โดย Techopedia Staff วันที่ 6 ธันวาคม 2017
Takeaway: Host Eric Kavanagh กล่าวถึงกฎการป้องกันข้อมูลทั่วไปของสหภาพยุโรปที่กำลังจะมาถึงและผลกระทบที่จะเกิดขึ้นกับอุตสาหกรรม เข้าร่วมกับเขาคือ William McKnight จากกลุ่มที่ปรึกษาของ McKnight และ Kim Brushaber จาก IDERA
คุณยังไม่ได้เข้าสู่ระบบโปรดเข้าสู่ระบบหรือลงทะเบียนเพื่อดูวิดีโอ
Eric Kavanagh: โอเคท่านสุภาพบุรุษและสุภาพสตรีสวัสดีและยินดีต้อนรับอีกครั้ง มันคือวันพุธเวลา 4 นาฬิกาตะวันออกเวลาซึ่งหมายถึงเวลาอีกครั้ง - หนึ่งในครั้งสุดท้ายในปี 2560 - สำหรับเทคโนโลยีสุดฮอต ใช่แน่นอนฉันชื่อ Eric Kavanagh - ฉันจะเป็นผู้ดูแลของคุณสำหรับงานวันนี้ เรากำลังพูดถึงหัวข้อที่อยู่ไกลที่สุดเพื่อพูดให้น้อยที่สุด ตอนนี้ดูเหมือนจะไม่เป็นเช่นนั้น - แนวคิดของ GDPR, กฎการคุ้มครองข้อมูลทั่วโลก ไปข้างหน้าและดำดิ่งกันในเรื่องนี้ไม่ใช่เรื่องของคุณอย่างแท้จริงพอเกี่ยวกับฉัน ปีนี้อากาศร้อนมันร้อนแรงจริงๆในหลาย ๆ ทาง แต่กฎเกณฑ์ที่ใกล้เข้ามาจาก GDPR และจากองค์กรอื่น ๆ ค่อนข้างตรงไปตรงมาทำให้เราต้องคิดใหม่ว่าเกิดอะไรขึ้นในโลกธุรกิจโดยเฉพาะอย่างยิ่งผลลัพธ์หรือ ตามที่เกี่ยวข้องกับข้อมูล เราจะได้ฟังจาก Kim Brushaber ของ IDERA และ William McKnight จาก McKnight Consulting Group
เพียงสองสามคำด่วนเกี่ยวกับหัวข้อที่อยู่ในมือคน โดยทั่วไปแล้ว GDPR บอกว่าองค์กรต้องมีนโยบายความเป็นส่วนตัวก่อนและนโยบายความปลอดภัยเป็นอันดับแรกซึ่งเกี่ยวกับข้อมูลและจริงๆแล้วมันเกี่ยวกับบางสิ่งที่คุณอาจเคยได้ยิน - สิทธิ์ทั้งหมดที่จะถูกลืมเช่นนั้นเป็นส่วนหนึ่งและบางส่วนของ ช่วงเวลาทั้งหมดนี้และมันเป็นสิ่งที่น่าสนใจมาก แน่นอนมันใช้ได้ในแง่ของหลักการและจริยธรรมของมัน ในแง่ของการใช้งานจริงมันเป็นความท้าทายที่ค่อนข้างร้ายแรง สิทธิที่จะถูกลืมบอกว่าถ้าคุณต้องการให้บางองค์กรไม่มีข้อมูลของคุณข้อมูลที่ละเอียดอ่อนส่วนตัวของคุณพวกเขาจะต้องกำจัดมัน ทีนี้คุณสามารถจินตนาการได้ว่าสภาพแวดล้อมข้อมูลที่แตกต่างกันเหล่านี้บางอย่างยากมากแค่ไหน เพื่อให้สามารถเข้าถึงได้ทุกที่ที่ข้อมูลของคุณยังคงอยู่และดึงออกมามันจะไม่เกิดขึ้นนั่นคือสิ่งที่สำคัญที่สุด อย่างไรก็ตามองค์กรจำเป็นต้องมีนโยบายเพื่อให้สามารถแก้ไขข้อกังวลเหล่านั้นและนั่นคือสิ่งที่หน่วยงานกำกับดูแลผมค่อนข้างแน่ใจว่ากำลังมองหา
มันเป็นเรื่องใหญ่ องค์กรไม่เพียง แต่จะต้องลบข้อมูลของคุณหากคุณพูดเช่นนั้น แต่ถ้าพวกเขาได้ฝึกอบรมอัลกอริทึมกับข้อมูลนั้นในทางเทคนิคแล้วพวกเขาก็ควรจะฝึกอัลกอริทึมด้วยเช่นกัน นั่นเป็นคำสั่งที่สูงฉันต้องบอกคุณ แต่มันกำลังจะมามันลงมาหอกมันจะเป็นจริงในเดือนพฤษภาคมปีหน้าและมีกฎระเบียบอื่น ๆ เช่นกัน แคนาดามีกฎหมายต่อต้านสแปมที่พวกเขาผ่านไปนั่นเป็นผลกระทบต่อวิธีที่เราจัดการกับข้อมูลส่วนบุคคล ความเป็นกลางสุทธิกำลังลงมาหอกในตอนนี้แน่นอนว่ามันถูกถอนรากถอนโคนโดยพื้นฐานแล้วและนั่นจะมีการเปลี่ยนแปลงบางอย่าง มีกฎระเบียบที่ร้ายแรงเหล่านี้มากมายที่ส่งผลกระทบต่อธุรกิจทั่วทั้งกระดานและทั่วโลกซึ่งองค์กรขนาดใหญ่จำเป็นต้องเริ่มคิดและเตรียมความพร้อมสำหรับตนเอง
สำหรับสิ่งนั้นเรามีวิลเลียมแม็คไนท์ออนไลน์ของกลุ่มที่ปรึกษาแม็คไนท์เพื่อแจ้งให้เราทราบว่าเขาคิดอย่างไรและทำไม GDPR ถึงเป็นเพียงส่วนปลายของภูเขาน้ำแข็ง ด้วยสิ่งนั้นวิลเลียมฉันจะมอบมันให้คุณ เอามันออกไป.
William McKnight: ขอบคุณ Eric และอย่างที่คุณพูดตามที่สไลด์บอกว่า GDPR นี้อาจเป็นส่วนหนึ่งของภูเขาน้ำแข็ง - นั่นคือสิ่งที่เราคิด เป็นสิ่งสำคัญที่เราดำดิ่งสู่ GDPR ในเชิงลึกเพราะฉันคิดว่ามันแสดงให้เห็นถึงคลื่นของกฎระเบียบที่ลงมาถึงท่อที่เราต้องจัดการกับ โชคดีที่เอริคมีมาตรฐานที่เหมาะสมพอสมควรที่จะถูกลืมซึ่งฉันจะไป แต่ถึงกระนั้นในการเดินของฉันในปีนี้พูดถึง GDPR ฉันคิดว่ามี บริษัท จำนวนมากโดยเฉพาะ บริษัท สหรัฐที่ยังไม่พร้อมสำหรับเรื่องนี้ มันร้อนแน่นอนและบางสิ่งบางอย่างที่เราไม่ได้คิดเมื่อประมาณหนึ่งปีที่ผ่านมาเมื่อพวกเขาเพิ่งทดลองบอลลูนบางสิ่ง แต่ตอนนี้มันเป็นกฎระเบียบและเราต้องจัดการกับมันโดยที่คุณพูดเอริคอาจมาถูก ขึ้นที่นี่ - ดังนั้นอย่าไปไกลเลย
เล็กน้อยเกี่ยวกับฉันฉันจะมาที่นี่จากมุมมองข้อมูล เพื่อให้คุณรู้ว่าฉันเป็นคนเก็บข้อมูลตลอดชีวิตและให้คำปรึกษาตอนนี้เป็นเวลา 19 ปีในพื้นที่ของข้อมูลและ GDPR เป็นจำนวนมากเกี่ยวกับข้อมูล ฉันจะวางตัวโซลูชันที่นี่เมื่อฉันเข้าสู่การนำเสนอเกี่ยวกับการกำกับดูแลข้อมูล เห็นได้ชัดว่าฉันเคยทำโปรแกรมการควบคุมข้อมูลจำนวนมากและฉันคิดว่าถ้าคุณสอดคล้องกับแนวคิดนั้นคุณกำลังทำการกำกับดูแลข้อมูลบาง บริษัท จำนวนมากที่อยู่ห่างไกลออกไป อันที่จริงแล้วการปฏิบัติตาม GDPR แต่จะมีมากและตรงไปตรงมาที่สุดที่อยู่ในการกำกับดูแลและดังนั้นจึงค่อนข้างช้าในการเตรียมการ GDPR ของพวกเขา มาถึงระดับที่ตั้งไว้ที่นี่และทำความเข้าใจว่า GDPR คืออะไรเกี่ยวกับและเมื่อเราเข้าสู่บทสนทนาได้ลึกขึ้นเราจะได้รับประโยชน์มากขึ้นของ GDPR ในชีวิตธุรกิจเมื่อเราก้าวไปข้างหน้าในปีใหม่และปีต่อ ๆ ไป
GDPR สำหรับความเป็นส่วนตัวของข้อมูลพลเมืองของสหภาพยุโรป มันเป็นข้อบังคับ - หมายความว่ามีฟันหมายถึงบังคับใช้ มันไม่ใช่สิ่งที่ถูกเสนอออกมาเพื่อเป็นข้อเสนอแนะ - เกิดขึ้นแล้วและตอนนี้มันถูกสร้างขึ้นมาเป็นกฎระเบียบที่มีบทลงโทษ ฉันชอบที่จะเริ่มต้นด้วยการลงโทษเพราะมันได้รับความสนใจจากผู้คน บทลงโทษเหล่านี้แข็งทื่อ มีบทลงโทษสองประการคือมีรายได้ปีละ 2 เปอร์เซ็นต์ทั่วโลกหรือ 10 ล้านยูโรหากธุรกิจล้มเหลวในการปฏิบัติตามข้อผูกพันด้านความปลอดภัย แต่ทุกอย่างอื่นเป็นการฝ่าฝืนบทบัญญัติอื่น ๆ - และฉันจะเข้าไปหาพวกเขา - นั่นคือ 4 เปอร์เซ็นต์ คุณได้ยินมันเกี่ยวกับ - ร้อยละ 4 และโดยวิธีการมันคือ 4 เปอร์เซ็นต์หรือ 10 ล้านยูโรแล้วแต่จำนวนใดจะสูงกว่า นี่มันแข็งมาก ผู้คนจริงจังกับเรื่องนี้มาก บังคับใช้เริ่มต้นวันที่ 25 พฤษภาคม 2561 - นั่นคือวันสำคัญนั่นคือเวลาที่การตรวจสอบสามารถเริ่มได้นั่นคือเมื่อคุณได้รับค่าปรับ แน่นอนคุณต้องการที่จะพร้อมสำหรับเรื่องนี้ ทุก บริษัท ที่ฉันจัดการฉันจัดการกับ บริษัท Global 2000 จำนวนมากพวกเขาอยู่ที่ไหนสักแห่งในการเตรียม GDPR ของพวกเขามากกว่า บริษัท อื่นและบางแห่งต้องมากกว่า บริษัท อื่นในจุดนี้ แน่นอนว่ามันจะเป็นเรื่องท้าทายที่จะพบกับบางคนในวันนั้นและเราจะเห็น
มันเป็นระบอบการปฏิบัติตามข้อกำหนดด้านข้อมูลส่วนบุคคลที่ละเอียดที่สุดที่เราเคยเห็นมา เมื่อเราจะเห็นบางสิ่งที่แข็งทื่อมากขึ้นหรือสิ่งที่มีผลกระทบต่อประชากรสหรัฐฯโดยตรงใครจะรู้ แต่มันอยู่ข้างนอกและต้องได้รับการปฏิบัติตามอย่างแน่นอน มันต้องการให้องค์กรเข้าใจว่าพลเมือง PII ของ UE คืออะไรเราคุ้นเคยกับข้อมูล PII ที่ถูกต้องข้อมูลส่วนบุคคลประกันสังคมหมายเลขโทรศัพท์ที่อยู่สิ่งที่สามารถระบุตัวบุคคลหรือระบุตัวบุคคลได้อย่างเป็นธรรม สิ่งที่พวกเขามีและวิธีการใช้งาน หมายถึงสินค้าคงคลัง นี่หมายถึงข้อบังคับภายใน บริษัท ของคุณเกี่ยวกับข้อมูลประเภทนี้ สหรัฐอเมริกาไม่มีกฎหมายคุ้มครองข้อมูลทั่วประเทศทุกชนิด สหรัฐฯเป็นเช่นนี้มาตลอด - ผมจะบอกว่าเพื่อให้เป็นมุมมอง - ด้านหลังยุโรปในแง่ของกฎระเบียบแบบนี้และนั่นก็ดำเนินต่อไป ที่ต่อเนื่องกับ GDPR ที่เห็นได้ชัด บางท่านอาจรู้เกี่ยวกับการปกป้องความเป็นส่วนตัวคุณอาจสงสัยว่า มีสามหรือสี่บทบัญญัติใน GDPR ที่มีการทับซ้อนกับความเป็นส่วนตัว แต่มีร้อยบทบัญญัติใน GDPR ดังนั้นจึงเป็นมากกว่านั้นและแน่นอนว่ายังคงอยู่ในสถานที่เช่นกันและที่เกี่ยวข้องกับการแลกเปลี่ยนข้อมูลของสหรัฐอเมริกาและสหภาพยุโรป เพียง แต่นั่นเป็นสิ่งสำคัญ
