Dengan Staf Techopedia, 6 Disember 2017
Takeaway: Host Eric Kavanagh membincangkan Peraturan Perlindungan Data Umum yang akan datang EU dan kesannya terhadap industri. Menyertai beliau adalah William McKnight daripada McKnight Consulting Group dan Kim Brushaber dari IDERA.
Anda tidak log masuk sekarang. Sila log masuk atau mendaftar untuk melihat video.
Eric Kavanagh: Baiklah, tuan-tuan dan puan-puan, hello dan selamat datang sekali lagi. Ia adalah Rabu pada 4:00 Waktu Timur, yang bermaksud ia adalah masa sekali lagi - salah satu kali terakhir pada tahun 2017 - untuk Teknologi Hot. Ya, sesungguhnya nama saya adalah Eric Kavanagh - Saya akan menjadi moderator anda untuk acara hari ini. Kami bercakap tentang topik yang jauh menjangkau, untuk sekurang-kurangnya. Sekarang, ia tidak kelihatan seperti itu - konsep GDPR, Peraturan Perlindungan Data Global. Mari kita teruskan dan menyelam betul-betul di dalam ini, bukan tentang kamu yang benar, cukup tentang saya. Tahun ini panas, ia sudah sangat panas dalam banyak cara yang berbeza, tetapi peraturan-peraturan yang akan datang dari GDPR dan dari organisasi lain, secara terang-terangan, memaksa kita untuk memikirkan semula apa yang berlaku di dunia perniagaan, khususnya kerana hasilnya, atau kerana ia berkaitan dengan data. Kami akan mendengar daripada Kim Brushaber IDERA dan juga William McKnight dari McKnight Consulting Group.
Hanya beberapa kata cepat tentang topik yang di tangan, orang. GDPR pada dasarnya mengatakan bahawa organisasi mesti mempunyai privasi pertama dan dasar keselamatan pertama berkenaan dengan data dan benar-benar, mengenai beberapa perkara yang mungkin anda dengar - hak untuk dilupakan, contohnya, adalah sebahagian dan sebahagian daripada masanya ini, dan ia sangat menarik. Pastinya sah dari segi prinsip dan etikanya. Walau bagaimanapun, dari segi pelaksanaan sebenar, ia merupakan cabaran yang sangat serius. Hak untuk dilupakan mengatakan bahawa jika anda mahu sesetengah organisasi tidak mempunyai data anda, data sensitif peribadi anda, mereka perlu menyingkirkannya. Nah, anda boleh bayangkan apabila sesetengah persekitaran data yang benar-benar heterogen, betapa sukarnya itu. Untuk dapat mencapai setiap tempat di mana data anda berterusan dan menariknya, itu tidak akan berlaku, adalah garis bawah. Walau bagaimanapun, organisasi perlu mempunyai dasar yang ada, dapat menangani kebimbangan tersebut, dan itulah pengawal selia, saya yakin, akan mencari.
Ini masalah besar. Bukan sahaja organisasi perlu mengeluarkan data anda jika anda berkata begitu, tetapi jika mereka telah melatih algoritma pada data itu, secara teknikal mereka sepatutnya melatih semula algoritma itu. Itulah perintah yang tinggi, saya perlu memberitahu anda, tetapi ia akan datang, ia akan merosakkannya, ia akan menjadi kenyataan pada bulan Mei tahun depan dan ada peraturan lain juga. Kanada mempunyai undang-undang antispam yang telah mereka lalui, itu memberi kesan kepada bagaimana kita menangani maklumat peribadi. Netraliti bersih turun sekarang, tentu saja ia telah dicabut, pada dasarnya, dan itu akan mengubah beberapa perkara. Terdapat banyak peraturan yang sangat serius yang mempengaruhi perniagaan di seluruh lembaga dan di seluruh dunia, bahawa organisasi besar benar-benar perlu untuk memikirkan dan mempersiapkan diri.
Untuk itu, kami mempunyai William McKnight dalam talian Kumpulan McKnight Consulting untuk memberitahu kami apa yang difikirkannya dan mengapa GDPR, sebenarnya, hanya hujung gunung ais. Dengan itu, William, saya akan menyerahkannya kepada anda. Mengambilnya.
William McKnight: Terima kasih, Eric, dan seperti yang anda katakan, sebagai slaid berkata, GDPR ini mungkin hujung gunung ais - itu sudah tentu apa yang kita fikirkan. Adalah penting bahawa kita menyelam ke dalam GDPR secara mendalam kerana saya fikir ia mewakili gelombang peraturan yang menjejaskan paip yang perlu kita hadapi. Nasib baik, Eric, terdapat beberapa piawaian yang munasabah di sekitar hak itu untuk dilupakan, yang akan saya dapat. Namun begitu, dalam perjalanan saya tahun ini bercakap tentang GDPR, saya fikir terdapat banyak firma, terutama firma AS, yang belum bersedia untuk ini. Sudah tentu panas dan sesuatu yang kita tidak berfikir kira-kira satu tahun yang lalu, ketika mereka hanya percubaan melompat beberapa perkara, tapi sekarang peraturan itu dan kita harus menghadapinya dengan, seperti yang anda katakan, Eric, mungkin akan datang di sini - jadi tidak begitu jauh sama sekali.
Sedikit tentang saya, saya akan datang dari perspektif data. Untuk memberitahu anda, saya adalah seorang data sepanjang hayat dan perundingan kini selama 19 tahun dalam ruang data, dan GDPR banyak mengenai data. Saya akan menimbulkan satu penyelesaian untuk diselesaikan di sini, kerana saya dapat membuat persembahan mengenai pemerintahan data. Saya telah, jelas, melakukan banyak program tadbir urus data dan saya fikir jika anda selari dengan konsep itu, anda melakukan beberapa tadbir urus data, banyak syarikat di luar sana akan menjadi jauh di jalan Sebenarnya, untuk pematuhan GDPR, tetapi akan menjadi banyak, dan yang paling terang-terangan yang berada di belakang dalam tadbir urus dan oleh itu cukup jauh di persiapan GDPR mereka. Mari tingkatkan di sini dan faham apa yang GDPR semua tentang dan ketika kita semakin dalam perbualan, kita akan mendapat lebih banyak ramalan GDPR dalam kehidupan perniagaan ketika kita maju ke tahun baru dan seterusnya.
GDPR adalah untuk privasi data warga negara Kesatuan Eropah. Ini peraturan - bermakna ia mempunyai gigi, bermakna ia boleh dikuatkuasakan. Ia bukan sesuatu yang dibentangkan di sana sebagai cadangan - yang telah berlaku dan kini telah ditubuhkan dengan peraturan dengan hukuman. Saya suka memulakan penalti kerana itu benar-benar mendapat perhatian orang. Ini adalah hukuman yang sengit. Terdapat dua penalti, terdapat 2 peratus pendapatan tahunan di seluruh dunia atau 10 juta euro jika perniagaan gagal mematuhi kewajiban keselamatan, tetapi segala-galanya, melanggar peruntukan lain - dan saya akan masuk ke dalamnya - itu 4 persen. Anda mendengarnya bersambung - 4 peratus. Dan dengan cara itu, ia adalah 4 peratus atau 10 juta euro, yang mana lebih besar. Ini sangat sengit. Orang ramai sangat serius mengenai perkara ini. Menguatkuasakan bermula Mei 25, 2018 - itu adalah tarikh penting, iaitu apabila audit boleh bermula, itulah apabila anda boleh mendapatkan denda anda. Sudah tentu anda mahu bersedia untuk ini. Setiap syarikat yang saya berurusan, saya berurusan dengan banyak syarikat Global 2000, mereka berada di tempat persiapan GDPR mereka, lebih daripada yang lain dan ada yang lebih daripada yang lain pada masa ini. Sudah tentu, ia akan mencabar untuk memenuhi tarikh itu untuk beberapa orang, dan kita akan lihat.
Ia adalah rejim kepatuhan privasi data yang paling menyeluruh yang telah kita lihat setakat ini. Apabila kita akan melihat sesuatu yang lebih kaku atau sesuatu yang menjejaskan penduduk AS lebih langsung, siapa tahu, tetapi ia di luar sana dan pasti perlu dipatuhi. Ia memerlukan organisasi untuk memahami apa yang rakyat UE PII - kita kenal dengan betul PII - maklumat peribadi, keselamatan sosial, nombor telefon, alamat, perkara-perkara yang secara unik dapat mengenal pasti seseorang atau cukup unik mengenal pasti seseorang. Apa yang mereka ada dan bagaimana mereka menggunakannya. Ini bermakna inventori. Ini bermakna peraturan dalam syarikat anda sendiri di sekitar data jenis ini. Dengan cara ini, Amerika Syarikat tidak mempunyai sebarang undang-undang perlindungan data seluruh negara. Amerika Syarikat selalu - saya akan katakan di belakang, untuk meletakkannya dalam perspektif - di belakang Eropah dari segi peraturan seperti ini, dan itu terus berlanjut. Itu berterusan dengan GDPR, itu cukup jelas. Sebahagian daripada anda mungkin mengetahui tentang perisai privasi, anda mungkin tertanya-tanya tentang itu. Terdapat kira-kira tiga atau empat peruntukan dalam GDPR yang mempunyai apa-apa bertindih dengan perisai privasi, tetapi terdapat seratus peruntukan dalam GDPR, jadi lebih daripada itu dan sudah tentu itu masih berlaku dan ada kaitannya dengan persimpangan data AS dan EU hanya, walaupun itu penting.
