Tekijä Techopedia Staff, 6. joulukuuta 2017
Takeaway: Isäntä Eric Kavanagh keskustelee EU: n tulevasta yleisestä tietosuoja-asetuksesta ja sen vaikutuksista teollisuuteen. Hänen joukossaan ovat William McKnight McKnight Consulting Groupista ja Kim Brushaber IDERAsta.
Et ole tällä hetkellä kirjautunut sisään. Kirjaudu sisään tai kirjaudu sisään nähdäksesi videon.
Eric Kavanagh: Hyvä, hyvät naiset ja herrat, hei ja tervetuloa vielä kerran. On keskiviikko kello 4 itäaikaa, mikä tarkoittaa, että on jälleen aika - yksi viimeisimmistä kertaa vuonna 2017 - Hot Technologiesille. Kyllä, todellakin, nimeni on Eric Kavanagh - olen tämänhetkisen moderaattorisi. Puhumme aiheesta, joka on vähintäänkin kauaskantoinen. Tällä hetkellä se ei näytä siltä - GDPR-käsite, maailmanlaajuinen tietosuoja-asetus. Mennään eteenpäin ja sukellaan oikein tässä, se ei koske oikeasti sinun omaa, riittää minusta. Tämä vuosi on kuuma, se on ollut todella kuuma monin eri tavoin, mutta GDPR: n ja muiden organisaatioiden tulevat määräykset pakottavat meidät ajattelemaan rehellisesti sanottuna sitä, mitä liiketoimintamaailmassa tapahtuu, erityisesti sen tuloksena, tai koska se liittyy tietoihin. Kuulemme IDERA: n Kim Brushaberilta ja myös McKnight Consulting Groupin William McKnightilta.
Vain pari nopeaa sanaa käsillä olevasta aiheesta, ihmiset. GDPR sanoo periaatteessa, että organisaatioilla on oltava tietosuoja-ensin ja tietoturva-ensisijaiset käytännöt tietojen suhteen, ja oikeastaan, kyse on joistakin asioista, jotka olet jo kuullut - esimerkiksi koko oikeus unohtaa on osa ja osittaista koko tämän hetken, ja se on erittäin mielenkiintoista kamaa. Se on varmasti pätevä periaatteidensa ja etiikkansa kannalta. Todellisen toteutuksen kannalta se on kuitenkin melko vakava haaste. Oikeus unohtaa sanoo, että jos haluat, että joillakin organisaatioilla ei ole tietojasi, henkilökohtaisia arkaluontoisia tietojasi, heidän on päästävä eroon siitä. Voit vain kuvitella, kun jotkut näistä todella heterogeenisistä tietoympäristöistä ovat niin vaikeita. Jotta päästäisiin jokaiseen paikkaan, missä tietosi ovat pysyviä, ja vetää ne ulos, sitä ei vain tapahdu, on rivi. Siitä huolimatta organisaatioilla on oltava käytännössä käytäntö, jotta ne voisivat puuttua näihin huolenaiheisiin, ja sitä asiaa sääntelijät, olen melko varma, etsivät.
Se on iso juttu. Organisaation ei tarvitse vain poistaa tietosi, jos niin sanot, mutta jos he ovat myös kouluttaneet algoritmeja kyseisiin tietoihin, teknisesti niiden on myös suunniteltava uudelleen algoritmeja. Se on korkea tilaus, minun täytyy kertoa teille, mutta se on tulossa, se tulee alas hauki, se tulee olemaan todellisuus ensi vuoden toukokuussa ja on myös muita määräyksiä. Kanadassa on roskapostin vastainen laki, jonka he ovat antaneet, se vaikuttaa siihen, miten käsittelemme henkilökohtaisia tietoja. Verkon neutraalisuus on tulossa hauen alas, tietysti se on juurtunut pohjimmiltaan ja se muuttaa joitain asioita. Näitä erittäin vakavia säädöksiä, jotka vaikuttavat yrityksiin kaikkialla maailmassa ja ympäri maailmaa, on paljon, joita suurten organisaatioiden on todellakin alettava ajatella ja valmistautua.
Sitä varten meillä on William McKnight verkossa McKnight Consulting Groups -yrityksestä kertoa meille, mitä hän ajattelee ja miksi GDPR on oikeastaan vain jäävuoren huippu. Sen kanssa, William, aion antaa sen sinulle. Ota se pois.
William McKnight: Kiitos, Eric, ja kuten sanot, kuten dio sanoo, tämä GDPR on ehkä jäävuoren huippu - juuri sitä ajattelemme. On tärkeää, että sukellamme syvällisesti GDPR: ään, koska mielestäni se edustaa sääntelyaalloa, joka on tulossa putken alla, jota meidän on käsiteltävä. Onneksi, Eric, oikeuteen unohtaa on olemassa joitain kohtuullisia standardeja, joihin pääsen. Mutta huolimatta puhuessani tänä vuonna GDPR: stä, mielestäni monet yritykset, etenkin yhdysvaltalaiset yritykset, jotka eivät ole vielä valmiita tähän. Se on ehdottomasti kuuma ja jotain, jota emme ehdottomasti ajatelleet vuosi sitten, kun he vain kokeilivat ilmapalloilla joitain asioita, mutta nyt se on asetus ja meidän on käsiteltävä sitä, kuten totesitte, Eric, saattaa tulla oikein täällä - joten ei niin kaukana.
Hieman minusta, aion käsitellä tätä datan näkökulmasta. Haluan kertoa sinulle, että olen elinikäinen tietohenkilö ja konsultoin nyt 19 vuotta datatilassa, ja GDPR on paljon tiedosta. Aion ehdottaa täällä ratkaisun, kun pääsen esitykseesi tiedonhallinnan ympärillä. Olen selvästi tehnyt paljon tiedonhallintaohjelmia ja luulen, että jos noudatat tätä konseptia, teet jonkin verran tiedonhallintaa, monet siellä olevat yritykset tulevat melko kaukana tielle itse asiassa GDPR-vaatimustenmukaisuuteen, mutta paljoa ja suoraan sanottuna niitä, jotka ovat hallinnan takana ja siksi melko jäljessä niiden GDPR-valmisteluissa. Asetetaan tässä taso ja ymmärretään, mistä GDPR on kyse, ja syventyessämme keskusteluun tulemme ottamaan enemmän GDPR: n vaikutuksia elinkeinoelämään siirtyessämme eteenpäin uuteen vuoteen ja sen jälkeen.
GDPR on tarkoitettu Euroopan unionin kansalaisten tietosuojaan. Se on asetus - tarkoittaa, että sillä on hampaita, tarkoittaa, että se on täytäntöönpanokelpoinen. Se ei ole jotain, joka esitetään siellä ehdotuksena - se jo tapahtui, ja nyt se on muotoiltu asetukseksi, jolla on seuraamuksia. Haluan aloittaa rangaistuksista, koska se saa ihmisten huomion. Nämä ovat ankaria rangaistuksia. Siellä on kaksi rangaistusta, 2 prosenttia maailman vuotuisista tuloista tai 10 miljoonaa euroa, jos yritys ei noudata turvallisuusvelvoitteita, mutta kaikki muu rikkoo muita säännöksiä - ja pääsen niihin - se on 4 prosenttia. Kuulet sen olevan rajattu noin - 4 prosenttia. Ja muuten, se on 4 prosenttia tai 10 miljoonaa euroa, sen mukaan kumpi on suurempi. Tämä on erittäin jäykkä. Ihmiset suhtautuvat tähän erittäin vakavasti. Voimaantulo 25. toukokuuta 2018 alkaen - se on tärkeä päivämäärä, jolloin auditoinnit voivat alkaa, jolloin voit saada sakosi. Ehdottomasti haluat olla valmis tähän. Jokainen yritys, jonka kanssa käsittelen, käsittelen paljon Global 2000 -yrityksiä. He ovat jossain valmistamassa GDPR: ää, toiset enemmän kuin toiset ja joidenkin on oltava enemmän kuin toisia tässä vaiheessa. Varmasti on haastavaa tavata päivämäärä joillekin, ja näemme.
