Od zaměstnanců Techopedia, 6. prosince 2017
Take away: Host Eric Kavanagh diskutuje o nadcházejícím obecném nařízení EU o ochraně údajů a jeho dopadech na toto odvětví. Připojují se k němu William McKnight z McKnight Consulting Group a Kim Brushaber z IDERA.
Momentálně nejste přihlášeni. Chcete-li zobrazit video, přihlaste se nebo se zaregistrujte.
Eric Kavanagh: OK, dámy a pánové, ještě jednou ahoj a vítejte. Je středa ve 4 hodiny východního času, což znamená, že je čas znovu - jeden z posledních časů v roce 2017 - pro Hot Technologies. Ano, jmenuji se Eric Kavanagh - budu vaším moderátorem dnešní akce. Mluvíme o tématu, které je dalekosáhlé, přinejmenším. Právě teď se to nezdá - koncept GDPR, globální nařízení o ochraně údajů. Pojďme do toho a ponořte se přímo do toho, nejedná se o vaše, opravdu o mě. Letos je horko, bylo to opravdu horko mnoha různými způsoby, ale blížící se předpisy od GDPR a od jiných organizací, upřímně řečeno, nás nutí přehodnotit, co se děje ve světě podnikání, konkrétně jak to vyplývá, nebo protože se týká dat. Budeme slyšet od Kim Brushabera z IDERA a také Williama McKnighta z McKnight Consulting Group.
Jen pár rychlých slov k danému tématu, lidi. GDPR v podstatě říká, že organizace musí mít zásady ochrany osobních údajů, a to nejprve s ohledem na data, a ve skutečnosti jde o některé věci, které jste možná slyšeli - celé právo na zapomnění je například částečné a částečné celý tento okamžik a je to velmi zajímavé. Určitě to platí, pokud jde o jeho zásady a etiku. Pokud jde o skutečnou implementaci, je to docela vážná výzva. Právo být zapomenutý říká, že pokud chcete, aby některé organizace neměly vaše data, vaše osobně citlivé údaje, musí se jich zbavit. Dobře si dokážete představit, kdy některá z těchto skutečně heterogenních datových prostředí, jak obtížné to bude. Sečteno a podtrženo: Abyste se dostali na každé místo, kde vaše data přetrvávají a vytáhli je, prostě se to nestane. Organizace však musí mít zavedené politiky, aby byly schopny tyto obavy řešit, a to je to, co budou regulátoři, jistě, hledat.
Je to hodně. Organizace musí nejen odstranit vaše data, pokud to řeknete, ale pokud mají na těchto datech zaškolené algoritmy, mají také technicky přeškolovat algoritmy. To je vysoká objednávka, musím ti to říct, ale přichází to, klesá štika, bude to realita v květnu příštího roku a existují i další předpisy. Kanada má antispamový zákon, který prošel, což má vliv na to, jak nakládáme s osobními údaji. Čistá neutralita nyní klesá štiku, samozřejmě, že je v podstatě vykořeněna, a to změní některé věci. Existuje mnoho těchto velmi vážných předpisů, které ovlivňují podniky po celém světě a po celém světě, na které velké organizace skutečně musí začít myslet a připravit se na ně.
Z tohoto důvodu máme online online Williama McKnighta z McKnight Consulting Groups, abychom nám dali vědět, co si myslí a proč GDPR je ve skutečnosti jen špičkou ledovce. S tím, William, ti to dám. Vzít to pryč.
William McKnight: Díky, Ericu, a jak říkáte, jak říká snímek, tento GDPR je možná špičkou ledovce - to je určitě to, co si myslíme. Je důležité, abychom se ponořili do GDPR do hloubky, protože si myslím, že to je vlna regulace, která sestupuje z potrubí, se kterým se musíme vypořádat. Naštěstí, Ericu, kolem tohoto práva na zapomnění existují určité rozumné standardy, k nimž se dostanu. Na letošním ročníku, který hovořím o GDPR, si nicméně myslím, že existuje spousta firem, zejména amerických, které na to ještě nejsou připraveny. Je to určitě horké a na něco, o čem jsme rozhodně nemysleli před rokem, když právě dělali pár pokusů o nafouknutí některých věcí, ale nyní je to nařízení a musíme se s ním vypořádat, jak jste řekl, Ericu, může přijít správně nahoře - takže ne tak daleko.
Trochu o mně, pojedu na to z pohledu dat. Chcete-li vědět, jsem celoživotní datová osoba a nyní konzultuji v oblasti dat 19 let a GDPR je hodně o datech. Budu zde představovat soubor řešení, když se dostanu do své prezentace o správě dat. Zjevně dělám spoustu programů pro správu dat a myslím si, že pokud jste v souladu s tímto konceptem, děláte nějakou správu dat, mnoho společností tam bude docela daleko na cestě ve skutečnosti, pokud jde o splnění GDPR, ale bude toho hodně, a co je upřímnější, které zaostávají ve správě věcí veřejných, a tedy v přípravách na GDPR pozadu. Pojďme zde nastavit úroveň a pochopit, o čem GDPR je, a jak se dostaneme hlouběji do rozhovoru, dostaneme se k větším dopadům GDPR na obchodní život, když jdeme vpřed do nového roku a dále.
GDPR je pro soukromí občanů Evropské unie. Je to regulace - znamená, že má zuby, znamená, že je vynutitelná. Není to něco, co se tam uvádí jako návrh - k tomu již došlo a nyní je zformováno do nařízení s pokutami. Rád začínám s pokutami, protože to opravdu upoutá pozornost lidí. To jsou přísné sankce. Existují dvě pokuty, existují 2 procenta celosvětového ročního příjmu nebo 10 milionů EUR, pokud podnik nedodrží bezpečnostní povinnosti, ale všechno ostatní, v rozporu s jinými ustanoveními - a dostanu se k nim - to jsou 4 procenta. Slyšíte to o 4%. A mimochodem, je to 4 procenta nebo 10 milionů eur, podle toho, co je vyšší. To je velmi tuhé. Lidé o tom myslí velmi vážně. Vynutit začátek 25. května 2018 - to je klíčové datum, to je okamžik, kdy se audity mohou začít, to je, když můžete získat pokutu. Určitě chcete být na to připraveni. Každá společnost, se kterou se zabývám, jednám s mnoha globálními společnostmi z roku 2000, jsou někde v přípravě GDPR, některé více než jiné a některé musí být v tomto bodě více než jiné. Určitě bude pro některé náročné splnit toto datum a uvidíme se.
Je to nejpropracovanější režim ochrany osobních údajů, jaký jsme dosud viděli. Když uvidíme něco přísnějšího nebo něco, co má přímý dopad na americkou populaci, kdo to ví, ale je to venku a rozhodně je třeba se držet. To vyžaduje, aby organizace pochopily, co UE občana PII - my jsme obeznámeni s PII právem - osobní identifikační informace, sociální zabezpečení, telefonní číslo, adresa, věci, které mohou jedinečně identifikovat osobu nebo docela spravedlivě jedinečně identifikovat osobu. Co mají a jak to používají. To znamená inventář. To znamená regulaci ve vašich vlastních společnostech ohledně tohoto druhu dat. Mimochodem, USA nemají žádný celostátní zákon o ochraně údajů. USA byly vždy - řeknu to pozadu, abych to uvedl v perspektivě - za Evropou, pokud jde o tento druh regulace, a to pokračuje. To pokračuje s GDPR, to je docela evidentní. Někteří z vás možná vědí o ochraně soukromí, možná vás to zajímá. V GDPR existují asi tři nebo čtyři ustanovení, která se překrývají se štítem na ochranu soukromí, ale v GDPR je sto ustanovení, takže je to mnohem víc než to a samozřejmě, že to stále platí, a to souvisí s výměnou dat mezi USA a EU. pouze, i když je to důležité.
