A Techopedia munkatársai, 2017. december 6
Elvihető: Eric Kavanagh házigazda megvitatja a közelgő EU általános adatvédelmi rendeletet és annak az iparra gyakorolt hatásait. Csatlakoznak William McKnight, a McKnight Consulting Group, és Kim Brushaber, az IDERA.
Jelenleg nincs bejelentkezve. Kérjük, jelentkezzen be vagy jelentkezzen be a videó megtekintéséhez.
Eric Kavanagh: Rendben, hölgyeim és uraim, üdvözlet és üdvözlet még egyszer. Szerdán 4 órakor, a keleti idő szerint, ez azt jelenti, hogy itt ismét a 2017-es évek egyik legújabb alkalma a Hot Technologies számára. Igen, valóban Eric Kavanagh vagyok a nevem - a mai rendezvény moderátora leszek. Olyan témáról beszélünk, amely enyhén szólva messzemenő. Jelenleg nem tűnik így - a GDPR fogalma, a globális adatvédelmi rendelet. Menjünk előre, és merítsünk bele ebben, ez nem igazán a tiédről szól, elég rólam. Ez az év forró, nagyon sokféleképpen meleg volt, de a GDPR és más szervezetek közelgő szabályai, őszintén szólva, arra késztenek minket, hogy újragondoljuk, mi történik az üzleti világban, különös tekintettel annak eredményére, vagy mivel az adatokkal kapcsolatos. Meghallgatunk Kim Brushaber-től az IDERA-tól és William McKnight-t a McKnight Consulting Group-tól.
Csak néhány gyors szó a kéznél lévő témáról, emberek. A GDPR alapvetõen azt mondja, hogy a szervezeteknek adatvédelemmel és elsõsorban biztonsággal kell rendelkezniük az adatokkal kapcsolatban, és valójában ez néhány olyan dologról szól, amit már hallottál - például az elfelejtéshez való teljes jog részleges és részleges. ez az egész pillanat, és nagyon érdekes dolgok. Nyilvánvalóan érvényes az alapelvei és az etika szempontjából. A tényleges megvalósítás szempontjából azonban ez egy nagyon komoly kihívás. Az elfelejtéshez fűződő jog azt mondja, hogy ha azt akarja, hogy egyes szervezetek ne rendelkezzenek az Ön adataival, a személyesen bizalmas adataival, akkor meg kell szabadulniuk tőle. Nos, el tudod képzelni, mikor néz ki ilyen valóban heterogén adatkörnyezet, milyen nehéz lesz ez. Az a lényeg, hogy eljuthatunk minden olyan helyre, ahol az adatok állandóak, és kihúzzuk, csak nem fog megtörténni. Ennek ellenére a szervezeteknek rendelkezniük kell politikákkal, hogy képesek legyenek kezelni ezeket az aggályokat, és ez az, amit a szabályozók - biztos vagyok benne - keresni fognak.
Nagy ügy. Nemcsak a szervezetnek el kell távolítania az Ön adatait, ha így mondja, hanem ha ezekre az adatokra algoritmusokat is kiképzett, technikailag ezeknek az algoritmusoknak a továbbképzését is elvégzik. Ez egy magas sorrend, el kell mondanom, de jön, jön a csuka, a jövő év májusában valósággá válik, és vannak más rendeletek is. Kanadában van a spam elleni törvény, amelyet elfogadtak, ez hatással van a személyes információk kezelésére. A nettó semlegesség most jön le a csuka, természetesen alapvetően kitörték, és ez néhány dolgot megváltoztat. Nagyon sok ilyen nagyon súlyos szabályozás érinti a vállalkozásokat az egész világon és szerte a világon, amelyekre a nagy szervezeteknek valóban ki kell gondolkodniuk és fel kell készülniük erre.
Ehhez elérhetővé válik William McKnight on-line a McKnight Consulting Groups-ból, hogy tudassa velünk, mit gondol, és miért a GDPR valójában csak a jéghegy csúcsa. Ezzel, William, megosztom neked. Elvenni.
William McKnight: Köszönöm, Eric, és amint mondod, amint azt a diák mondja, ez a GDPR valószínűleg a jéghegy csúcsa - erre gondolunk. Fontos, hogy mélyebben belemerüljünk a GDPR-be, mert szerintem ez egy olyan szabályozási hullámot képvisel, amely jön le a csővezetékből, amelyben foglalkoznunk kell. Szerencsére, Eric, van néhány ésszerű szabvány az említett elfelejtéshez való jog körül, amelyet el fogok érni. De annak ellenére, hogy az idei sétán a GDPR-ről beszélek, azt gondolom, hogy sok olyan vállalkozás, különösen az amerikai cégek, amelyek még nem készültek fel erre. Határozottan meleg és olyasmi, amire egy évvel ezelőtt, amikor csak próbáltak néhány dolgot próbálni, még nem gondolkodtunk, de most ez egy rendelet, és foglalkoznunk kell vele, amint azt mondtad, Eric, jön itt fel - tehát egyáltalán nem olyan messze.
Egy kicsit rólam, ezt az adat szempontjából fogom megvizsgálni. Hogy tudatjam velünk, élethosszig tartó adatszemély vagyok, és 19 éve konzultálok az adatok terén, és a GDPR sokat foglalkozik az adatokkal. Számos megoldást fogok itt felvázolni, ahogyan az adatkezelés körüli bemutatómban foglalkozom. Nyilvánvalóan sok adatkezelési programot hajtottam végre, és úgy gondolom, hogy ha hozzáigazítasz ehhez a koncepcióhoz, valamilyen adatkezelést hajtanak végre, sok ott működő cég elég messze lesz az utatól. Valójában a GDPR-nek való megfeleléshez, de nagyon sok lesz, és őszintén szólva, ezek lemaradnak az irányításban, és ezért a GDPR-előkészületekben is nagyon hátrányosan. Itt állítsuk be a szintet, és megértsük, mi az a GDPR lényege, és ahogy elmélyülünk a beszélgetésben, a GDPR üzleti életének további következményeibe kerülünk, ahogyan előremegyünk az új évre és azon túl.
A GDPR az Európai Unió polgárainak adatvédelme. Ez egy rendelet - azt jelenti, hogy fogai vannak, azt jelenti, hogy végrehajtható. Nem valami, amit javaslatként tesznek oda - már megtörtént, és most már szankciókkal ellátott rendeletré alakították. Szeretek a büntetésekkel kezdeni, mert ez tényleg felhívja az emberek figyelmét. Ezek szigorú büntetések. Két büntetés létezik: a világméretű éves bevétel 2 százaléka vagy 10 millió euró, ha egy vállalkozás nem tesz eleget a biztonsági kötelezettségeknek, de minden más, más rendelkezések megsértésével - és belekerülök - ez 4 százalék. Úgy hallja, hogy körülbelül - 4 százalék. És egyébként ez 4 százalék vagy 10 millió euró, attól függően, hogy melyik nagyobb. Ez nagyon merev. Az emberek nagyon komolyan veszik ezt. A végrehajtás 2018. május 25- én kezdődik - ez egy kulcsfontosságú dátum, amikor kezdődik az ellenőrzések, amikor megkaphatja a bírságot. Határozottan szeretnéd felkészülni erre. Minden társasággal, mellyel foglalkozom, rengeteg Global 2000 céggel foglalkozom, ezek valahol a GDPR előkészítésében vannak, mások több, mint mások, és másoknak többnek kell lenniük, mint másoknak ezen a ponton. Természetesen kihívást jelent az, hogy némelyiknek megfelelni fogja ezt az időpontot, és látni fogjuk.
Ez a legátfogóbb adatvédelmi szabályok, amelyeket eddig láttunk. Ha valami merevebbet látunk, vagy valami, amely talán közvetlenebbül érinti az USA lakosságát, ki tudja, de odakint van, és ezt feltétlenül be kell tartani. A szervezetektől meg kell értenie, hogy mi az UE állampolgár személyazonosító személyzete - mi ismerjük a személyes személyazonosító jogokat - személyesen azonosítható információk, társadalombiztosítás, telefonszám, cím, azok a dolgok, amelyek egyedileg azonosíthatnak egy személyt vagy meglehetősen egyedileg azonosíthatnak egy személyt. Mi van és hogyan használják. Ez azt jelenti, készlet. Ez azt jelenti, hogy a saját vállalkozásain belül szabályozni kell az ilyen típusú adatokat. Mellesleg, az Egyesült Államoknak nincs semmiféle országos adatvédelmi törvény. Az Egyesült Államok az ilyen jellegű szabályozás szempontjából mindig - és azt mondom, hátulról nézve - mindig Európa mögött állt, és ez folytatódik. Ez folytatódik a GDPR-rel, ez elég nyilvánvaló. Néhányan közületek tudhatják az adatvédelmi pajzsot, és talán azon töprengenek. A GDPR-ben körülbelül három vagy négy rendelkezés létezik, amelyek átfedésben vannak az adatvédelmi pajzsokkal, de a GDPR-ben száz rendelkezés is található, tehát ennél sokkal több és természetesen még mindig helyben van, és ennek köze van az USA és az EU adatcseréjéhez. csak, bár ez fontos.
