए कानून के तहत आवश्यक था। इससे पहले, विशेष रूप से बैंकिंग क्षेत्र में, विभिन्न पहलें थीं जिन्हें आपको इस बात पर निर्भर करना था कि आप किस प्रकार के बैंक हैं और विशेष रूप से अंतर्राष्ट्रीय बैंकर हैं। वर्ष 2000 के बाद विशेष रूप से पहल के पहले बेसल कंप्लायंट ने पूरे रास्ते को शुरू कर दिया। यह सब वास्तव में शासन पर आता है। मुझे लगा कि मैं एक विषय के रूप में शासन के विषय पर बात करूंगा कि डेटा किसे प्राप्त हो, इस पर ध्यान दिया जाए।
डेटा गवर्नेंस, मैं लगभग पाँच या छह साल पहले सोचता था, परिभाषाओं के लिए चारों ओर देखता था और इसे अच्छी तरह से परिभाषित नहीं किया गया था। यह स्पष्ट और स्पष्ट हो गया है कि इसका वास्तव में क्या मतलब है। स्थिति की वास्तविकता यह थी कि कुछ सीमाओं के भीतर, सभी डेटा वास्तव में पहले से शासित थे, लेकिन इसके लिए कोई औपचारिक नियम नहीं थे। विशेष रूप से बैंकिंग उद्योग में इस तरह के सामान करने के लिए विशेष नियम बनाए गए थे, लेकिन फिर से यह अनुपालन के बारे में अधिक था। एक तरह से या किसी अन्य ने साबित किया कि आप वास्तव में एक थे - यह जोखिम से जुड़ा हुआ है, इसलिए यह साबित हो रहा है कि आप एक व्यवहार्य बैंक थे।
यदि आप शासन की चुनौती को देखते हैं, तो यह बड़े डेटा आंदोलन के एक तथ्य से शुरू होता है। हमें डेटा स्रोतों की बढ़ती संख्या मिली है। डेटा की मात्रा निश्चित रूप से एक मुद्दा है। विशेष रूप से, हमने असंरचित डेटा के साथ बहुत कुछ, बहुत कुछ करना शुरू कर दिया। यह कुछ ऐसा बनना शुरू हुआ जो पूरे एनालिटिक्स गेम का हिस्सा है। और एनालिटिक्स की वजह से, डेटा प्रोवेंस और लिनेज महत्वपूर्ण हैं। किसी भी तरह के अनुपालन से संबंधित किसी भी तरह से डेटा एनालिटिक्स का उपयोग करने के दृष्टिकोण से, आपको वास्तव में इस बात का ज्ञान होना चाहिए कि डेटा कहाँ से आया और यह कैसे हुआ।
डेटा एन्क्रिप्शन एक मुद्दा बनना शुरू हो गया, जैसे ही हम हडोप पर गए एक बड़ा मुद्दा बन गया क्योंकि डेटा झील का विचार जिसमें हम बहुत सारे डेटा संग्रहीत करते हैं, अचानक इसका मतलब है कि आपके पास बहुत से लोगों की भेद्यता का एक बड़ा क्षेत्र है जो मिल सकता है इस पर। डेटा का एन्क्रिप्शन बहुत अधिक प्रमुख हो गया। प्रमाणीकरण हमेशा एक मुद्दा था। पुराने परिवेश में, सख्ती से मेनफ्रेम वातावरण में, उनके पास ऐसी अद्भुत परिधि सुरक्षा सुरक्षा थी; प्रमाणीकरण वास्तव में कभी भी एक मुद्दा नहीं था। बाद में यह एक बड़ा मुद्दा बन गया और अब यह बहुत अधिक मुद्दा है क्योंकि हमें इस तरह के बेहद वितरित वातावरण मिल गए हैं। डेटा एक्सेस की निगरानी, यह एक मुद्दा बन गया। मुझे लगता है कि लगभग दस साल पहले अस्तित्व में आने वाले विभिन्न उपकरण याद हैं। मुझे लगता है कि उनमें से अधिकांश अनुपालन पहलों से प्रेरित थे। इसलिए हमें अनुपालन नियमों, अनुपालन रिपोर्टिंग के बारे में जानकारी मिली है।
मन में आई बात यह है कि 1990 के दशक में भी, जब आप फार्मास्यूटिकल्स उद्योग में क्लिनिकल परीक्षण कर रहे थे, तो आपको न केवल यह साबित करने में सक्षम होना चाहिए कि डेटा कहां से आया है - जाहिर है, यह बहुत महत्वपूर्ण है, यदि आप कोशिश कर रहे हैं विभिन्न संदर्भों में एक दवा है, यह जानने के लिए कि किस पर प्रयास किया जा रहा है और इसके आसपास के प्रासंगिक डेटा - आपको उस सॉफ़्टवेयर का ऑडिट प्रदान करने में सक्षम होना चाहिए जिसने वास्तव में डेटा बनाया था। यह अनुपालन का सबसे गंभीर टुकड़ा है जो मैंने कभी भी कहीं भी देखा है, यह साबित करने के मामले में कि आप वास्तव में जानबूझकर या गलती से चीजों को गड़बड़ नहीं कर रहे हैं। हाल के दिनों में, विशेष रूप से डेटा जीवन चक्र प्रबंधन एक मुद्दा बन गया है। ये सभी एक तरह से चुनौती हैं क्योंकि इनमें से बहुत कुछ अच्छा नहीं किया गया है। बहुत सारी परिस्थितियों में उन्हें करना आवश्यक है।
इसे मैं डेटा पिरामिड कहता हूं। मैंने पहले भी इस बारे में बात की है। मुझे यह चीजों को देखने का एक बहुत दिलचस्प तरीका लगता है। आप परतों के रूप में डेटा के बारे में सोच सकते हैं। कच्चे डेटा, यदि आप पसंद करते हैं, तो वास्तव में केवल संकेत या माप, रिकॉर्डिंग, घटनाएं, एकल रिकॉर्ड हैं। संभवतः लेनदेन, गणना और पाठ्यक्रम का एकत्रीकरण नया डेटा बनाते हैं। उन्हें आंकड़ों के स्तर पर सोचा जा सकता है। इसके बाद, जब आप वास्तव में डेटा को एक साथ जोड़ते हैं, तो यह जानकारी बन जाती है। यह अधिक उपयोगी हो जाता है, लेकिन निश्चित रूप से इसे हैक करने या इसका दुरुपयोग करने वाले लोगों के लिए यह अधिक असुरक्षित हो जाता है। मैं परिभाषित करता हूं कि डेटा के संरचना के माध्यम से, वास्तव में बनाया जा रहा है, सूचना पर शब्दावली, स्कीमा, ऑन्कोलॉजी वाले डेटा की कल्पना करने में सक्षम है। वे दो निचली परतें हैं जिन्हें हम एक या दूसरे तरीके से संसाधित करते हैं। इसके बाद के संस्करण को मैं नियमों, नीतियों, दिशानिर्देशों, प्रक्रिया से मिलकर ज्ञान की परत कहता हूं। जिनमें से कुछ वास्तव में एनालिटिक्स में खोजे गए अंतर्दृष्टि द्वारा बनाए जा सकते हैं। उनमें से बहुत से वास्तव में नीतियां हैं जिनका आपको पालन करना है। यह परत है, यदि आप चाहें, तो शासन की। यह वह जगह है, जहां एक या दूसरे तरीके से, यदि यह परत ठीक से आबाद नहीं है, तो नीचे की दो परतों को प्रबंधित नहीं किया जा सकता है। इसके बारे में अंतिम बिंदु, किसी ऐसी चीज़ को समझना है जो केवल इंसानों में रहती है। कंप्यूटर ने अभी तक, शुक्र है कि ऐसा करने में कामयाब नहीं किया है। अन्यथा, मैं नौकरी से बाहर हो जाता।
शासन साम्राज्य - मैं इसे एक साथ रखता हूं, मुझे लगता है कि यह लगभग नौ महीने पहले हुआ होगा, संभवतः इससे बहुत पहले। मूल रूप से, मैंने इसे बढ़ाया लेकिन जैसे ही हमने शासन के बारे में चिंतित होना शुरू किया, तब कॉर्पोरेट डेटा हब के संदर्भ में, डेटा भंडार, डेटा झील संसाधन ही नहीं थे, बल्कि विभिन्न प्रकार के सामान्य सर्वर भी थे, विशेषज्ञ डेटा सर्वर। जिनमें से सभी को नियंत्रित करने की आवश्यकता है। जब आपने वास्तव में विभिन्न आयामों को देखा - डेटा सुरक्षा, डेटा क्लींजिंग, मेटाडेटा डिस्कवरी और मेटाडेटा प्रबंधन, एक व्यवसाय शब्दावली, डेटा मैपिंग, डेटा वंश, डेटा जीवन चक्र प्रबंधन - तब, प्रदर्शन-निगरानी प्रबंधन, सेवा-स्तर प्रबंधन।, सिस्टम प्रबंधन, जिसे आप वास्तव में शासन के साथ नहीं जोड़ सकते हैं, लेकिन एक निश्चित - अब जब हम अधिक से अधिक डेटाफ्लो के साथ एक तेज और तेज दुनिया में जा रहे हैं, वास्तव में एक विशेष प्रदर्शन के साथ कुछ करने में सक्षम होना वास्तव में एक आवश्यकता है और किसी और चीज़ के बजाय ऑपरेशन का नियम बनने लगता है।
अनुपालन की वृद्धि के संदर्भ में संक्षेप में, मैंने इसे कई वर्षों में देखा, लेकिन सामान्य रूप से डेटा संरक्षण वास्तव में 1990 के दशक में यूरोप में आया था। यह बस तब से और अधिक परिष्कृत हो गया। फिर, इन सभी चीजों को पेश करना शुरू किया गया या उन्हें अधिक परिष्कृत बनाया गया। जीआरसी, जो कि गवर्नेंस रिस्क और कंप्लायंस है, तब से चल रहा है जब बैंकों ने बेसल किया था। आईएसओ विभिन्न प्रकार के परिचालनों के मानक बनाता रहा है। मैं हर समय जानता हूं कि मैं आईटी में रहा हूं - यह एक लंबा समय रहा है - अमेरिकी सरकार विभिन्न विधानों को बनाने में विशेष रूप से सक्रिय रही है: एसओएक्स, वहां ग्राम-लीच-ब्लीली, हिप्पा, एफआईएसएमए, एफईआरपीए है। आपको अद्भुत NIST संगठन भी मिला है जो कई मानकों, विशेष रूप से सुरक्षा मानकों, को बहुत उपयोगी बनाता है। यूरोप में डेटा सुरक्षा कानूनों के स्थानीय संस्करण हैं। जर्मनी में आप व्यक्तिगत डेटा के साथ क्या कर सकते हैं, उदाहरण के लिए, आप स्लोवाकिया गणराज्य, या स्लोवेनिया, या जहां भी कर सकते हैं, उससे अलग है। उन्होंने हाल ही में परिचय दिया - और मुझे लगा कि मैं इसका उल्लेख करूंगा क्योंकि मुझे यह मनोरंजक लगता है - यूरोप भूल जाने के अधिकार के विचार को पेश कर रहा है। यही है, वहाँ डेटा है कि वास्तव में व्यक्तिगत डेटा है कि सार्वजनिक किया गया है पर सीमाओं का एक क़ानून होना चाहिए। मुझे लगता है कि यह प्रफुल्लित करने वाला है। आईटी के दृष्टिकोण से यह बहुत प्रभावी होने वाला है, यदि यह प्रभावी कानून बनने लगे। संक्षेप में, मैं निम्नलिखित कहूंगा: क्योंकि आईटी डेटा और प्रबंधन जल्दी से विकसित हो रहे हैं, शासन को भी जल्दी से विकसित होना चाहिए और यह शासन के सभी क्षेत्रों पर लागू होता है।
यह कहने के बाद कि मैं गेंद को डीज़ को पास कर दूँगा।
एरिक कवनघ: हां वास्तव में, इसलिए डीज़ ब्लांचफील्ड, इसे हटा दें। रॉबिन, मैं तुम्हारे साथ हूं, यार, मैं यह देखने के लिए मर रहा हूं कि यह अधिकार कैसे भूल जाता है। मुझे लगता है कि यह सिर्फ चुनौतीपूर्ण नहीं है, लेकिन मूल रूप से असंभव है। यह सरकारी एजेंसियों द्वारा अभ्यास किए जाने की प्रतीक्षा का उल्लंघन है। Dez, इसे दूर ले जाओ।
डीज़ ब्लांचफील्ड: यह वास्तव में है और यह एक और चर्चा का विषय है। हमारे यहां एशिया-प्रशांत और विशेष रूप से ऑस्ट्रेलिया में एक बहुत ही समान चुनौती है, जहां वाहक और आईएसपी को इंटरनेट से संबंधित सभी चीजों को लॉग इन करना आवश्यक है और यदि कोई व्यक्ति कुछ गलत करता है तो उसे रिकॉर्ड करने और पुन: व्यवस्थित करने में सक्षम होना चाहिए। यह एक कानून है और आपको इसका पालन करना होगा। चुनौती, जैसे संयुक्त राज्य अमेरिका में Google के किसी व्यक्ति को मेरे खोज इतिहास को हटाने के लिए कहा जा सकता है या जो भी हो, यह यूरोपीय कानून, विशेष रूप से जर्मन गोपनीयता कानून का अनुपालन करने के लिए हो सकता है। ऑस्ट्रेलिया में यदि कोई एजेंसी आपको देखना चाहती है, तो एक वाहक को कॉल और खोज किए गए इतिहास का विवरण प्रदान करने में सक्षम होना चाहिए, जो चुनौतीपूर्ण है, लेकिन यह वह दुनिया है जिसमें हम रहते हैं। उसके कारणों का एक गुच्छा है। मुझे बस मेरा कूदने दो।
