La pachet: Gazda Eric Kavanagh discută despre viitorul regulament general al UE privind protecția datelor și despre efectele pe care le va avea asupra industriei. Alături de el sunt William McKnight, de la McKnight Consulting Group și Kim Brushaber, de la IDERA.
În prezent nu sunteți autentificat. Vă rugăm să vă conectați sau să vă înregistrați pentru a vedea videoclipul.
Eric Kavanagh: OK, doamnelor și domnilor, salut și bineveniți încă o dată. Este miercuri la ora 4, ora Estului, ceea ce înseamnă că este timpul din nou - una dintre ultimele ori din anul 2017 - pentru Hot Technologies. Da, într-adevăr, mă numesc Eric Kavanagh - voi fi moderatorul pentru evenimentul de astăzi. Vorbim despre un subiect de anvergură, să spunem cel puțin. În acest moment, nu pare așa - conceptul de GDPR, Regulamentul privind protecția datelor globale. Haideți să mergem mai departe și să ne aruncăm cu adevărat în asta, nu este vorba despre dvs. cu adevărat, suficient despre mine. Anul acesta este fierbinte, a fost foarte cald în multe moduri diferite, dar reglementările iminente din partea GDPR și din alte organizații, sincer, ne obligă să regândim ce se întâmplă în lumea afacerilor, mai exact așa cum rezultă, sau întrucât se referă la date. Vom auzi de la Kim Brushaber de la IDERA și, de asemenea, de William McKnight, de la McKnight Consulting Group.
Doar câteva cuvinte rapide despre subiectul la îndemână, oameni buni. GDPR spune practic că organizațiile trebuie să aibă o politică de confidențialitate și o primă securitate în ceea ce privește datele și, într-adevăr, este vorba despre unele lucruri pe care le-ați auzit - întregul drept de a fi uitat, de exemplu, este parțial și parțial la tot acest moment și sunt lucruri foarte interesante. Este cu siguranță valabil în ceea ce privește principiile și etica sa. Cu toate acestea, în ceea ce privește implementarea reală, este o provocare destul de serioasă. Dreptul de a fi uitat spune că, dacă doriți ca anumite organizații să nu dețină datele dvs., datele dvs. personale sensibile, acestea trebuie să scape de ele. Ei bine, vă puteți imagina când sunt unele dintre aceste medii de date cu adevărat eterogene, cât de dificil va fi acest lucru. Pentru a putea ajunge în orice loc în care datele dvs. sunt persistente și a le scoate, doar nu se va întâmpla, este linia de jos. Cu toate acestea, organizațiile trebuie să aibă politici în vigoare, pentru a putea soluționa aceste îngrijorări și asta sunt ceea ce vor căuta autoritățile de reglementare.
Este o afacere mare. Nu numai că organizația trebuie să elimine datele dvs. dacă spuneți acest lucru, dar, dacă au algoritmi instruiți asupra acestor date, din punct de vedere tehnic ar trebui să se retragă și algoritmii. Este o comandă înaltă, trebuie să vă spun, dar vine, urmează știucul, va fi o realitate în luna mai a anului viitor și există și alte reglementări. Canada are legile antispam pe care le-au adoptat, ceea ce are un impact asupra modului în care gestionăm informațiile personale. Neutralitatea netă se apropie acum de știri, bineînțeles că a fost dezrădăcinată, în esență, și va schimba unele lucruri. Există o mulțime de aceste reglementări foarte grave care afectează întreprinderile din toată lumea și din întreaga lume, pentru care organizațiile mari trebuie să înceapă să se gândească și să se pregătească.
Pentru asta, William McKnight a primit online online grupurile de consultanță McKnight pentru a ne anunța ce crede și de ce GDPR este, de fapt, doar vârful aisbergului. Cu asta, William, o să ți-o predau. Ia-o de aici.
William McKnight: Mulțumesc, Eric și, așa cum spui, după cum spune diapozitivul, acest GDPR este poate vârful aisbergului - asta este cu siguranță ceea ce credem noi. Este important să ne adâncim în GDPR în profunzime, deoarece cred că reprezintă un val de reglementări care vine pe conducta cu care trebuie să ne ocupăm. Din fericire, Eric, există anumite standarde rezonabile în jurul acestui drept de uitat, la care voi ajunge. Cu toate acestea, în plimbarea mea anul acesta vorbind despre GDPR, cred că există o mulțime de firme, în special firme din SUA, care nu sunt încă pregătite pentru acest lucru. Este cu siguranță fierbinte și ceva la care nu ne gândeam cu siguranță acum un an, când erau doar încercări de balonare a unor lucruri, dar acum este un regulament și trebuie să ne ocupăm de el, așa cum ai spus, Eric, poate veni drept. aici sus - deci nu chiar atât de departe.
Un pic despre mine, voi aborda asta din perspectiva datelor. Pentru a vă anunța, sunt o persoană de viață pe tot parcursul vieții și mă consult acum 19 ani în spațiul de date, iar GDPR este foarte mult despre date. Voi prezenta un corp de soluții aici, pe măsură ce voi prezenta în prezentarea mea despre guvernarea datelor. Am făcut, evident, o mulțime de programe de guvernare a datelor și cred că, dacă vă aliniați cu acest concept, faceți o anumită guvernare a datelor, multe companii de acolo vor fi destul de departe. de fapt, în conformitate cu GDPR, dar vor fi multe, și cel mai sincer, care sunt în urmă în guvernare și, prin urmare, destul de în urmă în pregătirile GDPR. Haideți să stabilim nivelul aici și să înțelegem despre ce este GDPR și, pe măsură ce aprofundăm conversația, vom intra în mai multe ramificări ale GDPR asupra vieții de afaceri pe măsură ce mergem mai departe în noul an și nu numai.
GDPR este pentru confidențialitatea datelor privind cetățenii Uniunii Europene. Este un regulament - înseamnă că are dinți, înseamnă că este executoriu. Nu este ceva ce este prezentat ca o sugestie - asta s-a întâmplat deja și acum a fost format într-un regulament cu sancțiuni. Îmi place să încep cu penalitățile, deoarece asta atrage cu adevărat atenția oamenilor. Acestea sunt sancțiuni dure. Există două penalități, există 2% din veniturile anuale la nivel mondial sau 10 milioane de euro dacă o întreprindere nu respectă obligațiile de securitate, dar orice altceva, încălcând alte dispoziții - și voi intra în ele - 4%. O auziți cu bandă cam - 4 la sută. Și, apropo, este de 4% sau 10 milioane de euro, care este mai mare. Acest lucru este foarte rigid. Oamenii sunt foarte serioși în acest sens. Intră în vigoare începând cu 25 mailea, 2018 - aceasta este o dată-cheie, care este momentul în care auditul poate începe, atunci când puteți primi amenda. Categoric vrei să fii pregătit pentru asta. Fiecare companie cu care mă ocup, mă ocup de o mulțime de companii Global 2000, sunt undeva în pregătirea GDPR, unele mai mult decât altele, iar unele trebuie să fie mai mult decât altele în acest moment. Cu siguranță, va fi dificil să întâlnim această dată pentru unii și vom vedea.
