Hjem Sikkerhet Tips om isfjellet: hvorfor gdpr er bare begynnelsen

Tips om isfjellet: hvorfor gdpr er bare begynnelsen

Anonim

Av Techopedia Staff, 6. desember 2017

Takeaway: Vert Eric Kavanagh diskuterer EUs kommende generelle databeskyttelsesforordning og virkningene det vil ha for industrien. Med seg kommer William McKnight fra McKnight Consulting Group og Kim Brushaber fra IDERA.

Du er ikke logget inn for øyeblikket. Logg inn eller registrer deg for å se videoen.

Eric Kavanagh: OK, mine damer og herrer, hallo og velkommen igjen. Det er onsdag klokka 4 Eastern Time, noe som betyr at det er tid for en gang til - en av de siste gangene i året 2017 - for Hot Technologies. Ja, ja, jeg heter Eric Kavanagh - jeg vil være din moderator for dagens begivenhet. Vi snakker om et tema som er vidtrekkende, for å si det mildt. Akkurat nå virker det ikke slik - konseptet med GDPR, den globale databeskyttelsesforordningen. La oss gå videre og dykke rett i dette, det handler ikke om ditt virkelig, nok om meg. Dette året er varmt, det har vært veldig varmt på mange forskjellige måter, men det forestående regelverket fra GDPR og fra andre organisasjoner, helt ærlig, tvinger oss til å tenke nytt om hva som skjer i næringslivet, spesielt når det resulterer, eller som det gjelder data. Vi kommer til å høre fra Kim Brushaber fra IDERA og også William McKnight fra McKnight Consulting Group.

Bare et par kjappe ord om temaet, folkens. GDPR sier i utgangspunktet at organisasjoner må ha en personvern-først og en sikkerhet-først-policy med hensyn til data, og egentlig handler det om noen av tingene du kanskje har hørt - for eksempel er retten til å bli glemt, delvis og delvis hele dette øyeblikket, og det er veldig interessante ting. Den er absolutt gyldig med tanke på dens prinsipper og etikk. Når det gjelder faktisk implementering, er det imidlertid en ganske alvorlig utfordring. Retten til å bli glemt sier at hvis du vil at noen organisasjoner ikke skal ha dine data, dine personlig sensitive data, må de kvitte seg med dem. Vel, du kan bare forestille deg når noen av disse virkelig heterogene datamiljøene, hvor vanskelig det kommer til å bli. For å kunne nå ut til alle steder der dataene dine er vedvarende og trekke dem ut, vil det bare ikke skje, er det viktigste. Ikke desto mindre må organisasjoner ha politikk på plass for å kunne løse disse bekymringene, og det er det regulatorene, jeg er ganske sikker på, kommer til å se etter.

Det er en stor avtale. Ikke bare trenger organisasjonen å fjerne dataene dine hvis du sier det, men hvis de har trent algoritmer på disse dataene, er det teknisk ment at de skal omskolere algoritmene også. Det er en høy ordre, jeg må si deg, men den kommer, den kommer ned gjedda, den kommer til å bli en realitet i mai neste år, og det er andre forskrifter også. Canada har antispamlov som de har vedtatt, det er en innvirkning på hvordan vi håndterer personlig informasjon. Nettnøytralitet kommer ned av gjedde nå, selvfølgelig har den blitt opphevet, og det kommer til å endre noen ting. Det er mange av disse veldig alvorlige forskriftene som berører bedrifter over hele linjen og rundt om i verden, som store organisasjoner virkelig trenger å begynne å tenke på og forberede seg på.

For det har vi fått William McKnight online av McKnight Consulting Groups til å gi oss beskjed om hva han mener og hvorfor GDPR faktisk bare er toppen av isfjellet. Med det, William, skal jeg overlevere det til deg. Ta den bort.

William McKnight: Takk, Eric, og som du sier, som lysbildet sier, denne GDPR er kanskje toppen av isfjellet - det er absolutt hva vi tror. Det er viktig at vi dykker dypt inn i GDPR fordi jeg tror det representerer en bølge av regulering som kommer nedover røret som vi må håndtere. Heldigvis, Eric, det er noen fornuftige standarder rundt den retten til å bli glemt, som jeg kommer til. Men på min vandring i år og snakker om GDPR, tror jeg at det er mange firmaer, spesielt amerikanske firmaer, som ikke er forberedt på dette ennå. Det er definitivt varmt og noe vi definitivt ikke tenkte på for ett år siden, da de bare prøvde å ballone noen ting, men nå er det en forskrift og vi må takle det ved, som du sa, Eric, kan komme rett her oppe - så ikke så langt unna i det hele tatt.

Litt om meg, jeg kommer til å komme på dette fra dataperspektivet. For å gi deg beskjed, jeg er en livslang dataperson og konsulterer nå i 19 år på dataområdet, og GDPR handler mye om data. Jeg kommer til å utgjøre en løsning med løsninger her, når jeg kommer inn på presentasjonen min rundt styring av data. Jeg har tydeligvis holdt på med mange programmer for datastyring, og jeg tror at hvis du er i tråd med det konseptet, gjør du noe styring av data, vil mange selskaper der ute være ganske langt nede på banen faktisk, til GDPR-overholdelse, men det kommer til å være mye, og helt ærlig som står bak i styring og derfor ganske bak i deres GDPR-forberedelser. La oss sette oss her og forstå hva GDPR handler om, og når vi kommer dypere inn i samtalen, får vi ut mer av konsekvensene av GDPR for forretningslivet når vi går videre inn i det nye året og utover.

GDPR er for EU-borgerens personvern. Det er en forskrift - betyr at den har tenner, betyr at den er rettskraftig. Det er ikke noe som er lagt ut der som et forslag - som allerede skjedde, og nå er det blitt dannet til en forskrift med straff. Jeg liker å starte med straffene fordi det virkelig får folks oppmerksomhet. Dette er stive straffer. Det er to straffebud, det er 2 prosent av verdensomspennende årlige inntekter eller 10 millioner euro hvis en virksomhet ikke oppfyller sikkerhetsforpliktelsene, men alt annet i strid med andre bestemmelser - og jeg kommer inn på dem - det er 4 prosent. Du hører det båndte rundt - 4 prosent. Og forresten, det er 4 prosent eller 10 millioner euro, avhengig av hva som er større. Dette er veldig stivt. Folk ser veldig alvorlig på dette. Håndheves fra og med 25. mai 2018 - det er en sentral dato, det er da revisjonene kan starte, det er da du kan få bot. Definitivt at du vil være klar for dette. Hvert selskap jeg arbeider med, har jeg mange Global 2000-selskaper, de er et sted i deres GDPR-forberedelser, noen mer enn andre, og noen må være mer enn andre på dette tidspunktet. Det vil helt sikkert være utfordrende å møte den datoen for noen, og vi får se.