मैंने जानबूझकर अपने शीर्षक पृष्ठ को पढ़ना मुश्किल बना दिया। आप वास्तव में उस पाठ में बहुत कठिन लग रहे हैं। एक मूर्खतापूर्ण, गन्दा पृष्ठभूमि के साथ नियमों, विनिर्देशों, नियंत्रणों, नीतियों, मानकों या कानूनों के एक समूह के अनुरूप, अनुपालन। ऐसा इसलिए है क्योंकि आपको विवरण प्राप्त करने के लिए वास्तव में कठिन लग रहा है और यह जो अतिव्याप्त है, जो तालिकाओं और पंक्तियों और स्तंभों की एक श्रृंखला है, या तो एक डेटाबेस, एक स्कीम या विस्को में मॉक-अप से जानकारी खींचना है। यही अनुपालन दिन-प्रतिदिन की तरह लगता है। यह विस्तार से गोता लगाने और जानकारी के प्रासंगिक बिट्स को बाहर निकालने के लिए काफी कठिन है जो आपको पुष्टि करने में सक्षम होने की आवश्यकता है कि आप आज्ञाकारी हैं। उस पर रिपोर्ट करें, उसकी निगरानी करें और उसका परीक्षण करें।
वास्तव में, मैंने यह कल्पना करने का एक अच्छा तरीका सोचा था जब हम खुद से सवाल पूछते हैं, "क्या आप आज्ञाकारी हैं?" "क्या आपको यकीन है?" "ठीक है, इसे साबित करो!" वहाँ वास्तव में एक मजेदार बात है कि शायद थोड़ा अधिक एंग्लो-केल्टिक है, लेकिन मुझे यकीन है कि यह दुनिया भर में यूएस में अपना रास्ता बना रहा है, इसलिए यह है: "व्हेयर वैली?" वैली एक छोटा पात्र है जो किताबों के रूप में इन कार्टून चित्रों में मिलता है। आम तौर पर A3 या बड़े के बहुत बड़े पैमाने पर चित्र। तो, टेबल-आकार के चित्र। वह एक छोटा पात्र है जो बीनी और लाल-सफेद धारीदार शर्ट पहनता है। खेल का विचार आप इस तस्वीर को देख रहे हैं और आप वैली की कोशिश करने और खोजने के लिए हलकों में चारों ओर देखते हैं। वह उस तस्वीर में कहीं है। जब आप इस बारे में सोचते हैं कि कैसे खोज और वर्णन करें और अनुपालन पर रिपोर्ट करें, तो कई मायनों में यह "व्हेल्स वैली" खेलने जैसा है। यदि आप उस तस्वीर को देखते हैं, तो चरित्र को खोजना लगभग असंभव है। बच्चे उस पर घंटों बिताते हैं और मुझे कल खुद ऐसा करने में बहुत मज़ा आया। जब हम इसे देखते हैं, तो हम इन कार्टून में लोगों के एक पूरे झुंड को देखते हैं, जानबूझकर एक धारीदार बीनी और जर्सी, या ऊनी शीर्ष के वैली संगठन के समान टुकड़ों के साथ वहां रखा गया है। लेकिन वे झूठे सकारात्मक बन जाते हैं।
यह एक ऐसी ही चुनौती है जिसका हमारे पास अनुपालन है। जब हम चीजों को देख रहे होते हैं, तो कभी-कभी हमें लगता है कि यह मामला है, ऐसा बिल्कुल नहीं है। किसी व्यक्ति के पास डेटाबेस तक पहुँच हो सकती है और उसे उस डेटाबेस तक पहुँच प्राप्त होनी चाहिए, लेकिन जिस तरह से वे इसका उपयोग कर रहे हैं, वह उस अपेक्षा से थोड़ा अलग है। हम तय कर सकते हैं कि यह कुछ ऐसा है जिसे हमें देखने की जरूरत है। जब हम इसे देखते हैं तो हम पाते हैं कि ओह, वास्तव में, यह एक बहुत ही मान्य उपयोगकर्ता है। वे सिर्फ कुछ विचित्र कर रहे हैं। शायद यह एक पीसी शोधकर्ता है या जो जानता है। अन्य मामलों में, यह विपरीत हो सकता है। वास्तविकता, जब मैं फिर से आगे बढ़ता हूं, तो वैली होती है। यदि आप इस उच्च संकल्प में वास्तव में कठिन दिखते हैं तो एक चरित्र है जो वास्तव में उचित पोशाक पहने हुए है। बाकी सभी सिर्फ लुकलेस और फील-अलक हैं। अनुपालन बहुत पसंद है। ज्यादातर लोग जिन्हें मैं जानता हूं, वे व्यवसायों के नियंत्रण और अनुपालन और नीतियों के क्षेत्रों में काम करते हैं। पूरे क्षेत्र में, चाहे वह प्रौद्योगिकी हो, चाहे वह वित्त हो, या संचालन हो, और जोखिम हो। अक्सर तस्वीर में वैली को देखना बहुत मुश्किल है, आप पेड़ या लकड़ी देखेंगे।
सवाल जो हम खुद से पूछते हैं, जब हम अनुपालन जैसी चीजों के बारे में सोचते हैं, तो "बड़ी बात है, अगर हम अनुपालन को पूरा नहीं करते हैं तो क्या गलत हो सकता है?" आज की चर्चा के संदर्भ में, विशेष रूप से डेटाबेस और डेटा तक पहुंच के नियंत्रण के आसपास, मैं आपको कुछ बहुत ही वास्तविक जगाऊ उदाहरण देने जा रहा हूं जो बहुत ही संक्षिप्त रूप में गलत हो सकते हैं। यदि हम डेटा उल्लंघनों के बारे में सोचते हैं, और हम सभी डेटा उल्लंघनों से परिचित हैं, तो हम उन्हें मीडिया में सुनते हैं, और हम रोकते हैं और हँसते हैं, क्योंकि लोग सोचते हैं कि यह बाजार है। यह व्यक्तिगत बातें हैं। यह एशले मैडिसन और ऐसे लोग हैं जो अपने रिश्तों और शादियों के बाहर तारीखें तलाश रहे हैं। यह हिसाब-किताब छीन रहा है। यह सब अजीब चीजें हैं या कुछ यादृच्छिक यूरोपीय या रूसी आईएसपी या होस्टिंग कंपनी हैक हो जाती है। जब यह माइस्पेस और इन टॉप टेन जैसी चीजों के लिए हो जाता है, जब आप इन नंबरों को देखते हैं, तो मैं चाहता हूं कि आप यह महसूस करें कि यह है: इन शीर्ष दस उल्लंघनों में 1.1 बिलियन लोगों का विवरण। और हाँ, वहाँ ओवरलैप्स है, शायद ऐसे लोग हैं जिन्हें माइस्पेस खाता मिला है, और ड्रॉपबॉक्स खाता और टम्बलर खाता है, लेकिन चलो इसे केवल एक अरब लोगों तक ही सीमित करें।
पिछले एक दशक से ये शीर्ष दस उल्लंघनों - एक दशक भी नहीं, ज्यादातर मामलों में - दुनिया की आबादी का लगभग एक-सातवाँ हिस्सा, लेकिन अधिक वास्तविक रूप से, लगभग 50 प्रतिशत लोग जुड़े हुए हैं। इंटरनेट, एक अरब से अधिक व्यक्तियों पर। ये इसलिए आते हैं क्योंकि अनुपालन कुछ मामलों में पूरा नहीं हुआ है। ज्यादातर मामलों में, डेटाबेस तक पहुंच का नियंत्रण, विशेष डेटा सेट और सिस्टम और नेटवर्क तक पहुंच का नियंत्रण था। यह एक डरावनी वास्तविकता है। यदि यह आपको भयभीत नहीं करता है, जब आप शीर्ष दस को देखते हैं और आप देख सकते हैं कि यह एक है - या यह देख सकता है कि इस बिल पर अभी हमारे जैसे एक अरब व्यक्ति, वास्तविक मानव हैं। यदि आपके पास एक लिंक्डइन खाता है, यदि आपके पास ड्रॉपबॉक्स खाता है, या एक टम्बलर खाता है या यदि आपने एडोब उत्पादों से खरीदा है या यहां तक कि मुफ्त डाउनलोड किए गए एडोब दर्शक। यह पूरी तरह से संभव है, संभव नहीं है, यह पूरी तरह से संभावना है कि आपका विवरण, आपका पहला नाम, आपका अंतिम नाम, आपका ईमेल पता, संभवतः आपके कार्य कंपनी का पता, या आपके घर का पता या आपके क्रेडिट कार्ड, वास्तव में एक उल्लंघन के कारण बाहर हैं नियंत्रणों के कारण यह हुआ, जो डेटा प्रबंधन, डेटा शासन के रूप में आवश्यक रूप से अच्छी तरह से प्रबंधित नहीं किए गए थे।
आइए हम इस पर एक नज़र डालते हैं जब हम इसे वास्तविक विस्तार से देखते हैं। उनकी एक स्क्रीन है, वहाँ लगभग 50-कुछ है। एक और 15. वहाँ एक और 25 के बारे में है। ये डेटा ब्रीच हैं जो एक वेबसाइट पर सूचीबद्ध हैं जिन्हें hasibeenpwned.com कहा जाता है। यह संभवत: गलत हो सकता है यदि कुछ सरल जो नियंत्रित करते हैं कि आपके क्षेत्र में डेटाबेस में डेटा तक पहुंच है और आपके व्यवसाय में पंक्तियों और स्तंभों और विभिन्न अनुप्रयोगों को ठीक से प्रबंधित नहीं किया गया है। ये संगठन अब डेटा संचालित हैं। अधिकांश डेटा किसी न किसी रूप में डेटाबेस में रहता है। जब आप उस बारे में सोचते हैं, तो उस उल्लंघनों की सूची जिसे हमने अभी देखा था, और उम्मीद है कि यह आपको एक अर्थ में एक ठंडा स्नान दे रहा है, जिसमें आपने सोचा था कि "हम्म, यह बहुत वास्तविक है, " और यह संभवतः आपको प्रभावित करता है। 2012 में, लिंक्डइन के उल्लंघन के उदाहरण के लिए, अधिकांश पेशेवरों के पास इन दिनों एक लिंक्डइन खाता है और यह संभावना है कि आपके विवरण खो गए हैं। वे 2012 से इंटरनेट पर हैं। हमें केवल 2016 में इसके बारे में बताया गया है। उन चार वर्षों में आपके साथ क्या हुआ? वैसे यह दिलचस्प है और हम इसके बारे में अलग से बात कर सकते हैं।
डेटाबेस और सिस्टम प्रबंधन - मैं अक्सर इन चीजों के प्रबंधन में शीर्ष पांच चुनौतियों पर विचार करने के बारे में बात करता हूं। सबसे ऊपर, बहुत ऊपर और मैं खुद से वरीयता के क्रम में इनकी रैंकिंग कर रहा हूं, लेकिन प्रभाव का क्रम भी, नंबर एक सुरक्षा और अनुपालन है। नियंत्रण और तंत्र, और यह नियंत्रित करने के आसपास की नीतियां कि किस कारण और किस उद्देश्य से किस प्रणाली तक पहुंच है। उस पर रिपोर्टिंग करना और उसकी निगरानी करना, सिस्टम में देखना, डेटाबेस में देखना, और यह देखना कि कौन वास्तव में रिकॉर्ड, व्यक्तिगत फ़ील्ड और रिकॉर्ड एक्सेस कर सकता है।
इस बारे में बहुत सरल रूप में सोचें। आइए एक उदाहरण के रूप में बैंकिंग और धन प्रबंधन के बारे में बात करते हैं। जब आप बैंक खाते के लिए साइन अप करते हैं, तो आइए एक EFTPOS कार्ड के लिए एक सामान्य नकद खाता, या एक नकद खाता या एक चेक खाता कहें। आप एक फॉर्म भरते हैं और कागज के उस टुकड़े में बहुत सारी निजी जानकारी होती है जिसे आप भरते हैं या आप इसे ऑनलाइन करते हैं और यह एक कंप्यूटर सिस्टम में चला जाता है। अब, यदि विपणन में कोई व्यक्ति आपसे संपर्क करना चाहता है और आपको एक ब्रोशर भेजना चाहता है, तो उन्हें आपका पहला नाम, और अंतिम नाम और आपके व्यक्तिगत पते को देखने की अनुमति दी जानी चाहिए, उदाहरण के लिए और संभवतः आपके फोन नंबर पर अगर वे आपको कॉल करना चाहते हैं और तुम कुछ बेच दो। उन्हें संभवतः उन कारणों की कुल राशि नहीं दिखानी चाहिए जो आपको बैंक में कई कारणों से मिले हैं। यदि कोई व्यक्ति आपको जोखिम के नज़रिए से देख रहा है, या आपको कुछ करने में मदद करने की कोशिश कर रहा है, जैसे आपके खाते में बेहतर ब्याज दर पाने के लिए, तो वह व्यक्ति विशेष रूप से यह देखना चाहता है कि आपको बैंक में कितना पैसा मिला है, इसलिए वे कर सकते हैं आपको अपने पैसे पर ब्याज के उचित स्तर की पेशकश करते हैं। उन दो व्यक्तियों की बहुत अलग भूमिकाएँ हैं और उन भूमिकाओं के लिए बहुत अलग कारण हैं, और उन भूमिकाओं के लिए उद्देश्य हैं। नतीजतन, अपने रिकॉर्ड में अलग-अलग जानकारी देखने की जरूरत है, लेकिन रिकॉर्ड के सभी नहीं।