Este cel mai complet regim de respectare a confidențialității datelor pe care l-am văzut până în prezent. Când vom vedea ceva mai dur sau ceva care afectează poate mai direct populația Statelor Unite, cine știe, dar este acolo și cu siguranță trebuie respectată. Este necesar ca organizațiile să înțeleagă ce este cetățeanul UE PII - suntem familiarizați cu dreptul PII - informații de identificare personală, securitate socială, număr de telefon, adresă, lucrurile care pot identifica în mod unic o persoană sau o identitate destul de unică. Ce au și cum îl folosesc. Aceasta înseamnă inventar. Aceasta înseamnă reglementarea în cadrul propriilor companii despre acest tip de date. Apropo, S.U.A. nu are niciun fel de lege națională privind protecția datelor. SUA au fost întotdeauna - o să spun în spate, pentru a o pune în perspectivă - în spatele Europei în ceea ce privește acest tip de reglementări și aceasta continuă. Acest lucru continuă cu GDPR, este destul de evident. Este posibil ca unii dintre voi să știe despre scutul de confidențialitate, este posibil să vă întrebați despre asta. Există aproximativ trei sau patru prevederi în GDPR care au vreo suprapunere cu scutul de confidențialitate, dar există o sută de prevederi în GDPR, deci este mult mai mult decât atât și, desigur, este încă în vigoare și asta are legătură cu schimbul de date din SUA și UE. numai, deși asta este important.
Din nou, îmi place să încep cu numere. Ai auzit despre amenzi, dar despre cum te pregătești pentru asta. Bugetul pentru GDPR și efectuarea unei anumite acțiuni, acest lucru depinde de câțiva factori. Cantitatea de date PII pe care le colectați asupra cetățenilor UE. Dacă nu strângeți nimic, OK, sunteți probabil conform și nu trebuie să faceți față cu aceasta, dar probabil sunteți la acest apel, deoarece strângeți undeva. Mărimea companiei dvs. și maturitatea guvernanței dvs. de date, care, așa cum am mai spus, ar putea să se apropie de ceea ce trebuie să faceți pentru a răspunde GDPR. Puteți aștepta până la câteva milioane USD sau euro, după caz, pentru conformitate. Cu toate acestea, nu vrem să ne conformăm doar GDPR, să bifăm caseta, bineînțeles că trebuie să facem asta. Sperăm că nu vă aflați în acea situație îngrozitoare în care sunteți doar disperat să bifați această casetă. Căutați beneficii pentru afaceri, deoarece multe dintre lucrurile pe care le faceți pentru a sprijini GDPR sunt bune pentru afacerea dvs. Guvernarea datelor este bună pentru afacerea dvs. Atunci când este vorba despre cantitatea de date PII, unele sunt mai importante decât altele, unele vor fi examinate mai mult decât altele, cum ar fi sănătatea în legătură cu datele, vor fi reglementate mult mai strict sub GDPR decât alte tipuri de date și vor necesita respectarea cu obligații suplimentare, cum ar fi efectuarea de evaluări de impact privind protecția datelor care, evident, se adaugă bugetului dumneavoastră.
Puțin acolo despre bugetare. În cazul în care sunteți în S.U.A. sau în S.U.A. și vă întrebați cum vă afectează acest lucru - GDPR afectează U.K., care este încă în UE, apropo, până pe 29 martielea din 2019 și al cărui guvern a indicat că ceva de genul GDPR va continua după această dată, deoarece „Este o idee bună.” Companiile din U.K trebuie să se conformeze. Datele despre cetățeni din U.K sunt cu siguranță pe masă. În cazul în care nu este clar, există întreprinderi din Statele Unite, dacă aveți de-a face în UE, cu date despre cetățeni ai UE, acest lucru este valabil pentru dvs. Acest lucru are ramificări asupra arhitecturii dvs. de date, deoarece s-ar putea să fiți nevoit să eliminați datele UE din orice altceva și să le tratați diferit. Afectează analiticele, așa cum spunea Eric, în modul în care compilați aceste analize și așa mai departe. S-ar putea să fie mai dificil acum să obții orice fel de analiză la nivel global, la nivel global. Acestea pot deveni mai localizate ca urmare a GDPR.
Ce este în prevederi? Există standarde de protecție a datelor. Toate acestea dictează criptarea datelor în repaus și în mișcare. Urmează să vorbesc despre criptare. Există standarde de notificare privind încălcarea datelor. Nu mai mult din asta așteaptă luni întregi, așteptând sferturi să anunțe toată lumea. Cred că a fost unul mare, a doua zi și am aflat: „O, s-a întâmplat acum un an.” Nimic din asta cu GDPR - ai 72 de ore. Este o politică de nume și rușine. Sperăm că nimeni nu ajunge la asta, în mod clar unii oameni vor. Încălcările vor continua, chiar și după GDPR, desigur. Există procese de monitorizare a locației și a calității datelor. Suna familiar? Aceasta este într-adevăr inima guvernării datelor. Sper să aveți unele dintre acestea.
Cetățenii UE au dreptul să fie uitați, așa cum a menționat Eric. Există câteva standarde de rezonabilitate în acest sens, Eric. Nu trebuie să eliminați totul în mod necesar, dacă este posibil să fiți nevoit să contactați din nou acest client, respectivul angajat, vi se permite să păstrați anumite aspecte ale datelor sale personale. Cu toate acestea, acești cetățeni au dreptul de a fi uitați, dar nu poate fi depus niciun efort disproporționat - care este limba - asupra ta sau a dăunării companiei, ceea ce îți vine să elimine aceste date. Nu vreau să-l redau, dar trebuie să eliberați și copii ale datelor cu caracter personal care au fost păstrate și puteți obține aceste date numai cu acordul. Acordul respectiv trebuie să fie dat de persoanele cu vârsta minimă pentru a acorda o astfel de autorizație. Este un lucru bun acolo, dar care oferă cetățenilor o mulțime de drepturi asupra datelor lor. Aceasta este portabilitatea chiar acolo, în cazul în care va apărea vreodată. Dreptul de a fi uitat, în mod clar, dar și - și ceva care nu este pe diapozitivul meu, care este destul de important - este că persoana vizată va avea dreptul să nu fie supusă unei decizii bazate doar pe prelucrarea automată. La ce ne-am mișcat din greu? Prelucrarea automată, în jurul acceptării împrumutului, ce oferte vom oferi, toate acestea trebuie să fie elaborate în ceea ce privește modul în care acest lucru va merge și cât de departe va merge. Ceea ce spune în esență, este transparența în jurul motivului pentru care am fost respins, de ce sunt tratat într-un anumit fel de această companie. Acesta este un drept acum, fiind acordat unui cetățean al UE.
Evident, există câteva ramificări ale modului în care ne desfășurăm activitatea și sperăm că veți vedea că GDPR nu este o problemă IT, nu o problemă IT. Toate aceste procese de afaceri sunt implicate. Acesta va implica oameni din întreaga companie. Numirea unui agent de protecție a datelor este recomandată pentru acele companii cu mai mult de 250 de angajați și aveți „matematică critică cu datele PII din UE”. Puteți decide singuri dacă aveți această matematică critică, uneori este evident, alteori nu este. Dar, există un nou rol - nu trebuie să fie un rol cu normă întreagă, persoana poate avea alte responsabilități, dar nu știu - în unele corporații mari și mari, aproape că cred că aderarea la GDPR va avea fii aproape de un rol cu normă întreagă. Aș spune că începe așa și vedeți dacă vă puteți descurca. Mai ales pe parcursul anului următor, pe măsură ce îți reuniți actul în jurul GDPR, după ce va fi stabilit, poate puteți încetini lucrările în acest sens, dar va dura unele companii destul de mult. Permiteți persoanelor să vadă propriile lor date și portabilitatea datelor, așa cum am menționat anterior.
Acest lucru nu este totul nou, apropo, dar dreptul de a fi uitat a fost de fapt acolo, credeți sau nu. Normele actuale ale UE prevăd deja dreptul de a șterge sau de a nu fi disponibile date personale. Cu toate acestea, acum face parte din GDPR, va fi pus în aplicare mult mai larg. Criptare date - criptați datele dvs. în repaus. Utilizați metode de criptare standard, nu utilizați propriul cod de casă sau standard. AES este unul pe care îl recomandăm destul de mult. Utilizați chei de criptare securizate criptografic. Modificați periodic aceste chei. De asemenea, preveni pierderea acestor chei. Acestea sunt doar bune practici de criptare, dar acum vin în prim plan cu GDPR. Problema este aceea - am lovit doar vârful aisbergului. Evident, există mai multe prevederi, dar acestea sunt principalele.
