Будинки Безпека Порада айсберга: чому gdpr - це лише початок

Порада айсберга: чому gdpr - це лише початок

Anonim

Співробітники компанії «Техопедія», 6 грудня 2017 року

Винос: Ведучий Ерік Кавана обговорює майбутні Загальні регламенти щодо захисту даних ЄС та наслідки, які він матиме на галузь. До нього приєднуються Вільям Маккайнт із консалтингової групи McKnight та Кім Брушабер із IDERA.

На даний момент ви не ввійшли в систему. Будь ласка, увійдіть або зареєструйтесь, щоб переглянути відео.

Ерік Кавана: Добре, панове, привіт і ще раз ласкаво просимо. Це середа о 4 годині за східним часом, а це означає, що час знову - один із останніх разів у 2017 році - для Hot Technologies. Так, дійсно, мене звуть Ерік Кавана - я буду вашим модератором сьогоднішньої події. Ми говоримо про тему, яка, найменше, є далекосяжною. Зараз це не виглядає так - концепція GDPR, Глобального регламенту захисту даних. Давайте підемо вперед і зануримося прямо в цьому, справа не у твоїй справді, достатньо про мене. Цей рік є спекотним, він справді був спекотним у багатьох різних напрямках, але положення, що насуваються, з боку GDPR та інших організацій, відверто кажучи, змушують нас переосмислити те, що відбувається у світі бізнесу, зокрема як результат, або як це стосується даних. Ми будемо слухати Кіма Брушабера з IDERA, а також Вільяма Маккайнта з консалтингової групи McKnight.

Лише кілька швидких слів про тему, люди. GDPR в основному говорить про те, що організації повинні мати політику конфіденційності та безпеку в першу чергу щодо даних, і справді, це стосується деяких речей, які ви, можливо, чули, - все право бути забутим, наприклад, частково і частково весь цей момент, і це дуже цікаві речі. Це, безумовно, справедливо з точки зору його принципів та етики. Що стосується реальної реалізації, то це досить серйозна проблема. Право забути говорить про те, що якщо ви хочете, щоб деякі організації не мали ваших даних, ваших особистих даних, вони повинні позбутися їх. Що ж, ви можете просто уявити, коли деякі з цих справді неоднорідних середовищ даних, як важко це буде. Щоб мати можливість дістатися до кожного місця, де ваші дані зберігаються, і витягнути їх, це просто не відбудеться, це підсумок. Тим не менше, організації повинні мати політику, щоб мати змогу вирішити ці проблеми, і це те, що я дуже впевнений, що регулятори збираються шукати.

Це велика справа. Організація не тільки повинна видалити ваші дані, якщо ви це сказали, але якщо вони навчили алгоритми щодо цих даних, технічно вони також повинні перевчити алгоритми. Це високе замовлення, я мушу вам сказати, але він настає, він зійде щукою, це стане реальністю у травні наступного року, а також є інші правила. Канада прийняла проти спаму закон, який вони прийняли, це впливає на те, як ми маємо справу з особистою інформацією. Чистий нейтралітет зараз знижується на щуку, звичайно, вона була вкорінена, по суті, і це змінить деякі речі. Існує дуже багато цих дуже серйозних норм, які впливають на бізнес у всьому світі та по всьому світу, що великим організаціям справді потрібно почати думати і готуватися до них.

Для цього у нас з’явився Вільям Макнайт в Інтернеті від McKnight Consulting Group, який дає нам знати, що він думає, і чому GDPR насправді є лише вершиною айсберга. З цим, Вільям, я збираюся тобі це передати. Відняти її.

Вільям Маккайн: Дякую, Еріку, і як ти кажеш, як говорить слайд, цей GDPR є, мабуть, вершиною айсберга - це, безумовно, те, що ми думаємо. Важливо, щоб ми занурилися в GDPR в глибину, тому що я думаю, що це являє собою хвилю регулювання, яка йде вниз по трубі, з якою ми маємо мати справу. На щастя, Еріку, є певні розумні норми навколо цього права, яке потрібно забути, до якого я дістанусь. Але, тим не менш, в цьому році, коли я говорив про GDPR, я думаю, що є багато фірм, особливо американських фірм, які до цього ще не підготовлені. Це, безумовно, гаряче, і те, про що ми точно не думали рік тому, коли вони просто пробували повітряні кулі, але тепер це норма, і ми повинні з цим боротися, як ви сказали, Еріку, може, підійде правильно тут - так не зовсім далеко.

Трохи про мене, я збираюся прийти до цього з точки зору даних. Щоб повідомити вам, я є людиною, яка займається даними, і зараз консультуюся протягом 19 років у сфері даних, а GDPR - це багато про дані. Я збираюся створити тут рішення, коли я вступлю в свою презентацію щодо управління даними. Я, очевидно, робив багато програм управління даними, і я думаю, що якщо ви узгоджуєтеся з цією концепцією, ви займаєтесь деяким управлінням даними, багато компаній там будуть досить далеко вниз по шляху насправді до дотримання GDPR, але цього буде багато, і, відверто кажучи, тих, хто відстає в управлінні, а отже, і сильно відстає у своїх підготовках до GDPR. Давайте встановимо тут рівень і розберемося, що таке GDPR, і коли ми заглибимось у розмову, ми отримаємо більше наслідків GDPR щодо ділового життя, коли ми будемо вперед у новий рік і далі.

GDPR - це конфіденційність даних громадян Європейського Союзу. Це регламент - означає, що він має зуби, означає, що він підлягає виконанню. Це не те, що викладається там як пропозиція - це вже сталося, і тепер це сформульовано в регламент із штрафами. Мені подобається починати зі штрафних санкцій, тому що це дійсно привертає увагу людей. Це жорсткі покарання. Є два штрафи, є 2 відсотки щорічного доходу в усьому світі або 10 мільйонів євро, якщо бізнес не виконує зобов’язання з безпеки, але все інше, порушуючи інші положення - і я вступлю в них - це 4 відсотки. Ви чуєте, як це - близько 4 відсотків. І, до речі, це 4 відсотки або 10 мільйонів євро, залежно від того, що більше. Це дуже жорстко. Люди дуже серйозно ставляться до цього. Закріплюйте початок 25 травня 2018 року - це ключова дата, саме тоді аудит може розпочатися, саме тоді ви можете отримати штраф. Ви точно хочете бути готовими до цього. Кожна компанія, з якою я маю справу, я маю справу з багатьма компаніями Global 2000, вони десь готуються до GDPR, деякі більше, ніж інші, а деякі мають бути більше, ніж інші. Звичайно, зустріти цю дату для деяких буде складно, і ми побачимо.

