Oduzeti: Domaćin Eric Kavanagh razmatra nadolazeću Opću uredbu o zaštiti podataka EU i njezine učinke na industriju. Pridružit će mu se William McKnight iz McKnight Consulting Group i Kim Brushaber iz IDERA-e.
Trenutno niste prijavljeni. Prijavite se ili prijavite da biste pogledali videozapis.
Eric Kavanagh: OK, dame i gospodo, pozdravim i još jednom dobrodošli. Srijeda je u 4 sata po istočnom vremenu, što znači da je ponovo vrijeme - jedan od posljednjih puta u 2017. godini - za Hot Technologies. Da, doista, moje ime je Eric Kavanagh - bit ću vam moderator današnjeg događaja. Govorimo o najblaže rečenoj temi. Trenutno se ne čini tako - koncept GDPR-a, Globalne uredbe o zaštiti podataka. Idemo naprijed i zaronimo pravo u ovome, nije uistinu o tvom, dovoljno o meni. Ova je godina vruća, zaista je bila vruća na mnogo različitih načina, ali predstojeći propisi GDPR-a i drugih organizacija, sasvim iskreno, prisiljavaju nas da preispitamo što se događa u svijetu poslovanja, posebno kao rezultat, ili kako se odnosi na podatke. Saslušat ćemo se sa Kim Brushaber iz IDERA-e i Williamom McKnight-om iz McKnight Consulting Group.
Samo nekoliko brzih riječi o ovoj temi, narode. GDPR u osnovi kaže da organizacije moraju imati politiku privatnosti, a prvo sigurnost, u vezi s podacima i zaista, radi se o nekim stvarima koje ste možda čuli - primjerice, cijelo je pravo biti zaboravljeno djelomično i djelomično cijeli ovaj trenutak, i to su vrlo zanimljive stvari. To sigurno vrijedi u smislu svojih principa i etike. Što se tiče stvarne provedbe, to je prilično ozbiljan izazov. Pravo da budu zaboravljeni kaže da ako želite da neke organizacije nemaju vaše podatke, vaše osobno osjetljive podatke, one se moraju riješiti. Pa, možete samo zamisliti kada su neka od ovih zaista raznorodnih podatkovnih okruženja, koliko će to biti teško. Da biste bili u mogućnosti doći do svakog mjesta na kojem su vaši podaci uporni i izvući ih, to se jednostavno neće dogoditi, to je dno crta. Ipak, organizacije moraju imati uspostavljene politike kako bi mogle rješavati te probleme, a to je ono što su regulatori, prilično sam siguran, tražili.
To je velika stvar. Organizacija ne mora samo ukloniti vaše podatke ako to izgovorite, već ako je obučila algoritme na tim podacima, tehnički bi trebala i oni algoritme ponovno obučiti. To je visok nalog, moram vam reći, ali dolazi, spušta štuka, to će biti stvarnost u maju sljedeće godine, a postoje i drugi propisi. Kanada ima zakon kojim se usvaja antispam, što utječe na način na koji postupamo s osobnim podacima. Neto neutralnost se sada spušta od štuke, naravno da je on ukorijenjen u osnovi i to će neke stvari promijeniti. Postoji puno ovih vrlo ozbiljnih propisa koji utječu na tvrtke širom svijeta i širom svijeta o kojima velike organizacije doista trebaju početi razmišljati i pripremati se za njih.
Zbog toga imamo internetskog Williama McKnight-a od McKnight Consulting Grupe da nam kaže što misli i zašto je GDPR zapravo samo vrh ledenog brijega. S tim, Williame, dostavit ću ti to. Odnesi to.
William McKnight: Hvala, Eric, i kao što kažeš, kako kaže slajd, ovaj GDPR je možda vrh ledenog brijega - to je ono što mislimo. Važno je da dublje uđemo u GDPR jer mislim da to predstavlja val regulacije koji silazi niz cijev s kojom se moramo suočiti. Srećom, Eric, postoje razumni standardi oko tog prava koje treba zaboraviti i do kojeg ću doći. Ali bez obzira na to, hodajući ove godine kada govorim o GDPR-u, mislim da ima puno firmi, posebno američkih, koje za to još nisu pripremljene. Definitivno je vruće i nešto o čemu definitivno nismo razmišljali prije godinu dana, kada su samo pokusavali balotirati neke stvari, ali sada je to propis i mi se moramo nositi s tim, kao što ste rekli, Eric, svibanj doći pravo ovdje gore - dakle uopće nije tako daleko.
Malo o meni, to ću shvatiti iz podataka iz perspektive. Da vas obavijestim, ja sam osoba s cjeloživotnim podacima i savjetujem se 19 godina u području podataka, a GDPR je mnogo podataka. Ovdje ću naći tijelo rješenja dok uđem u svoje izlaganje o upravljanju podacima. Očito sam radio puno programa za upravljanje podacima i mislim da ako se uskladite s tim konceptom, bavite se nekim upravljanjem podacima, puno će tvrtki vani biti prilično daleko na putu Zapravo o poštivanju GDPR-a, ali bit će jako puno, i najiskrenije, oni koji zaostaju u upravljanju i samim tim prilično zaostaju u svojim GDPR pripremama. Postavimo razinu i razumijemo o čemu se radi u GDPR-u i što dublje uđemo u razgovor, mi ćemo ući u više posljedica GDPR-a o poslovnom životu kako napredujemo u novu godinu i dalje.
GDPR služi za privatnost podataka građana Europske unije. To je propis - znači da ima zube, znači da je provodiv. To nije nešto što se iznosi kao prijedlog - to se već dogodilo i sada je to uređeno u uredbu s kaznama. Volim započeti s kaznama jer to zaista privlači pažnju ljudi. To su krute kazne. Postoje dva kaznena boda, 2 posto svjetskog godišnjeg prihoda ili 10 milijuna eura ako poduzeće ne ispuni sigurnosne obveze, ali sve drugo, kršeći druge odredbe - i ja ću se pozabaviti njima - to je 4 posto. Čuli ste oko oko 4 posto. Usput, to je 4 posto ili 10 milijuna eura, što je veće. Ovo je vrlo ukočeno. Ljudi su vrlo ozbiljni u vezi s tim. Provedite početak 25. majath, 2018. - to je ključni datum, to jest kada revizije mogu započeti, to jest kada možete dobiti kaznu. Definitivno želite biti spremni za ovo. Svaka tvrtka s kojom imam posla bavim se s mnogo Global 2000 tvrtki, one su negdje u pripremi GDPR-a, neke više od drugih, a neke u ovom trenutku moraju biti više od drugih. Dakako, nekima će biti izazovno upoznati taj datum, i vidjet ćemo.
To je najpotpuniji režim poštivanja privatnosti podataka koji smo vidjeli dosad. Kad ćemo vidjeti nešto ukočenije ili nešto što utječe možda na američku populaciju izravnije, tko zna, ali ono je vani i toga se definitivno treba pridržavati. Od organizacija zahtijeva razumijevanje onoga što državljanin UE PII - upoznati smo s pravom PII - osobno identificirajuće podatke, socijalnu sigurnost, telefonski broj, adresu, stvari koje mogu jedinstveno identificirati osobu ili sasvim prilično jedinstveno identificirati osobu. Što oni imaju i kako to koriste. To znači inventar. To znači regulaciju unutar vlastitih tvrtki oko ove vrste podataka. Usput, Sjedinjene Države nemaju nikakvu nacionalnu zakonu o zaštiti podataka. Amerika je uvijek - reći ću iza, to ću reći, u perspektivi - iza Europe u smislu ovakve regulacije, i tako je i dalje. To nastavlja s GDPR-om, to je prilično očito. Neki od vas mogu znati štit privatnosti, možda se pitate za to. Postoje oko tri ili četiri odredbe GDPR-a koje se preklapaju s zaštitom privatnosti, ali u GDPR-u postoji stotina odredbi, pa je to i mnogo više od toga, i naravno da je to još uvijek na snazi i da ima veze s razmjenom podataka iz SAD-a i EU-a samo, iako je to važno.
