Autorius „Techopedia“ darbuotojai, 2017 m. Gruodžio 6 d
Priėmimas: Priėmėjas Ericas Kavanaghas aptaria būsimą ES Bendrąjį duomenų apsaugos reglamentą ir jo poveikį pramonei. Prie jo prisijungs William McKnight iš „McKnight Consulting Group“ ir Kim Brushaber iš „IDERA“.
Šiuo metu nesate prisijungęs. Jei norite pamatyti vaizdo įrašą, prisijunkite arba prisiregistruokite.
Ericas Kavanaghas: Gerai, ponios ir ponai, sveiki ir dar kartą sveikiname. Tai trečiadienis 4 valandą rytų laiko, tai reiškia, kad vėl kartas - vienas paskutiniųjų kartų 2017-aisiais - „Hot Technologies“. Taip, iš tikrųjų mano vardas Ericas Kavanaghas - aš būsiu jūsų moderatorius šiandienos renginyje. Kalbame švelniai tariant, toli siekiančia tema. Šiuo metu tai neatrodo - GDPR, Visuotinio duomenų apsaugos reglamento, idėja. Eikime į priekį ir pasinerkite į tai teisingai, kalbame ne tik apie jūsų, pakankamai apie mane. Šie metai yra karšti, buvo labai šilti įvairiais būdais, tačiau artėjančios GDPR ir kitų organizacijų taisyklės, atvirai pasakius, verčia mus permąstyti, kas vyksta verslo pasaulyje, konkrečiai, kaip tai susiję su rezultatais, arba nes tai susiję su duomenimis. Klausysimės Kim Brushaber iš „IDERA“ ir William McKnight iš „McKnight Consulting Group“.
Tiesiog pora greitų žodžių šia tema, žmonės. Iš esmės GDPR sako, kad organizacijos turi turėti duomenų privatumo ir saugumo principus, ir tai tikrai yra kai kurie dalykai, kuriuos galbūt girdėjote - pavyzdžiui, visa teisė būti pamirštam yra dalinė ir visą šią akimirką, ir tai labai įdomūs dalykai. Tai tikrai galioja atsižvelgiant į principus ir etiką. Tačiau atsižvelgiant į realų įgyvendinimą, tai yra gana rimtas iššūkis. Teisė būti pamirštam sako, kad jei norite, kad kai kurios organizacijos neturėtų jūsų duomenų, jūsų asmeniškai neskelbtinų duomenų, jos turi jų atsikratyti. Na, jūs tiesiog galite įsivaizduoti, kai tai bus labai sudėtinga duomenų aplinka. Jei norite pasiekti bet kurią vietą, kurioje yra nuolatiniai jūsų duomenys, ir ją ištraukti, tiesiog to neįvyks, yra esmė. Nepaisant to, organizacijos turi turėti savo politiką, kad galėtų išspręsti šias problemas, ir to, ko aš tikiuosi, ieškos reguliavimo institucijos.
Tai didelis reikalas. Organizacijai ne tik reikia pašalinti jūsų duomenis, jei taip sakote, bet ir jei jie yra išmokę algoritmus pagal tuos duomenis, techniškai jie taip pat turėtų perkrauti algoritmus. Tai aukštas įsakymas, turiu jums pasakyti, bet ateina, tai nusileidžia lydekai, kitų metų gegužę tai taps realybe, taip pat yra ir kitų reglamentų. Kanada yra priėmusi šlamšto šlamšto įstatymą, kuris turi įtakos tam, kaip mes tvarkome asmeninę informaciją. Tinklo neutralumas mažėja lydekos metu, žinoma, kad tai iš esmės buvo panaikinta ir tai pakeis kai kuriuos dalykus. Yra labai daug šių labai rimtų reglamentų, turinčių įtakos įmonėms visame pasaulyje ir visame pasaulyje, apie kurias didelėms organizacijoms tikrai reikia pradėti galvoti ir tam pasiruošti.
Tam mes turime „William McKnight“ internetu iš „McKnight Consulting Groups“, kad praneštume, ką jis galvoja ir kodėl GDPR iš tikrųjų yra tik ledkalnio viršūnė. Su tuo, Viljamai, aš jums tai atsiųsiu. Pašalink.
William McKnight: Ačiū, Ericai, ir kaip jūs sakote, kaip sakoma skaidrėje, šis GDPR yra galbūt ledkalnio viršūnė - tai tikrai mes manome. Svarbu gilintis į GDPR, nes aš manau, kad tai yra reguliavimo banga, kylanti žemyn nuo vamzdžio, su kuriuo turime susidurti. Laimei, Erike, yra keletas pagrįstų standartų, susijusių su šia teise būti pamirštam, kurių aš laikysiuosi. Nepaisant to, šiais metais eidamas kalbėdamas apie GDPR, manau, kad yra daugybė firmų, ypač JAV firmų, kurios tam dar nėra pasirengusios. Neabejotinai karšta ir tai, apie ką mes tikrai negalvojome prieš metus, kai jie tik bandė balionuoti kai kuriuos dalykus, tačiau dabar tai yra reglamentas ir mes turime su tuo susitvarkyti, kaip jūs sakėte, Ericai, galbūt ateis dešinė. čia - taip toli gražu ne taip toli.
Truputį apie mane tai pažiūrėsiu iš duomenų perspektyvos. Norėčiau jums pranešti, kad aš esu visą gyvenimą trunkantis duomenų asmuo ir dabar jau 19 metų konsultuojuosi duomenų erdvėje, o GDPR yra daug apie duomenis. Čia pateiksiu daugybę sprendimų, kai prisistatysiu apie duomenų valdymą. Aišku, aš buvau atlikęs daugybę duomenų valdymo programų ir manau, kad jei jūs suderinsite su šia koncepcija, vykdysite tam tikrą duomenų valdymą, daugybė ten esančių įmonių bus gana toli. iš tikrųjų, atsižvelgiant į GDPR laikymąsi, tačiau ten bus daug, ir, tiesą sakant, atsilieka valdymas ir todėl labai atsilieka rengiantis GDPR. Leiskime čia nusistatyti lygį ir supraskime, kas yra GDPR, ir gilindamiesi į pokalbį pateksime į daugiau GDPR padarinių verslo gyvenime, eidami į priekį naujaisiais metais ir vėliau.
GDPR skirtas Europos Sąjungos piliečių duomenų privatumui. Tai yra reglamentas - reiškia, kad jis turi dantis, reiškia, kad jis yra vykdytinas. Tai nėra kažkas, kas ten pateikiama kaip pasiūlymas - taip jau atsitiko ir dabar jis yra suformuotas į reglamentą su nuobaudomis. Man patinka pradėti nuo bausmių, nes tai tikrai atkreipia žmonių dėmesį. Tai griežtos nuobaudos. Yra dvi baudos, tai yra 2 procentai visų pasaulio pajamų arba 10 milijonų eurų, jei verslas nesilaiko saugumo įsipareigojimų, bet visa kita, pažeidžiant kitas nuostatas - ir aš į juos pateksiu - tai yra 4 procentai. Girdite, kad tai buvo 4 proc. Ir, beje, tai 4 procentai arba 10 milijonų eurų, atsižvelgiant į tai, kuris yra didesnis. Tai labai griežta. Žmonės į tai žiūri labai rimtai. Vykdyti nuo 2018 m. Gegužės 25 d . - tai yra svarbiausia data, tada gali prasidėti auditas, tada jūs galite gauti baudą. Tikrai norite būti tam pasiruošę. Kiekviena įmonė, su kuria bendrauju, bendrauju su daugybe „Global 2000“ kompanijų, jos ruošiasi rengti GDPR, kai kurios labiau nei kitos, o kai kurios šiuo metu turi būti daugiau nei kitos. Be abejo, bus sudėtinga tą datą sutikti kai kuriems, ir pamatysime.
