Domov Varnost Nasvet ledene gore: zakaj je gdpr šele začetek

Nasvet ledene gore: zakaj je gdpr šele začetek

Anonim

Avtor osebja Techopedia, 6. decembra 2017

Odhod: Domačin Eric Kavanagh razpravlja o prihajajoči splošni uredbi EU o varstvu podatkov in njenih učinkih na industrijo. Pridružita se mu William McKnight iz McKnight Consulting Group in Kim Brushaber iz IDERA.

Trenutno niste prijavljeni. Če si želite ogledati video, se prijavite ali prijavite.

Eric Kavanagh: V redu, dame in gospodje, pozdravljeni in še enkrat dobrodošli. V sredo ob 16. uri po vzhodnem času, kar pomeni, da je spet čas - eden zadnjih krat v letu 2017 - za Hot Technologies. Ja, resnično, moje ime je Eric Kavanagh - jaz bom vaš moderator današnjega dogodka. Govorimo o najbolj daljni temi. Trenutno se ne zdi tako - koncept GDPR, globalne uredbe o varstvu podatkov. Pojdimo naprej in se potopimo prav pri tem, ne gre res za tvoje, dovolj o meni. Letošnje leto je vroče, res je vroče na veliko različnih načinov, a bližajoči se predpisi GDPR in drugih organizacij, odkrito povedano, nas silijo, da premislimo, kaj se dogaja v svetu poslovanja, zlasti glede na rezultate, oz. saj se nanaša na podatke. Zaslišali se bomo s Kim Brushaber iz IDERA in Williamom McKnightom iz McKnight Consulting Group.

Samo nekaj hitrih besed o tej temi, ljudje. GDPR v bistvu pravi, da morajo organizacije imeti politiko zasebnosti in prvo varnost, kar zadeva podatke, in res, gre za nekatere stvari, ki ste jih morda slišali - vsa pravica do pozabe je na primer delna in delna ta trenutek in zelo zanimive stvari. Zagotovo velja v smislu svojih načel in etike. Kar zadeva dejansko izvedbo, pa gre za precej resen izziv. Pravica do pozabe pravi, da če želite, da nekatere organizacije nimajo vaših podatkov, vaših osebno občutljivih podatkov, se jih morajo znebiti. No, lahko si samo predstavljate, kdaj je nekaj teh zelo raznovrstnih podatkovnih okolij, kako težko bo to. V spodnji vrstici je, da lahko pridete do vseh krajev, kjer so vaši podatki obstojni in jih izvlečete, preprosto ne bo. Kljub temu morajo organizacije imeti sprejete politike, da bodo lahko reševale te težave, in to je tisto, kar bodo regulatorji, precej prepričani, iskali.

To je velika stvar. Organizacija ne sme samo odstraniti vaših podatkov, če to izrečete, ampak če je usposobila algoritme za te podatke, tehnično naj bi tudi algoritme izpopolnila. To je visok red, moram vam povedati, ampak prihaja, spušča se ščuka, to bo resnično maja prihodnje leto in obstajajo tudi drugi predpisi. Kanada je sprejela zakon o neželeni pošti, ki ga je sprejela, kar vpliva na to, kako ravnamo z osebnimi podatki. Neto nevtralnost se zdaj zmanjšuje pri ščuki, seveda je bila v bistvu izkoreninjena in to bo nekatere stvari spremenilo. Obstaja veliko teh zelo resnih predpisov, ki vplivajo na podjetja po vsem svetu, da morajo velike organizacije resnično začeti razmišljati in se pripraviti nanje.

Zaradi tega imamo na spletu William McKnight od McKnight Consulting Group, da nam sporoči, kaj misli in zakaj je GDPR v resnici le vrh ledene gore. S tem, William, izročim ti ga. Vzemi stran.

William McKnight: Hvala, Eric, in kot pravite, kot pravi diapozitiv, je ta GDPR morda vrh ledene gore - to je gotovo tisto, kar mislimo. Pomembno je, da se poglobimo v GDPR v globino, ker mislim, da predstavlja val regulacije, ki se spušča po cevi, s katerim se moramo spoprijeti. Na srečo, Eric, obstaja nekaj razumnih standardov okoli te pravice, da se pozabi, kar bom dosegel. Toda kljub temu, ko sem letos sprehodil o GDPR, mislim, da je veliko podjetij, predvsem ameriških, ki na to še niso pripravljena. Vsekakor je vroče in nekaj, o čemer vsekakor nismo razmišljali pred letom dni, ko so samo preizkušali nekaj balotov, zdaj pa je to ureditev in s tem se moramo spoprijeti, kot ste rekli, Eric, lahko pride prav tu zgoraj - torej sploh ne tako daleč.

Nekoliko o meni, na to bom prišel s podatkovne perspektive. Da vas obvestim, sem vseživljenjska podatkovna oseba in se zdaj 19 let posvetujem s področja podatkov in GDPR je veliko podatkov. Tu bom predstavil rešitev, ko bom zašel v svoje predstavitve o upravljanju podatkov. Očitno sem delal veliko programov za upravljanje podatkov in mislim, da če ste usklajeni s tem konceptom, vodite nekaj upravljanja podatkov, bo veliko podjetij tam precej daleč po poti pravzaprav glede skladnosti z GDPR, vendar bo veliko, in odkrito povedano, zaostajajo v upravljanju in zato precej zaostajajo v njihovih pripravah na GDPR. Naj se tu postavimo na nivo in razumemo, za kaj gre v GDPR-u in ko se bomo poglabljali v pogovor, bomo v novem letu in pozneje prešli na več posledic GDPR v poslovnem življenju.

GDPR je zasebnost podatkov državljanov Evropske unije. To je predpis - pomeni, da ima zobe, pomeni, da je izvršljiv. To ni nekaj, kar se daje kot predlog - to se je že zgodilo in zdaj je oblikovano v uredbo s kaznimi. Rad začnem s kazni, ker to resnično pritegne pozornost ljudi. To so stroge kazni. Dva kazni, dva odstotka svetovnega letnega prihodka ali 10 milijonov evrov, če podjetje ne izpolnjuje varnostnih obveznosti, vse drugo pa v nasprotju z drugimi določbami - in jaz se bom vključil v njih - to je 4 odstotke. Slišite, da je približno - 4 odstotke. Mimogrede, to je 4 odstotke ali 10 milijonov evrov, kar je večje. To je zelo okorelo. Ljudje so glede tega zelo resni. Uveljavite začetek 25. maja 2018 - to je ključni datum, takrat se lahko začnejo revizije, takrat lahko dobite globo. Definitivno želite biti pripravljeni na to. Vsako podjetje, s katerim se ukvarjam, imam opravka z veliko podjetji Global 2000, ki so nekje v pripravi GDPR, nekatera več kot druga in nekatera morajo biti na tej točki več kot druga. Zagotovo bo izziv za ta datum za nekatere izziv in bomo videli.

