Elvitel: Eric Kavanagh házigazda megvitatja az EU közelgő általános adatvédelmi rendeletet és annak az iparra gyakorolt hatásait. Csatlakoznak William McKnight, a McKnight Consulting Group, és Kim Brushaber, az IDERA.
Jelenleg nincs bejelentkezve. Kérjük, jelentkezzen be vagy jelentkezzen be a videó megtekintéséhez.
Eric Kavanagh: Oké, hölgyeim és uraim, üdvözlet és üdvözlet még egyszer. Szerdán 4-kor, a keleti idő szerint, ami azt jelenti, hogy itt ismét a 2017-es évek egyik legutóbbi alkalma - a Hot Technologies számára. Igen, valóban Eric Kavanagh vagyok a nevem - a mai rendezvény moderátora leszek. Olyan témáról beszélünk, amely enyhén szólva messzemenő. Jelenleg nem tűnik így - a GDPR fogalma, a globális adatvédelmi rendelet. Menjünk előre, és merítsünk bele ebben, ez nem igazán a tiédről szól, elég rám. Ez az év forró, nagyon sokféleképpen meleg volt, de a GDPR és más szervezetek közelgő szabályai, őszintén szólva, arra késztenek minket, hogy újragondoljuk, mi történik az üzleti világban, különös tekintettel annak eredményére, vagy mivel az adatokkal kapcsolatos. Meghallgatjuk Kim Brushaber-t (IDERA) és William McKnight-t a McKnight Consulting Group-tól.
Csak néhány gyors szó a kéznél lévő témáról, emberek. A GDPR alapvetõen azt mondja, hogy a szervezeteknek adatvédelemmel és elsõsorban biztonsággal kell rendelkezniük az adatokkal kapcsolatban, és valójában ez néhány olyan dologról szól, amit már hallottál - például az elfelejtéshez való teljes jog részleges és részleges. ez az egész pillanat, és nagyon érdekes dolgok. Nyilvánvalóan érvényes az alapelvei és az etika szempontjából. A tényleges megvalósítás szempontjából azonban ez nagyon komoly kihívás. Az elfelejtéshez fűződő jog azt mondja, hogy ha azt akarja, hogy egyes szervezetek ne rendelkezzenek az Ön adataival, a személyesen bizalmas adataival, akkor meg kell szabadulniuk tőle. Nos, el tudod képzelni, mikor lehet ezek közül a valóban heterogén adatkörnyezetek közül néhány, milyen nehéz lesz ez. Az a lényeg, hogy eljuthatunk minden olyan helyre, ahol az adatok állandóak, és kihúzzuk, csak nem fog megtörténni. Ennek ellenére a szervezeteknek rendelkezniük kell politikákkal, hogy képesek legyenek megválaszolni ezeket az aggályokat, és ezt a szabályozóknak vagyok biztos vagyok benne, hogy ezt fogom keresni.
Nagy ügy. Nemcsak a szervezetnek el kell távolítania az Ön adatait, ha ezt mondja, hanem akkor is, ha ezekre az adatokra algoritmusokat képzett, technikailag ezeknek az algoritmusoknak a továbbképzését is elvégzik. Ez egy magas rend, azt kell mondanom, de jön, jön a csuka, a jövő év májusában valósággá válik, és vannak más rendeletek is. Kanadában van a spam elleni törvény, amelyet elfogadtak, ez befolyásolja azt, hogy miként kezeljük a személyes információkat. A nettó semlegesség most csökken a csuka, természetesen alapvetően kitörték, és ez néhány dolgot megváltoztat. Nagyon sok ilyen nagyon súlyos szabályozás érinti a vállalkozásokat az egész világon és szerte a világon, amelyekre a nagy szervezeteknek valóban ki kell gondolkodniuk és fel kell készülniük erre.
Erre a célra William McKnight online bekerül a McKnight Consulting Groupsba, hogy tudassa velünk, mit gondol, és miért a GDPR valójában csak a jéghegy csúcsa. Ezzel, William, megkapom neked. Elvenni.
William McKnight: Köszönöm, Eric, és ahogy mondod, amint a diák mondja, ez a GDPR talán a jéghegy csúcsa - erre gondolunk. Fontos, hogy mélyebben belemerüljünk a GDPR-be, mert szerintem ez egy olyan szabályozási hullámot képvisel, amely a csővezeték alá jön, amivel foglalkoznunk kell. Szerencsére, Eric, van néhány ésszerű szabvány az említett elfelejtéshez való jog körül, amelybe bejutok. De annak ellenére, hogy az idei sétán a GDPR-ről beszélek, azt gondolom, hogy sok olyan vállalkozás, különösen az amerikai cégek, amelyek erre még nem készültek fel. Határozottan meleg és olyasmi, amire egy évvel ezelőtt, amikor csak próbáltak néhány dolgot próbálni, még nem gondolkodtunk, de most ez egy rendelet, és foglalkoznunk kell vele, amint azt mondtad, Eric, jön itt fel - tehát egyáltalán nem olyan messze.
Egy kicsit rólam, ezt az adat szempontjából fogom megvizsgálni. Tudomásul véve, egész életen át tartó adatszemély vagyok, és most már 19 éve konzultálok az adatok területén, és a GDPR sokat foglalkozik az adatokkal. Számos megoldást fogok itt felvázolni, amikor belemegyek az adatkezelés körüli bemutatómba. Nyilvánvalóan sok adatkezelési programot hajtottam végre, és úgy gondolom, hogy ha hozzáigazítasz ehhez a koncepcióhoz, valamilyen adatkezelést hajtanak végre, sok ott működő cég elég messze lesz az utatól. Valójában a GDPR-nek való megfeleléshez, de nagyon sok lesz, és őszintén szólva, ezek lemaradnak az irányításban, és ezért a GDPR-előkészületekben is nagyon hátrányosan. Itt állítsuk be a szintet, és értsük meg, mi a GDPR lényege, és ahogy elmélyülünk a beszélgetésben, a GDPR üzleti életre gyakorolt hatásainak többet fogunk megismerni, amikor előremegyünk az új évre és azon túl.
A GDPR az Európai Unió polgárainak adatvédelme. Ez egy rendelet - azt jelenti, hogy fogai vannak, azt jelenti, hogy végrehajtható. Ez nem valami, amit javaslatként tesznek fel - az már megtörtént, és most már szankciókkal szabályozott rendeletgé alakították. Szeretek a büntetésekkel kezdeni, mert ez valóban felhívja az emberek figyelmét. Ezek szigorú büntetések. Két büntetés létezik: a világméretű éves bevétel 2 százaléka, vagy 10 millió euró, ha egy vállalkozás nem teljesíti a biztonsági kötelezettségeket, de minden más, más rendelkezések megsértésével - és beépülök ezekbe - ez 4 százalék. Úgy hallja, hogy körülbelül - 4 százalék. És egyébként ez 4 százalék vagy 10 millió euró, attól függően, hogy melyik nagyobb. Ez nagyon merev. Az emberek nagyon komolyan veszik ezt. Végrehajtás május 25-énth, 2018 - ez egy kulcsfontosságú dátum, azaz amikor az ellenőrzések megkezdődhetnek, ez az időpont, amikor megkaphatja a bírságot. Határozottan szeretnéd felkészülni erre. Minden társasággal, mellyel foglalkozom, nagyon sok a Global 2000 társasággal vagyok, ők vannak valahol a GDPR előkészítésében, mások több, mint mások, és másoknak többnek kell lenniük, mint másoknak ezen a ponton. Természetesen kihívást jelent az, hogy némelyiknek be kell tartania ezt az időpontot, és látni fogjuk.
Ez a legátfogóbb adatvédelmi szabályok, amelyeket eddig láttunk. Ha valami merevebbet látunk, vagy valami, amely talán közvetlenebbül érinti az USA lakosságát, ki tudja, de ott van, és ezt feltétlenül be kell tartani. A szervezetektől meg kell értenie, hogy mi az UE állampolgárságú személyi adatvédelem - máris ismerjük a személyes személyazonosság-védelem jogát - személyesen azonosítható információk, társadalombiztosítás, telefonszám, cím, azok a dolgok, amelyek egyedileg azonosíthatnak egy személyt vagy meglehetősen egyedileg azonosíthatnak egy személyt. Mi van és hogyan használják. Ez azt jelenti, készlet. Ez azt jelenti, hogy a saját vállalkozásain belül szabályozni kell az ilyen típusú adatokat. Egyébként az Egyesült Államoknak nincs semmiféle országos adatvédelmi törvény. Az USA mindig is - mondom hátul, hogy perspektívaként fogalmazom meg - Európa mögött az ilyen típusú szabályozás szempontjából, és ez folytatódik. Ez folytatódik a GDPR-rel, ez elég nyilvánvaló. Néhányan közületek tudhatják az adatvédelmi pajzsot, és talán azon töprengenek. A GDPR-ben körülbelül három vagy négy rendelkezés létezik, amelyek átfedésben vannak az adatvédelmi pajzsokkal, de a GDPR-ben száz rendelkezés is található, tehát ennél sokkal több és természetesen még mindig helyben van, és ennek köze van az USA és az EU adatcseréjéhez. csak, bár ez fontos.
