Paket servisi: Ev sahibi Eric Kavanagh, AB’nin yaklaşmakta olan Genel Veri Koruma Yönetmeliği ve sektör üzerindeki etkilerini tartışıyor. Ona katılan McKnight Consulting Group'tan William McKnight ve IDERA'dan Kim Brushaber bulunuyor.
Şu anda giriş yapmadınız. Lütfen videoyu görmek için giriş yapın veya kaydolun.
Eric Kavanagh: Tamam bayanlar baylar, merhaba ve bir kez daha hoş geldiniz. Saat 4'te Doğu Saatiyle Çarşamba, bu da Hot Technologies için 2017 - son yıllardan biri olan bir kez daha zamanı. Evet, gerçekten, adım Eric Kavanagh - Bugünün etkinliği için sizin moderatörünüz olacağım. Az söylemek gerekirse, çok geniş kapsamlı bir konudan bahsediyoruz. Şu anda, öyle görünmüyor - GSYİH kavramı, Küresel Veri Koruma Yönetmeliği. Hadi devam edelim ve bu konuda dalın, bu sizin hakkınızda değil, benim için yeterli. Bu yıl sıcak, çok farklı şekillerde gerçekten çok sıcak geçti, ancak GSYİH’dan ve diğer kuruluşlardan gelecek düzenlemeler oldukça açık bir şekilde bizi özellikle iş dünyasında neler olduğunu yeniden düşünmeye zorluyor. verilerle ilgili olduğu gibi. IDERA’dan Kim Brushaber’den McKnight Consulting Group’tan William McKnight’dan haber alacağız.
Elimizdeki konuyla ilgili birkaç hızlı söz, millet. GDPR, temel olarak, kuruluşların verilere ilişkin olarak gizlilik ilkesi ve güvenlik ilkesi ilkesine sahip olması gerektiğini ve gerçekten de duymuş olabileceğiniz bazı şeylerle ilgili olduğunu söylüyor; örneğin, unutulma hakkı kısmen veya kısmen Bütün bu an ve çok ilginç şeyler. Prensipleri ve ahlakı açısından kesinlikle geçerlidir. Gerçek uygulama açısından, bu oldukça ciddi bir sorun. Unutulma hakkı, bazı kuruluşların verilerinize sahip olmasını istemiyorsanız, kişisel olarak hassas verilerinizi, bunlardan kurtulmaları gerektiğini söylüyor. Bu gerçekten heterojen veri ortamlarından bazılarının ne kadar zor olacağını hayal edebilirsiniz. Verilerinizin ısrarcı olduğu her yere ulaşabilmek ve çıkarabilmek, sadece gerçekleşmeyecek, sonuçta ortaya çıkacaktır. Bununla birlikte, kuruluşların bu endişeleri giderebilmek için politikaları yerinde tutmaları gerekir ve bu nedenle düzenleyicilerin aradığı şey budur.
Bu büyük bir anlaşma. Yalnızca söylerseniz, kuruluş verilerinizi kaldırmaya ihtiyaç duymaz, aynı zamanda bu veriler üzerinde eğitilmiş algoritmalar kullanıyorsa, teknik olarak algoritmaları da yeniden denemeleri gerekir. Bu uzun bir emirdir, size söylemeliyim, ama gelecek, pike geliyor, gelecek yılın Mayıs ayında bir gerçeklik olacak ve başka düzenlemeler de var. Kanada, geçirdikleri antispam yasasına sahiptir, bu kişisel bilgilerle nasıl başa çıkacağımızın bir etkisidir. Net tarafsızlık şimdi pike geliyor, elbette temel olarak sökülmüş ve bu bazı şeyleri değiştirecek. Yönetim kurulunda ve dünyadaki işletmeleri etkileyen bu çok ciddi düzenlemelerin birçoğu var, büyük kuruluşların gerçekten düşünmeye ve kendilerini hazırlamaya başlaması gerekiyor.
Bunun için, William McKnight'ı, ne düşündüğünü ve neden GDPR'nin aslında buzdağının sadece görünen yüzü olduğunu bize bildirmek için McKnight Danışmanlık Grupları'ndan çevrimiçi hale getirdik. Bununla William, sana vereceğim. Al onu.
William McKnight: Teşekkürler, Eric ve dediğiniz gibi, slaytın dediği gibi, bu GSYİH belki de buzdağının görünen kısmıdır - kesinlikle düşündüğümüz şey bu. GDPR'ye derinlemesine dalmamız önemlidir, çünkü bunun üstesinden gelmek zorunda olduğumuz borudan aşağıya inen bir düzenleme dalgasını temsil ettiğini düşünüyorum. Neyse ki, Eric, unutulmaya hakkımın etrafında bir miktar makul standartlar var. Fakat yine de, bu yılki yürüyüşümde GSYİH hakkında konuşuyorum, bunun için henüz hazırlanmamış birçok firma, özellikle de ABD firmaları olduğunu düşünüyorum. Kesinlikle sıcak ve bir yıl önce, sadece bazı şeyleri denemeye başladıklarında düşünmek istemediğimiz bir şeydi, ama şimdi bir düzenleme ve bununla başa çıkmak zorundayız, dediğiniz gibi, Eric, May doğru geliyor burada - yani o kadar da değil.
Biraz hakkımda, veri perspektifinden bu konuya gireceğim. Size bildirmek için, ömür boyu veri insanıyım ve şimdi 19 yıldır veri alanında danışmanlık yapıyorum ve GDPR verilerle ilgili çok şey ifade ediyor. Veri yönetimi konusundaki sunumuma girdiğimde burada bir çözüm bütçesi oluşturacağım. Açıkçası çok fazla veri yönetişimi programı yapıyorum ve bu kavramla uyumlu olursanız, biraz veri yönetişimi yaptığınızı, çok fazla şirketin orada olacağını düşünüyorum. Aslında, GDPR uyumluluğuna göre, fakat yönetişimde ve dolayısıyla GSYİH hazırlıklarında oldukça gerisinde kalması gereken çok şey var. Burada seviye belirleyelim ve GDPR'nin neyle ilgili olduğunu anlayalım ve konuşmaya daha da derinleştikçe, yeni yılda ve ötesinde ilerlerken GDPR'nin iş hayatındaki etkilerinden daha çok faydalanacağız.
GSYİH, Avrupa Birliği vatandaşlarının veri gizliliği içindir. Bu bir düzenlemedir - dişleri olduğu, uygulanabilir olduğu anlamına gelir. Bu bir öneri olarak ortaya konan bir şey değil - bu zaten oldu ve şimdi cezalarla ilgili bir düzenleme haline getirildi. Cezalara başlamaktan hoşlanıyorum çünkü bu insanların dikkatini çekiyor. Bunlar sert cezalar. İki ceza var, bir dünya güvenlik yükümlülüklerine uymazsa, dünya genelindeki yıllık gelirin yüzde 2'si veya 10 milyon euro var, ancak diğer hükümleri ihlal eden başka her şey - ve bunlara girerim - bu yüzde 4'tür. Yaklaşık yüzde 4'ünün haydut olduğunu duydun. Bu arada, hangisi daha büyükse, yüzde 4 veya 10 milyon euro. Bu çok katı. İnsanlar bu konuda çok ciddi. 25 Mayıs'ta başlamak üzere yürürlüğe girmeinci, 2018 - Bu, denetimlerin başlayabileceği, yani ceza alabileceğiniz zamanın kilit tarihidir. Kesinlikle buna hazır olmak istiyorsun. Anladığım her şirket, çok sayıda Global 2000 şirketi ile ilgileniyorum, GSYİH hazırlıklarında bir yerlerde, bazıları diğerlerinden daha fazla, bazıları ise bu noktada diğerlerinden daha fazla olmak zorunda. Elbette, bu tarihle tanışmak biraz zor olacak ve göreceğiz.