To je najbolj temeljit režim skladnosti z zasebnostjo podatkov, ki smo ga videli doslej. Ko bomo videli nekaj bolj krutega ali nekaj, kar morda vpliva na prebivalstvo ZDA bolj neposredno, kdo ve, toda zunaj je in vsekakor se ga je treba držati. Organizacije zahtevajo, da razumejo, kaj državljanski državljanski državljani UE - poznamo pravico PII - osebno prepoznavne podatke, socialno varnost, telefonsko številko, naslov, stvari, ki lahko enolično identificirajo osebo ali pa dokaj enolično identificirajo osebo. Kaj imajo in kako to uporabljajo. To pomeni zalog. To pomeni urejanje znotraj lastnih podjetij glede tovrstnih podatkov. Mimogrede, ZDA nimajo nobenega nacionalnega zakona o varstvu podatkov. ZDA so bile v preteklosti - glede na to v perspektivi - za Evropo vedno bolj za Evropo, in to se nadaljuje. To se nadaljuje z GDPR, to je precej očitno. Nekateri od vas morda vedo o zasebnosti, morda se sprašujete. V GDPR obstajajo približno tri ali štiri določbe, ki se prekrivajo z varovanjem zasebnosti, toda v GDPR je sto določb, tako da je veliko več kot to in seveda še vedno velja, kar je povezano z izmenjavo podatkov iz ZDA in ZDA samo, čeprav je to pomembno.

Spet rad začnem s številkami. Slišal si za globe, kaj pa, kako se na to pripraviš. Proračun za GDPR in nekaj tega je odvisno od nekaj dejavnikov. Količina podatkov PII, ki jih zbirate o državljanih EU. Če nobenega ne zberete, v redu, verjetno ste ustrežljivi in ​​se vam s tem ni treba ukvarjati, verjetno pa ste na tem klicu, ker jih nekje zbirate. Velikost vašega podjetja in zrelost vašega upravljanja podatkov, ki se lahko, kot sem že rekel, približata tistemu, kar morate storiti, da odgovorite na GDPR. Za skladnost lahko pričakujete do nekaj milijonov USD ali evrov. Vendar želimo, da ne želimo samo izpolnjevati GDPR, da bi preverili to polje, seveda moramo to storiti. Upajmo, da niste v tako grozni situaciji, ko bi samo obupali potrditi to polje. Poiščite poslovne koristi, saj je veliko stvari, ki jih naredite za podporo GDPR, dobro za vaše podjetje. Upravljanje podatkov je dobro za vaše podjetje. Kar zadeva količino podatkov o PII, so nekateri pomembnejši od drugih, nekateri bodo podrobneje pregledani kot drugi, na primer zdravje, povezano s podatki, urejeno bo veliko strožje kot GDPR kot druge vrste podatkov in bo zahtevalo skladnost z dodatnimi obveznostmi, kot je izvajanje ocene učinka na varstvo podatkov, kar očitno prispeva k vašemu proračunu.

Še malo o proračunu. V primeru, da ste v Veliki Britaniji ali ZDA in se sprašujete, kako to vpliva na vas - GDPR vpliva na Veliko Britanijo, ki je še vedno v EU, mimogrede, do 29. marca 2019 in katere vlada je nakazala, da se bo nadaljevalo nekaj, kot je GDPR po tem datumu, ker je »dobra ideja«. Družbe iz Velike Britanije se morajo tega držati. Podatki državljanov Združenega kraljestva so zagotovo na mizi tega. Če to ni jasno, obstajajo podjetja s sedežem v ZDA, če imate opravka v EU s podatki državljanov EU, to zagotovo velja za vas. To ima za posledico vašo arhitekturo podatkov, ker boste morda morali odvzeti podatke EU iz vsega drugega in jih obravnavati drugače. Kot je dejal Eric, vpliva na analitiko, kako sestavljate te analitike in tako naprej. Zdaj je morda težje uresničiti kakršno koli konceptno analitiko po vsem svetu. Zaradi GDPR se lahko bolj lokalizirajo.

Kaj je v določbah? Obstajajo standardi varstva podatkov. Vse to razen narekuje šifriranje podatkov v mirovanju in v gibanju. Naslednji pogovor o šifriranju. Obstajajo standardi obveščanja o kršitvi podatkov. Nič več tega čakajo mesece, četrtine čakajo, da se vsi seznanijo. Mislim, da je bil prejšnji dan velik velik in ugotovili smo, "Oh, zgodilo se je pred enim letom." Nič od tega z GDPR - imaš 72 ur. To je politika imena in sramu. Upajmo, da nihče ne bo dosegel tega, očitno bodo nekateri. Kršitve se bodo nadaljevale, tudi po GDPR, seveda. Obstajajo procesi za spremljanje lokacije in kakovosti podatkov. Zveni znano? To je resnično srce upravljanja podatkov. Upajmo, da jih imate še nekaj.

Kot je omenil Eric, imajo državljani EU pravico biti pozabljeni. To je nekaj standardov razumnosti, Eric. Vsega vam ni treba nujno izbrisati, če boste morda morali znova vzpostaviti stik s to stranko, zaposlenim, boste lahko hranili določene vidike njihovih osebnih podatkov. Toda kljub temu imajo ti državljani pravico biti pozabljeni, vendar ne more biti nesorazmernega truda - to je jezik - na vas ali škode za podjetje, vi pa morate te podatke izbrisati. Ne želim ga omalovaževati, vendar morate tudi izdati kopije osebnih podatkov, ki so shranjeni, in jih lahko dobite le s soglasjem. To soglasje morajo dati osebe, ki so že najmanj stare, da bi dovoljenje izdali. To je usta, toda državljani imajo veliko pravic nad svojimi podatki. Taka prenosljivost je tam, v primeru, da se kdaj pojavi. Pravica do pozabe, jasno, a tudi - in nekaj, kar ni na mojem diapozitivu, je zelo pomembno - če posameznik, na katerega se nanašajo osebni podatki, nima pravice sprejeti odločitve, ki temelji izključno na avtomatizirani obdelavi. V kaj smo se težko gibali? Samodejna obdelava, okoli sprejemanja posojila, kaj ponujamo, vse to je treba razviti glede na to, kako se bo to odigralo in kako daleč bo šlo. To v bistvu govori, je preglednost, zakaj so me zavrnili, zakaj me to podjetje na nek način obravnava. To je pravica, dodeljena državljanu EU.

Očitno je, da imamo nekaj posledic pri poslovanju in upamo, da vidite, da GDPR ni problem IT in ne samo IT. Vključeni so vsi ti poslovni procesi. Vanj bodo sodelovali ljudje iz celotnega podjetja. Imenovanje pooblaščenca za varstvo podatkov je priporočljivo za podjetja z več kot 250 zaposlenimi in imate "kritično matematiko s podatki EU PII." Lahko se sami odločite, če imate kritično matematiko, včasih je očitno, včasih ni. Ampak, tu je nova vloga - ni nujno, da je vloga za polni delovni čas, oseba ima lahko druge odgovornosti, vendar ne vem - v nekaterih srednjih in večjih korporacijah, mislim, da se držijo GDPR. biti blizu vloge za polni delovni čas. Rekel bi, da začni tako in poglej, če zmoreš. Zlasti v naslednjem letu, ko boste skupaj nastopili okoli GDPR-ja, ko ga boste uredili, boste morda delo na tem lahko upočasnili, vendar bo nekaterim podjetjem vzeti kar nekaj časa. Dovoli posameznikom, da vidijo svoje podatke in prenosljivost podatkov, kot sem že omenil.

Mimogrede to ni vse novo, toda pravica do pozabe je bila dejansko zunaj, verjeli ali ne. Veljavna pravila EU že določajo pravico do izbrisa osebnih podatkov ali nedosegljivosti. Toda zdaj, ko je del GDPR, se bo uveljavil veliko širše. Šifriranje podatkov - šifrirajte podatke v mirovanju. Uporabite standardne metode šifriranja, ne uporabljajte lastnega domačega ali nestandardnega šifriranja. AES je tisti, ki ga priporočamo kar nekaj. Uporabite kriptografsko varne šifrirne ključe. Občasno menjajte te tipke. Prav tako preprečite izgubo teh ključev. To so le dobre prakse šifriranja, zdaj pa z GDPR prihajajo na prvo mesto. V tem je težava - zadel sem le vrh ledene gore. Očitno je treba preučiti več določb, vendar so tiste glavne.

