Af Techopedia Staff, 6. december 2017
Takeaway: vært Eric Kavanagh diskuterer EU's kommende almindelige databeskyttelsesforordning og de virkninger, det vil have på industrien. Med ham er William McKnight fra McKnight Consulting Group og Kim Brushaber fra IDERA.
Du er ikke logget ind. Log ind eller tilmeld dig for at se videoen.
Eric Kavanagh: OK, mine damer og herrer, hej og velkommen igen. Det er onsdag klokken 4 Eastern Time, hvilket betyder, at det igen er tid - en af de sidste gange i året 2017 - for Hot Technologies. Ja, ja, mit navn er Eric Kavanagh - Jeg vil være din moderator til dagens begivenhed. Vi taler om et emne, der er vidtgående, for at sige det mildt. Lige nu ser det ikke ud til - begrebet GDPR, den globale databeskyttelsesforordning. Lad os gå videre og dykke lige i dette, det handler ikke om jeres sandhed, nok om mig. Dette år er varmt, det har været rigtig varmt på mange forskellige måder, men de forestående regler fra GDPR og fra andre organisationer, helt ærligt, tvinger os til at overveje, hvad der foregår i erhvervslivet, især når det resulterer, eller som det vedrører data. Vi hører fra Kim Brushaber fra IDERA og også William McKnight fra McKnight Consulting Group.
Bare et par hurtige ord om det aktuelle emne, folkens. GDPR siger dybest set, at organisationer skal have en privat-først og en sikkerhed-første politik med hensyn til data, og det handler virkelig om nogle af de ting, du måske har hørt - for eksempel er retten til at blive glemt, delvis og delvis hele dette øjeblik, og det er meget interessante ting. Den er bestemt gyldig med hensyn til dens principper og dens etik. Med hensyn til faktisk implementering er det dog en ret alvorlig udfordring. Retten til at blive glemt siger, at hvis du ønsker, at nogle organisationer ikke skal have dine data, dine personligt følsomme data, skal de slippe af med dem. Du kan bare forestille dig, når nogle af disse virkelig heterogene datamiljøer, hvor vanskeligt det vil være. For at kunne nå ud til ethvert sted, hvor dine data er vedvarende og trække dem ud, er det bare ikke, der sker, det er bunden. Ikke desto mindre er organisationer nødt til at have politikker på plads for at kunne tackle disse bekymringer, og det er hvad regulatorerne, jeg er temmelig sikker på, vil kigge efter.
Det er en stor aftale. Organisationen har ikke kun brug for at fjerne dine data, hvis du siger det, men hvis de har trænet algoritmer på disse data, er det teknisk meningen, at de også skal omskolere algoritmerne. Det er en høj ordre, må jeg fortælle jer, men den kommer, den kommer ned på gedden, den bliver en realitet i maj næste år, og der er også andre regler. Canada har antispamlov, som de har vedtaget, det er en indflydelse på, hvordan vi håndterer personlige oplysninger. Netneutralitet kommer ned på gedden nu, selvfølgelig er den blevet oprullet, hovedsagelig, og det vil ændre nogle ting. Der er mange af disse meget seriøse regler, der berører virksomheder overalt og rundt omkring i verden, som store organisationer virkelig har brug for at begynde at tænke på og forberede sig på.
Derfor har vi William McKnight online af McKnight Consulting Groups til at fortælle os, hvad han synes, og hvorfor GDPR faktisk kun er toppen af isbjerget. Med det, William, overlader jeg det til dig. Tage det væk.
William McKnight: Tak, Eric, og som du siger, som slæden siger, denne GDPR er måske toppen af isbjerget - det er bestemt hvad vi synes. Det er vigtigt, at vi dykker dybt ned i GDPR, fordi jeg tror, det repræsenterer en bølge af regulering, der kommer ned i røret, som vi er nødt til at tackle. Heldigvis Eric, der er nogle rimelige standarder omkring den ret til at blive glemt, som jeg kommer til. Men ikke desto mindre tror jeg på min tur i år, der taler om GDPR, at der er mange virksomheder, især amerikanske virksomheder, der ikke er forberedt på dette endnu. Det er bestemt varmt og noget, som vi bestemt ikke tænkte på for et år siden, da de bare prøvede at balloone nogle ting, men nu er det en regulering, og vi er nødt til at tackle det ved, som du sagde, Eric, kan komme lige her oppe - så slet ikke så langt væk.
Lidt om mig, jeg vil komme til dette fra dataperspektivet. For at fortælle dig, jeg er en livslang dataperson og konsulterer nu i 19 år inden for dataområdet, og GDPR handler meget om data. Jeg vil udgøre en række løsninger her, når jeg kommer ind i min præsentation omkring datastyring. Jeg har selvfølgelig lavet mange programmer for datastyring, og jeg tror, at hvis du er på linje med det koncept, laver du nogle datastyring, vil mange virksomheder derude være temmelig langt nede på stien faktisk til GDPR-overholdelse, men der vil være meget, og helt ærligt, der er bag ved regeringsførelse og derfor ganske bagud i deres GDPR-forberedelser. Lad os sætte niveau her og forstå, hvad GDPR handler om, og når vi kommer dybere ind i samtalen, får vi flere af konsekvenserne af GDPR for erhvervslivet, når vi går videre ind i det nye år og videre.
GDPR er for EU-borgerens databeskyttelse. Det er en regulering - betyder, at den har tænder, betyder, at den kan håndhæves. Det er ikke noget, der sættes derude som et forslag - det skete allerede, og nu er det blevet dannet til en forordning med sanktioner. Jeg kan godt lide at starte med sanktionerne, fordi det virkelig får folks opmærksomhed. Dette er stive sanktioner. Der er to sanktioner, der er 2 procent af verdensomspændende årlige indtægter eller 10 millioner euro, hvis en virksomhed undlader at overholde sikkerhedsforpligtelserne, men alt andet i strid med andre bestemmelser - og jeg kommer ind i dem - det er 4 procent. Du hører det båndede omkring - 4 procent. Og forresten er det 4 procent eller 10 millioner euro, alt efter hvad der er større. Dette er meget stift. Folk ser meget alvorligt på dette. Håndhæv begyndelsen den 25. maj 2018 - det er en nøgledato, det er når revisionerne kan starte, det er da du kan få bøden. Du vil bestemt være klar til dette. Ethvert firma, jeg handler med, handler jeg med en masse Global 2000-virksomheder, de er et sted i deres GDPR-forberedelse, nogle mere end andre, og andre skal være mere end andre på dette tidspunkt. Bestemt, det vil være udfordrende at møde den dato for nogle, og vi får se.
Det er den mest grundige ordning for overholdelse af personlige oplysninger, som vi har set til dags dato. Når vi ser noget mere stift eller noget, der påvirker den amerikanske befolkning måske mere direkte, hvem ved det, men det er derude og skal bestemt overholdes. Det kræver, at organisationer forstår, hvad UE-borger PII - vi er bekendt med PII ret - personligt identificerbare oplysninger, social sikring, telefonnummer, adresse, de ting, der kan identificere en person eller ganske ret unikt identificere en person. Hvad de har, og hvordan de bruger det. Dette betyder inventar. Dette betyder regulering i dine egne virksomheder omkring denne type data. I øvrigt har USA ikke nogen form for landsdækkende databeskyttelseslovgivning. USA har altid været - jeg vil sige bagved - for at sætte det i perspektiv - bag Europa med hensyn til denne form for regulering, og det fortsætter. Det fortsætter med GDPR, det er ret tydeligt. Nogle af jer ved måske om beskyttelse af personlige oplysninger, det undrer du dig måske over. Der er omkring tre eller fire bestemmelser i GDPR, der har nogen overlapning med beskyttelse af privatlivets fred, men der er hundrede bestemmelser i GDPR, så det er meget mere end det, og det er selvfølgelig stadig også på plads, og det har med udveksling af data fra USA og EU at gøre kun, selvom det er vigtigt.