Це найбільш ретельний режим дотримання конфіденційності даних, який ми бачили на сьогодні. Коли ми побачимо щось більш жорстке або щось, що впливає, можливо, на американське населення більш безпосередньо, хто знає, але це там, і його, безумовно, потрібно дотримуватися. Це вимагає від організацій зрозуміти, що таке громадянське громадянське ІП - ми знайомі з правом PII - особиста інформація, соціальна захищеність, номер телефону, адреса, речі, які можуть однозначно ідентифікувати людину або досить досить однозначно визначити особу. Що вони мають і як вони це використовують. Це означає інвентар. Це означає регулювання у власних компаніях навколо такого роду даних. До речі, у США немає жодного загальнодержавного закону про захист даних. США завжди були - скажу позаду, за перспективою - позаду Європи в плані такого регулювання, і це триває. Це продовжується з GDPR, це досить очевидно. Хтось із вас може знати про захист конфіденційності, можливо, вам це цікаво. У GDPR є близько трьох-чотирьох положень, які перекриваються захистом конфіденційності, але є сто положень у GDPR, тому це набагато більше, ніж це, звичайно, все ще існує, і це стосується обміну даними США та ЄС тільки, хоча це важливо.

Знову я люблю починати з цифр. Ви чули про штрафи, як щодо того, як ви до цього підготуєтесь. Складання бюджету для GDPR і виконання деяких з них залежить від пари факторів. Кількість даних ІСІ, які ви збираєте для громадян ЄС. Якщо ви не зібрали жодного, добре, ви, мабуть, поступливі і вам не доведеться з цим боротися, але ви, ймовірно, на цьому дзвінку, бо десь збираєте. Розмір вашої компанії та зрілість управління вашими даними, яка, як я вже говорив раніше, може наближатися до того, що вам потрібно зробити, щоб відповісти на GDPR. Ви можете розраховувати на відповідність до кількох мільйонів доларів США або євро. Однак ми хочемо, не хочемо просто відповідати GDPR, щоб поставити прапорець у цьому полі, звичайно, ми повинні це зробити. Сподіваємось, ви не знаходитесь у тій жахливій ситуації, коли ви просто відчайдушно бажаєте встановити цей прапорець. Шукайте вигоди для бізнесу, оскільки багато речей, які ви робите для підтримки GDPR, корисні для вашого бізнесу. Управління даними добре для вашого бізнесу. Що стосується кількості даних PII, то деякі важливіші за інші, деякі будуть ретельно перевірені, ніж інші, як, наприклад, здоров'я, пов’язане з даними, регулюватися набагато суворіше за GDPR, ніж інші типи даних і вимагатимуть відповідності з додатковими зобов'язаннями, такими як проведення оцінки впливу на захист даних, що, очевидно, додає до вашого бюджету.

Трохи там щодо бюджетування. Якщо ви перебуваєте у Великобританії чи США та цікавитесь, як це впливає на вас - GDPR впливає на Великобританію, яка все ще є в ЄС, до речі, до 29 березня 2019 року та чий уряд вказав, що щось подібне GDPR буде продовжуватися після цієї дати, оскільки "Це гарна ідея". Компанії Великобританії повинні дотримуватися її. Дані щодо громадян Великобританії, безумовно, наводяться в таблиці для цього. Якщо це не зрозуміло, є американські підприємства, якщо ви працюєте в ЄС із даними громадян ЄС, це, безумовно, стосується вас. Це має значні наслідки у вашій архітектурі даних, тому що вам, можливо, доведеться відгороджувати свої дані ЄС від усього іншого та ставитися до них по-різному. Це впливає на аналітику, як говорив Ерік, на те, як ви збираєте цю аналітику тощо. Зараз може бути складніше запустити будь-яку аналітичну аналітику в масштабах усіх концепцій. Вони можуть стати більш локалізованими в результаті GDPR.

Що в положеннях? Існують стандарти захисту даних. Це все, крім диктату, шифрування даних у спокої та в русі. Я розповім про шифрування далі. Існують стандарти сповіщення про порушення даних. Більше цього не чекали місяцями, чекали кварталів, щоб все повідомити. Я думаю, що днями це було великим, і ми з’ясували: "О, це сталося рік тому". Нічого з GDPR - у вас 72 години. Це політика щодо імені та сорому. Сподіваємось, ніхто до цього не дістанеться, явно, що хтось захоче. Порушення триватимуть, навіть після GDPR, звичайно. Існують процеси для моніторингу місця та якості даних. Звучить знайомо? Це дійсно серце управління даними. Сподіваємось, у вас є деякі з них.

Як зазначав Ерік, громадяни ЄС мають право бути забутими. Ерик має деякі стандарти обґрунтованості. Вам не доведеться видаляти все обов’язково, якщо вам, можливо, доведеться повторно зв’язатися з тим клієнтом, цим працівником, вам дозволяється зберігати певні аспекти їх персональних даних. Але, тим не менше, ці громадяни мають право бути забутими, але не може бути непропорційних зусиль - це мова - на вас чи шкоди для компанії, це ви повинні знищити ці дані. Я не хочу його применшувати, але ви також повинні випустити копії особистих даних, які зберігаються, і ви можете отримати ці дані лише за згодою. Цю згоду повинні дати люди, які мають мінімальний вік для надання такого дозволу. Це є вуст, але це дає громадянам багато прав на свої дані. Це портативність прямо там, якщо вона коли-небудь з’явиться. Право бути забутим, зрозуміло, але також - і те, що не є на моєму слайді, що є досить важливим - якщо суб'єкт даних має право не підлягати прийняттю рішення, заснованого виключно на автоматизованій обробці. До чого ми важко рухалися? Автоматизована обробка, навколо прийняття позики, що ми пропонуємо, це все має бути розроблено з точки зору того, як це відбуватиметься і наскільки далеко це піде. Це, по суті, говорить про те, що це прозорість, чому я відхилили, чому до мене певним чином ставляться. Це право зараз, надається громадянину ЄС.

Очевидно, є деякі наслідки щодо того, як ми ведемо бізнес, і, сподіваємось, ви бачите, що GDPR - це не проблема ІТ, не лише ІТ. Всі ці бізнес-процеси задіяні. У ньому будуть задіяні люди з усієї компанії. Призначення службовця із захисту даних рекомендується застосовувати тим компаніям, у яких є понад 250 працівників, і у вас є "критична математика з даними ЄСІ". Ви можете самі вирішити, чи є у вас критична математика, іноді це очевидно, іноді це не так. Але є нова роль - це не повинно бути штатним, людина може мати інші обов'язки, але я не знаю - у деяких середніх і великих корпораціях, я думаю, що прихильність до GDPR буде бути близьким до штатної ролі. Я б сказав, почніть саме так і подивіться, чи можете ви впоратися. Особливо протягом наступного року, коли ви збираєтеся разом навколо GDPR, після того, як він буде врегульований, можливо, ви зможете уповільнити роботу над цим, але це займе трохи часу. Дозвольте людям бачити власні дані та переносимість даних, як я вже згадував раніше.

Це, до речі, не все нове, але право бути забутим насправді було там, вірите чи ні. Чинні правила ЄС вже передбачають право на видалення або недоступність персональних даних. Однак тепер це частина GDPR, це буде застосовуватися набагато ширше. Шифрування даних - шифруйте свої дані в спокої. Використовуйте стандартні методи шифрування, не використовуйте власне доморощене або нестандартне шифрування. AES - це той, який ми рекомендуємо зовсім небагато. Використовуйте криптографічно захищені ключі шифрування. Періодично змінюйте ці клавіші. Також запобігайте втраті цих ключів. Це просто хороші практики шифрування, але зараз вони виходять на перший план із GDPR. У цьому полягає проблема - я лише потрапив у верхівку айсберга. Очевидно, є ще положення, на які слід звернути увагу, але це основні.