Tai yra pats išsamiausias duomenų privatumo laikymosi režimas, kokį iki šiol matėme. Kai pamatysime ką nors griežtesnio ar ką nors, kas gali turėti tiesioginį poveikį JAV gyventojams, kas žino, bet tai yra čia ir to tikrai reikia laikytis. Reikalaujama, kad organizacijos suprastų, kas yra UE piliečio asmens tapatybės nustatymo teisė - mes esame susipažinę su asmens tapatybės nustatymo teise - asmenį identifikuojanti informacija, socialinė apsauga, telefono numeris, adresas, dalykai, kurie gali vienareikšmiškai identifikuoti asmenį arba gana unikaliai identifikuoti asmenį. Ką jie turi ir kaip naudojasi. Tai reiškia atsargas. Tai reiškia, kad jūsų įmonėje reikia reguliuoti tokio tipo duomenis. Beje, JAV nėra jokio nacionalinio duomenų apsaugos įstatymo. JAV visada buvo - pasakysiu už tai, kad žvelgčiau į perspektyvą - už Europos tokio pobūdžio reglamentavimo atžvilgiu, ir tai tęsiasi. Tai tęsiasi su GDPR, tai gana akivaizdu. Kai kurie iš jūsų gali žinoti apie privatumo skydą, jums gali būti įdomu. Yra maždaug trys ar keturios GDPR nuostatos, kurios visiškai sutampa su privatumo skydu, tačiau GDPR yra šimtas nuostatų, taigi tai yra kur kas daugiau ir, be abejo, tai vis dar galioja ir tai yra susiję su JAV ir ES keitimusi duomenimis. tik, nors tai svarbu.
Vėlgi, man patinka pradėti nuo skaičių. Girdėjai apie baudas, ką jau kalbėti apie tai, kaip tam ruošiesi. Biudžeto sudarymas pagal GDPR ir šio proceso įgyvendinimas priklauso nuo kelių veiksnių. Asmens duomenų apie asmens duomenis, kuriuos renkate apie ES piliečius, kiekis. Jei nerenkate nė vieno, gerai, tikriausiai esate laikomasi reikalavimų ir jums nereikia to spręsti, tačiau tikriausiai esate atsakęs į šį kvietimą, nes kai ką renkate. Jūsų įmonės dydis ir jūsų duomenų valdymo brandumas, kuris, kaip jau sakiau anksčiau, gali priartėti prie to, ką turite padaryti, kad atsakytumėte į GDPR. Galite tikėtis iki kelių milijonų JAV dolerių ar eurų, jei to laikomasi. Tačiau mes norime, nenorime tik laikytis GDPR, pažymėti tą langelį, žinoma, mes turime tai padaryti. Tikiuosi, kad nepadarėte tokios baisios situacijos, kai tiesiog norėjote pažymėti tą langelį. Ieškokite naudos verslui, nes daugelis dalykų, kuriuos darote palaikydami GDPR, yra naudingi jūsų verslui. Duomenų valdymas naudingas jūsų verslui. Kai kalbama apie PII duomenų kiekį, kai kurie yra svarbesni nei kiti, kai kurie bus tikrinami labiau nei kiti, pvz., Su sveikata susiję duomenys, pagal GDPR bus reguliuojami daug griežčiau nei kiti duomenų tipai, todėl jų reikės laikytis su papildomais įsipareigojimais, tokiais kaip duomenų apsaugos poveikio vertinimų atlikimas, kurie, be abejo, padidina jūsų biudžetą.
Truputį apie biudžeto sudarymą. Tuo atveju, jei esate JK ar JAV ir įdomu, kaip tai paveikia jus, GDPR daro įtaką JK, kuri vis dar yra ES, beje, iki 2019 m. Kovo 29 d., Kurios vyriausybė nurodė, kad kažkas panašaus į GDPR tęsis po šios datos, nes „Tai gera idėja“. JK bendrovės turi jos laikytis. JK piliečių duomenys neabejotinai yra šioje lentelėje. Jei neaišku, yra JAV įsikūrusių įmonių, turinčių duomenų apie ES piliečius, jei dirbate ES, tai tikrai taikoma jums. Tai turi įtakos jūsų duomenų architektūrai, nes jums gali tekti atskirti ES duomenis nuo visų kitų ir elgtis kitaip. Tai daro įtaką analitikai, kaip sakė Ericas, kaip jūs sudarote tą analizę ir pan. Dabar gali būti sunkiau gauti bet kokią koncepcijos, globalios analizės analizę. Jie gali būti labiau lokalizuoti dėl GDPR.
Kas yra nuostatose? Yra duomenų apsaugos standartai. Visa tai, išskyrus diktuojantį duomenų šifravimą ramybėje ir judant. Toliau kalbėsiu apie šifravimą. Yra duomenų pažeidimų pranešimo standartai. Ne daugiau to lauki ištisus mėnesius, lauki ketvirčių, kad visiems praneš. Manau, kad kitą dieną buvo didelis, ir mes sužinojome: „O, tai atsitiko prieš metus.“ Nei vienas su GDPR - jūs turite 72 valandas. Tai vardo ir gėdos politika. Tikiuosi, kad niekas to nepadarys, aišku, kai kurie žmonės tai padarys. Pažeidimai bus tęsiami, net po GDPR, žinoma. Yra procesai, skirti stebėti duomenų vietą ir kokybę. Garsai pažįstami? Tai iš tikrųjų yra duomenų valdymo esmė. Tikiuosi, kad turėsite keletą iš tų, kurie vyks.
Kaip minėjo Erikas, ES piliečiai turi teisę būti pamiršti. Yra tam tikrų pagrįstumo standartų, Eric. Nereikia panaikinti visko būtinai, jei gali tekti iš naujo susisiekti su klientu, tuo darbuotoju, jums leidžiama saugoti tam tikrus jų asmeninių duomenų aspektus. Nepaisant to, tie piliečiai turi teisę būti pamiršti, tačiau negali būti neproporcingų pastangų - tokia yra kalba - dėl jūsų ar žalos įmonei, tai yra jūsų sunaikinimas tų duomenų. Nenoriu sumenkinti jo, bet jūs taip pat turite išleisti saugomų asmens duomenų kopijas ir šiuos duomenis galite gauti tik gavę sutikimą. Tokį sutikimą turi duoti asmenys, sulaukę minimalaus amžiaus. Tai labai daug, bet tai suteikia piliečiams daug teisių į jų duomenis. Tai perkeliamumas ten pat, jei kada nors atsiras. Teisė būti aiškiai pamirštam, tačiau taip pat ir tai, kas nėra mano skaidrėje, ir tai yra labai svarbu, yra ta, kad duomenų subjektas turi teisę būti neapmokestinamas vien tik automatizuotu tvarkymu. Ko mes sunkiai judame? Automatizuotas apdorojimas, atsižvelgiant į paskolos priėmimą, tai, ką mes suteiksime, visa tai turi būti išsiaiškinta atsižvelgiant į tai, kaip tai bus padaryta ir kiek tai bus padaryta. Iš esmės tai sako skaidrumas aplinkybės, kodėl aš buvau atmestas, kodėl ši įmonė su manimi elgiasi tam tikru būdu. Šiuo metu tai yra suteikiama ES piliečiui.
Akivaizdu, kad yra tam tikrų mūsų verslo aspektų, ir, tikiuosi, pamatysite, kad GDPR nėra IT, o tik IT problema. Visi šie verslo procesai yra susiję. Jame dalyvaus žmonės iš visos įmonės. Toms įmonėms, kuriose dirba daugiau kaip 250 darbuotojų, rekomenduojama paskirti duomenų apsaugos pareigūną, o jūs „kritiškai vertinate ES PII duomenis“. Galite patys nuspręsti, ar turite tą kritinę matematiką, kartais tai akivaizdu, o kartais nėra. Bet čia yra naujas vaidmuo - nebūtinai visą darbo dieną, asmuo gali turėti ir kitų pareigų, bet aš nežinau - kai kuriose vidutinio dydžio ir didesnėse korporacijose, manau, pritarti GDPR reikės būti arti visos dienos vaidmens. Aš sakyčiau, pradėkite tokiu būdu ir pažiūrėkite, ar galite su tuo susitvarkyti. Ypač per ateinančius metus, kai susitvarkysite savo veiksmus aplink GDPR, kai tik jis įsikurs, galbūt galite sulėtinti darbą, tačiau tam reikia daug laiko, o kai kurioms įmonėms. Kaip jau minėjau, leiskite asmenims pamatyti savo duomenis ir duomenų perkeliamumą.
Beje, tai ne viskas nauja, tačiau teisė būti pamirštam iš tikrųjų egzistavo, patikėk ar ne. Dabartinės ES taisyklės jau numato teisę reikalauti, kad asmens duomenys būtų ištrinti arba taptų neprieinami. Tačiau dabar tai yra GDPR dalis, ji bus vykdoma daug plačiau. Duomenų šifravimas - užšifruokite duomenis ramybėje. Naudokite standartinius šifravimo metodus, nenaudokite savo namų ar nestandartinio šifravimo. AES yra tas, kurį mes rekomenduojame gana nedaug. Naudokite kriptografiškai saugius šifravimo raktus. Periodiškai keiskite tuos klavišus. Taip pat apsaugokite nuo raktų pametimo. Tai tik gera šifravimo praktika, tačiau dabar jie ateina į priekį su GDPR. Čia slypi problema - aš pataikiau tik į ledkalnio viršūnę. Aišku, reikia išnagrinėti daugiau nuostatų, tačiau jos yra pagrindinės.