Igen, jeg kan godt lide at starte med tal. Du hørte om bøderne, hvad med hvordan du bliver forberedt på det. At budgettere for GDPR og gøre noget af dette, dette afhænger af et par faktorer. Mængden af PII-data, som du indsamler om EU-borgere. Hvis du indsamler ingen, OK, er du sandsynligvis kompatibel og behøver ikke at tackle dette, men du er sandsynligvis på dette opkald, fordi du indsamler nogle et eller andet sted. Størrelsen på din virksomhed og modenheden for din datastyring, som som jeg sagde før, det muligvis nærmer sig, hvad du skal gøre for at reagere på GDPR. Du kan forvente op til flere millioner USD eller euro, alt efter hvad der er tilfældet, til overholdelse. Vi ønsker dog ikke bare at overholde GDPR, for at markere det felt, selvfølgelig må vi gøre det. Forhåbentlig er du ikke i den dyre situation, hvor du bare er desperat efter at markere dette felt. Se efter forretningsfordele, fordi mange af de ting, du gør for at støtte GDPR, er gode for din virksomhed. Datastyring er godt for din virksomhed. Når det gælder mængden af PII-data, er nogle vigtigere end andre, nogle vil blive undersøgt mere end andre, som datarelateret helbred, vil blive reguleret meget mere strengt under GDPR end andre typer data og vil kræve overholdelse med yderligere forpligtelser, såsom at gennemføre konsekvensanalyser af databeskyttelse, som naturligvis tilføjer til dit budget.
Lidt der om budgettering. Hvis du er i Det Forenede Kongerige eller USA og undrer dig over, hvordan det påvirker dig - GDPR påvirker Det Forenede Kongerige, der stadig er i EU, gennem den måde, den 29. marts 2019, og hvis regering har indikeret, at noget som GDPR vil fortsætte efter den dato, fordi "Det er en god ide." Virksomheder i Storbritannien skal overholde den. Britiske borgerdata ligger bestemt på bordet for dette. I tilfælde af at det ikke er klart, er der USA-baserede virksomheder, hvis du handler i EU med EU-borgerdata, gælder dette bestemt dig. Dette har konsekvenser for din dataarkitektur, fordi du muligvis ender med at afklare dine EU-data fra alt andet og behandle dem anderledes. Det påvirker analysen, som Eric sagde, i hvordan du sammenstiller disse analyser og så videre. Det kan være vanskeligere nu at få nogen form for konceptomfattende, global dækkende analyse igang. De kan blive mere lokaliserede som et resultat af GDPR.
Hvad er der i bestemmelserne? Der er databeskyttelsesstandarder. Disse alle undtagen dikterer kryptering af data i hvile og i bevægelse. Jeg vil tale om kryptering næste. Der er data om brud på underretningsstandarder. Ikke mere af dette, der venter i måneder, og venter på kvartaler til at lade alle vide det. Jeg tror, der var en stor forleden, og vi fandt ud af, ”Åh, det skete for et år siden.” Intet af det med GDPR - du har 72 timer. Det er en navn og skam-politik. Forhåbentlig er der ingen, der klart er nogle mennesker. Overtrædelser vil fortsætte, selv efter GDPR, selvfølgelig. Der er processer til at overvåge placeringen og kvaliteten af data. Lyder du velkendt? Det er virkelig hjertet i datastyring. Forhåbentlig har du nogle af dem der går.
EU-borgere har ret til at blive glemt, som Eric nævnte. Der er nogle rimelighedsstandarder til dette, Eric. Du behøver ikke at udslette alt nødvendigvis, hvis du muligvis bliver nødt til at kontakte denne kunde, den pågældende medarbejder, har du lov til at opbevare visse aspekter af deres personlige data. Men ikke desto mindre har disse borgere ret til at blive glemt, men der kan ikke være nogen uforholdsmæssig stor indsats - det er sproget - på dig eller skade på virksomheden, det er på dig at udslette disse data. Jeg vil ikke bagatellisere dem, men du skal også frigive kopier af personlige data, der er blevet opbevaret, og du kan kun få disse data under samtykke. Dette samtykke skal gives af personer, der er i en mindstealder for at give sådan tilladelse. Der er en mundfuld der, men det giver borgerne en masse rettigheder over deres data. Det er portabilitet lige der, i tilfælde af, at der nogensinde kommer op. Retten til at blive glemt, klart, men også - og noget der ikke er på mit lysbillede, der er temmelig vigtigt - er den registrerede skal have ret til ikke at være underlagt en beslutning, der udelukkende er baseret på automatiseret behandling. Hvad har vi bevæget os hårdt til? Automatiseret behandling, omkring accept af lån, hvilke tilbud, vi kommer til at give, alt dette skal udarbejdes med hensyn til, hvordan dette spiller ud, og hvor langt dette går. Hvad dette egentlig siger, er gennemsigtighed omkring, hvorfor jeg blev afvist, hvorfor jeg behandles på en bestemt måde af dette firma. Dette er lige nu, der gives til en EU-borger.
Der er selvfølgelig nogle konsekvenser for, hvordan vi driver forretning, og forhåbentlig ser du, at GDPR ikke er et it-problem, ikke et IT-problem. Alle disse forretningsprocesser er involveret. Det vil involvere mennesker fra hele virksomheden. Udnævnelse af en databeskyttelsesansvarlig anbefales til de virksomheder med mere end 250 ansatte, og du har "kritisk matematik med EU PII-data." Du kan selv beslutte, om du har den kritiske matematik, nogle gange er det indlysende, nogle gange er det ikke. Men der er en ny rolle - behøver ikke at være en fuldtidsrolle, personen kan have andet ansvar, men jeg ved ikke - i nogle mellemstore og større virksomheder synes jeg stort set, at overholdelse af GDPR vil være tæt på en fuldtidsrolle. Jeg vil sige starte ud på den måde og se, om du kan klare det. Især i løbet af det næste år, når du samler din handling omkring GDPR, når den først er afgjort i, måske kan du bremse arbejdet med dette, men det vil tage nogle virksomheder ganske lang tid. Lad enkeltpersoner se deres egne data og dataportabilitet, som jeg nævnte før.
Dette er forresten ikke helt nyt, men retten til at blive glemt har faktisk været derude, tro det eller ej. De nuværende EU-regler indeholder allerede en ret til at få personlige data slettet eller gjort utilgængelige. Men nu er det en del af GDPR, det bliver håndhævet meget bredere. Datakryptering - krypter dine data i hvile. Brug standardkrypteringsmetoder, brug ikke din egen hjemmearbejde eller ikke-standardkryptering. AES er en, som vi anbefaler en hel del. Brug kryptografisk sikre krypteringsnøgler. Skift disse taster med jævne mellemrum. Undgå også, at disse nøgler tabes. Dette er bare god krypteringspraksis, men nu kommer de på spidsen med GDPR. Deri ligger problemet - jeg har kun ramt toppen af isbjerget. Der er naturligvis flere bestemmelser, der skal undersøges, men det er de vigtigste.