ये सामान्य स्क्रीन की विभिन्न रिपोर्ट के आसपास नियंत्रित होते हैं या आपके एप्लिकेशन को प्रबंधित करने के लिए उपयोग किए जाने वाले फॉर्म में होते हैं। उन के लिए विकास, उन का रखरखाव, उन का प्रशासन, उन के आसपास की रिपोर्टिंग, और उन के चारों ओर शासन और अनुपालन लिपटे जैसे बबल रैप, सभी एक बहुत, बहुत बड़ी चुनौती है। यह डेटा और सिस्टम के प्रबंधन में सिर्फ एक चुनौती है। जब हम प्रदर्शन और निगरानी, और घटना का पता लगाने और प्रतिक्रिया, प्रबंधन और प्रणाली के प्रशासन, और उनके चारों ओर अनुपालन में गहराई से जाते हैं, तो अनुपालन से सिस्टम का डिजाइन और विकास, यह बहुत कठिन हो जाता है।
जोखिमों को कम करने और सुरक्षा में सुधार के पूरे मुद्दे का प्रबंधन। इस अंतरिक्ष में मेरी शीर्ष पांच चुनौतियां - और मुझे वह इमेजरी पसंद है जो किसी देश में प्रवेश करते समय एक कस्टम डेस्क के साथ जाती है - वे आपका पासपोर्ट प्रस्तुत करते हैं, और वे आपकी जांच करते हैं, और वे यह देखने के लिए अपने कंप्यूटर सिस्टम को देखते हैं कि आपको क्या करना चाहिए पास या नहीं। यदि आपको नहीं करना चाहिए, तो वे आपको अगले विमान पर वापस घर ले जाते हैं। अन्यथा, वे आपको वापस जाने देते हैं और वे आपसे सवाल पूछते हैं, "क्या आप छुट्टी पर आ रहे हैं? क्या आप यहां पर्यटक हैं? क्या आप काम के लिए यहां हैं? आप किस तरह का काम देख रहे हैं? आप कहां रहने वाले हैं?" आप कब तक आ रहे हैं? क्या आपको अपने खर्चों और लागतों को कवर करने के लिए पर्याप्त पैसा मिला है? या क्या आप उस देश के लिए जोखिम बनने जा रहे हैं जो आप में हैं और उन्हें आपकी देखभाल और आपको खिलाना पड़ सकता है? "
डेटा के इस स्थान के आसपास कुछ समस्याएं हैं, डेटा सुरक्षा का प्रबंधन। डेटाबेस स्पेस में उदाहरण के लिए, हमें डेटाबेस बायपास को कम करने के बारे में सोचना होगा। यदि डेटा डेटाबेस में है, एक सामान्य वातावरण में है और सिस्टम में उस पर नियंत्रण और तंत्र है। यदि डेटा का एक डंप अधिक एसक्यूएल में बना है और टेप करने के लिए समर्थित है तो क्या होगा? डेटाबेस को कच्चे रूप में डंप किया जाता है और कभी-कभी बैकअप किया जाता है। कभी-कभी यह तकनीकी कारणों, विकास कारणों से किया जाता है। मान लीजिए कि एक DB डंप लिया गया था और यह टेप करने के लिए समर्थित है। यदि मैं उस टेप पर अपना हाथ लाने और इसे पुनर्स्थापित करने के लिए होता हूं तो क्या होगा? और मुझे SQL में डेटाबेस की एक कच्ची कॉपी मिल गई है। यह एक एमपी फाइल है, यह टेक्स्ट है, मैं इसे पढ़ सकता हूं। उस डंप में संग्रहीत सभी पासवर्ड का मुझ पर कोई नियंत्रण नहीं है क्योंकि मैं अब डेटाबेस इंजन की सुरक्षा के बिना डेटाबेस की वास्तविक सामग्री तक पहुंच प्राप्त कर रहा हूं। इसलिए मैं तकनीकी रूप से डेटाबेस प्लेटफ़ॉर्म की सुरक्षा को बायपास कर सकता हूं जो कि इंजन में बनाया जा रहा है, और डेटा को देखने से रोकने के लिए जोखिम प्रबंधन। क्योंकि संभावित रूप से डेवलपर, सिस्टम एडमिनिस्ट्रेटर, मैंने अपने हाथों को डेटाबेस के पूर्ण डंप पर ले लिया है जो बैकअप के लिए उपयोग किया जाना चाहिए।
डेटा का दुरुपयोग - संभावित रूप से किसी को अपने ऊंचे खाते के रूप में लॉग इन करने और मुझे स्क्रीन पर बैठने, जानकारी की तलाश में, या इसी तरह की चीजों के लिए मिल रहा है। डेटा की पहुंच और उपयोग और डेटा को देखने या डेटा में परिवर्तन करने का मालिकाना ऑडिटिंग। फिर उस नियंत्रण के चारों ओर रिपोर्टिंग और अनुपालन आवश्यक है। ट्रैफ़िक और एक्सेस की निगरानी करना और बाहरी स्थानों और सर्वरों से आने वाले खतरों को रोकना। उदाहरण के लिए यदि डेटा को इंटरनेट पर एक वेबपेज पर फ़ॉर्म के माध्यम से प्रस्तुत किया जाता है, तो क्या उनके SQL इंजेक्शन को फायरवॉल और कॉन्सेप्ट कंट्रोल के माध्यम से संरक्षित किया गया है? इसके पीछे एक लंबी विस्तृत कहानी है। आप यहां देख सकते हैं कि इनमें से कुछ बिल्कुल मौलिक चीजें हैं जो हम डेटाबेस के अंदर डेटा के आसपास जोखिम को कम करने और प्रबंधित करने के बारे में सोचते हैं। यदि आप प्रौद्योगिकियों के ढेर के विभिन्न स्तरों पर हैं, तो इनमें से कुछ को प्राप्त करना वास्तव में अपेक्षाकृत आसान है। चुनौती अधिक कठिन हो जाती है क्योंकि आपको अधिक से अधिक डेटा, और अधिक डेटाबेस मिलते हैं। सिस्टम को प्रबंधित करने और उनके उपयोग की निगरानी करने वाले लोगों के साथ अधिक से अधिक चुनौतीपूर्ण, प्रासंगिक विवरणों को ट्रैक करते हैं जो विशेष रूप से उन चीजों से संबंधित हैं जो रॉबिन ने व्यक्तिगत अनुपालन जैसी चीजों के बारे में बात की थी। व्यक्तियों का नियंत्रण और उनके आसपास के तंत्र हैं जो अनुपालन करते हैं - यदि आप कुछ गलत करते हैं, तो आपको संभावित रूप से निकाल दिया जाता है। अगर मैं अपने खाते के रूप में लॉग इन करता हूं तो आपको इसे देखने देना चाहिए, जो कि एक मजबूत अपराध होना चाहिए। अब मैंने आपको उन डेटा तक पहुंच प्रदान कर दी है जो आपको सामान्य रूप से नहीं देखने चाहिए।
व्यक्तिगत अनुपालन है, कॉर्पोरेट अनुपालन है, कंपनियों की नीतियां और नियम हैं, और नियंत्रण है कि वे खुद पर सेट हैं इसलिए कंपनी अच्छी तरह से चलती है और लाभ पर वापसी और निवेशकों और शेयरधारकों को एक अच्छा रिटर्न प्रदान करती है। फिर अक्सर शहरव्यापी या राज्यव्यापी या राष्ट्रीय, संघीय होता है जैसा कि आपने कहा कि अमेरिकी नियंत्रण और कानून। फिर वैश्विक हैं। दुनिया की कुछ बड़ी घटनाएं, जहां सर्बनेस-ऑक्सले, दो व्यक्तियों को पसंद किया जाता है, जिन्हें डेटा और सिस्टम की सुरक्षा के तरीकों के बारे में बताया जाता है। यूरोप में बेसल है और ऑस्ट्रेलिया में सभी तरह के नियंत्रण हैं, विशेष रूप से स्टॉक एक्सचेंज और क्रेडेंशियल प्लेटफार्मों के आसपास, और फिर व्यक्तिगत या कंपनी स्तर पर गोपनीयता। जब इनमें से प्रत्येक को स्टैक किया जाता है जैसा कि आपने रॉबिन की एक साइट में देखा था, तो वे चढ़ाई करने के लिए लगभग एक असंभव पहाड़ बन जाते हैं। लागत बहुत अधिक है और हम उस बिंदु पर हैं जहां मूल पारंपरिक दृष्टिकोण जिसे आप जानते हैं, जैसे कि मानव नियंत्रण को मापता है, अब एक उपयुक्त दृष्टिकोण नहीं है क्योंकि पैमाना बहुत बड़ा है।
हमारे पास एक परिदृश्य है जहां अनुपालन वह है जिसे मैं अब हमेशा एक समस्या कहता हूं। और वह यह है कि हम संभावित रूप से समय या मासिक या त्रैमासिक या वार्षिक रूप से एक बिंदु रखते थे, जहां हम अपने राष्ट्र की स्थिति की समीक्षा करेंगे और अनुपालन और नियंत्रण में मदद करेंगे। यह सुनिश्चित करना कि कुछ लोगों की निश्चित पहुंच थी और उनकी अनुमतियों के आधार पर कुछ निश्चित पहुंच नहीं थी। अब यह उन चीजों की गति का मामला है जिनके साथ चीजें चलती हैं, जिस गति से चीजें बदलती हैं, जिस पैमाने पर हम काम कर रहे हैं। अनुपालन एक हमेशा की समस्या है और वैश्विक वित्तीय संकट केवल एक उदाहरण था जहां प्रासंगिक नियंत्रण, और सुरक्षा और अनुपालन में उपायों से संभावित रूप से एक परिदृश्य से बचा जा सकता था जहां हमारे पास कुछ व्यवहार की एक भाड़ा मालगाड़ी थी। बस पूरी दुनिया के साथ प्रभावी ढंग से एक स्थिति पैदा करना यह जानना कि यह टूट जाएगा और दिवालिया हो जाएगा। ऐसा करने के लिए, हमें सही उपकरण चाहिए। ट्रेन में मानव को फेंकना, शव फेंकना अब एक वैध दृष्टिकोण नहीं है क्योंकि पैमाना बहुत बड़ा है और चीजें बहुत तेजी से आगे बढ़ रही हैं। आज चर्चा, मुझे लगता है कि हम इस पर लागू होने वाले उपकरणों के प्रकारों के बारे में हैं। विशेष रूप से उपकरण जो IDERA हमें प्रदान कर सकते हैं कि ऐसा करना चाहिए। और इस बात को ध्यान में रखते हुए, मैं इसे अपनी सामग्री के माध्यम से चलने के लिए बुलेट्ट को सौंपने जा रहा हूं और हमें उनके दृष्टिकोण और उन उपकरणों को दिखाऊंगा, जो उन्हें इस समस्या को हल करने के लिए मिले हैं जो अब हम आपके लिए पेश कर चुके हैं।
उस के साथ, Bullett, मैं तुम्हें सौंप देंगे।
बुलेट मनले: बहुत अच्छा लगता है, धन्यवाद। मैं कुछ स्लाइड्स के बारे में बात करना चाहता हूं और मैं आपको एक उत्पाद भी दिखाना चाहता हूं जो हम SQL सर्वर डेटाबेस के लिए उपयोग करते हैं विशेष रूप से अनुपालन स्थितियों के साथ मदद करने के लिए। वास्तव में, बहुत सारे मामलों में चुनौती - मैं इनमें से कुछ को छोड़ कर जा रहा हूं - यह सिर्फ हमारे उत्पादों का पोर्टफोलियो है, मैं उस बहुत जल्दी से गुजरने वाला हूं। वास्तव में जहां इस उत्पाद का पता चल रहा है और यह अनुपालन से कैसे संबंधित है, मैं हमेशा इसे पहली स्लाइड की तरह खींचता हूं क्योंकि यह एक सामान्य है, "अरे, डीबीए की जिम्मेदारी क्या है?" उपयोगकर्ता की पहुंच को नियंत्रित और निगरानी कर रहा है और रिपोर्ट तैयार करने में भी सक्षम है। जब आप अपने ऑडिटर से बात कर रहे हों, तो यह टाई करना मुश्किल है कि यह प्रक्रिया कितनी कठिन हो सकती है, यह निर्भर करता है कि आप इसे अपने दम पर करने जा रहे हैं या यदि आप किसी थर्ड-पार्टी का उपयोग करने जा रहे हैं मदद करने के लिए उपकरण।
आम तौर पर बोलते हुए, जब मैं डेटाबेस प्रशासकों से बात कर रहा होता हूं, तो बहुत बार वे एक ऑडिट में कभी शामिल नहीं होते हैं। आपको उन्हें शिक्षित करना होगा कि वास्तव में ऐसा क्या है जो आप वास्तव में कर रहे हैं। संबंधित किस प्रकार के अनुपालन को पूरा करने की आवश्यकता है और यह साबित करने में सक्षम है कि आप वास्तव में नियमों का पालन कर रहे हैं क्योंकि यह अनुपालन के उस स्तर पर लागू होता है। बहुत सारे लोगों को यह पहली बार में नहीं मिलता है। वे सोचते हैं, "ओह, मैं बस एक उपकरण खरीद सकता हूं जो मुझे आज्ञाकारी बना देगा।" वास्तविकता यह है, ऐसा नहीं है। काश मैं कह सकता हूं कि हमारे उत्पाद जादुई रूप से, आप जानते हैं, आसान बटन को मारकर, आपको यह सुनिश्चित करने की क्षमता दी कि आप अनुपालन में हैं। वास्तविकता यह है कि आपको अपने पर्यावरण को नियंत्रण के संदर्भ में स्थापित करना होगा, इस बात के संदर्भ में कि लोग डेटा तक कैसे पहुंच रहे हैं, कि सभी को आपके द्वारा किए जाने वाले एप्लिकेशन के साथ काम करना होगा। उस संवेदनशील डेटा को कहाँ संग्रहीत किया जा रहा है, यह किस प्रकार की नियामक आवश्यकता है। फिर, आमतौर पर एक आंतरिक अनुपालन अधिकारी के साथ काम करने के साथ-साथ यह सुनिश्चित करने में सक्षम होने के लिए कि आप सभी नियमों का पालन कर रहे हैं।
