Door Techopedia Staff, 6 december 2017
Afhaalmaaltijden: gastheer Eric Kavanagh bespreekt de aanstaande algemene verordening gegevensbescherming van de EU en de gevolgen daarvan voor de industrie. Hij wordt vergezeld door William McKnight van McKnight Consulting Group en Kim Brushaber van IDERA.
Je bent momenteel niet ingelogd. Log in of meld je aan om de video te bekijken.
Eric Kavanagh: OK, dames en heren, nogmaals hallo en welkom. Het is woensdag om 4 uur Eastern Time, wat betekent dat het weer tijd is - een van de laatste keren in het jaar 2017 - voor Hot Technologies. Ja, inderdaad, mijn naam is Eric Kavanagh - ik zal je moderator zijn voor het evenement van vandaag. We hebben het over een onderwerp dat verreikend is, op zijn zachtst gezegd. Op dit moment lijkt het niet zo - het concept van GDPR, de wereldwijde verordening gegevensbescherming. Laten we doorgaan en hierin duiken, het gaat niet echt om de jouwe, genoeg om mij. Dit jaar is hot, het is op veel verschillende manieren erg hot geweest, maar de aanstaande regels van GDPR en van andere organisaties dwingen ons eerlijk gezegd om te heroverwegen wat er gaande is in de bedrijfswereld, in het bijzonder als het resulteert, of wat betreft gegevens. We horen van Kim Brushaber van IDERA en ook William McKnight van McKnight Consulting Group.
Gewoon een paar snelle woorden over het onderwerp, mensen. GDPR zegt in feite dat organisaties een privacy-first en een security-first beleid moeten hebben met betrekking tot gegevens en het gaat echt om enkele dingen die je misschien hebt gehoord - het hele recht om te worden vergeten, is bijvoorbeeld gedeeltelijk en gedeeltelijk dit hele moment, en het is erg interessant spul. Het is zeker geldig in termen van zijn principes en zijn ethiek. Qua daadwerkelijke implementatie is het echter een behoorlijk serieuze uitdaging. Het recht om te worden vergeten zegt dat als u wilt dat sommige organisaties uw gegevens, uw persoonlijk gevoelige gegevens, niet hebben. Nou, je kunt je gewoon voorstellen wanneer sommige van deze echt heterogene data-omgevingen, hoe moeilijk dat zal zijn. Om overal te kunnen komen waar uw gegevens persistent zijn en eruit te halen, gaat het gewoon niet gebeuren, is de bottom line. Desalniettemin moeten organisaties beleid hebben om die zorgen te kunnen wegnemen, en dat is waar de toezichthouders, naar ik weet vrijwel zeker, naar gaan zoeken.
Het is een groot probleem. De organisatie moet niet alleen uw gegevens verwijderen als u dat zegt, maar als ze algoritmen op die gegevens hebben getraind, worden ze technisch gezien ook geacht de algoritmen opnieuw te trainen. Dat is een hele klus, moet ik je zeggen, maar het komt eraan, het komt langs de snoek, het wordt een realiteit in mei van volgend jaar en er zijn ook andere voorschriften. Canada heeft antispamwetgeving die ze hebben aangenomen, dat is van invloed op hoe we omgaan met persoonlijke informatie. Netneutraliteit komt nu op de snoek, het is in wezen ontworteld, en dat zal sommige dingen veranderen. Er zijn veel van deze zeer serieuze voorschriften die van invloed zijn op bedrijven over de hele wereld en over de hele wereld, waar grote organisaties echt over moeten nadenken en zich op moeten voorbereiden.
Daarom hebben we William McKnight online van McKnight Consulting Groups om ons te laten weten wat hij denkt en waarom GDPR in feite slechts het topje van de ijsberg is. Daarmee, William, ga ik het aan jou overhandigen. Haal het weg.
William McKnight: Bedankt, Eric, en zoals je zegt, zoals de dia zegt, deze GDPR is misschien het topje van de ijsberg - dat is zeker wat we denken. Het is belangrijk dat we diep in GDPR duiken, omdat ik denk dat het een golf van regulering is die langs de pijp komt waar we mee te maken hebben. Gelukkig, Eric, zijn er een aantal redelijke normen voor dat recht om te worden vergeten, waar ik naar toe ga. Maar toch, terwijl ik dit jaar over GDPR praat, denk ik dat er veel bedrijven, vooral Amerikaanse bedrijven, nog niet op zijn voorbereid. Het is absoluut hot en iets waar we zeker niet aan dachten, een jaar geleden, toen ze alleen maar een aantal dingen probeerden, maar nu is het een verordening en we moeten ermee omgaan door, zoals u zei, Eric, komt goed hier - dus helemaal niet zo ver weg.
Een klein beetje over mij, ik ga hier vanuit gegevensperspectief op terugkomen. Om u te laten weten, ik ben een levenslange gegevenspersoon en adviseer nu 19 jaar op het gebied van gegevens, en GDPR gaat veel over gegevens. Ik ga hier een oplossing bieden, als ik in mijn presentatie over gegevensbeheer inga. Ik heb uiteraard veel data governance-programma's gedaan en ik denk dat als je op één lijn bent met dat concept, je wat data governance doet, veel bedrijven daar vrij ver op weg zijn eigenlijk, aan GDPR-compliance, maar er zullen veel zijn, en eerlijk gezegd, die achterlopen in governance en daarom behoorlijk achterlopen in hun GDPR-voorbereidingen. Laten we hier het niveau bepalen en begrijpen waar GDPR over gaat en naarmate we dieper ingaan op het gesprek, zullen we meer ingaan op de gevolgen van GDPR op het bedrijfsleven als we verder gaan in het nieuwe jaar en daarna.
GDPR is voor de gegevensprivacy van Europese burgers. Het is een verordening - betekent dat het tanden heeft, betekent dat het afdwingbaar is. Het is niet iets dat als suggestie wordt gepresenteerd - dat is al gebeurd en nu is het omgezet in een verordening met sancties. Ik begin graag met de straffen, want dat trekt echt de aandacht van mensen. Dit zijn stijve straffen. Er zijn twee boetes, er is 2 procent van de wereldwijde jaaromzet of 10 miljoen euro als een bedrijf de beveiligingsverplichtingen niet nakomt, maar al het andere, in strijd met andere bepalingen - en daar kom ik op - dat is 4 procent. Je hoort het ongeveer - 4 procent. En trouwens, het is 4 procent of 10 miljoen euro, afhankelijk van welke groter is. Dit is erg stijf. Mensen nemen dit heel serieus. Vanaf 25 mei 2018 afdwingen - dat is een sleuteldatum, dan kunnen de audits beginnen, dat is het moment waarop je je boete kunt krijgen. U wilt hier absoluut klaar voor zijn. Elk bedrijf waarmee ik te maken heb, ik heb veel met Global 2000-bedrijven, ze zijn ergens in hun GDPR-voorbereiding, sommige meer dan andere en sommige moeten op dit moment meer zijn dan andere. Het zal zeker een uitdaging zijn om die datum voor sommigen te halen, en we zullen zien.
Het is het meest grondige regime voor gegevensprivacy dat we tot nu toe hebben gezien. Wanneer we iets stugger zullen zien of iets dat misschien effectiever is, kan de Amerikaanse bevolking directer zijn, wie weet, maar het is daar en moet absoluut worden nageleefd. Het vereist organisaties om te begrijpen welke UE-burger PII - we zijn bekend met PII-recht - persoonlijk identificeerbare informatie, sociale zekerheid, telefoonnummer, adres, de dingen die een persoon uniek kunnen identificeren of vrij redelijk uniek een persoon kunnen identificeren. Wat ze hebben en hoe ze het gebruiken. Dit betekent inventaris. Dit betekent regulering binnen uw eigen bedrijven rond dit soort gegevens. Trouwens, de VS hebben geen enkele nationale wetgeving inzake gegevensbescherming. De VS is altijd - ik zal erachter zeggen, om het in perspectief te plaatsen - achter Europa geweest met betrekking tot dit soort regelgeving, en dat blijft zo. Dat gaat door met de GDPR, dat is vrij duidelijk. Sommigen van jullie weten misschien over privacyschild, je vraagt je misschien af wat dat is. Er zijn ongeveer drie of vier bepalingen in de AVG die overlappen met privacyschild, maar er zijn honderd bepalingen in de AVG, dus het is veel meer dan dat en natuurlijk is dat ook nog steeds aanwezig en dat heeft te maken met de gegevensuitwisseling tussen de VS en de EU alleen, hoewel dat belangrijk is.
