Od zamestnancov Techopedia, 6. decembra 2017
Jedlo s sebou: Hosť Eric Kavanagh diskutuje o pripravovanom všeobecnom nariadení EÚ o ochrane údajov a jeho dôsledkoch na toto odvetvie. Pripojiť sa k nim sú William McKnight z konzultačnej skupiny McKnight Consulting a Kim Brushaber z spoločnosti IDERA.
Momentálne nie ste prihlásení. Ak chcete vidieť video, prihláste sa alebo sa zaregistrujte.
Eric Kavanagh: OK, dámy a páni, opäť sa pozdravte. Je streda o 4. hodine východného času, čo znamená, že je čas znova - jeden z posledných v roku 2017 - pre Hot Technologies. Áno, skutočne sa volám Eric Kavanagh - budem vašim moderátorom dnešnej akcie. Hovoríme o téme, ktorá je prinajmenšom ďalekosiahla. V súčasnosti sa to nezdá - koncept GDPR, globálne nariadenie o ochrane údajov. Poďme do toho a ponorte sa do toho, nie je to o vás naozaj, dosť o mne. Tento rok je horúco, bolo to naozaj horúco rôznymi spôsobmi, ale nastávajúce nariadenia GDPR a iných organizácií nás celkom otvorene nútia, aby sme prehodnotili to, čo sa deje vo svete podnikania, konkrétne ako to vyplynie, alebo pretože sa týka údajov. Budeme počuť od Kim Brushabera z IDERA a tiež Williama McKnighta z McKnight Consulting Group.
Len pár rýchlych slov k danej téme, priatelia. GDPR v podstate hovorí, že organizácie musia mať v súvislosti s údajmi najprv politiku ochrany osobných údajov a bezpečnosť, a skutočne ide o niektoré veci, ktoré ste možno počuli - celé právo na zabudnutie je napríklad čiastočne a čiastočne celý tento okamih a je to veľmi zaujímavé. Určite to platí, pokiaľ ide o jeho zásady a etiku. Pokiaľ ide o skutočnú implementáciu, je to dosť vážna výzva. Právo byť zabudnutý hovorí, že ak chcete, aby niektoré organizácie nemali vaše údaje, vaše osobné údaje, musia sa ich zbaviť. Môžete si len predstaviť, keď niektoré z týchto skutočne heterogénnych dátových prostredí budú také náročné. Aby sme boli schopní preniknúť na všetky miesta, kde sú vaše údaje trvalé a vytiahnuť ich, jednoducho sa to nestane, to je spodný riadok. Organizácie však musia mať zavedené politiky, aby dokázali vyriešiť tieto obavy, a to je presne to, čo budú regulátori hľadať.
Je to veľká vec. Organizácia musí nielen odstrániť vaše údaje, ak to hovoríte, ale ak pre tieto údaje vyškolili algoritmy, majú tiež technicky preškoliť algoritmy. To je vysoký príkaz, musím ti povedať, ale prichádza to, klesá šťuka, bude to realita v máji budúceho roka a existujú aj ďalšie nariadenia. Kanada má antispamový zákon, ktorý prešiel, čo má vplyv na to, ako nakladáme s osobnými údajmi. Čistá neutralita teraz klesá, samozrejme, je v podstate vykorenená a to zmení niektoré veci. Existuje veľa týchto veľmi vážnych nariadení, ktoré ovplyvňujú podniky po celom svete a po celom svete, na ktoré veľké organizácie skutočne musia začať premýšľať a pripraviť sa na ne.
Z tohto dôvodu sme online Williama McKnighta v konzultačných skupinách McKnight, aby nám dali vedieť, čo si myslí a prečo GDPR je v skutočnosti iba špičkou ľadovca. S tým, William, ti to dám. Vziať to preč.
William McKnight: Ďakujem, Eric, a ako vravíte, ako hovorí, tento GDPR je možno špičkou ľadovca - to je určite to, čo si myslíme. Je dôležité, aby sme sa dôkladne ponorili do GDPR, pretože si myslím, že to predstavuje vlnu regulácie, ktorá prichádza z potrubia, s ktorým sa musíme vysporiadať. Našťastie, Eric, okolo tohto práva na zabudnutie sú nejaké rozumné normy, ku ktorým sa dostanem. Napriek tomu si myslím, že tento rok, keď hovorím o GDPR, hovorím o GDPR, existuje veľa firiem, najmä amerických firiem, ktoré na to ešte nie sú pripravené. Je určite horúce a niečo, o čom sme určite nerozmýšľali pred rokom, keď len skúšali balóny s niektorými vecami, ale teraz je to nariadenie a musíme sa ním zaoberať, ako ste povedali, Eric, môže sa to pravé hore - takže vôbec nie tak ďaleko.
Trochu o mne, pôjdem k tomu z hľadiska údajov. Aby som vás informoval, som celoživotnou osobou zaoberajúcou sa údajmi a konzultujem teraz 19 rokov v oblasti údajov a GDPR je veľa o údajoch. Budem tu predstavovať súbor riešení, keď sa dostanem do svojej prezentácie týkajúcej sa správy údajov. Zrejme robím veľa programov na správu údajov a myslím si, že ak ste v súlade s týmto konceptom, robíte nejaké riadenie údajov, veľa spoločností tam bude dosť ďaleko na ceste v skutočnosti, pokiaľ ide o súlad s GDPR, bude toho však veľa a čo je úprimnejšie povedané, ktoré majú pri príprave GDPR pozadu. Stanovme si úroveň a pochopíme, o čom je GDPR, a keď sa dostaneme hlbšie do rozhovoru, dostaneme sa k ďalším dopadom GDPR na obchodný život, keď ideme ďalej do nového roka a ďalej.
GDPR slúži na ochranu osobných údajov občanov Európskej únie. Je to regulácia - znamená, že má zuby, znamená, že je vynútiteľná. Nie je to niečo, čo by sa tam uvádzalo ako návrh - to sa už stalo a teraz je formované do nariadenia s pokutami. Rád začínam pokutami, pretože to ľudí skutočne upúta. Sú to prísne sankcie. Existujú dve pokuty: 2% celosvetového ročného príjmu alebo 10 miliónov EUR, ak si podnik neplní bezpečnostné povinnosti, ale všetko ostatné, čo je v rozpore s inými ustanoveniami - a dostanem sa k nim - to je 4%. Počuli ste, že to bolo o 4% viac. A mimochodom, je to 4 percentá alebo 10 miliónov eur, podľa toho, čo je vyššie. To je veľmi prísne. Ľudia sú veľmi vážni. Presadzujte začatie 25. mája 2018 - to je kľúčový dátum, v ktorý sa môžu začať audity, v tom prípade môžete získať pokutu. Určite chcete byť na to pripravení. Každá spoločnosť, ktorej sa zaoberám, sa zaoberám mnohými globálnymi spoločnosťami z roku 2000, sú niekde v príprave GDPR, niektoré viac ako iné a niektoré musia byť v tomto okamihu viac ako iné. Určite bude pre niektorých náročné splniť tento dátum a uvidíme sa.
Je to najúplnejší režim dodržiavania ochrany osobných údajov, aký sme doteraz videli. Keď uvidíme niečo prísnejšie alebo niečo, čo má priamy vplyv na americkú populáciu, kto vie, ale je to tam a určite sa musí dodržať. Vyžaduje si od organizácií, aby pochopili, čo PI občana UE - poznáme PII právo - informácie umožňujúce identifikáciu osôb, sociálne zabezpečenie, telefónne číslo, adresa, veci, ktoré môžu jedinečne identifikovať osobu alebo celkom jednoznačne jednoznačne identifikovať osobu. Čo majú a ako to používajú. To znamená inventár. To znamená reguláciu tohto druhu údajov vo vašich vlastných spoločnostiach. Mimochodom, USA nemajú žiadny celoštátny zákon o ochrane údajov. Spojené štáty boli, vždy povedané pozadu, perspektívne - za Európou, pokiaľ ide o tento druh regulácie, a to pokračuje. To pokračuje s GDPR, to je celkom zrejmé. Niektorí z vás môžu vedieť o ochrane súkromia, možno vás zaujíma. V GDPR existujú asi tri alebo štyri ustanovenia, ktoré sa prekrývajú so štítom na ochranu súkromia, ale v GDPR je sto ustanovení, takže je to omnoho viac a samozrejme to platí aj naďalej, čo súvisí s výmenou údajov medzi USA a EÚ. iba, aj keď je to dôležité.
