Na wynos: Gospodarz Eric Kavanagh omawia nadchodzące ogólne rozporządzenie UE o ochronie danych i jego wpływ na przemysł. Dołączają do niego William McKnight z McKnight Consulting Group i Kim Brushaber z IDERA.
Obecnie nie jesteś zalogowany. Zaloguj się lub zarejestruj, aby zobaczyć wideo.
Eric Kavanagh: OK, panie i panowie, witam i witam jeszcze raz. Jest środa o godzinie 4 czasu wschodniego, co oznacza, że nadszedł czas - jeden z ostatnich razy w 2017 roku - dla Hot Technologies. Tak, naprawdę nazywam się Eric Kavanagh - będę twoim moderatorem dzisiejszego wydarzenia. Mówimy o co najmniej dalekosiężnym temacie. W tej chwili tak nie wygląda - koncepcja RODO, globalne rozporządzenie o ochronie danych. Przejdźmy dalej i zanurzmy się w tym, nie chodzi o twoją prawdziwość, wystarczy o mnie. Ten rok jest gorący, był naprawdę gorący na wiele różnych sposobów, ale zbliżające się regulacje RODO i innych organizacji, szczerze mówiąc, zmuszają nas do ponownego przemyślenia tego, co dzieje się w świecie biznesu, szczególnie w wyniku, lub ponieważ dotyczy danych. Oczekujemy od Kim Brushaber z IDERA, a także od Williama McKnighta z McKnight Consulting Group.
Kilka krótkich słów na ten temat, ludzie. RODO zasadniczo mówi, że organizacje muszą mieć zasady dotyczące prywatności i bezpieczeństwa w odniesieniu do danych, a tak naprawdę chodzi o niektóre rzeczy, które mogłeś usłyszeć - na przykład całe prawo do bycia zapomnianym przez cały ten moment, i to jest bardzo interesujące rzeczy. Jest to z pewnością ważne pod względem zasad i etyki. Pod względem faktycznego wdrożenia jest to jednak dość poważne wyzwanie. Prawo do bycia zapomnianym mówi, że jeśli chcesz, aby niektóre organizacje nie posiadały twoich danych, danych osobowych wrażliwych, muszą się ich pozbyć. Możesz sobie wyobrazić, kiedy niektóre z tych naprawdę heterogenicznych środowisk danych będą trudne. Aby móc dotrzeć do każdego miejsca, w którym Twoje dane są trwałe, i wyciągnąć je, to po prostu się nie stanie, jest sedno sprawy. Niemniej jednak organizacje muszą mieć odpowiednie zasady, aby móc zaradzić tym obawom, i tego właśnie regulatorzy, jestem pewien, będą szukać.
To ważna sprawa. Organizacja musi nie tylko usunąć twoje dane, jeśli tak mówisz, ale jeśli wyszkoliła algorytmy na tych danych, technicznie też powinna je ponownie przeszkolić. To wysokie zamówienie, muszę ci powiedzieć, ale nadchodzi, schodzi ze szczupaka, stanie się rzeczywistością w maju przyszłego roku i są też inne przepisy. W Kanadzie obowiązują przepisy antyspamowe, które mają wpływ na sposób, w jaki postępujemy z danymi osobowymi. Neutralność sieci spada teraz na szczupaka, oczywiście została zasadniczo wyrwana z korzeniami i to zmieni niektóre rzeczy. Istnieje wiele z tych bardzo poważnych przepisów, które mają wpływ na firmy na całym świecie i na całym świecie, o których duże organizacje naprawdę muszą zacząć myśleć i przygotowywać się.
W tym celu mamy online Williama McKnighta z McKnight Consulting Groups, który informuje nas, co myśli i dlaczego RODO jest tak naprawdę wierzchołkiem góry lodowej. Po tym, William, przekażę ci to. Zabierz to.
William McKnight: Dzięki, Eric, i jak mówisz, jak mówi slajd, ten RODO jest może wierzchołkiem góry lodowej - z pewnością tak myślimy. Ważne jest, aby zagłębić się w RODO, ponieważ uważam, że reprezentuje on falę regulacji, która zbliża się do normy, z którą mamy do czynienia. Na szczęście, Eric, istnieją pewne rozsądne standardy dotyczące tego prawa do bycia zapomnianym, do czego dojdę. Niemniej jednak, podczas mojego tegorocznego spaceru o RODO, myślę, że jest wiele firm, zwłaszcza amerykańskich, które nie są jeszcze na to przygotowane. Jest zdecydowanie gorąco i coś, o czym zdecydowanie nie myśleliśmy rok temu, kiedy tylko próbowali balonować niektóre rzeczy, ale teraz jest to przepis i musimy sobie z tym poradzić, jak powiedziałeś, Eric, May przyjdzie dobrze tutaj - więc wcale nie tak daleko.
Trochę o mnie, przyjdę do tego z perspektywy danych. Informuję, że jestem osobą, która zajmuje się danymi przez całe życie i od 19 lat prowadzę konsultacje w dziedzinie danych, a RODO dotyczy danych. Przedstawię tu rozwiązanie, gdy przejdę do prezentacji na temat zarządzania danymi. Oczywiście, robię wiele programów do zarządzania danymi i myślę, że jeśli dostosujesz się do tej koncepcji, będziesz zarządzać danymi, wiele firm będzie na dobrej drodze w rzeczywistości, jeśli chodzi o zgodność z RODO, ale będzie wiele, i szczerze mówiąc, są one opóźnione w zarządzaniu, a zatem dość opóźnione w przygotowaniach do RODO. Ustalmy tutaj poziom i zrozummy, o co chodzi w RODO, a gdy zagłębimy się w rozmowę, zajmiemy się bardziej konsekwencjami RODO w życiu biznesowym, gdy będziemy iść do nowego roku i dalej.
RODO dotyczy prywatności danych obywateli Unii Europejskiej. Jest to przepis - oznacza, że ma zęby, oznacza, że jest wykonalny. Nie jest to coś, co zostało tam przedstawione jako sugestia - to się już wydarzyło, a teraz zostało uformowane w przepis z karami. Lubię zaczynać od kar, ponieważ to naprawdę przyciąga uwagę ludzi. Są to surowe kary. Istnieją dwie kary, są 2 procent światowego rocznego przychodu lub 10 milionów euro, jeśli firma nie przestrzega obowiązków bezpieczeństwa, ale wszystko inne, z naruszeniem innych przepisów - i dostanę się do nich - to 4 procent. Słyszysz, że to pasmo około 4 procent. Nawiasem mówiąc, jest to 4 procent lub 10 milionów euro, w zależności od tego, która wartość jest większa. To jest bardzo sztywne. Ludzie bardzo poważnie podchodzą do tego. Egzekwuj od 25 majath, 2018 r. - jest to kluczowa data, kiedy można rozpocząć audyty, wtedy możesz dostać grzywnę. Zdecydowanie chcesz być na to gotowy. Z każdą firmą, z którą mam do czynienia, mam do czynienia z wieloma firmami Global 2000, są one gdzieś w przygotowaniu RODO, niektóre bardziej niż inne, a niektóre muszą być w tym momencie czymś więcej niż inne. Z pewnością dla niektórych spotkanie będzie trudne, a przekonamy się.
Jest to najbardziej dokładny reżim zgodności prywatności, jaki do tej pory widzieliśmy. Kiedy zobaczymy coś sztywniejszego lub coś, co może wpłynąć bardziej bezpośrednio na populację USA, kto wie, ale to już jest i zdecydowanie należy się do niego zastosować. Wymaga od organizacji zrozumienia, jakie PII obywatela UE - znamy prawo do PII - informacje umożliwiające identyfikację, zabezpieczenie społeczne, numer telefonu, adres, rzeczy, które mogą jednoznacznie zidentyfikować osobę lub dość dość jednoznacznie ją zidentyfikować. Co mają i jak z nich korzystają. Oznacza to zapasy. Oznacza to regulacje w obrębie własnych firm dotyczące tego rodzaju danych. Nawiasem mówiąc, USA nie mają żadnego krajowego prawa o ochronie danych. Stany Zjednoczone zawsze były - powiem z tyłu, aby spojrzeć z perspektywy - za Europą pod względem tego rodzaju regulacji i to trwa. Jest to kontynuacja RODO, co jest dość oczywiste. Niektórzy z was mogą wiedzieć o ochronie prywatności, być może zastanawiacie się nad tym. W RODO są około trzy lub cztery przepisy, które w jakikolwiek sposób pokrywają się z tarczą prywatności, ale istnieje sto przepisów w RODO, więc to znacznie więcej i oczywiście nadal obowiązuje i ma to związek z wymianą danych w USA i UE tylko, choć to ważne.