Se on kaikkein perusteellisin tietosuojavaatimusten noudattamisjärjestelmä. Kun näemme jotain jäykempää tai jotain, joka vaikuttaa ehkä suoraan Yhdysvaltojen väestöön, kuka tietää, mutta se on siellä ja sitä on ehdottomasti noudatettava. Se vaatii organisaatioiden ymmärtämään, mikä UE-kansalaisten henkilökohtainen henkilötieto - olemme perehtyneet yksityisyyden suojan oikeuteen - henkilökohtaisesti tunnistettavissa olevat tiedot, sosiaaliturva, puhelinnumero, osoite, asiat, jotka voivat yksilöidä henkilön tai melko melko yksilöllisesti tunnistaa henkilön. Mitä heillä on ja kuinka he käyttävät sitä. Tämä tarkoittaa varastoa. Tämä tarkoittaa sääntelyä omassa yrityksessäsi tällaisen tiedon suhteen. Muuten, Yhdysvalloissa ei ole minkäänlaista valtakunnallista tietosuojalakia. Yhdysvallat on aina ollut - sanon sen takana, perspektiivinä - Euroopan takana tällaisen sääntelyn kannalta, ja se jatkuu. Se jatkuu GDPR: llä, se on aika selvää. Jotkut teistä saattavat tietää tietosuojakilvestä, saatat ihmetellä sitä. GDPR: ssä on noin kolme tai neljä säännöstä, joilla on päällekkäisyyttä yksityisyyden suojan kanssa, mutta GDPR: ssä on sata säännöstä, joten se on paljon muutakin kuin mitä, ja tietysti se on edelleenkin paikallaan ja liittyy Yhdysvaltojen ja EU: n tiedonvaihtoon. vain, vaikka se on tärkeää.
Haluan jälleen aloittaa numeroilla. Olet kuullut sakoista, entä siitä, kuinka olet valmistautunut siihen. Budjettina GDPR: lle ja tekemällä osa tästä, tämä riippuu parista tekijästä. EU: n kansalaisista keräämäsi henkilötietoja koskevat tiedot. Jos et kerää yhtään, OK, olet todennäköisesti vaatimusten mukainen eikä sinun tarvitse käsitellä tätä, mutta olet todennäköisesti tällä puhelulla, koska keräät jonnekin. Yrityksesi koko ja tietohallinnon kypsyys, joka, kuten aiemmin totesin, saattaa lähestyä sitä, mitä sinun on tehtävä vastatakseen GDPR: ään. Voit odottaa tapauskohtaisesti jopa useita miljoonia dollareita tai euroja noudattamista. Haluamme kuitenkin, ettemme halua vain noudattaa GDPR: ää, tarkistaa tämä ruutu, tietysti meidän on tehtävä se. Toivottavasti et ole siinä surkeassa tilanteessa, jossa olet vain epätoivoisesti valinnut kyseisen ruudun. Etsi liiketoimintaetuja, koska monet asiat, joita teet GDPR: n tukemiseksi, ovat hyviä yrityksellesi. Tietohallinto on hyvä yrityksellesi. PII-tietojen määrän suhteen jotkut ovat tärkeämpiä kuin toiset, toiset tutkitaan enemmän kuin toiset, kuten tietoon liittyvä terveys, jota säännellään GDPR: n nojalla tiukemmin kuin muun tyyppisiä tietoja, ja se edellyttää noudattamista lisävelvoitteilla, kuten tietosuojavaikutusten arviointien tekeminen, mikä selvästi lisää budjettiasi.
Pieni budjetointi. Jos olet Yhdistyneessä kuningaskunnassa tai Yhdysvalloissa ja ihmettelet kuinka se vaikuttaa sinuun - GDPR vaikuttaa muuten vielä EU: ssa olevaan Yhdistyneeseen kuningaskuntaan 29. maaliskuuta 2019 saakka ja jonka hallitus on ilmoittanut, että jotain GDPR: n tapaista jatkuu kyseisen päivämäärän jälkeen, koska ”se on hyvä idea.” Ison-Britannian yritysten on noudatettava sitä. Yhdistyneen kuningaskunnan kansalaisten tiedot ovat varmasti pöydällä tätä varten. Jos ei ole selvää, on Yhdysvalloissa toimivia yrityksiä, jotka käsittelevät EU: n kansalaisia koskevia tietoja, tämä koskee sinua. Tällä on vaikutuksia tietoarkkitehtuuriin, koska joudut joutumaan joutumaan jättämään EU-tiedot pois kaikesta muusta ja kohtelemaan niitä eri tavalla. Se vaikuttaa analytiikkaan, kuten Eric sanoi, siihen, kuinka kokoat nämä analyysit ja niin edelleen. Nyt voi olla vaikeampaa saada kaikenlaista konseptinlaajuista, maailmanlaajuista analytiikkaa. Ne voivat tulla paikallisemmiksi GDPR: n seurauksena.
Mitä säännöksissä on? Tietosuojastandardeja on. Nämä kaikki paitsi sanelevat tietojen salauksen levossa ja liikkeessä. Puhun seuraavaksi salauksesta. Tietojen rikkomusten ilmoittamisstandardeja on. Ei enää tätä odottamassa kuukausia, odottaen neljännesten ilmoittamista kaikille. Mielestäni siellä oli iso päivä toisena päivänä, ja selvisimme: ”Voi, se tapahtui vuosi sitten.” Ei mikään GDPR: llä - sinulla on 72 tuntia. Se on nimi- ja häpeäpolitiikka. Toivottavasti kukaan ei pääse siihen, selvästi jotkut ihmiset. Rikkomuksia jatketaan, tietysti myös GDPR: n jälkeen. Tiedon sijainnin ja laadun seuraamiseksi on olemassa prosesseja. Kuulostaa tutulta? Se on todella tiedonhallinnan ydin. Toivottavasti jotkut niistä ovat menossa.
Kuten Eric mainitsi, EU: n kansalaisilla on oikeus unohtaa. Tähän on joitain kohtuullisuusstandardeja, Eric. Sinun ei tarvitse hävittää kaikkea välttämättä, jos joudut ehkä ottamaan uudelleen yhteyttä asiakkaaseen, kyseiseen työntekijään, sinulla on oikeus pitää tietyt piirteet hänen henkilökohtaisista tiedoistaan. Mutta silti näillä kansalaisilla on oikeus unohtaa, mutta et voi olla kohtuutonta vaivaa - se on kieli - sinulle tai vahingoittaa yritystä, sinun on hävittää nämä tiedot. En halua vähentää sitä, mutta sinun on myös julkaista kopioita hallussaan olevista henkilötiedoista ja voit saada nämä tiedot vain suostumuksella. Alaikärajojen on annettava suostumus luvan myöntämiseen. Se on suurta siellä, mutta se antaa kansalaisille paljon oikeuksia heidän tietoihinsa. Se on siirrettävyys heti, jos jotain ilmaantuu. Oikeus unohtaa selvästi, mutta myös - ja jotain, joka ei ole dioissani, joka on melko tärkeätä - on rekisteröidyllä oikeus olla alttiina yksinomaan automatisoituun käsittelyyn perustuvalle päätökselle. Mihin olemme siirtyneet kovasti? Automatisoitu käsittely, lainojen vastaanottamisen ympärillä, mitä tarjouksia aiomme antaa, tämä kaikki on selvitettävä sen suhteen, kuinka tämä aikoo pelata ja kuinka pitkälle tämä menee. Tämä tarkoittaa lähinnä avoimuutta siihen, miksi minut hylättiin, miksi tämä yritys kohtelee minua tietyllä tavalla. Tämä on nyt myönnetty EU: n kansalaiselle.
On selvää, että liiketoiminnassa on joitain seurauksia, ja toivottavasti näet, että GDPR ei ole IT-ongelma, ei pelkästään IT-ongelma. Kaikki nämä liiketoimintaprosessit ovat mukana. Siihen osallistuu ihmisiä kaikkialta yrityksestä. Tietosuojavastaavan nimittämistä suositellaan yrityksille, joissa on yli 250 työntekijää, ja sinulla on ”kriittinen matematiikka EU: n henkilötietojen tietojen kanssa”. Voit päättää itse, jos sinulla on kriittinen matematiikka, joskus se on ilmeistä, joskus ei. Mutta siellä on uusi rooli - ei tarvitse olla kokopäiväinen rooli, henkilöllä voi olla muita vastuita, mutta en tiedä - joissakin keskikokoisissa ja isommissa yrityksissä BKT: n noudattaminen on melko mielestäni olla lähellä kokopäiväistä roolia. Sanoisin, että aloittakaa tällä tavalla ja katsokaa, pystyttekö käsittelemään sitä. Erityisesti seuraavan vuoden aikana, kun saatte toimintasi yhteen GDPR: n ympärillä, kun se on asettunut asumaan, ehkä hidastaa tämän työtä, mutta se vie jonkin verran yrityksiä melko vähän aikaa. Antaa yksilöiden nähdä omat tiedot ja tietojen siirrettävyyden, kuten aiemmin mainitsin.
Se ei ole muuten kaikki uutta, mutta oikeus unohtaa on ollut olemassa siellä, uskokaa tai älkää. EU: n nykyisissä säännöissä säädetään jo oikeudesta poistaa henkilötietoja tai asettaa ne saataville. Nyt, mutta se on osa GDPR: ää, sitä pannaan täytäntöön paljon laajemmin. Tietojen salaus - salaa tietosi levossa. Käytä tavallisia salausmenetelmiä, älä käytä omaa kotitekoista tai epästandardia salausta. AES on yksi, jota suosittelemme melko vähän. Käytä salausteknisesti suojattuja salausavaimia. Vaihda nuo näppäimet ajoittain. Estä myös näiden avainten häviäminen. Nämä ovat vain hyviä salauskäytäntöjä, mutta nyt ne ovat tulossa eturintamaan GDPR: n kanssa. Siinä on ongelma - olen lyönyt vain jäävuoren huipulle. On selvää, että tutkittavaksi on enemmän säännöksiä, mutta ne ovat tärkeimmät.
