Di Techopedia Staff, 6 dicembre 2017
Takeaway: l' host Eric Kavanagh discute dell'imminente regolamento generale sulla protezione dei dati dell'UE e gli effetti che avrà sul settore. A lui si aggiungono William McKnight del McKnight Consulting Group e Kim Brushaber di IDERA.
Al momento non sei collegato. Accedi o registrati per vedere il video.
Eric Kavanagh: OK, signore e signori, ciao e benvenuti ancora una volta. È mercoledì alle 4 in punto Eastern Time, il che significa che è di nuovo il momento - una delle ultime volte nell'anno 2017 - per Hot Technologies. Sì, davvero, mi chiamo Eric Kavanagh - sarò il tuo moderatore per l'evento di oggi. Stiamo parlando di un argomento di vasta portata, per non dire altro. In questo momento, non sembra così: il concetto di GDPR, il regolamento globale sulla protezione dei dati. Andiamo avanti e tuffiamoci proprio in questo, non si tratta davvero del tuo, abbastanza di me. Quest'anno è caldo, è stato davvero caldo in molti modi diversi, ma le imminenti normative del GDPR e di altre organizzazioni, francamente, ci stanno costringendo a ripensare ciò che sta succedendo nel mondo degli affari, in particolare come risulta, o in relazione ai dati. Avremo notizie di Kim Brushaber di IDERA e anche di William McKnight del McKnight Consulting Group.
Solo un paio di parole rapide sull'argomento in questione, gente. Il GDPR afferma in sostanza che le organizzazioni devono avere una politica sulla privacy e una politica sulla sicurezza per quanto riguarda i dati e in realtà, si tratta di alcune delle cose che potresti aver sentito - l'intero diritto all'oblio, ad esempio, è in parte parziale l'intero momento, ed è roba molto interessante. È certamente valido in termini di principi ed etica. In termini di implementazione effettiva, tuttavia, è una sfida piuttosto seria. Il diritto all'oblio dice che se vuoi che alcune organizzazioni non dispongano dei tuoi dati, dei tuoi dati personali sensibili, devono sbarazzarsene. Bene, puoi solo immaginare quando alcuni di questi ambienti di dati davvero eterogenei, quanto sarà difficile. Essere in grado di raggiungere tutti i luoghi in cui i tuoi dati sono persistenti ed estrarli, semplicemente non accadrà, è la linea di fondo. Tuttavia, le organizzazioni devono avere politiche in atto, per essere in grado di rispondere a tali preoccupazioni, ed è quello che i regolatori, ne sono abbastanza sicuro, cercheranno.
È un grosso problema. Non solo l'organizzazione deve rimuovere i tuoi dati se lo dici, ma se hanno addestrato algoritmi su tali dati, tecnicamente dovrebbero anche riqualificare gli algoritmi. È un ordine elevato, devo dirtelo, ma sta arrivando, sta scendendo dal luccio, sarà una realtà a maggio del prossimo anno e ci sono anche altri regolamenti. Il Canada ha approvato la legge antispam, il che ha un impatto sul modo in cui trattiamo le informazioni personali. La neutralità della rete sta scendendo dal luccio adesso, ovviamente è stata sradicata, essenzialmente, e questo cambierà alcune cose. Ci sono molte di queste norme molto serie che stanno interessando le aziende in tutto il mondo e in tutto il mondo, per le quali le grandi organizzazioni devono davvero iniziare a pensare e prepararsi.
Per questo, abbiamo William McKnight online dei McKnight Consulting Group per farci sapere cosa ne pensa e perché il GDPR è, in effetti, solo la punta dell'iceberg. Detto questo, William, te lo consegnerò. Portalo via.
William McKnight: Grazie, Eric, e come dici tu, come dice la diapositiva, questo GDPR è forse la punta dell'iceberg - questo è certamente quello che pensiamo. È importante che ci immergiamo nel GDPR in profondità perché penso che rappresenti un'ondata di regolamentazione che sta scendendo dal tubo che dobbiamo affrontare. Fortunatamente, Eric, ci sono alcuni standard ragionevoli in merito a quel diritto all'oblio, che vedrò. Tuttavia, nella mia passeggiata quest'anno parlando del GDPR, penso che ci siano molte aziende, in particolare quelle statunitensi, che non sono ancora preparate per questo. È decisamente caldo e qualcosa a cui sicuramente non stavamo pensando un anno fa, quando erano solo in prova alcune cose in mongolfiera, ma ora è un regolamento e dobbiamo affrontarlo, come hai detto, Eric, May sta arrivando nel modo giusto quassù - quindi non così lontano.
Un po 'su di me, vengo a questo dal punto di vista dei dati. Per farvi sapere, sono una persona di dati per tutta la vita e consulto ormai da 19 anni nello spazio dei dati, e il GDPR riguarda molto i dati. Presenterò qui una soluzione, mentre entrerò nella mia presentazione sulla governance dei dati. Ovviamente, ho fatto molti programmi di governance dei dati e penso che se sei in linea con quel concetto, stai facendo un po 'di governance dei dati, molte aziende là fuori saranno abbastanza lontane in realtà, per quanto riguarda la conformità al GDPR, ma ci sarà molto, e francamente, che sono dietro alla governance e quindi molto indietro nei preparativi del GDPR. Impostiamo il livello qui e comprendiamo di cosa si tratta il GDPR e man mano che approfondiamo la conversazione, entreremo in più delle ramificazioni del GDPR sulla vita aziendale mentre proseguiamo nel nuovo anno e oltre.
Il GDPR è per la privacy dei dati dei cittadini dell'Unione Europea. È un regolamento - significa che ha i denti, significa che è esecutivo. Non è qualcosa che viene presentato come un suggerimento: è già successo e ora è stato trasformato in un regolamento con sanzioni. Mi piace iniziare con le penalità perché questo attira davvero l'attenzione della gente. Queste sono rigide penalità. Ci sono due penalità, c'è il 2 percento delle entrate annuali mondiali o 10 milioni di euro se un'azienda non adempie agli obblighi di sicurezza, ma tutto il resto, in violazione di altre disposizioni - e ci entrerò - è il 4 percento. Lo senti bendato per circa il 4 percento. E comunque, è il 4 percento o 10 milioni di euro, a seconda di quale sia maggiore. Questo è molto rigido. Le persone sono molto serie su questo. Applicare a partire dal 25 maggio 2018: questa è una data chiave, è allora che possono iniziare gli audit, è allora che puoi ottenere la tua multa. Sicuramente vuoi essere pronto per questo. Ogni azienda con cui ho a che fare, ho a che fare con molte società Global 2000, sono da qualche parte nella loro preparazione al GDPR, alcune più di altre e alcune devono essere più di altre a questo punto. Certamente, sarà difficile incontrare quella data per alcuni, e vedremo.
