Izņemšana: Saimnieks Ēriks Kavanaghs pārrunā gaidāmo ES Vispārīgo datu aizsardzības regulu un tās ietekmi uz nozari. Viņam pievienojas Viljams Makkensters no McKnight Consulting Group un Kims Brushabers no IDERA.
Pašlaik neesat pieteicies. Lai redzētu video, lūdzu, pierakstieties vai reģistrējieties.
Ēriks Kavanaghs: Labi, dāmas un kungi, sveiki un vēlreiz sveicam. Tas ir trešdiena pulksten četros pēc Austrumu laika, kas nozīmē, ka atkal ir laiks - viena no pēdējām reizēm 2017. gadā - karstajām tehnoloģijām. Jā, tiešām, mans vārds ir Ēriks Kavanaghs - es būšu jūsu šodienas notikumu moderators. Mēs runājam par tēmu, kas, tā sakot, ir tālejoša. Šobrīd tas nešķiet tāds - GDPR, Globālās datu aizsardzības regulas, jēdziens. Dosimies uz priekšu un ienirsim tieši šajā, tas nav domāts patiesi par jums, pietiek ar mani. Šis gads ir karsts, tas ir bijis ļoti karsts daudzos dažādos veidos, bet, gaidāmie GDPR un citu organizāciju noteikumi, godīgi sakot, liek mums pārdomāt biznesa pasaulē notiekošo, jo īpaši tā rezultātus, vai jo tas attiecas uz datiem. Mēs uzklausīsim Kimu Brushaberi no IDERA un arī Viljamu Makkneitu no McKnight Consulting Group.
Tikai daži ātri vārdi par šo tēmu, ļaudis. GDPR būtībā saka, ka organizācijām ir jābūt privātuma politikai un vispirms drošuma politikai attiecībā uz datiem, un patiesībā tas attiecas uz dažām lietām, kuras jūs, iespējams, esat dzirdējis - piemēram, visas tiesības tikt aizmirstam ir daļēji un daļēji šis viss brīdis, un tas ir ļoti interesants priekšmets. Tas noteikti ir spēkā attiecībā uz principiem un ētiku. Tomēr attiecībā uz faktisko ieviešanu tas ir diezgan nopietns izaicinājums. Tiesības tikt aizmirstam saka - ja vēlaties, lai dažās organizācijās nebūtu jūsu datu, jūsu personiski slepenu datu, tām no tā ir jāatsakās. Nu, jūs varat tikai iedomāties, kad kāda no šīm patiešām neviendabīgajām datu vidēm būs sarežģīta. Lai varētu nokļūt visās vietās, kur jūsu dati ir noturīgi, un tos izvilkt, tas vienkārši nenotiks. Neskatoties uz to, organizācijām ir jābūt ieviestām politikām, lai varētu risināt šīs problēmas, un tieši to es meklēju regulatoros, es esmu diezgan pārliecināts.
Tas ir liels darījums. Organizācijai ir ne tikai jānoņem jūsu dati, ja jūs to sakāt, bet arī tad, ja viņi ir apmācījuši šo datu algoritmus, tehniski viņiem ir paredzēts pārkvalificēt arī šos algoritmus. Tas ir garš pasūtījums, man jums jums jāsaka, bet tas nāk, tas nāk no līdakas, tas nāks par realitāti nākamā gada maijā, un ir arī citi noteikumi. Kanādā ir pieņemti pret surogātpastu pieņemti likumi, kas ietekmē to, kā mēs rīkojamies ar personisko informāciju. Tīkla neitralitāte tagad samazinās līdakā, protams, būtībā tā ir iznīdēta, un tas mainīs dažas lietas. Ir ļoti daudz šo ļoti nopietno noteikumu, kas ietekmē uzņēmējdarbību visā pasaulē un visā pasaulē, par ko lielām organizācijām tiešām ir jāsāk domāt un tām sagatavoties.
Šajā nolūkā mēs esam ieguvuši William McKnight tiešsaistē no McKnight Consulting Groups, lai paziņotu mums, ko viņš domā un kāpēc GDPR patiesībā ir tikai aisberga redzamā daļa. Ar to, Viljams, es tev to nodos. Ņem to prom.
Viljams Makneids: Paldies, Ēriks, un kā jūs sakāt, kā saka slaids, šis GDPR, iespējams, ir aisberga redzamā daļa - tas noteikti ir tas, ko mēs domājam. Ir svarīgi padziļināti iedziļināties GDPR, jo es domāju, ka tas ir tāds regulēšanas vilnis, kas nāk lejup pa cauruļvadu, ar kuru mums jāsaskaras. Par laimi, Ēriks, ap šīm tiesībām aizmirst ir daži pamatoti standarti, pie kuriem es nokļūšu. Bet, neskatoties uz to, ka es šogad staigāju, runājot par GDPR, es domāju, ka ir daudz firmu, it īpaši ASV firmu, kuras tam vēl nav gatavas. Tas noteikti ir karsts un kaut kas tāds, par kuru mēs noteikti nedomājām pirms gada, kad viņi tikai izmēģināja dažas lietas, bet tagad tā ir regula, un mums tas ir jārisina, kā jūs teicāt, Ēriks, maijā var pienākt te augšā - nemaz tik tālu nemaz nav.
Mazliet par mani, es apskatīšu to no datu viedokļa. Es jums saku, ka es esmu mūžīga datu persona, un es jau 19 gadus konsultējos datu telpā, un GDPR ir daudz par datiem. Es šeit ierosināšu virkni risinājumu, jo es iedziļinos savā prezentācijā par datu pārvaldību. Acīmredzot esmu veicis daudz datu pārvaldības programmu, un es domāju, ka, ja jūs esat saskaņots ar šo jēdzienu, jūs veicat kādu datu pārvaldību, daudzi uzņēmumi, kas atrodas tur, būs diezgan tālu patiesībā - līdz GDPR ievērošanai, taču būs daudz, un, atklāti sakot, tie, kas atrodas pārvaldībā un līdz ar to diezgan atpaliek no to sagatavošanas GDPR. Šeit iestatīsim līmeni un sapratīsim, kas ir GDPR, un, iedziļinoties sarunā, mēs iedziļināsimies vairāk GDPR izpausmēs uzņēmējdarbības dzīvē, virzoties uz priekšu jaunajā gadā un pēc tā.
GDPR ir paredzēts Eiropas Savienības pilsoņu datu privātumam. Tā ir regula - nozīmē, ka tai ir zobi, nozīmē, ka tā ir izpildāma. Tas nav kaut kas tur izteikts kā ieteikums - tas jau notika, un tagad tas ir pārveidots par regulu ar sodiem. Man patīk sākt ar sodiem, jo tas tiešām pievērš cilvēku uzmanību. Tie ir stingri sodi. Ir divi sodi, 2 procenti no pasaules gada ienākumiem vai 10 miljoni eiro, ja bizness nepilda drošības saistības, bet viss pārējais, pārkāpjot citus noteikumus - un es tos iejaukšos - ir 4 procenti. Jūs dzirdat, ka tas bija bandiedēts par - 4 procentiem. Starp citu, tas ir 4 procenti vai 10 miljoni eiro, atkarībā no tā, kurš ir lielāks. Tas ir ļoti stingri. Cilvēki to uztver ļoti nopietni. Izpilde sākas 25. maijāth, 2018. gads - tas ir galvenais datums, tas ir, kad var sākties audits, tas ir, kad jūs varat saņemt naudas sodu. Noteikti vēlaties būt tam gatavs. Ikviens uzņēmums, ar kuru es nodarbojos, es sadarbojos ar daudziem Global 2000 uzņēmumiem, viņi kaut kur gatavojas GDPR, daži vairāk nekā citi, un dažiem šajā brīdī ir jābūt vairāk nekā citiem. Noteikti būs grūti izaicināt dažus ievērot šo datumu, un mēs to redzēsim.
Tas ir visprecīzākais datu privātuma ievērošanas režīms, kādu mēs līdz šim esam redzējuši. Kad mēs redzēsim kaut ko stingrāku vai kaut ko, kas, iespējams, tiešāk ietekmē ASV iedzīvotājus, kurš zina, bet tas ir tur, un tas noteikti ir jāievēro. Tas prasa, lai organizācijas saprastu, kas ir UE pilsoņa PII - mēs esam pazīstami ar PII tiesībām - personiski identificējama informācija, sociālais nodrošinājums, tālruņa numurs, adrese, lietas, kas var unikāli identificēt personu vai diezgan diezgan unikāli identificēt personu. Kas viņiem ir un kā viņi to izmanto. Tas nozīmē inventāru. Tas nozīmē regulējumu jūsu uzņēmumos attiecībā uz šāda veida datiem. Starp citu, ASV nav nekāda veida valsts datu aizsardzības likuma. ASV vienmēr ir bijuši - es teikšu aiz muguras, perspektīvā - aiz Eiropas šāda veida regulējuma ziņā, un tas turpinās. Tas turpinās ar GDPR, tas ir diezgan acīmredzami. Daži no jums, iespējams, zina par privātuma vairogu, jums varbūt par to rodas jautājums. GDPR ir apmēram trīs vai četri noteikumi, kuriem ir jebkāda pārklāšanās ar privātuma vairogu, bet GDPR ir simts noteikumu, tāpēc tas ir daudz vairāk nekā tas, un, protams, tas joprojām ir spēkā, un tas ir saistīts ar ASV un ES datu apmaiņu. tikai, kaut arī tas ir svarīgi.