Sekali lagi, saya suka memulakan nombor. Anda dengar tentang denda, bagaimana dengan cara anda bersedia untuk itu. Belanjawan untuk GDPR dan melakukan beberapa perkara ini, ini bergantung kepada beberapa faktor. Jumlah data PII yang anda kumpulkan pada warga EU. Jika anda tidak mengumpul sebarang, OK, anda mungkin patuh dan tidak perlu berurusan dengan ini, tetapi anda mungkin ada panggilan ini kerana anda mengumpul beberapa tempat. Saiz syarikat anda dan kematangan tadbir urus data anda, yang seperti yang saya katakan sebelumnya, mungkin menghampiri apa yang perlu anda lakukan untuk bertindak balas terhadap GDPR. Anda boleh menjangkakan sehingga beberapa juta USD atau euro, mengikut mana yang berkenaan, untuk pematuhan. Walau bagaimanapun, kami mahu, tidak mahu hanya mematuhi GDPR, untuk memeriksa kotak itu, sememangnya kami perlu berbuat demikian. Mudah-mudahan, anda tidak berada dalam situasi yang mana anda hanya terdesak untuk memeriksa kotak itu. Cari manfaat perniagaan kerana banyak perkara yang anda lakukan untuk menyokong GDPR adalah baik untuk perniagaan anda. Tadbir urus data adalah baik untuk perniagaan anda. Apabila ia datang kepada jumlah data PII, ada yang lebih penting daripada yang lain, ada yang akan diteliti lebih daripada yang lain, seperti kesihatan berkaitan data, akan dikawal lebih ketat di bawah GDPR daripada jenis data lain dan memerlukan pematuhan dengan kewajipan tambahan seperti menjalankan penilaian kesan perlindungan data yang, dengan jelas, menambah anggaran anda.
Sedikit di sana mengenai belanjawan. Sekiranya anda berada di UK atau AS dan tertanya-tanya bagaimana ia menjejaskan anda - GDPR menjejaskan UK, yang masih dalam Kesatuan Eropah, dengan cara, melalui 29 Mac 2019 dan yang kerajaannya telah menyatakan bahawa sesuatu seperti GDPR akan diteruskan selepas tarikh itu kerana "Ia adalah idea yang baik." Syarikat UK perlu mematuhinya. Data warganegara UK pastinya di atas meja untuk ini. Sekiranya ia tidak jelas, terdapat perniagaan berasaskan AS, jika anda berurusan dengan EU, dengan data warga EU, ini pastinya berlaku kepada anda. Ini mempunyai kesan terhadap seni bina data anda kerana anda mungkin terpaksa menghancurkan data EU anda daripada segala-galanya dan memperlakukannya secara berbeza. Ia memberi kesan kepada analitik, seperti yang dikatakan oleh Eric, bagaimana anda menyusun analisis tersebut dan sebagainya. Ia mungkin lebih sukar sekarang untuk mendapatkan apa-apa jenis analitik menyeluruh, seluruh dunia akan berlaku. Mereka mungkin menjadi lebih tempatan disebabkan oleh GDPR.
Apa yang ada dalam peruntukan? Terdapat piawaian perlindungan data. Ini semua tetapi menentukan enkripsi data untuk berehat dan bergerak. Saya akan bercakap mengenai penyulitan seterusnya. Terdapat piawaian pemberitahuan pelanggaran data. Tidak lebih dari ini menunggu bulan, menunggu pihak untuk membiarkan semua orang tahu. Saya fikir ada yang besar pada hari yang lain dan kami dapati, "Oh, itu berlaku setahun yang lalu." Tidak ada yang dengan GDPR - anda mempunyai 72 jam. Ia adalah nama dan dasar malu. Semoga tiada siapa yang dapat mencapai itu, dengan jelas ada orang yang akan melakukannya. Pelanggaran akan berlaku, walaupun selepas GDPR, tentu saja. Terdapat proses untuk memantau lokasi dan kualiti data. Bunyi akrab? Itulah hati pemerintahan data. Semoga anda mempunyai beberapa orang yang pergi.
Warga EU mempunyai hak untuk dilupakan, seperti yang disebutkan oleh Eric. Terdapat beberapa piawai munasabah untuk ini, Eric. Anda tidak perlu menghapuskan segala-galanya semestinya, jika anda mungkin perlu menghubungi semula pelanggan itu, pekerja itu, anda dibenarkan menyimpan aspek tertentu dari data peribadi mereka. Tetapi, bagaimanapun, warganegara itu mempunyai hak untuk dilupakan, tetapi tidak boleh ada usaha yang tidak seimbang - itulah bahasa - kepada anda atau bahaya kepada syarikat, itu adalah untuk anda menghapuskan data tersebut. Saya tidak mahu meremehkannya, tetapi anda juga perlu melepaskan salinan data peribadi yang telah diadakan dan anda hanya boleh mendapatkan data tersebut dengan persetujuan. Persetujuan itu mesti diberikan oleh orang yang umur minimum untuk memberikan kebenaran tersebut. Itulah sungguhan di sana, tetapi itu memberikan banyak hak kepada rakyat atas data mereka. Itulah portabiliti di sana, dalam hal yang pernah muncul. Hak untuk dilupakan, jelas, tetapi juga - dan sesuatu yang tidak di slaid saya yang sangat penting - adalah subjek data yang mempunyai hak tidak tertakluk kepada keputusan yang hanya berdasarkan pemprosesan automatik. Apa yang telah kita bergerak keras? Pemprosesan automatik, tentang penerimaan pinjaman, apa yang kami tawarkan, ini semua perlu dilaksanakan dari segi bagaimana ia akan dimainkan dan sejauh mana ini akan berlaku. Apa yang dikatakannya pada dasarnya, adalah ketelusan sekitar mengapa saya ditolak, mengapa saya diperlakukan dengan cara tertentu oleh syarikat ini. Ini adalah sekarang, diberikan kepada warga EU.
Jelas sekali, terdapat beberapa ramalan tentang bagaimana kami melakukan perniagaan dan semoga anda melihat bahawa GDPR bukan masalah IT, bukan masalah IT sahaja. Semua proses perniagaan ini terlibat. Ia akan melibatkan orang dari seluruh syarikat. Pelantikan pegawai perlindungan data disyorkan untuk syarikat-syarikat yang mempunyai lebih daripada 250 pekerja dan anda mempunyai "matematik kritikal dengan data PII EU." Anda boleh memutuskan untuk diri sendiri jika anda mempunyai matematik kritis, kadang-kadang jelas, kadang-kadang tidak. Tetapi, ada peranan baru - tidak perlu menjadi peranan sepenuh masa, orang itu boleh mempunyai tanggungjawab lain, tetapi saya tidak tahu - dalam beberapa syarikat yang lebih besar dan lebih besar, saya rasa berpegang kepada GDPR akan dekat dengan peranan sepenuh masa. Saya akan berkata begini dan lihat jika anda boleh mengatasinya. Terutama pada tahun depan, apabila anda bertindak bersama-sama di sekitar GDPR, sebaik sahaja ia selesai, mungkin anda boleh melambatkan kerja ini, tetapi ia akan mengambil beberapa syarikat agak lama. Benarkan individu melihat data mereka sendiri dan data mudah alih, seperti yang saya nyatakan sebelum ini.
Ini bukan semua yang baru, dengan cara, tetapi hak untuk dilupakan sebenarnya ada di luar sana, percaya atau tidak. Peraturan EU semasa sudah menyediakan hak untuk membuat data peribadi dipadam atau dibuat tidak tersedia. Walau bagaimanapun, kini ia merupakan sebahagian daripada GDPR, ia akan dikuatkuasakan dengan lebih meluas. Penyulitan data - menyulitkan data anda berehat. Gunakan kaedah penyulitan standard, jangan gunakan penyulitan homegrown atau nonstandard anda sendiri. AES adalah salah satu yang kami cadangkan agak sedikit. Gunakan kekunci penyulitan cryptographically secure. Tukar kunci tersebut secara berkala. Juga menghalang kunci tersebut daripada kehilangan. Ini hanya amalan penyulitan yang baik, tetapi sekarang mereka akan datang ke barisan hadapan dengan GDPR. Di dalamnya terdapat masalah - saya hanya memukul hujung gunung ais. Terdapat lebih banyak peruntukan, jelas, untuk melihat, tetapi itu adalah yang utama.