È il regime di conformità alla privacy dei dati più completo che abbiamo visto finora. Quando vedremo qualcosa di più rigido o qualcosa che colpisce forse la popolazione degli Stati Uniti più direttamente, chi lo sa, ma è là fuori e sicuramente deve essere rispettato. Richiede alle organizzazioni di capire quali informazioni personali dei cittadini dell'UE - conosciamo bene le informazioni personali - informazioni identificabili personalmente, sicurezza sociale, numero di telefono, indirizzo, le cose che possono identificare in modo univoco una persona o identificarla in modo abbastanza univoco. Quello che hanno e come lo stanno usando. Questo significa inventario. Questo significa regolamentazione all'interno delle proprie aziende su questo tipo di dati. A proposito, gli Stati Uniti non hanno alcun tipo di legge nazionale sulla protezione dei dati. Gli Stati Uniti sono sempre stati - dirò dietro, per metterlo in prospettiva - dietro l'Europa in termini di questo tipo di regolamentazione, e questo continua. Questo continua con il GDPR, è abbastanza evidente. Alcuni di voi potrebbero conoscere lo scudo per la privacy, ci si potrebbe chiedere a tale proposito. Ci sono circa tre o quattro disposizioni nel GDPR che hanno qualsiasi sovrapposizione con lo scudo per la privacy, ma ci sono un centinaio di disposizioni nel GDPR, quindi è molto più di questo e ovviamente è ancora in atto e ha a che fare con lo scambio di dati tra USA e UE solo, sebbene sia importante.
Ancora una volta, mi piace iniziare con i numeri. Hai sentito delle multe, e come ti prepari per questo. Budgeting per GDPR e fare un po 'di questo, questo dipende da un paio di fattori. La quantità di dati PII raccolti sui cittadini dell'UE. Se non ne raccogli nessuno, OK, probabilmente sei conforme e non devi occupartene, ma probabilmente sei su questa chiamata perché ne raccogli da qualche parte. La dimensione della tua azienda e la maturità della governance dei tuoi dati, che come ho detto prima, potrebbe essere in avvicinamento a ciò che devi fare per rispondere al GDPR. Puoi aspettarti fino a diversi milioni di dollari o euro, a seconda dei casi, per la conformità. Tuttavia, vogliamo, non vogliamo semplicemente rispettare il GDPR, selezionare la casella, ovviamente dobbiamo farlo. Spero che non ti trovi in quella situazione più sporca in cui sei solo alla disperata ricerca di quella casella. Cerca i vantaggi aziendali perché molte delle cose che fai per supportare il GDPR fanno bene alla tua attività. La governance dei dati fa bene alla tua azienda. Quando si tratta della quantità di dati PII, alcuni sono più importanti di altri, alcuni saranno esaminati più di altri, come la salute relativa ai dati, saranno regolati in modo molto più rigoroso ai sensi del GDPR rispetto ad altri tipi di dati e richiederanno la conformità con obblighi aggiuntivi come lo svolgimento di valutazioni d'impatto sulla protezione dei dati che, ovviamente, aumentano il budget.
Un po 'lì sul budget. Nel caso in cui ti trovi nel Regno Unito o negli Stati Uniti e ti stai chiedendo come ciò ti influenzi, il GDPR colpisce il Regno Unito, che è ancora nell'UE, tra l'altro, fino al 29 marzo 2019 e il cui governo ha indicato che qualcosa come il GDPR continuerà dopo quella data perché "è una buona idea". Le aziende del Regno Unito devono conformarsi ad essa. I dati dei cittadini del Regno Unito sono certamente sul tavolo per questo. Nel caso in cui non sia chiaro, ci sono aziende con sede negli Stati Uniti, se trattate nell'UE, con i dati dei cittadini dell'UE, questo vale certamente per voi. Ciò ha conseguenze sull'architettura dei tuoi dati perché potresti finire per dover bloccare i tuoi dati UE da qualsiasi altra cosa e trattarli in modo diverso. Colpisce l'analisi, come diceva Eric, nel modo in cui compilate tali analisi e così via. Ora può essere più difficile avviare qualsiasi tipo di analisi a livello globale e di concetto. Potrebbero diventare più localizzati a seguito del GDPR.
Cosa c'è nelle disposizioni? Esistono standard di protezione dei dati. Tutto ciò impone la crittografia dei dati a riposo e in movimento. Parlerò della crittografia dopo. Esistono standard di notifica della violazione dei dati. Non più di questo in attesa di mesi, in attesa di quartieri per far sapere a tutti. Penso che ce n'era uno grosso l'altro giorno e abbiamo scoperto, "Oh, è successo un anno fa". Niente di tutto ciò con il GDPR - hai 72 ore. È una politica di nome e vergogna. Spero che nessuno ci arrivi, chiaramente alcune persone lo faranno. Le violazioni continueranno, anche dopo il GDPR, ovviamente. Esistono processi per monitorare la posizione e la qualità dei dati. Suona familiare? Questo è davvero il cuore della governance dei dati. Spero che tu abbia qualcuno di quelli che vanno.
I cittadini dell'UE hanno il diritto all'oblio, come ha detto Eric. Ci sono alcuni standard di ragionevolezza in questo, Eric. Non è necessario cancellare tutto necessariamente, se si può ricontattare quel cliente, quel dipendente, è consentito conservare determinati aspetti dei propri dati personali. Tuttavia, quei cittadini hanno il diritto all'oblio, ma non ci possono essere sforzi sproporzionati - questa è la lingua - su di te o danni alla società, è su di te che stai cancellando quei dati. Non voglio minimizzarlo, ma devi anche rilasciare copie dei dati personali che sono stati conservati e puoi ottenere tali dati solo con il consenso. Tale consenso deve essere dato da persone di età minima per concedere tale autorizzazione. È un boccone lì, ma sta dando ai cittadini molti diritti sui loro dati. Questa è la portabilità proprio lì, nel caso in cui dovesse mai capitare. Il diritto all'oblio, chiaramente, ma anche - e qualcosa che non è sulla mia diapositiva che è piuttosto importante - è che l'interessato ha il diritto di non essere soggetto a una decisione basata esclusivamente sul trattamento automatizzato. A cosa ci stiamo muovendo duramente? Elaborazione automatizzata, accettazione del prestito, offerte che offriremo, tutto ciò deve essere elaborato in termini di come andrà a finire e quanto lontano andrà. Ciò che essenzialmente sta dicendo, è la trasparenza sul perché sono stato respinto, perché sono stato trattato in un certo modo da questa azienda. Questo è un momento, concesso a un cittadino dell'UE.
Ovviamente, ci sono alcune ramificazioni su come facciamo affari e speriamo che tu stia vedendo che il GDPR non è un problema IT, non solo un problema IT. Tutti questi processi aziendali sono coinvolti. Coinvolgerà persone provenienti da tutta l'azienda. Si consiglia la nomina di un responsabile della protezione dei dati per quelle aziende con più di 250 dipendenti e si dispone di "matematica critica con dati PII UE". È possibile decidere autonomamente se si dispone di tale matematica critica, a volte è ovvio, a volte no. Ma c'è un nuovo ruolo - non deve essere un ruolo a tempo pieno, la persona può avere altre responsabilità, ma non lo so - in alcune società di medie e grandi dimensioni, penso che aderire al GDPR essere vicino a un ruolo a tempo pieno. Direi che inizia così e vedi se riesci a gestirlo. Soprattutto nel corso del prossimo anno, quando metterai insieme le tue azioni sul GDPR, una volta stabilita, forse potresti rallentare il lavoro su questo, ma ci vorrà un po 'di tempo per alcune aziende. Consentire alle persone di vedere i propri dati e la portabilità dei dati, come ho detto prima.