Det er det mest grundige regimet for overholdelse av personvern som vi har sett til dags dato. Når vi får se noe mer stivt eller noe som berører kanskje den amerikanske befolkningen mer direkte, hvem vet, men det er der ute og må absolutt følges. Det krever at organisasjoner forstår hva UE-borger PII - vi er kjent med PII rett - personlig identifiserbar informasjon, personnummer, telefonnummer, adresse, tingene som kan identifisere en person eller ganske ganske unikt identifisere en person. Hva de har og hvordan de bruker det. Dette betyr inventar. Dette betyr regulering i dine egne selskaper rundt denne typen data. For øvrig har ikke USA noen form for landsdekkende lov om databeskyttelse. USA har alltid vært - jeg vil si bak, for å sette det i perspektiv - bak Europa når det gjelder denne typen reguleringer, og det fortsetter. Det fortsetter med GDPR, det er ganske tydelig. Noen av dere vet kanskje om personvernskjold, det lurer du kanskje på. Det er omtrent tre eller fire bestemmelser i GDPR som har overlapping med personvernskjold, men det er hundre bestemmelser i GDPR, så det er mye mer enn det, og det er selvfølgelig fortsatt på plass, og det har å gjøre med USAs og EUs datautveksling bare selv om det er viktig.

Igjen, jeg liker å starte med tall. Du hørte om bøtene, hva med hvordan du blir forberedt på det. Å budsjettere for GDPR og gjøre noe av dette, dette avhenger av et par faktorer. Mengden PII-data som du samler på EU-borgere. Hvis du samler ingen, OK, er du sannsynligvis kompatibel og trenger ikke å takle dette, men du er sannsynligvis på denne samtalen fordi du samler noen et sted. Størrelsen på selskapet ditt og løpetiden på din datastyring, som som jeg sa før, det kan nærme seg hva du trenger å gjøre for å svare på GDPR. Du kan forvente opptil flere millioner dollar eller euro, etter behov. Vi ønsker imidlertid ikke å bare overholde GDPR, for å merke av i den ruten, selvfølgelig må vi gjøre det. Forhåpentligvis er du ikke i den dyre situasjonen der du bare er desperat etter å merke av i den ruten. Se etter forretningsfordeler fordi mange ting du gjør for å støtte GDPR er bra for bedriften din. Datastyring er bra for virksomheten din. Når det gjelder mengden PII-data, er noen viktigere enn andre, noen kommer til å bli gransket mer enn andre, som datarelatert helse, vil bli regulert mye strengere under GDPR enn andre typer data og vil kreve samsvar med ytterligere forpliktelser som å gjennomføre konsekvensutredninger for databeskyttelse som åpenbart legger til budsjettet.

Lite der om budsjettering. I tilfelle du er i Storbritannia eller USA og lurer på hvordan det påvirker deg - GDPR påvirker Storbritannia, som fremdeles er i EU, til og med 29. mars 2019, og hvis regjering har indikert at noe som GDPR vil fortsette etter den datoen fordi “Det er en god idé.” Storbritannias selskaper må overholde den. Britiske statsborgerdata ligger absolutt på bordet for dette. I tilfelle det ikke er klart, det er USA-baserte virksomheter, hvis du handler i EU, med EU-borgerdata, gjelder dette absolutt deg. Dette har konsekvenser for dataarkitekturen din fordi du kan ende opp med å miste EU-dataene dine fra alt annet og behandle dem annerledes. Det påvirker analytics, som Eric sa, i hvordan du sammenstiller disse analysene og så videre. Det kan være vanskeligere nå å få noen form for konseptomfattende, global breddeanalyse. De kan bli mer lokaliserte som et resultat av GDPR.

Hva står i bestemmelsene? Det er standarder for databeskyttelse. Disse alt annet enn dikterer kryptering av data i ro og i bevegelse. Jeg skal snakke om kryptering neste. Det er varslingsstandarder for databrudd. Ikke mer av dette som venter i flere måneder, og venter på kvartaler for å gi beskjed til alle. Jeg tror det var stort her om dagen, og vi fant ut, “Å, det skjedde for et år siden.” Ikke noe av det med GDPR - du har 72 timer. Det er en navn og skam-politikk. Forhåpentligvis er det ingen som kommer til det, klart noen mennesker vil gjøre det. Brudd vil fortsette, selv etter GDPR, selvfølgelig. Det er prosesser for å overvåke plasseringen og kvaliteten på data. Høres kjent ut? Det er virkelig hjertet i datastyring. Forhåpentligvis har du noen av de som går.

EU-borgere har rett til å bli glemt, som Eric nevnte. Det er noen rimelighetsstandarder for dette, Eric. Du trenger ikke å utslette alt nødvendigvis, hvis du kanskje må kontakte denne kunden, den ansatte, på nytt har du lov til å oppbevare visse aspekter av personopplysningene deres. Men ikke desto mindre har disse innbyggerne rett til å bli glemt, men det kan ikke gjøres noen uforholdsmessig innsats - det er språket - på deg eller skade på selskapet, det er på deg å utslette disse dataene. Jeg vil ikke bagatellisere dem, men du må også gi ut kopier av personopplysninger som er oppbevart, og du kan bare få disse dataene under samtykke. Dette samtykket må gis av personer som er i en minstealder for å gi slik tillatelse. Det er en munnfull der, men det gir innbyggerne mange rettigheter over dataene deres. Det er portabilitet akkurat der, i tilfelle det noen gang dukker opp. Retten til å bli glemt, helt klart, men også - og noe som ikke er på min lysbilde som er ganske viktig - er den registrerte skal ha rett til ikke å bli underlagt en avgjørelse som bare er basert på automatisert behandling. Hva har vi beveget oss hardt til? Automatisert behandling, rundt aksept av lån, hvilke tilbud vi kommer til å gi, alt dette må utarbeides i forhold til hvordan dette kommer til å spille ut og hvor langt dette kommer til å gå. Hva dette egentlig sier, er åpenhet rundt hvorfor jeg ble avvist, hvorfor jeg blir behandlet på en viss måte av dette selskapet. Dette er en akkurat nå, som blir gitt til en EU-borger.

Det er klart det er noen konsekvenser for hvordan vi gjør forretninger, og forhåpentligvis ser du at GDPR ikke er et IT-problem, ikke et IT-problem. Alle disse forretningsprosessene er involvert. Det vil involvere mennesker fra hele selskapet. Utnevnelse av en databeskyttelsesansvarlig anbefales for de selskapene med mer enn 250 ansatte, og du har "kritisk matematikk med EU PII-data." Du kan selv bestemme om du har den kritiske matematikken, noen ganger er det åpenbart, andre ganger er det ikke. Men det er en ny rolle - trenger ikke å være en heltidsrolle, personen kan ha andre ansvarsområder, men jeg vet ikke - i noen mellomstore og større selskaper tror jeg ganske enkelt å overholde GDPR til være nær en heltidsrolle. Jeg vil si å starte på den måten og se om du takler det. Spesielt i løpet av det neste året, når du samler handlingen rundt GDPR, når den først er avgjort, kan du kanskje redusere arbeidet med dette, men det vil ta noen selskaper ganske lang tid. Tillat enkeltpersoner å se sine egne data og dataportabilitet, som jeg nevnte før.

Dette er for øvrig ikke alt nytt, men retten til å bli glemt har faktisk vært der ute, tro det eller ei. De gjeldende EU-reglene gir allerede en rett til å slette personopplysninger eller gjøres utilgjengelige. Nå er det imidlertid en del av GDPR, det vil bli håndhevet mye mer bredt. Datakryptering - krypter dataene dine i ro. Bruk standard krypteringsmetoder, ikke bruk din egen hjemmelaget eller ikke-standard kryptering. AES er en som vi anbefaler ganske mye. Bruk kryptografisk sikre krypteringsnøkler. Endre disse tastene med jevne mellomrom. Forhindrer også at tastene mistes. Dette er bare god krypteringspraksis, men nå kommer de på spissen med GDPR. Der ligger problemet - jeg har bare truffet toppen av isfjellet. Det er tydeligvis flere bestemmelser å se nærmere på, men det er de viktigste.