Znovu rád začínám čísly. Slyšeli jste o pokutách, co o tom, jak se na to připravíte. Rozpočtování pro GDPR a dělat něco z toho, to závisí na několika faktorech. Množství údajů PII, které shromažďujete o občanech EU. Pokud žádné nesbíráte, OK, pravděpodobně jste v souladu a nemusíte se tím zabývat, ale pravděpodobně jste na tomto hovoru, protože někde sbíráte. Velikost vaší společnosti a vyspělost správy dat, která, jak jsem již řekl, se možná blíží tomu, co musíte udělat, abyste reagovali na GDPR. Na splnění požadavků můžete očekávat až několik milionů USD nebo EUR. Chceme však, nechceme jen dodržovat GDPR, zaškrtnout toto políčko, samozřejmě to musíme udělat. Doufejme, že nejsi v té špinavější situaci, kdy jsi jen zoufalý zatrhnout toto políčko. Hledejte obchodní výhody, protože mnoho věcí, které děláte pro podporu GDPR, je pro vaše podnikání dobré. Správa dat je pro vaše podnikání dobrá. Pokud jde o množství údajů PII, některé jsou důležitější než jiné, některé budou podrobeny podrobnějšímu zkoumání než jiné, například zdraví související s údaji, bude regulováno mnohem přísněji v rámci GDPR než jiné typy údajů a bude vyžadovat shodu s dalšími povinnostmi, jako je provádění posouzení dopadů na ochranu údajů, což samozřejmě zvyšuje váš rozpočet.
Trochu tam o rozpočtování. V případě, že jste ve Velké Británii nebo USA a přemýšlíte, jak to ovlivní vás - GDPR ovlivní Spojené království, které je stále v EU, mimochodem, do 29. března 2019 a jehož vláda naznačila, že něco jako GDPR bude pokračovat po tomto datu, protože „Je to dobrý nápad.“ Britské společnosti to musí dodržovat. Údaje o občanech Spojeného království jsou pro to rozhodně na stole. Pokud to není jasné, existují podniky se sídlem v USA, pokud obchodujete v EU, s údaji o občanech EU, to rozhodně platí pro vás. To má důsledky pro vaši datovou architekturu, protože můžete skončit tím, že budete muset zahodit svá data EU od všeho jiného a zacházet s nimi jinak. Jak řekl Eric, ovlivňuje to analytiku, jak tyto analytiky kompilujete atd. Nyní může být obtížnější dosáhnout jakéhokoli druhu konceptu, globální analýzy. V důsledku GDPR se mohou více lokalizovat.
Co je v ustanoveních? Existují standardy ochrany údajů. To vše diktuje šifrování dat v klidu a v pohybu. Budu mluvit o šifrování. Existují standardy oznámení o narušení dat. Už žádné čekání na měsíce, čekání na to, aby všichni dali vědět. Myslím, že tu byl jeden velký den a my jsme zjistili: „Ach, stalo se to před rokem.“ Nic z toho s GDPR - máte 72 hodin. Jedná se o zásady týkající se jména a hanby. Doufejme, že se k tomu nikdo nedostane, očividně někteří lidé. Porušení bude samozřejmě pokračovat i po GDPR. Existují procesy ke sledování umístění a kvality dat. Zní povědomě? To je opravdu srdce správy dat. Doufejme, že některé z nich chodí.
Jak uvedl Eric, mají občané EU právo být zapomenut. K tomu existují určité standardy přiměřenosti, Ericu. Nemusíte nutně všechno vyhladit, pokud budete muset znovu kontaktovat tohoto zákazníka, tohoto zaměstnance, máte povoleno ponechat si určité aspekty jejich osobních údajů. Přesto mají tito občané právo na zapomnění, ale nemůže na vás vyvstat nepřiměřené úsilí - to je jazyk - nebo poškození společnosti, to je na vás, abyste tyto údaje vyhladili. Nechci to přehrát, ale musíte také uvolnit kopie osobních údajů, které jsou v držení, a tato data můžete získat pouze se souhlasem. Tento souhlas musí udělit lidé, kteří dosáhli minimálního věku, aby toto povolení udělili. Je to tam plno, ale dává to občanům hodně práv na jejich data. To je přenositelnost přímo v případě, že se to někdy objeví. Právo být zapomenut, jasně, ale také - a na něco, co není na mém snímku, což je velmi důležité - je subjekt údajů, který nemá právo rozhodovat pouze na základě automatizovaného zpracování. K čemu jsme se těžce pohybovali? Automatizované zpracování, kolem přijetí úvěru, co nabízíme, to vše musíme propracovat z hlediska toho, jak to bude hrát a jak daleko to půjde. To v podstatě říká, je transparentnost kolem toho, proč jsem byl odmítnut, proč se mi s touto společností zachází určitým způsobem. Teď je to právo, které se uděluje občanům EU.
Je zřejmé, že existují určité důsledky v tom, jak podnikáme, a doufejme, že vidíte, že GDPR není problémem IT, nikoli problémem pouze IT. Jsou zapojeny všechny tyto obchodní procesy. Bude zahrnovat lidi z celé společnosti. Jmenování úředníka pro ochranu údajů se doporučuje pro společnosti s více než 250 zaměstnanci a máte „kritickou matematiku s údaji EU PII.“ Můžete se sami rozhodnout, zda máte tuto kritickou matematiku, někdy je to zřejmé, někdy to tak není. Ale je tu nová role - nemusí to být role na plný úvazek, osoba může mít jiné povinnosti, ale já nevím - v některých středně velkých a větších korporacích si myslím, že dodržování GDPR se chystá být blízko role na plný úvazek. Řekl bych, že začni tímto způsobem a uvidíme, jestli to zvládneš. Obzvláště v příštím roce, jak se budete chovat společně kolem GDPR, jakmile bude usazen, možná můžete zpomalit práci na tom, ale bude to trvat několik společností dost času. Umožněte jednotlivcům vidět svá vlastní data a přenositelnost dat, jak jsem již zmínil.
Mimochodem to není všechno nové, ale právo být zapomenut byl skutečně tam, věřte tomu nebo ne. Stávající pravidla EU již stanoví právo na vymazání nebo nedostupnost osobních údajů. Nyní je však součástí GDPR a bude prosazována mnohem široce. Šifrování dat - šifrování dat v klidu. Používejte standardní metody šifrování, nepoužívejte vlastní domácí nebo nestandardní šifrování. AES je ten, který doporučujeme trochu. Použijte kryptograficky zabezpečené šifrovací klíče. Tyto klíče pravidelně měňte. Zabraňte také ztrátě těchto klíčů. To jsou jen dobré šifrovací postupy, ale nyní přicházejí do popředí s GDPR. V tom spočívá problém - zasáhl jsem jen špičku ledovce. Je zřejmé, že je třeba prozkoumat více ustanovení, ale to jsou ta hlavní.