Ismét szeretek számokkal kezdeni. Hallottál a bírságokról, mi van azzal, hogyan készül fel erre. A GDPR-hez történő költségvetés-tervezés és ennek egy része végrehajtása néhány tényezőtől függ. Az uniós polgárokról gyűjtött PII-adatok mennyisége. Ha nem gyűjt egyet, akkor rendben van, valószínűleg kompatibilis, és nem kell ezzel foglalkoznia, de valószínűleg részt vesz ezen a híváson, mert valahol összegyűjt valamit. A vállalat mérete és az adatkezelés érettsége, amely, amint már korábban mondtam, megközelítheti azt, amit meg kell tennie a GDPR-hez való reagáláshoz. A megfelelés esetén akár több millió dollár vagy euró is várható. Azt akarjuk, de nem akarjuk, hogy csak a GDPR-nek eleget tegyünk, hogy bejelöljük ezt a négyzetet, természetesen ezt meg is kell tennünk. Remélhetőleg nem vagy abban a szörnyű helyzetben, amikor csak kétségbeesetten akarsz bejelölni ezt a négyzetet. Keresse meg az üzleti előnyöket, mert sok olyan dolog, amelyet a GDPR támogatása érdekében tesz, jó az üzleti vállalkozásának. Az adatkezelés jó a vállalkozása számára. A PII-adatok mennyiségét illetően egyesek sokkal fontosabbak, mint mások, másokat pedig többet fognak vizsgálni, mint például az adatokkal kapcsolatos egészséget, a GDPR szerint sokkal szigorúbban fogják szabályozni, mint más típusú adatok, és megfelelést kell megkövetelniük. további kötelezettségekkel, például adatvédelmi hatásvizsgálatok elvégzésével, amelyek nyilvánvalóan növelik a költségvetést.
Egy kicsit a költségvetés-tervezésről. Abban az esetben, ha az Egyesült Királyságban vagy az Egyesült Államokban van, és kíváncsi, hogy ez miként érinti Önt - a GDPR az Egyesült Királyságot érinti, amely egyébként még mindig az EU-ban található, 2019. március 29-ig, és amelynek kormánya jelezte, hogy a GDPR-hez hasonlóak folytatódni fognak ezt a dátumot követően, mert „ez jó ötlet.” Az Egyesült Királyság társaságainak be kell tartaniuk azt. Az Egyesült Királyság állampolgárainak adatai minden bizonnyal a táblázatban vannak. Ha nem egyértelmű, vannak amerikai székhelyű vállalkozások, ha az EU-ban az EU polgárainak adataival foglalkoznak, ez minden bizonnyal vonatkozik rád. Ennek következményei vannak az Ön adatruktúráján, mivel Önnek végül el kell távolítania az EU adatait mindentől, és másképp kell kezelnie őket. Ez befolyásolja az elemzést, amint Eric mondta, az, hogy miként állítja össze ezeket az elemzéseket és így tovább. Most már nehezebb bármilyen koncepció-, globális-analitika bevezetése. A GDPR hatására lokalizálódhatnak.
Mi van a rendelkezésekben? Vannak adatvédelmi előírások. Ez mind kivéve az adatok titkosítását nyugalomban és mozgásban. Ezután a titkosításról beszélek. Vannak az adatsértésekkel kapcsolatos értesítési szabványok. Többé nem várja ezt hónapokig, arra vár, hogy a negyedévben értesítse mindenkit. Azt hiszem, hogy másnap nagy volt, és kiderült: „Ó, egy évvel ezelőtt történt.” A GDPR-rel egyáltalán semmi - 72 órád van. Ez egy név és szégyen politika. Remélhetőleg senki sem jut hozzá ehhez, nyilvánvalóan néhányan fognak. A jogsértések természetesen a GDPR után is folytatódnak. Vannak folyamatok az adatok helyének és minőségének figyelésére. Ismerős? Ez valójában az adatkezelés központja. Remélhetőleg van néhány, aki megy.
Mint Eric említette, az uniós polgároknak joguk van elfelejtéshez. Vannak bizonyos ésszerűségi előírások ehhez, Eric. Nem feltétlenül kell mindent megsemmisítenie, ha esetleg újra kapcsolatba kell lépnie azzal az ügyféllel, az alkalmazottal, akkor megőrizheti személyes adatainak bizonyos aspektusait. Ennek ellenére ezeknek az állampolgároknak joguk van elfelejteni, de nem lehet aránytalan erőfeszítés - ez a nyelv - önre nézve, vagy hogy árthat a társaságnak, azaz az, hogy ezeket az adatokat megsemmisítse. Nem akarom alábecsülni, de el kell bocsátania a megőrzött személyes adatok másolatait, és ezeket az adatokat csak beleegyezés alapján kaphatja meg. Ezt az engedélyt az alsó korhatárban lévő személyeknek kell megadniuk az ilyen engedély megadásához. Ez egy falat ott, de ez sok jogot biztosít az állampolgárok számára az adatok felett. Ez a hordozhatóság ott, ha valaha is felmerül. A nyilvánvalóan elfelejtéshez való jog, és - és ami nem nagyon fontos a diamánál - az adatalanynak joga van arra, hogy ne kizárólag az automatikus feldolgozáson alapuló döntés tárgyát képezze. Mire mozogunk keményen? Automatizált feldolgozás, a kölcsönfelvétel körül, hogy milyen ajánlatokat fogunk nyújtani, mindezt meg kell dolgozni annak szempontjából, hogy ez hogyan fog lejátszódni, és milyen hosszú lesz. Amit ez lényegében azt mondja, az átláthatóság az, ami miatt elutasítottam, miért ez a társaság bizonyos módon bánnak velem. Jelenleg ez egy uniós polgár számára biztosított támogatás.
Nyilvánvaló, hogy vannak bizonyos következményei az üzleti tevékenységünknek, és remélhetőleg látja, hogy a GDPR nem informatikai, hanem csak informatikai probléma. Mindezen üzleti folyamatok részt vesznek. Bevonja az embereket a társaság egész területén. Az adatvédelmi tisztviselő kinevezése ajánlott azoknak a vállalatoknak, amelyek több mint 250 alkalmazottat foglalkoztatnak, és „kritikus matematikával rendelkezel az EU PII-adataival”. Magad eldöntheti, hogy rendelkezik-e ilyen kritikus matematikával, néha nyilvánvaló, néha nem. De van egy új szerep - nem kell teljes munkaidős szerepet játszani, az embernek más felelősségei is lehetnek, de nem tudom - néhány közepes méretű és nagyobb társaságban azt gondolom, hogy a GDPR-hez való ragaszkodás közel legyen egy teljes munkaidős szerephez. Azt mondanám, indulj így, és nézd meg, megbirkózhatsz vele. Különösen a következő év folyamán, amikor összefoglalják a GDPR körüli cselekedeteket, amint betelepülnek, esetleg lelassíthatják az ezzel kapcsolatos munkát, de ez néhány társaságnak elég sok időt vesz igénybe. Hagyja, hogy az egyének láthassák saját adataikat és az adatok hordozhatóságát, ahogy már említettem.
Mellesleg ez nem egészen új, de valójában ott volt az elfelejtés joga, hidd el vagy sem. A jelenlegi EU-szabályok már rendelkeznek a személyes adatok törlésének vagy elérhetetlenné tételének jogáról. Most azonban a GDPR részét képezi, és sokkal szélesebb körben fogják végrehajtani. Adatok titkosítása - az adatok titkosítása nyugalmi állapotban. Használjon szokásos titkosítási módszereket, ne használjon saját, házi vagy nem szabványos titkosítást. Az AES egy kicsit ajánlott. Használjon kriptográfiailag biztonságos titkosítási kulcsokat. Időnként cserélje ki ezeket a gombokat. Ezenkívül meg kell akadályozni, hogy ezek a kulcsok elveszjenek. Ez csak jó titkosítási gyakorlat, de most a GDPR előtérbe kerülnek. Ebben rejlik a probléma - én csak a jéghegy csúcsára értem. Nyilvánvaló, hogy további rendelkezéseket kell megvizsgálni, de ezek a legfontosabbak.