Nå, løsning. Datastyring, rammeverket for samsvar, i det minste er det perspektivet jeg legger frem her. Heldigvis er det en aktiv disiplin som er velhælet som kan og gjør når den er moden, dekker de fleste kravene, og det er datastyring - det sier jeg tydeligvis. Styringsprogrammer bør ha en ordliste, og her bruker jeg dataordliste i generisk forstand for å bety dokumentasjon over hele linjen for prosessene dine. Dette er grunnleggende, for å betjene lagerbehovene til GDPR, som, som vi har sett, er ganske enorme. Programmet, styringsprogrammet, bør legge til rette for datasikkerhetsprotokollene - og jeg understreker at fordi det ikke er noe som mange datastyringsprogrammer gjør akkurat nå, men jeg tror det er et logisk sted å gjøre dette fordi de er sitter på programmet som bestemmer hvem som er bedriftseiere? Hvem trenger å se det? Og neste steg er å gi disse tillatelsene. Det må sentraliseres, det må formaliseres. Det må være interne retningslinjer som brukes. Stewardship må tildeles alle elementer for å gi innspill til alle de ovennevnte. Datastyring kan også være tilrettelegger for forretningsprosessteknikk, som kommer til å bli påkrevd.

Før jeg forlater dette lysbildet, vil bedriftene omfatte forsvarlig forretningspraksis som et biprodukt når jeg søker å unngå de heftige bøtene. Jeg liker å si at det er mer enn et biprodukt, men det er faktisk bare god, sunn virksomhet som kan lede deg på nye steder fra et forretningsperspektiv. Visstnok vil du ha mye effektivitet for å gjøre alle tiltak over hele linjen. Hvis du har god datastyring, er det det jeg har sett gjennom årene. Ved å legge til noen av disse tingene som jeg nevner, til datastyring, vil de bare bli bedre. I din forretningsprosess-prosjektering anbefaler vi at du stiller disse spørsmålene overalt, treffer alle forretningsområder. Hva slags data samler vi inn om våre EU-kunder? Jeg vil ikke lese dem alle. Noen av de viktigste her. Hvem har behov for å se disse dataene, og blir de fulgt? Hvem er datatilitsvalgt for disse dataene? Hvem er go-to-personen min i virksomheten? Dette er en stor en: Deler vi disse dataene med tredjepart? Bare fordi du gir det til en tredjepart, ikke unnskyld ditt ansvar rundt disse dataene - det er fremdeles dine data, det er fremdeles data du har samlet inn. Det er mange tredjepartskontrakter som nå blir grundig gjennomgått som et resultat av GDPR. Har disse systemene deterministiske feil? Betydning når de mislykkes, mislykkes de på en bane som vi har forhåndsbestemt, eller mislyktes de bare, krasjet, brant og vi begynner fra bunnen av å grave i den? Det kommer tydeligvis til å bli mye bedre. Det er en god praksis allerede, men tydeligvis mye bedre for reversering av noen av disse tingene, hvis du har store deterministiske feil i systemet ditt.

Datalagring, vi har snakket om datalagring for alltid. Mange selskaper har retningslinjer, de følger imidlertid ikke alle. Det er klart, berømt innen helseomsorg og økonomi, vi ønsker å oppbevare data, vi må oppbevare data i et visst antall år. Noen av analytikerne i disse firmaene som oppbevarer data i de syv årene eller ikke, sier: "Å, etter den perioden vil jeg fremdeles ha disse dataene." Noen av advokatene i disse selskapene sier: "Men vi må kvitte oss med det for ansvarsformål, ”og så videre. Det kan ikke bare sitte der, som et problem ved tømmerhoder lenger med GDPR. Vi må ha oppbevaringsperioden, ha den fulgt konsekvent over hele linjen i organisasjonen.

Og til slutt, hvordan mobiliserer du for et datainnbrudd? Disse verste tilfellene som kan skje med deg. Det er klart, vi prøver å forhindre dem, men hva om det skjer? Hvordan kriger du det og sørger for at du følger bestemmelsene i GDPR som svar? Jeg er en dataarkitekt, jeg tenker på dataarkitektur. Hvis du er et USA-basert selskap med EU-virksomhet, som betyr EU-borgerdata - du samler dem inn, må du vurdere om du vil bruke standardene for databeskyttelse på alle data eller bare EU-data. Ja, jeg har kunder som tar den avgjørelsen nå. Som god forretningsskikk ønsker de kanskje å ta det med til USA, de kan føle at de har tid, men det bringer kule nummer to. Du må kanskje mure EU-data fra amerikanske systemer hvis du ikke kan garantere at amerikanske systemer vil håndtere data på riktig måte. Skiller det data for analysens formål? Er analytikken til og med gyldig hvis du prøver å gjøre dem over hele landet? Noen ganger ja, noen ganger nei, ikke sant? Du kan oppleve at analysene dine blir dempet som et resultat.

Som jeg nevnte tidligere, spiller kunstig intelligens her fordi vi selvfølgelig kan bruke AI til å finne alle dataene, hjelpe oss med å finne alle dataene, men hvis vi bruker AI i våre kundegrensesnitt, må vi ha åpenhet nå med kunden vår grensesnitt, og det har aldri vært AIs sterke drakt. For å prøve å fortelle en kunde: "Du ble avvist fordi bla, bla, bla, " da det virkelig var AI. Det må nå gjøres. Vi må finne ut hvordan AI fungerer, hva er faktorene? Kan ikke bare sitte der og være en svart boks for deg lenger. Hva gjør vi nå? Opprett ditt GDPR-styre. Jeg foreslår at du har den øverste personvernombudet der, eller hvis du har en personvernombud, tydeligvis den personen. Sjefene for styring av data, operasjonell risiko og / eller etterlevelse, som de gjelder, sjefen for IT, CIO hvis det er personen. Hvis du har en endret lederperson, vil det være en flott person der inne. Bare ledere for noen av de viktigste avdelingene på tvers av virksomheten din, og også sjefen for HR fordi personvernopplæring nå kommer til å bli enorm. Alle skal få opplæring i personvern eller burde få opplæring i personvern når de går opp i et selskap, selv konsulenter.

Hvis du ikke gjør disse tingene du ser her, må du gå raskere enn du ønsker å gjøre fristen. Du må også begynne å håpe at du ikke er en av de første som blir revidert, for ærlig talt er det mye arbeid her hvis du begynner fra bunnen av og du har med mange EU-borgerdata. Ansett DPO, lager data og prosesser. Bygg den planen for styring av data, ta den fra den er, til den den trenger å være. Etter hva som måtte være, kan det være lurt å starte det. Lag dine personvernregler og retningslinjer. Retningslinjer for personvern er interne. Retningslinjer varsler eksterne. Vi ser en kultur som begynner å bli opprettet nå rundt retningslinjer. Det er gjort mye sammenligning og mye nøye ordlyd rundt disse retningslinjene. Charter en GDPR-samsvarskontroll for alle systemer, inkludert nye systemer. Du må kanskje sekvensere dem og gjøre dem i en slags rekkefølge av betydning, men dette er en annen måte å takle problemet. Se på systemene og hva de skal gjøre, og hvordan de håndterer disse dataene.