Тепер рішення. Управління даними, основа вашої відповідності, принаймні, це та перспектива, яку я висуваю тут. На щастя, існує активна дисципліна, яка добре розвивається, яка може і в процесі зрілості відповідати на більшість вимог, і це управління даними - очевидно, я це говорю. У програмах управління має бути словник даних, і тут я використовую словник даних у загальному сенсі, щоб означати документацію для всіх процесів для ваших процесів. Це є основоположним для задоволення потреб в інвентаризації GDPR, що, як ми бачили, є дуже величезним. Програма, програма управління, повинна полегшити протоколи захисту даних - і я підкреслюю, що це не те, що багато програм управління даними зараз роблять, але я думаю, що це логічне місце для цього, оскільки вони є сидячи на програмі, яка визначає, хто є власниками бізнесу? Кому потрібно це бачити? І тоді наступним кроком буде надання цих дозволів. Це потрібно централізувати, це потрібно формалізувати. Потрібно застосовувати внутрішню політику. Керівництву потрібно призначити всі елементи, щоб забезпечити вхід до всього вищезазначеного. Управління даними також може бути фасилітатором проектування бізнес-процесів, що буде потрібно.

Перш ніж я покину цей слайд, намагаючись уникнути здоровенних штрафів, компанії будуть використовувати сприятливі ділові практики як побічний продукт. Мені подобається сказати, що це більше, ніж побічний продукт, але насправді це просто хороший, надійний бізнес, який може привести вас у нові місця з точки зору бізнесу. Безумовно, ви отримаєте велику ефективність для виконання всіх ініціатив на всій основі, якщо ви матимете надійне управління даними, це я бачив за ці роки. Додавши деякі з цих речей, які я згадую, до управління даними, вони лише покращаться. У вашій інженерії бізнес-процесів рекомендуємо задавати ці запитання в усьому світі, вражаючи всі сфери бізнесу. Які дані ми збираємо для наших замовників у ЄС? Я не прочитаю їх усіх. Деякі з ключових тут. У кого є необхідність бачити ці дані і це дотримується? Хто керує даними для цих даних? Хто моя людина в бізнесі? Це велике: чи ділимося ми цими даними з третіми сторонами? Тільки тому, що ви віддаєте їх третій стороні, це не виправдає вашу відповідальність за ці дані - це все одно ваші дані, це ще дані, які ви зібрали. Зараз існує багато сторонніх контрактів, які ретельно переглядаються в результаті GDPR. Чи мають ці системи детерміновані збої? Значить, коли вони не вдається, вони провалюються на шлях, який ми заздалегідь визначили, або вони просто зазнали невдачі, аварії, спалення, і ми починаємо з нуля копатися по ньому? Це, очевидно, буде набагато краще. Це вже хороша практика, але, очевидно, набагато краще для зворотної інженерії деяких цих матеріалів, якщо у вас є великі детерміновані збої у вашій системі.

Збереження даних, ми говорили про збереження даних назавжди. У багатьох компаніях є політика, але вони не всі дотримуються їх. Очевидно, що, маючи на меті охорону здоров'я та фінанси, ми хочемо зберігати дані, ми повинні зберігати дані протягом певної кількості років. Деякі аналітики в цих фірмах, які зберігають дані протягом семи років або нічого подібного, кажуть: "О, після цього періоду я все ще хочу цих даних". Деякі адвокати цих компаній кажуть: "Але ми повинні позбутися цього з метою відповідальності »тощо. Це просто не може просто сидіти там, як проблема в лісорубах більше з GDPR. У нас повинен бути термін утримання, чи послідовно він дотримувався в рамках організації.

І нарешті, як ви мобілізуєтесь на порушення даних? Ці найгірші сценарії, які можуть трапитися з вами. Очевидно, ми намагаємося їх запобігти, але що, якщо це станеться? Як ви вважаєте, що це стосується війни та переконайтеся, що зараз ви дотримуєтесь положень GDPR у своїй відповіді? Я архітектор даних, думаю про архітектуру даних. Якщо ви є американською компанією з операціями в ЄС, тобто дані громадян ЄС - ви збираєте їх, вам доведеться розглянути, чи потрібно застосовувати стандарти захисту даних до всіх даних або лише до даних ЄС. Так, у мене зараз є клієнти, які приймають таке рішення. Як обґрунтована ділова практика, вони, можливо, захочуть перенести це до США, вони можуть відчути, що встигають, але це означає, що куля номер два. Можливо, вам доведеться відхиляти дані ЄС від американських систем, якщо ви не можете поручити, що американські системи будуть обробляти дані належним чином. Чи це окремі дані для аналітики? Чи аналітичні дані навіть дійсні, якщо ви намагаєтеся їх виконувати по всій країні? Іноді так, іноді ні, правда? Ви можете виявити, що ваша аналітика буде вимкнена в результаті.

Як я вже згадував, тут діє штучний інтелект, тому що, очевидно, ми можемо використовувати AI, щоб знайти всі дані, допомогти нам знайти всі дані, але якщо ми використовуємо AI в інтерфейсі клієнтів, нам потрібно забезпечити прозорість для нашого клієнта. інтерфейси, і це ніколи не було сильним позовом AI. Щоб спробувати сказати клієнту: «Вас відхилили, бо бла, бла, бла», коли насправді це був AI. Це зараз треба зробити. Ми повинні з'ясувати, як працює ШІ, які фактори? Не можна просто сидіти там і більше бути для вас чорною скринькою. Що ми робимо зараз? Створіть свою колегію GDPR. Я пропоную вам мати свого старшого офіцера конфіденційності або якщо у вас є офіцер із захисту даних, очевидно, ця людина. Керівники управління даними, операційним ризиком та / або дотриманням відповідних норм, керівник відділу інформаційних технологій, керівника директора управління, якщо це особа. Якщо у вас є змінена особа управління, це буде чудова людина. Просто керівники деяких найважливіших підрозділів у вашому бізнесі, а також керівник відділу кадрів, оскільки навчання з конфіденційності зараз буде величезним. Усі збираються пройти навчання конфіденційності або повинні навчатись конфіденційності, коли вони борються за компанію, навіть консультанти.

Якщо ви не робите цих речей, які ви бачите тут, вам доведеться рухатися швидше, ніж ви хотіли б зробити термін. Вам також потрібно сподіватися, що ви не один з перших, хто пройшов аудит, бо, чесно кажучи, тут багато роботи, якщо ви починаєте з нуля і маєте багато даних про громадян ЄС. Наймайте свого DPO, описуйте свої дані та ваші процеси. Створіть цей план управління даними, візьміть його там, де він є, до того, де він повинен бути. Залежно від випадку, можливо, ви захочете почати його. Розробіть свою політику конфіденційності та повідомлення про політику. Політика конфіденційності є внутрішньою. Повідомлення про політику виходять зовнішніми. Ми бачимо культуру, яка починає створюватись навколо повідомлень про політику. Навколо цих повідомлень про політику було зроблено багато порівнянь та зроблено багато ретельних формулювань. Встановіть перевірку відповідності GDPR для всіх систем, включаючи нові системи. Можливо, вам доведеться їх послідовно виконувати в певному порядку важливості, але це ще один спосіб вирішення проблеми. Подивіться на системи та що вони мають робити та як вони обробляють ці дані.