Nogmaals, ik begin graag met cijfers. Je hebt gehoord over de boetes, hoe zit het met hoe je je daarop voorbereidt. Budgettering voor GDPR en iets hiervan doen, dit is afhankelijk van een aantal factoren. De hoeveelheid PII-gegevens die u verzamelt over EU-burgers. Als je er geen verzamelt, OK, dan ben je waarschijnlijk compliant en hoef je hier niets mee te doen, maar je neemt waarschijnlijk deel aan deze oproep omdat je ergens iets verzamelt. De omvang van uw bedrijf en de volwassenheid van uw gegevensbeheer, die zoals ik al eerder zei, mogelijk in de buurt komt van wat u moet doen om te reageren op GDPR. U kunt naar verwachting enkele miljoenen USD of euro's verwachten. We willen echter niet alleen voldoen aan GDPR, dat vakje aanvinken, natuurlijk moeten we dat doen. Hopelijk zit je niet in die ergere situatie waarin je gewoon wanhopig bent om dat vakje aan te vinken. Zoek naar zakelijke voordelen, omdat veel van de dingen die u doet ter ondersteuning van GDPR goed zijn voor uw bedrijf. Gegevensbeheer is goed voor uw bedrijf. Als het gaat om de hoeveelheid PII-gegevens, zijn sommige belangrijker dan andere, sommige zullen meer worden gecontroleerd dan andere, zoals gegevensgerelateerde gezondheid, zullen veel strenger worden gereguleerd onder GDPR dan andere soorten gegevens en vereisen naleving met aanvullende verplichtingen, zoals het uitvoeren van effectbeoordelingen van gegevensbescherming, wat uiteraard bijdraagt aan uw budget.
Een beetje over budgettering. In het geval dat u zich in het VK of de VS bevindt en u zich afvraagt wat dat voor u betekent - GDPR treft trouwens het VK, dat trouwens nog steeds in de EU is, tot 29 maart 2019 en wiens regering heeft aangegeven dat zoiets als GDPR zal doorgaan na die datum omdat "Het is een goed idee." Britse bedrijven moeten zich eraan houden. De gegevens van Britse burgers liggen hier zeker op tafel. Voor het geval dat niet duidelijk is, zijn er in de VS gevestigde bedrijven, als u in de EU handelt met gegevens van EU-burgers, is dit zeker op u van toepassing. Dit heeft gevolgen voor uw gegevensarchitectuur, omdat u mogelijk uw EU-gegevens van al het andere moet afsluiten en anders behandelen. Het beïnvloedt analyses, zoals Eric zei, in hoe je die analyses compileert, enzovoort. Het kan nu moeilijker zijn om elke vorm van concept-brede, wereldwijde analyse aan de gang te krijgen. Ze kunnen meer gelokaliseerd worden als gevolg van GDPR.
Wat staat er in de bepalingen? Er zijn normen voor gegevensbescherming. Deze alles behalve dicteren encryptie van gegevens in rust en in beweging. Ik zal het nu over codering hebben. Er zijn meldingsnormen voor datalekken. Niet meer van dit maanden wachten, wachten op kwartalen om iedereen te laten weten. Ik denk dat er onlangs een grote was en we kwamen erachter: "Oh, het is een jaar geleden gebeurd." Niets van dat alles met GDPR - je hebt 72 uur. Het is een beleid van naam en schaamte. Hopelijk komt niemand daar, duidelijk zullen sommige mensen dat wel doen. Inbreuken zullen doorgaan, zelfs na de AVG natuurlijk. Er zijn processen om de locatie en kwaliteit van gegevens te controleren. Klinkt bekend? Dat is echt het hart van data governance. Hopelijk heb je er wat van.
EU-burgers hebben het recht om vergeten te worden, zoals Eric zei. Hier zijn enkele redelijke normen voor, Eric. U hoeft niet noodzakelijk alles uit te wissen, als u mogelijk opnieuw contact moet opnemen met die klant, die werknemer, mag u bepaalde aspecten van hun persoonlijke gegevens bewaren. Maar desalniettemin hebben die burgers het recht om te worden vergeten, maar er kan geen onevenredige inspanning - dat is de taal - voor u zijn of schade toebrengen aan het bedrijf, dat is aan u om die gegevens uit te wissen. Ik wil het niet bagatelliseren, maar je moet ook kopieën van persoonlijke gegevens vrijgeven die zijn bewaard en je kunt die gegevens alleen krijgen met toestemming. Die toestemming moet worden gegeven door mensen die de minimumleeftijd hebben om dergelijke toestemming te verlenen. Dat is een mondvol daar, maar dat geeft burgers veel rechten over hun gegevens. Dat is draagbaarheid daar, voor het geval dat ooit komt. Het recht om vergeten te worden, duidelijk, maar ook - en iets dat niet op mijn dia staat dat behoorlijk belangrijk is - is dat de betrokkene het recht heeft niet te worden onderworpen aan een beslissing die uitsluitend op geautomatiseerde verwerking is gebaseerd. Waar zijn we hard naar toe gegaan? Geautomatiseerde verwerking, rond leningacceptatie, welke aanbiedingen we gaan geven, dit moet allemaal worden uitgewerkt in termen van hoe dit gaat uitpakken en hoe ver dit gaat gaan. Wat dit in wezen zegt, is transparantie over waarom ik werd afgewezen, waarom ik op een bepaalde manier door dit bedrijf wordt behandeld. Dit is een recht dat nu wordt toegekend aan een EU-burger.
Uiteraard zijn er enkele gevolgen voor onze bedrijfsvoering en hopelijk ziet u dat GDPR geen IT-probleem is, geen IT-probleem. Al deze bedrijfsprocessen zijn betrokken. Er zullen mensen uit het hele bedrijf bij betrokken zijn. De aanstelling van een functionaris voor gegevensbescherming wordt aanbevolen voor bedrijven met meer dan 250 werknemers en u hebt "kritische wiskunde met EU PII-gegevens". U kunt zelf beslissen of u die kritische wiskunde hebt, soms is het duidelijk, soms niet. Maar er is een nieuwe rol - hoeft geen fulltime rol te zijn, de persoon kan andere verantwoordelijkheden hebben, maar ik weet het niet - in sommige middelgrote en grotere bedrijven, denk ik dat het volgen van GDPR dicht bij een fulltime functie staan. Ik zou zeggen begin op die manier en kijk of je het aankunt. Vooral in het volgende jaar, als je je act rond GDPR verzamelt, kun je, zodra het eenmaal is geregeld, misschien het werk hieraan vertragen, maar het zal sommige bedrijven behoorlijk wat tijd kosten. Laat individuen hun eigen gegevens en gegevensportabiliteit zien, zoals ik al eerder zei.
Dit is trouwens niet allemaal nieuw, maar het recht om te worden vergeten is er al, geloof het of niet. De huidige EU-regels voorzien al in het recht om persoonsgegevens te laten verwijderen of onbeschikbaar te maken. Nu het echter onderdeel is van de AVG, zal het veel breder worden toegepast. Gegevenscodering - codeer uw gegevens in rust. Gebruik standaard coderingsmethoden, gebruik geen eigen of niet-standaard codering. AES is er een die we nogal wat aanbevelen. Gebruik cryptografisch beveiligde coderingssleutels. Wijzig deze toetsen regelmatig. Voorkom ook dat die sleutels verloren gaan. Dit zijn gewoon goede versleutelingsmethoden, maar nu komen ze op de voorgrond met GDPR. Daarin ligt het probleem - ik heb alleen het topje van de ijsberg geraakt. Er zijn uiteraard meer bepalingen om naar te kijken, maar dat zijn de belangrijkste.
