De personalul Techopedia, 6 decembrie 2017
Take away: Gazda Eric Kavanagh discută despre viitorul regulament general al UE privind protecția datelor și despre efectele pe care le va avea asupra industriei. Alături de el sunt William McKnight, de la McKnight Consulting Group și Kim Brushaber, de la IDERA.
În prezent nu sunteți autentificat. Vă rugăm să vă conectați sau să vă înregistrați pentru a vedea videoclipul.
Eric Kavanagh: Bine, doamnelor și domnilor, salut și bineveniți încă o dată. Este miercuri la ora 4, ora Estului, ceea ce înseamnă că este timpul din nou - una dintre ultimele ori din anul 2017 - pentru Hot Technologies. Da, într-adevăr, mă numesc Eric Kavanagh - voi fi moderatorul dvs. pentru evenimentul de astăzi. Vorbim despre un subiect care este de ajuns, pentru a spune cel mai puțin. În acest moment, nu pare așa - conceptul de GDPR, Regulamentul global pentru protecția datelor. Hai să mergem mai departe și să ne scufundăm corect în asta, nu este vorba despre al tău cu adevărat, suficient despre mine. Anul acesta este fierbinte, a fost foarte cald în multe moduri diferite, dar reglementările iminente din partea GDPR și din alte organizații, sincer, ne obligă să regândim ce se întâmplă în lumea afacerilor, mai exact așa cum rezultă, sau întrucât se referă la date. Vom auzi de la Kim Brushaber de la IDERA și, de asemenea, de William McKnight de la McKnight Consulting Group.
Doar câteva cuvinte rapide despre subiectul la îndemână, oameni buni. GDPR spune practic că organizațiile trebuie să aibă o politică de confidențialitate și o primă securitate în ceea ce privește datele și, într-adevăr, este vorba despre unele lucruri pe care le-ați auzit - întregul drept de a fi uitat, de exemplu, este parțial și parțial la tot acest moment și sunt lucruri foarte interesante. Este cu siguranță valabil în ceea ce privește principiile și etica sa. În ceea ce privește implementarea efectivă, este însă o provocare destul de serioasă. Dreptul de a fi uitat spune că, dacă doriți ca anumite organizații să nu dețină datele dvs., datele dvs. personale sensibile, acestea trebuie să scape de ele. Ei bine, vă puteți imagina când sunt unele dintre aceste medii de date cu adevărat eterogene, cât de dificil va fi acest lucru. Pentru a putea ajunge în orice loc în care datele dvs. sunt persistente și a le scoate, pur și simplu nu se va întâmpla, este linia de jos. Cu toate acestea, organizațiile trebuie să aibă politici în vigoare, pentru a putea soluționa aceste îngrijorări și asta sunt ceea ce vor căuta autoritățile de reglementare.
Este o afacere mare. Nu numai că organizația trebuie să-ți elimine datele dacă spui acest lucru, dar și dacă au instruit algoritmi cu privire la aceste date, din punct de vedere tehnic ar trebui să încerce și ei algoritmii. Aceasta este o comandă înaltă, trebuie să vă spun, dar vine, vine pe știucă, va fi o realitate în luna mai a anului viitor și există și alte reglementări. Canada are legile antispam pe care le-au adoptat, asta are un impact asupra modului în care gestionăm informațiile personale. Neutralitatea netă se apropie de știri acum, desigur, a fost dezrădăcinată, în esență, și asta va schimba unele lucruri. Există o mulțime de aceste reglementări foarte grave care afectează întreprinderile din toată lumea și din întreaga lume, pentru care organizațiile mari trebuie să înceapă să se gândească și să se pregătească.
Pentru asta, William McKnight îl avem online pe McKnight Consulting Groups pentru a ne informa despre ce crede și de ce GDPR este, de fapt, doar vârful aisbergului. Cu asta, William, o să ți-o predau. Ia-o de aici.
William McKnight: Mulțumesc, Eric și, așa cum spui, cum spune diapozitivul, acest GDPR este poate vârful aisbergului - asta este cu siguranță ceea ce credem noi. Este important să ne scufundăm în GDPR în profunzime, deoarece cred că reprezintă un val de reglementări care vine pe conducta cu care trebuie să ne ocupăm. Din fericire, Eric, există câteva standarde rezonabile în jurul acestui drept de uitat, la care voi ajunge. Cu toate acestea, în plimbarea mea anul acesta vorbind despre GDPR, cred că există o mulțime de firme, în special firme americane, care nu sunt încă pregătite pentru acest lucru. Este cu siguranță fierbinte și ceva la care nu ne gândeam cu siguranță acum un an, când erau doar încercări de balonare a unor lucruri, dar acum este un regulament și trebuie să ne ocupăm de el, așa cum ai spus, Eric, poate veni drept. aici sus - deci nu chiar atât de departe.
Un pic despre mine, voi aborda asta din perspectiva datelor. Pentru a vă anunța, sunt o persoană de viață pe tot parcursul vieții și mă consult acum 19 ani în spațiul de date, iar GDPR este mult despre date. Voi prezenta un corp de soluții aici, pe măsură ce voi intra în prezentarea mea în jurul guvernării datelor. Am făcut, evident, o mulțime de programe de guvernare a datelor și cred că, dacă vă aliniați cu acest concept, faceți o anumită guvernare a datelor, multe companii de acolo vor fi destul de departe. de fapt, în conformitate cu GDPR, dar vor fi multe, și cel mai sincer, care sunt în urmă în guvernare și, prin urmare, destul de în urmă în pregătirile GDPR. Haideți să stabilim un nivel aici și să înțelegem despre ce este GDPR și, pe măsură ce vom intra în profunzime în conversație, vom intra în mai multe ramificări ale GDPR asupra vieții de afaceri pe măsură ce mergem mai departe în noul an și nu numai.
GDPR este pentru confidențialitatea datelor privind cetățenii Uniunii Europene. Este un regulament - înseamnă că are dinți, înseamnă că este executoriu. Nu este ceva prezentat ca o sugestie - asta s-a întâmplat deja și acum a fost format într-un regulament cu sancțiuni. Îmi place să încep cu penalitățile, deoarece asta atrage cu adevărat atenția oamenilor. Acestea sunt sancțiuni dure. Există două penalități, există 2% din veniturile anuale la nivel mondial sau 10 milioane de euro dacă o afacere nu respectă obligațiile de securitate, dar orice altceva, încălcând alte dispoziții - și voi intra în ele - adică 4%. O auziți cu bandă cam - 4 la sută. Și, apropo, este de 4% sau 10 milioane de euro, care este mai mare. Acest lucru este foarte rigid. Oamenii sunt foarte serioși în acest sens. Intră în vigoare începând cu data de 25 mai 2018 - aceasta este o dată-cheie, atunci când auditul poate începe, atunci când puteți primi amenda. Categoric vrei să fii pregătit pentru asta. Fiecare companie cu care mă ocup, mă ocup de o mulțime de companii Global 2000, sunt undeva în pregătirea GDPR, unele mai mult decât altele și unele trebuie să fie mai mult decât altele în acest moment. Cu siguranță, va fi dificil să întâlnim această dată pentru unii și vom vedea.