Znowu lubię zaczynać od liczb. Słyszałeś o grzywienach, a co z tym, jak się do tego przygotować. Budżetowanie RODO i wykonywanie niektórych z nich zależy od kilku czynników. Ilość danych osobowych, które gromadzisz na temat obywateli UE. Jeśli nie odbierzesz, OK, prawdopodobnie jesteś zgodny i nie musisz się z tym pogodzić, ale prawdopodobnie bierzesz udział w tej rozmowie, ponieważ gdzieś coś zbieracie. Wielkość Twojej firmy i dojrzałość zarządzania danymi, które, jak powiedziałem wcześniej, mogą zbliżać się do tego, co musisz zrobić, aby odpowiedzieć na RODO. W zależności od przypadku można oczekiwać do kilku milionów USD lub euro. Chcemy jednak, nie chcemy po prostu przestrzegać RODO, zaznaczyć to pole, oczywiście że musimy to zrobić. Mamy nadzieję, że nie jesteś w tak trudnej sytuacji, w której desperacko chcesz zaznaczyć to pole. Szukaj korzyści biznesowych, ponieważ wiele rzeczy, które robisz, aby wspierać RODO, są dobre dla Twojej firmy. Zarządzanie danymi jest dobre dla Twojej firmy. Jeśli chodzi o ilość danych osobowych, niektóre są ważniejsze niż inne, niektóre będą badane bardziej niż inne, takie jak zdrowie związane z danymi, będą podlegały znacznie surowszym przepisom RODO niż inne rodzaje danych i będą wymagać zgodności z dodatkowymi obowiązkami, takimi jak przeprowadzanie ocen wpływu na ochronę danych, co oczywiście zwiększa budżet.
Trochę o budżetowaniu. Jeśli jesteś w Wielkiej Brytanii lub USA i zastanawiasz się, jak to na ciebie wpłynie - RODO wpływa na Wielką Brytanię, która jest nadal w UE, do 29 marcath z 2019 r., a którego rząd wskazał, że coś w rodzaju RODO będzie kontynuowane po tej dacie, ponieważ „To dobry pomysł”. Firmy z Wielkiej Brytanii muszą się do tego zastosować. Dane obywateli Wielkiej Brytanii są z pewnością dostępne w tym celu. Jeśli nie jest to jasne, istnieją firmy z siedzibą w USA, jeśli prowadzisz transakcje w UE, korzystając z danych obywateli UE, z pewnością dotyczy to Ciebie. Ma to konsekwencje dla architektury danych, ponieważ może się okazać, że będziesz musiał oddzielić swoje dane UE od wszystkiego i traktować je inaczej. Wpływa na analitykę, jak mówił Eric, w sposobie kompilowania tych analityki i tak dalej. Może być teraz trudniej uruchomić wszelkiego rodzaju analizy obejmujące całą koncepcję i analizę globalną. Mogą być bardziej zlokalizowane w wyniku RODO.
Co jest w przepisach? Istnieją standardy ochrony danych. Wszystko to z reguły narzuca szyfrowanie danych w spoczynku i ruchu. Następnie omówię szyfrowanie. Istnieją standardy powiadamiania o naruszeniu danych. Koniec z czekaniem od miesięcy, czekaniem na kwatery, aby wszyscy się dowiedzieli. Wydaje mi się, że któregoś dnia był duży i dowiedzieliśmy się: „Och, to się wydarzyło rok temu”. Nic z tego z RODO - masz 72 godziny. Jest to polityka dotycząca imienia i wstydu. Mam nadzieję, że nikt do tego nie dojdzie, najwyraźniej niektórzy to zrobią. Naruszenie będzie trwać, nawet po RODO, oczywiście. Istnieją procesy monitorowania lokalizacji i jakości danych. Brzmi znajomo? To naprawdę sedno zarządzania danymi. Mam nadzieję, że niektóre z nich idą.
Jak wspomniał Eric, obywatele UE mają prawo do bycia zapomnianym. Jest w tym kilka zasad rozsądności, Eric. Nie musisz wymazywać wszystkiego koniecznie, jeśli będziesz musiał ponownie skontaktować się z tym klientem, tym pracownikiem, możesz zachować pewne aspekty ich danych osobowych. Niemniej jednak ci obywatele mają prawo do bycia zapomnianym, ale nie może być nieproporcjonalnego wysiłku - takiego języka - wobec ciebie lub szkody dla firmy, która polega na tym, że wymazujesz te dane. Nie chcę tego lekceważyć, ale musisz także udostępnić kopie przechowywanych danych osobowych i możesz uzyskać te dane tylko za zgodą. Zgoda musi być udzielona przez osoby w wieku minimalnym, aby udzielić takiej zgody. To kęs, ale daje obywatelom wiele praw do ich danych. To jest przenośność właśnie tam, na wypadek, gdyby kiedykolwiek się pojawiła. Prawo do bycia zapomnianym, oczywiście, ale także - i coś, co nie jest na moim slajdzie, co jest dość ważne - to, że osoba, której dane dotyczą, ma prawo nie podlegać decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu. Do czego ciężko zmierzamy? Zautomatyzowane przetwarzanie, akceptacja pożyczek, jakie oferty będziemy oferować, wszystko to musi zostać opracowane pod kątem tego, jak to się potoczy i jak daleko to zajdzie. To w gruncie rzeczy mówi o przejrzystości, dlaczego zostałem odrzucony, dlaczego ta firma traktuje mnie w określony sposób. Jest to obecnie przyznane obywatelowi UE.
Oczywiście istnieją pewne konsekwencje, w jaki sposób prowadzimy działalność i mam nadzieję, że widzisz, że RODO nie jest problemem informatycznym, a nie tylko informatycznym. Zaangażowane są wszystkie te procesy biznesowe. Będzie angażować ludzi z całej firmy. Wyznaczenie inspektora ochrony danych jest zalecane dla firm zatrudniających ponad 250 pracowników i posiadających „krytyczną matematykę z danymi UE PII”. Możesz sam zdecydować, czy masz tę krytyczną matematykę, czasem jest to oczywiste, a czasem nie. Ale jest nowa rola - nie musi to być pełnoetatowa rola, osoba może mieć inne obowiązki, ale nie wiem - w niektórych średnich i większych korporacjach, myślę, że przestrzeganie RODO będzie być blisko pełnoetatowej roli. Powiedziałbym: zacznij w ten sposób i sprawdź, czy dasz radę. Zwłaszcza w ciągu następnego roku, kiedy zbierzesz swoje działania wokół RODO, kiedy już się to ułoży, być może możesz spowolnić prace nad tym, ale zajmie to niektórym firmom sporo czasu. Pozwól osobom zobaczyć ich własne dane i przenośność danych, jak już wspomniałem.
Nawiasem mówiąc, nie jest to całkiem nowe, ale prawo do bycia zapomnianym faktycznie istnieje, wierzcie lub nie. Obecne przepisy UE przewidują już prawo do usunięcia lub udostępnienia danych osobowych. Jednak teraz jest to część RODO i będzie egzekwowane znacznie szerzej. Szyfrowanie danych - szyfruj dane w spoczynku. Używaj standardowych metod szyfrowania, nie używaj własnego, niestandardowego lub niestandardowego szyfrowania. AES to taki, który bardzo polecamy. Użyj kryptograficznie bezpiecznych kluczy szyfrowania. Okresowo zmieniaj te klucze. Zapobiegaj także utracie tych kluczy. Są to tylko dobre praktyki szyfrowania, ale teraz wychodzą one na pierwszy plan dzięki RODO. Na tym polega problem - trafiłem tylko na szczyt góry lodowej. Oczywiście jest więcej przepisów, które należy sprawdzić, ale te są najważniejsze.