Atkal man patīk sākt ar skaitļiem. Jūs dzirdējāt par soda naudām, kā ir ar to, kā jūs tam gatavojaties. Budžeta sastādīšana GDPR un daļa no tā ir atkarīga no dažiem faktoriem. PII datu apjoms, ko jūs savācat par ES pilsoņiem. Ja jūs neko neveicat, labi, jūs, iespējams, esat saderīgs ar jums un jums tas nav jārisina, taču jūs, iespējams, uz šo zvanu, jo kaut kur tos savācat. Jūsu uzņēmuma lielums un datu pārvaldības briedums, kas, kā jau teicu iepriekš, iespējams, tuvojas tam, kas jums jādara, lai reaģētu uz GDPR. Jūs varat sagaidīt līdz vairākiem miljoniem USD vai eiro, atkarībā no gadījuma, par atbilstību. Tomēr mēs vēlamies, nevēlamies tikai ievērot GDPR, pārbaudīt šo rūtiņu, protams, ka mums tas bija jādara. Cerams, ka jūs neesat tik šausmīgā situācijā, kad jūs vienkārši izmisīgi vēlaties atzīmēt šo rūtiņu. Meklējiet ieguvumus uzņēmējdarbībai, jo daudzas lietas, ko darāt, lai atbalstītu GDPR, ir noderīgas jūsu biznesam. Datu pārvaldība ir izdevīga jūsu biznesam. Runājot par PII datu daudzumu, daži ir svarīgāki par citiem, daži tiks pārbaudīti vairāk nekā citi, piemēram, veselība, kas saistīta ar datiem, GDPR regulēs daudz stingrāk nekā citi datu veidi, un tiem būs nepieciešama atbilstība ar papildu pienākumiem, piemēram, veikt datu aizsardzības ietekmes novērtējumus, kas acīmredzami palielina jūsu budžetu.
Nedaudz par budžeta veidošanu. Gadījumā, ja atrodaties Lielbritānijā vai ASV un domājat, kā tas jūs ietekmē, - GDPR, starp citu, līdz 29. martam ietekmē ASV, kura joprojām atrodas ES,th un kuru valdība ir norādījusi, ka kaut kas līdzīgs GDPR turpināsies arī pēc šī datuma, jo “Tā ir laba ideja.” Lielbritānijas uzņēmumiem tas ir jāievēro. Apvienotās Karalistes pilsoņu dati par to noteikti ir pieejami. Ja nav skaidrs, vai ir ASV uzņēmumi, kas nodarbojas ar ES, ar ES pilsoņu datiem, tas noteikti attiecas uz jums. Tas ietekmē jūsu datu arhitektūru, jo jums var nākties atdalīt ES datus no visa pārējā un izturēties pret tiem atšķirīgi. Kā Ēriks teica, tas ietekmē analītiku, kā jūs apkopojat šo analītiku utt. Tagad var būt grūtāk panākt jebkāda veida koncepcijas plašu, globālu analīzi. GDPR rezultātā tie var kļūt lokalizētāki.
Kas ir noteikumos? Ir datu aizsardzības standarti. Tas viss, izņemot diktēto, datu šifrēšanu miera stāvoklī un kustībā. Tālāk es runāšu par šifrēšanu. Pastāv datu pārkāpumu paziņošanas standarti. Neviens no šiem mēnešiem ilgi negaida, gaidot ceturtdaļas, par kuriem visi varēs uzzināt. Es domāju, ka otro dienu bija liela, un mēs uzzinājām: “Ak, tas notika pirms gada.” Neviens no tiem ar GDPR - jums ir 72 stundas. Tā ir vārda un kauna politika. Cerams, ka neviens to nenokļūst, noteikti daži cilvēki to darīs. Pārkāpumi turpināsies, pat pēc GDPR, protams. Ir procesi, lai uzraudzītu datu atrašanās vietu un kvalitāti. Izklausās pazīstams? Tas patiešām ir datu pārvaldības pamats. Cerams, ka daži no jums dosies.
Kā pieminēja Ēriks, ES pilsoņiem ir tiesības tikt aizmirstam. Ērikai, tam ir daži pamatotības standarti. Jums nav obligāti jāiznīcina viss, ja jums var nākties atkārtoti sazināties ar šo klientu, šo darbinieku, jums ir atļauts saglabāt noteiktus viņu personas datu aspektus. Tomēr, neraugoties uz to, šiem pilsoņiem ir tiesības tikt aizmirstiem, taču nevar būt nesamērīgi daudz pūļu - tā ir valoda -, lai jūs kaitētu uzņēmumam, tas ir, jums ir jāiznīcina šie dati. Es nevēlos to mazināt, taču jums ir jāizdod arī turēto personas datu kopijas, un šos datus varat iegūt tikai ar piekrišanu. Piekrišana ir jāsniedz cilvēkiem, kuri ir sasnieguši minimālo vecumu, lai piešķirtu šādu atļauju. Tas tur ir tikai kumoss, bet tas pilsoņiem dod daudz tiesību uz viņu datiem. Tā ir pārnesamība turpat, ja tā rodas. Datu subjektam nepārprotami ir tiesības tikt aizmirstam, un tas ir kaut kas tāds, kas nav manā slaidā, un tas ir diezgan svarīgi - datu subjektam ir tiesības netikt pakļautam lēmumam, kura pamatā ir tikai automatizēta apstrāde. Uz ko mēs esam cītīgi virzījušies? Automatizēta apstrāde ap aizdevuma pieņemšanu un to, ko mēs piedāvājam, tas viss ir jāizstrādā, ņemot vērā, kā tas tiks veikts un cik tālu tas notiks. Tas būtībā saka - caurspīdīgums ap to, kāpēc es tiku noraidīts, kāpēc šī sabiedrība pret mani izturas zināmā veidā. Tas šobrīd ir piešķirts ES pilsonim.
Acīmredzot ir dažas iezīmes, kā mēs veicam uzņēmējdarbību, un, cerams, ka jūs redzat, ka GDPR nav IT, bet tikai IT problēma. Visi šie biznesa procesi ir iesaistīti. Tajā būs iesaistīti cilvēki no visa uzņēmuma. Datu aizsardzības inspektora iecelšana ir ieteicama tiem uzņēmumiem, kuros ir vairāk nekā 250 darbinieku, un jums ir “kritiska matemātika ar ES PII datiem”. Jūs pats varat izlemt, vai jums ir šī kritiskā matemātika, dažreiz tā ir acīmredzama, dažreiz tā nav. Bet tur ir jauna loma - tai nav jābūt pilnas slodzes lomai, cilvēkam var būt citi pienākumi, bet es nezinu - dažās vidēja lieluma un lielākās korporācijās es domāju, ka ievērojot GDPR, pietiks būt tuvu pilnas slodzes darbam. Es teiktu, ka sāciet šādā veidā un redziet, vai jūs varat tikt galā ar to. Īpaši nākamā gada laikā, kad jūs sakārtojat savu rīcību ap GDPR, kad tā jau ir nokārtota, varbūt jūs varat palēnināt darbu pie šī, bet tas dažiem uzņēmumiem prasīs diezgan daudz laika. Ļaujiet indivīdiem redzēt savus datus un datu pārnesamību, kā es minēju iepriekš.
Starp citu, tas nebūt nav nekas jauns, bet patiesībā ir tiesības tikt aizmirstam, ticiet vai nē. Pašreizējie ES noteikumi jau paredz tiesības uz personas datu dzēšanu vai padarīšanu nepieejamu. Tomēr tagad tā ir daļa no GDPR, un tā tiks ieviesta daudz plašāk. Datu šifrēšana - šifrējiet savus datus miera stāvoklī. Izmantojiet standarta šifrēšanas metodes, nelietojiet savu pašmāju vai nestandarta šifrēšanu. AES ir tas, ko mēs iesakām diezgan daudz. Izmantojiet kriptogrāfiski drošas šifrēšanas atslēgas. Mainiet šīs atslēgas periodiski. Nepieļaujiet arī šo taustiņu pazušanu. Tā ir tikai laba šifrēšanas prakse, taču tagad tā nonāk priekšplānā ar GDPR. Tajā slēpjas problēma - es esmu trāpījis tikai aisberga galā. Acīmredzot ir vairāk noteikumu, kas jāizskata, taču tie ir galvenie.