Nu, løsning. Datastyring, rammerne for din overholdelse, det er i det mindste det perspektiv, som jeg lægger frem her. Heldigvis er der en aktiv disciplin med velhæl, der kan og gør, når de er modne, imødekommer de fleste af kravene, og det er datastyring - det siger jeg selvfølgelig. Regeringsprogrammer skal have en dataregistrering, og her bruger jeg dataregister i generisk forstand for at betyde dokumentation overalt for dine processer. Dette er grundlæggende, for at imødekomme lagerbehovene for GDPR, som, som vi havde set, er ret enormt. Programmet, styringsprogrammet, skal lette datasikkerhedsprotokollerne - og jeg understreger det, fordi det ikke er noget, som en masse datastyringsprogrammer gør lige nu, men jeg synes, det er et logisk sted at gøre dette, fordi de er sidder i programmet, der afgør, hvem der er forretningsejere? Hvem har brug for at se det? Og så er det næste trin at give disse tilladelser. Det skal centraliseres, det skal formaliseres. Der skal være interne politikker, der bruges. Stewardship skal tildeles alle elementer for at give input til alle ovenstående. Datastyring kan også være facilitator for forretningsprocesssteknologi, der vil være påkrævet.
Inden jeg forlader dette lysbillede, vil virksomhederne omfatte forsvarlig forretningspraksis som et biprodukt, når de forfølger undgåelse af de store bøder. Jeg kan godt lide at sige, at det er mere end et biprodukt, men det er faktisk bare god, sund forretning, der kan føre dig til nye steder fra et forretningsperspektiv. Bestemt, du får en masse effektiviteter til at gøre alle initiativer overalt, hvis du har god datastyring, det er hvad jeg har set gennem årene. Ved at tilføje nogle af disse ting, som jeg nævner, til datastyring, vil de kun blive bedre. I din forretningsprocesssteknologi anbefaler vi, at du stiller disse spørgsmål overalt, rammer ethvert forretningsområde. Hvilken type data indsamler vi om vores EU-kunder? Jeg vil ikke læse dem alle. Nogle af de vigtigste her. Hvem har behov for at se disse data, og følges de? Hvem er dataposten for disse data? Hvem er min gå-person i branchen? Dette er stort: Deler vi disse data med tredjepart? Bare fordi du giver det til en tredjepart, undskyld ikke dit ansvar for disse data - det er stadig dine data, det er stadig data, du har indsamlet. Der er mange kontrakter fra tredjepart, der nu gennemgås grundigt som et resultat af GDPR. Har disse systemer deterministiske fejl? Betydning, når de fejler, mislykkes de på en sti, som vi har forudbestemt, eller mislykkedes de bare, styrtede, brændte, og vi begynder fra bunden at grave ind på den? Det bliver åbenlyst meget bedre. Det er allerede en god praksis, men naturligvis meget bedre til reverse engineering af nogle af disse ting, hvis du har store deterministiske fejl i dit system.
Dataopbevaring, vi har talt om opbevaring af data for evigt. Mange virksomheder har politikker, de følger dog ikke alle. Naturligvis, berømt inden for sundhedsvæsenet og økonomisk, ønsker vi at opbevare data, vi er nødt til at opbevare data i et bestemt antal år. Nogle af analytikerne i disse firmaer, der opbevarer data i de syv år eller hvad, siger: ”Åh, efter den periode vil jeg stadig have disse data.” Nogle af advokaterne i disse virksomheder siger: ”Men vi er nødt til at slippe af med det med ansvar, ”og så videre. Det kan ikke bare simpelthen sidde der, som et problem i tømmerhovedet længere med GDPR. Vi skal have tilbageholdelsesperioden, har den fulgt konsekvent på tværs af linjen i organisationen.
Og til sidst, hvordan mobiliserer du til en dataovertrædelse? Disse worst-case scenarier, der kunne ske med dig. Naturligvis prøver vi at forhindre dem, men hvad hvis det sker? Hvordan kriger du rummet og sørger for, at du nu følger bestemmelserne i GDPR i dit svar? Jeg er en dataarkitekt, jeg tænker på dataarkitektur. Hvis du er et USA-baseret firma med EU-operationer, hvilket betyder EU-borgerdata - du samler dem, bliver du nødt til at overveje, om du vil anvende databeskyttelsesstandarderne på alle data eller kun EU-data. Ja, jeg har klienter, der tager denne beslutning nu. Som forsvarlig forretningspraksis ønsker de måske at bringe det videre til USA, de kan måske føle, at de har tid, men det bringer kugle nummer to op. Det kan være nødvendigt, at du afklarer EU-data fra amerikanske systemer, hvis du ikke kan garantere, at amerikanske systemer vil håndtere data korrekt. Adskiller det data med henblik på analyse? Er analyser endda gyldige, hvis du prøver at gøre dem på tværs af landet? Nogle gange ja, nogle gange nej, ikke? Du kan muligvis opleve, at dine analyser vil blive dempet som et resultat.
Som jeg nævnte før, spiller kunstig intelligens ind her, fordi vi selvfølgelig kan bruge AI til at finde alle dataene, hjælpe os med at finde alle dataene, men hvis vi bruger AI i vores kundegrænseflader, er vi nødt til at have gennemsigtighed nu med vores kunde grænseflader, og det har aldrig været AIs stærke dragt. For at forsøge at fortælle en kunde: "Du blev afvist, fordi bla, bla, bla, " da det virkelig var AI. Det skal nu gøres. Vi er nødt til at finde ud af, hvordan AI fungerer, hvad er faktorer? Kan ikke bare sidde der og være en sort boks for dig længere. Hvad gør vi nu? Opret dit GDPR-bord. Jeg foreslår, at du har din ældre privatlivsansvarlige derinde, eller hvis du har en databeskyttelsesansvarlig, åbenbart den person. Cheferne for datastyring, operationel risiko og / eller overholdelse, som de gælder, chefen for IT, CIO, hvis det er personen. Hvis du har en ændret ledelsesperson, ville det være en god person derinde. Bare chefer for nogle af de vigtigste afdelinger på tværs af din virksomhed, og også chefen for HR, fordi privatlivets uddannelse nu bliver enormt. Alle vil få uddannelse i privatlivets fred eller burde have fået uddannelse i privatlivets fred, når de går op i et firma, selv konsulenter.
Hvis du ikke gør disse ting, som du ser her, bliver du nødt til at gå hurtigere, end du gerne vil angive fristen. Du er også nødt til at begynde at håbe, at du ikke er en af de første, der bliver revideret, fordi der ærligt talt er der meget arbejde her, hvis du starter fra bunden, og du behandler en masse EU-borgerdata. Ansæt din DPO, inventar dine data og dine processer. Byg den plan for datastyring, tag den fra hvor den er, til den skal være. Som tilfældet kan det være en god idé at starte det. Udarbejd dine privatlivspolitikker og dine politiske meddelelser. Politik til beskyttelse af personlige oplysninger er interne. Politikmeddelelser går eksternt. Vi ser en kultur, der begynder at blive skabt nu omkring politiske meddelelser. Der er foretaget meget sammenligning, og der er foretaget en masse omhyggelig ordlyd omkring disse politiske meddelelser. Charter en GDPR-overensstemmelseskontrol for alle systemer, inklusive nye systemer. Du skal muligvis sekvensere dem og gøre dem i en slags rækkefølge af betydning, men dette er en anden måde at tackle problemet. Se på systemerne, og hvad de skal, og hvordan de håndterer disse data.