Nyt ratkaisu. Tietohallinto, kehys, jota noudatat, ainakin se näkökulma, jonka esitän täällä. Onneksi on olemassa aktiivinen, hyvin korotettu kurinalaisuus, joka kykenee ja pystyy vastaamaan suurimpaan osaan vaatimuksista, ja se on tiedonhallinta - tietysti sanon sen. Hallinnointiohjelmilla tulisi olla tietosanasto, ja tässä tarkoitan tietosanakirjaa yleisessä merkityksessä prosessien dokumentointia varten. Tämä on perusta, jotta voidaan palvella GDPR: n varastotarpeita, mikä on, kuten olemme nähneet, melko valtavia. Ohjelman, hallinto-ohjelman, pitäisi helpottaa tietoturvaprotokollia - ja korostan, että koska se ei ole jotain, mitä monet tiedonhallintaohjelmat tekevät tällä hetkellä, mutta mielestäni se on looginen paikka tähän, koska ne ovat istuen ohjelmassa, joka selvittää ketkä ovat yrityksen omistajia? Kenen täytyy nähdä se? Ja sitten seuraava askel on myöntää nämä luvat. Se on keskitettävä ja virallistettava. Tarvitaan sisäisiä käytäntöjä, joita käytetään. Hallinnointi on osoitettava kaikille elementeille, jotta ne voivat syöttää kaikkia edellä mainittuja. Tietohallinto voi myös olla tarvittava liiketoimintaprosessien suunnittelun avustaja.
Ennen kuin poistun tästä kalvosta, pyrkiessään välttämään moitteettomia sakkoja yritykset ottavat käyttöön vakaan liiketoiminnan käytännöt sivutuotteena. Haluan sanoa, että se on enemmän kuin sivutuote, mutta se on oikeastaan vain hyvää, tervettä yritystä, joka voi johtaa sinut uusiin paikkoihin liiketoiminnan näkökulmasta. Varmasti saat paljon tehokkuutta kaikkien aloitteiden toteuttamiseen kautta linjan, jos sinulla on vakaa tiedonhallinta, niin olen nähnyt vuosien varrella. Lisäämällä tietohallintoon joitain mainitsemistaan asioista, ne vain paranevat. Suosittelemme, että kysyt näitä kysymyksiä liiketoimintaprosessien suunnittelussa kaikilla liiketoiminta-alueilla. Millaista tietoa keräämme EU-asiakkaistamme? En lue niitä kaikkia. Jotkut tärkeimmistä täällä. Kenellä on tarve nähdä nämä tiedot ja mitä sitä noudatetaan? Kuka on tietojen hoitaja näille tiedoille? Kuka on minun henkilökohtainen henkilö yrityksessä? Tämä on iso asia: jaammeko näitä tietoja kolmansien osapuolten kanssa? Vain siksi, että annat sen kolmannelle osapuolelle, ei vapauta vastuustasi näiden tietojen suhteen - se on silti tietosi, se on silti kerättyjä tietoja. GDPR: n seurauksena on paljon kolmansien osapuolien sopimuksia tarkistettava perusteellisesti. Onko näissä järjestelmissä deterministisiä virheitä? Tarkoittaa, kun ne epäonnistuvat, he epäonnistuvat polulle, jonka olemme ennalta määränneet, vai epäonnistuivatko ne vain törmäykseen, palamaan ja aloitamme tyhjästä kaivaamalla sitä? Se tulee selvästi olemaan paljon parempi. Se on jo hyvä käytäntö, mutta tietysti paljon parempaa joidenkin näiden aineiden käänteiseen suunnitteluun, jos järjestelmässäsi on suuria deterministisiä virheitä.
Tietojen säilyttäminen, olemme puhuneet tiedon säilyttämisestä ikuisesti. Monilla yrityksillä on politiikkoja, mutta ne eivät kaikki noudata niitä. On selvää, että kuuluisasti terveydenhuollossa ja rahoituksessa haluamme pitää tietoja, meidän on säilytettävä tietoja tietyn ajan. Jotkut näiden yritysten analyytikoista, jotka säilyttävät tietoja seitsemän vuoden ajan tai eivät, sanovat: ”Voi, ajanjakson jälkeen haluan edelleen kyseiset tiedot.” Jotkut näiden yritysten lakimiesistä sanovat: ”Mutta meidän on päästävä eroon siitä vastuutarkoituksiin ”ja niin edelleen. Se ei voi vain istua siellä, koska kysymys loggerheadeissa on enää GDPR. Meillä on oltava säilytysjakso, jos sitä on noudatettu johdonmukaisesti kaikkialla organisaatiossa.
Ja lopuksi, miten voit mobilisoitua tietorikkomukseen? Nämä pahimmat tapaukset, joita sinulle voi tapahtua. Yritämme selvästi yrittää estää heitä, mutta entä jos se tapahtuu? Kuinka sotat asian ja varmista, että noudatat nyt vastaukseesi GDPR: n säännöksiä? Olen data-arkkitehti, ajattelen tietoarkkitehtuuria. Jos olet yhdysvaltalainen yritys, joka harjoittaa EU: n toimintaa, tarkoittaen EU: n kansalaisten tietoja - keräät sitä, sinun on pohdittava, sovelletaanko tietosuojavaatimuksia kaikkiin tietoihin vai vain EU: n tietoihin. Kyllä, minulla on asiakkaita, jotka tekevät päätöksen nyt. Vahvana liiketoimintatapana he saattavat haluta viedä sen Yhdysvaltoihin, mutta he saattavat tuntea olevansa aikaa, mutta se tuo esiin numeron kaksi. Saatat joutua eristämään EU: n tiedot Yhdysvaltojen järjestelmistä, jos et voi taata, että Yhdysvaltojen järjestelmät käsittelevät tietoja asianmukaisesti. Erottaako kyseiset tiedot analytiikkaa varten? Ovatko analytiikat edes päteviä, jos yrität tehdä niitä eri puolilla maata? Joskus kyllä, joskus ei, eikö? Saatat huomata, että analyysisi on mykistetty seurauksena.
Kuten aiemmin mainitsin, tekoäly pelataan täällä, koska tietysti voimme käyttää AI: tä etsimään kaikki tiedot, auttamaan meitä löytämään kaikki tiedot, mutta jos käytämme AI: tä asiakasrajapinnoissamme, meidän on oltava avoimia nyt asiakkaamme kanssa rajapinnat ja se ei ole koskaan ollut AI: n vahva puku. Yrittää kertoa asiakkaalle: ”Sinut hylättiin, koska blah, blah, blah”, kun se todella oli AI. Se on nyt tehtävä. Meidän on selvitettävä, kuinka AI toimii, mitkä ovat tekijät? Ei voi vain istua siellä ja olla enää musta laatikko sinulle. Mitä me teemme nyt? Perusta GDPR-hallintoneuvosto. Ehdotan, että vanhempi tietosuojavastaavasi on siellä tai jos sinulla on tietosuojavastaava, ilmeisesti kyseinen henkilö. Tietohallinnon, operatiivisen riskin ja / tai noudattamisen johtajat soveltuvin osin, tietotekniikan päällikkö, jos kyseessä on henkilö. Jos sinulla on vaihtunut johtohenkilö, se olisi hieno henkilö siellä. Vain yrityksesi tärkeimpien osastojen päälliköt ja myös henkilöstöjohtaja, koska yksityisyyskoulutuksesta tulee nyt valtava. Kaikki saavat yksityisyyskoulutusta tai heidän pitäisi saada yksityisyyskoulutusta, kun he astuvat yritykseen, jopa konsultit.
Jos et tee näitä asioita, jotka näet täällä, joudut liikkumaan nopeammin kuin haluat tehdä määräajan. Sinun on myös aloitettava toivoen, että et ole yksi ensimmäisistä, jotka saavat tarkastuksen, koska rehellisesti sanottuna täällä on paljon työtä, jos aloitat tyhjästä ja käsittelet paljon EU: n kansalaisten tietoja. Palkkaa tietosuojahenkilösi, kartoita tiedot ja prosessit. Rakenna se tiedonhallintaa koskeva suunnitelma, vie se mistä se on, mihin sen täytyy olla. Saatat haluta aloittaa sen. Käsittele tietosuojakäytäntöjäsi ja käytäntöilmoituksiasi. Tietosuojakäytännöt ovat sisäisiä. Poliittiset ilmoitukset menevät ulkopuolelle. Näemme kulttuurin, joka alkaa luoda nyt poliittisten ilmoitusten ympärille. Näiden poliittisten huomautusten ympärillä on tehty paljon vertailua ja paljon huolellista sanamuotoa. Tilaa kaikkien järjestelmien, myös uusien järjestelmien, GDPR-vaatimustenmukaisuuden tarkastus. Saatat joutua järjestämään ne ja tekemään ne tietyssä tärkeysjärjestyksessä, mutta tämä on toinen tapa ratkaista ongelma. Katso järjestelmiä ja mitä heidän on tarkoitus tehdä ja kuinka he käsittelevät näitä tietoja.