Dabar sprendimas. Duomenų valdymas, jūsų atitikties pagrindas, bent jau tokią perspektyvą aš čia pateikiu. Laimei, yra aktyvi gerai nusiteikusi disciplina, kuri gali ir daro, kai subręsta, įvykdyti daugumą reikalavimų, ir tai yra duomenų valdymas - aišku, aš tai sakau. Valdymo programose turėtų būti duomenų žodynėlis, ir čia aš naudoju duomenų žodynėlį bendrąja prasme, kad galėčiau reikšti jūsų procesų dokumentus. Tai yra pagrįsta, norint patenkinti GDPR atsargų poreikius, kurie, kaip matėme, yra gana didžiuliai. Programa, valdymo programa, turėtų palengvinti duomenų saugumo protokolus - ir aš pabrėžiu, kad tai nėra kažkas, ką šiuo metu daro daugybė duomenų valdymo programų, bet aš manau, kad tai yra logiška vieta, nes jie yra sėdi prie programos, nustatančios, kas yra verslo savininkai? Kas turi tai pamatyti? Ir tada kitas žingsnis yra suteikti tuos leidimus. Tai turi būti centralizuota, tai turi būti įforminta. Turi būti naudojama vidaus politika. Valdymui reikia priskirti visus elementus, kad būtų galima prisidėti prie visų aukščiau paminėtų dalykų. Duomenų valdymas taip pat gali palengvinti verslo procesų inžineriją, kurios prireiks.
Prieš išeidamas iš šios skaidrės, siekdamas išvengti didelių baudų, įmonės laikysis patikima verslo praktika kaip šalutiniu produktu. Man patinka pasakyti, kad tai daugiau nei šalutinis produktas, tačiau iš tikrųjų tai yra tik geras, patikimas verslas, kuris verslo požiūriu gali jus nukreipti į naujas vietas. Be abejo, jūs gausite daug efektyvumo įgyvendindami visas iniciatyvas, jei turite patikimą duomenų valdymą, tai aš mačiau per daugelį metų. Prie duomenų valdymo pridėjus kai kuriuos iš šių dalykų, kuriuos aš miniu, jie tik pagerės. Verslo procesų inžinerijoje mes rekomenduojame užduoti šiuos klausimus visur, paliesdami kiekvieną verslo sritį. Kokius duomenis renkame apie savo ES klientus? Aš jų visų neskaitysiu. Keletas svarbiausių čia. Kam reikalinga matyti šiuos duomenis ir ar jų laikomasi? Kas yra tų duomenų tvarkytojas? Kas yra mano artimiausias žmogus versle? Tai labai svarbu: ar mes dalijamės šiais duomenimis su trečiosiomis šalimis? Tiesiog todėl, kad atiduodate trečiajai šaliai, neatleidžia jūsų atsakomybės už tuos duomenis - tai vis tiek jūsų duomenys, tai vis tiek duomenys, kuriuos jūs surinkote. Daugybė trečiųjų šalių sutarčių dabar yra nuodugniai peržiūrimos dėl GDPR. Ar šios sistemos turi deterministinių nesėkmių? Reiškia, kai jie žlunga, jie patenka į mūsų iš anksto nustatytą kelią, ar jie tiesiog žlunga, sudužo, sudegina ir mes pradedame nuo nulio ieškodami jo? Akivaizdu, kad bus daug geriau. Tai jau yra gera praktika, tačiau, žinoma, daug geriau kai kuriuos dalykus pritaikyti atvirkštiniams projektams, jei jūsų sistemoje yra didelių deterministinių nesėkmių.
Duomenų saugojimas, mes kalbėjome apie duomenų saugojimą amžinai. Daugelis kompanijų turi politiką, tačiau ne visos jos laikosi. Akivaizdu, kad garsėjant sveikatos apsaugai ir finansams, mes norime saugoti duomenis, turime saugoti duomenis tam tikrus metus. Kai kurie šių firmų analitikai, kurie saugo septynerių metų duomenis ar nesvarbu, sako: „O, po to laikotarpio aš vis tiek noriu tų duomenų.“ Kai kurie šių bendrovių teisininkai sako: „Bet mes turime jų atsikratyti. atsakomybės tikslais “ir pan. Tai negali būti tiesiog sėdėjimas, kaip „GDPgerheads“ problema, susijusi su GDPR. Turime turėti išlaikymo periodą, jei jo būtų nuosekliai laikomasi visoje organizacijoje.
Galiausiai, kaip jūs mobilizuojatės dėl duomenų pažeidimo? Šie blogiausi scenarijai, kurie gali nutikti jums. Akivaizdu, kad mes stengiamės jiems užkirsti kelią, bet kas nutiks, jei tai įvyks? Kaip jūs laikote šį reikalą ir įsitikinate, kad dabar atsakydami laikotės GDPR nuostatų? Aš esu duomenų architektas, galvoju apie duomenų architektūrą. Jei esate JAV įmonė, vykdanti ES operacijas, turint omenyje ES piliečių duomenis - jūs juos renkate, turėsite apsvarstyti, ar taikyti duomenų apsaugos standartus visiems, ar tik ES duomenims. Taip, aš turiu klientų, kurie priima tą sprendimą dabar. Kaip tinkama verslo praktika, jie gali norėti tai perduoti JAV, tačiau gali jaustis kaip turintys laiko, tačiau tai iškelia antrą ženklą. Gali tekti atsisakyti ES duomenų iš JAV sistemų, jei negalite garantuoti, kad JAV sistemos tinkamai tvarkys duomenis. Ar tai atskiri duomenys analizės tikslais? Ar analitika galioja net tada, kai bandai tai atlikti visoje šalyje? Kartais taip, kartais ne, tiesa? Gali būti, kad dėl to jūsų analizė bus nutildyta.
Kaip jau minėjau, dirbtinis intelektas čia veikia, nes akivaizdu, kad mes galime naudoti AI norėdami rasti visus duomenis, padėti mums surasti visus duomenis, tačiau jei mes naudojame AI savo klientų sąsajose, dabar turime būti skaidrūs su savo klientu sąsajos ir tai niekada nebuvo stiprus AI pavyzdys. Bandyti pasakyti klientui: „Tave atmetė, nes bla, bla, bla“, kai tai buvo AI. Tai dabar reikia padaryti. Turime išsiaiškinti, kaip veikia AI, kokie yra veiksniai? Nebegali tiesiog sėdėti ir būti juoda dėžute. Ką dabar darysime? Sukurkite savo GDPR valdybą. Aš siūlau, kad ten būtų jūsų vyresnysis privatumo pareigūnas arba, jei jūs turite duomenų apsaugos pareigūną, aišku, tas asmuo. Duomenų valdymo, operacinės rizikos ir (arba) atitikties vadovai, atsižvelgiant į jų taikymą, IT vadovas, CIO vadovas, jei tai asmuo. Jei turite pasikeitusią vadybininką, tai būtų puikus žmogus. Tiesiog kai kurių svarbiausių jūsų verslo padalinių vadovai ir HR vadovai, nes privatumo mokymai dabar bus didžiuliai. Visi ketina mokytis dėl privatumo arba turėtų mokytis dėl privatumo, kai įeis į įmonę, net konsultantai.
Jei neatliksite šių dalykų, kuriuos matote čia, turėsite judėti greičiau, nei norėtumėte, kad nustatytumėte terminą. Taip pat turite pradėti tikėtis, kad esate ne vienas iš pirmųjų, kurie bus patikrinti, nes, tiesą sakant, čia yra daug darbo, jei pradedate nuo nulio ir tvarkote daug ES piliečių duomenų. Pasamdykite DAP, inventorizuokite savo duomenis ir procesus. Sukurkite tą duomenų valdymo planą, nuneškite jį ten, kur jis yra, kur jis turi būti. Atsižvelgiant į atvejį, galbūt norėsite tai pradėti. Sukurkite savo privatumo politiką ir savo politinius pranešimus. Privatumo politika yra vidinė. Politikos pranešimai yra išoriniai. Mes matome kultūrą, kuri pradedama kurti dabar, remiantis politiniais pranešimais. Aplink šias politines pastabas daug kas palyginta ir kruopščiai suformuluota. Užsakykite GDPR atitikties patikrą visoms sistemoms, įskaitant naujas. Jums gali tekti juos sekti ir daryti tam tikra tvarka pagal svarbą, tačiau tai yra dar vienas būdas išspręsti problemą. Pažvelkite į sistemas ir tai, ką jos turėtų daryti, ir kaip jos tvarko šiuos duomenis.
