Osoblje Techopedia, 6. prosinca 2017
Odlazak: Domaćin Eric Kavanagh raspravlja o nadolazećoj Općoj uredbi o zaštiti podataka EU i učincima koje će imati na industriju. Pridružit će mu se William McKnight iz McKnight Consulting Group i Kim Brushaber iz IDERA-e.
Trenutno niste prijavljeni. Prijavite se ili prijavite da biste pogledali videozapis.
Eric Kavanagh: Dobro, dame i gospodo, zdravo i dobrodošli još jednom. Srijeda je u 4 sata po istočnom vremenu, što znači da je ponovno vrijeme - jedan od posljednjih puta u godini 2017. - za Hot Technologies. Da, doista, moje ime je Eric Kavanagh - bit ću vam moderator današnjeg događaja. Govorimo o nekoj dalekosežnoj temi. Trenutno se ne čini tako - koncept GDPR-a, Globalne uredbe o zaštiti podataka. Krenimo naprijed i zaronimo upravo u ovome, nije stvar u vašoj, dovoljno o meni. Ova je godina vruća, zaista je bila vruća na mnogo različitih načina, ali predstojeći propisi GDPR-a i drugih organizacija, sasvim iskreno, prisiljavaju nas da preispitamo što se događa u svijetu poslovanja, posebno kao rezultat, ili kako se odnosi na podatke. Saslušat ćemo se s Kim Brushaber iz IDERA-e i Williamom McKnight-om iz McKnight Consulting Group.
Samo nekoliko brzih riječi o ovoj temi, narode. GDPR u osnovi kaže da organizacije moraju imati politiku privatnosti, a prvo sigurnost, u vezi s podacima i zaista, radi se o nekim stvarima koje ste možda čuli - primjerice, cijelo je pravo biti zaboravljeno djelomično i djelomično cijeli ovaj trenutak, i to su vrlo zanimljive stvari. Svakako vrijedi u smislu svojih principa i etike. Što se tiče stvarne provedbe, to je prilično ozbiljan izazov. Pravo da budu zaboravljeni kaže da ako želite da neke organizacije nemaju vaše podatke, vaše osobno osjetljive podatke, one se moraju riješiti. Pa, možete samo zamisliti kada su neka od ovih zaista raznorodnih podatkovnih okruženja, koliko će to biti teško. Da biste bili u mogućnosti doći do svakog mjesta na kojem su vaši podaci uporni i izvući ih, jednostavno se to neće dogoditi, u nastavku je. Unatoč tome, organizacije moraju imati uspostavljene politike kako bi mogle riješiti ta pitanja i to je ono što će regulatorni organi, prilično sam siguran, tražiti.
Velika je stvar. Organizacija ne samo da mora ukloniti vaše podatke ako to izgovorite, već ako je obučila algoritme na tim podacima, tehnički bi trebala i oni algoritme ponoviti. To je visok nalog, moram vam reći, ali dolazi, spušta se štuka, to će biti stvarnost u svibnju sljedeće godine, a postoje i drugi propisi. Kanada ima usvojen antispam zakon koji utječe na način na koji postupamo s osobnim podacima. Neto neutralnost se sada spušta od štuke, naravno da je on ukorijenjen u osnovi i to će neke stvari promijeniti. Postoji puno ovih vrlo ozbiljnih propisa koji utječu na tvrtke širom svijeta i širom svijeta o kojima velike organizacije doista trebaju početi razmišljati i pripremati se za njih.
Zbog toga smo dobili Williama McKnight-a iz McKnight Consulting Grupe da nam kaže što misli i zašto je GDPR zapravo samo vrh ledenog brijega. S tim, Williame, dostavit ću ti to. Odnesi to.
William McKnight: Hvala, Eric, i kao što kažeš, kako kaže slajd, ovaj GDPR je možda vrh ledenog brijega - to je ono što mislimo. Važno je da potopimo u GDPR po dubini, jer mislim da to predstavlja val regulacije koji silazi niz cijev s kojom se moramo suočiti. Srećom, Eric, postoje razumni standardi oko tog prava koje treba zaboraviti, a to ću i shvatiti. Ali bez obzira na to, hodajući ove godine kada govorim o GDPR-u, mislim da postoji puno firmi, posebno američkih, koje za to još nisu pripremljene. Definitivno je vruće i nešto o čemu definitivno nismo razmišljali prije godinu dana, kada su samo pokusavali balotirati neke stvari, ali sada je to propis i mi se moramo nositi s tim, kao što ste rekli, Eric, svibanj doći pravo ovdje gore - dakle uopće nije tako daleko.
Malo o meni, to ću shvatiti iz podataka iz perspektive. Da vas obavijestim, osoba sam cjeloživotna podataka i savjetujem se sada već 19 godina u području podataka, a GDPR puno govori o podacima. Ovdje ću naći tijelo rješenja dok se upuštam u svoje izlaganje o upravljanju podacima. Očito sam radio puno programa za upravljanje podacima i mislim da ako se uskladite s tim konceptom, bavite se nekim upravljanjem podacima, puno će tvrtki vani biti prilično daleko na putu Zapravo o poštivanju GDPR-a, ali bit će jako puno, i najiskrenije, oni koji zaostaju u upravljanju i samim tim prilično zaostaju u svojim GDPR pripremama. Postavimo tu razinu i shvatimo o čemu se zapravo radi u GDPR-u i što dublje ulazimo u razgovor, ući ćemo u još više posljedica GDPR-a o poslovnom životu kako napredujemo u novu godinu i dalje.
GDPR služi za privatnost podataka građana Europske unije. To je propis - znači da ima zube, znači da je on provodljiv. To nije nešto što se tamo iznosi kao prijedlog - to se već dogodilo i sada je to formirano u uredbi s kaznama. Volim početi s kaznama jer to zaista privlači pažnju ljudi. To su krute kazne. Postoje dva kaznena boda, postoji 2 posto svjetskog godišnjeg prihoda ili 10 milijuna eura ako poduzeće ne ispuni sigurnosne obveze, ali sve ostalo, kršeći druge odredbe - i ja ću se upustiti u njih - to je 4 posto. Čuli ste oko oko 4 posto. Usput, to je 4 posto ili 10 milijuna eura, što je veće. Ovo je vrlo ukočeno. Ljudi su vrlo ozbiljni u vezi s tim. Provedite početak 25. svibnja 2018. - to je ključni datum, tada revizije mogu započeti, tada možete dobiti svoju kaznu. Definitivno želite biti spremni za ovo. Svaka tvrtka s kojom imam posla bavim se s velikim brojem Global 2000 tvrtki, oni su negdje u pripremi GDPR-a, neki više od drugih, a neki u ovom trenutku moraju biti i više nego drugi. Dakako, nekima će biti izazovno taj datum dočekati, a vidjet ćemo.