Hvad signaliserer GDPR? Det er det, vi er her for at tale lidt mere om. Jeg ser frem til, hvad Kim har at sige om dette. GDPR er et skift i kontrollen med databeskyttelse mod regulering. Det er en tendens mod gennemsigtighed, det siger det lige i bestemmelserne. Vi skaber denne kultur med beskeder om privatliv, som jeg talte om, det er en ting nu. Vi vil se konferencer om meddelelser om beskyttelse af personlige oplysninger og så videre. GDPR-skiftet går mod de grundlæggende rettigheder for mennesker. Åbne spørgsmål vil blive udarbejdet. Der er helt klart åbne spørgsmål, jeg har lagt et par på bordet her til os. Ingen har svaret. De bliver udarbejdet. En tendens mod større forståelse hos enkeltpersoner om deres data og hvordan de bruges. Jeg tror, at dette har øget bevidstheden blandt EU's befolkning om vigtigheden af deres data og ser, at de som en af deres personlige aktiver, at de er nødt til at styre mere. Det er nogle af de tidlige signaler, som jeg har set, og Eric, jeg vil smide det tilbage til dig nu.
Eric Kavanagh: Okay, lad mig give nøglerne til Kim, der kan dele noget af hendes perspektiv, men jeg synes, det var en god oversigt, William, og du ramte nøglepunkterne - nemlig at dette kommer ned på gedden helt sikkert og vi skal alle være meget forsigtige, helt ærligt. Lad mig med det overlevere nøglerne til Kim, så kan du dele din skærm og tage den derfra.
Kim Brushaber: Hej der, kan du høre mig?
Eric Kavanagh: Jeg kan høre dig.
Kim Brushaber: Awesome. William dækkede nogle af de samme ting, som jeg vil dække, men jeg tror, at de er værd at dække igen, fordi de virkelig er vigtige. Jeg tror, at når nye regler er vedtaget, er det virkelig godt at få en masse forskellige menneskers perspektiv og fortolkning af det, så noget gnister dit sind og giver dig mulighed for at blive endnu mere i overensstemmelse. Jeg bliver opmuntret af alle de mennesker, der er ved dette opkald, der vil vide mere, fordi jeg tror, at den 25. maj kommer der måske en masse panik for virksomheder, der bliver jaget efter og ikke er i overensstemmelse.
Jeg hedder Kim Brushaber, jeg er den øverste produktchef hos IDERA. Jeg har flere produkter under mig, der hjælper med GDPR-overholdelse såvel som andre forskrifter. Jeg vil springe ind i nogle af oplysningerne. Jeg vil starte med nogle fakta og nogle tal og derefter gå lidt ind på GDPR og derefter specifikt hvordan vores værktøjer kan hjælpe dig. En kendsgerning er, at over 5 millioner dataposter tabes eller stjæles hver dag. Vi hører ikke dette rapporteret i nyhederne, vi hører ikke dette kommer fra andre steder, men der er over 5 millioner dataposter, der bliver stjålet hele tiden, lige under os. Det gennemsnitlige antal dage, som angribere forbliver sovende i dit netværk, er 200 dage. Mange systemer er allerede infiltreret af mennesker, der - med ondsindede formål - som bare venter på muligheden for at udnytte dine oplysninger, for det meste inden for sikkerhed og certifikater, men de venter bare på, at deres øjeblik skal stoppe. Derfor er det blevet mere og mere vigtigt at håndtere din datasikkerhed. De gennemsnitlige omkostninger ved overtrædelse af enkelt data i 2020 forventes at overstige $ 150 millioner, da flere forretningsinfrastrukturer får forbindelse til online-ressourcer, og når flere ting går op i skyen. Det er et godt budgetnummer, hvis du virkelig er bekymret for datasikkerhed, at give til dit udøvende team, for at fortælle dem, at dette er en alvorlig sag og kan koste os en masse penge fremover.
Jeg vil kort gennemgå Equifax-dataforbruget, fordi jeg tror, det var det største dataovertrædelse i 2017, for at slags male billedet af, hvordan det er at gennemgå det. Overtrædelsen berørte 145, 5 millioner kunder. Medarbejdere anerkendte sikkerhedsspørgsmålet med deres webapplikation to måneder før overtrædelsen skete. Medarbejderne sagde: ”Dette er et problem.” Og endda lidt før, det var da plasteret faktisk kom ud. Det tog en hel dag, når overtrædelsen opstod for at svare på det og tage webapplikationen offline. Da Equifax ikke havde en defineret datasikkerhedsprotokol, tog det dem en betydelig mængde tid til endda at finde ud af, hvad der foregik, og derefter være i stand til at tage systemet offline. Seks uger efter overtrædelsen blev offentligheden advaret. Med GDPR - som vi nævnte ovenfor, og jeg vil sige det igen - skal du rapportere inden for 72 timer, og Equifax ville have haft deres hænder bundet og ikke været i stand til at opfylde denne overholdelse, fordi de ventede i seks uger med at rapportere det. Kommunikationen om at svare på overtrædelsen indeholdt et websted, der ikke engang var ejet af Equifax. Equifax selv retweetede denne tweet, der ikke engang var inden for deres domæne - de havde vendt nogle af ordene rundt. Heldigvis var det ikke et ondsindet websted, der kapitaliserede det, men de var tydeligvis ikke forberedt. De havde ikke en plan på plads, og dette blev meget opmærksom på den offentlige arena. Equifax er ikke alene - der er over 25 meget høje cyberprofilangreb i 2017 indtil videre, og vi kunne stadig finde mere inden udgangen af året. Virksomheder er virkelig nødt til at begynde at tage dette alvorligt, fordi folk er derude, og hvis du giver dem en grund til at ønske at komme til dig, ville du hellere være parat til at kunne håndtere det.
Nogle andre datafakta og tal for, hvordan enkeltpersoner ser på datasikkerhed. I 2020 vil der være 30 milliarder enheder tilsluttet internettet via vores hjem, via vores bærbare apparater, via vores telefoner, vores tablets, og hvem ved hvad der ellers kan komme i de kommende år. Der er masser af enheder, der overlades sårbare over for disse angreb. 42 procent af amerikanerne mener, at deres personlige oplysninger er mindre sikre, end de var for fem år siden. Treoghalvtreds procent af forbrugerne i Amerika ønsker, at virksomheder skal være gennemsigtige om deres personlige data. Otteoghalvfjerds procent af mennesker hævder at være opmærksom på risikoen ved at klikke på ukendte links og e-mails, men de klikker alligevel på disse links - det er over tre fjerdedele af vores befolkning, og de klikker stadig på linkene, selvom de ved, det kan være et problem. 66 procent af internetbrugere forsøger aktivt at minimere, anonymisere og skjule synligheden af deres digitale fodaftryk. Min stedfar synes godt om at gå ud og oprette falske navne, når han udfylder formularer, fordi han mener, at det gør ham anonym, men lidt ved han ikke, at hans IP-adresse også spores. Der er meget individuel bekymring, og det er det, der gyder en masse af GDPR-reglerne og sandsynligvis yderligere regler, der vil komme til at følge.
