Zobrať: Hostiteľ Eric Kavanagh diskutuje o pripravovanom všeobecnom nariadení EÚ o ochrane údajov a jeho dôsledkoch na toto odvetvie. Pripojiť sa k nim sú William McKnight z konzultačnej skupiny McKnight Consulting a Kim Brushaber z spoločnosti IDERA.
Momentálne nie ste prihlásení. Ak chcete vidieť video, prihláste sa alebo sa zaregistrujte.
Eric Kavanagh: OK, dámy a páni, opäť sa pozdravte. Je streda o 4. hodine východného času, čo znamená, že je to opäť čas - jeden z posledných v roku 2017 - pre spoločnosť Hot Technologies. Áno, skutočne sa volám Eric Kavanagh - budem vašim moderátorom dnešnej akcie. Hovoríme o téme, ktorá je ďalekosiahla, prinajmenšom. V súčasnosti sa to nezdá - koncept GDPR, globálne nariadenie o ochrane údajov. Poďme sa do toho pustiť, nie je to o tvojom, dosť o mne. Tento rok je horúco, bolo to naozaj horúco rôznymi spôsobmi, ale nastávajúce nariadenia GDPR a iných organizácií nás celkom otvorene nútia, aby sme prehodnotili to, čo sa deje vo svete podnikania, konkrétne ako to vyplynie, alebo pretože sa týka údajov. Uvidíme sa od Kim Brushabera z IDERA a tiež od Williama McKnighta z McKnight Consulting Group.
Len pár rýchlych slov k danej téme, priatelia. GDPR v podstate hovorí, že organizácie musia mať v súvislosti s údajmi najprv politiku ochrany osobných údajov a bezpečnosť, a skutočne ide o niektoré veci, ktoré ste možno počuli - celé právo na zabudnutie je napríklad čiastočne a čiastočne celý tento okamih a je to veľmi zaujímavé. Určite to platí, pokiaľ ide o jeho zásady a etiku. Pokiaľ ide o skutočnú implementáciu, je to dosť vážna výzva. Právo byť zabudnutý hovorí, že ak chcete, aby niektoré organizácie nemali vaše údaje, vaše osobné údaje, musia sa ich zbaviť. Môžete si len predstaviť, keď niektoré z týchto skutočne heterogénnych dátových prostredí budú také ťažké. Spodným riadkom je, aby ste sa mohli dostať na všetky miesta, kde sú vaše údaje trvalé, a vytiahnuť ich. Organizácie však musia mať zavedené politiky, aby dokázali vyriešiť tieto obavy, a to je to, čo regulačné orgány, som si celkom istý, budú hľadať.
Je to veľká vec. Organizácia musí nielen odstrániť vaše údaje, ak to hovoríte, ale ak majú na tieto údaje školené algoritmy, majú tiež technicky preškoliť algoritmy. Je to vysoký príkaz, musím vám to povedať, ale prichádza, klesá šťuka, bude to realita v máji budúceho roka a existujú aj ďalšie nariadenia. Kanada má antispamový zákon, ktorý prešiel, čo má vplyv na to, ako nakladáme s osobnými údajmi. Čistá neutralita teraz klesá, samozrejme, v podstate bola vykorenená a to zmení niektoré veci. Existuje veľa týchto veľmi vážnych nariadení, ktoré ovplyvňujú podniky po celom svete a po celom svete, na ktoré veľké organizácie skutočne musia začať premýšľať a pripraviť sa na ne.
Z tohto dôvodu sme online Williama McKnighta v konzultačných skupinách McKnight, aby nám dali vedieť, čo si myslí a prečo GDPR je v skutočnosti iba špičkou ľadovca. S tým, William, ti to dám. Vziať to preč.
William McKnight: Vďaka, Eric, a ako hovoríte, ako hovorí snímka, tento GDPR je možno špičkou ľadovca - to je určite to, čo si myslíme. Je dôležité, aby sme sa dôkladne ponorili do GDPR, pretože si myslím, že to predstavuje vlnu regulácie, ktorá prichádza z potrubia, s ktorým sa musíme vysporiadať. Našťastie, Eric, okolo tohto práva na zabudnutie sú určité rozumné normy, ku ktorým sa dostanem. Napriek tomu si myslím, že v tomto roku, keď hovorím o GDPR, myslím, že existuje veľa firiem, najmä amerických firiem, ktoré na to ešte nie sú pripravené. Je určite horúce a niečo, o čom sme určite nerozmýšľali pred rokom, keď len skúšali balóny s niektorými vecami, ale teraz je to nariadenie a musíme sa ním zaoberať, ako ste povedali, Eric, môže sa to pravé hore - takže vôbec nie tak ďaleko.
Trochu o mne, idem k tomu z hľadiska údajov. Aby som vás informoval, som celoživotnou osobou zaoberajúcou sa údajmi a teraz konzultujem v oblasti údajov 19 rokov a GDPR je veľa o údajoch. Keď sa dostanem k svojej prezentácii týkajúcej sa správy údajov, predstavím tu súbor riešení. Zrejme robím veľa programov na správu údajov a myslím si, že ak ste v súlade s týmto konceptom, robíte nejaké riadenie údajov, veľa spoločností tam bude dosť ďaleko na ceste v skutočnosti, pokiaľ ide o súlad s GDPR, bude toho však veľa a čo je úprimnejšie povedané, ktoré majú pri príprave GDPR pozadu. Stanovme si úroveň a pochopíme, o čom je GDPR, a keď sa dostaneme hlbšie do rozhovoru, dostaneme sa k ďalším dopadom GDPR na obchodný život, keď ideme ďalej do nového roka a ďalej.
GDPR slúži na ochranu osobných údajov občanov Európskej únie. Je to nariadenie - znamená, že má zuby, znamená, že je vynútiteľné. Nie je to niečo, čo by sa tu uvádzalo ako návrh - to sa už stalo a teraz je formované do nariadenia s pokutami. Rád začínam pokutami, pretože to ľudí skutočne upúta. Sú to prísne sankcie. Existujú dve pokuty, 2% celosvetového ročného príjmu alebo 10 miliónov EUR, ak podnik neplní bezpečnostné povinnosti, ale všetko ostatné, čo je v rozpore s inými ustanoveniami - a dostanem sa k nim - to sú 4%. Počuli ste, že to bolo o 4% viac. A mimochodom, je to 4 percentá alebo 10 miliónov eur, podľa toho, čo je vyššie. To je veľmi prísne. Ľudia sú veľmi vážni. Vynútite začiatok 25. májath, 2018 - to je kľúčový dátum, to je čas, kedy sa môžu začať audity, vtedy je možné získať pokutu. Určite chcete byť na to pripravení. Každá spoločnosť, ktorej sa zaoberám, sa zaoberám mnohými globálnymi spoločnosťami z roku 2000, sú niekde v príprave GDPR, niektoré viac ako iné a niektoré musia byť v tomto okamihu viac ako iné. Určite bude pre niektorých náročné splniť tento dátum a uvidíme sa.
Je to najúplnejší režim dodržiavania ochrany osobných údajov, aký sme doteraz videli. Keď uvidíme niečo prísnejšie alebo niečo, čo má priamy vplyv na americkú populáciu, kto vie, ale je to tam a určite sa musí dodržiavať. Od organizácií sa vyžaduje, aby pochopili, čo PII občana UE - poznáme právo PII - informácie umožňujúce identifikáciu osôb, sociálne zabezpečenie, telefónne číslo, adresa, veci, ktoré môžu jedinečnú identifikáciu osoby alebo celkom jedinečnú identifikáciu osoby. Čo majú a ako to používajú. To znamená inventár. To znamená reguláciu tohto druhu údajov vo vašich vlastných spoločnostiach. Mimochodom, USA nemajú žiadny celoštátny zákon o ochrane údajov. Spojené štáty boli, vždy povedané pozadu, perspektívne - za Európou, pokiaľ ide o tento druh regulácie, a to pokračuje. To pokračuje s GDPR, to je celkom zrejmé. Niektorí z vás môžu vedieť o ochrane súkromia, možno vás zaujíma. V GDPR existujú približne tri alebo štyri ustanovenia, ktoré sa prekrývajú so štítom na ochranu súkromia, ale v GDPR je sto ustanovení, takže je to omnoho viac a samozrejme to platí aj naďalej, čo súvisí s výmenou údajov medzi USA a EÚ. iba, aj keď je to dôležité.