Bugüne kadar gördüğümüz en kapsamlı veri gizliliği uyum rejimidir. Daha katı bir şey veya ABD nüfusunu doğrudan etkileyen bir şey gördüğümüzde, kim bilir, ama o orada ve kesinlikle buna uyulması gerekiyor. Örgütlerin hangi UE vatandaşı PII'nin - PII hakkına aşina olduğumuzu - kişisel olarak tanımlanabilen bilgiler, sosyal güvenlik, telefon numarası, adres, bir kişiyi benzersiz bir şekilde tanımlayabilen veya bir kişiyi oldukça tanımlayan şeyleri anlamalarını gerektirir. Sahip oldukları ve nasıl kullandıkları. Bu envanter demektir. Bu, kendi şirketinizde bu tür verilerle ilgili düzenleme yapılması anlamına gelir. Bu arada, ABD’de herhangi bir ülke çapında veri koruma yasası yoktur. ABD her zaman olmuştur - arkamdan, perspektife koymak için - bu tür düzenlemeler açısından Avrupa'nın arkasına diyorum ve bu devam ediyor. Bu oldukça belirgin olan GDPR ile devam ediyor. Bazılarınız gizlilik koruması hakkında bilgi sahibi olabilir, bunu merak ediyor olabilirsiniz. GSYİH'da gizlilik kalkanı ile örtüşen yaklaşık üç ya da dört hüküm var, ancak GSYİH'da yüzlerce hüküm var, bu yüzden hala var olan ve ABD ve AB veri değiş tokuşu ile ilgili olanlardan daha fazlası ve tabii ki sadece, bu önemli olmasına rağmen.
Yine sayılarla başlamak istiyorum. Para cezalarını duydun, peki ya bunun için nasıl hazırlandığını. GSYİH için bütçeleme ve bunun bir kısmını yapmak, birkaç faktöre bağlı. AB vatandaşları için topladığınız PII verilerinin miktarı. Hiçbirini toplamıyorsanız, tamam, muhtemelen uyumlu olursunuz ve bununla uğraşmak zorunda kalmazsınız, ancak muhtemelen bu aramadasınız çünkü bazı yerlerde bir şeyler toplarsınız. Şirketinizin büyüklüğü ve daha önce söylediğim gibi GDPR'ye cevap vermek için yapmanız gerekenlere yaklaşan veri yönetişiminin olgunluğu. Uyum için olması gerektiği gibi birkaç milyon ABD Doları veya avroya kadar bekleyebilirsiniz. Bununla birlikte, istediğimiz, sadece GSYİH'ya uymak istemiyoruz, bu kutuyu işaretlemek istiyoruz, elbette bunu yapmalıyız. Umarım, bu kutuyu işaretlemek için sadece çaresiz olduğunuz bu yönetici durumunda değilsinizdir. İş avantajlarını araştırın, çünkü GSYİH’yi desteklemek için yaptığınız birçok şey işiniz için iyi. Veri yönetişimi işiniz için iyidir. PII veri miktarı söz konusu olduğunda, bazıları diğerlerinden daha önemlidir, bazıları veriyle ilgili sağlık gibi diğerlerinden daha fazla incelenecek ve GSYİH kapsamında diğer veri türlerinden çok daha katı bir şekilde düzenlenecek ve uygunluk gerektirecektir Bütçenize ek olarak açıkçası, veri koruma etki değerlendirmeleri yapılması gibi ek yükümlülükler.
Bütçeleme hakkında biraz orada. İngiltere’de veya ABD’de bulunuyorsanız ve bunun sizi nasıl etkilediğini merak ediyorsanız - GDPR, halen AB’de bulunan İngiltere’yi 29 Mart’a kadar etkiliyor.inci 2019’dan bu yana hükümeti GSYİH gibi bir şeyin bu tarihten sonra da devam edeceğini açıkladı çünkü “Bu iyi bir fikir.” İngiltere şirketleri buna uymak zorunda. İngiltere vatandaş verileri bunun için kesinlikle masada. Net olmadığı takdirde, ABD merkezli işletmeler vardır, AB’de AB vatandaşı verileriyle ilgilenirseniz, bu kesinlikle sizin için geçerlidir. Bunun veri mimariniz üzerindeki etkileri vardır, çünkü AB verilerinizi her şeyden uzaklaştırmanız ve farklı şekilde ele almanız gerekebilir. Eric'in dediği gibi, bu analizleri nasıl derlediğiniz gibi analizleri etkiler. Artık, herhangi bir kavram çapında, dünya çapında analitiğe devam etmek artık daha zor olabilir. GSYİH sonucu daha yerelleşebilirler.
Hükümlerde neler var? Veri koruma standartları var. Bunların tümü, hareketsiz ve hareketsiz verilerin şifrelenmesini zorunlu kılar. Daha sonra şifreleme hakkında konuşacağım. Veri ihlali bildirim standartları var. Artık aylarca beklemiyor, herkesi bilgilendirmek için çeyrekler bekliyor. Geçen gün büyük bir olay olduğunu düşünüyorum ve “Ah, bir yıl önce oldu.” Diye öğrendim. Bunların hiçbiri GSYİH ile - 72 saatin var. Bu bir isim ve utanç politikası. Umarım kimse buna ulaşamaz, açıkça bazı insanlar olacaktır. Elbette, GSYİH'dan sonra bile ihlaller devam edecek. Verilerin yerini ve kalitesini izlemek için süreçler var. Tanıdık geliyor mu? Bu gerçekten veri yönetiminin kalbidir. Umarım bunlardan bazıları vardır.
Eric'in dediği gibi AB vatandaşlarının unutulma hakkı var. Bunun için makul standartlar var, Eric. Her şeyi mutlaka ortadan kaldırmak zorunda değilsiniz, o müşteriyle tekrar iletişime geçmek zorunda kalırsanız, bu çalışanla, kişisel verilerinin belirli yönlerini saklamanıza izin verilir. Ancak, yine de, bu vatandaşlar unutulma hakkına sahiptir, ancak orantısız bir çaba söz konusu olamaz - bu sizin diliniz için - şirketinize veya şirketinize zarar vermez, bu verileri elden çıkarmak için. Bunu küçümsemek istemiyorum, ancak ayrıca tutulan kişisel verilerin kopyalarını da yayınlamanız gerekiyor ve bu verileri yalnızca rıza göstererek alabilirsiniz. Bu izin, bu izni vermek için asgari yaşı olan kişiler tarafından verilmelidir. Bu orada bir ağız dolusu ama bu vatandaşlara verileri üzerinde çok fazla hak veriyor. İşte bu kadar taşınabilirlik, daha önce ortaya çıkması ihtimaline karşı. Unutulma hakkı, açıkça ama aynı zamanda - ve benim slaytımda olmayan önemli olan bir şey - veri konusunun yalnızca otomatik işleme dayalı bir karara tabi olmaya hakkı vardır. Neye zorla gittik? Otomatik işleme, kredi kabulü etrafında, ne gibi teklifler vereceğiz, bunun nasıl bir performans göstereceği ve bunun ne kadar ileri gideceği konusunda çalışılması gerekiyor. Bunun esasen söylediği şey, neden reddedildiğimin, neden bu şirket tarafından belirli bir şekilde muamele edildiğimin etrafındaki şeffaflık. Bu bir AB vatandaşına verilen bir haktır.
Açıkçası, nasıl iş yaptığımız konusunda bazı olumsuzluklar var ve umarım GDPR'nin bir BT sorunu olmadığını, yalnızca BT sorunu olmadığını görüyorsunuz. Bütün bu iş süreçleri katılıyor. Şirketin her yerinden gelen insanları içerecek. 250'den fazla çalışanı olan şirketler için bir veri koruma görevlisinin atanması tavsiye edilir ve “EU PII verileriyle kritik bir matematiğiniz” vardır. Bu kritik matematiğe sahipseniz kendiniz için karar verebilirsiniz, bazen açıktır, bazen değildir. Ancak, yeni bir rol var - tam zamanlı bir rol olmak zorunda değil, kişinin başka sorumlulukları olabilir, ama bilmiyorum - bazı orta ölçekli ve daha büyük şirketlerde, GSYH’ye bağlı kalmanın çok fazla olacağını düşünüyorum. tam zamanlı bir role yakın olmak. Bu şekilde başla ve bakabilir misin diyeyim derdim. Özellikle gelecek yıl boyunca, GDPR etrafında hareketinizi bir araya getirdiğinizde, bir kez oturduktan sonra, belki bu konudaki çalışmaları yavaşlatabilirsiniz, ancak bazı şirketleri biraz zaman alacak. Daha önce de belirttiğim gibi, bireylerin kendi verilerini ve veri taşınabilirliğini görmelerine izin verin.