Este cel mai complet regim de respectare a confidențialității datelor pe care l-am văzut până în prezent. Când vom vedea ceva mai dur sau ceva care afectează poate populația SUA mai direct, cine știe, dar este acolo și cu siguranță trebuie să fie respectat. Este necesar ca organizațiile să înțeleagă ce este cetățeanul UE PII - suntem familiarizați cu dreptul PII - informații de identificare personală, securitate socială, număr de telefon, adresă, lucrurile care pot identifica în mod unic o persoană sau identifica destul de unic. Ce au și cum îl folosesc. Aceasta înseamnă inventar. Aceasta înseamnă reglementarea în cadrul propriilor companii despre acest tip de date. Apropo, SUA nu au niciun fel de lege privind protecția datelor la nivel național. SUA au fost întotdeauna - o să spun în spate, pentru a o pune în perspectivă - în spatele Europei în ceea ce privește acest tip de reglementări, și asta continuă. Acest lucru continuă cu GDPR, este destul de evident. Este posibil ca unii dintre voi să știe despre scutul de confidențialitate, este posibil să vă întrebați despre asta. Există aproximativ trei sau patru dispoziții în GDPR care au vreo suprapunere cu scutul de confidențialitate, dar există o sută de prevederi în GDPR, deci este mult mai mult decât atât și, desigur, este încă în vigoare și asta are legătură cu schimbul de date din SUA și UE. numai, deși asta este important.
Din nou, îmi place să încep cu numere. Ai auzit despre amenzi, dar despre cum te pregătești pentru asta. Bugetul pentru GDPR și efectuarea unei anumite acțiuni, acest lucru depinde de câțiva factori. Cantitatea de date PII pe care le colectați asupra cetățenilor UE. Dacă nu colectați niciunul, OK, sunteți probabil conform și nu trebuie să vă ocupați de acest lucru, dar probabil sunteți la acest apel pentru că colectați undeva. Mărimea companiei dvs. și maturitatea guvernanței dvs. de date, care, așa cum am mai spus, ar putea să se apropie de ceea ce trebuie să faceți pentru a răspunde GDPR. Puteți aștepta până la câteva milioane USD sau euro, după caz, pentru conformitate. Cu toate acestea, vrem, nu vrem să ne conformăm doar GDPR, să bifăm această casetă, bineînțeles că trebuie să facem asta. Sperăm că nu vă aflați în acea situație îngrozitoare în care sunteți doar disperat să bifați această casetă. Căutați beneficii pentru afaceri, deoarece multe dintre lucrurile pe care le faceți pentru a sprijini GDPR sunt bune pentru afacerea dvs. Guvernarea datelor este bună pentru afacerea dvs. Atunci când este vorba despre cantitatea de date PII, unele sunt mai importante decât altele, unele vor fi examinate mai mult decât altele, cum ar fi sănătatea în legătură cu datele, vor fi reglementate mult mai strict sub GDPR decât alte tipuri de date și vor necesita respectarea cu obligații suplimentare, cum ar fi efectuarea de evaluări de impact privind protecția datelor care, evident, se adaugă bugetului dumneavoastră.
Puțin acolo despre bugetare. În cazul în care sunteți în Marea Britanie sau SUA și vă întrebați cum vă afectează acest lucru - GDPR afectează Marea Britanie, care este încă în UE, apropo, până pe 29 martie 2019 și al cărui guvern a indicat că ceva de genul GDPR va continua după această dată, deoarece „Este o idee bună.” Companiile din Marea Britanie trebuie să se conformeze. Datele cetățenilor din Marea Britanie sunt cu siguranță pe masă. În cazul în care nu este clar, există întreprinderi din SUA, dacă aveți de-a face în UE, cu date despre cetățeni UE, acest lucru se aplică cu siguranță. Acest lucru are ramificări asupra arhitecturii dvs. de date, deoarece s-ar putea să fiți nevoit să eliminați datele UE din orice altceva și să le tratați diferit. Afectează analiticele, așa cum spunea Eric, în modul în care compilați aceste analize și așa mai departe. S-ar putea să fie mai dificil acum să obții orice fel de analiză la nivel global, la nivel global. Acestea pot deveni mai localizate ca urmare a GDPR.
Ce este în prevederi? Există standarde de protecție a datelor. Toate acestea dictează criptarea datelor în repaus și în mișcare. Voi vorbi despre criptare în continuare. Există standarde de notificare privind încălcarea datelor. Nu mai mult din asta așteaptă luni întregi, așteptând sferturi să anunțe toată lumea. Cred că a fost unul mare, a doua zi și am aflat: „O, s-a întâmplat acum un an.” Nimic din asta cu GDPR - ai 72 de ore. Este o politică de nume și rușine. Sperăm că nimeni nu ajunge la asta, în mod clar unii oameni vor. Încălcările vor continua, chiar și după GDPR, desigur. Există procese de monitorizare a locației și a calității datelor. Suna familiar? Aceasta este într-adevăr inima guvernării datelor. Sper să aveți unele dintre acestea.
Cetățenii UE au dreptul să fie uitați, așa cum a menționat Eric. Există câteva standarde de rezonabilitate în acest sens, Eric. Nu trebuie să eliminați totul în mod necesar, dacă este posibil să fiți nevoit să contactați din nou acest client, respectivul angajat, vi se permite să păstrați anumite aspecte ale datelor sale personale. Cu toate acestea, acei cetățeni au dreptul de a fi uitați, dar nu poate fi depus niciun efort disproporționat - acesta este limbajul - asupra dvs. sau a dăunării companiei, pentru ca voi să evitați aceste date. Nu vreau să-l redau, dar, de asemenea, trebuie să eliberați copii ale datelor cu caracter personal care au fost păstrate și puteți obține aceste date numai cu acordul. Acordul respectiv trebuie să fie dat de persoanele cu vârsta minimă pentru a acorda o astfel de autorizație. Asta este o mulțumire, dar asta le oferă cetățenilor o mulțime de drepturi asupra datelor lor. Aceasta este portabilitatea chiar acolo, în caz că apare vreodată. Dreptul de a fi uitat, în mod clar, dar și - și ceva care nu este pe diapozitivul meu, care este destul de important - este că persoana vizată va avea dreptul să nu fie supusă unei decizii bazate doar pe prelucrarea automată. La ce ne-am mișcat din greu? Prelucrarea automată, în jurul acceptării împrumutului, ce oferte vom oferi, toate acestea trebuie să fie elaborate în ceea ce privește modul în care acest lucru va merge și cât de departe va merge acest lucru. Ceea ce spune în esență, este transparența în jurul motivului pentru care am fost respins, de ce sunt tratat într-un anumit fel de această companie. Acesta este un drept acum, fiind acordat unui cetățean al UE.
Evident, există câteva ramificări cu privire la modul în care ne desfășurăm activitatea și sperăm că vedeți că GDPR nu este o problemă IT, nu o problemă IT. Toate aceste procese de afaceri sunt implicate. Acesta va implica oameni din întreaga companie. Numirea unui agent de protecție a datelor este recomandată pentru acele companii cu mai mult de 250 de angajați și aveți „matematică critică cu datele UE PII”. Puteți decide pentru dumneavoastră dacă aveți această matematică critică, uneori este evident, alteori nu este. Dar, există un nou rol - nu trebuie să fie un rol cu normă întreagă, persoana poate avea alte responsabilități, dar nu știu - în unele corporații mari și mari, aproape că cred că aderarea la GDPR va avea fii aproape de un rol cu normă întreagă. Aș spune că începe așa și văd dacă puteți face față. Mai ales în următorul an, pe măsură ce îți reuniți actul în jurul GDPR, după ce va fi rezolvat, poate veți putea încetini lucrările, dar va dura unele companii destul de mult. Permiteți persoanelor să vadă propriile lor date și portabilitatea datelor, așa cum am menționat anterior.