Hvad angår fakta inden for datasikkerhedsbranchen, kom 90 procent af dataovertrædelsesregistret i 2016 fra regering, detailhandel og teknologi. 42 procent af cyberangreb angreb små virksomheder. Hvis du tænker: ”Åh, jeg er ikke en stor fyr, de kommer ikke efter mig, ” er der stadig næsten halvdelen af dem, der kører efter små virksomheder. Femoghalvfjerds procent af sundhedsvæsenet blev inficeret med malware i det forløbne år. Halvfjerds procent af de amerikanske olie- og gasselskaber blev hacket i det sidste år. Dette er en betydelig mængde af indflydelse på forskellige forskellige industrier, der er i gang, og dette antal vil kun stige herfra.
Når du ser på det fra det udøvende perspektiv, indrømmer 90 procent af CIO'erne at have spildt millioner af dollars på utilstrækkelig cybersikkerhed. 90 procent siger også, at de er blevet angrebet, eller at de forventer at blive angrebet af fyre, der gemmer sig i deres kryptering. 85% mener, at deres sikkerhedskontrol ikke beskytter deres forretning. Femogfirs procent af CIO'erne forventer, at kriminelt misbrug af deres nøgler og certifikater bliver værre. Dette er et enormt antal virksomheder, der ser på dette datasikkerhedsspørgsmål, og virkeligheden er, at mange af dem ikke har særlige gode løsninger for endda at være i stand til at håndtere det, når det sker, selvom de mener, at det vil ske.
Når vi ser på beredskabet, indrømmede 70 procent af årtusindskabet i 2014, at de bragte ansøgninger ud i deres virksomhed i strid med it-politikker. Halvfjerds procent indrømmet det - der er sandsynligvis endnu et større antal end det, der faktisk gjorde det. 52 procent af organisationerne, der led succesrige cyberattacks i 2016, foretog ingen ændringer i deres sikkerhed i 2017. Selvom de blev angrebet en gang, gik de stadig ikke og kørte op ad murene - de er lige så sårbare som de var før angrebet. Dette rejser virkelig spørgsmålet, hvad skal virksomhederne begynde at gøre for at forberede sig på disse ting? Otteogtretti procent af de globale organisationer hævder, at de er parate til at håndtere et sofistikeret cyberangreb. Det er godt - næsten halvdelen er der, og jeg er generøs med det, vi er virkelig kun på en tredjedel, men der er stadig mindst halvdelen, der siger: ”Jeg er ikke klar. Hvis jeg bliver angrebet, er jeg ikke klar, og hackerne ved det. ”Otteogtreds procent af organisationerne har en plan for reaktion på cyberhændelser. De fleste virksomheder er i samme spand som Equifax, hvor de ikke ved, hvad de skal gøre. Hvis de får dette, bliver de nødt til at reagere og komme med disse ting på farten, og regler som GDPR siger: ”Du er nødt til at have disse på plads. Du skal have dem offentliggjort. Du er nødt til at bevise det for sikkerhedsrevisorer. ”Forhåbentlig med sådanne virkninger, med forskrifter som den, kan vi komme foran denne kurve, og i stedet for at være reaktionære, kan vi være proaktive i vores forfølgelser.
Lad os tale lidt om GDPR. Noget af denne William har allerede dækket, men jeg vil gå videre og dække det igen lige fra min take, min stemme, mit perspektiv. Mange virksomheder, som jeg taler med, de er ligesom ”Jeg er i USA, hvorfor skal jeg endda bry sig om denne EU-regulering?” Det faktum, at flere mennesker ikke brummer, og at flere mennesker ikke taler om det, de tror, at det kun er EU-medlemmer, der er berørt, men jeg vil bede dig, hvis du ser på denne liste, indsamler du nogen af disse data fra EU-medlemmer? Hvis du overhovedet indsamler nogen af disse oplysninger, er du underlagt grænserne for GDPR samt sanktionerne for ikke at overholde. Jeg giver dig et øjeblik til bare at absorbere dette og forstå dette. Som William nævnte tidligere, er disse sanktioner og sanktioner, jf. Artikel 83 i GDPR. I begyndelsen får du muligvis en klap på hånden, en lille smule advarsel, der siger: ”Hej, få din handling sammen. Placer dette på plads. ”Men hvis du har et rigtig stort brud - og afhængigt af hvor stor en del det er - vil de vende tilbage til dig for genoprettelse, og det er et betydeligt antal. Ikke 10 millioner, men 20 millioner euro eller 4 procent af din omsætning / omsætning fra det foregående år. Det er en masse penge. Dette er meget budget at gå til dine udøvende teams og sige, "Dette er noget, vi har brug for for at begynde at tage alvorligt, og vi er nødt til at tage skridt til."
Lad mig gennemgå en lille smule af GDPR-principperne som beskrevet i artikel 5. En af de ting, de siger, er, at personoplysninger skal behandles lovligt, retfærdigt og på en gennemsigtig måde. Det betyder, at offentligheden vil vide, hvad du laver med deres data. Vær gennemsigtig for det, og det skal offentliggøres. De fleste mennesker læser ikke vilkår og betingelser, men dette er nye oplysninger, som du har brug for for at kunne kommunikere, så du kan fortælle dem: "Dine data håndteres korrekt." De personlige data skal indsamles til en specificeret, eksplicit og legitimt formål. Det betyder, at vi forhåbentlig kan slippe af med noget af denne spam, hvor virksomheder siger, at de indsamler oplysninger til en quiz, der fortæller dig, hvor interessant du kan være, og i virkeligheden tager de dine data og sælger dem tilbage til en anden, for at kunne bruges til hvad deres formål er. Virksomheder skal nu være meget mere ansvarlige og sige nøjagtigt, hvad de bruger dine oplysninger til. De siger også, at personoplysninger skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt. Mange virksomheder kan lide at tage al deres information og lægge dem i en stor datapool, og så finder de ud af, hvad de vil gøre med informationen senere, og de indsamler langt mere, end det kan være nødvendigt. Dette siger, at du ikke kan samle det og bruge det et andet sted. Du kan heller ikke bare samle alt og håbe, at du senere finder det nyttigt. Du skal være meget eksplicit, hvorfor du indsamler informationen, og det skal være relevant for de data, du indsamler.
Personlige data skal også være nøjagtige og holdes ajour. Du skal give brugerne måder at opdatere deres data, når du først har samlet dem på dem; de har brug for at være i stand til at gå tilbage og sige, "Du ved, jeg havde denne mening om en undersøgelse, du spurgte mig om personlige identificerbare oplysninger, og jeg vil gerne gå tilbage, og jeg vil ændre det og opdatere det nu." Og du har at give dem en måde at kunne gøre det på. Personlige data skal opbevares i form, som tillader identifikation af registrerede ikke længere end nødvendigt. Tilbage til William's pointe om, at du ikke kan indsamle disse oplysninger for evigt - du er nødt til at finde ud af, hvad du mener er gyldigt og nødvendigt, og derefter skal du slette dataene rene. Det skal også behandles på en måde, der sikrer passende sikkerhed, herunder beskyttelse mod uautoriseret eller ulovlig behandling, utilsigtet tab, ødelæggelse eller skade.
Som jeg sagde før, er det tid til at blive virkelig seriøse med dette ved at stoppe disse dataovertrædelser, fordi du ikke kun kan have en skade, der kommer til din virksomhed i form af dataforbrud og tab af indtægter og omkostningerne ved at afskære dine processer, men du har muligvis også en bunke bøder, der er smækket oven på dig fra GDPR. Det er på tide at virkelig begynde at blive meget seriøs over det, og jeg tror, at når GDPR træder i kraft, vil virksomhederne blive konfronteret med den hårde virkelighed, og heldigvis kan de af jer, der er i opkald i dag, begynde at tænke over dette og vide hvordan du skal sætte disse ting i gang.