Що сигналізує GDPR? Це те, що ми тут, щоб поговорити трохи більше. Я з нетерпінням чекаю, що Кім має сказати з цього приводу. GDPR - це зміна контролю конфіденційності даних у напрямку регулювання. Це тенденція до прозорості, вона так правильно говорить у положеннях. Ми створюємо цю культуру повідомлень про конфіденційність, як я вже говорив, це вже річ. Ми будемо бачити конференції про повідомлення про конфіденційність тощо. Зміна GDPR спрямована на основні права людей. Відкриті запитання будуть відпрацьовані. Очевидно відкриті запитання, я залишив тут декілька на столі. Ніхто не має відповіді. Вони будуть відпрацьовані. Тенденція до більшого розуміння індивідами своїх даних та способів їх використання. Я думаю, що це підвищило поінформованість серед населення ЄС щодо важливості їхніх даних і того, що вони вважають одним із своїх особистих цінностей, що їм потрібно більше керувати. Це кілька ранніх сигналів, які я бачив, і Еріку, я поверну його тобі зараз.

Ерік Кавана: Добре, дозволь мені передати ключі Кім, яка може поділитися деякою її точкою зору, але я думаю, що це був хороший огляд, Вільям, і ти потрапив на ключові моменти - а саме на те, що це спускається щука точно і ми повинні бути дуже обережними, відверто кажучи. З цим дозвольте передати ключі Кім, і ви можете поділитися своїм екраном і забрати звідти.

Кім Брушабер: Гей, ти мене чуєш?

Ерік Кавана: Я чую тебе.

Кім Брушабер: Дивовижна. Вільям висвітлював деякі ті самі речі, які я збираюсь висвітлювати, але я думаю, що їх варто знову висвітлити, оскільки вони дійсно важливі. Я думаю, що, коли нові норми приймаються, дійсно добре отримати багато різних поглядів людей та їх тлумачення, щоб щось іскрило ваш розум і дозволило вам стати ще більш дотриманими. Мене заохочують всі люди, які звертаються до цього дзвінка, які хочуть дізнатися більше, тому що я думаю, що настане 25 травня, може виникнути велика паніка для компаній, за якими переслідують, не дотримуючись їх.

Мене звуть Кім Брушабер, я старший менеджер продуктів IDERA. У мене є кілька продуктів, які допомагають дотримуватися GDPR, а також інших норм. Я збираюся заскочити в якусь інформацію. Я розпочну з деяких фактів та деяких цифр, а потім детально розберуся про GDPR, а потім, зокрема, як наші інструменти можуть вам допомогти. Один факт - понад 5 мільйонів записів даних втрачаються або вкрадаються щодня. Ми не чуємо, як це повідомляється в новинах, ми не чуємо, що це надходить з інших місць, але є понад 5 мільйонів записів даних, які весь час крадуть прямо з-під нас. Середня кількість днів, коли зловмисники перебувають у спокої у вашій мережі, становить 200 днів. Багато систем уже пронизані людьми, які - зі злісними намірами - лише чекають можливості скористатись вашою інформацією, переважно в рамках безпеки та сертифікатів, але вони просто чекають, коли їхній момент накинеться. Ось чому все важливіше поводитися з безпекою даних. Прогнозується, що середня вартість порушення однієї інформації в 2020 році перевищить 150 мільйонів доларів, оскільки все більше бізнес-інфраструктури підключається до інтернет-ресурсів і в міру збільшення кількості речей в хмарі. Це хороший номер бюджету, якщо ви дійсно стурбовані безпекою даних, щоб дати їх керівництву, сказати їм, що це серйозна справа і може коштувати нам великих грошей уперед.

Я коротко перейду про порушення даних Equifax, тому що я думаю, що це було найбільшим порушенням даних 2017 року, щоб накреслити картину того, що це таке, щоб пройти через це. Порушення торкнулося 145, 5 мільйонів клієнтів. Співробітники визнали проблему безпеки своїм веб-додатком за два місяці до порушення. Співробітники говорили: "Це питання". І навіть трохи до цього, коли патч фактично вийшов. Минув цілий день, коли сталося порушення, щоб відповісти на нього та зняти веб-додаток офлайн. Оскільки у Equifax не було визначеного протоколу захисту даних, їм знадобилося значну кількість часу, щоб навіть з'ясувати, що відбувається, а потім мати можливість зняти систему в автономному режимі. Через шість тижнів після порушення громадськість отримала тривогу. Що стосується GDPR - як ми вже заявляли вище, і я повторю це ще раз, - ви повинні повідомити протягом 72 годин, і Equifax був би пов'язаний своїми руками і не зміг би виконати цю відповідність, оскільки вони чекали шість тижнів, щоб повідомити про це. У повідомленні про порушення було включено веб-сайт, який навіть не належав Equifax. Самі Equifax ретвітували цей твіт, який навіть не був у їх домені - вони перевернули деякі слова навколо. На щастя, це був не шкідливий сайт, котрий мав користь для цього, але вони, очевидно, не були готові. У них не було плану, і це стало дуже зрозуміло на публічній арені. Equifax не один - поки що в 2017 році налічується понад 25 дуже високих атак на кіберпрофілі, і ми могли б ще знайти більше до кінця року. Компанії дійсно повинні почати сприймати це серйозно, тому що люди там, і якщо ви дасте їм привід хотіти прийти до вас, вам краще бути готовим до того, щоб мати можливість це впоратися.

Деякі інші факти та дані щодо того, як люди дивляться на безпеку даних. До 2020 року буде 30 мільярдів пристроїв, підключених до Інтернету через наші будинки, через наші носими, через наші телефони, планшети та хто знає, що ще може з’явитися в наступні роки. Є безліч пристроїв, які залишаються вразливими до цих атак. Сорок дев'ять відсотків американців вважають, що їх особиста інформація є менш захищеною, ніж це було п’ять років тому. Сімдесят три відсотки споживачів в Америці хочуть, щоб компанії були прозорими щодо своїх персональних даних. Вісімдесят вісім відсотків людей стверджують, що знають про ризики натискання на невідомі посилання та електронні листи, але вони все одно переходять на ці посилання - це понад три чверті нашого населення, і вони все ще натискають на посилання, хоча вони знайте, це може бути проблемою. Вісімдесят шість відсотків користувачів Інтернету активно намагаються мінімізувати, анонімізувати та приховати видимість своїх цифрових слідів. Мій вітчим любить виходити і створювати підроблені імена, коли він заповнює форми, тому що вважає, що це робить його анонімним, але мало хто знає, що його IP-адреса також відстежується. Існує велика стурбованість особистості, і ось що породжує багато правил GDPR і, ймовірно, додаткових правил, які будуть дотримуватися.