Hva signaliserer GDPR? Det er det vi er her for å snakke litt mer om. Jeg ser frem til hva Kim har å si om dette. GDPR er et skifte i kontrollen av personvern mot data mot regulering. Det er en trend mot åpenhet, det står så riktig i bestemmelsene. Vi lager denne kulturen om personvernvarsler, som jeg snakket om, det er en ting nå. Vi kommer til å se konferanser om personvernvarsler og så videre. GDPR-skiftet er mot de grunnleggende rettighetene til mennesker. Åpne spørsmål blir utarbeidet. Det er helt klart åpne spørsmål. Jeg har lagt noen få på bordet her for oss. Ingen har svaret. De kommer til å bli utarbeidet. En trend mot større forståelse av enkeltpersoner om dataene deres og hvordan de brukes. Jeg tror dette har økt bevisstheten blant befolkningen i EU, om viktigheten av deres data og ser at de som en av deres personlige eiendeler, at de trenger å forvalte mer. Det er noen av de tidlige signalene som jeg har sett, og Eric, jeg vil kaste det tilbake til deg nå.

Eric Kavanagh: OK, la meg overlevere nøklene til Kim, som kan dele noe av hennes perspektiv, men jeg tror det var en god oversikt, William, og du slo på nøkkelpunktene - nemlig at dette kommer ned gjedda helt sikkert og vi må alle være veldig forsiktige, helt ærlig. Med det, la meg overlevere tastene til Kim, så kan du dele skjermen din og ta den derfra.

Kim Brushaber: Hei der, kan du høre meg?

Eric Kavanagh: Jeg kan høre deg.

Kim Brushaber: Fantastisk. William dekket noen av de samme tingene som jeg skal dekke, men jeg tror at de er verdt å dekke igjen fordi de er veldig viktige. Jeg tror at når nye forskrifter blir vedtatt, er det virkelig godt å få mange forskjellige menneskers perspektiv og tolkning av det, slik at noe gnister tankene dine og lar deg være i stand til å bli enda mer i samsvar. Jeg blir oppmuntret av alle menneskene som er inne på denne samtalen som vil vite mer fordi jeg tror kommer 25. mai, det kan være mye panikk for selskaper som blir jaget etter, og ikke holder seg i samsvar.

Jeg heter Kim Brushaber, jeg er senior produktsjef i IDERA. Jeg har flere produkter under meg som hjelper med GDPR-samsvar, så vel som andre forskrifter. Jeg kommer til å hoppe inn på noe av informasjonen. Jeg skal begynne med noen fakta og noen tall og deretter gå litt inn på GDPR og deretter spesifikt hvordan verktøyene våre kan hjelpe deg. Et faktum er at over 5 millioner dataregister går tapt eller blir stjålet hver dag. Vi hører ikke dette rapportert på nyhetene, vi hører ikke dette kommer fra andre steder, men det er over 5 millioner dataregister som blir stjålet hele tiden, rett under oss. Median antall dager som angripere holder seg sovende i nettverket ditt, er 200 dager. Mange systemer er allerede infiltrert av mennesker som - med ondsinnede hensikter - som bare venter på muligheten til å utnytte informasjonen din, for det meste innenfor sikkerhet og sertifikater, men de bare venter på at øyeblikket deres skal slå. Derfor har det blitt stadig viktigere å håndtere datasikkerheten. Gjennomsnittlig kostnad for brudd på enkeltdata i 2020 er spådd å overstige 150 millioner dollar, ettersom mer forretningsinfrastruktur blir koblet til nettbaserte ressurser og etter hvert som flere ting går opp i skyen. Det er et bra budsjettnummer hvis du virkelig er opptatt av datasikkerhet, å gi til ledergruppen din, for å fortelle dem at dette er en alvorlig sak og kan koste oss mye penger fremover.

Jeg kommer til å gå kort over Equifax datainnbrudd fordi jeg tror det var det største datainnbruddet i 2017, for å male ut bildet av hvordan det er å gå gjennom det. Bruddet berørte 145, 5 millioner kunder. Ansatte erkjente sikkerhetsspørsmålet med nettapplikasjonen sin to måneder før bruddet skjedde. Ansatte sa: "Dette er et problem." Og til og med litt før det var da lappen faktisk kom ut. Det tok en hel dag når bruddet skjedde for å svare på det og ta nettapplikasjonen offline. Fordi Equifax ikke hadde en definert datasikkerhetsprotokoll, tok det dem en betydelig periode å til og med finne ut hva som skjedde og deretter kunne ta systemet offline. Seks uker etter bruddet ble publikum varslet. Med GDPR - som vi sa ovenfor, og jeg skal si det igjen - må du rapportere innen 72 timer, og Equifax ville hatt hendene bundet og ikke vært i stand til å oppfylle denne samsvar fordi de ventet i seks uker på å rapportere den. Kommunikasjonen for å svare på bruddet inkluderte et nettsted som ikke en gang var eid av Equifax. Equifax selv retweetet denne tweeten som ikke engang var i deres domene - de hadde snudd noen av ordene rundt. Heldigvis var det ikke et ondsinnet nettsted som tjente på det, men de var tydeligvis ikke forberedt. De hadde ikke en plan på plass, og dette ble veldig bevisst på den offentlige arenaen. Equifax er ikke alene - det er over 25 veldig høye cyberprofilangrep i 2017 så langt, og vi kunne fremdeles finne mer før slutten av året. Bedrifter må virkelig begynne å ta dette på alvor fordi folk er der ute, og hvis du gir dem en grunn til å ønske å komme til deg, bør du være forberedt på å kunne håndtere det.

Noen andre fakta og tall for data om hvordan enkeltpersoner ser på datasikkerhet. Innen 2020 vil det være 30 milliarder enheter koblet til internett via hjemmene våre, via våre bærbare apparater, via våre telefoner, nettbrett og hvem som vet hva annet som fremdeles kan komme i årene som kommer. Det er mange enheter som er sårbare for disse angrepene. Førti-ni prosent av amerikanerne synes deres personlige informasjon er mindre sikker enn den var for fem år siden. 74 prosent av forbrukerne i Amerika ønsker at selskaper skal være transparente om personopplysningene sine. Syttiåtte prosent av mennesker hevder å være klar over risikoen ved å klikke på ukjente lenker og e-postmeldinger, men de klikker på disse koblingene uansett - det er over tre fjerdedeler av befolkningen vår, og de klikker fortsatt på lenkene selv om de vet at det kan være et problem. Åttiseks prosent av internettbrukere prøver aktivt å minimere, anonymisere og skjule synligheten til digitale fotavtrykk. Min stefar liker å gå ut og lage falske navn når han fyller ut skjemaer fordi han tror det gjør ham anonym, men han vet lite om at IP-adressen hans også blir sporet. Det er mye individuell bekymring, og det er det som gyt mye av GDPR-forskriftene og sannsynligvis tilleggsbestemmelser som vil følge.