Opet volim započeti s brojevima. Čuli ste za novčane kazne, što je s tim kako se pripremite za to. Proračunavanje GDPR-a i izvršavanje nekih od toga, to ovisi o nekoliko čimbenika. Količina podataka o PII koje prikupljate o građanima EU. Ako ne prikupite nijedno, u redu, vjerojatno ste sukladni i ne morate se baviti, ali vjerojatno ste na tom pozivu, jer ih negdje skupite. Veličina vaše tvrtke i zrelost vašeg upravljanja podacima, koja se, kao što sam već rekao, može približiti onome što trebate učiniti da biste odgovorili na GDPR. Možete očekivati do nekoliko milijuna USD ili eura, ovisno o slučaju, za ispunjavanje uvjeta. Međutim, želimo, ne želimo samo poštivati GDPR, da potvrdimo taj okvir, naravno da moramo to učiniti. Nadamo se da niste u onoj groznijoj situaciji u kojoj upravo očajnički želite potvrditi taj okvir. Potražite u poslovnim koristima, jer mnogo stvari koje radite za podršku GDPR-a su dobre za vaše poslovanje. Upravljanje podacima dobro je za vaše poslovanje. Kada je riječ o količini podataka o PII, neki su važniji od drugih, neki će se detaljnije proučavati nego drugi, poput zdravstvenih podataka povezanih s podacima, regulirati će se mnogo strože prema GDPR-u od ostalih vrsta podataka i zahtijevat će usklađenost s dodatnim obvezama kao što je provođenje procjene učinka na zaštitu podataka što, očito, doprinosi vašem proračunu.
Malo o proračunu. U slučaju da se nalazite u Sjedinjenim Državama ili Sjedinjenim Državama i pitate se kako to utječe na vas - GDPR utječe na američku Britaniju, koja je još uvijek u EU, usput, do 29. ožujkath iz 2019. godine i čija je vlada navela da će se nešto poput GDPR-a nastaviti i nakon tog datuma, jer „To je dobra ideja.“ Britanske kompanije moraju se toga pridržavati. Podaci o građanima Sjedinjenih Država sigurno su na ovoj tabeli. Ako to nije jasno, postoje američke tvrtke, ako trgujete u EU s podacima građana EU, to se sigurno odnosi na vas. To ima posljedice na vašu arhitekturu podataka jer ćete možda morati ukinuti svoje EU podatke sa svih ostalih i tretirati ih drugačije. To utječe na analitiku, kako je rekao Eric, na način na koji sastavljate te analitike i tako dalje. Sada je možda teže započeti bilo kakvu analitiku koja se koristi u cijelom konceptu. Oni mogu postati lokaliziraniji kao rezultat GDPR-a.
Što je u odredbama? Postoje standardi zaštite podataka. Sve to, osim diktira šifriranje podataka u mirovanju i u pokretu. Sljedeće ću govoriti o šifriranju. Postoje standardi obavijesti o kršenju podataka. Nema više ovog čekanja mjesecima, čekanja da se četvrtine svi jave. Mislim da je neki dan bio velik, a otkrili smo: "Oh, dogodilo se prije godinu dana." Ništa od toga s GDPR-om - imate 72 sata. To je politika imena i sramote. Nadam se da nitko neće doći do toga, očito će neki ljudi htjeti. Kršenja će se nastaviti i nakon GDPR-a, naravno. Postoje procesi za praćenje lokacije i kvalitete podataka. Zvuči poznato? To je zaista srce upravljanja podacima. Nadam se da imate neke od ovih koji idu.
Građani EU-a imaju pravo biti zaboravljeni, kako je spomenuo Eric. Postoje neki standardi razboritosti, Eric. Ne morate sve obrisati nužno, ako ćete možda morati ponovno kontaktirati tog kupca, tog zaposlenika, možete čuvati određene aspekte njihovih osobnih podataka. Ali, usprkos tome, ti građani imaju pravo biti zaboravljeni, ali ne može se dogoditi nesrazmjerni napor - to je jezik - na vama ili na štetu tvrtki, što znači da ćete te podatke izbrisati. Ne želim ih umanjivati, ali morate otpustiti i kopije osobnih podataka koji se čuvaju i te podatke možete dobiti samo uz pristanak. Tu suglasnost moraju dati ljudi koji su minimalno sposobni dati takvo dopuštenje. To je gadno, ali to građanima daje puno prava nad njihovim podacima. To je prenosivost tamo, za slučaj da se ikad pojavi. Pravo da budemo zaboravljeni, jasno, ali isto tako - i nešto što nije na mom slajdu što je prilično važno - je osoba koja ima podatke ima pravo ne biti podložna odluci koja se temelji isključivo na automatiziranoj obradi. U što smo se teško kretali? Automatizirana obrada, oko prihvatanja zajma, onoga što ćemo dati, sve ovo treba razraditi u smislu kako će se ovo odigrati i koliko će ovo ići. Ono što u biti govori jest transparentnost oko toga zašto sam odbijen, zašto se na neki način postupa od strane te tvrtke. Ovo je pravo, dodjeljuje se državljaninu EU-a.
Očito, postoje neke posljedice u tome kako poslujemo i nadamo se da vidite da GDPR nije IT problem, a ne samo IT. Svi su ti poslovni procesi uključeni. Uključit će ljude iz cijele tvrtke. Imenovanje službenika za zaštitu podataka preporučuje se za one tvrtke s više od 250 zaposlenih i imate "kritičku matematiku s podacima o EU PII". Možete sami odlučiti imate li kritičku matematiku, ponekad je očito, ponekad nije. No, tu je nova uloga - ne mora biti punoljetna uloga, osoba može imati i druge odgovornosti, ali ne znam - u nekim srednjim i većim korporacijama, prilično mislim da će se pridržavanje GDPR-a biti blizu punopravnoj ulozi. Rekao bih da kreneš tim putem i vidi možeš li se nositi s tim. Pogotovo tijekom sljedeće godine, nakon što sastavite svoj čin oko GDPR-a, nakon što se on riješi, možda možete usporiti rad na tome, ali nekima će trebati dosta vremena. Dopustite pojedincima da vide svoje vlastite podatke i prenosivost podataka, kao što sam već spomenuo.
Usput, nije sve novo, ali pravo na zaborav je zapravo bilo vani, vjerovali ili ne. Postojeća pravila EU-a već predviđaju pravo na brisanje ili onemogućavanje osobnih podataka. Međutim, sad je dio GDPR-a, on će se provoditi mnogo šire. Šifriranje podataka - šifrirajte svoje podatke u mirovanju. Koristite standardne metode šifriranja, nemojte upotrebljavati vlastiti domaći ili nestandardno šifriranje. AES je onaj koji preporučamo poprilično. Upotrijebite kriptografski sigurne ključeve za enkripciju. Povremeno mijenjajte te tipke. Također spriječite gubitak tih ključeva. Ovo su samo dobre prakse šifriranja, ali sada oni dolaze u prvi plan s GDPR-om. U tome je problem - pogodio sam samo vrh ledenog brijega. Očito je potrebno pogledati više odredaba, ali one su glavne.