To je najtemeljitiji režim poštivanja podataka o privatnosti koji smo vidjeli dosad. Kad ćemo vidjeti nešto ukočenije ili nešto što utječe možda na američku populaciju izravnije, tko zna, ali to je vani i definitivno se toga treba pridržavati. To zahtijeva od organizacija da razumiju što državljanin UE PII - upoznati smo s pravom PII - osobno identificirajuće informacije, socijalno osiguranje, telefonski broj, adresu, stvari koje jedinstveno mogu identificirati osobu ili sasvim prilično jedinstveno identificirati osobu. Što oni imaju i kako to koriste. To znači inventar. To znači regulaciju unutar vlastitih tvrtki oko ove vrste podataka. Usput, SAD nema nikakav nacionalni zakon o zaštiti podataka. SAD su uvijek bile - reći ću iza, da kažem to perspektivno - iza Europe u smislu ovakve regulacije, i tako se nastavlja. To se nastavlja s GDPR-om, to je prilično očito. Neki od vas mogu znati štit privatnosti, možda se pitate za to. U GDPR-u postoje tri ili četiri odredbe koje se preklapaju s zaštitom privatnosti, ali u GDPR-u postoji stotina odredbi, pa je to i mnogo više od toga, i naravno da je to još uvijek na snazi i da ima veze s razmjenom podataka iz SAD-a i EU-a samo, iako je to važno.
Opet volim započeti s brojevima. Čuli ste za novčane kazne, što je s tim kako se pripremite za to. Proračunavanje GDPR-a i izvršavanje nekih od toga, to ovisi o nekoliko čimbenika. Količina podataka o PII koje prikupljate o građanima EU. Ako ne prikupite nijedno, u redu, vjerojatno ste sukladni i ne morate se baviti time, ali vjerojatno ste na tom pozivu jer ih negdje skupite. Veličina vaše tvrtke i zrelost vašeg upravljanja podacima, koja se, kao što sam već rekao, može približiti onome što trebate učiniti da biste odgovorili na GDPR. Možete očekivati do nekoliko milijuna USD ili eura, ovisno o slučaju, za ispunjavanje uvjeta. Međutim, mi želimo, ne želimo samo poštivati GDPR, da potvrdimo taj okvir, naravno moramo to učiniti. Nadam se da niste u onoj groznijoj situaciji u kojoj upravo očajnički želite potvrditi taj okvir. Potražite u poslovnim koristima, jer mnogo stvari koje radite za podršku GDPR-a su dobre za vaše poslovanje. Upravljanje podacima dobro je za vaše poslovanje. Kada je riječ o količini podataka o PII, neki su važniji od drugih, neki će se detaljnije proučavati nego drugi, poput zdravstvenih podataka povezanih s podacima, regulirati će se mnogo strože prema GDPR-u od ostalih vrsta podataka i zahtijevat će usklađenost s dodatnim obvezama kao što je provođenje procjene učinka na zaštitu podataka što, očito, doprinosi vašem proračunu.
Malo o proračunu. U slučaju da se nalazite u Velikoj Britaniji ili SAD-u i pitate se kako to utječe na vas - GDPR utječe na Veliku Britaniju, koja je još uvijek u EU, usput, do 29. ožujka 2019. godine i čija je vlada nagovijestila da će se nešto poput GDPR-a nastaviti nakon tog datuma jer je "To je dobra ideja." UK kompanije moraju se pridržavati toga. Podaci o državljanima Velike Britanije sigurno su na ovoj tabeli. Ako to nije jasno, postoje tvrtke sa sjedištem u SAD-u, ako trgujete u EU, s podacima građana EU, to se sigurno odnosi na vas. To ima posljedice na vašu arhitekturu podataka jer ćete možda morati ukinuti svoje EU podatke sa svih ostalih i tretirati ih drugačije. To utječe na analitiku, kako je rekao Eric, na način na koji sastavljate te analitike i tako dalje. Sada je možda teže započeti bilo kakvu analitiku koja se koristi u cijelom konceptu. Oni mogu postati lokaliziraniji kao rezultat GDPR-a.
Što je u odredbama? Postoje standardi zaštite podataka. Sve to, osim diktira šifriranje podataka u mirovanju i u pokretu. Dalje ću govoriti o šifriranju. Postoje standardi obavijesti o kršenju podataka. Nema više ovog čekanja mjesecima, čekanja da se četvrtine svi jave. Mislim da je neki dan bio velik, a otkrili smo: "Oh, dogodilo se prije godinu dana." Ništa od toga s GDPR-om - imate 72 sata. To je ime i sramota politike. Nadam se da nitko neće doći do toga, očito će neki ljudi htjeti. Kršenja će se nastaviti i nakon GDPR-a, naravno. Postoje procesi za praćenje lokacije i kvalitete podataka. Zvuči poznato? To je uistinu srce upravljanja podacima. Nadam se da imate neke od ovih koji idu.
Građani EU-a imaju pravo biti zaboravljeni, kako je spomenuo Eric. Postoje neki standardi razboritosti, Eric. Ne morate sve obrisati nužno, ako ćete možda morati ponovno kontaktirati tog kupca, tog zaposlenika, možete čuvati određene aspekte njihovih osobnih podataka. Ali, bez obzira na to, ti građani imaju pravo biti zaboravljeni, ali ne može biti nesrazmjernih napora - to je jezik - na vama ili na štetu tvrtki, na vama je da obrišete te podatke. Ne želim ih umanjivati, ali također morate objaviti kopije osobnih podataka koji se čuvaju i te podatke možete dobiti samo uz pristanak. Tu suglasnost moraju dati ljudi koji su minimalno sposobni dati takvo dopuštenje. To je usta, ali to građanima daje mnogo prava nad njihovim podacima. To je prenosivost baš tamo, u slučaju da se ikad pojavi. Pravo da bude zaboravljeno, jasno, ali isto tako - i nešto što nije na mom slajdu što je prilično važno - je li osoba koja ima podatke ima pravo ne biti podložna odluci koja se temelji samo na automatiziranoj obradi. U što smo se teško kretali? Automatizirana obrada, oko prihvatanja kredita, ponude koje ćemo dati, sve ovo treba razraditi u smislu kako će se ovo odigrati i koliko će ovo ići. Ono što u biti govori jest transparentnost oko toga zašto sam odbijen, zašto se na neki način postupa od strane te tvrtke. Ovo je pravo, dodjeljuje se državljaninu EU-a.
Očito, postoje neke posljedice u našem poslovanju i nadamo se da vidite da GDPR nije problem u IT-u, a ne samo u IT-u. Svi su ti poslovni procesi uključeni. Uključit će ljude iz cijele tvrtke. Imenovanje službenika za zaštitu podataka preporučuje se za one tvrtke s više od 250 zaposlenika i imate „kritičku matematiku s podacima o EU PII“. Možete sami odlučiti imate li kritičku matematiku, ponekad je očito, ponekad nije. No, tu je nova uloga - ne mora biti punoljetna uloga, osoba može imati i druge odgovornosti, ali ne znam - u nekim srednjim i većim korporacijama, prilično mislim da će se pridržavanje GDPR-a biti blizu punopravnoj ulozi. Rekao bih da kreneš tim putem i da vidiš možeš li se nositi s tim. Pogotovo tijekom sljedeće godine, kada se zajednički provodite oko GDPR-a, nakon što se on riješi, možda možete usporiti rad na tome, ali nekima će trebati dosta vremena. Dopustite pojedincima da vide svoje vlastite podatke i prenosivost podataka, kao što sam već spomenuo.
Usput, nije sve novo, ali pravo na zaborav je zapravo bilo vani, vjerovali ili ne. Postojeća pravila EU-a već predviđaju pravo na brisanje ili onemogućavanje osobnih podataka. Međutim, sad je dio GDPR-a, provodit će se mnogo šire. Šifriranje podataka - šifrirajte svoje podatke u mirovanju. Koristite standardne metode šifriranja, nemojte koristiti vlastiti domaći ili nestandardno šifriranje. AES je onaj koji preporučamo poprilično. Upotrijebite kriptografski sigurne ključeve za enkripciju. Povremeno mijenjajte te tipke. Također spriječite gubitak tih ključeva. Ovo su samo dobre prakse šifriranja, ali sada oni dolaze u prvi plan s GDPR-om. U tome je problem - pogodio sam samo vrh ledenog brijega. Očito je potrebno pogledati više odredaba, ali one su glavne.