Most megoldás. Adatkezelés, az ön megfelelésének kerete, legalábbis ezt a perspektívat állítom elő itt. Szerencsére van egy aktív, jó sarkú tudományág, amely érett állapotban képes kielégíteni a legtöbb követelményt, és ez az adatkezelés - nyilvánvalóan ezt mondom. Az irányítási programoknak rendelkezniük kell egy adatszótárral, és itt általános értelemben az adatszótárot használom, hogy a folyamatok átfogó dokumentációját értem. Ez alapvető fontosságú a GDPR leltárkészletének kielégítéséhez, ami, amint láttuk, meglehetősen óriási. A programnak, az irányítási programnak meg kell könnyítenie az adatbiztonsági protokollokat - és hangsúlyozom, hogy azért nem sok olyan adatkezelési program dolgozik jelenleg, de szerintem logikus hely erre, mert ők ül a programon, amely meghatározza, hogy kik az üzleti tulajdonosok? Kinek kell látnia? És akkor a következő lépés az engedélyek megadása. Ezt központosítani kell, és formalizálni kell. Belső politikákra van szükség. A felügyelet mindegyik elemhez hozzá van rendelve, hogy hozzájáruljon a fentiek mindegyikéhez. Az adatkezelés elősegítheti a szükséges üzleti folyamatok tervezését is.
Mielőtt elhagynám ezt a diát, a bonyolult bírságok elkerülése érdekében a vállalatok melléktermékként fogják fel a jó üzleti gyakorlatokat. Szeretném mondani, hogy ez több, mint melléktermék, de valójában csak jó, megbízható üzlet, amely új helyekre vezethet üzleti szempontból. Természetesen sok hatékonyságot fog elérni az összes kezdeményezés végrehajtásában, ha megbízható adatkezeléssel rendelkezik, ezt láttam az évek során. Az adatkezeléssel kiegészítve néhány ilyen dolgot, amelyet említek, az adatok csak jobbá válnak. Az üzleti folyamatok tervezése során azt javasoljuk, hogy tegye fel ezeket a kérdéseket, és minden üzleti területet érjen el. Milyen adatokat gyűjtünk az EU ügyfeleinkről? Nem olvastam őket. Néhány kulcsfontosságú itt. Kinek kell látnia ezeket az adatokat, és követik-e ezeket? Ki az adatkezelő az adatokhoz? Ki az én járó személyem a vállalkozásban? Nagyon nagy: megosztjuk-e ezeket az adatokat harmadik felekkel? Csak azért, mert harmadik félnek adod ki, nem mentesíti a felelősséget ezen adatok körül - ez még mindig az Ön adata, az az Ön által gyűjtött adat. A GDPR eredményeként sok harmadik fél által megkötött szerződés jelenleg alaposan felül van vizsgálva. Van-e ezeknek a rendszereknek determinisztikus hibák? Azaz, amikor kudarcot vallnak, egy előre meghatározott útra esnek, vagy csak kudarcot vallnak, összeomlanak, megégnek, és a nulláról kezdjük ásni? Nyilvánvalóan sokkal jobb lesz. Ez már jó gyakorlat, de nyilvánvalóan sokkal jobb az ilyen dolgok fordított tervezésekor, ha a rendszerben nagy determinisztikus hibák vannak.
Adatmegőrzés, örökké beszéltünk az adatmegőrzésről. Nagyon sok vállalat rendelkezik irányelvekkel, mindazonáltal nem mind követik őket. Nyilvánvaló, hogy az egészségügyi és pénzügyi szempontból híresen adatokat akarunk megőrizni, bizonyos évig meg kell őriznünk az adatokat. Ezeknek a cégeknek az elemzői, akik hét éven keresztül tárolják az adatokat, vagy azt mondják, azt mondják: „Ó, az időszak után még mindig szeretnék ezeket az adatokat.” E társaságok néhány ügyvédje szerint: „De meg kell szabadulnunk tőle. felelősségvállalás céljából ”és így tovább. Ez nem lehet egyszerűen csak ott ülni, mivel ez már a loggerheads kérdése a GDPR-rel kapcsolatban. Meg kell adnunk a megtartási időszakot, ha azt következetesen követjük a szervezeten belül.
És végül: hogyan tudod mobilizálni az adatok megsértésére? Ezek a legrosszabb esetek, amelyek veled történhetnek. Nyilvánvalóan megpróbáljuk megakadályozni őket, de mi van, ha történik? Hogyan fogod háborúba venni a dolgot, és megbizonyosodni arról, hogy válaszában most a GDPR rendelkezéseit követed? Adatépítész vagyok, az építészetre gondolok. Ha Ön egy amerikai székhelyű EU-s vállalkozás, azaz az EU-állampolgárok adatait jelenti - ön gyűjti azokat, akkor mérlegelnie kell, hogy az adatvédelmi előírásokat alkalmazza-e minden adatra, vagy csak az EU-adatokra. Igen, vannak olyan ügyfeleim, akik most döntöttek. Jól megalapozott üzleti gyakorlatként azt akarják, hogy ezt az Egyesült Államokba vigyék, bár érezhetik, hogy van idejük, de ez felhozza a második pontot. Lehetséges, hogy el kell távolítania az EU adatait az amerikai rendszerektől, ha nem tudja garantálni, hogy az amerikai rendszerek megfelelően kezelik az adatokat. Elkülönülnek-e az adatok elemzés céljából? Az elemzés akkor is érvényes, ha országszerte próbálkozik velük elvégezni? Néha igen, néha nem, igaz? Előfordulhat, hogy ennek eredményeként az analitika elnémul.
Mint már említettem, a mesterséges intelligencia itt játszik szerepet, mert nyilvánvalóan felhasználhatjuk az AI-t, hogy megtaláljuk az összes adatot, segítsen nekünk az összes adat megtalálásában, de ha az AI-t használjuk vevői felületeinken, akkor átláthatósággal kell rendelkeznünk ügyfelünkkel interfészek és ez még soha nem volt az AI erőteljes példája. Hogy megpróbáljam elmondani az ügyfélnek: „Elutasítottak téged, mert bla, bla, bla”, amikor valójában AI volt. Ezt most meg kell tenni. Ki kell találnunk az AI működését, milyen tényezők? Nem lehet csak ott ülni, és nem lehet fekete doboz neked. Mit tegyünk most? Hozza létre a GDPR testületét. Azt javaslom, hogy tartózkodjon ott az adatvédelmi tisztviselőnél, vagy ha van adatvédelmi tisztje, nyilvánvalóan az a személy. Az adatkezelés, az operatív kockázat és / vagy a megfelelés vezetői, az esetük szerint, az informatikai vezető, a CIO vezetője, ha ez a személy. Ha van egy megváltozott vezetõ személy, akkor nagyszerű ember lenne ott. Csak a vállalkozása néhány legfontosabb részlegének vezetõi, valamint a HR vezetõje is, mert a magánélet védelmét célzó képzés most óriási lesz. Mindenki megkapja az adatvédelmi képzést, vagy meg kell szereznie a magánélet védelmét szolgáló képzést, amikor vállalkozásba lépnek, akár tanácsadók is.
Ha nem ezeket a dolgokat látja, amelyeket itt lát, akkor gyorsabban kell mozognia, mint amennyit szeretne a határidő meghatározására. Arra is el kell kezdenie, hogy reménykedjen abban, hogy nem az elsők között kap ellenőrzést, mivel őszintén szólva nagyon sok munka van itt, ha a semmiből indul, és sok EU-polgárral foglalkozik. Bérelje fel adatvédelmi tisztviselőjét, tárolja az adatokat és a folyamatokat. Készítse el az adatkezelési tervet, vegye oda, ahonnan van, és hova kell lennie. Esetleg érdemes elindítania. Készítse el adatvédelmi irányelveit és közleményeit. Az adatvédelmi irányelvek belső jellegűek. A szakpolitikai közlemények kívül esnek. Látjuk, hogy egy kultúra kezd kialakulni, amely most a politikai közlemények köré épül. Nagyon sok összehasonlítást végeztek, és sok gondos megfogalmazást végeztek ezen politikai közlemények körül. Rendelje el a GDPR megfelelőségének ellenőrzését minden rendszer számára, beleértve az új rendszereket is. Lehet, hogy sorrendbe kell állítania, és valamilyen fontossági sorrendben meg kell tennie, de ez egy másik módja a probléma kezelésének. Nézze meg a rendszereket és azt, hogy mit fognak csinálni, és hogyan kezeli ezeket az adatokat.