Sada, rješenje. Upravljanje podacima, okvir koji prihvaćate, barem to je perspektiva koju ovdje izlažem. Srećom, postoji aktivna disciplina s dobrim potplatom koja se može, i kada odraste, zadovoljiti većinu zahtjeva, a to je upravljanje podacima - očito to tvrdim. Programi upravljanja trebali bi imati glosar podataka, a ovdje koristim glosar podataka u generičkom smislu da bih značio dokumentaciju preko cijele ploče za vaše procese. Ovo je temeljno u svrhu služenja inventara potrebe GDPR-a, što je, kao što smo vidjeli, prilično neizmjerno. Program, program upravljanja, trebao bi olakšati protokole sigurnosti podataka - i to podvlačim jer to nije nešto što trenutno radi puno programa upravljanja podacima, ali mislim da je to logično mjesto da se to učini jer su sjedi na programu koji određuje tko su vlasnici tvrtki? Tko to treba vidjeti? A onda je sljedeći korak davanje tih dozvola. To treba centralizirati, to treba i formalizirati. Tu se moraju koristiti interne politike. Upravljanje treba dodijeliti svim elementima da bi se omogućilo doprinos svemu gore navedenom. Upravljanje podacima također može biti pokretač projektiranja poslovnih procesa, što će biti potrebno.
Prije nego što napustim ovaj slajd, u nastojanju da izbjegnu velike kazne, tvrtke će prihvaćati zdrave poslovne prakse kao nusproizvod. Želim reći da je to više od nusproizvoda, ali to je zapravo samo dobro, zdravo poslovanje koje vas iz poslovne perspektive može odvesti na nova mjesta. Zasigurno, dobit ćete mnogo efikasnosti u izvršavanju svih inicijativa, ako imate dobro upravljanje podacima, to sam vidio tijekom godina. Dodavanjem nekih ovih stvari koje spominjem u upravljanju podacima one će se samo poboljšati. Preporučujemo da u svom inženjeringu poslovnih procesa postavite ta pitanja diljem svijeta. Kakve podatke prikupljamo o našim kupcima iz EU-a? Neću ih čitati sve. Neke su ključne ovdje. Tko ima potrebu vidjeti ove podatke i slijedi li ih? Tko je tajnik podataka za te podatke? Tko je moja osoba u poslu? Ovo je veliko: dijelimo li ove podatke s trećim stranama? Samo zato što ih predate trećoj strani, ne oslobađa se odgovornosti oko tih podataka - to su još uvijek vaši podaci, to su još uvijek podaci koje ste prikupili. Puno se ugovora o trećim stranama sada temeljito pregledava kao rezultat GDPR-a. Imaju li ovi sustavi determinističke kvarove? Znači kad ne uspiju, oni zalaze na put koji smo unaprijed odredili ili su jednostavno propali, srušili se, izgorjeli i krećemo od nule kopati po njemu? Bit će očito puno bolje. To je već dobra praksa, ali očito je mnogo bolje za obrnuti inženjering nekih ovih stvari, ako imate velike determinističke pogreške u vašem sustavu.
Zadržavanje podataka, govorili smo o zadržavanju podataka zauvijek. Mnogo tvrtki ima pravila, ali ne poštuju ih sve. Očito, čuveni u zdravstvenom i financijskom smislu, želimo čuvati podatke, podatke moramo čuvati određeni broj godina. Neki analitičari u tim tvrtkama koji podatke čuvaju sedam godina ili slično, kažu: „Oh, nakon tog razdoblja i dalje želim te podatke.“ Neki odvjetnici u tim tvrtkama kažu: „Ali mi ih se trebamo riješiti u svrhu odgovornosti "i tako dalje. To se jednostavno ne može jednostavno tu sjediti, jer je to problem s GDPR-om više. Moramo zadržati razdoblje zadržavanja, je li to dosljedno slijedilo u cijeloj organizaciji unutar organizacije.
I na kraju, kako se mobilizirati na kršenje podataka? Ovi najgori scenariji koji bi vam se mogli dogoditi. Očito ih pokušavamo spriječiti, ali što ako se to dogodi? Kako raspodjeljujete stvar i osiguravate li da sada poštujete odredbe GDPR-a u svom odgovoru? Ja sam arhitekt podataka, razmišljam o arhitekturi podataka. Ako ste američka tvrtka sa EU operacijama, što znači podaci o građanima EU-a - vi ih prikupljate, morat ćete razmotriti želite li primijeniti standarde zaštite podataka na sve podatke ili samo na podatke EU-a. Da, sada imam klijente koji donose tu odluku. Kao dobra poslovna praksa, možda bi to željeli prenijeti u SAD, možda će možda i imati vremena, ali to donosi broj dva. Možda ćete morati smanjiti podatke iz EU-a iz američkih sustava ako ne možete jamčiti da će američki sustavi s njima postupati na odgovarajući način. Da li to odvojeni podaci za potrebe analitike? Jesu li analitike čak i ako ih pokušavate raditi u cijeloj zemlji? Ponekad da, ponekad ne, zar ne? Možda otkrijete da će zbog toga vaša analitika biti isključena.
Kao što sam već spomenuo, ovdje se igra umjetna inteligencija, jer očito možemo pomoću AI pronaći sve podatke, pomoći nam da pronađemo sve podatke, ali ako koristimo AI u korisničkom sučelju, sada moramo imati transparentnost s našim kupcem sučelja i to nikada nije AI-jevo odijelo. Da biste pokušali reći kupcu: "Odbijeni ste jer bla, bla, bla", kad je stvarno bio AI. To se sada mora učiniti. Moramo shvatiti kako AI djeluje, koji su faktori? Ne možemo samo sjediti tamo i biti više crna kutija za tebe. Što ćemo sada? Uspostavite svoj GDPR odbor. Predlažem da tamo imate svog višeg službenika za zaštitu privatnosti ili ako imate službenika za zaštitu podataka, očito tu osobu. Šefovi upravljanja podacima, operativni rizik i / ili usklađenost, primjenjuju, voditelj IT-a, CIO-a ako je to osoba. Ako imate promijenjenu osobu uprave, to bi bila sjajna osoba unutra. Samo šefovi nekih od najvažnijih odjela u vašoj tvrtki, a također i šef HR-a, jer treninzi o privatnosti sada će biti ogromni. Svi će proći trening o privatnosti ili bi trebali dobiti obuku o privatnosti kada se ukrcaju u tvrtku, čak i konzultanti.
Ako ne radite ove stvari koje ovdje vidite, morat ćete se pomaknuti brže nego što biste željeli da napravite rok. Morate se početi nadati i da niste među prvima koji će se pregledati jer, iskreno, ovdje ima puno posla ako počinjete ispočetka i bavite se mnogim podacima o građanima EU. Unajmite svog DPO-a, popisujte svoje podatke i svoje procese. Izgradite taj plan upravljanja podacima, preuzmite ga od mjesta gdje treba, do mjesta gdje treba biti. Možda biste željeli pokrenuti je ovisno o slučaju. Izradite svoja pravila o privatnosti i napomene o pravilima. Pravila o privatnosti su interna. Obavijesti o politici prelaze u vanjsku. Vidimo kulturu koja se sada počinje stvarati oko obavijesti o politikama. Puno je usporedbi napravljeno i pažljivo je izrađeno oko ovih obavijesti o politikama. Zaključite provjeru usklađenosti s GDPR-om za sve sustave, uključujući nove sustave. Možda ćete ih morati slijediti i raditi ih nekakvim redoslijedom važnosti, ali to je još jedan način rješavanja problema. Pogledajte sustave i što bi trebali raditi i kako postupaju s tim podacima.