Opäť by som rád začal číslami. Počuli ste o pokutách, ako sa na to pripravíte. Rozpočtovanie pre GDPR a niektoré z nich, to závisí od niekoľkých faktorov. Množstvo údajov PII, ktoré zhromažďujete o občanoch EÚ. Ak nezbierate žiadne, OK, pravdepodobne ste v súlade a nemusíte sa tým zaoberať, ale pravdepodobne ste na tomto hovore, pretože niekde zbierate. Veľkosť vašej spoločnosti a zrelosť správy údajov, ktorá, ako som už povedal, sa možno blíži tomu, čo musíte urobiť, aby ste reagovali na GDPR. Na dosiahnutie súladu môžete očakávať až niekoľko miliónov USD alebo EUR. Chceme však, nechceme iba dodržiavať GDPR, začiarknuť toto políčko, samozrejme, musíme to urobiť. Dúfajme, že nie ste v tej špinavejšej situácii, keď ste práve zúfalí začiarknuť toto políčko. Hľadajte obchodné výhody, pretože veľa vecí, ktoré robíte na podporu GDPR, je pre vaše podnikanie dobré. Správa údajov je pre vaše podnikanie dobrá. Pokiaľ ide o množstvo údajov PII, niektoré sú dôležitejšie ako iné, niektoré sa podrobia podrobnejšiemu skúmaniu ako iné, napríklad zdravie súvisiace s údajmi, ktoré sa v rámci GDPR regulujú oveľa prísnejšie ako iné typy údajov a budú vyžadovať súlad s ďalšími povinnosťami, ako je vykonávanie hodnotení vplyvu na ochranu údajov, ktoré samozrejme zvyšujú váš rozpočet.
Trochu tam o rozpočte. V prípade, že ste vo Veľkej Británii alebo USA a zaujíma vás, čo to má na vás - GDPR ovplyvňuje Spojené kráľovstvo, ktoré je stále v EÚ, mimochodom, do 29. marca 2019 a ktorého vláda naznačila, že niečo ako GDPR bude pokračovať po tomto dátume, pretože „je to dobrý nápad.“ Spoločnosti zo Spojeného kráľovstva ho musia dodržiavať. Údaje o občanoch Spojeného kráľovstva sú určite na stole. Ak to nie je jasné, existujú obchodné spoločnosti so sídlom v USA, ak v EÚ obchodujete s údajmi o občanoch EÚ, určite to platí pre vás. To má dôsledky na vašu dátovú architektúru, pretože môžete skončiť s tým, že budete musieť zahodiť svoje údaje EÚ od všetkého ostatného a zaobchádzať s nimi inak. Ako povedal Eric, ovplyvňuje to analytiku v tom, ako zostavujete tieto analytiky a tak ďalej. Teraz môže byť ťažšie rozbehnúť akýkoľvek druh koncepcie, globálnej analýzy. V dôsledku GDPR sa môžu viac lokalizovať.
Čo je v ustanoveniach? Existujú normy na ochranu údajov. To všetko ale vyžaduje šifrovanie údajov v pokoji a v pohybe. Ďalej budem hovoriť o šifrovaní. Existujú štandardy oznamovania porušenia údajov. Už žiadne čakanie mesiacov, čakanie na ubytovanie, aby to všetci dali vedieť. Myslím, že tu bol jeden veľký deň a my sme zistili: „Och, stalo sa to pred rokom.“ Nič z toho s GDPR - máte 72 hodín. Je to politika mien a hanby. Dúfajme, že sa k tomu nikto nedostane, samozrejme niektorí ľudia. Porušenie bude pokračovať, samozrejme aj po GDPR. Existujú procesy na monitorovanie umiestnenia a kvality údajov. Znie to dobre? To je skutočne srdce správy údajov. Dúfajme, že niektoré z nich idú.
Občania EÚ majú právo byť zabudnutí, ako uviedol Eric. Existujú určité normy primeranosti, Eric. Nemusíte nutne všetko vyhladzovať, ak budete musieť znova kontaktovať tohto zákazníka, tohto zamestnanca, môžete si ponechať určité aspekty svojich osobných údajov. Avšak títo občania majú napriek tomu právo byť zabudnutí, ale nemôže existovať žiadne neprimerané úsilie - to je jazyk - na vás alebo poškodenie spoločnosti, je na vás, aby ste tieto údaje vyhladili. Nechcem to zoslabovať, ale musíte uvoľniť aj kópie osobných údajov, ktoré sú v držbe, a tieto údaje môžete získať iba so súhlasom. Tento súhlas musia udeliť ľudia, ktorí majú minimálny vek, aby mohli udeliť takéto povolenie. Je to tam sústo, ale dáva to občanom veľa práv na ich údaje. To je prenosnosť priamo v prípade, že sa to vôbec objaví. Právo na zabudnutie, samozrejme, ale tiež - a na niečo, čo nie je na mojej snímke, čo je veľmi dôležité - je dotknutá osoba, nemá právo byť predmetom rozhodnutia založeného výlučne na automatizovanom spracovaní. Na čo sme sa tvrdo pohybovali? Automatické spracovanie, okolo prijatia úveru, ponúk, ktoré poskytneme, to všetko musí byť vypracované z hľadiska toho, ako to bude hrať a ako ďaleko to bude ďalej. V podstate sa hovorí o tom, prečo som bol odmietnutý, prečo ma táto spoločnosť do istej miery zaobchádza. Toto je právo, ktoré sa udeľuje občanovi EÚ.
Je zrejmé, že existujú určité dôsledky na to, ako podnikáme, a dúfajme, že vidíte, že GDPR nie je problémom IT, nie iba problémom IT. Sú zapojené všetky tieto obchodné procesy. Zúčastnia sa na ňom ľudia z celej spoločnosti. Vymenovanie úradníka pre ochranu údajov sa odporúča pre spoločnosti s viac ako 250 zamestnancami a máte „kritickú matematiku s údajmi EÚ PII“. Môžete sa sami rozhodnúť, či máte túto kritickú matematiku, niekedy je to zrejmé, niekedy to tak nie je. Ale je tu nová úloha - nemusí to byť úloha na plný úväzok, osoba môže mať iné povinnosti, ale ja neviem - v niektorých stredne veľkých a väčších korporáciách si myslím, že dodržiavanie GDPR sa chystá byť blízko úlohy na plný úväzok. Povedal by som, že začnite týmto spôsobom a uvidíme, či to zvládnete. Najmä v priebehu budúceho roka, keď sa budete chcieť spojiť okolo GDPR, po tom, ako sa usadíte, možno môžete spomaliť prácu na tom, ale nejakým spoločnostiam to zaberie dosť času. Umožnite jednotlivcom vidieť svoje vlastné údaje a prenosnosť údajov, ako som už spomínal.
Mimochodom, toto nie je všetko nové, ale právo byť zabudnutý tam skutočne bolo, verte tomu alebo nie. Súčasné pravidlá EÚ už ustanovujú právo na odstránenie alebo sprístupnenie osobných údajov. Teraz je však súčasťou GDPR a bude sa presadzovať oveľa širšie. Šifrovanie údajov - šifrovanie údajov v pokoji. Používajte štandardné metódy šifrovania, nepoužívajte vlastné domáce alebo neštandardné šifrovanie. AES je taký, ktorý odporúčame trochu. Používajte kryptograficky bezpečné šifrovacie kľúče. Tieto kľúče pravidelne menite. Zabráňte tiež strate týchto kľúčov. Toto sú len osvedčené postupy šifrovania, ale teraz prichádzajú do popredia s GDPR. V tom spočíva problém - narazil som iba na špičku ľadovca. Je zrejmé, že je potrebné preskúmať viac ustanovení, ale to sú tie hlavné.