Acum, soluție. Guvernarea datelor, cadrul conformității dvs., cel puțin aceasta este perspectiva pe care o propun aici. Din fericire, există o disciplină activă bine pregătită, care poate și trebuie să adreseze, când este matur, cea mai mare parte a cerințelor și aceasta este guvernanța datelor - în mod evident, spun asta. Programele de guvernare ar trebui să aibă un glosar de date, iar aici folosesc un glosar de date într-un sens generic pentru a însemna documentație în cadrul întregului proces pentru procesele dvs. Aceasta este o bază, pentru a răspunde nevoilor de inventar ale GDPR, care, așa cum am văzut, sunt destul de imense. Programul, programul de guvernare, ar trebui să faciliteze protocoalele de securitate a datelor - și subliniez faptul că nu este un lucru pe care îl fac o mulțime de programe de guvernare a datelor în acest moment, dar cred că este un loc logic pentru a fi realizat pentru că sunt stai pe programul care stabilește cine sunt proprietarii de afaceri? Cine trebuie să o vadă? Apoi, următorul pas este acordarea acestor permisiuni. Aceasta trebuie centralizată, trebuie formalizată. Trebuie să existe politici interne care sunt utilizate. Administrația trebuie să fie atribuită tuturor elementelor pentru a furniza contribuții la toate cele de mai sus. Guvernarea datelor poate fi, de asemenea, facilitatorul ingineriei proceselor de afaceri, care va fi necesară.
Înainte de a părăsi acest diapozitiv, urmărind evitarea amenzilor grele, companiile vor adopta practici de afaceri solide ca produs secundar. Îmi place să spun că este mai mult decât un produs secundar, dar este o afacere bună și bună, care te poate conduce în locuri noi din perspectiva afacerilor. Cu siguranță, veți obține o mulțime de eficiențe pentru a face toate inițiativele peste tot, dacă aveți o guvernare solidă a datelor, asta am văzut de-a lungul anilor. Prin adăugarea unora dintre aceste lucruri pe care le menționez, la guvernarea datelor, acestea se vor îmbunătăți doar. În tehnica procesului dvs. de afaceri vă recomandăm să puneți aceste întrebări peste tot, să atingeți fiecare zonă de afaceri. Ce fel de date colectăm la clienții noștri din UE? Nu le-am citit pe toate. Unele dintre cele cheie aici. Cine are nevoie să vadă aceste date și este urmărit? Cine este administratorul de date pentru aceste date? Cine este persoana mea care merge în companie? Aceasta este una mare: împărtășim aceste date cu terți? Doar pentru că îl renunțați la o terță parte, nu vă scuza răspunderea în legătură cu aceste date - acestea sunt în continuare datele dvs., sunt încă datele pe care le-ați colectat. Există o mulțime de contracte cu terți care sunt acum revizuite în detaliu ca urmare a GDPR. Aceste sisteme au eșecuri deterministe? Adică atunci când nu reușesc, nu reușesc pe o cale pe care am predeterminat-o, sau au eșuat, se prăbușesc, ard și începem de la zero să săpăm pe ea? Va fi, evident, mult mai bine. Este deja o practică bună, dar, evident, este mult mai bună pentru inginerie inversă, dacă aveți mari eșecuri deterministe în sistemul dvs.
Păstrarea datelor, am vorbit pentru totdeauna despre păstrarea datelor. Multe companii au politici, însă nu toate le respectă. Evident, celebrul în domeniul sănătății și financiar, vrem să păstrăm date, trebuie să păstrăm date pentru un anumit număr de ani. Unii dintre analiștii din aceste firme care păstrează date timp de șapte ani sau ce nu, spun: „O, după acea perioadă, încă îmi doresc aceste date.” Unii dintre avocații din aceste companii spun: „Dar trebuie să scăpăm de ea în scopuri de răspundere ”, etc. Acest lucru nu poate sta pur și simplu acolo, ca o problemă la Loggerheads mai mult cu GDPR. Trebuie să avem perioada de păstrare, trebuie să fie urmată în mod constant în cadrul organizației.
Și în final, cum vă mobilizați pentru o încălcare a datelor? Aceste scenarii cele mai grave care v-ar putea întâmpla. Evident, încercăm să le prevenim, dar ce se întâmplă dacă se întâmplă? Cum faceți camera de război și vă asigurați că urmați acum prevederile GDPR în răspunsul dvs.? Sunt un arhitect de date, mă gândesc la arhitectura de date. Dacă sunteți o companie din SUA, cu operațiuni ale UE, adică date ale cetățenilor UE - o colectați, va trebui să luați în considerare dacă aplicați standardele de protecție a datelor tuturor datelor sau doar datelor UE. Da, am clienți care iau această decizie acum. Ca practică de afaceri bună, s-ar putea să vrea să aducă asta în SUA, s-ar putea să se simtă că au timp, totuși, dar asta aduce numărul doi. Este posibil să fiți nevoit să eliminați datele UE din sistemele americane dacă nu puteți voca că aceste sisteme din SUA vor trata în mod corespunzător datele. Se separă aceste date în scopul analizelor? Sunt analitice chiar valabile dacă încercați să le faceți în toată țara? Uneori da, alteori nu, nu? S-ar putea să descoperiți că rezultatele dvs. vor fi dezactivate.
Așa cum am menționat anterior, inteligența artificială joacă aici, deoarece, evident, putem folosi AI pentru a merge să găsim toate datele, să ne ajute să găsim toate datele, dar dacă folosim AI în interfețele noastre pentru clienți, trebuie să avem transparență acum cu clientul nostru interfețe și acesta nu a fost niciodată costumul puternic al AI. Pentru a încerca să-i spui unui client: „Ai fost respins pentru că bla, bla, bla”, când era într-adevăr AI. Asta trebuie făcut acum. Trebuie să ne dăm seama cum funcționează AI, care sunt factorii? Nu mai pot să stau acolo și să nu mai fii o cutie neagră pentru tine. Ce facem acum? Stabiliți-vă consiliul GDPR. Vă sugerez să aveți funcționarul principal de confidențialitate acolo sau dacă aveți un agent de protecție a datelor, evident persoana respectivă. Șefii de guvernare a datelor, de risc operațional și / sau de conformitate, după cum se aplică, șeful IT, CIO dacă aceasta este persoana respectivă. Dacă aveți o persoană de conducere schimbată, aceasta ar fi o persoană grozavă acolo. Doar șefii unora dintre cele mai importante departamente din afacerea dvs. și, de asemenea, șeful resurselor umane, deoarece pregătirea pentru confidențialitate acum va fi uriașă. Toată lumea urmează să primească instruire în domeniul confidențialității sau ar trebui să primească pregătire pentru confidențialitate atunci când se îmbarcă într-o companie, chiar și consultanți.
Dacă nu faceți aceste lucruri pe care le vedeți aici, va trebui să vă deplasați mai repede decât doriți pentru a face termenul limită. De asemenea, trebuie să începeți să sperăm că nu sunteți unul dintre primii care vor fi audiați, deoarece, sincer, există multe lucrări aici, dacă începeți de la zero și aveți de-a face cu o mulțime de date despre cetățeni ai UE. Angajați-vă DPO-ul, inventariază-ți datele și procesele. Construiți acel plan de guvernare a datelor, duceți-l de unde este, până unde trebuie să fie. După caz, s-ar putea să doriți să o porniți. Creează-ți politicile de confidențialitate și anunțurile de politică Politicile de confidențialitate sunt interne. Notificările de politică sunt externe. Vedem acum o cultură care începe să se creeze în jurul avizelor de politică. S-a făcut multă comparație și s-a făcut o formulare atentă în jurul acestor avize de politică. Cartați o verificare a conformității GDPR pentru toate sistemele, inclusiv pentru sistemele noi. S-ar putea să fii nevoit să le secvenționezi și să le faci într-un fel de ordine de importanță, dar acesta este un alt mod de a aborda problema. Priviți sistemele și ce ar trebui să facă și cum gestionează aceste date.