Non è tutto nuovo, a proposito, ma il diritto all'oblio è stato effettivamente là fuori, che ci crediate o no. Le attuali norme dell'UE prevedono già il diritto di cancellare o rendere disponibili i dati personali. Tuttavia, ora fa parte del GDPR, verrà applicato in modo molto più ampio. Crittografia dei dati: crittografa i dati a riposo. Utilizza i metodi di crittografia standard, non utilizzare la crittografia propria o non standard. AES è uno che raccomandiamo parecchio. Utilizzare chiavi di crittografia crittograficamente sicure. Cambia quelle chiavi periodicamente. Impedisci anche la perdita di quelle chiavi. Queste sono solo buone pratiche di crittografia, ma ora stanno diventando all'avanguardia con GDPR. Qui sta il problema: ho solo colpito la punta dell'iceberg. Ci sono più disposizioni, ovviamente, da esaminare, ma quelle sono le principali.
Ora, soluzione. Data governance, il framework per la tua conformità, almeno questa è la prospettiva che sto proponendo qui. Fortunatamente, esiste una disciplina attiva benestante che può e fa, quando è matura, soddisfare la maggior parte dei requisiti, ed è la governance dei dati - ovviamente lo sto dicendo. I programmi di governance dovrebbero avere un glossario dei dati, e qui sto usando il glossario dei dati in senso generico per indicare la documentazione generale per i vostri processi. Questo è fondamentale per soddisfare le esigenze di inventario del GDPR, che, come abbiamo visto, sono piuttosto immense. Il programma, il programma di governance, dovrebbe facilitare i protocolli di sicurezza dei dati - e lo sottolineo perché non è qualcosa che molti programmi di governance dei dati stanno facendo in questo momento, ma penso che sia logico che ciò avvenga perché sono seduto sul programma che sta determinando chi sono gli imprenditori? Chi ha bisogno di vederlo? E quindi il prossimo passo è quello di concedere tali autorizzazioni. Questo deve essere centralizzato, deve essere formalizzato. Devono essere utilizzate politiche interne. Stewardship deve essere assegnato a tutti gli elementi per fornire input a tutto quanto sopra. La governance dei dati può anche essere il facilitatore dell'ingegneria dei processi aziendali, che sarà richiesta.
Prima di lasciare questa diapositiva, nel perseguire l'evitamento delle pesanti multe, le aziende abbracceranno le solide pratiche commerciali come sottoprodotto. Mi piace dire che è più di un sottoprodotto, ma in realtà è solo un buon affare che può condurti in nuovi posti dal punto di vista aziendale. Certamente, avrai un sacco di efficienze per fare tutte le iniziative su tutta la linea, se hai una buona governance dei dati, questo è quello che ho visto negli anni. Con l'aggiunta di alcune di queste cose che sto citando, alla governance dei dati, miglioreranno solo. Nell'ingegneria dei processi aziendali ti consigliamo di porre queste domande su tutta la linea, colpire ogni area di business. Che tipo di dati raccogliamo sui nostri clienti dell'UE? Non le leggerò tutte. Alcuni dei principali qui. Chi ha bisogno di vedere questi dati e viene seguito? Chi è il responsabile dei dati per tali dati? Chi è la mia persona di riferimento nel settore? Questo è importante: condividiamo questi dati con terze parti? Solo perché lo dai a una terza parte, non scusa la tua responsabilità in merito a quei dati - sono ancora i tuoi dati, sono ancora i dati che hai raccolto. Ci sono molti contratti di terze parti ora sottoposti a revisione approfondita a seguito del GDPR. Questi sistemi hanno fallimenti deterministici? Significa che quando falliscono, falliscono in un percorso che abbiamo predeterminato, o hanno semplicemente fallito, si schiantano, bruciano e iniziamo da zero scavando su di esso? Sarà ovviamente molto meglio. È già una buona pratica, ma ovviamente molto meglio per il reverse engineering di alcune di queste cose, se si hanno grandi guasti deterministici nel proprio sistema.
Conservazione dei dati, abbiamo parlato della conservazione dei dati per sempre. Molte aziende hanno politiche, ma non tutte le seguono. Ovviamente, notoriamente nel settore sanitario e finanziario, vogliamo conservare i dati, dobbiamo conservare i dati per un certo numero di anni. Alcuni degli analisti di queste aziende che conservano i dati per i sette anni o cose del genere, dicono: "Oh, dopo quel periodo voglio ancora quei dati". Alcuni degli avvocati di queste società dicono: "Ma dobbiamo liberarcene a fini di responsabilità "e così via. Questo non può semplicemente limitarsi a rimanere lì, come un problema per i logger più con GDPR. Dobbiamo avere il periodo di conservazione, averlo seguito in modo coerente all'interno dell'organizzazione.
E infine, come ti mobiliti per una violazione dei dati? Questi scenari peggiori che potrebbero accaderti. Ovviamente, stiamo cercando di prevenirli, ma cosa succede se succede? In che modo fai guerra e assicurati di seguire ora le disposizioni del GDPR nella tua risposta? Sono un architetto di dati, penso all'architettura dei dati. Se sei una società con sede negli Stati Uniti con operazioni nell'UE, vale a dire dati dei cittadini dell'UE: li stai raccogliendo, dovrai considerare se applicare gli standard di protezione dei dati a tutti i dati o solo ai dati dell'UE. Sì, ho clienti che stanno prendendo quella decisione ora. Come buona pratica commerciale, potrebbero voler portarlo negli Stati Uniti, ma potrebbero sentirsi come se avessero tempo, però, ma ciò porta al numero due del proiettile. Potrebbe essere necessario escludere i dati dell'UE dai sistemi statunitensi se non è possibile garantire che i sistemi statunitensi gestiranno i dati in modo appropriato. Questi dati separati ai fini dell'analisi? Le analisi sono valide anche se stai provando a farle attraverso il paese? A volte sì, a volte no, giusto? Potresti scoprire che la tua analisi verrà disattivata di conseguenza.
Come ho detto prima, l'intelligenza artificiale gioca qui perché, ovviamente, possiamo usare l'IA per trovare tutti i dati, aiutarci a trovare tutti i dati, ma se usiamo l'IA nelle nostre interfacce dei clienti, ora dobbiamo avere trasparenza con i nostri clienti interfacce e che non è mai stato il seme forte dell'IA. Per provare a dire a un cliente, "Sei stato rifiutato perché blah, blah, blah", quando in realtà era AI. Questo ora deve essere fatto. Dobbiamo capire come funziona l'IA, quali sono i fattori? Non posso semplicemente sedermi lì e essere più una scatola nera per te. Cosa facciamo adesso? Crea la tua scheda GDPR. Ti suggerisco di avere il tuo responsabile della privacy senior o se hai un responsabile della protezione dei dati, ovviamente quella persona. I responsabili della governance dei dati, del rischio operativo e / o della conformità, a seconda dei casi, il responsabile dell'IT, CIO se questa è la persona. Se hai una persona di gestione modificata, sarebbe un'ottima persona lì dentro. Sono solo i capi di alcuni dei dipartimenti più importanti della tua azienda e anche il responsabile delle risorse umane perché la formazione sulla privacy ora sarà enorme. Ognuno riceverà una formazione sulla privacy o dovrebbe ricevere una formazione sulla privacy quando si imbarcano su un'azienda, anche i consulenti.