Teraz riešenie. Správa údajov, rámec vášho dodržiavania, aspoň to je perspektíva, ktorú tu predkladám. Našťastie existuje aktívna dobre udržiavaná disciplína, ktorá v dospelosti dokáže a robí väčšinu požiadaviek, a to je správa údajov - samozrejme to hovorím. Programy riadenia by mali mať dátový glosár, a tu používam glosár údajov vo všeobecnom slova zmysle, čo znamená všeobecnú dokumentáciu pre vaše procesy. Toto je základné, slúžiť potrebám zásob GDPR, čo je, ako sme videli, dosť obrovské. Program, program riadenia, by mal uľahčovať protokoly bezpečnosti údajov - a zdôrazňujem, že to nie je niečo, čo momentálne robí veľa programov správy údajov, ale myslím si, že je to logické miesto, aby sa to stalo, pretože sú sedí na programe, ktorý určuje, kto sú vlastníci firiem? Kto to musí vidieť? Ďalším krokom je udelenie týchto povolení. Je potrebné to centralizovať a formalizovať. Musia existovať vnútorné politiky, ktoré sa používajú. Všetkým prvkom je potrebné priradiť správu, aby sa poskytli informácie pre všetky vyššie uvedené skutočnosti. Správa údajov môže byť tiež pomocníkom pri vývoji podnikových procesov, ktoré sa bude vyžadovať.
Predtým, ako opustím túto snímku, v snahe vyhnúť sa odvážnym pokutám začnú spoločnosti považovať za vedľajší produkt zdravé obchodné praktiky. Rád by som povedal, že je to viac ako vedľajší produkt, ale v skutočnosti je to len dobrý a zdravý obchod, ktorý vás z obchodného hľadiska dovedie na nové miesta. Určite získate veľa efektívnosti pri uskutočňovaní všetkých iniciatív vo všetkých oblastiach, ak máte dobrú správu údajov, to som videl v priebehu rokov. Pridaním niektorých z týchto vecí, ktoré spomínam, do správy údajov sa budú len zlepšovať. V rámci vášho podnikového procesu vám odporúčame položiť tieto otázky plošne a zasiahnuť všetky obchodné oblasti. Aký druh údajov zhromažďujeme o našich zákazníkoch z EÚ? Nebudem ich všetky čítať. Niektoré z kľúčových tu. Kto musí vidieť tieto údaje a dodržiava sa? Kto sú správcami týchto údajov? Kto je môj podnik v odbore? Toto je veľké: zdieľame tieto údaje s tretími stranami? Len preto, že ju poskytnete tretej strane, nezbavuje sa zodpovednosti za tieto údaje - stále sú to vaše údaje, stále sú to údaje, ktoré ste zhromaždili. V dôsledku GDPR sa teraz dôkladne prehodnocuje veľa zmlúv s tretími stranami. Majú tieto systémy deterministické poruchy? Znamená to, že keď zlyhajú, zlyhajú na ceste, ktorú sme vopred určili, alebo jednoducho zlyhali, havarovali, spálili a začíname od toho, aby sa na ňu kopali škrabance? Bude to samozrejme oveľa lepšie. Je to už dobrý postup, ale v prípade reverzného inžinierstva sú niektoré z týchto vecí, samozrejme, oveľa lepšie, ak máte vo vašom systéme veľké deterministické poruchy.
Zachovanie údajov, hovoríme navždy o uchovávaní údajov. Mnoho spoločností má politiky, nie všetky ich však dodržiavajú. Je zrejmé, že, skvele v zdravotníckej a finančnej oblasti, chceme uchovávať údaje, musíme údaje uchovávať určitý počet rokov. Niektorí analytici v týchto firmách, ktorí uchovávajú údaje po dobu siedmich rokov alebo nie, povedia: „Och, po tomto období tieto údaje stále chcem.“ Niektorí právnici v týchto spoločnostiach hovoria: „Ale musíme sa ich zbaviť na účely zodpovednosti, “atď. Nemôže to len tak sedieť, pretože problém s HDPR už nie je problémom u loggerov. Musíme mať retenčné obdobie, nechať ho dôsledne dodržovať plošne v rámci organizácie.
A nakoniec, ako mobilizujete pre porušenie údajov? Tieto najhoršie scenáre, ktoré by sa vám mohli stať. Zrejme sa im snažíme zabrániť, ale čo keď sa to stane? Ako túto vec vyriešite a ubezpečíte sa, že vo svojej odpovedi teraz dodržiavate ustanovenia GDPR? Som dátový architekt, myslím na dátovú architektúru. Ak ste spoločnosť so sídlom v USA a operujete v EÚ, čo znamená údaje o občanoch EÚ - zhromažďujete ich, budete musieť zvážiť, či sa majú normy ochrany údajov uplatňovať na všetky údaje alebo iba na údaje EÚ. Áno, mám klientov, ktorí sa teraz rozhodujú. Ako riadne obchodné praktiky by to mohli chcieť priniesť do USA, môžu sa cítiť, akoby mali čas, ale to vynáša guľku číslo dve. Ak nemôžete ručiť za to, že americké systémy budú s údajmi správne zaobchádzať, pravdepodobne budete musieť zablokovať údaje EÚ zo systémov USA. Oddeľujú sa tieto údaje na účely analýzy? Platia dokonca analytické údaje, ak sa ich snažíte robiť v rámci celej krajiny? Niekedy áno, niekedy nie, však? Možno zistíte, že v dôsledku toho bude vaša analytika stlmená.
Ako som už spomínal, hrá tu umelá inteligencia, pretože samozrejme môžeme použiť AI na nájdenie všetkých údajov, pomôcť nám nájsť všetky údaje, ale ak použijeme AI v našich zákazníckych rozhraniach, musíme mať teraz transparentnosť s našimi zákazníkmi rozhrania a to nikdy nebolo silným oblekom AI. Pokúsiť sa povedať zákazníkovi: „Boli ste odmietnutí, pretože bla, bla, bla, “ keď to skutočne bola AI. To sa teraz musí urobiť. Musíme zistiť, ako funguje AI, aké sú faktory? Nemôžete už len tak sedieť a byť pre vás čiernou skrinkou. Čo urobíme teraz? Vytvorte si dosku GDPR. Navrhujem, aby ste tam mali svojho nadriadeného úradníka pre ochranu osobných údajov, alebo ak máte úradníka pre ochranu údajov, samozrejme túto osobu. Vedúci správy údajov, operačné riziko a / alebo dodržiavanie predpisov, ak sa uplatňujú, vedúci IT, CIO, ak je to osoba. Ak máte zmenenú riadiacu osobu, bol by to skvelý človek. Len vedúci niektorých najdôležitejších oddelení vo vašej firme a tiež vedúci oddelenia ľudských zdrojov, pretože školenie o ochrane osobných údajov bude teraz obrovské. Každý sa chystá absolvovať školenie o ochrane osobných údajov alebo by sa mal školiť o ochrane osobných údajov, keď vstúpi do spoločnosti, dokonca aj konzultanti.
Ak nerobíte tieto veci, ktoré tu vidíte, budete sa musieť pohybovať rýchlejšie, ako by ste chceli urobiť termín. Musíte tiež začať dúfať, že nie ste jedným z prvých, ktorý má byť predmetom auditu, pretože, úprimne povedané, je tu veľa práce, ak začínate od nuly a zaoberáte sa mnohými údajmi o občanoch EÚ. Prijmite si DPO, inventarizujte svoje údaje a svoje procesy. Zostavte tento plán správy údajov a zoberte ho z miesta, kde je, kde to musí byť. Ak je to možné, možno budete chcieť začať. Vyskúšajte si svoje zásady ochrany osobných údajov a vaše upozornenia na pravidlá. Zásady ochrany osobných údajov sú interné. Oznámenia o zásadách sú externé. Vidíme kultúru, ktorá sa začína vytvárať okolo oznámení o politikách. V súvislosti s týmito oznámeniami o politikách sa vykonalo veľa porovnávaní a vykonalo sa veľa dôkladných formulácií. Charta kontroly súladu GDPR pre všetky systémy vrátane nových systémov. Možno ich budete musieť zoraďovať a robiť v nejakom poradí dôležitosti, ale toto je ďalší spôsob riešenia problému. Pozrite sa na systémy a to, čo majú robiť a ako narábajú s týmito údajmi.