यह वास्तव में जटिल लगता है। यदि आप सभी विनियामक आवश्यकताओं को देखते हैं, तो आप सोचेंगे कि ऐसा ही होगा, लेकिन वास्तविकता यह है कि यहां एक सामान्य भाजक है। उस उपकरण के साथ हमारे मामले में जो मैं आपको आज दिखाने जा रहा हूं, अनुपालन प्रबंधक उत्पाद, हमारी स्थिति में प्रक्रिया यह होगी कि, हम सबसे पहले और सबसे महत्वपूर्ण, हमें यह सुनिश्चित करने की आवश्यकता है कि हम ऑडिट ट्रेल डेटा एकत्र कर रहे हैं, संबंधित जहां डेटा संवेदनशील है उस डेटाबेस में है। आप सब कुछ इकट्ठा कर सकते हैं, है ना? मैं बाहर जा सकता था और कह सकता था कि मैं इस डेटाबेस पर होने वाले प्रत्येक लेनदेन को इकट्ठा करना चाहता हूं। वास्तविकता यह है कि आपके पास शायद केवल एक छोटा सा अंश या लेनदेन का एक छोटा प्रतिशत है जो वास्तव में संवेदनशील डेटा से संबंधित हैं। यदि यह PCI अनुपालन है तो यह क्रेडिट कार्ड की जानकारी, क्रेडिट कार्ड के मालिकों, उनकी व्यक्तिगत जानकारी के आसपास होने वाला है। आपके लेनदेन से संबंधित अन्य लेनदेन का एक टन हो सकता है, कि पीसीआई की नियामक आवश्यकता पर वास्तव में कोई असर नहीं पड़ता है।
उस दृष्टिकोण से, पहली बात जब मैं डीबीए से बात करता हूं तो मैं कहता हूं, “नंबर एक चुनौती आपके लिए इन चीजों को करने के लिए एक उपकरण प्राप्त करने की कोशिश नहीं कर रही है। यह सिर्फ यह जानना है कि वह संवेदनशील डेटा कहां है और हम उस डेटा को कैसे लॉक कर रहे हैं? "यदि आपके पास है, यदि आप उस प्रश्न का उत्तर दे सकते हैं, तो आप आधे घर में हैं जो यह दिखाने में सक्षम है कि आप अनुपालन में हैं, यह मानते हुए कि आप सही नियंत्रण का पालन कर रहे हैं। आइए एक दूसरे के लिए कहें कि आप सही नियंत्रणों का पालन कर रहे हैं और आपने ऑडिटरों से कहा कि ऐसा ही है। प्रक्रिया का अगला भाग स्पष्ट रूप से एक ऑडिट ट्रेल प्रदान करने में सक्षम है जो दिखाता है और उन नियंत्रणों को मान्य करता है जो वास्तव में काम कर रहे हैं। फिर, यह सुनिश्चित करने के साथ कि आप उस डेटा को सहेजते हैं। आमतौर पर पीसीआई और एचआईपीएए अनुपालन जैसी चीजों और उन प्रकार की चीजों के साथ, आप सात साल के प्रतिधारण के लायक बात कर रहे हैं। आप बहुत सारे लेनदेन और बहुत सारे डेटा के बारे में बात कर रहे हैं।
यदि आप रख रहे हैं, तो भी प्रत्येक लेनदेन को एकत्रित करना, भले ही केवल पांच प्रतिशत लेनदेन संवेदनशील डेटा से संबंधित हों, आप उस डेटा को सात वर्षों तक संग्रहीत करने के लिए संबंधित एक बहुत बड़ी लागत के बारे में बात कर रहे हैं। मुझे लगता है कि सबसे बड़ी चुनौतियों में से एक है, लोगों के सिर के चारों ओर यह कहने के लिए, कि वास्तव में अनावश्यक लागत है। यह बहुत आसान है अगर हम डेटाबेस के भीतर संवेदनशील क्षेत्रों पर ध्यान केंद्रित कर सकते हैं। इसके अलावा आप कुछ संवेदनशील जानकारी के साथ-साथ नियंत्रण भी चाहते हैं। न केवल एक ऑडिट ट्रेल के संदर्भ में, बल्कि उन चीजों को वापस करने में सक्षम होने के लिए जो कि हो रही हैं और वास्तविक समय में अधिसूचित होने में सक्षम हैं, ताकि आपको इसके बारे में अवगत कराया जा सके।
उदाहरण मैं हमेशा उपयोग करता हूं, और यह जरूरी नहीं कि किसी भी प्रकार की नियामक आवश्यकता से संबंधित हो, लेकिन सिर्फ ट्रैक करने में सक्षम हो, उदाहरण के लिए, किसी को पेरोल से जुड़ी तालिका को छोड़ना था। यदि ऐसा होता है, तो जिस तरह से आप इसके बारे में पता लगा रहे हैं, यदि आप उस पर नज़र नहीं रख रहे हैं, तो कोई भी भुगतान नहीं किया जाता है। यह भी काफी देरी से है। आप जानना चाहते हैं कि वह टेबल कब गिरा है, ठीक है जब वह गिरा, किसी भी असंतुष्ट कर्मचारी के परिणामस्वरूप होने वाली किसी भी बुरी चीजों से बचने के लिए और पेरोल से सीधे बंधे टेबल को हटा देना।
उस कहा के साथ, ट्रिक आम भाजक को खोज रही है या उस आम भाजक को मैप करने के लिए उपयोग कर रही है कि अनुपालन का स्तर क्या है। इस उपकरण के साथ हम ऐसा करने की कोशिश करते हैं। हम मूल रूप से दृष्टिकोण लेते हैं, हम आपको एक रिपोर्ट दिखाने जा रहे हैं जो पीसीआई के लिए विशिष्ट है, स्टॉक के लिए विशिष्ट है; आम भाजक आप एक अनुप्रयोग है जो डेटाबेस के भीतर संवेदनशील डेटा को संग्रहीत करने के लिए SQL सर्वर का उपयोग कर रहा है। एक बार जब आप उस पर हावी हो जाते हैं, तो आप कहते हैं, "हाँ यह वास्तव में मुख्य बात है जिस पर हमें ध्यान केंद्रित करने की आवश्यकता है - वह संवेदनशील डेटा कहां है, और इसे कैसे एक्सेस किया जा रहा है?" एक बार जब आपके पास ऐसा होता है, तो एक टन रिपोर्ट होती है, जो हम प्रदान करते हैं जो कि उस प्रमाण को प्रदान कर सकती है, आप अनुपालन करेंगे।
एक ऑडिटर द्वारा पूछे जाने वाले प्रश्नों पर वापस जाना, पहला सवाल यह है कि डेटा तक किसकी पहुंच है और वे उस एक्सेस को कैसे प्राप्त कर रहे हैं? क्या आप साबित कर सकते हैं कि सही लोग डेटा एक्सेस कर रहे हैं और गलत लोग नहीं हैं? क्या आप यह भी साबित कर सकते हैं कि ऑडिट ट्रेल ही एक ऐसी चीज है, जिसे मैं सूचना के अपरिवर्तनीय स्रोत के रूप में भरोसा कर सकता हूं? यदि मैं आपको एक ऑडिट ट्रेल दे रहा हूँ जो कि गढ़ी गई है, तो यह वास्तव में मुझे इतना अच्छा नहीं करता है कि यदि सूचना तैयार की जाती है तो आपके ऑडिट को पैच करने के लिए एक ऑडिटर के रूप में बहुत अच्छा होगा। हमें इसका प्रमाण चाहिए, आम तौर पर ऑडिटिंग के नजरिए से।
उन सवालों के माध्यम से जा रहे हैं, थोड़ा और अधिक विस्तृत की तरह। पहले प्रश्न के साथ चुनौती है, आपको यह जानना होगा, जैसे मैंने कहा, जहां यह संवेदनशील डेटा रिपोर्ट करने के लिए है कि कौन इसे एक्सेस कर रहा है। यह आमतौर पर किसी प्रकार की खोज है और वास्तव में आपको हजारों अलग-अलग एप्लिकेशन मिले हैं जो वहां हैं, आपको विभिन्न नियामक आवश्यकताओं के टन मिले हैं। ज्यादातर मामलों में आप अपने अनुपालन अधिकारी के साथ काम करना चाहते हैं यदि आपके पास एक है, या कम से कम कोई है जो वास्तव में जहां मेरे संवेदनशील डेटा एप्लिकेशन के भीतर है, के संदर्भ में कुछ अतिरिक्त जानकारी होगी। हमारे पास एक उपकरण है जो हमारे पास है, यह एक मुफ़्त उपकरण है, इसे SQL कॉलम खोज कहा जाता है। हम अपने संभावित ग्राहकों और उपयोगकर्ताओं को उस प्रश्न में रुचि रखते हैं, वे इसे डाउनलोड कर सकते हैं। यह क्या करने जा रहा है, यह मूल रूप से डेटाबेस के भीतर की जानकारी की तलाश करने वाला है जो प्रकृति में संवेदनशील होने की संभावना है।
और फिर एक बार जब आप ऐसा करते हैं, तो आपको यह भी समझना होगा कि लोग उस डेटा को कैसे एक्सेस कर रहे हैं। और वह होने जा रहा है, एक बार फिर, कौन से खाते हैं जिसके भीतर सक्रिय निर्देशिका समूह, कौन से डेटाबेस उपयोगकर्ता शामिल हैं, इसके लिए एक भूमिका सदस्यता जुड़ी हुई है। और निश्चित रूप से, इन सभी बातों को ध्यान में रखते हुए, जिन्हें हम ऑडिटर द्वारा अनुमोदित किए जाने की बात कर रहे हैं, इसलिए यदि आप कहते हैं, "यह है कि हम डेटा को कैसे लॉक कर रहे हैं, " तो ऑडिटर आ सकते हैं वापस और कहते हैं, "ठीक है, आप इसे गलत कर रहे हैं।" लेकिन हम कहते हैं कि वे कहते हैं, "हाँ, यह अच्छा लग रहा है। आप डेटा को पर्याप्त रूप से लॉक कर रहे हैं। "
अगले प्रश्न पर चलते हुए, जो होने जा रहा है, क्या आप साबित कर सकते हैं कि सही लोग उस डेटा तक पहुंच रहे हैं? दूसरे शब्दों में, आप उन्हें बता सकते हैं कि आपके नियंत्रण हैं, यह वे नियंत्रण हैं जिनका आप अनुसरण कर रहे हैं, लेकिन दुर्भाग्य से ऑडिटर वास्तविक भरोसेमंद व्यक्ति नहीं हैं। वे इसका सबूत चाहते हैं और वे इसे ऑडिट ट्रेल के भीतर देखना चाहते हैं। और यह उस पूरे सामान्य भाजक की ओर वापस जाता है। चाहे वह PCI हो, SOX, HIPAA, GLBA, बेसल II, जो भी हो, वास्तविकता यह है कि एक ही प्रकार के प्रश्न आम तौर पर पूछे जाने वाले हैं। संवेदनशील जानकारी वाली वस्तु, जिसने पिछले महीने के भीतर उस वस्तु को एक्सेस किया है? मुझे अपने नियंत्रणों का नक्शा बनाना चाहिए और मुझे उन प्रकार की रिपोर्टों को दिखा कर अंततः अपना ऑडिट पास करने में सक्षम होना चाहिए।
और इसलिए हमने जो किया है वह लगभग 25 अलग-अलग रिपोर्टों को संकलित करता है जो उसी तरह के क्षेत्रों में उस आम भाजक के रूप में अनुसरण करते हैं। इसलिए हमारे पास PCI के लिए या HIPAA के लिए या SOX के लिए कोई रिपोर्ट नहीं है, हमारे पास ऐसी रिपोर्टें हैं, जो एक बार फिर से उस आम भाजक के खिलाफ उठ जाती हैं। और इसलिए यह वास्तव में मायने नहीं रखता है कि आप किस नियामक आवश्यकता को पूरा करने की कोशिश कर रहे हैं, ज्यादातर मामलों में आप उस ऑडिटर द्वारा आपके लिए जो भी प्रश्न प्रस्तुत करते हैं, उसका उत्तर देने में सक्षम हो सकते हैं। और वे आपको यह बताने जा रहे हैं कि कौन, क्या, कब और कहां हर लेनदेन का। आप जानते हैं, उपयोगकर्ता, लेन-देन का समय, SQL कथन स्वयं, जिस एप्लिकेशन से यह आया है, वह सब कुछ अच्छा सामान है, और फिर इस जानकारी के वितरण को रिपोर्ट करने के लिए स्वचालित करने में भी सक्षम है।
और फिर, एक बार फिर से, एक बार जब आप पिछले हो जाते हैं और आपने ऑडिटर को प्रदान किया है, तो अगला सवाल यह साबित होने वाला है। और जब मैं कहता हूं कि मैं इसे साबित करता हूं, तो मेरा मतलब है कि ऑडिट ट्रेल ही कुछ ऐसा है जिस पर हम भरोसा कर सकते हैं। और जिस तरह से हम करते हैं कि हमारे टूल में हमारे पास हैश मान और सीआरसी मूल्य हैं जो ऑडिट ट्रेल के भीतर खुद को सीधे घटनाओं से जोड़ते हैं। और इसलिए विचार यह है, कि अगर कोई बाहर जाता है और किसी रिकॉर्ड को हटा देता है या यदि कोई व्यक्ति बाहर निकल जाता है या ऑडिट ट्रेल में कुछ हटा देता है या ऑडिट ट्रेल में कुछ बदल देता है, तो हम यह साबित कर सकते हैं कि डेटा, अखंडता डेटा का ही उल्लंघन किया गया था। और इसलिए 99.9 प्रतिशत समय यदि आपने हमारे ऑडिट ट्रेल डेटाबेस को बंद कर दिया है, तो आप उस समस्या में नहीं आएंगे क्योंकि जब हम उस अखंडता की जांच करते हैं, तो हम अनिवार्य रूप से ऑडिटर को साबित कर रहे हैं कि डेटा स्वयं नहीं है प्रबंधन सेवा से मूल लेखन के बाद से परिवर्तित और हटाए गए या जोड़े गए।