Se non stai facendo queste cose che vedi qui, dovrai muoverti più velocemente di quanto vorresti rispettare la scadenza. Devi anche iniziare a sperare di non essere uno dei primi ad essere controllato perché, francamente, c'è molto lavoro qui se inizi da zero e gestisci molti dati dei cittadini dell'UE. Assumi il tuo DPO, fai l'inventario dei tuoi dati e dei tuoi processi. Costruisci quel piano per la governance dei dati, portalo da dove si trova, dove deve essere. A seconda dei casi, potresti avviarlo. Crea le tue politiche sulla privacy e le tue informative. Le politiche sulla privacy sono interne. Gli avvisi sulle politiche diventano esterni. Stiamo assistendo a una cultura che sta iniziando a essere creata ora attorno alle comunicazioni politiche. Molti paragoni sono stati fatti e molte formulazioni accurate sono state fatte, attorno a questi avvisi politici. Carta un controllo di conformità GDPR per tutti i sistemi, compresi i nuovi sistemi. Potrebbe essere necessario sequenziarli e eseguirli in una sorta di ordine di importanza, ma questo è un altro modo per affrontare il problema. Guarda i sistemi e cosa dovrebbero fare e come gestiscono questi dati.
Cosa segnala il GDPR? Questo è ciò di cui siamo qui per parlare un po 'di più. Non vedo l'ora di quello che Kim ha da dire al riguardo. Il GDPR è uno spostamento dei controlli sulla privacy dei dati verso la regolamentazione. È una tendenza verso la trasparenza, lo afferma nelle disposizioni. Stiamo creando questa cultura di avvisi sulla privacy, di cui ho parlato, è una cosa adesso. Vedremo conferenze sugli avvisi sulla privacy e così via. Il passaggio al GDPR è verso i diritti fondamentali delle persone. Le domande aperte saranno risolte. Ci sono domande chiaramente aperte, ne ho lasciate alcune sul tavolo qui per noi. Nessuno ha la risposta. Stanno per essere risolti. Una tendenza verso una maggiore comprensione da parte degli individui sui loro dati e su come vengono utilizzati. Penso che ciò abbia aumentato la consapevolezza tra la popolazione dell'UE, quanto all'importanza dei loro dati e vedendolo come uno dei loro beni personali, che devono gestire di più. Ecco alcuni dei primi segnali che ho visto, ed Eric, te lo restituirò ora.
Eric Kavanagh: Va bene, lasciami consegnare le chiavi a Kim, che può condividere un po 'della sua prospettiva, ma penso che sia stata una buona panoramica, William, e tu abbia centrato i punti chiave - vale a dire che questo sicuramente scenderà dal luccio e dobbiamo stare tutti molto attenti, francamente. Detto questo, lasciami consegnare le chiavi a Kim e puoi condividere il tuo schermo e portarlo da lì.
Kim Brushaber: Ehi, mi senti?
Eric Kavanagh: ti sento.
Kim Brushaber: Fantastico. William ha trattato alcune delle stesse cose che ho intenzione di trattare, ma penso che valgano di nuovo la pena perché sono davvero importanti. Penso che quando vengono approvati nuovi regolamenti, è davvero bello avere molte diverse prospettive e interpretazioni delle persone su di esso in modo che qualcosa accenda la tua mente e ti permetta di diventare ancora più conforme. Sono incoraggiato da tutte le persone che partecipano a questa chiamata che vogliono saperne di più perché penso che il 25 maggio potrebbe esserci un sacco di panico per le aziende che vengono inseguite, non rispettando.
Mi chiamo Kim Brushaber, sono senior product manager di IDERA. Ho diversi prodotti sotto di me che aiutano con la conformità al GDPR e altre normative. Ho intenzione di saltare ad alcune delle informazioni. Inizierò con alcuni fatti e alcune cifre e poi approfondirò il GDPR e in particolare come i nostri strumenti possono aiutarti. Un dato è che oltre 5 milioni di record di dati vengono persi o rubati ogni giorno. Non sentiamo questo riportato sulle notizie, non sentiamo che proviene da altri luoghi, ma ci sono oltre 5 milioni di record di dati che vengono rubati tutto il tempo, proprio sotto di noi. Il numero mediano di giorni in cui gli attaccanti rimangono inattivi nella tua rete è di 200 giorni. Molti sistemi sono già infiltrati da persone che - con intenzioni maligne - stanno solo aspettando l'opportunità di capitalizzare le tue informazioni, principalmente nell'ambito della sicurezza e dei certificati, ma stanno solo aspettando che il loro momento precipiti. Ecco perché è diventato sempre più importante gestire la sicurezza dei dati. Si prevede che il costo medio della singola violazione dei dati nel 2020 supererà i 150 milioni di dollari, poiché più infrastrutture aziendali saranno collegate alle risorse online e man mano che aumenteranno le cose nel cloud. Questo è un buon numero di budget se sei davvero preoccupato per la sicurezza dei dati, da dare al tuo team esecutivo, per dire loro che questa è una cosa seria e potrebbe costarci un sacco di soldi per il futuro.
Esaminerò brevemente la violazione dei dati Equifax perché penso che sia stata la più grande violazione dei dati del 2017, per dipingere il quadro di ciò che è come attraversarlo. La violazione ha interessato 145, 5 milioni di clienti. I dipendenti hanno riconosciuto il problema di sicurezza con la loro applicazione web due mesi prima che si verificasse la violazione. I dipendenti stavano dicendo: "Questo è un problema". E anche un po 'prima era quando la patch è stata effettivamente rilasciata. Ci è voluta un'intera giornata una volta che la violazione si è verificata per rispondere ad essa e portare l'applicazione web offline. Poiché Equifax non aveva un protocollo di sicurezza dei dati definito, ci sono voluti molto tempo per capire anche cosa stesse succedendo e quindi essere in grado di portare il sistema offline. Sei settimane dopo la violazione, il pubblico è stato avvisato. Con il GDPR - come abbiamo detto sopra e lo dirò di nuovo - devi riferire entro 72 ore e Equifax avrebbe avuto le mani legate e non sarebbe stato in grado di soddisfare tale conformità perché avevano aspettato sei settimane per segnalarlo. La comunicazione per rispondere alla violazione includeva un sito Web che non era nemmeno di proprietà di Equifax. Gli stessi Equifax stavano ritwittando questo tweet che non era nemmeno nel loro dominio - avevano invertito alcune delle parole in giro. Fortunatamente non era un sito malevolo a capitalizzare su questo, ma ovviamente non erano preparati. Non avevano un piano in atto, e questo divenne molto consapevole nell'arena pubblica. Equifax non è il solo: finora nel 2017 sono stati registrati oltre 25 attacchi a profilo cyber molto elevato e potremmo ancora trovarne di più entro la fine dell'anno. Le aziende hanno davvero bisogno di iniziare a prenderlo sul serio perché le persone sono là fuori e se dai loro un motivo per voler venire da te, è meglio che tu sia pronto a gestirlo.
Alcuni altri dati e fatti relativi a come le persone guardano alla sicurezza dei dati. Entro il 2020 ci saranno 30 miliardi di dispositivi connessi a Internet tramite le nostre case, i nostri dispositivi indossabili, i nostri telefoni, i nostri tablet e chissà cos'altro potrebbe ancora venire negli anni a venire. Ci sono molti e molti dispositivi che rimangono vulnerabili a questi attacchi. Il quarantanove per cento degli americani ritiene che le proprie informazioni personali siano meno sicure di quanto non fossero cinque anni fa. Il 73% dei consumatori in America desidera che le aziende siano trasparenti sui propri dati personali. Il settantotto percento delle persone afferma di essere consapevole dei rischi nel fare clic su collegamenti ed e-mail sconosciuti, ma fa comunque clic su tali collegamenti, vale a dire oltre i tre quarti della nostra popolazione e continua a fare clic sui collegamenti anche se sapere che potrebbe essere un problema. L'88% degli utenti di Internet sta cercando attivamente di ridurre al minimo, anonimizzare e nascondere la visibilità delle proprie impronte digitali. Al mio patrigno piace uscire e creare nomi falsi quando compila i moduli perché pensa che lo renda anonimo, ma poco sa che anche il suo indirizzo IP viene monitorato. C'è molta preoccupazione individuale e questo è ciò che genera molti regolamenti GDPR e probabilmente altri regolamenti che verranno a seguire.