Ką signalizuoja GDPR? Štai apie ką mes čia, kad šiek tiek daugiau pakalbėtume. Laukiu, ką Kim turi pasakyti apie tai. GDPR yra duomenų privatumo kontrolės poslinkis link reguliavimo. Tai nuostata aiškiai sakoma apie skaidrumo tendenciją. Kuriame šią privatumo pranešimų kultūrą, kaip jau kalbėjau, dabar tai yra dalykas. Mes eisime į konferencijas dėl pranešimų apie privatumą ir pan. GDPR pokytis siekia pagrindinių žmogaus teisių. Bus išspręsti atviri klausimai. Yra aiškiai atvirų klausimų, palikau keletą ant stalo mums. Niekas neturi atsakymo. Jie bus paruošti. Tendencija, kad asmenys geriau supranta savo duomenis ir jų naudojimą. Manau, kad tai padidino ES gyventojų informuotumą apie jų duomenų svarbą ir mato, kad jiems, kaip vienam iš jų asmeninio turto, reikia daugiau valdyti. Tai yra keletas ankstyvųjų signalų, kuriuos mačiau, o Ericai aš jums tai sugrąžinsiu dabar.
Erikas Kavanaghas: Gerai, leisk man atiduoti raktus Kimui, kuris gali pasidalyti savo perspektyva, bet aš manau, kad tai buvo gera apžvalga, William, ir jūs pataikėte į svarbiausius dalykus, būtent, kad tai tikrai užklupo lydeką. ir visi turime būti labai atsargūs, atvirai kalbėdami. Tada leiskite man perduoti klavišus Kim ir galėsite pasidalinti savo ekranu bei paimti jį iš ten.
Kim Brushaber: Ei, ar tu mane girdi?
Erikas Kavanaghas: Aš girdžiu tave.
Kim Brushaber: Nuostabi. Williamas apėmė tuos pačius dalykus, kuriuos ruošiuosi, tačiau manau, kad juos verta vėl aprėpti, nes jie yra tikrai svarbūs. Manau, kad kai priimami nauji reglamentai, tikrai verta pasidomėti labai skirtingais žmonių požiūriais ir aiškinimais, kad kažkas sujaudintų jūsų mintis ir leistų jums dar labiau atitikti. Mane drąsina visi žmonės, kurie skambina šiuo skambučiu ir nori sužinoti daugiau, nes, manau, ateis gegužės 25 -oji, gali būti daug panikos įmonėms, kurios yra persekiojamos, bet nesilaiko.
Mano vardas Kim Brushaber, aš esu IDERA vyresnysis produktų vadovas. Aš turiu keletą produktų, kurie padeda atitikti GDPR ir kitus teisės aktus. Aš ketinu pereiti prie kai kurios informacijos. Pradėsiu nuo kai kurių faktų ir skaičių, po to šiek tiek papasakosiu apie GDPR ir konkrečiai apie tai, kaip mūsų įrankiai gali jums padėti. Vienas faktas yra tai, kad kiekvieną dieną prarandama arba pavogiama daugiau kaip 5 milijonai duomenų įrašų. Negirdime to, kaip pranešama naujienose, negirdime, kad jis ateitų iš kitų vietų, tačiau yra daugiau nei 5 milijonai duomenų įrašų, kurie visą laiką pavogiami tiesiai iš mūsų. Vidutinis dienų, kurias užpuolikai neveikia jūsų tinkle, skaičius yra 200 dienų. Į daugelį sistemų jau yra įsiskverbę žmonės, kurie - turėdami piktybinių ketinimų - tik ir laukia galimybės pasinaudoti jūsų informacija, daugiausia saugumu ir sertifikatais, tačiau jie tik ir laukia savo momento. Štai kodėl vis svarbiau tvarkyti jūsų duomenų saugumą. Prognozuojama, kad vidutinės pavienių duomenų pažeidimų išlaidos 2020 m. Viršys 150 mln. USD, nes daugiau verslo infrastruktūros bus sujungta su internetiniais ištekliais ir kuo daugiau dalykų atsidurs debesyje. Tai yra geras biudžeto numeris, jei tikrai nerimaujate dėl duomenų saugumo, atiduoti savo vykdomajai komandai, pasakyti jiems, kad tai yra rimtas dalykas ir ateityje mums gali kainuoti daug pinigų.
Trumpai apžvelgsiu „Equifax“ duomenų pažeidimą, nes manau, kad tai buvo didžiausias 2017 m. Duomenų pažeidimas, kad būtų galima nupiešti paveikslėlį, ką tai reiškia išgyventi. Pažeidimas paveikė 145, 5 mln. Klientų. Darbuotojai pripažino savo interneto programos saugumo problemą prieš du mėnesius iki pažeidimo atsiradimo. Darbuotojai sakydavo: „Tai yra problema“. Ir net šiek tiek anksčiau, kai iš tikrųjų atsirado pleistras. Reagavus į pažeidimą ir perjungiant žiniatinklio programą neprisijungus, prireikė visos dienos. Kadangi „Equifax“ neturėjo apibrėžto duomenų saugumo protokolo, jiems prireikė nemažai laiko, kad net suprastų, kas vyksta, ir tada galėtų sistemą atsijungti. Po šešių savaičių po pažeidimo visuomenė buvo perspėta. Su GDPR - kaip mes minėjome aukščiau ir vėl pasakysiu - turite pranešti per 72 valandas, o „Equifax“ būtų buvę susirišę rankas ir negalėję įvykdyti šios atitikties, nes jie laukė šešias savaites pranešti apie tai. Į pranešimą, skirtą reaguoti į pažeidimą, buvo įtraukta svetainė, kuri net nebuvo „Equifax“ nuosavybė. Patys „Equifax“ retweetė šį „Twitter“, kuris net nebuvo jų srityje, jie pakeitė kai kuriuos aplinkinius žodžius. Laimei, tai nebuvo kenkėjiška svetainė, kuri pasinaudojo tuo, tačiau akivaizdžiai nebuvo pasirengusi. Jie neturėjo savo plano, ir tai labai gerai sužinojo viešojoje arenoje. „Equifax“ yra ne vienas - 2017 m. Buvo daugiau nei 25 labai aukšto lygio kibernetinio profilio išpuoliai, o dar iki metų pabaigos vis tiek galėtume rasti daugiau. Bendrovės tikrai turi pradėti į tai žiūrėti rimtai, nes žmonės ten yra, o jei nurodysite priežastį, kad norite ateiti pas jus, jūs geriau būtumėte pasirengęs sugebėti su tuo susitvarkyti.
Kai kurie kiti duomenų faktai ir skaičiai, susiję su tuo, kaip asmenys vertina duomenų saugumą. Iki 2020 m. Bus 30 milijardų prietaisų, prijungtų prie interneto per namus, per nešiojamus daiktus, telefonus, planšetinius kompiuterius ir kas žino, kas dar gali ateiti per ateinančius metus. Yra daugybė prietaisų, kurie yra apsaugoti nuo šių atakų. Keturiasdešimt devyni procentai amerikiečių mano, kad jų asmeninė informacija nėra tokia saugi, kaip buvo prieš penkerius metus. 74 proc. Amerikos vartotojų nori, kad įmonės skaidriai pateiktų savo asmeninius duomenis. 74% žmonių tvirtina žinantys apie riziką, kylantį spustelėjus nežinomas nuorodas ir el. Laiškus, tačiau jie vis tiek paspaudžia ant tų nuorodų - tai yra daugiau nei trys ketvirtadaliai mūsų gyventojų ir jie vis dar spustelėja tas nuorodas, nors ir žinoti, kad tai gali būti problema. 85% interneto vartotojų aktyviai bando sumažinti, anonimizuoti ir paslėpti savo skaitmeninių pėdsakų matomumą. Mano patėvis mėgsta išeiti ir kurti netikrus vardus, kai pildo formas, nes, jo manymu, tai daro jį anonimu, tačiau mažai žino, kad jo IP adresas taip pat stebimas. Tai kelia didelį susirūpinimą ir būtent tai sukelia daugybę GDPR reglamentų ir tikriausiai papildomų reglamentų, kurių bus laikomasi.