इसलिए यह सामान्य प्रकार का सामान्य प्रकार का प्रश्न है जो आपसे पूछा जाएगा। अब, जिस टूल को हमें बहुत अधिक संबोधित करना है, उसे SQL कंप्लायंस मैनेजर कहा जाता है और यह लेन-देन को ट्रैक करने के मामले में उन सभी चीजों को करता है, जो लेन-देन के समय, क्या, कब और कहाँ, ऐसा करने में सक्षम है साथ ही विभिन्न क्षेत्रों की संख्या। लॉगिन, विफल लॉगिन, स्कीमा परिवर्तन, स्पष्ट रूप से डेटा का उपयोग, गतिविधि का चयन करें, वे सभी चीजें जो डेटाबेस इंजन के भीतर हो रही हैं। और हम विशिष्ट, बहुत ही दयनीय स्थितियों के उपयोगकर्ताओं को सचेत करने में सक्षम हो रहे हैं, यदि आवश्यक हो। उदाहरण के लिए, किसी का बाहर जाना और वास्तव में उस तालिका को देखना जिसमें मेरे सभी क्रेडिट कार्ड नंबर शामिल हैं। वे डेटा नहीं बदल रहे हैं, वे इसे देख रहे हैं। उस स्थिति में मैं सतर्क हो सकता हूं और मैं लोगों को यह बता सकता हूं कि जब हम लॉग को स्क्रैप कर रहे हैं, लेकिन वास्तविक समय में नहीं, तो छह घंटे बाद। यह मूल रूप से तब तक है जब तक कि हमें प्रबंधन सेवा के माध्यम से उस लेनदेन को संसाधित करने में समय लगता है।
जैसा कि मैंने पहले उल्लेख किया है, हमने इसे विभिन्न नियामक आवश्यकताओं की एक किस्म में इस्तेमाल किया है और यह वास्तव में नहीं है - आप जानते हैं, किसी भी नियामक आवश्यकता, एक बार फिर, जब तक कि आम भाजक, आपके पास SQL सर्वर में संवेदनशील डेटा है डेटाबेस, यह एक उपकरण है जो उस प्रकार की स्थिति में मदद करेगा। अभी जो 25 रिपोर्टें बनी हैं, उनमें वास्तविकता यह है कि हम इस उपकरण को ऑडिटर के लिए अच्छा बना सकते हैं और उनके द्वारा पूछे गए हर एक प्रश्न का उत्तर देते हैं, लेकिन डीबीए वे हैं जिन्हें इसे काम करना है। इसलिए यह भी है कि आप अच्छी तरह से जानते हैं, रखरखाव के नजरिए से हमें यह सुनिश्चित करना होगा कि SQL जिस तरह से काम करना चाहता है। हमें उन चीजों को देखने और उनमें सक्षम होने के लिए भी सक्षम होना चाहिए जो बाहर जाने और जानकारी के अन्य टुकड़ों को देखने में सक्षम हैं, आप जानते हैं, जहां तक डेटा के संग्रह, उस के स्वचालन और ओवरहेड। उत्पाद का ही। वे चीजें हैं जो हम स्पष्ट रूप से ध्यान में रखते हैं।
जो अपने आप वास्तुकला को सामने लाता है। इसलिए स्क्रीन के दाईं ओर हमने SQL के उदाहरण दिए हैं जिन्हें हम प्रबंधित करते हैं, 2000 से 2014 तक सब कुछ, 2016 के लिए एक संस्करण जारी करने के लिए तैयार हो रहे हैं। इस स्क्रीन पर सबसे बड़ा टेकवे है कि प्रबंधन सर्वर ही सभी भारी उठाने कर रहा है। हम एसक्यूएल सर्वर के साथ निर्मित ट्रेस एपीआई का उपयोग करके, केवल डेटा एकत्र कर रहे हैं। वह सूचना हमारे प्रबंधन सर्वर तक छल कर रही है। वह प्रबंधन सर्वर स्वयं की पहचान कर रहा है और यदि कोई घटनाएँ किसी भी प्रकार के लेन-देन से जुड़ी हुई हैं, जो हम नहीं चाहते हैं, तो अलर्ट भेजना, और उन प्रकार की चीजें, और फिर रिपॉजिटरी के भीतर डेटा को पॉप्युलेट करना। वहां से हम रिपोर्ट चला सकते हैं, हम बाहर जा सकेंगे और वास्तव में उस सूचना को रिपोर्ट में या एप्लिकेशन के कंसोल में भी देख पाएंगे।
तो मैं आगे बढ़ने जा रहा हूं और क्या मैं ऐसा करने जा रहा हूं, जिससे हम वास्तविक रूप से जल्दी, और मैं उत्पाद में कूदने से पहले एक त्वरित बात बताना चाहता हूं, अभी वेबसाइट पर एक लिंक है या प्रस्तुति पर, जो आपको पहले बताए गए मुफ्त टूल पर ले जाएगा। यह मुफ्त उपकरण है, जैसे मैंने कहा, यह एक डेटाबेस को देखने और बाहर जाने और उन क्षेत्रों को खोजने की कोशिश करेगा जो संवेदनशील डेटा, सामाजिक सुरक्षा नंबर, क्रेडिट कार्ड नंबर जैसे कॉलम या टेबल की नमिंग के आधार पर देखते हैं। या डेटा के प्रारूप को देखने के तरीके के आधार पर, और आप इसे अनुकूलित कर सकते हैं, इसलिए केवल उस बिंदु को इंगित करने के लिए।
अब, हमारे मामले में मुझे आगे बढ़ने और मेरी स्क्रीन को साझा करने के लिए, मुझे यहां एक सेकंड दें। ठीक है, और इसलिए, जो मैं आपको पहले ले जाना चाहता था, वह है कि मैं आपको खुद कंप्लायंस मैनेजर के आवेदन पर ले जाना चाहता हूं और मैं इस बहुत जल्दी से गुजरने वाला हूं। लेकिन यह आवेदन है और आप देख सकते हैं कि मुझे यहां कुछ डेटाबेस मिले हैं और मैं आपको बस यह दिखाने जा रहा हूं कि इसमें जाना कितना आसान है और यह बताएं कि आप क्या देख रहे हैं। स्कीमा परिवर्तन, सुरक्षा परिवर्तन, प्रशासनिक गतिविधियों, डीएमएल, चयन के दृष्टिकोण से, हमारे पास वे सभी विकल्प उपलब्ध हैं, जिन्हें हम नीचे फ़िल्टर भी कर सकते हैं। यह कहने में सक्षम होने के सबसे अच्छे अभ्यास पर वापस जाता है, “मुझे वास्तव में केवल इस तालिका की आवश्यकता है क्योंकि इसमें मेरे क्रेडिट कार्ड नंबर हैं। मुझे उन अन्य तालिकाओं की आवश्यकता नहीं है जिनके पास उत्पाद की जानकारी है, वे सभी अन्य चीजें जो अनुपालन के स्तर के सापेक्ष नहीं हैं जो मैं मिलने की कोशिश कर रहा हूं। "
हमारे पास डेटा को कैप्चर करने और इसे बदलने वाले क्षेत्रों के मूल्यों के संदर्भ में दिखाने की क्षमता भी है। बहुत सारे टूल में आपके पास कुछ ऐसा होगा जो आपको SQL स्टेटमेंट कैप्चर करने की सुविधा देगा, उपयोगकर्ता को दिखाएगा, एप्लिकेशन, समय और दिनांक, यह सब अच्छा सामान दिखाएगा। लेकिन कुछ मामलों में SQL कथन स्वयं आपको यह बताने के लिए पर्याप्त जानकारी नहीं देने वाला है कि परिवर्तन होने के बाद क्षेत्र का मान क्या है और साथ ही साथ फ़ील्ड का मान क्या है। और कुछ स्थितियों में आपको इसकी आवश्यकता होती है। मैं, उदाहरण के लिए, डॉक्टर के पर्चे की दवाओं के लिए डॉक्टर की खुराक की जानकारी को ट्रैक करना चाह सकता हूं। यह 50mg से 80mg से 120mg तक चला गया, मैं पहले और बाद का उपयोग करके ट्रैक कर पाऊंगा।
संवेदनशील स्तंभ एक और चीज है जिसे हम बहुत अधिक मात्रा में चलाते हैं, उदाहरण के लिए, पीसीआई अनुपालन के साथ। यहाँ स्थिति में आपको डेटा मिला है जो प्रकृति में इतना संवेदनशील है कि बस उस जानकारी को देखकर, मुझे इसे बदलना नहीं है, इसे हटाना है, या इसे जोड़ना है, मैं अपूरणीय नुकसान पहुंचा सकता हूं। क्रेडिट कार्ड नंबर, सोशल सिक्योरिटी नंबर, सभी तरह के अच्छे सामान हम संवेदनशील कॉलम की पहचान कर सकते हैं और इसके लिए अलर्ट टाई कर सकते हैं। यदि कोई बाहर जाता है और उस जानकारी को देखता है, तो हम स्पष्ट रूप से, एक ईमेल भेजेंगे और एक एसएनएमपी जाल और उन प्रकार की चीजों को उत्पन्न कर सकेंगे।
अब कुछ मामलों में आप ऐसी स्थिति में दौड़ने जा रहे हैं, जहाँ आपके पास अपवाद हो सकता है। और मुझे इससे क्या मतलब है, आपके पास एक ऐसी स्थिति है जहां आपके पास एक उपयोगकर्ता खाता है जो किसी प्रकार के ईटीएल नौकरी से बंधा हो सकता है जो रात के मध्य में चलता है। यह एक प्रलेखित प्रक्रिया है और मुझे सिर्फ उस उपयोगकर्ता खाते के लिए उस लेन-देन संबंधी जानकारी को शामिल करने की आवश्यकता नहीं है। उस स्थिति में हमारे पास एक विश्वसनीय उपयोगकर्ता होगा। और फिर अन्य स्थितियों में हम प्रिविलेज्ड यूजर ऑडिटिंग की सुविधा का उपयोग करेंगे, जो अनिवार्य रूप से है, अगर मुझे मिल गया है, तो उदाहरण के लिए, एक एप्लिकेशन और उस एप्लिकेशन के पहले से ही ऑडिटिंग कर रहे उपयोगकर्ताओं के लिए, जो एप्लिकेशन से गुजर रहे हैं, महान, मेरे पास पहले से ही मेरे ऑडिट के संदर्भ में कुछ है। लेकिन जिन चीज़ों से बंधा हुआ है, उदाहरण के लिए, मेरे विशेषाधिकार प्राप्त उपयोगकर्ता, जो लोग डेटाबेस के भीतर डेटा को देखने के लिए SQL सर्वर प्रबंधन स्टूडियो में जा सकते हैं, वह इसे काटने नहीं जा रहे हैं। और इसलिए यह वह जगह है जहां हम परिभाषित कर सकते हैं कि हमारे विशेषाधिकार प्राप्त उपयोगकर्ता कौन हैं, या तो भूमिका सदस्यता के माध्यम से, या अपने सक्रिय निर्देशिका खातों, समूहों, अपने SQL-प्रमाणीकृत खातों के माध्यम से, जहां हम उन विभिन्न प्रकार के विकल्पों में से सभी का चयन करने में सक्षम होंगे और तब से यह सुनिश्चित करें कि उन विशेषाधिकार प्राप्त उपयोगकर्ताओं के लिए हम उन प्रकार के लेन-देन को निर्दिष्ट कर सकते हैं जिनकी हम ऑडिटिंग में रुचि रखते हैं।
ये सभी प्रकार के विभिन्न विकल्प हैं जो आपके पास हैं और मैं इस प्रस्तुति के लिए समय की कमी के आधार पर सभी प्रकार की विभिन्न प्रकार की चीजों से गुजरने वाला नहीं हूं। लेकिन मैं आपको दिखाना चाहता हूं कि हम डेटा को कैसे देख सकते हैं और मुझे लगता है कि आप यह पसंद करेंगे कि यह कैसे काम करता है क्योंकि दो तरीके हैं जो हम कर सकते हैं। मैं इसे अंतःक्रियात्मक रूप से कर सकता हूं और इसलिए जब हम ऐसे लोगों से बात करते हैं जो शायद अपने स्वयं के आंतरिक नियंत्रण के लिए इस उपकरण में रुचि रखते हैं, तो वे बस यह जानना चाहते हैं कि बहुत सारे मामलों में क्या हो रहा है। जरूरी नहीं कि वे साइट पर आने वाले ऑडिटर हों। वे बस यह जानना चाहते हैं, "अरे, मैं इस तालिका के बाद जाना चाहता हूं और देखना चाहता हूं कि पिछले सप्ताह या आखिरी महीने में इसे किसने छुआ है या जो कुछ भी हो सकता है।" इस मामले में आप देख सकते हैं कि हम कितनी जल्दी ऐसा कर सकते हैं।