Zdaj rešitev. Upravljanje podatkov, okvir vaše skladnosti, vsaj to je perspektiva, ki jo tukaj izpostavljam. Na srečo obstaja aktivna disciplina z dobro peto, ki lahko in zmore, ko dozori, izpolni večino zahtev, in to je upravljanje podatkov - očitno to pravim. Programi upravljanja bi morali imeti podatkovni glosar in tukaj uporabljam glosar podatkov v splošnem pomenu, da bi pomenil dokumentacijo prek vaše plošče. To je osnova za zadovoljevanje potreb po inventarizaciji GDPR, kar je, kot smo videli, precej neizmerno. Program, program upravljanja, bi moral olajšati protokole varnosti podatkov - in poudarjam, da to ni nekaj, kar trenutno počne veliko programov za upravljanje podatkov, vendar mislim, da je to logično mesto, da to storimo, ker so sedite na programu, ki določa, kdo so lastniki podjetij? Kdo ga mora videti? In naslednji korak je podelitev teh dovoljenj. To je treba centralizirati, to je treba formalizirati. Potrebne so notranje politike, ki se uporabljajo. Za vse elemente je treba dodeliti skrbništvo vsem elementom. Upravljanje podatkov je lahko tudi spodbuda za inženiring poslovnih procesov, kar bo potrebno.

Preden zapustim to diapozitiv, bodo podjetja, če želijo preprečiti zajetne globe, kot stranski proizvod sprejemati zdrave poslovne prakse. Rad rečem, da gre za več kot stranski produkt, ampak pravzaprav je dobro, zdravo podjetje, ki vas lahko z poslovnih vidikov vodi v nova mesta. Zagotovo boste dobili veliko učinkovitosti za vse pobude, če boste imeli dobro upravljanje podatkov, to sem videl skozi leta. Z dodajanjem nekaterih teh stvari, ki jih omenjam, k upravljanju podatkov, se bodo le še izboljšale. Pri inženiringu poslovnih procesov priporočamo, da si ta vprašanja zastavite prek celotnega področja in dosežete vsako poslovno področje. Kakšne podatke zbiramo o naših kupcih iz EU? Ne bom jih prebral vseh. Nekaj ​​ključnih tukaj. Kdo mora videti te podatke in ali se temu sledi? Kdo je nadzornik podatkov za te podatke? Kdo je moja oseba v poslu? To je veliko: Ali te podatke delimo s tretjimi osebami? Samo zato, ker jih oddate tretji osebi, ne opravičuje odgovornosti za te podatke - to so še vedno vaši podatki, to so še vedno podatki, ki ste jih zbrali. Zaradi GDPR se zdaj temeljito pregleduje veliko pogodb s tretjimi strankami. Ali imajo ti sistemi določene okvare? Se pravi, da ne uspejo na poti, ki smo jo predhodno določili, ali pa so preprosto izpadli, strmoglavili, sežgali in smo začeli iz nič iskati? Očitno bo veliko bolje. To je že dobra praksa, vendar je očitno veliko boljše za vzvratno inženirstvo nekaterih teh stvari, če imate velike okvare v vašem sistemu.

Hramba podatkov, o hrambi podatkov govorimo že od nekdaj. Številna podjetja imajo politike, vendar jih vsi ne upoštevajo. Očitno želimo, da v zdravstvenem in finančnem smislu hranimo podatke, podatke pa moramo hraniti določeno število let. Nekateri analitiki v teh podjetjih, ki hranijo podatke sedem let ali kaj podobnega, pravijo: "Oh, po tem obdobju še vedno želim te podatke." Nekateri odvetniki v teh podjetjih pravijo: "Vendar se jih moramo znebiti zaradi odgovornosti "in tako naprej. To ne more preprosto sedeti tam, saj je pri GDPR že več težav. Zadržati moramo zadrževalni rok, če to dosledno poteka v celotni organizaciji.

In končno, kako se mobilizirati za kršitev podatkov? Ti najslabši primeri, ki bi se vam lahko zgodili. Očitno jih skušamo preprečiti, a kaj, če se to zgodi? Kako si olajšate stvar in poskrbite, da boste v svojem odgovoru zdaj upoštevali določbe GDPR? Sem arhitekt podatkov, razmišljam o arhitekturi podatkov. Če ste ameriško podjetje z operacijami EU, kar pomeni podatke o državljanih EU - zbirate jih, boste morali razmisliti, ali naj standarde varstva podatkov uporabljate za vse podatke ali samo za podatke EU. Da, zdaj imam stranke, ki sprejemajo to odločitev. Kot dobra poslovna praksa bi to morda želeli prenesti v ZDA, morda se bodo počutili, kot da imajo čas, vendar to kaže na kroglo številka dve. Morda boste morali zavarati podatke EU iz ameriških sistemov, če ne morete trditi, da bodo ameriški sistemi ustrezno obdelali podatke. Ali gre za ločene podatke za namene analitike? Ali so analitike sploh veljavne, če jih poskušate izvajati po vsej državi? Včasih da, včasih ne, kajne? Morda boste ugotovili, da bo zaradi tega vaša analitika izključena.

Kot sem že omenil, se tukaj igra umetna inteligenca, ker očitno lahko z AI poiščemo vse podatke in nam pomaga najti vse podatke, če pa AI uporabljamo v svojih uporabniških vmesnikih, moramo zdaj imeti preglednost pri stranki vmesniki in to nikoli ni bila močna AI-jeva obleka. Da bi kupcu poskušali povedati: "Bili ste zavrnjeni zaradi bla, bla, bla", ko je bil res AI. To je zdaj treba storiti. Ugotoviti moramo, kako deluje AI, kakšni so dejavniki? Ne morem samo sedeti tam in biti več črna skrinjica zate. Kaj naredimo zdaj? Ustanovite svoj odbor GDPR. Predlagam, da imate tam svojega starejšega uradnika za zasebnost ali če imate uradnika za varstvo podatkov, očitno to osebo. Vodje upravljanja podatkov, operativnega tveganja in / ali skladnosti, kot veljajo, vodja IT, CIO, če je to oseba. Če imate spremenjeno vodstveno osebo, bi bila tam odlična oseba. Samo vodje nekaterih najpomembnejših oddelkov v vašem podjetju in tudi vodja kadrovskih služb, ker bo zdaj usposabljanja o zasebnosti ogromno. Vsi se bodo izobraževali o zasebnosti ali pa bi se morali izobraževati o zasebnosti, ko se vkrcajo v podjetje, tudi svetovalci.

Če ne počnete teh stvari, ki jih vidite tukaj, se boste morali premakniti hitreje, kot bi želeli, da bi rok. Začeti morate tudi v upanju, da niste med prvimi, ki se bodo revidirali, ker, odkrito povedano, je tu veliko dela, če začnete iz nič in imate veliko podatkov o državljanih EU. Najem DPO, popis podatkov in procesov. Sestavite ta načrt za upravljanje podatkov, vzemite ga od kod, kjer je treba. Morda boste želeli začeti. Oblikujte svoje politike zasebnosti in obvestila o svojih pravilnikih. Politike zasebnosti so notranje. Obvestila o politikah so zunanja. Zdaj vidimo kulturo, ki se začne ustvarjati okoli obvestil o politiki. Okrog teh političnih obvestil je bilo opravljenih veliko primerjav in veliko previdnih besedil. Zaključite preverjanje skladnosti GDPR za vse sisteme, vključno z novimi sistemi. Morda jih boste morali zaporediti in narediti po pomembnem zaporedju, vendar je to še en način reševanja težave. Poglejte si sisteme in kaj naj bi počeli in kako ravnajo s temi podatki.