Nyní řešení. Správa dat, rámec vaší shody, alespoň to je perspektiva, kterou zde předkládám. Naštěstí existuje aktivní dobře patná disciplína, která dokáže a dělá, když je zralá, řeší většinu požadavků, a to je správa dat - to samozřejmě říkám. Programy správy by měly mít datový glosář, a zde používám datový glosář v obecném smyslu, což znamená dokumentaci pro vaše procesy napříč deskou. Toto je základ, sloužit zásobám GDPR, což je, jak jsme viděli, docela obrovské. Program, program správy, by měl usnadňovat protokoly zabezpečení dat - a to zdůrazňuji, protože to není něco, co právě teď dělá mnoho programů správy dat, ale myslím si, že je to logické místo, aby se to stalo, protože jsou sedí na programu, který určuje, kdo jsou vlastníci podniků? Kdo to musí vidět? A dalším krokem je udělení těchto oprávnění. To musí být centralizováno, musí být formalizováno. Musí existovat vnitřní politiky, které se používají. Ke všem prvkům uvedeným výše musí být přiřazena správcovství. Správa dat může být také prostředníkem inženýrství podnikových procesů, které bude vyžadováno.
Než odejdu z tohoto sklíčka, budou společnosti, které se zabývají vyhýbáním se statným pokutám, přijímat řádné obchodní praktiky jako vedlejší produkt. Ráda bych řekla, že je to více než vedlejší produkt, ale ve skutečnosti je to jen dobrý a zdravý obchod, který vás z obchodního hlediska dovede na nová místa. Určitě získáte spoustu efektivity při provádění všech iniciativ napříč všemi směry, pokud máte řádnou správu dat, to jsem viděl v průběhu let. Přidáním některých z těchto věcí, které zmiňuji, se do správy dat dostanou jen lépe. Ve vašem inženýrství obchodních procesů vám doporučujeme položit tyto otázky plošně, zasáhnout všechny obchodní oblasti. Jaké údaje shromažďujeme o našich zákaznících v EU? Nebudu je všechny číst. Některé z klíčových zde. Kdo má potřebu vidět tato data a jsou dodržována? Kdo jsou správci těchto dat? Kdo je moje firma v podnikání? Toto je velké: Sdílíme tato data s třetími stranami? Jen proto, že ji poskytnete třetí straně, neomlouvá vaši odpovědnost za tato data - to jsou stále vaše data, to jsou stále data, která jste shromáždili. V důsledku GDPR je nyní důkladně přezkoumáno mnoho smluv s třetími stranami. Mají tyto systémy deterministické poruchy? Znamená to, že když selžou, selhávají na cestě, kterou jsme předem určili, nebo prostě selhali, havarovali, spálili a začneme od nuly, která se do toho vrací. Bude to zřejmě mnohem lepší. Je to již dobrá praxe, ale zřejmě mnohem lepší pro reverzní inženýrství některé z těchto věcí, pokud máte ve vašem systému velké deterministické poruchy.
Zachování dat, mluvíme navždy o uchovávání dat. Mnoho společností má politiky, ale ne všechny je dodržují. Je zřejmé, že skvěle v oblasti zdravotní a finanční péče chceme uchovávat data, musíme data uchovávat po určitý počet let. Někteří z analytiků v těchto firmách, kteří uchovávají data po dobu sedmi let nebo co, říkají: „Ach, po tomto období tyto údaje stále chci.“ Někteří právníci v těchto společnostech říkají: „Ale musíme se toho zbavit pro účely odpovědnosti, “atd. To tam prostě nemůže jen tak sedět, jako problém na loggerheads s GDPR. Musíme mít retenční období, nechat ho důsledně dodržovat plošně v rámci organizace.
A konečně, jak mobilizujete za porušení dat? Tyto nejhorší scénáře, které by se vám mohly stát. Zjevně se jim snažíme zabránit, ale co když se to stane? Jak tuto věc válčíte a ujistíte se, že ve své odpovědi nyní dodržujete ustanovení GDPR? Jsem datový architekt, myslím na datovou architekturu. Pokud jste společnost se sídlem v USA, která provozuje EU, což znamená data občanů EU - shromažďujete je, budete muset zvážit, zda použít standardy ochrany údajů na všechna data nebo pouze na data EU. Ano, mám klienty, kteří se nyní rozhodují. Jako řádná obchodní praxe by to mohli chtít přenést do USA, mohou se cítit, jako by měli čas, ale to vynáší odrážku číslo dvě. Pokud nemůžete zaručit, že americké systémy budou s daty správně zacházet, bude možná nutné uzavřít data EU ze systémů USA. Odděluje to oddělené údaje pro účely analýzy? Jsou analytiky dokonce platné, pokud se o ně pokoušíte po celé zemi? Někdy ano, někdy ne, ne? Možná zjistíte, že vaše analytika bude v důsledku toho utlumena.
Jak jsem již zmínil, hraje zde umělá inteligence, protože samozřejmě můžeme použít AI k nalezení všech dat, pomoci nám najít všechna data, ale pokud použijeme AI v našich zákaznických rozhraních, musíme nyní mít transparentnost s našimi zákazníky rozhraní a to nikdy nebylo silným oblekem AI. Chcete-li se pokusit sdělit zákazníkovi: „Byli jste odmítnuti, protože bla, bla, bla, “ když ve skutečnosti to byla AI. Teď to musíme udělat. Musíme zjistit, jak AI funguje, jaké jsou faktory? Nemůžete už jen sedět a být pro vás černou skříňkou. Co teď uděláme? Vytvořte si svoji tabulku GDPR. Navrhuji, abyste tam měli svého nadřízeného důstojníka pro ochranu osobních údajů nebo pokud máte úředníka pro ochranu údajů, samozřejmě tu osobu. Vedoucí správy dat, operační rizika a / nebo dodržování předpisů, jak se používají, vedoucí IT, CIO, pokud je to osoba. Pokud máte změněnou osobu v řízení, byl by to skvělý člověk. Jen vedoucí některých nejdůležitějších oddělení ve vaší firmě a také vedoucí personálního oddělení, protože školení o ochraně osobních údajů bude nyní obrovské. Všichni se chystají na školení o ochraně osobních údajů nebo by měli získat školení o ochraně osobních údajů, když nastoupí do společnosti, dokonce i konzultanti.
Pokud neděláte věci, které zde vidíte, budete se muset pohybovat rychleji, než byste chtěli stanovit termín. Musíte také začít doufat, že nejste jedním z prvních, u kterého se provádí audit, protože, upřímně řečeno, je zde spousta práce, pokud začínáte od nuly a vypořádáváte se s mnoha údaji o občanech EU. Najměte si DPO, inventarizujte svá data a své procesy. Sestavte tento plán pro správu dat, vezměte jej od místa, kde je, kde to musí být. Je možné, že to budete chtít spustit. Vytvářejte zásady ochrany osobních údajů a oznámení o zásadách. Zásady ochrany osobních údajů jsou interní. Oznámení o zásadách jsou externí. Vidíme kulturu, která se začíná vytvářet kolem oznámení o zásadách. Okolo těchto oznámení o zásadách bylo provedeno mnoho srovnání a bylo provedeno mnoho pečlivých formulací. Proveďte kontrolu souladu s GDPR u všech systémů, včetně nových systémů. Možná je budete muset sekvenovat a dělat je v jakémkoli pořadí důležitosti, ale toto je další způsob, jak problém vyřešit. Podívejte se na systémy a to, co mají dělat a jak s těmito údaji nakládají.