Acest lucru nu este totul nou, apropo, dar dreptul de a fi uitat a fost de fapt acolo, credeți sau nu. Normele actuale ale UE prevăd deja dreptul de a șterge sau de a nu fi disponibile date personale. Cu toate acestea, acum face parte din GDPR, va fi pus în aplicare mult mai pe larg. Criptare date - criptați datele dvs. în repaus. Utilizați metode de criptare standard, nu utilizați criptarea proprie sau specifică. AES este unul pe care îl recomandăm destul de mult. Utilizați chei de criptare securizate criptografic. Modificați periodic aceste chei. De asemenea, preveni pierderea acestor chei. Acestea sunt doar bune practici de criptare, dar acum vin în prim plan cu GDPR. Aici se află problema - am lovit doar vârful aisbergului. Evident, există mai multe prevederi, dar acestea sunt principalele.
Acum, soluție. Guvernarea datelor, cadrul conformității dvs., cel puțin aceasta este perspectiva pe care o propun aici. Din fericire, există o disciplină activă bine pregătită, care poate și trebuie, când este matură, să abordeze majoritatea cerințelor și asta este guvernanța datelor - evident că spun asta. Programele de guvernare ar trebui să aibă un glosar de date, iar aici folosesc un glosar de date într-un sens generic pentru a însemna documentație în cadrul întregului proces pentru procesele dvs. Aceasta este o bază, pentru a răspunde nevoilor de inventar ale GDPR, care, după cum am văzut, sunt destul de imense. Programul, programul de guvernare, ar trebui să faciliteze protocoalele de securitate a datelor - și subliniez faptul că nu este un lucru pe care îl fac o mulțime de programe de guvernare a datelor în acest moment, dar cred că este un loc logic pentru a fi realizat pentru că sunt stai pe programul care stabilește cine sunt proprietarii de afaceri? Cine trebuie să o vadă? Apoi, următorul pas este acordarea acestor permisiuni. Aceasta trebuie centralizată, trebuie formalizată. Trebuie să existe politici interne care sunt utilizate. Administrația trebuie să fie atribuită tuturor elementelor pentru a furniza contribuții la toate cele de mai sus. Guvernarea datelor poate fi, de asemenea, facilitatorul ingineriei proceselor de afaceri, care va fi necesară.
Înainte de a părăsi acest diapozitiv, urmărind evitarea amenzilor grele, companiile vor adopta practici de afaceri solide ca produs secundar. Îmi place să spun că este mai mult decât un produs secundar, dar este de fapt o afacere bună și bună, care te poate conduce în locuri noi din perspectivă de afaceri. Cu siguranță, veți obține o mulțime de eficiențe pentru realizarea tuturor inițiativelor, dacă aveți o guvernare solidă a datelor, asta am văzut de-a lungul anilor. Prin adăugarea unora dintre aceste lucruri pe care le menționez, la guvernarea datelor, acestea se vor îmbunătăți doar. În tehnica procesului dvs. de afaceri vă recomandăm să puneți aceste întrebări peste tot, să atingeți fiecare zonă de afaceri. Ce fel de date colectăm la clienții noștri din UE? Nu le voi citi pe toate. Unele dintre cele cheie aici. Cine are nevoie să vadă aceste date și este urmărit? Cine este administratorul de date pentru aceste date? Cine este persoana mea care merge în afacere? Aceasta este una mare: împărtășim aceste date cu terți? Doar pentru că îl renunțați la un terț, nu vă scuza răspunderea în legătură cu aceste date - acestea sunt în continuare datele dvs., acestea sunt totuși date pe care le-ați colectat. Există o mulțime de contracte cu terți care sunt acum revizuite în detaliu ca urmare a GDPR. Aceste sisteme au eșecuri deterministe? Adică atunci când nu reușesc, nu reușesc pe o cale pe care am predeterminat-o, sau au eșuat, s-au prăbușit, arde și începem de la zero să săpăm pe ea? Va fi, evident, mult mai bine. Este deja o practică bună, dar, evident, este mult mai bună pentru inginerie inversă, dacă aveți mari eșecuri deterministe în sistemul dvs.
Păstrarea datelor, am vorbit pentru păstrarea datelor pentru totdeauna. Multe companii au politici, dar nu le respectă toate. Evident, celebre în domeniul asistenței medicale și financiare, vrem să păstrăm date, trebuie să păstrăm date pentru un anumit număr de ani. Unii dintre analiștii din aceste firme care păstrează date timp de șapte ani sau ce nu, spun: „O, după acea perioadă, îmi doresc în continuare aceste date.” Unii dintre avocații din aceste companii spun: „Dar trebuie să scăpăm de ea în scopuri de răspundere ”, etc. Acest lucru nu poate doar să stea acolo, ca o problemă la Loggerheads mai mult cu GDPR. Trebuie să avem perioada de păstrare, trebuie să fie urmată în mod constant în cadrul organizației.
Și în final, cum vă mobilizați pentru o încălcare a datelor? Aceste scenarii cele mai grave care v-ar putea întâmpla. Evident, încercăm să-i prevenim, dar ce se întâmplă dacă se întâmplă? Cum faceți camera de război și vă asigurați că urmați acum prevederile GDPR în răspunsul dvs.? Sunt arhitect de date, mă gândesc la arhitectura de date. Dacă sunteți o companie din SUA, cu operațiuni ale UE, adică date ale cetățenilor UE - o colectați, va trebui să luați în considerare dacă să aplicați standardele de protecție a datelor la toate datele sau doar la datele UE. Da, am clienți care iau această decizie acum. Ca practică de afaceri sănătoasă, s-ar putea să dorească să o aducă în SUA, s-ar putea să simtă că au timp, totuși, dar asta aduce numărul doi. Este posibil să fiți nevoit să eliminați datele UE din sistemele americane dacă nu puteți considera că sistemele americane vor trata în mod corespunzător datele. Se separă aceste date în scopul analizelor? Sunt analitice chiar valabile dacă încercați să le faceți în toată țara? Uneori da, alteori nu, nu? S-ar putea să descoperiți că rezultatele dvs. vor fi dezactivate.
Așa cum am menționat anterior, inteligența artificială joacă aici, deoarece, evident, putem folosi AI pentru a merge să găsim toate datele, să ne ajute să găsim toate datele, dar dacă folosim AI în interfețele noastre pentru clienți, trebuie să avem transparență acum cu clientul nostru interfețe și acesta nu a fost niciodată costumul puternic al AI. Pentru a încerca să-i spui unui client: „Ai fost respins pentru că bla, bla, bla”, când era într-adevăr AI. Asta trebuie făcut acum. Trebuie să ne dăm seama cum funcționează AI, care sunt factorii? Nu mai poți sta acolo și să mai fii o cutie neagră pentru tine. Ce facem acum? Stabiliți-vă consiliul GDPR. Vă sugerez să aveți funcționarul principal de confidențialitate acolo sau dacă aveți un agent de protecție a datelor, evident persoana respectivă. Șefii de guvernare a datelor, riscuri operaționale și / sau conformitate, după cum se aplică, șeful IT, CIO dacă aceasta este persoana. Dacă aveți o persoană de conducere schimbată, aceasta ar fi o persoană grozavă acolo. Doar șefii unora dintre cele mai importante departamente din afacerea dvs. și, de asemenea, șeful resurselor umane, deoarece pregătirea pentru confidențialitate acum va fi uriașă. Toată lumea urmează să primească instruire în domeniul confidențialității sau ar trebui să primească pregătire pentru confidențialitate atunci când se îmbarcă într-o companie, chiar și consultanți.