Ce semnala GDPR? Despre acest lucru suntem aici, despre care vom vorbi puțin mai mult. Aștept cu nerăbdare ce are de spus Kim despre asta. GDPR este o schimbare a controalelor de confidențialitate a datelor către reglementare. Este o tendință spre transparență, așa se spune exact în prevederi. Creăm această cultură a notificărilor de confidențialitate, așa cum am vorbit, acum este un lucru. Vom vedea conferințe despre anunțuri de confidențialitate și așa mai departe. Schimbarea GDPR este spre drepturile fundamentale ale oamenilor. Întrebările deschise vor fi elaborate. Sunt întrebări clar deschise, am lăsat câteva pe masă aici pentru noi. Nimeni nu are răspunsul. Vor fi rezolvate. O tendință către o mai bună înțelegere de către persoane despre datele lor și modul în care sunt utilizate. Cred că acest lucru a sporit conștientizarea populației UE în ceea ce privește importanța datelor lor și considerând că este unul dintre activele lor personale, că trebuie să gestioneze mai mult. Acestea sunt unele dintre primele semnale pe care le-am văzut, iar Eric, o să vă arunc înapoi acum.
Eric Kavanagh: Bine, permiteți-mi să-i predau cheile lui Kim, care poate împărtăși o parte din perspectiva ei, dar cred că aceasta a fost o privire de ansamblu bună, William, și ați lovit asupra punctelor cheie - și anume că asta vine pe știucă sigur și avem toți să fie foarte atenți, destul de sincer. Cu asta, permiteți-mi să predau cheile lui Kim și puteți să vă partajați ecranul și să o luați de acolo.
Kim Brushaber: Hei acolo, mă poți auzi?
Eric Kavanagh: Te pot auzi.
Kim Brushaber: Minunat. William a acoperit unele din aceleași lucruri pe care le voi acoperi, dar cred că merită să le acopere din nou, deoarece sunt cu adevărat importante. Cred că, atunci când noile reglementări sunt adoptate, este foarte bine să obțineți o mulțime de perspective și interpretări ale diferitelor persoane, astfel încât ceva să vă stârnească mintea și să vă fie capabil să deveniți și mai în conformitate. Sunt încurajat de toți oamenii care participă la acest apel care doresc să știe mai multe pentru că cred că vine 25 mailea, poate exista foarte multă panică pentru companiile care sunt urmărite, nerespectând.
Numele meu este Kim Brushaber, sunt senior manager de produs la IDERA. Am mai multe produse sub mine care ajută la respectarea GDPR, precum și alte reglementări. O să trec în câteva informații. Voi începe cu câteva fapte și câteva cifre și apoi voi analiza puțin despre GDPR și apoi în mod specific instrumentele noastre care vă pot ajuta. Un fapt este că peste 5 milioane de înregistrări de date sunt pierdute sau furate în fiecare zi. Nu auzim acest lucru raportat la știri, nu auzim acest lucru care vine din alte locuri, dar există peste 5 milioane de înregistrări de date care sunt furate tot timpul, chiar de sub noi. Numărul median de zile în care atacatorii rămân inactivi în rețeaua dvs. este de 200 de zile. Multe sisteme sunt deja infiltrate de persoane care - cu intenții rău intenționate - care abia așteaptă oportunitatea de a valorifica informațiile dvs., în mare parte în condiții de securitate și certificate, dar abia așteaptă momentul lor. Acesta este motivul pentru care a devenit din ce în ce mai important să vă ocupați de securitatea datelor. Se estimează că costul mediu al încălcării datelor unice în 2020 va depăși 150 de milioane de dolari, întrucât mai multe infrastructuri de afaceri vor fi conectate la resursele online și pe măsură ce mai multe lucruri cresc în cloud. Acesta este un număr bun de buget dacă sunteți într-adevăr preocupat de securitatea datelor, care trebuie să le oferiți echipei dvs. executive, să le spuneți că aceasta este o problemă serioasă și ne-ar putea costa foarte mulți bani înainte.
Voi trece pe scurt asupra încălcării datelor Equifax, deoarece cred că a fost cea mai mare încălcare a datelor din 2017, pentru a picta imaginea a ceea ce dorește să treacă prin asta. Încălcarea a afectat 145,5 milioane de clienți. Angajații au recunoscut problema de securitate cu aplicația lor web cu două luni înainte de producerea încălcării. Angajații spuneau: „Aceasta este o problemă”. Chiar și puțin înainte, a apărut patch-ul. A durat o zi întreagă după ce a avut loc încălcarea pentru a răspunde la aceasta și a lua aplicația web offline. Deoarece Equifax nu avea un protocol de securitate a datelor definit, le-a trebuit o perioadă semnificativă de timp pentru a-și da seama chiar ce se întâmplă și apoi să poată lua sistemul offline. La șase săptămâni de la încălcare, publicul a fost alertat. Cu GDPR - așa cum am menționat mai sus și o voi spune din nou - trebuie să raportați în 72 de ore, iar Equifax ar fi avut mâinile legate și nu au putut respecta respectarea respectivă, deoarece au așteptat șase săptămâni să o raporteze. Comunicarea pentru a răspunde la încălcarea a inclus un site web care nu era chiar deținut de Equifax. Equifax înșiși retușau acest tweet care nu era chiar în domeniul lor - au inversat o parte din cuvintele din jur. Din fericire, nu a fost un site rău intenționat pentru a valorifica asta, dar, evident, nu erau pregătiți. Nu aveau un plan în loc, iar acest lucru a devenit foarte conștient pe arena publică. Equifax nu este singur - există peste 25 de atacuri cibernetice foarte ridicate în 2017 până acum și am mai putea găsi mai multe înainte de sfârșitul anului. Companiile trebuie să înceapă să ia acest lucru în serios, deoarece oamenii sunt acolo și dacă le oferiți un motiv pentru a dori să vină la tine, ar fi mai bine să fii pregătit să le poți ocupa.
Câteva alte date și cifre referitoare la modul în care indivizii privesc securitatea datelor. Până în 2020 vor exista 30 de miliarde de dispozitive conectate la internet prin casele noastre, prin intermediul purtărilor noastre, prin intermediul telefoanelor, tabletelor noastre și cine știe ce altceva mai poate veni în anii următori. Există o mulțime de dispozitive care sunt lăsate vulnerabile la aceste atacuri. Patruzeci și nouă la sută dintre americani consideră că informațiile lor personale sunt mai puțin sigure decât era acum cinci ani. 70% din consumatorii din America doresc ca companiile să fie transparente cu privire la datele lor personale. Șaptezeci și opt la sută dintre oameni susțin că sunt conștienți de riscurile pe care le dă clic pe link-uri necunoscute, dar oricum fac clic pe aceste link-uri - adică peste trei sferturi din populația noastră și tot fac clic pe link-uri, chiar dacă acestea știu că ar putea fi o problemă. Optzeci și șase la sută dintre utilizatorii de internet încearcă în mod activ să reducă la minimum, să anonimizeze și să ascundă vizibilitatea picioarelor lor digitale. Tatălui meu vitreg îi place să iasă și să creeze nume false atunci când completează formularele, deoarece consideră că acesta îl face anonim, dar știe că adresa IP este de asemenea urmărită. Există o mulțime de preocupări individuale și este ceea ce generează o mulțime de reglementări GDPR și probabil reglementări suplimentare care vor urma.