Sekarang, penyelesaiannya. Tadbir urus data, kerangka pematuhan anda, sekurang-kurangnya itulah perspektif yang saya kemukakan di sini. Nasib baik, terdapat disiplin aktif yang berani yang boleh dan tidak, apabila matang, menangani kebanyakan keperluan, dan itu urus tadbir data - jelas saya katakan itu. Program tadbir urus harus mempunyai glosari data, dan di sini saya menggunakan glosari data dalam arti generik untuk bermakna dokumentasi di seluruh papan untuk proses anda. Ini asas, untuk memenuhi keperluan inventori GDPR, yang, seperti yang telah kita lihat, cukup besar. Program ini, program tadbir urus, harus memudahkan protokol keselamatan data - dan saya menggariskan bahawa kerana itu bukan sesuatu yang banyak program tadbir urus data lakukan sekarang, tapi saya fikir ia adalah tempat yang logik untuk ini dilakukan kerana mereka duduk di atas program yang menentukan siapa pemilik perniagaan? Siapa yang perlu melihatnya? Dan kemudian langkah seterusnya adalah memberikan izin tersebut. Itu perlu dipusatkan, yang perlu diformalkan. Perlu ada dasar dalaman yang digunakan. Pengawasan perlu diberikan kepada semua unsur untuk memberi masukan kepada semua perkara di atas. Tadbir urus data juga boleh menjadi fasilitator kejuruteraan proses perniagaan, yang diperlukan.
Sebelum saya meninggalkan slaid ini, dalam usaha mengelakkan denda yang besar, syarikat akan merangkumi amalan perniagaan yang kukuh sebagai produk sampingan. Saya suka mengatakan bahawa ia lebih daripada produk sampingan, tetapi ia sebenarnya hanya perniagaan baik yang baik yang boleh membawa anda ke tempat baru dari perspektif perniagaan. Sudah tentu, anda akan mendapat banyak kecekapan untuk melakukan semua inisiatif di seluruh lembaga, jika anda mempunyai tadbir urus data yang baik, itulah yang saya lihat selama bertahun-tahun. Dengan penambahan beberapa perkara yang saya sebut, untuk pemerintahan data, mereka hanya akan menjadi lebih baik. Dalam kejuruteraan proses perniagaan kami, kami mencadangkan anda menanya soalan-soalan ini di seluruh papan, tekan setiap kawasan perniagaan. Data jenis apa yang kami kumpulkan pada pelanggan EU kami? Saya tidak akan membacanya. Beberapa yang utama di sini. Siapakah yang perlu melihat data ini dan adakah ia diikuti? Siapa pelayan data untuk data itu? Siapakah orang yang pergi ke dalam perniagaan saya? Ini adalah yang besar: Adakah kita berkongsi data ini dengan pihak ketiga? Hanya kerana anda memberikannya kepada pihak ketiga, tidak membebaskan liabiliti anda di sekitar data itu - itu masih data anda, itu masih data yang anda kumpulkan. Terdapat banyak kontrak pihak ketiga yang kini dikaji secara menyeluruh sebagai hasil daripada GDPR. Adakah sistem ini mempunyai kegagalan deterministik? Berarti apabila mereka gagal, mereka gagal dalam laluan yang telah kami tetapkan, atau adakah mereka gagal, nahas, terbakar dan kami mula menggaru? Ia akan menjadi jelas lebih baik. Ia satu amalan yang baik sudah, tetapi jelas lebih baik untuk kejuruteraan terbalik beberapa perkara ini, jika anda mempunyai kegagalan deterministik yang besar dalam sistem anda.
Pengekalan data, kami telah bercakap mengenai pengekalan data selama-lamanya. Banyak syarikat mempunyai dasar, mereka tidak semua mengikutinya. Jelas sekali, terkenal dalam penjagaan kesihatan dan kewangan, kami mahu menyimpan data, kami perlu menyimpan data untuk beberapa tahun. Beberapa penganalisis dalam firma-firma yang menyimpan data selama tujuh tahun atau tidak, berkata, "Oh, selepas tempoh itu saya masih mahukan data itu." Beberapa peguam dalam syarikat-syarikat ini berkata, "Tetapi kita perlu menyingkirkannya untuk tujuan liabiliti, "dan sebagainya. Itu tidak boleh sekadar duduk di sana, sebagai isu di loggerheads lagi dengan GDPR. Kita mesti mempunyai tempoh pengekalan, memilikinya secara konsisten di seluruh lembaga dalam organisasi.
Dan akhirnya, bagaimanakah anda menggerakkan pelanggaran data? Senario terburuk yang boleh berlaku kepada anda. Jelas sekali, kami cuba menghalang mereka, tetapi bagaimana jika ia berlaku? Bagaimanakah anda memerangi perkara itu dan pastikan anda mengikuti peruntukan GDPR dalam maklum balas anda? Saya seorang arkitek data, saya berfikir tentang seni bina data. Jika anda adalah sebuah syarikat yang berpangkalan di Amerika Syarikat dengan operasi EU, yang bermaksud data warga EU - anda mengumpulnya, anda perlu mempertimbangkan sama ada untuk memohon piawaian perlindungan data untuk semua data atau hanya data EU. Ya, saya mempunyai pelanggan yang membuat keputusan sekarang. Sebagai amalan perniagaan yang kukuh, mereka mungkin mahu membawa itu ke Amerika Syarikat, mereka mungkin berasa seperti mereka mempunyai masa, walaupun, tetapi itu membawa nombor peluru dua. Anda mungkin perlu menghancurkan data EU dari sistem AS jika anda tidak dapat menjamin bahawa sistem AS akan mengendalikan data dengan sewajarnya. Adakah data yang berasingan untuk tujuan analitik? Adakah analisis bahkan sah jika anda cuba melakukannya di seluruh negara? Kadang-kadang ya, kadang-kadang tidak, kan? Anda mungkin mendapati analitik anda akan disenyapkan sebagai hasilnya.
Seperti yang saya katakan sebelum ini, kecerdasan buatan bermain di sini kerana jelas, kita boleh menggunakan AI untuk mencari semua data, membantu kita mencari semua data, tetapi jika kita menggunakan AI dalam antara muka pelanggan, kita perlu mempunyai ketelusan sekarang dengan pelanggan kami antara muka dan yang tidak pernah saman kuat AI. Untuk cuba memberitahu pelanggan, "Anda telah ditolak kerana blah, blah, blah, " ketika benar itu AI. Yang perlu dilakukan sekarang. Kita perlu memikirkan bagaimana AI berfungsi, apakah faktornya? Tidak boleh duduk di sana dan menjadi kotak hitam kepada anda lagi. Apa yang kita buat sekarang? Jadikan lembaga GDPR anda. Saya cadangkan anda mempunyai pegawai privasi kanan anda di sana atau jika anda mempunyai pegawai perlindungan data, jelas orang itu. Kepala pemerintahan data, risiko operasional dan / atau kepatuhan, sebagaimana diterapkannya, kepala IT, CIO jika itu orang itu. Sekiranya anda mempunyai orang pengurusan yang berubah, itu akan menjadi orang yang hebat di sana. Hanya kepala beberapa jabatan yang paling penting di seluruh perniagaan anda, dan juga ketua HR kerana latihan privasi sekarang akan menjadi besar. Semua orang akan mendapat latihan privasi atau harus mendapat latihan privasi ketika mereka menaiki sebuah perusahaan, bahkan perunding.
Sekiranya anda tidak melakukan perkara-perkara ini yang anda lihat di sini, anda perlu bergerak lebih cepat daripada yang anda mahu membuat tarikh akhir. Anda juga perlu mulakan dengan harapan bahawa anda bukan salah satu yang pertama untuk mendapatkan diaudit kerana, terus terang ada banyak kerja di sini jika anda bermula dari awal dan anda berurusan dengan banyak data warga EU. Sewa DPO anda, inventori data anda dan proses anda. Bina rancangan untuk pentadbiran data, ambil dari mana ia berada, ke mana perlu. Seperti mana yang mungkin, anda mungkin mahu memulakannya. Kraf dasar privasi anda dan notis dasar anda. Dasar privasi adalah dalaman. Notis dasar pergi luaran. Kami melihat budaya yang mula dicipta sekarang di sekitar notis dasar. Banyak perbandingan yang dilakukan dan banyak kata-kata yang berhati-hati telah dilakukan, di sekitar notis dasar ini. Piagam pemeriksaan pematuhan GDPR untuk semua sistem, termasuk sistem baru. Anda mungkin perlu menjejaki mereka dan melakukannya dalam beberapa jenis penting, tetapi ini adalah satu lagi cara untuk mengatasi masalah ini. Lihatlah sistem dan apa yang mereka lakukan dan bagaimana mereka mengendalikan data ini.
