Από το προσωπικό της Techopedia, 6 Δεκεμβρίου 2017
Takeaway: Ο οικοδεσπότης Eric Kavanagh συζητά τον επικείμενο κανονισμό για την προστασία των γενικών δεδομένων της ΕΕ και τις επιπτώσεις που θα έχει στον κλάδο. Συμμετέχων του είναι ο William McKnight του McKnight Consulting Group και ο Kim Brushaber της IDERA.
Δεν έχετε εισέλθει αυτήν τη στιγμή. Συνδεθείτε ή εγγραφείτε για να δείτε το βίντεο.
Eric Kavanagh: Εντάξει, κυρίες και κύριοι, γεια σου και καλωσορίζω και πάλι. Είναι η Τετάρτη στις 4 η ώρα της Ανατολικής Ώρας, πράγμα που σημαίνει ότι είναι καιρός και πάλι - μια από τις τελευταίες στιγμές του έτους 2017 - για τις Hot Technologies. Ναι, πράγματι, το όνομά μου είναι ο Eric Kavanagh - Θα είμαι ο συντονιστής σας για το σημερινό γεγονός. Μιλάμε για ένα θέμα που είναι πολύ εκτεταμένο, για να πούμε το λιγότερο. Αυτή τη στιγμή, δεν φαίνεται έτσι - η έννοια του GDPR, του Παγκόσμιου Κανονισμού Προστασίας Δεδομένων. Ας πάμε μπροστά και να βουτήξουμε δεξιά σε αυτό, δεν είναι για σας πραγματικά, αρκετά για μένα. Αυτό το έτος είναι ζεστό, είναι πολύ ζεστό με πολλούς διαφορετικούς τρόπους, αλλά οι επικείμενοι κανονισμοί από το GDPR και από άλλες οργανώσεις μας αναγκάζουν να επανεξετάσουμε τι συμβαίνει στον κόσμο των επιχειρήσεων, ειδικά όπως προκύπτει, ή καθώς σχετίζεται με δεδομένα. Θα ακούσουμε από την Kim Brushaber της IDERA και επίσης από τον William McKnight από την McKnight Consulting Group.
Μόνο μερικές γρήγορες λέξεις για το θέμα στο χέρι, λαοί. Το GDPR λέει βασικά ότι οι οργανώσεις πρέπει να έχουν μια πολιτική προστασίας της ιδιωτικής ζωής και μια πρώτη ασφάλεια όσον αφορά τα δεδομένα και πραγματικά, πρόκειται για κάποια από τα πράγματα που ίσως έχετε ακούσει - όλο το δικαίωμα να ξεχαστεί, για παράδειγμα, είναι μέρος και μερικό όλη αυτή τη στιγμή, και είναι πολύ ενδιαφέροντα πράγματα. Είναι ασφαλώς έγκυρη από την άποψη των αρχών και της ηθικής της. Από την άποψη της πραγματικής εφαρμογής, όμως, είναι μια πολύ σοβαρή πρόκληση. Το δικαίωμα να ξεχαστεί λέει ότι αν θέλετε μερικές οργανώσεις να μην έχουν τα δεδομένα σας, τα προσωπικά σας ευαίσθητα δεδομένα, πρέπει να τα ξεφορτωθούν. Λοιπόν, μπορείτε να φανταστείτε μόνο όταν κάποια από αυτά τα πραγματικά ετερογενή περιβάλλοντα δεδομένων, πόσο δύσκολο θα είναι αυτό. Για να μπορέσετε να φτάσετε σε κάθε σημείο όπου τα δεδομένα σας είναι επίμονα και να τα βγάλετε έξω, δεν πρόκειται απλώς να συμβεί, είναι η κατώτατη γραμμή. Ωστόσο, οι οργανώσεις πρέπει να έχουν πολιτικές για να μπορέσουν να αντιμετωπίσουν αυτές τις ανησυχίες και αυτό είναι που οι ρυθμιστές, είμαι πολύ σίγουροι, πρόκειται να αναζητήσουν.
Είναι μεγάλη υπόθεση. Όχι μόνο ο οργανισμός πρέπει να αφαιρέσει τα δεδομένα σας, αν το πείτε, αλλά αν έχουν εκπαιδευτεί αλγόριθμοι σε αυτά τα δεδομένα, τεχνικά θα έπρεπε να επανεκπαιδευτούν και οι αλγόριθμοι. Αυτή είναι μια ψηλή τάξη, πρέπει να σας πω, αλλά έρχεται, έρχεται κάτω από το ράπισμα, θα γίνει πραγματικότητα τον Μάιο του επόμενου έτους και υπάρχουν και άλλοι κανονισμοί. Ο Καναδάς έχει νόμο για τον spam που έχει περάσει, αυτό έχει αντίκτυπο στον τρόπο με τον οποίο χειριζόμαστε τις προσωπικές πληροφορίες. Η ουδετερότητα του δικτύου έρχεται κάτω από τον κώλο τώρα, φυσικά έχει ξεριζωθεί, ουσιαστικά, και αυτό θα αλλάξει μερικά πράγματα. Υπάρχουν πολλοί αυτοί οι πολύ σοβαροί κανονισμοί που επηρεάζουν τις επιχειρήσεις σε ολόκληρο τον κόσμο και σε όλο τον κόσμο, ότι οι μεγάλες οργανώσεις πρέπει πραγματικά να αρχίσουν να σκέφτονται και να προετοιμαστούν.
Για αυτό, έχουμε τον William McKnight σε απευθείας σύνδεση των McKnight Consulting Groups για να μας ενημερώσετε για το τι σκέφτεται και γιατί ο GDPR είναι, στην πραγματικότητα, μόνο η κορυφή του παγόβουνου. Με αυτό, William, θα το παραδώσω σε εσένα. Πάρε το μακριά.
William McKnight: Ευχαριστώ, Eric, και όπως λέτε, όπως λέει η διαφάνεια, αυτή η GDPR είναι ίσως η κορυφή του παγόβουνου - αυτό σίγουρα πιστεύουμε. Είναι σημαντικό να εμβαθύνουμε βαθιά στο GDPR, διότι νομίζω ότι αντιπροσωπεύει ένα κύμα ρύθμισης που έρχεται κάτω από τον αγωγό που πρέπει να αντιμετωπίσουμε. Ευτυχώς, Eric, υπάρχουν κάποιες λογικές προδιαγραφές γύρω από αυτό το δικαίωμα να ξεχαστεί, το οποίο θα φτάσω. Αλλά παρόλα αυτά, στη βόλτα μου φέτος, μιλώντας για το GDPR, νομίζω ότι υπάρχουν πολλές επιχειρήσεις, ιδιαίτερα οι αμερικανικές επιχειρήσεις, που δεν είναι ακόμα προετοιμασμένες γι 'αυτό. Είναι σίγουρα ζεστό και κάτι που σίγουρα δεν σκεφτόμασταν πριν από ένα χρόνο, όταν ήταν απλώς δοκιμαστικός μερικά πράγματα, αλλά τώρα είναι ένας κανονισμός και πρέπει να ασχοληθούμε με αυτό, όπως είπατε, ο Eric, May coming right μέχρι εδώ - έτσι δεν είναι τόσο μακριά σε όλα.
Λίγο για μένα, θα έρθω σε αυτό από την άποψη των δεδομένων. Για να σας ενημερώσω, είμαι δια βίου πρόσωπο και διαβουλεύω τώρα για 19 χρόνια στο χώρο των δεδομένων, και το GDPR είναι πολλά για τα δεδομένα. Πρόκειται να θέσω ένα σώμα λύσης εδώ, καθώς μπαίνω στην παρουσίασή μου γύρω από τη διακυβέρνηση δεδομένων. Προφανώς, έκανα πολλά προγράμματα διακυβέρνησης δεδομένων και νομίζω ότι αν είστε ευθυγραμμισμένοι με αυτήν την έννοια, κάνετε κάποια διακυβέρνηση δεδομένων, πολλές εταιρείες εκεί έξω θα πάνε αρκετά κάτω από το μονοπάτι στην πραγματικότητα, στη συμμόρφωση με το GDPR, αλλά θα υπάρξουν πολλά, και ειλικρινά, που είναι πίσω από τη διακυβέρνηση και επομένως αρκετά πίσω από τις προετοιμασίες GDPR. Ας το επίπεδο που καθορίζεται εδώ και να καταλάβουμε τι GDPR είναι όλο και καθώς παίρνουμε βαθύτερα στη συζήτηση, θα πάρουμε σε περισσότερες από τις συνέπειες της GDPR στην επιχειρηματική ζωή καθώς θα προχωρήσουμε στο νέο έτος και πέρα.
Το GDPR είναι για το ιδιωτικό απόρρητο των δεδομένων των πολιτών της Ευρωπαϊκής Ένωσης. Είναι ένας κανονισμός - σημαίνει ότι έχει δόντια, σημαίνει ότι είναι εκτελεστή. Δεν είναι κάτι που τίθεται ως πρόταση - αυτό έχει ήδη συμβεί και τώρα έχει διαμορφωθεί σε κανονισμό με ποινές. Μου αρέσει να ξεκινώ με τις ποινές γιατί αυτό παίρνει πραγματικά την προσοχή των ανθρώπων. Αυτές είναι αυστηρές κυρώσεις. Υπάρχουν δύο κυρώσεις, υπάρχουν 2% των ετήσιων εσόδων παγκοσμίως ή 10 εκατ. Ευρώ εάν μια επιχείρηση δεν συμμορφώνεται με τις υποχρεώσεις ασφαλείας, αλλά όλα τα άλλα, παραβιάζοντας άλλες διατάξεις - και θα τα πάρω - είναι 4%. Το ακούτε περίπου 4%. Και παρεμπιπτόντως, είναι 4 τοις εκατό ή 10 εκατομμύρια ευρώ, όποια είναι μεγαλύτερη. Αυτό είναι πολύ σκληρό. Οι άνθρωποι είναι πολύ σοβαροί γι 'αυτό. Εκτελέστε την αρχή στις 25 Μαΐου 2018 - αυτή είναι μια καθοριστική ημερομηνία, δηλαδή όταν μπορούν να ξεκινήσουν οι έλεγχοι, τότε μπορείτε να πάρετε το πρόστιμό σας. Σίγουρα θέλετε να είστε έτοιμοι για αυτό. Κάθε εταιρεία με την οποία ασχολούμαι, ασχολούμαι με πολλές εταιρείες του Global 2000, είναι κάπου στην προετοιμασία GDPR, κάποιες περισσότερο από άλλες και μερικές πρέπει να είναι περισσότερο από άλλες σε αυτό το σημείο. Βεβαίως, θα είναι δύσκολο να συναντήσουμε αυτή την ημερομηνία για μερικούς, και θα δούμε.
Πρόκειται για το πιο λεπτομερές καθεστώς συμμόρφωσης με τα δεδομένα που έχουμε δει μέχρι σήμερα. Όταν θα δούμε κάτι πιο σκληρό ή κάτι που επηρεάζει ίσως τον αμερικανικό πληθυσμό πιο άμεσα, ποιος ξέρει, αλλά είναι εκεί έξω και σίγουρα πρέπει να τηρηθεί. Απαιτεί από τους οργανισμούς να κατανοήσουν τι είναι ο πολίτης της ΕΕ PII - γνωρίζουμε καλά την PII - προσωπικά αναγνωρίσιμες πληροφορίες, κοινωνική ασφάλιση, αριθμό τηλεφώνου, διεύθυνση, τα πράγματα που μπορούν να αναγνωρίσουν με μοναδικό τρόπο ένα άτομο ή να αναγνωρίσουν με μοναδικό τρόπο ένα άτομο. Τι έχουν και πώς το χρησιμοποιούν. Αυτό σημαίνει απογραφή. Αυτό σημαίνει ρύθμιση στις δικές σας εταιρείες σχετικά με αυτό το είδος δεδομένων. Παρεμπιπτόντως, οι ΗΠΑ δεν έχουν κανέναν πανευρωπαϊκό νόμο περί προστασίας δεδομένων. Οι ΗΠΑ ήταν πάντα - θα το πω πίσω, για να το θέσω σε προοπτική - πίσω από την Ευρώπη όσον αφορά αυτού του είδους τις ρυθμίσεις, και αυτό συνεχίζεται. Αυτό συνεχίζεται με το GDPR, αυτό είναι πολύ προφανές. Κάποιοι από εσάς ίσως γνωρίζουν την ασπίδα προστασίας της ιδιωτικής ζωής, μπορεί να αναρωτιέστε για αυτό. Υπάρχουν περίπου τρεις ή τέσσερις προβλέψεις στο GDPR που έχουν κάποια επικάλυψη με την ασπίδα προστασίας της ιδιωτικής ζωής, αλλά υπάρχουν εκατοντάδες διατάξεις στο GDPR, γι 'αυτό είναι πολύ περισσότερο από αυτό και βεβαίως αυτό εξακολουθεί να ισχύει και αυτό έχει να κάνει με την ανταλλαγή δεδομένων των ΗΠΑ και της ΕΕ μόνο, αν και αυτό είναι σημαντικό.