Duomenų apsaugos pramonės duomenimis, 90 proc. Duomenų apie pažeidimus 2016 m. Buvo iš vyriausybės, mažmeninės prekybos ir technologijų. Keturiasdešimt trys procentai kibernetinių išpuolių užpuolė mažas įmones. Jei manote: „O aš nesu didelis vaikinas, jie nesiruošia manęs sekti“, vis tiek beveik pusė jų eina paskui mažą verslą. Praėjusiais metais 75 procentai sveikatos priežiūros pramonės buvo užkrėsti kenkėjiška programine įranga. Pernai buvo nulaužta septyniasdešimt procentų JAV naftos ir dujų kompanijų. Tai daro nemažą poveikį įvairioms skirtingoms pramonės šakoms, kurios veikia ir veikia, ir šis skaičius tik didės iš čia.
Pažvelgus į tai iš vykdomosios valdžios perspektyvos, 90 procentų CIO pripažįsta, kad švaisto milijonus dolerių dėl netinkamo kibernetinio saugumo. Devyniasdešimt procentų taip pat sako, kad juos užpuolė arba jie tikisi, kad juos užpuls vaikinai, slepiasi savo šifruotėje. Aštuoniasdešimt septyni procentai mano, kad jų saugumo kontrolė neapsaugo jų verslo. 85% CIO tikisi, kad blogiau nusikalstamas jų raktų ir pažymėjimų panaudojimas. Tai yra daugybė bendrovių, nagrinėjančių šią duomenų saugumo problemą, ir realybė yra tokia, kad daugelis iš jų neturi labai gerų sprendimų, kad net galėtų su tuo susidoroti, kai tai įvyksta, nors jie ir mano, kad tai nutiks.
2014 m. 70 proc. Tūkstantmečių prisipažino, kad yra pasirengę tam, kad parengė išorės programas, pažeisdami IT politiką. Jį pripažino septyniasdešimt procentų - turbūt yra dar daugiau skaičių, kad iš tikrųjų tai padarė. Penkiasdešimt du procentai organizacijų, patyrusių sėkmingą kibernetinį išpuolį 2016 m., 2017 m. Nepakeitė jokių savo saugumo pokyčių. Nors ir kartą užpuolę, jie vis tiek neišėjo ir nesiartėjo prie sienų - jie yra tokie pat pažeidžiami, kaip ir buvo prieš ataką. Iš tikrųjų kyla klausimas, ką įmonės turi pradėti daryti, kad galėtų pasiruošti šiems dalykams? Trisdešimt aštuoni procentai pasaulio organizacijų tvirtina, kad yra pasirengusios susidoroti su sudėtinga kibernetine kova. Tai gerai - beveik pusė jų yra ir aš su tuo dosni. Tikrai esame tik trečdalyje, bet vis tiek bent pusė sako: „Aš nesu pasirengęs. Jei mane užpuls, aš nesu pasirengęs ir įsilaužėliai tai žino. “Trisdešimt aštuoni procentai organizacijų turi reagavimo į kibernetinius incidentus planą. Daugelis kompanijų yra tame pačiame segmente kaip ir „Equifax“, kur nežino, ką ketina daryti. Jei jie tai supras, jie turės reaguoti ir sugalvoti šiuos dalykus skraidydami, o tokie reglamentai, kaip GDPR, sako: „Jūs turite juos turėti. Jūs turite juos paskelbti. Turite tai įrodyti saugumo auditoriams. “Tikimės, kad turėdami tokį poveikį, kaip ir su tokiais reglamentais, sugebėsime peržengti šią kreivę ir užuot reagavę, galime būti iniciatyvūs vykdydami savo veiksmus.
Pakalbėkime šiek tiek apie GDPR. Dalis šio Viljamo jau aprėpė, bet aš eisiu į priekį ir vėl jį apimsiu, tiesiog iš savo žvilgsnio, balso, savo požiūrio. Daugelis kompanijų, su kuriomis aš kalbu, yra tokios: „Aš esu JAV, kodėl man net turėtų rūpėti šis ES reglamentas?“ Tai, kad daugiau žmonių neskamba, o daugiau žmonių nekalba jie mano, kad tai paveikta tik ES narių, tačiau norėčiau jūsų paprašyti, jei pažiūrėtumėte į šį sąrašą, ar renkate kokius nors šiuos duomenis iš ES narių? Jei iš viso renkate šią informaciją, jums taikomos GDPR ribos, taip pat baudos už nesilaikymą. Aš suteiksiu tau sekundę, kad galėtum tai įsisavinti ir suprasti. Kaip anksčiau minėjo Viljamas, tai yra bausmės ir sankcijos, nurodytos GDPR 83 straipsnyje. Iš pradžių galite paglostyti ranką, truputį įspėdami: „Ei, susitvarkyk. Įdėkite tai į savo vietą. “Bet jei jūs padarote tikrai didelį pažeidimą - ir atsižvelgiant į tai, koks jis yra didelis sandoris - jie grįš pas jus, kad jums būtų taikoma restitucija, ir tai yra nemažas skaičius. Ne 10 milijonų, o 20 milijonų eurų arba 4 procentai jūsų apyvartos / pajamų iš praėjusių metų. Tai nemaži pinigai. Tai yra didelis biudžetas, kurį reikia skirti savo vykdomosioms komandoms ir pasakyti: „Tai kažkas, ką mums reikia pradėti rimtai ir turime imtis veiksmų“.
Leiskite man šiek tiek peržvelgti GDPR principus, išdėstytus 5 straipsnyje. Vienas iš jų sakomų dalykų yra tas, kad asmens duomenys turėtų būti tvarkomi teisėtai, sąžiningai ir skaidriai. Tai reiškia, kad visuomenė nori žinoti, ką jūs darote su jų duomenimis. Būkite skaidrūs apie tai ir jis turi būti paskelbtas. Daugelis žmonių neskaito sąlygų ir nuostatų, tačiau tai yra nauja informacija, kurią turite mokėti bendrauti, kad galėtumėte jiems pasakyti: „Jūsų duomenys tvarkomi tinkamai.“ Asmens duomenys turėtų būti renkami tam tikram, aiškūs ir teisėti tikslai. Tai reiškia, kad, tikimės, mes galime atsikratyti šio šlamšto, kai įmonės sako, kad renka informaciją viktorinoje, kurioje nurodoma, kokie jums gali būti įdomūs dalykai, o iš tikrųjų jie renka jūsų duomenis ir parduoda juos kam nors kitam., kad būtų galima naudoti bet kokiems jų tikslams. Dabar įmonės turi būti daug atsakingesnės ir tiksliai pasakyti, kam naudoja jūsų informaciją. Jie taip pat sako, kad asmens duomenys turi būti adekvatūs, svarbūs ir apsiribojama tuo, kas būtina. Daugelis kompanijų mėgsta paimti visą savo informaciją ir sudėti į didelę duomenų saugyklą, o tada išsiaiškina, ką jos nori padaryti su šia informacija vėliau, ir surenka kur kas daugiau, nei gali prireikti. Tai reiškia, kad negalite jo surinkti ir naudoti kažkur kitur. Jūs taip pat negalite tiesiog surinkti visko ir tikėtis, kad vėliau jums gali pasirodyti naudinga. Jūs turite aiškiai pasakyti, kodėl renkate informaciją, ir ji turi būti aktuali renkant duomenis.
Asmens duomenys taip pat turi būti tikslūs ir nuolat atnaujinami. Turite suteikti vartotojams būdų atnaujinti jų duomenis, kai tik juos surinksite; jie turi sugebėti grįžti atgal ir pasakyti: „Žinote, aš turėjau tokią nuomonę kai kurios apklausos metu, kurios manęs paklausėte apie asmenį identifikuojančią informaciją. Noriu grįžti ir noriu tai pakeisti ir atnaujinti dabar.“ Ir jūs turite duoti jiems kelią, kad jie galėtų tai padaryti. Asmens duomenys turi būti saugomi tokia forma, kad duomenų subjektus būtų galima identifikuoti ne ilgiau, nei būtina. Grįžtant prie Williamo minties, kad jūs negalite nuolat rinkti šios informacijos, turite sugalvoti, kas, jūsų manymu, teisinga ir reikalinga, o po to turite švariai išvalyti duomenis. Jis taip pat turi būti tvarkomas taip, kad būtų užtikrintas tinkamas saugumas, įskaitant apsaugą nuo neteisėto ar neteisėto tvarkymo, atsitiktinio praradimo, sunaikinimo ar sugadinimo.
Kaip jau sakiau, atėjo laikas imti tai rimtai ir sustabdyti tuos duomenų pažeidimus, nes ne tik jūs galite patirti žalą, padarytą jūsų įmonei dėl duomenų pažeidimų, bet ir prarasti pajamas bei išlaidas jūsų procesams., bet taip pat gali būti, kad baudų krūva jums pateko iš GDPR. Laikas iš tikrųjų pradėti apie tai rimtai žiūrėti ir aš manau, kad įsigaliojus GDPR, įmonės susidurs su sunkia realybe, o laimei tie, kurie šiandien skambinate, gali pradėti apie tai galvoti ir žinoti kaip ketinate įgyvendinti šiuos dalykus.