Tagad, risinājums. Datu pārvaldība, jūsu atbilstības ietvars, vismaz to ir perspektīva, ko es šeit izvirzīju. Par laimi, pastāv aktīva labi papēžota disciplīna, kas var un dara, kad nobriedusi, ievērot lielāko daļu prasību, un tā ir datu pārvaldība - acīmredzot es to saku. Pārvaldības programmām vajadzētu būt datu glosārijam, un šeit es izmantoju datu glosāriju vispārīgā nozīmē, lai visā procesos apzīmētu jūsu procesus. Tas ir pamatoti, lai kalpotu GDPR inventāra vajadzībām, kas, kā mēs redzējām, ir diezgan milzīgas. Programmai, pārvaldības programmai, vajadzētu atvieglot datu drošības protokolus - un es uzsveru, ka tas nav kaut kas tāds, ko šobrīd dara daudz datu pārvaldības programmu, bet es domāju, ka tas ir loģiski, ja tas ir jādara, jo viņi sēdi pie programmas, kas nosaka, kas ir uzņēmumu īpašnieki? Kam tas jāredz? Un tad nākamais solis ir piešķirt šīs atļaujas. Tas ir jācentralizē, tas jāformalizē. Jāizmanto iekšējā politika. Pārvaldība ir jāpiešķir visiem elementiem, lai sniegtu ieguldījumu visos iepriekšminētajos. Datu pārvaldība var būt arī biznesa procesu inženierijas veicinātāja, kas būs nepieciešama.
Pirms es pametu šo slaidu, cenšoties izvairīties no sīvajiem naudas sodiem, uzņēmumi kā blakusproduktu izmantos pareizu uzņēmējdarbības praksi. Man patīk teikt, ka tas ir vairāk nekā blakusprodukts, bet patiesībā tas ir tikai labs, pamatots bizness, kas no biznesa viedokļa jūs var novest pie jaunām vietām. Protams, jūs gūsit lielu efektivitāti visu iniciatīvu veikšanā, ja vien jums ir pareiza datu pārvaldība, un to es esmu redzējis gadu gaitā. Datu pārvaldībai pievienojot dažas no šīm lietām, kuras es pieminu, tās kļūs tikai labākas. Savā biznesa procesu inženierijā mēs iesakām uzdot šos jautājumus visumā, skarot katru biznesa jomu. Kādus datus mēs vācam par mūsu ES klientiem? Es tos visus neizlasīšu. Daži no galvenajiem šeit. Kam ir jāredz šie dati, un vai tas tiek ievērots? Kurš ir šo datu pārzinis? Kas ir mans tiešais bizness? Tas ir liels: vai mēs kopīgojam šos datus ar trešajām pusēm? Tikai tāpēc, ka jūs to piešķirat trešai pusei, tas neattaisno jūsu atbildību par šiem datiem - tie joprojām ir jūsu dati, tie joprojām ir jūsu apkopotie dati. GDPR rezultātā tagad ir daudz trešo personu līgumu, kas tiek rūpīgi pārskatīti. Vai šīm sistēmām ir deterministiskas kļūmes? Nozīmē, kad viņi cieš neveiksmes, viņi nonāk mūsu jau iepriekš noteiktā ceļā, vai arī viņi vienkārši neizdodas, sabojājas, sadedzina un mēs sākam no nulles, kad to meklējam? Acīmredzot būs daudz labāk. Tā jau ir laba prakse, bet, protams, daudz labāk, ja daži no šiem materiāliem tiek pārveidoti, ja jūsu sistēmā ir lielas deterministiskas kļūdas.
Datu saglabāšana, mēs esam runājuši par datu saglabāšanu mūžīgi. Daudziem uzņēmumiem ir politika, tomēr ne visi tos ievēro. Acīmredzot, slaveni veselības aprūpes un finanšu jomā, mēs vēlamies saglabāt datus, mums tie ir jāglabā noteiktu gadu skaitu. Daži analītiķi šajās firmās, kas glabā datus par septiņiem gadiem vai plankumu, saka: “Ak, pēc šī perioda es joprojām gribu tos datus.” Daži no šo uzņēmumu juristiem saka: “Bet mums no tā ir jāatbrīvojas. atbildības nolūkos ”un tā tālāk. Tas nevar vienkārši vienkārši sēdēt, jo tas jau ir jautājums par žurnālgalvām saistībā ar GDPR. Mums ir jābūt saglabāšanas periodam, ja tas tiek konsekventi ievērots visā organizācijā.
Visbeidzot, kā jūs mobilizējat datu pārkāpumu dēļ? Šie sliktākā gadījuma scenāriji, kas varētu notikt ar jums. Acīmredzot mēs cenšamies tos novērst, bet kas notiks, ja tas notiks? Kā jūs varat sarīkot lietu un pārliecināties, ka jūs savā atbildē tagad ievērojat GDPR noteikumus? Es esmu datu arhitekts, es domāju par datu arhitektūru. Ja esat ASV uzņēmums, kas darbojas ES, ar to saprotot ES pilsoņu datus - jūs tos apkopojat, jums būs jāapsver, vai datu aizsardzības standartus piemērot visiem datiem vai tikai ES datiem. Jā, man ir klienti, kuri tagad pieņem šo lēmumu. Kā laba biznesa prakse, viņi, iespējams, vēlēsies to nodot ASV, tomēr var just, ka viņiem ir laiks, taču tas nozīmē otro aizzīmi. Jums var nākties atdalīt ES datus no ASV sistēmām, ja nevarat pārliecināties, ka ASV sistēmas atbilstoši apstrādā datus. Vai šie dati ir atsevišķi analīzes vajadzībām? Vai analītika ir derīga pat tad, ja mēģināt to darīt visā valstī? Dažreiz jā, dažreiz nē, vai ne? Iespējams, ka jūsu analīze tiks izslēgta.
Kā es minēju iepriekš, mākslīgais intelekts šeit darbojas, jo acīmredzot mēs varam izmantot AI, lai atrastu visus datus, palīdzētu mums atrast visus datus, bet, ja mēs izmantojam AI mūsu klientu saskarnēs, mums tagad ir jābūt pārredzamiem ar klientu saskarnes, un tas nekad nav bijis AI spēcīgs uzvalks. Lai mēģinātu pateikt klientam: “Jūs tikāt noraidīts, jo bla, bla, bla,” kad tas tiešām bija AI. Tas tagad ir jādara. Mums ir jāizdomā, kā darbojas AI, kādi ir faktori? Es vairs nevaru vienkārši sēdēt tur un būt melna kaste. Ko tagad darīsim? Izveidojiet savu GDPR valdi. Es iesaku tur ievietot savu vecāko privātuma inspektoru vai, ja jums ir datu aizsardzības inspektors, acīmredzot šī persona. Datu pārvaldības, operacionālā riska un / vai atbilstības vadītāji pēc vajadzības, IT vadītājs, CIO, ja tā ir persona. Ja jums ir mainīta vadības persona, tas tur būtu lieliski. Tikai dažu vissvarīgāko departamentu vadītāji visā jūsu biznesā un arī personāla daļas vadītājs, jo privātuma apmācība tagad būs milzīga. Visi gatavojas iegūt privātuma apmācību vai arī viņiem vajadzētu saņemt privātuma apmācību, ieejot uzņēmumā, pat konsultantiem.
Ja jūs neveicat šīs šeit redzētās lietas, jums būs jāpārvietojas ātrāk, nekā jūs vēlētos noteikt termiņu. Jums arī jāsāk cerēt, ka jūs neesat viens no pirmajiem, kas saņem revīziju, jo, atklāti sakot, šeit ir daudz darba, ja jūs sākat no nulles un jūs apstrādājat daudz ES pilsoņu datus. Nomājiet savu DAI, inventarizējiet savus datus un procesus. Izveidojiet šo datu pārvaldības plānu, ņemiet to no turienes, kur tas ir. Iespējams, vēlēsities to sākt. Izstrādājiet savas privātuma politikas un paziņojumus par politiku. Privātuma politikas ir iekšējas. Politikas paziņojumi ir ārēji. Mēs redzam, ka tagad ap politikas paziņojumiem sāk veidoties kultūra. Ap šiem politikas paziņojumiem ir veikts daudz salīdzinājumu un izdarīts daudz rūpīgu formulējumu. Atzīmējiet GDPR atbilstības pārbaudi visām sistēmām, ieskaitot jaunās sistēmas. Jums, iespējams, nāksies tos secīgi secīt un izdarīt kaut kādā nozīmīguma secībā, bet tas ir vēl viens veids, kā risināt problēmu. Apskatiet sistēmas un to, ko tām vajadzētu darīt, un kā tās apstrādā šos datus.