Και πάλι, μου αρέσει να ξεκινώ με αριθμούς. Ακούσατε για τα πρόστιμα, τι γίνεται με το πώς προετοιμαστείτε για αυτό. Προϋπολογίζοντας το GDPR και κάνοντας κάποιες από αυτές, αυτό εξαρτάται από διάφορους παράγοντες. Το ποσό των δεδομένων PII που συλλέγετε στους πολίτες της ΕΕ. Αν δεν συλλέξετε κανέναν, εντάξει, πιθανόν να συμμορφώνεστε και δεν χρειάζεται να ασχοληθείτε με αυτό, αλλά ίσως είστε σε αυτή την κλήση επειδή συγκεντρώνετε κάπου κάπου. Το μέγεθος της εταιρείας σας και η ωριμότητα της διαχείρισής σας δεδομένων, η οποία όπως είπα πριν, μπορεί να προσεγγίζει αυτό που πρέπει να κάνετε για να απαντήσετε στο GDPR. Μπορείτε να περιμένετε έως και αρκετά εκατομμύρια δολάρια ή ευρώ, ανάλογα με την περίπτωση, για συμμόρφωση. Ωστόσο, θέλουμε, δεν θέλουμε να συμμορφωνόμαστε μόνο με το GDPR, για να ελέγξουμε αυτό το κουτί, φυσικά πρέπει να το κάνουμε αυτό. Ας ελπίσουμε ότι δεν βρίσκεστε σε αυτή τη σκληρή κατάσταση όπου είστε απλώς απελπισμένοι για να ελέγξετε αυτό το κουτί. Ψάξτε για επιχειρηματικά οφέλη, διότι πολλά από τα πράγματα που κάνετε για να υποστηρίξετε το GDPR είναι καλά για την επιχείρησή σας. Η διαχείριση δεδομένων είναι καλό για την επιχείρησή σας. Όταν πρόκειται για το ποσό των δεδομένων PII, ορισμένα είναι πιο σημαντικά από άλλα, ορισμένα πρόκειται να εξεταστούν περισσότερο από άλλα, όπως η υγεία που σχετίζεται με τα δεδομένα, πρόκειται να ρυθμιστούν πολύ αυστηρά στο GDPR από άλλα είδη δεδομένων και θα απαιτήσουν συμμόρφωση με πρόσθετες υποχρεώσεις όπως η πραγματοποίηση αξιολογήσεων επιπτώσεων για την προστασία των δεδομένων, οι οποίες προφανώς προστίθενται στον προϋπολογισμό σας.
Λίγο λίγο για τον προϋπολογισμό. Σε περίπτωση που βρίσκεστε στο Ηνωμένο Βασίλειο ή στις ΗΠΑ και αναρωτιέστε πώς αυτό σας επηρεάζει - το GDPR επηρεάζει το Ηνωμένο Βασίλειο, ο οποίος εξακολουθεί να είναι στην ΕΕ, παρεμπιπτόντως μέχρι τις 29 Μαρτίου 2019 και η κυβέρνηση του οποίου έχει δηλώσει ότι κάτι σαν το GDPR θα συνεχιστεί μετά την ημερομηνία αυτή, επειδή "Είναι μια καλή ιδέα". Οι εταιρείες του Ηνωμένου Βασιλείου πρέπει να συμμορφωθούν με αυτήν. Τα δεδομένα του πολίτη του Ηνωμένου Βασιλείου σίγουρα βρίσκονται στο τραπέζι για αυτό. Σε περίπτωση που δεν είναι σαφές, υπάρχουν επιχειρήσεις με έδρα τις ΗΠΑ, εάν ασχολείσαι στην ΕΕ, με δεδομένα των πολιτών της ΕΕ, αυτό ασφαλώς ισχύει και για εσάς. Αυτό έχει συνέπειες στην αρχιτεκτονική δεδομένων σας, επειδή μπορεί να καταλήξετε να χάνετε τα δεδομένα της ΕΕ από οτιδήποτε άλλο και να τα αντιμετωπίζετε διαφορετικά. Επηρεάζει τα αναλυτικά, όπως λέει ο Eric, στον τρόπο με τον οποίο καταρτίζετε αυτά τα αναλυτικά στοιχεία και ούτω καθεξής. Μπορεί να είναι πιο δύσκολο τώρα να πάρετε οποιοδήποτε είδος εννοιολογικής κλίμακας, σε παγκόσμια κλίμακα αναλύσεις πηγαίνουν. Μπορεί να γίνουν πιο τοπικά ως αποτέλεσμα του GDPR.
Τι ισχύει για τις διατάξεις; Υπάρχουν πρότυπα προστασίας δεδομένων. Όλα αυτά αλλά υπαγορεύουν την κρυπτογράφηση δεδομένων σε κατάσταση ηρεμίας και σε κίνηση. Θα μιλήσω για κρυπτογράφηση έπειτα. Υπάρχουν πρότυπα κοινοποίησης παραβίασης δεδομένων. Δεν περιμένετε πλέον για μήνες, περιμένοντας τα τεταρτημόρια να γνωρίζουν όλοι. Νομίζω ότι υπήρξε μεγάλη εκείνη την άλλη μέρα και ανακαλύψαμε: "Ω, συνέβη πριν από ένα χρόνο." Καμία από αυτές με το GDPR - έχετε 72 ώρες. Είναι μια πολιτική επωνυμίας και ντροπής. Ας ελπίσουμε ότι κανείς δεν θα φτάσει σε αυτό, σαφώς μερικοί άνθρωποι θα. Οι παραβιάσεις θα συνεχιστούν, ακόμα και μετά την GDPR, φυσικά. Υπάρχουν διαδικασίες για την παρακολούθηση της θέσης και της ποιότητας των δεδομένων. Ακούγεται οικείο? Αυτή είναι η καρδιά της διακυβέρνησης των δεδομένων. Ας ελπίσουμε ότι έχετε μερικούς από αυτούς που πηγαίνουν.
Οι πολίτες της ΕΕ έχουν το δικαίωμα να ξεχαστούν, όπως ανέφερε ο Eric. Υπάρχουν κάποια πρότυπα ευελιξίας σε αυτό, Eric. Δεν χρειάζεται να καταργήσετε οτιδήποτε αναγκαστικά, αν μπορεί να χρειαστεί να επικοινωνήσετε ξανά με αυτόν τον πελάτη, αυτόν τον υπάλληλο, σας επιτρέπεται να διατηρείτε ορισμένες πτυχές των προσωπικών σας δεδομένων. Όμως, αυτοί οι πολίτες έχουν το δικαίωμα να ξεχαστούν, αλλά δεν μπορεί να υπάρξει δυσανάλογη προσπάθεια - αυτή είναι η γλώσσα - σε εσάς ή βλάβη στην εταιρεία, που είναι σε εσάς να απαλλαγείτε από αυτά τα δεδομένα. Δεν θέλω να το υποβαθμίσω, αλλά πρέπει επίσης να απελευθερώσετε αντίγραφα των προσωπικών δεδομένων που κρατήσατε και μόνο αυτά τα δεδομένα μπορείτε να τα λάβετε κατόπιν συναίνεσης. Αυτή η συγκατάθεση πρέπει να παρέχεται από άτομα που έχουν ελάχιστη ηλικία για να χορηγήσουν τέτοια άδεια. Αυτό είναι ένα μπουκάλι εκεί, αλλά αυτό δίνει στους πολίτες πολλά δικαιώματα πάνω στα δεδομένα τους. Αυτή είναι η φορητότητα εκεί, σε περίπτωση που έρχεται ποτέ. Το δικαίωμα να ξεχνούμε, σαφώς, αλλά και - και κάτι που δεν είναι πολύ σημαντικό στη διαφάνειά μου - είναι το πρόσωπο στο οποίο αναφέρονται τα δεδομένα να έχει το δικαίωμα να μην υπόκειται σε απόφαση βασισμένη αποκλειστικά στην αυτοματοποιημένη επεξεργασία. Σε τι προχωρήσαμε σκληρά; Αυτόματη επεξεργασία, γύρω από την αποδοχή δανείου, τι προσφέρουμε θα δώσουμε, όλα αυτά πρέπει να επεξεργαστούν από την άποψη του πώς πρόκειται να παίξει έξω και πόσο μακριά αυτό θα πάει. Αυτό που λέει ουσιαστικά είναι η διαφάνεια γύρω από τον λόγο για τον οποίο απορρίφτηκα, γιατί αντιμετωπίζω με συγκεκριμένο τρόπο αυτή η εταιρεία. Αυτή είναι μια στιγμή που χορηγείται σε έναν πολίτη της ΕΕ.
Προφανώς, υπάρχουν κάποιες συνέπειες για το πώς κάνουμε τις επιχειρήσεις και ελπίζουμε ότι βλέπετε ότι το GDPR δεν είναι ένα πρόβλημα πληροφορικής και όχι ένα μόνο πρόβλημα πληροφορικής. Όλες αυτές οι επιχειρηματικές διαδικασίες εμπλέκονται. Θα περιλαμβάνει άτομα από όλη την εταιρεία. Ο διορισμός ενός υπεύθυνου προστασίας δεδομένων συνιστάται σε εκείνες τις εταιρείες με περισσότερους από 250 υπαλλήλους και έχετε «κρίσιμο μαθηματικό με τα δεδομένα ΕΕ ΙΙΙ». Μπορείτε να αποφασίσετε μόνοι σας αν έχετε αυτό το κρίσιμο μαθηματικό, μερικές φορές είναι προφανές, μερικές φορές δεν είναι. Αλλά, υπάρχει ένας νέος ρόλος - δεν πρέπει να είναι ένας ρόλος πλήρους απασχόλησης, το άτομο μπορεί να έχει και άλλες ευθύνες, αλλά δεν ξέρω - σε ορισμένες μεσαίες και μεγαλύτερες εταιρείες, λίγο πολύ νομίζω ότι ακολουθώντας το GDPR πρόκειται να είναι κοντά σε έναν ρόλο πλήρους απασχόλησης. Θα έλεγα ξεκινήστε από εκεί και δείτε αν μπορείτε να το χειριστείτε. Ειδικά το επόμενο έτος, καθώς παίρνετε τη δράση σας μαζί γύρω από το GDPR, μόλις εγκατασταθεί, ίσως μπορείτε να επιβραδύνετε τις εργασίες για αυτό, αλλά θα πάρει κάποιες επιχειρήσεις αρκετό χρόνο. Επιτρέψτε στα άτομα να δουν τα δικά τους δεδομένα και τη φορητότητα των δεδομένων, όπως ανέφερα προηγουμένως.
Αυτό δεν είναι όλα τα νέα, παρεμπιπτόντως, αλλά το δικαίωμα να ξεχαστεί ήταν πραγματικά εκεί έξω, να το πιστέψεις ή όχι. Οι ισχύοντες κανόνες της ΕΕ προβλέπουν ήδη δικαίωμα διαγραφής ή μη διαθεσιμότητας προσωπικών δεδομένων. Ωστόσο, τώρα είναι μέρος του GDPR, πρόκειται να επιβληθεί πολύ ευρύτερα. Κρυπτογράφηση δεδομένων - κρυπτογραφεί τα δεδομένα σας σε ηρεμία. Χρησιμοποιήστε τις τυπικές μεθόδους κρυπτογράφησης, μην χρησιμοποιείτε τη δική σας εγχώρια ή μη κανονική κρυπτογράφηση. Το AES είναι κάτι που προτείνουμε αρκετά. Χρησιμοποιήστε κρυπτογραφικά ασφαλή κλειδιά κρυπτογράφησης. Αλλάξτε τα πλήκτρα αυτά περιοδικά. Αποτρέψτε επίσης αυτά τα κλειδιά από απώλεια. Αυτές είναι μόνο καλές πρακτικές κρυπτογράφησης, αλλά τώρα έρχονται στο προσκήνιο με το GDPR. Εκεί βρίσκεται το πρόβλημα - χτύπησα μόνο την άκρη του παγόβουνου. Υπάρχουν, προφανώς, περισσότερες προβλέψεις για να εξετάσουμε, αλλά αυτές είναι οι κυριότερες.