În ceea ce privește industria securității datelor, 90% din înregistrările privind încălcarea datelor din 2016 provin din guvern, retail și tehnologie. Patruzeci și trei la sută dintre ciberatacii au atacat întreprinderile mici. Dacă vă gândiți: „O, nu sunt un tip mare, nu vor veni după mine”, mai sunt încă aproape aproape jumătate dintre aceștia care merg după afaceri mici. 70% din industria asistenței medicale a fost infectată cu malware în ultimul an. Șaptezeci la sută din companiile de petrol și gaze din SUA au fost hacked în ultimul an. Aceasta are un impact semnificativ asupra diferitelor industrii care sunt în funcțiune și acest număr va crește doar de aici.
Când îl priviți din perspectiva executivă, 90% dintre CIO recunosc că irosesc milioane de dolari pentru cibersecuritate inadecvată. Nouăzeci la sută afirmă, de asemenea, că au fost atacați sau se așteaptă să fie atacați de băieți care se ascund în criptarea lor. Optzeci și șapte la sută cred că controalele lor de securitate nu reușesc să-și protejeze afacerile. Optzeci și cinci la sută dintre CIO se așteaptă ca abuzul penal al cheilor și certificatelor să se înrăutățească. Acesta este un număr foarte mare de companii care se uită la această problemă de securitate a datelor, iar realitatea este că multe dintre ele nu au soluții foarte bune pentru a putea face față atunci când se întâmplă, chiar dacă cred că se va intampla.
Când ne uităm la pregătirea acesteia, în 2014, 70 la sută dintre milenii au recunoscut că au adus aplicații exterioare în întreprinderea lor, încălcând politicile IT. Șaptezeci la sută au recunoscut-o - probabil că există chiar și un număr mai mare decât asta, asta a făcut-o de fapt. Cincizeci și două la sută din organizațiile care au suferit atacuri cibernetice de succes în 2016 nu au adus nicio modificare securității lor în 2017. Deși au fost atacate o singură dată, nu au mers totuși și s-au ridicat pe pereți - sunt la fel de vulnerabile ca și au fost înainte de atac. Aceasta pune într-adevăr întrebarea: ce au nevoie companiile să înceapă să facă, pentru a se pregăti pentru aceste lucruri? Treizeci și opt la sută din organizațiile globale susțin că sunt pregătite să se ocupe de un cyberattack sofisticat. Este bine - aproape jumătate sunt acolo și sunt generoasă cu asta, suntem într-adevăr doar la o treime, dar există încă cel puțin jumătate care spun: „Nu sunt pregătit. Dacă sunt atacat, nu sunt pregătit și hackerii îl știu. ”Treizeci și opt la sută dintre organizații au un plan de reacție la incidentele informatice. Majoritatea companiilor se află în aceeași găleată ca Equifax, unde nu știu ce vor face. Dacă obțin acest lucru, vor trebui să reacționeze și să vină cu aceste lucruri din mers, iar reglementări precum GDPR spun: „Trebuie să le aveți pe loc. Trebuie să le publicați. Trebuie să-i dovediți auditorilor de securitate. ”Sperăm că cu impacturi de genul acesta, cu reglementări de genul acesta, vom putea să parcurgem această curbă și în loc să fim reacționari, putem fi proactivi în desfășurarea noastră.
Să vorbim puțin despre GDPR. O parte din acest lucru William a acoperit deja, dar o să merg mai departe și o voi acoperi din nou, doar din perspectiva mea, a vocii, a perspectivei mele. Multe companii cu care vorbesc sunt: „Sunt în SUA, de ce ar trebui să mă intereseze chiar și de această reglementare a UE?” Faptul că mai mulți oameni nu bâlbâie și mai multe persoane nu vorbesc despre asta cred că este vorba doar de membrii UE afectați, dar v-aș întreba, dacă priviți această listă, colectați aceste date de la membrii UE? Dacă colectați toate aceste informații, sunteți supus limitelor GDPR, precum și sancțiunilor pentru nerespectarea acestora. Vă ofer o secundă pentru a absorbi acest lucru și a înțelege acest lucru. După cum am menționat William, acestea sunt sancțiunile și sancțiunile menționate la articolul 83 din GDPR. La început este posibil să primiți o palmă pe mână, un mic avertisment spunând: „Hei, faceți-vă actul împreună. Puneți acest lucru la loc. ”Dar dacă aveți o încălcare cu adevărat mare - și în funcție de cât de mare este o afacere - vor reveni la dvs. pentru restituire și este un număr semnificativ. Nu 10 milioane, ci 20 de milioane de euro sau 4 la sută din cifra de afaceri / veniturile din anul precedent. Sunt mulți bani. Acesta este un buget foarte mare pentru a merge la echipele dvs. executive și a spune: „Este ceva ce trebuie să începem să luăm în serios și trebuie să luăm măsuri.”
Permiteți-mi să parcurg un pic din principiile GDPR, așa cum sunt prezentate la articolul 5. Unul dintre lucrurile pe care le spun este acela că datele cu caracter personal ar trebui prelucrate în mod legal, echitabil și transparent. Asta înseamnă că publicul vrea să știe ce faceți cu datele lor. Fii transparent în acest sens și trebuie publicat. Majoritatea oamenilor nu citesc termenii și condițiile, dar acestea sunt informații noi pe care trebuie să le puteți comunica, astfel încât să le puteți spune: „Datele dvs. sunt gestionate corespunzător”. Datele personale ar trebui colectate pentru un anumit, scopuri explicite și legitime. Asta înseamnă că, sperăm, că putem scăpa de o parte din acest spam, unde companiile spun că colectează informații pentru un test care vă spune cât de interesant ar putea fi, iar în realitate, vă preiau datele și le vând altcuiva. , pentru a putea folosi în orice scopuri le sunt. Companiile acum trebuie să fie mult mai responsabile și să spună exact pentru ce folosesc informațiile dvs. De asemenea, aceștia spun că datele personale trebuie să fie adecvate, relevante și limitate la ceea ce este necesar. Multe companii le place să ia toate informațiile și să le pună într-un grup mare de date și apoi își dau seama ce vor să facă cu informațiile ulterior și colectează mult mai mult decât ar fi necesar. Aceasta înseamnă că nu o puteți colecta și utiliza în altă parte. De asemenea, nu puteți colecta totul și speri că mai târziu vi se va părea util. Trebuie să fiți foarte explicit în ceea ce privește motivul pentru care colectați informațiile și acestea trebuie să fie relevante pentru datele pe care le colectați.
De asemenea, datele cu caracter personal trebuie să fie exacte și păstrate la zi. Trebuie să oferiți utilizatorilor modalități de a-și actualiza datele, după ce le-ați colectat pe ele; trebuie să se poată întoarce și să spună: „Știi, am avut această opinie la un sondaj pe care mi l-ai întrebat despre informații de identificare personală și vreau să mă întorc și vreau să o schimb și să o actualizez acum.” Și ai pentru a le oferi o modalitate de a putea face asta. Datele cu caracter personal trebuie să fie păstrate într-o formă care să permită identificarea persoanelor vizate pentru cel mult timp necesar. Înapoi la punctul de vedere al lui William, că nu puteți colecta aceste informații pentru totdeauna - trebuie să veniți cu ceea ce credeți că este valabil și necesar și, după aceea, trebuie să ștergeți datele curate. De asemenea, acesta trebuie prelucrat într-o manieră care să asigure securitatea corespunzătoare, inclusiv protecția împotriva prelucrării neautorizate sau ilegale, pierderi accidentale, distrugere sau daune.