Ko signalizē GDPR? Par to mēs šeit esam, lai mazliet vairāk parunātu. Es ļoti gaidu, ko Kims par to saka. GDPR ir datu privātuma kontroles maiņa uz regulējumu. Tā ir tendence uz caurspīdīgumu, tā ir skaidri teikta noteikumos. Mēs, kā jau runāju, mēs veidojam šo privātuma paziņojumu kultūru. Mēs redzēsim konferences par paziņojumiem par privātumu utt. GDPR maiņa ir vērsta uz cilvēku pamattiesībām. Tiks izstrādāti atvērtie jautājumi. Ir skaidri atklāti jautājumi, un dažus no tiem es šeit esmu atstājis uz galda. Nevienam nav atbildes. Viņi tiks izstrādāti. Tendence panākt indivīdu labāku izpratni par viņu datiem un to izmantošanu. Es domāju, ka tas ir palielinājis ES iedzīvotāju informētību par viņu datu nozīmīgumu un redzējis, ka viņiem kā vienam no personīgajiem īpašumiem ir jāpārvalda vairāk. Tas ir daži no agrīnajiem signāliem, ko esmu redzējis, un Ēriks, es jums to atgriezīšos tagad.
Ēriks Kavanaghs: Labi, atļaujiet man atdot atslēgas Kimam, kurš var dalīties ar viņas viedokli, bet, manuprāt, Viljams, tas bija labs pārskats, un jūs trāpījāt galvenajos punktos - proti, ka šis noteikti nonāks līdakā un mums ir visiem jābūt ļoti uzmanīgiem, atklāti sakot. Ar to ļaujiet man atslēgas nodot Kimam, un jūs varat dalīties ar savu ekrānu un ņemt to no turienes.
Kims Brushabers: Sveiki, vai jūs mani dzirdat?
Ēriks Kavanaghs: Es tevi varu dzirdēt.
Kims Brushabers: Satriecošs. Viljamss aptvēra dažas no tām pašām lietām, kuras es gatavošos aplūkot, bet es domāju, ka tās ir vērts atkārtot, jo tās ir patiešām svarīgas. Es domāju, ka tad, kad tiek pieņemti jauni noteikumi, ir patiešām labi iegūt daudz dažādu cilvēku skatījumu un interpretāciju, lai kaut kas rosinātu jūsu prātu un ļautu jums kļūt vēl labākiem par atbilstošiem. Mani iedrošina visi cilvēki, kuri atsaucas uz šo aicinājumu un vēlas uzzināt vairāk, jo, manuprāt, nāks 25. maijsth, var būt daudz panikas uzņēmumiem, kuri pēc tam tiek vajāti, bet neatbilst noteikumiem.
Mani sauc Kims Brushabers, IDERA vecākais produktu menedžeris. Manā rīcībā ir vairāki produkti, kas palīdz gan ar GDPR, gan arī citu noteikumu ievērošanu. Es apskatīšu daļu no informācijas. Es sākšu ar dažiem faktiem un dažiem skaitļiem, pēc tam nedaudz iedziļinoties GDPR un tad konkrēti, kā mūsu rīki var jums palīdzēt. Viens fakts ir tāds, ka katru dienu tiek zaudēti vai nozagti vairāk nekā 5 miljoni datu ierakstu. Mēs nedzirdam, ka tas tiek ziņots par jaunumiem, un mēs nedzirdam, ka tas nāk no citām vietām, taču ir vairāk nekā 5 miljoni datu ierakstu, kas visu laiku tiek nozagti tieši no mums. Vidējais dienu skaits, kurā uzbrucēji neaktīvi darbojas jūsu tīklā, ir 200 dienas. Daudzās sistēmās jau ir iefiltrējušies cilvēki, kuri ar ļaunprātīgiem nodomiem gaida tikai iespēju izmantot jūsu informāciju, galvenokārt drošības un sertifikātu ietvaros, bet viņi tikai gaida, kad uzklups. Tieši tāpēc jūsu datu drošība ir kļuvusi arvien svarīgāka. Tiek prognozēts, ka vidējās viena datu pārkāpuma izmaksas 2020. gadā pārsniegs 150 miljonus ASV dolāru, jo lielāka biznesa infrastruktūra tiks savienota ar tiešsaistes resursiem un vairāk lietu pacelsies mākonī. Tas ir labs budžeta numurs, ja jūs patiešām uztrauc datu drošība, ko dot savai vadītājai komandai, pateikt viņiem, ka šī ir nopietna lieta un varētu turpināt maksāt daudz naudas.
Es īsumā pārdomāšu Equifax datu pārkāpumu, jo, manuprāt, tas bija lielākais datu pārkāpums 2017. gadā, lai parādītu priekšstatu par to, kas tam patīk iziet cauri. Pārkāpums skāra 145,5 miljonus klientu. Darbinieki drošības problēmu ar savu tīmekļa lietojumprogrammu atzina divus mēnešus pirms pārkāpuma izdarīšanas. Darbinieki teica: “Šī ir problēma.” Un pat nedaudz pirms tam, kad plāksteris faktiski iznāca. Kad notika pārkāpums, pagāja pilna diena, lai reaģētu uz to un padarītu tīmekļa lietojumprogrammu bezsaistē. Tā kā Equifax nebija noteikta datu drošības protokola, viņiem aizņēma daudz laika, lai pat izdomātu, kas notiek, un pēc tam varētu sistēmu pārņemt bezsaistē. Sešas nedēļas pēc pārkāpuma sabiedrība tika brīdināta. Izmantojot GDPR - kā mēs jau teicām iepriekš, un es teikšu vēlreiz - jums jāziņo 72 stundu laikā, un Equifax būtu sasietu rokas un nebūtu varējis izpildīt šo atbilstību, jo viņi gaidīja sešas nedēļas, lai ziņotu par to. Paziņojumā, lai reaģētu uz pārkāpumu, bija iekļauta vietne, kas pat Equifax nepiederēja. Pati Equifax retweetēja šo tvītu, kura nebija pat viņu domēnā - viņi bija apgriezuši dažus vārdus apkārt. Par laimi, tā nebija guvusi ļaunprātīgu vietni, bet acīmredzot nebija sagatavota. Viņiem nebija izstrādāts plāns, un tas ļoti labi kļuva zināms sabiedriskajā arēnā. Equifax nav viens pats - līdz šim 2017. gadā ir bijuši vairāk nekā 25 ļoti augsti kiberprofila uzbrukumi, un līdz gada beigām mēs joprojām varētu atrast vairāk. Uzņēmumiem patiešām ir jāsāk to uztvert nopietni, jo cilvēki tur atrodas, un, ja jūs viņiem norādāt iemeslu, lai jūs gribētu pie jums, jūs labāk būtu gatavs, ka varēsit rīkoties.
Daži citi fakti un skaitļi par to, kā indivīdi raugās uz datu drošību. Līdz 2020. gadam būs 30 miljardi ierīču, kas savienotas ar internetu caur mūsu mājām, caur mūsu valkājamiem tālruņiem, planšetdatoriem un kas zina, kas vēl varētu nākt nākamajos gados. Ir daudz un daudz ierīču, kuras ir pakļautas šiem uzbrukumiem. Četrdesmit deviņi procenti amerikāņu uzskata, ka viņu personiskā informācija ir mazāk droša nekā tā bija pirms pieciem gadiem. Septiņdesmit trīs procenti patērētāju Amerikā vēlas, lai uzņēmumi būtu pārredzami attiecībā uz viņu personas datiem. 78 procenti cilvēku apgalvo, ka apzinās risku, noklikšķinot uz nezināmām saitēm un s, taču viņi tik un tā noklikšķina uz šīm saitēm - tas ir vairāk nekā trīs ceturtdaļas mūsu iedzīvotāju, un viņi joprojām noklikšķina uz saitēm, kaut arī viņi zināt, ka tā varētu būt problēma. Astoņdesmit seši procenti interneta lietotāju aktīvi cenšas samazināt, anonimizēt un slēpt savu digitālo pēdu redzamību. Man patēvam patīk aizbraukt un radīt viltus vārdus, aizpildot veidlapas, jo, viņaprāt, tas viņu padara anonīmu, taču maz zina, ka arī viņa IP adrese tiek izsekota. Tas attiecas uz daudzām individuālām lietām, un tas ir tas, kas rada daudz GDPR noteikumu un, iespējams, papildu regulu, kas tiks ievērota.