Τώρα, λύση. Η διακυβέρνηση δεδομένων, το πλαίσιο της συμμόρφωσής σας, τουλάχιστον αυτή είναι η προοπτική που προτείνω εδώ. Ευτυχώς, υπάρχει μια ενεργός πειθαρχία που μπορεί και κάνει, όταν είναι ώριμη, να ανταποκρίνεται στις περισσότερες απαιτήσεις και αυτή είναι η διακυβέρνηση δεδομένων - προφανώς το λέω αυτό. Τα προγράμματα διακυβέρνησης θα πρέπει να έχουν ένα γλωσσάριο δεδομένων, και εδώ χρησιμοποιώ το γλωσσάριο δεδομένων με γενική έννοια που σημαίνει τεκμηρίωση από όλες τις πλευρές για τις διαδικασίες σας. Αυτό είναι θεμελιώδες, για να εξυπηρετήσει τις ανάγκες απογραφής του GDPR, το οποίο, όπως είχαμε δει, είναι πολύ απέραντο. Το πρόγραμμα, το πρόγραμμα διακυβέρνησης, θα πρέπει να διευκολύνει τα πρωτόκολλα για την ασφάλεια των δεδομένων - και υπογραμμίζω ότι αυτό δεν είναι κάτι που κάνουν πολλά προγράμματα διακυβέρνησης δεδομένων, αλλά νομίζω ότι είναι λογικό να γίνει αυτό επειδή είναι κάθονται στο πρόγραμμα που καθορίζει ποιοι είναι οι ιδιοκτήτες επιχειρήσεων; Ποιος πρέπει να το δει; Και έπειτα το επόμενο βήμα είναι να παραχωρήσουμε αυτές τις άδειες. Αυτό πρέπει να συγκεντρωθεί, που πρέπει να επισημοποιηθεί. Πρέπει να υπάρχουν εσωτερικές πολιτικές που χρησιμοποιούνται. Η διοίκηση πρέπει να ανατεθεί σε όλα τα στοιχεία για να παράσχει πληροφορίες για όλα τα παραπάνω. Η διακυβέρνηση δεδομένων μπορεί επίσης να είναι ο διευκολυντής της μηχανικής επιχειρησιακών διαδικασιών, που θα απαιτηθεί.
Πριν αφήσω αυτό το slide, προσπαθώντας να αποφύγω τα μεγάλα πρόστιμα, οι εταιρείες θα υιοθετήσουν ορθές επιχειρηματικές πρακτικές ως παραπροϊόν. Μου αρέσει να πω ότι είναι κάτι περισσότερο από ένα υποπροϊόν, αλλά είναι πραγματικά μια καλή, καλή επιχείρηση που μπορεί να σας οδηγήσει σε νέες θέσεις από επιχειρηματική προοπτική. Σίγουρα, θα έχετε πολλή αποτελεσματικότητα για να κάνετε όλες τις πρωτοβουλίες σε όλους τους τομείς, εάν διαθέτετε σωστή διακυβέρνηση δεδομένων, αυτό έχω δει εδώ και πολλά χρόνια. Με την προσθήκη ορισμένων από αυτά τα πράγματα που αναφέρω, με τη διαχείριση δεδομένων, θα βελτιωθούν μόνο. Στον μηχανισμό των επιχειρησιακών διαδικασιών σας συνιστούμε να κάνετε αυτές τις ερωτήσεις σε όλους τους τομείς, να χτυπήσετε κάθε επιχειρηματικό χώρο. Τι είδους δεδομένα συλλέγουμε στους πελάτες μας στην ΕΕ; Δεν θα τα διαβάσω όλα. Μερικά από τα βασικά εδώ. Ποιος έχει ανάγκη να δει αυτά τα δεδομένα και είναι ότι ακολουθείται; Ποιος είναι ο διαχειριστής δεδομένων για τα δεδομένα αυτά; Ποιος είναι ο άνθρωπος μου στην επιχείρηση; Αυτό είναι μεγάλο: Μοιραζόμαστε αυτά τα δεδομένα με τρίτους; Ακριβώς επειδή το αποδίδετε σε ένα τρίτο μέρος, δεν δικαιολογεί την ευθύνη σας γύρω από αυτά τα δεδομένα - αυτά εξακολουθούν να είναι τα δεδομένα σας, αυτά είναι ακόμα δεδομένα που συλλέξατε. Υπάρχουν πολλές συμβάσεις τρίτων μερών, οι οποίες τώρα εξετάζονται διεξοδικά ως αποτέλεσμα του GDPR. Τα συστήματα αυτά έχουν ντετερμινιστικές αποτυχίες; Δηλαδή, όταν αποτυγχάνουν, αποτυγχάνουν σε ένα μονοπάτι που έχουμε προκαθορίσει, ή απλά αποτυγχάνουν, συντρίβουν, καίγονται και ξεκινάμε από το μηδέν ψάχνοντας πάνω του; Θα είναι προφανώς πολύ καλύτερη. Είναι μια καλή πρακτική ήδη, αλλά προφανώς πολύ καλύτερη για αντίστροφη μηχανική κάποια από αυτά τα πράγματα, αν έχετε μεγάλες ντετερμινιστικές αποτυχίες στο σύστημά σας.
Διατήρηση δεδομένων, έχουμε μιλήσει για τη διατήρηση δεδομένων για πάντα. Πολλές εταιρείες έχουν πολιτικές, αλλά δεν τις ακολουθούν όλοι. Προφανώς, περίφημα στην υγειονομική περίθαλψη και την οικονομική, θέλουμε να διατηρούμε δεδομένα, πρέπει να διατηρούμε τα δεδομένα για ένα συγκεκριμένο αριθμό ετών. Μερικοί από τους αναλυτές σε αυτές τις εταιρείες που διατηρούν τα δεδομένα για τα επτά χρόνια ή τίποτα δεν λένε, "Ω, μετά από αυτή την περίοδο θέλω ακόμα αυτά τα στοιχεία." Μερικοί από τους δικηγόρους σε αυτές τις εταιρείες λένε, "Αλλά πρέπει να το ξεφορτωθούμε για λόγους αστικής ευθύνης "και ούτω καθεξής. Αυτό δεν μπορεί απλώς να καθίσει εκεί, ως ζήτημα σε loggerheads πλέον με GDPR. Πρέπει να έχουμε την περίοδο διατήρησης, να ακολουθείται συνεχώς στο σύνολο του οργανισμού.
Και τέλος, πώς κινητοποιείτε για μια παραβίαση δεδομένων; Αυτά τα χειρότερα σενάρια που θα μπορούσαν να συμβούν σε σας. Προφανώς, προσπαθούμε να τα αποτρέψουμε, αλλά τι γίνεται αν συμβεί; Πώς αντιμετωπίζετε τον πόλεμο και σιγουρευτείτε ότι ακολουθείτε τώρα τις διατάξεις του GDPR στην απάντησή σας; Είμαι αρχιτέκτονας δεδομένων, σκέφτομαι την αρχιτεκτονική δεδομένων. Αν είστε εταιρεία με έδρα τις ΗΠΑ με επιχειρήσεις της ΕΕ, δηλαδή δεδομένα του πολίτη της ΕΕ - τα συλλέγετε, θα πρέπει να εξετάσετε εάν θα εφαρμόσετε τα πρότυπα προστασίας δεδομένων σε όλα τα δεδομένα ή μόνο σε δεδομένα της ΕΕ. Ναι, έχω πελάτες που λαμβάνουν αυτήν την απόφαση τώρα. Ως υγιής επιχειρηματική πρακτική, ίσως να θέλουν να το φέρουν στις ΗΠΑ, ίσως αισθάνονται σαν να έχουν χρόνο, αλλά αυτό φέρνει τη δεύτερη θέση. Μπορεί να χρειαστεί να αφαιρέσετε τα στοιχεία της ΕΕ από τα αμερικανικά συστήματα αν δεν μπορείτε να εγγυηθείτε ότι τα αμερικανικά συστήματα θα χειρίζονται τα δεδομένα κατάλληλα. Αυτά τα ξεχωριστά δεδομένα για τους σκοπούς της ανάλυσης; Τα αναλυτικά στοιχεία ισχύουν και αν προσπαθείτε να τα κάνετε σε όλη τη χώρα; Μερικές φορές ναι, μερικές φορές όχι, έτσι; Μπορεί να διαπιστώσετε ότι τα αναλύματα σας θα σβήσουν ως αποτέλεσμα.
Όπως ανέφερα προηγουμένως, η τεχνητή νοημοσύνη παίζει εδώ γιατί προφανώς μπορούμε να χρησιμοποιήσουμε το AI για να βρούμε όλα τα δεδομένα, να μας βοηθήσετε να βρούμε όλα τα δεδομένα, αλλά αν χρησιμοποιούμε AI στις διεπαφές των πελατών μας, πρέπει να έχουμε διαφάνεια τώρα με τον πελάτη μας διασυνδέσεις και αυτό δεν ήταν ποτέ το ισχυρό κοστούμι του AI. Για να προσπαθήσετε να πείτε σε έναν πελάτη, "Σας απορρίφθηκε επειδή μπλα, μπλα, blah", όταν πραγματικά ήταν AI. Αυτό πρέπει τώρα να γίνει. Πρέπει να καταλάβουμε πώς λειτουργεί το AI, ποιοι είναι οι παράγοντες; Δεν μπορούμε να καθίσουμε εκεί και να είμαστε μαύρο κουτί σε σας πια. Τι κάνουμε τώρα? Καθιέρωση της κάρτας σας GDPR. Προτείνω να έχετε τον ανώτερο υπάλληλο προστασίας προσωπικών δεδομένων σας εκεί ή αν έχετε έναν υπεύθυνο προστασίας δεδομένων, προφανώς αυτό το άτομο. Οι επικεφαλής της διακυβέρνησης των δεδομένων, ο λειτουργικός κίνδυνος ή / και η συμμόρφωση, όπως ισχύουν, ο επικεφαλής της πληροφορικής, του CIO αν αυτό είναι το πρόσωπο. Αν έχετε ένα αλλαγμένο άτομο διαχείρισης, αυτό θα ήταν ένα εξαίσιο άτομο εκεί. Ακριβώς επικεφαλής ορισμένων από τα πιο σημαντικά τμήματα της επιχείρησής σας, αλλά και επικεφαλής του τμήματος ανθρώπινου δυναμικού, διότι η εκπαίδευση για την προστασία της ιδιωτικής ζωής θα είναι τεράστια. Όλοι πρόκειται να πάρουν εκπαίδευση για την προστασία της ιδιωτικής ζωής ή θα πρέπει να πάρουν κατάρτιση για την προστασία της ιδιωτικής ζωής όταν επιβιβάζονται σε μια εταιρεία, ακόμη και συμβούλους.