Opäť by som rád začal číslami. Počuli ste o pokutách, ako sa na to pripravíte. Rozpočtovanie pre GDPR a niektoré z nich, to závisí od niekoľkých faktorov. Množstvo údajov PII, ktoré zhromažďujete o občanoch EÚ. Ak nič nezbierate, OK, pravdepodobne ste v súlade a nemusíte sa tým zaoberať, ale pravdepodobne ste na tomto hovore, pretože niekde niečo zbierate. Veľkosť vašej spoločnosti a zrelosť správy údajov, ktorá, ako som už povedal, sa možno blíži tomu, čo musíte urobiť, aby ste reagovali na GDPR. Na dosiahnutie súladu môžete očakávať až niekoľko miliónov USD alebo EUR. Chceme však, nechceme iba dodržiavať GDPR, začiarknuť políčko, samozrejme, musíme to urobiť. Dúfajme, že nie ste v tej lepšej situácii, keď ste práve zúfalo chceli začiarknuť toto políčko. Hľadajte obchodné výhody, pretože veľa vecí, ktoré robíte na podporu GDPR, je pre vaše podnikanie dobré. Správa údajov je pre vaše podnikanie dobrá. Pokiaľ ide o množstvo údajov PII, niektoré sú dôležitejšie ako iné, niektoré sa podrobia podrobnejšiemu skúmaniu ako iné, napríklad zdravie súvisiace s údajmi, ktoré sa v rámci GDPR regulujú oveľa prísnejšie ako iné typy údajov a budú vyžadovať súlad s ďalšími povinnosťami, ako je vykonávanie hodnotení vplyvu na ochranu údajov, ktoré samozrejme zvyšujú váš rozpočet.
Trochu tam o rozpočte. V prípade, že ste v Spojenom kráľovstve alebo v USA a pýtate sa, ako to ovplyvňuje vás - GDPR ovplyvní Spojené kráľovstvo, ktoré je stále v EÚ, mimochodom, do 29. marca.th z roku 2019 a ktorého vláda naznačila, že niečo ako GDPR bude pokračovať aj po tomto dátume, pretože „je to dobrý nápad.“ U.K. spoločnosti ho musia dodržiavať. U.K. údaje o občanoch sú určite na stole. Ak to nie je jasné, existujú obchodné spoločnosti so sídlom v USA, ak v EÚ obchodujete s údajmi o občanoch EÚ, určite to platí pre vás. To má dôsledky na vašu dátovú architektúru, pretože môžete skončiť s tým, že budete musieť zahodiť svoje údaje EÚ od všetkého ostatného a zaobchádzať s nimi inak. Ako povedal Eric, ovplyvňuje to analytiku v tom, ako zostavujete tieto analytiky a tak ďalej. Teraz môže byť ťažšie rozbehnúť akýkoľvek druh koncepcie, globálnej analýzy. V dôsledku GDPR sa môžu viac lokalizovať.
Čo je v ustanoveniach? Existujú normy na ochranu údajov. To všetko ale vyžaduje šifrovanie údajov v pokoji a v pohybe. Ďalej budem hovoriť o šifrovaní. Existujú štandardy oznamovania porušenia údajov. Už žiadne čakanie mesiacov, čakanie na ubytovanie, aby to všetci dali vedieť. Myslím, že tu bol jeden veľký deň a my sme zistili: „Och, stalo sa to pred rokom.“ Nič z toho s GDPR - máte 72 hodín. Je to politika názvu a hanby. Dúfajme, že sa k tomu nikto nedostane, samozrejme niektorí ľudia. Porušenie bude pokračovať, samozrejme aj po GDPR. Existujú procesy na monitorovanie umiestnenia a kvality údajov. Znie to dobre? To je skutočne jadro správy údajov. Dúfajme, že niektoré z nich idú.
Občania EÚ majú právo byť zabudnutí, ako uviedol Eric. Existujú určité normy primeranosti, Eric. Nemusíte nutne všetko vyhladzovať, ak budete musieť znova kontaktovať tohto zákazníka, tohto zamestnanca, môžete si ponechať určité aspekty svojich osobných údajov. Napriek tomu majú títo občania právo na zabudnutie, ale nemôže existovať žiadne neprimerané úsilie - to je jazyk - na vás alebo poškodenie spoločnosti, to je na vás, aby ste tieto údaje vyhladili. Nechcem to zoslabovať, ale musíte zverejniť aj zadržané osobné údaje a tieto údaje môžete získať iba so súhlasom. Tento súhlas musia udeliť ľudia, ktorí majú minimálny vek, aby mohli udeliť takéto povolenie. Je to tam sústo, ale dáva to občanom veľa práv na ich údaje. To je prenosnosť priamo v prípade, že sa to vôbec niekedy objaví. Právo byť jasne zabudnutý, ale tiež - a to, čo nie je na mojej snímke, čo je veľmi dôležité - je subjekt údajov, nemá právo na rozhodnutie, ktoré sa zakladá výlučne na automatizovanom spracovaní. Na čo sme sa tvrdo pohybovali? Automatické spracovanie, okolo prijatia úveru, ponúk, ktoré ponúkneme, to všetko musí byť vypracované z hľadiska toho, ako sa to bude odohrávať a ako ďaleko to má ísť. V podstate sa hovorí o tom, prečo som bol odmietnutý, prečo ma táto spoločnosť do istej miery zaobchádza. Toto je právo, ktoré sa udeľuje občanovi EÚ.
Je zrejmé, že existujú určité dôvody, ako podnikáme, a dúfajme, že vidíte, že GDPR nie je problémom IT, ani problémom IT. Sú zapojené všetky tieto obchodné procesy. Zúčastnia sa na ňom ľudia z celej spoločnosti. Vymenovanie úradníka pre ochranu údajov sa odporúča pre spoločnosti s viac ako 250 zamestnancami a máte „kritickú matematiku s údajmi EÚ PII“. Môžete sa sami rozhodnúť, či máte túto kritickú matematiku, niekedy je to zrejmé, niekedy nie. Ale je tu nová úloha - nemusí to byť úloha na plný úväzok, osoba môže mať iné povinnosti, ale ja neviem - v niektorých stredne veľkých a väčších korporáciách si myslím, že dodržiavanie GDPR sa chystá byť blízko úlohy na plný úväzok. Povedal by som, že tým začnete a uvidíme, či to zvládnete. Najmä v priebehu budúceho roka, keď sa budete chcieť spojiť okolo GDPR, po tom, ako sa usadíte, možno by ste mohli spomaliť prácu na tomto, ale nejakým spoločnostiam to zaberie dosť času. Umožnite jednotlivcom vidieť svoje vlastné údaje a prenosnosť údajov, ako som už spomínal.
Mimochodom, toto nie je všetko nové, ale právo byť zabudnutý tam skutočne bolo, verte tomu alebo nie. Súčasné pravidlá EÚ už ustanovujú právo na odstránenie alebo sprístupnenie osobných údajov. Teraz je však súčasťou GDPR a bude sa presadzovať oveľa širšie. Šifrovanie údajov - šifrovanie údajov v pokoji. Používajte štandardné metódy šifrovania, nepoužívajte vlastné vlastné alebo neštandardné šifrovanie. AES je taký, ktorý odporúčame trochu. Používajte kryptograficky bezpečné šifrovacie kľúče. Tieto kľúče pravidelne menite. Zabráňte tiež strate týchto kľúčov. Toto sú len osvedčené postupy šifrovania, ale teraz prichádzajú do popredia s GDPR. V tom spočíva problém - zasiahla som iba špičku ľadovca. Je zrejmé, že je potrebné preskúmať viac ustanovení, ale to sú tie hlavné.