Mitä GDPR tarkoittaa? Siitä olemme täällä puhuaksemme vähän lisää. Odotan innolla mitä Kimillä on sanottavaa tästä. GDPR on muutos tietosuojavalvonnassa kohti sääntelyä. Se on suuntaus kohti avoimuutta, se sanotaan oikein säännöksissä. Luomme tätä tietosuojailmoitusten kulttuuria, kuten puhuin, se on nyt asia. Aiomme nähdä konferensseja tietosuojailmoituksista ja niin edelleen. GDPR-muutos suuntautuu ihmisten perusoikeuksiin. Avoimet kysymykset selvitetään. Kysymyksiä on selvästi avoimia, olen jättänyt muutaman pöydälle meille. Kukaan ei löydä vastausta. Heidät suunnitellaan. Suuntaus kohti sitä, että yksilöt ymmärtävät paremmin tietojaan ja niiden käyttöä. Mielestäni tämä on lisännyt EU: n väestön tietoisuutta heidän tietojensa tärkeydestä ja nähnyt, että heidän henkilökohtaisen omaisuutensa vuoksi heidän on hallittava enemmän. Se on joitain varhaisista signaaleista, jotka olen nähnyt, ja Eric, heitän sen takaisin sinulle nyt.
Eric Kavanagh: Alrighty, anna minun antaa avaimet Kimille, joka voi jakaa osan näkemyksestään, mutta mielestäni se oli hyvä katsaus, William, ja painit avainkohdat - nimittäin, että tämä tulee varmasti hauen varmasti ja meidän kaikkien on oltava hyvin varovaisia, varsin rehellisesti. Sen avulla annan avaimet Kimille ja voit jakaa näytön ja ottaa sen sieltä.
Kim Brushaber: Hei, kuuletko minua?
Eric Kavanagh: Kuulen sinut.
Kim Brushaber: Mahtava. William kattoi joitain samoja asioita, joita aion kattaa, mutta mielestäni ne kannattaa peittää uudelleen, koska ne ovat todella tärkeitä. Uskon, että kun uusia säädöksiä annetaan, on todella hyvä saada siitä paljon erilaisten ihmisten näkökulmia ja tulkintoja, jotta jokin herättää mielesi ja antaa sinun pystyä entistä paremmin noudattamaan vaatimuksia. Kaikkia tätä puhelua käyviä ihmisiä rohkaisevat minua siihen, että haluamme tietää enemmän, koska mielestäni tulee 25. toukokuuta, saattaa olla paljon paniikkia yrityksille, joita ajataan jälkeenpäin, mutta jotka eivät noudata sääntöjä.
Nimeni on Kim Brushaber, olen IDERA: n vanhempi tuotepäällikkö. Minulla on useita tuotteita, jotka auttavat GDPR: n ja muiden asetusten noudattamisessa. Aion hypätä osaan tietoista. Aion aloittaa joihinkin tosiseikkoihin ja lukuihin ja keskustelen sitten vähän GDPR: stä ja sitten siitä, kuinka työkalumme voivat auttaa sinua. Yksi tosiasia on, että yli 5 miljoonaa tietorekisteriä katoaa tai varastetaan päivittäin. Emme kuule tätä ilmoitettua uutissamme, emme kuule tämän tulevan muista paikoista, mutta yli 5 miljoonaa tietorekisteriä varastetaan koko ajan, suoraan meiltä. Keskimääräinen päivien lukumäärä, jonka hyökkääjät pysyvät lepotilassa verkon sisällä, on 200 päivää. Moniin järjestelmiin on jo soluttautunut ihmisiä, jotka - ilkeällä aikomuksella - odottavat vain mahdollisuutta hyödyntää tietojasi, enimmäkseen tietoturvan ja sertifikaattien puitteissa, mutta odottavat vain hetkensä syödäkseen. Siksi tietoturvan käsittelystä on tullut entistä tärkeämpää. Yksittäisten tietojen rikkomusten keskimääräisten kustannusten ennustetaan vuonna 2020 ylittävän 150 miljoonaa dollaria, koska enemmän yritysinfrastruktuuria kytkeytyy verkkoresursseihin ja kun enemmän asioita nousee pilveen. Se on hyvä budjettinumero, jos olet todella huolestunut tietoturvasta, antaa johtoryhmällesi kertoa heille, että tämä on vakava asia ja voi maksaa meille paljon rahaa eteenpäin.
Aion tarkastella lyhyesti Equifax-tietorikkomusta, koska se oli mielestäni vuoden 2017 suurin tietorikkomus, maalata kuva siitä, millaista on käydä läpi. Rikkominen koski 145, 5 miljoonaa asiakasta. Työntekijät tunnustivat tietoturvaongelman verkkosovelluksellaan kaksi kuukautta ennen rikkomuksen tapahtumista. Työntekijät sanoivat: "Tämä on ongelma." Ja vielä vähän ennen sitä oli, kun laastari todella tuli ulos. Kesti koko päivän, kun rikkomus tapahtui, vastaamaan siihen ja siirtämään verkkosovellus offline-tilaan. Koska Equifaxilla ei ollut määriteltyä tietoturvaprotokollaa, kesti heiltä huomattavasti aikaa edes selvittää mitä tapahtui ja sitten pystyä siirtämään järjestelmä offline-tilaan. Kuusi viikkoa rikkomuksen jälkeen kansalaisia hälytettiin. GDPR: n avulla - kuten aiemmin totesimme ja sanon sen vielä kerran - sinun on ilmoitettava 72 tunnin kuluessa, ja Equifaxilla olisi ollut kätensä sidottu eikä olisi pystynyt noudattamaan vaatimuksia, koska he odottivat kuusi viikkoa ilmoittaakseen siitä. Tiedonantoon rikkomusten torjumiseksi sisältyy verkkosivusto, joka ei edes ollut Equifaxin omistuksessa. Equifax itse uudelleensijoitti tätä twiittiä, jota ei edes ollut heidän toimialueellaan - he olivat kääntäneet osan sanoista. Onneksi se ei ollut haitallisten sivustojen hyödyntäjä, mutta niitä ei selvästikään valmisteltu. Heillä ei ollut suunnitelmaa paikallaan, ja siitä tuli hyvin tietoinen julkisella areenalla. Equifax ei ole yksin - tähän mennessä on ollut yli 25 erittäin korkeaa kyberprofiilihyökkäystä vuonna 2017, ja voisimme löytää vielä enemmän ennen vuoden loppua. Yritysten on todella aloitettava suhtautuminen tähän vakavasti, koska ihmiset ovat siellä ja jos annat heille syyn haluaa tulla luoksesi, sinun on parempi olla valmis käsittelemään sitä.
Joitakin muita tosiasioita ja lukuja siitä, miten ihmiset suhtautuvat tietoturvaan. Vuoteen 2020 mennessä 30 miljardia laitetta on kytketty Internetiin koteidemme kautta, puheillamme, puhelimillamme, tablet-laitteillamme ja kuka tietää mitä muuta voi vielä tulla tulevina vuosina. On olemassa paljon laitteita, jotka ovat alttiita näille hyökkäyksille. Neljäkymmentäyhdeksän prosenttia amerikkalaisista katsoo, että heidän henkilökohtaiset tietonsa ovat vähemmän turvallisia kuin se oli viisi vuotta sitten. 73 prosenttia amerikkalaisista kuluttajista haluaa yritysten olevan avoimia henkilötietojensa suhteen. Seitsemänkymmentäkahdeksan prosenttia ihmisistä väittää olevansa tietoisia tuntemattomien linkkien ja sähköpostien napsauttamisen riskeistä, mutta napsauttavat näitä linkkejä joka tapauksessa - se on yli kolme neljäsosaa väestöstämme, ja he napsauttavat linkkejä edelleen, vaikka tiedä, että se voi olla ongelma. 85 prosenttia Internetin käyttäjistä yrittää aktiivisesti minimoida, nimetä ja piilottaa digitaalisten jalanjälkiensä näkyvyyden. Äitipuolisäni haluaa mennä ulos ja luoda vääriä nimiä täyttäessään lomakkeita, koska hänen mielestään se tekee hänestä nimettömän, mutta tuskin tietää, että hänen IP-osoitettaan myös seurataan. Henkilökohtainen huolenaihe on paljon, ja juuri siitä syntyy paljon GDPR-määräyksiä ja todennäköisesti lisäsäännöksiä, joita seurataan.