Ismét szeretek számokkal kezdeni. Hallottál a bírságokról, mi van azzal, hogyan készül fel erre. A GDPR-hez történő költségvetés-tervezés és ennek egy része végrehajtása néhány tényezőtől függ. Az uniós polgárokról gyűjtött PII-adatok mennyisége. Ha nem gyűjt egyet, akkor rendben van, valószínűleg megfelel a szabályoknak és nem kell ezzel foglalkoznia, de valószínűleg Ön ehhez a híváshoz jár, mert valakit összegyűjt valahol. A vállalat mérete és az adatkezelés érettsége, amely, amint már korábban mondtam, megközelítheti azt, amit meg kell tennie a GDPR-hez való reagáláshoz. A megfelelés esetén akár több millió dollár vagy euró is várható. Ugyanakkor azt akarjuk, nem akarjuk, hogy csak eleget tegyünk a GDPR-nek, hogy jelöljük be ezt a négyzetet, természetesen ezt meg is kell tennünk. Remélhetőleg nem vagy abban a szörnyű helyzetben, amikor csak kétségbeesetten akarsz bejelölni ezt a négyzetet. Keresse meg az üzleti előnyöket, mert sok olyan dolog, amelyet a GDPR támogatása érdekében tesz, jó az üzleti vállalkozásának. Az adatkezelés jó a vállalkozása számára. A PII-adatok mennyiségét illetően egyesek sokkal fontosabbak, mint mások, másokat pedig többet fognak vizsgálni, mint például az adatokkal kapcsolatos egészséget, a GDPR szerint sokkal szigorúbban fogják szabályozni, mint más típusú adatok, és megfelelést kell megkövetelniük. további kötelezettségekkel, például adatvédelmi hatásvizsgálatok elvégzésével, amelyek nyilvánvalóan növelik a költségvetést.
Egy kicsit a költségvetés-tervezésről. Abban az esetben, ha az Egyesült Királyságban vagy az Egyesült Államokban tartózkodik, és kíváncsi, hogy ez miként érinti Önt - a GDPR március 29-ig az EU-ban még mindig tartózkodó Egyesült Királyságot érinti.th és amelynek kormánya jelezte, hogy a GDPR-hez hasonló valamelyik dátum után is folytatódni fog, mert „ez jó ötlet.” Az Egyesült Királyságban működő vállalatoknak be kell tartaniuk azt. Az Egyesült Királyság polgárainak adatai minden bizonnyal a táblázatban vannak. Ha nem egyértelmű, vannak USA-ban működő vállalkozások, ha az EU-ban az EU állampolgárainak adataival foglalkoznak, ez minden bizonnyal vonatkozik rád. Ennek következményei vannak az Ön adatruktúráján, mivel Önnek végül el kell távolítania az EU adatait mindentől, és másképp kell kezelnie őket. Ez befolyásolja az elemzést, amint Eric mondta, az, hogy miként állítja össze ezeket az elemzéseket és így tovább. Most már nehezebb bármilyen koncepció-, globális-analitika bevezetése. A GDPR hatására lokalizálódhatnak.
Mi van a rendelkezésekben? Vannak adatvédelmi előírások. Ez mind kivéve az adatok titkosítását nyugalomban és mozgásban. Ezután a titkosításról fogok beszélni. Léteznek adat-megsértési értesítési szabványok. Többé nem várja ezt hónapokig, arra vár, hogy a negyedévben értesítse mindenkit. Azt hiszem, hogy másnap nagy volt, és kiderült: „Ó, egy évvel ezelőtt történt.” A GDPR-rel egyáltalán semmi - 72 órád van. Ez egy név- és szégyenpolitika. Remélhetőleg senki sem jut hozzá ehhez, nyilvánvalóan néhányan fognak. A jogsértések természetesen a GDPR után is folytatódnak. Vannak folyamatok az adatok helyének és minőségének figyelésére. Ismerős? Ez valójában az adatkezelés központja. Remélhetőleg van néhány, aki megy.
Mint Eric említette, az uniós polgároknak joguk van elfelejtéshez. Vannak bizonyos ésszerűségi előírások ehhez, Eric. Nem feltétlenül kell mindent megsemmisítenie, ha esetleg újra kapcsolatba kell lépnie azzal az ügyféllel, az alkalmazottal, akkor megőrizheti személyes adatainak bizonyos aspektusait. Ennek ellenére ezeknek az állampolgároknak joguk van elfelejteni, de nem lehet aránytalan erőfeszítés - ez a nyelv - rólad szemben, vagy a társaságnak árthat, vagyis az, hogy ezeket az adatokat megsemmisíti. Nem akarom alábecsülni, de el kell engednie a megőrzött személyes adatok másolatait is, és ezeket az adatokat csak beleegyezés alapján kaphatja meg. Ezt az engedélyt az alsó korhatárban lévő személyeknek kell megadniuk az ilyen engedély megadásához. Ez egy fajta ott, de ez sok jogot biztosít az állampolgároknak adataikkal kapcsolatban. Ez a hordozhatóság ott, ha valaha is felmerül. Az egyértelmű elfelejtéshez való jog, és ugyanakkor - és ami nem az én diámomban nagyon fontos - az adatalanynak joga van ahhoz, hogy ne kizárólag az automatikus feldolgozáson alapuló döntés tárgyát képezzék. Mire mozogunk keményen? Automatizált feldolgozás, a kölcsönfelvétel körül, hogy milyen ajánlatokat fogunk adni, ezt mind kidolgozni kell annak szempontjából, hogy ez hogyan fog lejátszódni, és milyen messzire fog menni. Amit ez lényegében azt mondja, az átláthatóság az, ami miatt elutasítottam, miért ez a társaság bizonyos módon bánnak velem. Jelenleg ez egy uniós polgár számára biztosított támogatás.
Nyilvánvaló, hogy vannak bizonyos következmények az üzletvitel során, és remélhetőleg látni fogja, hogy a GDPR nem informatikai, hanem csak informatikai probléma. Mindezen üzleti folyamatok részt vesznek. Bevonja az embereket a társaság egész területén. Az adatvédelmi tisztviselő kinevezése ajánlott azoknak a társaságoknak, amelyekben több mint 250 alkalmazott van, és „kritikus matematikai szempontok vannak az EU PII-adataival”. Ön dönti el, hogy rendelkezik-e a kritikai matematikával, néha nyilvánvaló, néha nem. De van egy új szerep - nem kell teljes munkaidős szerepet játszani, az embernek más felelősségei is lehetnek, de nem tudom - néhány közepes méretű és nagyobb társaságban azt gondolom, hogy a GDPR-hez való ragaszkodás közel legyen egy teljes munkaidős szerephez. Azt mondanám, induljon így, és nézd meg, megbirkóz-e vele. Különösen a következő év folyamán, amikor összeépítik a fellépést a GDPR körül, amint betelepül a házba, talán lelassíthatja az ezzel kapcsolatos munkát, de ez néhány társaságnak elég sok időt igényel. Hagyja, hogy az egyének láthassák saját adataikat és az adatok hordozhatóságát, ahogy már említettem.
Mellesleg ez nem egészen új, de valójában ott volt az elfelejtés joga, hidd el vagy sem. A jelenlegi EU-szabályok már rendelkeznek a személyes adatok törlésének vagy elérhetetlenné tételének jogáról. Most azonban a GDPR részét képezi, és sokkal szélesebb körben fogják végrehajtani. Adatok titkosítása - az adatok titkosítása nyugalmi állapotban. Használjon szokásos titkosítási módszereket, ne használja a saját otthoni vagy nem szabványos titkosítását. Az AES egy kicsit ajánlott. Használjon kriptográfiailag biztonságos titkosítási kulcsokat. Időnként cserélje ki ezeket a gombokat. Ezenkívül meg kell akadályozni, hogy ezek a kulcsok elveszjenek. Ez csak jó titkosítási gyakorlat, de most a GDPR előtérbe kerülnek. Ebben rejlik a probléma - én csak a jéghegy csúcsára értem. Nyilvánvaló, hogy további rendelkezéseket kell megvizsgálni, ám ezek a legfontosabbak.