Ciktāl tas attiecas uz datu drošības nozares faktiem, 90 procentus no pārkāpumu datu ierakstiem 2016. gadā nāca no valdības, mazumtirdzniecības un tehnoloģijām. Četrdesmit trīs procenti kiberuzbrukumu uzbruka mazajiem uzņēmumiem. Ja jūs domājat: “Ak, es neesmu liels puisis, viņi negrasās man sekot”, joprojām ir gandrīz puse no tiem, kas seko maziem uzņēmumiem. Pagājušā gada laikā 75% veselības aprūpes nozares darbinieku bija inficēti ar ļaunprātīgu programmatūru. Pēdējā gada laikā tika uzlauzti septiņdesmit procenti ASV naftas un gāzes uzņēmumu. Tas ievērojami ietekmē dažādas dažādas nozares, kuras darbojas un darbojas, un šis skaitlis tikai palielināsies no šejienes.
Raugoties uz to no izpildvaras perspektīvas, 90 procenti CIO atzīst, ka tērē miljoniem dolāru nepietiekamas kiberdrošības dēļ. Deviņdesmit procenti arī saka, ka viņiem ir uzbrukuši vai viņi sagaida, ka viņiem uzbruks puiši, kas slēpjas šifrēšanā. Astoņdesmit septiņi procenti uzskata, ka viņu drošības kontrole nespēj aizsargāt viņu biznesu. Astoņdesmit pieci procenti CIO paredz, ka viņu atslēgu un sertifikātu ļaunprātīga ļaunprātīga izmantošana pasliktināsies. Tas ir milzīgs skaits uzņēmumu, kas izskata šo datu drošības problēmu, un realitāte ir tāda, ka daudziem no tiem nav ļoti labu risinājumu, lai pat spētu tikt galā ar to, kad tas notiek, kaut arī viņi uzskata, ka tas notiks.
Kad mēs skatāmies uz tā sagatavotību, 2014. gadā 70 procenti tūkstošgadu cilvēku atzina, ka viņi savā uzņēmumā ienesuši ārējas lietojumprogrammas, pārkāpjot IT politikas. Septiņdesmit procenti tam atzina - iespējams, ir pat lielāks skaits, kas to tiešām izdarīja. Piecdesmit divi procenti organizāciju, kas cieta veiksmīgus kiberuzbrukumus 2016. gadā, 2017. gadā neveica nekādas izmaiņas savā drošībā. Kaut arī viņi vienreiz tika uzbrukuši, viņi joprojām negāja un nestāvēja līdz sienām - viņi ir tikpat neaizsargāti kā viņi bija pirms uzbrukuma. Tas patiešām rada jautājumu: kas uzņēmumiem jāsāk darīt, lai sagatavotos šīm lietām? Trīsdesmit astoņi procenti pasaules organizāciju apgalvo, ka ir gatavas rīkoties ar sarežģītu kiberuzbrukumu. Tas ir labi - gandrīz puse ir klāt, un es ar to esmu dāsna, mēs patiešām esam tikai trešdaļā, bet joprojām ir vismaz puse, kas saka: “Es neesmu gatavs. Ja man uzbrūk, es neesmu gatavs, un hakeri to zina. ”Trīsdesmit astoņiem procentiem organizāciju ir izstrādāts reaģēšanas plāns kiber incidentu gadījumos. Lielākā daļa uzņēmumu atrodas tajā pašā spainī kā Equifax, kur viņi nezina, ko viņi darīs. Ja viņi to iegūs, viņiem būs jāreaģē un jānāk klajā ar šīm lietām lidojumā, un tādi noteikumi kā GDPR saka: “Jums tie ir jāievieš savā vietā. Jums tie ir jāpublicē. Tas jums jāpierāda drošības auditoriem. ”Cerams, ka ar šādām sekām, piemēram, ar tādiem noteikumiem, mēs spēsim iziet no šīs līknes un tā vietā, lai būtu reakcionāri, mēs varam būt proaktīvi savās darbībās.
Parunāsim mazliet par GDPR. Daži no šī Viljama jau ir aptvērušies, bet es turpināšu to atkārtot, tikai ņemot vērā manu balsi, manu skatījumu. Daudzi uzņēmumi, ar kuriem es runāju, ir šādi: “Es esmu ASV, kāpēc man pat vajadzētu rūpēties par šo ES regulu?” Fakts, ka arvien vairāk cilvēku nemudina un vairāk cilvēku nerunā viņi domā, ka tas ietekmē tikai ES locekļus, bet es jautātu, vai, aplūkojot šo sarakstu, jūs savācat kādu no šiem datiem no ES dalībvalstīm? Ja jūs vispār savācat kādu no šīs informācijas, uz jums attiecas GDPR robežas, kā arī sodi par neatbilstību. Es jums veltīšu brīdi, lai vienkārši kaut ko absorbētu un saprastu. Kā Viljams iepriekš minēja, šie ir sodi un sankcijas, kā minēts GDPR 83. pantā. Sākumā jūs, iespējams, saņemsit sitienu pa roku, mazliet brīdinot, sakot: “Hei, sadarbojies. Ievietojiet to vietā. ”Bet, ja jums ir patiešām liels pārkāpums - un atkarībā no tā, cik liels darījums tas ir - viņi atgriezīsies pie jums, lai saņemtu restitūciju, un tas ir ievērojams skaits. Ne 10 miljoni, bet 20 miljoni eiro jeb 4 procenti no jūsu apgrozījuma / ieņēmumiem no iepriekšējā gada. Tā ir liela nauda. Tas ir liels budžets, lai aizietu jūsu izpilddirekcijām un teiktu: “Tas ir kaut kas, kas mums ir jāsāk uztvert nopietni, un mums jārīkojas.”
Ļaujiet man nedaudz aplūkot GDPR principus, kas izklāstīti 5. pantā. Viena no lietām, ko viņi saka, ir tas, ka personas dati jāapstrādā likumīgi, taisnīgi un pārredzami. Tas nozīmē, ka sabiedrība vēlas uzzināt, ko jūs darāt ar viņu datiem. Esiet pārredzams attiecībā uz to, un tas ir jāpublicē. Lielākā daļa cilvēku nelasa noteikumus un nosacījumus, taču šī ir jauna informācija, kas jums jāspēj sazināties, lai jūs varētu viņiem pateikt: “Jūsu dati tiek atbilstoši apstrādāti.” Personas dati jāvāc par noteiktu, skaidri un likumīgi mērķi. Tas nozīmē, ka, cerams, mēs varēsim atbrīvoties no dažām no šīm surogātpastu vietām, kur uzņēmumi apgalvo, ka vāc informāciju viktorīnai, kas stāsta, cik interesanti jūs varētu būt, un patiesībā viņi ņem jūsu datus un pārdod tos atpakaļ kādam citam. , lai varētu izmantot jebkuriem mērķiem. Uzņēmumiem tagad jābūt daudz atbildīgākiem un precīzi jāpasaka, par ko viņi izmanto jūsu informāciju. Viņi arī saka, ka personas datiem jābūt adekvātiem, atbilstošiem un ierobežotiem ar nepieciešamo. Daudziem uzņēmumiem patīk paņemt visu savu informāciju un ievietot to lielā datu krājumā, un tad viņi izdomā, ko viņi ar šo informāciju vēlas darīt vēlāk, un viņi savāc daudz vairāk, nekā varētu būt nepieciešams. Tas nozīmē, ka jūs to nevarat savākt un izmantot kaut kur citur. Jūs arī nevarat vienkārši visu savākt un cerēt, ka vēlāk jums tas šķitīs noderīgs. Jums ir jābūt ļoti skaidram, kāpēc jūs apkopojat informāciju, un tai jābūt saistītai ar jūsu apkopotajiem datiem.
Personas datiem arī jābūt precīziem un regulāri atjauninātiem. Jums ir jādod lietotājiem iespējas atjaunināt viņu datus, kad esat tos savācis; viņiem jāprot atgriezties un pateikt: “Ziniet, man bija šāds viedoklis par kādu aptauju, kurā jūs man jautājāt par personiski identificējamu informāciju, un es vēlos atgriezties, un es gribu to mainīt un atjaunināt tagad.” Un jums ir dot viņiem iespēju to izdarīt. Personas dati ir jāglabā tādā formā, kas ļauj identificēt datu subjektus ne ilgāk, kā nepieciešams. Atgriežoties pie Viljama teiktā, ka jūs nevarat šo informāciju vākt mūžīgi - jums ir jānāk klajā ar to, kas, jūsuprāt, ir derīgs un nepieciešams, un pēc tam jums dati ir jānoslauka. Tas arī jāapstrādā tā, lai nodrošinātu pienācīgu drošību, ieskaitot aizsardzību pret neatļautu vai nelikumīgu apstrādi, nejaušu pazušanu, iznīcināšanu vai sabojāšanu.