Per quanto riguarda i fatti del settore della sicurezza dei dati, il 90 percento dei record di dati sulle violazioni nel 2016 proveniva dal governo, dalla vendita al dettaglio e dalla tecnologia. Il 43% degli attacchi informatici ha attaccato piccole imprese. Se pensi: "Oh, io non sono un ragazzo grosso, non verranno a cercarmi", ci sono ancora, quasi la metà di loro insegue le piccole imprese. Il settantacinque percento del settore sanitario è stato infettato da malware nell'ultimo anno. Il settanta percento delle compagnie petrolifere e del gas statunitensi è stato violato nell'ultimo anno. Questo è un notevole impatto su vari settori diversi che sono attivi e funzionanti, e questo numero salirà solo da qui.
Dal punto di vista esecutivo, il 90 percento dei CIO ammette di sprecare milioni di dollari in inadeguata sicurezza informatica. Il novanta percento afferma anche di essere stato attaccato o si aspettano di essere attaccato da ragazzi che si nascondono nella loro crittografia. L'ottantasette per cento ritiene che i propri controlli di sicurezza non riescano a proteggere la propria attività. L'85% dei CIO si aspetta che un uso improprio criminale di chiavi e certificati peggiori. Questo è un numero enorme di aziende che stanno esaminando questo problema di sicurezza dei dati e la realtà è che molti di loro non hanno soluzioni molto valide per essere in grado di affrontarlo quando succede, anche se credono che succederà.
Quando ne esaminiamo la preparazione, nel 2014 il 70 percento dei millennial ha ammesso di aver introdotto applicazioni esterne nella propria azienda in violazione delle politiche IT. Il settanta percento lo ha ammesso - probabilmente c'è anche un numero maggiore di quello, che in realtà lo ha fatto. Il cinquantadue percento delle organizzazioni che hanno subito attacchi informatici di successo nel 2016 non ha apportato modifiche alla loro sicurezza nel 2017. Anche se sono stati attaccati una volta, non sono ancora andati a puntellare i muri - sono vulnerabili quanto loro erano prima dell'attacco. Questo pone davvero la domanda: cosa devono fare le aziende per iniziare a prepararsi a queste cose? Il 38% delle organizzazioni globali afferma di essere pronto a gestire un sofisticato attacco informatico. Va bene - quasi la metà è lì, e io sono generoso con quello, siamo davvero solo al terzo, ma c'è ancora almeno la metà che dice: “Non sono pronto. Se venissi attaccato, non sarei pronto e gli hacker lo sapranno. ”Il 38% delle organizzazioni ha un piano di risposta agli incidenti informatici. La maggior parte delle aziende si trova nello stesso secchio di Equifax, dove non sanno cosa faranno. Se riescono a farlo, dovranno reagire e mettere a punto queste cose al volo, e regolamenti come il GDPR dicono: “Devi averle sul posto. Devi averli pubblicati. Devi dimostrarlo ai revisori della sicurezza. ”Speriamo che con impatti del genere, con regolamenti del genere, saremo in grado di anticipare questa curva e invece di essere reazionari, possiamo essere proattivi nelle nostre attività.
Parliamo un po 'di GDPR. Parte di questo William ha già trattato, ma ho intenzione di andare avanti e di nuovo, proprio dal mio approccio, dalla mia voce, dalla mia prospettiva. Molte aziende con cui parlo, dicono: "Sono negli Stati Uniti, perché dovrei preoccuparmi anche di questo regolamento dell'UE?" Il fatto che più persone non ronzano e più persone non ne parlano pensano che siano interessati solo i membri dell'UE, ma ti chiedo, se dai un'occhiata a questo elenco, raccogli qualcuno di questi dati dai membri dell'UE? Se raccogli una qualsiasi di queste informazioni, sei soggetto ai limiti del GDPR, nonché alle sanzioni in caso di non conformità. Ti darò un secondo per assorbirlo e capirlo. Come William ha menzionato in precedenza, queste sono le sanzioni e le sanzioni di cui all'articolo 83 del GDPR. All'inizio potresti dare uno schiaffo sulla mano, un po 'di avvertimento dicendo: “Ehi, mettiti insieme. Metti questo in atto. ”Ma se hai una breccia davvero grande - e a seconda di quanto sia grande - torneranno da te per la restituzione, ed è un numero significativo. Non 10 milioni, ma 20 milioni di euro o il 4 percento del fatturato / entrate dell'anno precedente. Sono un sacco di soldi. Questo è un sacco di budget per i tuoi team esecutivi e dire: "Questo è qualcosa che dobbiamo iniziare a prendere sul serio e su cui dobbiamo agire".
Consentitemi di esaminare un po 'i principi del GDPR come indicato nell'Articolo 5. Una delle cose che dicono è che i dati personali dovrebbero essere trattati in modo lecito, equo e trasparente. Ciò significa che il pubblico vuole sapere cosa stai facendo con i loro dati. Sii trasparente al riguardo e deve essere pubblicato. La maggior parte delle persone non legge i termini e le condizioni, ma si tratta di nuove informazioni che devi essere in grado di comunicare, in modo da poter dire loro: "I tuoi dati vengono gestiti in modo appropriato". I dati personali devono essere raccolti per un determinato, scopi espliciti e legittimi. Ciò significa che speriamo di poter eliminare parte di questo spam, in cui le aziende dicono che stanno raccogliendo informazioni per un quiz che ti dice quanto potresti essere interessante, e in realtà stanno prendendo i tuoi dati e vendendoli a qualcun altro, per poterlo utilizzare per qualunque scopo. Le aziende ora devono essere molto più responsabili e dire esattamente per cosa stanno usando le tue informazioni. Dicono anche che i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario. A molte aziende piace prendere tutte le loro informazioni e metterle in un grande pool di dati e poi capire cosa vogliono fare con le informazioni in un secondo momento e raccolgono molto più del necessario. Questo sta dicendo che non puoi collezionarlo e usarlo da qualche altra parte. Inoltre non puoi semplicemente raccogliere tutto e sperare che in seguito potresti trovarlo utile. Devi essere molto esplicito sul motivo per cui stai raccogliendo le informazioni e devono essere pertinenti ai dati che stai raccogliendo.
Anche i dati personali devono essere accurati e aggiornati. Devi dare agli utenti modi per aggiornare i loro dati, una volta raccolti su di essi; devono poter tornare indietro e dire: "Sai, ho avuto questa opinione su un sondaggio che mi hai chiesto su informazioni di identificazione personale e voglio tornare indietro e voglio cambiarlo e aggiornarlo ora". E tu hai per dare loro un modo per poterlo fare. I dati personali devono essere mantenuti in forma che consenta l'identificazione degli interessati per un periodo non superiore a quello necessario. Tornando al punto di William, che non puoi raccogliere queste informazioni per sempre: devi inventare ciò che ritieni sia valido e necessario e, successivamente, devi cancellare i dati. Deve inoltre essere elaborato in modo tale da garantire la sicurezza adeguata, compresa la protezione da elaborazioni non autorizzate o illegali, perdita accidentale, distruzione o danno.