Što signalizira GDPR? To je ono što smo ovdje da razgovaramo malo više. Radujem se što Kim ima reći o ovome. GDPR je pomak u kontroli privatnosti podataka prema regulaciji. Trend je transparentnosti, kaže se točno u odredbama. Stvaramo ovu kulturu obavijesti o privatnosti, kao što sam i govorio, to je sada stvar. Idemo vidjeti konferencije o obavijestima o privatnosti i tako dalje. Promjena GDPR-a usmjerena je prema temeljnim pravima ljudi. Otvorena pitanja će biti razrađena. Jasno su otvorena pitanja, ostavio sam ih nekoliko na stolu ovdje. Nitko nema odgovor. Oni će se obraditi. Trend ka boljem razumijevanju pojedinaca u pogledu njihovih podataka i načina na koji se koriste. Mislim da je to podiglo svijest stanovništva EU o važnosti njihovih podataka i kada su to jedan od njihovih osobnih resursa, oni trebaju više upravljati. To su neki od ranih signala koje sam vidio, a Eric, sada ću ti ih vratiti natrag.
Eric Kavanagh: Dobro, daj mi ključeve Kim, koja može podijeliti nešto iz njene perspektive, ali mislim da je to bio dobar pregled, Williame, i pogodio si ključne točke - naime da ovo sigurno spušta štuku i imamo prema svima budite vrlo oprezni, sasvim iskreno. Dopustite da predajem Kim ključeve, a vi možete dijeliti ekran i uzeti ga odatle.
Kim Brushaber: Hej, čuješ li me?
Eric Kavanagh: Ja vas mogu čuti.
Kim Brushaber: Super. William je pokrivao neke iste stvari koje ću i ja pokrivati, ali mislim da ih vrijede ponovo pokriti jer su zaista važne. Mislim da je, kad se donesu novi propisi, zaista dobro shvatiti različite stavove i tumačenje različitih ljudi tako da vam nešto plijeni na pamet i omogućava vam da budete još više usklađeni. Ohrabruju me svi ljudi koji sudjeluju u tom pozivu i koji žele znati više jer mislim da će doći 25. svibnjath, Može biti puno panike zbog tvrtki koje se progone nakon što se one ne pridržavaju.
Moje ime je Kim Brushaber, ja sam stariji menadžer proizvoda u IDERA-i. Pod sobom imam nekoliko proizvoda koji pomažu u ispunjavanju GDPR-a kao i drugim propisima. Uskočit ću u neke informacije. Počet ću s nekim činjenicama i nekim brojkama, a zatim ću istražiti malo o GDPR-u, a onda konkretno kako naši alati mogu vam pomoći. Jedna činjenica je da se dnevno izgubi ili ukrade preko 5 milijuna podataka. Ne čujemo ovo izviješteno u vijestima, ne čujemo to iz drugih mjesta, ali ima preko 5 milijuna zapisa podataka koji su cijelo vrijeme ukradeni, baš iz nas. Srednji broj dana tijekom kojih napadači ostanu u stanju mirovanja unutar vaše mreže je 200 dana. Mnogi su sustavi već infiltrirani od ljudi koji - sa zlobnim namjerama - koji samo čekaju priliku da iskoriste vaše podatke, uglavnom unutar sigurnosnih i certifikata, ali samo čekaju da im trenutak zaskoči. Zbog toga je postalo sve važnije upravljati sigurnošću podataka. Prosječni troškovi kršenja pojedinih podataka u 2020. godini predviđaju se da će premašiti 150 milijuna dolara, kako se više poslovne infrastrukture povezuje s mrežnim resursima i što više stvari raste u oblaku. To je dobar proračunski broj ako ste stvarno zabrinuti za sigurnost podataka, da ga date svom izvršnom timu, da im kažete da je to ozbiljna stvar i da nas može koštati mnogo novca u budućnosti.
Ukratko ću pregledati povrede podataka Equifaxa jer mislim da je to bilo najveće kršenje podataka u 2017. godini da bih nekako slikao što bi kroz to trebalo proći. Povreda je zahvatila 145,5 milijuna kupaca. Zaposlenici su priznali sigurnosni problem putem svoje web aplikacije dva mjeseca prije nego što se kršenje dogodilo. Zaposlenici su govorili, "ovo je pitanje." Čak i malo prije toga, kad je flaster zapravo izašao. Trebao je cijeli dan nakon što je došlo do kršenja odgovor na to i uklanjanje web aplikacije izvan mreže. Budući da Equifax nije imao definirani protokol za sigurnost podataka, trebalo im je mnogo vremena da shvate što se događa i da mogu prebaciti sustav na mrežu. Šest tjedana nakon kršenja, javnost je upozorena. S GDPR-om - kao što smo gore rekli i ponovit ću to - morali biste prijaviti u roku od 72 sata, a Equifax bi im bio vezan rukama i ne bi mogao ispuniti tu sukladnost jer su čekali šest tjedana da ga prijave. Komunikacija za odgovor na kršenje pravila uključivala je internetsku stranicu koja nije ni bila u vlasništvu Equifaxa. Sami Equifaxovi retitirali su taj tvit koji to nije ni bio u njihovoj domeni - preokrenuli su neke riječi uokolo. Srećom nije riječ o zlonamjernom mjestu koje je na tom mjestu imalo veliku korist, ali očito nisu bili spremni. Nisu imali plan, a toga su postali svjesni u javnoj areni. Equifax nije sam - do sada je bilo preko 25 vrlo visokih cyber profila u napadu, a još bismo mogli pronaći još prije kraja godine. Tvrtke to zaista trebaju početi shvatati ozbiljno jer su ljudi vani i ako im date razlog da žele da priđu kod vas, bolje bi bilo spremno da se možete nositi s tim.
Neke druge činjenice i podaci o načinu na koji pojedinci gledaju na sigurnost podataka. Do 2020. godine bit će 30 milijardi uređaja spojenih na internet putem naših domova, preko naših nosivih podataka, putem telefona, tableta i tko zna što bi još moglo doći u godinama koje dolaze. Postoji puno i puno uređaja koji su ugroženi tim napadima. Četrdeset devet posto Amerikanaca smatra da su njihovi osobni podaci manje sigurni nego što su bili prije pet godina. Sedamdeset tri posto potrošača u Americi želi da tvrtke budu transparentne u pogledu svojih osobnih podataka. Sedamdeset i osam posto ljudi tvrdi da su svjesni rizika klikom na nepoznate veze i veze, ali ionako kliknu na te veze - to je više od tri četvrtine našeg stanovništva, i još uvijek kliknu na veze iako znajte da bi mogao biti problem. Osamdeset i šest posto korisnika interneta aktivno pokušava smanjiti, anonimiti i sakriti vidljivost svojih digitalnih stopa. Moj očuh voli izlaziti i stvarati lažna imena prilikom popunjavanja obrazaca jer smatra da ga to čini anonimnim, ali malo tko zna da se njegova IP adresa također prati. Postoji puno brige o pojedincima i to je ono što stvara veliki broj GDPR propisa i vjerovatno dodatnih propisa koji će se uslijediti.