Kā jau teicu iepriekš, ir pienācis laiks nopietni pievērsties šim jautājumam, pārtraucot šos datu pārkāpumus, jo ne tikai jums var būt savainojums, kas jūsu uzņēmumam rodas datu pārkāpumu veidā, kā arī ieņēmumu zaudējumi un jūsu procesu atbalstīšanas izmaksas. , taču, iespējams, jums no GDPR ir uzvilkta arī soda nauda. Ir pienācis laiks to sākt uztvert ļoti nopietni, un es domāju, ka, stājoties spēkā GDPR, uzņēmumiem nāksies saskarties ar smago realitāti, un par laimi tie no jums, kuri šodien zvana, var sākt domāt par to un zināt kā jūs šīs lietas īstenosit.
GDPR arī daudz runā par to, kādas ir indivīdu tiesības; tas tiešām piesargās atsevišķus lietotājus. Pirmais ir tiesības piekļūt jūsu personas datiem. Lietotājiem jāzina, kādu informāciju jūs par viņiem esat savācis, ciktāl tas attiecas uz personiski identificēto informāciju, un jums ir jādod viņiem veids, kā viņiem piekļūt. Ir arī tiesības uz labošanu, kas ir iedomāts veids, kā pateikt: “Man jāspēj labot informāciju, kas jums ir par mani.” Tiesības uz dzēšanu - kuras atkal ļoti daudzi cilvēki izsaka kā tiesības uz esiet aizmirsts - ja kāds indivīds saka: “Zini ko, es vairs nevēlos, lai tu zinātu, ka esmu super jautrs puisis komiksu kolekcionārs, no tā jums ir jāatsakās. Man ir daži draugi, kas mani erudina un pilnībā izsvītro no jūsu saraksta ”, jums tas jāprot. Ir arī tiesības uz apstrādes ierobežošanu, un tas nozīmē, ka lietotāji var ierobežot viņu informācijas apstrādes veidu. Viņi var pateikt: “Es neiebilstu, ka jūs izmantojat manu informāciju, jo es pērku jaunu automašīnu, bet neizmantojiet šo informāciju man un man surogāt par jauniem darījumiem katru reizi, kad jaunas automašīnas tiek izlaistas.” Ir arī tiesības uz datu pārnesamību, kas nozīmē, ka lietotājiem vajadzētu būt iespējai iegūt savu datu kopiju un paņemt tos kaut kur citur. Daudzas organizācijas vāc informāciju, un šai informācijai ir lipīguma faktors, un tagad indivīdi var pateikt: “Jūs zināt, ko, es gribu, lai jūs ņemtu visu manu informāciju, un tagad es vēlos, lai jūs to sniegtu savam konkurentam, lai es varētu to pārvietot. pāri. ”
Perspektīvā organizācija domā par daudzām lietām, kā jūs to spēsit izdarīt un kādu informāciju vēlaties savākt, kā arī vairāk. Pastāv arī tiesības iebilst, un lietotāji var arī iebilst pret viņu datu apstrādi. Tiesības netikt pakļautiem lēmumiem, kuru pamatā ir tikai automātiska apstrāde vai profilēšana. Tam ir būtiska ietekme uz B2B mārketingu - ja jūs tur sēdējat un mēģināt veikt A / B testus un mēģināt noteikt, vai Kolorado vairāk ietekmēs nevis Kalifornija, labi, ka jūs tikko esat paveicis profilēšanu, apskatot vienu štatu salīdzinot ar citu, un jums ir jāskatās, kā indivīdam jāspēj no tā atteikties.
Ņemot vērā to, ka mums ir dažas biedējošas lietas, kas saistītas ar datu pārkāpumiem, un tas, kā cilvēki skatās uz viņu datiem, un mums ir šī milzīgā regula, kas tiek uzlikta uz mūsu pleciem, es esmu šeit, lai dotu jums risinājums, kā IDERA var palīdzēt. 15. pantā ir runāts par to, kā kontrolēt pakļaušanu personas datiem. Jums jāzina, kas piekļūst jūsu datiem. Kā viņi to izmanto. Apstrādāto datu apjoms un SQL produktu atbilstības pārvaldnieks, kuram esmu produktu menedžeris, ļauj jums redzēt, kurš un kā piekļūst jūsu datiem. SQL atbilstības pārvaldnieks ir paredzēts SQL Server risinājumiem. Ja jums ir SQL Server datu bāze, varat savienot šo produktu, lai varētu revidēt un apskatīt šo informāciju, lai jūs varētu ievērot GDPR un precīzi zināt, kā tā tiek izmantota. Varat arī redzēt datu pārkāpumus, pirms tie notiek, un es par to runāšu citā slaidā. Ir arī raksts, kurā teikts: “Man ir nepieciešams apstrādes darbību reģistrs. Man jāreģistrējas un man jāuzrauga operācijas, kā arī jāzina, kurš apstrādā personas datus un kam ir piekļuve šīm sistēmām. ”SQL atbilstības pārvaldnieks uztur serveru un datu bāzu auditu, ieskaitot drošību, DDL, DML, kā arī definē sensitīvus datus. . SQL atbilstības pārvaldnieks ļauj revidēt piekļuvi drošībai un reģistrēt mēģinājumu, lai jūs varētu redzēt, kurš piekļūst informācijai, kā arī kurš piesakās, vai tas ir priviliģēts lietotājs, vai tas ir zināms lietotājs, vai tas varētu būt ļaunprātīgs lietotājs.
33. pantā ir runāts par paziņošanu uzraudzības iestādei par personas datu pārkāpumiem. Jums jāprot atklāt šos pārkāpumus; jums ir jābūt reģistriem, lai varētu novērtēt ietekmi; jums jāzina, cik ātri jūs to labosit. Lai to izdarītu, SQL atbilstības pārvaldnieks ļauj iestatīt brīdinājumus savās datu bāzēs, lai tie būtu redzami tam, kam ir piekļuve jūsu slepenajiem datiem, kad viņi tam piekļuvuši, tam, kam viņi piekļuvuši. Tas arī ļauj izslēgt no audita parastos priviliģētos lietotājus. Ja jums ir sistēmas administrators vai tīkla administrators, kas, kā jūs zināt, tam piekļūs un nevēlaties aizsprostot savus pārskatus, varat tos izslēgt un pateikt: “Dodiet man visu, kas notiek ārpus šīs informācijas.” Tas ļauj lai ātri identificētu, vai kāds ļaunprātīgi piekļūst jūsu datiem, un jums var būt brīdinājumi, kas ir spēkā, kas ļauj jums uzzināt brīdi, kad tā sāk notikt, un tad, kad informācijai ir pieejama, lai varētu to noārdīt, lai jūs nav jāgaida pilna diena, lai izdomātu, kas notiek, kā to darīja Equifax.
Ir arī raksts, kurā runāts par datu aizsardzību un ietekmes novērtēšanu. Tas novērtē jūsu riskus un izprot, kādi tie ir, kā arī demonstrē un dokumentē jūsu atbilstību GDPR. SQL atbilstības pārvaldnieks ļauj ziņot par pārraudzītajiem elementiem. Īsumā - veicot datu auditu, izmantojot SQL atbilstības pārvaldnieku, SQL atbilstības pārvaldnieks ļauj atklāt neveiksmīgus pieteikumus - kas ir potenciāla pārkāpuma pazīme - uzraudzīt administratīvās darbības un drošības izmaiņas, brīdināt par datu bāzes modifikācijām, auditu kolonnās, kuras jūs definējat kā sensitīvu informāciju, identificējat privileģētus lietotājus un izsekojat viņu darbību atsevišķi no citiem jūsu sistēmas lietotājiem, ziņojiet, ka informācija tiek auditēta saskaņā ar vairākām normatīvajām vadlīnijām. Mēs ne tikai aptveram GDPR, bet arī HIPAA, PCI, FERPA, SOX, visas normatīvās vadlīnijas, kad tiek pārbaudīts jūsu informācija un izprasts, kam piekļūstat, mums ir šīs normatīvās vadlīnijas.
IDERA rīcībā ir arī papildu produkti GDPR sagatavošanai. Papildus auditam, ko veic SQL atbilstības pārvaldnieks, mums ir arī ER / Studio Enterprise Team Edition, kas var palīdzēt dokumentēt jūsu datu procesus un datu standartā iekļaut datu modeli. Jūs varat izveidot datu glosārijus, par kuriem Viljams runāja iepriekšējā slaidā. . Kā es šeit teicu šajā prezentācijā, SQL atbilstības pārvaldnieks var palīdzēt jums pārbaudīt jūsu informāciju, lai pārliecinātos, ka nepareizi cilvēki nepiekļūst jūsu datiem, kā arī pierādīt to auditoriem. SQL droša dublēšana var palīdzēt šifrēt datus un rezerves kopijas. Šifrēšana ir būtiska GDPR sastāvdaļa, kuru es neskatījos ļoti detalizēti, jo es gribēju daudz koncentrēties uz Compliance Manager aktīviem, taču SQL drošā rezerves kopija daudz šifrē jūsu labā, lai jūsu dati būtu droši. SQL Inventory Manager var nodrošināt, ka serveri ir izlaboti un atjaunināti, tāpēc jūs neatrodaties tādā gadījumā kā Equifax, kur viņiem bija novecojis ielāps, kas viņiem radīja lielu drošības caurumu, ko cilvēki varēja izmanto ļaunprātīgi. SQL Secure var pārbaudīt privātuma un šifrēšanas standartus.