Bu arada, hepsi yeni değil ama unutulma hakkı aslında oradaydı, inan ya da inanma. Mevcut AB kuralları zaten kişisel verilerin silinmesine veya kullanılamaz duruma getirilmesine izin vermektedir. Ancak, şimdi GSYİH'nın bir parçası, çok daha geniş bir şekilde uygulanacak. Veri şifreleme - verilerinizi dinlenme halinde şifreleyin. Standart şifreleme yöntemlerini kullanın, kendi ülkenizdeki veya standart olmayan şifrelemenizi kullanmayın. AES, biraz tavsiye ettiğimiz bir tanesi. Kriptografik olarak güvenli şifreleme anahtarları kullanın. Bu anahtarları periyodik olarak değiştirin. Ayrıca bu anahtarların kaybolmasını da önleyin. Bunlar sadece iyi şifreleme uygulamaları, ancak şimdi GSYİH ile ön plana çıkıyorlar. Sorun burada yatar - Ben buzdağının sadece görünen ucuna çarptım. Açıkça bakılması gereken daha çok hüküm var, ama bunlar asıl olanlar.
Şimdi, çözüm. Veri yönetişimi, uygunluğunuzun çerçevesi, en azından burada öne sürdüğüm bakış açısı bu. Neyse ki, olgunlaştığında gereksinimlerin çoğuna hitap edebilecek ve bunu yapabilen aktif bir topuklu disiplin var ve bunun veri yönetişimi - açıkça söylüyorum. Yönetişim programları bir veri sözlüğüne sahip olmalı ve burada veri sözlüğünü, genel anlamıyla veri işlemlerini, işlemleriniz için yönetim kurulu genelinde belgelemek için kullanıyorum. Bu, gördüğümüz gibi oldukça büyük olan GSYİH'nın envanter ihtiyaçlarına cevap vermek için temeldir. Program, yönetişim programı, veri güvenliği protokollerini kolaylaştırmalıdır - ve bunun altını çiziyorum, çünkü şu anda pek çok veri yönetişimi programının yaptığı bir şey değil, çünkü bunun yapılması için mantıklı bir yer olduğunu düşünüyorum. işletme sahiplerinin kim olduğunu belirleyen programın üzerinde mi oturuyorsunuz? Bunu kim görmeli? Ve sonra bir sonraki adım bu izinleri vermektir. Bunun merkezileştirilmesi, biçimselleştirilmesi gerekiyor. Kullanılan iç politikaların olması gerekir. Yukarıdakilerin tümüne girdi sağlamak için tüm unsurlara yönetimin atanması gerekir. Veri yönetimi aynı zamanda gerekli olacak olan iş süreçleri mühendisliğinin de kolaylaştırıcısı olabilir.
Bu slaydı terk etmeden önce, ağır para cezalarından kaçınılması için, şirketler sağlam iş uygulamalarını bir yan ürün olarak benimseyeceklerdir. Bunun bir yan üründen çok daha fazlası olduğunu söylemek isterim, ancak sizi yeni bakış açılarından iş perspektifiyle yönlendirebilen gerçekten iyi, sağlam bir işletmedir. Kuşkusuz, yönetim kurulu genelinde tüm girişimleri yapmak için çok fazla verimlilik elde edersiniz, sağlam bir veri yönetişimine sahipseniz, yıllardır gördüğüm şey budur. Bahsettiğim bazı şeylerin veri yönetişimine eklenmesiyle, sadece daha iyi olacaklar. İş süreçleri mühendisliğinizde, bu soruları genel kurulda sormanızı öneririz, her işletme alanına tıklayın. AB müşterilerimiz hakkında ne tür veriler topluyoruz? Hepsini okumam. Buradaki anahtarlardan bazıları. Bu verileri görmeye kim ihtiyaç duyuyor ve bu takip ediliyor mu? Bu veri için veri görevlisi kim? İşletmedeki go-to-insin kim? Bu büyük bir: Bu verileri üçüncü şahıslarla paylaşıyor muyuz? Sırf üçüncü bir tarafa verdiğiniz için, bu verilerle ilgili sorumluluğunuzun üzerinde durmanız gerekmez - bu hala sizin verilerinizdir, hala topladığınız verilerdir. GSYİH neticesinde şu anda kapsamlı bir şekilde incelenen pek çok üçüncü taraf sözleşmesi var. Bu sistemlerin deterministik başarısızlıkları var mı? Yani, başarısız olduklarında, önceden belirlediğimiz bir yola giremezler ya da sadece başarısız oldular, çöktü, yandı ve üzerinde kazmaya başladığımızdan mı başlıyoruz? Açıkçası çok daha iyi olacak. Zaten iyi bir uygulamadır, ancak sisteminizde büyük deterministic arızalar varsa, bu tür şeylerin tersine mühendislik için çok daha iyi.
Veri saklama, sonsuza dek veri saklamadan bahsediyoruz. Bir çok şirketin politikaları var, ancak hepsi aynı şekilde davranmıyor. Açıkçası, ünlü sağlık bakımı ve finans alanında, veri tutmak istiyoruz, belirli bir yıl boyunca veri tutmak zorundayız. Bu firmalarda yedi yıl boyunca veri tutan ya da olmayan analistlerin bazıları, “Ah, o dönemden sonra hala o verileri istiyorum” diyor. Bu şirketlerdeki avukatların bazıları, “Ama ondan kurtulmamız gerekiyor sorumluluk açısından, ”vb. Bu, GDPR ile artık daha uzun süre oturdurulan bir mesele olarak, oraya kolayca oturamaz. Bekletme süresine sahip olmalıyız, bunu organizasyon içindeki yönetim kurulunda sürekli takip etmeliyiz.
Son olarak, veri ihlali için nasıl harekete geçiyorsunuz? Başınıza gelebilecek bu en kötü senaryolar. Açıkçası, onları önlemeye çalışıyoruz, ama ya olursa? Bu olayı nasıl harcıyorsunuz ve yanıtınızdaki GSYİH hükümlerini şimdi takip ettiğinizden emin olun. Ben bir veri mimarıyım, veri mimarisini düşünüyorum. AB operasyonları olan ve AB vatandaşı verileri anlamına gelen, ABD merkezli bir şirketseniz, veri koruma standartlarını tüm verilere mi yoksa yalnızca AB verilerine mi uygulayacağınızı düşünmeniz gerekir. Evet, şu anda bu kararı veren müşterilerim var. Sağlam bir iş uygulaması olarak, bunu ABD'ye getirmek isteyebilirler, ancak zamanları varmış gibi hissedebilirler, ancak bu iki numaralı mermiyi getirir. ABD sistemlerinin verileri uygun şekilde kullanacağını garanti edemezseniz, AB verilerini ABD sistemlerinden kesmeniz gerekebilir. Bu, analitik amaçlı verileri ayırıyor mu? Bunları ülke genelinde yapmaya çalışıyorsanız, analitikler bile geçerli mi? Bazen evet, bazen hayır, değil mi? Sonuç olarak analizlerinizin sessize alındığını görebilirsiniz.
Daha önce de bahsettiğim gibi, yapay zeka burada oynuyor çünkü açıkça tüm verileri bulmak için AI kullanabiliriz, tüm verileri bulmamıza yardımcı olabiliriz, ancak AI'yi müşteri arayüzlerimizde kullanırsak, şimdi müşterimizle şeffaflığa ihtiyacımız var Arayüzler ve bu asla AI'nın güçlü kıyafeti olmadı. Bir müşteriye, gerçekten AI olduğu zaman, “reddedildi, çünkü filan, filan, filan” demeyi denemek için. Bu şimdi yapılmalı. AI'nın nasıl çalıştığını bulmak zorundayız, faktörler nelerdir? Sadece orada oturup artık senin için kara bir kutu olamaz. Şimdi ne yapacağız? GSYİH tahtanızı oluşturun. Üst düzey mahremiyet memurunuzu orada bulundurmanızı veya bir veri koruma memurunuz varsa, açıkçası o kişiyi öneririm. Veri yönetişimi başkanları, operasyonel risk ve / veya uygunluk, eğer uygulanırsa, IT başkanı, eğer o kişi ise CIO. Değişen bir yönetim elemanınız varsa, bu orada harika bir insan olurdu. Sadece işinizdeki en önemli bölümlerden bazılarının yanı sıra İK müdürünün başkanları çünkü gizlilik eğitimi şimdi büyük olacak. Herkes mahremiyet eğitimi alacak veya bir şirkete, hatta danışmanlarına bile katıldığı zaman mahremiyet eğitimi alacak.