Most megoldás. Adatkezelés, az ön betartásának kerete, legalábbis azt a perspektívat, amelyet itt felvetek. Szerencsére van egy aktív, jó sarkú fegyelem, amely érett állapotban képes kielégíteni a legtöbb követelményt, és ez az adatkezelés - nyilvánvalóan ezt mondom. Az irányítási programoknak rendelkezniük kell egy adatszótárral, és itt általános értelemben az adatszótárot használom, hogy a folyamatok átfogó dokumentációját értem. Ez alapvető fontosságú a GDPR készletkészletének kielégítéséhez, ami, amint láttuk, meglehetősen óriási. A programnak, az irányítási programnak meg kell könnyítenie az adatbiztonsági protokollokat - és hangsúlyozom, hogy azért nem sok olyan adatkezelési program dolgozik jelenleg, de szerintem logikus hely erre, mert ők ül a programon, amely meghatározza, hogy kik az üzleti tulajdonosok? Kinek kell látnia? És akkor a következő lépés az engedélyek megadása. Ezt központosítani kell, és formalizálni kell. Belső politikákra van szükség. A vezetõi státuszt minden elemhez hozzá kell rendelni, hogy hozzájáruljon a fentiek mindegyikéhez. Az adatkezelés elősegítheti a szükséges üzleti folyamatok tervezését is.
Mielőtt elhagynám ezt a diát, a bonyolult bírságok elkerülése érdekében a vállalatok melléktermékként fogják fel a jó üzleti gyakorlatokat. Szeretném mondani, hogy ez több, mint melléktermék, de valójában csak jó, megalapozott üzlet, amely új helyekre vezethet üzleti szempontból. Természetesen sok hatékonyságot fog elérni az összes kezdeményezés végrehajtásában, ha megbízható adatkezeléssel rendelkezik, ezt láttam az évek során. Az adatkezeléssel kiegészítve néhány ilyen dolgot, amelyet említek, az adatok csak jobbá válnak. Az üzleti folyamatok tervezése során azt javasoljuk, hogy tegye fel ezeket a kérdéseket, és minden üzleti területet érjen el. Milyen adatokat gyűjtünk az EU ügyfeleinkről? Nem olvastam őket. Néhány kulcsfontosságú itt. Kinek kell látnia ezeket az adatokat, és követik-e ezeket? Ki az adatkezelő az adatokhoz? Ki az én járó személyem a vállalkozásban? Nagyon nagy: megosztjuk-e ezeket az adatokat harmadik felekkel? Csak azért, mert harmadik félnek adod ki, nem mentesíti a felelősségét az adatok körül - ez még mindig az Ön adata, az még mindig az Ön által összegyűjtött adat. A GDPR eredményeként sok harmadik fél által megkötött szerződés jelenleg alaposan felül van vizsgálva. Van-e ezeknek a rendszereknek determinisztikus hibák? Azaz, amikor kudarcot vallnak, egy előre meghatározott útra esnek, vagy csak kudarcot vallnak, összeomlanak, megégnek, és a nulláról kezdjük ásni? Nyilvánvalóan sokkal jobb lesz. Ez már jó gyakorlat, de nyilvánvalóan sokkal jobb az ilyen dolgok fordított tervezésében, ha a rendszerben nagy determinisztikus hibák vannak.
Adatmegőrzés, örökké beszéltünk az adatmegőrzésről. Nagyon sok vállalat rendelkezik irányelvekkel, mindazonáltal nem mind követik őket. Nyilvánvaló, hogy az egészségügyi és pénzügyi szempontból híresen adatokat akarunk megőrizni, bizonyos évig meg kell őriznünk az adatokat. Ezeknek a cégeknek az elemzői, akik hét éven keresztül tárolják az adatokat, vagy azt mondják, azt mondják: „Ó, az idő után még mindig szeretnék ezeket az adatokat.” Ezeknek a társaságoknak az ügyvédei közül néhányuk azt mondja: „De meg kell szabadulnunk tőle felelősségvállalás céljából ”és így tovább. Ez nem lehet egyszerűen csak ott ülni, mivel ez már a loggerheads kérdése a GDPR-rel kapcsolatban. Meg kell adnunk a megtartási időszakot, ha azt következetesen követjük a szervezeten belül.
És végül: hogyan tudod mobilizálni az adatok megsértésére? Ezek a legrosszabb esetek, amelyek veled történhetnek. Nyilvánvalóan megpróbáljuk megakadályozni őket, de mi van, ha történik? Hogyan háborúzhatja a dolgot, és győződjön meg arról, hogy a válaszában most követi a GDPR előírásait? Adatépítész vagyok, az építészetre gondolok. Ha Ön USA-ban működik, EU-műveletekkel, azaz az EU-állampolgárok adataival rendelkezik - ezeket gyűjti, akkor mérlegelnie kell, hogy az adatvédelmi előírásokat alkalmazza-e minden adatra, vagy csak az EU-adatokra. Igen, vannak olyan ügyfeleim, akik most döntöttek. Mint megalapozott üzleti gyakorlat, előfordulhat, hogy ezt át akarják vinni az Egyesült Államokba, bár érezhetik, hogy van idejük, de ez a második felsorolás felhívja a figyelmet. Lehetséges, hogy el kell távolítania az EU adatait az amerikai rendszerektől, ha nem tudja garantálni, hogy az amerikai rendszerek megfelelően kezelik az adatokat. Elkülönülnek-e az adatok elemzés céljából? Az elemzés akkor is érvényes, ha országszerte próbálkozik velük elvégezni? Néha igen, néha nem, igaz? Előfordulhat, hogy ennek eredményeként az analitika elnémul.
Mint már említettem, a mesterséges intelligencia itt játszik szerepet, mert nyilvánvalóan felhasználhatjuk az AI-t, hogy megtaláljuk az összes adatot, segítsen nekünk az összes adat megtalálásában, de ha az AI-t használjuk vevői felületeinken, akkor átláthatósággal kell rendelkeznünk ügyfelünkkel interfészek és ez még soha nem volt az AI erőteljes példája. Hogy megpróbáljam elmondani az ügyfélnek: „Elutasítottak téged, mert bla, bla, bla”, amikor valójában AI volt. Ezt most meg kell tenni. Ki kell találnunk az AI működését, milyen tényezők? Nem tudok csak ott ülni és fekete doboz lenni neked. Mit csináljunk most? Hozza létre a GDPR testületét. Azt javaslom, hogy tartózkodjon ott az adatvédelmi tisztviselőnél, vagy ha van adatvédelmi tisztje, nyilvánvalóan az a személy. Az adatkezelés, az operatív kockázat és / vagy a megfelelés vezetője, amennyiben alkalmazandó, az informatikai vezető, a CIO vezetője, ha ez a személy. Ha van egy megváltozott vezetõ személy, akkor nagyszerű ember lenne ott. Csak a vállalkozása néhány legfontosabb részlegének vezetõi, valamint a HR vezetõje is, mert a magánélet védelmét célzó képzés most óriási lesz. Mindenki megkapja az adatvédelmi képzést, vagy meg kell szereznie a magánélet védelmét szolgáló képzést, amikor vállalkozásba lépnek, akár tanácsadók is.
Ha nem ezeket a dolgokat látja, amelyeket itt lát, akkor gyorsabban kell mozognia, mint amennyit szeretne a határidő megtenni. Azt is el kell kezdenie, hogy remélje, hogy nem az elsők között kap ellenőrzést, mert őszintén szólva, itt nagyon sok munka van, ha a nulláról indul, és sok uniós polgárral foglalkozik. Bérelje fel adatvédelmi tisztviselőjét, tárolja az adatokat és a folyamatokat. Készítse el az adatkezelési tervet, vegye oda, ahonnan van, és hova kell lennie. Esetleg érdemes elindítania. Készítse el adatvédelmi irányelveit és közleményeit. Az adatvédelmi irányelvek belső jellegűek. A szakpolitikai közlemények kívül esnek. Látjuk, hogy egy kultúra kezd kialakulni, amely most a politikai közlemények köré épül. Nagyon sok összehasonlítást végeztek, és sok gondos megfogalmazást végeztek ezen politikai közlemények körül. Rendelje el a GDPR megfelelőségének ellenőrzését minden rendszer számára, beleértve az új rendszereket is. Lehet, hogy sorrendbe kell állítania, és valamilyen fontossági sorrendben meg kell tennie, de ez egy másik módja a probléma kezelésének. Nézze meg a rendszereket, és azt, hogy mit fognak csinálni, és hogyan kezeli ezeket az adatokat.