Teraz riešenie. Správa údajov, rámec vášho dodržiavania, aspoň to je perspektíva, ktorú tu uvádzam. Našťastie existuje aktívna dobre udržiavaná disciplína, ktorá dokáže, a keď je vyspelá, riešiť väčšinu požiadaviek a to je správa údajov - samozrejme to hovorím. Programy riadenia by mali mať dátový glosár, a tu používam glosár údajov vo všeobecnom slova zmysle, čo znamená všeobecnú dokumentáciu pre vaše procesy. Toto je základné, slúžiť potrebám zásob GDPR, čo je, ako sme videli, dosť obrovské. Program, program riadenia, by mal uľahčovať protokoly bezpečnosti údajov - a zdôrazňujem, že to nie je niečo, čo momentálne robí veľa programov správy údajov, ale myslím si, že je to logické miesto, aby sa to stalo, pretože sú sedí na programe, ktorý určuje, kto sú vlastníci firiem? Kto to musí vidieť? Ďalším krokom je udelenie týchto povolení. Je potrebné to centralizovať a formalizovať. Musia existovať vnútorné politiky, ktoré sa používajú. Všetkým prvkom je potrebné priradiť správu, aby sa poskytli informácie pre všetky vyššie uvedené skutočnosti. Správa údajov môže byť tiež pomocníkom pri vývoji podnikových procesov, ktoré sa bude vyžadovať.
Predtým, ako opustím túto snímku, v snahe vyhnúť sa odvážnym pokutám začnú spoločnosti považovať za vedľajší produkt zdravé obchodné praktiky. Rád by som povedal, že je to viac ako vedľajší produkt, ale v skutočnosti je to len dobrá a zdravá firma, ktorá vás z obchodného hľadiska dovedie na nové miesta. Určite získate veľa efektívnosti pri uskutočňovaní všetkých iniciatív, ak máte dobrú správu údajov, to som videl v priebehu rokov. Pridaním niektorých z týchto vecí, ktoré spomínam, do správy údajov sa budú len zlepšovať. V rámci vášho podnikového procesu vám odporúčame položiť tieto otázky plošne a zasiahnuť všetky obchodné oblasti. Aký druh údajov zhromažďujeme o našich zákazníkoch z EÚ? Nebudem ich všetky čítať. Niektoré z kľúčových tu. Kto musí vidieť tieto údaje a dodržiava sa? Kto sú správcami týchto údajov? Kto je môj podnik v tejto firme? Toto je veľké: zdieľame tieto údaje s tretími stranami? Len preto, že ju poskytnete tretej strane, neospravedlňuje vašu zodpovednosť v súvislosti s týmito údajmi - to sú stále vaše údaje, to sú stále údaje, ktoré ste zhromaždili. V dôsledku GDPR sa teraz dôkladne prehodnocuje veľa zmlúv s tretími stranami. Majú tieto systémy deterministické poruchy? Znamená to, že keď zlyhajú, zlyhajú na ceste, ktorú sme vopred určili, alebo jednoducho zlyhali, havarovali, spálili a začíname od toho, aby sa na ňu kopali škrabance? Bude to očividne oveľa lepšie. Je to už dobrý postup, ale v prípade reverzného inžinierstva sú niektoré z týchto vecí samozrejme lepšie, ak máte vo vašom systéme veľké deterministické zlyhania.
Zachovanie údajov, hovoríme navždy o uchovávaní údajov. Mnoho spoločností má pravidlá, všetky ich však neriadia. Je zrejmé, že, skvele v zdravotníckej a finančnej oblasti, chceme uchovávať údaje, musíme údaje uchovávať určitý počet rokov. Niektorí analytici v týchto firmách, ktorí uchovávajú údaje po dobu siedmich rokov alebo čo, povedia: „Och, po tomto období tieto údaje stále chcem.“ Niektorí právnici v týchto spoločnostiach hovoria: „Ale musíme sa ich zbaviť na účely zodpovednosti, “atď. Nemôže to len tak sedieť, pretože problém s HDPR už nie je problémom u loggerov. Musíme mať retenčné obdobie, nechať ho dôsledne dodržovať plošne v rámci organizácie.
A nakoniec, ako mobilizujete pre porušenie údajov? Tieto najhoršie scenáre, ktoré by sa vám mohli stať. Samozrejme sa im snažíme zabrániť, ale čo keď sa to stane? Ako túto vec vyriešite a ubezpečíte sa, že vo svojej odpovedi teraz dodržiavate ustanovenia GDPR? Som dátový architekt, myslím na dátovú architektúru. Ak ste spoločnosť so sídlom v USA a operujete v EÚ, čo znamená údaje o občanoch EÚ - zhromažďujete ich, budete musieť zvážiť, či sa majú normy ochrany údajov uplatňovať na všetky údaje alebo iba na údaje EÚ. Áno, mám klientov, ktorí sa teraz rozhodujú. Ako riadne obchodné praktiky by to mohli chcieť priniesť do USA, môžu sa cítiť, akoby mali čas, ale to vyústi do odrážky číslo dva. Ak nemôžete ručiť za to, že americké systémy budú s údajmi zaobchádzať správne, možno budete musieť zablokovať údaje EÚ zo systémov USA. Oddeľujú sa tieto údaje na účely analýzy? Platia dokonca analytické údaje, ak sa ich snažíte robiť v rámci celej krajiny? Niekedy áno, niekedy nie, však? Možno zistíte, že v dôsledku toho bude vaša analytika stlmená.
Ako som už spomínal, hrá tu umelá inteligencia, pretože samozrejme môžeme použiť AI na nájdenie všetkých údajov, pomôcť nám nájsť všetky údaje, ale ak použijeme AI v našich zákazníckych rozhraniach, musíme mať teraz transparentnosť s našimi zákazníkmi rozhrania a to nikdy nebolo silným oblekom AI. Pokúsiť sa povedať zákazníkovi: „Boli ste odmietnutí, pretože bla, bla, bla,“ keď to skutočne bola AI. To sa teraz musí urobiť. Musíme zistiť, ako funguje AI, aké sú faktory? Nemôžete už len tak sedieť a byť pre vás čiernou skrinkou. Čo urobíme teraz? Vytvorte si dosku GDPR. Navrhujem, aby ste tam mali svojho nadriadeného úradníka pre ochranu osobných údajov, alebo ak máte úradníka pre ochranu údajov, samozrejme túto osobu. Vedúci správy údajov, operačné riziko a / alebo dodržiavanie predpisov, ak sa uplatňujú, vedúci oddelenia IT, CIO, ak je to osoba. Ak máte zmenenú riadiacu osobu, bol by to skvelý človek. Len vedúci niektorých najdôležitejších oddelení vo vašej firme a tiež vedúci oddelenia ľudských zdrojov, pretože školenie o ochrane osobných údajov bude teraz obrovské. Každý sa chystá absolvovať školenie o ochrane osobných údajov alebo by sa mal školiť o ochrane osobných údajov, keď vstúpi do spoločnosti, dokonca aj konzultanti.
Ak nerobíte tieto veci, ktoré tu vidíte, budete sa musieť pohybovať rýchlejšie, ako by ste chceli urobiť termín. Musíte tiež začať dúfať, že nie ste jedným z prvých, ktorý má byť predmetom auditu, pretože, úprimne povedané, je tu veľa práce, ak začínate od nuly a zaoberáte sa mnohými údajmi o občanoch EÚ. Najmite si svojho úradníka pre ochranu údajov, inventarizujte svoje údaje a svoje procesy. Zostavte tento plán správy údajov a zoberte ho z miesta, kde je, kde to musí byť. Ak je to možné, možno budete chcieť začať. Vyskúšajte si svoje zásady ochrany osobných údajov a vaše upozornenia na pravidlá. Zásady ochrany osobných údajov sú interné. Oznámenia o zásadách sú externé. Vidíme kultúru, ktorá sa začína vytvárať okolo oznámení o politikách. V súvislosti s týmito oznámeniami o politikách sa vykonalo veľa porovnávaní a vykonalo sa veľa dôkladných formulácií. Charta kontroly súladu GDPR pre všetky systémy vrátane nových systémov. Možno ich budete musieť zoraďovať a robiť v nejakom poradí dôležitosti, ale toto je ďalší spôsob riešenia problému. Pozrite sa na systémy, čo majú robiť a ako narábajú s týmito údajmi.