Så langt som fakta om datasikkerhetsbransjen, kom 90 prosent av dataovertredelsesregistrene i 2016 fra myndigheter, detaljhandel og teknologi. 42 prosent av nettangrepene angrep små bedrifter. Hvis du tenker: "Å, jeg er ikke en stor fyr, de kommer ikke til å følge meg, " er det fortsatt nesten halvparten av dem som går etter små bedrifter. Syttifem prosent av helsevesenet ble smittet av skadelig programvare det siste året. Sytti prosent av de amerikanske olje- og gasselskapene ble hacket det siste året. Dette er en betydelig innvirkning på forskjellige bransjer som er oppe og går, og dette tallet kommer bare til å gå opp herfra.

Når du ser på det fra det utøvende perspektivet, innrømmer 90 prosent av fagdirektørene å kaste bort millioner av dollar på mangelfull cybersikkerhet. Nitti prosent sier også at de er blitt angrepet, eller at de forventer å bli angrepet av gutta som gjemmer seg i krypteringen. Åttesju prosent mener sikkerhetskontrollen deres ikke klarer å beskytte virksomheten. Åttifem prosent av CIOs forventer at kriminelt misbruk av nøkler og sertifikater vil bli verre. Dette er et enormt antall selskaper som ser på dette datasikkerhetsspørsmålet, og virkeligheten er at mange av dem ikke har veldig gode løsninger for å til og med kunne takle det når det skjer, selv om de tror at det vil skje.

Når vi ser på beredskapen til det, innrømmet 70 prosent av årtusener i 2014 at de brakte applikasjoner utenfra til bedriften sin i strid med IT-retningslinjene. Sytti prosent innrømmet det - det er sannsynligvis enda et større antall enn det, som faktisk gjorde det. Femti-to prosent av organisasjonene som pådro seg vellykkede cyberattacks i 2016, gjorde ingen endringer i sikkerheten deres i 2017. Selv om de ble angrepet en gang, gikk de fortsatt ikke og strender opp veggene - de er like sårbare som de var før angrepet. Dette gir virkelig spørsmålet, hva trenger selskaper å begynne å gjøre for å forberede seg på disse tingene? Trettiåtte prosent av de globale organisasjonene hevder at de er forberedt på å håndtere et sofistikert nettangrep. Det er bra - nesten halvparten er der, og jeg er sjenerøs med det, vi er egentlig bare på en tredjedel, men det er fortsatt minst halvparten som sier: ”Jeg er ikke klar. Hvis jeg blir angrepet, er jeg ikke klar, og hackerne vet det. ”32 prosent av organisasjonene har en responsplan for cyberhendelser. De fleste selskaper er i samme bøtte som Equifax, der de ikke vet hva de skal gjøre. Hvis de får dette, er de nødt til å reagere og komme med disse tingene på farten, og forskrifter som GDPR sier: “Du må ha disse på plass. Du må ha dem publisert. Du må bevise det for sikkerhetsrevisorer. ”Forhåpentligvis med effekter som dette, med forskrifter som det, vil vi kunne komme foran denne kurven, og i stedet for å være reaksjonære, kan vi være proaktive i våre sysler.

La oss snakke litt om GDPR. Noe av denne William har allerede dekket, men jeg kommer til å fortsette og dekke det igjen, bare fra mitt tak, min stemme, mitt perspektiv. Mange selskaper som jeg snakker med, de er som "Jeg er i USA, hvorfor skal jeg til og med bry meg om denne EU-forordningen?" Det faktum at flere mennesker ikke surrer og at flere ikke snakker om det, de tror at det bare er EU-medlemmer som er berørt, men jeg vil spørre deg, hvis du ser på denne listen, samler du inn noen av disse dataene fra EU-medlemmer? Hvis du i det hele tatt samler inn noe av denne informasjonen, er du underlagt grensene for GDPR, samt straffene for ikke å overholde. Jeg vil gi deg et sekund til å bare absorbere dette og forstå dette. Som William nevnte tidligere, er dette straffene og sanksjonene som det er referert til i artikkel 83 i GDPR. I begynnelsen kan det hende du får en smekk på hånden, en liten advarsel som sier: “Hei, samle handlingen. Sett dette på plass. ”Men hvis du har et veldig stort brudd - og avhengig av hvor stor avtale det er - vil de komme tilbake til deg for restitusjon, og det er et betydelig antall. Ikke 10 millioner, men 20 millioner euro eller 4 prosent av omsetningen / inntekten din fra året før. Det er mye penger. Dette er mye budsjett å gå på ledergruppene dine og si: "Dette er noe vi trenger å begynne å ta på alvor og vi må ta grep."

La meg gå litt over GDPR-prinsippene som beskrevet i artikkel 5. En av tingene de sier er at personopplysninger skal behandles lovlig, rettferdig og på en transparent måte. Det betyr at publikum vil vite hva du gjør med dataene deres. Vær gjennomsiktig om det, og det må publiseres. De fleste leser ikke vilkår, men dette er ny informasjon som du trenger for å kunne kommunisere, slik at du kan si til dem: "Dataene dine blir behandlet på riktig måte." Personopplysningene skal samles inn for en spesifisert, eksplisitte og legitime formål. Dette betyr at vi forhåpentligvis kan bli kvitt noe av denne spam, der selskaper sier at de samler inn informasjon for en quiz som forteller deg hvor interessant du kan være, og i virkeligheten tar de dataene dine og selger dem tilbake til noen andre, for å kunne bruke til hva deres formål er. Bedrifter må nå være mye mer ansvarlige og si nøyaktig hva de bruker informasjonen din til. De sier også at personopplysninger må være tilstrekkelige, relevante og begrenset til det som er nødvendig. Mange selskaper liker å ta all informasjonen sin og legge den i en stor datapool, og så finner de ut hva de vil gjøre med informasjonen senere, og de samler langt mer enn det som måtte være nødvendig. Dette sier at du ikke kan samle det og bruke det et annet sted. Du kan heller ikke bare samle alt og håpe at senere kan du finne det nyttig. Du må være veldig eksplisitt i hvorfor du samler inn informasjonen, og den må være relevant for dataene du samler inn.

Personopplysninger må også være nøyaktige og oppdatert. Du må gi brukerne måter å oppdatere dataene sine på, når du først har samlet dem på dem; de trenger å være i stand til å gå tilbake og si: "Du vet, jeg hadde denne oppfatningen om noen undersøkelser du spurte meg om personlig identifiserbar informasjon, og jeg vil gå tilbake, og jeg vil endre det og oppdatere den nå." å gi dem en måte å kunne gjøre det på. Personopplysninger må oppbevares i form som tillater identifikasjon av registrerte ikke lenger enn nødvendig. Tilbake til Williams poeng, at du ikke kan samle denne informasjonen for alltid - du må finne ut hva du mener er gyldig og nødvendig, og deretter må du tørke dataene rene. Det må også behandles på en måte som sikrer passende sikkerhet, inkludert beskyttelse mot uautorisert eller ulovlig behandling, utilsiktet tap, ødeleggelse eller skade.

Som jeg sa før, er det på tide å bli virkelig alvorlig med dette, stoppe disse datainnbruddene, fordi du ikke bare kan ha skader som kommer til ditt selskap i form av datainnbrudd og inntektstapet og kostnadene ved å forhindre prosessene dine., men du kan også ha en bunke med bøter som er smurt på toppen av deg fra GDPR. Det er på tide å virkelig begynne å bli veldig seriøs om det, og jeg tror at når GDPR trer i kraft, vil selskaper bli møtt med den harde virkeligheten, og heldigvis kan de av dere som er på samtalen i dag begynne å tenke på dette og vite hvordan du skal utføre disse tingene.