Mit jelez a GDPR? Erről vagyunk itt, hogy kicsit többet beszéljünk. Várom, hogy Kim mit mond erről. A GDPR az adatvédelmi irányelvek elmozdulása a szabályozás felé. Ez az átláthatóság irányába mutat, ezt a rendelkezések pontosan mondják. A magánélet-védelemről szóló értesítések ezt a kultúráját hozzuk létre, amiről beszéltem, ez a helyzet. Konferenciákat fogunk tartani az adatvédelmi közleményekről és így tovább. A GDPR-váltás az emberek alapvető jogai felé irányul. A nyitott kérdéseket kidolgozzák. Világosan nyitott kérdések vannak, néhányat itt hagytam nekünk az asztalra. Senkinek nincs választ. Meg fogják dolgozni. A tendencia az egyének jobban megértik adataikat és azok felhasználását. Úgy gondolom, hogy ez felhívta az EU lakosságának figyelmét az adatok fontosságára, és látta, hogy személyes vagyonuk egyikeként többet kell kezelniük. Ez néhány a korai jelek közül, amelyeket láttam, és Eric, vissza fogom viszonozni neked.
Eric Kavanagh: Jól van, hadd adjak át a kulcsokat Kim-nek, aki megoszthatja nézeteit, de szerintem ez jó áttekintés volt, William, és megütötte a kulcsfontosságú pontokat - nevezetesen, hogy ez biztosan jön le a csuka, és van nagyon óvatosan, őszintén szólva. Ezzel hadd adjak át a kulcsokat Kimnek, és megoszthatja a képernyőjét, és onnan elhozhatja.
Kim Brushaber: Hé, hallod?
Eric Kavanagh: Én hallak.
Kim Brushaber: Fantasztikus. William ugyanazokat a dolgokat fedezte fel, amelyeket én fogok fedezni, de azt hiszem, hogy érdemes újra lefoglalni, mert nagyon fontosak. Úgy gondolom, hogy amikor új rendeleteket fogadnak el, nagyon jó, ha sokféle nézetet és értelmezést kapunk erről az emberekről, hogy valami kibújja a gondolatait és lehetővé tegye, hogy még jobban megfeleljenek a szabályoknak. A hívásban részt vevő összes ember bátorít, aki többet szeretne tudni, mert szerintem május 25-én jönth, sok pánik merülhet fel azokkal a vállalatokkal szemben, amelyeket utána üldöznek, de nem felelnek meg a szabályoknak.
Kim Brushaber vagyok, az IDERA vezető termékmenedzsere vagyok. Számos termék van bennem, amelyek segítenek a GDPR és más előírások betartásában. Be fogok térni néhány információba. Néhány tényről és számról kezdem, majd egy kicsit belemegyek a GDPR-be, majd konkrétan az eszközeink segítségével. Egy tény, hogy több mint 5 millió adatrekordot vesznek el vagy lopnak el minden nap. Nem halljuk, hogy ezt jelentették a hírekben, nem halljuk, hogy ez más helyekről jönne, de több mint 5 millió adatrekord van, amelyeket állandóan lopnak, közvetlenül tőlünk tőlünk. A támadók nyugalmi állapotban lévő napjainak medián száma 200 nap. Sok rendszerbe már behatolnak azok az emberek, akik - rosszindulatú szándékokkal -, akik csak arra várják a lehetőséget, hogy kihasználják az Ön adatait, főként a biztonság és a tanúsítványok terén, de csak arra várnak, hogy pillanatukban felszálljanak. Éppen ezért egyre fontosabbá válik az adatbiztonság kezelése. Az egységes adatok megsértésének átlagos költsége 2020-ban az előrejelzések szerint meghaladja a 150 millió dollárt, mivel egyre több üzleti infrastruktúra kapcsolódik az online erőforrásokhoz, és minél több dolgot kell feltenni a felhőben. Ez egy jó költségvetési szám, ha valóban aggódik az adatbiztonság miatt, hogy átadja a végrehajtó csapatnak, hogy elmondja nekik, hogy ez egy komoly ügy, és sok pénzbe kerülhet a jövőben.
Röviden áttekintem az Equifax adatsértését, mert azt hiszem, hogy ez volt a 2017-es legnagyobb adatsértés, hogy kinyomtassa a képet arról, hogy milyen átélni. A jogsértés 145,5 millió ügyfelet érintett. Az alkalmazottak két hónappal a jogsértés bekövetkezése előtt felismerték a webes alkalmazásukkal kapcsolatos biztonsági problémát. Az alkalmazottak azt mondták: „Ez egy kérdés.” És még egy kicsit azelőtt is, amikor a javítás valójában ki lett adva. A jogsértés bekövetkezése után egy teljes nap telt el, hogy válaszoljunk rá és a webes alkalmazást offline állapotba helyezzük. Mivel az Equifax-nek nem volt meghatározott adatbiztonsági protokollja, sok időbe telik számukra, hogy kitalálják, mi folyik, majd a rendszert offline módba lehessen állítani. Hat héttel a jogsértés után figyelmeztették a nyilvánosságot. A GDPR-rel - amint azt fentebb kijelentettük és újra mondom - 72 órán belül jelentést kell tennie, és az Equifax összekapcsolta volna a kezét, és nem lenne képes megfelelni ennek a megfelelésnek, mert hat hétig vártak, hogy jelentsék. A jogsértésre adott válaszként egy olyan webhelyet tartalmaztak, amely még az Equifax tulajdonában sem volt. Maguk az Equifax retweetelte ezt a tweetet, amely még a domainjükben sem volt - megfordították a szavakat. Szerencsére nem rosszindulatú webhely volt az, amely kihasználta ezt, de nyilvánvalóan nem voltak felkészülve. Nem volt tervük, és ez a közvélemény színtéren felismerték. Az Equifax nem egyedül - 2017-ben több mint 25 nagyon magas számítástechnikai támadás történt 2017-ben, és még többet találhatunk az év vége előtt. A vállalatoknak tényleg el kell kezdeniük ezt komolyan, mert az emberek odakint vannak, és ha indokolja őket, hogy veled akarnak lenni, akkor jobb, ha felkészülnél arra, hogy képes kezelni.
Néhány egyéb adat és adat azzal kapcsolatban, hogy az egyének hogyan tekintik az adatbiztonságot. 2020-ra 30 milliárd eszköz csatlakozik az internethez otthonainkon keresztül, hordható készülékeinkön, telefonjainkon, táblagépeinken keresztül, és ki tudja, mi még jöhet az elkövetkező években. Rengeteg eszköz van, amelyek sebezhetők ezeknek a támadásoknak. Az amerikaiak negyvenkilenc százaléka érzi úgy, hogy személyes adatai kevésbé biztonságosak, mint öt évvel ezelőtt. Az amerikai fogyasztók 83% -a azt akarja, hogy a vállalatok átláthatóak legyenek személyes adataikkal. Az emberek hetvennyolc százaléka állítja, hogy tisztában van az ismeretlen hivatkozásokra és linkre kattintással járó kockázatokkal, ám ezekre még mindig rákattintanak - ez a népesség több mint háromnegyede, és még mindig kattintanak a linkekre, bár ők tudom, hogy ez probléma lehet. Az internethasználók nyolcvanhat százaléka aktívan próbálja minimalizálni, névteleníteni és elrejteni digitális lábainak láthatóságát. A mostohaapám szereti kimenni és hamis neveket létrehozni, amikor kitölti az űrlapokat, mert úgy gondolja, hogy ez anonimmá teszi, de keveset tud arról, hogy IP-címét szintén nyomon követik. Sok egyéni aggodalomra ad okot, és ez hozza a GDPR-előírásoknak és valószínűleg további rendeleteknek, amelyeket követni fog.