Čo signalizuje GDPR? O tom sme tu trochu viac. Teším sa na to, čo o tom má Kim povedať. GDPR je posun v kontrolách ochrany osobných údajov k regulácii. Je to trend smerom k transparentnosti, hovorí to správne v ustanoveniach. Vytvárame túto kultúru oznámení o ochrane osobných údajov, ako som už hovoril, to je teraz vec. Uvidíme konferencie o oznámeniach o ochrane osobných údajov atď. Posun GDPR smeruje k základným právam ľudí. Otvorené otázky budú vypracované. Existujú zreteľne otvorené otázky, niekoľko z nich som tu nechal na stole. Nikto nemá odpoveď. Budú vypracovaní. Trend smerom k lepšiemu porozumeniu jednotlivcov o ich údajoch a o tom, ako sa používajú. Myslím si, že sa tým zvýšila informovanosť obyvateľov EÚ o dôležitosti ich údajov a vidím, že ako jeden zo svojich osobných aktív potrebujú viac spravovať. To sú niektoré z prvých signálov, ktoré som videl, a Eric, teraz to hodím späť vám.
Eric Kavanagh: Dobre, dovoľte mi odovzdať kľúče Kimovi, ktorý môže zdieľať niektoré z jej perspektív, ale myslím si, že to bol dobrý prehľad, William, a vy ste zasiahli kľúčové body - konkrétne to, že toto zostupuje šťuka pre istotu a my máme aby boli všetci veľmi opatrní, úprimne povedané. S tým mi dovoľte odovzdať kľúče Kim a môžete zdieľať svoju obrazovku a odtiaľ ju vziať.
Kim Brushaber: Hej, počuješ ma?
Eric Kavanagh: Počujem vás.
Kim Brushaber: Úžasné. William sa zaoberal niektorými rovnakými vecami, ktoré budem kryť, ale myslím si, že stojí za to ich znova pokryť, pretože sú skutočne dôležité. Myslím si, že keď sa vydajú nové nariadenia, je naozaj dobré získať na to veľa perspektívy a interpretácie rôznych ľudí, aby vám niečo zapálilo myseľ a umožnilo vám to, aby ste sa stali ešte viac v súlade. Všetci ľudia, ktorí sa zúčastňujú tohto hovoru, ma povzbudzujú, ktorí sa chcú dozvedieť viac, pretože si myslím, že prídu 25. májath“Pre spoločnosti, ktoré sú prenasledované, ktoré nie sú v zhode, môže byť veľa paniky.
Moje meno je Kim Brushaber, som senior produktový manažér v spoločnosti IDERA. Mám pod sebou niekoľko produktov, ktoré pomáhajú pri dodržiavaní GDPR, ako aj ďalšie nariadenia. Idem skočiť do niektorých informácií. Začnem s niekoľkými faktami a číslami a potom sa trochu pozriem na GDPR a potom konkrétne na to, ako vám naše nástroje môžu pomôcť. Jeden fakt je, že každý deň sa stratí alebo odcudzí viac ako 5 miliónov záznamov. Nepočujeme to ohlásené v správach, nepočujeme to o príchode z iných miest, ale existuje viac ako 5 miliónov dátových záznamov, ktoré sú ukradnuté po celú dobu, priamo z našej strany. Priemerný počet dní, počas ktorých útočníci zostávajú vo vašej sieti v pokoji, je 200 dní. Mnoho systémov je už infiltrovaných ľuďmi, ktorí - so zlovoľnými úmyslami - ktorí čakajú na príležitosť zarobiť si vaše informácie, väčšinou v rámci bezpečnosti a certifikátov, ale čakajú len na chvíľku, kým sa zarobia. Preto je čoraz dôležitejšie zvládnuť bezpečnosť vašich údajov. Predpokladá sa, že priemerné náklady spojené s porušením jednotlivých údajov v roku 2020 presiahnu 150 miliónov dolárov, pretože viac podnikovej infraštruktúry sa pripojí k online zdrojom a keď sa viac vecí zvýši v cloude. Toto je dobré číslo rozpočtu, ak máte vážne obavy v súvislosti s bezpečnosťou údajov, ktoré môžete dať svojmu výkonnému tímu, povedať im, že je to vážna záležitosť a mohli by nás v budúcnosti stáť veľa peňazí.
Krátko sa chystám obísť porušenie údajov v systéme Equifax, pretože si myslím, že to bolo najväčšie porušenie v roku 2017, aby som nakreslil obrázok toho, aké to je prejsť. Porušenie ovplyvnilo 145,5 milióna zákazníkov. Zamestnanci potvrdili problém s bezpečnosťou svojej webovej aplikácie dva mesiace pred tým, ako k porušeniu došlo. Zamestnanci hovorili: „Toto je problém.“ A ešte o niečo skôr, keď to bolo, keď sa náplasť skutočne vyšla. Po tom, ako k porušeniu došlo, trvalo celý deň, aby sme naň reagovali a odpojili webovú aplikáciu. Pretože spoločnosť Equifax nemala definovaný protokol zabezpečenia údajov, trvalo im značné množstvo času na to, aby zistili, čo sa deje, a potom boli schopní prepnúť systém do režimu offline. Šesť týždňov po porušení bola verejnosť upozornená. S GDPR - ako sme už povedali vyššie, a ja to znova poviem - musíte podať správu do 72 hodín a spoločnosť Equifax by si mala priviazané ruky a nebola by schopná splniť tento súlad, pretože čakala šesť týždňov, kým to nahlási. Súčasťou oznámenia, ktoré malo reagovať na porušenie, bola webová stránka, ktorú spoločnosť Equifax nevlastnila. Samotná spoločnosť Equifax znovu vytvorila tento tweet, ktorý nebol ani v ich doméne - obrátili niektoré slová okolo. Našťastie to nebolo škodlivé miesto, ktoré by na tom zarábalo, ale očividne neboli pripravené. Nemali plán, a to sa na verejnosti dostalo do povedomia. Equifax nie je sám - v roku 2017 sa doteraz vyskytlo viac ako 25 veľmi vysokých útokov na kybernetický profil a ešte pred koncom roka sme mohli nájsť viac. Spoločnosti to skutočne musia začať brať vážne, pretože tam sú ľudia a ak im dáte dôvod, aby sa na vás chceli obrátiť, mali by ste byť pripravení zvládnuť to.
Niektoré ďalšie údaje a fakty týkajúce sa toho, ako jednotlivci sledujú bezpečnosť údajov. Do roku 2020 bude k našim internetom pripojených prostredníctvom našich domovov, našich nosičov, telefónov, tabletov a tých, ktorí vedia, čo ešte môže prísť v nasledujúcich rokoch, 30 miliárd zariadení. Existuje veľa zariadení, ktoré sú voči týmto útokom zraniteľné. Štyridsaťdeväť percent Američanov sa domnieva, že ich osobné informácie sú menej bezpečné ako pred piatimi rokmi. Sedemdesiattri percent spotrebiteľov v Amerike požaduje, aby spoločnosti mali prehľad o svojich osobných údajoch. Sedemdesiatosem percent ľudí tvrdí, že si je vedomých rizík, že kliknú na neznáme odkazy a odkazy, aj napriek tomu na tieto odkazy kliknú - to je viac ako tri štvrtiny našej populácie a stále na ne klikajú, aj keď na ne kliknú. viem, že to môže byť problém. Osemdesiatšesť percent používateľov internetu sa aktívne snaží minimalizovať, anonymizovať a skryť viditeľnosť svojich digitálnych nôh. Môj nevlastný otec rád pri vyplňovaní formulárov chodí von a vytvára falošné mená, pretože si myslí, že ho robí anonymným, ale málo vie, že jeho adresa IP sa sleduje tiež. Je tu veľa individuálnych obáv a to je dôvodom, prečo vznikajú mnohé nariadenia GDPR a pravdepodobne ďalšie nariadenia, ktoré sa budú riadiť.