GDPR snakker også mye om hva enkeltmenneskers rettigheter er; det ser virkelig ut for de enkelte brukerne. Den første tingen er retten til å få tilgang til dine personlige data. Brukere trenger å vite hvilken informasjon du har samlet om dem, så langt som personlig identifisert informasjon, og du må gi dem en måte å kunne få tilgang til den. Det er også en rett til utbedring, som er en fancy måte å si: ”Jeg trenger å være i stand til å korrigere informasjonen du har om meg.” Retten til å slette - som igjen, mange mennesker formulerer som retten til bli glemt - hvis en person sier: "Du vet hva, jeg vil ikke lenger at du skal vite at jeg er en super morsom fyr tegneserieinnsamler, må du kvitte deg med det. Jeg har noen venner som erter meg om det og tørker meg av listen din fullstendig. ”Du må kunne gjøre det. Det er også rett til begrensning av behandlingen, og dette betyr at brukere kan begrense måten informasjonen behandles på. De kan si: "Jeg har ikke noe imot at du tar informasjonen min fordi jeg kjøper en ny bil, men bruker ikke den informasjonen til å sende meg e-post og spam meg på nye avtaler hver gang nye biler slippes." Det er også retten til dataportabilitet, noe som betyr at brukerne skal kunne få en kopi av dataene sine og kunne ta dem et annet sted. Mange organisasjoner samler inn informasjon, og at informasjonen har en klebrighetsfaktor, og nå kan enkeltpersoner si: “Du vet hva, jeg vil at du tar all informasjonen min, og nå vil jeg at du gir den til konkurrenten din, så jeg kan flytte det over."

Det er mange ting å tenke på fra en organisasjon som er potensiell for hvordan du skal kunne gjøre det og hvilken informasjon du vil kunne samle inn og sende over. Det er også rett til å innvende, og brukere kan også innvende seg mot behandlingen av dataene sine. Retten til ikke å bli underlagt et vedtak utelukkende basert på automatisk behandling eller profilering. Dette har en betydelig innvirkning på B2B-markedsføring - hvis du sitter der og prøver å A / B-tester og prøver å identifisere, vil Colorado bli mer påvirket av en melding enn California, vel, du har nettopp gjort profilering ved å se på en tilstand kontra en annen, og du må se på hvordan et individ skal kunne velge bort det.

Med tanke på at vi har noen skumle ting som kommer så langt som brudd på data og hvordan folk ser på dataene sine, og vi har fått denne enorme forskriften som blir dumpet på toppen av skuldrene, er jeg nå her for å gi deg løsningen på hvordan IDERA kan hjelpe. Artikkel 15 snakker om hvordan du kan kontrollere eksponeringen for personopplysninger. Du må vite hvem som får tilgang til dataene dine. Hvordan de bruker det. Hvor mye data som er behandlet og SQL-produkter Compliance Manager, som jeg er produktansvarlig for, lar deg se hvem som får tilgang til dataene dine og hvordan. SQL Compliance Manger er for SQL Server-løsninger. Hvis du har en SQL Server-database, kan du koble til dette produktet for å kunne kontrollere og se på denne informasjonen, slik at du kan være i samsvar med GDPR og du vet nøyaktig hvordan den brukes. Du kan også se datainnbrudd før de skjer, og jeg skal snakke om det i et annet lysbilde. Det er også en artikkel som sier: “Jeg trenger registrering av behandlingsaktiviteter. Jeg trenger å logge og jeg må overvåke driften, og jeg må vite hvem som behandler personopplysninger og hvem som har tilgang til disse systemene. ”SQL Compliance Manager opprettholder revisjon av servere og databaser, inkludert sikkerhet, DDL, DML, samt definere sensitive data . SQL Compliance Manager lar deg revidere sikkerhetsadgang og logge et forsøk, slik at du kan se hvem som får tilgang til informasjon, samt hvem som logger på, om det er en privilegert bruker, om det er en kjent bruker, eller om det kan være en ondsinnet bruker.

Artikkel 33 snakker om varsling om brudd på personopplysninger til en tilsynsmyndighet. Du må kunne oppdage de bruddene; du må ha poster for å kunne vurdere virkningen; du trenger å vite hvor raskt du vil avhjelpe det. For å gjøre det lar SQL Compliance Manger deg konfigurere varsler på databasene dine for å bli sett av hvem som har tilgang til sensitive data, når de fikk tilgang til dem, hva de fikk tilgang til. Det lar deg også utelukke dine normale privilegerte brukere fra tilsynet ditt. Hvis du har systemadministrator eller nettverksadministrator som du vet kommer til å få tilgang til den, og du ikke vil tette rapportene dine, kan du utelukke dem og si: "Gi meg alt som skjer utenfor den informasjonen." du raskt kan identifisere om noen har skadelig tilgang til dataene dine, og du kan ha varsler som er på plass, som lar deg få vite det øyeblikket det begynner å skje, og deretter øyeblikket informasjonen blir åpnet, for å kunne slå den ned, slik at du trenger ikke å vente en hel dag for å finne ut hva som skjer, slik Equifax gjorde.

Det er også en artikkel som snakker om databeskyttelse og konsekvensanalyse. Dette vurderer risikoen og forstår hva de er, samt demonstrerer og dokumenterer din samsvar med GDPR. SQL Compliance Manager lar deg rapportere om elementer som overvåkes. Bare for å gå litt på et nøtteskall, gjennom revisjon av dataene dine med SQL Compliance Manager, lar SQL Compliance Manager deg oppdage mislykkede pålogginger - som er et potensielt tegn på brudd - overvåke administrative aktiviteter og sikkerhetsendringer, varsle deg om databasemodifikasjoner, revisjon kolonner som du definerer som sensitiv informasjon, identifiserer privilegerte brukere og sporer deres aktivitet separat fra de andre brukerne i systemet ditt, rapporterer at informasjon blir revidert i samsvar med flere forskrifter. Ikke bare dekker vi GDPR, men vi dekker HIPAA, PCI, FERPA, SOX, alle forskriftsretningslinjene når de kommer til revisjon av informasjonen din og forstå hva som får tilgang, vi har disse forskriftsretningslinjene på plass.

Vi har tilleggsprodukter hos IDERA også for tilberedning av GDPR. Utover bare revisjonen som SQL Compliance Manager gjør, har vi ER / Studio Enterprise Team Edition, som kan hjelpe deg med å dokumentere dataprosessene dine og innlemme datastandarder i datamodellen din, og du kan lage datalister som William snakket om i et forrige lysbilde . Som jeg har uttalt her med denne presentasjonen, kan SQL Compliance Manager hjelpe deg med å revidere informasjonen din for å forsikre deg om at feil mennesker ikke får tilgang til dataene dine, i tillegg til å bevise dette for revisorene. SQL Safe Backup kan hjelpe deg med å kryptere dataene og sikkerhetskopiene dine. Kryptering er en essensiell del av GDPR, som jeg ikke dekket i detalj fordi jeg ønsket å fokusere mye på Compliance Manager sine eiendeler, men SQL Safe Backup gjør mye av krypteringen for deg, slik at dataene dine kan forbli trygge. SQL Inventory Manager kan sikre at serverne er oppdatert og oppdatert, slik at du ikke ender opp i en sak som Equifax, der de hadde en utdatert oppdatering som ga dem et stort sikkerhetshull som folk var i stand til bruk ondsinnet. SQL Secure kan revidere standarder for personvern og kryptering.