Εάν δεν κάνετε αυτά τα πράγματα που βλέπετε εδώ, θα πρέπει να κινηθείτε πιο γρήγορα από ό, τι θα θέλατε να κάνετε την προθεσμία. Πρέπει επίσης να αρχίσετε να ελπίζετε ότι δεν είστε ένας από τους πρώτους που θα ελέγξετε γιατί, ειλικρινά, υπάρχει πολλή δουλειά εδώ αν ξεκινάτε από το μηδέν και ασχοληθείτε με πολλά δεδομένα των πολιτών της ΕΕ. Μίσθωση του DPO σας, απογραφή των δεδομένων σας και των διαδικασιών σας. Δημιουργήστε αυτό το σχέδιο για τη διαχείριση των δεδομένων, να το πάρετε από όπου και αν είναι, όπου πρέπει να είναι. Ανάλογα με την περίπτωση, μπορεί να θέλετε να το ξεκινήσετε. Σχεδιάστε τις πολιτικές απορρήτου και τις ειδοποιήσεις πολιτικής σας. Οι πολιτικές απορρήτου είναι εσωτερικές. Οι ειδοποιήσεις πολιτικών είναι εξωτερικές. Βλέπουμε μια κουλτούρα που αρχίζει να δημιουργείται τώρα γύρω από τις προειδοποιήσεις πολιτικής. Έγιναν πολλές συγκρίσεις και έγινε πολύ προσεκτική διατύπωση, γύρω από αυτές τις προειδοποιήσεις πολιτικής. Να επιφορτιστεί με τον έλεγχο συμμόρφωσης GDPR για όλα τα συστήματα, συμπεριλαμβανομένων των νέων συστημάτων. Ίσως χρειαστεί να τα ακολουθήσετε και να τα κάνετε σε κάποια σειρά σπουδαιότητας, αλλά αυτός είναι ένας άλλος τρόπος αντιμετώπισης του προβλήματος. Κοιτάξτε τα συστήματα και τι πρέπει να κάνουν και πώς χειρίζονται αυτά τα δεδομένα.
Τι σημαίνει το σήμα GDPR; Αυτό είναι που είμαστε εδώ για να μιλήσουμε λίγο περισσότερο. Ανυπομονώ για αυτό που έχει να πει ο Κίμ. Το GDPR είναι μια μετατόπιση των ελέγχων απορρήτου δεδομένων προς ρύθμιση. Είναι μια τάση προς τη διαφάνεια, λέει τόσο σωστά στις διατάξεις. Δημιουργούμε αυτή την κουλτούρα των ειδοποιήσεων περί απορρήτου, όπως μίλησα, είναι κάτι τώρα. Θα δούμε συνέδρια σχετικά με τις ειδοποιήσεις απορρήτου και ούτω καθεξής. Η μετατόπιση του GDPR είναι προς τα θεμελιώδη δικαιώματα των ανθρώπων. Οι ανοικτές ερωτήσεις θα εκπονηθούν. Υπάρχουν σαφώς ανοιχτές ερωτήσεις, έχω αφήσει λίγα στο τραπέζι εδώ για εμάς. Κανείς δεν έχει την απάντηση. Θα επεξεργαστούν. Μια τάση για μεγαλύτερη κατανόηση από τα άτομα για τα δεδομένα τους και τον τρόπο με τον οποίο χρησιμοποιούνται. Νομίζω ότι αυτό έχει αυξήσει την ευαισθητοποίηση του πληθυσμού της ΕΕ, όσον αφορά τη σημασία των δεδομένων τους και την άποψη ότι ως ένα από τα προσωπικά τους στοιχεία, πρέπει να διαχειριστούν περισσότερο. Αυτά είναι μερικά από τα πρώιμα μηνύματα που έχω δει, και ο Eric, θα το κάνω τώρα πίσω σε εσένα.
Eric Kavanagh: Εντάξει, επιτρέψτε μου να παραδώσω τα κλειδιά στον Kim, ο οποίος μπορεί να μοιραστεί μερικές από τις προοπτικές της, αλλά νομίζω ότι ήταν μια καλή επισκόπηση, William, και χτυπήσατε στα βασικά σημεία - δηλαδή ότι αυτό έρχεται κάτω από το ράπισμα σίγουρα και πρέπει όλοι να είμαστε πολύ προσεκτικοί, ειλικρινά. Με αυτό, επιτρέψτε μου να παραδώσω τα κλειδιά στο Kim και μπορείτε να μοιραστείτε την οθόνη σας και να το πάρετε από εκεί.
Kim Brushaber: Γεια σου, με ακούς;
Eric Kavanagh: Μπορώ να σας ακούσω.
Kim Brushaber: Awesome. Ο Γουίλιαμ κάλυψε μερικά από τα ίδια πράγματα που πρόκειται να καλύψω, αλλά νομίζω ότι αξίζει να καλύψουν πάλι επειδή είναι πραγματικά σημαντικά. Νομίζω ότι όταν οι νέοι κανονισμοί μεταβιβάζονται, είναι πολύ καλό να αποκτήσετε μια προοπτική και μια ερμηνεία πολλών διαφορετικών ανθρώπων σε αυτό, έτσι ώστε κάτι να σπινάρει το μυαλό σας και σας επιτρέπει να είστε σε θέση να γίνετε ακόμη πιο συμμορφωμένοι. Ενθαρρύνω όλους τους ανθρώπους που είναι σε αυτή την πρόσκληση που θέλουν να μάθουν περισσότερα επειδή πιστεύω ότι έρχονται 25 Μαΐου, μπορεί να υπάρξει πολικός πανικός για εταιρείες που κυνηγούν μετά, δεν συμμορφώνονται.
Το όνομά μου είναι Kim Brushaber, είμαι ο ανώτερος υπεύθυνος προϊόντων στο IDERA. Έχω πολλά προϊόντα κάτω από μένα που βοηθούν με τη συμμόρφωση με το GDPR καθώς και με άλλους κανονισμούς. Θα πάω σε κάποια από τις πληροφορίες. Θα ξεκινήσω με μερικά γεγονότα και μερικά στοιχεία και έπειτα θα μπω σε λίγο για το GDPR και στη συνέχεια συγκεκριμένα πώς μπορούμε να σας βοηθήσουμε τα εργαλεία μας. Ένα γεγονός είναι ότι πάνω από 5 εκατομμύρια αρχεία δεδομένων χάνονται ή κλαπούνται καθημερινά. Δεν ακούμε αυτό που αναφέρθηκε στις ειδήσεις, δεν ακούμε αυτό να έρχεται από άλλα μέρη, αλλά υπάρχουν πάνω από 5 εκατομμύρια αρχεία δεδομένων που κλέβονται όλη την ώρα, ακριβώς έξω από κάτω μας. Ο μέσος αριθμός ημερών που οι επιδρομείς παραμένουν αδρανείς στο δίκτυό σας είναι 200 ημέρες. Πολλά συστήματα έχουν ήδη διεισδύσει άνθρωποι που - με κακόβουλες προθέσεις - που περιμένουν απλώς την ευκαιρία να επωφεληθούν από τις πληροφορίες σας, κυρίως μέσα σε ασφάλεια και πιστοποιητικά, αλλά περιμένουν μόνο τη στιγμή να αναπηδήσουν. Αυτός είναι ο λόγος για τον οποίο έχει γίνει όλο και πιο σημαντικό να χειριστείτε την ασφάλεια των δεδομένων σας. Το μέσο κόστος της παραβίασης ενιαίων δεδομένων το 2020 προβλέπεται να υπερβεί τα 150 εκατομμύρια δολάρια, καθώς περισσότερες επιχειρηματικές υποδομές συνδέονται με τους πόρους του διαδικτύου και καθώς όλο και περισσότερα πράγματα ανεβαίνουν στο σύννεφο. Αυτός είναι ένας καλός προϋπολογισμός εάν ανησυχείτε πραγματικά για την ασφάλεια των δεδομένων, να δώσετε στην εκτελεστική σας ομάδα, να τους πείτε ότι αυτό είναι ένα σοβαρό θέμα και μπορεί να μας κοστίσει πολλά χρήματα προς τα εμπρός.
Θα πάω σύντομα για την παραβίαση δεδομένων Equifax επειδή νομίζω ότι ήταν η μεγαλύτερη παραβίαση των δεδομένων του 2017, σε ένα είδος ζωγραφιάς της εικόνας του τι είναι σαν να περάσω μέσα από αυτό. Η παράβαση επηρέασε 145, 5 εκατομμύρια πελάτες. Οι εργαζόμενοι αναγνώρισαν το ζήτημα ασφαλείας με την εφαρμογή τους στο διαδίκτυο δύο μήνες πριν από την παραβίαση. Οι εργαζόμενοι έλεγαν: "Αυτό είναι ένα ζήτημα." Και ακόμη και λίγο πριν από αυτό ήταν όταν έμπαινε πραγματικά το έμπλαστρο. Χρειάστηκε μια ολόκληρη μέρα όταν η παραβίαση συνέβη να ανταποκριθεί σε αυτήν και να λάβει την εφαρμογή web εκτός σύνδεσης. Επειδή η Equifax δεν είχε ένα καθορισμένο πρωτόκολλο ασφάλειας δεδομένων, τους χρειάστηκε αρκετός χρόνος για να καταλάβουν τι συνέβαινε και στη συνέχεια να μπορέσουν να βγάλουν το σύστημα εκτός σύνδεσης. Έξι εβδομάδες μετά την παραβίαση, το κοινό ειδοποιήθηκε. Με το GDPR - όπως αναφέρθηκε παραπάνω και θα το πούμε ξανά - θα πρέπει να αναφέρετε εντός 72 ωρών και η Equifax θα είχε δεμένα τα χέρια της και δεν θα ήταν σε θέση να τηρήσει αυτή τη συμμόρφωση επειδή περίμεναν έξι εβδομάδες για να την αναφέρουν. Η ανακοίνωση για την αντιμετώπιση της παραβίασης περιελάμβανε έναν ιστότοπο ο οποίος δεν ανήκε καν στην Equifax. Οι Equifax οι ίδιοι επανεμφανίζουν αυτό το tweet που δεν ήταν καν στην περιοχή τους - είχαν αντιστραφεί μερικές από τις λέξεις γύρω. Ευτυχώς δεν ήταν κακόβουλο site που αξιοποιούσε αυτό, αλλά προφανώς δεν ήταν προετοιμασμένοι. Δεν είχαν ένα σχέδιο στη θέση του, και αυτό έγινε πολύ γνωστό στον δημόσιο χώρο. Η Equifax δεν είναι μόνη της - μέχρι στιγμής υπάρχουν πάνω από 25 πολύ υψηλές επιθέσεις στον κυβερνοχώρο το 2017 και θα μπορούσαμε ακόμα να βρούμε περισσότερα πριν από το τέλος του έτους. Οι εταιρείες πρέπει πραγματικά να ξεκινήσουν να το παίρνουν σοβαρά επειδή οι άνθρωποι είναι εκεί έξω και αν τους δώσετε ένα λόγο να θέλουν να έρθουν σε σας, θα πρέπει να είστε προετοιμασμένοι να είστε σε θέση να το χειριστείτε.
Ορισμένα άλλα δεδομένα και αριθμοί σχετικά με τον τρόπο με τον οποίο τα άτομα εξετάζουν την ασφάλεια των δεδομένων. Μέχρι το 2020 θα υπάρχουν 30 δισεκατομμύρια συσκευές συνδεδεμένες στο διαδίκτυο μέσω των σπιτιών μας, μέσω των φορητών μας συσκευών, μέσω των τηλεφώνων μας, των δισκίων μας και του ποιος μπορεί να έρθει ακόμα τα επόμενα χρόνια. Υπάρχουν πολλές και πολλές συσκευές που παραμένουν ευάλωτες σε αυτές τις επιθέσεις. Σαράντα εννέα τοις εκατό των Αμερικανών αισθάνονται ότι οι προσωπικές τους πληροφορίες είναι λιγότερο ασφαλείς από ό, τι πριν από πέντε χρόνια. Το εβδομήντα τρία τοις εκατό των καταναλωτών στην Αμερική θέλουν οι εταιρείες να είναι διαφανείς σχετικά με τα προσωπικά τους δεδομένα. Το 78% των ανθρώπων ισχυρίζονται ότι έχουν επίγνωση των κινδύνων που σχετίζονται με κλικ σε άγνωστους συνδέσμους και μηνύματα ηλεκτρονικού ταχυδρομείου, αλλά κάνουν κλικ σε αυτούς τους συνδέσμους ούτως ή άλλως - δηλαδή πάνω από τα τρία τέταρτα του πληθυσμού μας και εξακολουθούν να κάνουν κλικ στους συνδέσμους παρόλο που ξέρει ότι μπορεί να είναι ένα ζήτημα. Το 80% των χρηστών του διαδικτύου προσπαθούν να ελαχιστοποιήσουν, να ανώνυμα και να αποκρύψουν την ορατότητα των ψηφιακών αποτυπωμάτων τους. Ο πατριός μου αρέσει να βγαίνει και να δημιουργεί ψεύτικα ονόματα όταν συμπληρώνει έντυπα επειδή πιστεύει ότι τον κάνει ανώνυμο, αλλά ελάχιστα γνωρίζει ότι η διεύθυνση IP του παρακολουθείται επίσης. Υπάρχει πολλή ατομική ανησυχία και αυτό είναι που προκαλεί πολλούς κανονισμούς GDPR και πιθανόν πρόσθετους κανονισμούς που θα ακολουθήσουν.