स्वास्थ्य देखभाल डेटाबेस के मामले में, मुझे रोगी रिकॉर्ड्स नामक एक तालिका मिली है। और वह तालिका, यदि मैं ऑब्जेक्ट द्वारा सिर्फ समूह में था, तो यह बहुत तेज़ी से संकीर्ण होना शुरू कर सकता है जहां हम खोज रहे हैं। शायद मैं श्रेणी के आधार पर समूह बनाना चाहता हूं और फिर शायद घटना से। और जब मैं ऐसा करता हूं, तो आप देख सकते हैं कि यह कितनी जल्दी दिखाता है, और वहां मेरा रोगी रिकॉर्ड्स टेबल है। और जैसा कि हम ड्रिल करते हैं अब हम डीएमएल गतिविधि देख सकते हैं, हम देख सकते हैं कि हमारे पास डीएमएल के एक हजार आवेषण हैं, और जब हम इन लेनदेन में से एक को खोलते हैं तो हम संबंधित जानकारी देख सकते हैं। कौन, क्या, कब, कहां से लेन-देन, एसक्यूएल स्टेटमेंट, जाहिर है, लेनदेन, खाते, समय और तारीख को निष्पादित करने के लिए इस्तेमाल किया जा रहा वास्तविक आवेदन।
अब यदि आप यहाँ पर अगले टैब को देखते हैं, तो विवरण टैब, यह उस तीसरे प्रश्न पर वापस जाता है जिसके बारे में हम बात कर रहे हैं, जिससे यह साबित होता है कि डेटा की अखंडता का उल्लंघन नहीं हुआ है। इसलिए मूल रूप से हर घटना, हमारे पास अपने हैश मूल्य के लिए एक गुप्त गणना होती है, और यह तब वापस जाता है जब हम अपनी अखंडता की जांच करते हैं। उदाहरण के लिए, अगर मुझे टूल से बाहर जाना था, तो ऑडिटिंग मेनू में जाएं, और मुझे बाहर जाकर कहना था, चलो रिपॉजिटरी अखंडता की जांच करें, मैं उस डेटाबेस को इंगित कर सकता हूं जहां ऑडिट ट्रेल है, यह चलेगा एक अखंडता के माध्यम से वास्तविक घटनाओं के लिए उन हैश मूल्यों और सीआरसी मूल्यों से मेल खाते हैं और यह हमें बताने जा रहा है कि कोई समस्या नहीं मिली है। दूसरे शब्दों में, ऑडिट ट्रेल में डेटा को छेड़छाड़ नहीं किया गया था क्योंकि यह मूल रूप से प्रबंधन सेवा द्वारा लिखा गया था। यह स्पष्ट रूप से डेटा के साथ बातचीत करने का एक तरीका है। दूसरा रास्ता खुद रिपोर्टों के माध्यम से होगा। और इसलिए मैं आपको केवल एक रिपोर्ट का एक त्वरित उदाहरण देने जा रहा हूं।
और एक बार फिर, ये रिपोर्ट, जिस तरह से हम उनके साथ आए थे, वे किसी भी प्रकार के मानक जैसे पीसीआई, एचआईपीएए, एसओएक्स या उस तरह के कुछ के लिए विशिष्ट नहीं हैं। एक बार फिर, यह सामान्य है कि हम क्या कर रहे हैं, और इस मामले में, यदि हम उस रोगी के उदाहरण पर वापस जा रहे हैं, तो हम बाहर जाकर कह सकते हैं, हमारे मामले में, हम देख रहे हैं स्वास्थ्य देखभाल डेटाबेस में और हमारे मामले में हम विशेष रूप से उस तालिका पर ध्यान केंद्रित करना चाहते हैं जिसे हम जानते हैं कि हमारे रोगियों से संबंधित, हमारे मामले में निजी जानकारी शामिल है। और इसलिए, मुझे यह देखने दें कि क्या मैं इसे यहां टाइप कर सकता हूं, और हम आगे जाकर उस रिपोर्ट को चलाएंगे। और हम तब, स्पष्ट रूप से उस वस्तु से संबंधित सभी प्रासंगिक डेटा को देखने जा रहे हैं। और हमारे मामले में यह हमें एक महीने की अवधि के लिए दिखा रहा है। लेकिन हम छह महीने, एक साल वापस जा सकते हैं, हालांकि लंबे समय से हम डेटा को संभाल रहे हैं।
वे तरीके हैं जिनमें आप वास्तव में साबित करने में सक्षम होंगे, यदि आप करेंगे, तो लेखा परीक्षक को जो आप अपने नियंत्रणों का पालन कर रहे हैं। एक बार जब आप इसकी पहचान कर लेते हैं, तो जाहिर है कि आपके ऑडिट को पास करने और यह दिखाने में सक्षम होने के मामले में यह एक अच्छी बात है कि आप नियंत्रण और सब कुछ काम कर रहे हैं।
इस तरह की बात करने के लिए आखिरी चीज जो मैं दिखाना चाहता था, वह प्रशासन अनुभाग में है। इस उपकरण के भीतर के दृष्टिकोण से भी नियंत्रण होता है जो स्वयं यह सुनिश्चित करने में सक्षम होने के लिए नियंत्रण स्थापित करने में सक्षम होता है कि यदि कोई ऐसा कुछ कर रहा है जो वे नहीं कर रहे हैं तो मुझे लगता है कि मैं इसके बारे में जागरूक हो सकता हूं। और मैं आपको वहां कुछ उदाहरण दूंगा। मुझे एक लॉगिन खाता मिला है जो एक सेवा से जुड़ा हुआ है और उस सेवा को यह करने के लिए उन्नत अनुमतियों की आवश्यकता है। मैं नहीं चाहता कि कोई व्यक्ति प्रबंधन स्टूडियो में उस खाते का उपयोग कर रहा है और फिर, आप जानते हैं, इसे उन चीजों के लिए उपयोग कर रहे हैं, जिनके लिए यह उद्देश्य नहीं था। हमारे यहाँ दो मापदंड होंगे जिन्हें हम लागू कर सकते हैं। मैं कह सकता था, "देखो, हम वास्तव में इस काम में रुचि रखते हैं, कहते हैं, हमारे PeopleSoft आवेदन के साथ, " बस एक उदाहरण के रूप में, ठीक है?
अब जब मैंने वह कर दिया है, जो मैं यहाँ कह रहा हूँ, मैं यह जानने के लिए उत्सुक हूँ कि कोई भी लॉगिन है जो उस खाते से बंधा हुआ है जिसे मैं निर्दिष्ट करने के लिए तैयार हूँ, यदि इस खाते के साथ लॉग इन करने के लिए जिस एप्लिकेशन का उपयोग किया जा रहा है। PeopleSoft नहीं है, तो यह अलार्म के लिए एक वृद्धि होने जा रहा है। और स्पष्ट रूप से हमें स्वयं खाते का नाम बताना होगा, इसलिए हमारे मामले में इस विशेषाधिकार को केवल इस बात के लिए कहा जाता है कि यह विशेषाधिकार प्राप्त है। अब एक बार जब हमने ऐसा कर लिया है, जब हम यहां ऐसा करते हैं, तो अब हम यह निर्दिष्ट करने में सक्षम होंगे कि हम क्या चाहते हैं जब ऐसा होता है और प्रत्येक और हर प्रकार की घटना के लिए या, मुझे कहना चाहिए, अलर्ट, आप कर सकते हैं उस व्यक्ति के लिए एक अलग सूचना है जो डेटा के उस विशेष टुकड़े के लिए जिम्मेदार है।
उदाहरण के लिए, यदि यह वेतन की जानकारी है, तो यह एचआर के मेरे निदेशक के पास जा सकती है। इस मामले में, PeopleSoft एप्लिकेशन से निपटना, यह उस एप्लिकेशन का व्यवस्थापक बनने वाला है। जो भी हो। मैं अपने ईमेल पते में डाल सकता हूं, वास्तविक अलर्ट संदेश और उस तरह के सभी अच्छे सामान को अनुकूलित कर सकता हूं। एक बार फिर, यह सुनिश्चित करने में सक्षम हो जाता है कि आप यह दिखा सकते हैं कि आप अपने नियंत्रणों का पालन कर रहे हैं और वे नियंत्रण उसी तरह काम कर रहे हैं जैसा वे चाहते हैं। यहां अंतिम दृष्टिकोण से, सिर्फ रखरखाव के संदर्भ में, हमारे पास इस डेटा को लेने और इसे ऑफ़लाइन रखने की क्षमता है। मैं डेटा को संग्रहीत कर सकता हूं और मैं इसे शेड्यूल कर सकता हूं और हम इन चीजों को बहुत आसानी से इस अर्थ में कर पाएंगे कि आप वास्तव में डीबीए के रूप में क्या कर पाएंगे, जो इस टूल का उपयोग कर रहा है, इसे सेट करें इससे दूर चले जाओ बहुत से हाथ पकड़ना नहीं है जो एक बार होने के बाद आप इसे स्थापित करना चाहते हैं। जैसा कि मैंने कहा, इसमें से किसी के बारे में सबसे कठिन हिस्सा, मुझे लगता है कि आप जो ऑडिट चाहते हैं, वह स्थापित नहीं कर रहे हैं, यह जानते हुए कि आप ऑडिट के लिए क्या करना चाहते हैं।
और जैसा मैंने कहा, ऑडिटिंग के साथ जानवर की प्रकृति, आपको डेटा को सात साल तक रखना होगा, इसलिए यह केवल उन क्षेत्रों में ध्यान केंद्रित करने के लिए समझ में आता है जो प्रकृति में संवेदनशील हैं। लेकिन अगर आप सब कुछ इकट्ठा करने के दृष्टिकोण पर जाना चाहते हैं, तो आप बिल्कुल कर सकते हैं, यह सिर्फ सबसे अच्छा अभ्यास नहीं माना जाता है। इसलिए उस दृष्टिकोण से मैं लोगों को यह याद दिलाना चाहूंगा कि यदि यह ऐसा कुछ है जो आपकी रुचि का है तो आप वेबसाइट IDERA.com पर जा सकते हैं और इसका एक परीक्षण डाउनलोड कर सकते हैं और इसे अपने साथ खेल सकते हैं। मुफ्त टूल के संदर्भ में, जिसके बारे में हमने पहले बात की थी, ठीक है, यह मुफ़्त है, आप इसे डाउनलोड कर सकते हैं और इसे हमेशा के लिए उपयोग कर सकते हैं, भले ही आप अनुपालन प्रबंधक उत्पाद का उपयोग कर रहे हों। और उस स्तंभ खोज उपकरण के बारे में अच्छी बात यह है कि हमारे निष्कर्ष जो आप के साथ आते हैं, और मैं वास्तव में यह दिखा सकता हूं कि, मुझे लगता है, कि आप उस डेटा को निर्यात करने में सक्षम होंगे और फिर इसे अनुपालन प्रबंधक में आयात करने में सक्षम होंगे भी। मैं इसे नहीं देखता, मुझे पता है कि यह यहाँ है, वहाँ यह है। यह उसी का एक उदाहरण है। यह वह जगह है जहां यह संबंधित संवेदनशील डेटा ढूंढ रहा है।
अब यह मामला मैं बाहर चला गया हूँ और मैं वास्तव में, मैं सब कुछ देख रहा हूँ, लेकिन आपके पास एक टन सामान है जिसे हम जांच सकते हैं। क्रेडिट कार्ड नंबर, पते, नाम, सभी तरह के सामान। और हम पहचान करेंगे कि यह डेटाबेस में कहां है और फिर वहां से आप यह निर्णय ले सकते हैं कि आप वास्तव में उस जानकारी का ऑडिट करना चाहते हैं या नहीं। लेकिन यह निश्चित रूप से आपके लिए ऑडिटिंग के दायरे को परिभाषित करने के लिए इसे बहुत आसान बनाने का एक तरीका है जब आप इस तरह से टूल देख रहे हों।
मैं बस आगे बढ़ूंगा और उसके साथ करीब आऊंगा, और मैं आगे बढ़कर एरिक के पास वापस जाऊंगा।
एरिक कवनघ: यह एक शानदार प्रस्तुति है। मैं उस तरह से प्यार करता हूँ जैसे आप वास्तव में वहाँ के विवरणों में आते हैं और हमें दिखाते हैं कि क्या चल रहा है। क्योंकि दिन के अंत में कुछ सिस्टम है जो कुछ रिकॉर्ड को एक्सेस करने जा रहा है, जो आपको एक रिपोर्ट देने जा रहा है, जो आपको अपनी कहानी बताने जा रहा है, चाहे वह एक नियामक हो या एक ऑडिटर या आपकी टीम का कोई व्यक्ति, तो यह अच्छा है कि आप जानते हैं कि आप तैयार हैं और अगर, या जब और जैसे, वह व्यक्ति दस्तक दे रहा है, और निश्चित रूप से वह अप्रिय स्थिति है जिससे आप बचने की कोशिश कर रहे हैं। लेकिन अगर ऐसा होता है, और यह शायद इन दिनों होगा, तो आप यह सुनिश्चित करना चाहते हैं कि आपके पास मेरा आई डॉटेड और आपके टी का क्रॉस है।
वहाँ एक अच्छा सवाल है एक दर्शक सदस्य से मैं शायद आपको पहले, बुलेट्ट और फिर बाहर फेंकना चाहता हूं, अगर शायद कोई प्रस्तुतकर्ता इस पर टिप्पणी करना चाहता है, तो स्वतंत्र महसूस करें। और फिर शायद डीज़ एक सवाल और रॉबिन से पूछें। तो सवाल यह है कि क्या यह कहना उचित है कि आपने जिन चीजों का उल्लेख किया है, उन सभी को करने के लिए आपको प्राथमिक स्तर पर डेटा वर्गीकरण का प्रयास शुरू करना होगा? आपको अपना डेटा जानना चाहिए जब यह एक मूल्यवान संभावित संपत्ति के रूप में उभरता है और इसके बारे में कुछ करता है। मुझे लगता है कि आप सहमत होंगे, बुलेट, सही?