Dacă nu faceți aceste lucruri pe care le vedeți aici, va trebui să vă deplasați mai repede decât v-ați dori să faceți termenul. De asemenea, trebuie să începi să speri că nu ești unul dintre primii care vor fi audiați, deoarece, sincer, există foarte multă muncă aici, dacă începi de la zero și te ocupi de o mulțime de date despre cetățenii UE. Angajați-vă DPO-ul, inventariază-ți datele și procesele. Construiți acel plan de guvernare a datelor, duceți-l de unde este, până unde trebuie să fie. După caz, s-ar putea să doriți să o porniți. Creează-ți politicile de confidențialitate și anunțurile de politică. Politicile de confidențialitate sunt interne. Notificările de politică sunt externe. Vedem acum o cultură care începe să se creeze în jurul avizelor de politică. S-a făcut multă comparație și s-a făcut o formulare atentă în jurul acestor avize de politică. Cartați o verificare a conformității GDPR pentru toate sistemele, inclusiv pentru sistemele noi. S-ar putea să fii nevoit să le secvenționezi și să le faci într-un fel de ordine de importanță, dar acesta este un alt mod de a aborda problema. Uitați-vă la sisteme și ce ar trebui să facă și cum gestionează aceste date.
Ce semnala GDPR? Despre asta suntem aici pentru a vorbi puțin mai mult. Aștept cu nerăbdare ce are de spus Kim despre asta. GDPR este o schimbare a controalelor de confidențialitate a datelor către reglementare. Este o tendință către transparență, așa spune corect în prevederi. Creăm această cultură a notificărilor de confidențialitate, așa cum am vorbit, acum este un lucru. Vom vedea conferințe despre anunțuri de confidențialitate și așa mai departe. Schimbarea GDPR este spre drepturile fundamentale ale oamenilor. Întrebările deschise vor fi elaborate. Sunt întrebări clar deschise, am lăsat câteva pe masă aici pentru noi. Nimeni nu are răspunsul. Vor fi rezolvate. O tendință către o mai bună înțelegere de către indivizi despre datele lor și modul în care sunt utilizate. Cred că acest lucru a sporit conștientizarea populației UE în ceea ce privește importanța datelor lor și considerând că este unul dintre activele lor personale, că trebuie să gestioneze mai mult. Acesta este câteva dintre semnalele timpurii pe care le-am văzut și Eric, o să vă arunc înapoi acum.
Eric Kavanagh: Bine, permiteți-mi să-i predau cheile lui Kim, care poate împărtăși o parte din perspectiva ei, dar cred că aceasta a fost o imagine de ansamblu bună, William, și ați atins punctele cheie - și anume că asta se va apropia de știucă cu siguranță. și cu toții trebuie să fim foarte atenți, sincer. Cu asta, permiteți-mi să predau cheile lui Kim și puteți să vă partajați ecranul și să o luați de acolo.
Kim Brushaber: Hei, mă poți auzi?
Eric Kavanagh: Te pot auzi.
Kim Brushaber: grozav . William a acoperit unele din aceleași lucruri pe care le voi acoperi, dar cred că merită să fie acoperite din nou, deoarece sunt cu adevărat importante. Cred că, atunci când noile reglementări sunt adoptate, este foarte bine să obțineți o mulțime de perspective și interpretări ale diferitelor persoane, astfel încât ceva să vă stârnească mintea și să vă permită să deveniți și mai mult în conformitate. Sunt încurajat de toți oamenii care sunt la acest apel care doresc să știe mai multe, deoarece cred că vine 25 mai, poate exista o panică foarte mare pentru companiile care sunt urmărite, nefiind în conformitate.
Numele meu este Kim Brushaber, sunt senior product manager la IDERA. Am mai multe produse sub mine care ajută la respectarea GDPR, precum și alte reglementări. Voi sari în unele informații. Voi începe cu câteva fapte și câteva cifre și apoi voi examina puțin despre GDPR și apoi în mod specific instrumentele noastre care vă pot ajuta. Un fapt este că peste 5 milioane de înregistrări de date sunt pierdute sau furate în fiecare zi. Nu auzim acest lucru raportat la știri, nu auzim acest lucru venind din alte locuri, dar există peste 5 milioane de înregistrări de date care sunt furate tot timpul, chiar de sub noi. Numărul median de zile în care atacatorii rămân inactivi în rețeaua dvs. este de 200 de zile. Multe sisteme sunt deja infiltrate de oameni care - cu intenții rău intenționate - care abia așteaptă oportunitatea de a valorifica informațiile dvs., în mare parte în securitate și certificate, dar abia așteaptă momentul lor. De aceea, a devenit din ce în ce mai important să vă ocupați de securitatea datelor. Se estimează că costul mediu al încălcării datelor unice în 2020 va depăși 150 de milioane de dolari, întrucât mai multe infrastructuri de afaceri vor fi conectate la resursele online și pe măsură ce mai multe lucruri cresc în cloud. Acesta este un număr bun de buget dacă sunteți cu adevărat îngrijorați de securitatea datelor, să le oferiți echipei dvs. executive, să le spuneți că aceasta este o problemă serioasă și ne-ar putea costa o mulțime de bani înainte.
Voi trece pe scurt peste încălcarea datelor Equifax, deoarece cred că a fost cea mai mare încălcare a datelor din 2017, pentru a picta imaginea despre cum este să treci prin asta. Încălcarea a afectat 145, 5 milioane de clienți. Angajații au recunoscut problema de securitate cu aplicația lor web cu două luni înainte de producerea încălcării. Angajații spuneau: „Aceasta este o problemă”. Chiar și puțin înainte, a apărut patch-ul. A durat o zi întreagă după ce a avut loc încălcarea pentru a răspunde la aceasta și a lua aplicația web offline. Deoarece Equifax nu avea un protocol de securitate a datelor definit, le-a trebuit o perioadă semnificativă de timp pentru a-și da seama chiar ce se întâmplă și apoi să poată lua sistemul offline. La șase săptămâni de la încălcare, publicul a fost alertat. Cu GDPR - așa cum am menționat mai sus și o să vă spun din nou - trebuie să raportați în 72 de ore, iar Equifax ar fi avut mâinile legate și nu au putut să îndeplinească respectarea respectivă, deoarece au așteptat șase săptămâni să o raporteze. Comunicarea pentru a răspunde la încălcarea a inclus un site web care nu era chiar deținut de Equifax. Equifax înșiși retușau acest tweet care nu era chiar în domeniul lor - au inversat unele dintre cuvintele din jur. Din fericire, nu a fost un site rău intenționat pentru a valorifica asta, dar, evident, nu erau pregătiți. Nu aveau un plan în loc, iar acest lucru a devenit foarte conștient pe arena publică. Equifax nu este singur - există peste 25 de atacuri cibernetice foarte ridicate în 2017 până acum și am mai putea găsi mai multe înainte de sfârșitul anului. Companiile trebuie să înceapă să ia acest lucru în serios, deoarece oamenii sunt acolo și dacă le oferiți un motiv pentru a dori să vină la tine, ar fi bine să fii pregătit să le poți ocupa.
Câteva alte date și cifre referitoare la modul în care indivizii privesc securitatea datelor. Până în 2020 vor exista 30 de miliarde de dispozitive conectate la internet prin casele noastre, prin intermediul purtărilor noastre, prin intermediul telefoanelor, tabletelor noastre și cine știe ce altceva mai poate veni în anii următori. Există o mulțime de dispozitive care sunt lăsate vulnerabile la aceste atacuri. Patruzeci și nouă la sută dintre americani consideră că informațiile lor personale sunt mai puțin sigure decât era acum cinci ani. 70% din consumatorii din America doresc ca companiile să fie transparente cu privire la datele lor personale. Șaptezeci și opt la sută dintre oameni susțin că sunt conștienți de riscurile pe care le dă clic pe link-uri și e-mailuri necunoscute, dar oricum fac clic pe linkurile respective - asta este peste trei sferturi din populația noastră și tot fac clic pe link-uri, chiar dacă acestea știu că ar putea fi o problemă. Optzeci și șase la sută dintre utilizatorii de internet încearcă în mod activ să reducă la minimum, să anonimizeze și să ascundă vizibilitatea amprentelor lor digitale. Tatălui meu vitreg îi place să iasă și să creeze nume false atunci când completează formulare, deoarece consideră că acesta îl face anonim, dar nu știe că adresa lui IP este urmărită. Există o mulțime de preocupări individuale și asta creează o mulțime de reglementări GDPR și probabil reglementări suplimentare care vor urma.