Burada gördüğünüz şeyleri yapmıyorsanız, son teslim tarihini vermek istediğinizden daha hızlı hareket etmeniz gerekecektir. Ayrıca, denetlenen ilk kişilerden biri olmadığınız umuduyla başlamanız gerekir, çünkü sıfırdan başlıyorsanız ve çok sayıda AB vatandaşı verisi ile uğraşıyorsanız, burada çok fazla iş var. DPO'nuzu işe alın, verilerinizi ve işlemlerinizi envanterleyin. Veri yönetimi için bu planı oluşturun, olduğu yerden, olması gereken yere götürün. Durum olabilir, başlatmak isteyebilirsiniz. Gizlilik politikalarınızı ve politika bildirimlerinizi oluşturun. Gizlilik politikaları içseldir. Politika bildirimleri dışa çıkar. Şimdi politika bildirimleri etrafında yaratılmaya başlayan bir kültür görüyoruz. Bu politika bildirimleri etrafında çok sayıda karşılaştırma yapıldı ve çok sayıda dikkatli ifade yapıldı. Yeni sistemler dahil tüm sistemler için bir GDPR uyumluluk kontrolü düzenleyin. Bunları sıralamanız ve bir dereceye kadar önem sırasına göre yapmanız gerekebilir, ancak bu sorunu çözmenin başka bir yoludur. Sistemlere ve yapmaları gerekenleri ve bu verileri nasıl kullandıklarına bakın.
GDPR ne sinyal verir? Bu konuda biraz daha konuşmak için buradayız. Kim bu konuda söyleyeceklerini bekliyorum. GSYİH veri gizliliği kontrollerinde düzenlemeye doğru bir kaymadır. Şeffaflığa doğru bir eğilim, şartlarda doğru söylüyor. Konuştuğum gibi, bu gizlilik bildirimleri kültürünü şimdi yaratıyoruz. Gizlilik bildirimleri ve benzeri konularla ilgili konferanslar göreceğiz. GSYİH kayması insanların temel haklarına doğru. Açık sorular çözülecek. Açıkça açık sorular var, burada bizim için masaya birkaç tane bıraktım. Kimse cevap vermedi. Çalışacaklar. Bireylerin verilerini ve nasıl kullanıldığını daha iyi anlamalarına yönelik bir eğilim. Bunun, AB nüfusu arasında, verilerinin önemi ve kişisel varlıklarından biri olarak daha fazlasını yönetmeleri gerektiğine dair farkındalık yarattığını düşünüyorum. Bu gördüğüm ilk sinyallerden bazıları ve Eric, şimdi size geri döneceğim.
Eric Kavanagh: Pekala, perspektifini paylaşan Kim'in anahtarlarını bana vermeme izin ver, ama bence bu iyi bir genel bakış William, ve en önemli noktalara değiniyorsun - yani bu kesin olarak pike geliyor ve biz Açıkçası herkes için çok dikkatli olun. Bununla, anahtarları Kim'e vermeme izin verin, ekranınızı paylaşın ve buradan alın.
Kim Brushaber: Hey orda, beni duyuyor musun?
Eric Kavanagh: Seni duyabiliyorum.
Kim Brushaber: Muhteşem. William benim anlatacağım bazı şeyleri de kapsıyordu, ancak gerçekten önemli oldukları için tekrar ele almaya değer olduğunu düşünüyorum. Yeni düzenlemeler yürürlüğe girdiğinde, birçok farklı insanın bakış açısını ve yorumunu almanın gerçekten iyi olduğunu düşünüyorum, böylece bir şey zihninizi kıvılcımlandıracak ve daha da uyumlu olmanıza olanak sağlayacak. Daha fazla bilgi edinmek isteyen bu çağrıdaki herkes tarafından cesaretlendirildim çünkü sanırım 25 Mayısinci, takip edilmekte olan şirketler için, uyum içinde olmayan çok fazla panik olabilir.
Benim adım Kim Brushaber, IDERA'nın kıdemli ürün müdürüyüm. Altımda GDPR uyumluluğuna ve diğer düzenlemelere yardımcı olan birkaç ürünüm var. Bilgilerin bir kısmına atlayacağım. Bazı gerçeklerle ve bazı rakamlarla başlayacağım ve sonra GSYİH hakkında biraz bilgi sahibi olacağım ve daha sonra özellikle araçlarımızın size nasıl yardımcı olabileceği hakkında. Bir gerçek, her gün 5 milyondan fazla veri kaydının kaybolması veya çalınmasıdır. Bunun haberlerde duyduğunu duymuyoruz, bunun başka yerlerden geldiğini duymuyoruz, ancak sürekli altımızdan çalınan 5 milyondan fazla veri kaydı var. Saldırganların ağınızda uykuda kaldığı medyan gün sayısı 200 gündür. Pek çok sistem zaten, kötü niyetli niyetleri olan ve yalnızca bilgilerinizden, çoğunlukla güvenlik ve sertifikalardan yararlanma fırsatını değerlendirmek için bekleyen, ancak yalnızca anlarının atılmasını bekleyen insanlar tarafından sızmıştır. Bu nedenle, veri güvenliğinizi ele almanız giderek daha önemli hale geldi. 2020’deki ortalama tek veri ihlali maliyetinin 150 milyon doları geçeceği tahmin edilmektedir, çünkü daha fazla iş altyapısı çevrimiçi kaynaklara bağlanır ve bulutta daha fazla iş artar. Veri güvenliğinden gerçekten endişe duyuyorsanız, yürütme ekibinize vermeniz, onlara bunun ciddi bir mesele olduğunu ve bize ilerletmek için çok pahalıya mal olabileceğini söylemek için iyi bir bütçe numarası.
Equifax veri ihlali konusunu kısaca gözden geçireceğim çünkü 2017'nin en büyük veri ihlali olduğunu düşünüyorum. İhlal 145,5 milyon müşteriyi etkiledi. Çalışanlar, güvenlik sorununu ihlal edilmeden iki ay önce web uygulamaları ile birlikte kabul ettiler. Çalışanlar “Bu bir sorun” diyorlardı. Ve hatta ondan biraz önce bile yama çıktı. İhlalin yanıt vermesi ve web uygulamasını çevrimdışı duruma getirmesi bir gün sürdü. Equifax'ın tanımlanmış bir veri güvenliği protokolüne sahip olmadığı için, neler olup bittiğini anlamak ve daha sonra sistemi çevrimdışına almak için önemli bir zaman aldı. İhlalden altı hafta sonra halk uyarıldı. GDPR ile - yukarıda belirttiğimiz gibi ve tekrar söyleyeceğim - 72 saat içinde rapor vermelisiniz ve Equifax'ın elleri bağlı olacaktı ve bu uyumu karşılayamazdı çünkü bildirmek için altı hafta beklediler. İhlale yanıt vermek için yapılan iletişim Equifax'a ait olmayan bir web sitesi içeriyordu. Equifax’ın kendileri, etki alanlarında bile olmayan bu tweet’i retweetliyorlardı - etrafındaki kelimelerin bazılarını tersine çevirdiler. Neyse ki, bu durumdan faydalanan kötü amaçlı bir site değildi, ama açıkça hazır değillerdi. Bir planları yoktu ve kamuoyu arenada bunun farkında oldu. Equifax yalnız değil - 2017'de şu ana kadar 25'ten fazla çok yüksek siber profil saldırısı var ve yıl sonundan önce daha fazlasını bulabiliriz. Şirketler ciddiye almaya gerçekten ihtiyaç duyuyor çünkü insanlar dışarıdalar ve onlara gelmek için bir neden verirseniz, bununla başa çıkmaya hazır olmalısınız.
Diğer bazı veri gerçekleri ve bireylerin veri güvenliğine nasıl baktığına ilişkin rakamlar. 2020 yılına gelindiğinde internete, evlerimizden, giyilebilir eşyalarımızdan, telefonlarımızdan, tabletlerimizden ve gelecek yıllarda daha neler gelebileceğini bilen 30 milyar cihaz olacak. Bu saldırılara karşı savunmasız kalan çok ve çok sayıda cihaz var. Amerikalıların yüzde kırk dokuzu kişisel bilgilerinin beş yıl öncekinden daha az güvende olduğunu düşünüyor. Amerika'daki tüketicilerin yüzde yetmiş üçü, şirketlerin kişisel verileri konusunda şeffaf olmalarını istiyor. İnsanların yüzde yetmiş sekizi bilinmeyen bağlantılara ve bağlantılara tıklamanın risklerinin farkında olduğunu iddia ediyor, ancak yine de bu bağlantılara tıklıyorlar - bu popülasyonumuzun dörtte üçünden fazlası ve hala bağlantılara tıklıyorlar bunun bir sorun olabileceğini biliyorum. İnternet kullanıcılarının yüzde seksen altısı aktif olarak dijital ayaklarının görünürlüğünü en aza indirmeye, anonimleştirmeye ve gizlemeye çalışıyor. Üvey babam dışarı çıkmayı ve form doldururken sahte isimler oluşturmayı seviyor, çünkü onu anonim kıldığını düşünüyor, ancak IP adresinin de izlendiğini bilmiyor. Çok fazla bireysel kaygı var ve bu da birçok GSYİH düzenlemesine ve muhtemelen takip edecek ek düzenlemelere neden olan şey.