Što se tiče podataka o sigurnosti podataka, 90 posto podataka o kršenju podataka u 2016. godini došlo je iz vlasti, maloprodaje i tehnologije. Četrdeset tri posto cyber-napada napadalo je mala poduzeća. Ako mislite, "Oh, nisam veliki tip, neće ići za mnom", i dalje ih ima gotovo polovica, a idu na manje tvrtke. U posljednjih godinu dana sedamdeset i pet posto zdravstvene industrije bilo je zaraženo zlonamjernim softverom. U posljednjih godinu dana hakirano je sedamdeset posto američkih naftnih i plinskih tvrtki. Ovo je značajan utjecaj na razne industrijske industrije koje su u tijeku i taj će se broj odavde povećavati.
Kad na to gledate iz izvršne perspektive, 90 posto CIO-ova priznaje da je trošilo milijune dolara na neadekvatnu cyber-sigurnost. Devedeset posto njih također kaže da su napadnuti ili očekuju da ih napadnu dečki koji se kriju u šifriranju. Osamdeset i sedam posto vjeruje da njihova sigurnosna kontrola ne uspijeva zaštititi svoje poslovanje. Osamdeset i pet posto CIO-ova očekuje da će se zloupotreba njihovih ključeva i potvrda pogoršati. Ovo je ogroman broj tvrtki koje se bave ovim problemom sigurnosti podataka i stvarnost je da mnoge od njih nemaju baš dobra rješenja da se čak i mogu riješiti kad se to dogodi, iako vjeruju da to će se dogoditi.
Kada gledamo kako je spremna, u 2014. godini 70 posto milenijalaca priznalo je da su u svoje poduzeće unijeli vanjske aplikacije kršeći IT politike. Sedamdeset posto ih je priznalo - vjerovatno je čak i veći broj od toga, što je zapravo i učinio. Pedeset dva posto organizacija koje su pretrpjele uspješne cyber napade u 2016. nisu promijenile svoju sigurnost u 2017. Iako su jednom napadnute, još uvijek nisu otišle i podigle zidove - podjednako su ranjive kao i bili su prije napada. Ovo zapravo postavlja pitanje, što tvrtke trebaju početi raditi, kako bi se pripremile za ove stvari? Trideset osam posto globalnih organizacija tvrdi da su spremne nositi se s sofisticiranim cyber-napadom. To je dobro - gotovo polovica je tu, a ja sam velikodušan s tim, stvarno smo tek u trećini, ali još uvijek je barem polovica koja kaže: "Nisam spremna Ako me napadnu, nisam spreman i hakeri to znaju. "Trideset osam posto organizacija ima plan za reagiranje na cyber incidente. Većina tvrtki nalazi se u istom spremniku kao i Equifax, gdje ne znaju što će raditi. Ako to dobiju, morat će reagirati i smisliti te stvari u letu, a propisi poput GDPR-a govore: "Morate ih imati na mjestu. Morate ih objaviti. Morate to dokazati revizorima sigurnosti. "Nadamo se da ćemo s takvim utjecajima, s takvim propisima, biti u mogućnosti izaći ispred ove krivulje i umjesto da reagiramo, možemo biti proaktivni u našim nastojanjima.
Hajde da razgovaramo malo o GDPR-u. Nešto od ovog Williama već je pokrivao, ali nastavit ću to ponovo pokriti, samo iz mog stava, glasa, moje perspektive. Mnogo tvrtki s kojima razgovaram kažu: "Ja sam u SAD-u, zašto bih se uopće bavio ovom uredbom EU?" Činjenica da više ljudi ne zuji, a više ljudi ne govori o njima oni misle da to utječu samo članice EU-a, ali molio bih vas, ako pogledate ovaj popis, da li sakupljate bilo koji od ovih podataka od članica EU-a? Ako uopće prikupite ove podatke, podliježete granicama GDPR-a kao i kaznama za nepoštivanje. Daću vam malo samo da ovo upijete i shvatite. Kao što je William ranije spomenuo, to su kazne i sankcije iz članka 83. GDPR-a. Na početku ćete dobiti šamar, malo upozorenja govoreći: "Hej, sastavite svoj čin. Stavite to na svoje mjesto. "Ali ako imate stvarno velik prekršaj - i ovisno o tome koliki je posao - vratit će vam se na naknadu, a to je značajan broj. Ne 10 milijuna, već 20 milijuna eura ili 4 posto vašeg prometa / prihoda iz prethodne godine. To je puno novca. To je mnogo proračuna koji trebate izdvojiti svoje izvršne timove i reći: "To je nešto što trebamo početi ozbiljno shvaćati i moramo poduzeti mjere."
Dopustite mi da prijeđem malo o načelima GDPR-a kako je navedeno u članku 5. Jedna od stvari koju kažu jest da se osobni podaci trebaju obrađivati zakonito, pošteno i transparentno. To znači da javnost želi znati što radite s njihovim podacima. Budite transparentni o tome i to mora biti objavljeno. Većina ljudi ne čita uvjete i odredbe, ali to su nove informacije koje biste trebali moći komunicirati, tako da im možete reći: "S vašim podacima se rukuje na odgovarajući način." Osobni podaci trebaju se prikupljati za određeno, izričite i zakonite svrhe. To znači da se nadamo da se možemo riješiti neke neželjene pošte, gdje tvrtke kažu da prikupljaju informacije za kviz koji vam govori koliko ste zanimljivi, a u stvarnosti uzimaju vaše podatke i prodaju ih nekome drugom , kako bi se mogli koristiti u bilo koje svrhe. Tvrtke sada moraju biti mnogo odgovornije i točno reći za što se koriste vašim podacima. Također kažu da osobni podaci moraju biti primjereni, relevantni i ograničeni na ono što je potrebno. Mnogo tvrtki voli uzeti sve svoje podatke i staviti ih u veliku bazu podataka, a zatim shvate što žele raditi s informacijama kasnije i prikupe mnogo više nego što je možda potrebno. Ovo govori da ga ne možete prikupiti i upotrijebiti negdje drugdje. Također ne možete sve samo prikupiti i nadam se da će vam kasnije to biti korisno. Morate biti vrlo jasni u čemu prikupljate informacije i moraju biti relevantne za podatke koje prikupljate.
Osobni podaci također moraju biti točni i ažurirani. Morate korisnicima dati načina da ažuriraju svoje podatke nakon što ih prikupite na njima; moraju se moći vratiti i reći: "Znate, imao sam ovo mišljenje u nekom istraživanju koje ste me pitali o osobno prepoznatljivim podacima i želim se vratiti i želim to promijeniti i ažurirati sada." da im daju način da to mogu. Osobni se podaci moraju čuvati u obliku koji omogućava identifikaciju subjekata podataka ne duže nego što je potrebno. Natrag do Williamove točke, da ne možete zauvijek prikupiti te podatke - morate smisliti ono što mislite da je valjano i potrebno, a zatim morate obrisati podatke. Također se mora obraditi na način koji osigurava odgovarajuću sigurnost, uključujući zaštitu od neovlaštene ili nezakonite obrade, slučajnog gubitka, uništenja ili oštećenja.