Lai iegūtu sīkāku informāciju IDERA kopienas vietnē, zem mūsu emuāra, esmu ievietojis sagatavošanos GDPR, kā arī “Ceļā uz 2018. gadu” un izpratni par to, kāda būs GDPR ietekme, un tur arī ir, jūs noteikti varat lejupielādēt SQL atbilstības pārvaldnieka izmēģinājuma kopiju. IDERA vietnē, kā arī visus citus produktus, kurus es tikko pieminēju slaidā.
Šajā brīdī es došos uz priekšu un nodošu prezentāciju atpakaļ Ērikam, lai mēs varētu uzdot dažus jautājumus.
Ēriks Kavanaghs: Labi. Jūs tur pieskārāties vairākām patiešām interesantām lietām, Kim, viena no tām - es domāju, ka tas ir sava veida vienkāršs, bet tas ir diezgan gudrs, - jūs runājāt par neveiksmīgu pieteikšanos atklāšanu. Man šķiet, ka tā ir diezgan laba zīme, ka kāds rīkojas slikti?
Kims Brushabers: Pilnīgi. Ja redzat kādu, kurš mēģina piekļūt un uzlauzt jūsu paroli, tas ir ļoti ātrs veids, kā pateikt, ka kāds nedara to, kas viņam vajadzētu. Varbūt pāris reizes jūs varētu nepareizi ievadīt paroli, bet, ja redzat, ka 30 no tiem nāk cauri, tā ir slikta zīme.
Ēriks Kavanaghs: Jā. Viņu galvenais šeit ir iestatīt brīdinājumus ar pareizu pieslēgumu. Ko vēl jūs varat mums pastāstīt par to, kā pārvaldīt brīdinājumu iestatīšanas un deaktivizēšanas procesus, kuri neveic to, kas viņiem būtu jādara, un cik lielu daļu šo lietu var automatizēt?
Kims Brushabers: Atbilstības pārvaldniekam ir daudz konfigurējamu brīdinājumu, kā arī pārskatu, kurus varat pārskatīt. Mēs izsekojam jūsu SQL pēdām, un mums ir šī automātiskā izsekošana, un mums to ir daudz, kas jau ir iepriekš iestatīti un iepriekš noteikti, taču noteikti ir arī ievērojams pielāgojumu apjoms, ko varat veikt.
Ēriks Kavanaghs: Viljams, es jūs šeit apskatīšu - man šķiet, ka tā ir viena no jomām, kurā mēs redzēsim mašīnu apguvi nākamo divu līdz desmit gadu laikā, un tā izskata visas dažādās iespējas. Apskatot visus dažādos veidus, kā sistēma var optimizēt savu efektivitāti, tā ir efektīva tādos jautājumos kā pārkāpumi un tā tālāk. Vai tas ir arī jūsu veikums?
Viljams Makneids: Jā, absolūti. Es domāju, ka mēs tagad veidojam sistēmas, kuras pašas sevi remontē. Monitorings 24 līdz 7 sāk slīdēt prom un kļūst par pagātni, lai gan mums joprojām ir vajadzīgs šāds darbspējas laiks. Es domāju, ka sistēmas lielākoties to iebūvē un izdomā, kas tas ir, kas ir nepareizi. Vai mums šeit ir jāpiešķir vairāk vietas, vai kas jums ir? Jā, es domāju, ka tā noteikti ir mūsu nākotnes sastāvdaļa. Jebkurš tur esošais, ko var piesaistīt dažiem darbības soļiem, lai reaģētu uz kaut ko, noteikti ir neaizsargāts pret mākslīgo intelektu.
Ēriks Kavanaghs: Tas ir labs punkts. Es uzdošu jums vēl vienu jautājumu, Viljams, jo es zinu, ka jūs šajā telpā veicat daudz pētījumu. Viena no lietām, ko es jau labu laiku gaidīju un nedomāju, ka mēs tur vēl esam - es domāju, ka mēs esam nonākuši tuvu, tikai no tā, ko es lasīju un domāju par to - ir dienā, kad būs tehnoloģija, lai absorbētu normatīvos jautājumus, šo lietu faktiskais formulējums un sakārtotu to funkcionalitātei un programmatūrai. Kā es saku, mēs joprojām atrodamies ceļā no tā - es nevaru iedomāties, ka tur kāds strādā. Vai esat saskāries ar kaut ko līdzīgu, vai arī mēs joprojām atrodamies situācijā, kad cilvēkiem ir jāskatās uz noteikumiem, tiešām jāmēģina tos saprast un saprast, pēc būtības jākodificē mašīnkodā un pēc tam jāpiespiež to dažādie pielietojumi?
Viljams Makneids: Nu, protams, man ir ideja, kuru jūs šeit kopīgojat. Es neesmu pazīstams ar neko, kas notiek virzībā uz ieviešanu vidē, kas ir saistīta ar to. Tomēr es teikšu kopumā, ka acīmredzot mēs sākam mašīnām stāstīt nevis to, kas jādara, bet gan mērķis ir tas, ko mēs vēlamies darīt, un mašīnas kļūst daudz gudrākas, lai izdomātu detaļas. Es domāju, ka pēc tam, kad savās organizācijās būsim ieguvuši vēl kādu mākslīgo intelektu, ir pilnīgi iespējams, ka jaunus noteikumus var izstrādāt sadarbībā ar AI, kas tiek ievietots organizāciju iekšienē, lai tos varētu ieviest tādā veidā, kā jūs aprakstījāt nākotnē. Pagaidām mēs tā nerīkojamies.
Ēriks Kavanaghs: Šis ir jautājums, kuru es jums pārmetīšu, Kim, ”jo tas ir arī interesanti. Jūs runājat par vidējo latentumu vai laiku, ko kāds, kurš piesakās jūsu sistēmā, slēpjas un tikai gaida - dienu skaits, kad uzbrucējs neaktīvs tīklā - atklāšana ir 200. Man ir interese uzzināt, kādas ir jūsu domas par to, kā uzlabot ka, pirmkārt,? Bet vai ir arī veids, kā izmantot šāda veida noteikumus, lai izpētītu savu sistēmu? Lai izpētītu savus datus un labāk veiktu šāda veida ļaužu darbību?
Kims Brushabers: Jā, es domāju, ka acīmredzami galvenā nozīme ir agrīnai atklāšanai. Jums jāizdomā, ka šīs ļaunprātīgās vietnes piekļūst jūsu informācijai un jāprot to bloķēt. Es domāju, ka citos slaidos, kur mēs parādām, ka lielākajai daļai organizāciju šīs politikas nav. Tāpēc viņi tur sēž. Es domāju, ka, ja jums tiešām būtu bijusi politika, lai izietu cauri un bloķētu piekļuvi un pārliecinātos, ka piekļuvi nodrošina īstie cilvēki. Pārliecinieties, vai jūs regulāri pagriežat atslēgas un atjaunināt tās. Pārliecinieties, ka jūsu paroles tiek regulāri atjauninātas, un dariet tādas darbības, kas šķiet diezgan pamata. Pašlaik vairums organizāciju to pat nedara, un, sākoties šo gabalu izvietošanai, jūs to sasniegsit.
Tas nozīmē, protams, hakeri par to izturēsies daudz veiklāk, taču šobrīd tas ir viegli, piemēram: “Es ieraudzīšu mājas uz ielas, kurās es jūtu, ka gribu ielauzties, vai tām būs trauksme sistēmas? Vai viņiem ir neliela trauksmes zīme un vai viņiem ir suņi? Es iešu pie tā, kurā nav trauksmes signāla, nav suņa, un tā ir māja, kurā es ielauzīšos. ”Nu viņi noskaidros uzņēmumus, kuri Šiem plāksteriem nav vietas, un viņiem nav drošības, un viņi neatjaunina savas paroles, un viņi gatavojas tur ieturēties un pāris reizes izmantot jūsu kredītkarti degvielas uzpildes stacijā, lai pārliecinātos jūs to neesat atslēdzis, un tad, kad viņi var ietekmēt lielas pārmaiņas, parasti ir kaut kāds politisks paziņojums vai kā citādi, kad jūs redzat viņus aizbāzt galvu. Iegūstot šīs politikas, es domāju, ka šajā brīdī jūs varat spert diezgan minimālus soļus, lai spētu tikt līdz šai spēlei.