Nu oplossing. Gegevensbeheer, het raamwerk voor uw naleving, dat is tenminste het perspectief dat ik hier naar voren breng. Gelukkig is er een actieve welgestelde discipline die, als ze volwassen is, de meeste vereisten aanpakt en dat is data governance - dat zeg ik natuurlijk. Governance-programma's moeten een gegevenswoordenlijst hebben, en hier gebruik ik een gegevenswoordenlijst in generieke zin om overal documentatie voor uw processen te betekenen. Dit is van fundamenteel belang om te voorzien in de inventarisbehoeften van GDPR, wat, zoals we hebben gezien, vrij immens is. Het programma, het governance-programma, zou de databeveiligingsprotocollen moeten vergemakkelijken - en ik onderstreep dat omdat dat niet iets is dat veel data governance-programma's momenteel doen, maar ik denk dat het een logische plaats is om dit te doen omdat ze zittend op het programma dat bepaalt wie de bedrijfseigenaren zijn? Wie moet het zien? En dan is de volgende stap het verlenen van die machtigingen. Dat moet worden gecentraliseerd, dat moet worden geformaliseerd. Er moet een intern beleid zijn dat wordt gebruikt. Stewardship moet aan alle elementen worden toegewezen om input te leveren voor al het bovenstaande. Data governance kan ook de facilitator zijn van de bedrijfsproces-engineering, die nodig zal zijn.
Voordat ik deze dia verlaat, zullen bedrijven, bij het nastreven van de hoge boetes, goede zakelijke praktijken als bijproduct omarmen. Ik zeg graag dat het meer is dan een bijproduct, maar het is eigenlijk gewoon een goede, gezonde onderneming die je vanuit een zakelijk perspectief naar nieuwe plaatsen kan leiden. Zeker, u krijgt veel efficiëntie voor het doen van alle initiatieven over de hele linie, als u goed gegevensbeheer hebt, dat is wat ik in de loop der jaren heb gezien. Door enkele van deze dingen die ik noem, toe te voegen aan gegevensbeheer, worden ze alleen maar beter. In uw bedrijfsproces-engineering raden we u aan deze vragen over de hele linie te stellen, elk bedrijfsgebied te raken. Wat voor gegevens verzamelen we over onze EU-klanten? Ik zal ze niet allemaal lezen. Enkele van de belangrijkste hier. Wie heeft deze gegevens nodig en wordt dat gevolgd? Wie is de gegevensbeheerder voor die gegevens? Wie is mijn favoriete persoon in het bedrijf? Dit is een grote: delen we deze gegevens met derden? Alleen omdat u het aan een derde geeft, betekent dit niet dat u aansprakelijk bent voor die gegevens - dat zijn nog steeds uw gegevens, dat zijn nog steeds gegevens die u hebt verzameld. Er zijn veel contracten met derden die nu grondig worden herzien als gevolg van GDPR. Hebben deze systemen deterministische fouten? Dit betekent dat wanneer ze falen, ze falen in een pad dat we vooraf hebben bepaald, of zijn ze gewoon mislukt, crashen, verbranden en beginnen we vanaf nul te graven? Het gaat duidelijk een stuk beter worden. Het is al een goede gewoonte, maar uiteraard veel beter voor reverse engineering van sommige van deze dingen, als je grote deterministische fouten in je systeem hebt.
Gegevensbehoud, we hebben het al altijd over gegevensbewaring gehad. Veel bedrijven hebben beleid, maar ze volgen ze niet allemaal. Het is duidelijk dat we, beroemd in de gezondheidszorg en financieel, gegevens willen bewaren, we moeten gegevens een bepaald aantal jaren bewaren. Sommige van de analisten in deze bedrijven die gegevens bewaren voor de zeven jaar of wat dan ook, zeggen: "Oh, na die periode wil ik die gegevens nog steeds." Sommige van de advocaten in deze bedrijven zeggen: "Maar we moeten er vanaf komen voor aansprakelijkheidsdoeleinden ', enzovoort. Dat kan daar niet zomaar blijven zitten, als een probleem bij de registers niet langer met GDPR. We moeten de bewaartermijn hebben, consequent overal in de organisatie worden gevolgd.
En tot slot, hoe mobiliseer je voor een datalek? Deze worst-case scenario's die u kunnen overkomen. Uiteraard proberen we ze te voorkomen, maar wat als het gebeurt? Hoe krijg je er oorlog in en zorg je ervoor dat je nu de bepalingen van de AVG in je antwoord volgt? Ik ben een data-architect, ik denk aan data-architectuur. Als u een in de VS gevestigd bedrijf bent met EU-activiteiten, dat wil zeggen gegevens van EU-burgers - u verzamelt deze gegevens, moet u overwegen of u de normen voor gegevensbescherming op alle gegevens of alleen EU-gegevens wilt toepassen. Ja, ik heb klanten die nu die beslissing nemen. Als een goede zakelijke praktijk willen ze dat misschien meenemen naar de VS, ze hebben misschien het gevoel dat ze tijd hebben, maar dat brengt opsommingsteken nummer twee naar voren. Mogelijk moet u EU-gegevens van Amerikaanse systemen afsluiten als u niet kunt garanderen dat Amerikaanse systemen gegevens op de juiste manier verwerken. Worden die gegevens gescheiden voor analytische doeleinden? Zijn analyses zelfs geldig als u ze in het hele land probeert te doen? Soms ja, soms nee, toch? Het kan zijn dat uw analyses hierdoor worden gedempt.
Zoals ik al eerder zei, speelt kunstmatige intelligentie hier omdat we natuurlijk AI kunnen gebruiken om alle gegevens te vinden, ons te helpen alle gegevens te vinden, maar als we AI in onze klantinterfaces gebruiken, moeten we nu transparantie hebben met onze klant interfaces en dat is nooit AI's sterkste punt geweest. Om een klant te vertellen: "Je bent afgewezen omdat bla, bla, bla, " terwijl het echt AI was. Dat moet nu gebeuren. We moeten erachter komen hoe AI werkt, wat zijn de factoren? Ik kan daar niet meer alleen maar zitten en een zwarte doos voor je zijn. Wat doen we nu? Stel uw GDPR-bord in. Ik stel voor dat u uw senior privacyfunctionaris daar hebt of als u een functionaris voor gegevensbescherming hebt, uiteraard die persoon. De hoofden van data governance, operationeel risico en / of compliance, zoals ze van toepassing zijn, het hoofd van IT, CIO als dat de persoon is. Als je een veranderde management persoon hebt, zou dat een geweldige persoon daar zijn. Gewoon hoofden van enkele van de belangrijkste afdelingen binnen uw bedrijf, en ook het hoofd van HR, omdat privacytraining nu enorm zal worden. Iedereen krijgt privacytraining of zou privacytraining moeten krijgen bij het opstarten van een bedrijf, zelfs consultants.
Als je deze dingen die je hier ziet niet doet, moet je sneller gaan dan je zou willen om de deadline te halen. Je moet ook beginnen te hopen dat je niet een van de eersten bent die wordt gecontroleerd omdat, eerlijk gezegd, er hier veel werk is als je helemaal opnieuw begint en veel gegevens van EU-burgers verwerkt. Huur uw DPO in, inventariseer uw gegevens en uw processen. Bouw dat plan voor data governance, breng het van waar het is, naar waar het moet zijn. In voorkomend geval wilt u misschien beginnen. Stel uw privacybeleid en uw beleidskennisgevingen op. Privacybeleid is intern. Beleidsmededelingen gaan extern. We zien nu een cultuur ontstaan rond beleidsaankondigingen. Er wordt veel vergeleken en veel zorgvuldige formulering gedaan, rond deze beleidsmededelingen. Charter een GDPR-nalevingscontrole voor alle systemen, inclusief nieuwe systemen. Het kan zijn dat u ze in een bepaalde volgorde van belangrijkheid moet rangschikken, maar dit is een andere manier om het probleem aan te pakken. Kijk naar de systemen en wat ze zouden moeten doen en hoe ze met deze gegevens omgaan.