Tietoturva-alan tosiasioiden mukaan vuonna 2016 90 prosenttia rikkomusten tietueista tuli hallituksesta, vähittäiskaupasta ja tekniikasta. Neljäkymmentä kolme prosenttia kyberhyökkäyksistä hyökkäsi pienyrityksiin. Jos ajattelet: "Voi, en ole suuri kaveri, he eivät tule minua takaa", on edelleen melkein puolet heistä, jotka seuraavat pienyrityksiä. 85 prosenttia terveydenhuollon teollisuudesta oli saanut haittaohjelmia tartunnan viimeisen vuoden aikana. Seitsemänkymmentä prosenttia Yhdysvaltain öljy- ja kaasuyhtiöistä oli hakkeroitu viime vuonna. Tällä on huomattava vaikutus vaikutuksiin useilla aloilla, jotka ovat käynnissä ja käynnissä, ja tämä määrä kasvaa vain täältä.
Kun tarkastellaan sitä toimeenpanoviranomaisten näkökulmasta, 90 prosenttia CIO: ista tunnustaa tuhlaavansa miljoonia dollareita riittämättömään kyberturvallisuuteen. Yhdeksänkymmentä prosenttia sanoo myös, että heitä on hyökätty tai he odottavat hyökkäävänsä salauksensa piilossa olevien kaverien kimppuun. 87 prosenttia uskoo, että heidän turvatarkastuksensa eivät pysty suojelemaan liiketoimintaa. 85 prosenttia johtavista henkilöistä odottaa avaintensa ja sertifikaattiensa väärinkäyttöä pahenevan. Tämä on valtava määrä yrityksiä, jotka tarkastelevat tätä tietoturvaongelmaa, ja todellisuus on, että monilla yrityksillä ei ole kovin hyviä ratkaisuja, jotta edes pystyttäisiin käsittelemään sitä, kun se tapahtuu, vaikka he uskovatkin, että se tapahtuu.
Kun tarkastelemme sen valmistelua, vuonna 2014 70 prosenttia millennialaisista myönsi, että he olivat tuoneet ulkopuolisia sovelluksia yritykseensä IT-politiikan vastaisesti. Seitsemänkymmentä prosenttia myönsi - siellä on todennäköisesti jopa suurempi määrä, joka todella teki sen. Viisikymmentäkaksi prosenttia organisaatioista, jotka kärsivät onnistuneista kyberhyökkäyksistä vuonna 2016, eivät tehneet muutoksia turvallisuuteensa vuonna 2017. Vaikka he joutuivat kerran hyökkäykseen, he eivät silti menneet ja rantautuvat muuriin - he ovat yhtä haavoittuvia kuin he. olivat ennen hyökkäystä. Tämä herättää todellakin kysymyksen, mitä yritysten on aloitettava tehdä valmistautuakseen näihin asioihin? Kolmekymmentäkahdeksan prosenttia globaaleista organisaatioista väittää olevansa valmiita käsittelemään hienostunutta kyberhyökkäystä. Se on hyvä - melkein puolet on paikalla, ja olen siitä runsas, olemme todella vain kolmannes, mutta ainakin puolet sanoo: ”En ole valmis. Jos minua hyökkää, en ole valmis ja hakkerit tietävät sen. ”Kolmekymmenellä kahdeksalla prosentilla organisaatioista on tietoverkkovälikohtauksia koskeva suunnitelma. Useimmat yritykset ovat samassa ämpäri kuin Equifax, missä he eivät tiedä mitä he tekevät. Jos he saavat tämän, heidän on reagoitava ja keksittävä nämä asiat lennossa, ja GDPR: n kaltaiset säännöt sanovat: "Sinulla on oltava nämä paikoillaan. Ne on julkaistava. Sinun on todistettava se turvallisuuden tarkastajille. ”Toivottavasti sellaisilla vaikutuksilla, sellaisilla säädöksillä, pystymme pääsemään eteenpäin tästä käyrästä, ja reaktiivisuuden sijasta voimme olla aktiivisia harrastuksissamme.
Puhutaanpa vähän GDPR: stä. Osa tästä Williamista on jo katettu, mutta aion mennä eteenpäin ja peittää sen uudestaan, otan vain ääneni, näkökulmani. Monet yritykset, joiden kanssa puhun, ovat esimerkiksi: "Olen Yhdysvalloissa, miksi minun pitäisi edes välittää tästä EU: n asetuksesta?" Se tosiasia, että useammat ihmiset eivät sumise ja useammat ihmiset eivät puhu he luulevat sen vaikuttavan vain EU: n jäseniin, mutta kysyisin, jos tarkastelet tätä luetteloa, keräätkö mitään näitä tietoja EU: n jäseniltä? Jos keräät jotain näistä tiedoista lainkaan, sinulle kohdistuu GDPR: n rajat ja rangaistukset siitä, että sinua ei noudateta. Annan sinulle hetken vain tyydyttääksesi tämän ja ymmärtääksesi tämän. Kuten William aiemmin mainitsi, nämä ovat sakot ja seuraamukset, joihin viitataan GDPR: n 83 artiklassa. Alussa voit saada iskun käteen, hieman varoittaen sanomalla: “Hei, saat tekoosi yhdessä. Aseta tämä paikoilleen. ”Mutta jos sinulla on todella iso rikkomus - ja riippuen siitä kuinka suuri kauppa on - ne tulevat takaisin sinulle palauttamista varten, ja se on merkittävä määrä. Ei 10 miljoonaa, vaan 20 miljoonaa euroa tai 4 prosenttia liikevaihdosta / tuloista edelliseltä vuodelta. Se on paljon rahaa. Tämä on paljon budjetti mennä johtoryhmille ja sanoa: "Tämä on jotain, joka meidän on alkaa ottaa vakavasti ja meidän on ryhdyttävä toimiin."
Haluan käydä läpi vähän 5 artiklassa esitetyistä GDPR-periaatteista. Yksi heidän sanomistaan asioista on, että henkilötietoja on käsiteltävä laillisesti, oikeudenmukaisesti ja avoimesti. Tämä tarkoittaa, että yleisö haluaa tietää, mitä teet heidän tietojensa kanssa. Ole läpinäkyvä siitä ja se on julkaistava. Suurin osa ihmisistä ei lue ehtoja, mutta tämä on uutta tietoa, joka sinun on pystyttävä kommunikoimaan, jotta voit sanoa heille: "Tietojasi käsitellään asianmukaisesti." Henkilötiedot olisi kerättävä tietystä, selkeät ja lailliset tarkoitukset. Tämä tarkoittaa, että toivottavasti voimme päästä eroon tietystä roskapostista, jossa yritykset sanovat keräävänsä tietoja tietokilpailuun, joka kertoo sinulle kuinka mielenkiintoinen voi olla. Todellisuudessa he ottavat tietosi ja myyvät ne takaisin joku muu, jotta niitä voidaan käyttää mihin tahansa tarkoitukseen. Yritysten on nyt oltava paljon vastuullisempia ja sanottava tarkalleen, mihin he käyttävät tietosi. He myös sanovat, että henkilötietojen on oltava riittäviä, asiaankuuluvia ja rajoitettu tarpeisiin. Monet yritykset haluavat ottaa kaiken tietonsa ja laittaa sen isoihin tietokantoihin. Sitten he selvittävät, mitä haluavat tehdä tiedoilla myöhemmin, ja he keräävät paljon enemmän kuin voi olla tarpeen. Sanotaan, että et voi kerätä sitä ja käyttää sitä muualla. Et voi myös vain kerätä kaikkea ja toivoa, että saat siitä myöhemmin hyödyllisen. Sinun on oltava erittäin selkeästi miksi keräät tietoja, ja sen on oltava asiaankuuluvaa kerättyihin tietoihin.
Henkilötietojen on myös oltava tarkkoja ja ajan tasalla. Sinun on annettava käyttäjille tapoja päivittää tietojaan, kun olet kerännyt ne heille. heidän on voitava palata takaisin ja sanoa: "Tiedätkö, minulla oli tämä mielipide jossain tutkimuksessa, jonka pyysit minulta henkilökohtaisia tietoja. Haluan palata takaisin ja haluan muuttaa sen ja päivittää sen nyt." Ja sinulla on antaa heille tavan pystyä tekemään niin. Henkilötietoja on säilytettävä muodossa, joka sallii rekisteröidyn tunnistamisen vain niin kauan kuin on tarpeen. Takaisin Williamin huomautukseen, että et voi kerätä näitä tietoja ikuisesti - sinun on keksittävä, mikä on mielestäsi pätevää ja välttämätöntä, ja sen jälkeen sinun on pyyhittävä tiedot puhtaiksi. Se on myös käsiteltävä tavalla, joka takaa asianmukaisen turvallisuuden, mukaan lukien suoja luvattomalta tai laittomalta käsittelyltä, tahattomalta katoamiselta, tuhoutumiselta tai vaurioilta.