อีกครั้งฉันต้องการเริ่มต้นด้วยตัวเลข คุณเคยได้ยินเกี่ยวกับค่าปรับสิ่งที่เกี่ยวกับวิธีการเตรียมตัวสำหรับสิ่งนั้น งบประมาณสำหรับ GDPR และทำสิ่งนี้ขึ้นอยู่กับปัจจัยสองประการ จำนวนข้อมูล PII ที่คุณรวบรวมกับพลเมืองสหภาพยุโรป หากคุณรวบรวมไม่เป็นไรคุณอาจปฏิบัติตามและไม่ต้องจัดการกับเรื่องนี้ แต่คุณอาจจะอยู่ในสายนี้เพราะคุณรวบรวมบางแห่ง ขนาดของ บริษัท ของคุณและการกำกับดูแลข้อมูลของคุณซึ่งตามที่ฉันได้กล่าวไว้ก่อนหน้านี้อาจจะเข้าใกล้สิ่งที่คุณต้องทำเพื่อตอบสนองต่อ GDPR คุณสามารถคาดหวังได้มากถึงหลายล้านเหรียญสหรัฐหรือยูโรตาม แต่กรณี อย่างไรก็ตามเราต้องการไม่ต้องการเพียงแค่ปฏิบัติตาม GDPR เพื่อทำเครื่องหมายในช่องนั้นแน่นอนว่าเราต้องทำเช่นนั้น หวังว่าคุณจะไม่ได้อยู่ในสถานการณ์ที่ยากลำบากซึ่งคุณเพียงต้องการที่จะทำเครื่องหมายในช่องนั้น มองหาผลประโยชน์ทางธุรกิจเพราะหลายสิ่งที่คุณทำเพื่อสนับสนุน GDPR นั้นดีต่อธุรกิจของคุณ การกำกับดูแลข้อมูลเป็นสิ่งที่ดีสำหรับธุรกิจของคุณ เมื่อพูดถึงปริมาณของข้อมูล PII บางอย่างมีความสำคัญมากกว่าข้อมูลอื่น ๆ บางอย่างจะถูกตรวจสอบมากกว่าข้อมูลอื่น ๆ เช่นสุขภาพที่เกี่ยวข้องกับข้อมูลจะถูกควบคุมอย่างเข้มงวดมากขึ้นภายใต้ GDPR มากกว่าข้อมูลประเภทอื่นและจะต้องมีการปฏิบัติตาม ด้วยภาระหน้าที่เพิ่มเติมเช่นการดำเนินการประเมินผลกระทบด้านการปกป้องข้อมูลซึ่งจะเพิ่มงบประมาณของคุณอย่างชัดเจน
นิดหน่อยเกี่ยวกับการจัดทำงบประมาณ ในกรณีที่คุณอยู่ในสหราชอาณาจักรหรือสหรัฐอเมริกาและสงสัยว่าจะมีผลกับคุณอย่างไร - GDPR ส่งผลกระทบต่อสหราชอาณาจักรที่ยังคงอยู่ในสหภาพยุโรปจนถึงวันที่ 29 มีนาคม 2019 และรัฐบาลของรัฐบาลระบุว่าบางสิ่งเช่น GDPR จะดำเนินต่อไป หลังจากวันดังกล่าวเพราะ“ เป็นความคิดที่ดี” บริษัท ในสหราชอาณาจักรต้องปฏิบัติตาม ข้อมูลพลเมืองของสหราชอาณาจักรอยู่บนโต๊ะแน่นอน ในกรณีที่ยังไม่ชัดเจนมีธุรกิจในสหรัฐฯหากคุณทำธุรกิจในสหภาพยุโรปโดยใช้ข้อมูลพลเมืองของสหภาพยุโรปสิ่งนี้จะนำไปใช้กับคุณอย่างแน่นอน สิ่งนี้มีผลกระทบกับสถาปัตยกรรมข้อมูลของคุณเพราะคุณอาจต้องปิดข้อมูล EU ของคุณจากทุกสิ่งทุกอย่างและปฏิบัติแตกต่างกัน มันมีผลต่อการวิเคราะห์อย่างที่ Eric พูดในขณะที่คุณรวบรวมการวิเคราะห์เหล่านั้นและอื่น ๆ ตอนนี้อาจเป็นเรื่องยากมากขึ้นที่จะได้รับการวิเคราะห์ทั่วโลก พวกเขาอาจกลายเป็นภาษาท้องถิ่นมากขึ้นอันเป็นผลมาจาก GDPR
มีบทบัญญัติอะไรบ้าง? มีมาตรฐานการปกป้องข้อมูล สิ่งเหล่านี้ล้วน แต่เป็นการเข้ารหัสข้อมูลที่วางไว้และเคลื่อนไหว ฉันจะพูดเกี่ยวกับการเข้ารหัสต่อไป มีมาตรฐานการแจ้งเตือนการละเมิดข้อมูล ไม่รออีกหลายเดือนรอไตรมาสเพื่อให้ทุกคนรู้ ฉันคิดว่ามีวันหนึ่งที่ยิ่งใหญ่เมื่อวันก่อนและเราพบว่า“ โอ้มันเกิดขึ้นเมื่อปีที่แล้ว” ไม่มีสิ่งใดใน GDPR - คุณมีเวลา 72 ชั่วโมง มันเป็นนโยบายชื่อและความอัปยศ หวังว่าจะไม่มีใครได้เห็นอย่างชัดเจนว่าบางคนจะ การรั่วไหลจะดำเนินต่อไปแม้กระทั่งหลังจาก GDPR แน่นอน มีกระบวนการในการตรวจสอบตำแหน่งและคุณภาพของข้อมูล ฟังดูคุ้น ๆ ไหม? นั่นคือหัวใจสำคัญของการกำกับดูแลข้อมูล หวังว่าคุณจะมีบางอย่างที่เกิดขึ้น
พลเมืองสหภาพยุโรปมีสิทธิ์ที่จะถูกลืมดังที่ Eric กล่าวไว้ เอริคมีมาตรฐานความสมเหตุสมผลนี้อยู่บ้าง คุณไม่จำเป็นต้องลบล้างทุกอย่างที่จำเป็นหากคุณอาจต้องติดต่อกับลูกค้ารายนั้นพนักงานคนนั้นอีกครั้งคุณจะได้รับอนุญาตให้เก็บข้อมูลส่วนบุคคลบางประการไว้ แต่อย่างไรก็ตามพลเมืองเหล่านั้นมีสิทธิ์ที่จะถูกลืม แต่ไม่มีความพยายามที่ไม่ได้สัดส่วน - นั่นคือภาษา - ต่อคุณหรือเป็นอันตรายต่อ บริษัท นั่นคือคุณต้องกำจัดข้อมูลนั้น ฉันไม่ต้องการมองข้าม แต่คุณต้องเผยแพร่สำเนาของข้อมูลส่วนบุคคลที่ถูกเก็บไว้และคุณจะได้รับข้อมูลนั้นภายใต้ความยินยอมเท่านั้น ความยินยอมนั้นจะต้องได้รับจากผู้ที่มีอายุน้อยที่สุดในการอนุญาตการอนุญาตดังกล่าว นั่นเป็นคำพูดที่นั่น แต่ให้สิทธิพลเมืองแก่ข้อมูลของพวกเขามากมาย นั่นคือการพกพาที่นั่นในกรณีที่เกิดขึ้น สิทธิ์ที่จะถูกลืมชัดเจน แต่ด้วย - และบางสิ่งที่ไม่ได้อยู่บนสไลด์ของฉันที่สำคัญมาก - คือหัวเรื่องของข้อมูลจะมีสิทธิ์ที่จะไม่ถูกตัดสินใจโดยอาศัยการประมวลผลอัตโนมัติเพียงอย่างเดียว เรามีอะไรที่เคลื่อนไหวอย่างหนักเพื่อ? การประมวลผลอัตโนมัติ, การรับเงินกู้, ข้อเสนอที่เราจะให้, สิ่งนี้จะต้องดำเนินการในแง่ของวิธีการที่จะเล่นและวิธีนี้จะไปไกล สิ่งที่สำคัญที่สุดคือการพูดคือความโปร่งใสว่าทำไมฉันถึงถูกปฏิเสธทำไมฉันถึงได้รับการปฏิบัติจาก บริษัท นี้ นี่คือตอนนี้ได้รับอนุญาตให้พลเมืองของสหภาพยุโรป
เห็นได้ชัดว่ามีบางส่วนเกี่ยวกับวิธีที่เราทำธุรกิจและหวังว่าคุณจะเห็นว่า GDPR ไม่ใช่ปัญหาด้านไอทีไม่ใช่ปัญหาด้านไอทีเท่านั้น กระบวนการทางธุรกิจทั้งหมดนี้เกี่ยวข้องกัน มันจะเกี่ยวข้องกับผู้คนจากทั่วทั้ง บริษัท ขอแนะนำให้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลสำหรับ บริษัท เหล่านั้นที่มีพนักงานมากกว่า 250 คนและคุณมี "คณิตศาสตร์ที่สำคัญกับข้อมูล EU PII" คุณสามารถตัดสินใจได้ด้วยตัวเองหากคุณมีคณิตศาสตร์ที่สำคัญบางครั้งก็ไม่ชัดเจน แต่มีบทบาทใหม่ - ไม่จำเป็นต้องมีบทบาทเต็มเวลาบุคคลสามารถมีความรับผิดชอบอื่น ๆ แต่ฉันไม่รู้ - ในองค์กรขนาดกลางและขนาดใหญ่บางแห่งฉันคิดว่าการปฏิบัติตาม GDPR จะเป็นอย่างไร ใกล้ชิดกับบทบาทเต็มเวลา ฉันจะบอกว่าเริ่มต้นด้วยวิธีนั้นและดูว่าคุณสามารถจัดการกับมันได้หรือไม่ โดยเฉพาะอย่างยิ่งในปีหน้าเมื่อคุณได้ทำหน้าที่ร่วมกันรอบ GDPR เมื่อมีการตัดสินบางทีคุณอาจทำให้งานช้าลง แต่มันจะทำให้บาง บริษัท ใช้เวลาสักหน่อย อนุญาตให้แต่ละคนเห็นข้อมูลและการพกพาข้อมูลของตนเองดังที่ฉันได้กล่าวไว้ก่อนหน้านี้
นี่ไม่ใช่เรื่องใหม่ แต่อย่างใด แต่สิทธิในการถูกลืมได้ถูกออกไปจริง ๆ เชื่อหรือไม่ กฎปัจจุบันของสหภาพยุโรปได้จัดเตรียมไว้เพื่อให้สิทธิ์ในการลบข้อมูลส่วนบุคคลหรือไม่สามารถใช้งานได้ อย่างไรก็ตามตอนนี้มันเป็นส่วนหนึ่งของ GDPR มันจะถูกบังคับใช้อย่างกว้างขวางมากขึ้น การเข้ารหัสข้อมูล - เข้ารหัสข้อมูลของคุณที่เหลือ ใช้วิธีการเข้ารหัสมาตรฐานอย่าใช้การเข้ารหัสแบบดั้งเดิมหรือแบบที่ไม่ได้มาตรฐาน AES เป็นสิ่งที่เราแนะนำให้ทำ ใช้คีย์การเข้ารหัสที่ปลอดภัยด้วยการเข้ารหัส เปลี่ยนคีย์เหล่านั้นเป็นระยะ ยังป้องกันไม่ให้กุญแจเหล่านั้นสูญหาย นี่เป็นเพียงแนวทางการเข้ารหัสที่ดี แต่ตอนนี้พวกเขากำลังมาถึงแถวหน้าด้วย GDPR ปัญหานั้นอยู่ที่ - ฉันเพิ่งตีปลายของภูเขาน้ำแข็ง เห็นได้ชัดว่ามีบทบัญญัติมากขึ้น แต่เป็นบทบัญญัติหลัก