În ceea ce privește industria securității datelor, 90% din înregistrările privind încălcarea datelor din 2016 provin din guvern, retail și tehnologie. Patruzeci și trei la sută dintre ciberatacii au atacat întreprinderile mici. Dacă vă gândiți: „Oh, nu sunt un tip mare, nu vor veni după mine”, mai există, aproape jumătate dintre ei, care urmează după întreprinderile mici. 70% din industria asistenței medicale a fost infectată cu malware în ultimul an. Șaptezeci la sută din companiile de petrol și gaze din SUA au fost hacked în ultimul an. Aceasta are un impact semnificativ asupra diferitelor industrii care sunt în funcțiune și acest număr va crește doar de aici.
Când îl priviți din perspectiva executivă, 90% dintre CIO recunosc că irosesc milioane de dolari pentru cibersecuritate inadecvată. Nouăzeci la sută spun, de asemenea, că au fost atacați sau se așteaptă să fie atacați de către tipii care se ascund în criptarea lor. Optzeci și șapte la sută cred că controalele lor de securitate nu reușesc să-și protejeze afacerile. Optzeci și cinci la sută dintre CIO se așteaptă ca abuzul penal al cheilor și certificatelor să se înrăutățească. Acesta este un număr foarte mare de companii care se uită la această problemă de securitate a datelor, iar realitatea este că multe dintre ele nu au soluții foarte bune pentru a putea face față atunci când se întâmplă, chiar dacă cred că se va intampla.
Când ne uităm la pregătirea acesteia, în 2014, 70 la sută dintre milenii au recunoscut că au adus aplicații exterioare în întreprinderea lor, încălcând politicile IT. Șaptezeci la sută au recunoscut-o - probabil că există chiar și un număr mai mare decât asta, asta a făcut-o de fapt. Cincizeci și două la sută din organizațiile care au suferit atacuri cibernetice de succes în 2016 nu au adus nicio modificare securității lor în 2017. Chiar dacă au fost atacate o singură dată, nu au mers încă și s-au ridicat pe pereți - sunt la fel de vulnerabile ca și au fost înainte de atac. Aceasta pune într-adevăr întrebarea: ce au nevoie companiile să înceapă să facă, pentru a se pregăti pentru aceste lucruri? Treizeci și opt la sută din organizațiile globale susțin că sunt pregătite să se ocupe de un cyberattack sofisticat. Asta e bine - aproape jumătate sunt acolo și sunt generos cu asta, suntem într-adevăr doar la o treime, dar există încă cel puțin jumătate care spune: „Nu sunt pregătit. Dacă sunt atacat, nu sunt pregătit și hackerii îl știu. ”Treizeci și opt la sută dintre organizații au un plan de reacție la incidentele informatice. Majoritatea companiilor se află în aceeași găleată ca Equifax, unde nu știu ce vor face. Dacă obțin acest lucru, vor trebui să reacționeze și să vină cu aceste lucruri din mers și reglementări precum GDPR spun: „Trebuie să le aveți pe loc. Trebuie să le publicați. Trebuie să-i dovediți auditorilor de securitate. ”Sperăm că cu impacturi de genul acesta, cu reglementări de genul acesta, vom putea să parcurgem această curbă și în loc să fim reacționari, putem fi proactivi în desfășurarea noastră.
Hai să vorbim puțin despre GDPR. O parte din acest William a acoperit deja, dar voi merge înainte și să-l acopere din nou, doar din preluarea, vocea, perspectiva mea. Multe companii cu care vorbesc sunt: „Sunt în SUA, de ce ar trebui să mă intereseze chiar și de această reglementare a UE?” Faptul că mai mulți oameni nu bâlbâie și mai multe persoane nu vorbesc despre asta cred că este vorba doar de membrii UE afectați, dar v-aș întreba, dacă priviți această listă, colectați aceste date de la membrii UE? Dacă colectați toate aceste informații, sunteți supus limitelor GDPR, precum și sancțiunilor pentru nerespectarea acestora. O să vă ofer o secundă pentru a absorbi acest lucru și a înțelege acest lucru. După cum am menționat William, acestea sunt sancțiunile și sancțiunile menționate la articolul 83 din GDPR. La început este posibil să primiți o palmă pe mână, un mic avertisment spunând: „Hei, faceți-vă actul împreună. Puneți acest lucru la loc. ”Dar dacă aveți o încălcare cu adevărat mare - și în funcție de cât de mare este o afacere - vor reveni la tine pentru restituire și este un număr semnificativ. Nu 10 milioane, ci 20 de milioane de euro sau 4 la sută din cifra de afaceri / veniturile din anul precedent. Adică mulți bani. Acesta este un buget foarte mare pentru a merge la echipele dvs. executive și a spune: „Este ceva ce trebuie să începem să luăm în serios și trebuie să luăm măsuri.”
Permiteți-mi să parcurg un pic din principiile GDPR, așa cum sunt prezentate la articolul 5. Unul dintre lucrurile pe care le spun este acela că datele cu caracter personal ar trebui prelucrate în mod legal, echitabil și transparent. Asta înseamnă că publicul vrea să știe ce faceți cu datele sale. Fii transparent despre asta și trebuie publicat. Majoritatea oamenilor nu citesc termenii și condițiile, dar acestea sunt informații noi pe care trebuie să le puteți comunica, astfel încât să le puteți spune: „Datele dvs. sunt gestionate corespunzător”. Datele personale ar trebui colectate pentru un anumit, scopuri explicite și legitime. Asta înseamnă că, sperăm, că putem scăpa de o parte din acest spam, unde companiile spun că colectează informații pentru un test care vă spune cât de interesant ar putea fi, iar în realitate, vă preiau datele și le vând altcuiva., pentru a putea folosi în orice scopuri le sunt. Companiile acum trebuie să fie mult mai responsabile și să spună exact pentru ce folosesc informațiile dvs. De asemenea, aceștia spun că datele personale trebuie să fie adecvate, relevante și limitate la ceea ce este necesar. Multe companii le place să ia toate informațiile și să le pună într-un grup mare de date și apoi își dau seama ce vor să facă cu informațiile ulterior și colectează mult mai mult decât ar fi necesar. Aceasta înseamnă că nu o puteți colecta și utiliza în altă parte. De asemenea, nu poți doar să aduni totul și să speri că mai târziu vei putea fi util. Trebuie să fiți foarte explicit în ceea ce privește de ce colectați informațiile și trebuie să fie relevante pentru datele pe care le colectați.
De asemenea, datele cu caracter personal trebuie să fie exacte și păstrate la zi. Trebuie să oferiți utilizatorilor modalități de a-și actualiza datele, după ce le-ați colectat pe ele; trebuie să se poată întoarce și să spună: „Știi, am avut această opinie la un sondaj pe care mi l-ai întrebat despre informații de identificare personală și vreau să mă întorc și vreau să o schimb și să o actualizez acum.” Și ai pentru a le oferi o modalitate de a putea face asta. Datele cu caracter personal trebuie să fie păstrate într-o formă care să permită identificarea persoanelor vizate pentru cel mult timp necesar. Înapoi la punctul de vedere al lui William, că nu puteți colecta aceste informații pentru totdeauna - trebuie să veniți cu ceea ce credeți că este valabil și necesar și, după aceea, trebuie să ștergeți datele curate. De asemenea, acesta trebuie prelucrat într-o manieră care să asigure securitatea corespunzătoare, inclusiv protecția împotriva prelucrării neautorizate sau ilegale, pierderi accidentale, distrugere sau daune.