Come ho detto prima, è ora di prendere sul serio questo problema, fermando quelle violazioni dei dati perché non solo potresti avere un pregiudizio che arriva alla tua azienda sotto forma di violazioni dei dati e la perdita di entrate e il costo di sostenere i tuoi processi, ma potresti anche avere una pila di multe schiacciate su di te dal GDPR. È tempo di iniziare davvero a prendere molto sul serio e penso che, con l'entrata in vigore del GDPR, le aziende si troveranno ad affrontare la dura realtà e fortunatamente quelli di voi che sono in call oggi possono iniziare a pensare a questo e sapere come hai intenzione di mettere in pratica queste cose.
Il GDPR parla anche molto di quali siano i diritti delle persone; cerca davvero i singoli utenti. La prima cosa è il diritto di accedere ai tuoi dati personali. Gli utenti devono sapere quali informazioni hai raccolto su di loro, per quanto riguarda le informazioni personali identificate, e devi dare loro un modo per poter accedervi. C'è anche un diritto alla rettifica, che è un modo elegante per dire: "Devo essere in grado di correggere le informazioni che hai su di me". Il diritto alla cancellazione - che, ancora una volta, molte persone stanno definendo il diritto a essere dimenticato - se un individuo dice: "Sai cosa, non voglio più che tu sappia che sono un collezionista di fumetti di tipo super divertente, devi liberartene. Ho alcuni amici che mi stanno prendendo in giro per questo e mi cancellano completamente dalla tua lista ", devi essere in grado di farlo. Esiste anche il diritto alla limitazione dell'elaborazione e ciò significa che gli utenti possono limitare il modo in cui le loro informazioni vengono elaborate. Possono dire: "Non mi dispiace che tu prenda le mie informazioni perché sto acquistando una nuova auto, ma non le uso per inviarmi e-mail e inviarmi spam su nuove offerte ogni volta che vengono rilasciate nuove auto." C'è anche il diritto alla portabilità dei dati, il che significa che gli utenti dovrebbero essere in grado di ottenere una copia dei propri dati e di poterli portare altrove. Molte organizzazioni raccolgono informazioni e queste informazioni hanno un fattore di viscosità, e ora le persone possono dire: "Sai cosa, voglio che tu prenda tutte le mie informazioni e ora voglio che tu le dia al tuo concorrente, così posso spostarle al di sopra di."
Ci sono molte cose a cui pensare da una potenziale organizzazione su come sarai in grado di farlo e quali informazioni vuoi essere in grado di raccogliere e inviare. C'è anche il diritto di opporsi e gli utenti possono opporsi anche al trattamento dei propri dati. Il diritto a non essere soggetto a una decisione basata esclusivamente sull'elaborazione o la profilazione automatica. Questo ha un impatto significativo sul marketing B2B: se sei seduto lì e stai provando a test A / B e cercando di identificare il Colorado sarà più influenzato da un messaggio rispetto alla California, beh, hai appena fatto la profilazione, guardando uno stato contro un altro, e devi vedere come un individuo dovrebbe essere in grado di rinunciare a questo.
Dato che abbiamo alcune cose spaventose che stanno arrivando per quanto riguarda la violazione dei dati e il modo in cui le persone guardano i loro dati e abbiamo questo enorme regolamento che viene scaricato sulle nostre spalle, ora sono qui per darti la soluzione su come IDERA può aiutare. L'articolo 15 parla di come controllare l'esposizione ai dati personali. Devi sapere chi sta accedendo ai tuoi dati. Come lo stanno usando. Quanti dati sono stati elaborati e il Compliance Manager dei prodotti SQL, di cui sono il product manager, ti consente di vedere chi accede ai tuoi dati e come. SQL Compliance Manger è per le soluzioni SQL Server. Se si dispone di un database SQL Server, è possibile connettere questo prodotto per essere in grado di controllare e guardare queste informazioni, in modo da poter essere conformi al GDPR e sapere esattamente come viene utilizzato. Puoi anche vedere le violazioni dei dati prima che si verifichino e ne parlerò in un'altra diapositiva. C'è anche un articolo che dice: “Ho bisogno di un registro delle attività di elaborazione. Devo registrarmi e devo monitorare le operazioni e devo sapere chi sta elaborando i dati personali e chi ha accesso a tali sistemi. ”SQL Compliance Manager mantiene il controllo di server e database, inclusi sicurezza, DDL, DML e definisce dati sensibili . SQL Compliance Manager ti consente di controllare l'accesso alla sicurezza e registrare un tentativo, in modo da poter vedere chi sta accedendo alle informazioni, così come chi accede, se si tratta di un utente privilegiato, che si tratti di un utente noto o se potrebbe essere un utente malintenzionato.
L'articolo 33 parla della notifica di violazione dei dati personali a un'autorità di controllo. Devi essere in grado di rilevare tali violazioni; è necessario disporre di registri per poter valutare l'impatto; devi sapere con quanta rapidità hai intenzione di rimediare. Per fare ciò, SQL Compliance Manger ti consente di impostare avvisi sui tuoi database affinché possano vedere chi ha accesso ai tuoi dati sensibili, quando vi hanno effettuato l'accesso, a cosa hanno avuto accesso. Consente inoltre di escludere i normali utenti privilegiati dal controllo. Se hai un amministratore di sistema o un amministratore di rete che sai che accederà e non vuoi ostruire i tuoi rapporti, puoi escluderli e dire: "Dammi tutto ciò che accade al di fuori di tali informazioni". Permette per identificare rapidamente se qualcuno sta accedendo ai tuoi dati in modo dannoso e puoi avere avvisi in atto, che ti consentono di sapere il momento in cui iniziano a verificarsi e quindi il momento in cui si accede alle informazioni, per essere in grado di analizzarle, in modo che tu non devi aspettare un giorno intero per capire cosa sta succedendo, come ha fatto Equifax.
C'è anche un articolo che parla di protezione dei dati e valutazione dell'impatto. Questo sta valutando i tuoi rischi e capendo cosa sono, oltre a dimostrare e documentare la tua conformità al GDPR. SQL Compliance Manager ti consente di riferire sugli elementi che vengono monitorati. In poche parole, controllando i tuoi dati con SQL Compliance Manager, SQL Compliance Manager ti consente di rilevare accessi non riusciti - che è un potenziale segno di violazione - monitorare le attività amministrative e le modifiche di sicurezza, avvisarti delle modifiche al database, audit colonne definite come informazioni riservate, identificare utenti privilegiati e tenere traccia delle loro attività separatamente dagli altri utenti nel sistema, riportare che le informazioni vengono verificate in conformità con diverse linee guida normative. Non solo copriamo il GDPR, ma copriamo HIPAA, PCI, FERPA, SOX, tutte le linee guida normative quando si tratta di controllare le tue informazioni e capire a cosa si accede, abbiamo quelle linee guida normative.