GDPR taler også meget om, hvad enkeltpersoners rettigheder er; det ser virkelig ud for de enkelte brugere. Den første ting er retten til at få adgang til dine personlige data. Brugere skal vide, hvilke oplysninger du har indsamlet om dem, så vidt angår de personligt identificerede oplysninger, og du skal give dem en måde at kunne få adgang til dem. Der er også en ret til korrektion, hvilket er en fin måde at sige: ”Jeg er nødt til at være i stand til at rette de oplysninger, du har om mig.” Retten til sletning - som igen, mange mennesker formulerer som retten til blive glemt - hvis en person siger: ”Ved du hvad, jeg vil ikke længere have dig til at vide, at jeg er en super sjov fyr tegneseriesamler, skal du slippe af med det. Jeg har nogle venner, der driller mig ved det og udsletter mig fuldstændigt fra din liste, ”du har brug for at kunne gøre det. Der er også retten til begrænsning af behandlingen, og dette betyder, at brugerne kan begrænse den måde, deres information behandles på. De kan sige, "Jeg har ikke noget imod at du tager mine oplysninger, fordi jeg køber en ny bil, men bruger ikke disse oplysninger til at sende mig e-mails og spam mig på nye tilbud hver gang nye biler frigives." Der er også retten til dataportabilitet, hvilket betyder, at brugerne skal kunne få en kopi af deres data og kunne tage dem et andet sted. En masse organisationer indsamler oplysninger, og disse oplysninger har en klæbrighedsfaktor, og nu kan enkeltpersoner sige: ”Ved du hvad, jeg vil have dig til at tage alle mine oplysninger, og nu vil jeg have, at du giver dem til din konkurrent, så jeg kan flytte det over."
Der er en masse ting, der skal tænkes på fra en organisation, der er potentielt opmærksom på, hvordan du vil være i stand til at gøre det, og hvilke oplysninger du ønsker at være i stand til at indsamle og sende over. Der er også en ret til at indvende, og brugere kan også gøre indsigelse mod behandlingen af deres data. Retten til ikke at blive underlagt en beslutning, der udelukkende er baseret på automatisk behandling eller profilering. Dette har en betydelig indflydelse på B2B-markedsføring - hvis du sidder der og prøver på A / B-test og prøver at identificere, er Colorado mere påvirket af en meddelelse end Californien, du har lige lavet profilering ved at se på en tilstand versus en anden, og du er nødt til at se på, hvordan en person skal kunne fravælge det.
I betragtning af at vi har nogle skræmmende ting, der kommer så langt som dataovertrædelse, og hvordan folk ser på deres data, og vi har denne enorme regulering, der bliver dumpet ovenpå vores skuldre, er jeg nu her for at give dig løsningen på, hvordan IDERA kan hjælpe. Artikel 15 taler om, hvordan man kontrollerer eksponeringen for personoplysninger. Du skal vide, hvem der får adgang til dine data. Hvordan de bruger det. Hvor meget data der er behandlet og SQL-produkter Compliance Manager, som jeg er produktadministrator for, giver dig mulighed for at se, hvem der får adgang til dine data, og hvordan. SQL Compliance Manger er til SQL Server-løsninger. Hvis du har en SQL Server-database, kan du forbinde dette produkt for at være i stand til at revidere og se på disse oplysninger, så du kan overholde GDPR, og du ved nøjagtigt, hvordan det bruges. Du kan også se dataovertrædelser, før de sker, og det vil jeg tale om i et andet lysbillede. Der er også en artikel, der siger: ”Jeg har brug for registrering af behandlingsaktiviteter. Jeg er nødt til at logge, og jeg er nødt til at overvåge operationer, og jeg er nødt til at vide, hvem der behandler personoplysninger, og hvem der har adgang til disse systemer. ”SQL Compliance Manager opretholder revision af servere og databaser, herunder sikkerhed, DDL, DML samt definerer følsomme data . SQL Compliance Manager giver dig mulighed for at revidere sikkerhedsadgang og logge et forsøg, så du kan se, hvem der får adgang til oplysninger, samt hvem der logger ind, om det er en privilegeret bruger, om det er en kendt bruger, eller om det muligvis er en ondsindet bruger.
Artikel 33 taler om anmeldelse af brud på personoplysninger til en tilsynsmyndighed. Du skal være i stand til at registrere disse overtrædelser; du har brug for poster for at kunne vurdere virkningen; skal du vide, hvor hurtigt du vil afhjælpe det. For at gøre det giver SQL Compliance Manger dig mulighed for at konfigurere advarsler på dine databaser, der kan ses af hvem der har adgang til dine følsomme data, når de har adgang til dem, hvad de har adgang til. Det giver dig også mulighed for at udelukke dine normale privilegerede brugere fra din revision. Hvis du har systemadministrator eller netværksadministrator, som du ved, vil få adgang til det, og du ikke ønsker at tilstoppe dine rapporter, kan du udelukke dem og sige, "Giv mig alt, hvad der sker uden for disse oplysninger." Det tillader dig til hurtigt at identificere, om nogen ondsindet får adgang til dine data, og du kan have advarsler, der er på plads, så du kan vide, i det øjeblik, det begynder at ske, og så øjeblik, hvor informationen åbnes, for at være i stand til at slå dem ned, så du behøver ikke vente en hel dag for at finde ud af, hvad der foregår, ligesom Equifax gjorde.
Der er også en artikel, der taler om databeskyttelse og konsekvensanalyse. Dette vurderer dine risici og forstår, hvad de er, samt demonstrerer og dokumenterer din overholdelse af GDPR. SQL Compliance Manager giver dig mulighed for at rapportere om elementer, der overvåges. Bare for at gå lidt i en nøddeskal, gennem revision af dine data med SQL Compliance Manager, giver SQL Compliance Manager dig mulighed for at opdage mislykkede logins - hvilket er et potentielt tegn på brud - overvåge administrative aktiviteter og sikkerhedsændringer, advare dig om databasens ændringer, revision kolonner, som du definerer som følsomme oplysninger, identificerer privilegerede brugere og sporer deres aktivitet separat fra de andre brugere i dit system, rapporterer, at oplysningerne revideres i overensstemmelse med flere lovgivningsmæssige retningslinjer. Ikke kun dækker vi GDPR, men vi dækker HIPAA, PCI, FERPA, SOX, alle lovgivningsmæssige retningslinjer, når de kommer til revision af dine oplysninger og forstå, hvad der er adgang, vi har disse lovgivningsmæssige retningslinjer på plads.
Vi har også yderligere produkter hos IDERA til GDPR-forberedelse. Ud over kun den revision, som SQL Compliance Manager udfører, har vi ER / Studio Enterprise Team Edition, som kan hjælpe dig med at dokumentere dine dataprocesser og inkorporere datastandarder i din datamodel, du kan oprette dataregister, som William talte om i et tidligere dias . Som jeg har sagt her med denne præsentation, kan SQL Compliance Manager hjælpe dig med at revidere dine oplysninger for at sikre, at de forkerte ikke får adgang til dine data, samt at bevise dette for revisorerne. SQL Safe Backup kan hjælpe dig med at kryptere dine data og dine sikkerhedskopier. Kryptering er en væsentlig del af GDPR, som jeg ikke dækkede meget detaljeret, fordi jeg ville fokusere meget på Compliance Manager's aktiver, men SQL Safe Backup gør en masse af krypteringen for dig, så dine data kan forblive sikre. SQL Inventory Manager kan sikre, at serverne er lappet og opdateret, så du ikke ender i en sag som Equifax, hvor de havde en forældet patch, som gav dem et stort sikkerhedshul, som folk var i stand til Brug ondsindet. SQL Secure kan revidere standarder for beskyttelse af personlige oplysninger og kryptering.