Čo signalizuje GDPR? O tom sme tu trochu viac. Teším sa na to, čo o tom má Kim povedať. GDPR je posun v kontrolách ochrany osobných údajov k regulácii. Je to trend smerom k transparentnosti, hovorí sa to priamo v ustanoveniach. Vytvárame túto kultúru oznámení o ochrane osobných údajov, ako som už hovoril, to je teraz vec. Uvidíme konferencie o oznámeniach o ochrane osobných údajov atď. Posun GDPR smeruje k základným právam ľudí. Otvorené otázky budú vypracované. Existujú zreteľne otvorené otázky, pár z nich som tu nechal na stole. Nikto nemá odpoveď. Budú vypracované. Trend smerom k lepšiemu porozumeniu jednotlivcov o ich údajoch a o tom, ako sa používajú. Myslím si, že sa tým zvýšila informovanosť obyvateľov EÚ o dôležitosti ich údajov a vidím, že ako jeden zo svojich osobných aktív potrebujú viac spravovať. To sú niektoré z prvých signálov, ktoré som videl, a Eric, teraz to hodím späť vám.
Eric Kavanagh: Dobre, dovoľte mi odovzdať kľúče Kimovi, ktorý môže zdieľať niektoré z jej perspektív, ale myslím si, že to bol dobrý prehľad, William, a vy ste zasiahli kľúčové body - konkrétne to, že to určite klesá šťuka a všetci musíme byť veľmi opatrní, úprimne povedané. S tým mi dovoľte odovzdať kľúče Kim a môžete zdieľať svoju obrazovku a odtiaľ ju vziať.
Kim Brushaber: Hej, počuješ ma?
Eric Kavanagh: Počujem vás.
Kim Brushaber: Úžasné. William zakryl niektoré z tých istých vecí, ktoré budem kryť, ale myslím si, že stojí za to znova ich pokryť, pretože sú skutočne dôležité. Myslím si, že keď sa prijímajú nové nariadenia, je naozaj dobré získať na to veľa perspektívy a interpretácie rôznych ľudí, aby vám niečo vyvolalo myseľ a umožnilo vám to, aby ste sa stali ešte viac v súlade. Som povzbudený všetkými ľuďmi, ktorí sa zúčastňujú tohto hovoru a chcú sa dozvedieť viac, pretože si myslím, že príde 25. mája. Môže dôjsť k panike pre spoločnosti, ktoré sú prenasledované a nie sú v súlade.
Moje meno je Kim Brushaber, som senior produktový manažér v spoločnosti IDERA. Mám pod sebou niekoľko produktov, ktoré pomáhajú pri dodržiavaní GDPR, ako aj ďalšie nariadenia. Idem skočiť do niektorých informácií. Začnem s niekoľkými faktami a číslami a potom sa trochu pozriem na GDPR a potom konkrétne na to, ako vám naše nástroje môžu pomôcť. Jeden fakt je, že každý deň sa stratí alebo odcudzí viac ako 5 miliónov záznamov. Nepočujeme to ohlásené v správach, nepočujeme to o príchode z iných miest, ale existuje viac ako 5 miliónov dátových záznamov, ktoré sú neustále ukradnuté, priamo spod nás. Priemerný počet dní, počas ktorých útočníci zostávajú vo vašej sieti v pokoji, je 200 dní. Mnoho systémov je už infiltrovaných ľuďmi, ktorí - so zákernými úmyslami - ktorí čakajú na príležitosť zarobiť si vaše informácie, väčšinou v rámci bezpečnosti a certifikátov, ale čakajú len na chvíľku, kým sa nerozhodnú. Preto je čoraz dôležitejšie spracovať bezpečnosť vašich údajov. Predpokladá sa, že priemerné náklady spojené s porušením jednotlivých údajov v roku 2020 presiahnu 150 miliónov dolárov, pretože viac podnikovej infraštruktúry sa pripojí k online zdrojom a keď sa viac vecí zvýši v cloude. To je dobré číslo rozpočtu, ak ste skutočne znepokojení v oblasti bezpečnosti údajov, aby ste poskytli svojmu výkonnému tímu, aby im povedali, že je to vážna záležitosť a že nás môže stáť veľa peňazí.
Krátko sa chystám na porušenie údajov v systéme Equifax, pretože si myslím, že to bolo najväčšie porušenie v roku 2017, aby som nakreslil obrázok toho, aké to je. Porušenie ovplyvnilo 145, 5 milióna zákazníkov. Zamestnanci potvrdili problém s bezpečnosťou svojej webovej aplikácie dva mesiace pred tým, ako k porušeniu došlo. Zamestnanci hovorili: „Toto je problém.“ A ešte o niečo skôr, keď to bolo, keď sa náplasť skutočne vyšla. Po tom, ako k porušeniu došlo, trvalo celý deň, aby sme naň reagovali a uviedli webovú aplikáciu do režimu offline. Pretože spoločnosť Equifax nemala definovaný protokol zabezpečenia údajov, trvalo im značné množstvo času na to, aby zistili, čo sa deje, a potom boli schopní prepnúť systém do režimu offline. Šesť týždňov po porušení bola verejnosť upozornená. S GDPR - ako sme uviedli vyššie a znova to poviem - musíte podať správu do 72 hodín a spoločnosť Equifax by si mala priviazané ruky a nebola by schopná splniť tento súlad, pretože čakala šesť týždňov na to, aby ju nahlásila. Súčasťou oznámenia, ktoré malo reagovať na porušenie, bola webová stránka, ktorú spoločnosť Equifax nevlastnila. Samotná spoločnosť Equifax opätovne vytvorila tento tweet, ktorý nebol ani v ich doméne - obrátili niektoré slová okolo. Našťastie to nebolo škodlivé miesto, ktoré by na tom zarábalo, ale očividne neboli pripravené. Nemali plán, a to sa na verejnosti dostalo do povedomia. Equifax nie je sám - v roku 2017 sa doteraz vyskytlo viac ako 25 veľmi vysokých útokov na kybernetický profil a ešte pred koncom roka sme mohli nájsť viac. Spoločnosti to skutočne musia začať brať vážne, pretože tam sú ľudia a ak im dáte dôvod, aby sa na vás chceli obrátiť, mali by ste byť pripravení zvládnuť to.
Niektoré ďalšie údaje a fakty týkajúce sa toho, ako jednotlivci sledujú bezpečnosť údajov. Do roku 2020 bude k našim internetom pripojených prostredníctvom našich domovov, našich nosičov, telefónov, tabletov a tých, ktorí vedia, čo ešte môže prísť v nasledujúcich rokoch, 30 miliárd zariadení. Existuje veľa zariadení, ktoré sú voči týmto útokom zraniteľné. Štyridsaťdeväť percent Američanov sa domnieva, že ich osobné informácie sú menej bezpečné ako pred piatimi rokmi. Sedemdesiattri percent spotrebiteľov v Amerike požaduje, aby spoločnosti mali prehľad o svojich osobných údajoch. Sedemdesiatosem percent ľudí tvrdí, že si je vedomých rizík, že kliknú na neznáme odkazy a e-maily, ale aj tak kliknú na tieto odkazy - to je viac ako tri štvrtiny našej populácie a na odkazy stále klikajú, aj keď viem, že to môže byť problém. Osemdesiatšesť percent používateľov internetu sa aktívne snaží minimalizovať, anonymizovať a skryť viditeľnosť svojich digitálnych odtlačkov. Môj nevlastný otec rád pri vyplňovaní formulárov chodí von a vytvára falošné mená, pretože si myslí, že ho robí anonymným, ale málo vie, že jeho adresa IP sa sleduje tiež. Je tu veľa individuálnych obáv a to je to, čo vedie k vzniku mnohých nariadení GDPR a pravdepodobne ďalších nariadení, ktoré sa budú riadiť.