Kuten aiemmin totesin, on aika ottaa tämä tosissaan tosissaan, lopettaa nämä tietorikkomukset, koska yrityksellesi voi aiheutua vahinkoa vain tietorikkomusten muodossa sekä tulojen menetyksestä ja prosessien tukemisesta aiheutuvista kustannuksista., mutta saatat olla myös kasa sakkoja lyöty päälle GDPR: stä. On aika todella alkaa suhtautua siihen erittäin vakavasti, ja luulen, että kun GDPR tulee voimaan, yritykset joutuvat kohtaamaan kovan todellisuuden, ja onneksi ne, jotka tänään soitatte, voivat alkaa ajatella tätä ja tietää kuinka aiot laittaa nämä asiat toimintaan.
GDPR puhuu myös paljon siitä, mitkä ovat yksilöiden oikeudet; se etsii todella yksittäisiä käyttäjiä. Ensimmäinen asia on oikeus käyttää henkilötietojasi. Käyttäjien on tiedettävä, mitä tietoja olet kerännyt heistä, samoin kuin henkilökohtaisesti tunnistetut tiedot, ja sinun on annettava heille tapa saada ne käyttöön. Siellä on myös oikeus oikaisuun, mikä on hieno tapa sanoa: ”Minun on kyettävä korjaamaan tiedot, jotka sinulla on minusta.” Oikeus poistaa - jota taas monet ihmiset ilmaisevat oikeutena unohdetaan - jos henkilö sanoo: “Tiedätkö mitä, en enää halua sinun tietävän, että olen erittäin hauska kaveri sarjakuvien keräilijä, sinun on päästävä eroon siitä. Minulla on ystäviä, jotka kiusasivat minua siitä ja pyyhki minut kokonaan luettelostasi ”, sinun täytyy voida tehdä se. Siellä on myös oikeus rajoittaa käsittelyä, ja tämä tarkoittaa, että käyttäjät voivat rajoittaa tapaa, jolla heidän tietojaan käsitellään. He voivat sanoa: "En välitä siitä, että otat tietoni, koska ostan uuden auton, mutta en käytä näitä tietoja lähettämään minulle sähköpostia ja roskapostia minulle uusista tarjouksista aina, kun uusia autoja julkaistaan." oikeus tietojen siirrettävyyteen, mikä tarkoittaa, että käyttäjien on voitava saada kopio tiedoistaan ja voida ottaa ne jostain muualta. Monet organisaatiot keräävät tietoa ja sillä on tarttuvuuskerroin, ja nyt ihmiset voivat sanoa: “Tiedätkö mitä, haluan sinun ottavan kaikki tietoni ja nyt haluan sinun antavan sen kilpailijallesi, jotta voin siirtää sitä yli."
Tulevaisuuden organisaatio voi ajatella paljon asioita siitä, miten pystyt tekemään niin ja mitä tietoja haluat kerätä ja lähettää. Siellä on myös oikeus vastustaa, ja käyttäjät voivat myös vastustaa tietojensa käsittelyä. Oikeus olla joutumatta päätökseen, joka perustuu yksinomaan automaattiseen käsittelyyn tai profilointiin. Tällä on merkittävä vaikutus B2B-markkinointiin - jos istut siellä ja yrität testata ja yrittää tunnistaa, onko Coloradossa viesti enemmän vaikutusta kuin Kaliforniassa, olet juuri tehnyt profiloinnin tarkastelemalla yhtä valtio toiseen nähden, ja sinun on tarkasteltava, kuinka yksilön pitäisi pystyä luopumaan siitä.
Koska meillä on joitain pelottavia asioita, jotka ovat tulleet tietojen rikkomiseen saakka ja kuinka ihmiset suhtautuvat heidän tietoihinsä, ja meillä on tämä valtava asetus, joka on pudonnut meidän olkapäidemme päälle, olen nyt täällä antaakseni sinulle ratkaisu siihen, miten IDERA voi auttaa. 15 artiklassa kerrotaan, kuinka hallita altistumista henkilötiedoille. Sinun on tiedettävä kuka käyttää tietojasi. Kuinka he käyttävät sitä. Kuinka paljon tietoja on käsitelty, ja SQL-tuotteiden Compliance Manager, jonka tuotepäällikkö olen, antaa sinun nähdä, kuka käyttää tietojasi ja miten. SQL Compliance Manger on tarkoitettu SQL Server -ratkaisuille. Jos sinulla on SQL Server-tietokanta, voit yhdistää tämän tuotteen voidaksesi tarkistaa ja tarkastella näitä tietoja, jotta voit olla GDPR: n mukainen ja tiedät tarkalleen, kuinka sitä käytetään. Voit myös nähdä tietorikkomukset ennen niiden tapahtumista, ja puhun siitä toisessa diassa. Siellä on myös artikkeli, jossa sanotaan: ”Tarvitsen kirjaa käsittelytoimista. Minun on kirjauduttava sisään ja minun on valvottava toimintoja, ja minun on tiedettävä kuka käsittelee henkilötietoja ja kenellä on pääsy näihin järjestelmiin. ”SQL Compliance Manager ylläpitää palvelimien ja tietokantojen tarkastusta, mukaan lukien turvallisuus, DDL, DML, sekä määritellä arkaluontoiset tiedot. . SQL Compliance Manager antaa sinun tarkastaa tietoturvaoikeudet ja kirjautua yritykseen, jotta näet kuka käyttää tietoja ja kuka kirjautuu sisään, onko kyseessä etuoikeutettu käyttäjä, onko se tunnettu käyttäjä vai onko kyse mahdollisesti haitallisesta käyttäjästä.
33 artiklassa puhutaan henkilötietojen rikkomusten ilmoittamisesta valvontaviranomaiselle. Sinun on kyettävä havaitsemaan nämä rikkomukset; sinulla on oltava tietueet voidaksesi arvioida vaikutuksia; sinun on tiedettävä kuinka nopeasti aiot korjata sen. Tätä varten SQL Compliance Manger antaa sinun asettaa tietokantoihin hälytyksiä, jotta ne näkevät, kenellä on pääsy arkaluontoisiin tietoihisi, kun he käyttivät sitä, mitä he käyttivät. Sen avulla voit myös sulkea pois normaalit etuoikeutetut käyttäjät tilintarkastuksesta. Jos sinulla on järjestelmänvalvoja tai verkonvalvoja, jonka tiedät käyttävän sitä, etkä halua tukkia raporttejasi, voit sulkea ne pois ja sanoa: "Anna minulle kaikki, mikä tapahtuu näiden tietojen ulkopuolella." Se sallii voit nopeasti tunnistaa, jos joku käyttää haitallisesti tietojasi, ja sinulla voi olla hälytyksiä, jotka ovat paikallaan, jotka antavat sinulle tiedon siitä hetkestä, kun ne alkavat tapahtua ja sitten kun tietoihin pääsee, jotta pystyt murtaamaan ne, jotta sinun ei tarvitse odottaa koko päivän selvittääksesi mitä tapahtuu, kuten Equifax teki.
Siellä on myös artikkeli, joka puhuu tietosuojasta ja vaikutusten arvioinnista. Tämä arvioi riskejäsi ja ymmärtää mitä ne ovat, sekä osoittaa ja dokumentoi, että noudatat GDPR: ää. SQL Compliance Manager antaa sinun raportoida seurattavista elementeistä. Ainoastaan pähkinänkuoressa, tietojen tarkastaminen SQL Compliance Manager -ohjelmalla SQL Compliance Manager antaa sinun havaita epäonnistuneita kirjautumisia - mikä on potentiaalinen merkki rikkomuksista - seurata hallinnollisia toimia ja tietoturvamuutoksia, varoittaa tietokannan muutoksista, tarkastaa sarakkeet, jotka määrität arkaluontoisiksi tiedoiksi, tunnistat etuoikeutetut käyttäjät ja seuraat heidän toimintaa erillään muista järjestelmän käyttäjistä, ilmoita, että tietoja tarkastetaan useiden sääntelyohjeiden mukaisesti. Me katamme paitsi GDPR: n myös HIPAA: n, PCI: n, FERPA: n, SOX: n, kaikki sääntelyohjeet, kun ne tarkastavat tietosi ja ymmärtävät, mitä käytät, meillä on nämä sääntelyohjeet voimassa.