Co signalizuje GDPR? O tom jsme tady, abychom si povídali trochu víc. Těším se na to, co o tom má Kim říct. GDPR je posun v kontrolách ochrany osobních údajů k regulaci. Je to trend k průhlednosti, říká to přímo v ustanoveních. Vytváříme tuto kulturu oznámení o ochraně osobních údajů, jak jsem již mluvil, to je teď věc. Uvidíme konference o oznámeních o ochraně osobních údajů atd. Posun GDPR směřuje k základním právům lidí. Otevřené otázky budou vypracovány. Existují jasně otevřené otázky, několik z nich jsem zde nechal na stole. Nikdo nemá odpověď. Budou vypracovaní. Trend směřující k většímu porozumění jednotlivcům o jejich datech a způsobu jejich použití. Domnívám se, že to zvýšilo povědomí obyvatelstva EU o důležitosti jejich údajů a vidělo, že jako jeden ze svých osobních statků potřebují více spravovat. To jsou některé z prvních signálů, které jsem viděl, a Ericu, teď to hodím zpátky vám.
Eric Kavanagh: Alrighty, dovolte mi podat klíče Kimovi, který může sdílet některé její perspektivy, ale myslím si, že to byl dobrý přehled, Williame, a zasáhli jste klíčové body - jmenovitě to, že to s jistotou klesá a všichni musíme být velmi opatrní, upřímně řečeno. Díky tomu mi dovolte předat klíče Kimovi a vy můžete sdílet obrazovku a odtud ji vzít.
Kim Brushaber: Hej, slyšíš mě?
Eric Kavanagh: Slyším tě.
Kim Brushaber: Úžasné. William přikryl některé ze stejných věcí, které budu pokrývat, ale myslím, že stojí za to je znovu zakrýt, protože jsou opravdu důležité. Myslím si, že když jsou vydávány nové předpisy, je opravdu dobré získat na to mnoho perspektiv a interpretací různých lidí, aby vám něco zapálilo mysl a umožnilo vám být ještě více v souladu. Jsem povzbuzen všemi lidmi, kteří jsou na této výzvě a chtějí vědět více, protože si myslím, že přijde 25. května, může být spousta paniky pro společnosti, které jsou pronásledovány poté, co nejsou v souladu.
Jmenuji se Kim Brushaber, jsem vedoucí produktového manažera v IDERA. Mám pod sebou několik produktů, které pomáhají dodržovat GDPR a další předpisy. Jdu skočit do některých informací. Začnu s některými fakty a čísly a pak se podívám na něco o GDPR a pak konkrétně o tom, jak vám naše nástroje mohou pomoci. Jeden fakt je, že každý den je ztraceno nebo odcizeno více než 5 milionů datových záznamů. Neslyšíme to ohlásené ve zprávách, neslyšíme to přicházet z jiných míst, ale existuje více než 5 milionů datových záznamů, které jsou odcizeny po celou dobu, přímo pod námi. Střední počet dní, kdy útočníci zůstanou v klidu ve vaší síti, je 200 dní. Mnoho systémů je již infiltrováno lidmi, kteří - se zákeřnými úmysly - kteří čekají na příležitost vydělávat na vašich informacích, většinou v rámci zabezpečení a certifikátů, ale čekají jen na chvíli, než vyrazí. Proto je stále důležitější řešit zabezpečení vašich dat. Předpokládá se, že průměrné náklady na porušení jediných dat v roce 2020 přesáhnou 150 milionů dolarů, protože více podnikové infrastruktury se připojí k online zdrojům a čím více věcí bude v cloudu. To je dobré číslo rozpočtu, pokud máte opravdu obavy o bezpečnost dat, dát svému výkonnému týmu, říct jim, že je to vážná věc a mohlo by nás to stát hodně peněz do budoucna.
Krátce se podívám na porušení dat Equifaxu, protože si myslím, že to bylo největší porušení dat v roce 2017, abych vymaloval obrázek toho, jaké to je projít. Porušení ovlivnilo 145, 5 milionů zákazníků. Zaměstnanci potvrdili bezpečnostní problém ve své webové aplikaci dva měsíce před tím, než k porušení došlo. Zaměstnanci říkali: „Tohle je problém.“ A ještě o něco dříve to bylo, když náplast skutečně vyšla. Poté, co došlo k porušení, trvalo celý den, než na něj reagovalo a webová aplikace byla offline. Protože společnost Equifax neměla definovaný protokol zabezpečení dat, trvalo jim značné množství času, než zjistili, co se děje, a poté byli schopni systém vypnout. Šest týdnů po narušení byla veřejnost upozorněna. S GDPR - jak jsme řekli výše a řeknu to znovu - musíte podat zprávu do 72 hodin a Equifax by si měl ruce svázané a nemohl by splnit tento soulad, protože čekali šest týdnů, než to nahlásí. Sdělení, které mělo reagovat na porušení, zahrnovalo webovou stránku, kterou Equifax ani nevlastnil. Equifax sami znovu vytvářeli tento tweet, který nebyl ani v jejich doméně - obrátili některá slova kolem. Naštěstí to nebylo škodlivé stránky, které na tom vydělávaly, ale zjevně nebyly připraveny. Neměli plán, a to se stalo velmi známým na veřejné scéně. Equifax není sám - v roce 2017 zatím existuje více než 25 velmi vysokých útoků na kybernetický profil a ještě před koncem roku jsme mohli najít více. Společnosti to opravdu musí začít brát vážně, protože jsou tam lidé a pokud jim dáte důvod, proč se k vám chtějí dostat, měli byste být lépe připraveni na to.
Některé další údaje a údaje týkající se toho, jak jednotlivci sledují zabezpečení údajů. Do roku 2020 bude k internetu připojeno 30 miliard zařízení prostřednictvím našich domovů, prostřednictvím našich nositelek, prostřednictvím našich telefonů, tabletů a kdo ví, co ještě může přijít v následujících letech. Existuje spousta zařízení, která jsou vůči těmto útokům zranitelná. Čtyřicet devět procent Američanů má pocit, že jejich osobní informace jsou méně bezpečné než před pěti lety. Sedmdesát tři procent spotřebitelů v Americe chce, aby společnosti byly o svých osobních údajích průhledné. Sedmdesát osm procent lidí tvrdí, že si jsou vědomi rizika, že kliknou na neznámé odkazy a e-maily, ale přesto kliknou na tyto odkazy - to je více než tři čtvrtiny naší populace a na odkazy stále klikají, i když vím, že by to mohl být problém. Osmdesát šest procent uživatelů internetu se aktivně snaží minimalizovat, anonymizovat a skrýt viditelnost svých digitálních stop. Můj nevlastní otec rád při vyplňování formulářů chodí ven a vytváří falešná jména, protože si myslí, že je to anonymní, ale málo ví, že jeho IP adresa je také sledována. Existuje mnoho individuálních zájmů a to je to, co způsobuje mnoho nařízení GDPR a pravděpodobně dalších předpisů, které budou následovat.