Așa cum am mai spus, este timpul să vă puneți cu adevărat în seriozitate în acest sens, oprirea acestor încălcări ale datelor, deoarece nu numai că aveți un prejudiciu care vine la adresa companiei dvs. sub forma încălcărilor de date și a pierderilor de venituri și a costurilor de redresare a proceselor. , dar este posibil să aveți, de asemenea, o grămadă de amenzi lăsate deasupra dvs. de la GDPR. Este timpul să începeți cu adevărat să vă puneți foarte în serios și cred că, pe măsură ce GDPR va intra în vigoare, companiile vor fi confruntate cu realitatea grea și, din fericire, cei care sunteți astăzi la apel pot începe să se gândească la asta și să știe cum vei pune aceste lucruri în acțiune.
GDPR vorbește foarte mult despre care sunt drepturile persoanelor; este foarte interesant pentru utilizatorii individuali. Primul lucru este dreptul de a accesa datele dvs. personale. Utilizatorii trebuie să știe ce informații ați colectat pe ele, în ceea ce privește informațiile identificate personal și trebuie să le oferiți o modalitate de a putea accesa aceste informații. Există, de asemenea, un drept la rectificare, care este un mod fantezist de a spune: „Trebuie să pot corecta informațiile pe care le aveți asupra mea.” Dreptul la ștergere - ceea ce, din nou, mulți oameni exprimă drept dreptul la fii uitat - dacă un individ spune: „Știi ce, nu mai vreau să știi că sunt colecționar de benzi desenate super tip, trebuie să scapi de asta. Am câțiva prieteni care mă învinovățesc despre asta și mă șterg complet de pe lista ta ”, trebuie să poți face asta. Există, de asemenea, dreptul la restricționarea procesării și acest lucru înseamnă că utilizatorii pot limita modul în care informațiile lor sunt procesate. Aceștia pot spune: „Nu mă deranjează să-mi luați informațiile pentru că cumpăr o mașină nouă, dar nu folosiți informațiile mele și să-mi trimiteți spam pe noi oferte de fiecare dată când sunt lansate mașini noi.” Există și dreptul la portabilitatea datelor, ceea ce înseamnă că utilizatorii ar trebui să fie capabili să obțină o copie a datelor lor și să poată lua în altă parte. O mulțime de organizații colectează informații, iar informațiile respective au un factor de aderență, iar acum persoanele fizice pot spune: „Știți ce, vreau să luați toate informațiile mele și acum vreau să le oferiți concurentului dvs., așa că pot muta asta peste."
Există o mulțime de lucruri care trebuie luate în considerare dintr-o organizație prospectivă cu privire la modul în care veți putea face asta și la ce informații doriți să puteți colecta și peste. Există, de asemenea, dreptul de a obiecta, iar utilizatorii se pot opune și la prelucrarea datelor lor. Dreptul de a nu fi supus unei decizii bazate exclusiv pe prelucrarea automată sau profilarea. Acest lucru are un impact semnificativ asupra marketingului B2B - dacă stai acolo și încearcă testarea A / B și încearcă să identifici, Colorado va fi mai influențat de un decât California, bine ai făcut doar profilarea, uitându-te la un stat față de alta și trebuie să te uiți la modul în care un individ ar trebui să poată opta din asta.
Având în vedere că avem unele lucruri înfricoșătoare care vin în ceea ce privește încălcarea datelor și modul în care oamenii își analizează datele și avem această reglementare uriașă care se aruncă deasupra umerilor, acum sunt aici pentru a vă oferi soluția despre cum poate ajuta IDERA. Articolul 15 vorbește despre modul de control al expunerii la datele cu caracter personal. Trebuie să știți cine vă accesează datele. Cum îl folosesc. Cât de multe date au fost prelucrate și Managerul de conformitate pentru produse SQL, pentru care sunt managerul de produse, vă permite să vedeți cine accesează datele dvs. și cum. SQL Compliance Manger este pentru soluții SQL Server. Dacă aveți o bază de date SQL Server, puteți conecta acest produs pentru a putea audita și analiza aceste informații, astfel încât să puteți respecta GDPR și să știți exact cum este utilizat. Puteți vedea, de asemenea, încălcările de date înainte de a se întâmpla și despre asta voi vorbi într-o altă diapozitivă. Există și un articol care spune: „Am nevoie de o înregistrare a activităților de procesare. Trebuie să mă loghez și trebuie să monitorizez operațiunile și trebuie să știu cine prelucrează datele personale și cine are acces la aceste sisteme. ”SQL Compliance Manager menține auditul serverelor și bazelor de date, inclusiv securitate, DDL, DML, precum și definește date sensibile . SQL Compliance Manager vă permite să verificați accesul de securitate și să înregistrați o încercare, astfel încât puteți vedea cine accesează informațiile, precum și cine se conectează, fie că este un utilizator privilegiat, fie că este un utilizator cunoscut, fie că ar putea fi un utilizator rău intenționat.
Articolul 33 vorbește despre notificarea încălcării datelor cu caracter personal către o autoritate de supraveghere. Trebuie să poți detecta încălcările; aveți nevoie de înregistrări pentru a putea evalua impactul; trebuie să știți cât de repede veți remedia. Pentru a face acest lucru, SQL Compliance Manger vă permite să configurați alerte pe bazele de date pentru a fi văzute de cine are acces la datele dvs. sensibile, atunci când au accesat-o, la ce au accesat. De asemenea, vă permite să excludeți din auditul dvs. utilizatorii privilegiați normali. Dacă aveți admin sisteme sau admin de rețea pe care știți că îl vor accesa și nu doriți să vă blocați rapoartele, le puteți exclude și spune: „Dă-mi tot ce se întâmplă în afara informațiilor respective”. pentru a identifica rapid dacă cineva accesează în mod greșit datele dvs. și puteți avea alerte care sunt în vigoare, care vă vor anunța momentul în care începe să se întâmple și apoi momentul în care informațiile sunt accesate, pentru a putea să le descompună nu trebuie să aștepți o zi întreagă pentru a-ți da seama ce se întâmplă, așa cum a făcut Equifax.
Există și un articol care vorbește despre protecția datelor și evaluarea impactului. Aceasta vă evaluează riscurile și înțelegeți care sunt acestea, precum și demonstrați și documentați conformitatea dvs. cu GDPR. SQL Compliance Manager vă permite să raportați asupra elementelor care sunt monitorizate. Doar pentru a merge pe scurt, verificând datele dvs. cu SQL Compliance Manager, SQL Compliance Manager vă permite să detectați conectări eșuate - ceea ce este un potențial semn de încălcare - să monitorizați activitățile administrative și modificările de securitate, să vă avertizați asupra modificărilor bazei de date, să auditați coloane pe care le definiți ca informații sensibile, identificați utilizatorii privilegiați și le urmăriți activitatea separat de ceilalți utilizatori din sistemul dvs., raportează că informațiile sunt auditate în conformitate cu mai multe orientări de reglementare. Nu numai că acoperim GDPR, dar acoperim HIPAA, PCI, FERPA, SOX, toate ghidurile de reglementare atunci când vin să vă auditeze informațiile și să înțeleagă la ce este accesat, avem aceste reguli de reglementare în vigoare.