Pokiaľ ide o skutočnosti v oblasti bezpečnosti údajov, 90 percent záznamov o údajoch o porušení v roku 2016 pochádzalo od vlády, maloobchodu a technológie. Štyridsaťtri percent kybernetických útokov zaútočilo na malé podniky. Ak si myslíte: „Nie, nie som veľký chlap, neprídu za mnou, “ stále existuje takmer polovica z nich, ktorí idú po malých podnikoch. V uplynulom roku bolo infikovaných škodlivým softvérom sedemdesiatpäť percent zdravotníckeho odvetvia. Sedemdesiat percent ropných a plynových spoločností v USA bolo v minulom roku napadnutých hackermi. Je to významný vplyv na rôzne priemyselné odvetvia, ktoré sú v prevádzke, a toto číslo bude odtiaľ iba stúpať.
Keď sa na to pozriete z výkonného hľadiska, 90 percent CIO pripúšťa, že míňajú milióny dolárov na nedostatočnú kybernetickú bezpečnosť. Deväťdesiat percent tiež hovorí, že boli napadnutí alebo očakávajú, že budú napadnutí chlapcami, ktorí sa skrývajú v ich šifrovaní. Osemdesiat sedem percent si myslí, že ich bezpečnostné kontroly nedokážu chrániť ich podnikanie. Osemdesiatpäť percent CIO očakáva zhoršenie zločineckého zneužívania svojich kľúčov a certifikátov. Toto je obrovské množstvo spoločností, ktoré sa pozerajú na tento problém s bezpečnosťou údajov a realita je taká, že mnohé z nich nemajú zavedené veľmi dobré riešenia, aby sa s tým dokázali vyrovnať, aj keď sa domnievajú, že stane sa to.
Keď sa pozrieme na jeho pripravenosť, v roku 2014 70 percent tisícročia pripustilo, že do svojho podniku priniesli aplikácie zvonka v rozpore s politikou IT. Sedemdesiat percent k tomu pripustilo - je to pravdepodobne ešte väčšie množstvo, než to, čo v skutočnosti urobilo. Päťdesiatdva percent organizácií, ktoré v roku 2016 utrpeli úspešné kybernetické útoky, v roku 2017 nezmenilo svoju bezpečnosť. Aj keď zaútočili raz, stále nešli a zdolali steny - sú rovnako zraniteľné ako oni. boli pred útokom. To naozaj vyvoláva otázku, čo musia spoločnosti začať robiť, aby sa na tieto veci pripravili? Tridsaťosem percent globálnych organizácií tvrdí, že sú pripravené zvládnuť sofistikovaný kybernetický útok. To je dobré - takmer polovica je tam a ja som s tým veľkorysý, sme skutočne iba na jednej tretine, ale stále existuje aspoň polovica, ktorá hovorí: „Nie som pripravená. Ak zaútočím, nie som pripravený a hackeri to vedia. “Tridsaťosem percent organizácií má plán reakcie na kybernetické incidenty. Väčšina spoločností je v rovnakej skupine ako Equifax, kde nevedia, čo budú robiť. Ak to dokážu, budú musieť reagovať a prísť s týmito vecami za chodu a nariadenia ako GDPR hovoria: „Musíš ich mať na svojom mieste. Musíte ich zverejniť. Musíte to dokázať bezpečnostným audítorom. “Dúfajme, že s podobnými dopadmi, s takými nariadeniami, sa nám podarí prekonať túto krivku a namiesto toho, aby sme boli reakcionárni, môžeme byť aktívni v našich snahách.
Poďme sa trochu rozprávať o GDPR. Niektoré z toho už William pokrýval, ale budem pokračovať a zakryť ho znova, len z môjho vzhľadu, môjho hlasu, môjho pohľadu. Mnoho spoločností, s ktorými hovorím, sú ako: „Som v USA, prečo by som sa o toto nariadenie EÚ mal zaujímať?“ Skutočnosť, že viac ľudí nezačne blázniť a viac ľudí nehovorí o Myslia si, že sa to týka iba členov EÚ, ale chcel by som sa vás opýtať, ak sa pozriete na tento zoznam, zhromažďujete niektoré z týchto údajov od členov EÚ? Ak zhromažďujete tieto informácie vôbec, podliehajú vám hranice GDPR, ako aj pokuty za nedodržiavanie. Dám ti chvíľku, aby si to tak trochu pochopil a pochopil. Ako už William spomenul, ide o sankcie a sankcie, ako sa uvádza v článku 83 GDPR. Na začiatku vám môže dať facku do ruky, trocha varovania, ktoré hovorí: „Hej, dajte dohromady svoj čin. Napravte to. “Ale ak máte skutočne veľké porušenie - a v závislosti od toho, aký veľký je obchod - vrátia sa k vám na reštitúciu a je to významné číslo. Nie 10 miliónov, ale 20 miliónov EUR alebo 4 percentá z vášho obratu / príjmu z predchádzajúceho roka. To je veľa peňazí. Je to veľa rozpočtu, ktorý môžete venovať svojim výkonným tímom a povedať: „Je to niečo, čo musíme začať brať vážne a musíme konať.“
Dovoľte mi oboznámiť sa so zásadami GDPR uvedenými v článku 5. Jedna z vecí, ktoré hovoria, je, že osobné údaje by sa mali spracovávať zákonne, spravodlivo a transparentne. To znamená, že verejnosť chce vedieť, čo robíte so svojimi údajmi. Buďte o tom transparentní a musí sa uverejniť. Väčšina ľudí nečíta zmluvné podmienky, ale toto sú nové informácie, ktoré musíte vedieť komunikovať, aby ste im mohli povedať: „S vašimi údajmi sa správne zaobchádza.“ Osobné údaje by sa mali zhromažďovať za konkrétny účel, výslovné a legitímne účely. To znamená, že dúfajme, že sa môžeme zbaviť tohto spamu, keď spoločnosti hovoria, že zhromažďujú informácie pre kvíz, ktorý vám povie, aké zaujímavé by ste mohli byť, a v skutočnosti berú vaše údaje a predávajú ich niekomu inému., byť schopný používať na akékoľvek účely. Spoločnosti teraz musia byť oveľa zodpovednejšie a musia presne uviesť, za čo používajú vaše informácie. Tvrdia tiež, že osobné údaje musia byť primerané, relevantné a obmedzené na to, čo je potrebné. Mnoho spoločností rád berie všetky svoje informácie a vloží ich do veľkého súboru údajov a potom prídu na to, čo chcú s informáciami urobiť neskôr a zbierajú oveľa viac, ako je potrebné. Hovorí sa, že nemôžete zbierať a používať ho niekde inde. Tiež nemôžete zbierať všetko a dúfať, že to neskôr budete považovať za užitočné. Musíte byť veľmi výslovní, prečo zhromažďujete informácie, a musia byť relevantné pre údaje, ktoré zhromažďujete.
Osobné údaje musia byť tiež presné a aktuálne. Po zozbieraní údajov musíte používateľom poskytnúť spôsoby, ako aktualizovať svoje údaje; musia byť schopní vrátiť sa a povedať: „Viete, mal som tento názor na nejaký prieskum, ktorý ste sa ma pýtali na informácie umožňujúce identifikáciu osôb, a chcem sa vrátiť, a chcem to zmeniť a aktualizovať teraz.“ dať im spôsob, ako to urobiť. Osobné údaje sa musia uchovávať vo forme, ktorá umožňuje identifikáciu dotknutých osôb nie dlhšie, ako je potrebné. Pokiaľ ide o Williamov názor, že tieto informácie nemôžete získať navždy - musíte prísť s tým, čo považujete za platné a potrebné, a potom musíte údaje vyčistiť. Musí sa tiež spracovať spôsobom, ktorý zaručuje primeranú bezpečnosť vrátane ochrany pred neoprávneným alebo nezákonným spracovaním, náhodnou stratou, zničením alebo poškodením.