For mer informasjon om IDERA-samfunnsnettstedet, under bloggen vår, har jeg lagt ut et Getting Prepared for GDPR, i tillegg ser jeg mot 2018 og forstår hva GDPRs innvirkning kommer til å bli, og det er også, du kan absolutt laste ned en prøvekopi av SQL Compliance Manager hos IDERA, så vel som alle de andre produktene som jeg nettopp nevnte tidligere i lysbildet.

På dette tidspunktet vil jeg fortsette og overlate presentasjonen til Eric slik at vi kan stille noen spørsmål.

Eric Kavanagh: OK, bra. Du rørte ved en rekke virkelig interessante ting der, Kim, hvorav den ene - jeg synes dette er litt enkelt, men det er ganske smart - du snakket om å oppdage mislykkede pålogginger. Det synes for meg at det er et ganske godt tegn at noen ikke har noe bra?

Kim Brushaber: Absolutt. Hvis du ser noen som har prøvd å få tilgang til og knekke passordet ditt, er det en veldig rask måte å kunne si at noen ikke gjør som de skal være. Kanskje et par ganger kan du skrive passordet ditt feil, men hvis du ser at 30 av dem kommer gjennom, er det et dårlig tegn.

Eric Kavanagh: Ja. De viktigste her er å angi varslene dine i riktig sammenheng. Hva annet kan du fortelle oss om hvordan vi kan administrere prosessen med å sette opp varsler og deaktivere dem som ikke gjør det de skal gjøre, og hvor mye av det som kan automatiseres?

Kim Brushaber: Compliance Manager har mange konfigurerbare varsler, i tillegg til rapporter du kan gjennomgå. Vi går gjennom dine SQL-spor, og vi har automatisk sporing, og vi har mye av det som allerede er forhåndsinnstilt og forhåndsdefinert, men det er absolutt en betydelig mengde tilpasning du også kan gjøre.

Eric Kavanagh: William, jeg vil ta deg med inn i dette - det ser ut for meg at det er et av områdene hvor vi skal se maskinlæring for å spille i løpet av de neste to til ti årene eller så, ser på alle de forskjellige muligheter. Når du ser på alle de forskjellige måtene et system kan optimalisere effektiviteten på, er det effektiviteten rundt problemer som brudd og så videre. Er det din ta også?

William McKnight: Ja, absolutt. Jeg tror at vi bygger systemer nå som reparerer seg selv. Overvåkingen av 24 og 7 begynner å gli bort og blir en saga blott, selv om vi fortsatt trenger den typen oppetid. Jeg tror systemene i stor grad får det innebygd og finner ut hva det er som er galt. Må vi tildele mer plass her, eller hva har du? Ja, jeg tror det definitivt er en del av fremtiden vår. Alt der ute som kan kartlegges til noen handlingstrinn, for å ta svar på noe, er definitivt sårbart for kunstig intelligens.

Eric Kavanagh: Det er et godt poeng. Jeg vil kaste et spørsmål til, William, fordi jeg vet at du gjør mye research på dette rommet. En av de tingene som jeg har ventet på nå en god stund, og jeg tror ikke vi er der enda - jeg tror vi kommer nærme, bare fra det jeg har lest og tenkt på det - er en dag hvor det vil være teknologi for å absorbere forskriftsmessige problemer, selve ordlyden av disse tingene, og kartlegge det til funksjonalitet og programvare. Som jeg sier, vi er fremdeles et stykke fra det - jeg kan ikke forestille meg at det ikke er noen som jobber med det. Har du kommet over noe sånt, eller er vi fremdeles på et punkt der mennesker trenger å se på reglene, virkelig prøve å forstå dem, kodifisere dem i maskinkode, egentlig, og deretter dreie momentet over til de forskjellige bruksområdene?

William McKnight: Vel, jeg får absolutt konseptet som du deler her. Jeg er ikke kjent med noe som skjer mot en utrulling i et miljø som er relatert til det. Jeg vil imidlertid si generelt, selvfølgelig, vi begynner å fortelle maskinene om ikke hva de skal gjøre, men hva målet er hva vi vil gjøre, og maskiner blir mye smartere med å finne ut av detaljene. Når jeg har fått litt mer kunstig intelligens i organisasjonene, tror jeg at det er ganske mulig at nye forskrifter kan utvikles i samsvar med AI som er distribuert i organisasjoner slik at de kan rulle ut på den måten du beskrev i fremtiden. Foreløpig handler vi ikke med det.

Eric Kavanagh: Her er et spørsmål jeg vil kaste til deg, Kim, for dette er også interessant. Du snakker om gjennomsnittlig latenstid eller tiden noen som logger seg på systemet ditt skjuler seg og bare venter - antall dager en angriper forble sovende i et nettverk - deteksjon er 200. Jeg er nysgjerrig på å vite, hva er tankene dine om hvordan du kan forbedre det, først av alt? Men er det også en måte å bruke denne typen regler for å utforske ditt eget system? For å utforske dine egne data, gjøre en bedre jobb med å holde slike mennesker utenfor?

Kim Brushaber: Ja, jeg tror at åpenbar tidlig oppdagelse er nøkkelen. Du må finne ut at disse ondsinnede nettstedene får tilgang til informasjonen din og kan låse den ned. Jeg tror at i de andre lysbildene hvor vi viser at de fleste organisasjoner ikke har denne politikken på plass. Derfor sitter de der. Jeg tror at hvis du faktisk hadde en politikk på plass for å gå gjennom og låse inn tilgangen din og sørge for at de rette personene har tilgang. Forsikre deg om at du roterer nøklene regelmessig og oppdaterer dem. Forsikre deg om at passordene dine oppdateres regelmessig og gjør slike ting, som virker ganske grunnleggende. Akkurat nå gjør de fleste organisasjoner ikke engang det, og å begynne å sette disse brikkene på plass vil hjelpe deg å komme lenger enn dette.

Det betyr selvfølgelig at hackerne vil bli mer kunstige av det, men for øyeblikket er det lett, det er som: "Jeg skal se på husene på gaten som jeg føler at jeg vil bryte meg inn i, vil de ha alarm systemer? Har de et lite alarmtegn og at man har hunder? Jeg kommer til å gå til en som ikke har et alarmtegn, ikke har en hund, og det er huset jeg skal bryte inn. ”Vel, de kommer til å finne ut selskapene som ikke t har disse oppdateringene på plass, og de har ikke sikkerheten på plass, og de oppdaterer ikke passordene sine, og de kommer til å henge der ute og bruke kredittkortet ditt på en bensinstasjon et par ganger for å sikre at du har ikke stengt den, og når de kan påvirke en stor endring, er det vanligvis en slags politisk uttalelse eller på annen måte når du ser dem slå hodet opp. Å få disse retningslinjene på plass, tror jeg at du på dette tidspunktet kan ta noen ganske minimale skritt for å kunne komme deg foran dette spillet.