Apakah isyarat GDPR? Itulah apa yang kita ada di sini untuk bercakap sedikit lebih lanjut mengenai. Saya menantikan apa yang Kim katakan mengenai perkara ini. GDPR adalah peralihan dalam kawalan privasi data ke arah peraturan. Ia adalah trend ke arah ketelusan, ia mengatakan begitu tepat dalam peruntukan. Kami mencipta notis privasi privasi ini, seperti yang saya bicarakan, itu satu perkara sekarang. Kami akan melihat persidangan mengenai notis privasi dan sebagainya. Pergeseran GDPR adalah ke arah hak asasi manusia. Soalan terbuka akan dibina. Terdapat soalan terbuka, saya telah meninggalkan beberapa di atas meja di sini untuk kami. Tiada siapa yang mempunyai jawapannya. Mereka akan berjaya. Trend ke arah pemahaman yang lebih besar oleh individu mengenai data mereka dan bagaimana ia digunakan. Saya fikir ini telah meningkatkan kesedaran di kalangan penduduk EU, mengenai pentingnya data mereka dan melihat bahawa sebagai salah satu aset peribadi mereka, mereka perlu menguruskan lebih banyak. Itulah beberapa isyarat awal yang saya lihat, dan Eric, saya akan membuangnya kembali kepada anda sekarang.
Eric Kavanagh: Baiklah, berikan saya kunci kepada Kim, yang boleh berkongsi beberapa perspektifnya, tetapi saya fikir itu gambaran yang baik, William, dan anda memukul perkara utama - dan kita semua perlu berhati-hati, terus terang. Dengan itu, izinkan saya menyerahkan kunci ke Kim dan anda boleh berkongsi skrin anda dan mengambilnya dari situ.
Kim Brushaber: Hei sana, boleh awak dengar saya?
Eric Kavanagh: Saya boleh mendengar anda.
Kim Brushaber: Awesome. William melangkah beberapa perkara yang sama yang akan saya tutupi, tetapi saya fikir bahawa mereka layak menutup lagi kerana mereka benar-benar penting. Saya fikir apabila peraturan baru diturunkan, ia benar-benar baik untuk mendapatkan banyak perspektif dan tafsiran yang berbeza di dalamnya supaya sesuatu yang mencetuskan fikiran anda dan membolehkan anda menjadi lebih mematuhi. Saya digalakkan oleh semua orang yang berada dalam panggilan ini yang ingin tahu lebih banyak kerana saya fikir datang 25 Mei, mungkin ada banyak panik bagi syarikat-syarikat yang sedang mengejar, tidak mematuhi.
Nama saya Kim Brushaber, saya adalah pengurus produk kanan di IDERA. Saya mempunyai beberapa produk di bawah saya yang membantu dengan pematuhan GDPR serta peraturan lain. Saya akan melompat ke beberapa maklumat. Saya akan bermula dengan beberapa fakta dan beberapa angka dan kemudian pergi ke sedikit tentang GDPR dan kemudian secara khusus bagaimana alat kami boleh membantu anda. Satu fakta adalah lebih daripada 5 juta rekod data yang hilang atau dicuri setiap hari. Kami tidak mendengar berita yang dilaporkan ini, kami tidak mendengar ini datang dari tempat lain, tetapi terdapat lebih daripada 5 juta rekod data yang dicuri sepanjang masa, keluar dari bawah kami. Jumlah median hari yang penyerang tinggal tidak aktif dalam rangkaian anda adalah 200 hari. Ramai sistem telah disusup oleh orang-orang yang - dengan niat jahat - yang hanya menunggu peluang untuk memanfaatkan maklumat anda, kebanyakannya dalam keselamatan dan sijil, tetapi mereka hanya menunggu masa mereka untuk menerkam. Itulah sebabnya ia menjadi semakin penting untuk mengendalikan keselamatan data anda. Kos purata pelanggaran data tunggal pada 2020 dijangka melebihi $ 150 juta, kerana lebih banyak infrastruktur perniagaan disambungkan ke sumber dalam talian dan semakin banyak perkara yang muncul di awan. Itulah nombor bajet yang baik jika anda benar-benar prihatin terhadap keselamatan data, untuk memberi kepada pasukan eksekutif anda, untuk memberitahu mereka bahawa ini adalah perkara yang serius dan boleh membebankan kita banyak wang ke depan.
Saya akan secara ringkas melangkaui pelanggaran data Equifax kerana saya fikir ia adalah pelanggaran data terbesar pada tahun 2017, untuk jenis cat gambar seperti apa yang ingin dilakukan melalui itu. Pelanggaran itu menjejaskan 145.5 juta pelanggan. Pekerja mengakui isu keselamatan dengan aplikasi web mereka dua bulan sebelum pelanggaran berlaku. Pekerja berkata, "Ini adalah masalah." Dan walaupun sedikit sebelum itu ketika patch benar-benar keluar. Ia mengambil hari penuh apabila pelanggaran berlaku untuk bertindak balas dan mengambil aplikasi web di luar talian. Kerana Equifax tidak mempunyai protokol keselamatan data yang jelas, ia membawa mereka sejumlah besar masa untuk mengetahui apa yang sedang berlaku dan kemudian dapat mengambil sistem offline. Enam minggu selepas pelanggaran itu, orang ramai dimaklumkan. Dengan GDPR - seperti yang dinyatakan di atas dan saya akan mengatakannya lagi - anda perlu melaporkan dalam masa 72 jam, dan Equifax akan mengikat tangan mereka dan tidak dapat memenuhi pematuhan itu kerana mereka menunggu selama enam minggu untuk melaporkannya. Komunikasi untuk bertindak balas terhadap pelanggaran itu termasuk laman web yang tidak dimiliki oleh Equifax. Equifax sendiri telah mengkritik tweet ini yang tidak ada dalam domain mereka - mereka telah membalikkan beberapa perkataan di sekelilingnya. Nasib baik bukan laman web yang berniat jahat, tetapi mereka tidak bersedia. Mereka tidak mempunyai rancangan yang dirancang, dan ini menjadi sangat menyedari di arena awam. Equifax tidak bersendirian - terdapat lebih daripada 25 serangan profil siber yang sangat tinggi pada tahun 2017 setakat ini, dan kami masih boleh mencari lebih banyak sebelum akhir tahun ini. Syarikat-syarikat benar-benar perlu untuk mengambil serius ini kerana orang berada di luar sana dan jika anda memberi mereka alasan untuk mahu datang kepada anda, lebih baik anda bersedia untuk dapat mengendalikannya.
Beberapa fakta dan angka data lain mengenai bagaimana individu melihat keselamatan data. Menjelang tahun 2020, terdapat 30 bilion peranti yang disambungkan ke internet melalui rumah kami, melalui pakaian pakai kami, melalui telefon kami, tablet kami dan siapa yang tahu apa lagi yang akan datang pada tahun-tahun akan datang. Terdapat banyak dan banyak peranti yang dibiarkan terdedah kepada serangan ini. Empat puluh sembilan peratus rakyat Amerika merasa maklumat peribadi mereka kurang selamat daripada lima tahun yang lalu. Tujuh puluh tiga peratus pengguna di Amerika mahu syarikat menjadi telus mengenai data peribadi mereka. Tujuh puluh lapan peratus orang mendakwa menyedari tentang risiko mengklik pautan dan e-mel yang tidak diketahui, tetapi mereka mengklik pada pautan tersebut - lebih daripada tiga suku penduduk kita, dan mereka masih mengklik pada pautan walaupun mereka tahu ia mungkin satu isu. Lapan puluh enam peratus pengguna internet sedang berusaha untuk meminimumkan, tanpa nama dan menyembunyikan keterlihatan jejak kaki digital mereka. Ayah tiri saya suka keluar dan mencipta nama palsu apabila dia mengisi borang kerana dia fikir ia membuat dia tanpa nama, tetapi sedikit yang dia tahu alamat IPnya juga sedang dikesan. Terdapat banyak kebimbangan individu dan itulah yang membiak banyak peraturan GDPR dan mungkin peraturan tambahan yang akan datang untuk diikuti.