Όσον αφορά τα στοιχεία της βιομηχανίας ασφάλειας δεδομένων, το 90% των αρχείων δεδομένων παραβίασης το 2016 προήλθε από την κυβέρνηση, το λιανικό εμπόριο και την τεχνολογία. Σαράντα τοις εκατό των κυβερνοεπιτάξεων επιτέθηκαν σε μικρές επιχειρήσεις. Εάν σκέφτεστε: "Ω, δεν είμαι μεγάλος άνθρωπος, δεν πρόκειται να έρθουν μετά από μένα", υπάρχουν ακόμα, σχεδόν οι μισοί από αυτούς που πηγαίνουν μετά από μικρές επιχειρήσεις. Το εβδομήντα πέντε τοις εκατό του κλάδου της υγειονομικής περίθαλψης έχει μολυνθεί σε κακόβουλο λογισμικό κατά το παρελθόν έτος. Το εβδομήντα τοις εκατό των αμερικανικών εταιρειών πετρελαίου και φυσικού αερίου χτυπήθηκε τον περασμένο χρόνο. Πρόκειται για σημαντικό αντίκτυπο σε διάφορες βιομηχανίες που λειτουργούν και ο αριθμός αυτός πρόκειται να αυξηθεί μόνο από εδώ.
Όταν το εξετάζετε από την άποψη της εκτελεστικής εξουσίας, το 90% των CIO παραδέχονται ότι χάνουν εκατομμύρια δολάρια σε ανεπαρκή ασφάλεια στον κυβερνοχώρο. Ενενήντα τοις εκατό επίσης λένε ότι έχουν επιτεθεί ή αναμένουν να επιτεθούν από παιδιά που κρύβονται στην κρυπτογράφηση τους. Εκατόν επτά τοις εκατό πιστεύουν ότι οι έλεγχοι ασφαλείας τους αποτυγχάνουν να προστατεύσουν την επιχείρησή τους. Ογδόντα πέντε τοις εκατό των CIO αναμένουν την κακή χρήση των κλειδιών και των πιστοποιητικών τους για να επιδεινωθούν. Πρόκειται για έναν τεράστιο αριθμό εταιρειών που εξετάζουν αυτό το θέμα ασφάλειας δεδομένων και η πραγματικότητα είναι ότι πολλοί από αυτούς δεν διαθέτουν πολύ καλές λύσεις για να μπορέσουν να το αντιμετωπίσουν ακόμη και όταν συμβεί, θα συμβεί.
Όταν εξετάζουμε την ετοιμότητα, το 2014, το 70% των χιλιετηρίδων παραδέχτηκε ότι έφεραν εξωτερικές εφαρμογές στην επιχείρησή τους κατά παράβαση των πολιτικών ΤΠ. Το εβδομήντα τοις εκατό παραδέχθηκε σε αυτό - πιθανόν να υπάρχει ακόμη μεγαλύτερος αριθμός από αυτό, πράγμα που το έκανε πραγματικά. Το πενήντα τοις εκατό των οργανισμών που υπέστησαν επιτυχείς κυρώσεις στο 2016 δεν άλλαξαν την ασφάλειά τους το 2017. Ακόμα κι αν δέχτηκαν επιθέσεις μία φορά, δεν πήγαν ακόμα και δεν έφεραν τα τείχη - είναι εξίσου ευάλωτοι ήταν πριν από την επίθεση. Αυτό πραγματικά προκαλεί το ερώτημα, τι πρέπει να κάνουν οι επιχειρήσεις για να προετοιμαστούν για αυτά τα πράγματα; Το τριάντα οκτώ τοις εκατό των παγκόσμιων οργανισμών ισχυρίζονται ότι είναι έτοιμοι να χειριστούν ένα εξελιγμένο cyberattack. Αυτό είναι καλό - σχεδόν οι μισοί είναι εκεί, και είμαι γενναιόδωρη με αυτό, είμαστε πραγματικά μόνο στο ένα τρίτο, αλλά υπάρχουν ακόμα τουλάχιστον οι μισοί που λένε, "Δεν είμαι έτοιμος. Αν επιτεθώ, δεν είμαι έτοιμος και οι χάκερ το ξέρουν. "Το τριάντα οκτώ τοις εκατό των οργανισμών έχει ένα πρόγραμμα αντίδρασης στον κυβερνοχώρο. Οι περισσότερες εταιρείες βρίσκονται στον ίδιο χώρο με τον Equifax, όπου δεν γνωρίζουν τι πρόκειται να κάνουν. Αν πάρουν αυτό, θα πρέπει να αντιδράσουν και να καταλήξουν σε αυτά τα πράγματα σε κατάσταση πτήσης, και οι κανονισμοί όπως το GDPR λένε, "Πρέπει να τα έχετε στη θέση τους. Πρέπει να τα δημοσιεύσετε. Πρέπει να το αποδείξετε στους ελεγκτές ασφαλείας: "Ας ελπίσουμε ότι με επιπτώσεις αυτού του είδους, με τέτοιους κανονισμούς, θα μπορέσουμε να προχωρήσουμε μπροστά σε αυτή την καμπύλη και αντί να είμαστε αντιδραστικοί, μπορούμε να είμαστε προληπτικοί στις επιδιώξεις μας.
Ας μιλήσουμε λίγο για το GDPR. Ορισμένοι από αυτούς τους Γουίλιαμ έχουν ήδη καλύψει, αλλά πρόκειται να προχωρήσω και να το καλύψω ξανά, μόνο από τη λήψη μου, τη φωνή μου, την προοπτική μου. Πολλές εταιρείες με τις οποίες μιλάω, είναι σαν "Είμαι στις ΗΠΑ, γιατί θα έπρεπε να ενδιαφέρομαι και για αυτόν τον κανονισμό της ΕΕ;" Το γεγονός ότι περισσότεροι άνθρωποι δεν είναι ζωντανοί και περισσότεροι άνθρωποι δεν μιλούν για πιστεύουν ότι επηρεάζονται μόνο τα μέλη της ΕΕ, αλλά θα ήθελα να σας ρωτήσω, αν εξετάσετε αυτόν τον κατάλογο, συλλέγετε κάποιο από αυτά τα δεδομένα από τα μέλη της ΕΕ; Αν συλλέγετε κάποια από αυτές τις πληροφορίες, υποβάλλονται τα όρια του GDPR, καθώς και οι κυρώσεις για μη συμμόρφωση. Θα σου δώσω ένα δευτερόλεπτο για να το απορροφήσω και να καταλάβω αυτό. Όπως ανέφερε προηγουμένως ο William, πρόκειται για τις ποινές και τις κυρώσεις που αναφέρονται στο άρθρο 83 του GDPR. Στην αρχή μπορείτε να πάρετε ένα χαστούκι στο χέρι, μια μικρή προειδοποίηση λέγοντας, "Γεια σου, πάρτε την πράξη μαζί. Βάλτε το στη θέση του. "Αλλά εάν έχετε μια πολύ μεγάλη παραβίαση - και ανάλογα με το πόσο μεγάλη είναι μια συμφωνία - θα επιστρέψουν σε εσάς για αποκατάσταση και είναι ένας σημαντικός αριθμός. Δεν είναι 10 εκατομμύρια, αλλά 20 εκατομμύρια ευρώ ή 4 τοις εκατό του κύκλου εργασιών / των εσόδων σας από το προηγούμενο έτος. Ειναι πολλα τα λεφτα. Αυτός είναι ένας πολύ καλός προϋπολογισμός για να μεταβείτε στις εκτελεστικές σας ομάδες και να πείτε: "Αυτό είναι κάτι που πρέπει να αρχίσουμε να παίρνουμε σοβαρά και πρέπει να αναλάβουμε δράση".
Επιτρέψτε μου να αναφερθώ σε κάποιες από τις αρχές GDPR όπως περιγράφονται στο άρθρο 5. Ένα από τα πράγματα που λένε είναι ότι τα προσωπικά δεδομένα πρέπει να υποβάλλονται σε νόμιμη, δίκαιη και διαφανή επεξεργασία. Αυτό σημαίνει ότι το κοινό θέλει να μάθει τι κάνετε με τα δεδομένα του. Να είστε διαφανείς και πρέπει να δημοσιεύεστε. Οι περισσότεροι άνθρωποι δεν διαβάζουν τους όρους και τις προϋποθέσεις, αλλά πρόκειται για νέες πληροφορίες που χρειάζεστε για επικοινωνία, ώστε να μπορείτε να τους πείτε: "Τα δεδομένα σας χειρίζονται κατάλληλα." Τα προσωπικά δεδομένα θα πρέπει να συλλέγονται για συγκεκριμένο, σαφείς και νόμιμους σκοπούς. Αυτό σημαίνει ότι ελπίζουμε ότι μπορούμε να απαλλαγούμε από κάποιο από αυτό το spam, όπου οι εταιρείες λένε ότι συλλέγουν πληροφορίες για ένα κουίζ που σας λέει πόσο ενδιαφέρον μπορείτε να είστε και στην πραγματικότητα παίρνουν τα δεδομένα σας και το πουλώνουν πίσω σε κάποιον άλλο, για να μπορέσουν να χρησιμοποιηθούν για οποιονδήποτε σκοπό είναι. Οι εταιρείες πρέπει τώρα να είναι πολύ πιο υπεύθυνες και να λένε ακριβώς για τι χρησιμοποιούν τις πληροφορίες σας. Λένε επίσης ότι τα προσωπικά δεδομένα πρέπει να είναι επαρκή, συναφή και να περιορίζονται σε ό, τι είναι απαραίτητο. Πολλές εταιρείες επιθυμούν να λάβουν όλες τις πληροφορίες τους και να τις τοποθετήσουν σε μια μεγάλη συλλογή δεδομένων και στη συνέχεια καταλαβαίνουν τι θέλουν να κάνουν με τις πληροφορίες αργότερα και συλλέγουν πολύ περισσότερα από όσα μπορεί να είναι απαραίτητα. Αυτό λέει ότι δεν μπορείτε να το συλλέξετε και να το χρησιμοποιήσετε κάπου αλλού. Δεν μπορείτε επίσης να συλλέξετε τα πάντα και να ελπίζετε ότι αργότερα θα το βρείτε χρήσιμο. Πρέπει να είστε πολύ σαφής γιατί συλλέγετε τις πληροφορίες και πρέπει να είναι σχετικές με τα δεδομένα που συλλέγετε.
Τα προσωπικά δεδομένα πρέπει επίσης να είναι ακριβή και να ενημερώνονται. Πρέπει να δώσετε στους χρήστες τρόπους για να ενημερώσετε τα δεδομένα τους, μόλις τα έχετε συλλέξει. πρέπει να μπορέσουν να επιστρέψουν και να πούν: "Ξέρετε, είχα αυτή τη γνώμη σε κάποια έρευνα που με ρωτήσατε για προσωπικά αναγνωρίσιμα στοιχεία και θέλω να επιστρέψω και θέλω να το αλλάξω και να το ενημερώσω τώρα". για να τους δώσουμε έναν τρόπο να μπορέσουν να το κάνουν αυτό. Τα προσωπικά δεδομένα πρέπει να τηρούνται με τη μορφή που επιτρέπει την αναγνώριση των προσώπων στα οποία αναφέρονται τα δεδομένα για χρονικό διάστημα που δεν υπερβαίνει τα αναγκαία. Επιστροφή στο σημείο του William, ότι δεν μπορείτε να συλλέξετε αυτές τις πληροφορίες για πάντα - πρέπει να βρείτε αυτό που νομίζετε ότι είναι έγκυρο και απαραίτητο και μετά από αυτό, θα πρέπει να σκουπίσετε τα δεδομένα καθαρά. Πρέπει επίσης να υποβληθεί σε επεξεργασία κατά τρόπο που εξασφαλίζει την κατάλληλη ασφάλεια, συμπεριλαμβανομένης της προστασίας από μη εξουσιοδοτημένη ή παράνομη επεξεργασία, τυχαία απώλεια, καταστροφή ή βλάβη.