Sada, rješenje. Upravljanje podacima, okvir vaše usklađenosti, barem je to perspektiva koju ovdje izlažem. Srećom, postoji aktivna disciplina s dobrim potplatima koja se može, i kada odraste, zadovoljiti većinu zahtjeva, a to je upravljanje podacima - očito to govorim. Programi upravljanja trebali bi imati glosar podataka, a ovdje koristim glosar podataka u generičkom smislu da bih značio dokumentaciju preko cijele ploče za vaše procese. Ovo je temeljno za služenje inventara potrebe GDPR-a, što je, kao što smo vidjeli, prilično neizmjerno. Program, program upravljanja, trebao bi olakšati protokole sigurnosti podataka - i to podvlačim jer to nije nešto što trenutno radi puno programa upravljanja podacima, ali mislim da je to logično mjesto da se to učini jer su sjedi na programu koji određuje tko su vlasnici tvrtki? Tko to treba vidjeti? A onda je sljedeći korak davanje tih dozvola. To treba centralizirati, to treba i formalizirati. Tu se moraju koristiti interne politike. Upravljanje treba dodijeliti svim elementima da bi se omogućilo doprinos svemu gore navedenom. Upravljanje podacima također može biti pokretač projektiranja poslovnih procesa, što će biti potrebno.
Prije nego što napustim ovaj slajd, u nastojanju da izbjegnu velike kazne, tvrtke će prihvaćati zdrave poslovne prakse kao nusproizvod. Volim reći da je to više od nusprodukta, ali zapravo je samo dobar, zdrav posao koji vas može voditi na nova mjesta iz poslovne perspektive. Zasigurno, dobit ćete mnogo učinkovitosti za obavljanje svih inicijativa u cijeloj upravi, ako imate dobro upravljanje podacima, to sam vidio tijekom godina. Dodavanjem nekih ovih stvari koje spominjem u upravljanju podacima, one će se samo poboljšati. Preporučujemo da u svom inženjeringu poslovnih procesa postavite ta pitanja diljem svijeta i pogodite za svako poslovno područje. Kakve podatke prikupljamo o našim kupcima iz EU-a? Neću ih čitati sve. Neke su ključne ovdje. Tko ima potrebu vidjeti ove podatke i slijedi li ih? Tko je tajnik podataka za te podatke? Tko je moja osoba u poslu? Ovo je veliko: dijelimo li ove podatke s trećim stranama? Samo zato što ih predate trećoj strani, ne opravdava odgovornost oko tih podataka - to su još uvijek vaši podaci, to su još uvijek podaci koje ste prikupili. Puno se ugovora o trećim stranama sada temeljito pregledava kao rezultat GDPR-a. Imaju li ovi sustavi determinističke kvarove? Znači kad ne uspiju, oni zalaze na put koji smo unaprijed odredili ili su jednostavno propali, srušili se, izgorjeli i krećemo od nule kopati po njemu? Bit će očito puno bolje. To je već dobra praksa, ali očito je puno bolje za obrnuti inženjering nekih od ovih stvari, ako imate velike pogreške u sustavu.
Zadržavanje podataka, govorili smo o zadržavanju podataka zauvijek. Puno tvrtki ima politike, iako ih sve ne slijede. Očito, čuveni u zdravstvenom i financijskom smislu, želimo čuvati podatke, podatke moramo čuvati određeni broj godina. Neki analitičari u tim tvrtkama koji podatke čuvaju sedam godina ili slično, kažu: „Oh, nakon tog razdoblja i dalje želim te podatke.“ Neki odvjetnici u tim tvrtkama kažu: „Ali mi ih se trebamo riješiti u svrhu odgovornosti "i tako dalje. To se jednostavno ne može jednostavno tu sjediti, jer je problem s GDPR-om više problem. Moramo zadržati razdoblje zadržavanja, je li to dosljedno slijedilo u cijeloj organizaciji unutar organizacije.
I na kraju, kako se mobilizirati na kršenje podataka? Ovi najgori scenariji koji bi vam se mogli dogoditi. Očito ih pokušavamo spriječiti, ali što ako se to dogodi? Kako raspodjeljujete stvar i osiguravate li da u svom odgovoru sada slijedite odredbe GDPR-a? Ja sam arhitekt podataka, razmišljam o arhitekturi podataka. Ako ste tvrtka sa sjedištem u SAD-u s operacijama EU-a, što znači podaci o građanima EU-a - prikupljate ih, morat ćete razmotriti želite li primijeniti standarde zaštite podataka na sve podatke ili samo na podatke EU-a. Da, sada imam klijente koji donose tu odluku. Kao dobra poslovna praksa, možda bi to željeli prenijeti u SAD, možda će imati osjećaj da imaju vremena, no to donosi broj dva. Možda ćete morati smanjiti podatke EU-a iz američkih sustava ako ne možete jamčiti da će američki sustavi obraditi podatke na odgovarajući način. Da li to odvojeni podaci za potrebe analitike? Postoje li analitike čak i ako ih pokušavate raditi u cijeloj zemlji? Ponekad da, ponekad ne, zar ne? Možda otkrijete da će zbog toga vaša analitika biti isključena.
Kao što sam već spomenuo, ovdje se igra umjetna inteligencija, jer očito možemo pomoću AI pronaći sve podatke, pomoći nam da pronađemo sve podatke, ali ako koristimo AI u korisničkom sučelju, sada moramo imati transparentnost s našim kupcem sučelja i to nikada nije AI-jevo odijelo. Da biste pokušali reći kupcu: "Odbijeni ste jer bla, bla, bla", kad je stvarno bio AI. To se sada mora učiniti. Moramo shvatiti kako AI djeluje, koji su faktori? Ne može samo tako sjediti i biti ti više crna kutija. Što ćemo sada? Uspostavite svoj GDPR odbor. Predlažem da tamo imate svog višeg službenika za zaštitu privatnosti ili ako imate službenika za zaštitu podataka, očito tu osobu. Šefovi upravljanja podacima, operativni rizik i / ili usklađenost, primjenjuju, voditelj IT-a, CIO-a ako je to osoba. Ako imate promijenjenu osobu uprave, to bi bila sjajna osoba unutra. Samo šefovi nekih od najvažnijih odjela u vašoj tvrtki, a također i šef HR-a, jer treninzi o privatnosti sada će biti ogromni. Svi će proći trening o privatnosti ili bi trebali dobiti obuku o privatnosti kada se ukrcaju u tvrtku, čak i savjetnici.