Що стосується фактів безпеки даних, то 90 відсотків записів про порушення у 2016 році припало на владу, роздрібну торгівлю та технології. Сорок три відсотки кібератак напали на малий бізнес. Якщо ви думаєте: "О, я не великий хлопець, вони не збираються йти за мною", все ж майже половина з них йде за малим бізнесом. У минулому році сімдесят п’ять відсотків галузі охорони здоров'я були заражені шкідливими програмами. За минулий рік було зламано сімдесят відсотків американських нафтогазових компаній. Це суттєво впливає на різні галузі, які працюють та працюють, і ця кількість з цього моменту лише зростатиме.

Якщо ви подивитесь на це з точки зору виконавчої влади, 90 відсотків керівників директорів зізнаються витрачати мільйони доларів на недостатню кібербезпеку. Дев'яносто відсотків також кажуть, що на них напали або вони очікують нападу хлопців, які ховаються в шифруванні. Вісімдесят сім відсотків вважають, що їх контроль безпеки не вдається захистити свій бізнес. Вісімдесят п’ять відсотків керівників директивних служб очікують на погіршення злочинного використання їх ключів та сертифікатів. Це величезна кількість компаній, які розглядають цю проблему безпеки даних, і насправді, багато з них не мають дуже хороших рішень, щоб навіть мати можливість впоратися з цим, коли це відбувається, хоча вони вважають, що це станеться.

Коли ми дивимось на готовність до цього, у 2014 році 70 відсотків тисячоліть визнали, що вони подавали зовнішні заявки на своє підприємство з порушенням правил ІТ. Сімдесят відсотків визнали це - мабуть, навіть більша кількість, ніж це, що насправді це зробило. П'ятдесят два відсотки організацій, які зазнали успішних кібератак у 2016 році, не внесли жодних змін у свою безпеку у 2017 році. Хоча одного разу напали на них, вони все одно не ходили та піднімали стіни - вони настільки ж вразливі, як і вони були до нападу. Це справді ставить питання, що потрібно компаніям почати робити, щоб підготуватися до цих речей? Тридцять вісім відсотків світових організацій стверджують, що вони готові впоратися з витонченою кібератакою. Це добре - майже половина є, і я з цим щедрий, насправді лише на третину, але є ще принаймні половина, яка каже: «Я не готовий. Якщо на мене нападуть, я не готовий, і хакери це знають ». Тридцять вісім відсотків організацій мають план реагування на кібер-інциденти. Більшість компаній знаходяться в тому ж відрі, що і Equifax, і вони не знають, що їм робити. Якщо їм це вдасться, їм доведеться зреагувати і придумати ці речі на ходу, а такі норми, як GDPR, говорять: "Ви повинні мати їх на місці. Ви повинні їх опублікувати. Ви повинні довести це аудиторам безпеки ". Сподіваємось, що з таким наслідком, при таких нормативних актах, ми зможемо вийти за межі цієї кривої, і замість того, щоб бути реакційними, ми можемо проявляти активність у своїх пошуках.

Поговоримо трохи про GDPR. Дещо з цього Вільяма вже висвітлювалося, але я збираюся продовжувати і знову висвітлювати його, тільки з моєї точки зору, мого голосу, моєї точки зору. Дуже багато компаній, з якими я розмовляю, на кшталт "Я в США, чому мені взагалі байдуже це регулювання ЄС?" Те, що більше людей не гуде, а більше людей не говорять про це вони вважають, що це стосується лише членів ЄС, але я б попросив вас, якщо ви подивитесь на цей список, чи збираєте ви будь-яку з цих даних від членів ЄС? Якщо ви збираєте будь-яку з цих даних взагалі, на вас поширюються межі GDPR, а також штрафні санкції за недотримання. Я дам тобі секунду, щоб просто засвоїти це і зрозуміти це. Як згадував Вільям раніше, це покарання та санкції, про які йдеться у статті 83 GDPR. На початку у вас може з’явитися ляпас по руці, трохи попереджаючи: «Гей, збери свій вчинок. Покладіть це на місце ". Але якщо у вас дійсно велике порушення - і залежно від того, наскільки велика угода - вони повернуться до вас за реституцію, і це значна кількість. Не 10 мільйонів, а 20 мільйонів євро або 4 відсотки вашого обороту / виручки від попереднього року. Це багато грошей. Це великий бюджет, щоб зайнятись вашими виконавчими командами і сказати: "Це те, що нам потрібно, щоб почати серйозно ставитися, і нам потрібно вжити заходів".

Дозвольте трохи ознайомитись із принципами GDPR, викладеними у статті 5. Одне з речей, яке вони говорять, - це те, що персональні дані повинні оброблятися законно, справедливо та прозоро. Це означає, що громадськість хоче знати, що ви робите зі своїми даними. Будьте прозорі, і це має бути опубліковано. Більшість людей не читають загальні положення та умови, але це нова інформація, яку вам потрібно мати змогу повідомляти, щоб ви могли їм сказати: "Ваші дані обробляються належним чином". Персональні дані мають бути зібрані для визначених, явні та законні цілі. Це означає, що ми сподіваємося, що ми зможемо позбутися від цього спаму, коли компанії кажуть, що вони збирають інформацію для вікторини, яка розповідає про те, якими цікавими ви можете бути, а насправді вони беруть ваші дані та продають їх комусь іншому, щоб мати можливість використовувати для будь-яких своїх цілей. Зараз компаніям потрібно бути набагато відповідальнішими і говорити саме те, для чого вони використовують вашу інформацію. Вони також кажуть, що особисті дані повинні бути адекватними, релевантними та обмежуватись необхідним. Дуже багато компаній люблять брати всю свою інформацію і зберігати її у великому пулі даних, а потім вони з'ясовують, що хочуть робити з цією інформацією пізніше, і вони збирають набагато більше, ніж можливо. Це означає, що ви не можете зібрати його та використовувати його десь в іншому місці. Ви також не можете просто зібрати все і сподіватися, що згодом вам це стане корисним. Ви повинні бути чіткими, чому ви збираєте інформацію, і вона повинна відповідати даним, які ви збираєте.

Особисті дані також повинні бути точними та актуальними. Ви повинні дати користувачам способи оновлення своїх даних, як тільки ви зібрали їх на них; їм потрібно мати змогу повернутися назад і сказати: "Ви знаєте, я мав таку думку в ході опитування, яке ви запитали мене щодо особистої інформації, і я хочу повернутися назад, і я хочу змінити її та оновити її зараз". І у вас є щоб дати їм можливість зробити це. Персональні дані повинні зберігатися у формі, яка дозволяє ідентифікувати суб'єктів даних не довше, ніж це необхідно. Повернувшись до думки Вільяма, що ви не можете збирати цю інформацію назавжди - ви повинні придумати те, що, на вашу думку, є дійсним і необхідним, а потім після цього потрібно очистити дані. Він також повинен бути оброблений таким чином, що забезпечує належну безпеку, включаючи захист від несанкціонованої чи незаконної обробки, випадкової втрати, знищення чи пошкодження.