Kaj signalizira GDPR? To je tisto, kar smo tu, da se malo bolj pogovorimo. Veselim se, kaj ima Kim glede tega povedati. GDPR je premik v nadzoru zasebnosti podatkov v smeri urejanja. To je trend preglednosti, tako pravi v določbah. Kot smo že govorili, ustvarjamo to kulturo obvestil o zasebnosti, to je zdaj stvar. Ogledali si bomo konference o obvestilih o zasebnosti in tako naprej. Sprememba GDPR je usmerjena k temeljnim pravicam ljudi. Odprta vprašanja bodo izdelana. Jasno so odprta vprašanja, tukaj sem jih pustil nekaj na mizi. Nihče nima odgovora. Izdelali se bodo. Trend k boljšemu razumevanju posameznikov o njihovih podatkih in načinu uporabe. Mislim, da je to dvignilo ozaveščenost prebivalstva EU glede pomena njihovih podatkov in jim kot eno od svojih osebnih sredstev predstavljalo, da morajo več upravljati. To je nekaj prvih signalov, ki sem jih videl, in Eric, zdaj ti ga bom vrnil.

Eric Kavanagh: V redu, dovolite, da ključe predam Kimu, ki lahko deli nekaj njene perspektive, ampak mislim, da je bil to dober pregled, William, in zadel si ključne točke - in sicer, da to spušča ščuko zagotovo in moramo biti vsi zelo previdni, čisto odkrito. S tem naj dam ključe Kimu in lahko delite svoj zaslon in ga vzamete od tam.

Kim Brushaber: Hej, me slišite?

Eric Kavanagh: Slišim te.

Kim Brushaber: Super. William je zajel nekaj istih stvari, ki jih bom pokrival, vendar mislim, da jih je spet vredno zajeti, ker so res pomembne. Mislim, da je ob sprejemanju novih predpisov res dobro, da dobite veliko stališč in razlago različnih ljudi, tako da vam nekaj sproži misel in omogočite, da postanete še bolj usklajeni. Spodbujajo me vsi, ki sodelujejo na tem pozivu, ki želijo vedeti več, ker mislim, da bo 25. maja prišlo do velike panike za podjetja, ki jih preganjajo in niso v skladu.

Moje ime je Kim Brushaber, sem vodja izdelkov IDERA. Pod sabo imam več izdelkov, ki pomagajo pri izpolnjevanju GDPR in drugih predpisov. Skočil bom na nekatere informacije. Začel bom z nekaj dejstvi in ​​nekaterimi številkami, nato pa se bom podrobneje seznanil s GDPR in nato natančno, kako vam lahko pomagajo naša orodja. Eno dejstvo je, da se vsak dan izgubi ali ukrade več kot 5 milijonov podatkovnih zapisov. Ne slišimo tega poročanega novic, ne slišimo ga tudi iz drugih krajev, vendar je več kot 5 milijonov podatkovnih zapisov, ki jih ves čas kradejo, prav izpod nas. Srednje število dni, ko napadalci mirujejo v svoji mreži, je 200 dni. Številni sistemi so že vdrli v ljudi, ki - z zlonamernimi nameni - samo čakajo na priložnost, da izkoristijo vaše podatke, večinoma v varnostnih in potrdilih, vendar samo čakajo, da se njihov trenutek vrne. Zato je vse pomembneje ravnati z varnostjo podatkov. V letu 2020 naj bi povprečni stroški kršitve posameznih podatkov presegli 150 milijonov dolarjev, saj se več poslovne infrastrukture poveže s spletnimi viri in kolikor več stvari raste v oblaku. To je dobra proračunska številka, če se resnično ukvarjate z varnostjo podatkov, da bi jih dali svojemu izvršnemu timu in jim povedali, da je to resna zadeva in bi nas lahko stalo veliko denarja naprej.

Na kratko bom obravnaval kršitev podatkov portala Equifax, ker mislim, da je bila to največja kršitev podatkov v letu 2017, da bi nekako izrisal sliko, kako je to storiti. Kršitev je prizadela 145, 5 milijona kupcev. Zaposleni so varnostno težavo s svojo spletno aplikacijo priznali dva meseca pred kršitvijo. Zaposleni so govorili: "To je vprašanje." In še malo pred tem, ko se je obliž dejansko pojavil. Potek kršitve je trajal cel dan, ko se je odzval nanjo in spletno aplikacijo prenesel brez povezave. Ker Equifax ni imel določenega protokola za zaščito podatkov, jim je vzelo veliko časa, da so ugotovili, kaj se dogaja, in potem lahko sistem vzpostavijo brez povezave. Šest tednov po kršitvi so javnost opozorili. Z GDPR - kot smo že povedali in to bom še povedal - morate poročati v roku 72 ur, Equifax pa bi imel zvezane roke in ne bi mogel izpolniti te skladnosti, saj so čakali šest tednov, da bodo poročali. Sporočilo za odgovor na kršitev je vključevalo spletno mesto, ki niti ni bilo v lasti družbe Equifax. Equifaxi so obnavljali ta tvit, ki ga sploh ni bilo v njihovi domeni - nekaj besed so obrnili naokoli. Na srečo ni šlo za zlonamerno spletno mesto, ki je to izkoristilo, a očitno niso bili pripravljeni. Niso imeli načrta in tega so se v javni areni zelo zavedali. Equifax ni sam - do zdaj je bilo v letu 2017 preko 25 zelo visokih napadov kibernetskega profila in še vedno bi jih lahko našli še pred koncem leta. Podjetja to resnično morajo začeti jemati resno, ker so ljudje tam zunaj in če jim boste dali razlog, da bi radi stopili k vam, je bolje, da ste pripravljeni na to.

Nekaj ​​drugih podatkov in podatkov o tem, kako posamezniki gledajo na varnost podatkov. Do leta 2020 bo 30 milijard naprav, povezanih z internetom prek naših domov, prek naših nosilnih pripomočkov, prek telefonov, tablic in kdo ve, kaj še lahko pride v prihodnjih letih. Obstaja veliko in veliko naprav, ki so izpostavljene tem napadom. Štirideset devet odstotkov Američanov meni, da so njihovi osebni podatki manj varni, kot so bili pred petimi leti. Sedemintrideset odstotkov potrošnikov v Ameriki želi, da so podjetja pregledna glede svojih osebnih podatkov. Oseminsedemdeset odstotkov ljudi trdi, da se zavedajo tveganj s klikom na neznane povezave in e-poštna sporočila, a vseeno kliknejo na te povezave - to je več kot tri četrtine našega prebivalstva in še vedno klikajo na povezave, čeprav vedite, da je to lahko težava. Osemindvajset odstotkov uporabnikov interneta aktivno poskuša zmanjšati, anonimizirati in skriti vidnost svojih digitalnih odtisov. Moj pastor je rad, ko izpolnjuje obrazce, rad hodil ven in si ustvaril ponarejena imena, ker misli, da je to anonimen, a malo ve, da se mu zasleduje tudi njegov IP naslov. Veliko skrbi je za posameznike in to je tisto, kar sproži veliko predpisov GDPR in verjetno dodatnih predpisov, ki jim bomo sledili.