Teraz rozwiązanie. Zarządzanie danymi, ramy zgodności, a przynajmniej taką perspektywę przedstawiam tutaj. Na szczęście istnieje aktywna, dobrze rozwinięta dyscyplina, która, gdy jest dojrzała, może spełnić większość wymagań, a to zarządzanie danymi - oczywiście to mówię. Programy zarządzania powinny mieć słownik danych, a tutaj używam glosariusza danych w sensie ogólnym, aby oznaczać dokumentację dla wszystkich procesów. Jest to fundamentalne, aby zaspokoić potrzeby RODO dotyczące zasobów, które, jak widzieliśmy, są dość ogromne. Program, program zarządzania, powinien ułatwiać protokoły bezpieczeństwa danych - i podkreślam, że ponieważ nie jest to coś, co robi obecnie wiele programów do zarządzania danymi, ale myślę, że jest to logiczne miejsce, aby to zrobić, ponieważ są siedzisz przy programie, który określa, kim są właściciele firm? Kto musi to zobaczyć? Następnym krokiem jest przyznanie tych uprawnień. To musi być scentralizowane, które musi zostać sformalizowane. Muszą być stosowane wewnętrzne zasady. Zarządzanie należy przypisać do wszystkich elementów, aby zapewnić wkład we wszystkie powyższe elementy. Zarządzanie danymi może być również czynnikiem ułatwiającym inżynierię procesów biznesowych, która będzie wymagana.
Zanim opuszczę ten slajd, dążąc do uniknięcia wysokich kar, firmy będą stosować solidne praktyki biznesowe jako produkt uboczny. Lubię powiedzieć, że to coś więcej niż produkt uboczny, ale w rzeczywistości jest to po prostu dobry, solidny biznes, który może prowadzić cię w nowe miejsca z perspektywy biznesowej. Z pewnością zyskasz dużą skuteczność we wszystkich inicjatywach, jeśli masz solidne zarządzanie danymi, właśnie to widziałem przez lata. Dodając niektóre z tych rzeczy, o których mówię, do zarządzania danymi, będą one tylko lepsze. W inżynierii procesów biznesowych zalecamy zadawanie tych pytań we wszystkich kierunkach, trafianie w każdy obszar działalności. Jakie dane gromadzimy na temat naszych klientów w UE? Nie przeczytam ich wszystkich. Niektóre z kluczowych tutaj. Kto musi zobaczyć te dane i czy jest to przestrzegane? Kto jest zarządcą danych dla tych danych? Kto jest moją osobą w branży? To jest duże: czy udostępniamy te dane stronom trzecim? Tylko dlatego, że przekazujesz je stronom trzecim, nie usprawiedliwiasz swojej odpowiedzialności za te dane - to nadal twoje dane, to nadal dane, które zebrałeś. Wiele umów z podmiotami zewnętrznymi jest obecnie dokładnie sprawdzanych w wyniku RODO. Czy te systemy mają deterministyczne awarie? Oznacza to, że kiedy zawodzą, wpadają na ścieżkę, którą wcześniej ustaliliśmy, czy też po prostu zawiodły, rozbiły się, spłonęły i zaczynamy od zera zagłębiać się w to? Będzie oczywiście o wiele lepiej. Jest to już dobra praktyka, ale oczywiście dużo lepsza do inżynierii wstecznej niektórych z tych rzeczy, jeśli masz duże deterministyczne awarie w swoim systemie.
Zatrzymywanie danych, mówiliśmy o zatrzymywaniu danych na zawsze. Wiele firm ma zasady, ale nie wszystkie je przestrzegają. Oczywiście, znani z opieki zdrowotnej i finansowej, chcemy przechowywać dane, musimy przechowywać dane przez pewną liczbę lat. Niektórzy analitycy w tych firmach, którzy przechowują dane przez siedem lat lub tak dalej, mówią: „Och, po tym okresie nadal chcę tych danych”. Niektórzy prawnicy w tych firmach mówią: „Ale musimy się ich pozbyć do celów odpowiedzialności ”i tak dalej. Nie może to po prostu po prostu tam pozostać, jako problem w kłótniach z RODO. Musimy mieć okres przechowywania, aby konsekwentnie go przestrzegać w całej organizacji.
I wreszcie, w jaki sposób mobilizujesz się do naruszenia danych? Te najgorsze scenariusze, które mogą Ci się przydarzyć. Oczywiście staramy się im zapobiegać, ale co się stanie? Jak radzisz sobie z wojną i upewniasz się, że postępujesz zgodnie z przepisami RODO w swojej odpowiedzi? Jestem architektem danych, myślę o architekturze danych. Jeśli jesteś firmą z siedzibą w USA, która prowadzi działalność w UE, co oznacza dane obywateli UE - gromadzisz je, musisz rozważyć, czy zastosować standardy ochrony danych do wszystkich danych, czy tylko danych UE. Tak, mam klientów, którzy teraz podejmują tę decyzję. Jako dobrą praktykę biznesową mogą chcieć przenieść to do Stanów Zjednoczonych, ale mogą czuć, że mają czas, ale to wywołuje punkt drugi. Być może będziesz musiał oddzielić dane UE od systemów amerykańskich, jeśli nie możesz zagwarantować, że systemy amerykańskie odpowiednio przetwarzają dane. Czy to oddziela dane do celów analitycznych? Czy dane analityczne są nawet ważne, jeśli próbujesz je wykonywać w całym kraju? Czasami tak, czasami nie, prawda? Może się okazać, że Twoje dane analityczne zostaną wyciszone.
Jak wspomniałem wcześniej, w grę wchodzi sztuczna inteligencja, ponieważ oczywiście możemy użyć sztucznej inteligencji, aby znaleźć wszystkie dane, pomóc nam znaleźć wszystkie dane, ale jeśli używamy sztucznej inteligencji w interfejsach naszych klientów, musimy mieć teraz przejrzystość z naszym klientem interfejsy i to nigdy nie było mocną stroną AI. Aby spróbować powiedzieć klientowi: „Zostałeś odrzucony, ponieważ bla, bla, bla”, kiedy tak naprawdę była to sztuczna inteligencja. To teraz trzeba zrobić. Musimy dowiedzieć się, jak działa AI, jakie są czynniki? Nie możesz już tak po prostu siedzieć i być dla ciebie czarną skrzynką. Co teraz zrobimy? Ustanów swoją radę RODO. Sugeruję, aby mieć tam swojego starszego inspektora ochrony prywatności lub jeśli masz inspektora ochrony danych, oczywiście ta osoba. Kierownicy ds. Zarządzania danymi, ryzyka operacyjnego i / lub zgodności, w stosownym przypadku, szef IT, CIO, jeśli to osoba. Jeśli masz zmienioną osobę zarządzającą, byłaby to świetna osoba. Tylko szefowie niektórych najważniejszych działów w Twojej firmie, a także szef działu HR, ponieważ szkolenie w zakresie prywatności będzie teraz ogromne. Każdy przejdzie szkolenie z zakresu prywatności lub powinien przejść szkolenie z zakresu prywatności po wejściu do firmy, nawet konsultanci.
Jeśli nie robisz tych rzeczy, które tu widzisz, będziesz musiał poruszać się szybciej, niż chcesz dotrzymać terminu. Musisz także zacząć mieć nadzieję, że nie jesteś jednym z pierwszych, którzy zostaną poddani audytowi, ponieważ, szczerze mówiąc, jest tu dużo pracy, jeśli zaczynasz od zera i masz do czynienia z dużą ilością danych obywateli UE. Zatrudnij DPO, zinwentaryzuj swoje dane i procesy. Zbuduj ten plan zarządzania danymi, zabierz go tam, gdzie jest, tam, gdzie powinien. W zależności od przypadku możesz go uruchomić. Stwórz swoją politykę prywatności i uwagi dotyczące polityki. Polityka prywatności jest wewnętrzna. Informacje o polityce mają charakter zewnętrzny. Widzimy kulturę, która zaczyna się teraz tworzyć wokół powiadomień politycznych. Przeprowadzono wiele porównań i wykonano wiele starannych sformułowań wokół tych informacji o polityce. Czarteruj kontrolę zgodności RODO dla wszystkich systemów, w tym nowych. Być może będziesz musiał je uporządkować i wykonać je w kolejności ważności, ale jest to inny sposób rozwiązania problemu. Spójrz na systemy i to, co powinny robić i jak przetwarzają te dane.