Ako som už povedal, je na čase to vážne myslieť a zastaviť tieto porušenia údajov, pretože nielen to, že môžete utrpieť ujmu spôsobenú vašej spoločnosti vo forme porušenia údajov a straty príjmov a náklady na vedenie vašich procesov., ale môžete mať aj hromadu pokút plácaných na vás z GDPR. Je načase to začať vážne brať a myslím si, že keď GDPR vstúpi do platnosti, spoločnosti budú čeliť tvrdej realite a našťastie tí z vás, ktorí dnes hovoria, o tom môžu začať premýšľať a vedieť to ako tieto veci uvediete do praxe.
GDPR tiež veľa hovorí o tom, aké sú práva jednotlivcov; je to naozaj pozor na jednotlivých používateľov. Prvou vecou je právo na prístup k vašim osobným údajom. Používatelia musia vedieť, aké informácie o nich zozbierali, pokiaľ ide o osobne identifikované informácie, a musíte im poskytnúť spôsob, ako k nim získať prístup. Existuje aj právo na opravu, čo je efektný spôsob, ako povedať: „Musím byť schopný opraviť informácie, ktoré o mne máte.“ Právo vymazať - čo opäť veľa ľudí formuluje ako právo na byť zabudnutý - ak jednotlivec povie: „Vieš čo, už viac nechcem, aby si vedel, že som super zábavný zberateľ komiksov, musíš sa toho zbaviť. Mám priateľov, ktorí ma o tom škádlili a úplne ma zo zoznamu odstránili, “musíte to urobiť. Existuje tiež právo na obmedzenie spracovania, čo znamená, že používatelia môžu obmedziť spôsob spracovania svojich informácií. Môžu povedať: „Nevadí mi, že si vezmete moje informácie, pretože kupujem nové auto, ale tieto informácie nepoužívajte na zasielanie e-mailov a nevyžiadanú poštu na nové ponuky zakaždým, keď sa uvoľnia nové autá.“ právo na prenosnosť údajov, čo znamená, že používatelia by mali mať možnosť získať kópiu svojich údajov a mať možnosť vziať ich niekde inde. Mnoho organizácií zhromažďuje informácie a tieto informácie majú faktor lepkavosti a teraz môžu jednotlivci povedať: „Vieš čo, chcem, aby si vzal všetky moje informácie a teraz chcem, aby si ich dal svojmu konkurentovi, aby som ich mohol pohnúť u konca. "
Existuje veľa vecí, na ktoré by ste mali z perspektívy organizácie myslieť, ako to dokážete a aké informácie chcete zhromažďovať a odosielať. K dispozícii je tiež právo namietať a používatelia môžu namietať aj proti spracovaniu svojich údajov. Právo nebyť predmetom rozhodnutia založeného výlučne na automatickom spracovaní alebo profilovaní. To má významný vplyv na B2B marketing - ak tam sedíte a pokúšate sa A / B testovať a pokúšate sa zistiť, či je Colorado ovplyvnená správou viac ako v Kalifornii, tak ste práve urobili profilovanie, keď sa pozriete na jednu stav verzus iný a musíte sa pozrieť na to, ako by sa mal jednotlivec od tohto rozhodnutia odstúpiť.
Vzhľadom na to, že máme nejaké desivé veci, ktoré sa blížia k porušeniu údajov a ako sa ľudia pozerajú na ich údaje, a máme obrovskú reguláciu, ktorá sa za naše ramená vyhodí, teraz som tu, aby som vám riešenie, ako môže IDERA pomôcť. V článku 15 sa hovorí o spôsobe kontroly vystavenia osobným údajom. Musíte vedieť, kto má prístup k vašim údajom. Ako ho používajú. Koľko údajov bolo spracovaných a produkty SQL Compliance Manager, pre ktoré som produktový manažér, vám umožňujú zistiť, kto má prístup k vašim údajom a ako. SQL Compliance Manger je určený pre riešenia SQL Server. Ak máte databázu SQL Server, môžete tento produkt pripojiť, aby ste mohli auditovať a prezerať si tieto informácie, aby ste mohli byť v súlade s GDPR a presne viete, ako sa používa. Môžete tiež vidieť porušenia údajov skôr, ako k nim dôjde, a budem o tom hovoriť na inom snímke. Existuje aj článok, ktorý hovorí: „Potrebujem záznam o spracovateľských činnostiach. Musím sa prihlásiť a potrebujem monitorovať operácie a potrebujem vedieť, kto spracúva osobné údaje a kto má prístup k týmto systémom. “Správca súladu SQL zabezpečuje audit serverov a databáz vrátane zabezpečenia, DDL, DML, ako aj definovanie citlivých údajov., SQL Compliance Manager vám umožňuje auditovať prístup k bezpečnosti a prihlásiť sa pokus, aby ste videli, kto má prístup k informáciám, ako aj kto sa prihlasuje, či už ide o privilegovaného používateľa, či ide o známeho používateľa, alebo o nebezpečného používateľa.
V článku 33 sa hovorí o oznámení o porušení ochrany osobných údajov orgánu dohľadu. Musíte byť schopní odhaliť tieto porušenia; musíte mať záznamy, aby ste mohli posúdiť vplyv; musíte vedieť, ako rýchlo to napravíte. Za týmto účelom vám SQL Compliance Manger umožňuje nastaviť výstrahy vo vašich databázach, aby videli, kto má prístup k vašim citlivým údajom, keď k nim mali prístup, čo k nim získali. Umožňuje vám tiež vylúčiť z auditu svojich bežných privilegovaných používateľov. Ak máte správcov systému alebo sieťového administrátora, o ktorých viete, že k nim majú prístup a nechcete ich upchávať, môžete ich vylúčiť a povedať: „Dajte mi všetko, čo sa deje mimo týchto informácií.“ Umožňuje to aby ste rýchlo zistili, či niekto neoprávnene pristupuje k vašim údajom a môžete mať upozornenia, ktoré sú k dispozícii, ktoré vás informujú o okamihu, keď sa to začne dávať, a potom o okamihu prístupu k informáciám, aby ste ich mohli prelomiť, nemusíte čakať celý deň, aby ste zistili, čo sa deje, rovnako ako Equifax.
Existuje aj článok, ktorý hovorí o ochrane údajov a hodnotení vplyvu. Týmto sa posudzuje vaše riziko a porozumenie tomu, čo sú, ako aj preukázanie a zdokumentovanie vášho súladu s GDPR. SQL Compliance Manager vám umožňuje podávať správy o prvkoch, ktoré sú monitorované. Jednoducho povedané, auditovanie údajov pomocou nástroja SQL Compliance Manager vám umožňuje nástroj SQL Compliance Manager detekovať neúspešné prihlásenie - čo je potenciálnym znakom porušenia - monitorovať administratívne činnosti a zmeny zabezpečenia, upozorňovať na úpravy databázy, auditovať stĺpce, ktoré definujete ako citlivé informácie, identifikujú privilegovaných používateľov a sledujú ich aktivitu oddelene od ostatných používateľov vo vašom systéme, nahlásia, že informácie sú predmetom auditu v súlade s niekoľkými regulačnými pokynmi. Pokrývame nielen GDPR, ale pokrývame aj HIPAA, PCI, FERPA, SOX, všetky regulačné usmernenia, keď prichádzajú k auditu vašich informácií a pochopeniu toho, čo sa používa, máme tieto regulačné usmernenia zavedené.
Máme tiež ďalšie produkty v spoločnosti IDERA na prípravu GDPR. Okrem auditov, ktoré robí SQL Compliance Manager, máme aj ER / Studio Enterprise Team Edition, ktoré vám môžu pomôcť zdokumentovať vaše dátové procesy a začleniť dátové štandardy do vášho dátového modelu. Môžete tiež vytvoriť slovníky údajov, o ktorých William hovoril v predchádzajúcom snímke., Ako som tu uviedol v tejto prezentácii, SQL Compliance Manager vám môže pomôcť skontrolovať vaše informácie, aby sa ubezpečil, že nesprávni ľudia nemajú prístup k vašim údajom, a môže to audítorom dokázať. Bezpečné zálohovanie SQL vám môže pomôcť šifrovať vaše dáta a zálohy. Šifrovanie je nevyhnutnou súčasťou GDPR, ktorú som veľmi podrobne nezaoberal, pretože som sa chcel zamerať veľa na aktíva nástroja Compliance Manager, ale SQL Safe Backup pre vás robí veľa šifrovania, takže vaše údaje môžu zostať v bezpečí. SQL Inventory Manager môže zaistiť, že servery sú opravené a aktuálne, takže neskončíte v prípade ako Equifax, kde mali zastaranú záplatu, ktorá im poskytla veľkú bezpečnostnú dieru, ktorú ľudia mohli používať škodlivo. SQL Secure môže auditovať súkromie a šifrovacie štandardy.