Setakat fakta industri keselamatan data, 90 peratus rekod data pelanggaran pada 2016 datang dari kerajaan, peruncitan dan teknologi. Empat puluh tiga peratus cyberattack menyerang perniagaan kecil. Jika anda berfikir, "Oh, saya bukan seorang lelaki yang besar, mereka tidak akan mengikut saya, " masih ada, hampir separuh daripada mereka yang pergi selepas perniagaan kecil. Tujuh puluh lima peratus daripada industri penjagaan kesihatan dijangkiti dalam malware pada tahun lalu. Tujuh puluh peratus daripada syarikat minyak dan gas Amerika Syarikat telah diretas pada tahun lepas. Ini adalah kesan yang besar ke atas pelbagai industri yang berlainan dan berjalan, dan angka ini hanya akan naik dari sini.
Apabila anda melihatnya dari perspektif eksekutif, 90 peratus CIO mengakui membuang berjuta-juta dolar ke atas keselamatan siber yang tidak mencukupi. Sembilan puluh peratus juga mengatakan bahawa mereka telah diserang atau mereka mengharapkan untuk diserang oleh orang-orang yang menyembunyikan dalam penyulitan mereka. Lapan puluh tujuh peratus percaya kawalan keselamatan mereka gagal untuk melindungi perniagaan mereka. Lapan puluh lima peratus daripada CIO menjangkakan penyalahgunaan jenayah dan sijil mereka menjadi semakin buruk. Ini adalah sejumlah besar syarikat yang melihat isu keselamatan data ini dan realitinya, banyak daripada mereka tidak mempunyai penyelesaian yang sangat baik untuk dapat mengatasi hal itu apabila ia berlaku, walaupun mereka percaya bahawa ia akan berlaku.
Apabila kita melihat kesediaannya, pada tahun 2014, 70 peratus daripada milenial mengakui bahawa mereka membawa aplikasi luar ke dalam perusahaan mereka yang melanggar dasar IT. Tujuh puluh peratus mengakuinya - mungkin ada bilangan yang lebih besar dari itu, yang sebenarnya melakukannya. Lima puluh dua peratus daripada organisasi yang mengalami cyberattacks yang berjaya pada 2016 tidak membuat apa-apa perubahan kepada keselamatan mereka pada tahun 2017. Walaupun mereka pernah diserang sekali, mereka masih tidak pergi dan menaiki dinding - mereka hanya terdedah kerana mereka sebelum serangan. Ini benar-benar menimbulkan persoalan, apa yang perlu dilakukan syarikat-syarikat, untuk mempersiapkan diri untuk perkara-perkara ini? Tiga puluh lapan peratus organisasi global mendakwa bahawa mereka bersedia mengendalikan cyberattack yang canggih. Itulah yang baik - hampir separuh berada di sana, dan saya sangat murah hati dengan itu, kita sebenarnya hanya sepertiga, tapi masih ada sekurang-kurangnya separuh yang berkata, "Saya tidak bersedia. Jika saya diserang, saya tidak bersedia dan penggodam tahu. "Tiga puluh lapan peratus organisasi mempunyai pelan tindak balas insiden siber. Kebanyakan syarikat berada dalam baldi yang sama dengan Equifax, di mana mereka tidak tahu apa yang akan mereka lakukan. Sekiranya mereka mendapat ini, mereka akan bertindak balas dan membuat perkara-perkara ini dengan cepat, dan peraturan-peraturan seperti GDPR berkata, "Anda harus mempunyai perkara ini. Anda perlu menerbitkannya. Anda perlu membuktikannya kepada juruaudit keselamatan. "Semoga dengan kesan seperti itu, dengan peraturan seperti itu, kita akan dapat mendahului kurva ini dan bukannya reaksioner, kita boleh menjadi proaktif dalam usaha kita.
Mari bercakap sedikit tentang GDPR. Sebahagian daripada William ini telah ditutup, tetapi saya akan meneruskannya dan menutupnya sekali lagi, hanya dari pengambilan saya, suara saya, perspektif saya. Banyak syarikat yang saya bicarakan, mereka seperti, "Saya di Amerika Syarikat, mengapa saya perlu mengambil berat tentang peraturan EU ini?" Hakikat bahawa lebih ramai orang tidak berdengung dan lebih ramai orang tidak bercakap tentang mereka fikir ia hanya ahli EU yang terjejas, tetapi saya akan bertanya kepada anda, jika anda melihat senarai ini, adakah anda mengumpulkan data ini dari ahli EU? Jika anda mengumpulkan apa-apa maklumat ini sama sekali, anda tertakluk kepada sempadan GDPR, serta penalti kerana tidak mematuhi. Saya akan memberi anda yang kedua untuk semacam menyerap ini dan faham ini. Seperti yang dinyatakan sebelum ini, ini adalah hukuman dan sekatan seperti yang dirujuk dalam Perkara 83 dari GDPR. Pada mulanya anda boleh mendapat tamparan di tangan, sedikit amaran yang mengatakan, "Hei, ambil tindakan anda bersama-sama. Letakkan ini di tempat. "Tetapi jika anda mempunyai pelanggaran yang sangat besar - dan bergantung pada betapa besar kesepakatan itu - mereka akan kembali kepada anda untuk pengembalian, dan jumlahnya yang besar. Bukan 10 juta, tetapi 20 juta euro atau 4 peratus daripada pendapatan / pendapatan anda dari tahun sebelumnya. Itulah banyak wang. Ini adalah banyak anggaran untuk pergi ke pasukan eksekutif anda dan berkata, "Ini adalah sesuatu yang perlu kita mulakan dengan serius dan kita perlu mengambil tindakan."
Biarkan saya pergi sedikit daripada prinsip GDPR seperti yang digariskan dalam Perkara 5. Salah satu perkara yang mereka katakan adalah bahawa data peribadi harus diproses secara sah, adil dan dengan cara yang telus. Ini bermakna orang ramai ingin tahu apa yang anda lakukan dengan data mereka. Jadilah telus tentangnya dan ia perlu diterbitkan. Kebanyakan orang tidak membaca terma dan syarat, tetapi ini adalah maklumat baru yang anda perlukan untuk berkomunikasi, supaya anda boleh memberitahu mereka, "Data anda sedang ditangani dengan sewajarnya." Data peribadi harus dikumpulkan untuk yang ditentukan, tujuan eksplisit dan sah. Ini bermakna semoga kita dapat menyingkirkan beberapa spam ini, di mana syarikat mengatakan mereka mengumpul maklumat untuk kuiz yang memberitahu anda betapa menariknya anda, dan sebenarnya mereka mengambil data anda dan menjualnya kembali kepada orang lain, untuk dapat digunakan untuk apa tujuan mereka. Syarikat sekarang perlu lebih bertanggungjawab dan mengatakan dengan tepat apa yang mereka gunakan untuk maklumat anda. Mereka juga mengatakan bahawa data peribadi perlu memadai, relevan dan terhad kepada apa yang diperlukan. Banyak syarikat suka mengambil semua maklumat mereka dan memasukkannya ke dalam kolam data besar dan kemudian mereka mengetahui apa yang mereka mahu lakukan dengan maklumat kemudian dan mereka mengumpul lebih jauh daripada yang diperlukan. Ini mengatakan anda tidak boleh mengumpul dan menggunakannya di tempat lain. Anda juga tidak boleh mengumpul segala-galanya dan berharap nanti anda mungkin merasa berguna. Anda harus sangat jelas dalam kenapa anda mengumpul maklumat dan ia mestilah berkaitan dengan data yang anda kumpulkan.
Data peribadi juga perlu tepat dan sentiasa dikemas kini. Anda perlu memberi pengguna cara untuk mengemas kini data mereka, sebaik sahaja anda telah mengumpulnya; mereka perlu dapat kembali dan berkata, "Anda tahu, saya mempunyai pendapat ini mengenai beberapa kaji selidik yang anda bertanya kepada saya mengenai maklumat peribadi dan saya ingin kembali dan saya mahu mengubahnya dan mengemaskinikannya sekarang." Dan anda mempunyai untuk memberi mereka satu cara untuk dapat melakukannya. Data peribadi perlu disimpan dalam bentuk yang membolehkan pengenalan subjek data tidak lagi diperlukan. Kembali ke titik William, bahawa anda tidak boleh mengumpulkan maklumat ini selamanya - anda perlu tentukan dengan apa yang anda fikir sah dan perlu dan selepas itu, anda perlu menghapus data bersih. Ia juga perlu diproses dengan cara yang memastikan keselamatan yang sesuai, termasuk perlindungan terhadap pemprosesan yang tidak dibenarkan atau menyalahi undang-undang, kehilangan sengaja, pemusnahan atau kerosakan.