Ako ne radite ove stvari koje vidite ovdje, morat ćete se pomaknuti brže nego što biste željeli da napravite rok. Također se trebate početi nadati da niste među prvima koji će se pregledati, jer, iskreno, ovdje ima puno posla ako počinjete ispočetka i bavite se mnogim podacima o građanima EU. Unajmite svog DPO-a, popisujte svoje podatke i svoje procese. Izgradite taj plan upravljanja podacima, preuzmite ga od mjesta gdje treba, do mjesta gdje treba biti. Možda biste željeli pokrenuti je ovisno o slučaju. Izradite svoja pravila o privatnosti i napomene o pravilima. Pravila o privatnosti su interna. Obavijesti o politici postaju vanjske. Vidimo kulturu koja se sada počinje stvarati oko obavijesti o politikama. Puno je usporedbi napravljeno i pažljivo je izrađeno oko ovih obavijesti o politikama. Zaključite provjeru usklađenosti s GDPR-om za sve sustave, uključujući nove sustave. Možda ćete ih morati slijediti i raditi ih nekakvim redoslijedom važnosti, ali to je još jedan način rješavanja problema. Pogledajte sustave i što bi trebali raditi i kako postupaju s tim podacima.
Što signalizira GDPR? To je ono zbog čega smo malo više razgovarali. Radujem se što Kim ima reći o ovome. GDPR je pomak u kontroli privatnosti podataka prema regulaciji. Trend je transparentnosti, kaže on točno u odredbama. Kao što sam govorio, stvaramo ovu kulturu obavijesti o privatnosti, to je stvar sada. Idemo vidjeti konferencije o obavijestima o privatnosti i tako dalje. Promjena GDPR-a usmjerena je prema temeljnim pravima ljudi. Otvorena pitanja će biti razrađena. Jasno su otvorena pitanja, ovdje sam ostavio nekoliko na stolu. Nitko nema odgovor. Oni će biti razrađeni. Trend prema većem razumijevanju pojedinaca u pogledu njihovih podataka i načina na koji se koriste. Mislim da je to podiglo svijest stanovništva EU o važnosti njihovih podataka i kada su to jedan od njihovih osobnih resursa, oni trebaju više upravljati. To su neki od ranih signala koje sam vidio, a Eric, sada ću ti to prenijeti.
Eric Kavanagh: U redu, pusti ključeve Kim, koja može podijeliti dio njezine perspektive, ali mislim da je to bio dobar pregled, Williame, i pogodio si ključne točke - naime da ovo spušta štuku sigurno i moramo biti svi vrlo oprezni, sasvim iskreno. Dopustite da predajem Kim ključeve, a vi možete dijeliti ekran i uzeti ga odatle.
Kim Brushaber: Hej, čujete li me?
Eric Kavanagh: Mogu te čuti.
Kim Brushaber: Strašno . William je pokrio neke iste stvari koje ću ja pokriti, ali mislim da ih opet vrijede pokriti jer su zaista važne. Mislim da je, kad se donesu novi propisi, zaista dobro shvatiti različite stavove i tumačenje različitih ljudi kako bi vam nešto iskrivilo i omogućilo vam da budete još više u skladu. Ohrabruju me svi ljudi koji su na ovom pozivu i koji žele znati više jer mislim da će 25. svibnja doći do velike panike zbog tvrtki koje se progone i koje nisu u skladu.
Moje ime je Kim Brushaber, stariji sam menadžer proizvoda u IDERA-i. Pod sobom imam nekoliko proizvoda koji pomažu u ispunjavanju GDPR-a kao i drugim propisima. Uskočit ću u neke informacije. Počet ću s nekim činjenicama i nekim podacima, a zatim ću se pozabaviti GDPR-om, a onda konkretno kako vam naši alati mogu pomoći. Jedna činjenica je da se dnevno izgubi ili ukrade preko 5 milijuna podataka. Ne čujemo to vijest o vijestima, ne čujemo da dolazi s drugih mjesta, ali postoje preko 5 milijuna zapisa podataka koji su stalno ukradeni, baš iz nas. Srednji broj dana tijekom kojih napadači ostanu u stanju mirovanja unutar vaše mreže je 200 dana. Mnogi su sustavi već infiltrirani od ljudi koji - sa zlobnim namjerama - koji samo čekaju priliku da iskoriste vaše podatke, uglavnom unutar sigurnosnih i certifikata, ali samo čekaju da im trenutak zaskoči. Zbog toga je postalo sve važnije rukovati se sigurnošću podataka. Prosječni troškovi kršenja pojedinih podataka u 2020. godini predviđaju se da će premašiti 150 milijuna dolara, kako se više poslovne infrastrukture povezuje s mrežnim resursima i što više stvari raste u oblaku. To je dobar proračunski broj ako ste zaista zabrinuti za sigurnost podataka, dati izvršnom timu, reći im da je to ozbiljna stvar i da bi nas moglo koštati mnogo novca u budućnosti.
Ukratko ću pregledati povredu podataka Equifaxa jer mislim da je to bilo najveće kršenje podataka u 2017. godini, da bih nekako nacrtao sliku onoga što je to voljeti proći. Povreda je zahvatila 145, 5 milijuna kupaca. Zaposlenici su priznali sigurnosni problem putem svoje web aplikacije dva mjeseca prije nego što se kršenje dogodilo. Zaposlenici su govorili, "ovo je pitanje." Čak i malo prije toga, kad je flaster zapravo izašao. Trebao je cijeli dan nakon što je došlo do kršenja odgovor na to i uklanjanje web aplikacije izvan mreže. Budući da Equifax nije imao definirani protokol za sigurnost podataka, trebalo im je mnogo vremena da shvate što se događa i da mogu prebaciti sustav na mrežu. Šest tjedana nakon kršenja, javnost je upozorena. S GDPR-om - kao što smo gore rekli i ponovit ću to - morate prijaviti u roku od 72 sata, a Equifax bi im bio vezan rukama i ne bi bio u mogućnosti ispuniti tu sukladnost jer su čekali šest tjedana da ga prijave. Komunikacija za odgovor na kršenje pravila uključivala je internetsku stranicu koja nije ni bila u vlasništvu Equifaxa. Sami Equifaxovi retitizirali su taj tvit koji to nije ni bio u njihovoj domeni - preokrenuli su neke riječi uokolo. Srećom nije riječ o zlonamjernom mjestu koje je na tom mjestu imalo veliku korist, ali očito nisu bili spremni. Nisu imali plan, a toga su postali svjesni u javnoj areni. Equifax nije sam - dosad je bilo preko 25 vrlo visokih napada cyber profila u 2017., a još bismo ih mogli pronaći do kraja godine. Tvrtke to zaista trebaju početi shvatati ozbiljno jer su ljudi vani i ako im date razlog da žele da priđu kod vas, bolje bi bilo pripremljeno da se možete nositi s tim.
Neke druge činjenice i podaci o načinu na koji pojedinci gledaju na sigurnost podataka. Do 2020. godine bit će 30 milijardi uređaja spojenih na internet putem naših domova, preko naših nosivih podataka, putem telefona, tableta i tko zna što bi još moglo doći u godinama koje dolaze. Postoji puno i puno uređaja koji su ugroženi tim napadima. Četrdeset devet posto Amerikanaca smatra da su njihovi osobni podaci manje sigurni nego što su bili prije pet godina. Sedamdeset tri posto potrošača u Americi želi da tvrtke budu transparentne u pogledu svojih osobnih podataka. Sedamdeset i osam posto ljudi tvrdi da su svjesni rizika klikom na nepoznate veze i e-poštu, ali ionako kliknu na te veze - to je više od tri četvrtine našeg stanovništva, i još uvijek klikaju na veze iako znam da bi mogao biti problem. Osamdeset i šest posto korisnika interneta aktivno pokušava smanjiti, anonimiti i sakriti vidljivost svojih digitalnih otisaka. Moj očuh voli izlaziti i stvarati lažna imena kada ispunjava obrasce jer misli da ga to čini anonimnim, ali malo tko zna da se njegova IP adresa također prati. Puno je briga o pojedincima i to je ono što rađa mnoštvo GDPR propisa i vjerojatno dodatnih propisa koji će se uslijediti.