Așa cum am spus mai înainte, este timpul să vă puneți cu adevărat în seriozitate în acest sens, oprirea acestor încălcări ale datelor, deoarece nu numai că aveți un prejudiciu care vine la adresa companiei dvs. sub forma încălcărilor de date și a pierderilor de venituri și a costurilor aferente proceselor., dar este posibil să aveți, de asemenea, o grămadă de amenzi lăsate deasupra dvs. de la GDPR. Este timpul să începeți cu adevărat să vă puneți foarte în serios și cred că, pe măsură ce GDPR va intra în vigoare, companiile vor fi confruntate cu realitatea grea și, din fericire, cei care sunteți astăzi la apel pot începe să se gândească la asta și să știe cum vei pune aceste lucruri în acțiune.
GDPR vorbește foarte mult despre care sunt drepturile persoanelor; este cu adevărat în căutarea utilizatorilor individuali. Primul lucru este dreptul de a accesa datele dvs. personale. Utilizatorii trebuie să știe ce informații ați colectat asupra lor, în ceea ce privește informațiile identificate personal și trebuie să le oferiți o modalitate de a putea accesa. Există, de asemenea, un drept la rectificare, care este un mod fantezist de a spune: „Trebuie să pot corecta informațiile pe care le aveți asupra mea.” Dreptul la ștergere - ceea ce, din nou, mulți oameni exprimă drept dreptul la fii uitat - dacă o persoană spune: „Știi ce, nu mai vreau să știi că sunt colecționar de benzi desenate super tip, trebuie să scapi de asta. Am câțiva prieteni care mă tachinează și mă șterg complet de pe lista ta ”, trebuie să poți face asta. Există, de asemenea, dreptul la restricționarea procesării și acest lucru înseamnă că utilizatorii pot limita modul în care informațiile lor sunt procesate. Aceștia pot spune: „Nu mă deranjează să-mi luați informațiile pentru că cumpăr o mașină nouă, dar nu folosiți aceste informații pentru a-mi trimite e-mailuri și a-mi trimite spam pe noi oferte de fiecare dată când sunt lansate mașini noi.” Există și dreptul la portabilitatea datelor, ceea ce înseamnă că utilizatorii ar trebui să fie capabili să obțină o copie a datelor lor și să poată lua în altă parte. O mulțime de organizații colectează informații, iar informațiile respective au un factor de aderență, iar acum indivizii pot spune: „Știți ce, vreau să luați toate informațiile mele și acum vreau să le dați concurentului dvs., astfel încât să pot muta asta peste."
Există o mulțime de lucruri care trebuie gândite de la o organizație prospectivă despre cum vei putea să faci asta și ce informații vrei să poți colecta și trimite. Există, de asemenea, dreptul de a obiecta, iar utilizatorii se pot opune și procesării datelor lor. Dreptul de a nu fi supus unei decizii bazate exclusiv pe prelucrarea automată sau profilarea. Acest lucru are un impact semnificativ asupra marketingului B2B - dacă stai acolo și încerci testarea A / B și încerci să identifici, Colorado va fi mai influențat de un mesaj decât California, bine ai făcut doar profilarea, uitându-te la unul afirmați versus altul și trebuie să vă uitați la modul în care un individ ar trebui să poată opta din asta.
Având în vedere că avem unele lucruri înfricoșătoare care vin în ceea ce privește încălcarea datelor și modul în care oamenii își analizează datele și avem această reglementare uriașă care se aruncă deasupra umerilor, acum sunt aici pentru a vă oferi soluția despre cum poate ajuta IDERA. Articolul 15 vorbește despre modul de control al expunerii la datele cu caracter personal. Trebuie să știți cine vă accesează datele. Cum o folosesc. Cât de multe date au fost procesate și de produse SQL Compliance Manager, pentru care sunt managerul de produs, vă permite să vedeți cine accesează datele dvs. și cum. SQL Compliance Manger este pentru soluții SQL Server. Dacă aveți o bază de date SQL Server, puteți conecta acest produs pentru a putea audita și analiza aceste informații, astfel încât să puteți respecta GDPR și să știți exact cum este folosit. Puteți vedea, de asemenea, încălcările de date înainte de a se întâmpla, și despre asta voi vorbi într-o altă diapozitivă. Există și un articol care spune: „Am nevoie de o înregistrare a activităților de procesare. Trebuie să mă loghez și trebuie să monitorizez operațiunile și trebuie să știu cine prelucrează datele personale și cine are acces la aceste sisteme. ”SQL Compliance Manager menține auditul serverelor și bazelor de date, inclusiv securitate, DDL, DML, precum și definește date sensibile . SQL Compliance Manager vă permite să verificați accesul de securitate și să înregistrați o încercare, astfel încât puteți vedea cine accesează informațiile, precum și cine se conectează, dacă este un utilizator privilegiat, dacă este un utilizator cunoscut sau dacă poate fi un utilizator răuvoitor.
Articolul 33 vorbește despre notificarea încălcării datelor cu caracter personal către o autoritate de supraveghere. Trebuie să poți detecta încălcările; aveți nevoie de înregistrări pentru a putea evalua impactul; trebuie să știți cât de repede veți remedia. Pentru a face acest lucru, SQL Compliance Manger vă permite să configurați alerte pe bazele de date pentru a fi văzute de cine are acces la datele dvs. sensibile, atunci când au accesat-o, la ce au accesat. De asemenea, vă permite să excludeți din auditul dvs. utilizatorii privilegiați normali. Dacă aveți admin sisteme sau admin de rețea pe care știți că îl vor accesa și nu doriți să vă blocați rapoartele, le puteți exclude și spune: „Dă-mi tot ce se întâmplă în afara informațiilor respective”. pentru a identifica rapid dacă cineva accesează în mod greșit datele dvs. și puteți avea alerte care sunt în vigoare, care vă vor anunța momentul în care începe să se întâmple și apoi momentul în care informațiile sunt accesate, pentru a putea să le descompună nu trebuie să aștepți o zi întreagă pentru a-ți da seama ce se întâmplă, așa cum a făcut Equifax.
Există și un articol care vorbește despre protecția datelor și evaluarea impactului. Aceasta vă evaluează riscurile și înțelegeți care sunt acestea, precum și demonstrați și documentați conformitatea dvs. cu GDPR. SQL Compliance Manager vă permite să raportați asupra elementelor care sunt monitorizate. Doar pentru a merge pe scurt, verificând datele dvs. cu SQL Compliance Manager, SQL Compliance Manager vă permite să detectați conectări eșuate - ceea ce este un potențial semn de încălcare - să monitorizați activitățile administrative și modificările de securitate, să vă avertizați asupra modificărilor bazei de date, să auditați coloane pe care le definiți ca informații sensibile, identificați utilizatorii privilegiați și le urmăriți activitatea separat de ceilalți utilizatori din sistemul dvs., raportează că informațiile sunt auditate în conformitate cu mai multe orientări de reglementare. Nu numai că acoperim GDPR, dar acoperim HIPAA, PCI, FERPA, SOX, toate ghidurile de reglementare atunci când vin să vă auditeze informațiile și să înțeleagă ce este accesat, avem aceste reguli de reglementare în vigoare.