Pokiaľ ide o skutočnosti v oblasti bezpečnosti údajov, 90 percent záznamov o údajoch o porušení v roku 2016 pochádzalo od vlády, maloobchodu a technológie. Štyridsaťtri percent kybernetických útokov zaútočilo na malé podniky. Ak si myslíte: „Nie, nie som veľký chlap, neprídu za mnou,“ stále existuje takmer polovica z nich, ktorí idú po malých podnikoch. V uplynulom roku bolo infikovaných škodlivým softvérom sedemdesiatpäť percent zdravotníckeho odvetvia. Sedemdesiat percent ropných a plynových spoločností v USA bolo v minulom roku napadnutých hackermi. Je to významný vplyv na rôzne priemyselné odvetvia, ktoré sú v prevádzke, a toto číslo bude odtiaľ iba stúpať.
Keď sa na to pozriete z výkonného hľadiska, 90 percent CIO pripúšťa, že míňajú milióny dolárov na nedostatočnú kybernetickú bezpečnosť. Deväťdesiat percent tiež hovorí, že boli napadnutí alebo očakávajú, že budú napadnutí chlapcami, ktorí sa skrývajú v ich šifrovaní. Osemdesiat sedem percent si myslí, že ich bezpečnostné kontroly nedokážu chrániť ich podnikanie. Osemdesiatpäť percent CIO očakáva zhoršenie zločineckého zneužívania svojich kľúčov a certifikátov. Toto je obrovské množstvo spoločností, ktoré sa pozerajú na tento problém s bezpečnosťou údajov a realita je taká, že mnohé z nich nemajú zavedené veľmi dobré riešenia, aby sa s tým dokázali vyrovnať, aj keď sa domnievajú, že stane sa to.
Keď sa pozeráme na jeho pripravenosť, v roku 2014 70 percent tisícročia pripustilo, že do svojho podniku priniesli aplikácie zvonka v rozpore s politikou IT. Sedemdesiat percent k tomu pripustilo - je tu pravdepodobne dokonca väčšie množstvo, než to, čo skutočne urobilo. Päťdesiatdva percent organizácií, ktoré v roku 2016 utrpeli úspešné kybernetické útoky, v roku 2017 nezmenilo svoju bezpečnosť. Aj keď zaútočili raz, stále nešli a zdolali steny - sú rovnako zraniteľné ako oni. boli pred útokom. To naozaj vyvoláva otázku, čo musia spoločnosti začať robiť, aby sa na tieto veci pripravili? Tridsaťosem percent globálnych organizácií tvrdí, že sú pripravené zvládnuť sofistikovaný kybernetický útok. To je dobré - existuje takmer polovica a ja som s tým veľkorysý, sme skutočne iba na jednej tretine, ale stále existuje najmenej polovica, ktorá hovorí: „Nie som pripravená. Ak zaútočím, nie som pripravený a hackeri to vedia. “Tridsaťosem percent organizácií má plán reakcie na počítačové incidenty. Väčšina spoločností je v rovnakej skupine ako spoločnosť Equifax, kde nevedia, čo budú robiť. Ak to dokážu, budú musieť reagovať a prísť s týmito vecami za chodu a nariadenia ako GDPR hovoria: „Musíš ich mať na svojom mieste. Musíte ich zverejniť. Musíte to dokázať bezpečnostným audítorom. “Dúfajme, že s podobnými dopadmi, s takými nariadeniami, sa nám podarí prekonať túto krivku a namiesto toho, aby sme boli reakcionárni, môžeme byť aktívni v našich snahách.
Poďme sa trochu porozprávať o GDPR. Niektoré z toho už William pokrýval, ale budem pokračovať a zakryť ho znova, len z môjho pohľadu, môjho hlasu, môjho pohľadu. Mnoho spoločností, s ktorými hovorím, sú ako: „Som v USA, prečo by som sa o toto nariadenie EÚ mal zaujímať?“ Skutočnosť, že viac ľudí nezačne blázniť a viac ľudí nehovorí o Myslia si, že sa to týka iba členov EÚ, ale chcel by som sa vás opýtať, ak sa pozriete na tento zoznam, zhromažďujete niektoré z týchto údajov od členov EÚ? Ak zhromažďujete tieto informácie vôbec, podliehajú vám hranice GDPR, ako aj pokuty za nedodržiavanie. Dám vám chvíľku na to, aby ste to pochopili a pochopili. Ako už William spomenul, ide o sankcie a sankcie, ako sa uvádza v článku 83 GDPR. Na začiatku vám môže dať facku do ruky, trocha varovania, ktoré hovorí: „Hej, dajte dohromady svoj čin. Napravte to. “Ale ak máte skutočne veľké porušenie - a v závislosti od toho, aký veľký je obchod - vrátia sa k vám na reštitúciu a je to značné množstvo. Nie 10 miliónov, ale 20 miliónov EUR alebo 4 percentá z vášho obratu / príjmu z predchádzajúceho roka. To je veľa peňazí. Je to veľa rozpočtu, ktorý môžete venovať svojim výkonným tímom a povedať: „Je to niečo, čo musíme začať brať vážne a musíme konať.“
Dovoľte mi oboznámiť sa so zásadami GDPR uvedenými v článku 5. Jedna z vecí, ktoré hovoria, je, že osobné údaje by sa mali spracovávať zákonne, spravodlivo a transparentne. To znamená, že verejnosť chce vedieť, čo robíte so svojimi údajmi. Buďte o tom transparentní a musí sa uverejniť. Väčšina ľudí nečíta zmluvné podmienky, ale toto sú nové informácie, ktoré musíte vedieť komunikovať, aby ste im mohli povedať: „S vašimi údajmi sa správne zaobchádza.“ Osobné údaje by sa mali zhromažďovať za konkrétny účel, výslovné a legitímne účely. To znamená, že dúfajme, že sa môžeme zbaviť tohto spamu, kde spoločnosti hovoria, že zhromažďujú informácie pre kvíz, ktorý vám povie, aké zaujímavé by ste mohli byť, a v skutočnosti berú vaše údaje a predávajú ich niekomu inému. , byť schopný používať na akékoľvek účely. Spoločnosti teraz musia byť oveľa zodpovednejšie a musia presne povedať, na čo používajú vaše informácie. Tvrdia tiež, že osobné údaje musia byť primerané, relevantné a obmedzené na to, čo je potrebné. Mnoho spoločností rád berie všetky svoje informácie a vloží ich do veľkého súboru údajov a potom prídu na to, čo chcú s informáciami urobiť neskôr a zbierajú oveľa viac, ako je potrebné. Hovorí sa, že nemôžete zbierať a používať ho niekde inde. Tiež nemôžete zbierať všetko a dúfať, že to neskôr budete považovať za užitočné. Musíte byť veľmi jasne uvedení, prečo zhromažďujete informácie, a musia byť relevantné pre údaje, ktoré zhromažďujete.
Osobné údaje musia byť tiež presné a aktuálne. Po zozbieraní údajov musíte používateľom poskytnúť spôsoby, ako aktualizovať svoje údaje; musia byť schopní vrátiť sa a povedať: „Viete, mal som tento názor na nejaký prieskum, ktorý ste sa ma pýtali na informácie umožňujúce identifikáciu osôb, a chcem sa vrátiť, a chcem to zmeniť a aktualizovať teraz.“ dať im spôsob, ako to urobiť. Osobné údaje sa musia uchovávať vo forme, ktorá umožňuje identifikáciu dotknutých osôb nie dlhšie, ako je potrebné. Pokiaľ ide o Williamov názor, že tieto informácie nemôžete získať navždy - musíte prísť s tým, čo považujete za platné a potrebné, a potom musíte údaje vyčistiť. Musí sa tiež spracovať spôsobom, ktorý zaručuje primeranú bezpečnosť vrátane ochrany pred neoprávneným alebo nezákonným spracovaním, náhodnou stratou, zničením alebo poškodením.