Što se tiče podataka o sigurnosti podataka, 90 posto podataka o kršenju podataka u 2016. godini došlo je iz vlasti, maloprodaje i tehnologije. Četrdeset tri posto cyber-napada napadalo je mala poduzeća. Ako mislite, "Oh, nisam veliki tip, neće ići za mnom", još uvijek ih ima gotovo polovica, a idu nakon malih poduzeća. U posljednjih godinu dana sedamdeset i pet posto zdravstvene industrije bilo je zaraženo zlonamjernim softverom. U posljednjih godinu dana hakirano je sedamdeset posto američkih naftnih i plinskih kompanija. Ovo je značajan utjecaj na razne industrijske industrije koje su u tijeku i taj će se broj odavde povećavati.
Kad na to gledate iz izvršne perspektive, 90 posto CIO-ova priznaje da je trošilo milijune dolara na neadekvatnu cyber-sigurnost. Devedeset posto njih također kaže da su napadnuti ili očekuju da će ih napasti dečki koji se kriju u šifriranju. Osamdeset i sedam posto vjeruje da njihova sigurnosna kontrola ne uspijeva zaštititi svoje poslovanje. Osamdeset i pet posto CIO-ova očekuje da će se zloupotreba njihovih ključeva i potvrda pogoršati. Ovo je ogroman broj tvrtki koje se bave ovim problemom sigurnosti podataka i stvarnost je da mnoge od njih nemaju baš dobra rješenja da se čak i mogu riješiti kad se to dogodi, iako vjeruju da to će se dogoditi.
Kada gledamo kako je spremna, u 2014. godini 70 posto milenijala priznalo je da su u svoje poduzeće unijeli vanjske prijave kršeći IT politike. To su priznali sedamdeset posto - vjerojatno je čak i veći broj od toga, što je zapravo i učinio. Pedeset dva posto organizacija koje su pretrpjele uspješne cyber napade u 2016. nisu promijenile svoju sigurnost u 2017. Iako su jednom napadnute, još uvijek nisu otišle i podigle zidove - podjednako su ranjive kao i bili su prije napada. Ovo zapravo postavlja pitanje, što tvrtke trebaju početi raditi, kako bi se pripremile za ove stvari? Trideset osam posto globalnih organizacija tvrdi da su spremne nositi se s sofisticiranim cyber-napadom. To je dobro - gotovo polovica ih je, a ja sam velikodušan s tim, stvarno smo tek trećina, ali još uvijek je barem polovica koja kaže: „Nisam spreman. Ako me napadnu, nisam spreman i hakeri to znaju. "Trideset osam posto organizacija ima plan za odgovor na kibernetičke incidente. Većina je tvrtki u istom spremniku kao i Equifax, gdje ne znaju što će raditi. Ako to dobiju, morat će reagirati i smisliti te stvari u letu, a propisi poput GDPR-a govore: "Morate ih imati na mjestu. Morate ih objaviti. Morate to dokazati revizorima sigurnosti. "Nadamo se da ćemo s takvim utjecajima, s takvim propisima, biti u mogućnosti izaći ispred ove krivulje i umjesto da reagiramo, možemo biti proaktivni u našim nastojanjima.
Razgovarajmo malo o GDPR-u. Nešto od ovog Williama već je pokrivao, ali idem dalje i pokrivam ga, samo iz mog stava, glasa, moje perspektive. Mnogo tvrtki s kojima razgovaram kažu: "Ja sam u SAD-u, zašto bih se uopće bavio ovom uredbom EU?" Činjenica da više ljudi ne zuji, a više ljudi ne govori o njima oni misle da to utječu samo članice EU-a, ali molio bih vas, ako pogledate ovaj popis, da li sakupljate bilo koji od ovih podataka od članica EU-a? Ako uopće prikupite ove podatke, podliježete granicama GDPR-a kao i kaznama za nepoštivanje. Daću vam trenutak da ovo malo upijete i shvatite. Kao što je William ranije spomenuo, to su kazne i sankcije iz članka 83. GDPR-a. Na početku ćete dobiti šamar, malo upozorenja govoreći: "Hej, sastavite svoj čin. Stavite to na svoje mjesto. "Ali ako imate stvarno velik prekršaj - i ovisno o tome koliki je posao - vratit će vam se na restituciju, i to je značajan broj. Ne 10 milijuna, već 20 milijuna eura ili 4 posto vašeg prometa / prihoda iz prethodne godine. To je puno novca. To je mnogo proračuna koji trebate izdvojiti svoje izvršne timove i reći: "To je nešto što trebamo početi ozbiljno shvaćati i moramo poduzeti mjere."
Dopustite mi da prijeđem malo o načelima GDPR-a kako je navedeno u članku 5. Jedna od stvari koju kažu jest da se osobni podaci trebaju obrađivati zakonito, pošteno i transparentno. To znači da javnost želi znati što radite s njihovim podacima. Budite transparentni o tome i to mora biti objavljeno. Većina ljudi ne čita uvjete i odredbe, ali to su nove informacije koje biste trebali moći komunicirati, tako da im možete reći: "S vašim podacima se rukuje na odgovarajući način." Osobni podaci trebaju se prikupljati za određeno, izričite i zakonite svrhe. To znači da se nadamo da se možemo riješiti neke neželjene pošte, gdje tvrtke kažu da prikupljaju informacije za kviz koji vam govori koliko ste zanimljivi, a u stvarnosti uzimaju vaše podatke i prodaju ih nekome drugom, kako bi se mogli koristiti u bilo koje svrhe. Tvrtke sada moraju biti mnogo odgovornije i reći točno za što koriste vaše podatke. Također kažu da osobni podaci moraju biti primjereni, relevantni i ograničeni na ono što je potrebno. Mnogo tvrtki voli uzeti sve svoje podatke i staviti ih u veliku bazu podataka, a zatim shvate što žele raditi s informacijama kasnije i prikupe mnogo više nego što je možda potrebno. Ovo govori da ga ne možete sakupljati i upotrebljavati negdje drugdje. Također ne možete samo prikupiti sve i nadam se da će vam kasnije to biti korisno. Morate biti vrlo jasni u čemu prikupljate informacije i moraju biti relevantne za podatke koje prikupljate.
Osobni podaci također moraju biti točni i ažurirani. Morate korisnicima dati načina da ažuriraju svoje podatke nakon što ih prikupite na njima; moraju se moći vratiti i reći: "Znate, imao sam ovo mišljenje u nekom istraživanju koje ste me pitali o osobno prepoznatljivim podacima i želim se vratiti i želim to promijeniti i ažurirati sada." da im daju način da to mogu. Osobni se podaci moraju čuvati u obliku koji omogućava identifikaciju subjekata podataka ne duže nego što je potrebno. Natrag do Williamove tvrdnje da ne možete zauvijek prikupiti te podatke - morate smisliti ono što mislite da je valjano i potrebno, a nakon toga morate obrisati podatke. Također se mora obraditi na način koji osigurava odgovarajuću sigurnost, uključujući zaštitu od neovlaštene ili nezakonite obrade, slučajnog gubitka, uništenja ili oštećenja.