Abbiamo anche altri prodotti IDERA per la preparazione del GDPR. Oltre al controllo effettuato da SQL Compliance Manager, abbiamo ER / Studio Enterprise Team Edition, che può aiutarti a documentare i tuoi processi di dati e incorporare standard di dati nel tuo modello di dati, puoi creare glossari di cui parlava William in una diapositiva precedente . Come ho affermato qui con questa presentazione, SQL Compliance Manager può aiutarti a controllare le tue informazioni per assicurarti che le persone sbagliate non stiano accedendo ai tuoi dati, oltre a dimostrarlo ai revisori. SQL Safe Backup può aiutarti a crittografare i tuoi dati e i tuoi backup. La crittografia è una parte essenziale del GDPR, che non ho trattato in modo molto dettagliato perché volevo concentrarmi molto sulle risorse di Compliance Manager, ma SQL Safe Backup fa molta crittografia per te, in modo che i tuoi dati possano rimanere al sicuro. SQL Inventory Manager può garantire che i server siano aggiornati e aggiornati, quindi non si finisce in un caso come Equifax, dove avevano una patch obsoleta che dava loro un grosso buco di sicurezza che le persone erano in grado di usare maliziosamente. SQL Secure può controllare la privacy e gli standard di crittografia.
Per maggiori dettagli sul sito web della comunità IDERA, sotto il nostro blog, ho pubblicato un Preparativi per il GDPR e Guardando verso il 2018 e Comprendendo quale sarà l'impatto del GDPR e c'è anche, puoi sicuramente scaricare una copia di prova di SQL Compliance Manager presso IDERA e tutti gli altri prodotti che ho appena menzionato in precedenza nella diapositiva.
A questo punto, vado avanti e restituirò la presentazione a Eric in modo che possiamo porre alcune domande.
Eric Kavanagh: OK, bene. Hai toccato una serie di cose davvero interessanti lì, Kim, una delle quali - penso che sia un po 'semplice ma piuttosto intelligente - hai parlato del rilevamento degli accessi non riusciti. Mi sembra che sia un buon segno che qualcuno non va bene, giusto?
Kim Brushaber: Assolutamente. Se vedi qualcuno che sta cercando di accedere e decifrare la tua password, è un modo molto rapido per poter dire che qualcuno non sta facendo quello che dovrebbe essere. Forse un paio di volte potresti digitare la password in modo errato, ma se ne vedi 30, è un brutto segno.
Eric Kavanagh: Sì. La chiave qui è di impostare gli avvisi con il contesto appropriato. Cos'altro puoi dirci su come gestire il processo di impostazione degli avvisi e la disattivazione di quelli che non stanno facendo quello che dovrebbero fare e quanta parte di queste cose può essere automatizzata?
Kim Brushaber: Compliance Manager ha molti avvisi configurabili, oltre a report che puoi esaminare. Esaminiamo le tue tracce SQL e ne abbiamo il tracciamento automatico e ce ne sono molte già pre-configurate e predefinite, ma sicuramente c'è anche una notevole quantità di personalizzazione che puoi fare.
Eric Kavanagh: William, ti porterò in questo - mi sembra che sia una delle aree in cui vedremo l'apprendimento automatico entrare in gioco nei prossimi due o dieci anni circa, è guardare tutto diverse possibilità. Osservando tutti i diversi modi in cui un sistema può ottimizzare la sua efficienza, la sua efficacia su problemi come le violazioni e così via. Anche questa è la tua opinione?
William McKnight: Sì, assolutamente. Penso che stiamo costruendo sistemi ora che si riparano da soli. Il monitoraggio 24 per 7 sta iniziando a scivolare via e diventare un ricordo del passato, anche se abbiamo ancora bisogno di quel tipo di uptime. Penso che i sistemi siano in gran parte integrati e capiscano che cosa è che non va. Dobbiamo assegnare più spazio qui o cosa hai? Sì, penso che faccia sicuramente parte del nostro futuro. Qualunque cosa là fuori che può essere mappata su alcune fasi dell'azione, da intraprendere in risposta a qualcosa, è sicuramente vulnerabile all'intelligenza artificiale.
Eric Kavanagh: Questo è un buon punto. Ti faccio un'altra domanda, William, perché so che fai molte ricerche in questo spazio. Una delle cose che sto aspettando da un po 'di tempo e non credo che ci siamo ancora - penso che ci stiamo avvicinando, proprio da quello che ho letto e pensato a questo - è un giorno in cui ci sarà la tecnologia per assorbire le questioni normative, la formulazione effettiva di queste cose e mapparla su funzionalità e software. Come ho detto, siamo ancora lontani da questo - non riesco a immaginare che non ci sia qualcuno che ci lavori. Ti sei mai imbattuto in qualcosa del genere, o siamo ancora in un punto in cui gli esseri umani hanno bisogno di guardare le regole, provare davvero a capirle, codificarle nel codice macchina, in sostanza, e poi associarle alle loro varie applicazioni?
William McKnight: Beh, ho sicuramente il concetto che stai condividendo qui. Non ho familiarità con qualsiasi cosa accada verso un'implementazione in un ambiente correlato a questo. In generale dirò, ovviamente, stiamo iniziando a dire alle macchine non cosa fare ma quale è l'obiettivo di ciò che vogliamo fare e le macchine stanno diventando molto più intelligenti nel capire i dettagli. Penso che una volta che avremo un po 'più di intelligenza artificiale nelle nostre organizzazioni, sarà del tutto possibile che nuove regole possano essere sviluppate di concerto con l'intelligenza artificiale che viene implementata all'interno delle organizzazioni in modo tale che possano essere implementate come descritto in futuro. Per ora, non stiamo agendo con quello.
Eric Kavanagh: Ecco una domanda che farò a te, Kim, perché anche questo è interessante. Parli della latenza media o del tempo in cui qualcuno che accede al tuo sistema si nasconde e aspetta solo - il numero di giorni in cui un utente malintenzionato è rimasto inattivo in una rete - il rilevamento è 200. Sono curioso di sapere, quali sono i tuoi pensieri su come migliorare quello, prima di tutto? Ma c'è anche un modo per usare questo tipo di regola per esplorare il tuo sistema? Esplorare i propri dati, fare un lavoro migliore per tenere fuori questo tipo di persone?
Kim Brushaber: Sì, penso che ovviamente la diagnosi precoce sia la chiave. Devi capire che questi siti dannosi accedono alle tue informazioni ed essere in grado di bloccarle. Penso che nelle altre diapositive in cui mostriamo che la maggior parte delle organizzazioni non dispone di tali politiche. Ecco perché sono seduti lì. Penso che se avessi effettivamente adottato una politica da seguire e bloccare l'accesso e assicurarti che le persone giuste abbiano accesso. Assicurati di ruotare le chiavi regolarmente e di aggiornarle. Assicurati che le tue password vengano aggiornate regolarmente e facciano quel genere di cose, che sembrano piuttosto semplici. In questo momento, la maggior parte delle organizzazioni non lo sta nemmeno facendo e iniziare a mettere quei pezzi a posto ti aiuterà ad andare oltre.
Significa ovviamente che gli hacker ne diventeranno più furbi, ma al momento è facile, è come dire: “Vado a guardare le case per la strada in cui sento di voler entrare, saranno allarmate? sistemi? Hanno un piccolo segnale di allarme e quello ha i cani? Vado a uno che non ha un segnale di allarme, non ha un cane e quella è la casa in cui entrerò. ”Bene, scopriranno le compagnie che non hanno queste patch in atto e non hanno la sicurezza in atto e non stanno aggiornando le loro password e stanno per andare e uscire e utilizzare la tua carta di credito in una stazione di servizio un paio di volte per assicurarsi non lo hai spento e poi quando possono influenzare un grande cambiamento, normalmente una sorta di dichiarazione politica o è quando li vedi fare esplodere la testa. Mettendo in atto queste politiche, penso che a questo punto puoi fare alcuni passi abbastanza minimi per riuscire ad andare avanti con questo gioco.