Mit jelez a GDPR? Erről vagyunk itt, hogy egy kicsit többet beszéljünk. Várom, hogy Kim mit mond erről. A GDPR az adatvédelmi irányelvek elmozdulása a szabályozás felé. Ez az átláthatóság irányába mutat, mondja ki pontosan a rendelkezésekben. Megalapozzuk a magánélet-figyelmeztetések ezt a kultúráját, amiről beszéltem, ez most a helyzet. Konferenciákat fogunk tartani az adatvédelmi közleményekről és így tovább. A GDPR-váltás az emberek alapvető jogai felé irányul. A nyitott kérdéseket kidolgozzák. Világosan nyitott kérdések vannak, néhányat itt hagytam nekünk az asztalra. Senkinek nincs választ. Meg fogják dolgozni. Az a tendencia, hogy az egyének jobban megértsék adataikat és azok felhasználását. Úgy gondolom, hogy ez felhívta az EU lakosságának figyelmét az adatok fontosságára, és látta, hogy személyes vagyonuk egyikeként többet kell kezelniük. Ez a korai jelek közül néhány, amit láttam, és Eric, vissza fogom dobni neked.
Eric Kavanagh: Jól van, hadd adjak át a kulcsokat Kim-nek, aki megoszthatja nézeteit, de szerintem ez jó áttekintés volt, William, és megütötte a kulcsfontosságú pontokat - nevezetesen, hogy ez biztosan jön le a csuka és mindenkinek nagyon óvatosnak kell lennünk, őszintén szólva. Ezzel hadd adjak át a kulcsokat Kimnek, és megoszthatja a képernyőjét, és onnan elhozhatja.
Kim Brushaber: Hé, hallasz engem?
Eric Kavanagh: Hallom.
Kim Brushaber: Félelmetes. William ugyanazokat a dolgokat fedezte fel, amelyeket én fogok fedezni, de azt hiszem, érdemes újra lefoglalni, mert nagyon fontosak. Úgy gondolom, hogy amikor új rendeleteket fogadnak el, nagyon jó, ha sokféle nézetet és értelmezést kapunk erről az emberekről, hogy valami kibújja a gondolatait és lehetővé tegye, hogy még jobban megfeleljenek a szabályoknak. Azokat az embereket bátorítják, akik többet szeretnének tudni erről a felhívásról, mert azt hiszem, május 25- én jönnek rá, sok pánikot okozhat azoknak a vállalatoknak, amelyeket üldöznek, de nem felelnek meg.
Kim Brushaber vagyok, az IDERA vezető termékmenedzsere vagyok. Számos termék van bennem, amelyek segítenek a GDPR és más előírások betartásában. Bemegyek az információba. Néhány ténygel és néhány számmal kezdtem, majd egy kicsit belemegyek a GDPR-be, majd konkrétan az eszközeink segítségével. Egy tény, hogy több mint 5 millió adatrekordot vesznek el vagy lopnak el minden nap. Nem halljuk, hogy ezt jelentették a hírekben, nem halljuk, hogy ez más helyekről jött volna, de több mint 5 millió adatrekord van, amelyeket állandóan lopnak, közvetlenül tőlünk tőlünk. A támadók nyugalmi állapotban lévő napjainak medián száma 200 nap. Sok rendszert már beszivárognak olyan emberek, akik - rosszindulatú szándékokkal -, akik csak arra várják a lehetőséget, hogy kihasználják az Ön adatait, főként a biztonság és a tanúsítványok területén, de csak arra várnak, hogy pillanatuk alatt felkavarjanak. Ezért egyre fontosabbá válik az adatbiztonság kezelése. Az egységes adatok megsértésének átlagos költsége 2020-ban az előrejelzések szerint meghaladja a 150 millió dollárt, mivel egyre több üzleti infrastruktúra kapcsolódik az online erőforrásokhoz, és minél több dolgot kell feltenni a felhőben. Ez egy jó költségvetési szám, ha valóban aggódik az adatbiztonság miatt, hogy megadja a végrehajtó csapatának, hogy elmondja nekik, hogy ez egy komoly ügy, és sok pénzbe kerülhet a jövőben.
Röviden áttekintem az Equifax adatsértését, mert azt hiszem, hogy ez volt a 2017-es legnagyobb adatsértés, hogy kinyomtassa a képet arról, hogy milyen átmenni. A jogsértés 145, 5 millió ügyfelet érintett. Az alkalmazottak két hónappal a jogsértés bekövetkezése előtt felismerték a webes alkalmazásukkal kapcsolatos biztonsági problémát. Az alkalmazottak azt mondták: „Ez egy kérdés.” És még egy kicsit azelőtt is, amikor a javítás valójában ki lett adva. A jogsértés bekövetkezése után egy teljes nap telt el, hogy válaszoljunk rá és a webes alkalmazást offline állapotba helyezzük. Mivel az Equifax-nek nem volt meghatározott adatbiztonsági protokollja, sok időbe telik számukra, hogy kitalálják, mi folyik, majd a rendszert offline módba lehessen állítani. Hat héttel a jogsértés után figyelmeztették a nyilvánosságot. A GDPR-rel - amint azt fentebb kijelentettük és újra elmondom - 72 órán belül jelentést kell tennie, és az Equifax összekapcsolta volna a kezét, és nem lenne képes megfelelni ennek a megfelelésnek, mert hat hétig vártak, hogy jelentést tegyenek. A jogsértésre adott válaszként egy olyan webhelyet tartalmaztak, amely még az Equifax tulajdonában sem volt. Maguk az Equifax retweetelte ezt a tweetet, amely még a domainjükben sem volt - megfordították a szavakat. Szerencsére nem rosszindulatú webhely volt az, amely kihasználta ezt, de nyilvánvalóan nem voltak felkészülve. Nem volt tervük, és ez a közvélemény színtéren felismerték. Az Equifax nem egyedül - 2017-ben több mint 25 nagyon magas számítástechnikai támadás történt 2017-ben, és még találhatunk még többet az év vége előtt. A vállalatoknak valóban el kell kezdeniük ezt komolyan, mert az emberek odakint vannak, és ha indokolja őket, hogy veled akarnak lenni, akkor jobban felkészülne arra, hogy képes kezelni.
Néhány egyéb adat és adat azzal kapcsolatban, hogy az egyének hogyan tekintik az adatbiztonságot. 2020-ra 30 milliárd eszköz csatlakozik az internethez otthonainkon keresztül, hordható készülékeinkön, telefonjainkon, táblagépeinken keresztül, és ki tudja, mi még jöhet az elkövetkező években. Rengeteg eszköz van, amelyek sebezhetők ezeknek a támadásoknak. Az amerikaiak negyvenkilenc százaléka érzi úgy, hogy személyes adatai kevésbé biztonságosak, mint öt évvel ezelőtt. Az amerikai fogyasztók 83% -a azt akarja, hogy a vállalatok átláthatóak legyenek személyes adataikkal. Az emberek hetvennyolc százaléka állítja, hogy tisztában van az ismeretlen hivatkozásokra és e-mailekre való kattintás kockázatával, ám ezekre a linkekre egyébként is rákattintanak - ez a népesség több mint háromnegyede, és még mindig rákattintanak a linkekre, bár ők tudom, hogy ez probléma lehet. Az internethasználók nyolcvanhat százaléka aktívan próbálja minimalizálni, névteleníteni és elrejteni digitális lábnyomainak láthatóságát. A mostohaapám szereti kimenni és hamis neveket létrehozni, amikor űrlapokat tölt ki, mert szerinte ez anonimévá teszi őt, de keveset tud arról, hogy IP-címét szintén nyomon követik. Nagyon sok az egyéni aggodalomra ad okot, és ez okozza a GDPR-előírások és valószínűleg további rendeletek, amelyeket követni fog.