Az adatbiztonsági iparág adatai szerint a 2016-os szabálysértési adatok 90% -a kormányzati, kiskereskedelmi és technológiai származott. A kibertámadások negyvenhárom százaléka támadta meg a kisvállalkozásokat. Ha úgy gondolja: „Ó, én nem vagyok nagy srác, nem fognak engem követni”, még mindig csaknem felük van a kisvállalkozás után. Az egészségügyi ágazat 75 százaléka rosszindulatú programmal fertőzött meg az elmúlt évben. Az Egyesült Államok olaj- és gázipari társaságainak 70% -át feltörték az elmúlt évben. Ez jelentős mértékben befolyásolja a működő és működő különféle iparágakat, és ez a szám csak innen fog növekedni.
A végrehajtói szemszögből nézve a CIO-k 90 százaléka elismeri, hogy millió dollárt pazarol el a nem megfelelő kiberbiztonságért. Kilencven százalékuk azt is mondja, hogy támadtak, vagy arra számítanak, hogy a titkosításukban rejlő srácok támadnak. 87% úgy véli, hogy biztonsági ellenőrzéseik nem képesek megvédeni üzleti tevékenységüket. A CIO nyolcvanöt százaléka arra számít, hogy kulcsai és igazolásainak bűncselekményekkel való visszaélése még rosszabbá válik. Nagyon sok vállalat vizsgálja ezt az adatbiztonsági kérdést, és a valóság az, hogy sokuknak nincs nagyon jó megoldása a helyén, hogy még akkor is megbirkózzon vele, amikor ez megtörténik, bár úgy vélik, hogy meg fog történni.
Amikor megvizsgáljuk annak felkészültségét, 2014-ben az évezredek 70 százaléka elismerte, hogy az informatikai politikák megsértésével külső alkalmazásokat hoztak be vállalkozásukba. Hetven százalék elismerte - valószínűleg még ennél is nagyobb szám van, ami valójában ezt tette. A 2016-ban sikeres kibertámadásoktól szenvedő szervezetek ötvenkét százaléka nem változtatott meg biztonságban 2017-ben. Noha egyszer megtámadtak, még mindig nem mentek fel, és partra szálltak a falakon - ugyanolyan sebezhetők, mint ők. voltak a támadás előtt. Valójában felmerül a kérdés: mit kell tennie a vállalatoknak, hogy felkészüljenek ezekre a dolgokra? A globális szervezetek harmincnyolc százaléka állítja, hogy készen állnak a kifinomult cyberack kezelésére. Ez jó - csaknem felük van, és nagylelkű vagyok ezzel, valójában csak egyharmadban vagyunk, de még mindig van legalább fele, aki azt mondja: „Nem vagyok kész. Ha támadást kapok, még nem vagyok kész és a hackerek tudják. ”A szervezetek harmincnyolc százalékának van számítógépes eseményekre való reagálási terve. A legtöbb vállalat ugyanabba a vödörbe tartozik, mint az Equifax, ahol nem tudják, mit fognak csinálni. Ha ezt megkapják, akkor reagálniuk kell és jönni kell ezekre a dolgokra menet közben, és a GDPR-hez hasonló rendeletek azt mondják: „Nekik rendelkeznie kell a helyükön. Meg kell adnod őket. Bizonyítania kell ezt a biztonsági auditoroknak. ”Remélhetőleg az ilyen hatásokkal, az ilyen rendeletekkel sikerül előrelépni ezen a görbén, és ahelyett, hogy reakcióképesek lennénk, proaktívak lehetünk tevékenységünkben.
Beszéljünk egy kicsit a GDPR-ről. Ennek a Williamnek egy részét már lefedte, de megyek előre, és újra fedezem, csak az én hangom, hangom, perspektívám alapján. Nagyon sok olyan társasággal, amellyel beszélek, olyan van, mint: „Az USA-ban vagyok, miért kellene még törődnöm ezzel az EU-szabályozással?” Az a tény, hogy több ember nem zümmög, és több ember nem beszél azt gondolják, hogy csak az EU tagállamait érinti, de kérném tőled, ha megnézi ezt a listát, összegyűjti-e ezeket az adatokat az EU-tagoktól? Ha ezen információk bármelyikét összegyűjti, akkor a GDPR határaira, valamint a szabályok be nem tartásáért kiszabható szankciókra van szükség. Adok neked egy percet, hogy ezt csak valamilyen módon felszívja és megértse. Amint William korábban említette, ezek a GDPR 83. cikkében említett szankciók és szankciók. Az elején kapaszkodhat a kezedre, egy kicsit figyelmeztető mondattal: „Hé, készülj össze a tetteddel. Helyezze ezt a helyére. ”De ha igazán nagy megsértésed van - és attól függően, hogy mennyi az üzlet - akkor visszatérnek hozzád visszafizetés céljából, és ez jelentős szám. Nem 10 millió, hanem 20 millió euró, vagyis az előző évi forgalom / bevétel 4 százaléka. Ez sok pénz. Ez nagy költségvetés, amelyet a vezetői csapatoknak kell eljuttatnunk, és azt kell mondanunk, hogy „ezt komolyan kell vennünk, és cselekednünk kell.”
Hadd keressek egy kicsit az 5. cikkben körvonalazott GDPR-alapelveket. Az egyik dolog, amit mondanak, hogy a személyes adatokat törvényesen, tisztességesen és átlátható módon kell kezelni. Ez azt jelenti, hogy a nyilvánosság meg akarja tudni, hogy mit csinál az adataival. Legyen átlátható róla, és közzé kell tenni. A legtöbb ember nem olvassa el az Általános Szerződési Feltételeket, de ez új információ, amelyet kommunikálnod kell, hogy elmondhassa nekik: „Az Ön adatait megfelelő módon kezelik.” A személyes adatokat egy meghatározott kifejezett és legitim célok. Ez azt jelenti, hogy remélhetőleg megszabadulhatunk e spam némelyikétől, amikor a vállalatok azt állítják, hogy információkat gyűjtenek egy kvíz során, amely megmondja, mennyire érdekes lehet, és a valóságban elviszik az Ön adatait, és visszaadják valakinek. , bármilyen célokra felhasználható. A vállalatoknak most sokkal felelõsebbnek kell lenniük, és pontosan meg kell mondaniuk, mire használják az Ön adatait. Azt is mondják, hogy a személyes adatoknak megfelelőnek, relevánsnak és a szükségesnek kell lennie. Nagyon sok cég szeret minden információt elhozni, és egy nagy adatkészletbe helyezni, majd rájönni, mit szeretne később tenni az információval, és sokkal többet gyűjt, mint amennyire szükség lehet. Ez azt mondja, hogy nem gyűjtheti össze, és másutt felhasználhatja. Nem csak mindent gyűjthet, és remélheti, hogy később hasznos lehet. Nagyon világosnak kell lennie, miért gyűjti az információkat, és ennek relevánsnak kell lennie a gyűjtött adatokra.
A személyes adatoknak is pontosnak és naprakésznek kell lenniük. Meg kell adnia a felhasználóknak módját az adatok frissítésére, miután összegyűjtötte őket; képesnek kell lenniük arra, hogy visszamenjenek és azt mondják: „Tudod, volt egy véleményem egy olyan felmérés kapcsán, amelyben személyes azonosító információkat kértél tőlem, és vissza akarok térni, meg akarom változtatni, és frissíteni akarom most.” hogy módjuk legyen nekik erre. A személyes adatokat olyan formában kell megőrizni, amely lehetővé teszi az érintettek azonosítását csak a szükséges időtartamra. Visszatérve William álláspontjába, hogy ezeket az információkat nem gyűjtheti örökre - ki kell állítania azt, amit érvényesnek és szükségesnek tart, majd utána törölnie kell az adatokat. A feldolgozást oly módon kell végezni, hogy a megfelelő biztonságot biztosítsák, ideértve az illetéktelen vagy jogellenes feldolgozás, a véletlen elvesztés, megsemmisülés vagy károsodás elleni védelmet is.
Mint már korábban mondtam, itt az ideje, hogy komolyan foglalkozzunk ezzel, megállítva ezeket az adatsértéseket, mert nemcsak sérülései lehetnek a vállalkozásodnak adatsértések formájában, valamint a bevételkiesés és a folyamatok támogatásának költségei miatt. , de előfordulhat, hogy egy halom bírságot is becsapott a GDPR-ből. Ideje valóban nagyon komolyan venni ezt a kérdést, és azt hiszem, hogy a GDPR hatálybalépésével a vállalatok a nehéz valósággal szembesülnek, és szerencsére azok, akik ma hívásban vannak, elkezdhetik ezen gondolkodni, és tudják, hogy hogyan fogja ezeket a dolgokat végrehajtani.
