בית אבטחה טיפ הקרחון: מדוע gdpr הוא רק ההתחלה

טיפ הקרחון: מדוע gdpr הוא רק ההתחלה

Anonim

על ידי צוות Techopedia, 6 בדצמבר 2017

ברק: המארח אריק קוואנה דן בתקנת הגנת הנתונים הכללית הקרובה של האיחוד האירופי וההשפעות שיש לו על הענף. אליו מצטרפים ויליאם מקנייט מקבוצת הייעוץ מק'קנייט וקים ברושאבר מ- IDERA.

אינך מחובר כרגע. התחבר או הירשם כדי לראות את הסרטון.

אריק קוואנה: אוקיי, גבירותיי ורבותיי, שלום וברכה שוב. הגיע יום רביעי בשעה 4 מזרח המזרחי, שפירושו שהגיע הזמן שוב - אחת הפעמים האחרונות בשנה 2017 - עבור חברת הוט טכנולוגיות. כן, אכן, שמי אריק קוואנה - אני אהיה המנחה שלך לאירוע של היום. אנחנו מדברים על נושא שהוא מרחיק לכת, בלשון המעטה. כרגע זה לא נראה ככה - הרעיון של GDPR, התקנה העולמית להגנת המידע. בואו נלך לצלול בדיוק בזה, זה לא קשור אליכם באמת, מספיק עלי. השנה היא חמה, באמת היה חם בהרבה אופנים שונים, אבל התקנות הממשמשות ובאותו מימון של GDPR ומארגונים אחרים, בכנות, מכריחות אותנו לחשוב מחדש על המתרחש בעולם העסקים, בפרט בתוצאה, או ככל שזה קשור לנתונים. אנו עומדים לשמוע מקים ברושאבר מ- IDERA וגם מוויליאם מקנייט מקבוצת הייעוץ מק'קנייט.

רק כמה מילים מהירות על הנושא, אנשים. GDPR אומר בעצם שארגונים חייבים להיות בעלי מדיניות פרטיות ראשונה ואבטחה ראשונה ביחס לנתונים ובאמת, מדובר בכמה מהדברים שאולי שמעתם - כל הזכות להישכח, למשל, היא חלקית וחלקית כל הרגע הזה, וזה דברים מאוד מעניינים. זה בהחלט תקף מבחינת העקרונות והאתיקה שלו. אבל מבחינת יישום בפועל, זה אתגר די רציני. הזכות להישכח אומרת שאם אתה רוצה שחלק מהארגונים לא יהיו ברשותך הנתונים שלך, הנתונים הרגישים שלך באופן אישי, הם צריכים להיפטר מהם. ובכן, אתם יכולים רק לדמיין מתי חלק מסביבות הנתונים הללו באמת הטרוגניות, כמה קשה זה הולך להיות. להיות מסוגל להגיע לכל מקום בו הנתונים שלך מתמידים ולשלוף אותם, זה פשוט לא יקרה, זו השורה התחתונה. עם זאת, ארגונים צריכים לקיים מדיניות כדי להיות מסוגלים לתת מענה לדאגות הללו, וזה מה שהרגולטורים, אני די בטוח, הולכים לחפש.

זה עסקה גדולה. לא רק שהארגון צריך להסיר את הנתונים שלך אם אתה אומר זאת, אלא שאם הם הכשירו אלגוריתמים בנתונים אלה, מבחינה טכנית הם אמורים להחזיר לעצמה את האלגוריתמים. זו הוראה גבוהה, אני חייב לומר לך, אבל זה בא, זה יורד בפס, זה יהיה ממש במאי של השנה הבאה ויש גם תקנות אחרות. בקנדה יש ​​חוק נגד דואר זבל שהם עברו, וזה משפיע על ההתמודדות עם מידע אישי. נייטרליות נטו יורדת בפסיקה עכשיו, כמובן שהיא נעקרת, בעצם, וזה הולך לשנות כמה דברים. ישנן הרבה תקנות מאוד רציניות ההן שמשפיעות על עסקים בכל רחבי העולם ובעולם, שארגונים גדולים באמת צריכים להתחיל לחשוב עליהם ולהתכונן אליהם.

לשם כך, יש לנו את וויליאם מק'קנייט ברשת מקבוצת הייעוץ של מקנייט כדי ליידע אותנו מה הוא חושב ומדוע GDPR הוא למעשה רק קצה הקרחון. עם זה, וויליאם, אני הולך למסור לך את זה. קח את זה מפה.