GDPR taip pat daug kalba apie tai, kokios yra asmenų teisės; tai tikrai atrodo atskiri vartotojai. Pirmas dalykas yra teisė prieiti prie savo asmeninių duomenų. Vartotojai turi žinoti, kokią informaciją apie juos surinkote, kiek tai yra asmeniškai nustatyta informacija, ir jūs turite suteikti jiems galimybę prieiti prie jos. Taip pat yra teisė į ištaisymą, kuris yra išgalvotas būdas pasakyti: „Aš turiu sugebėti ištaisyti turimą informaciją apie mane.“ Teisė ištrinti - tai vėlgi daugelis žmonių suformuluoja kaip teisę į būti pamirštam - jei asmuo sako: „Žinai ką, aš nebenoriu, kad žinotum, jog esu nepaprastai įdomus vaikinas komiksų kolekcionierius, reikia to atsikratyti. Turiu keletą draugų, kurie mane erzina ir visiškai pašalina mane iš jūsų sąrašo “, - jūs turite mokėti tai padaryti. Taip pat yra teisė į duomenų tvarkymo apribojimus, o tai reiškia, kad vartotojai gali apriboti jų informacijos tvarkymo būdą. Jie gali pasakyti: „Aš neprieštarauju, kad imate mano informaciją, nes perku naują automobilį, tačiau nenaudoju tos informacijos man siųsti el. Laiškus ir šlamšti mane dėl naujų pasiūlymų kiekvieną kartą, kai išleidžiami nauji automobiliai.“ Taip pat yra teisę į duomenų perkeliamumą, o tai reiškia, kad vartotojai turėtų turėti galimybę gauti savo duomenų kopijas ir turėti galimybę juos paimti kur nors kitur. Daugybė organizacijų renka informaciją ir ta informacija turi lipnumo faktorių, o dabar žmonės gali pasakyti: „Žinai ką, aš noriu, kad tu paimsi visą mano informaciją, o dabar noriu, kad tu ją pateiktum savo konkurentui, kad galėčiau perkelti tą informaciją. daugiau “.
Numatoma organizacija gali galvoti apie daugybę dalykų, kaip sugebėsite tai padaryti ir kokią informaciją norite surinkti ir perduoti. Taip pat yra teisė prieštarauti, o vartotojai taip pat gali nesutikti, kad būtų tvarkomi jų duomenys. Teisė būti neapibrėžtam dėl sprendimo, pagrįsto vien automatiniu duomenų tvarkymu ar profiliavimu. Tai daro didelę įtaką B2B rinkodarai - jei jūs ten sėdite ir bandote atlikti A / B bandymus ir bandote nustatyti, ar Kolorado valstiją labiau paveiks pranešimas, o ne Kalifornija, gerai, ką tik padarėte profiliavimą, pažvelgę į vieną būseną, palyginti su kita, ir jūs turite žiūrėti, kaip individas turėtų sugebėti to atsisakyti.
Atsižvelgiant į tai, kad turime keletą bauginančių dalykų, susijusių su duomenų pažeidimu, ir tai, kaip žmonės žiūri į jų duomenis, ir mes turime šį didžiulį reglamentą, kuris metamas ant mūsų pečių, dabar aš noriu jums suteikti sprendimas, kaip IDERA gali padėti. 15 straipsnyje kalbama apie tai, kaip kontroliuoti asmens duomenų poveikį. Jūs turite žinoti, kas prieina prie jūsų duomenų. Kaip jie tuo naudojasi. Apdorotų duomenų kiekis ir „SQL produktų atitikties tvarkyklė“, kuriai aš esu produktų vadybininkas, leidžia pamatyti, kas ir kaip prieina prie jūsų duomenų. „SQL atitikties tvarkyklė“ skirta „SQL Server“ sprendimams. Jei turite „SQL Server“ duomenų bazę, galite prijungti šį produktą, kad galėtumėte patikrinti ir peržiūrėti šią informaciją, kad galėtumėte laikytis GDPR ir tiksliai žinote, kaip ji naudojama. Taip pat galite pamatyti duomenų pažeidimus, kol jie neįvyks, ir apie tai kalbėsiu kitoje skaidrėje. Taip pat yra straipsnis, kuriame sakoma: „Man reikia duomenų apie apdorojimo veiklą. Turiu prisijungti, stebėti operacijas ir žinoti, kas tvarko asmens duomenis ir kas turi prieigą prie tų sistemų. “„ SQL atitikties valdytojas prižiūri serverius ir duomenų bazes, įskaitant saugumą, DDL, DML, taip pat nustato neskelbtinus duomenis. . „SQL atitikties tvarkyklė“ leidžia tikrinti prieigą prie saugos ir prisijungti prie bandymo, kad galėtumėte pamatyti, kas naudojasi informacija, taip pat kas prisijungia, ar tai privilegijuotas vartotojas, ar tai žinomas vartotojas, ar tai gali būti kenksmingas vartotojas.
33 straipsnyje kalbama apie priežiūros institucijos pranešimą apie asmens duomenų pažeidimą. Jūs turite mokėti nustatyti tuos pažeidimus; jei norite įvertinti poveikį, turite turėti įrašus; turite žinoti, kaip greitai ketinate tai ištaisyti. Norėdami tai padaryti, „SQL atitikties tvarkyklė“ leidžia nustatyti įspėjimus savo duomenų bazėse, kad jie galėtų matyti, kas turi prieigą prie jūsų neskelbtinų duomenų, kai jie prieina prie to, ką jie pasiekė. Tai taip pat leidžia jums pašalinti įprastus privilegijuotus vartotojus iš audito. Jei turite sistemos administratorių ar tinklo administratorių, žinote, kad prie jo prieisite, ir nenorite užkimšti savo ataskaitų, galite juos paneigti ir pasakyti: „Duokite man viską, kas vyksta už šios informacijos ribų“. Tai leidžia greitai atpažinsite, ar kas nors netinkamai pasiekia jūsų duomenis, ir jūs galite turėti įspėjimus, kurie yra jūsų vietoje, kurie praneša jums apie tai, kada ji prasideda, ir tada, kai informacija prieinama, kad galėtumėte ją nugriauti, kad galėtumėte nereikia laukti visos dienos, kad suprastum, kas vyksta, kaip tai padarė „Equifax“.
Taip pat yra straipsnis, kuriame pasakojama apie duomenų apsaugą ir poveikio vertinimą. Tai yra jūsų rizikos vertinimas ir supratimas, kokia ji yra, taip pat įrodymas ir dokumentavimas, kaip jūs laikotės GDPR. „SQL atitikties tvarkyklė“ leidžia pranešti apie stebimus elementus. Trumpai tariant, duomenų tikrinimas naudojant „SQL Compliance Manager“, „SQL Compliance Manager“ leidžia aptikti nepavykusių prisijungimų - tai yra galimas pažeidimo požymis - stebėti administracinę veiklą ir saugos pokyčius, įspėti apie duomenų bazės pakeitimus, auditą stulpelius, kuriuos apibrėžiate kaip neskelbtiną informaciją, identifikuojate privilegijuotus vartotojus ir stebite jų veiklą atskirai nuo kitų sistemos vartotojų, pranešate, kad informacija yra audituota pagal kelias normines gaires. Mes ne tik aprėpiame GDPR, bet ir HIPAA, PCI, FERPA, SOX, visas reguliavimo gaires, kai reikia tikrinti jūsų informaciją ir suprasti, kas jums prieinama, mes turime tas normines gaires.
„IDERA“ taip pat turime papildomų produktų, skirtų paruošti GDPR. Be „SQL atitikties tvarkyklės“ audito, mes turime „ER / Studio Enterprise Team Edition“, kuri gali padėti dokumentuoti jūsų duomenų procesus ir įtraukti duomenų standartus į jūsų duomenų modelį, galite sukurti duomenų žodynėlius, apie kuriuos William kalbėjo ankstesnėje skaidrėje. . Kaip jau minėjau šiame pranešime, „SQL atitikties tvarkyklė“ gali padėti jums patikrinti jūsų informaciją, kad įsitikintumėte, jog netinkami žmonės negali pasiekti jūsų duomenų, ir tai įrodyti auditoriams. „SQL Safe Backup“ gali padėti užšifruoti duomenis ir atsargines kopijas. Šifravimas yra esminė GDPR dalis, kurios aš išsamiai neapžvelgiau, nes norėjau daug dėmesio skirti „Compliance Manager“ turtui, tačiau „SQL Safe Backup“ už jus užšifruoja labai daug, kad jūsų duomenys išliktų saugūs. „SQL Inventory Manager“ gali užtikrinti, kad serveriai yra pataisyti ir atnaujinti, taigi, jūs neturite galų gale tokiu atveju kaip „Equifax“, kur jie turėjo pasenusį pataisą, suteikiantį jiems didelę saugumo spragą, kurią žmonės galėjo naudoti piktybiškai. „SQL Secure“ gali tikrinti privatumo ir šifravimo standartus.