Kao što sam rekao prije, vrijeme je da se ozbiljno pozabavimo ovim problemom, zaustavljanjem tih kršenja podataka, jer ne samo da možete imati ozljede do kojih dođe u vašoj tvrtki u obliku kršenja podataka i gubitka prihoda i troškova skraćivanja vaših procesa , ali možda ćete također imati gomilu novčanih kazni na vrhu od GDPR-a. Vrijeme je da se vrlo ozbiljno počnemo baviti time i mislim da će, kako GDPR stupi na snagu, tvrtke biti suočene s teškom stvarnošću, i srećom oni koji ste danas na pozivu mogu početi razmišljati o tome i znati kako ćete ove stvari provesti u djelo.
GDPR također puno govori o pravima pojedinaca; to zaista pazi na pojedine korisnike. Prvo je pravo na pristup vašim osobnim podacima. Korisnici moraju znati koje su informacije koje ste prikupili na njima, što se tiče osobno identificiranih podataka, i morate im dati način da im mogu pristupiti. Postoji i pravo na ispravku, što je maštovit način da se kaže: "Moram biti u stanju ispraviti podatke koje imate o meni." Pravo na brisanje - što opet, mnogi ljudi fraziraju kao pravo na zaboravite - ako pojedinac kaže, „Znate što, više ne želim da znate da sam super zabavan momak kolekcionar stripa, toga biste se trebali riješiti. Imam neke prijatelje koji me zadirkuju i u potpunosti mi brišu popis, "to trebate moći učiniti. Postoji i pravo na ograničenje obrade, a to znači da korisnici mogu ograničiti način obrade svojih podataka. Mogu reći: "Ne smeta mi što uzimate moje podatke jer kupujem novi automobil, ali nemojte me koristiti tim informacijama i spam me o novim ponudama svaki put kada se novi automobili puštaju." Tu je i pravo na prenosivost podataka, što znači da bi korisnici trebali biti u mogućnosti dobiti kopiju svojih podataka i moći ih odnijeti negdje drugdje. Mnogo organizacija prikuplja informacije i taj podatak ima faktor ljepljivosti, a sada pojedinci mogu reći: "Znate što, želim da uzmete sve moje podatke i sada želim da ih date svom konkurentu, tako da mogu prenijeti to nad."
Puno je stvari koje treba razmisliti od perspektivne organizacije o tome kako ćete to moći raditi i koje informacije želite prikupiti i preko njih. Postoji i pravo na prigovor, a korisnici mogu prigovoriti i na obradu njihovih podataka. Pravo da se ne podliježe odluci zasnovanoj isključivo na automatskoj obradi ili profiliranju. To ima značajan utjecaj na B2B marketing - ako sjedite tamo i pokušavate A / B testirati i pokušati identificirati da li će na Colorado utjecati više od Kalifornije, dobro ste upravo profilirali gledajući jednu državu nasuprot drugom, i morate pogledati kako se pojedinac može moći isključiti iz toga.
S obzirom na to da imamo neke zastrašujuće stvari koje se tiču kršenja podataka i načina na koji ljudi gledaju njihove podatke, a imamo ogroman propis koji nam pada preko ramena, sada sam tu da vam dam rješenje o tome kako IDERA može pomoći. Članak 15. govori o načinu kontrole izloženosti osobnim podacima. Morate znati tko pristupa vašim podacima. Kako ih koriste. Koliko je podataka obrađeno, a upravitelj usklađenosti SQL proizvoda, za što sam ja voditelj proizvoda, omogućuje vam da vidite tko pristupa vašim podacima i kako. SQL Compliance Manger namijenjen je rješenjima SQL Servera. Ako imate bazu podataka SQL Server, možete povezati ovaj proizvod da biste mogli obavljati reviziju i pogledati te podatke, tako da možete biti u skladu s GDPR-om i točno znati kako se koristi. Također možete vidjeti kršenja podataka prije nego što se dogode, a o tome ću govoriti na drugom slajdu. Tu je i članak koji kaže: „Trebam zapis aktivnosti o obradi. Moram se prijaviti i moram nadzirati operacije i moram znati tko obrađuje osobne podatke i tko ima pristup tim sustavima. “SQL Compliance Manager održava reviziju poslužitelja i baza podataka, uključujući sigurnost, DDL, DML kao i definiranje osjetljivih podataka , SQL Compliance Manager omogućuje vam reviziju sigurnosnog pristupa i prijavu pokušaja, tako da možete vidjeti tko pristupa informacijama, kao i ko se prijavljuje, je li privilegirani korisnik, je li poznati korisnik ili je možda zlonamjerni korisnik.
Članak 33. govori o prijavi kršenja osobnih podataka nadzornom tijelu. Trebate biti u mogućnosti otkriti ta kršenja; trebate imati zapise da biste mogli procijeniti učinak; morate znati koliko brzo ćete to popraviti. Da biste to učinili, SQL Compliance Manger omogućava vam postavljanje upozorenja na vaše baze podataka kako bi ih vidio tko ima pristup vašim osjetljivim podacima, kada im pristupaju i čemu su pristupali. Također vam omogućuje da isključite svoje normalne povlaštene korisnike iz vaše revizije. Ako imate administratora sustava ili mrežnog administratora za koji znate da će mu pristupiti, a ne želite začepiti svoja izvješća, možete ih isključiti i reći: „Dajte mi sve što se događa izvan tih podataka.“ To omogućava brzo ćete prepoznati je li netko zlonamjerno pristupio vašim podacima i možete li dobiti upozorenja koja vas obaviještavaju trenutak kad se počinje događati, a zatim trenutak kada pristupite informacijama kako biste ih mogli ispucati, tako da ne morate čekati cijeli dan da shvatite što se događa, kao što je to činio Equifax.
Postoji i članak koji govori o zaštiti podataka i procjeni utjecaja. Ovo je procjena vaših rizika i razumijevanje njihovih vrsta, kao i dokaz i dokumentiranje usklađenosti s GDPR-om. SQL Compliance Manager omogućava izvještavanje o elementima koji se nadziru. Ukratko, revizija podataka pomoću SQL Compliance Manager, SQL Compliance Manager omogućava otkrivanje neuspjelih prijava - što je potencijalni znak kršenja - nadziranje administrativnih aktivnosti i sigurnosnih promjena, upozoravanje na izmjene baze podataka, reviziju stupaca koje definirate kao osjetljive podatke, identificirajte povlaštene korisnike i pratite njihovu aktivnost odvojeno od ostalih korisnika u vašem sustavu, izvijestite da se podaci pregledavaju u skladu s nekoliko regulatornih smjernica. Ne samo da pokrivamo GDPR, već pokrivamo i HIPAA, PCI, FERPA, SOX, sve regulatorne smjernice kada dolaze do revizije vaših podataka i razumijevanja onoga što im se pristupa, imamo i ove regulatorne smjernice.