IDERAssa on myös muita tuotteita GDPR-valmisteluun. SQL Compliance Manager -ohjelman tarkastusten lisäksi meillä on myös ER / Studio Enterprise Team Edition, joka voi auttaa dokumentoimaan tietoprosessiasi ja sisällyttämään tietostandardit tietomallisi, voit luoda tietosanakirjoja, joista William puhui edellisessä diassa . Kuten olen todennut tässä tässä esityksessä, SQL Compliance Manager voi auttaa sinua tarkistamaan tietosi varmistaaksesi, että väärät ihmiset eivät pääse tietoihisi, ja todistaa tämän tilintarkastajille. SQL Safe Backup voi auttaa salaamaan tietosi ja varmuuskopiosi. Salaus on olennainen osa GDPR: ää, jota en käsitellyt tarkemmin, koska halusin keskittyä paljon Compliance Manager -sovelluksen omaisuuteen, mutta SQL Safe Backup tekee paljon salausta sinulle, jotta tietosi voivat pysyä turvallisina. SQL Inventory Manager voi varmistaa, että palvelimet ovat paikallaan ja ajan tasalla, joten et pääty tapaukseen, kuten Equifax, jossa heillä oli vanhentunut korjaustiedosto, joka antoi heille suuren tietoturva-aukon, jonka ihmiset pystyivät käytä haitallisesti. SQL Secure voi tarkistaa yksityisyyttä ja salausstandardeja.
Lisätietoja IDERA-yhteisön verkkosivustolla, blogin alla, olen lähettänyt valmistautumisen GDPR: ään ja katsomme kohti vuotta 2018 ja ymmärrämme, miten GDPR: n vaikutus tulee olemaan ja siellä on myös, voit varmasti ladata kokeiluversion SQL Compliance Manager -ohjelmasta IDERAssa, samoin kuin kaikki muut tuotteet, jotka mainitsin juuri aiemmin dioissa.
Tässä vaiheessa aion jatkaa ja luovuttaa esityksen Ericille, jotta voimme kysyä joitain kysymyksiä.
Eric Kavanagh: OK, hyvä. Olet koskenut useita todella mielenkiintoisia asioita siellä, Kim, joista yksi - mielestäni tämä on tavallaan yksinkertaista, mutta se on aika fiksu - puhuit epäonnistuneiden kirjautumisten havaitsemisesta. Minusta näyttää siltä, että se on melko hyvä merkki siitä, että joku ei ole oikein hyvä?
Kim Brushaber: Ehdottomasti. Jos näet jonkun, joka on yrittänyt käyttää salasanaasi, se on erittäin nopea tapa sanoa, että joku ei tee sitä mitä heidän pitäisi olla. Ehkä pari kertaa voit kirjoittaa salasanasi väärin, mutta jos näet 30 niistä läpi, se on huono merkki.
Eric Kavanagh: Kyllä. Heillä on tässä avain asettaa hälytykset oikeaan tilanteeseen. Mitä muuta voit kertoa meille siitä, kuinka hallita hälytysten asettamisprosessia ja niiden deaktivointiprosesseja, jotka eivät tee sitä, mitä heidän pitäisi tehdä, ja kuinka suuri osa näistä asioista voidaan automatisoida?
Kim Brushaber: Compliance Managerilla on paljon konfiguroitavissa olevia hälytyksiä sekä raportteja, joita voit tarkistaa. Käymme läpi SQL-jälkesi ja meillä on se automaattinen seuranta, ja meillä on paljon sitä, joka on jo valmiiksi määritetty ja ennalta määritetty, mutta siellä on varmasti myös huomattava määrä mukautuksia, joita voit tehdä.
Eric Kavanagh: William, tuon teidät tähän - minusta tuntuu, että se on yksi alueista, joilla näemme koneoppimisen tulevan pelaamaan seuraavien kahden tai kymmenen vuoden aikana, tarkastelemme kaikkia erilaisia mahdollisuuksia. Tarkasteltaessa kaikkia eri tapoja, joilla järjestelmä voi optimoida tehokkuutensa, se on tehokkuus esimerkiksi rikkomusten ja niin edelleen suhteen. Onko se myös sinun otteesi?
William McKnight: Kyllä, ehdottomasti. Luulen, että rakennamme nyt järjestelmiä, jotka korjaavat itsensä. 24 x 7 -seuranta alkaa liukastua ja siitä on tullut menneisyyttä, vaikka tarvitsemme silti tällaista käyttöaikaa. Mielestäni järjestelmät saavat suurelta osin rakennuksen ja selvittää, mikä on väärin. Pitäisikö meidän varata täällä enemmän tilaa tai mitä sinä olet? Joo, mielestäni se on ehdottomasti osa tulevaisuuttamme. Kaikki siellä oleva, joka voidaan yhdistää joihinkin toimintavaiheisiin, jotta voidaan reagoida johonkin, on ehdottomasti alttiina tekoälylle.
Eric Kavanagh: Se on hyvä asia. Esitän sinulle vielä yhden kysymyksen, William, koska tiedän, että teet paljon tutkimusta tälle avaruudelle. Yksi niistä asioista, joita olen odottanut jo jonkin aikaa, enkä usko, että olemme siellä vielä - luulen, että olemme lähellä, juuri siitä, mitä olen lukenut ja ajatellut sitä - on päivä, jolloin on tekniikkaa sääntelyyn liittyvien kysymysten käsittelemiseksi, näiden asioiden sanamuoto ja kartoitettava se toiminnallisuuteen ja ohjelmistoihin. Kuten sanon, olemme edelleen tietä siitä - en voi kuvitella, että joku ei työskentele sen parissa. Oletko törmännyt johonkin tällaiseen, vai olemmeko vielä tilanteessa, jossa ihmisten on tarkasteltava sääntöjä, todella yritettävä ymmärtää niitä, koodattava ne konekoodiin, pohjimmiltaan ja sitten vääntömomentti niiden eri sovelluksiin?
William McKnight: No, saan varmasti käsityksen, jonka jaat täällä. En ole perehtynyt mihinkään tapahtuvaan käyttöönottoon ympäristössä, joka siihen liittyy. Sanon yleensä, että tietenkin me alamme kertoa koneille, mitä ei tehdä, mutta mitä tavoitteena on, mitä haluamme tehdä, ja koneet ovat paljon fiksumpia yksityiskohtien selvittämisessä. Uskon, että kun saamme organisaatioihimme enemmän keinotekoista älyä, on täysin mahdollista, että uusia määräyksiä voidaan kehittää yhdessä organisaatioiden sisällä käytettävän AI: n kanssa siten, että ne voivat levittää tulevaisuuden kuvaamallasi tavalla. Toistaiseksi emme toimi sen kanssa.
Eric Kavanagh: Tässä on kysymys, jonka heitän teille, Kim, koska tämäkin on mielenkiintoista. Puhut keskimääräisestä viiveestä tai ajasta, jonka joku järjestelmään kirjautuva piiloutuu ja vain odottaa - päivien lukumäärä, jolloin hyökkääjä on pysynyt lepotilassa verkon sisällä - havaitseminen on 200. Olen kiinnostunut tietää, mitkä ovat ajatuksesi siitä, kuinka parantaa että ensinnäkin? Mutta onko olemassa tapa käyttää tällaista sääntöä tutkimaan omaa järjestelmääsi? Voit tutkia omia tietojasi ja tehdä parempaa työtä pitääksesi tällaiset ihmiset poissa?
Kim Brushaber: Joo, mielestäni varmasti varhainen havaitseminen on avainasemassa. Sinun on selvitettävä, että nämä haitalliset sivustot käyttävät tietojasi ja pystyvät lukitsemaan ne. Mielestäni muissa dioissa, joissa osoitamme, että useimmissa organisaatioissa ei ole näitä käytäntöjä. Siksi he istuvat siellä. Uskon, että jos sinulla todella olisi ollut politiikka käydä läpi ja lukita käyttöoikeutesi ja varmistaa, että oikeilla ihmisillä on pääsy. Varmista, että kierrät näppäimiä säännöllisesti ja päivität niitä. Varmista, että salasanasi päivitetään säännöllisesti ja että teet sellaisia asioita, jotka vaikuttavat melko perusteellisilta. Tällä hetkellä suurin osa organisaatioista ei edes tee sitä, ja aloittamalla näiden kappaleiden asettaminen paikalleen auttaa sinua pääsemään pidemmälle.
Se tarkoittaa tietysti, että hakkerit saavat siitä enemmän tajua, mutta tällä hetkellä se on helppoa, se on kuin: “Aion katsoa kadun taloja, joihin tunnen haluavani murtautua, onko niissä hälytys järjestelmiin? Onko heillä pieni hälytysmerkki ja siinä on koiria? Menen sellaiseen, jolla ei ole hälytysmerkkiä, jolla ei ole koiraa ja se on talo, johon aion murtautua. ”No, he etsivät yrityksiä, jotka eivät tillä nämä paikat ovat paikoillaan ja heillä ei ole turvallisuutta paikallaan, eivätkä he päivitä salasanansa, ja he menevät viettämään siellä ja käyttämään luottokorttiasi huoltoasemalla pari kertaa varmistaaksesi et ole sulkenut sitä ja sitten kun he voivat vaikuttaa suuriin muutoksiin, yleensä jonkinlainen poliittinen lausunto tai muuten on silloin, kun näet heidän aukaisevan päänsä. Saadakseni nämä politiikat paikoilleen, mielestäni tässä vaiheessa voit ottaa joitain melko pieniä askelia päästäksesi eteenpäin tästä pelistä.