ตอนนี้แก้ปัญหา การกำกับดูแลข้อมูลกรอบการปฏิบัติตามของคุณอย่างน้อยนั่นคือมุมมองที่ฉันหยิบยกมาไว้ที่นี่ โชคดีที่มีระเบียบวินัยที่คล่องแคล่วซึ่งสามารถและทำได้เมื่อครบกำหนดที่อยู่ส่วนใหญ่ของข้อกำหนดและนั่นคือการกำกับดูแลข้อมูล - เห็นได้ชัดว่าฉันกำลังพูดว่า โปรแกรมการกำกับดูแลควรมีอภิธานศัพท์ข้อมูลและที่นี่ฉันกำลังใช้อภิธานศัพท์ข้อมูลในแง่ทั่วไปเพื่อหมายถึงเอกสารทั่วทั้งกระดานสำหรับกระบวนการของคุณ นี่คือพื้นฐานเพื่อตอบสนองความต้องการสินค้าคงคลังของ GDPR ซึ่งก็คือที่เราเห็นมีขนาดใหญ่มาก โปรแกรมโปรแกรมการกำกับดูแลควรอำนวยความสะดวกในโปรโตคอลความปลอดภัยของข้อมูล - และฉันขีดเส้นใต้ว่าเพราะนั่นไม่ใช่สิ่งที่โปรแกรมการกำกับดูแลข้อมูลจำนวนมากกำลังทำอยู่ในขณะนี้ แต่ฉันคิดว่านี่เป็นเหตุผลที่ควรทำ นั่งในโปรแกรมที่กำหนดว่าใครเป็นเจ้าของธุรกิจ ใครต้องดูบ้าง จากนั้นขั้นตอนต่อไปคือการให้สิทธิ์เหล่านั้น ที่จะต้องมีการรวมศูนย์ที่จะต้องมีแบบแผน จะต้องมีนโยบายภายในที่ใช้ Stewardship จะต้องได้รับมอบหมายให้องค์ประกอบทั้งหมดเพื่อให้ข้อมูลทั้งหมดข้างต้น การกำกับดูแลข้อมูลยังสามารถเป็นผู้ดำเนินการด้านวิศวกรรมกระบวนการทางธุรกิจที่จำเป็นต้องมี
ก่อนที่ฉันจะออกจากสไลด์นี้ในการหลีกเลี่ยงการเสียค่าปรับที่หนักหนาสาหัส บริษัท ต่างๆจะต้องรับเอาแนวทางปฏิบัติทางธุรกิจที่ดีมาเป็นผลพลอยได้ ฉันอยากจะบอกว่ามันเป็นมากกว่าผลพลอยได้ แต่จริงๆแล้วมันเป็นเรื่องที่ดีธุรกิจเสียงที่สามารถนำคุณไปสู่สถานที่ใหม่จากมุมมองทางธุรกิจ แน่นอนว่าคุณจะได้รับประสิทธิภาพอย่างมากสำหรับการทำโครงการทั้งหมดในคณะกรรมการถ้าคุณมีการกำกับดูแลข้อมูลเสียงนั่นคือสิ่งที่ฉันได้เห็นในช่วงหลายปีที่ผ่านมา โดยการเพิ่มสิ่งเหล่านี้บางอย่างที่ฉันพูดถึงการกำกับข้อมูลพวกเขาจะดีขึ้นเท่านั้น ในวิศวกรรมกระบวนการทางธุรกิจของคุณเราขอแนะนำให้คุณถามคำถามเหล่านี้ทั่วทั้งกระดาน เรารวบรวมข้อมูลประเภทใดในลูกค้าสหภาพยุโรปของเรา ฉันจะไม่อ่านมันทั้งหมด บางส่วนของคนสำคัญที่นี่ ใครมีความต้องการที่จะเห็นข้อมูลนี้และกำลังถูกติดตาม? ใครเป็นผู้ดูแลข้อมูลสำหรับข้อมูลนั้น ใครเป็นคนไปสู่ธุรกิจของฉัน? นี่เป็นเรื่องใหญ่: เราแบ่งปันข้อมูลนี้กับบุคคลที่สามหรือไม่ เพียงเพราะคุณมอบให้แก่บุคคลที่สามไม่ใช่ข้อแก้ตัวของคุณเกี่ยวกับข้อมูลนั้น - นั่นคือข้อมูลของคุณ แต่ยังเป็นข้อมูลที่คุณเก็บรวบรวม มีสัญญาของบุคคลที่สามมากมายที่ถูกตรวจสอบอย่างละเอียดเนื่องจาก GDPR ระบบเหล่านี้มีข้อผิดพลาดหรือไม่ ความหมายเมื่อพวกเขาล้มเหลวพวกเขาล้มเหลวในเส้นทางที่เราได้กำหนดไว้ล่วงหน้าหรือว่าพวกเขาล้มเหลวผิดพลาดเผาไหม้และเราเริ่มต้นจากการขีดข่วนขุดลงไป มันจะดีขึ้นมากอย่างเห็นได้ชัด เป็นวิธีปฏิบัติที่ดีอยู่แล้ว แต่เห็นได้ชัดว่าดีขึ้นมากสำหรับวิศวกรรมย้อนกลับของบางสิ่งนี้หากคุณมีความล้มเหลวที่กำหนดไว้อย่างดีในระบบของคุณ
การเก็บข้อมูลเราได้พูดถึงการเก็บข้อมูลตลอดกาล บริษัท จำนวนมากมีนโยบายพวกเขาไม่ได้ติดตามพวกเขาทั้งหมด เห็นได้ชัดว่ามีชื่อเสียงในการดูแลสุขภาพและการเงินเราต้องการเก็บข้อมูลเราต้องเก็บข้อมูลเป็นเวลาหลายปี นักวิเคราะห์บางคนใน บริษัท เหล่านี้ที่เก็บข้อมูลเป็นเวลาเจ็ดปีหรืออะไรก็ตามพูดว่า“ โอ้หลังจากนั้นฉันก็ยังต้องการข้อมูลนั้น” ทนายบางคนใน บริษัท เหล่านี้พูดว่า“ แต่เราต้องกำจัดมันออกไป เพื่อวัตถุประสงค์ด้านความรับผิด” และอื่น ๆ นั่นไม่เพียงแค่นั่งอยู่ตรงนั้นในฐานะที่เป็นประเด็นปัญหาเกี่ยวกับ GDP อีกต่อไป เราต้องมีระยะเวลาการเก็บรักษามีการติดตามอย่างสม่ำเสมอทั่วทั้งกระดานภายในองค์กร
และในที่สุดคุณจะระดมพลหาช่องโหว่ข้อมูลได้อย่างไร? สถานการณ์ที่เลวร้ายที่สุดที่อาจเกิดขึ้นกับคุณ เห็นได้ชัดว่าเรากำลังพยายามป้องกันพวกเขา แต่ถ้ามันเกิดขึ้น? คุณทำสงครามกับสิ่งต่าง ๆ และทำให้แน่ใจว่าคุณกำลังติดตามบทบัญญัติของ GDPR ในการตอบสนองของคุณในขณะนี้? ฉันเป็นสถาปนิกข้อมูลฉันคิดถึงสถาปัตยกรรมข้อมูล หากคุณเป็น บริษัท ในสหรัฐอเมริกาที่มีการดำเนินงานในสหภาพยุโรปหมายถึงข้อมูลพลเมืองของสหภาพยุโรป - คุณกำลังรวบรวมคุณจะต้องพิจารณาว่าจะใช้มาตรฐานการปกป้องข้อมูลกับข้อมูลทั้งหมดหรือเฉพาะข้อมูลในสหภาพยุโรป ใช่ฉันมีลูกค้าที่ตัดสินใจตอนนี้ ในฐานะที่เป็นแนวปฏิบัติทางธุรกิจที่ดีพวกเขาอาจต้องการนำสิ่งนั้นไปยังสหรัฐอเมริกาพวกเขาอาจรู้สึกว่าพวกเขามีเวลา แต่ก็ทำให้เกิดหัวข้อย่อยที่สอง คุณอาจต้องปิดข้อมูล EU จากระบบสหรัฐฯหากคุณไม่สามารถรับรองได้ว่าระบบของสหรัฐอเมริกาจะจัดการข้อมูลอย่างเหมาะสม ข้อมูลแยกจากกันเพื่อจุดประสงค์ในการวิเคราะห์หรือไม่ การวิเคราะห์จะใช้ได้แม้ในกรณีที่คุณพยายามทำมันข้ามประเทศ บางครั้งใช่บางครั้งไม่ถูกต้อง? คุณอาจพบว่าการวิเคราะห์ของคุณจะถูกปิดเสียงเป็นผล
ดังที่ฉันได้กล่าวไว้ก่อนหน้านี้ปัญญาประดิษฐ์เล่นอยู่ที่นี่เพราะเห็นได้ชัดว่าเราสามารถใช้ AI เพื่อค้นหาข้อมูลทั้งหมดช่วยเราค้นหาข้อมูลทั้งหมด แต่ถ้าเราใช้ AI ในส่วนติดต่อลูกค้าของเราเราต้องมีความโปร่งใสในขณะนี้กับลูกค้าของเรา อินเทอร์เฟซและนั่นไม่เคยเป็นชุดที่แข็งแกร่งของ AI เพื่อพยายามบอกลูกค้าว่า“ คุณถูกปฏิเสธเพราะ blah, blah, blah” เมื่อเป็น AI จริงๆ ที่ตอนนี้จะต้องมีการทำ เราต้องหาว่า AI ทำงานอย่างไรปัจจัยคืออะไร ไม่สามารถนั่งที่นั่นและเป็นกล่องดำให้คุณได้อีกต่อไป เราจะทำอย่างไรตอนนี้ จัดตั้งคณะกรรมการ GDPR ของคุณ ฉันขอแนะนำให้คุณมีเจ้าหน้าที่ความเป็นส่วนตัวอาวุโสของคุณในนั้นหรือถ้าคุณมีเจ้าหน้าที่คุ้มครองข้อมูล หัวหน้าฝ่ายกำกับดูแลข้อมูลความเสี่ยงในการปฏิบัติงานและ / หรือการปฏิบัติตามที่หัวหน้าฝ่ายไอที CIO เป็นบุคคลนั้น หากคุณมีผู้บริหารที่มีการเปลี่ยนแปลงนั่นจะเป็นบุคคลที่ยอดเยี่ยมในนั้น เพียงแค่เป็นหัวหน้าแผนกที่สำคัญที่สุดในธุรกิจของคุณและหัวหน้าฝ่ายทรัพยากรบุคคลเพราะการอบรมเรื่องความเป็นส่วนตัวในตอนนี้กำลังจะยิ่งใหญ่ ทุกคนจะได้รับการฝึกอบรมความเป็นส่วนตัวหรือควรได้รับการฝึกอบรมความเป็นส่วนตัวเมื่อพวกเขาลงทะเบียน บริษัท แม้แต่ที่ปรึกษา
หากคุณไม่ได้ทำสิ่งเหล่านี้ที่คุณเห็นที่นี่คุณจะต้องย้ายเร็วกว่าที่คุณต้องการกำหนดเวลา คุณต้องเริ่มด้วยความหวังว่าคุณไม่ใช่คนแรก ๆ ที่จะได้รับการตรวจสอบเพราะตรงไปตรงมามีงานมากมายที่นี่ถ้าคุณเริ่มต้นจากศูนย์และคุณจัดการกับข้อมูลพลเมืองของสหภาพยุโรปจำนวนมาก จ้าง DPO ของคุณทำรายการข้อมูลและกระบวนการของคุณ สร้างแผนนั้นสำหรับการควบคุมข้อมูลนำไปจากที่ที่มันอยู่ไปยังที่ที่มันต้องการ แล้วแต่กรณีคุณอาจต้องการเริ่มต้น จัดทำนโยบายความเป็นส่วนตัวและประกาศนโยบายของคุณ นโยบายความเป็นส่วนตัวเป็นเรื่องภายใน ประกาศนโยบายไปภายนอก เรากำลังเห็นวัฒนธรรมเริ่มถูกสร้างขึ้นในขณะนี้รอบประกาศนโยบาย มีการเปรียบเทียบจำนวนมากและมีการใช้ถ้อยคำอย่างระมัดระวังรอบประกาศนโยบายเหล่านี้ กฎบัตรการตรวจสอบการปฏิบัติตาม GDPR สำหรับทุกระบบรวมถึงระบบใหม่ คุณอาจต้องเรียงลำดับและทำตามลำดับความสำคัญ แต่นี่เป็นอีกวิธีหนึ่งในการจัดการปัญหา ดูระบบและสิ่งที่พวกเขาควรจะทำและวิธีจัดการข้อมูลนี้
GDPR ส่งสัญญาณอะไร นั่นคือสิ่งที่เราอยู่ที่นี่เพื่อพูดคุยเพิ่มเติมเล็กน้อย ฉันหวังว่าสิ่งที่คิมจะพูดเกี่ยวกับเรื่องนี้ GDPR คือการเปลี่ยนแปลงในการควบคุมความเป็นส่วนตัวของข้อมูลไปสู่การควบคุม มันเป็นแนวโน้มสู่ความโปร่งใสมันกล่าวได้อย่างถูกต้องในบทบัญญัติ เรากำลังสร้างวัฒนธรรมของประกาศความเป็นส่วนตัวนี้อย่างที่ฉันพูดถึงนั่นคือสิ่งที่ตอนนี้ เราจะเห็นการประชุมเกี่ยวกับประกาศความเป็นส่วนตัวและอื่น ๆ การเปลี่ยนแปลงจีดีพีเป็นไปเพื่อสิทธิขั้นพื้นฐานของประชาชน คำถามที่เปิดจะได้ผล มีคำถามที่เปิดกว้างอย่างชัดเจนฉันทิ้งไว้สองสามข้อให้กับเรา ไม่มีใครมีคำตอบ พวกเขากำลังจะได้ผล แนวโน้มต่อความเข้าใจที่มากขึ้นโดยบุคคลเกี่ยวกับข้อมูลของพวกเขาและวิธีการใช้งาน ฉันคิดว่าสิ่งนี้ได้สร้างความตระหนักในหมู่ประชากรของสหภาพยุโรปเกี่ยวกับความสำคัญของข้อมูลของพวกเขาและเห็นว่าเป็นหนึ่งในสินทรัพย์ส่วนบุคคลของพวกเขาที่พวกเขาต้องจัดการเพิ่มเติม นั่นคือสัญญาณแรก ๆ ที่ฉันได้เห็นและเอริคฉันจะโยนมันกลับไปหาคุณตอนนี้