Όπως είπα προηγουμένως, ήρθε η ώρα να γίνουμε πραγματικά σοβαροί σχετικά με αυτό, σταματώντας αυτές τις παραβιάσεις δεδομένων, διότι όχι μόνο μπορεί να έχετε τραυματισμό που έρχεται στην εταιρεία σας με τη μορφή παραβιάσεων δεδομένων και απώλεια εσόδων και το κόστος υποστήριξης των διαδικασιών σας, αλλά μπορεί επίσης να έχετε ένα σωρό από πρόστιμα χαστούκια πάνω σας από το GDPR. Ήρθε η ώρα να αρχίσουμε πραγματικά να είμαστε πολύ σοβαροί γι 'αυτό και νομίζω ότι καθώς η GDPR τίθεται σε ισχύ, οι εταιρείες πρόκειται να αντιμετωπίσουν τη σκληρή πραγματικότητα και ευτυχώς όσοι από εσάς που είστε στην κλήση σήμερα μπορεί να αρχίσουν να το σκέφτονται και να γνωρίζουν πώς θα τα βάλεις σε δράση.
Το GDPR μιλά επίσης πολλά για τα δικαιώματα των ατόμων. Είναι πραγματικά ψάχνουν για τους μεμονωμένους χρήστες. Το πρώτο πράγμα είναι το δικαίωμα πρόσβασης στα προσωπικά σας δεδομένα. Οι χρήστες πρέπει να γνωρίζουν ποιες πληροφορίες έχετε συλλέξει σχετικά με αυτές, όσον αφορά τις προσωπικά προσδιορισμένες πληροφορίες και πρέπει να τους δώσετε έναν τρόπο να έχουν πρόσβαση σε αυτές. Υπάρχει επίσης το δικαίωμα για διόρθωση, το οποίο είναι ένας φανταχτερός τρόπος να πει κανείς: "Πρέπει να είμαι σε θέση να διορθώσω τις πληροφορίες που έχετε σε μένα." Το δικαίωμα διαγραφής - το οποίο και πάλι πολλοί άνθρωποι διατυπώνουν ως δικαίωμα να ξεχαστεί - αν κάποιος λέει: "Ξέρεις τι, δεν θέλω πλέον να γνωρίζεις ότι είμαι σούπερ διασκεδαστικός συλλέκτης κόμικ, πρέπει να απαλλαγείς από αυτό. Έχω κάποιους φίλους που με πειράζουν για αυτό και με σβήνουν από τη λίστα σου εντελώς "πρέπει να είσαι σε θέση να το κάνεις αυτό. Υπάρχει επίσης το δικαίωμα περιορισμού της επεξεργασίας και αυτό σημαίνει ότι οι χρήστες μπορούν να περιορίσουν τον τρόπο επεξεργασίας των πληροφοριών τους. Μπορούν να πουν: "Δεν σας πειράζει να λαμβάνετε τις πληροφορίες μου επειδή αγοράζω ένα καινούργιο αυτοκίνητο, αλλά μην χρησιμοποιείτε αυτές τις πληροφορίες για να μου στείλετε μηνύματα ηλεκτρονικού ταχυδρομείου και να μου στείλετε μηνύματα σε νέες προσφορές κάθε φορά που κυκλοφορούν νέα αυτοκίνητα. το δικαίωμα στη φορητότητα δεδομένων, πράγμα που σημαίνει ότι οι χρήστες θα πρέπει να έχουν τη δυνατότητα να λάβουν ένα αντίγραφο των δεδομένων τους και να μπορούν να το μεταφέρουν σε κάποιο άλλο μέρος. Πολλές οργανώσεις συλλέγουν πληροφορίες και οι πληροφορίες έχουν έναν παράγοντα κολλητικότητας και τώρα τα άτομα μπορούν να πουν: "Ξέρεις τι, θέλω να πάρετε όλες μου τις πληροφορίες και τώρα θέλω να το δώσετε στον ανταγωνιστή σας, έτσι μπορώ να το μεταφέρω πάνω από."
Υπάρχουν πολλά πράγματα που πρέπει να σκεφτεί κανείς από έναν οργανισμό ως προς το πώς θα μπορέσετε να το κάνετε αυτό και ποιες πληροφορίες θέλετε να μπορείτε να συλλέξετε και να στείλετε. Υπάρχει επίσης το δικαίωμα αμφισβήτησης και οι χρήστες μπορούν επίσης να αντιταχθούν στην επεξεργασία των δεδομένων τους. Το δικαίωμα να μην υπόκειται σε απόφαση που βασίζεται αποκλειστικά στην αυτόματη επεξεργασία ή τη μορφοποίηση προφίλ. Αυτό έχει σημαντικό αντίκτυπο στο μάρκετινγκ B2B - αν κάθεστε εκεί και προσπαθείτε να δοκιμάσετε το A / B και προσπαθείτε να προσδιορίσετε ότι το Κολοράντο θα επηρεαστεί περισσότερο από ένα μήνυμα από την Καλιφόρνια, τότε έχετε κάνει ακριβώς το προφίλ, εξετάζοντας ένα κράτος έναντι άλλου, και πρέπει να εξετάσετε πώς ένα άτομο θα πρέπει να είναι σε θέση να αποχωρήσει από αυτό.
Δεδομένου ότι έχουμε κάποια τρομακτικά πράγματα που έρχονται από την παραβίαση δεδομένων και τον τρόπο με τον οποίο οι άνθρωποι εξετάζουν τα δεδομένα τους και έχουμε αυτή τη τεράστια ρύθμιση που πέφτει πάνω από τους ώμους μας, είμαι εδώ για να σας δώσω η λύση για το πώς μπορεί να βοηθήσει το IDERA. Στο άρθρο 15 γίνεται λόγος για τον τρόπο ελέγχου της έκθεσης σε προσωπικά δεδομένα. Πρέπει να ξέρετε ποιος έχει πρόσβαση στα δεδομένα σας. Πώς το χρησιμοποιούν. Πόσα δεδομένα έχουν υποστεί επεξεργασία και SQL Compliance Manager, για το οποίο είμαι ο υπεύθυνος προϊόντος, σας επιτρέπει να δείτε ποιος έχει πρόσβαση στα δεδομένα σας και πώς. Ο SQL Manger Compliance είναι για λύσεις του SQL Server. Αν έχετε μια βάση δεδομένων SQL Server, μπορείτε να συνδέσετε αυτό το προϊόν για να μπορέσετε να ελέγξετε και να εξετάσετε αυτές τις πληροφορίες, έτσι ώστε να μπορείτε να συμμορφώνεστε με το GDPR και γνωρίζετε ακριβώς πώς χρησιμοποιείται. Μπορείτε επίσης να δείτε παραβιάσεις δεδομένων πριν συμβούν και θα μιλήσω γι 'αυτό σε μια άλλη διαφάνεια. Υπάρχει επίσης ένα άρθρο που λέει, "Χρειάζομαι εγγραφή των δραστηριοτήτων επεξεργασίας. Πρέπει να συνδεθώ και πρέπει να παρακολουθώ τις λειτουργίες και πρέπει να γνωρίζω ποιος επεξεργάζεται τα προσωπικά δεδομένα και ποιος έχει πρόσβαση σε αυτά τα συστήματα. "Ο SQL Compliance Manager διατηρεί τον έλεγχο των διακομιστών και των βάσεων δεδομένων, όπως η ασφάλεια, η DDL, η DML καθώς και ο καθορισμός ευαίσθητων δεδομένων . Ο SQL Compliance Manager σάς επιτρέπει να ελέγχετε την πρόσβαση ασφαλείας και να καταγράφετε μια απόπειρα, ώστε να μπορείτε να δείτε ποιος έχει πρόσβαση στις πληροφορίες, καθώς και ποιος συνδεθεί, είτε είναι προνομιούχος χρήστης, είτε είναι γνωστός χρήστης είτε είναι κακόβουλος χρήστης.
Το άρθρο 33 αναφέρεται στην κοινοποίηση της παραβίασης των προσωπικών δεδομένων σε αρχή εποπτείας. Πρέπει να είστε σε θέση να εντοπίσετε αυτές τις παραβιάσεις. πρέπει να έχετε αρχεία για να μπορείτε να αξιολογήσετε τον αντίκτυπο. πρέπει να ξέρετε πόσο γρήγορα θα το διορθώσετε. Για να το κάνετε αυτό, ο SQL Compliance Manger σάς επιτρέπει να ρυθμίζετε τις ειδοποιήσεις στις βάσεις δεδομένων σας, για να βλέπετε ποιος έχει πρόσβαση στα ευαίσθητα δεδομένα σας, όταν έχουν πρόσβαση σε αυτά, σε αυτά που έχουν πρόσβαση. Επίσης, σας επιτρέπει να αποκλείσετε τους κανονικούς προνομιούχους χρήστες από τον έλεγχό σας. Εάν διαθέτετε διαχειριστή συστημάτων ή διαχειριστή δικτύου που γνωρίζετε ότι πρόκειται να την αποκτήσετε πρόσβαση και δεν θέλετε να φράξετε τις αναφορές σας, μπορείτε να τους αποκλείσετε και να πείτε: "Δώστε μου όλα όσα συμβαίνουν εκτός αυτών των πληροφοριών". μπορείτε γρήγορα να εντοπίσετε αν κάποιος έχει κακόβουλη πρόσβαση στα δεδομένα σας και μπορείτε να έχετε ειδοποιήσεις που υπάρχουν, που σας ενημερώνουν για τη στιγμή που αρχίζει να συμβαίνει και στη συνέχεια για την στιγμή που έχουν πρόσβαση οι πληροφορίες, για να μπορέσετε να το σπάσετε, δεν χρειάζεται να περιμένετε μια ολόκληρη μέρα για να καταλάβετε τι συμβαίνει, όπως έκανε η Equifax.
Υπάρχει επίσης ένα άρθρο που μιλά για την προστασία των δεδομένων και την εκτίμηση των επιπτώσεων. Αυτό αξιολογεί τους κινδύνους σας και κατανοεί τι είναι, καθώς και αποδεικνύει και τεκμηριώνει τη συμμόρφωσή σας με το GDPR. Ο SQL Compliance Manager σάς επιτρέπει να αναφέρετε στοιχεία που παρακολουθούνται. Ακριβώς στο είδος της πηγαίνετε με λίγα λόγια, ελέγχοντας τα δεδομένα σας με το SQL Compliance Manager, ο SQL Compliance Manager σάς επιτρέπει να ανιχνεύσετε αποτυχημένες συνδέσεις - το οποίο αποτελεί πιθανό σημείο παραβίασης - να παρακολουθείτε τις διοικητικές δραστηριότητες και τις αλλαγές ασφάλειας, να σας ειδοποιεί για τις τροποποιήσεις της βάσης δεδομένων, τις στήλες που ορίζετε ως ευαίσθητες πληροφορίες, προσδιορίζετε τους προνομιούχους χρήστες και παρακολουθείτε τη δραστηριότητά τους ξεχωριστά από τους άλλους χρήστες του συστήματός σας, αναφέρετε ότι αυτές οι πληροφορίες ελέγχονται σύμφωνα με αρκετές κανονιστικές οδηγίες. Όχι μόνο καλύπτουμε το GDPR, αλλά καλύπτουμε τις HIPAA, PCI, FERPA, SOX, όλες τις ρυθμιστικές οδηγίες όταν έρχονται για να ελέγξουν τις πληροφορίες σας και να κατανοήσουν τι είναι προσβάσιμο, έχουμε αυτές τις ρυθμιστικές οδηγίες.