Wat signaleert GDPR? Dat is waar we hier wat meer over praten. Ik kijk uit naar wat Kim hierover te zeggen heeft. GDPR is een verschuiving van gegevensprivacycontroles naar regelgeving. Het is een trend naar transparantie, dat staat in de bepalingen. We creëren deze cultuur van privacykennisgevingen, zoals ik al zei, dat is nu iets. We gaan conferenties zien over privacykennisgevingen enzovoort. De GDPR-verschuiving is gericht op de grondrechten van mensen. Open vragen worden uitgewerkt. Er zijn duidelijk open vragen, ik heb er hier een paar voor ons achtergelaten. Niemand heeft het antwoord. Ze zullen worden uitgewerkt. Een trend naar meer begrip door individuen over hun gegevens en hoe deze worden gebruikt. Ik denk dat dit de bevolking van de EU bewuster heeft gemaakt van het belang van hun gegevens en dat ze als een van hun persoonlijke bezittingen moeten zien dat ze meer moeten beheren. Dat zijn enkele van de vroege signalen die ik heb gezien, en Eric, ik zal het je nu teruggeven.
Eric Kavanagh: Alrighty, laat me de sleutels overhandigen aan Kim, die een deel van haar perspectief kan delen, maar ik denk dat dat een goed overzicht was, William, en je sloeg op de belangrijkste punten - namelijk dat dit zeker op de snoek komt en we moeten allemaal heel voorzichtig zijn, eerlijk gezegd. Laat me daarmee de sleutels overhandigen aan Kim en u kunt uw scherm delen en het vanaf daar overnemen.
Kim Brushaber: Hé daar, kun je me horen?
Eric Kavanagh: Ik kan je horen.
Kim Brushaber: Geweldig. William besprak een aantal van dezelfde dingen die ik ga behandelen, maar ik denk dat ze het waard zijn weer te dekken omdat ze echt belangrijk zijn. Ik denk dat wanneer nieuwe voorschriften worden doorgegeven, het echt goed is om het perspectief en de interpretatie van veel verschillende mensen erop te krijgen, zodat iets je aan het denken zet en je in staat stelt om nog complianter te worden. Ik word aangemoedigd door alle mensen die aan deze oproep deelnemen en meer willen weten, omdat ik denk dat er op 25 mei aanstaande veel paniek kan zijn voor bedrijven die worden achtervolgd, die niet in overeenstemming zijn.
Mijn naam is Kim Brushaber, ik ben de senior productmanager bij IDERA. Ik heb verschillende producten onder mij die helpen met GDPR-compliance en andere voorschriften. Ik ga wat in op de informatie. Ik ga beginnen met enkele feiten en enkele cijfers en daarna een beetje ingaan op GDPR en dan specifiek hoe onze tools u kunnen helpen. Een feit is dat meer dan 5 miljoen gegevensrecords elke dag verloren of gestolen worden. We horen dit niet op het nieuws, we horen het niet vanuit andere plaatsen binnenkomen, maar er zijn meer dan 5 miljoen gegevensrecords die voortdurend worden gestolen, recht onder ons vandaan. Het mediane aantal dagen dat aanvallers in uw netwerk sluimeren, is 200 dagen. Veel systemen zijn al geïnfiltreerd door mensen die - met kwaadwillende bedoelingen - gewoon wachten op de mogelijkheid om uw informatie te verzilveren, meestal binnen beveiliging en certificaten, maar ze wachten gewoon op hun moment om te ponsen. Daarom is het steeds belangrijker geworden om met uw gegevensbeveiliging om te gaan. De gemiddelde kosten van een enkele datalek in 2020 zullen naar verwachting meer dan $ 150 miljoen bedragen, naarmate meer bedrijfsinfrastructuur wordt verbonden met online bronnen en naarmate er meer dingen in de cloud gaan. Dat is een goed budgetnummer als u zich echt zorgen maakt over gegevensbeveiliging, om aan uw directieteam te geven, om hen te vertellen dat dit een serieuze zaak is en ons veel geld kan kosten in de toekomst.
Ik ga kort over de Equifax-datalek, omdat ik denk dat het de grootste datalek van 2017 was, om een beeld te schetsen van hoe het is om daar doorheen te gaan. De inbreuk trof 145, 5 miljoen klanten. Werknemers erkenden het beveiligingsprobleem met hun webapplicatie twee maanden voordat de inbreuk plaatsvond. Medewerkers zeiden: "Dit is een probleem." En zelfs een beetje eerder was het toen de patch daadwerkelijk uitkwam. Het duurde een hele dag nadat de schending zich voordeed om erop te reageren en de webapplicatie offline te halen. Omdat Equifax geen gedefinieerd gegevensbeveiligingsprotocol had, kostte het hen veel tijd om er zelfs achter te komen wat er aan de hand was en het systeem vervolgens offline te kunnen halen. Zes weken na de inbreuk werd het publiek gealarmeerd. Met GDPR - zoals we hierboven hebben gezegd en ik zal het nog een keer zeggen - moet u zich binnen 72 uur melden, en Equifax zou hun handen gebonden hebben en niet aan die naleving kunnen voldoen omdat ze zes weken hebben gewacht om het te melden. De communicatie om op de inbreuk te reageren omvatte een website die zelfs niet in het bezit was van Equifax. Equifax zelf retweeted deze tweet die zelfs niet in hun domein was - ze hadden sommige woorden omgedraaid. Gelukkig was het geen kwaadaardige site die daarop inspeelde, maar ze waren duidelijk niet voorbereid. Ze hadden geen plan en dit werd zich zeer bewust in de publieke arena. Equifax staat niet alleen - er zijn tot nu toe meer dan 25 zeer hoge cyberprofielaanvallen in 2017, en we zouden nog meer kunnen vinden voor het einde van het jaar. Bedrijven moeten dit echt serieus gaan nemen, omdat er mensen zijn en als je ze een reden geeft om naar je toe te willen komen, kun je er maar beter op voorbereid zijn.
Enkele andere gegevensfeiten en cijfers over hoe individuen naar gegevensbeveiliging kijken. Tegen 2020 zullen er 30 miljard apparaten zijn verbonden met internet via onze huizen, via onze wearables, via onze telefoons, onze tablets en wie weet wat er de komende jaren nog meer zal gebeuren. Er zijn heel veel apparaten die kwetsbaar zijn voor deze aanvallen. Negenenveertig procent van de Amerikanen vindt dat hun persoonlijke informatie minder veilig is dan vijf jaar geleden. Drieënzeventig procent van de consumenten in Amerika wil dat bedrijven transparant zijn over hun persoonlijke gegevens. Achtenzeventig procent van de mensen beweert zich bewust te zijn van de risico's van klikken op onbekende links en e-mails, maar ze klikken hoe dan ook op die links - dat is meer dan driekwart van onze bevolking, en ze klikken nog steeds op de links, hoewel ze weet dat het een probleem kan zijn. Zesentachtig procent van de internetgebruikers probeert actief de zichtbaarheid van hun digitale voetafdrukken te minimaliseren, te anonimiseren en te verbergen. Mijn stiefvader houdt ervan om valse namen te maken wanneer hij formulieren invult, omdat hij denkt dat dat hem anoniem maakt, maar weinig weet hij dat zijn IP-adres ook wordt gevolgd. Er is veel individuele zorg en dat is wat veel van de GDPR-voorschriften voortbrengt en waarschijnlijk aanvullende voorschriften die zullen volgen.