बुलेट मनले: हाँ, बिल्कुल। मेरा मतलब है, आपको अपना डेटा पता चल गया है। और मुझे पता है, मैं पहचानता हूं कि बहुत सारे अनुप्रयोग हैं जो वहां से हैं और बहुत सारी अलग-अलग चीजें हैं जो आपके संगठन में आगे बढ़ रही हैं। स्तंभ खोज उपकरण उस डेटा को बेहतर ढंग से समझने की दिशा में एक कदम जाने के संदर्भ में बहुत सहायक है। लेकिन हां, यह बहुत महत्वपूर्ण है। मेरा मतलब है, आपके पास फायरहॉज़ एप्रोच में जाने और सब कुछ ऑडिट करने का विकल्प है, लेकिन यह उस तरीके से बहुत अधिक चुनौतीपूर्ण है जब आप उस डेटा को संग्रहीत करने और उस डेटा के खिलाफ रिपोर्ट करने के बारे में बात करते हैं। और फिर आपको अभी भी यह जानने की जरूरत है कि डेटा का वह टुकड़ा कहां है क्योंकि जब आप अपनी रिपोर्ट चलाते हैं तो आपको अपने ऑडिटर्स को उस जानकारी को भी दिखाना होगा। तो मुझे लगता है कि, जैसा मैंने कहा, जब मैं डेटाबेस प्रशासकों से बात करता हूं तो सबसे बड़ी चुनौती होती है, हाँ।
एरिक Kavanagh: हाँ, लेकिन शायद रॉबिन हम आपको वास्तविक जल्दी लाएंगे। मुझे लगता है कि 80/20 का नियम यहाँ लागू होता है, है ना? आप शायद रिकॉर्ड के हर सिस्टम को खोजने नहीं जा रहे हैं जो मायने रखता है यदि आप किसी मध्य-आकार या बड़े संगठन में हैं, लेकिन अगर आप इस पर ध्यान केंद्रित करते हैं - जैसे कि बुलेट्ट यहाँ सुझाव दे रहा था - उदाहरण के लिए PeopleSoft, या रिकॉर्ड के अन्य सिस्टम जो हैं उद्यम में प्रमुख, यह वह जगह है जहाँ आप अपने प्रयास का 80 प्रतिशत ध्यान केंद्रित करते हैं और फिर 20 प्रतिशत अन्य प्रणालियों पर है जो कहीं बाहर हो सकता है, है ना?
रॉबिन ब्लर: अच्छा मुझे यकीन है, हाँ। मेरा मतलब है, आप जानते हैं, मुझे लगता है कि इस तकनीक के साथ समस्या है, और मुझे लगता है कि यह शायद इस पर टिप्पणी करने के लायक है, लेकिन इस तकनीक के साथ समस्या यह है कि आप इसे कैसे लागू करते हैं? मेरा मतलब है, निश्चित रूप से ज्ञान की कमी है, मान लीजिए, अधिकांश संगठनों में डेटाबेस की संख्या यहां तक है। तुम्हें पता है, वहाँ एक भयानक सूची की कमी है, चलो कहते हैं। आप जानते हैं, सवाल यह है कि आइए कल्पना करें कि हम ऐसी स्थिति में शुरू कर रहे हैं, जहां विशेष रूप से अच्छी तरह से प्रबंधित अनुपालन नहीं है, आप इस तकनीक को कैसे लेते हैं और इसे पर्यावरण में इंजेक्ट करते हैं, न कि केवल आपको, प्रौद्योगिकी शर्तें, सामान सेट करना, लेकिन जैसे कि कौन इसे प्रबंधित करता है, कौन निर्धारित करता है? आप इसे एक वास्तविक, काम-की-तरह की चीज में बदलना शुरू करते हैं।
बुलेट मनले: अच्छा मेरा मतलब है, यह एक अच्छा सवाल है। बहुत सारे मामलों में चुनौती यह है कि, मेरा मतलब है, आपको शुरुआत में ही सवाल पूछने की तरह शुरुआत करनी होगी। मैंने बहुत सी कंपनियों में भाग लिया है जहाँ वे जानते हैं, हो सकता है कि वे एक निजी कंपनी हों और वे अधिगृहीत हो गए हों, वहाँ एक प्रारंभिक, तरह का, पहला, तरह तरह का, रोड बम्प हो, यदि आप इसे कॉल करना चाहते हैं। उदाहरण के लिए, यदि मैं अभी अधिग्रहण के कारण सार्वजनिक रूप से कारोबार करने वाली कंपनी बन गया हूं तो मुझे वापस जाना होगा और संभवत: कुछ सामान का पता लगाना होगा।
और कुछ मामलों में हम उन संगठनों से बात करते हैं, जिन्हें आप जानते हैं, भले ही वे निजी हों, वे एसओएक्स अनुपालन नियमों का पालन करते हैं, सिर्फ इसलिए कि जब वे चाहते हैं कि जिस स्थिति में वे अधिग्रहण करना चाहते हैं, वे जानते हैं कि वे अनुपालन में हैं। आप निश्चित रूप से सिर्फ "इस बारे में चिंता करने की ज़रूरत नहीं है।" पीसीआई या एसओएक्स जैसे किसी भी प्रकार के विनियामक अनुपालन या आप जो भी करना चाहते हैं, उसका शोध करना चाहते हैं। उस संवेदनशील जानकारी की समझ कहाँ है, अन्यथा आप अपने आप को कुछ महत्वपूर्ण, भारी जुर्माना से निपटने में पा रहे होंगे। और यह उस समय को निवेश करने के लिए बहुत बेहतर है, आप जानते हैं, उस डेटा को खोज रहे हैं और इसके खिलाफ रिपोर्ट करने और नियंत्रणों को दिखाने में सक्षम हैं।
हाँ, इसे स्थापित करने के संदर्भ में, जैसे मैंने कहा, पहली बात मैं उन लोगों को सुझाऊंगा जो ऑडिट का सामना करने के लिए तैयार हो रहे हैं, बस बाहर जाना है और डेटाबेस की एक सरसरी परीक्षा करना है, और पता लगाना है, तो आप जानते हैं, अपने सबसे अच्छे प्रयासों में, यह पता लगाने की कोशिश कर रहे हैं कि वह संवेदनशील डेटा कहां है। और दूसरा दृष्टिकोण शायद ऑडिटिंग के दायरे के संदर्भ में एक बड़े जाल के साथ शुरू करना होगा, और फिर धीरे-धीरे अपने तरीके से अंकुश लगाने के लिए एक बार जब आप, तरह, यह पता लगा लेते हैं कि सिस्टम के भीतर उन क्षेत्रों का क्या विकल्प से संबंधित है संवेदनशील जानकारी। लेकिन मैं चाहता हूं कि मैं आपको बता सकता हूं कि इस सवाल का एक आसान जवाब है। यह संभवतः एक संगठन से दूसरे में काफी भिन्न हो सकता है और अनुपालन का प्रकार और वास्तव में कैसे, आप जानते हैं, उनके अनुप्रयोगों के भीतर कितनी संरचना है और कितने हैं, विविध अनुप्रयोग हैं, कुछ कस्टम लिखित अनुप्रयोग हो सकते हैं, इसलिए यह वास्तव में बहुत सारे मामलों में स्थिति पर निर्भर करने वाला है।
एरिक कवानघ: आगे बढ़ो, डीज़, मुझे यकीन है कि तुम्हें एक सवाल या दो मिल गए हैं।
Dez Blanchfield: मैं वास्तव में लोगों के दृष्टिकोण से संगठनों के प्रभाव के आसपास आपकी टिप्पणियों में कुछ अंतर्दृष्टि प्राप्त करने का इच्छुक हूं, वास्तव में। मुझे लगता है कि इस विशेष समाधान के लिए मैं सबसे अधिक मूल्य देखता हूं, वह यह है कि जब लोग सुबह उठते हैं और संगठन के विभिन्न स्तरों पर काम करने के लिए जाते हैं, तो वे एक श्रृंखला, या जिम्मेदारी की श्रृंखला के साथ जागते हैं कि वे से निपटने के लिए मिल गया है। और मैं कुछ अंतर्दृष्टि प्राप्त करने के लिए उत्सुक हूं जो आप वहां देख रहे हैं और उन उपकरणों के प्रकार के बिना जिनके बारे में आप बात कर रहे हैं। और मैं यहां जिस संदर्भ की बात कर रहा हूं वह बोर्ड स्तर के चेयरपर्सन से लेकर सीईओ और सीआईओ और सी-सूट तक है। और अब हमें मुख्य जोखिम अधिकारी मिल गए हैं, जो हमारे अनुपालन और शासन में यहां जिन चीजों के बारे में बात कर रहे हैं, उनके बारे में अधिक सोच रहे हैं और फिर हमें अब नई भूमिका निभाने वाले प्रमुख, मुख्य डेटा अधिकारी, जो आप जानते हैं, इसके बारे में और भी अधिक चिंतित हैं।
और उनमें से प्रत्येक के पक्ष में, सीआईओ के आसपास, हमें एक तरफ आईटी प्रबंधक मिल गए हैं, जैसे आप जानते हैं, तकनीकी लीड और फिर डेटाबेस लीड। और परिचालन स्थान में हमें विकास प्रबंधक और विकास लीड्स और फिर व्यक्तिगत विकास मिले हैं, और वे डेटाबेस प्रशासन परत में भी वापस आते हैं। आप व्यवसाय के इन विभिन्न हिस्सों में से प्रत्येक के अनुपालन और नियामक रिपोर्टिंग की चुनौती और उनके दृष्टिकोण के बारे में क्या देख रहे हैं? क्या आप देख रहे हैं कि लोग इस पर उत्साह के साथ आ रहे हैं और इसका लाभ देख सकते हैं, या क्या आप देख रहे हैं कि वे अनिच्छा से अपने पैरों को इस चीज तक खींच रहे हैं और बस, आप जानते हैं, यह बॉक्स में एक टिक के लिए कर रहे हैं? और आपके सॉफ़्टवेयर को देखने के बाद आप किस प्रकार की प्रतिक्रियाएँ देख रहे हैं?