Έχουμε επιπλέον προϊόντα στο IDERA για προετοιμασία GDPR επίσης. Πέρα από τον έλεγχο που κάνει ο SQL Compliance Manager, έχουμε ER / Studio Enterprise Team Edition, το οποίο μπορεί να σας βοηθήσει να τεκμηριώσετε τις διαδικασίες δεδομένων σας και να ενσωματώσετε πρότυπα δεδομένων στο μοντέλο δεδομένων σας, μπορείτε να δημιουργήσετε γλωσσάρια δεδομένων που ο William μιλούσε σε μια προηγούμενη διαφάνεια . Όπως έχω δηλώσει εδώ με αυτήν την παρουσίαση, ο SQL Compliance Manager μπορεί να σας βοηθήσει να ελέγξετε τις πληροφορίες σας για να βεβαιωθείτε ότι οι λάθος άνθρωποι δεν έχουν πρόσβαση στα δεδομένα σας, καθώς και να το αποδείξουν στους ελεγκτές. Το SQL Safe Backup μπορεί να σας βοηθήσει να κρυπτογραφήσετε τα δεδομένα και τα αντίγραφα ασφαλείας. Η κρυπτογράφηση αποτελεί ουσιαστικό μέρος του GDPR, το οποίο δεν κάλυψα με μεγάλη λεπτομέρεια, επειδή ήθελα να επικεντρωθώ πολύ στα περιουσιακά στοιχεία του Compliance Manager, αλλά το SQL Safe Backup κάνει πολύ κρυπτογράφηση για εσάς, ώστε τα δεδομένα σας να παραμείνουν ασφαλή. Ο SQL Inventory Manager μπορεί να διασφαλίσει ότι οι διακομιστές είναι patched και ενημερωμένοι, έτσι ώστε να μην καταλήγετε σε μια περίπτωση όπως η Equifax, όπου είχαν ένα ενημερωμένο patch που τους έδωσε μια μεγάλη τρύπα ασφαλείας που οι άνθρωποι ήταν σε θέση να χρήση κακόβουλα. Το SQL Secure μπορεί να ελέγξει το ιδιωτικό απόρρητο και τα πρότυπα κρυπτογράφησης.
Για περισσότερες λεπτομέρειες σχετικά με τον ιστότοπο της κοινότητας IDERA, στο blog μας, έχω δημοσιεύσει ένα Getting προετοιμασμένο για το GDPR καθώς και την αναζήτηση προς το 2018 και την κατανόηση του αντίκτυπου του GDPR που πρόκειται να βρεθεί και υπάρχει επίσης, σίγουρα μπορείτε να κατεβάσετε ένα δοκιμαστικό αντίγραφο του SQL Compliance Manager στο IDERA καθώς και σε οποιοδήποτε από τα άλλα προϊόντα που μόλις ανέφερα προηγουμένως στη διαφάνεια.
Σε αυτό το σημείο, θα προχωρήσω και θα παραδώσω την παρουσίαση στον Eric, ώστε να μπορέσουμε να θέσουμε μερικές ερωτήσεις.
Eric Kavanagh: Εντάξει, καλό. Έχετε αγγίξει πολλά πραγματικά ενδιαφέροντα πράγματα εκεί, ο Κιμ, ένας από τους οποίους - νομίζω ότι αυτό είναι απλό αλλά πολύ έξυπνο - μιλήσατε για την ανίχνευση αποτυχημένων συνδέσεων. Μου φαίνεται ότι είναι ένα πολύ καλό σημάδι ότι κάποιος δεν έχει κανένα καλό δικαίωμα;
Kim Brushaber: Απολύτως. Αν δείτε κάποιον που προσπαθεί να αποκτήσει πρόσβαση και να σπάσει τον κωδικό πρόσβασής σας, είναι πολύ γρήγορος τρόπος να πείτε ότι κάποιος δεν κάνει αυτό που πρέπει να είναι. Ίσως μερικές φορές να πληκτρολογήσετε εσφαλμένα τον κωδικό πρόσβασής σας, αλλά αν δείτε 30 από αυτούς έρχονται, αυτό είναι ένα κακό σημάδι.
Eric Kavanagh: Ναι. Βασικά εδώ είναι να ορίσετε τις ειδοποιήσεις σας με το κατάλληλο πλαίσιο. Τι άλλο μπορείτε να μας πείτε για το πώς να διαχειριστείτε τη διαδικασία της δημιουργίας ειδοποιήσεων και την απενεργοποίηση αυτών που δεν κάνουν τι πρέπει να κάνουν και πόσα από αυτά μπορούν να αυτοματοποιηθούν;
Kim Brushaber: Ο Διαχειριστής Συμμόρφωσης έχει πολλές διαμορφώσιμες ειδοποιήσεις, καθώς και αναφορές που μπορείτε να ελέγξετε. Περνάμε τα ίχνη SQL σας και έχουμε αυτόματα την παρακολούθηση και έχουμε πολλά από αυτά που έχουν ήδη προετοιμαστεί και προκαθοριστεί, αλλά υπάρχει σίγουρα ένα σημαντικό ποσό προσαρμογής που μπορείτε να κάνετε επίσης.
Eric Kavanagh: William, θα σας φέρει σε αυτό - μου φαίνεται ότι είναι ένας από τους τομείς όπου θα δούμε ότι η μηχανική μάθηση θα αρχίσει να παίζει τα επόμενα δύο έως δέκα χρόνια περίπου, εξετάζει όλα τα διαφορετικές δυνατότητες. Κοιτάζοντας όλους τους διαφορετικούς τρόπους με τους οποίους ένα σύστημα μπορεί να βελτιστοποιήσει την αποτελεσματικότητά του, είναι αποτελεσματικότητα γύρω από θέματα όπως παραβιάσεις και ούτω καθεξής. Αυτό είναι και το δικό σου;
William McKnight: Ναι, απολύτως. Νομίζω ότι χτίζουμε συστήματα τώρα που επισκευάζονται. Η παρακολούθηση 24 με 7 αρχίζει να γλιστρά και να γίνει κάτι παρελθόν, αν και εξακολουθούμε να χρειαζόμαστε αυτό το είδος uptime. Νομίζω ότι τα συστήματα είναι σε μεγάλο βαθμό πάρει ότι χτίστηκε και υπολογίζοντας τι είναι αυτό είναι λάθος. Χρειάζεται να διαθέσουμε περισσότερο χώρο εδώ ή τι έχετε; Ναι, νομίζω ότι αυτό είναι σίγουρα ένα μέρος του μέλλοντός μας. Οτιδήποτε εκεί έξω που μπορεί να χαρτογραφηθεί σε μερικά βήματα δράσης, για να λάβει απάντηση σε κάτι, είναι σίγουρα ευάλωτο στην τεχνητή νοημοσύνη.
Eric Kavanagh: Αυτό είναι ένα καλό σημείο. Θα ρίξω μια ακόμα ερώτηση σε εσένα, William, γιατί ξέρω ότι κάνεις πολλές έρευνες σε αυτό το χώρο. Ένα από τα πράγματα που περίμενα τώρα για αρκετό διάστημα και δεν νομίζω ότι είμαστε εκεί ακόμα - νομίζω ότι πλησιάζουμε, απλά από αυτά που έχω διαβάσει και σκέφτομαι - είναι μια μέρα που θα υπάρξει τεχνολογία για να απορροφηθούν κανονιστικά ζητήματα, η πραγματική διατύπωση αυτών των πραγμάτων, και να χαρτογραφηθεί αυτό με τη λειτουργικότητα και το λογισμικό. Όπως λέω, είμαστε ακόμα τρόποι από αυτό - δεν μπορώ να φανταστώ ότι δεν υπάρχει κάποιος που εργάζεται σε αυτό. Αντιμετωπίσατε κάτι τέτοιο ή είμαστε ακόμα σε ένα σημείο όπου τα ανθρώπινα όντα πρέπει να εξετάσουν τους κανόνες, να προσπαθήσουν πραγματικά να τα καταλάβουν, να τα κωδικοποιήσουν ουσιαστικά στον κώδικα μηχανών και στη συνέχεια να τα βγάλουν πέρα στις διάφορες εφαρμογές τους;
William McKnight: Λοιπόν, έχω σίγουρα την έννοια που μοιράζεστε εδώ. Δεν είμαι εξοικειωμένος με τίποτα που συμβαίνει για την ανάπτυξη σε ένα περιβάλλον που σχετίζεται με αυτό. Θα έλεγα εν γένει, όμως, προφανώς αρχίζουμε να λέμε στα μηχανήματα τι δεν πρέπει να κάνουν, αλλά τι είναι ο στόχος αυτού που θέλουμε να κάνουμε και οι μηχανές γίνονται πολύ πιο έξυπνοι για να υπολογίσουν τις λεπτομέρειες. Νομίζω ότι από τη στιγμή που θα έχουμε κάποια τεχνητή νοημοσύνη στις οργανώσεις μας, είναι πολύ πιθανό ότι μπορούν να αναπτυχθούν νέοι κανονισμοί σε συνεννόηση με το AI που αναπτύσσεται μέσα σε οργανισμούς, έτσι ώστε να μπορούν να αναπτυχθούν με τον τρόπο που περιγράψατε στο μέλλον. Προς το παρόν, δεν ενεργούμε με αυτό.
Eric Kavanagh: Εδώ είναι μια ερώτηση που θα σας πετάξω, Kim, γιατί αυτό είναι επίσης ενδιαφέρον. Μιλάτε για τη μέση λανθάνουσα κατάσταση ή για το χρονικό διάστημα που κάποιος που συνδέεται στο σύστημά σας κρύβεται και απλώς περιμένει - αριθμός ημερών που ένας εισβολέας έμεινε αδρανής μέσα σε ένα δίκτυο - η ανίχνευση είναι 200. Είμαι περίεργος να μάθω ποιες είναι οι σκέψεις σου για το πώς μπορείς να βελτιώσεις ότι πρώτα απ 'όλα; Αλλά, επίσης, υπάρχει ένας τρόπος να χρησιμοποιήσετε αυτό το είδος κανόνα για να εξερευνήσετε το δικό σας σύστημα; Για να εξερευνήσετε τα δικά σας δεδομένα, να κάνετε καλύτερη δουλειά για να κρατήσετε αυτά τα παιδιά έξω;
Kim Brushaber: Ναι, νομίζω ότι προφανώς η έγκαιρη ανίχνευση είναι το κλειδί. Πρέπει να καταλάβετε ότι αυτές οι κακόβουλες τοποθεσίες έχουν πρόσβαση στις πληροφορίες σας και είναι σε θέση να την κλειδώσουν. Νομίζω ότι στις άλλες διαφάνειες, όπου δείχνουμε ότι οι περισσότεροι οργανισμοί δεν διαθέτουν αυτές τις πολιτικές. Γι 'αυτό κάθονται εκεί. Νομίζω ότι αν είχατε στην πραγματικότητα μια πολιτική για να περάσετε και να κλειδώσετε την πρόσβασή σας και να βεβαιωθείτε ότι έχουν δικαίωμα πρόσβασης οι κατάλληλοι άνθρωποι. Βεβαιωθείτε ότι περιστρέφετε τα κλειδιά σας τακτικά και ενημερώνεστε. Βεβαιωθείτε ότι οι κωδικοί πρόσβασης ενημερώνονται τακτικά και κάνετε τέτοιου είδους πράγματα, τα οποία φαίνονται αρκετά βασικά. Αυτή τη στιγμή, οι περισσότερες οργανώσεις δεν το κάνουν αυτό, και για να αρχίσετε να βάζετε αυτά τα κομμάτια θα σας βοηθήσουν να ξεπεράσετε αυτό.
Σημαίνει φυσικά ότι οι χάκερ θα γίνουν πιο πονηροί γι 'αυτό, αλλά αυτή τη στιγμή είναι εύκολο, είναι σαν: "Πάω να κοιτάξω τα σπίτια στο δρόμο που νιώθω σαν να θέλω να εισέλθω, θα έχουν συναγερμό συστήματα; Έχουν ένα μικρό σημάδι συναγερμού και το ένα έχει σκυλιά; Πάω να πηγαίνω σε ένα που δεν έχει σημάδι συναγερμού, δεν έχει σκύλο και αυτό είναι το σπίτι στο οποίο θα εισέλθω. "Λοιπόν, πρόκειται να μάθουν τις εταιρείες που δεν δουλεύουν, t έχουν αυτά τα μπαλώματα στη θέση τους και δεν έχουν την ασφάλεια στη θέση τους και δεν ενημερώνουν τους κωδικούς πρόσβασής τους και πρόκειται να πάνε και να κρεμούν έξω εκεί και να χρησιμοποιήσουν την πιστωτική σας κάρτα σε βενζινάδικο μερικές φορές για να βεβαιωθείτε δεν το έχετε κλείσει και στη συνέχεια όταν μπορούν να επηρεάσουν μια μεγάλη αλλαγή, συνήθως κάποιο είδος πολιτικής δήλωσης ή άλλως είναι όταν τα βλέπετε να ξεπροβάλλουν τα κεφάλια τους. Κάνοντας αυτές τις πολιτικές σε ισχύ, νομίζω ότι σε αυτό το σημείο μπορείτε να κάνετε μερικά ελάχιστα βήματα για να μπορέσετε να ξεπεράσετε αυτό το παιχνίδι.