Eric Kavanagh: เอาล่ะให้ฉันมอบกุญแจให้กับ Kim ซึ่งสามารถแบ่งปันมุมมองของเธอได้บ้าง แต่ฉันคิดว่านั่นเป็นภาพรวมที่ดี William และคุณก็ตีประเด็นสำคัญ - นั่นคือสิ่งที่ทำให้หอกลงแน่นอน และเราต้องระวังให้มากตรงไปตรงมา ด้วยสิ่งนั้นขอให้ฉันมอบกุญแจให้คิมและคุณสามารถแชร์หน้าจอของคุณและรับมันจากที่นั่น
Kim Brushaber: เฮ้คุณได้ยินฉันมั้ย
Eric Kavanagh: ฉันได้ยินคุณ
Kim Brushaber: เยี่ยมมาก William ครอบคลุมสิ่งเดียวกันกับที่ฉันจะกล่าวถึง แต่ฉันคิดว่าพวกเขาควรค่าอีกครั้งเพราะพวกเขาสำคัญมาก ฉันคิดว่าเมื่อกฎระเบียบใหม่หมดลงจริง ๆ แล้วมันดีจริง ๆ ที่ได้มุมมองและการตีความที่แตกต่างกันของผู้คนมากมายเพื่อให้บางสิ่งบางอย่างทำให้คุณนึกถึงและทำให้คุณสามารถปฏิบัติตามได้มากขึ้น ฉันได้รับการสนับสนุนจากทุกคนที่อยู่ในสายนี้ที่ต้องการทราบข้อมูลเพิ่มเติมเพราะฉันคิดว่าจะมาในวันที่ 25 พฤษภาคมอาจมีความตื่นตระหนกมากมายสำหรับ บริษัท ที่ถูกไล่ล่าหลังจากไม่ได้ปฏิบัติตาม
ฉันชื่อ Kim Brushaber ฉันเป็นผู้จัดการผลิตภัณฑ์อาวุโสของ IDERA ฉันมีผลิตภัณฑ์หลายอย่างภายใต้ตัวฉันซึ่งช่วยในเรื่องความสอดคล้องกับ GDPR รวมถึงกฎระเบียบอื่น ๆ ฉันจะกระโดดเข้าไปในข้อมูลบางส่วน ฉันจะเริ่มต้นด้วยข้อเท็จจริงและตัวเลขบางส่วนจากนั้นก็ศึกษาเกี่ยวกับ GDPR และจากนั้นเครื่องมือของเราจะช่วยคุณได้อย่างไร ข้อเท็จจริงอย่างหนึ่งคือบันทึกข้อมูลมากกว่า 5 ล้านรายการจะสูญหายหรือถูกขโมยทุกวัน เราไม่ได้ยินสิ่งนี้รายงานในข่าวเราไม่ได้ยินสิ่งนี้มาจากที่อื่น แต่มีบันทึกข้อมูลมากกว่า 5 ล้านรายการที่ถูกขโมยตลอดเวลาจากเรา จำนวนวันเฉลี่ยที่ผู้โจมตีพักอยู่ในเครือข่ายของคุณคือ 200 วัน ระบบจำนวนมากถูกแทรกซึมโดยคนที่มีเจตนาร้ายที่กำลังรอโอกาสที่จะใช้ประโยชน์จากข้อมูลของคุณซึ่งส่วนใหญ่อยู่ในความปลอดภัยและใบรับรอง แต่พวกเขากำลังรอให้ถึงช่วงเวลา นั่นเป็นเหตุผลที่มันสำคัญมากขึ้นในการจัดการความปลอดภัยของข้อมูลของคุณ ค่าใช้จ่ายเฉลี่ยของการรั่วไหลของข้อมูลเดียวในปี 2020 คาดว่าจะเกิน 150 ล้านดอลลาร์เนื่องจากโครงสร้างพื้นฐานทางธุรกิจเชื่อมต่อกับแหล่งข้อมูลออนไลน์มากขึ้นและมีสิ่งต่าง ๆ เพิ่มขึ้นในระบบคลาวด์ นั่นเป็นหมายเลขงบประมาณที่ดีถ้าคุณกังวลเกี่ยวกับความปลอดภัยของข้อมูลเพื่อมอบให้กับทีมผู้บริหารของคุณเพื่อบอกพวกเขาว่านี่เป็นเรื่องร้ายแรงและอาจทำให้เราเสียเงินจำนวนมากในอนาคต
ฉันจะไปสรุปข้อมูลการละเมิดข้อมูล Equifax สั้น ๆ เพราะฉันคิดว่ามันเป็นการละเมิดข้อมูลที่ใหญ่ที่สุดของปี 2560 เพื่อนำเสนอภาพของสิ่งที่เป็นไปได้ การละเมิดดังกล่าวส่งผลกระทบต่อลูกค้า 145.5 ล้านคน พนักงานรับทราบปัญหาความปลอดภัยกับเว็บแอปพลิเคชันของพวกเขาสองเดือนก่อนที่จะมีการละเมิดเกิดขึ้น พนักงานกำลังพูดว่า“ นี่เป็นปัญหา” และแม้แต่นิดหน่อยก่อนหน้านั้นก็คือตอนที่ปะออกมาจริง ๆ ใช้เวลาหนึ่งวันเต็มเมื่อการฝ่าฝืนเกิดขึ้นเพื่อตอบสนองและทำให้เว็บแอปพลิเคชันออฟไลน์ เนื่องจาก Equifax ไม่มีโปรโตคอลความปลอดภัยของข้อมูลที่กำหนดไว้จึงต้องใช้เวลาพอสมควรในการพิจารณาว่าเกิดอะไรขึ้นและสามารถใช้ระบบออฟไลน์ได้ หกสัปดาห์หลังจากการฝ่าฝืนประชาชนได้รับการแจ้งเตือน ด้วย GDPR - ตามที่เราได้กล่าวไว้ข้างต้นและฉันจะพูดอีกครั้ง - คุณต้องรายงานภายใน 72 ชั่วโมงและ Equifax จะมีมือของพวกเขาผูกและไม่สามารถปฏิบัติตามนั้นเพราะพวกเขารอเป็นเวลาหกสัปดาห์เพื่อรายงาน การสื่อสารเพื่อตอบสนองต่อการละเมิดนั้นรวมถึงเว็บไซต์ที่ไม่ได้เป็นเจ้าของโดย Equifax Equifax กำลังทวีตซ้ำทวีตนี้ซึ่งไม่ได้อยู่ในโดเมนของพวกเขา - พวกเขากลับคำบางคำไป โชคดีที่มันไม่ใช่ไซต์ที่เป็นอันตรายที่ใช้ประโยชน์จากสิ่งนั้น แต่เห็นได้ชัดว่าไม่ได้เตรียมไว้ พวกเขาไม่มีแผนและนี่ก็กลายเป็นที่รับรู้ในเวทีสาธารณะ Equifax ไม่ได้อยู่คนเดียว - มีการโจมตีทางไซเบอร์มากกว่า 25 ครั้งในปี 2560 และเรายังสามารถหาข้อมูลเพิ่มเติมได้ก่อนสิ้นปีนี้ บริษัท ต่าง ๆ ต้องเริ่มต้นทำสิ่งนี้อย่างจริงจังเพราะมีคนอยู่ที่นั่นและถ้าคุณให้เหตุผลกับพวกเขาที่จะมาหาคุณคุณควรเตรียมพร้อมที่จะรับมือกับมันได้ดีกว่า
ข้อมูลและตัวเลขเกี่ยวกับข้อมูลอื่น ๆ เกี่ยวกับความปลอดภัยของข้อมูลของแต่ละบุคคล ภายในปี 2563 จะมีอุปกรณ์ 30 พันล้านเครื่องที่เชื่อมต่ออินเทอร์เน็ตผ่านทางบ้านของเราผ่านเครื่องแต่งตัวของเราผ่านทางโทรศัพท์แท็บเล็ตของเราและผู้ที่รู้ว่าจะมีอะไรอีกที่จะเกิดขึ้นอีกในอนาคต มีอุปกรณ์มากมายที่เหลือจากการโจมตีเหล่านี้ สี่สิบเก้าเปอร์เซ็นต์ของชาวอเมริกันรู้สึกว่าข้อมูลส่วนบุคคลของพวกเขาปลอดภัยน้อยกว่าเมื่อห้าปีก่อน เจ็ดสิบสามเปอร์เซ็นต์ของผู้บริโภคในอเมริกาต้องการให้ บริษัท มีความโปร่งใสเกี่ยวกับข้อมูลส่วนบุคคลของพวกเขา เจ็ดสิบแปดเปอร์เซ็นต์ของผู้คนอ้างว่าตระหนักถึงความเสี่ยงในการคลิกที่ลิงค์ที่ไม่รู้จักและอีเมล แต่พวกเขาคลิกที่ลิงค์เหล่านั้นต่อไป - นั่นคือมากกว่าสามในสี่ของประชากรของเราและพวกเขายังคลิกลิงก์แม้ว่าพวกเขาจะ รู้ว่ามันอาจเป็นปัญหา ร้อยละแปดสิบหกของผู้ใช้อินเทอร์เน็ตพยายามอย่างแข็งขันลดย่อระบุชื่อและซ่อนการมองเห็นรอยเท้าดิจิตอลของพวกเขา พ่อเลี้ยงของฉันชอบออกไปและสร้างชื่อปลอมเมื่อเขากรอกแบบฟอร์มเพราะเขาคิดว่านั่นทำให้เขาไม่เปิดเผยตัวตน แต่เขารู้ว่าที่อยู่ IP ของเขาก็ถูกติดตามด้วยเช่นกัน มีข้อกังวลส่วนตัวมากมายและนั่นคือสิ่งที่วางไข่ของกฎระเบียบ GDPR จำนวนมากและอาจมีกฎระเบียบเพิ่มเติมที่จะตามมา
เท่าที่อุตสาหกรรมข้อเท็จจริงด้านความปลอดภัยข้อมูล 90 เปอร์เซ็นต์ของการบันทึกข้อมูลการละเมิดในปี 2016 มาจากรัฐบาลค้าปลีกและเทคโนโลยี สี่สิบสามเปอร์เซ็นต์ของการโจมตีทางไซเบอร์โจมตีธุรกิจขนาดเล็ก ถ้าคุณคิดว่า“ โอ้ฉันไม่ใช่คนตัวใหญ่พวกเขาจะไม่ตามฉันมา” ยังมีพวกเขาเกือบครึ่งหนึ่งที่ทำธุรกิจเล็ก ๆ เจ็ดสิบห้าเปอร์เซ็นต์ของอุตสาหกรรมการดูแลสุขภาพติดมัลแวร์ในปีที่ผ่านมา เจ็ดสิบเปอร์เซ็นต์ของ บริษัท น้ำมันและก๊าซของสหรัฐถูกแฮ็กเมื่อปีที่แล้ว นี่เป็นผลกระทบอย่างมากต่ออุตสาหกรรมต่าง ๆ ที่เปิดดำเนินการและจำนวนนี้จะเพิ่มขึ้นจากที่นี่เท่านั้น
เมื่อคุณมองจากมุมมองของผู้บริหาร 90 เปอร์เซ็นต์ของซีไอโอยอมรับว่าเสียเงินหลายล้านดอลลาร์ไปกับการรักษาความปลอดภัยทางไซเบอร์ที่ไม่เพียงพอ เก้าสิบเปอร์เซ็นต์บอกว่าพวกเขาถูกโจมตีหรือพวกเขาคาดหวังว่าจะถูกโจมตีโดยพวกที่ซ่อนตัวอยู่ในการเข้ารหัส ร้อยละแปดสิบเจ็ดเชื่อว่าการควบคุมความปลอดภัยของพวกเขาล้มเหลวในการปกป้องธุรกิจของพวกเขา ร้อยละแปดสิบห้าของซีไอโอคาดว่าการนำคีย์และใบรับรองไปใช้ในทางที่ผิดจะแย่ลง นี่คือ บริษัท จำนวนมากที่กำลังดูที่ปัญหาความปลอดภัยของข้อมูลนี้และความจริงก็คือพวกเขาส่วนใหญ่ไม่มีวิธีแก้ปัญหาที่ดีมากนักแม้แต่จะสามารถจัดการกับมันได้เมื่อมันเกิดขึ้นแม้ว่าพวกเขาจะเชื่อว่า มันจะเกิดขึ้น.