Veri güvenliği endüstrisi ile ilgili olarak, 2016'daki ihlal veri kayıtlarının yüzde 90'ı devlet, perakende ve teknolojiden geliyor. Siber saldırıların yüzde kırk üçü küçük işletmelere saldırdı. “Ah, ben büyük bir adam değilim, peşimden gelmeyecekler” diye düşünürseniz, hala küçük işletmelerden sonra neredeyse yarısı var. Sağlık endüstrisinin yüzde yetmiş beşi geçen yıl kötü amaçlı yazılımlara bulaştı. ABD petrol ve gaz şirketlerinin yüzde yetmişi geçen yıl saldırıya uğradı. Bu, faaliyette olan ve devam eden çeşitli farklı endüstriler üzerinde önemli bir etki yaratmaktadır ve bu sayı yalnızca buradan artacaktır.
Yürütme perspektifinden baktığınızda, CIO'ların yüzde 90'ı yetersiz siber güvenliğe milyonlarca dolar harcadığını itiraf ediyor. Yüzde doksanı da saldırıya uğradıklarını veya şifrelemelerinde saklanan adamlar tarafından saldırıya girmeyi beklediklerini söylüyor. Yüzde seksen yedisi güvenlik kontrollerinin işlerini korumakta başarısız olduğuna inanıyor. CIO'ların yüzde seksen beşi, anahtarlarının ve sertifikalarının kimliğini kötüye kullanmasını bekliyor. Bu, bu veri güvenliği sorununa bakan çok sayıda şirket ve gerçek şu ki, çoğu, bunun gerçekleştiği zaman bile bununla başa çıkabilmek için bile çok iyi çözümlere sahip değiller. olacaktır.
Hazırlıklarına baktığımızda, 2014 yılında, bin yılların yüzde 70'i, IT politikalarını ihlal eden dış uygulamalarını işletmelerine getirdiklerini itiraf etti. Yüzde yetmişi buna itiraf etti - muhtemelen bundan daha büyük bir rakam var, aslında bunu yaptı. 2016'da başarılı siber saldırılara uğrayan kuruluşların yüzde elli ikisi, 2017'de güvenliklerinde herhangi bir değişiklik yapmamışlardı. Bir kez saldırıya uğramasına rağmen, hala duvarlara açılmamışlar ve duvarları açmıyorlar - onlar da en az savunmasızlar. saldırıdan önceydi. Bu gerçekten, şirketlerin kendilerini bu şeylere hazırlayabilmeleri için ne yapmaya başlaması gerektiği sorusunu soruyor. Küresel örgütlerin yüzde otuz sekizi, karmaşık bir siber saldırı ile baş etmeye hazır olduklarını iddia ediyor. Bu iyi - neredeyse yarısı orada ve bu konuda cömert davranıyorum, biz gerçekten sadece üçte biriyiz, ancak hala en azından yarısı, “Hazır değilim. Saldırıya uğrarsam, hazır değilim ve bilgisayar korsanları bunu biliyor. ”Kuruluşların yüzde otuz sekizinde siber olay müdahale planı var. Çoğu şirket, ne yapacaklarını bilmedikleri Equifax'la aynı kovada. Eğer bunu başarırlarsa, bu olaylara anında tepki gösterip gelmek zorunda kalacaklar ve GDPR gibi düzenlemeler “Bunları yerinde yapmak zorundasınız. Onları yayınlatmak zorundasın. Bunu güvenlik denetçilerine kanıtlamak zorundasınız. ”Umarım böyle etkilerle, böyle düzenlemelerle, bu eğrinin önüne geçebiliriz ve gerici olmak yerine, çabalarımızda proaktif olabiliriz.
GDPR hakkında biraz konuşalım. Bunlardan bazıları William çoktan kapladı, ama ben devam edeceğim ve onu tekrar ele alacağım, sadece benim bakışımdan, sesimden, bakış açımdan. Konuştuğum birçok şirket, “ABD'deyim, neden bu AB düzenlemesini umursamalıyım ki?” Gibi oluyorlar. Daha fazla insanın uğraşmadığı ve daha fazla insanın konuşmadığı gerçeği yalnızca etkilenen AB üyeleri olduğunu düşünüyorlar, ama sizden rica ediyorum, bu listeye bakarsanız, bu verilerden herhangi birini AB üyelerinden alıyor musunuz? Bu bilgilerden herhangi birini toplarsanız, GSYİH sınırlarına ve uygun olmamanın cezalarına tabi olursunuz. Bunu bir çeşit özümsemek ve bunu anlamak için sana bir saniye vereceğim. William'ın daha önce de belirttiği gibi, bunlar GSYİH'nın 83. Maddesinde belirtilen cezalar ve yaptırımlardır. Başlangıçta yandan bir tokat alabilirsiniz, “Uyarı, hareketinizi bir araya getirin. Bunu yerine koyun. ”Ama eğer gerçekten büyük bir ihlaliniz varsa - ve ne kadar büyük bir anlaşma olduğuna bağlı olarak - iadesi için size geri dönecekler ve bu önemli bir sayı. 10 milyon değil, 20 milyon euro veya bir önceki yıla ait ciro / gelirinizin yüzde 4'ü. Bu çok para. Yönetici ekiplerinize gitmek ve “Ciddiye almaya başlamamız gereken ve harekete geçmemiz gereken bir şey” diyen bu çok fazla bütçe.
5. maddede belirtildiği gibi GSYİH prensiplerinin bir kısmını gözden geçirmeme izin verin, söyledikleri şeylerden biri kişisel verilerin yasal, adil ve şeffaf bir şekilde işlenmesi gerektiğidir. Bu, halkın verileriyle ne yaptığınızı bilmek istediği anlamına gelir. Bu konuda şeffaf olun ve yayınlanması lazım. Çoğu kişi şartlar ve koşulları okumaz, ancak bu, iletişim kurabileceğiniz yeni bilgilerdir, böylece onlara “Verileriniz uygun şekilde kullanılıyor.” Diyebilirsiniz. Kişisel veriler belirtilen şekilde toplanmalıdır. açık ve meşru amaçlar. Bu, umarım şirketlerin, ne kadar ilginç olabileceğinizi söyleyen bir bilgi yarışması için bilgi topladıklarını ve gerçekte verilerinizi alıp başkalarına geri sattıklarını söylediği bu spam hizmetlerinden bazılarından kurtulabileceğimizi gösterir. , amaçları ne olursa olsun kullanabilmek. Şirketlerin artık daha fazla sorumlu olmaları ve bilgilerinizi ne için kullandıklarını tam olarak söylemeleri gerekiyor. Ayrıca kişisel verilerin yeterli, konuyla ilgili ve gerekli olanla sınırlı olması gerektiğini söylerler. Birçok şirket, tüm bilgilerini almaktan ve büyük bir veri havuzuna koymaktan hoşlanır ve daha sonra bu bilgilerle ne yapmak istediklerini anlar ve gerekenden çok daha fazlasını toplar. Bu, onu toplayamayacağınızı ve başka bir yerde kullanamayacağınızı söylüyor. Ayrıca her şeyi toplayamaz ve daha sonra yararlı bulacağını ümit edemezsiniz. Bilgileri neden topladığınız konusunda çok açık olmalısınız ve bu, topladığınız verilerle alakalı olmalıdır.
Kişisel verilerin de doğru olması ve güncel tutulması gerekir. Kullanıcılara verilerini güncellemeleri için bir yol vermelisiniz; geri dönüp, “Biliyorsun, bana kişisel olarak tanımlanabilir bilgiler sorduğun bir ankette bu fikre sahiptim ve geri dönmek istiyorum, bunu değiştirmek ve şimdi güncellemek istiyorum.” diyebilmeleri gerekir. Onlara bunu yapabilmeleri için bir yol vermek. Kişisel verilerin, gerekenden daha uzun süre veri konularının tanımlanmasına izin vermeyecek biçimde muhafaza edilmesi gerekmektedir. William'ın noktasına dönersek, bu bilgileri sonsuza dek toplayamayacaksınız - geçerli ve gerekli olduğunu düşündüğünüz şeyi bulmanız ve ardından verileri temizlemeniz gerekir. Ayrıca, yetkisiz veya yasa dışı işlemlere karşı koruma, kaza sonucu kayıp, imha veya hasara karşı koruma da dahil olmak üzere uygun güvenliği sağlayacak şekilde işlenmesi gerekir.