Як я вже говорив, настав час серйозно поставитися до цього, зупинивши ці порушення даних, оскільки не тільки ви можете отримати травму, яка настає у вашій компанії у вигляді порушень даних та втрати доходу та витрат на скорочення ваших процесів., але, можливо, ви також матимете купу штрафних санкцій, викладених зверху від GDPR. Пора насправді почати дуже серйозно ставитися до цього, і я думаю, що в міру того, як GDPR набуде чинності, компанії зіткнуться з жорсткою реальністю, і, на щастя, ті з вас, хто сьогодні телефонує, можуть почати думати про це і знати як ти збираєшся реалізувати ці речі.

GDPR також багато говорить про те, якими є права людей; це дійсно догляд за окремими користувачами. Перше - це право доступу до ваших особистих даних. Користувачі повинні знати, яку інформацію ви зібрали на них, наскільки це особиста інформація, і ви повинні дати їм можливість мати доступ до неї. Також є право на виправлення, що є фантастичним способом сказати: "Мені потрібно вміти виправляти інформацію, яку ви маєте про мене". Право на стирання - що знову ж таки, багато людей формулюють як право на будьте забуті - якщо людина скаже: "Ви знаєте що, я більше не хочу, щоб ви знали, що я супер веселий хлопець, що збирає комікси, вам потрібно позбутися цього". У мене є кілька друзів, які дратують мене з цього приводу і повністю витирають мене зі списку ", ви повинні мати можливість це зробити. Також існує право на обмеження обробки, а це означає, що користувачі можуть обмежувати спосіб обробки їх інформації. Вони можуть сказати: "Я не заперечую, щоб ви взяли мою інформацію, тому що я купую нову машину, але не використовуйте цю інформацію, щоб надсилати мені електронні листи та спамувати про нові пропозиції щоразу, коли нові машини випускаються". Також є право на переносимість даних, а це означає, що користувачі повинні мати можливість отримати копію своїх даних та мати змогу взяти їх десь в іншому місці. Дуже багато організацій збирають інформацію, і ця інформація має фактор клейкості, і тепер люди можуть сказати: "Ви знаєте що, я хочу, щоб ви взяли всю мою інформацію, і тепер я хочу, щоб ви передали її своєму конкурентові, так що я можу перенести це закінчився. "

Про організацію, про яку ви зможете зробити це, і яку інформацію, яку ви хочете мати змогу збирати та надсилати, слід багато чого подумати над організацією. Також є право на заперечення, і користувачі можуть також заперечувати проти обробки своїх даних. Право не підлягати прийняттю рішення, заснованого виключно на автоматичній обробці чи профілюванні. Це суттєво впливає на маркетинг B2B - якщо ви сидите там і намагаєтесь провести тестування A / B і намагаєтесь визначити, чи на Колорадо буде більше впливати повідомлення, ніж Каліфорнія, добре, що ви щойно зробили профілювання, переглянувши один стан проти іншого, і ви повинні подивитися, як людина повинна мати можливість відмовитися від цього.

Зважаючи на те, що у нас є деякі страшні речі, які стосуються порушення даних та того, як люди дивляться на їхні дані, і ми отримали це величезне регулювання, яке потрапляє на плечі, я зараз тут, щоб дати вам рішення про те, як IDERA може допомогти. Стаття 15 розповідає про те, як контролювати вплив персональних даних. Ви повинні знати, хто має доступ до ваших даних. Як вони це використовують. Скільки оброблено даних, а менеджер відповідності продуктів SQL, для якого я диспетчер продуктів, дозволяє побачити, хто отримує доступ до ваших даних і як. Менеджер відповідності SQL призначений для рішень SQL Server. Якщо у вас є база даних SQL Server, ви можете підключити цей продукт, щоб мати змогу перевірити та переглянути цю інформацію, щоб ви могли відповідати GDPR і точно знати, як він використовується. Ви також можете бачити порушення даних, перш ніж вони відбудуться, і про це я розповім на іншому слайді. Також є стаття, в якій сказано: «Мені потрібні записи про обробну діяльність. Мені потрібно ввійти в систему і мені потрібно контролювати операції, і мені потрібно знати, хто обробляє особисті дані та хто має доступ до цих систем. "Менеджер відповідності SQL проводить аудит серверів і баз даних, включаючи безпеку, DDL, DML, а також визначає конфіденційні дані . SQL Compliance Manager дозволяє перевіряти доступ до безпеки та реєструвати спробу, тож ви можете бачити, хто отримує доступ до інформації, а також хто входить у систему, чи це привілейований користувач, чи відомий він користувач, чи може це зловмисний користувач.

Стаття 33 розповідає про повідомлення про порушення персональних даних органу нагляду. Вам потрібно вміти виявляти ці порушення; вам потрібно мати записи, щоб можна було оцінити вплив; вам потрібно знати, як швидко ви збираєтеся його виправити. Для цього SQL Compliance Manger дозволяє налаштувати сповіщення на ваших базах даних, щоб побачити, хто має доступ до ваших конфіденційних даних, коли вони отримували доступ до них, до чого вони отримували доступ. Це також дозволяє виключити звичайних привілейованих користувачів з аудиту. Якщо у вас є системний адміністратор або адміністратор мережі, які ви знаєте, що будете отримувати доступ до нього, і ви не хочете засмічувати свої звіти, ви можете виключити їх і сказати: "Дайте мені все, що відбувається поза цією інформацією". Це дозволяє Ви зможете швидко визначити, чи хтось зловмисно отримує доступ до Ваших даних, і Ви можете отримувати сповіщення про те, що повідомляє про момент, коли воно починає відбуватися, а потім момент, коли доступ до інформації, щоб мати змогу зламати її, щоб Ви не потрібно чекати цілий день, щоб зрозуміти, що відбувається, як це робило Equifax.

Також є стаття, яка розповідає про захист даних та оцінку впливу. Це оцінка ваших ризиків та розуміння того, що вони є, а також демонстрація та документування вашої відповідності GDPR. Менеджер відповідності SQL дозволяє звітувати про елементи, які контролюються. Прослуховуючи слова, просто перевіряючи ваші дані за допомогою SQL Compliance Manager, SQL Compliance Manager дозволяє виявляти невдалі входи - що є потенційним ознакою порушення - контролювати адміністративні дії та зміни безпеки, попереджати про зміни бази даних, аудит стовпці, які ви визначаєте як конфіденційну інформацію, визначаєте привілейованих користувачів та відстежуєте їх активність окремо від інших користувачів у вашій системі, повідомляйте, що інформація перевіряється відповідно до кількох нормативних вказівок. Ми не тільки висвітлюємо GDPR, але і ми охоплюємо HIPAA, PCI, FERPA, SOX, усі регуляторні вказівки, коли вони приходять до аудиту вашої інформації та розуміння того, до чого звертаються, у нас є ці нормативні рекомендації.