Az adatbiztonsági iparág adatai szerint a 2016-os szabálysértési adatok 90% -a kormányzati, kiskereskedelmi és technológiai származott. A kibertámadások negyvenhárom százaléka támadta meg a kisvállalkozásokat. Ha úgy gondolja: „Ó, én nem vagyok nagy srác, nem fognak engem követni”, még mindig csaknem felük van kisvállalkozás után. Az egészségügyi ágazat 75 százaléka rosszindulatú programmal fertőzött meg az elmúlt évben. Az amerikai olaj- és gázipari társaságok hetven százalékát feltörték az elmúlt évben. Ez jelentős mértékben befolyásolja a működő és működő különféle iparágakat, és ez a szám csak innen fog növekedni.
A végrehajtói szemszögből nézve a CIO-k 90 százaléka elismeri, hogy millió dollárt pazarol el a nem megfelelő kiberbiztonságért. Kilencven százalékuk azt is mondja, hogy támadtak, vagy arra számítanak, hogy a titkosításukban rejlő srácok támadnak. 87% úgy véli, hogy biztonsági ellenőrzéseik nem képesek megvédeni üzleti tevékenységüket. A CIO nyolcvanöt százaléka arra számít, hogy kulcsai és igazolásainak bűncselekményekkel való visszaélése még rosszabbá válik. Nagyon sok vállalat vizsgálja ezt az adatbiztonsági kérdést, és a valóság az, hogy sokuknak nincs nagyon jó megoldása a helyén, hogy még akkor is megbirkózzon vele, amikor ez megtörténik, bár úgy vélik, hogy meg fog történni.
Amikor megvizsgáljuk annak felkészültségét, 2014-ben az évezredek 70 százaléka elismerte, hogy külsõ alkalmazásokat hoztak be vállalkozásukba, megsértve az informatikai politikákat. Hetven százalék elismerte - valószínűleg még ennél is nagyobb szám van, ami valójában ezt tette. A 2016-ban sikeres kibertámadásoktól szenvedő szervezetek ötvenkét százaléka nem változtatott meg biztonságban 2017-ben. Noha egyszer megtámadtak, még mindig nem mentek és partra szálltak a falakon - ugyanolyan sebezhetők, mint ők. voltak a támadás előtt. Valójában felmerül a kérdés: mit kell tennie a vállalatoknak, hogy felkészüljenek ezekre a dolgokra? A globális szervezetek harmincnyolc százaléka azt állítja, hogy készen állnak a kifinomult cyberack kezelésére. Ez jó - csaknem felük van, és nagylelkű vagyok ezzel, valójában csak egyharmadban vagyunk, de még mindig legalább a fele azt mondja: „Nem vagyok kész. Ha támadást kapok, még nem vagyok kész és a hackerek tudják. ”A szervezetek harmincnyolc százalékának van számítógépes eseményekre való reagálási terve. A legtöbb vállalat ugyanabba a vödörbe tartozik, mint az Equifax, ahol nem tudják, mit fognak csinálni. Ha ezt megkapják, akkor reagálniuk kell és repülésre kerülnek ezekkel a dolgokkal, és a GDPR-hez hasonló rendeletek azt mondják: „Nekik ezeket a helyükön kell lennie. Meg kell adnod őket. Bizonyítania kell ezt a biztonsági auditoroknak. ”Remélhetőleg az ilyen hatásokkal, az ilyen rendeletekkel sikerül előrelépni ezen a görbén, és ahelyett, hogy reakcióképesek lennénk, proaktívak lehetünk tevékenységünkben.
Beszéljünk egy kicsit a GDPR-ről. Ennek a Williamnek egy részét már lefedte, de megyek előre, és újra fedezem, csak az én hangom, hangom, perspektívám alapján. Nagyon sok olyan társasággal, amellyel beszélek, olyan van, mint: „Az USA-ban vagyok, miért kellene még törődnöm ezzel az EU-szabályozással?” Az a tény, hogy több ember nem zümmög, és több ember nem beszél azt gondolják, hogy csak az EU tagállamait érinti, de kérném tőled, ha megnézi ezt a listát, összegyűjti-e ezeket az adatokat az EU-tagoktól? Ha ezen információk bármelyikét összegyűjti, akkor a GDPR határaira, valamint a szabályok be nem tartásáért kiszabható szankciókra van szükség. Adok neked egy percet, hogy ezt csak valamilyen módon felszívja és megértse. Amint William korábban említette, ezek a GDPR 83. cikkében említett szankciók és szankciók. Az elején kapaszkodhat a kezedre, egy kicsit figyelmeztető mondattal: „Hé, készülj össze a tetteddel. Helyezze ezt a helyére. ”De ha igazán nagy jogsértésed van - és attól függően, hogy mennyi az ügylet - akkor vissza fognak térni Önnek visszatérítésre, és ez jelentős szám. Nem 10 millió, hanem 20 millió euró, vagyis az előző évi forgalom / bevétel 4 százaléka. Ez sok pénz. Ez nagy költségvetés, amelyet a vezetői csapatoknak kell eljuttatnunk, és azt kell mondanunk, hogy „ezt komolyan kell vennünk, és cselekednünk kell.”
Hadd keressek egy kicsit az 5. cikkben körvonalazott GDPR-alapelveket. Az egyik dolog, amit mondanak, hogy a személyes adatokat törvényesen, tisztességesen és átlátható módon kell kezelni. Ez azt jelenti, hogy a nyilvánosság meg akarja tudni, hogy mit csinál az adataival. Legyen átlátható róla, és közzé kell tenni. A legtöbb ember nem olvassa el az Általános Szerződési Feltételeket, de ez új információ, amelyet kommunikálnod kell, hogy elmondhassa nekik: „Az Ön adatait megfelelő módon kezelik.” A személyes adatokat egy meghatározott kifejezett és legitim célok. Ez azt jelenti, hogy remélhetőleg megszabadulhatunk e spam némelyikétől, amikor a vállalatok azt állítják, hogy információkat gyűjtenek egy kvíz során, amely megmondja, mennyire érdekes lehet, és a valóságban elviszik az Ön adatait, és visszaadják valakinek., bármilyen célokra felhasználható. A vállalatoknak most sokkal felelõsebbnek kell lenniük, és pontosan meg kell mondaniuk, mire használják az Ön adatait. Azt is mondják, hogy a személyes adatoknak megfelelőnek, relevánsnak és a szükségesnek kell lennie. Nagyon sok cég szeret minden információt elhozni, és egy nagy adatkészletbe helyezni, majd rájönni, mit szeretne később tenni az információval, és sokkal többet gyűjt, mint amennyire szükség lehet. Ez azt mondja, hogy nem tudja összegyűjteni, és másutt felhasználhatja. Nem csak mindent gyűjthet, és remélheti, hogy később hasznos lehet. Nagyon egyértelműnek kell lennie abban, hogy miért gyűjt információt, és ennek relevánsnak kell lennie az összegyűjtött adatokra.
A személyes adatoknak is pontosnak és naprakésznek kell lenniük. Meg kell adnia a felhasználóknak módját az adatok frissítésére, miután összegyűjtötte őket; képesnek kell lenniük arra, hogy visszamenjenek és azt mondják: „Tudod, volt egy véleményem egy olyan felmérés kapcsán, amelyben személyes azonosító információkat kértél tőlem, és vissza akarok térni, meg akarom változtatni, és frissíteni akarom most.” hogy módjuk legyen nekik erre. A személyes adatokat olyan formában kell megőrizni, amely lehetővé teszi az érintettek azonosítását csak a szükséges időtartamra. Visszatérve William álláspontjához, hogy ezt az információt nem gyűjtheti örökre - ki kell állítania azt, amit érvényesnek és szükségesnek tart, majd utána törölnie kell az adatokat. A feldolgozást oly módon kell végezni, hogy a megfelelő biztonságot biztosítsák, ideértve az illetéktelen vagy jogellenes feldolgozás, a véletlen elvesztés, megsemmisülés vagy károsodás elleni védelmet is.
Mint már korábban mondtam, itt az ideje, hogy komolyan foglalkozzunk ezzel, megállítva ezeket az adatsértéseket, mert nemcsak sérülései lehetnek a vállalkozásodnak adatsértések formájában, valamint a bevételkiesés és a folyamatok támogatásának költségei miatt., de előfordulhat, hogy egy halom bírságot is becsapott a GDPR-ből. Ideje valóban nagyon komolyan venni ezt a kérdést, és azt hiszem, hogy a GDPR hatálybalépésével a vállalatok a nehéz valósággal szembesülnek, és szerencsére azok, akik ma hívásban vannak, elkezdhetnek erre gondolkodni és tudják, hogy hogyan fogja ezeket a dolgokat végrehajtani.