Norėdami gauti daugiau informacijos IDERA bendruomenės tinklalapyje, mūsų tinklaraštyje, aš paskelbiau, kaip ruošiamasi GDPR, taip pat žvelgiame į 2018 m. Ir suprantame, koks bus GDPR poveikis, ir ten taip pat yra, be abejo, galite atsisiųsti bandomąją SQL atitikties tvarkyklės kopiją. IDERA tinkle, taip pat bet kuriuos kitus produktus, apie kuriuos anksčiau paminėjau skaidrėje.
Šiuo metu aš eisiu į priekį ir perduosiu pristatymą Ericui, kad galėtume užduoti keletą klausimų.
Erikas Kavanaghas: Gerai, gerai. Ten palietėte daugybę tikrai įdomių dalykų, Kim, vienas iš jų - manau, kad tai yra gana paprasta, bet gana protinga - jūs kalbėjote apie nepavykusių prisijungimų aptikimą. Man atrodo, kad tai gana geras ženklas, kad kažkas negerai?
Kim Brushaber: Visiškai. Jei matote ką nors, kas bando pasiekti ir nulaužti jūsų slaptažodį, tai labai greitas būdas pasakyti, kad kažkas daro ne taip, kaip turėtų. Gal porą kartų neteisingai įvesite slaptažodį, bet jei matote, kad iš jų patenka 30, tai yra blogas ženklas.
Erikas Kavanaghas: Taip. Jie čia yra svarbiausias dalykas - nustatyti jūsų perspėjimus tinkamame kontekste. Ką dar galite mums pasakyti apie tai, kaip valdyti perspėjimų nustatymą ir išjungti tuos, kurie nedaro to, ką turėtų daryti, ir kiek tų dalykų galima automatizuoti?
Kim Brushaber: Atitikties valdytojas turi daug konfigūruojamų įspėjimų, taip pat ataskaitų, kurias galite peržiūrėti. Mes einame per jūsų SQL pėdsakus ir turime tą automatinį stebėjimą, ir mes turime daug jo, kurie jau yra iš anksto nustatyti ir iš anksto nustatyti, tačiau tikrai turite nemažai pritaikymo galimybių, kurias taip pat galite padaryti.
Erikas Kavanaghas: Viljamai, aš jus į tai įtrauksiu - man atrodo, kad tai yra viena iš sričių, kurioje mes pamatysime mašinų mokymąsi, kad jie pradėtų žaisti per artimiausius dvejus ar dešimt metų, ir žvelgia į visas skirtingos galimybės. Žvelgiant į įvairius būdus, kaip sistema gali optimizuoti savo efektyvumą, tai efektyvumas tokiose srityse kaip pažeidimai ir pan. Ar tai taip pat tavo mintis?
William McKnight: Taip, visiškai. Manau, kad dabar statome sistemas, kurios pačios remontuojasi. Stebėjimas 24 iš 7 pradeda nykti ir tampa praeitimi, nors mums vis tiek reikia tokio darbo. Aš manau, kad sistemos iš esmės sukuria tai, kas įdiegta, ir išsiaiškina, kas yra neteisinga. Ar mums čia reikia skirti daugiau vietos, ar ką jūs turite? Taip, aš manau, kad tai tikrai yra mūsų ateities dalis. Dirbtiniam intelektui neabejotinai daro įtaką viskas, kas ten gali būti priskirta tam tikriems veiksmams, kurių reikia imtis reaguojant į kažką.
Erikas Kavanaghas: Tai gera mintis. Aš jums pateiksiu dar vieną klausimą, William, nes aš žinau, kad jūs daug tyrinėjate šią erdvę. Vienas iš dalykų, kurių aš ilgai laukiau ir nemanau, kad dar esame - manau, kad artėjame, vien jau iš to, ką skaičiau ir galvojau apie tai, yra dieną, kai bus sukurta technologija, skirta įsisavinti norminius dalykus, tikroji šių dalykų formuluotė ir suderinti tai su funkcionalumu bei programine įranga. Kaip aš sakau, mes vis dar esame iš to pusės - neįsivaizduoju, kad čia nėra kas nors dirbančio. Ar teko susidurti su kažkuo panašiu, ar vis dar esame tokioje vietoje, kai žmonėms reikia žiūrėti į taisykles, iš tikrųjų jas išbandyti ir suprasti, iš esmės kodifikuoti mašininiu kodu, o paskui jas sukimo momentu pritaikyti įvairioms reikmėms?
William McKnight: Na, aš tikrai gaunu idėją, kuria jūs čia dalijatės. Aš nesu susipažinęs su nieko, kas vyksta diegimo aplinkoje, kuri yra susijusi su tuo. Aš pasakysiu apskritai, tačiau akivaizdu, kad mes pradedame mašinoms sakyti ne tai, ką daryti, o koks tikslas yra tai, ką norime daryti, ir mašinos tampa vis protingesnės išsiaiškindamos detales. Manau, kai tik gausime daugiau dirbtinio intelekto savo organizacijose, visiškai įmanoma, kad kartu su AI, kuris yra dislokuotas organizacijų viduje, gali būti sukurti nauji reglamentai, kad jie galėtų būti įgyvendinti taip, kaip aprašėte ateityje. Kol kas mes su tuo nesielgiame.
Erikas Kavanaghas: Štai klausimas, kurį perduosiu jums, Kim, nes tai taip pat yra įdomu. Jūs kalbate apie vidutinį vėlavimą arba laiką, kurį kažkas, prisijungęs prie jūsų sistemos, slepia ir tiesiog laukia - dienų, kai užpuolikas neveikia tinkle, aptikimas yra 200. Man įdomu sužinoti, kokios jūsų mintys, kaip pagerinti kad pirmiausia? Be to, ar yra būdas naudoti tokią taisyklę tyrinėti savo sistemą? Norėdami ištirti savo duomenis ir padaryti geresnį darbą, kad neprarastumėte tokio pobūdžio žmonių?
Kim Brushaber: Taip, aš manau, kad akivaizdus ankstyvas aptikimas yra esminis dalykas. Turite išsiaiškinti, kad šios kenksmingos svetainės pasiekia jūsų informaciją ir sugebės ją užrakinti. Manau, kad kitose skaidrėse, kuriose parodome, kad dauguma organizacijų neturi tos politikos. Štai kodėl jie ten sėdi. Aš manau, kad jei jūs iš tikrųjų turėtumėte savo politiką, kaip pereiti ir užrakinti jūsų prieigą ir įsitikinti, kad prieiga prieina tinkamus žmones. Įsitikinkite, kad reguliariai sukate raktus ir juos atnaujinate. Įsitikinkite, kad jūsų slaptažodžiai yra reguliariai atnaujinami, ir atlikite tokius dalykus, kurie atrodo gana pagrindiniai. Šiuo metu dauguma organizacijų to net nedaro, o pradėti dėti tuos kūrinius į vietą bus lengviau.
Tai, žinoma, reiškia, kad įsilaužėliai dėl to imsis gudrybės, tačiau šiuo metu tai lengva, pavyzdžiui, „eisiu į gatvėje esančius namus, kuriuos jaučiu, kaip noriu įsilaužti, ar tie turės žadintuvą sistemos? Ar jie turi mažą pavojaus ženklą ir kad turi šunis? Aš eisiu pas tą, kuris neturi pavojaus signalo, neturi šuns ir yra tas namas, į kurį aš įsilaužsiu. “Na, jie išsiaiškins įmones, kurios neturi„ kad šie pleistrai nėra vietoje, jie neturi tinkamo saugumo ir neatnaujina savo slaptažodžių. Jie ketina ten pabuvoti ir keletą kartų naudoti jūsų kreditinę kortelę degalinėje, kad įsitikintumėte jūs jų neuždarėte ir tada, kai jie gali įtakoti didelius pokyčius, paprastai yra kažkoks politinis pareiškimas ar kitaip, kai matote, kaip jie pop į galvą. Vykdydamas šią politiką, manau, kad šiuo metu galite žengti keletą minimalių žingsnių, kad galėtumėte žengti į priekį šiame žaidime.