Daha önce de söylediğim gibi, bu konuda gerçekten ciddileşmenin zamanı geldi, bu veri ihlallerini durdurma, çünkü sadece şirketinize veri ihlali, gelir kaybı ve süreçlerinizi destekleme maliyeti gibi yaralanmalarınız olabilir. Ancak, GSYİH’ndan üstünüze tokatlanmış para cezaları olabilir. Bu konuda gerçekten çok ciddi olmaya başlamanın zamanı geldi ve sanırım GSYİH yürürlüğe girdiğinde, şirketler zor gerçeklikle karşı karşıya kalacak ve neyse ki, bugün görüşme yapanlarınız bu konuda düşünmeye ve bilmeye başlayabilir. bu şeyleri nasıl eyleme geçireceğin.
GSYİH ayrıca bireylerin haklarının ne olduğu hakkında da çok konuşuyor; bireysel kullanıcıları gerçekten arıyor. İlki, kişisel verilerinize erişme hakkıdır. Kullanıcıların, kişisel olarak tanımlanmış bilgiler kadar, kendilerinde hangi bilgileri topladığınızı bilmeleri ve onlara erişebilecekleri bir yol vermeniz gerekir. “Düzeltme hakkım var” diyerek, “üzerimdeki bilgiyi düzeltebilmem gerekiyor” demenin süslü bir yolu olan düzeltme hakkı da var. Silme hakkı - ki yine bir çok insan, hakkı olanı ifade ediyor. unutulmayacağım - eğer bir birey “Eğer ne olduğunu biliyorsan, artık süper eğlenceli bir adam çizgi roman koleksiyoncusu olduğumu bilmeni istemiyorum, bundan kurtulmalısın. Benimle dalga geçecek bazı arkadaşlarım var ve beni listenizden tamamen sildiler. ”Bunu yapabilmeniz gerekir. Ayrıca, işlem kısıtlama hakkı da vardır ve bu, kullanıcıların bilgilerinin işlenme şeklini sınırlayabileceği anlamına gelir. “Bilgilerimi almayı umursamıyorum çünkü yeni bir araba satın alıyorum, ancak bu bilgileri bana kullanmayın ve yeni otomobiller piyasaya sürüldüğü her seferde beni yeni fırsatlar için spam”. veri taşınabilirliği hakkı, bu, kullanıcıların verilerinin bir kopyasını alabilmesi ve başka bir yere götürebilmesi gerektiği anlamına gelir. Bir çok kuruluş bilgi toplar ve bu bilginin bir yapışkanlık faktörü vardır ve şimdi insanlar şöyle diyebilir: “Ne biliyorsun, tüm bilgilerimi almanı istiyorum ve şimdi onu rakibine vermeni istiyorum, böylece onu taşıyabilirim. bitmiş."
Bunu nasıl başarabileceğinize ve hangi bilgileri toplayabilmek istediğinize dair bir kurumdan düşünülecek çok şey var. Ayrıca itiraz etme hakkı da vardır ve kullanıcılar verilerinin işlenmesine de itiraz edebilirler. Yalnızca otomatik işleme veya profil oluşturmaya dayalı bir karara tabi olma hakkı. Bunun B2B pazarlama üzerinde önemli bir etkisi var - eğer orada oturuyorsanız ve A / B testi yapmaya ve tanımlamaya çalışıyorsanız, Colorado bir Kaliforniya’dan daha fazla etkilenecekse, sadece bir duruma bakarak profil oluşturma işlemini tamamladınız. bir başkasına karşı ve bir bireyin bundan nasıl vazgeçebileceğine bakmalısın.
Veri ihlali ile gelebilecek bazı korkutucu şeylere sahip olduğumuz ve insanların verilerine nasıl baktıkları göz önüne alındığında ve omuzlarımızın üzerine atılan bu devasa düzenlemeye sahibiz, şimdi size vermek için buradayım IDERA'nın nasıl yardımcı olabileceği üzerine bir çözüm. 15. madde, kişisel verilere maruz kalmanın nasıl kontrol edileceği hakkında konuşur. Verilerinize kimin eriştiğini bilmek zorundasınız. Nasıl kullanıyorlar? Ne kadar verinin işlendiği ve ürün yöneticisi olduğum SQL ürünleri Uyumluluk Yöneticisi, verilerinize kimin ve nasıl eriştiğini görmenize olanak tanır. SQL Compliance Manger, SQL Server çözümleri içindir. Bir SQL Server veritabanınız varsa, bu bilgileri denetlemek ve bu bilgileri incelemek için bağlayabilirsiniz, böylece GDPR ile uyumlu olabilir ve tam olarak nasıl kullanıldığını bilirsiniz. Veri ihlallerini gerçekleşmeden önce de görebilirsiniz ve bunun hakkında başka bir slaytta konuşacağım. Ayrıca, “İşlem etkinliklerinin kaydına ihtiyacım var” yazan bir makale var. Giriş yapmam ve işlemleri izlemem gerekiyor ve kimin kişisel verileri işlediğini ve bu sistemlere kimin erişimi olduğunu bilmem gerekiyor. ”SQL Compliance Manager, güvenlik, DDL, DML de dahil olmak üzere sunucu ve veritabanlarının denetlenmesini ve hassas verilerin tanımlanmasını sağlar. . SQL Uyumluluk Yöneticisi, güvenlik erişimini denetlemenize ve bir girişimi kaydetmenize olanak tanır; böylece kimlerin bilgilere eriştiğini, kimin giriş yaptığını, ayrıcalıklı bir kullanıcı olup olmadığını, bilinen bir kullanıcı olup olmadığını veya kötü niyetli bir kullanıcı olup olmadığını görebilirsiniz.
Madde 33, kişisel verilerin ihlal edildiğinin denetleme makamına bildirilmesinden bahseder. Bu ihlalleri tespit edebilmeniz gerekir; etkiyi değerlendirebilmek için kayıtlara ihtiyacınız var; Bunu ne kadar çabuk halledeceğinizi bilmeniz gerekir. Bunu yapmak için, SQL Compliance Manger, hassas verilerinize erişimi olanların, eriştikleri anda, neye eriştikleri tarafından görülebilecekleri için veritabanlarınız hakkında uyarılar oluşturmanıza olanak sağlar. Ayrıca, normal ayrıcalıklı kullanıcılarınızı denetiminizden dışlamanıza izin verir. Erişiminiz olacağını bildiğiniz bir sistem yöneticiniz veya ağ yöneticiniz varsa ve raporlarınızı tıkamak istemezseniz, onları ekarte edip "Bana bu bilgilerin dışında olan her şeyi verin" diyebilirsiniz. Birinin verilerinize kötü niyetli bir şekilde erişip erişmediğini hızlı bir şekilde belirlemeniz ve o anda başladığınız anı ve ardından bilgiye erişildiğini anlayabilmeniz için, onu parçalayabilmeniz için size bildiren uyarılar olabilir. Equifax'ın yaptığı gibi neler olduğunu anlamak için tam bir gün beklemek zorunda değilsiniz.
Veri koruma ve etki değerlendirmesi hakkında konuşan bir makale de var. Bu, risklerinizi değerlendirmek ve bunların ne olduğunu anlamak ve ayrıca GSYİH'ya uyumunuzu göstermek ve belgelendirmektir. SQL Compliance Manager, izlenen unsurları rapor etmenize olanak sağlar. Özetle, bilgilerinizi SQL Compliance Manager ile denetlemek için SQL Compliance Manager, başarısız oturum açma durumlarını tespit etmenize olanak sağlar - bu olası bir ihlal belirtisidir - idari faaliyetleri ve güvenlik değişikliklerini izler, sizi veritabanı değişikliklerinde uyarır, denetler Hassas bilgiler olarak tanımladığınız, ayrıcalıklı kullanıcıları tanımladığınız ve faaliyetlerini sisteminizdeki diğer kullanıcılardan ayrı olarak izleyebileceğiniz sütunlar, bilgilerin düzenleyici kurallara göre denetlendiğini rapor edin. Yalnızca GDPR'yi değil aynı zamanda HIPAA, PCI, FERPA, SOX, bilgilerinizi denetlemeye ve nelerin erişildiğini anlamaya geldiklerinde tüm düzenleyici kılavuz ilkelerini de kapsarız.