У IDERA у нас є додаткові продукти для підготовки GDPR. Крім аудиту, який здійснює SQL Compliance Manager, у нас є ER / Studio Enterprise Team Edition, яка може допомогти вам документувати ваші процеси даних та включати стандарти даних у вашу модель даних, ви можете створювати словники даних, про які Вільям говорив у попередньому слайді . Як я вже говорив тут, на цій презентації менеджер відповідності SQL може допомогти вам перевірити свою інформацію, щоб переконатися, що неправильні люди не мають доступу до ваших даних, а також довести це аудиторам. Безпечне резервне копіювання SQL може допомогти вам зашифрувати свої дані та резервні копії. Шифрування є важливою частиною GDPR, яку я не висвітлював дуже докладно, тому що хотів багато зосередитись на активах диспетчера відповідності, але SQL Safe Backup робить багато шифрування для вас, щоб ваші дані могли залишатися безпечними. SQL Inventory Manager може забезпечити виправлення та оновлення серверів, тому ви не опинитесь у випадку типу Equifax, де у них був застарілий патч, який дав їм велику дірку в безпеці, яку люди змогли зробити використовувати зловмисно. SQL Secure може перевіряти конфіденційність та стандарти шифрування.

Щоб отримати детальнішу інформацію на веб-сайті спільноти IDERA, під нашим блогом я опублікував підготовку до GDPR, а також дивлячись на 2018 рік та розуміння того, який вплив GDPR має бути, і що також, ви, звичайно, можете завантажити пробну копію SQL Compliance Manager в IDERA, а також будь-який інший продукт, про який я раніше згадував у слайді.

У цей момент я збираюся йти вперед і передати презентацію Еріку, щоб ми могли задати деякі питання.

Ерік Кавана: Добре, добре. Ви торкнулися там кількох справді цікавих речей, Кім, одна з яких - я думаю, це щось просто, але це досить розумно - ви говорили про виявлення невдалих реєстрацій. Мені здається, це досить хороший знак того, що хтось не має нічого хорошого, правда?

Кім Брушабер: Абсолютно. Якщо ви бачите когось, хто намагався отримати доступ і зламати ваш пароль, це дуже швидкий спосіб сказати, що хтось не робить те, що повинен бути. Можливо, ви кілька разів неправильно введете свій пароль, але якщо ви бачите, що 30 із них пройшли, це поганий знак.

Ерік Кавана: Так. Тут головне - встановити сповіщення у відповідному контексті. Що ще ви можете сказати нам про те, як керувати процесом налаштування сповіщень та деактивації тих, хто не робить того, що повинен робити, і скільки цього матеріалу можна автоматизувати?

Кім Брушабер: Менеджер відповідності має багато налаштованих попереджень, а також звітів, які ви можете переглянути. Ми проходимо ваші сліди SQL, і ми автоматично відстежуємо, і у нас є багато того, що вже встановлено і заздалегідь визначено, але, безумовно, є значна кількість налаштувань, які ви також можете зробити.

Ерік Кавана: Вільям, я втягну тебе в це - мені здається, це одна з областей, де ми будемо бачити машинне навчання, щоб почати грати протягом наступних двох-десяти років або приблизно так, це дивиться на все різні можливості. Переглядаючи всі різні способи, якими система може оптимізувати свою ефективність, її ефективність стосується таких питань, як порушення та інше. Це теж ваш прийом?

Вільям Макнайт: Так, абсолютно. Я думаю, що ми зараз будуємо системи, які самі ремонтуються. Моніторинг 24 на 7 починає сповзати і стає минулим, хоча нам ще потрібен такий час роботи. Я думаю, що системи значною мірою вбудовуються та з'ясовують, що це неправильно. Чи потрібно нам виділити більше місця тут чи що у вас? Так, я думаю, що це, безумовно, частина нашого майбутнього. Що-небудь там, що може бути намічено на деякі кроки дії, вжити у відповідь на щось, безумовно, вразливе для штучного інтелекту.

Ерік Кавана: Це хороший момент. Я накину на тебе ще одне питання, Вільяме, бо я знаю, що ти робиш багато досліджень у цьому просторі. Одне з речей, на яке я чекаю зараз досить довго, і я не думаю, що ми ще там - я думаю, що ми наближаємось, саме з того, що я читав і думав про це - це в день, коли з'явиться технологія, яка б поглинала регуляторні питання, фактичну формулювання цих речей і відображала їх на функціональність та програмне забезпечення. Як я кажу, у нас все ще є шляхи - не можу уявити, що над цим працює хтось. Чи стикалися ви з чимось подібним, чи ми все ще знаходимося в точці, коли людям потрібно дивитися на правила, дійсно намагатися і розуміти їх, по суті, кодифікувати їх у машинному коді, а потім затягувати це на різні їх застосування?

Вільям Маккайн: Ну, я, звичайно, отримую концепцію, яку ви тут ділите. Я не знайомий з тим, що відбувається до розгортання в середовищі, яке пов'язане з цим. Я взагалі скажу, що, очевидно, ми починаємо говорити машинам не що робити, а мета, що ми хочемо робити, а машини стають набагато розумнішими щодо з'ясування деталей. Я думаю, що як тільки ми отримаємо трохи більше штучного інтелекту в наших організаціях, цілком можливо, що нові нормативно-правові акти можуть бути розроблені спільно з ШІ, розгорнутою всередині організацій, щоб вони могли виконуватись так, як ви описали в майбутньому. Поки що ми з цим не діємо.

Ерік Кавана: Ось питання, яке я перекажу вам, Кім, бо це теж цікаво. Ви говорите про середню затримку або про час, коли хтось, хто заходить у вашу систему, ховається і просто чекає - кількість днів, коли зловмисник заснув у мережі, - виявлення становить 200. Мені цікаво знати, які ваші думки щодо покращення що, перш за все? Але також, чи є спосіб використовувати таке правило для дослідження власної системи? Щоб вивчити власні дані, зробити кращу роботу з утримання цих людей?

Кім Брушабер: Так, я думаю, що очевидно раннє виявлення є ключовим. Вам потрібно розібратися, що ці шкідливі веб-сайти отримують доступ до вашої інформації та мати можливість їх заблокувати. Я думаю, що на інших слайдах, де ми показуємо, що більшість організацій не проводить такої політики. Тому вони сидять там. Я думаю, що якщо ви насправді мали політику, щоб пройти і заблокувати ваш доступ і переконатися, що потрібні люди мають доступ. Переконайтеся, що ви регулярно обертаєте ключі та оновлюєте їх. Переконайтеся, що ваші паролі регулярно оновлюються та роблять такі речі, які здаються основними. Зараз більшість організацій навіть цього не роблять, і почати складати ці фрагменти допоможе вам вийти за рамки цього.

Це, звичайно, означає, що хакери стануть більш хитрими щодо цього, але на даний момент це легко, це так: "Я буду дивитись на будинки на вулиці, в яких я відчуваю, що хочу ввірватися, чи будуть у них тривоги системи? У них є невеликий тривожний знак і що у одного є собаки? Я піду до того, у якого немає сигналу тривоги, не має собаки, і це будинок, в який я збираюся зламатись. "Ну, вони збираються дізнатись компанії, які не роблять" у вас немає цих патчів, і вони не мають захищеного місця, і вони не оновлюють свої паролі, і вони збираються піти і повіситись там і кілька разів користуватися вашою кредитною карткою на АЗС. ви цього не закрили, і тоді, коли вони можуть вплинути на великі зміни, зазвичай це якась політична заява чи інше, коли ви бачите, як вони піднімають голови. Заміщаючи цю політику, я думаю, що в цей момент ви можете зробити кілька мінімальних кроків, щоб мати можливість випереджати цю гру.