Ako som už povedal, je na čase to vážne myslieť a zastaviť tieto porušenia údajov, pretože nielen to, že môžete utrpieť ujmu spôsobenú vašej spoločnosti vo forme porušenia údajov a straty na príjmoch a nákladoch na vedenie vašich procesov. , ale môžete mať aj hromadu pokút plácaných na vás z GDPR. Je načase to začať vážne brať a myslím si, že keď GDPR vstúpi do platnosti, spoločnosti budú čeliť tvrdej realite a našťastie tí z vás, ktorí dnes hovoria, o tom môžu začať premýšľať a vedieť to ako tieto veci uvediete do praxe.
GDPR tiež veľa hovorí o tom, aké sú práva jednotlivcov; naozaj sa pozerá na jednotlivých používateľov. Prvou vecou je právo na prístup k vašim osobným údajom. Používatelia musia vedieť, aké informácie o nich zozbierali, pokiaľ ide o osobne identifikované informácie, a musíte im poskytnúť spôsob, ako k nim získať prístup. Je tu tiež právo na opravu, čo je efektný spôsob, ako povedať: „Musím byť schopný opraviť informácie, ktoré o mne máte.“ Právo vymazať - čo opäť veľa ľudí formuluje ako právo na byť zabudnutý - ak jednotlivec povie: „Vieš čo, už viac nechcem, aby si vedel, že som super zábava, zbierač komiksov, musíš sa toho zbaviť. Mám priateľov, ktorí ma o tom dráždia a úplne ma zo zoznamu odstránia, “musíte to urobiť. Existuje tiež právo na obmedzenie spracovania, čo znamená, že používatelia môžu obmedziť spôsob spracovania svojich informácií. Môžu povedať: „Nevadí mi, že si vezmete moje informácie, pretože kupujem nové auto, ale tieto informácie mi nevyužívajte a nevyžiadajte si spam o nových obchodoch zakaždým, keď sa uvoľnia nové autá.“ právo na prenosnosť údajov, čo znamená, že používatelia by mali mať možnosť získať kópiu svojich údajov a mať možnosť vziať ich niekde inde. Mnoho organizácií zhromažďuje informácie a tieto informácie majú faktor lepivosti. Teraz môžu jednotlivci povedať: „Vieš čo, chcem, aby si vzal všetky moje informácie a teraz chcem, aby si ich dal svojmu konkurentovi, aby som to mohol pohnúť u konca. "
Existuje veľa vecí, na ktoré by ste sa mali z perspektívy organizácie zamerať, ako to dokážete a aké informácie chcete zhromažďovať a ďalej. Existuje tiež právo namietať a používatelia môžu namietať aj proti spracovaniu svojich údajov. Právo nebyť predmetom rozhodnutia založeného výlučne na automatickom spracovaní alebo profilovaní. To má výrazný vplyv na B2B marketing - ak tam sedíte a pokúšate sa A / B testovať a pokúšate sa zistiť, či je Colorado viac ovplyvnená ako v Kalifornii, tak ste práve urobili profilovanie, keď sa pozriete na jeden štát verzus iný a musíte sa pozrieť na to, ako by mal byť jednotlivec schopný sa toho odhlásiť.
Vzhľadom na to, že máme nejaké desivé veci, ktoré sa blížia k porušeniu údajov a ako sa ľudia pozerajú na ich údaje, a máme obrovskú reguláciu, ktorá sa za naše ramená vyhodí, teraz som tu, aby som vám riešenie, ako môže IDERA pomôcť. V článku 15 sa hovorí o spôsobe kontroly vystavenia osobným údajom. Musíte vedieť, kto má prístup k vašim údajom. Ako ho používajú. Počet spracovaných údajov a produkt SQL Compliance Manager, pre ktorý som produktový manažér, vám umožňuje zistiť, kto a ako pristupuje k vašim údajom. SQL Compliance Manger je určený pre riešenia SQL Server. Ak máte databázu SQL Server, môžete tento produkt pripojiť, aby ste mohli auditovať a prezerať si tieto informácie, aby ste mohli byť v súlade s GDPR a presne viete, ako sa používa. Porušenia údajov môžete vidieť aj predtým, ako k nim dôjde, a ja o tom hovorím na inom snímke. Existuje aj článok, ktorý hovorí: „Potrebujem záznam o spracovateľských činnostiach. Musím sa prihlásiť a potrebujem monitorovať operácie a potrebujem vedieť, kto spracúva osobné údaje a kto má prístup k týmto systémom. “Správca súladu SQL zabezpečuje audit serverov a databáz vrátane zabezpečenia, DDL, DML, ako aj definovanie citlivých údajov. , SQL Compliance Manager vám umožňuje auditovať prístup k bezpečnosti a prihlásiť sa pokus, aby ste videli, kto má prístup k informáciám, ako aj kto sa prihlasuje, či ide o privilegovaného používateľa, či ide o známeho používateľa alebo o nebezpečného používateľa.
V článku 33 sa hovorí o oznámení o porušení ochrany osobných údajov orgánu dohľadu. Musíte byť schopní odhaliť tieto porušenia; musíte mať záznamy, aby ste mohli posúdiť vplyv; musíte vedieť, ako rýchlo to napravíte. Za týmto účelom vám SQL Compliance Manger umožňuje nastaviť výstrahy vo vašich databázach, aby videli, kto má prístup k vašim citlivým údajom, keď k nim mali prístup, čo k nim získali. Umožňuje vám tiež vylúčiť z auditu svojich bežných privilegovaných používateľov. Ak máte správcov systému alebo sieťového administrátora, o ktorých viete, že k nim majú prístup a nechcete ich upchávať, môžete ich vylúčiť a povedať: „Dajte mi všetko, čo sa deje mimo týchto informácií.“ Umožňuje to aby ste rýchlo zistili, či niekto neoprávnene pristupuje k vašim údajom a môžete mať upozornenia, ktoré sú k dispozícii, ktoré vás informujú o okamihu, keď sa to začne dávať, a potom o okamihu prístupu k informáciám, aby ste ich mohli prelomiť, nemusíte čakať celý deň, aby ste zistili, čo sa deje, rovnako ako Equifax.
Existuje aj článok, ktorý hovorí o ochrane údajov a hodnotení vplyvu. Týmto sa posudzuje vaše riziko a porozumenie tomu, čo sú, ako aj preukázanie a zdokumentovanie vášho súladu s GDPR. SQL Compliance Manager vám umožňuje podávať správy o prvkoch, ktoré sú monitorované. Jednoducho povedané, auditovanie údajov pomocou nástroja SQL Compliance Manager vám umožňuje nástroj SQL Compliance Manager detekovať neúspešné prihlásenie - čo je potenciálnym znakom porušenia - monitorovať administratívne činnosti a zmeny zabezpečenia, upozorňovať na úpravy databázy, auditovať stĺpce, ktoré definujete ako citlivé informácie, identifikujú privilegovaných používateľov a sledujú ich aktivitu oddelene od ostatných používateľov vo vašom systéme, nahlásia, že informácie sú predmetom auditu v súlade s niekoľkými regulačnými pokynmi. Pokrývame nielen GDPR, ale pokrývame aj HIPAA, PCI, FERPA, SOX, všetky regulačné usmernenia, keď prichádzajú k auditu vašich informácií a pochopeniu toho, čo je prístupné, máme tieto regulačné usmernenia zavedené.