Kar zadeva industrijo podatkovne varnosti, je 90 odstotkov podatkov o kršitvah podatkov v letu 2016 prišlo iz vlade, trgovine na drobno in tehnologije. Triinsedemdeset odstotkov kibernetskih napadov je napadlo mala podjetja. Če mislite, "Oh, nisem velik fant, ne bodo šli za menoj", še vedno jih je skoraj polovica, ki gre po mala podjetja. Petindvajset odstotkov zdravstvene industrije je bilo v preteklem letu okuženih z zlonamerno programsko opremo. V zadnjem letu je bilo prekaljenih sedemdeset odstotkov ameriških naftnih in plinskih podjetij. To bo močno vplivalo na različne industrijske panoge, ki so v teku in teče, in od danes se bo ta številka samo še povečala.

Ko na to gledate z izvršne perspektive, 90 odstotkov CIO-jev priznava, da je zapravilo milijone dolarjev za neustrezno kibernetsko varnost. Devetdeset odstotkov pravi tudi, da so jih napadli ali pričakujejo, da jih bodo napadli fantje, ki se skrivajo v šifriranju. Osemindvajset odstotkov jih meni, da varnostni nadzor ne ščiti njihovega poslovanja. Osemindvajset odstotkov CIO pričakuje, da se bodo kaznive zlorabe njihovih ključev in potrdil še poslabšale. To vprašanje se ukvarja z velikim številom podjetij in resnica je, da jih veliko nima dovolj dobrih rešitev, da bi se sploh lahko spopadli s tem, čeprav verjamejo, da se bo zgodilo.

Ko gledamo pripravljenost le-tega, je leta 2014 70 odstotkov tisočletnikov priznalo, da so v svoje podjetje vložili zunanje prijave v nasprotju s politiko IT. Sedemdeset odstotkov jih je priznalo - verjetno je celo večje število od tega, kar je dejansko tudi storilo. Petindvajset odstotkov organizacij, ki so v letu 2016 utrpele uspešne kibernetske napade, v svoji varnosti ni spremenilo nobenega leta 2017. Čeprav so jih napadli enkrat, še vedno niso šli in oborili stene - prav tako so ranljivi kot bili pred napadom. To res postavlja vprašanje, kaj morajo podjetja začeti izvajati, da se lahko pripravijo na te stvari? Osemindvajset odstotkov svetovnih organizacij trdi, da so pripravljene na reševanje prefinjenega kibernetskega napada. To je dobro - skoraj polovica jih je, in s tem sem velikodušen, res smo šele pri tretjini, vendar je še vedno vsaj polovica, ki pravijo: "Nisem pripravljena. Če me napadejo, nisem pripravljen in hekerji to vedo. «Osemindvajset odstotkov organizacij ima načrt odzivanja na kibernetske incidente. Večina podjetij je v istem krogu kot Equifax, kjer ne vedo, kaj bi počeli. Če bodo to dosegli, bodo morali reagirati in te stvari sproti predstaviti, predpisi, kot je GDPR, pa pravijo: »To morate imeti na voljo. Objaviti jih morate. To morate dokazati varnostnim revizorjem. "Upajmo, da bomo ob takšnih vplivih s takimi predpisi lahko premagali to krivdo in namesto da bi bili reakcionarni, bomo lahko dejavni pri svojih prizadevanjih.

Pogovorimo se malo o GDPR. Nekaj ​​tega je William že zajel, vendar bom šel naprej in ga spet zajel, samo z mojega stališča, svojega glasu, moje perspektive. Veliko podjetij, s katerimi se pogovarjam, so: "V ZDA sem, zakaj bi sploh rad skrbel za to uredbo EU?" Dejstvo, da več ljudi ne brenči in več ljudi ne govori o njih Mislijo, da so prizadete le članice EU, vendar bi vas prosil, če pogledate ta seznam, ali zbirate kateri koli od teh podatkov od članic EU? Če vse te podatke sploh zberete, veljajo meje GDPR in kazni zaradi neupoštevanja. Samo sekundo, da to samo prevzamete in to razumete. Kot je prej omenil William, gre za kazni in sankcije iz člena 83 GDPR. Na začetku boste morda dobili klofuto, malo opozoril: "Hej, spravite svoje dejanje skupaj. Postavite to na svoje mesto. "Če pa imate res veliko kršitev - in odvisno od tega, kako velik posel je -, se vam bodo vrnili v restitucijo, in to jih je veliko. Ne 10 milijonov, ampak 20 milijonov evrov ali 4 odstotke vašega prihodka / prihodka iz preteklega leta. To je veliko denarja. To je veliko proračuna, ki se bo porabil za vaše izvršne skupine in si rekel: "To je nekaj, kar moramo začeti jemati resno in moramo ukrepati."

Naj nekoliko podrobneje predstavim načela GDPR, kot so navedena v členu 5. Ena od stvari, ki jo pravijo, je, da je treba osebne podatke obdelovati zakonito, pošteno in pregledno. To pomeni, da javnost želi vedeti, kaj počnete z njihovimi podatki. Bodite pregledni glede tega in objaviti ga morate. Večina ljudi ne bere splošnih pogojev, vendar so to nove informacije, ki jih morate imeti za sporočanje, tako da jim lahko rečete: "Z vašimi podatki se ravna ustrezno." Osebne podatke je treba zbirati za določeno, izrecne in zakonite namene. To pomeni, da se upamo, da se bomo lahko znebili še nekaj te neželene pošte, kjer podjetja pravijo, da zbirajo informacije za kviz, ki vam pove, kako zanimivi ste lahko, v resnici pa vam vzamejo podatke in jih prodajo nekomu drugemu, da se lahko uporabljajo za kakršne koli svoje namene. Podjetja morajo biti zdaj veliko bolj odgovorna in natančno povedati, za kaj uporabljajo vaše podatke. Pravijo tudi, da morajo biti osebni podatki ustrezni, ustrezni in omejeni na tisto, kar je potrebno. Številna podjetja radi vzamejo vse svoje podatke in jih shranijo v velik zbir podatkov, nato pa pozneje ugotovijo, kaj želijo storiti z informacijami in zberejo veliko več, kot je morda potrebno. To pomeni, da je ne morete zbrati in uporabiti drugje. Prav tako ne morete samo vse zbrati in upam, da se vam bo kasneje zdelo koristno. Morate biti zelo nazorni, zakaj zbirate informacije in morajo biti pomembne za podatke, ki jih zbirate.

Tudi osebni podatki morajo biti natančni in posodobljeni. Uporabnikom morate dati načine, kako posodobiti svoje podatke, ko jih zberete na njih; se morajo vrniti in reči: "Veste, to mnenje sem imel v neki anketi, ki ste me vprašali glede osebno prepoznavnih podatkov in želim se vrniti nazaj, in to želim spremeniti in posodobiti." jim dati način, da to lahko storijo. Osebni podatki se hranijo v obliki, ki omogoča identifikacijo posameznikov, na katere se nanašajo osebni podatki, ne dlje, kot je potrebno. Nazaj na Williamovo stališče, da teh informacij ne morete zbrati za vedno - morate pripraviti tisto, kar mislite, da je veljavno in potrebno, nato pa morate podatke izbrisati. Prav tako ga je treba obdelati na način, ki zagotavlja ustrezno varnost, vključno z zaščito pred nepooblaščeno ali nezakonito obdelavo, naključno izgubo, uničenjem ali škodo.

Kot sem že rekel, je čas, da se resno lotite tega, ustavite te kršitve podatkov, ker ne samo, da lahko pride do škode, ki pride do vašega podjetja v obliki kršitev podatkov in izgube prihodka ter stroškov skrajšanja vaših procesov, ampak morda imate tudi kup globe na vrhu, ki ga je povzročil GDPR. Čas je, da se resnično lotimo tega zelo resno in mislim, da se bodo podjetja, ko začne veljati GDPR, soočiti s težko resničnostjo in na srečo bodo tisti, ki ste danes na klicu, začeli razmišljati o tem in vedeti kako boš te stvari sprožil.