เมื่อเราดูความพร้อมของมันในปี 2014 70 เปอร์เซ็นต์ของคนนับพันยอมรับว่าพวกเขานำแอพพลิเคชั่นภายนอกเข้าไปในองค์กรของพวกเขาโดยละเมิดนโยบายด้านไอที เจ็ดสิบเปอร์เซ็นต์ยอมรับว่า - อาจมีจำนวนมากกว่านั้นที่ทำจริง ร้อยละห้าสิบสองขององค์กรที่ประสบความสำเร็จในการโจมตีทางไซเบอร์ในปี 2559 ไม่ได้ทำการเปลี่ยนแปลงใด ๆ ต่อความปลอดภัยของพวกเขาในปี 2560 แม้ว่าพวกเขาจะถูกโจมตีเพียงครั้งเดียว แต่พวกเขาก็ยังไม่ได้ไปซุกกำแพง ก่อนการโจมตี นี่เป็นคำถามจริงๆว่า บริษัท ต้องเริ่มทำอะไรเพื่อเตรียมพร้อมสำหรับสิ่งเหล่านี้ องค์กรระดับโลกสามสิบแปดเปอร์เซ็นต์อ้างว่าพวกเขาพร้อมที่จะรับมือกับการโจมตีทางไซเบอร์ที่ซับซ้อน นั่นเป็นสิ่งที่ดี - เกือบครึ่งหนึ่งอยู่ที่นั่นและฉันมีน้ำใจกับสิ่งนั้นเราเพียงแค่หนึ่งในสามเท่านั้น แต่ยังมีอีกครึ่งที่พูดว่า“ ฉันยังไม่พร้อม ถ้าฉันถูกโจมตีฉันก็ไม่พร้อมและแฮ็กเกอร์ก็รู้” ร้อยละสามสิบแปดขององค์กรมีแผนรับมือเหตุการณ์ไซเบอร์ บริษัท ส่วนใหญ่อยู่ในกลุ่มเดียวกันกับ Equifax ที่พวกเขาไม่รู้ว่าพวกเขาจะทำอะไร หากพวกเขาได้รับสิ่งนี้พวกเขาจะต้องตอบโต้และทำสิ่งเหล่านี้ได้ทันทีและกฎระเบียบเช่น GDPR บอกว่า“ คุณต้องมีสิ่งเหล่านี้มาแทนที่ คุณต้องให้พวกเขาเผยแพร่ คุณต้องพิสูจน์ให้กับผู้ตรวจสอบด้านความปลอดภัย” หวังว่าด้วยผลกระทบเช่นนี้ด้วยกฎระเบียบเช่นนั้นเราจะสามารถก้าวไปข้างหน้าของโค้งนี้และแทนที่จะเป็นปฏิกิริยาเราสามารถรุกในการแสวงหาของเรา
มาพูดถึง GDPR กันหน่อย บางส่วนของวิลเลียมนี้ได้ครอบคลุมไปแล้ว แต่ฉันจะไปข้างหน้าและครอบคลุมอีกครั้งเพียงจากการใช้ของฉันเสียงของฉันมุมมองของฉัน หลาย บริษัท ที่ฉันคุยด้วยพวกเขาชอบ“ ฉันอยู่ในสหรัฐฯทำไมฉันถึงต้องใส่ใจเรื่องกฎของสหภาพยุโรปนี้ด้วย?” ความจริงที่ว่าผู้คนจำนวนมากไม่คึกคักและผู้คนไม่ได้พูดถึง พวกเขาคิดว่ามีเพียงสมาชิกในสหภาพยุโรปที่ได้รับผลกระทบ แต่ฉันจะถามคุณถ้าคุณดูรายการนี้คุณรวบรวมข้อมูลใด ๆ จากสมาชิกสหภาพยุโรปหรือไม่ หากคุณรวบรวมข้อมูลใด ๆ เลยคุณจะต้องอยู่ภายใต้ขอบเขตของ GDPR รวมถึงบทลงโทษที่ไม่ปฏิบัติตาม ฉันจะให้เวลาคุณดูดซับสิ่งนี้และเข้าใจสิ่งนี้ ดังที่วิลเลียมกล่าวถึงก่อนหน้านี้สิ่งเหล่านี้เป็นบทลงโทษและบทลงโทษตามที่อ้างถึงในมาตรา 83 ของ GDPR ในตอนแรกคุณอาจตบมือได้เตือนเล็กน้อยว่า“ เฮ้ทำหน้าที่ของคุณด้วยกัน วางสิ่งนี้ไว้ในสถานที่” แต่ถ้าคุณมีช่องโหว่ที่ใหญ่มาก - และขึ้นอยู่กับว่ามีข้อตกลงใหญ่ขนาดไหน - พวกเขาจะกลับมาหาคุณเพื่อชดใช้ความเสียหาย ไม่ใช่ 10 ล้าน แต่เป็น 20 ล้านยูโรหรือ 4 เปอร์เซ็นต์ของมูลค่าการซื้อขาย / รายได้ของคุณจากปีที่แล้ว นั่นเป็นเงินจำนวนมาก นี่เป็นงบประมาณจำนวนมากที่จะไปที่ทีมผู้บริหารของคุณและพูดว่า“ นี่คือสิ่งที่เราต้องเริ่มจริงจังและเราต้องลงมือทำ”
ผมขอพูดถึงหลักการ GDPR นิดหน่อยดังที่กล่าวไว้ในข้อ 5 สิ่งหนึ่งที่พวกเขากล่าวคือข้อมูลส่วนบุคคลควรถูกประมวลผลอย่างถูกกฎหมายเป็นธรรมและโปร่งใส นั่นหมายถึงสาธารณชนต้องการทราบว่าคุณกำลังทำอะไรกับข้อมูลของพวกเขา มีความโปร่งใสเกี่ยวกับเรื่องนี้และจะต้องมีการเผยแพร่ คนส่วนใหญ่ไม่ได้อ่านข้อกำหนดและเงื่อนไข แต่นี่เป็นข้อมูลใหม่ที่คุณต้องสามารถสื่อสารได้เพื่อที่คุณจะสามารถบอกพวกเขาว่า“ ข้อมูลของคุณถูกจัดการอย่างเหมาะสม” ข้อมูลส่วนบุคคลควรถูกเก็บรวบรวมตามที่ระบุ วัตถุประสงค์ที่ชัดเจนและถูกกฎหมาย ซึ่งหมายความว่าหวังว่าเราจะสามารถกำจัดจดหมายขยะบางส่วนได้ที่ บริษัท บอกว่าพวกเขากำลังรวบรวมข้อมูลสำหรับแบบทดสอบที่บอกคุณว่าคุณน่าสนใจแค่ไหนและในความเป็นจริงพวกเขากำลังนำข้อมูลของคุณไปขายให้คนอื่น เพื่อให้สามารถใช้เพื่อจุดประสงค์ของพวกเขา บริษัท ต่างๆต้องมีความรับผิดชอบมากขึ้นและพูดอย่างชัดเจนว่าพวกเขาใช้ข้อมูลของคุณเพื่ออะไร พวกเขายังกล่าวด้วยว่าข้อมูลส่วนบุคคลจะต้องเพียงพอมีความเกี่ยวข้องและถูก จำกัด ในสิ่งที่จำเป็น บริษัท จำนวนมากชอบที่จะนำข้อมูลทั้งหมดของพวกเขามาใส่ไว้ในแหล่งรวมข้อมูลขนาดใหญ่แล้วพวกเขาก็คิดออกว่าพวกเขาต้องการทำอะไรกับข้อมูลในภายหลังและพวกเขาก็เก็บรวบรวมมากกว่าที่จำเป็น นี่เป็นการบอกว่าคุณไม่สามารถรวบรวมได้และใช้งานที่อื่น คุณไม่สามารถรวบรวมทุกอย่างได้และหวังว่าในภายหลังคุณจะพบว่ามีประโยชน์ คุณต้องชัดเจนมากในสาเหตุที่คุณรวบรวมข้อมูลและต้องเกี่ยวข้องกับข้อมูลที่คุณรวบรวม
ข้อมูลส่วนบุคคลจะต้องถูกต้องและเป็นปัจจุบัน คุณต้องให้วิธีแก่ผู้ใช้ในการอัปเดตข้อมูลของพวกเขาเมื่อคุณรวบรวมมันไว้ พวกเขาต้องสามารถย้อนกลับไปและพูดว่า“ คุณรู้ไหมฉันมีความคิดเห็นนี้ในแบบสำรวจที่คุณถามฉันเกี่ยวกับข้อมูลส่วนบุคคลและฉันต้องการกลับไปและฉันต้องการกลับไปและฉันต้องการเปลี่ยนแปลงและอัปเดตเดี๋ยวนี้” และคุณมี เพื่อให้พวกเขามีวิธีที่จะสามารถทำเช่นนั้นได้ ข้อมูลส่วนบุคคลจะต้องถูกเก็บไว้ในรูปแบบที่อนุญาตให้ระบุตัวตนของข้อมูลวิชาไม่เกินความจำเป็น กลับไปที่ประเด็นของ William ที่คุณไม่สามารถรวบรวมข้อมูลนี้ได้ตลอดไป - คุณต้องคิดในสิ่งที่ถูกต้องและจำเป็นหลังจากนั้นคุณต้องล้างข้อมูลให้สะอาด นอกจากนี้ยังจะต้องดำเนินการในลักษณะที่รับรองความปลอดภัยที่เหมาะสมรวมถึงการป้องกันการประมวลผลที่ไม่ได้รับอนุญาตหรือผิดกฎหมายการสูญเสียโดยอุบัติเหตุการทำลายหรือความเสียหาย
ดังที่ฉันได้กล่าวไว้ก่อนหน้านี้ถึงเวลาแล้วที่จะต้องจริงจังกับเรื่องนี้มากการหยุดการรั่วไหลของข้อมูลเหล่านั้นเพราะไม่เพียง แต่คุณจะได้รับบาดเจ็บที่มากับ บริษัท ของคุณในรูปแบบของการรั่วไหลของข้อมูลและการสูญเสียรายได้ แต่คุณอาจมีค่าปรับที่ตบหน้าของคุณจาก GDPR ถึงเวลาแล้วที่จะเริ่มจริงจังกับสิ่งนั้นมากและฉันคิดว่าเมื่อ GDPR มีผลบังคับใช้ บริษัท ต่างๆจะต้องเผชิญกับความจริงที่ยากลำบากและโชคดีที่พวกคุณที่อยู่ระหว่างการโทรในวันนี้สามารถเริ่มคิดถึงเรื่องนี้และรู้ คุณจะนำสิ่งเหล่านี้ไปปฏิบัติอย่างไร
จีดีพีอาร์พูดถึงเรื่องสิทธิของปัจเจกบุคคลมากมาย มันกำลังมองหาผู้ใช้แต่ละคนจริงๆ สิ่งแรกคือสิทธิ์ในการเข้าถึงข้อมูลส่วนบุคคลของคุณ ผู้ใช้จำเป็นต้องทราบว่าคุณรวบรวมข้อมูลใดบ้างเท่าที่ระบุข้อมูลส่วนบุคคลและคุณต้องให้วิธีการในการเข้าถึงพวกเขา นอกจากนี้ยังมีสิทธิ์ในการแก้ไขซึ่งเป็นวิธีแฟนซีในการพูดว่า“ ฉันต้องสามารถแก้ไขข้อมูลที่คุณมีกับฉันได้” สิทธิ์ในการลบออก - ซึ่งอีกครั้งผู้คนจำนวนมากกำลังใช้ถ้อยคำที่เหมาะสม ถูกลืม - ถ้ามีคนพูดว่า“ คุณรู้อะไรฉันไม่ต้องการให้คุณรู้ว่าฉันเป็นนักสะสมหนังสือการ์ตูนที่สนุกสุด ๆ คุณต้องกำจัดมันทิ้ง ฉันมีเพื่อนบางคนที่ล้อเล่นเกี่ยวกับมันและเช็ดฉันออกจากรายการของคุณอย่างสมบูรณ์” คุณต้องทำเช่นนั้นได้ นอกจากนี้ยังมีสิทธิ์ในการ จำกัด การประมวลผลและนั่นหมายความว่าผู้ใช้สามารถ จำกัด วิธีการประมวลผลข้อมูลของพวกเขา พวกเขาสามารถพูดได้ว่า“ ฉันไม่รังเกียจที่จะรับข้อมูลของฉันเพราะฉันซื้อรถใหม่ แต่อย่าใช้ข้อมูลนั้นเพื่อส่งอีเมลและสแปมฉันถึงข้อตกลงใหม่ทุกครั้งที่มีรถใหม่ออกจำหน่าย” นอกจากนี้ยังมี สิทธิ์ในการพกพาข้อมูลซึ่งหมายความว่าผู้ใช้ควรจะได้รับสำเนาของข้อมูลและสามารถนำไปใช้ที่อื่นได้ องค์กรจำนวนมากรวบรวมข้อมูลและข้อมูลนั้นมีปัจจัยความหนืดและตอนนี้บุคคลสามารถพูดว่า "คุณรู้อะไรฉันต้องการให้คุณนำข้อมูลทั้งหมดของฉันและตอนนี้ฉันต้องการให้คุณให้กับคู่แข่งของคุณดังนั้นฉันสามารถย้ายที่ เกิน."