Kao što sam rekao prije, vrijeme je da se ozbiljno pozabavimo ovim problemom, zaustavljanjem tih kršenja podataka, jer ne samo da možete imati ozljede do kojih dođe u vašoj tvrtki u obliku kršenja podataka i gubitka prihoda i troškova skraćivanja vaših procesa, ali možda ćete također imati gomilu novčanih kazni na vrhu od GDPR-a. Vrijeme je da se vrlo ozbiljno počnemo baviti time i mislim da će, kako GDPR stupi na snagu, tvrtke biti suočene s teškom stvarnošću, i srećom oni koji ste danas na poziv mogu početi razmišljati o tome i znati kako ćete ove stvari provesti u djelo.
GDPR također puno govori o pravima pojedinaca; to stvarno pazi na pojedine korisnike. Prvo je pravo na pristup vašim osobnim podacima. Korisnici moraju znati koje su informacije koje ste prikupili na njima, što se tiče osobno identificiranih podataka, i morate im dati način da im mogu pristupiti. Postoji i pravo na ispravku, što je maštovit način da se kaže: "Moram biti u stanju ispraviti podatke koje imate o meni." Pravo na brisanje - što, opet, mnogi ljudi fraziraju kao pravo na zaboravite - ako pojedinac kaže, „Znate što, više ne želim da znate da sam super zabavan kolekcionar stripa, toga biste se trebali riješiti. Imam neke prijatelje koji me zadirkuju u vezi s tim i potpuno me brišu s vašeg popisa ", to morate biti u mogućnosti. Postoji i pravo na ograničenje obrade, a to znači da korisnici mogu ograničiti način obrade svojih podataka. Oni mogu reći: "Ne smeta mi što uzimate moje podatke jer kupujem novi automobil, ali nemojte ih koristiti da biste mi slali e-poštu i slali me na nove ponude svaki put kada se novi automobili puštaju." pravo na prenosivost podataka, što znači da bi korisnici trebali biti u mogućnosti dobiti kopiju svojih podataka i moći ih odnijeti negdje drugdje. Mnogo organizacija prikuplja informacije i ti podaci imaju faktor ljepljivosti, a sada pojedinci mogu reći: "Znate što, želim da uzmete sve moje podatke i sada želim da ih date svom konkurentu, tako da mogu prenijeti to nad."
Postoji mnogo stvari koje treba razmotriti od perspektivne organizacije o tome kako ćete to moći raditi i koje podatke želite da budu u mogućnosti prikupiti i poslati. Postoji i pravo na prigovor, a korisnici mogu prigovoriti i na obradu njihovih podataka. Pravo da se ne podliježe odluci zasnovanoj isključivo na automatskoj obradi ili profiliranju. To ima značajan utjecaj na B2B marketing - ako sjedite tamo i pokušavate A / B testirati i pokušati prepoznati da li će na Kolorado više utjecati poruka nego Kalifornija, dobro ste upravo pregledali profil država nasuprot drugoj, i morate pogledati kako pojedinac treba moći odustati od toga.
S obzirom na to da imamo neke zastrašujuće stvari koje se tiču kršenja podataka i načina na koji ljudi gledaju njihove podatke, a imamo ogroman propis koji nam pada preko ramena, sada sam tu da vam dam rješenje o tome kako IDERA može pomoći. Članak 15. govori o načinu kontrole izloženosti osobnim podacima. Morate znati tko pristupa vašim podacima. Kako ga koriste. Koliko je podataka obrađeno, a upravitelj usklađenosti SQL proizvoda, za što sam ja voditelj proizvoda, omogućuje vam da vidite tko pristupa vašim podacima i kako. SQL Compliance Manger namijenjen je rješenjima SQL Servera. Ako imate bazu podataka SQL Server, možete povezati ovaj proizvod da biste mogli obavljati reviziju i pregledati te podatke, tako da možete biti u skladu s GDPR-om i točno znati kako se koristi. Također možete vidjeti kršenja podataka prije nego što se dogode, a o tome ću govoriti na drugom slajdu. Postoji i članak koji kaže: „Trebam zabilježiti aktivnosti obrade. Moram se prijaviti i moram nadzirati operacije i moram znati tko obrađuje osobne podatke i tko ima pristup tim sustavima. “SQL Compliance Manager održava reviziju poslužitelja i baza podataka, uključujući sigurnost, DDL, DML kao i definiranje osjetljivih podataka, SQL Compliance Manager omogućuje vam reviziju sigurnosnog pristupa i prijavu pokušaja, tako da možete vidjeti tko pristupa informacijama kao i tko se prijavljuje, je li privilegirani korisnik, je li poznati korisnik ili može biti zlonamjeran.
Članak 33. govori o prijavi kršenja osobnih podataka nadzornom tijelu. Trebate biti u mogućnosti otkriti ta kršenja; trebate imati zapise da biste mogli procijeniti učinak; morate znati koliko brzo ćete to popraviti. Da biste to učinili, SQL Compliance Manger omogućava vam postavljanje upozorenja na vaše baze podataka kako bi ih vidio tko ima pristup vašim osjetljivim podacima, kada im pristupaju i čemu su pristupali. Također vam omogućuje da isključite svoje normalne povlaštene korisnike iz vaše revizije. Ako imate administratora sustava ili mrežnog administratora za koji znate da će mu pristupiti, a ne želite začepiti svoja izvješća, možete ih isključiti i reći: „Dajte mi sve što se događa izvan tih podataka.“ To omogućava brzo ćete prepoznati je li netko zlonamjerno pristupio vašim podacima i možete li dobiti upozorenja koja vas obaviještavaju trenutak kad se počinje događati, a zatim trenutak kada pristupite informacijama kako biste ih mogli ispucati, tako da ne morate čekati cijeli dan da shvatite što se događa, kao što je to činio Equifax.
Postoji i članak koji govori o zaštiti podataka i procjeni utjecaja. Ovo je procjena vaših rizika i razumijevanje njihovih vrsta, kao i dokaz i dokumentiranje usklađenosti s GDPR-om. SQL Compliance Manager omogućava izvještavanje o elementima koji se nadziru. Ukratko, revizija podataka pomoću SQL Compliance Manager, SQL Compliance Manager omogućava otkrivanje neuspjelih prijava - što je potencijalni znak kršenja - nadziranje administrativnih aktivnosti i sigurnosnih promjena, upozoravanje na izmjene baze podataka, reviziju stupaca koje definirate kao osjetljive podatke, identificirajte povlaštene korisnike i pratite njihovu aktivnost odvojeno od ostalih korisnika u vašem sustavu, izvijestite da se podaci pregledavaju u skladu s nekoliko regulatornih smjernica. Mi ne samo da pokrivamo GDPR, već pokrivamo i HIPAA, PCI, FERPA, SOX, sve regulatorne smjernice kada dolaze do revizije vaših podataka i razumijevanja onoga što im se pristupa, imamo te regulatorne smjernice.