IDERA'da GDPR hazırlığı için ek ürünlerimiz de var. SQL Uyumluluk Yöneticisinin yaptığı denetlemenin ötesinde, veri işlemlerinizi belgelemenize ve veri standartlarını veri modelinize dahil etmenize yardımcı olan ER / Studio Enterprise Team Edition'ımız var, William'ın önceki slaytlarda konuştuğu veri sözlükleri oluşturabilirsiniz. . Burada bu sunumla belirttiğim gibi, SQL Compliance Manager yanlış kişilerin verilerinize erişmediğinden emin olmak ve bilgilerinizi denetçilere kanıtlamak için bilgilerinizi denetlemenize yardımcı olabilir. SQL Güvenli Yedekleme, verilerinizi ve yedeklerinizi şifrelemenize yardımcı olabilir. Şifreleme, GDPR’nin önemli bir parçasıdır, çünkü Uyumluluk Yöneticisi’nin varlıklarına çok fazla odaklanmak istedim, ancak SQL Güvenli Yedekleme sizin için şifrelemenin büyük bölümünü yapıyor, böylece verileriniz güvende kalıyor. SQL Envanter Yöneticisi, sunucuların yamalı ve güncel olmasını sağlayabilir, böylece eski bir yamanın olduğu Equifax gibi bir durumda olmazsınız; Kötü niyetli kullan. SQL Secure gizlilik ve şifreleme standartlarını denetleyebilir.
IDERA topluluğu web sitesi hakkında daha fazla bilgi için, blogumuzun altında, 2018’e bakarken GSYH’ye Hazırlık ve GDPR’in Etkilerinin Ne Olacağını Anladım ve ayrıca SQL Uyumluluk Yöneticisi’nin deneme kopyasını indirebilirsiniz. IDERA'da ve slaytta daha önce bahsettiğim diğer ürünlerden herhangi biri.
Bu noktada, bazı sorular sorabilmemiz için sunumu devam edip sunumu Eric'e geri vereceğim.
Eric Kavanagh: Tamam iyi. Orada çok ilginç şeylere dokundun, Kim, bunlardan biri - bence bu basit ama oldukça zekice - başarısız girişleri tespit etmekten bahsettin. Bana öyle geliyor ki, birinin iyi hak etmediğine dair oldukça iyi bir işaret var mı?
Kim Brushaber: Kesinlikle. Şifrenize erişmeye ve şifrenizi kırmaya çalışan birini görüyorsanız, birinin yapması gerekeni yapmadığını söylemenin çok hızlı bir yolu. Belki birkaç kez şifrenizi yanlış yazabilirsiniz, ancak bunlardan 30 tanesinin geldiğini görürseniz, bu kötü bir işarettir.
Eric Kavanagh: Evet. Buradaki anahtarlar, uyarılarınızı uygun kurallara göre ayarlamaktır. Uyarıları ayarlama ve ne yapmaları gerektiğini yapmayanları ve bu şeylerin ne kadarını otomatik hale getirebileceklerini devre dışı bırakma sürecini yönetme hakkında bize başka neler söyleyebilirsiniz?
Kim Brushaber: Uyumluluk Yöneticisi'nin birçok yapılandırılabilir uyarının yanı sıra inceleyebileceğiniz raporlar vardır. SQL izlerinizden geçiyoruz ve otomatik olarak izliyoruz ve önceden ayarlanmış ve önceden tanımlanmış birçoğuna sahibiz, ancak kesinlikle yapabileceğiniz çok önemli bir özelleştirme de var.
Eric Kavanagh: William, seni buna getireceğim - bana öyle geliyor ki, önümüzdeki iki ila on yıl boyunca makine öğrenmeyi görmeyi göreceğimiz alanlardan biri, tüm farklı olasılıklara bakıyor. Bir sistemin verimliliğini en iyi hale getirebileceği tüm farklı şekillere bakıldığında, ihlaller ve benzeri konulardaki etkinliği. Bu da senin sıran mı?
William McKnight: Evet kesinlikle. Sanırım artık kendilerini tamir eden sistemler kuruyoruz. 24'e 7 izleme, hala bu tür bir çalışma süresine ihtiyaç duymamıza rağmen kaymaya ve geçmişte kalmaya başlıyor. Bence sistemler büyük oranda bunu inşa ediyor ve bunun neyin yanlış olduğunu çözüyor. Buraya daha fazla yer ayırmamız gerekiyor mu yoksa elinizde ne var? Evet, bence bu kesinlikle geleceğimizin bir parçası. Dışarıdaki herhangi bir şeyle eşleştirilebilecek, bir şeye yanıt olarak alınabilecek herhangi bir şey, kesinlikle yapay zekaya açıktır.
Eric Kavanagh: İyi bir noktaya değindin. Size bir soru daha atayım William, çünkü bu alanda çok fazla araştırma yaptığınızı biliyorum. Uzun süredir beklediğim şeylerden biri ve henüz orada olduğumuzu sanmıyorum - sanırım okuduğum ve düşündüğüm şeyden yaklaşıyoruz - Düzenleyici meseleleri özümseyecek teknolojinin, bu şeylerin gerçek ifadelerini ve işlevselliği ve yazılıma eşleştireceği bir gün. Dediğim gibi, biz hala ondan bir yoluz - üzerinde çalışan birinin olmadığını hayal bile edemiyorum. Böyle bir şeye rastladınız mı, yoksa hala insanların kurallara bakmaları, gerçekten onları denemeleri ve anlamaları, onları makine kodunda kodlamaları ve daha sonra bunları çeşitli uygulamalarına döndürmeleri gereken bir noktada mıyız?
William McKnight: Kesinlikle, burada paylaştığın kavramı anladım. Bununla ilgili bir ortamda bir kullanıma doğru giden herhangi bir şey hakkında bilgi sahibi değilim. Yine de genel olarak söyleyeceğim: açıkçası makinelere ne yapacağımızı değil, amacımızın ne olduğunu ve makinelerin detayları bulmak konusunda daha akıllıca olduklarını söylemeye başlıyoruz. Kurumlarımızda daha yapay bir istihbarat elde ettiğimizde, gelecekte tanımladığınız şekilde uygulayabilecekleri kuruluşların içine yerleştirilen AI ile uyum içinde yeni düzenlemelerin geliştirilmesinin mümkün olabileceğini düşünüyorum. Şimdilik bununla hareket etmiyoruz.
Eric Kavanagh: İşte size üzerine attığım bir soru Kim, çünkü bu da ilginç. Ortalama gecikme süresi veya sisteminize giriş yapan birisinin gizlenip beklediği zamandan söz edersiniz - bir saldırganın bir ağda uyumadığı gün sayısı - algılama 200'dür. Bilmeyi merak ediyorum, nasıl geliştirilebileceği konusundaki düşünceleriniz neler her şeyden önce? Ancak, bu tür bir kuralı kendi sisteminizi keşfetmek için kullanmanın bir yolu var mı? Kendi verilerinizi keşfetmek, bu tür insanları dışarıda tutmak için daha iyi bir iş yapmak için?
Kim Brushaber: Evet, bariz ki erken teşhis önemli. Bu kötü amaçlı sitelerin bilgilerinize eriştiğini ve bunları kilitleyebildiğinizi bulmanız gerekir. Bence çoğu kurumun bu politikaları yerine getirmediğini gösterdiğimiz diğer slaytlarda. Bu yüzden orada oturuyorlar. Bence, aslında erişiminizi engellemek ve doğru kişilerin erişiminin olduğundan emin olmak için gerçekten bir politika uyguladıysanız. Anahtarlarınızı düzenli aralıklarla döndürdüğünüzden ve güncellediğinizden emin olun. Şifrelerinizin düzenli olarak güncellendiğinden ve oldukça basit görünen bu tür şeyleri yaptığınızdan emin olun. Şu anda çoğu kuruluş bunu yapmıyor bile ve bu parçaları bir araya getirmeye başlamak, bunun ötesine geçmenize yardımcı olacak.
Elbette, bilgisayar korsanları bu konuda daha fazla ziyafet çekecekler, ancak şu anda kolay, sanki “Kırılmak istediğimi hissettiğim evlere bakacağım, alarm verecekler” sistemleri? Küçük bir alarm işaretleri var mı ve köpekleri var mı? Alarm işareti olmayan, köpeği olmayan ve içine gireceğim ev oraya gideceğim. ”Eh, yapacak olan şirketleri bulacaklar. Bu yamaları yerine koymuşlar ve güvenliği sağlamıyorlar ve şifrelerini güncellemiyorlar ve oraya gidip takılacaklar ve kredi kartınızı bir benzin istasyonunda birkaç kez kullanacaklarından emin olmak için kapatmadınız ve sonra büyük bir değişikliği etkileyebilecekleri zaman, normalde bir tür politik açıklama yapmalı ya da başkalarının kafalarını açtıklarını görüyorsunuz. Bu politikaları uygulamaya koymak, bu noktada, bu oyunun önüne geçmek için oldukça minimal adımlar atabileceğinizi düşünüyorum.