Co sygnalizuje RODO? O tym tutaj jesteśmy, aby porozmawiać trochę więcej. Nie mogę się doczekać, co Kim powie na ten temat. RODO to przesunięcie kontroli prywatności danych w kierunku regulacji. Jest to trend w kierunku przejrzystości, mówi tak wprost w przepisach. Tak jak mówiłem, tworzymy tę kulturę powiadomień o prywatności. Zobaczymy konferencje na temat powiadomień o prywatności i tak dalej. Przesunięcie RODO dotyczy podstawowych praw człowieka. Zostaną wypracowane pytania otwarte. Są wyraźnie otwarte pytania, zostawiłem tutaj kilka na stole. Nikt nie ma odpowiedzi. Zostaną wypracowane. Trend w kierunku lepszego zrozumienia przez osoby prywatne ich danych i sposobu ich wykorzystania. Myślę, że podniosło to świadomość ludności UE w zakresie znaczenia ich danych i postrzegania ich jako jednego z ich osobistych zasobów, że muszą zarządzać większą ilością. To niektóre z pierwszych sygnałów, które widziałem, a Eric, teraz ci je przekażę.
Eric Kavanagh: W porządku, pozwólcie, że przekażę klucze Kim, która może podzielić się niektórymi jej perspektywami, ale myślę, że to był dobry przegląd, Williamie, a ty trafiłeś w kluczowe punkty - a mianowicie, że zejście na dół szczupaka na pewno i mamy wszyscy bądźcie bardzo ostrożni, szczerze mówiąc. Dzięki temu przekażę klucze Kim, a ty możesz udostępnić swój ekran i zabrać go stamtąd.
Kim Brushaber: Hej, słyszysz mnie?
Eric Kavanagh: Słyszę Cię.
Kim Brushaber: Niesamowite. William opisał niektóre z tych samych rzeczy, które zamierzam opisać, ale myślę, że warto je omówić ponownie, ponieważ są naprawdę ważne. Myślę, że kiedy zostaną wprowadzone nowe regulacje, naprawdę dobrze jest spojrzeć na to z różnych punktów widzenia i interpretacji, aby coś pobudzało twój umysł i pozwalało ci być jeszcze bardziej zgodnym. Zachęcają mnie wszystkie osoby biorące udział w tej rozmowie, które chcą dowiedzieć się więcej, ponieważ myślę, że przybędą 25 majath, może być wiele paniki dla firm, które są ścigane, nie przestrzegając przepisów.
Nazywam się Kim Brushaber, jestem starszym menedżerem produktu w IDERA. Mam pod sobą kilka produktów, które pomagają w przestrzeganiu RODO, a także innych przepisów. Wskoczę do niektórych informacji. Zacznę od kilku faktów i liczb, a następnie omówię RODO, a następnie szczegółowo, w jaki sposób nasze narzędzia mogą ci pomóc. Jednym faktem jest to, że ponad 5 milionów rekordów danych jest codziennie gubionych lub kradzionych. Nie słyszymy o tym w wiadomościach, nie słyszymy o tym z innych miejsc, ale istnieje ponad 5 milionów rekordów danych, które są cały czas kradzione, wprost spod nas. Mediana liczby dni, w ciągu których osoby atakujące pozostają w stanie uśpienia, wynosi 200 dni. Wiele systemów jest już infiltrowanych przez osoby, które - ze złośliwymi intencjami - tylko czekają na możliwość wykorzystania twoich informacji, głównie w zakresie bezpieczeństwa i certyfikatów, ale tylko czekają na swoją chwilę. Dlatego zarządzanie bezpieczeństwem danych staje się coraz ważniejsze. Przewiduje się, że średni koszt naruszenia pojedynczych danych w 2020 r. Przekroczy 150 mln USD, ponieważ więcej infrastruktury biznesowej łączy się z zasobami internetowymi, a więcej chmur rośnie. To dobry numer budżetu, jeśli naprawdę martwisz się o bezpieczeństwo danych, aby przekazać swojemu zespołowi zarządzającemu, powiedzieć im, że jest to poważna sprawa i może kosztować nas dużo pieniędzy w przyszłości.
Zamierzam krótko omówić naruszenie danych Equifax, ponieważ uważam, że było to największe naruszenie danych w 2017 r., Aby w pewnym sensie zobrazować, jak to jest przez to przejść. Naruszenie dotknęło 145,5 miliona klientów. Pracownicy potwierdzili problem bezpieczeństwa w aplikacji internetowej na dwa miesiące przed wystąpieniem naruszenia. Pracownicy mówili: „To jest problem”. A nawet nieco wcześniej było to, kiedy łatka faktycznie wyszła. Odpowiedź na atak i przejście do trybu offline zajęło cały dzień. Ponieważ Equifax nie miał zdefiniowanego protokołu bezpieczeństwa danych, zajęło im sporo czasu, aby nawet dowiedzieć się, co się dzieje, a następnie móc przełączyć system w tryb offline. Sześć tygodni po naruszeniu opinia publiczna została zaalarmowana. W przypadku RODO - jak powiedzieliśmy powyżej i powiem to jeszcze raz - musisz zgłosić się w ciągu 72 godzin, a Equifax miałby związane ręce i nie byłby w stanie spełnić tej zgodności, ponieważ czekali na to sześć tygodni. Komunikat dotyczący reakcji na naruszenie przepisów obejmował stronę internetową, która nawet nie była własnością Equifax. Equifax sami przesyłali dalej tweety, których nawet nie było w ich domenie - odwrócili niektóre słowa. Na szczęście nie była to złośliwa strona, która czerpała z tego korzyści, ale oczywiście nie byli przygotowani. Nie mieli planu, który stał się bardzo świadomy na arenie publicznej. Equifax nie jest sam - w 2017 r. Doszło do ponad 25 bardzo wysokich ataków na profile cybernetyczne, a jeszcze przed końcem roku mogliśmy znaleźć więcej. Firmy naprawdę muszą zacząć traktować to poważnie, ponieważ ludzie są na zewnątrz i jeśli dasz im powód, aby chcieć do ciebie przyjść, lepiej przygotuj się, aby sobie z tym poradzić.
Niektóre inne fakty i dane dotyczące tego, jak osoby patrzą na bezpieczeństwo danych. Do 2020 roku będzie 30 miliardów urządzeń podłączonych do Internetu za pośrednictwem naszych domów, za pośrednictwem naszych urządzeń do noszenia, przez nasze telefony, tablety i kto wie, co jeszcze może się wydarzyć w nadchodzących latach. Istnieje wiele urządzeń narażonych na te ataki. Czterdzieści dziewięć procent Amerykanów uważa, że ich dane osobowe są mniej bezpieczne niż pięć lat temu. Siedemdziesiąt trzy procent konsumentów w Ameryce chce, aby firmy były przejrzyste w zakresie swoich danych osobowych. Siedemdziesiąt osiem procent ludzi twierdzi, że zdaje sobie sprawę z ryzyka związanego z klikaniem nieznanych łączy i linków, ale mimo to klikają te linki - to ponad trzy czwarte naszej populacji i nadal klikają linki, mimo że wiem, że to może być problem. Osiemdziesiąt sześć procent internautów aktywnie próbuje zminimalizować, anonimizować i ukryć widoczność swoich cyfrowych stóp. Mój ojczym lubi wychodzić i tworzyć fałszywe nazwiska, gdy wypełnia formularze, ponieważ uważa, że to czyni go anonimowym, ale niewiele wie, że jego adres IP jest również śledzony. Istnieje wiele indywidualnych obaw i właśnie to powoduje wiele regulacji RODO i prawdopodobnie dodatkowe regulacje, które nadejdą.