GDPR veliko govori tudi o tem, kakšne so pravice posameznikov; resnično pazi na posamezne uporabnike. Prva stvar je pravica do dostopa do vaših osebnih podatkov. Uporabniki morajo vedeti, katere podatke ste zbrali na njih, kolikor so osebno identificirani podatki, in jim morate dati način, da lahko dostopajo do njih. Obstaja tudi pravica do popravka, kar je domišljav način, da rečem: "Moram biti sposoben popraviti podatke, ki jih imate o meni." Pravica do izbrisa - kar spet veliko ljudi označuje za pravico do pozabite - če posameznik reče: »Veste kaj, ne želim več, da veste, da sem super zabaven zbiratelj stripov, se ga morate znebiti. Imam nekaj prijateljev, ki me dražijo in me popolnoma izbrišejo s seznama, "to morate storiti. Prav tako obstaja pravica do omejitve obdelave, kar pomeni, da lahko uporabniki omejijo način obdelave svojih podatkov. Lahko rečejo: "Ne zamerim, če vzamete moje podatke, ker kupujem nov avto, vendar teh informacij ne uporabljajte, da mi pošiljate e-pošto in me pošiljate po novih poslih vsakič, ko se novi avtomobili sprostijo." pravica do prenosljivosti podatkov, kar pomeni, da bi morali uporabniki dobiti kopijo svojih podatkov in jih lahko odnesti drugam. Mnogo organizacij zbira informacije in ti podatki so dejavnik lepljivosti, zdaj pa lahko posamezniki rečejo: »Veste kaj, želim, da vzamete vse moje podatke in zdaj želim, da jih daste svojemu tekmecu, tako da lahko premaknem to čez. "

Glede na to, kakšna organizacija bo to zmogla, in o tem, katere podatke želite, da lahko zbirate in pošiljate, je treba razmišljati o mnogih stvareh. Obstaja tudi pravica do ugovora in uporabniki lahko ugovarjajo tudi obdelavi svojih podatkov. Pravica, da se ne odloča o odločitvi, ki temelji izključno na samodejni obdelavi ali profiliranju. To ima pomemben vpliv na B2B trženje - če sedite tam in poskušate A / B testirati in poskušati prepoznati, bo na Kolorado bolj vplivalo sporočilo kot Kalifornija, dobro ste pravkar profilirali, če pogledate eno države v primerjavi z drugim, in morate pogledati, kako se mora posameznik od tega odpovedati.

Glede na to, da imamo nekaj strašljivih stvari, ki se nanašajo na kršitev podatkov in na to, kako ljudje gledajo na njihove podatke, in imamo ta ogromen predpis, ki se nam vrne čez ramena, zdaj sem tukaj, da vam dam rešitev, kako lahko IDERA pomaga. Člen 15 govori o tem, kako nadzorovati izpostavljenost osebnim podatkom. Vedeti morate, kdo dostopa do vaših podatkov. Kako jo uporabljajo. Koliko podatkov je obdelanih in upravitelj skladnosti izdelkov SQL, za katerega sem upravitelj izdelkov, vam omogoča, da vidite, kdo dostopa do vaših podatkov in kako. Vodnik skladnosti SQL je za rešitve SQL Server. Če imate bazo podatkov SQL Server, lahko povežete ta izdelek, da boste lahko pregledali in pregledali te podatke, tako da boste lahko skladni z GDPR in natančno veste, kako se uporablja. Kršitve podatkov lahko vidite tudi, preden se zgodijo, o tem pa bom govoril na drugem diapozitivu. Obstaja tudi članek, ki pravi: »Potrebujem evidenco dejavnosti obdelave. Moram se prijaviti in moram spremljati operacije in vedeti, kdo obdeluje osebne podatke in kdo ima dostop do teh sistemov. «SQL Compliance Manager vzdržuje revizijo strežnikov in baz podatkov, vključno z varnostjo, DDL, DML in definira občutljive podatke . SQL Compliance Manager vam omogoča pregled varnostnega dostopa in prijavo poskusa, tako da lahko vidite, kdo dostopa do informacij in kdo se prijavlja, ali je privilegiran uporabnik, ali je znan uporabnik ali je morda zlonamerni uporabnik.

Člen 33 govori o prijavi kršitve osebnih podatkov nadzornemu organu. Morate biti sposobni odkriti te kršitve; za oceno učinka potrebujete zapise; morate vedeti, kako hitro ga boste odpravili. Da bi to naredili, vam SQL Compliance Manger omogoča nastavitev opozoril v vaših bazah podatkov, da jih vidite, kdo ima dostop do vaših občutljivih podatkov, ko so do njega dostopali, do česa so dostopali. Omogoča tudi izključitev običajnih privilegiranih uporabnikov iz vaše revizije. Če imate sistemskega skrbnika ali skrbnika omrežja, za katerega veste, da bo do njega dostopal, in ne želite zamašiti svojih poročil, jih lahko izključite in rečete: "Dajte mi vse, kar se dogaja zunaj teh informacij." To omogoča hitro ugotovite, ali nekdo zlonamerno dostopa do vaših podatkov in ali lahko obiščete opozorila, ki vas obvestijo v trenutku, ko se začne dogajati, in nato na trenutek, ko je dostop do informacij, da jih lahko razbijete, tako da ni treba čakati cel dan, da ugotovimo, kaj se dogaja, kot je to naredil Equifax.

Obstaja tudi članek, ki govori o varstvu podatkov in presoji vplivov. Tako ocenite svoja tveganja in razumete, kakšna so, pa tudi dokažete in dokumentirate svojo skladnost z GDPR. SQL Compliance Manager vam omogoča poročanje o elementih, ki jih spremljate. Na kratko, pregledovanje podatkov s SQL Compliance Manager, SQL Compliance Manager vam omogoča, da zaznate neuspele prijave - kar je potencialni znak kršitve - spremljate administrativne dejavnosti in varnostne spremembe, vas opozarjajo na spremembe baze podatkov, revizijo v stolpcih, ki jih definirate kot občutljive informacije, prepoznate privilegirane uporabnike in sledite njihovi dejavnosti ločeno od drugih uporabnikov v vašem sistemu, sporočite, da se informacije revidirajo v skladu z več regulativnimi smernicami. Ne samo, da pokrivamo GDPR, ampak pokrivamo tudi HIPAA, PCI, FERPA, SOX, vse regulativne smernice, ko pridejo do revidiranja vaših podatkov in razumevanja, do česa dostopate, imamo te regulativne smernice.

V IDERI imamo tudi dodatne izdelke za pripravo GDPR. Poleg samo revizije, ki jo izvaja SQL Compliance Manager, imamo ER / Studio Enterprise Team Edition, ki vam lahko pomaga dokumentirati procese podatkov in vključiti podatkovne standarde v svoj podatkovni model, lahko ustvarite glosarje podatkov, o katerih je William govoril v prejšnjem diapozitivu. . Kot sem tukaj povedal s to predstavitvijo, vam lahko SQL Compliance Manager pomaga pri reviziji vaših podatkov, da se prepričajo, da napačni ljudje ne dostopajo do vaših podatkov, in tudi to dokaže revizorjem. Varna varnostna kopija SQL vam lahko pomaga šifrirati podatke in varnostne kopije. Šifriranje je bistven del GDPR, ki ga nisem podrobno zajel, ker sem se želel veliko osredotočiti na sredstva upravitelja skladnosti, SQL Safe Backup pa veliko šifrira za vas, tako da lahko vaši podatki ostanejo varni. SQL Inventory Manager lahko zagotovi, da so strežniki popravljeni in posodobljeni, zato ne boste na koncu v primeru, kot je Equifax, kjer so imeli zastareli popravek, ki jim je omogočil veliko varnostno luknjo, ki so jo ljudje lahko uporabljati zlonamerno. SQL Secure lahko pregleda standarde zasebnosti in šifriranja.