มีหลายสิ่งที่ต้องพิจารณาจากองค์กรที่คาดหวังว่าคุณจะสามารถทำสิ่งนั้นได้อย่างไรและข้อมูลใดที่คุณต้องการรวบรวมและส่ง นอกจากนี้ยังมีสิทธิ์คัดค้านและผู้ใช้สามารถคัดค้านการประมวลผลข้อมูลได้เช่นกัน สิทธิ์ที่จะไม่ถูกตัดสินใจโดยพิจารณาจากการประมวลผลอัตโนมัติหรือการทำโปรไฟล์ สิ่งนี้มีผลกระทบอย่างมีนัยสำคัญต่อการตลาด B2B - ถ้าคุณนั่งที่นั่นและลองทดสอบ A / B และพยายามระบุว่าโคโลราโดจะได้รับอิทธิพลจากข้อความมากกว่าแคลิฟอร์เนียนั่นคือคุณเพิ่งทำโปรไฟล์โดยดูที่ เมื่อเทียบกับรัฐอื่นและคุณต้องดูว่าบุคคลควรจะสามารถเลือกที่จะ
เนื่องจากเรามีบางสิ่งที่น่ากลัวที่กำลังจะมาถึงการละเมิดข้อมูลและวิธีการที่ผู้คนกำลังดูข้อมูลของพวกเขาและเรามีกฎระเบียบที่ยิ่งใหญ่นี้ซึ่งถูกทิ้งไว้บนไหล่ของเราตอนนี้ฉันมาที่นี่เพื่อให้คุณ วิธีแก้ปัญหาว่า IDERA สามารถช่วยได้อย่างไร ข้อที่ 15 พูดถึงวิธีการควบคุมการเปิดเผยข้อมูลส่วนบุคคล คุณต้องรู้ว่าใครกำลังเข้าถึงข้อมูลของคุณ พวกเขาใช้งานอย่างไร มีการประมวลผลข้อมูลจำนวนเท่าใดและผลิตภัณฑ์ SQL Compliance Manager ซึ่งฉันเป็นผู้จัดการผลิตภัณฑ์ช่วยให้คุณเห็นว่าใครกำลังเข้าถึงข้อมูลของคุณและวิธีการ ตัวจัดการการปฏิบัติตามข้อกำหนดของ SQL ใช้สำหรับโซลูชันของ SQL Server หากคุณมีฐานข้อมูล SQL Server คุณสามารถเชื่อมต่อผลิตภัณฑ์นี้เพื่อให้สามารถตรวจสอบและดูข้อมูลนี้เพื่อให้คุณสามารถปฏิบัติตาม GDPR และคุณรู้วิธีการใช้งาน คุณสามารถเห็นการรั่วไหลของข้อมูลก่อนที่จะเกิดขึ้นและฉันจะพูดถึงเรื่องนั้นในอีกสไลด์ นอกจากนี้ยังมีบทความที่เขียนว่า“ ฉันต้องการบันทึกกิจกรรมการประมวลผล ฉันต้องเข้าสู่ระบบและฉันต้องตรวจสอบการดำเนินงานและฉันจำเป็นต้องรู้ว่าใครกำลังประมวลผลข้อมูลส่วนบุคคลและผู้ที่สามารถเข้าถึงระบบเหล่านั้นได้” SQL Compliance Manager รักษาการตรวจสอบเซิร์ฟเวอร์และฐานข้อมูลรวมถึงการรักษาความปลอดภัย DDL, DML . SQL Compliance Manager อนุญาตให้คุณตรวจสอบการเข้าถึงความปลอดภัยและบันทึกความพยายามเพื่อให้คุณสามารถดูว่าใครกำลังเข้าถึงข้อมูลรวมทั้งผู้ที่เข้าสู่ระบบไม่ว่าจะเป็นผู้ใช้ที่มีสิทธิ์ไม่ว่าจะเป็นผู้ใช้ที่รู้จักหรือไม่ว่าจะเป็นผู้ใช้ที่ประสงค์ร้าย
บทความที่ 33 พูดถึงการแจ้งเตือนการละเมิดข้อมูลส่วนบุคคลต่อหน่วยงานผู้บังคับบัญชา คุณต้องสามารถตรวจจับการละเมิดเหล่านั้นได้ คุณต้องมีบันทึกเพื่อให้สามารถประเมินผลกระทบได้ คุณต้องรู้ว่าคุณจะแก้ไขได้เร็วแค่ไหน ในการดำเนินการดังกล่าว SQL Compliance Manger อนุญาตให้คุณตั้งค่าการแจ้งเตือนในฐานข้อมูลของคุณว่าใครสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนของคุณเมื่อพวกเขาเข้าถึงมันสิ่งที่พวกเขาเข้าถึง นอกจากนี้ยังช่วยให้คุณสามารถแยกผู้ใช้ที่ได้รับการยกเว้นตามปกติจากการตรวจสอบของคุณ หากคุณมีผู้ดูแลระบบหรือผู้ดูแลระบบเครือข่ายที่คุณรู้ว่ากำลังจะเข้าถึงและคุณไม่ต้องการที่จะปิดกั้นรายงานของคุณคุณสามารถออกกฎและพูดว่า“ ให้ทุกสิ่งที่เกิดขึ้นนอกข้อมูล” คุณสามารถระบุได้อย่างรวดเร็วว่ามีใครบางคนกำลังเข้าถึงข้อมูลของคุณโดยมีเจตนาร้ายหรือไม่และคุณสามารถมีการแจ้งเตือนที่มีอยู่ในสถานที่ซึ่งจะแจ้งให้คุณทราบว่าช่วงเวลาที่เกิดขึ้นนั้นเริ่มขึ้นแล้ว ไม่ต้องรอทั้งวันเพื่อดูว่าเกิดอะไรขึ้นเหมือน Equifax
นอกจากนี้ยังมีบทความที่พูดถึงการปกป้องข้อมูลและการประเมินผลกระทบ นี่คือการประเมินความเสี่ยงและความเข้าใจของคุณว่ามันคืออะไรเช่นเดียวกับการสาธิตและบันทึกการปฏิบัติตาม GDPR ของคุณ SQL Compliance Manager อนุญาตให้คุณรายงานองค์ประกอบที่กำลังถูกตรวจสอบ สรุปการตรวจสอบข้อมูลของคุณด้วย SQL Compliance Manager, SQL Compliance Manager ช่วยให้คุณสามารถตรวจสอบการเข้าสู่ระบบที่ล้มเหลวซึ่งเป็นสัญญาณที่บ่งบอกถึงการฝ่าฝืน - กิจกรรมการควบคุมดูแลและการเปลี่ยนแปลงด้านความปลอดภัยแจ้งเตือนคุณถึงการดัดแปลงฐานข้อมูล คอลัมน์ที่คุณกำหนดว่าเป็นข้อมูลที่ละเอียดอ่อนระบุผู้ใช้ที่ได้รับสิทธิพิเศษและติดตามกิจกรรมของพวกเขาแยกต่างหากจากผู้ใช้รายอื่นในระบบของคุณรายงานว่าข้อมูลนั้นได้รับการตรวจสอบตามแนวทางการกำกับดูแลต่างๆ ไม่เพียง แต่เราจะครอบคลุม GDPR เท่านั้น แต่เรายังครอบคลุม HIPAA, PCI, FERPA, SOX ซึ่งเป็นแนวทางปฏิบัติด้านกฎระเบียบทั้งหมดเมื่อพวกเขามาตรวจสอบข้อมูลของคุณและทำความเข้าใจกับสิ่งที่เข้าถึงได้เรามีแนวทางปฏิบัติด้านกฎระเบียบเหล่านั้น
เรามีผลิตภัณฑ์เพิ่มเติมที่ IDERA สำหรับการเตรียม GDPR เช่นกัน นอกเหนือจากการตรวจสอบที่ SQL Compliance Manager แล้วเรายังมี ER / Studio Enterprise Team Edition ซึ่งสามารถช่วยคุณจัดทำเอกสารกระบวนการข้อมูลของคุณและรวมมาตรฐานข้อมูลไว้ในตัวแบบข้อมูลของคุณคุณสามารถสร้างอภิธานศัพท์ข้อมูลที่ William พูดถึงในสไลด์ก่อนหน้า . ดังที่ฉันได้กล่าวไว้ในที่นี้พร้อมกับงานนำเสนอนี้ SQL Compliance Manager สามารถช่วยคุณตรวจสอบข้อมูลของคุณเพื่อให้แน่ใจว่าคนที่ไม่ถูกต้องเข้าถึงข้อมูลของคุณรวมถึงการพิสูจน์สิ่งนี้กับผู้ตรวจสอบบัญชี SQL Safe Backup สามารถช่วยคุณเข้ารหัสข้อมูลและข้อมูลสำรองของคุณ การเข้ารหัสเป็นส่วนที่สำคัญของ GDPR ซึ่งฉันไม่ได้กล่าวถึงในรายละเอียดมากนักเพราะฉันต้องการที่จะให้ความสำคัญกับสินทรัพย์ของ Compliance Manager แต่ SQL Safe Backup นั้นมีการเข้ารหัสมากมายสำหรับคุณเพื่อให้ข้อมูลของคุณปลอดภัย ตัวจัดการสินค้าคงคลังของ SQL สามารถมั่นใจได้ว่าเซิร์ฟเวอร์นั้นได้รับการอัพเดทและทันสมัยดังนั้นคุณจึงไม่ต้องจบลงในกรณีเช่น Equifax ที่พวกเขามีแพตช์ที่ล้าสมัยซึ่งทำให้พวกเขามีช่องโหว่ด้านความปลอดภัยขนาดใหญ่ ใช้อย่างประสงค์ร้าย SQL Secure สามารถตรวจสอบความเป็นส่วนตัวและมาตรฐานการเข้ารหัส
สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับเว็บไซต์ชุมชน IDERA ภายใต้บล็อกของเราฉันได้โพสต์เตรียมความพร้อมสำหรับ GDPR เช่นเดียวกับการมองหาในปี 2018 และทำความเข้าใจว่าผลกระทบของ GDPR จะเป็นอย่างไรและคุณสามารถดาวน์โหลดสำเนาทดลองใช้ของ SQL Compliance Manager ที่ IDERA รวมถึงผลิตภัณฑ์อื่น ๆ ที่ฉันเพิ่งพูดถึงในสไลด์
เมื่อมาถึงจุดนี้ฉันจะไปข้างหน้าและส่งงานนำเสนอกลับไปที่ Eric เพื่อให้เราสามารถถามคำถาม
Eric Kavanagh: โอเคดี คุณสัมผัสกับสิ่งที่น่าสนใจมากมายในนั้น Kim หนึ่งในนั้น - ฉันคิดว่านี่เป็นเรื่องง่าย แต่ก็ค่อนข้างฉลาด - คุณพูดถึงการล็อกอินที่ล้มเหลวในการตรวจจับ สำหรับฉันแล้วมันเป็นสัญญาณที่ดีทีเดียวที่ใครบางคนทำไม่ถูกต้อง?