For flere detaljer på IDERA-samfundswebstedet, under vores blog, har jeg lagt ud et Kom godt forberedt på GDPR samt ser hen imod 2018 og forstå, hvad GDPR's indflydelse kommer til at være, og der er også, du kan bestemt downloade en prøvekopi af SQL Compliance Manager hos IDERA såvel som alle de andre produkter, som jeg lige har nævnt tidligere i diaset.
På dette tidspunkt vil jeg gå videre og overdrage præsentationen til Eric, så vi kan stille nogle spørgsmål.
Eric Kavanagh: OK, god. Du rørte ved en række rigtig interessante ting der, Kim, hvoraf den ene - jeg synes, dette er slags enkel, men det er temmelig klogt - du talte om detektering af mislykkede logins. Det forekommer mig, at det er et temmelig godt tegn på, at nogen ikke har noget godt, ikke?
Kim Brushaber: Absolut. Hvis du ser nogen, der har forsøgt at få adgang til og knække dit kodeord, er det en meget hurtig måde at kunne sige, at nogen ikke gør, hvad de skal være. Måske et par gange skriver du måske dit kodeord forkert, men hvis du ser 30 af dem komme igennem, er det et dårligt tegn.
Eric Kavanagh: Ja. De nøgler her er at indstille dine alarmer med den rette kontekst. Hvad kan du ellers fortælle os om, hvordan man administrerer processen med at opsætte alarmer og deaktivere dem, der ikke gør, hvad de skal gøre, og hvor meget af det, der kan automatiseres?
Kim Brushaber: Compliance Manager har en masse konfigurerbare advarsler såvel som rapporter, som du kan gennemgå. Vi gennemgår dine SQL-spor, og vi har den automatiske sporing, og vi har en masse af det, der allerede er forudindstillet og foruddefineret, men der er bestemt en betydelig mængde tilpasning, du også kan gøre.
Eric Kavanagh: William, jeg bringer dig ind i dette - det ser ud til, at det er et af de områder, hvor vi skal se, hvordan maskinen lærer at komme i spil i løbet af de næste to til ti år eller deromkring, ser på alle de forskellige muligheder. Ser vi på alle de forskellige måder, som et system kan optimere dets effektivitet, er det effektivitet omkring problemer som brud osv. Er det også dit tag?
William McKnight: Ja, absolut. Jeg tror, at vi bygger systemer nu, der reparerer sig selv. Overvågningen 24 og 7 begynder at glide væk og blive en saga af fortiden, selvom vi stadig har brug for den slags oppetid. Jeg tror, systemerne stort set får det indbygget og regner ud, hvad det er, der er forkert. Skal vi afsætte mere plads her, eller hvad har du? Ja, jeg tror, det er bestemt en del af vores fremtid. Alt derude, der kan kortlægges til nogle handlingstrin, for at tage som svar på noget, er bestemt sårbar over for kunstig intelligens.
Eric Kavanagh: Det er et godt punkt. Jeg vil kaste et spørgsmål mere til dig, William, fordi jeg ved, at du gør en masse research i dette rum. En af de ting, som jeg har ventet på nu i et stykke tid, og jeg tror ikke, vi er der endnu - jeg tror, vi kommer tæt på, lige fra det, jeg har læst og tænkt på det - er en dag, hvor der vil være teknologi til at absorbere lovgivningsmæssige problemer, den faktiske ordlyd af disse ting og kortlægge dette til funktionalitet og software. Som jeg siger, vi er stadig et stykke fra det - jeg kan ikke forestille mig, at der ikke er nogen, der arbejder på det. Har du fundet noget lignende, eller er vi stadig på et punkt, hvor mennesker er nødt til at se på reglerne, virkelig prøve at forstå dem, kodificere dem i maskinkode, i det væsentlige, og derefter drejningsmoment over til deres forskellige applikationer?
William McKnight: Nå, jeg får bestemt det koncept, du deler her. Jeg er ikke bekendt med noget, der foregår i retning af en udrulning i et miljø, der er relateret til det. Jeg vil dog generelt sige, åbenlyst, at vi begynder at fortælle maskinerne, hvad de ikke skal gøre, men hvad målet er, hvad vi vil gøre, og maskiner bliver meget smartere ved at finde ud af detaljerne. Jeg tror, når vi først har fået mere kunstig intelligens i vores organisationer, at det er meget muligt, at nye regler kan udvikles i samråd med AI, der er implementeret i organisationer, så de kan rulle ud på den måde, som du har beskrevet i fremtiden. For øjeblikket handler vi ikke med det.
Eric Kavanagh: Her er et spørgsmål, jeg vil smide over til dig, Kim, for dette er også interessant. Du taler om den gennemsnitlige latenstid eller den tid, en person, der logger på dit system skjuler sig og bare venter - antal dage, hvor en angriber forblev sovende inden for et netværk - detektion er 200. Jeg er nysgerrig efter at vide, hvad er dine tanker omkring, hvordan man forbedrer det, først og fremmest? Men er der også en måde at bruge denne form for regel til at udforske dit eget system? At udforske dine egne data og gøre et bedre stykke arbejde med at holde disse slags mennesker ude?
Kim Brushaber: Ja, jeg tror, at åbenlyst tidlig påvisning er nøglen. Du skal finde ud af, at disse ondsindede websteder får adgang til dine oplysninger og kan låse dem ned. Jeg tror, at i de andre lysbilleder, hvor vi viser, at de fleste organisationer ikke har disse politikker på plads. Derfor sidder de der. Jeg tror, at hvis du faktisk havde en politik på plads til at gå igennem og låse din adgang og sørge for, at de rigtige mennesker har adgang. Sørg for, at du regelmæssigt roterer dine taster og opdaterer dem. Sørg for, at dine adgangskoder opdateres regelmæssigt, og gør de slags ting, som synes temmelig grundlæggende. Lige nu gør de fleste organisationer ikke engang det, og at begynde at sætte disse stykker på plads vil hjælpe dig med at komme ud over dette.
Det betyder selvfølgelig, at hackerne vil blive mere kunstige af det, men i øjeblikket er det let, det er som, ”Jeg vil se på de huse på gaden, som jeg har lyst til at bryde ind i, vil de have alarm systemer? Har de et lille alarmtegn, og at man har hunde? Jeg går til en der ikke har et alarmtegn, ikke har en hund, og det er det hus, jeg skal bryde ind i. ”Nå, de vil finde ud af de virksomheder, der ikke t har disse programrettelser på plads, og de har ikke sikkerheden på plads, og de opdaterer ikke deres adgangskoder, og de vil gå og hænge ud der og bruge dit kreditkort på en tankstation et par gange for at sikre du har ikke lukket den, og når de kan påvirke en stor forandring, er det normalt en slags politisk erklæring, eller ellers når du ser dem slå deres hoveder op. At få disse politikker på plads, tror jeg, at du på dette tidspunkt kan tage nogle ret minimale trin for at være i stand til at komme foran dette spil.