Pokud jde o skutečnosti v oblasti bezpečnosti dat, 90 procent záznamů o údajích o porušení v roce 2016 pocházelo od vlády, maloobchodu a technologie. Čtyřicet tři procent kybernetických útoků zaútočilo na malé podniky. Pokud si pomyslíte: „Ach, nejsem velký kluk, po mně nepřijdou, “ stále je jich téměř polovina, kteří chodí po malých podnicích. V uplynulém roce bylo infikováno malwarem sedmdesát pět procent zdravotnického průmyslu. V loňském roce bylo hacknuto sedmdesát procent amerických ropných a plynárenských společností. To má významný dopad na různá různá průmyslová odvětví, která fungují, a toto číslo bude odtud stoupat.
Když se na to podíváte z výkonné perspektivy, 90 procent CIO připouští, že plýtvají miliony dolarů na nedostatečnou kybernetickou bezpečnost. Devadesát procent také říká, že byli napadeni nebo očekávají, že budou napadeni lidmi, kteří se skrývají v jejich šifrování. Osmdesát sedm procent se domnívá, že jejich bezpečnostní kontroly nedokážou chránit jejich podnikání. Osmdesát pět procent CIO očekává, že se zločinné zneužití jejich klíčů a certifikátů zhorší. Toto je obrovské množství společností, které se dívají na tento problém s bezpečností dat, a realita je taková, že mnoho z nich nemá zavedena velmi dobrá řešení, aby se s tím dokázaly vyrovnat, i když věří, že stane se to.
Když se podíváme na jeho připravenost, v roce 2014 70 procent tisíciletí připustilo, že do svého podniku přinesly aplikace mimo podnik v rozporu s politikou IT. Připustilo k tomu sedmdesát procent - je to pravděpodobně ještě větší počet než to, co to vlastně udělal. Padesát dvě procenta organizací, které v roce 2016 utrpěly úspěšné kybernetické útoky, v roce 2017 neprováděly žádné změny ve své bezpečnosti. Přestože byly napadeny jednou, stále ještě nechodily a nezvedaly zdi - jsou stejně zranitelné jako oni byly před útokem. To opravdu vyvolává otázku, co musí společnosti začít dělat, aby se na tyto věci připravily? Třicet osm procent globálních organizací tvrdí, že jsou připraveny zvládnout sofistikovaný kybernetický útok. To je dobré - téměř polovina je tam a já jsem s tím velkorysý, jsme opravdu jen ve třetině, ale stále existuje alespoň polovina, která říká: „Nejsem připravená. Pokud zaútočím, nejsem připraven a hackeři to vědí. “Třicet osm procent organizací má plán reakce na kybernetické incidenty. Většina společností je ve stejné skupině jako Equifax, kde nevědí, co udělají. Pokud se jim to podaří, budou muset reagovat a přijít s těmito věcmi za chodu, a předpisy, jako je GDPR, říkají: „Musíte je mít na svém místě. Musíte je nechat zveřejnit. Musíte to dokázat bezpečnostním auditorům. “Doufejme, že s podobnými dopady, s takovými předpisy, budeme schopni překonat tuto křivku a místo toho, abychom byli reaktivní, můžeme být aktivní v našich snahách.
Řekněme si něco o GDPR. Něco z toho už William zakryl, ale budu pokračovat a zakrýt to znovu, jen z mého pohledu, mého hlasu, z mého pohledu. Spousta společností, s nimiž mluvím, jsou jako: „Jsem v USA, proč bych se o toto nařízení EU měla vůbec zajímat?“ Skutečnost, že více lidí nebude bzučet a více lidí nemluví o myslí si, že se to týká pouze členů EU, ale chtěl bych se vás zeptat, pokud se podíváte na tento seznam, shromažďujete některá z těchto údajů od členů EU? Pokud některou z těchto informací shromažďujete vůbec, podléhají vám hranice GDPR a sankce za nedodržení. Dám ti chvilku, abys to tak trochu absorboval a pochopil. Jak William zmínil dříve, jedná se o sankce a sankce uvedené v článku 83 GDPR. Na začátku můžete mít plácnutí do ruky, trochu varovné rčení: „Hej, dej svůj akt dohromady. Napravte to. “Ale pokud máte opravdu velké porušení - a v závislosti na tom, jak velká je dohoda - vrátí se vám k restituci a je to značné množství. Ne 10 milionů, ale 20 milionů EUR nebo 4 procenta z vašeho obratu / příjmu z předchozího roku. To je hodně peněz. To je spousta rozpočtu na výkonné týmy a řeknutí: „Je to něco, co musíme začít brát vážně a musíme jednat.“
Dovolte mi, abych se podrobně seznámil se zásadami GDPR uvedenými v článku 5. Jednou z věcí, které říkají, je to, že osobní údaje by měly být zpracovávány zákonně, spravedlivě a transparentně. To znamená, že veřejnost chce vědět, co děláte s jejich daty. Buďte o tom transparentní a musí být zveřejněna. Většina lidí nečte smluvní podmínky, ale jedná se o nové informace, které musíte umět komunikovat, abyste jim mohli sdělit: „Vaše údaje jsou zpracovávány přiměřeně.“ Osobní údaje by měly být shromažďovány za specifikovanou, explicitní a legitimní účely. To znamená, že se snad můžeme zbavit tohoto spamu, kde společnosti říkají, že shromažďují informace pro kvíz, který vám řekne, jak zajímavý by vás mohl být, a ve skutečnosti berou vaše data a prodávají je někomu jinému, aby bylo možné použít k jakémukoli účelu. Společnosti nyní musí být mnohem zodpovědnější a přesně říci, k čemu používají vaše informace. Rovněž tvrdí, že osobní údaje musí být přiměřené, relevantní a omezené na to, co je nezbytné. Mnoho společností ráda vezme všechny své informace a vloží je do velkého datového fondu a poté přijdou na to, co chtějí s informacemi udělat později a sbírají mnohem více, než je třeba. To znamená, že je nemůžete sbírat a používat jinde. Také nemůžete jen sbírat vše a doufat, že to později budete považovat za užitečné. Musíte být velmi výslovní, proč shromažďujete informace, a musí to být relevantní pro data, která shromažďujete.
Osobní údaje musí být také přesné a aktuální. Jakmile je na nich shromáždíte, musíte dát uživatelům způsoby, jak aktualizovat svá data; musí být schopen vrátit se a říci: „Víte, měl jsem tento názor na nějaký průzkum, který jste se mě zeptali na informace umožňující identifikaci osob, a já se chci vrátit a chci to změnit a aktualizovat to hned.“ dát jim způsob, jak to udělat. Osobní údaje musí být uchovávány ve formě, která umožňuje identifikaci subjektů údajů déle, než je nezbytné. Zpět na Williamův názor, že tyto informace nemůžete sbírat navždy - musíte přijít s tím, co považujete za platné a nutné, a poté musíte data vymazat. Musí být také zpracována způsobem, který zajišťuje odpovídající bezpečnost, včetně ochrany před neoprávněným nebo nezákonným zpracováním, náhodnou ztrátou, zničením nebo poškozením.