A GDPR sokat beszél arról, hogy mi az egyének jogai; ez valóban figyel az egyes felhasználókra. Az első dolog a személyes adatokhoz való hozzáférés joga. A felhasználóknak tudniuk kell, milyen információkat gyűjtöttek rájuk, akárcsak a személyesen azonosított információkat, és Önnek lehetőséget kell adnia számukra a hozzáféréshez. Jogosult a helyesbítésre is, ami egy fantasztikus módszer annak kimondására, hogy „képesnek kell lennem kijavítani az ön adatait, amely rám van.” Törlés joga - ezt ismét sok ember úgy fogalmazza meg, mint a felejtsd el - ha egy személy azt mondja: „Tudod mit, már nem akarom, hogy tudd, hogy szuper szórakoztató srác vagyok, képregénygyűjtő, ezt meg kell szabadulnom. Van néhány barátom, aki engem bosszant engem, és teljesen letöröl a listájáról. ”Önnek képesnek kell lennie erre. A feldolgozás korlátozására is jogosult, és ez azt jelenti, hogy a felhasználók korlátozhatják információik feldolgozásának módját. Azt mondhatják: „Nem bánom, hogy az információkat veszem, mert új autót vásárolok, de nem használom ezeket az információkat e-mailek küldésére és új ajánlatokra küldött spammel mindegyik alkalommal, amikor új autók kerülnek forgalomba.” az adatok hordozhatóságához való jog, ami azt jelenti, hogy a felhasználóknak képeseknek kell lenniük arra, hogy másolatot szerezzenek adataikról, és máshol el is vihessék. Sok szervezet gyűjt információt, és ennek az információnak tapadási tényezője van, és az egyének most azt mondhatják: „Tudod mit, azt akarom, hogy tegye meg az összes információmat, és most azt akarom, hogy adja meg a versenytársának, így át tudom vinni azt felett."
Nagyon sok dologra van gondolkodni egy jövőbeli szervezettől, hogy hogyan fogja ezt megtenni, és milyen információkat szeretne gyűjteni és átadni. Arra is tiltakozhat, hogy a felhasználók kifogásolhatják adataik feldolgozását is. Az a jog, hogy ne vegyenek alá döntést kizárólag az automatikus feldolgozás vagy profilozás alapján. Ennek jelentős hatása van a B2B marketingre - ha ott ül, és A / B tesztelésre próbálkozik, és megpróbál azonosítani, akkor a Colorado-t inkább egy üzenet befolyásolja, mint Kaliforniát. állapotot, szemben egy másikkal, és meg kell vizsgálnod, hogy az egyénnek miként kell képesnek lennie arra, hogy kilépjen ettől.
Tekintettel arra, hogy van néhány ijesztő dolgunk, amelyek az adat megsértéséig jönnek, és hogy az emberek miként nézik az adataikat, és megkaptuk ezt a hatalmas rendeletet, amely a vállaink fölé dömpingelt, most itt vagyok, hogy az IDERA segítségére vonatkozó megoldás. A 15. cikk arról szól, hogyan lehet ellenőrizni a személyes adatoknak való kitettséget. Tudnia kell, hogy ki fér hozzá az adatokhoz. Hogyan használják? Mennyi adatot dolgoztak fel, és az SQL-termékek Compliance Manager, amelynek a termékmenedzsere vagyok, lehetővé teszi, hogy megnézze, ki és hogyan fér hozzá az adatokhoz. Az SQL Compliance Manger az SQL Server megoldásokhoz készült. Ha rendelkezik SQL Server adatbázissal, összekapcsolhatja ezt a terméket, hogy ellenőrizze és megnézhesse ezeket az információkat, hogy megfeleljen a GDPR-nek, és pontosan tudja, hogyan használja. Az adatsértéseket még azok előfordulása előtt is megnézheti, erről egy másik diaban beszélek. Van egy cikk, amely kimondja: „Szükségem van a feldolgozási tevékenységek nyilvántartására. Be kell jelentkeznem, ellenőriznem kell a műveleteket, és tudnom kell, hogy ki dolgozza fel a személyes adatokat, és ki fér hozzá ezekhez a rendszerekhez. ”Az SQL Compliance Manager karbantartja a szerverek és adatbázisok ellenőrzését, ideértve a biztonságot, a DDL-t, a DML-t, valamint meghatározza az érzékeny adatokat. . Az SQL Compliance Manager lehetővé teszi a biztonsági hozzáférés ellenőrzését és a kísérlet naplózását, így láthatja, hogy ki fér hozzá információkhoz, és ki jelentkezik be, hogy kiváltságos felhasználó, egy ismert felhasználó, vagy rosszindulatú felhasználó.
A 33. cikk a személyes adatok megsértésének a felügyeleti hatóság felé történő bejelentéséről szól. Önnek képesnek kell lennie felfedezni ezeket a jogsértéseket; regisztrálnia kell a hatást; tudnia kell, milyen gyorsan fogja megjavítani. Ennek érdekében az SQL Compliance Manger lehetővé teszi, hogy riasztásokat állítson be az adatbázisaiban, hogy azok láthassák, ki fér hozzá az érzékeny adatokhoz, amikor hozzáfértek hozzájuk, mire hozzáfértek. Ez azt is lehetővé teszi, hogy kizárja a normál kiváltságos felhasználókat az ellenőrzésből. Ha van rendszergazda vagy hálózati rendszergazda, amelyről tudta, hogy hozzáférni fog hozzá, és nem akarja eltömíteni a jelentéseit, kizárhatja azokat és mondhatja: „Adjon nekem mindent, ami ezen információkon kívül zajlik.” Ez lehetővé teszi gyorsan azonosíthatja, ha valaki rosszindulatúan fér hozzá az Ön adataihoz, és rendelkezhet olyan riasztásokkal, amelyek a helyén vannak, amelyek tudatják Önnel az esemény megkezdésének pillanatát, majd az információ elérésének pillanatát, hogy megsemmisítsék azt, hogy Ön nem kell teljes napot várnia, hogy kitaláljuk, mi folyik, mint az Equifax.
Van egy cikk, amely az adatvédelemről és a hatásvizsgálatról szól. Ez felméri a kockázatokat és megérti azokat, valamint bemutatja és dokumentálja a GDPR-nek való megfelelését. Az SQL Compliance Manager lehetővé teszi a megfigyelt elemek jelentését. Dióhéjban az adatok ellenőrzése az SQL Compliance Manager segítségével, az SQL Compliance Manager lehetővé teszi a sikertelen bejelentkezések felismerését - ami a megsértés potenciális jele -, felügyelheti az adminisztratív tevékenységeket és a biztonsági változásokat, figyelmeztethet az adatbázis módosítására, ellenőrzésére oszlopok, amelyeket érzékeny információként határoz meg, azonosítják a kiváltságos felhasználókat és nyomon követik tevékenységüket a rendszer többi felhasználójától elkülönítve, jelentik, hogy az információkat több szabályozási iránymutatásnak megfelelően ellenőrzik. Nemcsak a GDPR-re, hanem a HIPAA-ra, a PCI-re, a FERPA-ra, a SOX-re, az összes szabályozási iránymutatásra is kiterjedünk, amikor az Ön adatainak ellenőrzésére és a megértés megismerésére törekszünk, rendelkezésünkre állnak ezek a szabályozási irányelvek.
Az IDERA-nál további termékek állnak rendelkezésre a GDPR előkészítéséhez. Az SQL Compliance Manager által végzett ellenőrzésen túl az ER / Studio Enterprise Team Edition is rendelkezik, amely segít az adatfolyamatok dokumentálásában és az adatstandardok beépítésében az adatmodellbe, és létrehozhat olyan adatszótárakat, amelyekről William egy korábbi diaban beszélt. . Amint itt a bemutató során elmondtam, az SQL Compliance Manager segíthet az adatok ellenőrzésében, hogy megbizonyosodjon arról, hogy a rossz emberek nem férnek hozzá az Ön adataihoz, és ezt bizonyíthatja az auditoroknak. Az SQL biztonságos biztonsági mentés segíthet az adatok és a biztonsági mentések titkosításában. A titkosítás a GDPR nélkülözhetetlen része, amelyet nem részleteztem részletesen, mivel sokat akartam a Compliance Manager eszközeire összpontosítani, de az SQL Safe Backup sok titkosítást elvégz az Ön számára, hogy adatai biztonságban maradjanak. Az SQL Inventory Manager biztosítja a kiszolgálók javítását és naprakészségét, tehát nem ér véget olyan esetben, mint például az Equifax, ahol egy elavult javításuk volt egy nagy biztonsági lyukot adva nekik, amelyet az emberek képesek voltak rosszindulatúan használja. Az SQL Secure ellenőrizheti a magánélet és a titkosítási szabványokat.