Jeśli chodzi o fakty branży bezpieczeństwa danych, 90 procent rekordów dotyczących naruszenia danych w 2016 r. Pochodziło od rządu, handlu detalicznego i technologii. Czterdzieści trzy procent cyberataków zaatakowało małe firmy. Jeśli pomyślisz: „Och, nie jestem dużym facetem, nie pójdą za mną”, wciąż jest prawie połowa z nich, którzy szukają małych firm. Siedemdziesiąt pięć procent sektora opieki zdrowotnej zostało zainfekowanych złośliwym oprogramowaniem w ubiegłym roku. Siedemdziesiąt procent amerykańskich firm naftowych i gazowych zostało zhackowanych w ostatnim roku. Jest to znaczący wpływ na różne działające i działające gałęzie przemysłu, a liczba ta będzie rosła odtąd.
Gdy spojrzysz na to z perspektywy kadry kierowniczej, 90 procent CIO przyznaje się do marnowania milionów dolarów na nieodpowiednim cyberbezpieczeństwie. Dziewięćdziesiąt procent twierdzi również, że zostali zaatakowani lub oczekują, że zostaną zaatakowani przez facetów ukrywających się w szyfrowaniu. Osiemdziesiąt siedem procent uważa, że kontrole bezpieczeństwa nie chronią ich firmy. Osiemdziesiąt pięć procent CIO spodziewa się, że przestępcze niewłaściwe użycie ich kluczy i certyfikatów pogorszy się. Jest to ogromna liczba firm, które przyglądają się temu problemowi z bezpieczeństwem danych, a rzeczywistość jest taka, że wiele z nich nie ma bardzo dobrych rozwiązań, aby móc sobie z tym poradzić, nawet jeśli tak się stanie. to się stanie.
Gdy patrzymy na jego gotowość, w 2014 r. 70 procent milenialsów przyznało, że wprowadzili do swojego przedsiębiorstwa aplikacje zewnętrzne z naruszeniem zasad IT. Siedemdziesiąt procent przyznało się do tego - prawdopodobnie jest to nawet więcej niż to, co faktycznie zrobiło. 52% organizacji, które ucierpiały w wyniku udanych ataków cybernetycznych w 2016 r., Nie wprowadziły żadnych zmian w swoich zabezpieczeniach w 2017 r. Mimo że zostali raz zaatakowani, nadal nie poszli i nie wspięli się na ściany - są tak samo narażeni były przed atakiem. To naprawdę nasuwa pytanie: co firmy muszą zacząć robić, aby przygotować się na te rzeczy? Trzydzieści osiem procent globalnych organizacji twierdzi, że jest przygotowane na wyrafinowany cyberatak. To dobrze - jest ich prawie połowa i jestem z tego szczodry, tak naprawdę mamy tylko jedną trzecią, ale wciąż jest co najmniej połowa, która mówi: „Nie jestem gotowa. Jeśli zostanę zaatakowany, nie jestem gotowy, a hakerzy to wiedzą. ”Trzydzieści osiem procent organizacji ma plan reagowania na incydenty cybernetyczne. Większość firm jest w tej samej grupie co Equifax, gdzie nie wiedzą, co zamierzają zrobić. Jeśli to dostaną, będą musieli zareagować i wymyślić te rzeczy w locie, a przepisy takie jak RODO mówią: „Musisz je mieć. Musisz je opublikować. Musisz to udowodnić audytorom bezpieczeństwa. ”Mam nadzieję, że przy takich skutkach, przy takich regulacjach będziemy w stanie wyprzedzić tę krzywdę i zamiast być reakcyjni, możemy być proaktywni w naszych dążeniach.
Porozmawiajmy trochę o RODO. Część tego Williama już omówiła, ale zamierzam zacząć od nowa i opisać to tylko z mojego zdania, z mojego głosu, z mojej perspektywy. Wiele firm, z którymi rozmawiam, na przykład: „Jestem w USA, dlaczego miałbym w ogóle obchodzić to rozporządzenie UE?” Fakt, że coraz więcej ludzi nie brzęczy, a więcej ludzi nie mówi myślą, że dotyczy to tylko członków UE, ale zapytam cię, jeśli spojrzysz na tę listę, czy zbierasz jakieś dane od członków UE? Jeśli zbierzesz którąkolwiek z tych informacji, podlegasz ograniczeniom RODO, a także karom za nieprzestrzeganie. Dam ci sekundę, żebyś to pochłonął i zrozumiał. Jak wspomniał wcześniej William, są to kary i sankcje, o których mowa w art. 83 RODO. Na początku możesz dostać klapsa w rękę, trochę ostrzeżenia, mówiąc: „Hej, zbierz swój akt. Umieść to na swoim miejscu ”. Ale jeśli masz naprawdę duże naruszenie - i w zależności od tego, jak duża jest to umowa - wrócą do ciebie w celu zwrotu pieniędzy, a to znaczna liczba. Nie 10 milionów, ale 20 milionów euro lub 4 procent twoich obrotów / przychodów z poprzedniego roku. To dużo pieniędzy. To jest duży budżet, który należy przeznaczyć na zespoły wykonawcze i powiedzieć: „Jest to coś, co musimy zacząć poważnie traktować i musimy podjąć działania”.
Pozwólcie, że omówię trochę zasady RODO przedstawione w art. 5. Jedną z rzeczy, które mówią, jest to, że dane osobowe powinny być przetwarzane zgodnie z prawem, uczciwie i w przejrzysty sposób. Oznacza to, że społeczeństwo chce wiedzieć, co robisz z ich danymi. Zachowaj przejrzystość, a to musi zostać opublikowane. Większość ludzi nie czyta warunków, ale są to nowe informacje, które musisz umieć przekazać, abyś mógł powiedzieć im: „Twoje dane są odpowiednio przetwarzane”. Dane osobowe powinny być gromadzone dla określonych, wyraźne i uzasadnione cele. Oznacza to, że mamy nadzieję, że możemy pozbyć się tego spamu, ponieważ firmy twierdzą, że zbierają informacje do quizu, który mówi, jak interesujący możesz być, aw rzeczywistości biorą twoje dane i sprzedają je komuś innemu , aby móc używać do jakichkolwiek celów. Firmy muszą teraz być o wiele bardziej odpowiedzialne i powiedzieć dokładnie, do czego używają twoich informacji. Mówią również, że dane osobowe muszą być odpowiednie, odpowiednie i ograniczone do tego, co jest konieczne. Wiele firm lubi pobierać wszystkie informacje i umieszczać je w puli dużych zbiorów danych, a następnie zastanawia się, co chcą zrobić z tymi informacjami później i zbierają znacznie więcej, niż to konieczne. Oznacza to, że nie możesz go odebrać i użyć go w innym miejscu. Nie możesz po prostu zebrać wszystkiego i mieć nadzieję, że później okaże się przydatny. Musisz dokładnie określić, dlaczego gromadzisz informacje, i muszą one być odpowiednie dla zbieranych danych.
Dane osobowe również muszą być dokładne i aktualne. Musisz dać użytkownikom możliwość aktualizacji swoich danych, gdy już je zgromadzisz; muszą być w stanie wrócić i powiedzieć: „Wiesz, miałem taką opinię w pewnej ankiecie, w której poprosiłeś mnie o dane osobowe, i chcę wrócić i chcę to zmienić i zaktualizować teraz”. aby dać im sposób, aby mogli to zrobić. Dane osobowe należy przechowywać w formie umożliwiającej identyfikację osób, których dane dotyczą, nie dłużej niż jest to konieczne. Wracając do punktu Williama, że nie możesz zbierać tych informacji na zawsze - musisz wymyślić, co uważasz za ważne i konieczne, a następnie musisz wyczyścić dane. Musi być również przetwarzany w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed nieuprawnionym lub niezgodnym z prawem przetwarzaniem, przypadkową utratą, zniszczeniem lub uszkodzeniem.