ויליאם מקנייט: תודה, אריק, וכפי שאתה אומר, כמו שאומרת השקופית, ה- GDPR הזה הוא אולי קצה הקרחון - זה בהחלט מה שאנחנו חושבים. חשוב שנצלול לעומק ה- GDPR מכיוון שלדעתי הוא מייצג גל רגולציה שיורד בצינור שאנחנו צריכים להתמודד איתו. למרבה המזל, אריק, יש כמה סטנדרטים סבירים סביב הזכות לשכוח אותם, שאגיע אליהם. עם זאת, בטיולי השנה המדבר על GDPR, אני חושב שיש המון חברות, בעיקר חברות אמריקאיות, שעדיין לא מוכנות לכך. זה בהחלט חם ומשהו שבהחלט לא חשבנו עליו לפני שנה, כשהם סתם ניסו לעשות כמה דברים, אבל עכשיו זו תקנה ואנחנו צריכים להתמודד עם זה לפי שאמרת, אריק, מאי יבוא ממש כאן למעלה - אז בכלל לא כל כך רחוק.

קצת עלי, אני הולך לבחון את זה מנקודת מבט נתונים. כדי ליידע אותך, אני איש נתונים לכל החיים ומתייעץ עכשיו במשך 19 שנה בתחום הנתונים, ו- GDPR עוסק הרבה בנתונים. אני עומד להעלות כאן פיתרון, כשאני נכנס למצגת שלי סביב ניהול נתונים. עשיתי, כמובן, הרבה תוכניות לניהול נתונים ואני חושב שאם אתה מתיישר עם התפיסה הזו, אתה עושה ממשל נתונים, הרבה חברות שם בחוץ הולכות להיות די רחוקות בדרך למעשה, לעמידה בדרישות ה- GDPR, אבל הולך להיות הרבה, ולמען האמת, שעומדים מאחורי הממשל ולכן די מאחור בהכנות ה- GDPR שלהם. בואו נקבע כאן ונבין במה מדובר ב- GDPR וככל שנעמיק יותר בשיחה, ניכנס ליותר מהשלכות ה- GDPR על חיי העסקים כשאנחנו הולכים קדימה לשנה החדשה ומעבר לה.

GDPR מיועד לפרטיות נתונים של אזרח האיחוד האירופי. זו תקנה - פירושה שיש לה שיניים, פירושה שהיא ניתנת לאכיפה. זה לא משהו שמוצג שם כהצעה - זה כבר קרה ועכשיו הוא נוצר לתקנה עם עונשים. אני אוהב להתחיל עם העונשים כי זה באמת מקבל את תשומת ליבם של אנשים. אלה עונשים נוקשים. יש שני עונשים, יש 2 אחוזים מההכנסות השנתיות ברחבי העולם או 10 מיליון אירו אם עסק לא יצליח לעמוד בהתחייבויות האבטחה, אבל כל השאר, בניגוד להוראות אחרות - ואני אכנס אליהם - זה 4 אחוזים. אתה שומע את זה בערך - 4 אחוז. ואגב, מדובר ב -4 אחוזים או 10 מיליון אירו, הגדול מביניהם. זה מאוד נוקשה. אנשים מאוד רציניים לגבי זה. אכוף החל מה- 25 במאי 2018 - זהו תאריך מפתח, זה המקום בו הביקורות יכולות להתחיל, זה המקום בו אתה יכול לקבל את הקנס שלך. בהחלט אתה רוצה להיות מוכן לזה. כל חברה שאני מתמודד איתה, אני מתמודד עם הרבה חברות גלובל 2000, הם נמצאים איפשהו בהכנת ה- GDPR שלהם, חלקם יותר מאחרים וחלקם צריכים להיות יותר מאחרים בשלב זה. בהחלט, זה יהיה מאתגר לפגוש את התאריך הזה עבור חלק, ונראה.

זהו המשטר היסודי ביותר בנושא תאימות פרטיות שראינו עד כה. כשנראה משהו יותר נוקשה או משהו שמשפיע אולי יותר על האוכלוסייה בארה"ב באופן ישיר יותר, מי יודע, אבל זה שם בחוץ ובהחלט צריך לדבוק בו. זה מחייב ארגונים להבין איזה PII אזרח UE - אנו מכירים את זכות ה- PII - מידע המאפשר זיהוי אישי, ביטוח לאומי, מספר טלפון, כתובת, הדברים שיכולים לזהות אדם באופן ייחודי או לזהות אדם באופן די ייחודי. מה יש להם ואיך הם משתמשים בזה. המשמעות היא מלאי. משמעות הדבר היא רגולציה בחברות משלך סביב נתונים מסוג זה. אגב, לארה"ב אין כל סוג של חוק הגנה על נתונים בפריסה ארצית. ארה"ב תמיד הייתה - אני אומר מאחור, כדי להעמיד אותה בפרספקטיבה - מאחורי אירופה מבחינת רגולציה מסוג זה, והיא נמשכת. זה ממשיך עם ה- GDPR, זה די ניכר. חלק מכם אולי יודע על מגן פרטיות, יתכן שתוהה לגבי זה. יש בערך שלוש-ארבע הוראות ב- GDPR שיש בהן חפיפה כלשהי עם מגן הפרטיות, אבל יש כמאה הוראות ב- GDPR, אז זה הרבה יותר מזה וכמובן שזה עדיין גם במקום וזה קשור למחלף נתונים של ארה"ב ואיחוד האירופי רק אם כי זה חשוב.