Eric Kavanagh: Questo è probabilmente il miglior consiglio e lo sento sempre quando parliamo con persone che si trovano nello spazio di sicurezza o di regolamentazione, che le basi copriranno l'80 percento del tuo problema, e questo è un sacco di motivi da affrontare - questo è un buon punto. Uno dei partecipanti ha chiesto se qualcuno potesse ampliare le opportunità commerciali che potrebbero essere minate dagli sforzi di conformità al GDPR, mi viene in mente Sarbanes-Oxley, e immagino, William, te lo lancerò. Come consulente sei sempre alla ricerca di modi per aiutare i tuoi clienti al di fuori dell'ambito di un determinato progetto - almeno se sei un buon consulente lo stai facendo. Quando parli alla gente del GDPR, quali sono i benefici accessori che puoi proclamare che otterranno se si impegnano in qualche progetto focalizzato su quello?
William McKnight: Prima di tutto, è importante notare che l'idea alla base del GDPR non è affatto diritti per i cittadini. C'è l'altro lato del GDPR che è, questo migliorerà la fiducia che i cittadini hanno nelle nostre aziende e li incoraggerà a fare più affari nelle aziende conformi. Ci sono quei benefici accessori di realizzare effettivamente il tuo GDPR, ora internamente, i programmi di governance dei dati che implementiamo servono a facilitare tutti i tipi di iniziative, che davvero vengono avviate all'interno delle organizzazioni e oggi, la maggior parte, le iniziative che vengono avviate dentro le organizzazioni. Di recente ho pianificato un po 'per il 2018 con molti di loro, hanno a che fare con i dati, molto, sono dal 65% al 90% circa sui dati - quando parli di telematica o programma 360 per i clienti o una dashboard per monitorare i venditori, si tratta in gran parte dei dati. Tutto ciò che gestisce meglio quei dati, che li inserisce in un'architettura migliore che nomina le persone che sono le persone di riferimento che possono rispondere a tutte le domande su quei dati, a cui importa davvero come farebbe un programma di governance dei dati. Tutto ciò che ci dà un glossario dei dati - come Kim stava parlando con i suoi strumenti - qualsiasi cosa lo faccia, è molto utile per rendere queste iniziative molto più efficienti, decorrere dal rischio, ridurre il tempo, ridurre il budget per loro e farci ottenere a un tempo agile per commercializzare cose molto più veloci e buone per un'azienda che fa iniziative, che sono tutte aziende.
Eric Kavanagh: Adoro questo concetto di fiducia. Penso che la fiducia sia una realtà molto poco apprezzata nel nostro mondo e francamente la maggior parte degli affari si basa sulla fiducia - lo fa davvero quando ci si arriva fino in fondo. Te lo darò solo per alcuni commenti conclusivi, Kim. Penso che uno dei valori chiave aggiunti qui sia il miglioramento della fiducia e la promozione di una cultura della fiducia perché ciò non avrà solo un impatto positivo sull'azienda stessa, sulle persone all'interno dell'azienda stessa, ma anche su ciò che il pubblico percepisce perché quel tipo di la cosa trabocca, mi sembra, ma tu cosa ne pensi?
Kim Brushaber: Sì, penso che quando parlo con amici che lavorano su Google o lavorano su Facebook o su alcune delle organizzazioni più grandi e di alto profilo, non stanno implementando quasi tutte le nuove funzionalità che implementano protocolli di sicurezza e prestazioni e problemi di scalabilità perché vogliono che la loro esperienza utente sia quella in cui credono di potersi fidare di tali informazioni. Penso che le aziende abbiano questa responsabilità mentre continuiamo ad andare avanti per fornire quel tipo di fiducia. Ricordo quando le persone iniziarono a mettere online le carte di credito e la gente diceva "Oh mio Dio, non ho intenzione di dare quelle informazioni là fuori perché non sono sicure".
E ora, la tua carta di credito va in ogni modo perché, in teoria, pensi di poterti fidare dell'azienda perché ha un certificato HTTPS. Poi senti le violazioni dei dati Target in cui le carte di credito, dove erano tipo, "Oh, è meglio scambiare la tua carta di credito perché abbiamo lasciato andare quelle informazioni." Penso che sia un sentimento a doppio senso. Penso che gli individui, mentre vogliono essere più fiduciosi perché è molto più facile, essere in grado di fidarsi e avere fiducia in questo nelle grandi organizzazioni, le grandi organizzazioni devono intervenire e mettere in atto questi pezzi in modo che non ferire l'individuo o perdere la quota di mercato. La gente dice: "Beh, sai una cosa, non farò più acquisti da Target, ora farò acquisti da Amazon". Penso che la fiducia sia un grosso problema, anche se, come abbiamo detto, il 78% delle persone lo sono continueranno a fare clic su quel link in un'e-mail, anche se sanno che potrebbero non farlo. C'è una certa protezione delle persone, anche quando si fidano di te.
Eric Kavanagh: Questo è un buon punto. Sai cosa, ti faccio un'ultima domanda, William, o almeno un'altra - ne abbiamo arrivate alcune buone ora. Un partecipante scrive: “Il GDPR sta trasferendo la gestione delle identità al cliente, a cui appartiene. Equifax ha danneggiato in modo permanente 149 milioni di consumatori ", è vero, " contaminando l'economia digitale. Quali cambiamenti vedi accadere negli Stati Uniti in merito alla proprietà dei clienti rispetto alla gestione delle identità? "
William McKnight: Beh, siamo sempre indietro negli Stati Uniti quando si tratta di questo genere di cose, no? Centoquarantanove milioni, non c'è nessuna goccia nel secchio proprio lì. È quasi come il terrorismo, giusto? Siamo così abituati, sta succedendo tutto il tempo. Penso che qualcosa debba essere fatto. Penso al GDPR, mi piacciono i diritti che dà ai cittadini, ma non sembra essere una priorità - ci sono molte altre priorità e non so dove andranno. Penso che, come ho accennato nella diapositiva delle ramificazioni che avevo, ciò significhi un passaggio verso un maggior numero di diritti da parte del consumatore sui propri dati. Quando ciò accade qui negli Stati Uniti? Non so, potrebbero volerci fino a cinque anni, vedere qualcosa di commisurato al GDPR che sta accadendo qui negli Stati Uniti. Solo speculazioni a questo punto.
Eric Kavanagh: È davvero un buon punto e penso che vedremo maggiori sforzi su questo perché, ammettiamolo, in questi giorni ci stiamo muovendo verso una tale economia digitale. E come commento conclusivo qui, ottenendo un po 'filosofico, orientato alla politica, questo è ciò che mi preoccupa di più del passaggio a una società senza contanti, perché quando il denaro scompare, se ciò accade, allora tutto è digitale e ogni sistema può hackerare e l'identità di ogni persona può essere rubata. Mi sembra che sia un elefante piuttosto grande nella stanza qui, mentre guardiamo il luccio verso il futuro della gestione dell'identità.
Questa è roba fantastica, gente. Grazie a William McKnight per il suo tempo e la sua attenzione oggi. Grazie a Kim Brushaber di IDERA. Archiviamo tutti questi webcast per la visualizzazione successiva, quindi sentiti libero di tornare, di solito entro poche ore e l'archivio sarà pronto. Detto questo, ti saluteremo, gente. Grazie ancora per il tuo tempo e la tua attenzione. Ciao ciao.