Kim Brushaber: อย่างแน่นอน หากคุณเห็นคนที่พยายามเข้าถึงและถอดรหัสรหัสผ่านของคุณนั่นเป็นวิธีที่รวดเร็วมากที่จะบอกได้ว่ามีใครบางคนที่ไม่ได้ทำในสิ่งที่ควรจะเป็น บางทีสองสามครั้งคุณอาจพิมพ์รหัสผ่านไม่ถูกต้อง แต่ถ้าคุณเห็น 30 ในรหัสผ่านที่ผ่านมานั่นเป็นสัญญาณที่ไม่ดี
Eric Kavanagh: ใช่แล้ว พวกเขาสำคัญที่นี่คือการตั้งค่าการแจ้งเตือนของคุณด้วยบริบทที่เหมาะสม มีอะไรอีกบ้างที่คุณสามารถบอกเราเกี่ยวกับวิธีจัดการกระบวนการตั้งค่าการแจ้งเตือนและการปิดใช้งานการแจ้งเตือนที่ไม่ได้ทำสิ่งที่ควรทำและการอัตโนมัตินั้นมีมากเท่าใด
Kim Brushaber: Compliance Manager มีการแจ้งเตือนที่กำหนดค่าได้มากมายรวมถึงรายงานที่คุณสามารถตรวจสอบได้ เราผ่านการติดตาม SQL ของคุณและเรามีการติดตามโดยอัตโนมัติและเรามีจำนวนมากที่ได้รับการตั้งค่าและกำหนดไว้ล่วงหน้าแล้ว แต่ก็มีการปรับแต่งที่คุณสามารถทำได้เช่นกัน
Eric Kavanagh: William ฉันจะพาคุณเข้ามาในนี้ - สำหรับฉันแล้วมันเป็นหนึ่งในพื้นที่ที่เราจะได้เห็นการเรียนรู้ของเครื่องจักรที่จะเข้ามาเล่นในอีกสองถึงสิบปีข้างหน้าหรือประมาณนั้น ความเป็นไปได้ที่แตกต่างกัน ดูวิธีต่าง ๆ ทั้งหมดที่ระบบสามารถเพิ่มประสิทธิภาพได้อย่างมีประสิทธิภาพประสิทธิผลของปัญหาเช่นการฝ่าฝืนและอื่น ๆ นั่นเป็นสิ่งที่คุณใช้เช่นกัน?
William McKnight: ใช่แล้ว ฉันคิดว่าเรากำลังสร้างระบบในขณะนี้ที่ซ่อมแซมตัวเอง การติดตาม 24 โดย 7 นั้นเริ่มหลุดลอยและกลายเป็นอดีตไปแล้วแม้ว่าเรายังต้องการเวลาแบบนั้น ฉันคิดว่าระบบส่วนใหญ่ได้รับการติดตั้งภายในและการหาสิ่งที่ผิด เราจำเป็นต้องจัดสรรพื้นที่เพิ่มเติมหรืออะไรมีคุณ ใช่ฉันคิดว่านั่นเป็นส่วนหนึ่งของอนาคตของเรา อะไรก็ตามที่สามารถแมปกับการดำเนินการบางอย่างเพื่อตอบสนองต่อสิ่งที่มีความเสี่ยงต่อปัญญาประดิษฐ์แน่นอน
Eric Kavanagh: นั่นเป็นประเด็นที่ดี ฉันจะส่งคำถามอีกข้อให้คุณวิลเลียมเพราะฉันรู้ว่าคุณทำการวิจัยมากมายในพื้นที่นี้ หนึ่งในสิ่งที่ฉันรอมาพักหนึ่งแล้วและฉันไม่คิดว่าเราอยู่ที่นั่น - ฉันคิดว่าเราเข้าใกล้แล้วจากสิ่งที่ฉันอ่านและคิดเกี่ยวกับมัน - คือ วันที่จะมีเทคโนโลยีในการรองรับปัญหาด้านกฎระเบียบถ้อยคำที่เกิดขึ้นจริงของสิ่งเหล่านี้และทำแผนที่ว่าเป็นหน้าที่การใช้งานและซอฟต์แวร์ อย่างที่ฉันบอกว่าเรายังคงมีวิธีการต่อไป - ฉันไม่สามารถจินตนาการได้เลยว่าไม่มีใครทำงาน คุณเคยเจออะไรแบบนั้นหรือยังเรายังอยู่ในจุดที่มนุษย์จำเป็นต้องดูกฎลองและทำความเข้าใจกับพวกเขาประมวลเป็นรหัสเครื่องเป็นหลักแล้วทำให้เกิดแรงบิดกับแอปพลิเคชันต่างๆ
William McKnight: เอาล่ะฉันได้แนวคิดที่คุณแบ่งปันที่นี่ ฉันไม่คุ้นเคยกับสิ่งที่กำลังเกิดขึ้นในสภาพแวดล้อมที่เกี่ยวข้องกับสิ่งนั้น ฉันจะบอกโดยทั่วไปว่าแน่นอนเรากำลังเริ่มบอกเครื่องว่าจะทำอย่างไร แต่เป้าหมายคืออะไรในสิ่งที่เราต้องการทำและเครื่องจักรเริ่มฉลาดขึ้นมากในการหารายละเอียด ฉันคิดว่าเมื่อเราได้รับปัญญาประดิษฐ์เพิ่มเติมในองค์กรของเราว่าเป็นไปได้ค่อนข้างที่กฎระเบียบใหม่จะสามารถพัฒนาขึ้นพร้อมกับ AI ที่ถูกนำไปใช้ภายในองค์กรเช่นที่พวกเขาสามารถแผ่ออกในลักษณะที่คุณอธิบายไว้ในอนาคต สำหรับตอนนี้เราไม่ได้แสดง
Eric Kavanagh: นี่คือคำถามที่ฉันจะส่งถึงคุณคิม 'เพราะนี่เป็นสิ่งที่น่าสนใจเช่นกัน คุณพูดคุยเกี่ยวกับเวลาแฝงเฉลี่ยหรือเวลาที่มีคนเข้าสู่ระบบซ่อนของคุณและรอ - จำนวนวันที่ผู้โจมตีอยู่เฉยๆภายในเครือข่าย - การตรวจจับคือ 200 ฉันอยากรู้ว่าคุณคิดอย่างไรเกี่ยวกับวิธีการปรับปรุง ก่อนอื่นเลย? แต่ยังมีวิธีใช้กฎชนิดนี้ในการสำรวจระบบของคุณเองหรือไม่? ในการสำรวจข้อมูลของคุณเองคุณจะทำหน้าที่ปกป้องคนประเภทนี้ได้ดีขึ้นหรือไม่
Kim Brushaber: ใช่ฉันคิดว่าการตรวจจับอย่างชัดเจนเป็นกุญแจสำคัญ คุณต้องเข้าใจว่าเว็บไซต์ที่เป็นอันตรายเหล่านี้กำลังเข้าถึงข้อมูลของคุณและสามารถล็อคมันได้ ฉันคิดว่าในอีกสไลด์ที่เราแสดงให้เห็นว่าองค์กรส่วนใหญ่ไม่มีนโยบายเหล่านั้น นั่นเป็นเหตุผลที่พวกเขากำลังนั่งอยู่ที่นั่น ฉันคิดว่าถ้าคุณมีนโยบายในการเข้าถึงและล็อคการเข้าถึงของคุณและตรวจสอบให้แน่ใจว่าคนที่เหมาะสมสามารถเข้าถึงได้ ตรวจสอบให้แน่ใจว่าคุณกำลังหมุนแป้นของคุณเป็นประจำและอัปเดต ตรวจสอบให้แน่ใจว่ารหัสผ่านของคุณได้รับการอัปเดตเป็นประจำและทำสิ่งต่าง ๆ เหล่านั้นซึ่งดูธรรมดา ตอนนี้องค์กรส่วนใหญ่ไม่ได้ทำเช่นนั้นและการเริ่มวางชิ้นส่วนเหล่านั้นเข้าที่จะช่วยให้คุณได้รับมากกว่านี้
แน่นอนว่าแฮ็กเกอร์จะมีฝีมือมากขึ้นเกี่ยวกับเรื่องนี้ แต่ในขณะนี้มันง่ายมันเหมือน“ ฉันจะดูบ้านบนถนนที่ฉันรู้สึกเหมือนฉันอยากจะบุกเข้าไป ระบบ? พวกเขามีสัญญาณเตือนเล็กน้อยและมีสุนัขหรือไม่? ฉันจะไปหาคนที่ไม่มีสัญญาณเตือนภัยไม่มีสุนัขและนั่นคือบ้านที่ฉันกำลังจะบุกเข้าไป "อืมพวกเขาจะไปหา บริษัท ที่ไม่ได้รับ ไม่มีแพตช์เหล่านี้ในสถานที่และพวกเขาไม่มีความปลอดภัยในสถานที่และพวกเขาไม่ได้อัปเดตรหัสผ่านของพวกเขาและพวกเขาจะไปและออกไปเที่ยวที่นั่นและใช้บัตรเครดิตของคุณในสถานีบริการน้ำมันสองสามครั้งเพื่อให้แน่ใจ คุณยังไม่ได้ปิดมันและเมื่อพวกเขาสามารถมีอิทธิพลต่อการเปลี่ยนแปลงครั้งใหญ่โดยปกติแล้วคำแถลงทางการเมืองบางอย่างหรือเมื่อคุณเห็นพวกเขาโผล่หัวขึ้น เมื่อรับนโยบายเหล่านั้นฉันคิดว่า ณ จุดนี้คุณสามารถทำตามขั้นตอนเล็กน้อยเพื่อให้สามารถก้าวไปข้างหน้าของเกมนี้
Eric Kavanagh: นั่นอาจเป็นคำแนะนำที่ดีที่สุดและฉันมักจะได้ยินสิ่งนี้เสมอเมื่อเราพูดคุยกับคนที่อยู่ในพื้นที่รักษาความปลอดภัยหรือพื้นที่ด้านกฎระเบียบพื้นฐานนั้นจะครอบคลุม 80 เปอร์เซ็นต์ของปัญหาของคุณและนั่นเป็นเหตุผลที่ครอบคลุม จุดดี. หนึ่งในผู้เข้าร่วมประชุมถามว่าใครบางคนสามารถขยายโอกาสทางธุรกิจที่สามารถขุดได้จากความพยายามในการปฏิบัติตาม GDPR ฉันนึกถึง Sarbanes-Oxley และฉันเดาว่า William ฉันจะโยนมันให้คุณ ในฐานะที่ปรึกษาคุณมักจะมองหาวิธีที่จะช่วยเหลือลูกค้าของคุณนอกขอบเขตของโครงการใดโครงการหนึ่ง - อย่างน้อยถ้าคุณเป็นที่ปรึกษาที่ดีที่คุณทำอยู่ เมื่อคุณพูดคุยกับผู้คนเกี่ยวกับ GDPR คุณจะได้รับประโยชน์อะไรบ้างที่พวกเขาจะได้รับหากพวกเขามีส่วนร่วมในโครงการที่มุ่งเน้นไปที่นั้น