Eric Kavanagh: Se on luultavasti paras neuvo, ja kuulen aina, kun puhumme turvallisuustilassa tai sääntelytilassa oleville ihmisille, että perusteet kattavat 80 prosenttia ongelmasi, ja se on paljon perustetta - - hyvä pointti. Yksi osallistujista kysyi, voisiko joku laajentaa liiketoimintamahdollisuuksia, jotka voitaisiin hyödyntää GDPR: n noudattamista koskevista pyrkimyksistä. Muistutan Sarbanes-Oxleystä, ja luulen, että William, heitän sen sinulle. Konsulttina etsit aina tapoja auttaa asiakkaitasi tietyn projektin ulkopuolella - ainakin jos olet hyvä konsultti, tee niin. Kun puhut ihmisille GDPR: stä, mitkä ovat liitännäiset edut, joita voit saada, jos he osallistuvat johonkin tähän keskittyvään projektiin?
William McKnight: Ensinnäkin on tärkeätä huomata, että GDPR: n taustalla oleva ajatus ei ole lainkaan kansalaisten oikeuksia lainkaan. GDPR: n toinen puoli on, eli se parantaa kansalaisten luottamusta yrityksiimme ja se rohkaisee heitä tekemään enemmän liiketoimintaa vaatimustenmukaisissa yrityksissä. On olemassa niitä liitännäisiä etuja, jotka toteutetaan GDPR: n tosiasiallisella suorittamisella, nyt sisäisesti, toteutamme tiedonhallintaohjelmat helpottavat kaikenlaisia aloitteita, jotka todella ovat käynnissä organisaatioissa ja nykyään ylivoimaisesti aloitteita, joita potkaistaan. organisaatioiden sisällä. Olen viime aikoina suunnitellut monien kanssa vuotta 2018, heidän on liityttävä dataan, paljon, he ovat kuin 65–90 prosenttia kaikista tiedoista - kun puhut telematiikasta tai asiakas 360 -ohjelmasta tai kojelauta myyjien seuraamiseksi, kyse on suurelta osin tiedoista. Jokin, joka hallitsee näitä tietoja paremmin, asettaa sen parempaan arkkitehtuuriin, joka nimeää ihmisiä, jotka ovat ihmisiä, jotka voivat vastata kaikkiin kyseisiä tietoja koskeviin kysymyksiin, jotka todella välittävät kuin tiedonhallintaohjelma. Mikä tahansa, joka antaa meille datasanakirjan - kuten Kim puhui työkaluillaan -, mikä tekee sen, on erittäin hyödyllistä tehdä aloitteista paljon tehokkaampia, vähentää niiden riskiä, pienentää aikaa, pienentää niiden budjettia ja saada meidät ketterään aikaan markkinoida paljon nopeammin ja hyviä asioita aloitteita tekevälle yritykselle, joka on kaikkia yrityksiä.
Eric Kavanagh: Rakastan tätä luottamuksen käsitettä. Uskon, että luottamus on hyvin aliarvioitu todellisuus maailmassa, ja rehellisesti sanottuna suurin osa liiketoiminnasta perustuu luottamukseen - se todella tapahtuu, kun pääset siihen. Heitän sen sinulle vain muutamien loppukommenttien suhteen, Kim. Mielestäni yksi tärkeimmistä lisäarvoista tässä on luottamuksen parantaminen ja luottamuskulttuurin edistäminen, koska sillä ei ole vain myönteisiä vaikutuksia itse yritykseen, itse yrityksen sisällä oleviin ihmisiin, vaan myös siihen, mitä yleisö kokee, koska tällainen juttu tuntuu, mutta mitä luulet?
Kim Brushaber: Joo, luulen, että kun puhun ystävien kanssa, jotka työskentelevät Googlessa tai Facebookissa tai joidenkin suurempien, todella korkean profiilin organisaatioiden kanssa, he eivät ole toteuttaneet lähes yhtä monta uutta ominaisuutta kuin tietoturvaprotokollien ja suorituskyvyn toteuttamisessa. ja skaalautuvuusongelmat, koska he haluavat käyttäjäkokemuksensa olevan sellainen, jossa he uskovat voivansa luottaa kyseisiin tietoihin. Uskon, että yrityksillä on tämä vastuu, kun jatkamme eteenpäin tarjotaksemme tällaista luottamusta. Muistan, kun ihmiset alkoivat ensimmäistä kertaa laittaa luottokortteja verkossa ja ihmiset ovat kuin: "Voi luoja, en aio antaa näitä tietoja siellä, koska ne eivät ole turvallisia."
Ja nyt, luottokorttisi menee joka suuntaan, koska luulet teoriassa, että voit luottaa yritykseen, koska sillä on HTTPS-varmenne. Sitten kuulet Target-tietojen rikkomuksista, joissa luottokortit olivat silloin, kun ne olivat: "Voi, sinun on parempi vaihtaa luottokorttisi, koska me vapautamme nämä tiedot." Mielestäni se on kaksisuuntainen mielipide. Uskon, että vaikka ihmiset haluavat olla luottavaisempia, koska se on paljon helpompaa, pystyä luottamaan tähän ja luottamaan siihen suurissa organisaatioissa, suurten organisaatioiden on asettava sisään ja laitettava nämä kappaleet paikoilleen niin, että he eivät " t vahingoittaa henkilöä tai menetät markkinaosuutensa. Ihmiset sanovat: "No tiedätkö mitä, en aio enää tehdä ostoksia Targetissa, nyt aion tehdä ostoksia Amazonissa." Uskon, että luottamus on iso asia, vaikka, kuten totesimme, 78 prosenttia ihmisistä on napsauttaa edelleen linkkiä sähköpostissa, vaikka he tietävät, että eivät ehkä. Ihmiset suojaavat tietyn määrän, jopa silloin, kun he luottavat sinuun.
Eric Kavanagh: Se on hyvä asia. Tiedätkö mitä, minä heitän sinulle yhden viimeisen kysymyksen, William, tai ainakin vielä yhden - meillä on tulossa joitain hyviä. Osallistuja kirjoittaa: ”GDPR siirtää henkilöllisyyden hallintaa takaisin asiakkaalle, missä se kuuluu. Equifax vahingoitti pysyvästi 149 miljoonaa kuluttajaa, ”totta”, saastuttaen digitaalitaloutta. Mitä muutoksia näet tapahtuvan Yhdysvalloissa asiakkaiden omistajuudessa identiteetin hallinnan suhteen? ”
William McKnight: No, olemme aina jäljessä Yhdysvalloissa, kun kyseessä on tällainen asia, eikö niin? Sata neljäkymmentäyhdeksän miljoonaa, se ei pudota ämpäri siellä. Se on melkein kuin terrorismi, eikö niin? Olemme vain niin tottuneet, se tapahtuu vain koko ajan. Mielestäni jotain on tehtävä. Mielestäni GDPR pidän oikeuksista, joita se antaa kansalaisille, mutta se ei näytä olevan prioriteettia - muita prioriteetteja on paljon, enkä tiedä minne se menee. Mielestäni, kuten mainitsin alaviitteissäni, jotka minulla oli, tämä merkitsee siirtymistä kohti kuluttajien enemmän oikeuksia heidän tietoihinsa. Milloin se tapahtuu täällä Yhdysvalloissa? En tiedä, voi olla jopa viisi vuotta vapaata nähdä jotain verrannollista GDPR: n tapahtumiseen täällä Yhdysvalloissa. Vain keinottelu tässä vaiheessa.
Eric Kavanagh: Se on todella hyvä asia, ja luulen, että aiomme nähdä enemmän ponnisteluja tähän, koska, ottakaamme huomioon, olemme siirtymässä tällaiseen digitaaliseen talouteen nykyään. Ja loppukommenttina täällä, saaden sitten filosofisen, politiikkakeskeisen, tämä minua kiinnostaa eniten siirryttäessä rahattomaan yhteiskuntaan, koska kun rahat menevät, jos niin tapahtuu, niin kaikki on digitaalista ja jokainen järjestelmä hän voi hakata ja jokaisen henkilön henkilöllisyys voidaan varastaa. Minusta tuntuu, että tässä huoneessa on melko iso norsu, kun katsomme haukea identiteetinhallinnan tulevaisuuteen.
Tämä on hienoa kamaa, ihmiset. Kiitos William McKnightille tämän päivän huomiosta. Kiitos IDERA: n Kim Brushaberille. Arkistoimme kaikki nämä verkkolähetykset myöhempää tarkastelua varten, joten palaamme mielellämme yleensä vain muutamassa tunnissa ja arkisto on valmis. Sen avulla me jäähyväiset, ihmiset. Kiitos vielä kerran ajasta ja huomiosta. Ole varovainen. Hei hei.