Wat de feiten van de gegevensbeveiligingsindustrie betreft, was 90 procent van de gegevensrecords in 2016 afkomstig van de overheid, de detailhandel en technologie. Drieënveertig procent van de cyberaanvallen viel kleine bedrijven aan. Als je denkt: "Oh, ik ben geen grote jongen, ze komen niet achter me aan", is er nog steeds bijna de helft die achter kleine bedrijven aan gaat. Vijfenzeventig procent van de gezondheidszorg was het afgelopen jaar besmet met malware. Zeventig procent van de Amerikaanse olie- en gasbedrijven werd het afgelopen jaar gehackt. Dit is een aanzienlijke hoeveelheid impact op verschillende bedrijfstakken die in gebruik zijn, en dit aantal zal vanaf hier alleen maar stijgen.
Als je het vanuit een uitvoerend perspectief bekijkt, geeft 90 procent van de CIO's toe miljoenen dollars te verspillen aan onvoldoende cybersecurity. Negentig procent zegt ook dat ze zijn aangevallen of dat ze verwachten te worden aangevallen door jongens die zich in hun codering verbergen. Zevenentachtig procent gelooft dat hun beveiligingsmaatregelen hun bedrijf niet beschermen. 85 procent van de CIO's verwacht dat crimineel misbruik van hun sleutels en certificaten erger wordt. Dit is een enorm aantal bedrijven dat naar dit probleem met gegevensbeveiliging kijkt en de realiteit is dat veel van hen niet over zeer goede oplossingen beschikken om er zelfs mee om te gaan wanneer het gebeurt, hoewel ze geloven dat het zal gebeuren.
Als we kijken naar de paraatheid ervan, gaf in 2014 70 procent van de millennials toe dat ze externe applicaties in hun onderneming hadden binnengebracht in strijd met IT-beleid. Zeventig procent gaf het toe - er is waarschijnlijk zelfs een groter aantal dan dat, dat het echt deed. Tweeënvijftig procent van de organisaties die in 2016 met succesvolle cyberaanvallen te kampen hadden, bracht in 2017 geen wijzigingen aan in hun beveiliging. Hoewel ze een keer werden aangevallen, gingen ze nog steeds niet langs de muren - ze zijn net zo kwetsbaar als ze waren vóór de aanval. Dit roept echt de vraag op, wat moeten bedrijven beginnen om zich op deze dingen voor te bereiden? Achtendertig procent van de wereldwijde organisaties beweert dat ze bereid zijn om een geavanceerde cyberaanval te verwerken. Dat is goed - bijna de helft is er, en daar ben ik vrijgevig mee, we zijn echt pas bij een derde, maar er is nog steeds minstens de helft die zegt: "Ik ben niet klaar. Als ik word aangevallen, ben ik er niet klaar voor en de hackers weten het. ”Achtendertig procent van de organisaties heeft een responsplan voor cyberincidenten. De meeste bedrijven zitten in dezelfde bucket als Equifax, waar ze niet weten wat ze gaan doen. Als ze dit krijgen, zullen ze moeten reageren en deze dingen meteen moeten bedenken, en voorschriften als GDPR zeggen: “Je moet deze op hun plaats hebben. Je moet ze gepubliceerd hebben. Je moet het bewijzen aan beveiligingsauditors. ”Hopelijk kunnen we met dergelijke effecten, met dergelijke voorschriften, deze curve voorlopen en in plaats van reactionair te zijn, kunnen we proactief zijn in onze bezigheden.
Laten we het even hebben over GDPR. Een deel van dit heeft William al gedekt, maar ik ga door en bedek het opnieuw, alleen vanuit mijn visie, mijn stem, mijn perspectief. Veel bedrijven waarmee ik praat, zeiden: "Ik ben in de VS, waarom zou ik me zelfs zorgen maken over deze EU-regelgeving?" Het feit dat meer mensen niet zoemen en meer mensen niet praten over zij denken dat het alleen de getroffen EU-leden zijn, maar ik zou u willen vragen om, als u naar deze lijst kijkt, deze gegevens van EU-leden te verzamelen? Als u überhaupt deze informatie verzamelt, bent u onderworpen aan de grenzen van de AVG en aan de boetes voor het niet naleven. Ik geef je een moment om dit gewoon te absorberen en te begrijpen. Zoals William eerder al zei, zijn dit de straffen en sancties waarnaar wordt verwezen in artikel 83 van de AVG. In het begin krijg je misschien een klap in de hand, een kleine waarschuwing met de tekst: "Hé, doe wat je wilt. Zet dit op zijn plaats. ”Maar als je echt een grote schending hebt - en afhankelijk van hoe groot de deal is - komen ze bij je terug voor restitutie, en het is een aanzienlijk aantal. Geen 10 miljoen, maar 20 miljoen euro of 4 procent van uw omzet / omzet van het voorgaande jaar. Dat is veel geld. Dit is veel budget om bij uw directieteams te gaan en te zeggen: "Dit is iets dat we nodig hebben om serieus te gaan nemen en waar we actie op moeten ondernemen."
Ik wil een beetje ingaan op de GDPR-principes zoals beschreven in artikel 5. Een van de dingen die ze zeggen is dat persoonlijke gegevens wettig, eerlijk en op een transparante manier moeten worden verwerkt. Dat betekent dat het publiek wil weten wat u met hun gegevens doet. Wees er transparant over en het moet gepubliceerd worden. De meeste mensen lezen geen algemene voorwaarden, maar dit is nieuwe informatie die u nodig hebt om te kunnen communiceren, zodat u hen kunt vertellen: "Uw gegevens worden op de juiste manier behandeld." De persoonlijke gegevens moeten worden verzameld voor een specifieke, expliciete en legitieme doeleinden. Dit betekent dat we hopelijk van sommige van deze spam kunnen afkomen, waar bedrijven zeggen dat ze informatie verzamelen voor een quiz die je vertelt hoe interessant je zou kunnen zijn, en in werkelijkheid nemen ze je gegevens en verkopen deze terug aan iemand anders, om te kunnen gebruiken voor wat hun doeleinden ook zijn. Bedrijven moeten nu veel verantwoordelijker zijn en precies zeggen waarvoor ze uw informatie gebruiken. Ze zeggen ook dat persoonlijke gegevens adequaat, relevant en beperkt moeten zijn tot wat nodig is. Veel bedrijven nemen al hun informatie graag mee in een grote datapool en zoeken vervolgens uit wat ze later met de informatie willen doen en ze verzamelen veel meer dan nodig is. Dit betekent dat je het niet kunt verzamelen en ergens anders kunt gebruiken. Je kunt ook niet alleen alles verzamelen en hopen dat je het later misschien nuttig vindt. Je moet heel expliciet zijn waarom je de informatie verzamelt en deze moet relevant zijn voor de gegevens die je verzamelt.
Persoonlijke gegevens moeten ook nauwkeurig zijn en worden bijgewerkt. U moet gebruikers manieren geven om hun gegevens bij te werken, nadat u ze op hen hebt verzameld; ze moeten terug kunnen gaan en zeggen: "Weet je, ik had deze mening over een enquête die je me vroeg over persoonlijk identificeerbare informatie en ik wil teruggaan en ik wil dat veranderen en nu bijwerken." En je hebt om hen een manier te geven om dat te kunnen doen. Persoonlijke gegevens moeten zodanig worden bewaard dat identificatie van betrokkenen niet langer mogelijk is dan nodig is. Terug naar William's punt, dat je deze informatie niet voor altijd kunt verzamelen - je moet komen met wat je denkt dat geldig en noodzakelijk is en daarna moet je de gegevens schoonvegen. Het moet ook worden verwerkt op een manier die een passende beveiliging waarborgt, waaronder bescherming tegen ongeautoriseerde of onwettige verwerking, onopzettelijk verlies, vernietiging of schade.