Seperti yang saya katakan sebelum ini, sudah tiba masanya untuk menjadi sangat serius mengenai hal ini, menghentikan data yang melanggar kerana tidak hanya mungkin anda mengalami kecederaan yang datang ke syarikat anda dalam bentuk pelanggaran data dan kehilangan pendapatan dan kos memajukan proses anda, tetapi anda juga mungkin mempunyai timbunan denda yang ditampar di atas anda dari GDPR. Sudah tiba masanya untuk benar-benar mula menjadi sangat serius mengenai hal itu dan saya fikir bahawa sebagai GDPR berkuatkuasa, syarikat akan menghadapi realiti keras, dan bernasib baik anda yang sedang dalam panggilan hari ini boleh mula memikirkannya dan tahu bagaimana anda akan meletakkan perkara-perkara ini kepada tindakan.
GDPR juga banyak bercakap mengenai hak individu; ia benar-benar mengharapkan pengguna individu. Perkara pertama adalah hak untuk mengakses data peribadi anda. Pengguna perlu tahu maklumat yang anda kumpulkan kepada mereka, sejauh maklumat yang dikenal pasti secara peribadi, dan anda perlu memberi mereka cara untuk dapat mengaksesnya. Terdapat juga hak untuk pembetulan, yang merupakan cara yang paling baik untuk mengatakan, "Saya perlu membetulkan maklumat yang anda ada pada saya." Hak untuk menghapuskan - yang sekali lagi, banyak orang adalah ungkapan sebagai hak untuk dilupakan - jika seseorang berkata, "Anda tahu apa, saya tidak lagi mahu anda tahu bahawa saya peminat buku komik lelaki yang menyeronokkan, anda perlu menyingkirkannya. Saya mempunyai beberapa kawan yang menggodaku mengenainya dan menghapus saya dari senarai anda sepenuhnya, "anda perlu dapat melakukannya. Terdapat juga hak untuk sekatan pemprosesan, dan ini bermakna pengguna boleh mengehadkan cara maklumat mereka diproses. Mereka boleh berkata, "Saya tidak keberatan anda mengambil maklumat saya kerana saya membeli kereta baru, tetapi tidak menggunakan maklumat itu untuk menghantar saya e-mel dan spam saya pada tawaran baru setiap kali kereta baru dikeluarkan." hak untuk keupayaan data, yang bermaksud bahawa pengguna sepatutnya dapat mendapatkan salinan data mereka dan dapat mengambilnya di tempat lain. Banyak organisasi mengumpul maklumat dan maklumat itu mempunyai faktor ketat, dan sekarang individu boleh berkata, "Anda tahu apa, saya mahu anda mengambil semua maklumat saya dan sekarang saya mahu anda memberikannya kepada pesaing anda, jadi saya boleh memindahkannya lebih lagi. "
Terdapat banyak perkara yang harus dipikirkan dari calon organisasi tentang bagaimana anda akan dapat melakukannya dan apa maklumat yang anda mahu dapat mengumpul dan menghantar. Terdapat juga hak untuk membantah, dan pengguna boleh membantah memproses data mereka juga. Hak untuk tidak dikenakan keputusan berdasarkan semata-mata pada pemprosesan automatik atau pemprofilan. Ini mempunyai kesan yang signifikan terhadap pemasaran B2B - jika anda duduk di sana dan mencuba ujian A / B dan cuba untuk mengenali adalah Colorado akan menjadi lebih dipengaruhi oleh mesej daripada California, baik anda baru saja melakukan profil, dengan melihat satu menyatakan berbanding yang lain, dan anda perlu melihat bagaimana seorang individu harus dapat memilih keluar dari itu.
Memandangkan kita mempunyai beberapa perkara menakutkan yang datang sejauh pelanggaran data dan bagaimana orang melihat data mereka dan kami mempunyai peraturan besar ini yang dibuang di atas bahu kami, saya sekarang di sini untuk memberikan anda penyelesaian mengenai bagaimana IDERA boleh membantu. Artikel 15 bercakap mengenai cara mengawal pendedahan kepada data peribadi. Anda perlu tahu siapa yang mengakses data anda. Bagaimana mereka menggunakannya. Berapa banyak data diproses dan Pengurus Pematuhan produk SQL, yang saya pengurus produk, membolehkan anda melihat siapa yang mengakses data anda dan bagaimana. SQL Compliance Manger adalah untuk penyelesaian SQL Server. Jika anda mempunyai pangkalan data SQL Server, anda boleh menyambungkan produk ini untuk dapat mengaudit dan melihat maklumat ini, supaya anda boleh mematuhi GDPR dan anda tahu dengan tepat bagaimana ia digunakan. Anda juga boleh melihat pelanggaran data sebelum mereka berlaku, dan saya akan membincangkannya dalam slaid lain. Terdapat juga artikel yang mengatakan, "Saya memerlukan rekod aktiviti pemprosesan. Saya perlu log dan saya perlu memantau operasi dan saya perlu tahu siapa yang memproses data peribadi dan siapa yang mempunyai akses kepada sistem tersebut. "Pengurus Kepatuhan SQL mengekalkan pengauditan pelayan dan pangkalan data, termasuk keselamatan, DDL, DML serta menentukan data sensitif . Pengurus Pematuhan SQL membolehkan anda mengaudit akses keselamatan dan mencatat percubaan, sehingga anda dapat melihat siapa yang mengakses maklumat, serta siapa yang log masuk, sama ada pengguna istimewa, apakah itu pengguna yang diketahui, atau apakah itu pengguna yang berniat jahat.
Perkara 33 bercakap mengenai pemberitahuan pelanggaran data peribadi kepada pihak berkuasa penyelia. Anda perlu dapat mengesan pelanggaran tersebut; anda perlu mempunyai rekod untuk menilai kesannya; anda perlu tahu berapa cepat anda akan membaikinya. Untuk melakukan itu, Pematuhan Pematuhan SQL membolehkan anda menyiapkan makluman pada pangkalan data anda untuk dilihat oleh siapa yang mempunyai akses kepada data sensitif anda, apabila mereka mengaksesnya, apa yang mereka akses. Ia juga membolehkan anda mengetepikan pengguna istimewa anda dari audit anda. Sekiranya anda mempunyai pentadbir sistem atau pentadbir rangkaian yang anda tahu akan mengaksesnya dan anda tidak mahu menyumbat laporan anda, anda boleh memerintah mereka dan berkata, "Berikan saya semua yang berlaku di luar maklumat itu." Ia membenarkan anda dengan cepat mengenal pasti jika seseorang dengan maliciously mengakses data anda dan anda boleh mempunyai peringatan yang ada, yang memberitahu anda saat ia bermula dan kemudian momen bahawa maklumat itu dapat diakses, dapat memecahkannya, sehingga anda tidak perlu menunggu hari penuh untuk mengetahui apa yang berlaku, seperti yang dilakukan oleh Equifax.
Terdapat juga artikel yang membincangkan mengenai perlindungan data dan penilaian impak. Ini menilai risiko anda dan memahami apa yang mereka ada, serta menunjukkan dan mendokumentasikan pematuhan anda dengan GDPR. Pengurus Pematuhan SQL membolehkan anda melaporkan tentang unsur-unsur yang sedang dipantau. Hanya semata-mata pergi, mengaudit data anda dengan Pengurus Pematuhan SQL, Pengurus Pematuhan SQL membolehkan anda mengesan log masuk gagal - yang merupakan tanda pelanggaran yang berpotensi - memantau aktiviti pentadbiran dan perubahan keselamatan, memaklumkan kepada pengubahsuaian pangkalan data, audit lajur yang anda tentukan sebagai maklumat sensitif, mengenal pasti pengguna istimewa dan menjejaki aktiviti mereka secara berasingan daripada pengguna lain dalam sistem anda, laporkan maklumat tersebut sedang diaudit mengikut beberapa garis panduan peraturan. Bukan sahaja kita merangkumi GDPR, tetapi kami meliputi HIPAA, PCI, FERPA, SOX, semua garis panduan peraturan apabila mereka menyiasat maklumat anda dan memahami apa yang sedang diakses, kami mempunyai garis panduan peraturan yang ada.
Kami mempunyai produk tambahan di IDERA untuk penyediaan GDPR juga. Di luar hanya pengauditan yang dilakukan oleh Pengurus Pematuhan SQL, kami mempunyai Edisi Pasukan ER / Studio Enterprise, yang dapat membantu anda mendokumenkan proses data anda dan menggabungkan piawaian data ke dalam model data anda, anda boleh membuat glosari data yang dikemukakan oleh William dalam slaid sebelumnya . Seperti yang saya nyatakan di sini dengan persembahan ini, Pengurus Pematuhan SQL dapat membantu anda untuk mengaudit maklumat anda untuk memastikan orang yang salah tidak mengakses data anda, dan juga membuktikannya kepada juruaudit. Backup Selamat SQL boleh membantu anda menyulitkan data dan backup anda. Penyulitan adalah bahagian penting dalam GDPR, yang saya tidak terperinci secara terperinci kerana saya ingin memberi tumpuan banyak kepada aset Pengurus Kepatuhan, tetapi SQL Safe Backup melakukan banyak penyulitan untuk anda, supaya data anda dapat tetap selamat. Pengurus Inventori SQL boleh memastikan bahawa pelayan ditampal dan terkini, jadi anda tidak akan berakhir dalam kes seperti Equifax, di mana mereka mempunyai patch terkini yang memberi mereka lubang keselamatan besar yang orang dapat gunakan secara berniat jahat. SQL Secure boleh mengaudit privasi dan penyulitan standard.