Jak jsem již řekl, je na čase to opravdu brát vážně a zastavit tato narušení dat, protože nejen to, že můžete utrpět zranění, které vaše společnost přijde v podobě narušení dat a ztráty příjmů a nákladů na zkrácení vašich procesů., ale můžete mít také hromádku pokut, která se vám vyrazí z GDPR. Je čas to opravdu začít brát vážně a já si myslím, že s tím, jak GDPR vstoupí v platnost, budou společnosti čelit tvrdé realitě a naštěstí ti z vás, kteří dnes telefonují, o tom mohou začít přemýšlet a vědět jak tyto věci uvedete do praxe.
GDPR také hodně mluví o tom, jaká jsou práva jednotlivců; je to opravdu dávat pozor na jednotlivé uživatele. První věcí je právo na přístup k vašim osobním údajům. Uživatelé musí vědět, jaké informace o nich shromáždili, pokud jde o osobně identifikované informace, a musíte jim poskytnout způsob, jak k nim mít přístup. Existuje také právo na opravu, což je fantastický způsob, jak říci: „Musím být schopen opravit informace, které o mně máte.“ Právo na výmaz - což opět mnoho lidí formuluje jako právo na být zapomenut - pokud jednotlivec řekne: „Víš co, už nechci, abys věděl, že jsem super sranda, sběratel komiksů, musíš se toho zbavit. Mám nějaké přátele, kteří mě o tom škádlí a úplně mě ze seznamu odstraní, “musíte to udělat. Existuje také právo na omezení zpracování, což znamená, že uživatelé mohou omezit způsob zpracování jejich informací. Mohou říci: „Nevadí mi, že si vezmete moje informace, protože kupuji nové auto, ale nepoužívejte je k zasílání e-mailů a nevyžádanou poštu na nové nabídky pokaždé, když se uvolní nová auta.“ právo na přenositelnost dat, což znamená, že uživatelé by měli mít možnost získat kopii svých dat a mít možnost je vzít někam jinam. Mnoho organizací shromažďuje informace a tyto informace mají faktor lepivosti a nyní mohou jednotlivci říci: „Víš co, chci, abys vzal všechny mé informace a teď chci, abys je dal svému konkurentovi, abych to mohl přesunout přes."
Existuje spousta věcí, na které by se měla organizace podívat, jak to dokážete a jaké informace chcete sbírat a odesílat. K dispozici je také právo na námitky a uživatelé mohou také protestovat proti zpracování svých dat. Právo na to, aby nebylo předmětem rozhodnutí založeného pouze na automatickém zpracování nebo profilování. To má významný dopad na B2B marketing - pokud tam sedíte a pokoušíte se A / B testování a pokusíte se identifikovat, Colorado bude více ovlivněna zprávou než Kalifornie, dobře jste právě udělali profilování, když se podíváte na jednu stav versus jiný, a musíte se podívat na to, jak by se jednotlivec měl odhlásit.
Vzhledem k tomu, že máme nějaké děsivé věci, které se blíží, pokud jde o porušení dat a jak se lidé dívají na jejich data, a máme tu obrovskou regulaci, která se za naše ramena vybírá, nyní jsem tu, abych vám řešení, jak může IDERA pomoci. Článek 15 hovoří o tom, jak kontrolovat vystavení osobním údajům. Musíte vědět, kdo přistupuje k vašim datům. Jak to používají. Kolik zpracovaných dat a produktů SQL Compliance Manager, pro které jsem produktový manažer, vám umožní zjistit, kdo a jak přistupuje k vašim datům. SQL Compliance Manger je určen pro řešení SQL Server. Pokud máte databázi serveru SQL, můžete tento produkt připojit, abyste mohli auditovat a prohlížet si tyto informace, abyste mohli být v souladu s GDPR a přesně víte, jak se používá. Můžete také vidět porušení dat, než k nim dojde, a budu o tom mluvit na jiném snímku. Existuje také článek, který říká: „Potřebuji záznam o zpracovatelských činnostech. Musím se přihlásit a musím sledovat operace a potřebuji vědět, kdo zpracovává osobní data a kdo má přístup k těmto systémům. “SQL Compliance Manager udržuje audit serverů a databází, včetně zabezpečení, DDL, DML, a také definuje citlivá data. . SQL Compliance Manager vám umožňuje auditovat přístup k zabezpečení a přihlásit se pokus, abyste viděli, kdo přistupuje k informacím a kdo se přihlašuje, ať už se jedná o privilegovaného uživatele, ať už je to známý uživatel, nebo zda se může jednat o nebezpečného uživatele.
Článek 33 hovoří o oznámení porušení ochrany osobních údajů orgánu dohledu. Musíte být schopni odhalit tato porušení; musíte mít záznamy, abyste mohli posoudit dopad; musíte vědět, jak rychle to napravíte. Za tímto účelem vám SQL Compliance Manger umožňuje nastavit upozornění na vaše databáze tak, aby viděli, kdo má přístup k vašim citlivým datům, když k nim přistupovali, co k nim přistupovali. Také vám umožňuje vyloučit vaše běžné privilegované uživatele z vašeho auditu. Pokud máte systémového administrátora nebo síťového administrátora, o kterém víte, že k němu budete mít přístup, a nechcete své zprávy ucpat, můžete je vyloučit a říci: „Dej mi všechno, co se děje mimo tyto informace.“ Umožňuje to abyste rychle zjistili, zda někdo neoprávněně přistupuje k vašim datům a můžete mít výstrahy, které jsou na místě, které vás informují o okamžiku, kdy se to začne dít, a pak o okamžiku, kdy jsou informace přístupné, abyste je mohli zrušit, abyste mohli nemusíte čekat celý den, aby zjistili, co se děje, stejně jako Equifax.
Existuje také článek, který hovoří o ochraně údajů a posouzení dopadů. Toto je hodnocení vašich rizik a porozumění tomu, co jsou, a také prokazování a dokumentování vašeho souladu s GDPR. SQL Compliance Manager vám umožňuje podávat zprávy o prvcích, které jsou sledovány. Jednoduše řečeno, auditování dat pomocí nástroje SQL Compliance Manager, SQL Compliance Manager umožňuje detekovat neúspěšná přihlášení - což je potenciální známkou narušení - sledovat administrativní činnosti a změny zabezpečení, upozorňovat vás na úpravy databáze, auditovat sloupce, které definujete jako citlivé informace, identifikují privilegované uživatele a sledují jejich aktivitu odděleně od ostatních uživatelů ve vašem systému, hlásí, že informace jsou auditovány v souladu s několika regulačními pokyny. Nejen, že pokrýváme GDPR, ale také pokrýváme HIPAA, PCI, FERPA, SOX, všechny regulační pokyny, pokud jde o audit vašich informací a pochopení toho, co je přístupné, máme tyto regulační pokyny zavedeny.
Máme také další produkty v IDERA pro přípravu GDPR. Kromě auditů, které provádí SQL Compliance Manager, máme ER / Studio Enterprise Team Edition, které vám mohou pomoci dokumentovat vaše datové procesy a začlenit datové standardy do vašeho datového modelu. Můžete také vytvořit datové glosáře, o kterých William mluvil v předchozím snímku. . Jak jsem zde uvedl v této prezentaci, SQL Compliance Manager vám může pomoci prověřit vaše informace, aby se ujistil, že nesprávní lidé nemají přístup k vašim datům, a prokázat to auditorům. Bezpečné zálohování SQL vám může pomoci zašifrovat vaše data a zálohy. Šifrování je nezbytnou součástí GDPR, kterou jsem nepokryl podrobně, protože jsem se chtěl hodně soustředit na aktiva Compliance Manager, ale SQL Safe Backup pro vás provede mnoho šifrování, takže vaše data mohou zůstat v bezpečí. SQL Inventory Manager může zajistit, že servery jsou opravené a aktuální, takže nemusíte skončit v případě, jako je Equifax, kde měli zastaralou opravu, která jim poskytla velkou bezpečnostní díru, kterou lidé mohli používat škodlivě. SQL Secure může auditovat soukromí a šifrovací standardy.