Zoals ik al eerder zei, is het tijd om hier echt serieus over te gaan, die datalekken te stoppen, omdat je niet alleen schade kunt oplopen die je bedrijf overkomt in de vorm van datalekken en het verlies aan inkomsten en de kosten van het ondersteunen van je processen, maar mogelijk hebt u ook een stapel boetes bovenop u van GDPR. Het is tijd om daar echt serieus over te beginnen en ik denk dat als GDPR van kracht wordt, bedrijven geconfronteerd zullen worden met de harde realiteit, en gelukkig kunnen degenen van jullie die vandaag aan de lijn zijn hierover beginnen nadenken en weten hoe je deze dingen gaat uitvoeren.
GDPR praat ook veel over wat de rechten van individuen zijn; het is echt op zoek naar de individuele gebruikers. Het eerste is het recht op toegang tot uw persoonlijke gegevens. Gebruikers moeten weten welke informatie u over hen hebt verzameld, voor zover de persoonlijk geïdentificeerde informatie, en u moet hen een manier geven om toegang te krijgen. Er is ook een recht op rectificatie, wat een mooie manier is om te zeggen: "Ik moet de informatie die je over mij hebt, kunnen corrigeren." Het recht om te wissen - wat weer veel mensen beweren als het recht om vergeet - als iemand zegt: "Weet je, ik wil niet langer dat je weet dat ik een superleuke stripboekenverzamelaar ben, dat moet je kwijt." Ik heb een paar vrienden die me erover plagen en me volledig van je lijst vegen, 'dat moet je kunnen doen. Er is ook het recht op beperking van de verwerking, en dit betekent dat gebruikers de manier kunnen beperken waarop hun informatie wordt verwerkt. Ze kunnen zeggen: "Ik vind het niet erg dat je mijn informatie gebruikt omdat ik een nieuwe auto koop, maar gebruik die informatie niet om me e-mails te sturen en me te spammen over nieuwe deals telkens wanneer er nieuwe auto's worden uitgebracht." het recht op gegevensportabiliteit, wat betekent dat gebruikers een kopie van hun gegevens moeten kunnen krijgen en ergens anders naartoe moeten kunnen brengen. Veel organisaties verzamelen informatie en die informatie heeft een plakkerigheidsfactor, en nu kunnen individuen zeggen: "Weet je, ik wil dat je al mijn informatie neemt en nu wil ik dat je die aan je concurrent geeft, zodat ik die kan verplaatsen over."
Er zijn veel dingen waar een prospect van een organisatie over moet nadenken over hoe u dat kunt doen en welke informatie u wilt kunnen verzamelen en verzenden. Er is ook een recht van bezwaar en gebruikers kunnen ook bezwaar maken tegen de verwerking van hun gegevens. Het recht om niet te worden onderworpen aan een beslissing die uitsluitend is gebaseerd op automatische verwerking of profilering. Dit heeft een aanzienlijke invloed op B2B-marketing - als je daar zit en probeert A / B-testen en probeert te identificeren, zal Colorado meer worden beïnvloed door een bericht dan Californië, nou je hebt net profilering gedaan, door er naar te kijken staat versus een andere, en je moet kijken hoe een individu daarvoor moet kunnen kiezen.
Gezien het feit dat we een aantal enge dingen hebben die zover gaan als datalek en hoe mensen naar hun gegevens kijken en we hebben deze enorme regelgeving die bovenop onze schouders wordt gedumpt, ik ben nu hier om je te geven de oplossing over hoe IDERA kan helpen. Artikel 15 gaat over hoe de blootstelling aan persoonlijke gegevens te beheersen. U moet weten wie toegang heeft tot uw gegevens. Hoe ze het gebruiken. Hoeveel gegevens zijn verwerkt en met SQL-producten Compliance Manager, waarvoor ik de productmanager ben, kunt u zien wie toegang heeft tot uw gegevens en hoe. SQL Compliance Manger is voor SQL Server-oplossingen. Als u een SQL Server-database hebt, kunt u dit product verbinden om deze informatie te kunnen controleren en bekijken, zodat u kunt voldoen aan GDPR en u precies weet hoe het wordt gebruikt. Je kunt ook datalekken zien voordat ze gebeuren, en ik zal daarover in een andere dia praten. Er is ook een artikel dat zegt: “Ik moet gegevens over verwerkingsactiviteiten registreren. Ik moet inloggen en ik moet de operaties volgen en ik moet weten wie persoonlijke gegevens verwerkt en wie toegang heeft tot die systemen. ”SQL Compliance Manager controleert de servers en databases, inclusief beveiliging, DDL, DML en definieert gevoelige gegevens . Met SQL Compliance Manager kunt u beveiligingstoegang controleren en een poging registreren, zodat u kunt zien wie toegang heeft tot informatie, evenals wie zich aanmeldt, of het een bevoorrechte gebruiker is, of het een bekende gebruiker is of een kwaadwillende gebruiker.
Artikel 33 spreekt over de kennisgeving van inbreuk op persoonsgegevens aan een toezichthoudende autoriteit. Je moet die inbreuken kunnen detecteren; u hebt gegevens nodig om de impact te kunnen beoordelen; je moet weten hoe snel je het gaat verhelpen. Om dit te doen, stelt SQL Compliance Manger u in staat om waarschuwingen in uw databases in te stellen die worden gezien door wie toegang heeft tot uw gevoelige gegevens, wanneer zij er toegang toe hebben, waartoe zij toegang hebben gehad. Hiermee kunt u ook uw normale bevoorrechte gebruikers uitsluiten van uw audit. Als u een systeembeheerder of netwerkbeheerder hebt waarvan u weet dat u er toegang toe wilt krijgen en uw rapporten niet wilt verstoppen, kunt u ze uitsluiten en zeggen: "Geef me alles wat er gebeurt buiten die informatie." u om snel te identificeren of iemand kwaadwillend toegang heeft tot uw gegevens en u kunt meldingen ontvangen die u laten weten op het moment dat deze begint te gebeuren en vervolgens op het moment dat de informatie wordt geopend, zodat u deze kunt kraken, zodat u hoef niet een hele dag te wachten om erachter te komen wat er aan de hand is, zoals Equifax deed.
Er is ook een artikel dat gaat over gegevensbescherming en effectbeoordeling. Dit is het beoordelen van uw risico's en het begrijpen van wat ze zijn, evenals het aantonen en documenteren van uw naleving van de AVG. Met SQL Compliance Manager kunt u rapporteren over elementen die worden bewaakt. Om het kort samen te vatten en uw gegevens te controleren met SQL Compliance Manager, kunt u met SQL Compliance Manager mislukte aanmeldingen detecteren - wat een potentieel teken van inbreuk is - administratieve activiteiten en beveiligingswijzigingen controleren, u waarschuwen voor wijzigingen in de database, audit kolommen die u definieert als gevoelige informatie, die bevoorrechte gebruikers identificeert en hun activiteit apart van de andere gebruikers in uw systeem bijhoudt, melden dat informatie wordt gecontroleerd in overeenstemming met verschillende wettelijke richtlijnen. We hebben niet alleen betrekking op GDPR, maar we hebben ook betrekking op HIPAA, PCI, FERPA, SOX, alle wettelijke richtlijnen als het gaat om het controleren van uw informatie en het begrijpen van wat er wordt benaderd, we hebben die wettelijke richtlijnen.