U IDERI-u imamo i dodatne proizvode za pripremu GDPR-a. Osim samo revizije koju obavlja SQL Compliance Manager, imamo ER / Studio Enterprise Team Edition, koji vam može pomoći dokumentirati procese podataka i ugraditi podatkovne standarde u svoj podatkovni model, možete stvoriti pojmovnike o kojima je William govorio u prethodnom dijapozitivu, Kao što sam ovdje rekao ovom prezentacijom, SQL Compliance Manager može vam pomoći u reviziji podataka kako biste bili sigurni da pogrešni ljudi ne pristupaju vašim podacima, kao i da to dokazuje revizorima. SQL Sigurna sigurnosna kopija može vam pomoći kodirati podatke i sigurnosne kopije. Šifriranje je osnovni dio GDPR-a, o kojem nisam detaljno obrađivao jer sam se želio usredotočiti na imovinu upravitelja usklađenosti, ali SQL Sigurna sigurnosna kopija čini mnogo šifriranja za vas, tako da vaši podaci mogu ostati sigurni. SQL Inventory Manager može osigurati da su poslužitelji zakrpani i ažurni, tako da ne završite u slučaju poput Equifaxa, gdje su imali zastarjeli zakrpa koji im je dao veliku sigurnosnu rupu koju su ljudi mogli koristiti zlonamjerno. SQL Secure može kontrolirati privatnost i standarde šifriranja.
Za više detalja na web stranici IDERA zajednice, ispod našeg bloga, objavio sam Pripremanje za GDPR I potražnja prema 2018. i razumijevanje kakvog će utjecaja GDPR biti, a tu je i sigurno, možete preuzeti probnu kopiju SQL Compliance Manager u IDERA-i, kao i bilo koji drugi proizvod koji sam prethodno spomenula u dijapozitivu.
U ovom trenutku, nastavit ću predavati Ericu prezentaciju kako bismo mogli postaviti neka pitanja.
Eric Kavanagh: Dobro, dobro. Dotakli ste se nekoliko stvarno zanimljivih stvari, Kim, od kojih je jedna - mislim da je ovo jednostavno, ali prilično pametno - razgovarala o otkrivanju neuspjelih prijava. Čini mi se da je to prilično dobar znak da netko nije u redu?
Kim Brushaber: Apsolutno. Ako vidite nekoga tko pokušava pristupiti i pokvariti vašu lozinku, to je vrlo brz način da biste mogli reći da netko ne radi ono što bi trebao biti. Možda nekoliko puta pogrešno otkucate lozinku, ali vidite li da ih je 30 prošao, to je loš znak.
Eric Kavanagh: Da. Oni su ključni za postavljanje upozorenja u odgovarajući kontekst. Što nam još možete reći o upravljanju postupkom postavljanja upozorenja i deaktiviranja onih koji ne rade ono što bi trebali raditi i koliko se tih stvari može automatizirati?
Kim Brushaber: Voditelj usklađenosti ima puno upozorenja koja se mogu podesiti, kao i izvješća koja možete pregledati. Prolazimo vaše SQL tragove i imamo to automatsko praćenje i imamo puno toga što je već unaprijed postavljeno i unaprijed definirano, ali sigurno postoji i značajna količina prilagodbe koju također možete učiniti.
Eric Kavanagh: William, uvest ću vas u ovo - čini mi se da je to jedno od područja gdje ćemo vidjeti strojno učenje kako bismo ušli u igru u narednih dvije do deset godina ili tako nešto, različite mogućnosti. Gledajući sve različite načine na koje sustav može optimizirati svoju učinkovitost, djelotvornost je u problemima poput kršenja i tako dalje. Je li i to vaš stav?
William McKnight: Da, apsolutno. Mislim da sada gradimo sustave koji se popravljaju. Praćenje 24 do 7 počinje nestajati i postaje stvar prošlosti, iako nam i dalje treba takva vrsta produženja. Mislim da se sustavi uglavnom ugrađuju i shvaćaju što je to pogrešno. Moramo li ovdje izdvojiti više prostora ili što imate? Da, mislim da je to definitivno dio naše budućnosti. Sve što se tamo može mapirati na neke korake djelovanja, poduzeti kao odgovor na nešto, definitivno je ranjivo na umjetnu inteligenciju.
Eric Kavanagh: To je dobra poanta. Postavit ću vam još jedno pitanje, Williame, jer znam da istražuješ puno toga prostora. Jedna od stvari na koju sam čekao već duže vrijeme i mislim da je još nismo - mislim da se približavamo, upravo iz onoga što sam čitao i razmišljao o tome - dan kada će postojati tehnologija koja će apsorbirati regulatorna pitanja, stvarni tekst ovih stvari i to preslikati u funkcionalnost i softver. Kao što kažem, i dalje smo od toga - ne mogu zamisliti da na njemu netko ne radi. Jeste li naišli na nešto takvo, ili smo još uvijek na mjestu gdje ljudska bića trebaju pogledati pravila, stvarno ih pokušati i razumjeti, u suštini kodificirati u strojnom kodu, a zatim to pretvoriti u svoje razne primjene?
William McKnight: Pa, zasigurno imam koncept koji ovdje dijelite. Nisam upoznat s bilo čim što se događa s planovima kretanja u okruženju koje je povezano s tim. Ja ću ipak reći općenito, očito počinjemo govoriti strojevima ne što treba raditi, već ono što je cilj onoga što želimo raditi, a strojevi postaju puno pametniji u promišljanju detalja. Mislim da ćemo, nakon što smo dobili više umjetne inteligencije u našim organizacijama, sasvim moguće da se novi propisi mogu razviti u suradnji s AI-jem koji je raspoređen unutar organizacija tako da se oni mogu implementirati na način koji ste opisali u budućnosti. Za sada s tim ne djelujemo.
Eric Kavanagh: Evo pitanja koju ću vam prenijeti, Kim, jer je i ovo zanimljivo. Govorite o prosječnoj latenciji ili vremenu kad se netko prijavi u vaš sustav sakrije i samo čeka - broj dana kada je napadač ostao neispavan unutar mreže - otkrivanje je 200. Zanima me znati što mislite o tome kako poboljšati to, prije svega? Ali također, postoji li način da se ta vrsta pravila koristi za istraživanje vašeg vlastitog sustava? Da istražite svoje vlastite podatke, da učinite bolji posao u održavanju ovih vrsta ljudi?
Kim Brushaber: Da, mislim da je očito rano otkrivanje ključno. Morate shvatiti da ove zlonamjerne web lokacije pristupaju vašim podacima i moći ćete ih zaključati. Mislim da na drugim dijapozitivima gdje pokazujemo da većina organizacija nema takve politike. Zato tamo sjede. Mislim da ako ste zaista imali određenu politiku da prolazite i zaključate svoj pristup i osigurate da pravi ljudi imaju pristup. Obavezno redovito rotirate tipke i ažurirate ih. Pobrinite se da se vaše lozinke redovito ažuriraju i radite takve stvari, što se čini prilično osnovnim. U ovom trenutku, većina organizacija to ni ne radi, a započinjanje tih komada pomoći će vam da se prevaziđete.
To naravno znači da će hakeri biti lukaviji oko toga, ali u ovom trenutku to je jednostavno, „Pogledaću kuće na ulici u koje osjećam da želim provaliti, hoće li oni imati alarm sustavi? Imaju li mali alarmni znak i da jedan ima pse? Idem kod one koja nema znak za alarm, nema psa i to je kuća u koju ću provaliti. "Pa, oni će otkriti tvrtke koje nemaju" nemaju ove zakrpe na mjestu i nemaju sigurnost te ne ažuriraju svoje lozinke i oni će se tamo družiti i nekoliko puta koristiti kreditnu karticu na benzinskoj postaji kako bi bili sigurni. niste je zatvorili i kad oni mogu utjecati na veliku promjenu, obično neka vrsta političke izjave ili na neki drugi način kada ih vidite kako dižu glavu. Ako se postave ta pravila, mislim da u ovom trenutku možete poduzeti nekoliko minimalnih koraka da biste mogli prijeći od ove igre.