Jak powiedziałem wcześniej, nadszedł czas, aby zająć się tym naprawdę poważnie, powstrzymując te naruszenia danych, ponieważ nie tylko możesz ponieść szkodę, która dotrze do Twojej firmy w postaci naruszenia danych, a także utraty przychodów i kosztów wspierania procesów. , ale możesz też mieć nałożony na ciebie stos grzywien z RODO. Nadszedł czas, aby naprawdę poważnie to potraktować i myślę, że wraz z wejściem w życie RODO firmy staną w obliczu trudnej rzeczywistości i na szczęście ci, którzy są dziś na telefon, mogą zacząć o tym myśleć i wiedzieć jak zamierzasz wprowadzić te rzeczy w życie.
RODO mówi też wiele o prawach osób; naprawdę zwraca uwagę na poszczególnych użytkowników. Pierwszą rzeczą jest prawo dostępu do twoich danych osobowych. Użytkownicy muszą wiedzieć, jakie informacje na nich zgromadziłeś, w zakresie danych osobowych, i musisz dać im dostęp do nich. Istnieje również prawo do sprostowania, co jest fantazyjnym sposobem powiedzenia: „Muszę być w stanie skorygować informacje, które o mnie masz”. Prawo do usunięcia - które znowu wiele osób uważa za prawo do zapomnij - jeśli ktoś powie: „Wiesz co, nie chcę już, żebyś wiedział, że jestem super zabawnym kolekcjonerem komiksów, musisz się tego pozbyć. Mam przyjaciół, którzy droczą się z tego powodu i całkowicie usuwają mnie z twojej listy ”, musisz być w stanie to zrobić. Istnieje również prawo do ograniczenia przetwarzania, a to oznacza, że użytkownicy mogą ograniczyć sposób przetwarzania swoich informacji. Mogą powiedzieć: „Nie przeszkadza mi, że bierzesz moje informacje, ponieważ kupuję nowy samochód, ale nie używaj tych informacji do mnie i wysyłaj spam na nowe oferty za każdym razem, gdy wypuszczane są nowe samochody”. prawo do przenoszenia danych, co oznacza, że użytkownicy powinni mieć możliwość uzyskania kopii swoich danych i zabrania ich gdzie indziej. Wiele organizacji zbiera informacje, które mają współczynnik lepkości, a teraz osoby mogą powiedzieć: „Wiesz co, chcę, abyś wziął wszystkie moje informacje, a teraz chcę, abyś przekazał je swojemu konkurentowi, abym mógł je przenieść koniec."
Jest wiele rzeczy do przemyślenia z perspektywy organizacji na temat tego, w jaki sposób będziesz w stanie to zrobić i jakie informacje chcesz gromadzić. Istnieje również prawo do sprzeciwu, a użytkownicy mogą również sprzeciwić się przetwarzaniu ich danych. Prawo do niepodlegania decyzji opartej wyłącznie na automatycznym przetwarzaniu lub profilowaniu. Ma to znaczący wpływ na marketing B2B - jeśli tam siedzisz i próbujesz przetestować A / B i próbujesz zidentyfikować, czy Kolorado będzie bardziej pod wpływem Kalifornii, właśnie profilowanie, patrząc na jeden stan przeciw drugiemu i musisz spojrzeć na to, jak osoba powinna móc zrezygnować z tego.
Biorąc pod uwagę, że mamy do czynienia z przerażającymi rzeczami, które zbliżają się do naruszenia danych, i tym, jak ludzie patrzą na ich dane, i mamy tę ogromną regulację, która jest rzucana na nasze ramiona, teraz jestem tutaj, aby ci dać rozwiązanie, w jaki sposób IDERA może pomóc. Artykuł 15 mówi o tym, jak kontrolować narażenie na dane osobowe. Musisz wiedzieć, kto ma dostęp do twoich danych. Jak tego używają. Ile danych jest przetwarzanych, a Menedżer zgodności produktów SQL, dla którego jestem menedżerem produktu, pozwala zobaczyć, kto i jak uzyskuje dostęp do twoich danych. Menedżer zgodności z SQL jest przeznaczony dla rozwiązań SQL Server. Jeśli masz bazę danych SQL Server, możesz podłączyć ten produkt, aby móc kontrolować i przeglądać te informacje, aby zachować zgodność z RODO i dokładnie wiedzieć, w jaki sposób jest używany. Możesz również zobaczyć naruszenia danych, zanim one wystąpią, a ja powiem o tym na innym slajdzie. Jest też artykuł zatytułowany „Potrzebuję zapisu czynności przetwarzania. Muszę się zalogować, muszę monitorować operacje i muszę wiedzieć, kto przetwarza dane osobowe, a kto ma dostęp do tych systemów. ”SQL Compliance Manager utrzymuje audyt serwerów i baz danych, w tym bezpieczeństwa, DDL, DML, a także definiuje wrażliwe dane . SQL Compliance Manager pozwala kontrolować dostęp bezpieczeństwa i rejestrować próbę, dzięki czemu można zobaczyć, kto uzyskuje dostęp do informacji, a także kto się loguje, czy jest to użytkownik uprzywilejowany, czy jest to znany użytkownik, czy też może być złośliwym użytkownikiem.
Artykuł 33 mówi o powiadomieniu o naruszeniu danych osobowych organowi nadzorczemu. Musisz być w stanie wykryć te naruszenia; musisz mieć dokumentację, aby móc ocenić wpływ; musisz wiedzieć, jak szybko zamierzasz to naprawić. Aby to zrobić, SQL Compliance Manger pozwala ustawić alarmy w twoich bazach danych, aby były widoczne dla tego, kto ma dostęp do twoich wrażliwych danych, kiedy uzyskiwał do nich dostęp, co uzyskiwał. Pozwala również wykluczyć z audytu swoich normalnych uprzywilejowanych użytkowników. Jeśli masz administratora systemów lub administratora sieci, o których wiesz, że będzie miał do niego dostęp, i nie chcesz zapychać raportów, możesz je wykluczyć i powiedzieć: „Daj mi wszystko, co dzieje się poza tymi informacjami”. możesz szybko stwierdzić, czy ktoś nieuczciwie uzyskuje dostęp do twoich danych, i możesz mieć alerty, które informują o momencie, w którym to się dzieje, a następnie o momencie uzyskania dostępu do informacji, aby móc je złamać, dzięki czemu możesz nie musisz czekać cały dzień, aby dowiedzieć się, co się dzieje, podobnie jak Equifax.
Jest też artykuł, który mówi o ochronie danych i ocenie skutków. Obejmuje to ocenę ryzyka i zrozumienie, jakie są, a także wykazanie i udokumentowanie zgodności z RODO. Menedżer zgodności SQL umożliwia raportowanie monitorowanych elementów. Krótko mówiąc, inspekcja danych za pomocą SQL Compliance Manager, SQL Compliance Manager pozwala wykryć nieudane logowanie - co jest potencjalnym znakiem naruszenia - monitorować działania administracyjne i zmiany bezpieczeństwa, ostrzegać o modyfikacjach bazy danych, audyt kolumny, które definiujesz jako informacje wrażliwe, identyfikują uprzywilejowanych użytkowników i śledzą ich aktywność oddzielnie od innych użytkowników w systemie, zgłaszają, że informacje są kontrolowane zgodnie z kilkoma wytycznymi regulacyjnymi. Nie tylko pokrywamy RODO, ale także HIPAA, PCI, FERPA, SOX, wszystkie wytyczne regulacyjne, jeśli chodzi o kontrolę twoich informacji i zrozumienie, do czego dostęp jest uzyskiwany, mamy te wytyczne regulacyjne.