Pro více podrobností na webových stránkách komunity IDERA jsem na našem blogu zveřejnil Přípravnou přípravu na GDPR. Podívám se směrem k roku 2018 a pochopení toho, jaký dopad bude mít GDPR, a také si můžete určitě stáhnout zkušební kopii Správce shody SQL. na IDERA, jakož i na všechny další produkty, které jsem právě zmínil dříve na snímku.
V tuto chvíli se chystám předat prezentaci zpět Ericu, abychom mohli položit pár otázek.
Eric Kavanagh: Dobře, dobře. Dotkli jste se tam několika opravdu zajímavých věcí, Kim, z nichž jedna - myslím, že je to jednoduché, ale je to docela chytré - mluvili jste o odhalování selhání přihlášení. Zdá se mi, že je to docela dobré znamení, že někdo nemá dobré právo?
Kim Brushaber: Rozhodně. Pokud vidíte někoho, kdo se pokoušel získat přístup a prasknout vaše heslo, je to velmi rychlý způsob, jak říci, že někdo nedělá to, co by měl být. Možná párkrát můžete zadat heslo nesprávně, ale pokud vidíte 30 z nich prochází, je to špatné znamení.
Eric Kavanagh: Jo. Zde jsou klíčové pro nastavení vašich upozornění do správného kontextu. Co jiného nám můžete říci o tom, jak řídit postup nastavování a deaktivace upozornění, která nedělají to, co by měli dělat, a kolik z těchto věcí lze automatizovat?
Kim Brushaber: Compliance Manager má mnoho konfigurovatelných výstrah a zpráv, které si můžete prohlédnout. Projdeme vaše stopy SQL a toto automatické sledování máme a máme toho spoustu, které je již přednastaveno a předdefinováno, ale určitě můžete udělat značné množství přizpůsobení.
Eric Kavanagh: William, přivedu tě k tomu - zdá se mi, že to je jedna z oblastí, kde uvidíme, jak se strojové učení začne hrát během příštích dvou až deseti let, dívá se na všechno různé možnosti. Když se podíváme na všechny různé způsoby, jak může systém optimalizovat svou účinnost, jedná se o účinnost kolem problémů, jako jsou porušení a tak dále. Je to také vaše?
William McKnight: Jo, absolutně. Myslím, že nyní stavíme systémy, které se opravují. Monitorování 24 na 7 začíná sklouzávat a stává se minulostí, i když stále potřebujeme tento druh provozu. Myslím, že systémy jsou do velké míry zabudovány a přijdou na to, co je špatně. Potřebujeme zde přidělit více místa nebo co máte? Jo, myslím, že to je určitě součást naší budoucnosti. Všechno, co se dá zmapovat na některé kroky, které mohou reagovat na něco, je určitě zranitelné umělou inteligencí.
Eric Kavanagh: To je dobrá věc. Hodím na tebe ještě jednu otázku, Williame, protože vím, že v tomto prostoru děláš hodně výzkumu. Jedna z věcí, na které jsem chvíli čekal a nemyslím si, že už jsme tam - myslím, že se blížíme, jen z toho, co jsem o tom četl a přemýšlel - den, kdy bude existovat technologie absorbující regulační problémy, vlastní formulace těchto věcí a mapování funkčnosti a softwaru. Jak říkám, stále jsme na to, jak na to - nemůžu si představit, že na tom někdo pracuje. Setkali jste se s něčím takovým, nebo jsme stále v bodě, kdy se lidé musí dívat na pravidla, opravdu je zkoušet a porozumět jim, kodifikovat je ve strojovém kódu, v podstatě a pak točit k tomu, aby se dostali k různým aplikacím?
William McKnight: No, určitě dostanu koncept, který tady sdílíte. Nejsem obeznámen s tím, co se děje směrem k rozvinutí v prostředí, které s tím souvisí. Obecně však říkám, že samozřejmě začneme říkat strojům, co ne, ale co je cílem toho, co chceme dělat, a stroje jsou mnohem chytřejší, když přijdou na detaily. Myslím, že jakmile v našich organizacích získáme další umělou inteligenci, je docela možné, že nové předpisy mohou být vytvořeny ve shodě s umělou inteligencí, která je rozmístěna uvnitř organizací tak, aby mohla být zavedena způsobem, který jste popsali v budoucnosti. Prozatím s tím nebudeme jednat.
Eric Kavanagh: Tady je otázka, kterou ti dám, Kim, protože je to také něco zajímavého. Mluvíte o průměrné latenci nebo o době, kdy se někdo, kdo se přihlásí do vašeho systému, schovává a čeká - počet dní, kdy útočník zůstal spát v síti - detekce je 200. Jsem zvědavý, jaké jsou vaše myšlenky ohledně zlepšení to především? Existuje však také způsob, jak použít tento druh pravidla k prozkoumání vašeho vlastního systému? Chcete-li prozkoumat svá vlastní data, udělat lepší práci s udržením těchto druhů lidí ven?
Kim Brushaber: Jo, myslím, že zřejmě je včasná detekce klíčová. Musíte zjistit, že tyto škodlivé weby přistupují k vašim informacím a musí být schopny je uzamknout. Myslím si, že na dalších snímcích, kde ukazujeme, že většina organizací tyto zásady nemá, Proto tam sedí. Myslím, že pokud jste vlastně měli zavedenou politiku, kterou byste měli projít a zamknout váš přístup a zajistit, aby měli správní lidé přístup. Ujistěte se, že své klíče pravidelně otáčíte a aktualizujete. Ujistěte se, že vaše hesla jsou pravidelně aktualizována a dělá ty druhy věcí, které se zdají být docela základní. Právě teď to většina organizací ani nedělá, a začít tyto kousky začít používat, pomůže vám to překonat.
To samozřejmě znamená, že hackeři o tom získají více zdvořilosti, ale v tuto chvíli je to snadné, je to jako: „Podívám se na domy na ulici, do kterých se cítím, jako bych se chtěl vloupat, budou mít alarm systémy? Mají malý poplašný signál a ten má psy? Jdu na ten, který nemá výstražné znamení, nemá psa a to je dům, do kterého se budu vloupat. “No, zjišťují společnosti, které nemají Nemáte tyto záplaty na místě a nemají zabezpečení na místě a neaktualizují svá hesla, jdou tam a pověsí se a několikrát použijí vaši kreditní kartu na čerpací stanici, aby se ujistili, nezavírali jste to a pak, když mohou ovlivnit velkou změnu, obvykle nějaký druh politického prohlášení nebo jinak je, když vidíte, jak jim vyskakují. Po zavedení těchto zásad si myslím, že v této chvíli můžete podniknout několik minimálních kroků, abyste se dostali do této hry.