Máme tiež ďalšie produkty v spoločnosti IDERA na prípravu GDPR. Okrem auditov, ktoré robí SQL Compliance Manager, máme aj ER / Studio Enterprise Team Edition, ktoré vám môžu pomôcť zdokumentovať vaše dátové procesy a začleniť dátové štandardy do vášho dátového modelu. Môžete tiež vytvoriť slovníky údajov, o ktorých William hovoril v predchádzajúcom snímke. , Ako som už uviedol v tejto prezentácii, správca súladu SQL vám môže pomôcť skontrolovať vaše informácie, aby sa ubezpečil, že nesprávni ľudia nemajú prístup k vašim údajom, a môže to audítorom dokázať. Bezpečné zálohovanie SQL vám môže pomôcť šifrovať vaše dáta a zálohy. Šifrovanie je nevyhnutnou súčasťou GDPR, ktorú som veľmi podrobne nezaoberal, pretože som sa chcel zamerať veľa na aktíva nástroja Compliance Manager, ale bezpečné zálohovanie SQL pre vás robí veľa šifrovania, takže vaše údaje môžu zostať v bezpečí. SQL Inventory Manager môže zaistiť, že servery sú opravené a aktuálne, takže neskončíte v prípade ako Equifax, kde mali zastaranú záplatu, ktorá im poskytla veľkú bezpečnostnú dieru, ktorú ľudia mohli používať škodlivo. SQL Secure môže auditovať súkromie a šifrovacie štandardy.
Pre viac informácií na webových stránkach komunity IDERA, v rámci nášho blogu, som zverejnil aj Prípravu na GDPR. Pozerám sa smerom k roku 2018 a Pochopím, aký dopad bude mať GDPR a bude tam tiež, určite si môžete stiahnuť skúšobnú kópiu správcu súladu s SQL. v spoločnosti IDERA, ako aj v ostatných produktoch, ktoré som práve spomenul na snímke.
V tejto chvíli sa chystám pokračovať a odovzdať prezentáciu späť Ericovi, aby sme mohli položiť pár otázok.
Eric Kavanagh: Dobre, dobre. Dotkli ste sa tam niekoľkých skutočne zaujímavých vecí, Kim, z ktorých jedna - myslím, že je to jednoduché, ale je to dosť šikovné - hovorili ste o odhaľovaní neúspešných prihlásení. Zdá sa mi, že je to celkom dobré znamenie, že niekto nemá dobré právo?
Kim Brushaber: Absolútne. Ak vidíte niekoho, kto sa pokúša získať prístup a prelomiť vaše heslo, je to veľmi rýchly spôsob, ako povedať, že niekto nerobí to, čo by malo byť. Možno by ste párkrát mohli zadať heslo nesprávne, ale ak vidíte 30 z nich prejsť, je to zlé znamenie.
Eric Kavanagh: Jo. Kľúčom je tu, aby ste nastavili svoje výstrahy so správnym kon. Čo iné nám môžete povedať o tom, ako riadiť proces nastavovania upozornení a deaktivácie upozornení, ktoré nerobia to, čo by mali robiť, a koľko z týchto vecí možno automatizovať?
Kim Brushaber: Správca súladu obsahuje množstvo konfigurovateľných upozornení a správ, ktoré si môžete prezrieť. Prejdeme si vaše stopy SQL a toto automatické sledovanie máme a máme toho veľa, čo je už prednastavené a preddefinované, určite však môžete urobiť aj značné množstvo prispôsobení.
Eric Kavanagh: William, doviem vás k tomu - zdá sa mi, že je jednou z oblastí, v ktorej sa v nasledujúcich dvoch až desiatich rokoch objaví strojové učenie, pozerá sa na všetky rôzne možnosti. Pri pohľade na všetky rôzne spôsoby, ako systém môže optimalizovať svoju účinnosť, je efektívnosť zameraná na problémy, ako sú porušenia a tak ďalej. Je to tiež vaše?
William McKnight: Áno, určite. Myslím si, že teraz vyrábame systémy, ktoré sa sami opravujú. Monitorovanie 24 na 7 začína skĺznuť a stať sa minulosťou, aj keď stále potrebujeme taký druh prevádzkyschopnosti. Myslím si, že systémy sa do veľkej miery stavajú zabudované a zisťujú, čo je nesprávne. Potrebujeme tu vyhradiť viac miesta alebo čo máte? Áno, myslím si, že je to určite súčasť našej budúcnosti. Čokoľvek, čo sa dá zmapovať na určité kroky, ktoré môžu reagovať na niečo, je určite zraniteľné umelou inteligenciou.
Eric Kavanagh: To je dobré. Hodím na teba ešte jednu otázku, William, pretože viem, že v tomto priestore robíš veľa výskumov. Jedna z vecí, na ktorú som už chvíľu čakal, a nemyslím si, že sme tam už - myslím, že sa dostávame bližšie, len z toho, čo som čítal a premýšľal o tom - je deň, keď bude existovať technológia na absorbovanie regulačných problémov, ich skutočné znenie a mapovanie na funkčnosť a softvér. Ako hovorím, stále sme na to, ako to povedať - neviem si predstaviť, že na tom niekto nepracuje. Stretli ste sa s niečím podobným, alebo sme stále v situácii, keď sa ľudské bytosti musia pozerať na pravidlá, naozaj sa im snažiť porozumieť, v podstate ich kodifikovať do strojového kódu a potom to preniknúť na rôzne aplikácie?
William McKnight: Určite dostanem koncept, ktorý tu zdieľate. Nie som oboznámený s ničím, čo sa deje smerom k uvedeniu na trh v prostredí, ktoré s tým súvisí. Vo všeobecnosti však poviem, že strojom začíname hovoriť, čo majú robiť, ale aký je cieľ toho, čo chceme robiť, a stroje sú oveľa chytrejšie pri zisťovaní detailov. Myslím si, že keď v našich organizáciách získame viac umelej inteligencie, je celkom možné, že nové nariadenia sa môžu vypracovať v súčinnosti s AI, ktorá je rozmiestnená vo vnútri organizácií tak, aby sa mohli zavádzať spôsobom, ktorý ste opísali v budúcnosti. Zatiaľ s tým nekonáme.
Eric Kavanagh: Tu je otázka, ktorú ti dám, Kim, pretože je to tiež trochu zaujímavé. Hovoríte o priemernej latencii alebo o čase, keď sa niekto, kto sa prihlási do vášho systému, skryje a čaká - počet dní, počas ktorých útočník zostal v sieti v pokoji - detekcia je 200. Som zvedavý na to, aké sú vaše myšlienky na zlepšenie to v prvom rade? Existuje však aj spôsob, ako využiť tento druh pravidla na preskúmanie vášho vlastného systému? Ak chcete preskúmať svoje vlastné údaje, urobiť lepšiu prácu pri udržiavaní týchto druhov ľudí mimo?
Kim Brushaber: Áno, myslím si, že evidentne je kľúčová včasná detekcia. Musíte zistiť, že tieto škodlivé stránky pristupujú k vašim informáciám a musia byť schopné ich zablokovať. Myslím si, že na ďalších snímkach, kde uvádzame, že väčšina organizácií tieto zásady nemá. Preto tam sedí. Myslím si, že ak ste vlastne mali zavedenú politiku, pomocou ktorej by ste mohli prejsť a zablokovať prístup a zabezpečiť, aby mali k dispozícii správni ľudia. Uistite sa, že pravidelne otáčate kľúčmi a aktualizujete ich. Uistite sa, že vaše heslá sa pravidelne aktualizujú a robia také veci, ktoré sa zdajú byť celkom základné. V súčasnosti to väčšina organizácií ani nerobí a začať ich zavádzať vám pomôže prekonať to.
To samozrejme znamená, že o tom hackeri získajú viac zručnosti, ale v súčasnosti je to jednoduché, vyzerá to takto: „Pozerám sa na domy na ulici, do ktorých sa cítim, akoby som sa chcel rozbiť, budú mať alarm systémy? Majú malú výstražnú značku a že majú psov? Idem k tej, ktorá nemá výstražné znamenie, nemá psa a to je dom, do ktorého sa budem blížiť. “No, nájdu spoločnosti, ktoré nemajú majte tieto záplaty na mieste a nemajú zabezpečenú bezpečnosť a neaktualizujú svoje heslá, idú tam a zavesia sa a použijú vašu kreditnú kartu na čerpacej stanici niekoľkokrát, aby sa ubezpečili, že nezavreli ste to a potom, keď môžu ovplyvniť veľkú zmenu, zvyčajne ide o nejaký politický výrok alebo inak, keď vidíte, ako im vyskakujú. Po zavedení týchto politík si myslím, že v tejto chvíli môžete podniknúť niekoľko minimálnych krokov, aby ste sa dostali k tejto hre ďalej.