Pre viac informácií na webových stránkach komunity IDERA, v rámci nášho blogu, som zverejnil aj Prípravu na GDPR. Pozerám sa smerom k roku 2018 a Pochopím, aký dopad bude mať GDPR a bude tam tiež, určite si môžete stiahnuť skúšobnú kópiu nástroja SQL Compliance Manager. v spoločnosti IDERA, ako aj v ostatných produktoch, ktoré som práve spomenul na snímke.
V tejto chvíli sa chystám pokračovať a odovzdať prezentáciu späť Ericovi, aby sme mohli položiť nejaké otázky.
Eric Kavanagh: Dobre, dobre. Dotkli ste sa tam niekoľkých skutočne zaujímavých vecí, Kim, z ktorých jedna - myslím, že je to jednoduché, ale je to dosť šikovné - hovorili ste o odhaľovaní neúspešných prihlásení. Zdá sa mi, že je to celkom dobré znamenie, že niekto nemá dobré právo?
Kim Brushaber: Absolútne. Ak vidíte niekoho, kto sa pokúša získať prístup a prelomiť vaše heslo, je to veľmi rýchly spôsob, ako povedať, že niekto nerobí to, čo by malo byť. Možno by ste niekoľkokrát mohli nesprávne zadať heslo, ale ak uvidíte, že 30 z nich prechádza, je to zlé znamenie.
Eric Kavanagh: Áno. Kľúčom je tu nastaviť výstrahy do správneho kontextu. Čo iného nám môžete povedať o tom, ako riadiť postup nastavovania a deaktivácie upozornení, ktoré nerobia to, čo by mali robiť, a koľko z týchto vecí možno automatizovať?
Kim Brushaber: Compliance Manager má veľa konfigurovateľných upozornení, ako aj správ, ktoré si môžete prezrieť. Prejdeme si vaše stopy SQL a toto automatické sledovanie máme a máme toho veľa, čo je už vopred nastavené a preddefinované, ale určite môžete urobiť aj značné množstvo prispôsobení.
Eric Kavanagh: William, prinesiem ťa do toho - zdá sa mi, že je to jedna z oblastí, kde uvidíme, ako sa strojové učenie začne hrať v priebehu nasledujúcich asi dvoch až desiatich rokov, pozerá sa na všetky rôzne možnosti. Pri pohľade na všetky rôzne spôsoby, ako systém môže optimalizovať svoju účinnosť, je to efektívnosť pri problémoch, ako sú porušenia a tak ďalej. Je to tiež vaše?
William McKnight: Áno, určite. Myslím, že teraz vyrábame systémy, ktoré sa sami opravujú. Monitorovanie 24 na 7 začína skĺznuť a stať sa minulosťou, aj keď stále potrebujeme taký druh prevádzkyschopnosti. Myslím si, že systémy sa do veľkej miery stavajú zabudované a zisťujú, čo je nesprávne. Potrebujeme tu vyhradiť viac miesta alebo čo máte? Áno, myslím, že je to určite súčasť našej budúcnosti. Čokoľvek, čo sa dá zmapovať na určité kroky, ktoré môžu reagovať na niečo, je určite zraniteľné umelou inteligenciou.
Eric Kavanagh: To je dobré. Hodím na teba ešte jednu otázku, William, pretože viem, že v tomto priestore robíš veľa výskumov. Jedna z vecí, na ktorú som už chvíľu čakal, a nemyslím si, že sme tam už - myslím, že sa dostávame bližšie, len z toho, čo som čítal a premýšľal o tom - je deň, keď bude existovať technológia na absorbovanie regulačných problémov, ich skutočné znenie a mapovanie na funkčnosť a softvér. Ako som povedal, stále sme na to, ako to povedať - neviem si predstaviť, že na tom niekto nepracuje. Stretli ste sa s niečím podobným, alebo sme stále v situácii, keď sa ľudské bytosti musia pozerať na pravidlá, naozaj sa im snažiť porozumieť, v podstate ich kodifikovať do strojového kódu a potom to preniknúť na rôzne aplikácie?
William McKnight: No, určite chápem koncept, ktorý tu zdieľate. Nie som oboznámený s ničím, čo sa deje smerom k uvedeniu na trh v prostredí, ktoré s tým súvisí. Vo všeobecnosti však poviem, že strojom začíname hovoriť, čo majú robiť, ale aký je cieľ toho, čo chceme robiť, a stroje sú oveľa chytrejšie pri zisťovaní detailov. Myslím si, že keď v našich organizáciách získame viac umelej inteligencie, je celkom možné, že nové nariadenia sa môžu vypracovať v súčinnosti s AI, ktorá je rozmiestnená vo vnútri organizácií tak, aby sa mohli zavádzať spôsobom, ktorý ste opísali v budúcnosti. Zatiaľ s tým nekonáme.
Eric Kavanagh: Tu je otázka, ktorú ti dám, Kim, pretože aj toto je zaujímavé. Hovoríte o priemernej latencii alebo o čase, keď sa niekto, kto sa prihlási do vášho systému, skryje a čaká - počet dní, počas ktorých útočník zostal v sieti v pokoji - detekcia je 200. Som zvedavý na to, aké sú vaše myšlienky na zlepšenie to v prvom rade? Existuje však aj spôsob, ako využiť tento druh pravidla na preskúmanie vášho vlastného systému? Ak chcete preskúmať svoje vlastné údaje, urobiť lepšiu prácu pri udržiavaní týchto druhov ľudí mimo?
Kim Brushaber: Áno, myslím si, že očividne je kľúčová včasná detekcia. Musíte zistiť, že tieto škodlivé stránky pristupujú k vašim informáciám a musia byť schopné ich zablokovať. Myslím si, že na ďalších snímkach, kde ukazujeme, že väčšina organizácií tieto politiky nemá zavedené. Preto tam sedí. Myslím si, že ak ste vlastne mali zavedenú politiku, pomocou ktorej by ste mohli prejsť a zablokovať prístup a zabezpečiť, aby mali k dispozícii správni ľudia. Uistite sa, že vaše kľúče pravidelne rotujete a aktualizujete ich. Uistite sa, že vaše heslá sa pravidelne aktualizujú a robia také veci, ktoré sa zdajú byť celkom základné. V súčasnosti to väčšina organizácií ani nerobí a začať ich zavádzať vám pomôže prekonať to.
To samozrejme znamená, že o tom hackeri získajú viac zručnosti, ale v súčasnosti je to jednoduché, vyzerá to takto: „Pozerám sa na domy na ulici, do ktorých sa cítim, akoby som sa chcel rozbiť, budú mať alarm systémy? Majú malú výstražnú značku a že majú psov? Idem k tej, ktorá nemá výstražné znamenie, nemá psa a to je dom, do ktorého sa budem blížiť. “No, nájdu spoločnosti, ktoré nemajú majte tieto záplaty na mieste a nemajú zabezpečenú bezpečnosť a neaktualizujú svoje heslá, idú tam a zavesia sa a použijú vašu kreditnú kartu na čerpacej stanici niekoľkokrát, aby sa ubezpečili, že nezavreli ste to a potom, keď môžu ovplyvniť veľkú zmenu, zvyčajne ide o nejaký politický výrok alebo inak, keď vidíte, ako im vyskakujú. Po zavedení týchto politík si myslím, že v tejto chvíli môžete podniknúť niekoľko minimálnych krokov, aby ste sa dostali k tejto hre ďalej.