Za več podrobnosti na spletnem mestu skupnosti IDERA sem pod našim spletnim blogom objavil Priprava na GDPR in Tudi v smeri 2018 in razumevanje, kakšen učinek ima GDPR in tam je prav gotovo, lahko prenesete poskusno kopijo SQL Compliance Manager pri IDERI kot tudi pri drugih izdelkih, ki sem jih prej omenil na diapozitivu.

Na tej točki bom šel naprej in predajal Ericu predstavitev, da bomo lahko zastavili nekaj vprašanj.

Eric Kavanagh: V redu, dobro. Tam ste se dotaknili številnih resnično zanimivih stvari, ena od njih - mislim, da je to nekaj preprostega, vendar je precej pametno - govorili ste o odkrivanju neuspelih prijav. Zdi se mi, da je to dober znak, da nekdo ni dober prav?

Kim Brushaber: Vsekakor. Če vidite nekoga, ki poskuša dostopati do vašega gesla in ga pokvariti, je to zelo hiter način, da lahko rečete, da nekdo ne počne tega, kar bi moral biti. Mogoče boste nekajkrat napačno vnesli geslo, a če vidite, da jih je prišlo 30, je to slab znak.

Eric Kavanagh: Ja. Ključnega pomena je, da opozorila nastavite v ustreznem kontekstu. Kaj nam še lahko sporočite, kako upravljati postopek nastavitve opozoril in deaktivacije tistih, ki ne počnejo tega, kar bi morali početi, in koliko teh stvari je mogoče avtomatizirati?

Kim Brushaber: Vodja skladnosti ima veliko nastavljivih opozoril in poročil, ki jih lahko pregledate. Gremo skozi vaše SQL sledi in imamo to samodejno sledenje in imamo veliko tega, ki je že vnaprej nastavljeno in vnaprej določeno, vendar zagotovo obstaja tudi velika količina prilagoditve, ki jo lahko naredite tudi vi.

Eric Kavanagh: William, predstavil te bom - zdi se mi, da je to eno od področij, kjer bomo videli strojno učenje, da bomo začeli igrati v naslednjih dveh do desetih letih, in gledamo na vse različne možnosti. Če pogledamo na različne načine, kako lahko sistem izboljša svojo učinkovitost, je učinkovitost pri vprašanjih, kot so kršitve in podobno. Je to tudi vaše mnenje?

William McKnight: Ja, absolutno. Mislim, da zdaj gradimo sisteme, ki se popravljajo. Spremljanje 24 x 7 začne drseti in postaja preteklost, čeprav še vedno potrebujemo takšen čas produkcije. Mislim, da se sistemi v veliki meri vgradijo in ugotovijo, kaj je to narobe. Ali moramo tukaj dodeliti več prostora ali kaj imate? Ja, mislim, da je to definitivno del naše prihodnosti. Vse, kar bi lahko narisali na nekaj korakov, da bi se odzvali na nekaj, je vsekakor občutljivo na umetno inteligenco.

Eric Kavanagh: To je dobra točka. Še eno vprašanje bom postavil nate, William, saj vem, da veliko raziskuješ ta prostor. Ena izmed stvari, ki sem jo čakala že kar nekaj časa in mislim, da še nismo tam - mislim, da se že približamo, ravno od tistega, kar sem prebrala in razmišljala o tem - je na dan, ko bo na voljo tehnologija za absorpcijo regulativnih vprašanj, dejanskih besedil teh stvari in jih prilagodila funkcionalnosti in programski opremi. Kot rečem, še vedno smo poti do tega - ne morem si predstavljati, da na tem ne deluje nekdo. Ste že naleteli na kaj takšnega ali smo še vedno na točki, ko moramo ljudje preučiti pravila, jih resnično preizkusiti in razumeti, jih v bistvu kodificirati v strojni kodi in jih nato prenašati na svoje različne aplikacije?

William McKnight: No, vsekakor imam koncept, ki ga tukaj delite. Nisem seznanjen s tem, kar se dogaja proti uvajanju v okolju, ki je povezano s tem. Na splošno bom rekel, očitno strojem začnemo govoriti, kaj ne smejo storiti, ampak kaj je cilj, kaj želimo narediti, stroji pa so bistveno pametnejši pri ugotavljanju podrobnosti. Mislim, da ko bomo v naših organizacijah dobili nekaj več umetne inteligence, je povsem mogoče, da se v skladu z AI, ki je nameščen znotraj organizacij, razvijejo novi predpisi, da se bodo lahko uveljavili na način, kot ste ga opisali v prihodnosti. Zaenkrat s tem ne ravnamo.

Eric Kavanagh: Tukaj bom odgovoril na vas, Kim, ker je tudi to nekaj zanimivega. Govorite o povprečni zakasnitvi ali času, ko se nekdo, ki se prijavi v vaš sistem, skrije in samo počaka - število dni, ko je napadalec ostal brez miru v omrežju - odkritje je 200. Zanima me, kaj mislite o tem, kako izboljšati to, najprej? Ampak tudi, ali obstaja tak način uporabe te vrste pravila za raziskovanje lastnega sistema? Če želite raziskati lastne podatke, narediti boljše delo pri ohranjanju takšnih ljudi?

Kim Brushaber: Ja, mislim, da je očitno zgodnje odkrivanje ključnega pomena. Ugotoviti morate, da ta zlonamerna spletna mesta dostopajo do vaših podatkov in jih lahko zaklenete. Mislim, da na drugih diapozitivih, kjer pokažemo, da večina organizacij nima takšnih pravil. Zato tam sedijo. Mislim, da če bi dejansko imeli politiko, s katero bi morali preveriti in zapreti svoj dostop in zagotoviti, da imajo pravi ljudje dostop. Poskrbite, da boste tipke redno vrteli in jih posodabljali. Poskrbite, da se gesla redno posodabljajo in počnete takšne stvari, ki se zdijo povsem osnovne. Trenutno večina organizacij tega sploh ne počne, in če začnete te delčke postaviti na svoje mesto, vam bo pomagalo, da to presežete.

Seveda to pomeni, da bodo hekerji postali bolj spretni glede tega, toda trenutno je enostavno, kot je: "Gledal bom hiše na ulici, za katere se počutim, kot da bi hotel vdreti, bodo imeli oni alarm sistemov? Imajo majhen alarmni znak in da ima eden pse? Grem k tistemu, ki nima alarma, nima psa in to je hiša, v katero bom vdrl. "No, našli bodo podjetja, ki ne ne bodo imeli teh popravkov in nimajo zaščite in ne posodabljajo svojih geslov. Tam bodo šli in se družili in nekajkrat uporabili vašo kreditno kartico na bencinski črpalki. tega niste zaprli in potem, ko lahko vplivajo na velike spremembe, je običajno nekakšna politična izjava ali kako drugače, ko jih vidite, kako dvignejo glavo. Če uveljavim te politike, mislim, da lahko na tej točki naredite nekaj zelo minimalnih korakov, da boste lahko napredovali v tej igri.