U IDERI-u imamo i dodatne proizvode za pripremu GDPR-a. Osim samo revizije koju obavlja SQL Compliance Manager, imamo ER / Studio Enterprise Team Edition, koji vam može pomoći dokumentirati procese podataka i ugraditi podatkovne standarde u svoj podatkovni model, možete stvoriti pojmovnike o kojima je William govorio u prethodnom dijapozitivu , Kao što sam ovdje rekao ovom prezentacijom, SQL Compliance Manager može vam pomoći u reviziji podataka kako biste bili sigurni da pogrešni ljudi ne pristupaju vašim podacima, kao i da to dokazuje revizorima. SQL Sigurna sigurnosna kopija može vam pomoći kodirati podatke i sigurnosne kopije. Šifriranje je osnovni dio GDPR-a, o kojem nisam detaljno obrađivao jer sam se želio usredotočiti na imovinu upravitelja usklađenosti, ali SQL Sigurna sigurnosna kopija čini puno šifriranja za vas, tako da vaši podaci mogu ostati sigurni. SQL Inventory Manager može osigurati da su poslužitelji zakrpani i ažurni, tako da ne završite u slučaju poput Equifaxa, gdje su imali zastarjeli zakrpa koji im je dao veliku sigurnosnu rupu koju su ljudi mogli koristiti zlonamjerno. SQL Secure može kontrolirati privatnost i standarde šifriranja.
Za više pojedinosti na web stranici IDERA zajednice, pod našim blogom, objavio sam Pripremanje za GDPR I potražnja prema 2018. i razumijevanje kakvog će utjecaja GDPR biti, a tu je i sigurno, možete preuzeti probnu kopiju SQL Compliance Manager u IDERA-i, kao i bilo koji drugi proizvod koji sam prethodno spomenula u dijapozitivu.
U ovom trenutku, nastavit ću predavati Ericu prezentaciju kako bismo mogli postaviti neka pitanja.
Eric Kavanagh: Ok Dobro. Dotakli ste se nekoliko stvarno zanimljivih stvari, Kim, od kojih je jedna - mislim da je ovo jednostavno, ali prilično je pametno - razgovarala o otkrivanju neuspjelih prijava. Čini mi se da je prilično dobar znak da netko nema dobro, zar ne?
Kim Brushaber: Apsolutno. Ako vidite nekoga tko pokušava pristupiti i pokvariti vašu lozinku, to je vrlo brz način da kažete da netko ne radi ono što bi trebao biti. Možda nekoliko puta pogrešno unesete zaporku, ali ako vidite da ih 30 prolazi, to je loš znak.
Eric Kavanagh: Da. Ovdje su ključni postavljanje upozorenja s pravilnim ograničenjem. Što nam još možete reći o upravljanju postupkom postavljanja upozorenja i deaktivacije onih koji ne rade ono što bi trebali raditi i koliko se tih stvari može automatizirati?
Kim Brushaber: Upravitelj usklađenosti ima puno upozorenja koja se mogu podesiti, kao i izvješća koja možete pregledati. Prolazimo vaše SQL tragove i automatski imamo to praćenje i imamo puno toga što je već unaprijed postavljeno i unaprijed definirano, ali sigurno postoji i značajna količina prilagođavanja.
Eric Kavanagh: William, uvest ću te u ovo - čini mi se da je to jedno od područja gdje ćemo vidjeti strojno učenje kako bi se ušlo u slijedeće dvije do deset godina ili na taj način, sagledavanje različitih mogućnosti. Gledajući sve različite načine na koje sustav može optimizirati svoju učinkovitost, to je učinkovitost oko pitanja poput kršenja i tako dalje. Je li i to vaš stav?
William McKnight: Da, apsolutno. Mislim da sada gradimo sustave koji se popravljaju. Praćenje 24 do 7 počinje nestajati i postaje stvar prošlosti, iako nam i dalje treba takva vrsta produženja. Mislim da se sustavi uglavnom ugrađuju i shvaćaju što je to pogrešno. Moramo li ovdje izdvojiti više prostora ili što imate? Da, mislim da je to definitivno dio naše budućnosti. Sve što se tamo može mapirati na neke korake djelovanja, poduzeti kao odgovor na nešto, definitivno je ranjivo na umjetnu inteligenciju.
Eric Kavanagh: To je dobra poanta. Postavit ću vam još jedno pitanje, Williame, jer znam da provodiš puno istraživanja u ovom prostoru. Jedna od stvari na koju sam čekao već duže vrijeme i mislim da je još nismo - mislim da se približavamo, upravo iz onoga što sam čitao i razmišljao o tome - dan kada će postojati tehnologija koja će apsorbirati regulatorna pitanja, stvarni tekst ovih stvari i to preslikati u funkcionalnost i softver. Kao što kažem, i dalje smo od toga - ne mogu zamisliti da na njemu ne postoji netko. Jeste li naišli na nešto takvo, ili smo još uvijek na mjestu gdje ljudska bića trebaju pogledati pravila, stvarno ih pokušati i razumjeti, u suštini kodificirati u strojnom kodu, a zatim to pretvoriti u svoje razne primjene?
William McKnight: Pa, zasigurno imam koncept koji ovdje dijelite. Nisam upoznat s bilo čim što se događa prema izlaganju u okruženju koje je povezano s tim. Ja ću ipak reći općenito, očito počinjemo govoriti strojevima ne što treba raditi, već ono što je cilj onoga što želimo raditi, a strojevi postaju puno pametniji u promišljanju detalja. Mislim da ćemo, nakon što dobijemo više umjetne inteligencije u našim organizacijama, vrlo moguće da se novi propisi mogu razviti u suradnji s AI-jem koji je raspoređen unutar organizacija tako da se oni mogu implementirati na način koji ste opisali u budućnosti. Za sada ne djelujemo s tim.
Eric Kavanagh: Ovo je pitanje koje ću vam prenijeti, Kim, jer je i ovo zanimljivo. Govorite o prosječnoj latenciji ili vremenu kad se netko prijavi u vaš sustav sakrije i samo čeka - broj dana kada je napadač ostao neispavan unutar mreže - otkrivanje je 200. Zanima me znati što mislite o tome kako poboljšati to, prije svega? Ali također, postoji li način da se ta vrsta pravila koristi za istraživanje vašeg vlastitog sustava? Da istražite svoje vlastite podatke, da učinite bolji posao u održavanju ovih vrsta ljudi?
Kim Brushaber: Da, mislim da je očito rano otkrivanje ključno. Morate shvatiti da ove zlonamjerne web lokacije pristupaju vašim podacima i moći ćete ih zaključati. Mislim da na drugim dijapozitivima na kojima pokazujemo da većina organizacija nema ta pravila. Zato oni tamo sjede Mislim da ako ste zaista imali određenu politiku da prolazite i zaključate svoj pristup i osigurate da pravi ljudi imaju pristup. Obavezno redovito rotirajte ključeve i ažurirate ih. Pobrinite se da se vaše lozinke redovito ažuriraju i radite takve stvari, što se čini prilično osnovnim. U ovom trenutku, većina organizacija to uopće ne čini, a započinjanje tih komada pomoći će vam da se prevaziđete.
To naravno znači da će hakeri biti lukaviji oko toga, ali u ovom trenutku to je jednostavno, „Pogledaću kuće na ulici u koje osjećam da želim provaliti, hoće li oni imati alarm sustavi? Imaju li mali alarmni znak i da jedan ima pse? Idem kod one koja nema znak za alarm, nema psa i to je kuća u koju ću provaliti. "Pa, oni će otkriti tvrtke koje nemaju" nemaju ove zakrpe na mjestu i nemaju sigurnost te ne ažuriraju svoje lozinke i oni će se tamo družiti i nekoliko puta koristiti kreditnu karticu na benzinskoj postaji kako bi bili sigurni. niste je zatvorili i kad oni mogu utjecati na veliku promjenu, obično neka vrsta političke izjave ili na neki drugi način kada ih vidite kako dižu glavu. Ako se postave ta pravila, mislim da u ovom trenutku možete poduzeti nekoliko minimalnih koraka da biste mogli prijeći od ove igre.