W IDERA mamy również dodatkowe produkty do przygotowania RODO. Oprócz kontroli wykonywanej przez SQL Compliance Manager, mamy ER / Studio Enterprise Team Edition, która może pomóc w udokumentowaniu procesów przetwarzania danych i włączeniu standardów danych do modelu danych, możesz także tworzyć glosariusze danych, o których William mówił w poprzednim slajdzie . Jak już wspomniałem w tej prezentacji, SQL Compliance Manager może pomóc w kontroli twoich informacji, aby upewnić się, że niewłaściwe osoby nie mają dostępu do twoich danych, a także udowodnić to audytorom. SQL Safe Backup może pomóc w szyfrowaniu danych i kopii zapasowych. Szyfrowanie jest istotną częścią RODO, której nie szczegółowo opisałem, ponieważ chciałem skoncentrować się na zasobach Compliance Managera, ale SQL Safe Backup wykonuje za Ciebie dużo szyfrowania, aby Twoje dane pozostały bezpieczne. SQL Inventory Manager może zapewnić, że serwery są załatane i aktualne, więc nie trafisz do przypadku takiego jak Equifax, gdzie mieli nieaktualną łatkę, która dała im dużą lukę bezpieczeństwa, którą ludzie mogli używać złośliwie. SQL Secure może kontrolować prywatność i standardy szyfrowania.
Aby uzyskać więcej informacji na stronie społeczności IDERA, na naszym blogu zamieściłem również Przygotowanie do RODO, a także Patrząc w kierunku 2018 r. I Zrozumienie, jaki wpływ będzie miał RODO, a tam też na pewno możesz pobrać wersję próbną SQL Compliance Manager w IDERA, a także w innych produktach, o których wspomniałem wcześniej w slajdzie.
W tym momencie zamierzam przekazać prezentację Ericowi, abyśmy mogli zadać kilka pytań.
Eric Kavanagh: Ok dobrze. Dotknąłeś tam wielu naprawdę interesujących rzeczy, Kim, z których jedna - myślę, że jest to dość proste, ale całkiem sprytne - mówiłeś o wykrywaniu nieudanych logowań. Wydaje mi się, że to całkiem niezły znak, że ktoś nie ma nic dobrego, prawda?
Kim Brushaber: Absolutnie. Jeśli zobaczysz kogoś, kto próbuje uzyskać dostęp do Twojego hasła i złamać je, jest to bardzo szybki sposób na stwierdzenie, że ktoś nie robi tego, co powinien. Być może kilka razy niepoprawnie wpisałeś hasło, ale jeśli zobaczysz 30 z nich, to zły znak.
Eric Kavanagh: Tak. Kluczem tutaj jest ustawienie alertów z odpowiednim oszustwem. Co jeszcze możesz nam powiedzieć o tym, jak zarządzać procesem ustawiania alertów i dezaktywowania tych, które nie robią tego, co powinny, i jak wiele z tych rzeczy można zautomatyzować?
Kim Brushaber: Menedżer zgodności ma wiele konfigurowalnych alertów, a także raportów, które można przejrzeć. Sprawdzamy twoje ślady SQL i mamy to automatyczne śledzenie i mamy wiele z nich, które są już wstępnie skonfigurowane i wstępnie zdefiniowane, ale z pewnością można również dostosować znaczną część dostosowania.
Eric Kavanagh: William, wciągnę cię w to - wydaje mi się, że jest to jeden z obszarów, w którym zamierzamy wprowadzić uczenie maszynowe w ciągu najbliższych dwóch do dziesięciu lat, rozważa różne możliwości. Patrząc na różne sposoby, w jakie system może zoptymalizować swoją wydajność, jest skuteczny w przypadku problemów takich jak naruszenia i tak dalej. Czy to również twoje zdanie?
William McKnight: Tak oczywiście. Myślę, że teraz budujemy systemy, które same się naprawiają. Monitorowanie 24 na 7 zaczyna się wymykać i odchodzi w przeszłość, chociaż wciąż potrzebujemy tego rodzaju przestojów. Myślę, że systemy są w dużej mierze wbudowane i zastanawiają się, co jest nie tak. Czy musimy przydzielić więcej miejsca tutaj, czy co masz? Tak, myślę, że to zdecydowanie część naszej przyszłości. Wszystko, co można przypisać do niektórych działań, które należy podjąć w odpowiedzi na coś, jest zdecydowanie podatne na sztuczną inteligencję.
Eric Kavanagh: Trafne spostrzeżenie. Zadam ci jeszcze jedno pytanie, William, ponieważ wiem, że prowadzisz wiele badań w tej przestrzeni. Jedną z rzeczy, na które czekałem już od dłuższego czasu i nie sądzę, że jeszcze tam jesteśmy - myślę, że zbliżamy się, tylko z tego, co czytałem i myślę o tym - to: dzień, w którym pojawi się technologia pochłaniania problemów regulacyjnych, faktycznego brzmienia tych rzeczy i mapowania ich na funkcjonalność i oprogramowanie. Tak jak mówię, wciąż mamy na to sposób - nie wyobrażam sobie, żeby nikt nad tym nie pracował. Czy natknąłeś się na coś takiego, czy też wciąż jesteśmy w miejscu, w którym ludzie muszą przyjrzeć się regułom, naprawdę spróbować je zrozumieć, skodyfikować w zasadzie w kodzie maszynowym, a następnie dokręcić je do różnych zastosowań?
William McKnight: Cóż, z pewnością rozumiem pomysł, który tutaj udostępniasz. Nie jestem zaznajomiony z niczym, co ma się ku wdrożeniu w środowisku, które jest z tym związane. Powiem jednak ogólnie: oczywiście zaczynamy mówić maszynom, że nie mają co robić, ale jaki jest cel tego, co chcemy robić, a maszyny są coraz mądrzejsze w ustalaniu szczegółów. Myślę, że kiedy uzyskamy więcej sztucznej inteligencji w naszych organizacjach, jest całkiem możliwe, że nowe przepisy mogą zostać opracowane w porozumieniu z AI, które są wdrażane w organizacjach, tak aby mogły one zostać wdrożone w sposób opisany w przyszłości. Na razie nie działamy z tym.
Eric Kavanagh: Oto pytanie, które ci przekażę, Kim, bo to też jest trochę interesujące. Mówisz o średnim opóźnieniu lub czasie, gdy ktoś, kto loguje się do twojego systemu, ukrywa się i po prostu czeka - liczbę dni, w których osoba atakująca pozostawała w stanie uśpienia w sieci - wykrywanie wynosi 200. Ciekawe, jakie są twoje przemyślenia na temat tego, jak poprawić że po pierwsze? Ale czy istnieje sposób na użycie tego rodzaju reguły do eksploracji własnego systemu? Aby eksplorować własne dane, lepiej wykonywać zadania polegające na trzymaniu tego rodzaju ludzi z daleka?
Kim Brushaber: Tak, myślę, że oczywiście wczesne wykrycie jest kluczowe. Musisz dowiedzieć się, że te złośliwe strony uzyskują dostęp do twoich informacji i być w stanie je zablokować. Myślę, że na innych slajdach, gdzie pokazujemy, że większość organizacji nie ma takich zasad. Dlatego tam siedzą. Sądzę, że jeśli faktycznie masz politykę, aby przejść i zablokować dostęp i upewnić się, że odpowiednie osoby mają dostęp. Upewnij się, że regularnie obracasz klucze i aktualizujesz je. Upewnij się, że twoje hasła są regularnie aktualizowane i robią takie rzeczy, które wydają się dość proste. W tej chwili większość organizacji nawet tego nie robi, a rozpoczęcie wdrażania tych elementów pomoże ci wyjść poza to.
To oczywiście oznacza, że hakerzy będą bardziej podstępni, ale w tej chwili jest to łatwe, to jest tak: „Spojrzę na domy na ulicy, w których czuję, że chcę się włamać, czy będą miały alarm systemy? Czy mają mały znak alarmowy, a ten ma psy? Idę do takiego, który nie ma znaku alarmowego, nie ma psa i to jest dom, w którym zamierzam się włamać. ”Cóż, dowiedzą się, które firmy nie mają te łatki na miejscu i nie mają zabezpieczeń, nie aktualizują haseł i zamierzają tam spędzić wolny czas i użyć karty kredytowej na stacji benzynowej kilka razy, aby się upewnić nie zamknęliście go, a wtedy, gdy mogą mieć wpływ na wielką zmianę, zwykle jest to jakieś polityczne oświadczenie lub inaczej, kiedy widzicie, jak wyskakują z głowy. Po wprowadzeniu tych zasad myślę, że w tym momencie możesz podjąć pewne minimalne kroki, aby móc wyprzedzić tę grę.