Ерік Кавана: Це, мабуть, найкраща порада, і я завжди чую це, коли ми розмовляємо з людьми, які перебувають у просторі безпеки або в регуляторному просторі, що основи охоплюватимуть 80 відсотків вашої проблеми, і це багато підґрунтя - це гарна думка. Один із присутніх запитав про те, чи може хтось розширити можливості для бізнесу, які можуть бути видобуті завдяки зусиллям щодо дотримання GDPR, мені нагадують про Сарбанаса-Окслі, і я здогадуюсь, Вільям, я передам це вам. Як консультант, ви завжди шукаєте способи допомогти своїм клієнтам поза межами конкретного проекту - принаймні, якщо ви хороший консультант, ви це робите. Коли ви розмовляєте з людьми про GDPR, які додаткові переваги ви можете сказати, що вони отримають, якщо вони будуть брати участь у якомусь проекті, орієнтованому на це?

Вільям Маккайн: Перш за все, важливо зазначити, що ідея GDPR - це не повне забезпечення прав громадянина. Є інша сторона GDPR, яка полягає в тому, що це покращить довіру громадян до наших компаній і це буде заохочувати їх робити більше бізнесу в компаніях, які відповідають. Є ці допоміжні переваги від фактичного виконання Вашого GDPR, тепер внутрішньо, програми управління даними, які ми реалізуємо, служать для полегшення будь-яких ініціатив, насправді, що розпочинаються в рамках організацій, і сьогодні, більшість, далеко не ініціатив, які розпочинаються. поза організаціями. Я нещодавно займався деяким плануванням на 2018 рік з багатьма з них, вони мають відношення до даних, багато, вони, як від 65 до 90 відсотків, все про дані - коли ви говорите про телематику або програму клієнта 360 або приладова панель для моніторингу продавців, це значною мірою стосується даних. Все, що краще керує цими даними, що вкладає його в кращу архітектуру, яка називає людей, які є людьми, які можуть відповісти на будь-які запитання щодо цих даних, які насправді цікавлять, як би програма управління даними. Все, що дає нам словник даних - як, наприклад, Кім говорила зі своїми інструментами - все, що це робить, це дуже корисно зробити ці ініціативи набагато ефективнішими, ризикувати ними, скоротити час, скоротити бюджет на них та отримати нас до спритного часу продавати на ринок набагато швидше і корисніші речі для ініціатив компанії, що є всіма компаніями.

Ерік Кавана: Я люблю цю концепцію довіри. Я думаю, що довіра є дуже недооціненою реальністю у нашому світі, і, відверто кажучи, більша частина бізнесу працює на довірі - це дійсно так, коли ти до неї потрапляєш прямо. Я передамо вам це лише для деяких заключних коментарів, Кім. Я думаю, що одним із ключових цінностей тут є покращення довіри та виховання культури довіри, оскільки це матиме не тільки позитивний вплив на саму компанію, на людей усередині компанії, але й на те, що сприймає громадськість через те, що таке річ переливається, мені здається, але що ти думаєш?

Кім Брушабер: Так, я думаю, коли я розмовляю з друзями, які працюють в Google або працюють у Facebook або в деяких великих, справді гучних організаціях, вони не впроваджують майже стільки нових функцій, скільки при впровадженні протоколів безпеки та ефективності проблеми з масштабованістю, оскільки вони хочуть, щоб їх користувацький досвід був таким, де вони вважають, що можуть довіряти цій інформації. Я думаю, що компанії несуть таку відповідальність, оскільки ми продовжуємо надавати таку довіру. Я пам’ятаю, коли люди вперше почали виставляти кредитні картки в Інтернеті, і люди на зразок: «Боже мій, я не збираюся давати цю інформацію там, бо це не захищено».

А тепер ваша кредитна картка іде в будь-який спосіб, тому що, теоретично, ви думаєте, що можете довіряти компанії, оскільки вона має сертифікат HTTPS. Потім ви чуєте про порушення цільових даних, коли кредитні картки виглядають так: "О, ви краще торгуйте своєю кредитною карткою, тому що ми відпустили цю інформацію". Я думаю, це настрої двосторонні. Я думаю, що люди, хоча вони хочуть бути більш довірливими, тому що це набагато простіше, мати змогу довіряти і вірити в це у великих організаціях, великі організації повинні вступати і ставити ці шматочки на місце, щоб вони не робили ' t не травмує фізичну особу або ви втрачаєте частку ринку. Люди кажуть: "Ну, ти знаєш, що я більше не збираюся робити покупки в Target, зараз я збираюся робити покупки в Amazon". Я думаю, що довіра є великою проблемою, хоча, як ми говорили, 78 відсотків людей все ще збирається натиснути на це посилання в електронній пошті, хоча вони знають, що цього не можуть. Існує певний захист людей, навіть коли вони вам довіряють.

Ерік Кавана: Це хороший момент. Ви знаєте що, я надішлю вам останнє запитання, Вільяме, або, принаймні, ще одне - у нас зараз є кілька хороших. Учасник пише: “GDPR повертає управління ідентифікацією назад до замовника, куди він належить. Equifax назавжди пошкодив 149 мільйонів споживачів, "дуже правдиво", забруднивши цифрову економіку. Які зміни, як ви бачите, відбуваються в США щодо власності клієнтів щодо управління ідентифікацією? "

Вільям Макнайт: Ну, ми завжди відстаємо в США, коли мова йде про подібні речі, чи не так? Сто сорок дев'ять мільйонів, це не крапля у відрі прямо там. Це майже як тероризм, правда? Ми просто звикли, це просто відбувається весь час. Я думаю, що щось потрібно зробити. Я думаю, що GDPR, мені подобаються права, які він надає громадянам, але це, здається, не є пріоритетним - багато інших пріоритетів, і я не знаю, куди це піде. Я думаю, як я вже згадував у слайді про розгалуження, який я мав, що це сигналізує про перехід споживачів до більшої кількості прав на свої дані. Коли це відбувається тут, у США? Я не знаю, це може бути до п'яти років, щоб побачити щось співмірне з GDPR, що відбувається тут, у США. Просто спекуляції на даний момент.

Ерік Кавана: Це дійсно вдалий момент, і я думаю, що ми будемо до цього докладати більше зусиль, тому що, давайте визнаємось, ми сьогодні переходимо до такої цифрової економіки. І як завершальний коментар тут - отримання філософської, орієнтованої на політику, саме цього мене найбільше хвилює перехід до безготівкового суспільства, бо коли готівки минають, якщо це трапляється, то все цифрове і кожна система може його зламати і особистість кожної людини може бути викрадена. Мені здається, тут досить великий слон у кімнаті, коли ми дивимось на щуку на майбутнє управління ідентичністю.

Це все чудові речі, люди. Дякуємо Вільяму МакКайнту за його час та увагу сьогодні. Дякую Кім Брушабер від IDERA. Ми зберігаємо всі ці веб-трансляції для подальшого перегляду, тому сміливо повертайтеся, як правило, протягом декількох годин, і архів буде готовий. З цим ми збираємось попрощатися, люди. Ще раз дякую за ваш час та увагу. Бувай.

Порада айсберга: чому gdpr - це лише початок