Avem și produse suplimentare la IDERA pentru pregătirea GDPR. Dincolo de doar auditul pe care îl face SQL Compliance Manager, avem ER / Studio Enterprise Team Edition, care vă poate ajuta să vă documentați procesele de date și să încorporați standardele de date în modelul dvs. de date, puteți crea glosare de date despre care vorbea William într-o prezentare anterioară . După cum am menționat aici cu această prezentare, SQL Compliance Manager vă poate ajuta să vă auditați informațiile pentru a vă asigura că persoanele greșite nu vă accesează datele, precum și să le demonstrați auditorilor. Backup-ul SQL Safe vă poate ajuta să criptați datele și copiile de rezervă. Criptarea este o parte esențială a GDPR, pe care nu am acoperit-o în mare detaliu, deoarece am vrut să mă concentrez foarte mult pe activele Compliance Manager, dar SQL Safe Backup face o mulțime de criptare pentru tine, astfel încât datele dvs. să poată rămâne în siguranță. SQL Inventory Manager vă poate asigura că serverele sunt patch-uri și actualizate, astfel încât să nu ajungeți într-un caz precum Equifax, unde au avut un patch-ul învechit care le-a oferit o gaură mare de securitate pe care oamenii au putut să o folosiți cu răutate SQL Secure poate audita standardele de confidențialitate și criptare.
Pentru mai multe detalii pe site-ul comunității IDERA, sub blogul nostru, am postat și o Pregătire pentru GDPR, căutând spre 2018 și să înțelegem ce impact are GDPR și există, de asemenea, cu siguranță, puteți descărca o copie de probă a SQL Compliance Manager la IDERA precum și la oricare dintre celelalte produse despre care tocmai am menționat anterior în diapozitiv.
În acest moment, o să merg înainte și să predau prezentarea lui Eric, astfel încât să putem pune câteva întrebări.
Eric Kavanagh: OK bine. Ați atins o serie de lucruri cu adevărat interesante acolo, Kim, dintre care una - cred că este cam simplu, dar este destul de inteligent - ați vorbit despre detectarea autentificărilor eșuate. Mi se pare că este un semn destul de bun că cineva nu are niciun drept?
Kim Brushaber: Absolut. Dacă vedeți pe cineva care a încercat să acceseze și să crape parola, acesta este un mod foarte rapid de a putea spune că cineva nu face ceea ce ar trebui să fie. Poate că de câteva ori puteți să introduceți parola în mod incorect, dar dacă vedeți că 30 dintre acestea trec, acesta este un semn rău.
Eric Kavanagh: Da. Acest lucru este esențial pentru a seta alertele cu conținutul adecvat. Ce altceva ne puteți spune despre cum să gestionați procesul de configurare a alertelor și dezactivarea celor care nu fac ceea ce ar trebui să facă și cât de multe dintre aceste lucruri pot fi automatizate?
Kim Brushaber: Compliance Manager are o mulțime de alerte configurabile, precum și rapoarte pe care le puteți examina. Parcurgem urmele dvs. SQL și avem urmărirea automată a acesteia și o mulțime de acestea sunt deja configurate și predefinite, dar cu siguranță există și o cantitate semnificativă de personalizare.
Eric Kavanagh: William, te voi aduce în această situație - mi se pare că unul dintre domeniile în care vom vedea că învățarea mașinii va intra în joc în următorii doi până la zece ani, se uită la toate posibilitățile diferite. Analizând toate diferitele moduri prin care un sistem își poate optimiza eficiența, este eficientă în jurul problemelor precum încălcări și altele. Asta e și dumneavoastră?
William McKnight: Da, absolut. Cred că acum construim sisteme care se reparează singure. Monitorizarea 24 - 7 începe să alunece și să devină un lucru al trecutului, deși avem încă nevoie de acest tip de funcționare. Cred că sistemele sunt în mare parte care se integrează și îmi dau seama ce este greșit. Trebuie să alocăm mai mult spațiu aici sau ce aveți? Da, cred că acesta este cu siguranță o parte din viitorul nostru. Orice lucru care poate fi mapat la niște pași de acțiune, pentru a lua răspuns la ceva, este cu siguranță vulnerabil la inteligența artificială.
Eric Kavanagh: E o idee buna. Vă mai arunc o întrebare, William, pentru că știu că faceți multe cercetări în acest spațiu. Unul din lucrurile pe care le-am așteptat de ceva vreme și nu cred că suntem încă acolo - cred că ne apropiem, doar din ceea ce am citit și m-am gândit la asta - este o zi în care va exista o tehnologie care să absoarbă problemele de reglementare, formularea propriu-zisă a acestor lucruri și să îi asigurăm o adaptare a funcționalității și software-ului. Așa cum spuneam, suntem încă o cale de a face - nu-mi pot imagina că nu există cineva care să lucreze la asta. Ați găsit ceva de genul acesta sau suntem încă într-un moment în care ființele umane trebuie să se uite la reguli, să încerce cu adevărat să le înțeleagă, să le codifice în codul mașinii, în esență, și apoi să le cupleze la diferitele lor aplicații?
William McKnight: Ei bine, am cu siguranță conceptul pe care îl împărtășești aici. Nu sunt familiarizat cu nimic despre o lansare într-un mediu care are legătură cu acesta. Voi spune, în general, totuși, în mod evident, începem să spunem mașinilor nu ce să facem, dar care este obiectivul a ceea ce vrem să facem, iar mașinile devin mult mai inteligente în ceea ce privește descoperirea detaliilor. Cred că, odată ce vom obține ceva mai multă inteligență artificială în organizațiile noastre, este foarte posibil ca noi reglementări să poată fi dezvoltate în concordanță cu AI-ul, care este implementat în organizații, astfel încât să poată fi descrise în modul descris în viitor. Deocamdată, nu acționăm în acest sens.
Eric Kavanagh: Iată o întrebare pe care o voi trimite, Kim, pentru că este interesant și acest lucru. Vorbești despre latența medie sau despre timpul în care cineva care se conectează la sistemul tău se ascunde și abia așteaptă - numărul de zile în care un atacator a rămas inactiv într-o rețea - detectarea este de 200. Sunt curios să știu, care sunt gândurile tale despre cum să îmbunătățești asta, în primul rând? Dar, de asemenea, există o modalitate de a utiliza acest tip de regulă pentru a explora propriul sistem? Pentru a explora propriile date, pentru a face o treabă mai bună de a păstra afară aceste tipuri de oameni?
Kim Brushaber: Da, cred că, evident, detectarea timpurie este esențială. Trebuie să vă dați seama că aceste site-uri dăunătoare vă accesează informațiile și vă puteți bloca. Cred că în celelalte diapozitive în care arătăm că majoritatea organizațiilor nu au aceste politici în vigoare. De aceea stau acolo. Cred că dacă aveți o politică în vigoare pentru a vă parcurge și a vă bloca accesul și asigurați-vă că persoanele potrivite au acces. Asigurați-vă că rotiți cheile în mod regulat și le actualizați. Asigurați-vă că parolele dvs. sunt actualizate în mod regulat și faceți aceste tipuri de lucruri, care par destul de fundamentale. În momentul de față, majoritatea organizațiilor nici măcar nu fac asta, și să înceapă să pună acele piese la locul tău te va ajuta să treci dincolo de asta.
Însă, bineînțeles, hackerii vor deveni mai pricepuți în acest sens, dar în momentul de față este ușor, este ca: „O să mă uit la casele de pe stradă în care simt că vreau să mă prind, vor avea alarma sisteme? Au un mic semn de alarmă și că unul are câini? Voi merge la unul care nu are semn de alarmă, nu are un câine și asta este casa în care voi sparge. "Ei bine, ei vor afla companiile care nu nu au aceste patch-uri pe loc și nu au securitatea în loc și nu își actualizează parolele și vor merge să stea acolo și să-ți folosească de câteva ori cardul de credit pe o benzinărie pentru a te asigura nu l-ai închis și atunci când pot influența o schimbare mare, în mod normal, un fel de declarație politică sau altfel se întâmplă când îi vezi să-și ridice capul. Prin aplicarea acestor politici, cred că în acest moment puteți face niște pași destul de minimi pentru a putea merge înainte de acest joc.