Avem și produse suplimentare la IDERA pentru pregătirea GDPR. Dincolo de doar auditul pe care îl face SQL Compliance Manager, avem ER / Studio Enterprise Team Edition, care vă poate ajuta să vă documentați procesele de date și să încorporați standardele de date în modelul dvs. de date, puteți crea glosare de date despre care vorbea William într-o prezentare anterioară . După cum am spus aici cu această prezentare, SQL Compliance Manager vă poate ajuta să vă auditați informațiile pentru a vă asigura că persoanele greșite nu vă accesează datele, precum și să le demonstrați auditorilor. Backup-ul SQL Safe vă poate ajuta să criptați datele și copiile de rezervă. Criptarea este o parte esențială a GDPR, pe care nu am acoperit-o în detaliu, deoarece am vrut să mă concentrez foarte mult pe activele Compliance Manager, dar SQL Safe Backup face o mulțime de criptare pentru tine, astfel încât datele dvs. să rămână în siguranță. SQL Inventory Manager vă poate asigura că serverele sunt patch-uri și actualizate, astfel încât să nu ajungeți într-un caz precum Equifax, unde au avut un patch-ul învechit care le-a oferit o gaură mare de securitate pe care oamenii au putut să o folosiți cu răutate SQL Secure poate audita standardele de confidențialitate și criptare.
Pentru mai multe detalii pe site-ul comunității IDERA, sub blogul nostru, am postat și o Pregătire pentru GDPR, căutând spre 2018 și să înțelegem ce impact are GDPR și există, de asemenea, cu siguranță, puteți descărca o copie de probă a SQL Compliance Manager la IDERA precum și la oricare dintre celelalte produse despre care tocmai am menționat anterior în diapozitiv.
În acest moment, voi merge înainte și să-i predau prezentarea lui Eric, pentru a putea pune câteva întrebări.
Eric Kavanagh: OK, bine. Ai atins o serie de lucruri cu adevărat interesante acolo, Kim, dintre care una - cred că este cam simplu, dar este destul de isteț - ai vorbit despre detectarea autentificărilor eșuate. Mi se pare că este un semn destul de bun că cineva nu are voie bună?
Kim Brushaber: Absolut. Dacă vedeți pe cineva care a încercat să vă acceseze și să vă sparge parola, acesta este un mod foarte rapid de a putea spune că cineva nu face ceea ce ar trebui să fie. Poate că de câteva ori puteți să introduceți parola în mod incorect, dar dacă vedeți că 30 dintre acestea trec, acesta este un semn rău.
Eric Kavanagh: Da. Acest lucru este esențial pentru a seta alertele cu contextul adecvat. Ce altceva ne puteți spune despre cum să gestionați procesul de configurare a alertelor și dezactivarea celor care nu fac ceea ce ar trebui să facă și cât din aceste lucruri pot fi automatizate?
Kim Brushaber: Compliance Manager are numeroase alerte configurabile, precum și rapoarte pe care le puteți examina. Parcurgem urmele dvs. SQL și avem urmărirea automată a acestuia și o mulțime de ele deja configurate și predefinite, dar cu siguranță există și o cantitate semnificativă de personalizare.
Eric Kavanagh: William, te voi aduce în acest sens - mi se pare că este unul dintre domeniile în care vom vedea că învățarea mașinilor va intra în joc în următorii doi-zece ani, cam așa, se uită la toate posibilități diferite. Analizând toate diferitele moduri prin care un sistem își poate optimiza eficiența, este eficient în jurul unor probleme precum încălcări și altele. Asta e și dumneavoastră?
William McKnight: Da, absolut. Cred că acum construim sisteme care se reparează. Monitorizarea 24 - 7 începe să alunece și să devină un lucru al trecutului, deși avem încă nevoie de acest tip de funcționare. Cred că sistemele sunt în mare parte care se integrează și îmi dau seama ce este greșit. Trebuie să alocăm mai mult spațiu aici sau ce aveți? Da, cred că asta este cu siguranță o parte a viitorului nostru. Orice lucru care poate fi mapat la niște pași de acțiune, pentru a lua răspuns la ceva, este cu siguranță vulnerabil la inteligența artificială.
Eric Kavanagh: Acesta este un punct bun. O să vă mai arunc o întrebare, William, pentru că știu că faceți multe cercetări în acest spațiu. Unul din lucrurile pe care le-am așteptat de ceva vreme și nu cred că suntem încă acolo - cred că ne apropiem, doar din ceea ce am citit și m-am gândit la asta - este o zi în care va exista o tehnologie care să absoarbă problemele de reglementare, formularea propriu-zisă a acestor lucruri și să îi asigurăm o adaptare a funcționalității și software-ului. Așa cum spuneam, suntem încă o cale de a face asta - nu-mi imaginez că nu lucrează cineva la asta. Ați găsit ceva de genul acesta sau suntem încă într-un moment în care ființele umane trebuie să se uite la reguli, să încerce cu adevărat să le înțeleagă, să le codifice în codul mașinii, în esență, și apoi să le cupleze la diferitele lor aplicații?
William McKnight: Ei bine, am cu siguranță conceptul pe care îl împărtășești aici. Nu sunt familiarizat cu nimic care se întâmplă spre o lansare într-un mediu care are legătură cu asta. Voi spune, în general, totuși, în mod evident, începem să spunem mașinilor nu ce să facem, dar care este obiectivul a ceea ce vrem să facem, iar mașinile devin mult mai inteligente în ceea ce privește descoperirea detaliilor. Cred că, odată ce vom obține ceva mai multă inteligență artificială în organizațiile noastre, este foarte posibil ca noi reglementări să poată fi dezvoltate în concordanță cu AI-ul, care este desfășurat în organizații, astfel încât să poată fi descrise în modul descris în viitor. Deocamdată, nu acționăm cu asta.
Eric Kavanagh: Iată o întrebare pe care o voi arunca, Kim, pentru că și acest lucru este interesant. Vorbești despre latența medie sau despre timpul în care cineva care se conectează la sistemul tău se ascunde și abia așteaptă - numărul de zile în care un atacator a rămas inactiv într-o rețea - detectarea este de 200. Sunt curios să știu, care sunt gândurile tale despre cum să îmbunătățești asta, în primul rând? Dar, de asemenea, există o modalitate de a utiliza acest tip de regulă pentru a explora propriul sistem? Pentru a explora propriile date, pentru a face o treabă mai bună de a păstra afară aceste tipuri de oameni?
Kim Brushaber: Da, cred că, evident, depistarea precoce este esențială. Trebuie să vă dați seama că aceste site-uri dăunătoare vă accesează informațiile și vă puteți bloca. Cred că în celelalte diapozitive în care arătăm că majoritatea organizațiilor nu au acele politici în vigoare. De aceea stau acolo. Cred că dacă aveți o politică în vigoare pentru a vă parcurge și a vă bloca accesul și asigurați-vă că persoanele potrivite au acces. Asigurați-vă că rotiți cheile în mod regulat și le actualizați. Asigurați-vă că parolele dvs. sunt actualizate în mod regulat și faceți aceste tipuri de lucruri, care par destul de fundamentale. În momentul de față, majoritatea organizațiilor nici măcar nu fac asta, iar să începi să pui acele piese la locul tău te vor ajuta să treci dincolo de asta.
Însă, bineînțeles, hackerii vor deveni mai pricepuți în acest sens, dar în momentul de față este ușor, este ca: „O să mă uit la casele de pe stradă în care simt că vreau să mă prind, vor avea alarma sisteme? Au un mic semn de alarmă și că unul are câini? Voi merge la unul care nu are semn de alarmă, nu are un câine și asta este casa în care voi sparge. "Ei bine, ei vor afla companiile care nu nu au aceste patch-uri pe loc și nu au securitatea în loc și nu își actualizează parolele și vor merge să stea acolo și să-ți folosească de câteva ori cardul de credit pe o benzinărie pentru a te asigura nu l-ai închis și atunci când pot influența o schimbare mare, în mod normal, un fel de declarație politică sau altfel se întâmplă când îi vezi să-și ridice capul. Prin aplicarea acestor politici, cred că în acest moment puteți face niște pași destul de minimi pentru a putea merge înainte de acest joc.