Erikas Kavanaghas: Tai turbūt geriausias patarimas ir aš visada tai girdžiu, kai kalbame su žmonėmis, kurie yra saugumo ar reguliavimo erdvėje, kad pagrindai apims 80 procentų jūsų problemos ir tai yra daug pagrindo - tai yra geras pastebėjimas. Vienas iš dalyvių paklausė, ar kas nors galėtų išplėsti verslo galimybes, kurias būtų galima išnaudoti įgyvendinant GDPR laikymosi pastangas. Aš prisimenu Sarbanes-Oxley ir, manau, Viljamas, perduosiu tai jums. Kaip konsultantas, jūs visada ieškote būdų, kaip padėti savo klientams už konkretaus projekto ribų - bent jau tuo atveju, jei esate geras konsultantas. Kalbėdamiesi su žmonėmis apie GDPR, kokie yra papildomi pranašumai, kuriuos galite turėti, jei gausite, jei jie įsitrauks į tam skirtą projektą?
William McKnight: Visų pirma, svarbu pažymėti, kad GDPR idėja visiškai nereiškia piliečių teisių. Yra ir kita GDPR pusė - tai pagerins piliečių pasitikėjimą mūsų įmonėmis ir tai paskatins juos imtis daugiau verslo tose bendrovėse, kurios atitinka reikalavimus. Yra ir papildomų privalumų, susijusių su faktiškai jūsų GDPR įgyvendinimu, dabar, mūsų viduje įgyvendinamos duomenų valdymo programos palengvina įvairaus pobūdžio iniciatyvas, kurios iš tikrųjų yra vykdomos organizacijose, ir šiandien, be abejo, iniciatyvos, kurios yra išmestos. ne organizacijos viduje. Neseniai su daugeliu jų planavau 2018 m., Jie daug susiję su duomenimis, jie panašūs į visus duomenis nuo 65 iki 90 procentų - kai jūs kalbate apie telematiką ar kliento 360 programą. arba prietaisų skydelį pardavėjų stebėjimui, tai daugiausia susiję su duomenimis. Viskas, kas geriau valdo tuos duomenis, sukuria geresnę architektūrą, įvardijančią žmones, kurie yra tiesioginiai žmonės, galintys atsakyti į visus klausimus apie tuos duomenis, kurie iš tikrųjų rūpi, kaip duomenų valdymo programa. Viskas, kas suteikia mums duomenų žodynėlį, - apie kurį Kim kalbėjo apie savo įrankius - labai naudinga padaryti šias iniciatyvas daug efektyvesnes, rizikuoti jomis, sutrumpinti laiką, sutrumpinti joms skirtą biudžetą ir gauti mus. nelengvam laikui, kai norima parduoti daug greičiau ir gerus dalykus iniciatyvą vykdančiai įmonei, kuri yra visos įmonės.
Erikas Kavanaghas: Man patinka ta pasitikėjimo idėja. Aš manau, kad pasitikėjimas yra labai mažai vertinama tikrovė mūsų pasaulyje, ir, tiesą sakant, dauguma verslo verčiasi pasitikėjimu - tai iš tikrųjų daro, kai susitvarkai. Aš perduosiu jums tik keletą uždarymo komentarų, Kim. Aš manau, kad viena iš pagrindinių pridėtinę vertę yra pasitikėjimo gerinimas ir pasitikėjimo kultūros puoselėjimas, nes tai turės ne tik teigiamą poveikį pačiai įmonei, žmonėms per se, bet ir tai, ką visuomenė suvokia, nes tokia dalykas išsilieja, man atrodo, bet kaip tu galvoji?
Kim Brushaber: Taip, aš manau, kad kai kalbuosi su draugais, kurie dirba „Google“ ar dirba „Facebook“ ar keliose didesnėse, tikrai aukšto lygio organizacijose, jie neįdiegia beveik tiek daug naujų funkcijų, kiek yra įgyvendinant saugos protokolus ir našumą. ir mastelio keitimo problemos, nes jie nori, kad jų vartotojo patirtis būtų tokia, kur, jų manymu, galima pasitikėti ta informacija. Manau, kad įmonės prisiima tokią atsakomybę, nes mes ir toliau einame į priekį užtikrindami tokio pobūdžio pasitikėjimą. Prisimenu, kai žmonės pirmą kartą pradėjo dėti kreditines korteles į internetą, ir žmonės yra tokie: „O dieve, aš neketinu ten pateikti tokios informacijos, nes ji nėra saugi“.
Dabar jūsų kreditinė kortelė eina visais būdais, nes jūs, teoriškai, manote, kad galite pasitikėti įmone, nes ji turi HTTPS sertifikatą. Tuomet išgirsti apie „Target“ duomenų pažeidimus ten, kur buvo panašios kreditinės kortelės: „O, jūs geriau iškeiskite savo kreditinę kortelę, nes mes paleisime šią informaciją.“ Manau, kad tai yra dvipusis požiūris. Manau, kad žmonės, nors ir nori labiau pasitikėti, nes daug lengviau, gali pasitikėti ir tikėti tuo didelėse organizacijose, didelės organizacijos turi įsitraukti ir sudėti šias detales į vietą, kad jos t sužeisti asmenį arba prarandate rinkos dalį. Žmonės sako: „Na, ką jau žinai, daugiau neketinu apsipirkti„ Target “, dabar einu apsipirkti„ Amazon “.“ Manau, kad pasitikėjimas yra didelė problema, nors, kaip mes minėjome, 78 procentai žmonių yra vis tiek spustelėsite šią nuorodą el. laiške, net jei jie žino, kad galbūt ne. Yra tam tikra žmonių apsauga, net kai jie jumis pasitiki.
Erikas Kavanaghas: Tai gera mintis. Žinai ką, aš pateiksiu paskutinį klausimą tau, Viljamai, ar bent dar vieną - dabar turime keletą gerų. Dalyvis rašo: „GDPR perduoda tapatybės valdymą atgal klientui, kur jis priklauso. „Equifax“ visam laikui sugadino 149 milijonus vartotojų, „labai tiesa“, užteršiančių skaitmeninę ekonomiką. Kokius pokyčius, jūsų manymu, vyksta JAV dėl klientų nuosavybės tapatybės valdymo srityje? “
William McKnight: Na, mes visada atsiliekame JAV, kai kalbame apie tokį dalyką, ar ne? Šimtas keturiasdešimt devyni milijonai, tai nėra kibiras nė lašo. Tai beveik kaip terorizmas, tiesa? Mes tiesiog taip įpratę, tai tiesiog vyksta visą laiką. Manau, kad reikia ką nors padaryti. Manau, kad GDPR, man patinka teisės, kurias ji suteikia piliečiams, bet neatrodo, kad tai būtų prioritetas - yra daug kitų prioritetų ir aš nežinau, kur jis vyks. Manau, kad, kaip minėjau turėtose situacijų skaidrėse, tai rodo, kad vartotojas pereina prie didesnių teisių į savo duomenis. Kada tai atsitiks JAV? Nežinau, gali būti ne daugiau kaip penkeri metai, jei pamatysi tai, kas proporcinga GDPR, vykstančiam JAV. Šiuo metu tik spėliojama.
Ericas Kavanaghas: Tai tikrai geras punktas ir aš manau, kad reikės dėti daugiau pastangų šiuo klausimu, nes, pripažinkime, šiais laikais pereiname prie tokios skaitmeninės ekonomikos. Kaip baigiamasis komentaras - tai filosofinis, į politiką orientuotas požiūris, kuris mane labiausiai jaudina su perėjimu prie grynųjų pinigų neturinčios visuomenės, nes kai pinigai išnyksta, jei tai atsitinka, tada viskas yra skaitmeninė ir kiekviena sistema gali nulaužti ir kiekvieno žmogaus tapatybė gali būti pavogta. Man atrodo, kad gana didelis dramblys yra kambaryje, kai žvelgiame į lydeką į tapatybės tvarkymo ateitį.
Tai visi puikūs dalykai, žmonės. Ačiū Williamui McKnightui už jo laiką ir dėmesį šiandien. Ačiū Kim Brushaber iš IDERA. Visas šias internetines transliacijas archyvuojame vėlesniam peržiūrai, todėl drąsiai grįžkite, paprastai per kelias valandas, ir archyvas bus paruoštas. Su tuo mes atsisveikinsime, žmonės. Dar kartą ačiū už jūsų laiką ir dėmesį. Iki.