Eric Kavanagh: Acesta este probabil cel mai bun sfat și îl aud mereu atunci când vorbim cu oameni care se află în spațiul de securitate sau în spațiul de reglementare, că elementele de bază vor acoperi 80 la sută din problema dvs. și că există o mulțime de temei de acoperit - acesta este un punct bun. Unul dintre participanți a întrebat dacă cineva poate extinde oportunitățile de afaceri care pot fi exploatate din eforturile de conformare a GDPR, îmi amintesc de Sarbanes-Oxley și cred că, William, vi le voi transmite. În calitate de consultant, căutați întotdeauna modalități de a vă ajuta clienții în afara sferei de aplicare a unui anumit proiect - cel puțin dacă sunteți un consultant bun, faceți asta. Când vorbești cu oamenii despre GDPR, care sunt beneficiile auxiliare pe care le poți oferi pe care le vor obține dacă se angajează într-un proiect axat pe asta?
William McKnight: În primul rând, este important să rețineți că ideea din spatele GDPR nu este deloc drepturile asupra cetățeanului. Există cealaltă parte a GDPR, care este, aceasta va îmbunătăți încrederea pe care o au cetățenii în companiile noastre. încurajați-i să facă mai multe afaceri în cadrul companiilor care sunt conforme. Există acele avantaje auxiliare ale realizării efective a GDPR dvs., acum pe plan intern, programele de guvernare a datelor pe care le implementăm servesc pentru a facilita tot felul de inițiative, care sunt de fapt lansate în cadrul organizațiilor și astăzi, cel mai mult de departe, inițiativele care sunt lansate în interiorul organizațiilor. De curând am făcut unele planificări pentru 2018 cu multe dintre ele, au de-a face cu date, multe, sunt ca de la 65 la 90 la sută toate despre date - atunci când vorbești despre telematică sau programul client 360 sau un tablou de bord pentru monitorizarea vânzătorilor, este vorba în mare măsură de date. Orice lucru care gestionează mai bine aceste date, care îl plasează într-o arhitectură mai bună, care numește oameni care sunt persoane care pot răspunde la orice întrebări cu privire la aceste date, despre care ar fi cu adevărat interesat ca un program de guvernare a datelor. Orice lucru care ne oferă un glosar de date - cum ar fi vorbit Kim cu instrumentele ei - orice face asta, este foarte util să eficientizăm aceste inițiative, să le riscăm, să micșorăm timpul, să reducem bugetul pentru ele și să ne obținem la un moment agil pentru a comercializa lucruri mult mai rapide și bune pentru o companie care face inițiative, care sunt toate companiile.
Eric Kavanagh: Îmi place acel concept de încredere. Cred că încrederea este o realitate foarte nedestinată în lumea noastră și, sincer, majoritatea afacerilor se bazează pe încredere - se întâmplă cu adevărat atunci când te descurci. Vă voi arunca doar pentru câteva comentarii de încheiere, Kim. Cred că una dintre valorile cheie adăugate aici este îmbunătățirea încrederii și promovarea unei culturi a încrederii, deoarece aceasta nu va avea doar impacturi pozitive asupra companiei în sine, asupra oamenilor din companie, în sine, dar și asupra a ceea ce percepe publicul pentru că acest tip de lucrurile se revarsă, mi se pare, dar ce crezi?
Kim Brushaber: Da, cred că atunci când vorbesc cu prietenii care lucrează la Google sau lucrează la sau cu unele dintre organizațiile mai mari, cu un profil foarte mare, nu implementează aproape atâtea funcții noi, cât sunt la implementarea protocoalelor de securitate și a problemelor de performanță și scalabilitate, deoarece doresc ca experiența lor de utilizator să fie una în care cred că pot avea încredere în informațiile respective. Cred că companiile au această responsabilitate, pe măsură ce continuăm să mergem mai departe pentru a oferi acest tip de încredere. Îmi amintesc când oamenii au început să pună online cărți de credit și oamenii sunt astfel: „O, Dumnezeule, nu voi da aceste informații acolo, deoarece nu sunt sigure”.
Și acum, cardul dvs. de credit merge în orice fel, deoarece, teoretic, credeți că puteți avea încredere în companie, deoarece are un certificat HTTPS. Apoi auziți despre încălcările datelor Target, în cazul în care cardurile de credit, unde erau precum: „Oh, mai bine vă scoateți cardul de credit pentru că ne dăm drumul la aceste informații”. Cred că este un sentiment bidirecțional. Cred că indivizii, în timp ce vor să aibă mai multă încredere pentru că este mult mai ușor, să poată avea încredere și să aibă credință în acest lucru la organizații mari, marile organizații trebuie să pășească și să pună aceste piese astfel încât să nu le facă nu răniți persoana fizică sau pierdeți cota de piață. Oamenii spun: „Ei bine, știi ce, nu voi mai face cumpărături la Target, acum voi face cumpărături la Amazon”. Cred că încrederea este o problemă mare, deși, așa cum am spus, 78% dintre oameni sunt tot va face clic pe linkul respectiv într-un, chiar dacă știu că nu ar putea. Există o anumită protecție a persoanelor, chiar și atunci când au încredere în tine.
Eric Kavanagh: E o idee buna. Știi ce, îți arunc o ultimă întrebare, William sau cel puțin încă una - avem câteva bune acum. Un participant scrie: „GDPR mută administrarea identității înapoi la client, de unde aparține. Equifax a afectat permanent 149 de milioane de consumatori, „foarte adevărat”, care contaminează economia digitală. Ce schimbări vedeți că se întâmplă în SUA cu privire la proprietatea clienților în ceea ce privește gestionarea identității? "
William McKnight: Ei bine, suntem întotdeauna în urmă în Statele Unite atunci când vine vorba de acest fel de lucruri, nu-i așa? O sută patruzeci și nouă de milioane, care nu este nicio picătură în găleată chiar acolo. Este aproape ca terorismul, nu? Suntem atât de obișnuiți, ci se întâmplă tot timpul. Cred că trebuie făcut ceva. Cred că GDPR, îmi plac drepturile pe care le acordă cetățenilor, dar nu pare să fie o prioritate - există o mulțime de alte priorități și nu știu unde va merge. Cred că, așa cum am menționat în diapozitivul de ramificații pe care l-am avut, acest lucru semnalează o schimbare către consumatori mai multe drepturi asupra datelor lor. Când se întâmplă asta în SUA? Nu știu, s-ar putea să fie până la cinci ani de zile libere, să văd ceva proporțional cu GDPR care se întâmplă aici în Statele Unite. Doar speculații în acest moment.
Eric Kavanagh: Este un punct cu adevărat bun și cred că vom depune mai multe eforturi în acest sens, deoarece, să recunoaștem, ne îndreptăm spre o astfel de economie digitală în aceste zile. Și ca un comentariu de închidere aici, obținând un aspect filosofic, orientat către politici, asta mă preocupă cel mai mult în legătură cu mutarea către o societate fără numerar, pentru că atunci când banii vor dispărea, dacă se întâmplă asta, atunci totul este digital și fiecare sistem îl poate hack și identitatea fiecărei persoane poate fi furată. Mi se pare că este un elefant destul de mare în cameră aici, în timp ce ne uităm la știri spre viitorul managementului identității.
Toate acestea sunt lucruri grozave, oameni buni. Mulțumesc lui William McKnight pentru timpul și atenția acordată astăzi. Mulțumesc lui Kim Brushaber de la IDERA. Arhivăm toate aceste transmisii web pentru vizualizare ulterioară, așa că nu ezitați să reveniți, de obicei în doar câteva ore și arhiva va fi gata. Cu asta, vă vom aduce rămas bun. Mulțumesc din nou pentru timpul acordat și atenție Aveți grijă. Pa! Pa.