Eric Kavanagh: To je verjetno najboljši nasvet in to vedno slišim, ko se pogovarjamo z ljudmi, ki so v varnostnem ali regulativnem prostoru, da bodo osnove pokrivale 80 odstotkov vaše težave in to je veliko podlage - to je dobra opazka. Eden od udeležencev je vprašal, ali bi lahko kdo razširil poslovne priložnosti, ki bi jih lahko izkopali iz prizadevanj za skladnost z GDPR. Spomnil sem se na Sarbanes-Oxley, in verjetno, William, bom to prenesel na vas. Kot svetovalec vedno iščete načine, kako svojim strankam pomagati izven določenega projekta - vsaj če ste dober svetovalec, to počnete. Ko se z ljudmi pogovarjate o GDPR, kakšne so dodatne koristi, ki jih lahko navedete, če bodo imeli, če sodelujejo v kakšnem projektu, osredotočenem na to?

William McKnight: Najprej je treba opozoriti, da ideja GDPR sploh ni polnih pravic za državljane. Tu je druga stran GDPR, ki bo izboljšala zaupanje državljanov v naša podjetja in spodbudila jih bo k večjemu poslu v podjetjih, ki so skladna. Obstajajo tiste dodatne koristi, ko dejansko dosežete svoj GDPR, zdaj interno programi za upravljanje podatkov, ki jih izvajamo, dejansko olajšajo vse pobude, ki se dejansko začnejo znotraj organizacij in danes, najbolj daleč, pobude, ki jih izvajajo izven organizacij. V zadnjem času z mnogimi od njih načrtujem nekaj načrtovanja za leto 2018, imajo veliko opravka s podatki, približno 65 do 90 odstotkov vseh podatkov - ko govorite o telematiki ali programu za stranke 360 ali nadzorno ploščo za spremljanje prodajalcev, gre večinoma za podatke. Vse, kar bolje upravlja te podatke, to postavlja v boljšo arhitekturo, ki poimenuje ljudi, ki so tisti, ki lahko odgovarjajo na vsa vprašanja o teh podatkih, ki jih res zanima, kot bi bil program za upravljanje podatkov. Vse, kar nam daje glosar s podatki - kot je Kim govorila s svojimi orodji - vse, kar to naredi, je zelo koristno, da so te pobude veliko učinkovitejše, da tvegajo, skrajšajo čas, skrčijo proračun zanje in dobijo nas do agilnega časa za trženje veliko hitrejših in dobrih stvari za podjetje, ki izvaja pobude, kar so vsa podjetja.

Eric Kavanagh: Všeč mi je ta koncept zaupanja. Mislim, da je zaupanje v našem svetu zelo podcenjena resničnost in odkrito povedano večina podjetij deluje - resnično se zgodi, ko prideš prav. Bom vam vrnil le za nekaj zaključnih komentarjev, Kim. Mislim, da je eden ključnih vidikov izboljšanje zaupanja in gojenje kulture zaupanja, ker to ne bo imelo samo pozitivnih vplivov na samo podjetje, na ljudi znotraj podjetja, ampak tudi na tisto, kar javnost zaznava, ker tovrstne stvar se preliva, se mi zdi, toda kaj misliš?

Kim Brushaber: Ja, mislim, da ko se pogovarjam s prijatelji, ki delajo v Googlu ali delajo na Facebooku ali s kakšnimi večjimi, resnično odmevnimi organizacijami, ne izvajajo skoraj toliko novih funkcij, kot jih uporabljajo pri izvajanju varnostnih protokolov in učinkovitosti in z vprašanji razširljivosti, ker želijo, da je njihova uporabniška izkušnja takšna, kjer verjamejo, da lahko tem informacijam zaupajo. Mislim, da imajo podjetja to odgovornost, ko si še naprej prizadevamo za tovrstno zaupanje. Spomnim se, ko so ljudje prvič začeli postavljati kreditne kartice na spletu in so ljudje: "O moj bog, ne bom dajal teh informacij tam, ker ni varno."

In zdaj gre vaša kreditna kartica na vse načine, ker teoretično mislite, da lahko podjetju zaupate, ker ima HTTPS certifikat. Potem slišite o kršitvah podatkov Target, kjer kreditne kartice, kjer so bile takšne, "Oh, bolje razprodajte svojo kreditno kartico, ker smo te podatke spustili." Mislim, da gre za dvosmerni občutek. Mislim, da posamezniki, čeprav želijo biti bolj zaupljivi, ker je veliko lažje, da lahko zaupajo in verjamejo v to v velikih organizacijah, pa morajo velike organizacije stopiti in postaviti te koščke, da ne t ne poškodujete posameznika ali izgubite tržni delež. Ljudje pravijo: "Pa veste kaj, ne bom več nakupoval v Targetu, zdaj bom nakupoval v Amazonu." Mislim, da je zaupanje veliko vprašanje, čeprav, kot smo rekli, 78 odstotkov ljudi še vedno bodo kliknili na to povezavo v e-poštnem sporočilu, čeprav vedo, da ne. Obstaja določena zaščita ljudi, tudi ko ti zaupajo.

Eric Kavanagh: To je dobra točka. Veste kaj, vrnem vam še zadnje vprašanje, William, ali vsaj še eno - zdaj imamo nekaj dobrih. Udeleženec zapiše: „GDPR prenaša upravljanje identitete nazaj k stranki, kamor spada. Equifax je trajno poškodoval 149 milijonov potrošnikov, "zelo resnično", ki so ogrozili digitalno gospodarstvo. Kakšne spremembe se v ZDA dogajajo glede lastništva strank v zvezi z upravljanjem identitete? "

William McKnight: No, v ZDA smo vedno pri zaostanku pri takšnih stvareh, kajne? Enainštirideset milijonov, to ni nobena kapljica v vedru. Je skoraj kot terorizem, kajne? Tako smo navajeni, ves čas se dogaja. Mislim, da je treba nekaj storiti. Mislim, da je GDPR všeč pravice, ki jih daje državljanom, vendar se zdi, da to ni prednostna naloga - obstaja veliko drugih prednostnih nalog in ne vem, kam gre. Kot sem omenil na diapozitivu, ki sem ga omenil, menim, da to pomeni premik potrošnikov k večjim pravicam nad njihovimi podatki. Kdaj se to zgodi tukaj v ZDA? Ne vem, morda bi trajalo do pet let, če bi videli kaj sorazmerno s GDPR, ki se dogaja tukaj v ZDA. Samo špekulacije v tem trenutku.

Eric Kavanagh: To je res dobra točka in mislim, da se bomo v zvezi s tem še bolj potrudili, saj, upoštevajmo, te dni prehajamo v takšno digitalno ekonomijo. In kot zaključni komentar tukaj, ko dobim tad filozofsko, usmerjeno k politiki, je to tisto, kar me najbolj skrbi pri prehodu v brezgotovinsko družbo, ker ko gotovina odide, če se to zgodi, potem je vse digitalno in vsak sistem lahko prekine in identiteto vsake osebe je mogoče ukrasti. Zdi se mi, da je tukaj v sobi precej velik slon, ko gledamo ščuko na prihodnost upravljanja identitete.

To so vse super stvari, ljudje. Hvala Williamu McKnightu za njegov čas in pozornost danes. Hvala Kim Brushaber iz IDERA. Vse te spletne oddaje arhiviramo za poznejši ogled, zato se ne pozabite vrniti, običajno v samo nekaj urah in arhiv bo pripravljen. S tem se bomo poslovili, ljudje. Še enkrat hvala za vaš čas in pozornost. Bodite pozorni. Adijo.

Nasvet ledene gore: zakaj je gdpr šele začetek