Eric Kavanagh: To je vjerojatno najbolji savjet i to uvijek čujem kad razgovaramo s ljudima koji su u sigurnosnom ili regulatornom prostoru, da će osnove pokriti 80 posto vašeg problema, i to je mnogo toga što treba pokriti - to je dobra poanta. Jedan od sudionika pitao je može li netko proširiti poslovne mogućnosti koje bi mogle biti minirane iz nastojanja da se uskladi s GDPR-om, podsjećam na Sarbanes-Oxley, a pretpostavljam, Williame, prebacit ću vam to. Kao savjetnik, uvijek tražite načine kako da pomognete svojim klijentima izvan okvira određenog projekta - barem ako ste dobar savjetnik, to radite. Kada razgovarate s ljudima o GDPR-u, koje su pomoćne pogodnosti koje možete navesti ako se uključe u neki projekt usredotočen na to?
William McKnight: Prije svega, važno je napomenuti da ideja koja stoji iza GDPR-a uopće nije puna prava za građane. Postoji druga strana GDPR-a koja je, ovo će poboljšati povjerenje građana u naše tvrtke i potaknut će ih da posluju više u tvrtkama koje su u skladu. Postoje one dodatne pogodnosti u stvarnom ostvarenju vašeg GDPR-a, sada interno, programi upravljanja podacima koje provodimo služe da olakšaju sve vrste inicijativa, doista, koje se pokreću u organizacijama i danas, većinom daleko, inicijativama koje se pokreću. izvan organizacija. Nedavno sam s mnogim od njih radio neko planiranje za 2018. godinu, oni imaju veze s podacima, puno, oni su poput 65 posto do 90 posto svi podaci - kad govorite o telematici ili programu klijenta 360 ili nadzornu ploču za praćenje prodavača, uglavnom se radi o podacima. Sve što bolje upravlja tim podacima, to ga stavlja u bolju arhitekturu koja imenuje ljude koji su ljudi koji mogu odgovoriti na sva i sva pitanja vezana uz te podatke, do kojih bi zaista bilo važno poput programa za upravljanje podacima. Sve što nam daje pojmovnik podataka - kao što je Kim razgovarala sa svojim alatima - sve što to učini, vrlo je korisno učiniti ove inicijative mnogo učinkovitijima, riskirati ih, smanjiti vrijeme, smanjiti proračun za njih i dobiti nas do agilnog vremena da se brže i brže plasiraju za tvrtke koje poduzimaju inicijative, a to su sve tvrtke.
Eric Kavanagh: Volim taj koncept povjerenja. Mislim da je povjerenje vrlo podcijenjena stvarnost u našem svijetu i iskreno većina poslova posluje na povjerenju - stvarno se to dogodi kad se odmah spustite na to. Prenosit ću vam ih samo na nekoliko zaključnih komentara, Kim. Mislim da je ovdje jedna od glavnih vrijednosti poboljšanje povjerenja i njegovanje kulture povjerenja jer to neće imati samo pozitivne utjecaje na samu tvrtku, ljude koji se nalaze unutar tvrtke, već i ono što javnost percipira jer takva vrsta stvar se prelijeva, čini mi se, ali što mislite?
Kim Brushaber: Da, mislim da kada razgovaram s prijateljima koji rade u Googleu ili rade na Facebooku ili nekim većim, zaista visokim organizacijama, oni ne primjenjuju gotovo toliko novih značajki koliko primjenjuju sigurnosne protokole i performanse i skalabilnosti, jer žele da njihovo korisničko iskustvo bude ono mjesto u koje vjeruju da se mogu pouzdati u te informacije. Mislim da kompanije imaju tu odgovornost dok mi nastavljamo ići naprijed za pružanjem takve vrste povjerenja. Sjećam se kad su ljudi prvi put počeli stavljati kreditne kartice na mrežu i ljudi su poput: "O, Bože, neću davati te podatke vani, jer to nije sigurno."
A sada, vaša kreditna kartica ide u svako dobro jer, teoretski, mislite da možete vjerovati tvrtki jer ima HTTPS certifikat. Tada čujete o kršenju podataka Target gdje kreditne kartice, gdje su bile, "Oh, bolje prodajte svoju kreditnu karticu jer smo ih pustili." Mislim da je to dvosmjerno raspoloženje. Mislim da pojedinci, iako žele da imaju više povjerenja, jer je puno lakše, mogu vjerovati i vjerovati u to u velikim organizacijama, velike organizacije moraju ući i staviti ove dijelove u svoje mjesto da ne učine ' Ne ozlijediti pojedinca ili izgubiti udio na tržištu. Ljudi kažu: "Pa znate što, neću više kupovati u Targetu, sad ću kupovati u Amazoni." Mislim da je povjerenje veliko pitanje, iako je, kao što smo rekli, 78 posto ljudi još uvijek će kliknuti na tu vezu u e-pošti, iako znaju da možda i ne bi. Postoji određena zaštita ljudi, čak i kad vam vjeruju.
Eric Kavanagh: To je dobra poanta. Znate što, ja ću vam postaviti jedno posljednje pitanje, Williame, ili barem još jedno - sad ćemo doći neki dobri. Polaznik piše: „GDPR prebacuje upravljanje identitetom nazad kupcu, tamo gdje i pripada. Equifax je trajno oštetio 149 milijuna potrošača, "vrlo tačno", onečišćujući digitalnu ekonomiju. Koje se promjene događaju u SAD-u u pogledu vlasništva kupaca u pogledu upravljanja identitetom? "
William McKnight: Pa, uvijek smo zaostali u SAD-u kada je u pitanju ovakva stvar, zar ne? Sto četrdeset devet milijuna, to nije ni kap u kanti. To je gotovo poput terorizma, zar ne? Na sve smo navikli, stalno se događa. Mislim da nešto treba učiniti. Mislim da GDPR, volim prava koja daje građanima, ali čini mi se da to nije prioritet - postoji puno drugih prioriteta i ne znam kamo to ide. Mislim da, kao što sam spomenuo u dijapozitivu koji je imao, to signalizira pomak prema većim pravima potrošača u odnosu na njihove podatke. Kad se to dogodi ovdje u SAD-u? Ne znam, moglo bi proći i do pet godina da se vidi nešto proporcionalno GDPR-u koji se događa ovdje u SAD-u. U ovom trenutku samo nagađanja.
Eric Kavanagh: To je zaista dobra stvar i mislim da ćemo se uložiti više napora u vezi s tim, jer, suočimo se, ovih dana krećemo u takvu digitalnu ekonomiju. I kao završni komentar, dobivanje tad filozofskog, orijentiranog na politiku, to me najviše brine o prelasku u bezgotovinsko društvo, jer kad gotovina ode, ako se to dogodi, onda je sve digitalno i svaki sustav može hakirati i identitet svake osobe može se ukrasti. Čini mi se da je prilično velik slon u sobi ovdje, dok gledamo štuku u budućnost upravljanja identitetom.
Sve su to sjajne stvari. Zahvaljujem Williamu McKnightu na današnjem vremenu i pažnji. Hvala Kim Brushaber iz IDERA-e. Sve te internetske emisije arhiviramo za kasnije gledanje, pa se slobodno vratite, obično u roku od samo nekoliko sati i arhiva će biti spremna. S tim ćemo se pozdraviti, ljudi. Još jednom hvala na vašem vremenu i pažnji. Doviđenja.