Untuk butiran lebih lanjut mengenai laman web komuniti IDERA, di bawah blog kami, saya telah menyiapkan Persediaan untuk GDPR serta Mencari Ke 2018 dan Memahami Apa Kesan GDPR Akan Pergi dan juga, anda pasti boleh memuat turun salinan percubaan Pengurus Kepatuhan SQL di IDERA serta apa-apa produk lain yang saya sebutkan tadi dalam slaid.
Pada ketika ini, saya akan pergi ke depan dan menyerahkan semula persembahan itu kepada Eric supaya kita boleh bertanya beberapa soalan.
Eric Kavanagh: Baik, baiklah. Anda menyentuh beberapa perkara yang benar-benar menarik di sana, Kim, salah satu daripadanya - saya fikir ini agak mudah tetapi ia cukup pintar - anda bercakap tentang mengesan fail yang gagal. Ia seolah-olah saya adalah satu tanda yang baik bahawa seseorang tidak mempunyai hak yang baik?
Kim Brushaber: Sudah tentu. Sekiranya anda melihat seseorang yang telah cuba mengakses dan memecahkan kata laluan anda, itu cara yang sangat cepat untuk dapat mengatakan seseorang tidak melakukan apa yang sepatutnya. Mungkin beberapa kali anda mungkin mengetik kata laluan anda dengan betul, tetapi jika anda melihat 30 orang yang datang, itu adalah tanda yang tidak baik.
Eric Kavanagh: Ya. Kunci mereka di sini adalah untuk menetapkan amaran anda dengan konteks yang betul. Apa lagi yang boleh anda beritahu kami tentang bagaimana untuk menguruskan proses menyediakan amaran dan menyahaktifkan yang tidak melakukan apa yang perlu dilakukan dan berapa banyak barangan itu boleh diautomatikasikan?
Kim Brushaber: Pengurus Pematuhan mempunyai banyak amaran yang boleh dikonfigurasikan, serta laporan yang boleh anda semak. Kami pergi melalui jejak SQL anda dan kami mempunyai yang menjejak secara automatik dan kami mempunyai banyak itu yang sudah pra-siap dan dipratentukan, tetapi sudah pasti sejumlah besar penyesuaian yang anda boleh lakukan juga.
Eric Kavanagh: William, saya akan membawa anda ke dalam ini - ia seolah-olah saya adalah salah satu bidang di mana kita akan melihat pembelajaran mesin untuk bermain dalam masa dua hingga sepuluh tahun yang akan datang, melihat semua kemungkinan berlainan. Melihat semua cara yang berbeza supaya sistem dapat mengoptimumkan kecekapannya, keberkesanannya adalah seperti isu-isu seperti pelanggaran dan sebagainya. Adakah anda ambil juga?
William McKnight: Ya, betul. Saya fikir kita sedang membina sistem sekarang yang membaiki diri mereka. 24 oleh 7 pemantauan mula melarikan diri dan menjadi sesuatu yang lalu, walaupun kita masih memerlukan waktu semacam itu. Saya fikir sistem itu sebahagian besarnya mendapat yang dibina dan memikirkan apa yang salah. Adakah kita perlu memperuntukkan lebih banyak ruang di sini atau apa yang ada? Ya, saya fikir itu pasti menjadi sebahagian daripada masa depan kita. Apa-apa perkara di luar sana yang boleh dipetakan ke beberapa langkah tindakan, untuk mengambil tindak balas terhadap sesuatu, pasti terdedah kepada kepintaran buatan.
Eric Kavanagh: Itu satu perkara yang baik. Saya akan membuang satu lagi soalan kepada anda, William, kerana saya tahu anda melakukan banyak penyelidikan ke dalam ruang ini. Salah satu perkara yang saya tunggu sekarang untuk sementara waktu dan saya tidak fikir kita berada di sana lagi - saya fikir kita semakin rapat, hanya dari apa yang saya baca dan memikirkannya - adalah hari apabila teknologi akan menyerap isu-isu pengawalseliaan, kata-kata sebenar dari perkara-perkara ini, dan memetakannya kepada fungsi dan perisian. Seperti yang saya katakan, kita masih satu cara dari itu - Saya tidak boleh bayangkan tidak ada orang yang mengerjakannya. Pernahkah anda melihat apa-apa seperti itu, atau adakah kita masih pada tahap di mana manusia perlu melihat peraturan, benar-benar mencuba dan memahaminya, kodkannya dalam kod mesin, pada dasarnya, dan kemudian tork ke atas pelbagai aplikasi mereka?
William McKnight: Nah, saya pasti mendapat konsep yang anda perkatakan di sini. Saya tidak biasa dengan apa-apa yang berlaku ke arah peluasan dalam persekitaran yang berkaitan dengan itu. Saya akan mengatakan secara umum walaupun, jelasnya kita mula memberitahu mesin bukan apa yang perlu dilakukan tetapi matlamatnya adalah apa yang kita mahu lakukan dan mesin semakin banyak lebih bijak mengenai perincian. Saya fikir sebaik sahaja kita mendapat lebih banyak kecerdasan buatan di dalam organisasi kita, adalah mustahil bahawa peraturan-peraturan baru boleh dibangunkan bersamaan dengan AI yang ditugaskan di dalam organisasi supaya mereka boleh melancarkan dengan cara yang anda nyatakan pada masa akan datang. Buat masa ini, kami tidak bertindak dengannya.
Eric Kavanagh: Inilah soalan yang akan saya sampaikan kepada anda, Kim, kerana ini juga menarik. Anda bercakap mengenai latensi purata atau masa seseorang yang log masuk ke dalam sistem anda menyembunyikan dan hanya menunggu - bilangan hari penyerang tinggal tidak aktif dalam rangkaian - pengesanan adalah 200. Saya ingin tahu, apa pemikiran anda tentang bagaimana untuk memperbaiki itu, pertama sekali? Tetapi, adakah cara untuk menggunakan kaedah ini untuk meneroka sistem anda sendiri? Untuk meneroka data anda sendiri, untuk melakukan pekerjaan yang lebih baik untuk mengekalkan jenis orang ini?
Kim Brushaber: Ya, saya rasa pengesanan awal jelas adalah penting. Anda perlu mengetahui bahawa laman web jahat ini mengakses maklumat anda dan dapat menguncinya. Saya fikir dalam slaid lain di mana kita menunjukkan bahawa kebanyakan organisasi tidak mempunyai dasar-dasar yang ada. Itulah sebabnya mereka duduk di sana. Saya fikir jika anda benar-benar mempunyai dasar yang ada untuk mengesan dan mengunci akses anda dan memastikan bahawa orang yang betul mempunyai akses. Pastikan anda berputar kekunci anda secara tetap dan mengemas kininya. Pastikan kata laluan anda dikemas kini dengan kerap dan melakukan perkara-perkara seperti yang cukup asas. Sekarang, sebahagian besar organisasi tidak melakukannya, dan untuk mula meletakkan kepingan itu akan membantu anda untuk melampaui hal ini.
Ini bermakna sudah tentu para penggodam akan lebih cerewet mengenainya, tetapi pada masa ini ia mudah, ia seperti, "Saya akan melihat rumah-rumah di jalan yang saya rasa ingin saya masuk, adakah mereka mempunyai penggera sistem? Adakah mereka mempunyai tanda penggera yang kecil dan yang mempunyai anjing? Saya akan pergi ke salah satu yang tidak mempunyai tanda penggera, tidak mempunyai anjing dan itulah rumah saya akan memecah masuk. "Nah, mereka akan mencari syarikat yang tidak ' t mempunyai patch ini di tempat dan mereka tidak mempunyai keselamatan di tempat dan mereka tidak mengemas kini kata laluan mereka dan mereka akan pergi dan menggantung di sana dan menggunakan kad kredit anda di stesen minyak beberapa kali untuk memastikan anda tidak menutupnya dan kemudian apabila mereka boleh mempengaruhi perubahan besar, biasanya semacam pernyataan politik atau sebaliknya adalah apabila anda melihat mereka muncul kepala mereka. Mendapatkan dasar-dasar yang ada, saya fikir bahawa pada ketika ini, anda boleh mengambil beberapa langkah yang agak minimum untuk dapat mendahului permainan ini.