Eric Kavanagh: To je pravdepodobne najlepšia rada a vždy to počujem, keď hovoríme s ľuďmi, ktorí sa nachádzajú v bezpečnostnom alebo regulačnom priestore, tieto základy pokryjú 80 percent vášho problému, a to je veľa dôvodov na pokrytie - to je dobrá poznámka. Jeden z účastníkov sa pýtal, či by niekto mohol rozšíriť obchodné príležitosti, ktoré by sa mohli ťažiť z snáh o dodržiavanie GDPR, pripomenul som si Sarbanes-Oxley, a myslím, William, dám ti ho. Ako konzultant stále hľadáte spôsoby, ako pomôcť svojim klientom mimo rozsahu konkrétneho projektu - aspoň ak ste dobrým konzultantom, robíte to. Ak hovoríte s ľuďmi o GDPR, aké sú vedľajšie výhody, ktoré môžete získať, ak sa zapoja do nejakého projektu zameraného na to?
William McKnight: V prvom rade je dôležité poznamenať, že myšlienka GDPR nie je úplnými právami občanov vôbec. Existuje druhá strana GDPR, čo znamená, že to zlepší dôveru občanov v naše spoločnosti a povzbudí ich to, aby podnikali viac v spoločnostiach, ktoré sú v súlade. Existujú tieto vedľajšie výhody, keď skutočne dosiahnete svoje HDPR. Programy na správu údajov, ktoré implementujeme, slúžia na uľahčenie všetkých druhov iniciatív, skutočne, ktoré sa odštartujú v organizáciách, a dnes, zďaleka, iniciatív, ktoré sa vykopávajú. mimo organizácie. Nedávno som robil nejaké plánovanie pre rok 2018 s mnohými z nich, majú čo do činenia s údajmi, veľa, sú ako údaje o 65 až 90 percentách všetkých - keď hovoríte o telematike alebo zákazníckom programe 360 alebo dashboard na sledovanie predajcov, ide prevažne o údaje. Čokoľvek, čo spravuje tieto údaje lepšie, ktoré ich stavia do lepšej architektúry, ktorá pomenúva ľudí, ktorí sú go-to ľudia, ktorí dokážu odpovedať na všetky otázky týkajúce sa týchto údajov, na ktorých sa skutočne zaujíma, ako by to bol program na správu údajov. Čokoľvek, čo nám dáva dátový glosár - ako Kim hovorila so svojimi nástrojmi - všetko, čo to robí, je veľmi užitočné, aby sa tieto iniciatívy stali oveľa efektívnejšie, riskovali ich, skrátili čas, znížili rozpočet pre ne a dostali nás do agilného času na to, aby sme na trh uviedli oveľa rýchlejšie a dobré veci pre spoločnosť, ktorá robí iniciatívy, čo sú všetky spoločnosti.
Eric Kavanagh: Milujem tento koncept dôvery. Myslím si, že dôvera je v našom svete veľmi podceňovanou realitou a úprimne povedané, väčšina firiem vedie dôveru - naozaj sa to deje, keď sa k nej dostanete priamo. Zahodím to len pre pár záverečných komentárov, Kim. Myslím si, že jednou z kľúčových pridaných hodnôt je zlepšenie dôvery a podpora kultúry dôvery, pretože to nebude mať len pozitívny vplyv na samotnú spoločnosť, na ľudí v spoločnosti samotných, ale aj na to, čo verejnosť vníma, pretože tento druh Zdá sa mi, že sa vec rozlieva, ale čo si myslíte?
Kim Brushaber: Áno, myslím, že keď hovorím s priateľmi, ktorí pracujú v spoločnosti Google alebo pracujú na Facebooku alebo v niektorých väčších, skutočne významných organizáciách, nevykonávajú takmer toľko nových funkcií, ako sú v implementácii bezpečnostných protokolov a výkonu. a problémy s rozšíriteľnosťou, pretože chcú, aby ich používateľská skúsenosť bola taká, v ktorej sa domnievajú, že v tieto informácie môžu dôverovať. Myslím si, že spoločnosti majú túto zodpovednosť, keď pokračujeme v poskytovaní tohto druhu dôvery. Pamätám si, keď ľudia prvýkrát začali uvádzať kreditné karty online a ľudia sú ako: „Ó, môj bože, nebudem tam tieto informácie poskytovať, pretože to nie je bezpečné.“
A teraz, vaša kreditná karta ide do všetkých smerov, pretože si teoreticky myslíte, že môžete spoločnosti dôverovať, pretože má certifikát HTTPS. Potom budete počuť o porušení cieľových údajov, kde boli kreditné karty, kde boli: „Ach, radšej vymieňajte svoju kreditnú kartu, pretože sme tieto informácie pustili.“ Myslím, že je to obojsmerný sentiment. Myslím si, že jednotlivci, aj keď chcú viac dôverovať, pretože je to oveľa jednoduchšie, aby tomu mohli veriť a mali vieru vo veľké organizácie, veľké organizácie musia vstúpiť a dať tieto kúsky na miesto, aby sa im nepodarilo. “ • zraniť jednotlivca alebo stratiť podiel na trhu. Ľudia hovoria: „Dobre viete čo, už nebudem nakupovať v spoločnosti Target, teraz idem nakupovať v Amazonii.“ Myslím si, že dôvera je veľký problém, hoci, ako sme povedali, 78 percent ľudí je stále kliknú na tento odkaz v e-maile, aj keď vedia, že to tak nie je. Existuje určitá úroveň ochrany ľudí, aj keď vám dôverujú.
Eric Kavanagh: To je dobré. Vieš čo, dám ti ešte jednu poslednú otázku, William, alebo aspoň jednu ďalšiu - máme teraz nejaké dobré. Účastník píše: „GDPR posúva správu identity späť k zákazníkovi, kam patrí. Equifax natrvalo poškodil 149 miliónov spotrebiteľov, „veľmi pravdivých“, ktoré kontaminovali digitálnu ekonomiku. Aké zmeny vidíte v USA, pokiaľ ide o vlastníctvo zákazníka v súvislosti so správou identity? “
William McKnight: No, v USA sme vždy pozadu, pokiaľ ide o takéto veci, však? Sto štyridsaťdeväť miliónov, to nie je žiadna kvapka do vedra. Je to skoro ako terorizmus, však? Sme tak zvyknutí, že sa to vždy deje. Myslím, že sa musí niečo urobiť. Myslím si, že GDPR, mám rada práva, ktoré dáva občanom, ale nezdá sa, že by to bola priorita - je tu veľa ďalších priorít a neviem, kam to pôjde. Domnievam sa, že, ako som sa zmienil v snímkach, ktoré som mal, to znamená, že to signalizuje posun k väčšiemu právu spotrebiteľa na ich údaje. Keď sa to stane tu v USA? Neviem, mohlo by to byť až päť rokov, vidieť niečo zodpovedajúce HDPR, ktoré sa tu deje v USA. Len špekulácie.
Eric Kavanagh: Je to naozaj dobrý bod a myslím si, že v tomto smere uvidíme viac úsilia, pretože ak tomu čelíme, v týchto dňoch sa presúvame do takej digitálnej ekonomiky. A na záver tu uvádzam, že je tu filozofický a politický prístup, ktorý ma zaujme najviac, a to ma najviac zaujíma o prechod na bezhotovostnú spoločnosť, pretože keď peniaze odídu, ak sa tak stane, potom je všetko digitálne a každý systém môže hacknúť. a totožnosť každej osoby môže byť ukradnutá. Zdá sa mi, že je to tu v miestnosti dosť veľký slon, keď sa pozeráme dolu do budúcnosti správy identity.
To je všetko skvelé, ľudia. Ďakujem Williamovi McKnightovi za jeho čas a pozornosť dnes. Ďakujem Kim Brushaber zo spoločnosti IDERA. Všetky tieto webové vysielania archivujeme na neskoršie prezeranie, takže neváhajte a vráťte sa, zvyčajne do niekoľkých hodín a archív bude pripravený. S týmto, sa ťa rozlúčime, ľudia. Ešte raz vám ďakujem za váš čas a pozornosť. Bye-bye.