Eric Kavanagh: Αυτή είναι ίσως η καλύτερη συμβουλή και ακούω πάντα αυτό όταν μιλάμε με ανθρώπους που βρίσκονται στον χώρο ασφαλείας ή στον ρυθμιστικό χώρο, ότι τα βασικά θα καλύψουν το 80% του προβλήματός σας και αυτό είναι ένα μεγάλο μέρος της κάλυψης - αυτό είναι σωστή παρατήρηση. Ένας από τους συμμετέχοντες ρώτησε αν κάποιος θα μπορούσε να επεκτείνει τις επιχειρηματικές ευκαιρίες που θα μπορούσε να εξορύσσεται από τις προσπάθειες συμμόρφωσης με το GDPR, μου υπενθυμίζω τη Sarbanes-Oxley και υποθέτω ότι, William, θα σας το ρίξω. Ως σύμβουλος ψάχνετε πάντα τρόπους για να βοηθήσετε τους πελάτες σας εκτός του πεδίου εφαρμογής ενός συγκεκριμένου έργου - τουλάχιστον αν είστε καλός σύμβουλος που το κάνετε. Όταν μιλάτε στους ανθρώπους για το GDPR, ποια είναι τα βοηθητικά οφέλη που μπορείτε να πάρετε ότι θα αποκτήσουν αν συμμετάσχουν σε κάποιο έργο επικεντρωμένο σε αυτό;
William McKnight: Πρώτα απ 'όλα, είναι σημαντικό να σημειωθεί ότι η ιδέα πίσω από το GDPR δεν είναι πλήρη δικαιώματα για τον πολίτη καθόλου. Υπάρχει η άλλη πλευρά του GDPR που είναι, αυτό θα βελτιώσει την εμπιστοσύνη που έχουν οι πολίτες στις επιχειρήσεις μας και πρόκειται να τους ενθαρρύνει να κάνουν περισσότερες επιχειρήσεις στις εταιρείες που συμμορφώνονται. Υπάρχουν εκείνα τα βοηθητικά οφέλη της πραγματικής υλοποίησης του GDPR σας, τώρα εσωτερικά, τα προγράμματα διακυβέρνησης δεδομένων που εφαρμόζουμε χρησιμεύουν για τη διευκόλυνση όλων των μορφών πρωτοβουλιών που πραγματικά ξεκινούν μέσα στους οργανισμούς και σήμερα, πολύ περισσότερο, πρωτοβουλίες που κλωτσούν εντός των οργανώσεων. Έχω κάνει πρόσφατα κάποιο σχεδιασμό για το 2018 με πολλούς από αυτούς, έχουν να κάνουν με τα δεδομένα, πολλά, είναι σαν το 65 τοις εκατό έως το 90 τοις εκατό όλα σχετικά με τα δεδομένα - όταν μιλάμε για telematics ή πελάτη 360 πρόγραμμα ή ένα ταμπλό για την παρακολούθηση των πωλητών, είναι σε μεγάλο βαθμό σχετικά με τα δεδομένα. Οτιδήποτε διαχειρίζεται αυτά τα δεδομένα καλύτερα, το βάζει σε μια καλύτερη αρχιτεκτονική που ονομάζει ανθρώπους που είναι οι άνθρωποι που μπορούν να απαντήσουν σε όλες τις ερωτήσεις σχετικά με αυτά τα δεδομένα, που πραγματικά ενδιαφέρονται σαν ένα πρόγραμμα διακυβέρνησης δεδομένων. Οτιδήποτε μας δίνει ένα γλωσσάριο δεδομένων - όπως ο Κίμ μιλούσε για τα εργαλεία της - οτιδήποτε το κάνει αυτό, είναι πολύ χρήσιμο να κάνουμε αυτές τις πρωτοβουλίες πολύ πιο αποτελεσματικές, να τους αποτρέψουμε, να συρρικνωθεί ο χρόνος, να μειώσουμε τον προϋπολογισμό για αυτούς και να μας σε μια ευκίνητη στιγμή να εμπορευτεί πολύ ταχύτερα και καλά πράγματα για μια εταιρεία που κάνει πρωτοβουλίες, η οποία είναι όλες οι εταιρείες.
Eric Kavanagh: Λατρεύω αυτή την έννοια της εμπιστοσύνης. Νομίζω ότι η εμπιστοσύνη είναι μια πολύ υποτιμημένη πραγματικότητα στον κόσμο μας και ειλικρινά, οι περισσότερες επιχειρήσεις τρέχουν στην εμπιστοσύνη - το κάνει πραγματικά όταν το κατεβείτε. Θα το πετάξω μόνο για μερικά τελικά σχόλια, Kim. Νομίζω ότι μια από τις βασικές αξίες που προσθέτει εδώ είναι η βελτίωση της εμπιστοσύνης και η προώθηση μιας κουλτούρας εμπιστοσύνης, διότι όχι μόνο θα έχει θετικό αντίκτυπο στην ίδια την επιχείρηση, στους ανθρώπους μέσα στην ίδια την επιχείρηση αλλά και σε αυτό που το κοινό αντιλαμβάνεται επειδή Το πράγμα ξεχειλίζει, μου φαίνεται, αλλά τι νομίζεις;
Kim Brushaber: Ναι, νομίζω ότι όταν μιλάω με φίλους που δουλεύουν στο Google ή δουλεύουν στο Facebook ή σε μερικούς από τους μεγαλύτερους, πραγματικά υψηλού προφίλ οργανισμούς, δεν εφαρμόζουν σχεδόν εξίσου πολλά νέα χαρακτηριστικά όπως στην εφαρμογή πρωτόκολλων και επιδόσεων ασφαλείας και ζητήματα επεκτασιμότητας επειδή θέλουν την εμπειρία των χρηστών τους να είναι εκείνη όπου πιστεύουν ότι μπορούν να εμπιστεύονται αυτές τις πληροφορίες. Πιστεύω ότι οι επιχειρήσεις έχουν αυτή την ευθύνη καθώς συνεχίζουμε να προχωρούμε για να παρέχουμε αυτό το είδος εμπιστοσύνης. Θυμάμαι όταν οι άνθρωποι άρχισαν να βάζουν τις πιστωτικές κάρτες σε απευθείας σύνδεση και οι άνθρωποι μοιάζουν με: "Ω Θεέ μου, δεν πρόκειται να δώσω τις πληροφορίες εκεί έξω γιατί δεν είναι ασφαλές".
Και τώρα, η πιστωτική σας κάρτα πηγαίνει σε κάθε τρόπο, επειδή, θεωρητικά, νομίζετε ότι μπορείτε να εμπιστευθείτε την εταιρεία επειδή έχει ένα πιστοποιητικό HTTPS. Τότε ακούτε για τις παραβιάσεις δεδομένων Target όπου οι πιστωτικές κάρτες, όπου ήταν σαν, "Ω, καλύτερα να ανταλλάξετε την πιστωτική σας κάρτα επειδή αφήσαμε τις πληροφορίες αυτές". Νομίζω ότι είναι ένα αμφίδρομο συναίσθημα. Νομίζω ότι τα άτομα, ενώ θέλουν να έχουν μεγαλύτερη εμπιστοσύνη επειδή είναι πολύ ευκολότερο, να είναι σε θέση να εμπιστεύονται και να έχουν εμπιστοσύνη σε αυτό σε μεγάλους οργανισμούς, οι μεγάλοι οργανισμοί πρέπει να ενταχθούν και να θέσουν αυτά τα κομμάτια στη θέση τους, να τραυματίσετε το άτομο ή να χάσετε μερίδιο αγοράς. Οι άνθρωποι λένε: "Καλά ξέρετε τι, δεν πρόκειται να ψωνίσω στο Target πια, τώρα πρόκειται να ψωνίσω στο Amazon." Νομίζω ότι η εμπιστοσύνη είναι ένα μεγάλο ζήτημα, αν και, όπως είπαμε, 78 τοις εκατό των ανθρώπων είναι θα συνεχίσουν να κάνουν κλικ σε αυτόν το σύνδεσμο σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου, παρόλο που γνωρίζουν ότι δεν μπορούν. Υπάρχει μια ορισμένη προστασία των ανθρώπων, ακόμη και όταν σας εμπιστεύονται.
Eric Kavanagh: Αυτό είναι ένα καλό σημείο. Ξέρεις τι, θα σου πετάξω μια τελευταία ερώτηση, τον Ουίλιαμ, ή τουλάχιστον έναν ακόμα - πήραμε κάποια καλά που έρχονται τώρα. Ένας συμμετέχων γράφει: "Η GDPR κινεί τη διαχείριση ταυτότητας πίσω στον πελάτη, όπου ανήκει. Η Equifax βλάπτει μόνιμα 149 εκατομμύρια καταναλωτές, "πολύ αληθινό", που μολύνουν την ψηφιακή οικονομία. Τι αλλαγές βλέπετε στις ΗΠΑ όσον αφορά την ιδιοκτησία των πελατών όσον αφορά τη διαχείριση ταυτότητας; "
William McKnight: Λοιπόν, είμαστε πάντα πίσω στις ΗΠΑ όταν πρόκειται για τέτοιου είδους πράγματα, έτσι δεν είναι; Εκατόν σαράντα εννέα εκατομμύρια, αυτό δεν είναι πτώση στον κάδο εκεί. Είναι σαν την τρομοκρατία, έτσι; Είμαστε τόσο συνηθισμένοι, συμβαίνει πάντα. Νομίζω ότι κάτι πρέπει να γίνει. Νομίζω ότι το GDPR, μου αρέσουν τα δικαιώματα που δίνει στους πολίτες, αλλά δεν φαίνεται να είναι προτεραιότητα - υπάρχουν πολλές άλλες προτεραιότητες και δεν ξέρω πού θα πάει. Νομίζω, όπως ανέφερα και στις διακλαδώσεις των διακυμάνσεων που είχα, ότι αυτό σηματοδοτεί μια στροφή προς τα περισσότερα δικαιώματα από τον καταναλωτή πάνω στα δεδομένα τους. Όταν αυτό συμβαίνει εδώ στις ΗΠΑ; Δεν ξέρω, θα μπορούσε να είναι μέχρι πέντε χρόνια μακριά, για να δείτε κάτι αντίστοιχο με το GDPR που συμβαίνει εδώ στις ΗΠΑ. Απλά κερδοσκοπία σε αυτό το σημείο.
Eric Kavanagh: Είναι πολύ καλό σημείο και νομίζω ότι θα δούμε περισσότερη προσπάθεια γι 'αυτό, ας το παραδεχτούμε, κινούμαστε προς μια τέτοια ψηφιακή οικονομία αυτές τις μέρες. Και ως τελικό σχόλιο εδώ, που παίρνει ένα tad φιλοσοφικό, πολιτική προσανατολισμό, αυτό είναι που με απασχολεί περισσότερο για τη μετάβαση σε μια χωρίς μετρητά κοινωνία, επειδή όταν μετρητά πηγαίνει μακριά, αν συμβεί αυτό, τότε όλα είναι ψηφιακά και κάθε σύστημα μπορεί να πειραχτεί και η ταυτότητα κάθε ατόμου μπορεί να κλαπεί. Μου φαίνεται ότι είναι ένας πολύ μεγάλος ελέφαντας στο δωμάτιο εδώ, καθώς κοιτάμε κάτω από το λούστρο για το μέλλον της διαχείρισης ταυτότητας.
Αυτό είναι όλα ωραία πράγματα, λαοί. Χάρη στον William McKnight για το χρόνο και την προσοχή του σήμερα. Σας ευχαριστώ για την Kim Brushaber από την IDERA. Κάνουμε αρχειοθέτηση όλων αυτών των webcast για μελλοντική προβολή, οπότε αισθανθείτε ελεύθερος να επιστρέψετε, συνήθως μέσα σε λίγες μόνο ώρες και το αρχείο θα είναι έτοιμο. Με αυτό, θα σας αποχαιρετήσουμε, παιδιά. Σας ευχαριστούμε και πάλι για το χρόνο και την προσοχή σας Προσέξτε. Αντίο.