Eric Kavanagh: To je vjerojatno najbolji savjet i to uvijek čujem kad razgovaramo s ljudima koji su u sigurnosnom ili regulatornom prostoru, da će osnove pokriti 80 posto vašeg problema, a to je puno toga što treba pokriti - to je dobra poanta. Jedan od sudionika pitao je može li netko proširiti poslovne mogućnosti koje bi se mogle izvući iz nastojanja da se uskladi s GDPR-om, podsjetila sam se na Sarbanes-Oxley, a pretpostavljam, Williame, prebacit ću vam to. Kao savjetnik, uvijek tražite načine kako da pomognete svojim klijentima izvan okvira određenog projekta - barem ako ste dobar savjetnik. Kada razgovarate s ljudima o GDPR-u, koje su pomoćne pogodnosti koje možete navesti ako se uključe u neki projekt usredotočen na to?
William McKnight: Prije svega, važno je napomenuti da ideja koja stoji iza GDPR-a uopće nije puna prava za građane. Postoji druga strana GDPR-a koja je, ovo će poboljšati povjerenje koje građani imaju u naše tvrtke i to će potaknite ih da posluju više u tvrtkama koje su u skladu. Postoje one dodatne pogodnosti u stvarnom ostvarenju vašeg GDPR-a, sada interno, programi upravljanja podacima koje provodimo služe da olakšaju sve vrste inicijativa, doista, koje se pokreću u organizacijama i danas, većinom daleko, inicijativama koje se pokreću. izvan organizacija. Nedavno sam s mnogim od njih radio neko planiranje za 2018. godinu, oni imaju veze s podacima, puno, oni su poput 65 posto do 90 posto svi podaci - kad govorite o telematici ili programu klijenta 360 ili nadzornu ploču za praćenje prodavača, uglavnom se radi o podacima. Sve što bolje upravlja tim podacima, to ga stavlja u bolju arhitekturu koja imenuje ljude koji su ljudi koji mogu odgovoriti na sva i sva pitanja vezana uz te podatke, do kojih bi zaista bilo važno poput programa za upravljanje podacima. Sve što nam daje pojmovnik podataka - kao što je Kim razgovarala sa svojim alatima - sve što to učini, vrlo je korisno učiniti ove inicijative mnogo učinkovitijima, riskirati ih, smanjiti vrijeme, smanjiti proračun za njih i dobiti nas do agilnog vremena da se brže i brže plasiraju za tvrtke koje poduzimaju inicijative, a to su sve tvrtke.
Eric Kavanagh: Volim taj koncept povjerenja. Mislim da je povjerenje vrlo podcijenjena stvarnost u našem svijetu i iskreno većina poslova posluje na povjerenju - stvarno se to dogodi kad se odmah spustite na to. Prebacit ću vam to samo zbog nekih zaključnih komentara, Kim. Mislim da je ovdje jedna od glavnih vrijednosti poboljšanje povjerenja i njegovanje kulture povjerenja jer to neće imati samo pozitivne utjecaje na samu tvrtku, ljude koji se nalaze unutar tvrtke, već i ono što javnost percipira jer takva vrsta stvar se prelijeva, čini mi se, ali što mislite?
Kim Brushaber: Da, mislim da kada razgovaram s prijateljima koji rade u Googleu ili rade u nekoj većoj, zaista visokoj organizaciji, ne primjenjuju gotovo nove značajke kao što su oni kod implementacije sigurnosnih protokola, problema s performansama i skalabilnosti, jer žele da im korisničko iskustvo bude ono mjesto u koje vjeruju da se mogu pouzdati u te informacije. Mislim da kompanije imaju tu odgovornost dok mi nastavljamo ići naprijed za pružanjem takve vrste povjerenja. Sjećam se kad su ljudi prvi put počeli stavljati kreditne kartice na mrežu i ljudi su poput: "O, moj Bože, neću davati tu informaciju vani, jer to nije sigurno."
A sada, vaša kreditna kartica ide u svako dobro jer, teoretski, mislite da možete vjerovati tvrtki jer ima HTTPS certifikat. Tada čujete o kršenju podataka Target gdje kreditne kartice, gdje su bile, "Oh, bolje prodajte svoju kreditnu karticu jer smo ih pustili." Mislim da je to dvosmjerno raspoloženje. Mislim da pojedinci, iako žele da imaju više povjerenja, jer je puno lakše, mogu vjerovati i vjerovati u to u velikim organizacijama, velike organizacije moraju ući i staviti ove dijelove u svoje mjesto da ne učine ' Ne ozlijediti pojedinca ili izgubiti udio na tržištu. Ljudi kažu: "Pa znate što, neću više kupovati u Targetu, sad ću kupovati u Amazoni." Mislim da je povjerenje veliko pitanje, iako je, kao što smo rekli, 78 posto ljudi još uvijek će kliknuti na ovu vezu u, iako oni znaju da možda i ne bi. Postoji određena zaštita ljudi, čak i kad vam vjeruju.
Eric Kavanagh: To je dobra poanta. Znate što, Pitat ću vam posljednje pitanje, Williame, ili barem još jedno - sad ćemo doći neki dobri. Polaznik piše: „GDPR prebacuje upravljanje identitetom nazad kupcu, tamo gdje i pripada. Equifax je trajno oštetio 149 milijuna potrošača, "vrlo tačno", onečišćujući digitalnu ekonomiju. Koje se promjene u SAD-u događaju u vezi s vlasništvom kupaca u pogledu upravljanja identitetom? "
William McKnight: Pa, uvijek smo zaostali u Sjedinjenim Državama kada je riječ o ovakvim stvarima, zar ne? Sto četrdeset i devet milijuna, to nije ni kap u kanti. To je skoro poput terorizma, zar ne? Na sve smo navikli, stalno se događa. Mislim da nešto treba učiniti. Mislim da GDPR, volim prava koja daje građanima, ali čini mi se da to nije prioritet - postoji puno drugih prioriteta i ne znam kamo idu. Mislim da, kao što sam spomenuo u dijapozitivu koji je imao, to signalizira pomak prema većim pravima potrošača u odnosu na njihove podatke. Kad se to događa ovdje u SAD-u? Ne znam, moglo bi proći i do pet godina da vidim nešto proporcionalno GDPR-u koji se događa ovdje u Sjedinjenim Državama. Samo nagađanja u ovom trenutku.
Eric Kavanagh: To je zaista dobra stvar i mislim da ćemo uložiti više napora u vezi s tim, jer, suočimo se, ovih dana krećemo u takvu digitalnu ekonomiju. I kao završni komentar, dobivanje tad filozofskog, orijentiranog na politiku, to me najviše brine o prelasku u bezgotovinsko društvo, jer kad gotovina ode, ako se to dogodi, onda je sve digitalno i svaki sustav može hakirati i identitet svake osobe može se ukrasti. Čini mi se da je prilično velik slon u sobi ovdje dok gledamo štuku u budućnost upravljanja identitetom.
Sve su to sjajne stvari. Zahvaljujem Williamu McKnightu na današnjem vremenu i pažnji. Hvala Kim Brushaber iz IDERA-e. Sve te internetske emisije arhiviramo za kasnije gledanje, pa se slobodno vratite, obično u roku od samo nekoliko sati, a arhiva će biti spremna. S tim ćemo se pozdraviti, ljudi. Još jednom hvala na vašem vremenu i pažnji. Doviđenja.