Eric Kavanagh: To je asi nejlepší rada a vždy to slyším, když mluvíme s lidmi, kteří jsou v bezpečnostním prostoru nebo v regulačním prostoru, tyto základy pokryjí 80 procent vašeho problému, a to je spousta podkladů - to je dobrý postřeh. Jeden z účastníků se zeptal, jestli by někdo mohl rozšířit obchodní příležitosti, které by bylo možné těžit z úsilí o dosažení souladu GDPR, připomněl jsem Sarbanes-Oxley, a myslím, Williamu, hodím ti ho. Jako konzultant neustále hledáte způsoby, jak pomoci svým klientům mimo rámec konkrétního projektu - alespoň pokud jste dobrým konzultantem, děláte to. Když mluvíte s lidmi o GDPR, jaké jsou vedlejší výhody, které můžete získat, pokud se zapojí do nějakého projektu zaměřeného na to?
William McKnight: Zaprvé je důležité si uvědomit, že myšlenka GDPR není vůbec plná práva na občana. Existuje druhá strana GDPR, což znamená, že to zlepší důvěru, kterou mají občané v naše společnosti a povzbudí je, aby podnikali více ve společnostech, které jsou v souladu. Existují tyto doplňkové výhody skutečného splnění vašeho GDPR, nyní interně, programy správy dat, které implementujeme, slouží k usnadnění všech druhů iniciativ, opravdu, které se odehrávají v organizacích a dnes, zdaleka, iniciativ, které se kopají uvnitř organizací. Nedávno jsem dělal nějaké plánování pro rok 2018 s mnoha z nich, mají co do činění s daty, hodně, jsou to jako 65 procent až 90 procent vše o datech - když mluvíte o telematice nebo zákaznickém programu 360 nebo dashboard pro sledování prodejců, jde převážně o data. Cokoli, co data spravuje lépe, dává to do lepší architektury, která pojmenovává lidi, kteří jsou go-to people, kteří dokážou odpovědět na všechny a všechny otázky týkající se těchto dat, které by se opravdu zajímaly jako program správy dat. Cokoli, co nám dává datový glosář - jako Kim mluvila o svých nástrojích - cokoli, co to dělá, je velmi užitečné učinit tyto iniciativy mnohem efektivnějšími, zbavit je rizika, zkrátit čas, snížit rozpočet pro ně a dostat nás do agilního času na trhu mnohem rychlejší a dobré věci pro společnost, která dělá iniciativy, což jsou všechny společnosti.
Eric Kavanagh: Miluji ten koncept důvěry. Myslím si, že důvěra je v našem světě velmi podceňovanou realitou a upřímně řečeno, většina obchodních společností si na důvěru vede - ve skutečnosti se to stane, když se k ní dostanete přímo. Hodím ti to jen pro pár závěrečných komentářů, Kim. Myslím si, že jednou z klíčových přidaných hodnot je zlepšování důvěry a podpora kultury důvěry, protože to bude mít nejen pozitivní dopady na samotnou společnost, na lidi uvnitř společnosti samy o sobě, ale také na to, co veřejnost vnímá, protože tento druh věc se rozlévá, zdá se mi, ale co si myslíte?
Kim Brushaber: Jo, myslím, že když mluvím s přáteli, kteří pracují ve společnosti Google nebo pracují na Facebooku nebo s některými z větších, skutečně významných organizací, neimplementují téměř tolik nových funkcí, jako jsou v implementaci bezpečnostních protokolů a výkonu. a problémy se škálovatelností, protože chtějí, aby jejich uživatelské zkušenosti byly takové, kde věří, že v tyto informace mohou důvěřovat. Myslím si, že společnosti mají tuto odpovědnost, protože pokračujeme v poskytování tohoto druhu důvěry. Pamatuji si, když lidé poprvé začali uvádět kreditní karty online a lidé jsou jako: „Ach můj bože, nebudu tam poskytovat tyto informace, protože to není bezpečné.“
A nyní vaše kreditní karta jde do všech směrů, protože si teoreticky myslíte, že můžete společnosti důvěřovat, protože má certifikát HTTPS. Pak uslyšíte o porušení údajů o cílových datech, kde byly kreditní karty, kde byly: „Ach, raději vyměňte svou kreditní kartu, protože jsme tuto informaci pustili.“ Myslím, že je to obousměrný sentiment. Myslím si, že jednotlivci, i když chtějí být více důvěryhodní, protože je to mnohem snazší, aby jim mohli důvěřovat a věřit v to u velkých organizací, musí velké organizace zasáhnout a tyto kousky nasadit na místo, aby se nezúčastnily “ • zranit jednotlivce nebo ztratit podíl na trhu. Lidé říkají: „No, víš co, už nebudu nakupovat v Targetu, teď jdu nakupovat v Amazonu.“ Myslím, že důvěra je velký problém, i když, jak jsme řekli, 78 procent lidí je stále kliknou na tento odkaz v e-mailu, i když vědí, že to nemusí. Existuje určitá úroveň ochrany lidí, i když vám důvěřují.
Eric Kavanagh: To je dobrá věc. Víš co, hodím na tebe poslední otázku, Williame, nebo alespoň jednu další - teď máme nějaké dobré. Účastník píše: „GDPR přesouvá správu identity zpět k zákazníkovi, kam patří. Equifax trvale poškodil 149 milionů spotřebitelů, „velmi pravdivých“, které kontaminovaly digitální ekonomiku. Jaké změny vidíte v USA, pokud jde o vlastnictví zákazníků v souvislosti se správou identity? “
William McKnight: No, v USA jsme vždycky pozadu, pokud jde o takovou věc, že? Sto čtyřicet devět milionů, to není kapka v kbelíku. Je to skoro jako terorismus, že? Jsme tak zvyklí, že se to pořád děje pořád. Myslím, že je třeba něco udělat. Myslím, že GDPR, mám rád práva, která dává občanům, ale nezdá se, že by to byla priorita - je tu spousta dalších priorit a nevím, kam to půjde. Myslím, že, jak jsem zmínil v rozvaze, kterou jsem měl, že to signalizuje posun směrem k většímu právu spotřebitele na jejich data. Kdy se to stane tady v USA? Nevím, mohlo by to být až pět let pryč, vidět něco, co by odpovídalo GDPR, které se děje tady v USA. Jen spekulace.
Eric Kavanagh: Je to opravdu dobrý bod a myslím si, že v tom uvidíme více úsilí, protože, přiznejme si to, v těchto dnech přecházíme k takové digitální ekonomice. A jako závěrečný komentář zde, jak jsem se dostal do totálního filosofického a politicky orientovaného hlediska, se mě to nejvíce týká přechodu do bezhotovostní společnosti, protože když hotovost zmizí, pokud k tomu dojde, pak je vše digitální a každý systém může hacknout a identita každé osoby může být odcizena. Zdá se mi, že je to tady v této místnosti docela velký slon, když se díváme dolů na štiku do budoucnosti správy identity.
To jsou skvělé věci, lidi. Díky Williamovi McKnightovi za dnešní čas a pozornost. Děkuji Kim Brushaberovi z IDERA. Všechna tato webová vysílání archivujeme pro pozdější prohlížení, takže se neváhejte vrátit, obvykle během několika hodin a archiv bude připraven. Díky tomu se s vámi rozloučíme, lidi. Ještě jednou díky za váš čas a pozornost. Ahoj.