Eric Kavanagh: To prawdopodobnie najlepsza rada i zawsze to słyszę, gdy rozmawiamy z ludźmi znajdującymi się w strefie bezpieczeństwa lub w przestrzeni regulacyjnej, że podstawy pokryją 80 procent twojego problemu i to jest wiele podstaw do omówienia - to dobra uwaga. Jeden z uczestników zapytał, czy ktoś mógłby rozszerzyć możliwości biznesowe, które można by wydobyć z wysiłków związanych z przestrzeganiem RODO, przypominam sobie Sarbanes-Oxley i chyba, William, przekażę ci to. Jako konsultant zawsze szukasz sposobów, aby pomóc swoim klientom poza zakresem określonego projektu - przynajmniej jeśli jesteś dobrym konsultantem, robisz to. Kiedy rozmawiasz z ludźmi na temat RODO, jakie dodatkowe korzyści możesz powiedzieć, że otrzymają, jeśli zaangażują się w jakiś projekt skoncentrowany na tym?
William McKnight: Przede wszystkim należy zauważyć, że ideą RODO nie są w pełni pełne prawa obywatela. Istnieje druga strona RODO, to znaczy poprawi to zaufanie obywateli do naszych firm i będzie zachęcić ich do prowadzenia większej działalności w firmach, które są zgodne. Istnieją dodatkowe korzyści z faktycznego wykonania RODO, teraz wewnętrznie programy zarządzania danymi, które wdrażamy, służą ułatwieniu wszelkiego rodzaju inicjatyw, które naprawdę są uruchamiane w organizacjach, a dziś, jak dotąd, zdecydowanie są podejmowane poza organizacjami. Niedawno planowałem wiele z nich na 2018 r., Mają wiele wspólnego z danymi, od 65 do 90 procent danych - kiedy mówisz o telematyce lub programie klienta 360 lub pulpit do monitorowania sprzedawców, w dużej mierze dotyczy danych. Wszystko, co lepiej zarządza tymi danymi, umieszcza je w lepszej architekturze, która wymienia osoby, które są osobami, które mogą odpowiedzieć na wszystkie pytania dotyczące tych danych, które tak naprawdę obchodzą, jak program zarządzania danymi. Wszystko, co daje nam słownik danych - jak Kim mówiła za pomocą swoich narzędzi - wszystko, co to robi, jest bardzo pomocne, aby uczynić te inicjatywy znacznie bardziej wydajnymi, zmniejszyć ryzyko, skrócić czas, zmniejszyć ich budżet i zdobyć nas do zwinnego czasu na wprowadzenie na rynek o wiele szybszych i dobrych rzeczy dla firmy podejmującej inicjatywy, którą są wszystkie firmy.
Eric Kavanagh: Uwielbiam tę koncepcję zaufania. Myślę, że zaufanie jest bardzo niedocenianą rzeczywistością w naszym świecie i, szczerze mówiąc, większość firm opiera się na zaufaniu - dzieje się tak, kiedy się do tego zabiera. Przekażę ci to tylko dla kilku końcowych komentarzy, Kim. Myślę, że jedną z kluczowych wartości dodanych tutaj jest poprawa zaufania i wspieranie kultury zaufania, ponieważ będzie to miało pozytywny wpływ nie tylko na samą firmę, na samych ludzi w firmie, ale także na to, co opinia publiczna postrzega, ponieważ tego rodzaju Wydaje mi się, że coś się rozlewa, ale co myślisz?
Kim Brushaber: Tak, myślę, że kiedy rozmawiam ze znajomymi, którzy pracują w Google, pracują w lub w niektórych z większych, naprawdę głośnych organizacji, nie wdrażają one tak wielu nowych funkcji, jak w przypadku protokołów bezpieczeństwa oraz problemów z wydajnością i skalowalnością, ponieważ chcą, aby wrażenia użytkowników były takie, w których wierzą, że mogą zaufać tej informacji. Myślę, że firmy ponoszą tę odpowiedzialność, ponieważ nadal dążymy do zapewnienia tego rodzaju zaufania. Pamiętam, kiedy ludzie po raz pierwszy zaczęli umieszczać karty kredytowe w Internecie, a ludzie mówią: „O mój boże, nie podam tam tych informacji, ponieważ nie są bezpieczne”.
A teraz Twoja karta kredytowa idzie w każdą stronę, ponieważ teoretycznie uważasz, że możesz zaufać firmie, ponieważ ma certyfikat HTTPS. Następnie słyszysz o Docelowych naruszeniach danych, w przypadku których karty kredytowe brzmiały: „Och, lepiej wymień swoją kartę kredytową, ponieważ puściliśmy te informacje”. Myślę, że to dwukierunkowy sentyment. Myślę, że osoby, choć chcą bardziej ufać, ponieważ jest to o wiele łatwiejsze, aby móc ufać i wierzyć w to w dużych organizacjach, duże organizacje muszą wkroczyć i umieścić te elementy, aby nie t zranić osobę lub stracisz udział w rynku. Ludzie mówią: „Cóż, wiesz co, nie zamierzam już robić zakupów w Target, teraz zamierzam robić zakupy w Amazon”. Myślę, że zaufanie jest dużym problemem, chociaż, jak powiedzieliśmy, 78 procent ludzi to nadal klikną ten link w, mimo że wiedzą, że nie. Ludzie mają pewną ochronę, nawet jeśli ci ufają.
Eric Kavanagh: Trafne spostrzeżenie. Wiesz co, prześlę ostatnie pytanie do ciebie, Williama, lub przynajmniej jeszcze jedno - mamy teraz kilka dobrych. Uczestnik pisze: „RODO przenosi zarządzanie tożsamością z powrotem do klienta, do którego należy. Equifax trwale uszkodził 149 milionów konsumentów, co jest bardzo prawdziwe, zanieczyszczając gospodarkę cyfrową. Jakie zmiany widzisz w Stanach Zjednoczonych w zakresie własności klienta w zakresie zarządzania tożsamością? ”
William McKnight: Cóż, zawsze jesteśmy w tyle w USA, jeśli chodzi o takie rzeczy, prawda? Sto czterdzieści dziewięć milionów, to nie jest kropla w tym miejscu. To prawie jak terroryzm, prawda? Jesteśmy tak przyzwyczajeni, że to się dzieje cały czas. Myślę, że coś trzeba zrobić. Myślę, że RODO, lubię prawa, które daje obywatelom, ale nie wydaje się to priorytetem - istnieje wiele innych priorytetów i nie wiem, dokąd to zmierza. Myślę, jak wspomniałem w slajdzie z rozgałęzień, które miałem, że oznacza to przesunięcie w kierunku większych praw konsumenta w odniesieniu do jego danych. Kiedy tak się dzieje tutaj w USA? Nie wiem, może minąć nawet pięć lat, żeby zobaczyć coś współmiernego do RODO, które dzieje się tutaj w USA. Spekulacje w tym momencie.
Eric Kavanagh: To naprawdę dobra uwaga i myślę, że będziemy się w tym starać, ponieważ, spójrzmy prawdzie w oczy, przechodzimy obecnie do takiej cyfrowej gospodarki. I jako komentarz końcowy, trochę filozoficzny, zorientowany na politykę, to mnie najbardziej niepokoi przejście do społeczeństwa bezgotówkowego, ponieważ kiedy gotówka zniknie, jeśli tak się stanie, wszystko jest cyfrowe i każdy system może zostać zhakowany a tożsamość każdej osoby może zostać skradziona. Wydaje mi się, że jest tu całkiem duży słoń, spoglądając w dół na szczupłą przyszłość zarządzania tożsamością.
To wszystko świetne rzeczy, ludzie. Podziękowania dla Williama McKnighta za jego dzisiejszy czas i uwagę. Dziękuję Kim Brushaber z IDERA. Archiwizujemy wszystkie te webcasty do późniejszego przeglądania, więc zachęcamy do powrotu, zwykle w ciągu kilku godzin, a archiwum będzie gotowe. Dzięki temu pożegnamy się, ludzie. Jeszcze raz dziękuję za poświęcony czas i uwagę. Uważaj. PA pa.