Eric Kavanagh: Itu mungkin nasihat terbaik dan saya selalu mendengar ini apabila kita bercakap dengan orang-orang yang berada di ruang keselamatan atau ruang kawal selia, asas-asas yang akan meliputi 80 peratus masalah anda, dan itu banyak alasan untuk menutup - itu jawapan yang bagus. Salah seorang peserta bertanya tentang jika seseorang boleh mengembangkan peluang perniagaan yang boleh ditambang daripada usaha pematuhan GDPR, saya diingatkan kepada Sarbanes-Oxley, dan saya rasa, William, saya akan membuangnya kepada anda. Sebagai perunding, anda sentiasa mencari cara untuk membantu klien anda di luar skop projek tertentu - sekurang-kurangnya jika anda seorang perunding yang baik yang anda lakukan. Apabila anda bercakap dengan orang ramai mengenai GDPR, apakah manfaat sampingan yang anda boleh tout bahawa mereka akan mendapat jika mereka terlibat dalam beberapa projek yang difokuskan pada itu?
William McKnight: Pertama sekali, adalah penting untuk ambil perhatian bahawa idea di sebalik GDPR bukanlah hak penuh kepada warganegara sama sekali. Terdapat sisi lain dari GDPR iaitu, ini akan meningkatkan kepercayaan yang dimiliki warga dalam syarikat kami dan ia akan mendorong mereka untuk melakukan lebih banyak perniagaan di syarikat-syarikat yang mematuhi. Terdapat manfaat sampingan yang benar-benar mencapai GDPR anda, sekarang secara dalaman, program-program tadbir urus data yang kami laksanakan berfungsi untuk memudahkan segala macam inisiatif, benar-benar, yang dimulakan dalam organisasi dan hari ini, paling jauh, inisiatif yang ditendang di dalam organisasi. Baru-baru ini saya telah melakukan beberapa perancangan untuk 2018 dengan banyak daripada mereka, mereka mempunyai kaitan dengan data, banyak, mereka seperti 65 peratus hingga 90 peratus semua tentang data - apabila anda bercakap mengenai telematik atau pelanggan 360 program atau papan pemuka untuk memantau jurujual, ia sebahagian besarnya mengenai data. Apa-apa yang menguruskan data yang lebih baik, yang meletakkannya dalam seni bina yang lebih baik yang menamakan orang-orang yang pergi ke orang yang boleh menjawab apa-apa dan semua soalan tentang data itu, yang benar-benar peduli seperti program tadbir urus data. Apa-apa sahaja yang memberikan kita glosari data - seperti Kim bercakap tentang alat-alatnya - apa sahaja yang berbuat demikian, sangat membantu untuk menjadikan inisiatif ini lebih cekap, risiko mereka, mengecilkan masa, mengecilkan belanjawan untuk mereka dan mendapatkan kita untuk masa yang tangkas untuk memasarkan lebih banyak perkara yang lebih cepat dan baik untuk sebuah syarikat melakukan inisiatif, yang mana semua syarikat.
Eric Kavanagh: Saya suka konsep kepercayaan itu. Saya fikir kepercayaan adalah realiti yang sangat rendah hati di dunia kita dan terus-menerus kebanyakan perniagaan berjalan pada kepercayaan - ia benar-benar berlaku apabila anda pergi ke sana. Saya akan membuangnya kepada anda hanya untuk beberapa komen penutup, Kim. Saya fikir salah satu daripada nilai utama yang ditambah di sini adalah meningkatkan kepercayaan dan memupuk budaya kepercayaan kerana itu bukan sahaja memberi impak positif kepada syarikat itu sendiri, kepada orang-orang di dalam syarikat itu, tetapi juga mengenai apa yang dilihat oleh orang awam kerana jenis perkara yang tumpah, nampaknya kepada saya, tapi apa pendapat anda?
Kim Brushaber: Ya, saya fikir apabila saya bercakap dengan rakan-rakan yang bekerja di Google atau bekerja di Facebook atau beberapa organisasi yang lebih besar, benar-benar berprofil tinggi, mereka tidak melaksanakan hampir semua ciri-ciri baru kerana mereka melaksanakan protokol keselamatan dan prestasi dan masalah skalabilitas kerana mereka mahu pengalaman pengguna mereka menjadi salah satu tempat mereka percaya mereka boleh mempercayai maklumat itu. Saya fikir syarikat-syarikat mempunyai tanggungjawab seperti kita terus maju untuk memberikan kepercayaan semacam itu. Saya masih ingat apabila orang pertama mula membuat kad kredit secara dalam talian dan orang seperti, "Oh tuhan saya, saya tidak akan memberikan maklumat itu di sana kerana tidak selamat."
Dan sekarang, kad kredit anda pergi ke mana saja kerana anda, secara teori, fikir anda boleh mempercayai syarikat itu kerana ia mempunyai sijil HTTPS. Kemudian anda mendengar tentang pelanggaran Data sasaran di mana kad kredit, di mana mereka seperti, "Oh, anda lebih baik memperdagangkan kad kredit anda kerana kami melepaskan maklumat itu." Saya rasa ia adalah sentimen dua hala. Saya fikir bahawa individu, walaupun mereka mahu menjadi lebih percaya kerana lebih mudah, dapat percaya dan memiliki kepercayaan dalam hal ini pada organisasi besar, organisasi besar harus melangkah dan meletakkan benda-benda ini di tempat supaya mereka tidak ' t mencederakan individu atau anda kehilangan bahagian pasaran. Orang berkata, "Nah, anda tahu apa, saya tidak akan berbelanja di Sasaran lagi, sekarang saya akan membeli di Amazon." Saya fikir kepercayaan adalah isu besar, walaupun, seperti yang kita katakan, 78 peratus orang adalah masih akan mengklik pada pautan itu dalam e-mel, walaupun mereka tahu mereka mungkin tidak. Terdapat sejumlah perlindungan orang, walaupun mereka mempercayai anda.
Eric Kavanagh: Itu satu perkara yang baik. Anda tahu apa, saya akan membuang satu soalan terakhir kepada anda, William, atau sekurang-kurangnya satu lagi - kami mendapat beberapa yang baik yang datang sekarang. Peserta menulis, "GDPR mengalihkan pengurusan identiti semula kepada pelanggan, di mana ia tergolong. Equifax secara kekal merosakkan 149 juta pengguna, "sangat benar, " mencemari ekonomi digital. Apa perubahan yang anda lihat berlaku di Amerika Syarikat mengenai pemilikan pelanggan berkenaan dengan pengurusan identiti? "
William McKnight: Baiklah, kami sentiasa berada di belakang di Amerika Syarikat ketika datang ke perkara seperti ini, bukan? Seratus empat puluh sembilan juta, itu bukan penurunan dalam baldi di sana. Ia hampir seperti keganasan, bukan? Kami sangat biasa, ia hanya berlaku sepanjang masa. Saya fikir sesuatu perlu dilakukan. Saya fikir GDPR, saya suka hak yang diberikan kepada rakyat, tetapi ia nampaknya tidak menjadi keutamaan - ada banyak keutamaan lain dan saya tidak tahu di mana ia akan pergi. Saya fikir, seperti yang saya sebutkan dalam ramalan yang saya ada, bahawa ini menandakan pergeseran ke arah lebih banyak hak oleh pengguna atas data mereka. Apabila itu berlaku di Amerika Syarikat? Saya tidak tahu, ia boleh menjadi sehingga lima tahun, untuk melihat sesuatu sepadan dengan GDPR yang berlaku di sini di AS Hanya spekulasi pada ketika ini.
Eric Kavanagh: Ini satu perkara yang sangat baik dan saya fikir kita akan melihat lebih banyak usaha ini kerana, mari kita hadapi, kita bergerak ke arah ekonomi digital seperti ini. Dan sebagai komen penutup di sini, mendapat modal falsafah, berorientasikan dasar, ini adalah yang paling menyangkut saya mengenai perpindahan kepada masyarakat tanpa tunai, kerana apabila wang tunai hilang, jika itu berlaku, maka segala-galanya adalah digital dan setiap sistem dia boleh digodam dan identiti setiap orang boleh dicuri. Nampaknya saya itu gajah yang cukup besar di dalam bilik di sini, ketika kita melihat ke arah masa depan pengurusan identiti.
Ini semua barangan yang hebat. Terima kasih kepada William McKnight untuk masa dan perhatiannya hari ini. Terima kasih kepada Kim Brushaber dari IDERA. Kami mengarkibkan semua webcast ini untuk tontonan kemudian, jadi jangan ragu untuk kembali, biasanya dalam masa beberapa jam sahaja dan arkib akan siap. Dengan itu, kami akan membida anda perpisahan, orang-orang. Terima kasih lagi untuk masa dan perhatian anda. Selamat tinggal.