A GDPR sokat beszél arról, hogy mi az egyének jogai; ez valóban figyel az egyedi felhasználókra. Az első dolog a személyes adatokhoz való hozzáférés joga. A felhasználóknak tudniuk kell, milyen információkat gyűjtöttek rájuk, akárcsak a személyesen azonosított információkat, és Önnek lehetőséget kell adnia számukra a hozzáféréshez. Helyesbítésre is van joguk, amely egy fantasztikus módszer annak kijelentésére, hogy „képesnek kell lennem kijavítani az ön adatait, amely rám van.” Törléshez való jog - amelyet ismét sok ember úgy fogalmaz meg, mint a felejtsd el - ha egy személy azt mondja: „Tudod mit, már nem akarom, hogy tudd, hogy szuper szórakoztató srác vagyok, képregénygyűjtő, ezt meg kell szabadulnom. Van néhány barátom, aki engem bosszant engem, és teljesen letöröl a listájáról. ”Önnek képesnek kell lennie erre. A feldolgozás korlátozására is joguk van, és ez azt jelenti, hogy a felhasználók korlátozhatják információik feldolgozásának módját. Azt mondhatják: „Nem bánom, hogy az információkat veszem, mert új autót veszek, de nem használom ezt az információt nekem, és minden egyes alkalommal spammel küldöm az új ügyleteket, amikor új autók kerülnek forgalomba.” az adatok hordozhatóságához való jog, ami azt jelenti, hogy a felhasználóknak képeseknek kell lenniük arra, hogy másolatot szerezzenek adataikról, és máshol el is vihessék. Nagyon sok szervezet gyűjt információt, és ennek az információnak tapadási tényezője van, és az egyének most azt mondhatják: „Tudod mit, azt akarom, hogy tegye meg az összes információmat, és most azt akarom, hogy adja meg a versenytársának, így ezt át tudom helyezni. felett."
Nagyon sok dologra van gondolkodni egy szervezettől a jövőben attól, hogy hogyan fogja tudni ezt megtenni, és milyen információkat szeretne gyűjteni és végezni. Arra is joga van, hogy tiltakozzon, és a felhasználók kifogásolhatják adataik feldolgozását is. Az a jog, hogy ne vegyenek alá döntést kizárólag az automatikus feldolgozás vagy profilozás alapján. Ennek jelentős hatása van a B2B marketingre - ha ott ül, és A / B tesztelésre próbálkozik, és megpróbálja azonosítani, hogy Coloradót inkább egy Kalifornia befolyásolja-e, jóllehet, profi profilkészítést végzett, az egyik állam áttekintésével szemben egy másikkal, és meg kell vizsgálnia, hogy az egyénnek miként kell képesnek lennie arra, hogy kilépjen ettől.
Tekintettel arra, hogy van néhány ijesztő dolgunk, amelyek az adat megsértéséig jönnek, és hogy az emberek miként nézik az adataikat, és megkaptuk ezt a hatalmas rendeletet, amely a vállaink fölé dömpingelt, most itt vagyok, hogy az IDERA segítségére vonatkozó megoldás. A 15. cikk arról szól, hogyan lehet ellenőrizni a személyes adatoknak való kitettséget. Tudnia kell, hogy ki fér hozzá az adatokhoz. Hogyan használják? Mennyi adatot dolgoztak fel, és az SQL-termékek megfelelési menedzserének, amelyben én vagyok a termékmenedzser, lehetővé válik, hogy megnézze, ki és hogyan fér hozzá az adatokhoz. Az SQL Compliance Manger az SQL Server megoldásokhoz készült. Ha rendelkezik SQL Server adatbázissal, összekapcsolhatja ezt a terméket, hogy megvizsgálhassa és megnézhesse ezeket az információkat, hogy megfeleljen a GDPR-nek, és pontosan tudja, hogyan használja. Az adatsértéseket még azok előfordulása előtt is megnézheti, erről egy másik diaban fogok beszélni. Van egy cikk, amely kimondja: „Szükségem van a feldolgozási tevékenységek nyilvántartására. Be kell jelentkeznem, ellenőriznem kell a műveleteket, és tudnom kell, hogy ki dolgozza fel a személyes adatokat, és ki fér hozzá ezekhez a rendszerekhez. ”Az SQL Compliance Manager karbantartja a szerverek és adatbázisok ellenőrzését, ideértve a biztonságot, a DDL-t, a DML-t, valamint meghatározza az érzékeny adatokat. . Az SQL Compliance Manager lehetővé teszi a biztonsági hozzáférés ellenőrzését és a kísérlet naplózását, így láthatja, hogy ki fér hozzá az információkhoz, és ki jelentkezik be, hogy egy kiváltságos felhasználó, egy ismert felhasználó, vagy esetleg rosszindulatú felhasználó.
A 33. cikk a személyes adatok megsértésének a felügyeleti hatóság felé történő bejelentéséről szól. Önnek képesnek kell lennie felfedezni ezeket a jogsértéseket; regisztrálnia kell a hatást; tudnia kell, milyen gyorsan fogja megjavítani. Ennek érdekében az SQL Compliance Manger lehetővé teszi, hogy riasztásokat állítson be az adatbázisaiban, hogy azok láthassák, ki fér hozzá az érzékeny adatokhoz, amikor hozzáfértek hozzájuk, mire hozzáfértek. Ez azt is lehetővé teszi, hogy kizárja a normál kiváltságos felhasználókat az ellenőrzésből. Ha van rendszergazda vagy hálózati rendszergazda, amelyről tudta, hogy hozzáférni fog hozzá, és nem akarja eltömíteni a jelentéseit, kizárhatja azokat és mondhatja: „Adjon nekem mindent, ami ezen információkon kívül zajlik.” Ez lehetővé teszi gyorsan azonosíthatja, ha valaki rosszindulatúan fér hozzá az Ön adataihoz, és rendelkezhet olyan riasztásokkal, amelyek a helyén vannak, amelyek tudatják Önnel az esemény megkezdésének pillanatát, majd az információ elérésének pillanatát, hogy megsemmisítsék azt, hogy Ön nem kell teljes napot várnia, hogy kitaláljuk, mi folyik, mint az Equifax.
Van egy cikk, amely az adatvédelemről és a hatásvizsgálatról szól. Ez felméri a kockázatokat és megérti azokat, valamint bemutatja és dokumentálja a GDPR-nek való megfelelését. Az SQL Compliance Manager lehetővé teszi a megfigyelt elemek jelentését. Dióhéjban az adatok ellenőrzése az SQL Compliance Manager segítségével, az SQL Compliance Manager lehetővé teszi a sikertelen bejelentkezések felismerését - ami a megsértés potenciális jele -, felügyelheti az adminisztratív tevékenységeket és a biztonsági változásokat, figyelmeztethet az adatbázis módosítására, ellenőrzésére oszlopok, amelyeket érzékeny információként határoz meg, azonosítják a kiváltságos felhasználókat és nyomon követik tevékenységüket a rendszer többi felhasználójától elkülönítve, jelentik, hogy az információkat több szabályozási iránymutatásnak megfelelően ellenőrzik. Nemcsak a GDPR-re, hanem a HIPAA-ra, a PCI-re, a FERPA-ra, a SOX-re, az összes szabályozási iránymutatásra is kiterjedünk, amikor az Ön adatainak ellenőrzésére és a hozzáférés megértésére kerül sor, rendelkezésünkre állnak ezek a szabályozási irányelvek.
Az IDERA-nál további termékek állnak rendelkezésre a GDPR előkészítéséhez. Az SQL Compliance Manager által végzett ellenőrzésen túl az ER / Studio Enterprise Team Edition is rendelkezik, amely segít az adatfolyamatok dokumentálásában és az adatstandardok beépítésében az adatmodellbe, és létrehozhat olyan adatszótárakat, amelyekről William egy korábbi diaban beszélt. . Mint ahogyan ezt a bemutató során kifejtettem, az SQL Compliance Manager segíthet az adatok ellenőrzésében annak ellenőrzése érdekében, hogy a rossz emberek nem férnek hozzá az Ön adataihoz, és ezt bizonyíthatja az auditoroknak. Az SQL biztonságos biztonsági mentés segíthet az adatok és a biztonsági mentések titkosításában. A titkosítás a GDPR nélkülözhetetlen része, amelyet nem részleteztem részletesen, mivel sokat akartam összpontosítani a Compliance Manager eszközére, de az SQL Safe Backup sok titkosítást elvégz az Ön számára, hogy adatai biztonságban maradjanak. Az SQL Inventory Manager biztosítja a kiszolgálók javítását és naprakészségét, tehát nem ér véget olyan esetben, mint például az Equifax, ahol egy elavult javításuk volt egy nagy biztonsági lyukot adva nekik, amelyet az emberek képesek voltak rosszindulatúan használja. Az SQL Secure ellenőrizheti a magánélet és a titkosítási szabványokat.