További részletek az IDERA közösség weboldalán, a blogunk alatt, egy felkészülést írtak a GDPR-re, valamint a 2018-ra való felkészülést, valamint annak megértését, hogy milyen lesz a GDPR hatása, és ott van, természetesen letöltheti az SQL Compliance Manager próbapéldányát. az IDERA-nál, valamint az összes többi olyan termékkel kapcsolatban, amelyeket korábban már említettem a diaban.
Ezen a ponton megyek előre, és visszaadom az előadást Ericnek, hogy feltehessünk néhány kérdést.
Eric Kavanagh: Oké, jó. Számos igazán érdekes dologgal foglalkozott ott, Kim, amelyek közül az egyik - szerintem ez nagyon egyszerű, de elég okos - beszélt a sikertelen bejelentkezések észleléséről. Számomra ez egy nagyon jó jel, hogy valaki nincs rendben?
Kim Brushaber: Teljesen. Ha látsz valakit, aki megpróbál hozzáférni a jelszavadhoz, és megtörni, ez egy nagyon gyors módja annak, hogy kijelentjük, hogy valaki nem úgy működik, amilyennek lennie kellene. Lehet, hogy néhányszor hibásan gépelte be a jelszavát, de ha 30 ilyenből jön át, ez rossz jel.
Eric Kavanagh: Igen. Itt kulcsfontosságú az, hogy beállítsák a riasztásokat a megfelelő környezettel. Mit mondhatna nekünk arról, hogyan kell kezelni a riasztások beállítási és deaktiválási folyamatait, ha nem teszik meg, amit kellene tenniük, és hogy ezeknek a dolgoknak mekkora része automatizálható?
Kim Brushaber: A Compliance Managernek nagyon sok konfigurálható figyelmeztetése van, valamint jelentések, amelyeket áttekinthet. Megismerjük az SQL nyomkövetéseinket, és megvan az automatikus nyomkövetés, és nagyon sokunk már előre beállítva és előre definiálva van, de minden bizonnyal jelentős testreszabási lehetőségek is vannak.
Eric Kavanagh: William, bevonlak ebbe. Úgy tűnik számomra, hogy az egyik olyan terület, ahol a gépi tanulást a következő két-tíz évben játszani fogjuk, és az összes különböző lehetőségek. Tekintettel arra a különféle módra, amellyel egy rendszer optimalizálhatja hatékonyságát, az a hatékonyság olyan kérdések körében, mint például a jogsértések és így tovább. Ez az Ön vállalása is?
William McKnight: Igen, teljesen. Úgy gondolom, hogy most olyan rendszereket építünk, amelyek magukat javítják. A 24/7-es monitorozás elcsúszik és múlté válik, noha még mindig szükségünk van ilyen üzemidőre. Úgy gondolom, hogy a rendszerek nagyrészt beépítik a rendszert, és kitalálják, mi az, ami rossz. Itt kell több helyet kiosztanunk, vagy mi van veled? Igen, azt hiszem, ez határozottan része a jövőnknek. Bármi odakinn, amely hozzárendelhető bizonyos cselekvési lépésekhez, hogy válaszoljon valamire, határozottan ki van téve a mesterséges intelligencia hatásának.
Eric Kavanagh: Ez jó dolog. Még egy kérdést felvelek önre, William, mert tudom, hogy sok kutatást végez ezen a téren. Az egyik dolog, amit már hosszú ideje vártam, és nem hiszem, hogy még ott vagyunk - azt hiszem, közel állunk hozzá, éppen abból, amit olvastam és gondolkodtam rajta - egy nap, amikor lesz technológia a szabályozási kérdések eloszlatására, ezen dolgok tényleges megfogalmazása, és hozzárendeljük a funkcionalitáshoz és a szoftverhez. Mint mondom, még mindig módunk van erre - nem tudom elképzelni, hogy ott dolgozik valaki. Találkoztál valami hasonlóval, vagy még mindig ott vagyunk, ahol az embereknek át kell nézniük a szabályokat, valóban meg kell próbálniuk és meg kell érteniük őket, lényegében gépi kódba kell őket kodifikálniuk, és ezt követően meg kell nyomniuk a különféle alkalmazásukra?
William McKnight: Nos, minden bizonnyal megkapom azt a koncepciót, amelyet itt osztanak meg. Nem ismerek semmit, ami egy ilyen környezetben bevezetésre kerül egy környezetben. Általában azt mondom, hogy nyilvánvalóan elkezdjük mondani a gépeknek, hogy mit ne tegyünk, de mi a cél, amit akarunk csinálni, és a gépek sokkal okosabbak lesznek a részletek kitalálásában. Úgy gondolom, hogy ha valamilyen mesterséges intelligenciát szervezünk szervezetünkbe, akkor valószínű, hogy új rendeleteket lehet kidolgozni a szervezeten belüli AI-vel összehangolva, hogy azok a jövőben az Ön által leírt módon kerüljenek kidolgozásra. Egyelőre nem ezzel járunk.
Eric Kavanagh: Itt van egy kérdés, amelyet átadok neked, Kim, mert ez is nagyon érdekes. Az átlagos késésről vagy arról az időről beszél, amikor valaki, aki bejelentkezik a rendszerébe, elrejtőzik és csak várakozik - hány nap támadó maradt hálózaton belül - az észlelés 200. Kíváncsi vagyok, mi a véleményed a fejlesztésről először is? De van-e mód is arra, hogy ezt a fajta szabályt felhasználhassuk a saját rendszerének felfedezésére? Saját adatainak feltárása, jobb munka elvégzése az ilyen emberek kihagyása érdekében?
Kim Brushaber: Igen, azt hiszem, hogy nyilvánvalóan a korai felismerés kulcsfontosságú. Ki kell kitalálnia, hogy ezek a rosszindulatú webhelyek hozzáférnek-e az Ön adataihoz, és képesek azok lezárására. Úgy gondolom, hogy a többi diában, ahol megmutatjuk, hogy a legtöbb szervezetnek nincs meg a politikája. Ezért ülnek ott. Úgy gondolom, hogy ha valóban lenne egy olyan politikája, amely átjárja és bezárja hozzáférését, és győződjön meg arról, hogy a megfelelő emberek férhetnek hozzá. Győződjön meg arról, hogy rendszeresen elforgatja a kulcsokat, és frissíti őket. Győződjön meg arról, hogy a jelszavait rendszeresen frissítik, és végezzen olyan dolgokat, amelyek elég alapvetőnek tűnnek. Jelenleg a legtöbb szervezet ezt még nem is csinálja, és ha ezeket a darabokat a helyére helyezi, ez segít túllépni ezen.
Ez természetesen azt jelenti, hogy a hackerek ravaszságossá válnak benne, de ebben a pillanatban könnyű, olyan, mint: „Megnézem az utcán azokat a házakat, amelyekbe úgy érzem, hogy betörni akarok, ha vannak riasztások rendszerekben? Van egy kis riasztási jelük, és hogy van kutyuk? Megyek egyhez, ahol nincs riasztójel, nincs kutya, és ez az a ház, amelybe betörni fogok. Nos, meg fogják találni azokat a vállalatokat, amelyek nincsenek ezek a javítások, és nincs a helyükön a biztonság, és nem frissítik a jelszavaikat, és odamennek, és ott lógnak, és néhányszor használják a hitelkártyádat egy benzinkútnál, hogy megbizonyosodjanak arról, hogy akkor nem állította le, és amikor befolyásolhatják egy nagy változást, általában valamiféle politikai nyilatkozat vagy másképpen történik, amikor látja, hogy felpattannak a fejükre. Ha elkészítjük ezeket a politikákat, azt hiszem, ezen a ponton megtehet néhány nagyon minimális lépést ahhoz, hogy el tudjunk lépni ezen a játékon.