We hebben ook extra producten bij IDERA voor GDPR-voorbereiding. Naast de controle die SQL Compliance Manager doet, hebben we ER / Studio Enterprise Team Edition, waarmee u uw dataprocessen kunt documenteren en datastandaarden kunt opnemen in uw datamodel, u kunt ook data-glossaria maken waar William het in een vorige dia over had . Zoals ik hier met deze presentatie heb gezegd, kan SQL Compliance Manager u helpen uw informatie te controleren om ervoor te zorgen dat de verkeerde mensen geen toegang hebben tot uw gegevens, en dit ook te bewijzen aan de auditors. SQL Safe Backup kan u helpen uw gegevens en uw back-ups te coderen. Versleuteling is een essentieel onderdeel van GDPR, dat ik niet gedetailleerd heb behandeld, omdat ik me veel wilde concentreren op de activa van Compliance Manager, maar SQL Safe Backup doet veel van de versleuteling voor u, zodat uw gegevens veilig kunnen blijven. SQL Inventory Manager kan ervoor zorgen dat de servers gepatcht en up-to-date zijn, zodat u niet in een geval als Equifax terechtkomt, waar ze een verouderde patch hadden die hen een groot beveiligingslek gaf dat mensen konden kwaadaardig gebruiken. SQL Secure kan privacy en coderingsstandaarden controleren.
Voor meer informatie op de IDERA-communitywebsite, onder onze blog, heb ik ook een Voorbereiding op GDPR geplaatst, op zoek naar 2018 en begrijpen wat de impact van GDPR gaat zijn en er is ook een proefversie van SQL Compliance Manager te downloaden bij IDERA evenals bij alle andere producten die ik eerder in de dia heb genoemd.
Op dit punt ga ik door en geef de presentatie terug aan Eric zodat we wat vragen kunnen stellen.
Eric Kavanagh: OK, goed. Je hebt daar een aantal echt interessante dingen aangeraakt, Kim, waarvan één - ik denk dat dit vrij eenvoudig is, maar het is behoorlijk slim - je sprak over het detecteren van mislukte aanmeldingen. Het lijkt mij een behoorlijk goed teken dat iemand niet goed is, toch?
Kim Brushaber: Absoluut. Als u iemand ziet die probeert toegang te krijgen tot uw wachtwoord en deze te kraken, is dat een zeer snelle manier om te kunnen zeggen dat iemand niet doet wat hij zou moeten zijn. Misschien kunt u uw wachtwoord een paar keer verkeerd typen, maar als u er 30 ziet die doorkomen, is dat een slecht teken.
Eric Kavanagh: Ja. Het gaat hier om het instellen van uw meldingen in de juiste context. Wat kun je ons nog meer vertellen over het beheren van het proces van het instellen en deactiveren van meldingen die niet doen wat ze zouden moeten doen en hoeveel van die dingen kunnen worden geautomatiseerd?
Kim Brushaber: Compliance Manager heeft veel configureerbare meldingen, evenals rapporten die u kunt bekijken. We doorlopen uw SQL-sporen en we hebben dat automatisch volgen en we hebben er veel die al vooraf zijn ingesteld en vooraf zijn gedefinieerd, maar er is zeker een aanzienlijke hoeveelheid aanpassing die u ook kunt doen.
Eric Kavanagh: William, ik breng je hier naar toe - het lijkt me dat dit een van de gebieden is waar we machine learning gaan zien spelen in de komende twee tot tien jaar, kijkt naar alle verschillende mogelijkheden. Kijkend naar alle verschillende manieren waarop een systeem zijn efficiëntie kan optimaliseren, is het effectief rond zaken als inbreuken enzovoort. Ben jij ook zo?
William McKnight: Ja, absoluut. Ik denk dat we nu systemen bouwen die zichzelf repareren. De 24 bij 7 monitoring begint weg te glijden en behoort tot het verleden, hoewel we nog steeds die uptime nodig hebben. Ik denk dat de systemen grotendeels ingebouwd worden en uitzoeken wat er mis is. Moeten we hier meer ruimte toewijzen of wat hebben jullie? Ja, ik denk dat dit zeker een deel van onze toekomst is. Alles dat kan worden toegewezen aan bepaalde stappen, om te reageren op iets, is absoluut kwetsbaar voor kunstmatige intelligentie.
Eric Kavanagh: Dat is een goed punt. Ik gooi nog een vraag naar je, William, omdat ik weet dat je veel onderzoek naar deze ruimte doet. Een van de dingen waar ik nu al een tijdje op wacht en ik denk niet dat we er al zijn - ik denk dat we in de buurt komen, alleen van wat ik heb gelezen en erover heb nagedacht - is een dag waarop er technologie zal zijn om regelgevingskwesties te absorberen, de feitelijke formulering van deze dingen en die toe te wijzen aan functionaliteit en software. Zoals ik al zei, we zijn daar nog steeds een manier voor - ik kan me niet voorstellen dat er niemand aan werkt. Ben je zoiets tegengekomen, of zijn we nog steeds op een punt waar mensen naar de regels moeten kijken, ze echt proberen te begrijpen, ze in wezen coderen in machinecode, en dan dat aan hun verschillende toepassingen koppelen?
William McKnight: Nou, ik begrijp zeker het concept dat je hier deelt. Ik ben niet bekend met iets dat gaande is naar een uitrol in een omgeving die daarmee verband houdt. In het algemeen zal ik echter zeggen dat we de machines natuurlijk niet beginnen te vertellen wat ze moeten doen, maar wat het doel is van wat we willen doen en dat machines veel slimmer worden in het uitzoeken van de details. Ik denk dat als we eenmaal wat meer kunstmatige intelligentie in onze organisaties hebben, het heel goed mogelijk is dat nieuwe regels kunnen worden ontwikkeld in samenwerking met de AI die binnen organisaties wordt geïmplementeerd, zodat ze kunnen worden uitgerold op de manier die u in de toekomst hebt beschreven. Voor nu handelen we daar niet mee.
Eric Kavanagh: Hier is een vraag die ik aan je zal stellen, Kim, omdat dit ook een beetje interessant is. U spreekt over de gemiddelde latentie of de tijd dat iemand die zich aanmeldt bij uw systeem verbergt en gewoon wacht - aantal dagen dat een aanvaller in een netwerk sluimerde - detectie is 200. Ik ben benieuwd wat u ervan vindt om te verbeteren dat allereerst? Maar is er ook een manier om dit soort regels te gebruiken om uw eigen systeem te verkennen? Om je eigen gegevens te verkennen, om dit soort mensen beter buiten te houden?
Kim Brushaber: Ja, ik denk dat vroege detectie duidelijk de sleutel is. U moet erachter komen dat deze kwaadwillende sites toegang hebben tot uw informatie en deze kunnen vergrendelen. Ik denk dat in de andere slides waar we laten zien dat de meeste organisaties dat beleid niet hebben. Daarom zitten ze daar. Ik denk dat als je daadwerkelijk een beleid had om door te gaan en je toegang te blokkeren en ervoor te zorgen dat de juiste mensen toegang hebben. Zorg ervoor dat u uw sleutels regelmatig draait en bijwerkt. Zorg ervoor dat uw wachtwoorden regelmatig worden bijgewerkt en dat soort dingen doen, die vrij eenvoudig lijken. Op dit moment doen de meeste organisaties dat zelfs niet, en als je begint om die stukken op hun plek te zetten, zul je verder komen.
Het betekent natuurlijk dat de hackers er slimmer van worden, maar op dit moment is het eenvoudig, het is als: "Ik ga kijken naar de huizen op straat waar ik het gevoel heb dat ik wil inbreken, zullen die alarm hebben systemen? Hebben ze een klein alarmteken en heeft die honden? Ik ga naar iemand die geen alarmteken heeft, geen hond heeft en dat is het huis waar ik in ga breken. 'Nou, ze gaan de bedrijven ontdekken die geen' t hebben deze patches op hun plaats en ze hebben niet de beveiliging op hun plaats en ze werken hun wachtwoorden niet bij en ze gaan daar rondhangen en gebruiken je creditcard een paar keer om te zorgen dat je hebt het niet stilgelegd en wanneer ze een grote verandering kunnen beïnvloeden, is dat normaal gesproken een soort politieke verklaring of anders, wanneer je ze hun hoofd ziet opspringen. Om dat beleid op zijn plaats te krijgen, denk ik dat je op dit punt een paar vrij minimale stappen kunt nemen om dit spel voor te blijven.