Eric Kavanagh: Muhtemelen en iyi tavsiye budur ve bunu her zaman duydum ki, güvenlik alanında ya da düzenleyici alanda olan insanlarla konuştuğumuzda, bu temel sorunların yüzde 80'ini kapsayacak ve bu da ele alınması gereken çok önemli bir konu - bu iyi bir nokta. Katılımcılardan biri, birinin GSYİH uyumluluk çabalarından yararlanabilecek iş fırsatlarını genişletip genişletemeyeceğini sordu, ben Sarbanes-Oxley'e hatırlattım ve sanırım William, size atacağım. Bir danışman olarak, müşterilerinize her zaman belirli bir projenin kapsamı dışında yardım etmenin yollarını ararsınız - en azından bunu yapmakta iyi bir danışmansanız. GSYİH hakkında milletle konuştuğunuzda, bu konuya odaklanan bir projeye katılırlarsa elde edecekleri yardımcı faydalar nelerdir?
William McKnight: Her şeyden önce, GSYİH’nın ardındaki fikrin vatandaşların hiçbirine tam haklı olmadığını not etmek önemlidir. GSYİH’nın diğer tarafları vardır, ki bu vatandaşlarımızın şirketimize olan güvenini artıracaktır. onları uyumlu şirketlerde daha fazla iş yapma konusunda teşvik edin. Şu anda şirket içinde GSYH’nize gerçekten ulaşmanın bu faydaları var, uyguladığımız veri yönetişimi programları, gerçekten de kurumlar içinde ve bugün en çok teker teker atılan girişimler başlatılmakta olan her tür girişimi kolaylaştırmaya hizmet ediyor. kuruluşların içinde kapalı. Yakın zamanda 2018 için birçoğu ile planlama yapıyorum, çoğuyla veri yapmak zorundalar, çok fazla, veriler hakkında yüzde 65 ile yüzde 90 gibi - telematik veya müşteri 360 programı hakkında konuşurken veya satış görevlilerini izlemek için bir gösterge paneli, büyük ölçüde verilerle ilgilidir. Bu verileri daha iyi yöneten, bu verilerle ilgili her türlü soruyu cevaplayabilen, bir veri yönetişimi programı gibi gerçekten umursayan insanları hedef alan insanları isimlendiren daha iyi bir mimariye sokan herhangi bir şey. Bize veri sözlüğü veren herhangi bir şey - Kim araçlarıyla konuştuğu gibi - bunu yapan her şey, bu girişimleri çok daha verimli hale getirmek, risk almak, zamanı küçültmek, onlar için bütçeyi küçültmek ve bize ulaştırmak çok yararlı Girişim yapan bir şirket için çok daha hızlı ve iyi şeyler pazarlamak için çevik bir zaman.
Eric Kavanagh: Bu güven kavramını seviyorum. Bence güven, dünyamızda çok takdir edilmeyen bir gerçekliktir ve açıkçası çoğu iş güvene dayanır - gerçekten aşağı indiğinizde gerçekleşir. Kapanış yorumları için sana atacağım Kim. Buradaki en önemli değerlerden birinin güveni arttırmak ve bir güven kültürünü teşvik etmek olduğunu düşünüyorum çünkü bunun yalnızca şirket üzerinde, şirket içindeki insanlar üzerinde değil, aynı zamanda halkın ne tür bir algıya maruz kaldığı üzerinde de olumlu etkileri olacaktır. Bir şey dökülüyorsa, bana öyle geliyor, peki siz ne düşünüyorsunuz?
Kim Brushaber: Evet, sanırım Google’da çalışan ya da daha büyük, gerçekten yüksek profilli kuruluşların bazılarında veya bazılarında çalışan arkadaşlarla konuştuğumda, güvenlik protokollerini ve performans ve ölçeklenebilirlik sorunlarını uyguladıkları kadar neredeyse yeni özellikler kullanmıyorlar. kullanıcı deneyimlerinin bu bilgilere güvenebileceklerine inandıkları bir yerde olmasını isterler. Bu tür bir güven sağlamak için ilerlemeye devam ettikçe şirketlerin bu sorumluluğa sahip olduğunu düşünüyorum. İnsanlar çevrimiçi kredi kartlarını ilk kez çevrimiçi hale getirmeye başladığında ve insanlar “Ah Tanrım, bu bilgileri vermeyeceğim” diye hatırlıyorum, çünkü güvenli değil.
Ve şimdi, kredi kartınız her yöne gidiyor, çünkü teoride, HTTPS sertifikası olduğu için şirkete güvenebileceğinizi düşünüyorsunuz. Ardından, Hedef veri ihlallerini duydukları kredi kartlarının nerede olduklarını, “Oh, kredi kartınızı takas etmelisiniz, çünkü bu bilgiyi bırakıyoruz”. İki yönlü bir duyarlılık olduğunu düşünüyorum. Bireylerin daha fazla güvenmek istediklerini düşünürler çünkü ben çok daha kolay, büyük kuruluşlarda buna güvenip inanabilmek için büyük kuruluşların adım atmaları ve bu parçaları yerlerine koymaları gerekiyor. Bireye zarar verirseniz veya pazar payını kaybederseniz. İnsanlar, “Eh, ne biliyorsunuz, artık Target'te alışveriş yapmayacağım, şimdi Amazon'da alışveriş yapacağım” diyor. Sanırım, insanların de yüzde 78'i olmasına rağmen, güven büyük bir mesele. hala bir linke tıklayacaksınız, bilmeyseler bile. İnsanların, size güvenmeleri bile olsa, belirli bir koruma düzeyi vardır.
Eric Kavanagh: İyi bir noktaya değindin. Biliyor musun, sana son bir soru soracağım, William, ya da en azından bir tane daha - şimdi gelen bazı iyi sorular var. Bir katılımcı şöyle diyor: “GDPR, kimlik yönetimini ait olduğu müşteriye geri götürüyor. Equifax 149 milyon tüketiciye kalıcı hasar verdi, ”çok doğru,“ dijital ekonomiyi kirletiyor. ABD'de kimlik yönetimi konusunda müşteri sahipliği konusunda ne gibi değişiklikler görüyorsunuz? ”
William McKnight: Bu tür bir şey söz konusu olduğunda ABD’de hep geride kalıyoruz, değil mi? Yüz kırk dokuz milyon, buradaki kovada düşme olmaz. Neredeyse terörizm gibidir, değil mi? Biz sadece çok alışkınım, sadece her zaman oluyor. Bence bir şeyler yapılması gerekiyor. Bence GSYİH, vatandaşlara verdiği haklardan hoşlanıyorum, ama öncelik gibi görünmüyor - başka bir çok öncelik var ve nereye gideceğini bilmiyorum. Sanırım sahip olduğum değerlendirmelerde belirttiğim gibi, bunun tüketicinin verileri üzerinde daha fazla haklara kaydığını işaret ediyor. Bu ABD'de ne zaman olur? Bilmiyorum, bu noktada ABD'de sadece spekülasyonda gerçekleşen GSYİH'ya orantılı bir şey görmek beş yıl alabilir.
Eric Kavanagh: Bu gerçekten iyi bir nokta ve bence bu konuda daha fazla çaba harcayacağız çünkü bununla yüzleşelim, bugünlerde böyle bir dijital ekonomiye geçiyoruz. Ve burada kapanan bir yorum olarak, biraz felsefi, politika yönelimli olmak, bu beni nakitsiz bir topluma taşınmakla ilgili en çok endişelendiren şeydir, çünkü nakit kaybolduğunda, eğer olursa, her şey dijitaldir ve her sistem hackleyebilir ve her insanın kimliği çalınabilir. Görünüşe göre buradaki odada oldukça büyük bir fil var.
Hepsi harika şeyler millet. William McKnight'a bugünkü vaktinden ve dikkatinden dolayı teşekkür ederiz. IDERA'dan Kim Brushaber'e teşekkür ederiz. Tüm bu web yayınlarını daha sonra görüntülemek üzere arşivliyoruz, bu nedenle geri gelmekten çekinmeyin, genellikle birkaç saat içinde arşiv hazır olacaktır. Bununla, size veda edeceğiz millet. İlginiz ve ilginiz için tekrar teşekkür ederiz. Güle güle.