Eric Kavanagh: Valószínűleg ez a legjobb tanács, és ezt mindig hallom, amikor olyan emberekkel beszélünk, akik a biztonsági vagy a szabályozási térben vannak, hogy az alapok a probléma 80 százalékát fogják fedezni, és ezt nagyon sok alapot kell lefedni - ez egy jó megállapítás. Az egyik résztvevőt arra kérdezték, hogy vajon ki tudja-e bővíteni az üzleti lehetőségeket, amelyeket a GDPR megfelelőségi erőfeszítéseiből ki lehet vonni, emlékeztetek Sarbanes-Oxley-re, és azt hiszem, William, átadom neked. Tanácsadóként mindig arra törekszik, hogy segítsen ügyfeleinek egy adott projekten kívül esni - legalábbis ha jó tanácsadó vagy, ezt csinálja. Amikor az emberekkel a GDPR-ről beszélünk, milyen mellékhatások vannak, amelyeket megszerezhetnek, ha megkapnak valamilyen erre összpontosító projektet?
William McKnight: Mindenekelőtt fontos megjegyezni, hogy a GDPR mögött meghúzódó ötlet egyáltalán nem jelenti az állampolgárok teljes jogát. A GDPR másik oldala van, amely javítani fogja a polgárok bizalmát a társaságainkban és arra ösztönzi őket, hogy tegyenek több üzletet a megfelelő vállalatokban. Vannak azok a kiegészítő előnyei, amelyek valójában a GDPR tényleges megvalósításával járnak, ma már az általunk végrehajtott adatkezelési programok mindenféle kezdeményezést megkönnyítenek, valójában olyan kezdeményezések megkönnyítésére, amelyeket a szervezetek elindítanak, és manapság leginkább azok a kezdeményezések, amelyeket elindítanak. a szervezeteken belül. Nemrégiben sokkal terveztem a 2018. évet, sokkal közelebb állnak az adatokhoz, nagyon hasonlítanak az adatok 65–90% -ára - amikor telematikáról vagy az ügyfél 360 programról beszélünk vagy az értékesítők figyelésére szolgáló műszerfal, főleg az adatokról szól. Bármi, ami jobban kezeli ezeket az adatokat, és egy jobb architektúrába helyezi azt, amely olyan embereket jelöl, akik közkedveltek, akik válaszolhatnak az adatokkal kapcsolatos összes és minden kérdésre, és amelyek igazán törődnek azzal, mint egy adatkezelési program lenne. Bármi, ami adat szószedetből áll - mint amiről Kim beszélt az eszközeivel -, bármi, ami ezt megteszi, nagyon hasznos, ha ezeket a kezdeményezéseket sokkal hatékonyabbá teszik, kockázatcsökkentik őket, csökkentik az időt, csökkentik a költségvetésüket és befogadnak minket. agilis idő, hogy sokkal gyorsabban és jó dolgokat hozzon forgalomba egy kezdeményezést végző vállalat számára, amely minden vállalat.
Eric Kavanagh: Szeretem ezt a bizalom fogalmát. Úgy gondolom, hogy a bizalom egy nagyon alulértékelt valóság a világunkban, és őszintén szólva, a legtöbb üzlet bizalmon alapszik - valójában akkor, amikor rábukkan. Átadom neked csak néhány záró megjegyzést, Kim. Úgy gondolom, hogy az egyik kulcsfontosságú hozzáadott érték itt a bizalom javítása és a bizalom kultúrájának előmozdítása, mivel ez nemcsak pozitív hatással lesz magára a társaságra, az önmagában a társaságon belüli emberekre, hanem arra is, amit a nyilvánosság érzékel, mivel az ilyen jellegű nekem úgy tűnik, hogy valami kiömlött, de mit gondolsz?
Kim Brushaber: Igen, azt hiszem, amikor olyan barátokkal beszélgetek, akik a Google-on dolgoznak, vagy a Facebook-on dolgoznak, vagy néhány nagyobb, igazán nagy profilú szervezettel, nem szinte annyi új funkciót vezetnek be, mint a biztonsági protokollok és a teljesítmény végrehajtása során. és a skálázhatósággal kapcsolatos problémák, mert azt akarják, hogy felhasználói élményük olyan legyen, ahol úgy vélik, hogy bízhatnak abban az információban. Úgy gondolom, hogy a vállalatok felelnek ennek a felelősségnek, mivel továbbra is folytatjuk az ilyen bizalom megteremtését. Emlékszem, amikor az emberek először elkezdték hitelkártyáikat online tenni, és az emberek olyanok, mint: "Istenem, nem fogom odaadni ezeket az információkat, mert nem biztonságos."
És most, a hitelkártyája minden irányba megy, mert elméletileg azt gondolja, hogy bízhat a vállalatban, mert rendelkezik HTTPS tanúsítvánnyal. Aztán meghallja a Target adatmegsértéseit, ahol a hitelkártyák - ahova hasonlóak voltak - „Ó, jobb, ha elcseréled a hitelkártyádat, mert elengedtük ezeket az információkat.” Úgy gondolom, hogy ez kétirányú érzés. Úgy gondolom, hogy míg az egyének nagyobb bizalommal akarnak lenni, mivel sokkal könnyebb, ha megbízni lehet benne, és bízni lehet benne a nagy szervezetekben, a nagy szervezeteknek be kell lépniük és behelyezniük ezeket a darabokat, hogy ne nem sértheti meg az egyént, vagy elveszíti a piaci részesedését. Az emberek azt mondják: „Nos, tudod mit, nem fogok többet a Targetnél vásárolni, most az Amazonon vásárolok.” Úgy gondolom, hogy a bizalom nagy kérdés, bár, amint mondtuk, az emberek 78 százaléka továbbra is rákattint erre a linkre egy e-mailen, bár tudják, hogy nem. Van bizonyos szintű védelem az embereknél, még akkor is, ha bíznak benne.
Eric Kavanagh: Ez jó dolog. Tudod mit fogok hozni neked egy utolsó kérdést, William, vagy legalább egy még - néhány jó is bejött. Egy résztvevő azt írja: „A GDPR visszaállítja az identitáskezelést az ügyfél felé, ahol tartozik. Az Equifax véglegesen károsította a digitális gazdaságot szennyező 149 millió - nagyon igaz - fogyasztót. Milyen változásokat lát az USA-ban az ügyfelek tulajdonjogában az identitáskezelés vonatkozásában? ”
William McKnight: Nos, mi mindig elmaradunk az Egyesült Államokban, amikor ilyen jellegű dolgokról van szó, nem? Száz negyvenkilenc millió, ez nem csepp a vödörben ott. Ez majdnem olyan, mint a terrorizmus, igaz? Csak annyira hozzászoktunk, hogy csak folyamatosan történik. Szerintem valamit meg kell tenni. Úgy gondolom, hogy a GDPR-nek tetszik az állampolgárok számára biztosított jogok, de nem tűnik prioritásnak - sok más prioritás létezik, és nem tudom, hová kerül. Úgy gondolom, hogy amint azt az összecsapásokban említettem, amelyek voltak, ez jelzi, hogy a fogyasztó az adatokkal kapcsolatos nagyobb jogok felé mozdul el. Mikor történik itt az Egyesült Államokban? Nem tudom, akár öt év is eltelhet, ha valami arányos a GDPR-vel, ami itt az USA-ban történik. Csak a spekuláció ezen a ponton.
Eric Kavanagh: Ez egy igazán jó pont, és azt hiszem, további erőfeszítéseket fogunk tenni ezen a téren, mivel - nézzünk szembe a tényekkel - manapság ilyen digitális gazdaság felé haladunk. És záró megjegyzésként, amikor egy filozófiai, politikaorientált lettem, ez a legjobban aggasztja a készpénz nélküli társadalomba való áttérést, mert amikor a készpénz eltűnik, ha ez megtörténik, akkor minden digitális, és minden rendszer csapkodhat és mindenki személyazonosságát el lehet lopni. Úgy tűnik, hogy ez egy elég nagy elefánt a szobában, amikor a csuka felé nézünk az identitáskezelés jövője felé.
Ez mind nagyszerű cucc, emberek. Köszönet William McKnight-nak a mai idejért és figyelemért. Köszönjük Kim Brushaber-t az IDERA-tól. Mindezeket az internetes adásokat archiváljuk későbbi megtekintés céljából, ezért nyugodtan térjen vissza, általában csak néhány órán belül, és az archívum készen áll. Ezzel búcsút fogunk adni neked, emberek. Még egyszer köszönöm idejét és figyelmét. Viszlát.