William McKnight: ก่อนอื่นสิ่งสำคัญที่ควรทราบว่าความคิดที่อยู่เบื้องหลัง GDPR นั้นไม่ได้เป็นสิทธิ์ของพลเมืองอย่างเต็มที่มีอีกด้านหนึ่งของ GDPR ซึ่งก็คือนี่จะเป็นการปรับปรุงความเชื่อมั่นที่ประชาชนมีใน บริษัท ของเราและ มันจะสนับสนุนให้พวกเขาทำธุรกิจมากขึ้นใน บริษัท ที่เป็นไปตามมาตรฐาน มีประโยชน์เสริมเหล่านั้นของการบรรลุจีดีพีของคุณจริง ๆ แล้วตอนนี้ภายในโปรแกรมการกำกับดูแลข้อมูลที่เราดำเนินการให้บริการเพื่ออำนวยความสะดวกทุกรูปแบบของการริเริ่มจริงๆที่ถูกเตะออกภายในองค์กรและในวันนี้ ภายในองค์กร ฉันเพิ่งวางแผนสำหรับปี 2018 กับหลาย ๆ คนพวกเขาต้องทำกับข้อมูลมากมายพวกเขาชอบข้อมูล 65% ถึง 90 เปอร์เซ็นต์ - เมื่อคุณพูดถึงโปรแกรม telematics หรือลูกค้า 360 หรือแดชบอร์ดเพื่อตรวจสอบพนักงานขายส่วนใหญ่เกี่ยวกับข้อมูล อะไรก็ตามที่จัดการข้อมูลนั้นได้ดีกว่าซึ่งทำให้อยู่ในสถาปัตยกรรมที่ดีกว่าซึ่งตั้งชื่อบุคคลที่เป็นคนที่ไปสู่คนที่สามารถตอบคำถามใด ๆ และทั้งหมดเกี่ยวกับข้อมูลนั้นซึ่งให้ความสำคัญกับโปรแกรมการกำกับดูแลข้อมูล อะไรก็ตามที่ให้ข้อมูลอภิธานศัพท์แก่เรา - เช่นเดียวกับที่คิมพูดคุยด้วยเครื่องมือของเธอ - อะไรก็ตามที่ทำเช่นนั้นมันมีประโยชน์มากในการทำให้การริเริ่มเหล่านี้มีประสิทธิภาพมากขึ้นลดความเสี่ยงลดเวลาหดงบประมาณให้พวกเขา ถึงเวลาที่คล่องตัวในการทำตลาดได้เร็วขึ้นและสิ่งที่ดีสำหรับ บริษัท ที่ทำโครงการซึ่งเป็น บริษัท ทั้งหมด
Eric Kavanagh: ฉันชอบแนวคิดของความไว้วางใจ ฉันคิดว่าความน่าเชื่อถือเป็นความจริงที่ด้อยค่าในโลกของเราและธุรกิจส่วนใหญ่มักดำเนินการเกี่ยวกับความไว้วางใจ - มันจะเกิดขึ้นเมื่อคุณได้รับมัน ฉันจะส่งเรื่องนี้ไปให้คุณเพื่อรับฟังความคิดเห็นที่ปิดสนิทคิม ฉันคิดว่าหนึ่งในคุณค่าสำคัญที่เพิ่มที่นี่คือการปรับปรุงความเชื่อมั่นและส่งเสริมวัฒนธรรมแห่งความไว้วางใจเพราะมันจะไม่เพียง แต่ส่งผลกระทบเชิงบวกต่อ บริษัท เองต่อผู้คนใน บริษัท ต่อคน แต่ยังเกี่ยวกับสิ่งที่ประชาชนรับรู้ด้วย สิ่งที่หกฉันดูเหมือน แต่คุณคิดอย่างไร?
Kim Brushaber: ใช่ฉันคิดว่าเมื่อฉันพูดคุยกับเพื่อนที่ทำงานกับ Google หรือทำงานที่ Facebook หรือองค์กรที่มีชื่อเสียงสูง ๆ บางแห่งพวกเขาไม่ได้ใช้คุณสมบัติใหม่เกือบเท่าที่พวกเขาใช้โปรโตคอลความปลอดภัยและประสิทธิภาพ และปัญหาความสามารถในการปรับขนาดได้เนื่องจากพวกเขาต้องการให้ประสบการณ์การใช้งานของพวกเขาเป็นสิ่งที่พวกเขาเชื่อว่าพวกเขาสามารถไว้วางใจในข้อมูลนั้นได้ ฉันคิดว่า บริษัท ต่าง ๆ มีความรับผิดชอบในขณะที่เรายังคงเดินหน้าต่อไปเพื่อมอบความไว้วางใจประเภทนั้น ฉันจำได้ว่าเมื่อผู้คนเริ่มใส่บัตรเครดิตทางออนไลน์เป็นครั้งแรกและผู้คนก็เป็นเหมือน“ โอ้พระเจ้าฉันจะไม่ให้ข้อมูลนั้นเพราะมันไม่ปลอดภัย”
และตอนนี้บัตรเครดิตของคุณไปทุกทางเพราะในทางทฤษฎีแล้วคุณคิดว่าคุณสามารถไว้วางใจ บริษัท ได้เพราะมันมีใบรับรอง HTTPS จากนั้นคุณได้ยินเกี่ยวกับข้อมูลเป้าหมายละเมิดบัตรเครดิตที่เป็นเหมือน“ โอ้คุณแลกบัตรเครดิตของคุณได้ดีขึ้นเพราะเราปล่อยข้อมูลนั้นออกไป” ฉันคิดว่ามันเป็นความรู้สึกแบบสองทาง ฉันคิดว่าบุคคลทั่วไปในขณะที่พวกเขาต้องการที่จะไว้วางใจมากขึ้นเพราะมันง่ายกว่ามากที่จะสามารถไว้วางใจและมีความเชื่อมั่นในสิ่งนี้ในองค์กรขนาดใหญ่องค์กรขนาดใหญ่ต้องก้าวเข้ามาและวางชิ้นส่วนเหล่านี้เพื่อให้พวกเขาสวม ไม่ทำร้ายบุคคลหรือคุณสูญเสียส่วนแบ่งการตลาด มีคนพูดว่า“ คุณรู้ไหมว่าฉันจะไม่ไปซื้อของที่ Target อีกต่อไปตอนนี้ฉันจะไปซื้อของที่ Amazon” ฉันคิดว่าความไว้วางใจเป็นปัญหาใหญ่แม้ว่าอย่างที่เราพูดแล้ว จะยังคงคลิกลิงก์นั้นในอีเมลแม้ว่าพวกเขาจะรู้ว่าอาจไม่ได้ มีการคุ้มครองผู้คนจำนวนหนึ่งแม้ว่าพวกเขาจะเชื่อใจคุณก็ตาม
Eric Kavanagh: นั่นเป็นประเด็นที่ดี คุณรู้ไหมฉันจะส่งคำถามสุดท้ายให้คุณ William หรืออย่างน้อยหนึ่งคำถาม - เราได้รับคำถามดีๆเข้ามาแล้ว ผู้เข้าร่วมประชุมเขียนว่า“ GDPR กำลังย้ายการจัดการข้อมูลประจำตัวกลับไปที่ลูกค้าซึ่งเป็นของ Equifax สร้างความเสียหายแก่ผู้บริโภค 149 ล้านคนอย่างถาวรซึ่งเป็นความจริงอย่างยิ่ง คุณเห็นการเปลี่ยนแปลงอะไรที่เกิดขึ้นในสหรัฐอเมริกาเกี่ยวกับความเป็นเจ้าของลูกค้าที่เกี่ยวกับการจัดการข้อมูลผู้ใช้”
William McKnight: เราอยู่ข้างหลังเราเสมอเมื่อพูดถึงเรื่องแบบนี้ใช่ไหม? หนึ่งร้อยสี่สิบเก้าล้านนั่นคือไม่ตกอยู่ในถังที่นั่น มันเกือบจะเหมือนการก่อการร้ายใช่ไหม พวกเราชินกับมันมันเกิดขึ้นตลอดเวลา ฉันคิดว่าต้องทำอะไรบางอย่าง ฉันคิดว่า GDPR ฉันชอบสิทธิที่มอบให้แก่ประชาชน แต่ดูเหมือนว่าจะไม่ได้รับความสำคัญ - มีลำดับความสำคัญอื่น ๆ มากมายและฉันไม่รู้ว่าจะไปที่ไหน ฉันคิดว่าดังที่ฉันได้กล่าวถึงในสไลด์หน่วยความจำที่ฉันมีนี่เป็นการส่งสัญญาณให้ผู้บริโภคได้รับสิทธิมากกว่าจากข้อมูลของพวกเขา เกิดอะไรขึ้นที่นี่ที่อเมริกา? ฉันไม่รู้ว่ามันอาจจะนานถึงห้าปีเพื่อดูบางสิ่งบางอย่างที่สอดคล้องกับ GDPR ที่เกิดขึ้นที่นี่ในสหรัฐอเมริกาเพียงแค่การเก็งกำไร ณ จุดนี้
Eric Kavanagh: มันเป็นจุดที่ดีจริง ๆ และฉันคิดว่าเราจะเห็นความพยายามมากขึ้นในเรื่องนี้เพราะเรามาดูกันเรากำลังจะเปลี่ยนไปสู่เศรษฐกิจดิจิทัลในทุกวันนี้ และในฐานะที่เป็นความคิดเห็นปิดที่นี่ได้รับปรัชญาตาดนโยบายที่มุ่งเน้นนี่คือสิ่งที่ฉันกังวลมากที่สุดเกี่ยวกับการย้ายไปสู่สังคมเงินสดเพราะเมื่อเงินสดหายไปถ้าเกิดขึ้นแล้วทุกอย่างเป็นดิจิตอลและทุกระบบเขาสามารถแฮ็ค และตัวตนของทุกคนสามารถถูกขโมยได้ ดูเหมือนว่าสำหรับฉันแล้วมันเป็นช้างตัวใหญ่ที่น่ารักในห้องที่นี่เพราะเรามองหอกสู่อนาคตของการจัดการตัวตน
นี่คือทุกสิ่งที่ดีคน ขอบคุณ William McKnight สำหรับเวลาและความสนใจของเขาในวันนี้ ขอบคุณ Kim Brushaber จาก IDERA เราเก็บถาวรเว็บคาสต์เหล่านี้ทั้งหมดเพื่อการดูในภายหลังดังนั้นโปรดกลับมาโดยปกติภายในเวลาไม่กี่ชั่วโมงและไฟล์เก็บถาวรจะพร้อมใช้งาน ด้วยสิ่งนี้เราจะบอกลาคุณทุกคน ขอขอบคุณอีกครั้งสำหรับเวลาและความสนใจของคุณดูแล ลาก่อน.