További részletek az IDERA közösség weboldalán, a blogunk alatt, egy felkészülést írtak a GDPR-re, valamint a 2018-ra való felkészülést, valamint annak megértését, hogy milyen lesz a GDPR hatása, és ott van, természetesen letöltheti az SQL Compliance Manager próbapéldányát. az IDERA-nál, valamint az összes többi olyan termékkel kapcsolatban, amelyeket korábban már említettem a diaban.
Ezen a ponton megyek előre, és visszaadom az előadást Ericnek, hogy feltehessünk néhány kérdést.
Eric Kavanagh: Ok, rendben. Számos igazán érdekes dologgal foglalkozott ott, Kim, amelyek közül egyet - szerintem ez nagyon egyszerű, de elég okos - beszélt a sikertelen bejelentkezések észleléséről. Számomra ez egy nagyon jó jel, hogy valaki jól van, nem igaz?
Kim Brushaber: Teljesen. Ha látsz valakit, aki megpróbált hozzáférni a jelszavához, és feltörni, ez egy nagyon gyors módja annak, hogy kijelentjük, hogy valaki nem úgy működik, amilyennek lennie kellene. Lehet, hogy néhányszor hibásan gépelte be a jelszavát, de ha látja, hogy ezek közül 30 jön át, ez egy rossz jel.
Eric Kavanagh: Igen. Itt kulcsfontosságú, hogy beállítsák a riasztásokat a megfelelő con. Mit mondhatna nekünk arról, hogyan kell kezelni a riasztások beállítási és deaktiválási folyamatát, amelyek nem csinálják, amit tennének, és ezeknek a részeknek mekkora része automatizálható?
Kim Brushaber: A Compliance Managernek sok konfigurálható figyelmeztetése van, valamint jelentések is, amelyeket átnézhet. Megismerjük az SQL nyomkövetéseinket, és megvan az automatikus nyomkövetés, és nagyon sokunk már előre beállítva és előre definiálva van, de természetesen van jelentős mértékű testreszabás, amelyet Ön is elvégezhet.
Eric Kavanagh: William, bevonom ebbe a kérdést - számomra úgy tűnik, hogy az egyik olyan terület, ahol a gépi tanulást a következő két-tíz évben játszani fogjuk, mindenféle lehetőséget megvizsgál. Tekintettel arra a különféle módra, amellyel egy rendszer optimalizálhatja hatékonyságát, az eredményesség olyan kérdések körében rejlik, mint például a jogsértések és így tovább. Ez az Ön vállalása is?
William McKnight: Igen, teljesen. Azt hiszem, éppen olyan rendszereket építünk, amelyek magukat javítják. A 24/7-es monitorozás elcsúszik és múlté válik, noha még mindig szükségünk van ilyen üzemidőre. Úgy gondolom, hogy a rendszerek nagyrészt beépítik a rendszert, és kitalálják, mi az, ami rossz. Itt kell több helyet kiosztanunk, vagy mi van veled? Igen, azt hiszem, ez határozottan része a jövőnknek. Bármi odakinn, amely hozzárendelhető bizonyos cselekvési lépésekhez, hogy válaszoljon valamire, határozottan ki van téve a mesterséges intelligencia hatásának.
Eric Kavanagh: Ez egy jó pont. Még egy kérdést feldobok önnek, William, mert tudom, hogy sok kutatást végez ezen a téren. Az egyik dolog, amit már hosszú ideje vártam, és nem hiszem, hogy még ott vagyunk - azt hiszem, közel állunk hozzá, éppen abból, amit olvastam és gondolkodtam rajta - egy nap, amikor lesz technológia a szabályozási kérdések eloszlatására, ezen dolgok tényleges megfogalmazása, és hozzárendeljük a funkcionalitáshoz és a szoftverhez. Mint mondom, még mindig módunk van erre - el sem tudom képzelni, hogy van valaki, aki rajta dolgozik. Találkoztál valami hasonlóval, vagy még mindig ott vagyunk, ahol az embereknek át kell nézniük a szabályokat, valóban meg kell próbálniuk és meg kell érteniük őket, lényegében gépi kódba kell őket kodifikálniuk, és ezt követően meg kell nyomniuk a különféle alkalmazásukra?
William McKnight: Nos, minden bizonnyal megkapom azt a koncepciót, amelyet itt osztanak meg. Nem ismerek semmit, ami egy ilyen környezetben bevezetésre kerül egy környezetben. Általában azt mondom, hogy nyilvánvalóan elkezdjük mondani a gépeknek, hogy mit ne tegyünk, de mi a cél, amit akarunk csinálni, és a gépek sokkal okosabbak lesznek a részletek kitalálásában. Úgy gondolom, hogy ha már valamilyen mesterséges intelligencia bekerül a szervezetünkbe, akkor valószínű, hogy új rendeleteket lehet kidolgozni a szervezeten belüli AI-vel összehangolva, hogy azok a jövőben az ön által leírt módon kerüljenek kidolgozásra. Egyelőre nem ezzel járunk.
Eric Kavanagh: Íme egy kérdés, amelyet átadok neked, Kim., Mert ez szintén érdekes. Az átlagos késésről vagy arról az időről beszél, amikor valaki, aki bejelentkezik a rendszerébe, elrejtőzik és csak várakozik - hány nap támadó maradt hálózaton belül - az észlelés 200. Kíváncsi vagyok, mi a véleményed a fejlesztésről először is? De van-e mód is arra, hogy ezt a fajta szabályt felhasználhassuk a saját rendszerének felfedezésére? Saját adatainak feltárása, jobb munka elvégzése az ilyen emberek kihagyása érdekében?
Kim Brushaber: Igen, azt hiszem, hogy nyilvánvalóan a korai észlelés kulcsfontosságú. Ki kell kitalálnia, hogy ezek a rosszindulatú webhelyek hozzáférnek-e az Ön adataihoz, és képesek azok lezárására. Úgy gondolom, hogy a többi diában, ahol megmutatjuk, hogy a legtöbb szervezetnek nincs meg a politikája. Ezért ülnek ott. Úgy gondolom, hogy ha valóban lenne egy olyan politikája, amely átjárja és bezárja hozzáférését, és győződjön meg arról, hogy a megfelelő emberek férhetnek hozzá. Győződjön meg arról, hogy rendszeresen elforgatja a kulcsokat, és frissíti őket. Győződjön meg arról, hogy a jelszavait rendszeresen frissítik, és végezzen olyan dolgokat, amelyek elég alapvetőnek tűnnek. Jelenleg a legtöbb szervezet ezt még nem is csinálja, és ha ezeket a darabokat a helyére helyezi, ez segít túljutni ezen.
Ez természetesen azt jelenti, hogy a hackerek ravaszságossá válnak benne, de ebben a pillanatban könnyű, olyan, mint: „Megnézem az utcán azokat a házakat, amelyekbe úgy érzem, hogy betörni akarok, ha vannak riasztások rendszerekben? Van egy kis riasztási jelük, és hogy van kutyuk? Megyek egyhez, ahol nincs riasztójel, nincs kutya, és ez az a ház, amelybe betörni fogok. Nos, meg fogják találni azokat a vállalatokat, amelyek nincsenek ezek a javítások, és nincs a helyükön a biztonság, és nem frissítik a jelszavaikat, és odamennek, és ott lógnak, és néhányszor használják a hitelkártyádat egy benzinkútnál, hogy megbizonyosodjanak arról, hogy akkor nem állította le, és amikor befolyásolhatják egy nagy változást, általában valamiféle politikai nyilatkozat vagy másképpen történik, amikor látja, hogy felpattannak a fejükre. Ha elkészítjük ezeket a politikákat, azt hiszem, ezen a ponton megtehet néhány nagyon minimális lépést ahhoz, hogy el tudjunk lépni ezen a játékon.