Eric Kavanagh: Acesta este probabil cel mai bun sfat și aud întotdeauna acest lucru atunci când vorbim cu oameni care se află în spațiul de securitate sau în spațiul de reglementare, că elementele de bază vor acoperi 80 la sută din problema ta și asta este mult teren de acoperit - acesta este un buna observatie. Unul dintre participanți a întrebat dacă cineva poate extinde oportunitățile de afaceri care pot fi exploatate din eforturile de conformitate GDPR, îmi amintesc de Sarbanes-Oxley și cred că, William, o să vă arunc. Ca consultant, căutați întotdeauna modalități de a vă ajuta clienții în afara domeniului de aplicare al unui anumit proiect - cel puțin dacă sunteți un consultant bun, faceți asta. Când vorbești cu oamenii despre GDPR, care sunt beneficiile auxiliare pe care le poți oferi pe care le vor obține dacă se angajează într-un proiect axat pe asta?
William McKnight: În primul rând, este important de menționat că ideea din spatele GDPR nu este deloc drepturile asupra cetățeanului. Există cealaltă parte a GDPR, care este, aceasta va îmbunătăți încrederea pe care o au cetățenii în companiile noastre și îi va încuraja să facă mai multe afaceri în companiile care respectă. Există acele avantaje auxiliare ale realizării efective a GDPR dvs., acum pe plan intern, programele de guvernare a datelor pe care le implementăm servesc pentru a facilita tot felul de inițiative, care sunt de fapt lansate în cadrul organizațiilor și astăzi, cel mai mult de departe, inițiativele care sunt lansate în interiorul organizațiilor. De curând am făcut unele planificări pentru 2018 cu multe dintre ele, au de-a face cu date, multe, sunt ca de la 65 la 90 la sută toate despre date - atunci când vorbești despre telematică sau programul client 360 sau un tablou de bord pentru monitorizarea vânzătorilor, este vorba în mare măsură de date. Orice lucru care gestionează mai bine aceste date, care îl plasează într-o arhitectură mai bună, care numește oameni care sunt persoane care pot răspunde la orice întrebări cu privire la aceste date, despre care ar fi cu adevărat interesat ca un program de guvernare a datelor. Orice lucru care ne oferă un glosar de date - cum ar fi vorbit Kim cu instrumentele ei - orice face asta, este foarte util să eficientizăm aceste inițiative, să le riscăm, să micșorăm timpul, să reducem bugetul pentru ele și să ne obținem la un moment agil pentru a comercializa lucruri mult mai rapide și bune pentru o companie care face inițiative, care sunt toate companiile.
Eric Kavanagh: Îmi place conceptul de încredere. Cred că încrederea este o realitate foarte nedestinată în lumea noastră și, sincer, majoritatea afacerilor se bazează pe încredere - se întâmplă cu adevărat atunci când te descurci. O să vă arunc doar câteva comentarii, Kim. Cred că una dintre valorile cheie adăugate aici este îmbunătățirea încrederii și promovarea unei culturi a încrederii, deoarece aceasta nu va avea doar impacturi pozitive asupra companiei în sine, asupra oamenilor din companie, în sine, dar și asupra a ceea ce percepe publicul pentru că acest tip de lucrurile se revarsă, mi se pare, dar ce crezi?
Kim Brushaber: Da, cred că atunci când vorbesc cu prietenii care lucrează la Google sau lucrează la Facebook sau cu unele dintre organizațiile mai mari, cu un profil foarte mare, nu implementează aproape atâtea funcții, cât sunt la implementarea protocoalelor de securitate și performanță. și probleme de scalabilitate, deoarece doresc ca experiența utilizatorului lor să fie una în care cred că pot avea încredere în informațiile respective. Cred că companiile au această responsabilitate, pe măsură ce continuăm să mergem mai departe pentru a oferi acest tip de încredere. Îmi amintesc când oamenii au început să pună online cărți de credit și oamenii sunt de genul: „Dumnezeule, nu voi da aceste informații acolo, pentru că nu sunt sigure.”
Și acum, cardul dvs. de credit merge în orice fel, deoarece, teoretic, credeți că puteți avea încredere în companie, deoarece are un certificat HTTPS. Apoi auziți despre încălcările datelor Target în cazul în care cardurile de credit, unde erau precum: „Oh, mai bine vă scoateți cardul de credit pentru că ne dăm drumul acestor informații”. Cred că este un sentiment bidirecțional. Cred că indivizii, în timp ce vor să aibă mai multă încredere pentru că este mult mai ușor, să poată avea încredere și să aibă credință în acest lucru la organizații mari, marile organizații trebuie să pășească și să pună aceste piese astfel încât să nu le facă nu răniți persoana fizică sau pierdeți cota de piață. Oamenii spun: „Ei bine, știi ce, nu voi mai face cumpărături la Target, acum voi face cumpărături la Amazon”. Cred că încrederea este o problemă mare, deși, așa cum am spus, 78% dintre oameni sunt tot va face clic pe linkul respectiv într-un e-mail, chiar dacă știu că nu ar putea. Există o anumită protecție a oamenilor, chiar și atunci când au încredere în tine.
Eric Kavanagh: Acesta este un punct bun. Știi ce, voi arunca o ultimă întrebare către tine, William, sau cel puțin încă una - avem câteva bune acum. Un participant scrie: „GDPR mută administrarea identității înapoi la client, de unde aparține. Equifax a afectat permanent 149 de milioane de consumatori, „foarte adevărat”, care contaminează economia digitală. Ce schimbări vedeți că se întâmplă în SUA cu privire la proprietatea clienților în ceea ce privește gestionarea identității? ”
William McKnight: Ei bine, suntem întotdeauna în urmă în SUA când vine vorba de acest fel de lucruri, nu-i așa? O sută patruzeci și nouă de milioane, nu e nicio picătură în găleată chiar acolo. Este aproape ca terorismul, nu? Suntem atât de obișnuiți, se întâmplă tot timpul. Cred că trebuie făcut ceva. Cred că GDPR, îmi plac drepturile pe care le acordă cetățenilor, dar nu pare a fi o prioritate - există multe alte priorități și nu știu unde va merge. Cred că, așa cum am menționat în diapozitivul de ramificații pe care l-am avut, acest lucru semnalează o schimbare către consumatori mai multe drepturi asupra datelor lor. Când se întâmplă asta în SUA? Nu știu, s-ar putea să fie până la cinci ani de zile libere pentru a vedea ceva proporțional cu GDPR care se întâmplă aici în SUA Doar speculații în acest moment.
Eric Kavanagh: Este un punct cu adevărat bun și cred că vom face eforturi mai mari în acest sens, pentru că, să-l înțelegem, acum ne îndreptăm spre o astfel de economie digitală. Și ca un comentariu de închidere aici, obținând un aspect filosofic, orientat către politici, asta mă preocupă cel mai mult în legătură cu mutarea către o societate fără numerar, pentru că atunci când banii vor dispărea, dacă se întâmplă asta, atunci totul este digital și fiecare sistem îl poate hack și identitatea fiecărei persoane poate fi furată. Mi se pare că este un elefant destul de mare în cameră aici, în timp ce ne uităm la știri spre viitorul managementului identității.
Toate acestea sunt lucruri grozave, oameni buni. Mulțumesc lui William McKnight pentru timpul și atenția acordată astăzi. Mulțumesc lui Kim Brushaber de la IDERA. Arhivăm toate aceste transmisii web pentru vizualizare ulterioară, așa că nu ezitați să reveniți, de obicei în doar câteva ore și arhiva va fi gata. Cu asta, o să vă luăm rămas bun. Mulțumesc din nou pentru timpul acordat și atenție. Aveți grijă. Pa! Pa.