Eric Kavanagh: Det er nok det beste rådet, og jeg hører alltid dette når vi snakker med folk som er i sikkerhetsrommet eller forskriftsområdet, at det grunnleggende vil dekke 80 prosent av problemet ditt, og det er mye grunn til å dekke - det er en godt poeng. En av de fremmøtte spurte om noen kunne utvide forretningsmulighetene som kan utvinnes fra GDPR-samsvar, jeg blir påminnet om Sarbanes-Oxley, og antar at William, jeg vil kaste det over til deg. Som konsulent leter du alltid etter måter å hjelpe kundene dine utenfor rammen for et bestemt prosjekt - i hvert fall hvis du er en god konsulent, gjør du det. Når du snakker med folk om GDPR, hva er de ekstra fordelene du kan fortelle at de vil få hvis de deltar i et prosjekt som er fokusert på det?

William McKnight: For det første er det viktig å merke seg at ideen bak GDPR ikke er full rettighet for innbyggerne i det hele tatt. Det er den andre siden av GDPR som er, dette kommer til å forbedre tilliten borgere har til våre selskaper og det vil oppmuntre dem til å gjøre mer virksomhet i selskapene som er kompatible. Det er de ekstra fordelene ved å faktisk oppnå din GDPR, nå internt, datastyringsprogrammene som vi implementerer tjener til å lette alle mulige initiativer, virkelig som blir sparket i gang i organisasjoner og i dag, langt på vei, initiativer som blir sparket utenfor organisasjoner. Jeg har nylig lagt planer for 2018 med mange av dem, de har med data å gjøre, mye, de er som 65 prosent til 90 prosent alt om dataene - når du snakker om telematikk eller kunde 360-program eller et dashbord for å overvåke selgere, handler det i stor grad om dataene. Alt som administrerer disse dataene bedre, som setter dem i en bedre arkitektur som navngir mennesker som er de som går til folk som kan svare på alle spørsmål om disse dataene, som virkelig bryr seg som et datastyringsprogram. Alt som gir oss en dataordliste - som Kim snakket om med verktøyene sine - alt som gjør det, det er veldig nyttig å gjøre disse initiativene mye mer effektive, risikere dem, skrumpe tiden, krympe budsjettet for dem og få oss til en smidig tid til å markedsføre mye raskere og gode ting for et selskap som tar initiativ, som alle er selskaper.

Eric Kavanagh: Jeg elsker det tillitsbegrepet. Jeg tror tillit er en veldig undervurdert virkelighet i vår verden og ærlig talt de fleste virksomheter driver på tillit - det gjør det virkelig når du kommer helt til rette for det. Jeg vil kaste det over til deg bare for noen avsluttende kommentarer, Kim. Jeg tror en av de viktigste verdiene som tilføyes her er å forbedre tilliten og fremme en kultur av tillit fordi det ikke bare vil ha positive innvirkninger på selskapet selv, på folk i selskapet i seg selv, men også for hva publikum oppfatter fordi den typen ting smitter over, synes det for meg, men hva tror du?

Kim Brushaber: Ja, jeg tror at når jeg snakker med venner som jobber på Google eller jobber på Facebook eller noen av de større, virkelig høyprofilerte organisasjonene, så implementerer de ikke så mange nye funksjoner som ved implementering av sikkerhetsprotokoller og ytelse og skalerbarhetsproblemer fordi de vil at brukeropplevelsen deres skal være en der de tror de kan stole på den informasjonen. Jeg tror at selskaper har det ansvaret når vi fortsetter å gå frem for å gi den slags tillit. Jeg husker da folk først begynte å sette kredittkort på nettet, og folk er som: "Herregud, jeg har ikke tenkt å gi den informasjonen der ute fordi den ikke er sikker."

Og nå går kredittkortet ditt til alle måter fordi du i teorien tror du kan stole på selskapet fordi det har et HTTPS-sertifikat. Så får du høre om brudd på måldataene der kredittkort, der de var som, "Åh, du bør bytte ut kredittkortet ditt fordi vi slipper den informasjonen." Jeg tror det er en toveiss sentiment. Jeg tror at enkeltpersoner, selv om de vil være mer tillitsfulle fordi det er mye enklere, å kunne stole på og ha tillit til dette hos store organisasjoner, de store organisasjonene må gå inn og sette disse brikkene på plass slik at de ikke ' t skade personen eller mister markedsandelen. Folk sier: "Du vet hva, jeg skal ikke handle på Target lenger, nå skal jeg handle på Amazon." Jeg tror tillit er et stort problem, selv om 78 prosent av mennesker, som vi sa, er fremdeles kommer til å klikke på den lenken i en e-post, selv om de vet at de kanskje ikke har det. Det er en viss beskyttelse av mennesker, selv når de stoler på deg.

Eric Kavanagh: Det er et godt poeng. Du vet hva, jeg vil kaste et siste spørsmål til deg, William, eller i det minste ett til - vi har noen gode som kommer inn nå. En deltaker skriver: “GDPR flytter identitetsstyring tilbake til kunden, der den hører hjemme. Equifax skadet 149 millioner forbrukere permanent, ”veldig sant, ” som forurenser den digitale økonomien. Hvilke endringer ser du som skjer i USA når det gjelder kundeeierskap med hensyn til identitetshåndtering? ”

William McKnight: Vel, vi er alltid bak i USA når det gjelder denne typen ting, ikke sant? 100 millioner, det er ingen dråpe i bøtta akkurat der. Det er nesten som terrorisme, ikke sant? Vi er bare så vant til at det bare skjer hele tiden. Jeg tror noe må gjøres. Jeg tror GDPR, jeg liker rettigheter som det gir innbyggerne, men det ser ikke ut til å være prioritert - det er mange andre prioriteringer og jeg vet ikke hvor det kommer til å gå. Jeg tror, ​​som jeg nevnte i begrensninger som jeg hadde, at dette signaliserer et skifte mot flere rettigheter av forbrukeren over dataene sine. Når det skjer her i USA? Jeg vet ikke, det kan være opptil fem år fri, å se noe som tilsvarer GDPR som skjer her i USA. Bare spekulasjoner på dette tidspunktet.

Eric Kavanagh: Det er et veldig bra poeng, og jeg tror vi kommer til å se mer krefter på dette, for la oss innse det, vi beveger oss til en slik digital økonomi i disse dager. Og som en avsluttende kommentar her, og får en smule filosofisk, politikkorientert, er det dette som bekymrer meg mest for overgangen til et kontantløst samfunn, fordi når kontanter forsvinner, hvis det skjer, så er alt digitalt og hvert system kan han hacket og hver persons identitet kan bli stjålet. Det synes for meg at det er en ganske stor elefant i rommet her, når vi ser ned gjedda til fremtiden for identitetshåndtering.

Dette er fantastiske ting, folkens. Takk til William McKnight for sin tid og oppmerksomhet i dag. Takk til Kim Brushaber fra IDERA. Vi arkiverer alle disse webcastene for senere visning, så kom gjerne tilbake, vanligvis i løpet av få timer og arkivet vil være klart. Med det kommer vi til å ta farvel, folkens. Takk igjen for din tid og oppmerksomhet Ta vare. Ha det.

Tips om isfjellet: hvorfor gdpr er bare begynnelsen