Eric Kavanagh: Det er nok det bedste råd, og jeg hører altid dette, når vi taler med folk, der er i sikkerhedsrummet eller det lovgivningsmæssige rum, at det grundlæggende vil dække 80 procent af dit problem, og det er en masse grund til at dække - det er en god pointe. En af de deltagende spurgte om nogen kunne udvide de forretningsmuligheder, der kunne udvindes fra GDPR-overholdelsesbestræbelser, jeg bliver mindet om Sarbanes-Oxley, og jeg gætte, William, jeg vil smide det over til dig. Som konsulent leder du altid efter måder, der kan hjælpe dine kunder uden for et bestemt projekt - i det mindste hvis du er en god konsulent, gør du det. Når du taler med folk om GDPR, hvad er de ekstra fordele, som du kan fortælle, at de får, hvis de deltager i et projekt, der er fokuseret på det?
William McKnight: For det første er det vigtigt at bemærke, at ideen bag GDPR overhovedet ikke er fulde rettigheder for borgerne. Der er den anden side af GDPR, som er, dette vil forbedre den tillid, som borgerne har i vores virksomheder og det vil tilskynde dem til at gøre mere forretning i de virksomheder, der er kompatible. Der er de ekstra fordele ved faktisk at gennemføre din GDPR, nu internt, de datastyringsprogrammer, som vi implementerer, tjener til at lette alle mulige initiativer, der virkelig sparkes i organisationer, og i dag langtfra initiativer, der sparkes off inde i organisationer. Jeg har for nylig lavet en vis planlægning for 2018 med mange af dem, de har med data at gøre, meget, de er som 65 procent til 90 procent alt om dataene - når du taler om telematik eller kunde 360-program eller et instrumentpanel til overvågning af sælgere, handler det stort set om dataene. Alt, hvad der styrer disse data bedre, det sætter det i en bedre arkitektur, der navngiver folk, der er de go-to mennesker, der kan besvare alle spørgsmål om disse data, der virkelig bryder sig om som et datastyringsprogram ville. Alt, hvad der giver os en dataregister - som Kim talte om med sine værktøjer - alt hvad der gør det, det er meget nyttigt at gøre disse initiativer meget mere effektive, afrisiko dem, skrumpe tiden, skrumpe budgettet for dem og få os til en smidig tid til at markedsføre meget hurtigere og gode ting for en virksomhed, der laver initiativer, som alle er virksomheder.
Eric Kavanagh: Jeg elsker det begreb af tillid. Jeg tror, at tillid er en meget underværdsat virkelighed i vores verden, og helt ærligt kører de fleste forretninger på tillid - det gør det virkelig, når du kommer helt ned til det. Jeg vil smide det over til dig bare for nogle afsluttende kommentarer, Kim. Jeg tror, at en af nøgleværdierne, der tilføjes her, er at forbedre tilliden og skabe en tillidskultur, fordi det ikke kun vil have positive indvirkninger på selve virksomheden, på mennesker i virksomheden i sig selv, men også på, hvad offentligheden opfatter, fordi den slags ting går over, ser det ud til for mig, men hvad synes du?
Kim Brushaber: Ja, jeg tror, når jeg snakker med venner, der arbejder på Google eller arbejder på Facebook eller nogle af de større, virkelig højt profilerede organisationer, implementerer de næsten ikke så mange nye funktioner, som de implementerer sikkerhedsprotokoller og ydeevne og skalerbarhedsproblemer, fordi de ønsker, at deres brugeroplevelse skal være et, hvor de mener, at de kan stole på disse oplysninger. Jeg tror, at virksomhederne har det ansvar, da vi fortsætter med at fremskynde den slags tillid. Jeg kan huske, da folk først begyndte at placere kreditkort online, og folk er som, ”Åh herregud, jeg vil ikke give disse oplysninger derude, for det er ikke sikkert.”
Og nu går dit kreditkort til enhver måde, fordi du i teorien tror, du kan stole på virksomheden, fordi det har et HTTPS-certifikat. Så hører du om overtrædelsen af måldata, hvor kreditkort, hvor de var ligesom, ”Åh, du skal udveksle dit kreditkort, fordi vi slipper de oplysninger.” Jeg synes, det er en tovejs stemning. Jeg tror, at enkeltpersoner, selvom de ønsker at være mere tillidsfulde, fordi det er meget lettere, at være i stand til at stole på og have tillid til dette hos store organisationer, de store organisationer er nødt til at træde ind og sætte disse stykker på plads, så de ikke gør det t skader den enkelte, eller du mister markedsandelen. Folk siger: ”Nå, ved du hvad, jeg skal ikke shoppe hos Target længere, nu skal jeg handle hos Amazon.” Jeg synes, at tillid er et stort problem, selvom 78 procent af mennesker, som vi sagde, er vil stadig klikke på det link i en e-mail, selvom de ved, at de måske ikke har det. Der er en vis beskyttelse af mennesker, selv når de stoler på dig.
Eric Kavanagh: Det er et godt punkt. Ved du hvad, jeg kaster et sidste spørgsmål til dig, William, eller i det mindste et andet - vi har nogle gode der kommer ind nu. En deltager skriver: ”GDPR flytter identitetsstyring tilbage til kunden, hvor den hører hjemme. Equifax beskadigede 149 millioner forbrugere permanent, ”meget sandt”, der forurener den digitale økonomi. Hvilke ændringer ser du sker i USA med hensyn til kundeejerskab med hensyn til identitetsstyring? ”
William McKnight: Vi er altid bagud i USA, når det kommer til denne slags ting, ikke? Hundrede og ni og fyrre millioner, det er ikke noget fald i spanden lige der. Det er næsten som terrorisme, ikke? Vi er lige så vant til, at det bare sker hele tiden. Jeg tror, at der skal gøres noget. Jeg tror, at GDPR, jeg kan godt lide rettigheder, som det giver borgerne, men det ser ikke ud til at være en prioritet - der er en masse andre prioriteter, og jeg ved ikke, hvor det vil gå. Som jeg nævnte i forgreningsrøret, som jeg havde, tror jeg, at dette signaliserer et skift mod flere rettigheder hos forbrugeren over deres data. Når det sker her i USA? Jeg ved ikke, det kan være op til fem år fri at se noget, der svarer til BNP, der sker her i USA. Bare spekulation på dette tidspunkt.
Eric Kavanagh: Det er et rigtig godt punkt, og jeg tror, vi vil se mere indsats på dette, for lad os indse det, vi bevæger os til en sådan digital økonomi i disse dage. Og som en afsluttende kommentar her, hvor jeg får en smule filosofisk, politisk orienteret, er det dette, der mest bekymrer mig for overgangen til et kontantløst samfund, for når kontanter forsvinder, hvis det sker, så er alt digitalt og hvert system kan han hacket og hver persons identitet kan stjæles. Det forekommer mig, at det er en temmelig stor elefant i lokalet her, da vi ser ned på gedde til fremtiden for identitetsstyring.
Dette er alle gode ting, folkens. Tak til William McKnight for hans tid og opmærksomhed i dag. Tak til Kim Brushaber fra IDERA. Vi arkiverer alle disse webcasts til senere visning, så du er velkommen til at vende tilbage, normalt inden for få timer, og arkivet vil være klar. Med det vil vi byde dig farvel, folkens. Tak igen for din tid og opmærksomhed Pas på. Hej hej.