बुलेट मनले: हाँ, यह एक अच्छा सवाल है। मैं कहूंगा कि यह उत्पाद, इस उत्पाद की बिक्री, ज्यादातर किसी के द्वारा संचालित होती है जो गर्म सीट पर है, अगर यह समझ में आता है। ज्यादातर मामलों में यह डीबीए है, और हमारे दृष्टिकोण से, दूसरे शब्दों में, वे जानते हैं कि एक ऑडिट आ रहा है और वे जिम्मेदार होने जा रहे हैं, क्योंकि वे डीबीए हैं, जो ऑडिटर के पास जाने वाली जानकारी प्रदान करने में सक्षम होने के लिए। पूछना। वे ऐसा कर सकते हैं कि अपनी रिपोर्ट लिखकर और अपने स्वयं के कस्टम निशान और उन सभी प्रकार की चीजों का निर्माण कर सकें। वास्तविकता यह है, कि वे ऐसा नहीं करना चाहते हैं। ज्यादातर मामलों में डीबीए वास्तव में उन ऑडिटरों के साथ बातचीत शुरू करने के लिए तत्पर नहीं होते हैं जिनके साथ शुरू करना है। तुम्हें पता है, मैं आपको बताऊंगा कि हम किसी कंपनी में कॉल कर सकते हैं और कह सकते हैं, "अरे यह एक महान उपकरण है और आप इसे प्यार करने जा रहे हैं, " और उन्हें सभी विशेषताएं दिखाएं और वे इसे खरीद लेंगे।
वास्तविकता यह है कि वे आम तौर पर इस उपकरण को देखने नहीं जा रहे हैं जब तक कि वे वास्तव में एक ऑडिट या उस सिक्के के दूसरे पक्ष के साथ सामना नहीं करने जा रहे हैं, उनके पास एक ऑडिट है और इसे बुरी तरह से विफल कर दिया है और अब वे हैं कुछ मदद पाने के लिए कहा जा रहा है या उन पर जुर्माना लगाया जाएगा। मैं कहूंगा कि आप जानते हैं, सामान्य तौर पर, जब आप इस उत्पाद को लोगों को दिखाते हैं, तो वे निश्चित रूप से इसका मूल्य देखते हैं क्योंकि यह उन्हें पता लगाने के लिए एक टन समय बचाता है कि वे क्या रिपोर्ट करना चाहते हैं, चीजों के प्रकार। उन सभी रिपोर्टों को पहले से ही बनाया गया है, चेतावनी तंत्र जगह में हैं, और फिर तीसरे प्रश्न के साथ, कई मामलों में, एक चुनौती भी हो सकती है। क्योंकि मैं आपको पूरे दिन रिपोर्ट दिखा सकता हूं लेकिन जब तक आप मुझे साबित नहीं कर सकते हैं कि रिपोर्टें वास्तव में वैध हैं, तो आप जानते हैं, यह मेरे लिए एक डीबीए के रूप में बहुत मुश्किल प्रस्ताव है जो यह दिखाने में सक्षम होगा। लेकिन हमने तकनीक और हैशिंग तकनीक पर काम किया है और उन सभी प्रकार की चीजों को यह सुनिश्चित करने में मदद करने के लिए कि ऑडिट ट्रेल्स की अखंडता में डेटा रखा जा रहा है।
और इसलिए वे चीजें हैं जो उन लोगों के संदर्भ में हैं जिनकी हम बात करते हैं। आप जानते हैं, विभिन्न संगठनों में, आप निश्चित रूप से जानते हैं, आप के बारे में सुनेंगे, आप के बारे में जानते हैं, जैसे, लक्ष्य, उदाहरण के लिए, एक डेटा उल्लंघन था और आप जानते हैं, मेरा मतलब है, जब अन्य संगठन जुर्माना और उन के बारे में सुनते हैं लोग जिस तरह की चीजें शुरू करते हैं, वह एक भौं उठाती है, इसलिए, उम्मीद है कि सवाल का जवाब देती है।
Dez Blanchfield: हाँ, निश्चित रूप से। मैं कुछ डीबीए की कल्पना कर सकता हूं जब वे अंत में देखते हैं कि उपकरण के साथ क्या किया जा सकता है वे सिर्फ यह महसूस कर रहे हैं कि उन्हें अपनी देर रात और सप्ताहांत वापस मिल गए हैं। समय और लागत में कमी और अन्य चीजें जो मैं देख रहा हूं जब उपयुक्त उपकरण इस पूरी समस्या पर लागू होते हैं, और वह यह है कि, तीन सप्ताह मैं ऑस्ट्रेलिया में एक बैंक के साथ बैठा। वे एक वैश्विक बैंक हैं, तीन शीर्ष बैंक हैं, वे बड़े पैमाने पर हैं। और उनके पास एक परियोजना थी जहां उन्हें अपने धन प्रबंधन अनुपालन और विशेष रूप से जोखिम के बारे में रिपोर्ट करना था, और वे सौ मनुष्यों के जोड़े के लिए 60 सप्ताह के काम को देख रहे थे। और जब उन्हें अपने जैसे एक उपकरण की पसंद दिखाई गई, जो इस प्रक्रिया को स्वचालित कर सकता है, तो यह समझ, उनके चेहरे पर नज़र जब उन्हें एहसास हुआ कि उन्हें मैन्युअल प्रक्रिया करने वाले सैकड़ों लोगों के साथ X नंबर खर्च नहीं करना था। जैसे उन्होंने भगवान को पाया। लेकिन चुनौतीपूर्ण बात यह थी कि वास्तव में इसे कैसे योजना में रखा जाए, जैसा कि डॉ। रॉबिन ब्लोर ने संकेत दिया था, आप जानते हैं, यह एक ऐसी चीज है जो व्यवहारिक, सांस्कृतिक बदलाव का मिश्रण बन जाती है। आप जिन स्तरों के साथ काम कर रहे हैं, जो सीधे आवेदन स्तर पर इसके साथ काम कर रहे हैं, आप किस तरह का परिवर्तन देखते हैं, जब वे एक उपकरण को अपनाना शुरू करते हैं, जिस तरह की रिपोर्टिंग और ऑडिटिंग और नियंत्रण जो आप की पेशकश कर सकते हैं, जैसा कि जो उन्होंने मैन्युअल रूप से किया हो सकता है उसके विरोध में? जब वे वास्तव में अभ्यास में आते हैं तो वह कैसा दिखता है?
Bullett Manale: क्या आप पूछ रहे हैं, मैन्युअल रूप से इस उपकरण को इस्तेमाल करने से निपटने के मामले में क्या अंतर है? यह सवाल है?
डीज़ ब्लांचफील्ड: ठीक है, विशेष रूप से व्यापार का प्रभाव। उदाहरण के लिए, यदि हम एक मैनुअल प्रक्रिया में अनुपालन देने की कोशिश कर रहे हैं, तो आप जानते हैं, हम निश्चित रूप से बहुत सारे मनुष्यों के साथ एक लंबा समय लेते हैं। लेकिन मुझे लगता है, सवाल के इर्द-गिर्द कुछ संदर्भ रखने के लिए, जैसा कि आप जानते हैं, क्या हम इस उपकरण को चलाने वाले एक व्यक्ति के बारे में बात कर रहे हैं जो संभावित 50 लोगों की जगह ले रहा है, और वास्तविक समय में या घंटों बनाम महीनों में एक ही काम करने में सक्षम है? क्या इस तरह का, आम तौर पर ऐसा होता है?
बुलेट मनले: वैसे मेरा मतलब है, यह कुछ चीजों के लिए नीचे आता है। एक उन सवालों के जवाब देने की क्षमता रखता है। उन चीजों में से कुछ बहुत आसानी से नहीं होने जा रहे हैं। तो हाँ, सामान को होमग्रोन करने में लगने वाला समय, रिपोर्ट को स्वयं लिखने, डेटा को मैन्युअल रूप से इकट्ठा करने के लिए निशान या विस्तारित घटनाओं को सेट करने में बहुत समय लग सकता है। वास्तव में, मैं आपको कुछ देता हूं, मेरा मतलब है, यह वास्तव में सामान्य रूप से डेटाबेस से संबंधित नहीं है, लेकिन एनरॉन के ठीक बाद और एसओएक्स प्रचलित होने के कारण, मैं ह्यूस्टन में बड़ी तेल कंपनियों में से एक था, और हमने इसकी गिनती की, मुझे लगता है कि यह हमारे व्यवसाय की लागत का 25 प्रतिशत SOX अनुपालन से संबंधित था।
अब इसके बाद यह सही था और यह SOX में प्रारंभिक पहला कदम था, लेकिन मैं इसके साथ बात करता हूं, आप जानते हैं, आपको इस उपकरण का उपयोग इस अर्थ में बहुत लाभ मिलता है कि इसके लिए बहुत अधिक आवश्यकता नहीं है लोगों को यह करने के लिए और इसे करने के लिए विभिन्न प्रकार के बहुत से लोग। और जैसा कि मैंने कहा, डीबीए आमतौर पर वह आदमी नहीं है जो वास्तव में ऑडिटरों के साथ उन वार्तालापों के लिए तत्पर है। इसलिए बहुत सारे मामलों में हम देखेंगे कि डीबीए इसे उतार सकता है और रिपोर्ट को ऑडिटर को बाधित करने में सक्षम बनाने में सक्षम हो सकता है और वे इसमें शामिल होने के बजाय खुद को समीकरण से पूरी तरह से निकाल सकते हैं। तो, आप जानते हैं, कि जब आप ऐसा कर सकते हैं तो संसाधन के मामले में यह एक जबरदस्त बचत है।
Dez Blanchfield: आप बड़े पैमाने पर लागत में कटौती के बारे में बात कर रहे हैं, है ना? संगठन न केवल जोखिम और इसके अतिरेक को दूर करते हैं, लेकिन मेरा मतलब है कि आप वास्तव में लागत में महत्वपूर्ण कमी, ए) के बारे में बात कर रहे हैं और बी भी इस तथ्य में हैं कि, आप जानते हैं, अगर वे वास्तव में वास्तविक प्रदान कर सकते हैं- समय अनुपालन की रिपोर्टिंग जिसमें डेटा ब्रीच का जोखिम कम हो गया है या कुछ कानूनी जुर्माना या अनुपालन नहीं होने का प्रभाव है, है ना?
बुलेट मनले: हाँ, बिल्कुल। मेरा मतलब है, आज्ञाकारी नहीं होने के लिए सभी प्रकार की बुरी चीजें होती हैं। वे इस उपकरण का उपयोग कर सकते हैं और यह बहुत अच्छा होगा या वे नहीं करते हैं और उन्हें पता चलेगा कि यह वास्तव में कितना बुरा है। तो हाँ, यह न केवल उपकरण है जाहिर है, आप इस तरह एक उपकरण के बिना अपनी जाँच और सब कुछ कर सकते हैं। जैसा मैंने कहा, यह अभी बहुत अधिक समय और लागत लेने वाला है।
डीज़ ब्लांचफील्ड: यह बहुत अच्छा है। तो एरिक, मैं आपके पास वापस जा रहा हूं क्योंकि मुझे लगता है कि मेरे लिए takeaway यह है कि, आप जानते हैं, जिस तरह का बाजार शानदार है। लेकिन यह भी, अनिवार्य रूप से, इस आधार पर सोने में अपने वजन के लायक है कि किसी मुद्दे के व्यावसायिक प्रभाव से बचने में सक्षम होने या रिपोर्ट करने और प्रबंधन के प्रबंधन में लगने वाले समय को कम करने में सक्षम होने के कारण, यह आप जानते हैं, उपकरण चीजों की आवाज़ से तुरंत अपने लिए भुगतान करता है।
एरिक Kavanagh: यह बिल्कुल सही है। अच्छा, आज आपके समय के लिए बहुत बहुत धन्यवाद, बुलेट। अपने समय और ध्यान देने के लिए आप सभी को धन्यवाद, और रॉबिन और डीज़। आज एक और शानदार प्रस्तुति। IDERA में हमारे दोस्तों को धन्यवाद देने के लिए कि हम आपको यह सामग्री मुफ्त में दे सकें। हम बाद में देखने के लिए इस वेबकास्ट को संग्रहीत करेंगे। संग्रह आमतौर पर एक दिन के भीतर होता है। और हमें बताएं कि आप हमारी नई वेबसाइट insideanalysis.com के बारे में क्या सोचते हैं। एक पूरी नई डिजाइन, एक नया रूप और अनुभव। हमें आपकी प्रतिक्रिया सुनना अच्छा लगेगा और इसके साथ ही मैं आपको विदाई देने जा रहा हूं, दोस्तों। आप मुझे ईमेल कर सकते हैं। अन्यथा हम अगले सप्ताह आपको पकड़ लेंगे। हमें अगले पांच हफ्तों में सात वेबकास्ट मिले हैं या ऐसा ही कुछ। हम व्यस्त होने जा रहे हैं। और हम इस महीने के अंत में स्ट्रैटा सम्मेलन और न्यूयॉर्क में आईबीएम विश्लेषक शिखर सम्मेलन में शामिल होंगे। इसलिए यदि आप वहां हैं, तो रुकिए और नमस्ते कहिए। ध्यान रखना, दोस्तों। अलविदा।