Eric Kavanagh: Ez valószínűleg a legjobb tanács, és ezt mindig hallom, amikor olyan emberekkel beszélünk, akik a biztonsági vagy a szabályozási térben vannak, hogy az alapok a probléma 80 százalékát fogják fedezni, és nagyon sok teret kell lefedni - ez jó pont. Az egyik résztvevőt arra kérdezték, vajon kibővíthető-e olyan üzleti lehetőségek, amelyeket a GDPR megfelelőségi erőfeszítéseiből ki lehet vonni, emlékeztetek Sarbanes-Oxley-re, és azt hiszem, William, átadom neked. Tanácsadóként mindig arra törekszik, hogy segítsen ügyfeleinek egy adott projekten kívül esni - legalábbis ha jó tanácsadó vagy, ezt csinálja. Amikor az emberekkel a GDPR-ről beszélünk, milyen mellékhatások vannak, amelyeket megszerezhetnek, ha megkapnak valamilyen erre összpontosító projektet?
William McKnight: Mindenekelőtt fontos megjegyezni, hogy a GDPR mögött meghúzódó ötlet egyáltalán nem jelenti a polgárok számára teljes jogokat. A GDPR másik oldala pedig az, amely javítani fogja a polgárok bizalmát a társaságainkban, és ez tovább megy. ösztönözze őket, hogy tegyenek több üzletet a megfelelő vállalatokban. Vannak azok a kiegészítő előnyei, amelyek valójában a GDPR tényleges megvalósításával járnak, ma már az általunk végrehajtott adatkezelési programok mindenféle kezdeményezést megkönnyítenek, valójában olyan kezdeményezések megkönnyítésére, amelyeket a szervezetek elindítanak, és manapság leginkább azok a kezdeményezések, amelyeket elindítanak. a szervezeteken belül. Nemrégiben sokkal terveztem a 2018. évet, sokkal közelebb állnak az adatokhoz, nagyon hasonlítanak az adatok 65–90% -ára - amikor telematikáról vagy az ügyfél 360 programról beszélünk vagy az értékesítők figyelésére szolgáló műszerfal, főleg az adatokról szól. Bármi, ami jobban kezeli ezeket az adatokat, és egy jobb architektúrába helyezi azt, amely olyan embereket jelöl, akik közkedveltek, akik válaszolhatnak az adatokkal kapcsolatos összes és minden kérdésre, és amelyek igazán törődnek azzal, mint egy adatkezelési program lenne. Bármi, ami adat szószedetből áll - mint amiről Kim beszélt az eszközeivel -, bármi, ami ezt megteszi, nagyon hasznos, ha ezeket a kezdeményezéseket sokkal hatékonyabbá teszik, kockázatcsökkentik őket, csökkentik az időt, csökkentik a költségvetésüket és befogadnak minket. agilis idő, hogy sokkal gyorsabban és jó dolgokat hozzon forgalomba egy kezdeményezést végző vállalat számára, amely minden vállalat.
Eric Kavanagh: Imádom ezt a bizalom fogalmát. Úgy gondolom, hogy a bizalom egy nagyon alulértékelt valóság a világunkban, és őszintén szólva, a legtöbb üzlet bizalmon alapszik - valójában akkor, amikor rábukkan. Átadom neked csak néhány záró megjegyzést, Kim. Úgy gondolom, hogy az egyik kulcsfontosságú hozzáadott érték itt a bizalom javítása és a bizalom kultúrájának előmozdítása, mivel ez nemcsak pozitív hatással lesz magára a társaságra, az önmagában a társaságon belüli emberekre, hanem arra is, amit a nyilvánosság érzékel, mivel az ilyen jellegű nekem úgy tűnik, hogy valami kiömlött, de mit gondolsz?
Kim Brushaber: Igen, azt hiszem, amikor olyan barátokkal beszélgetek, akik a Google-nál dolgoznak, vagy egy nagyobb, igazán nagy profilú szervezetnél dolgoznak, vagy nem éppen olyan sok új funkciót vezetnek be, mint a biztonsági protokollok, valamint a teljesítmény- és méretezhetőségi problémák végrehajtása során, mert azt akarják, hogy felhasználói élményük olyan legyen, ahol azt hiszik, hogy bízhatnak abban az információban. Úgy gondolom, hogy a vállalatok felelnek ennek a felelősségnek, mivel továbbra is folytatjuk az ilyen bizalom megteremtését. Emlékszem, amikor az emberek először kezdtek el hitelkártyákat helyezni online, és az emberek olyanok, mint: „Istenem, nem fogom odaadni ezeket az információkat, mert az nem biztonságos”.
És most, a hitelkártyája minden irányba megy, mert elméletileg azt gondolja, hogy bízhat a vállalatban, mert rendelkezik HTTPS tanúsítvánnyal. Aztán meghallja a Target adatmegsértéseit, ahol a hitelkártyák - ahova hasonlóak voltak - „Ó, jobb, ha elcseréled a hitelkártyádat, mert elengedjük ezeket az információkat.” Úgy gondolom, hogy ez kétirányú érzés. Úgy gondolom, hogy míg az egyének nagyobb bizalommal akarnak lenni, mivel sokkal könnyebb, ha megbízni lehet benne, és bízni lehet benne a nagy szervezetekben, a nagy szervezeteknek be kell lépniük és behelyezniük ezeket a darabokat, hogy ne nem sértheti meg az egyént, vagy elveszíti a piaci részesedését. Az emberek azt mondják: „Nos, tudod mit, nem fogok többet a Targetnél vásárolni, most az Amazonon vásárolok.” Úgy gondolom, hogy a bizalom nagy kérdés, bár, amint mondtuk, az emberek 78 százaléka továbbra is rákattint erre a linkre, bár tudják, hogy nem. Van bizonyos szintű védelem az embereknél, még akkor is, ha bíznak benned.
Eric Kavanagh: Ez egy jó pont. Tudod mit, egy utolsó kérdést feldobok neked, William, vagy legalább egy még - néhány jó érkezett bennünk. Egy résztvevő azt írja: „A GDPR visszaállítja az identitáskezelést az ügyfél felé, ahol tartozik. Az Equifax véglegesen károsította a digitális gazdaságot szennyező 149 millió - nagyon igaz - fogyasztót. Milyen változásokat lát az USA-ban az ügyfelek tulajdonjogát illetően az identitáskezelés szempontjából? ”
William McKnight: Nos, mi mindig elmaradunk az Egyesült Államokban, amikor ilyen jellegű dolgokról van szó, nem igaz? Száz negyvenkilenc millió, ez nem csepp a vödörben ott. Ez majdnem olyan, mint a terrorizmus, igaz? Csak annyira hozzászoktunk, hogy csak folyamatosan történik. Szerintem valamit meg kell tenni. Úgy gondolom, hogy a GDPR-nek tetszik az állampolgárok számára biztosított jogok, de nem tűnik prioritásnak - sok más prioritás létezik, és nem tudom, hová megy. Úgy gondolom, hogy amint azt az összecsapásokban említettem, amelyek voltak, ez jelzi, hogy a fogyasztó az adatokkal kapcsolatos nagyobb jogok felé mozdul el. Mikor történik itt az Egyesült Államokban? Nem tudom, akár öt év is eltelhet, ha valami arányos a GDPR-vel, ami itt az Egyesült Államokban történik. Csak a spekuláció ezen a ponton.
Eric Kavanagh: Ez egy igazán jó pont, és azt hiszem, további erőfeszítéseket fogunk tenni ezen a téren, mivel - nézzünk szembe a tényekkel - manapság ilyen digitális gazdaság felé haladunk. És záró megjegyzésként, amikor egy filozófiai, politikaorientált lettem, ez a legjobban aggasztja a készpénz nélküli társadalomba való áttérést, mert amikor a készpénz elfogy, ha ez történik, akkor minden digitális, és minden rendszer csapkodhat és mindenki személyazonosságát el lehet lopni. Úgy tűnik, hogy egy nagyon nagy elefánt van a helyiségben, amikor a csuka felé nézünk az identitáskezelés jövője felé.
Ez mind nagyszerű cucc, emberek. Köszönet William McKnight-nak a mai idejért és figyelemért. Köszönjük Kim Brushaber-t az IDERA-tól. Mindezeket az internetes adásokat archiváljuk későbbi megtekintés céljából, ezért nyugodtan térjen vissza, általában csak néhány órán belül, és az archívum készen áll. Ezzel búcsút fogunk adni neked, emberek. Még egyszer köszönöm idejét és figyelmét. Viszlát.