Ēriks Kavanaghs: Tas, iespējams, ir vislabākais padoms, un es to vienmēr dzirdu, kad runājam ar ļaudīm, kuri atrodas drošības telpā vai normatīvajā telpā, ka pamati aptvers 80 procentus no jūsu problēmas un tam ir daudz pamata - tas ir labs punkts. Viens no klātesošajiem jautāja, vai kāds varētu izvērst biznesa iespējas, kuras varētu izmantot, izmantojot GDPR ievērošanas centienus, es atgādinu Sarbanes-Oxley, un es domāju, Viljams, es jums to nodosim. Būdams konsultants, jūs vienmēr meklējat veidus, kā palīdzēt klientiem ārpus konkrēta projekta jomas - vismaz tad, ja jūs esat labs konsultants. Kad jūs runājat ar ļaudīm par GDPR, kādi ir papildu ieguvumi, kādus varat iegūt, ja viņi iesaistīsies kādā projektā, kas koncentrējas uz to?
Viljams Makneids: Pirmkārt, ir svarīgi atzīmēt, ka GDPR ideja vispār nav pilsoņa pilnīgas tiesības. Ir arī otra GDPR puse, kas palielinās pilsoņu uzticību mūsu uzņēmumiem un iedrošiniet viņus veikt vairāk biznesa atbilstošos uzņēmumos. Jūsu GDPR faktiskās izpildīšanas papildu ieguvumiem ir tagad, tagad iekšēji, datu pārvaldības programmas, kuras mēs īstenojam, kalpo, lai atvieglotu visa veida iniciatīvas, kas patiešām tiek uzsāktas organizācijās un šodien, visupirms, iniciatīvas, kuras tiek uzsāktas. ārpus organizācijas. Nesen es ar daudziem no viņiem plānoju 2018. gadu, viņiem daudz kas ir saistīts ar datiem, tie ir līdzīgi kā 65–90 procenti visu datu - kad jūs runājat par telemātiku vai klientu 360 programmu vai informācijas paneli, lai uzraudzītu pārdevējus, tas galvenokārt attiecas uz datiem. Jebkas, kas šos datus pārvalda labāk, liek to uzlabot arhitektūrā, kas apzīmē cilvēkus, kuri ir tiešie cilvēki, kuri var atbildēt uz visiem jautājumiem par šiem datiem, kuriem tiešām rūp, piemēram, datu pārvaldības programma. Viss, kas dod mums datu glosāriju - piemēram, par ko Kim runāja ar saviem rīkiem - ir ļoti noderīgs, lai padarītu šīs iniciatīvas daudz efektīvākas, riskētu tās, samazinātu laiku, samazinātu tām paredzēto budžetu un saņemtu mūs agrīnam laikam, lai daudz ātrāk un labākas lietas tirgotu uzņēmumam, kurš veic iniciatīvas, kas ir visi uzņēmumi.
Ēriks Kavanaghs: Es mīlu šo uzticības jēdzienu. Es domāju, ka uzticība ir ļoti nenovērtēta realitāte mūsu pasaulē, un, godīgi sakot, lielākā daļa biznesu balstās uz uzticēšanos - tā patiešām ir, kad jūs to saprotat. Es jums to iesniegšu tikai par dažiem noslēguma komentāriem, Kim. Es domāju, ka viena no galvenajām pievienotajām vērtībām šeit ir uzticības uzlabošana un uzticības kultūras veicināšana, jo tas pozitīvi ietekmēs ne tikai pašu uzņēmumu, cilvēkus pašā uzņēmuma iekšienē, bet arī to, ko sabiedrība uztver, jo šāda veida lieta izlīst, man šķiet, bet ko tu domā?
Kims Brushabers: Jā, es domāju, ka, runājot ar draugiem, kuri strādā Google vai strādā lielākās, patiešām augsta līmeņa organizācijās, vai arī dažās lielākās organizācijās, viņi neīsteno tikpat daudz jaunu funkciju, kā drošības protokolu ieviešana, kā arī veiktspējas un mērogojamības problēmas, jo viņi vēlas, lai viņu lietotāja pieredze būtu tāda, kurā viņi tic, ka var uzticēties šai informācijai. Es domāju, ka uzņēmumiem ir šī atbildība, jo mēs turpinām virzīties uz priekšu, lai nodrošinātu šāda veida uzticēšanos. Es atceros, kad cilvēki pirmo reizi sāka laist kredītkartes tiešsaistē, un cilvēki ir šādi: “Ak, mans dievs, es šeit nesniegšu šo informāciju, jo tā nav droša”.
Un tagad jūsu kredītkarte iet visādi, jo jūs teorētiski domājat, ka varat uzticēties uzņēmumam, jo tas ir ieguvis HTTPS sertifikātu. Tad jūs dzirdat par Target datu pārkāpumiem tur, kur bija kredītkartes: “Ak, jūs labāk izslēdziet savu kredītkarti, jo mēs šo informāciju atlaižam.” Manuprāt, tas ir divvirzienu noskaņojums. Es domāju, ka indivīdiem, kaut arī viņi vēlas vairāk uzticēties, jo daudz vieglāk ir spēt uzticēties un ticēt tam lielās organizācijās, lielajām organizācijām ir jāiestājas un jāievieto šie gabali vietā, lai viņi t ievainot personu vai jūs zaudējat tirgus daļu. Cilvēki saka: “Nu, jūs zināt, ko es vairs nedomāšu iepirkties Targetā. Tagad es došos iepirkties Amazonā.” Es domāju, ka uzticēšanās ir liela problēma, lai gan, kā mēs teicām, 78 procenti cilvēku ir joprojām noklikšķiniet uz šīs saites, pat ja viņi zina, ka, iespējams, to nedarīs. Cilvēki tiek aizsargāti zināmā mērā, pat ja viņi jums uzticas.
Ēriks Kavanaghs: Tas ir labs punkts. Ziniet ko, es uzdošu jums vēl vienu pēdējo jautājumu, Viljams, vai vismaz vēl vienu - mums tagad ienāca daži labi. Kāds dalībnieks raksta: “GDPR pārvieto identitātes pārvaldību atpakaļ pie klienta, kur tas pieder. Equifax neatgriezeniski ir nodarījis kaitējumu 149 miljoniem patērētāju, “ļoti patiesi”, kuri ietekmē digitālo ekonomiku. Kādas izmaiņas, jūsuprāt, notiek ASV attiecībā uz klientu īpašumtiesībām attiecībā uz identitātes pārvaldību? ”
Viljams Makneids: Mēs vienmēr atpaliekam ASV, kad runa ir par šāda veida lietām, vai ne? Simt četrdesmit deviņi miljoni, tas nav kritiens spainī tieši tur. Tas ir gandrīz kā terorisms, vai ne? Mēs esam tik ļoti pieraduši, ka tas notiek tikai visu laiku. Es domāju, ka kaut kas ir jādara. Es domāju, ka GDPR, man patīk tiesības, kuras tā piešķir pilsoņiem, bet tā, šķiet, nav prioritāte - ir daudz citu prioritāšu, un es nezinu, kurp tā nonāks. Es domāju, ka, kā es minēju atgriezeniskajā saitē, kas man bija, tas liecina par pāreju uz vairāk patērētāju tiesībām uz viņu datiem. Kad tas notiek šeit, ASV? Es nezinu, varētu paiet līdz pieciem gadiem, ja redzētu, ka kaut kas samērojams ar GDPR šeit ASV, tikai spekulācijas.
Ēriks Kavanaghs: Tas ir patiešām labs punkts, un es domāju, ka šajā sakarā būs jāpieliek lielākas pūles, jo, pieņemot vērā, ka šajās dienās mēs pārejam uz šādu digitālo ekonomiku. Kā noslēguma komentārs, kļūstot par filozofisku, uz politiku orientētu, tas mani visvairāk uztrauc pārejā uz bezskaidras naudas sabiedrību, jo, kad nauda aiziet, ja tā notiek, tad viss ir digitālais, un ikviena sistēma var viņu uzlauzt un ikviena cilvēka identitāti var nozagt. Man šķiet, ka šeit ir diezgan liels zilonis, kas skatās līdakas virzienā uz identitātes pārvaldības nākotni.
Tie visi ir lieliski priekšmeti, ļaudis. Paldies Viljamam Makkennatam par viņa šodienas laiku un uzmanību. Paldies Kimam Brushaber no IDERA. Mēs visas šīs tīmekļa apraides arhivējam vēlākai apskatei, tāpēc jūtieties brīvi atgriezties, parasti tikai dažu stundu laikā, un arhīvs būs gatavs. Ar to mēs jūs atvadīsimies, ļaudis. Vēlreiz pateicamies par jūsu veltīto laiku un uzmanību. Labdien!