Eric Kavanagh: Dat is waarschijnlijk het beste advies en ik hoor dit altijd als we praten met mensen die zich in de beveiligingsruimte of in de regelgevingsruimte bevinden, dat de basis 80 procent van je probleem zal dekken, en dat is veel te behandelen - dat is een goed punt. Een van de aanwezigen vroeg of iemand de zakelijke kansen kon uitbreiden die kunnen worden ontgonnen door GDPR-nalevingsinspanningen. Ik moet denken aan Sarbanes-Oxley en ik denk dat William het aan jou zal overgeven. Als consultant bent u altijd op zoek naar manieren om uw klanten buiten het bereik van een bepaald project te helpen - tenminste als u een goede consultant bent, doet u dat. Als je met mensen over GDPR praat, wat zijn dan de bijkomende voordelen die je kunt krijgen als ze een project aangaan dat daarop is gericht?
William McKnight: Allereerst is het belangrijk op te merken dat het idee achter GDPR helemaal geen volledige rechten voor de burger is. Er is de andere kant van GDPR, dit is het verbeteren van het vertrouwen dat burgers hebben in onze bedrijven en het zal hen aanmoedigen om meer zaken te doen in de bedrijven die hieraan voldoen. Er zijn die bijkomende voordelen van het feitelijk bereiken van uw GDPR, nu intern, de programma's voor gegevensbeheer die we implementeren, dienen om allerlei initiatieven te faciliteren, echt, die binnen organisaties worden afgetrapt en vandaag, verreweg de meeste initiatieven die worden geschopt binnen organisaties. Ik heb onlangs een planning gemaakt voor 2018 met veel van hen, ze hebben te maken met gegevens, veel, ze hebben ongeveer 65 procent tot 90 procent allemaal over de gegevens - als je het hebt over telematica of een 360-programma voor klanten of een dashboard om verkopers te controleren, het gaat grotendeels over de gegevens. Alles dat die gegevens beter beheert, dat het in een betere architectuur plaatst die mensen benoemt die de go-to-mensen zijn die alle vragen over die gegevens kunnen beantwoorden, die er echt om geven zoals een programma voor gegevensbeheer dat zou doen. Alles wat ons een data-woordenlijst geeft - zoals Kim het had over haar tools - alles wat dat doet, het is zeer nuttig om deze initiatieven veel efficiënter te maken, ze te riskeren, de tijd te verkorten, het budget voor hen te verkleinen en ons te krijgen tot een flexibele tijd om veel snellere en goede dingen op de markt te brengen voor een bedrijf dat initiatieven neemt, dat zijn alle bedrijven.
Eric Kavanagh: Ik hou van dat concept van vertrouwen. Ik denk dat vertrouwen een zeer ondergewaardeerde realiteit is in onze wereld en eerlijk gezegd draait de meeste zaken op vertrouwen - dat is echt zo als je er meteen aan toe bent. Ik zal het aan je overgeven voor enkele slotopmerkingen, Kim. Ik denk dat een van de belangrijkste toegevoegde waarde hier is het verbeteren van vertrouwen en het bevorderen van een cultuur van vertrouwen omdat dat niet alleen positieve gevolgen zal hebben voor het bedrijf zelf, voor mensen binnen het bedrijf als zodanig, maar ook voor wat het publiek waarneemt omdat dat soort het ding loopt over, lijkt me, maar wat denk je?
Kim Brushaber: Ja, ik denk dat wanneer ik praat met vrienden die bij Google werken of bij Facebook of sommige van de grotere, zeer spraakmakende organisaties werken, ze niet zo veel nieuwe functies implementeren als bij het implementeren van beveiligingsprotocollen en prestaties en schaalbaarheidsproblemen omdat ze willen dat hun gebruikerservaring er een is waarvan ze denken dat ze op die informatie kunnen vertrouwen. Ik denk dat bedrijven die verantwoordelijkheid hebben als we doorgaan met het bieden van dat soort vertrouwen. Ik herinner me dat mensen voor het eerst begonnen met het online zetten van creditcards en mensen zeiden: "Oh mijn god, ik ga die informatie daar niet geven omdat het niet veilig is."
En nu gaat uw creditcard alle kanten op omdat u in theorie denkt dat u het bedrijf kunt vertrouwen omdat het een HTTPS-certificaat heeft. Dan hoor je over de Target datalekken waar creditcards, waar ze waren, "Oh, je kunt je creditcard beter inruilen omdat we die informatie hebben losgelaten." Ik denk dat het een wederzijds sentiment is. Ik denk dat individuen, hoewel ze meer vertrouwen willen hebben omdat het een stuk eenvoudiger is, om te kunnen vertrouwen en vertrouwen hebben in grote organisaties, de grote organisaties moeten instappen en deze stukken op hun plaats moeten zetten zodat ze niet ' t het individu verwonden of u verliest marktaandeel. Mensen zeggen: "Weet je wat, ik ga niet meer winkelen bij Target, nu ga ik winkelen bij Amazon." Ik denk dat vertrouwen een groot probleem is, hoewel, zoals gezegd, 78 procent van de mensen nog steeds op die link in een e-mail klikken, hoewel ze weten dat ze dat misschien niet doen. Er is een zekere mate van bescherming van mensen, zelfs als ze je vertrouwen.
Eric Kavanagh: Dat is een goed punt. Weet je wat, ik zal je nog een laatste vraag stellen, William, of op zijn minst nog een - we hebben nu een paar goede vragen binnen. Een deelnemer schrijft: “GDPR verplaatst identiteitsbeheer terug naar de klant, waar het hoort. Equifax heeft 149 miljoen consumenten permanent beschadigd, 'zeer waar', waardoor de digitale economie wordt besmet. Welke veranderingen zie je in de VS gebeuren met betrekking tot klanteigendom met betrekking tot identiteitsbeheer? "
William McKnight: Nou, we lopen altijd achter in de VS als het gaat om dit soort dingen, nietwaar? Honderd negenenveertig miljoen, dat is geen druppel in de emmer daar. Het is bijna als terrorisme, toch? We zijn gewoon zo gewend, het gebeurt gewoon de hele tijd. Ik denk dat er iets moet worden gedaan. Ik denk dat GDPR, ik hou van rechten die het aan burgers geeft, maar het lijkt geen prioriteit te zijn - er zijn veel andere prioriteiten en ik weet niet waar het naartoe gaat. Ik denk, zoals ik al zei in de ramingendia die ik had, dat dit duidt op een verschuiving naar meer rechten van de consument voor hun gegevens. Wanneer dat hier in de VS gebeurt? Ik weet het niet, het zou tot vijf jaar vrij kunnen zijn om iets te zien dat evenredig is aan de AVG hier in de VS. Gewoon speculeren op dit punt.
Eric Kavanagh: Het is een heel goed punt en ik denk dat we hier meer moeite voor gaan doen, laten we eerlijk zijn, we gaan tegenwoordig naar zo'n digitale economie. En als afsluitende opmerking hier, het krijgen van een beetje filosofisch, beleidsgericht, dit is wat mij het meest zorgen baart over de overgang naar een maatschappij zonder contanten, want als geld weggaat, als dat gebeurt, dan is alles digitaal en kan elk systeem hij hacken en de identiteit van elke persoon kan worden gestolen. Het lijkt me dat hier een behoorlijk grote olifant in de kamer is, terwijl we naar de snoek kijken naar de toekomst van identiteitsbeheer.
Dit zijn allemaal geweldige dingen, mensen. Dank aan William McKnight voor zijn tijd en aandacht vandaag. Bedankt aan Kim Brushaber van IDERA. We archiveren al deze webcasts om ze later te bekijken, dus kom gerust terug, meestal binnen een paar uur en het archief is klaar. Daarmee gaan we u vaarwel zeggen, mensen. Nogmaals bedankt voor je tijd en aandacht. Wees voorzichtig. Tot ziens.