Eric Kavanagh: Toto je pravdepodobne najlepšia rada a vždy to počujem, keď hovoríme s ľuďmi, ktorí sa nachádzajú v bezpečnostnom alebo regulačnom priestore, tieto základy pokryjú 80 percent vášho problému, a to je veľa dôvodov na pokrytie - to je dobré. Jeden z účastníkov sa pýtal, či by niekto mohol rozšíriť obchodné príležitosti, ktoré by mohli vyťažiť z úsilia o dodržiavanie GDPR, pripomenul som si Sarbanes-Oxley, a myslím, William, odovzdám vám ho. Ako konzultant stále hľadáte spôsoby, ako pomôcť svojim klientom mimo rozsahu konkrétneho projektu - aspoň ak ste dobrým konzultantom, robíte to. Ak hovoríte s ľuďmi o GDPR, aké sú vedľajšie výhody, ktoré môžete získať, ak sa zapoja do nejakého projektu zameraného na to?
William McKnight: V prvom rade je dôležité poznamenať, že myšlienka GDPR nie je úplnými právami občanov vôbec. Existuje druhá strana GDPR, čo znamená, že to zlepší dôveru občanov v naše spoločnosti a bude to povzbudiť ich, aby podnikali viac v spoločnostiach, ktoré sú v súlade. Existujú tieto vedľajšie výhody, keď skutočne dosiahnete svoje HDPR. Programy na správu údajov, ktoré implementujeme, slúžia na uľahčenie všetkých druhov iniciatív, skutočne, ktoré sa odštartujú v organizáciách, a dnes, zďaleka, iniciatív, ktoré sa vykopávajú. mimo organizácie. Nedávno som robil nejaké plánovanie pre rok 2018 s mnohými z nich, majú čo do činenia s údajmi, veľa, sú ako údaje o 65 až 90 percentách všetkých - keď hovoríte o telematike alebo zákazníckom programe 360 alebo dashboard na sledovanie predajcov, ide prevažne o údaje. Čokoľvek, čo spravuje tieto údaje lepšie, ktoré ich stavia do lepšej architektúry, ktorá pomenúva ľudí, ktorí sú go-to ľudia, ktorí dokážu odpovedať na všetky otázky týkajúce sa týchto údajov, na ktorých sa skutočne zaujíma, ako by to bol program na správu údajov. Čokoľvek, čo nám dáva dátový glosár - ako Kim hovorila so svojimi nástrojmi - všetko, čo to robí, je veľmi užitočné, aby sa tieto iniciatívy stali oveľa efektívnejšie, riskovali ich, skrátili čas, znížili rozpočet pre ne a dostali nás do agilného času na to, aby sme na trh uviedli oveľa rýchlejšie a dobré veci pre spoločnosť, ktorá robí iniciatívy, čo sú všetky spoločnosti.
Eric Kavanagh: Milujem tento koncept dôvery. Myslím si, že dôvera je v našom svete veľmi podceňovanou realitou a úprimne povedané, väčšina firiem vedie dôveru - naozaj sa to deje, keď sa k nej dostanete priamo. Zahodím to len pre pár záverečných komentárov, Kim. Myslím si, že jednou z kľúčových pridaných hodnôt je zlepšenie dôvery a podpora kultúry dôvery, pretože to nebude mať len pozitívny vplyv na samotnú spoločnosť, na ľudí v spoločnosti samotných, ale aj na to, čo verejnosť vníma, pretože tento druh Zdá sa mi, že sa vec rozlieva, ale čo si myslíte?
Kim Brushaber: Áno, myslím, že keď hovorím s priateľmi, ktorí pracujú v spoločnosti Google alebo pracujú vo väčších, skutočne významných organizáciách, nevykonávajú takmer toľko nových funkcií, ako sú v implementácii bezpečnostných protokolov a problémov s výkonom a škálovateľnosťou, pretože chcú, aby ich používateľská skúsenosť bola taká, v ktorej veria, že v tieto informácie môžu dôverovať. Myslím si, že spoločnosti majú túto zodpovednosť, keď pokračujeme v poskytovaní tohto druhu dôvery. Pamätám si, keď ľudia prvýkrát začali uvádzať kreditné karty online a ľudia sú ako: „Ó, môj bože, tieto informácie tam nebudem dať, pretože nie sú bezpečné.“
Vaša kreditná karta sa teraz týka všetkých smerov, pretože si teoreticky myslíte, že spoločnosti môžete dôverovať, pretože má certifikát HTTPS. Potom budete počuť o porušení cieľových údajov, kde boli kreditné karty, kde boli: „Ach, radšej vymieňajte svoju kreditnú kartu, pretože sme tieto informácie pustili.“ Myslím, že je to obojsmerný sentiment. Myslím si, že jednotlivci, aj keď chcú viac dôverovať, pretože je to oveľa jednoduchšie, aby tomu mohli veriť a mali vieru vo veľké organizácie, veľké organizácie musia vstúpiť a dať tieto kúsky na miesto, aby sa im nepodarilo. “ • Poškodiť jednotlivca alebo stratiť podiel na trhu. Ľudia hovoria: „Dobre viete čo, už nebudem nakupovať v spoločnosti Target, teraz idem nakupovať v Amazonii.“ Myslím si, že dôvera je veľký problém, hoci, ako sme povedali, 78 percent ľudí je stále kliknú na tento odkaz v, hoci vedia, že to tak nemusí. Existuje určitá úroveň ochrany ľudí, aj keď vám dôverujú.
Eric Kavanagh: To je dobré. Vieš čo, dám ti ešte jednu poslednú otázku, William, alebo aspoň jednu ďalšiu - máme teraz nejaké dobré. Účastník píše: „GDPR posúva správu identity späť k zákazníkovi, kam patrí. Equifax natrvalo poškodil 149 miliónov spotrebiteľov, „veľmi pravdivých“, ktoré kontaminovali digitálnu ekonomiku. Aké zmeny vidíte v USA, pokiaľ ide o vlastníctvo zákazníka v súvislosti so správou identity? “
William McKnight: Pokiaľ ide o túto vec, v USA sme vždy pozadu, však? Sto štyridsaťdeväť miliónov, to nie je kvapka priamo v vedre. Je to skoro ako terorizmus, však? Sme tak zvyknutí, vždy sa to deje. Myslím, že sa musí niečo urobiť. Myslím si, že GDPR, mám rada práva, ktoré udeľuje občanom, ale nezdá sa, že by to bola priorita - existuje veľa ďalších priorít a neviem, kam to pôjde. Domnievam sa, že, ako som sa zmienil v snímkach, ktoré som mal, to znamená, že to signalizuje posun k väčšiemu právu spotrebiteľa na ich údaje. Kedy sa to stane tu v USA? Neviem, mohlo by to byť až päť rokov, keď uvidíme, čo sa tu v USA deje v USA. Len špekulácie.
Eric Kavanagh: Je to naozaj dobrý bod a myslím si, že v tejto oblasti uvidíme viac úsilia, pretože v tomto prípade sa teraz dostávame k digitálnej ekonomike. A na záver tu uvádzam, že je tu filozofický a politicky orientovaný postoj, ktorý ma najviac zaujíma pri prechode na bezhotovostnú spoločnosť, pretože keď peniaze odídu, ak sa tak stane, potom je všetko digitálne a každý systém môže hacknúť. a totožnosť každej osoby môže byť ukradnutá. Zdá sa mi, že je tu v miestnosti dosť veľký slon, keď sa pozeráme na štiku do budúcnosti správy identity.
To je všetko skvelé, ľudia. Ďakujem Williamovi McKnightovi za jeho čas a pozornosť dnes. Ďakujem Kim Brushaber zo spoločnosti IDERA. Všetky tieto webové vysielania archivujeme pre neskoršie prezeranie, takže neváhajte a vráťte sa, zvyčajne do niekoľkých hodín a archív bude pripravený. Vďaka tomu sa s vami rozlúčime, ľudia. Ešte raz vám ďakujem za váš čas a pozornosť. Bye-bye.