שוב, אני רוצה להתחיל עם מספרים. שמעת על הקנסות, מה דעתך להתכונן לזה. תקצוב של GDPR וביצוע חלק מהדבר תלוי בכמה גורמים. כמות נתוני ה- PII שאתה אוסף על אזרחי האיחוד האירופי. אם אתה אוסף אף אחד, אוקיי, אתה כנראה תואם ואינך צריך להתמודד עם זה, אבל כנראה שאתה בשיחה הזו מכיוון שאתה אוסף איפשהו. גודל החברה שלך ובשלות ממשל הנתונים שלך, שכפי שאמרתי קודם, זה אולי מתקרב למה שאתה צריך לעשות כדי להגיב ל- GDPR. אתה יכול לצפות לעד כמה מיליוני דולר או יורו, לפי העניין, לציות. עם זאת, אנו רוצים, לא רוצים רק לציית ל- GDPR, לסמן את התיבה הזו, כמובן שעלינו לעשות זאת. אני מקווה שאתה לא במצב הכי חמור שבו אתה פשוט נואש לסמן את התיבה הזו. חפש יתרונות עסקיים מכיוון שרבים מהדברים שאתה עושה כדי לתמוך ב- GDPR טובים לעסק שלך. ניהול נתונים הוא טוב לעסק שלך. כשמדובר בכמות נתוני ה- PII, חלקם חשובים יותר מאחרים, חלקם ייבדקו יותר מאחרים, כמו בריאות הקשורה לנתונים, הולכים להיות מוסדרים בצורה מחמירה הרבה יותר תחת GDPR מאשר סוגים אחרים של נתונים ויחייבו ציות עם חובות נוספות כמו ביצוע הערכות השפעה על הגנה על נתונים אשר מוסיף, כמובן, לתקציב שלך.

קצת שם על תקצוב. במקרה שאתה בבריטניה או בארה"ב ותוהה איך זה משפיע עליך - GDPR משפיע על בריטניה, שעדיין נמצאת באיחוד האירופי, אגב, דרך ה- 29 במרץ 2019 וממשלתה הצביעה על כך שמשהו כמו GDPR ימשיך. אחרי אותו מועד כי "זה רעיון טוב." חברות בריטניה צריכות לעמוד בזה. נתוני אזרח בריטניה בהחלט עומדים על השולחן. למקרה שזה לא ברור, ישנם עסקים שבסיסם ארה"ב. אם אתה מתמודד באיחוד האירופי, עם נתונים של אזרחי האיחוד האירופי, זה בהחלט תקף לך. יש לכך השלכות על ארכיטקטורת הנתונים שלך מכיוון שאתה עלול בסופו של דבר לחסל את נתוני האיחוד האירופי שלך מכל דבר אחר ולהתייחס אליו אחרת. זה משפיע על האנליטיקס, כמו שאמר אריק, באופן ההרכבה של ניתוחים אלה וכן הלאה. יתכן שיהיה קשה יותר כעת להעביר כל סוג של ניתוח אנליטי רחב-תפיסה. הם עשויים להיות מקומיים יותר כתוצאה מ- GDPR.

מה יש בהפרשות? ישנם תקני הגנת נתונים. כל אלה מלבד מכתיבים הצפנת נתונים במנוחה ובתנועה. בהמשך אדבר על הצפנה. ישנם תקני התראה על הפרות נתונים. לא עוד זה מחכה חודשים, מחכה למגורים שיידעו את כולם. אני חושב שהיה גדול לפני כמה ימים וגילינו, "אה, זה קרה לפני שנה." כל זה עם GDPR - יש לך 72 שעות. זו מדיניות שם ובושה. אני מקווה שאיש לא יגיע לזה, ברור שיש אנשים שיעשו זאת. הפרות יימשכו, גם לאחר ה- GDPR, כמובן. ישנם תהליכים לפיקוח על מיקום ואיכות הנתונים. נשמע מוכר? זה באמת הלב של ממשל נתונים. אני מקווה שיש לך כמה מההולכים.

לאזרחי האיחוד האירופי יש את הזכות להישכח, כפי שאריק ציין. יש לזה כמה תקני סבירות, אריק. אינך צריך למחוק את הכל בהכרח, אם יתכן שתצטרך ליצור קשר מחדש עם אותו לקוח, אותו עובד, אתה רשאי לשמור על היבטים מסוימים בנתונים האישיים שלהם. עם זאת, בכל זאת, אזרחים אלה זכות להישכח, אך לא יכול להיות שום מאמץ לא פרופורציונלי - זו השפה - עליך או פגיעה בחברה, עליך למחוק את הנתונים האלה. אני לא רוצה להמעיט בערך, אבל אתה צריך גם לשחרר עותקים של נתונים אישיים שהוחזקו ותוכל לקבל רק את הנתונים האלה בהסכמה. הסכמה זו חייבת להינתן על ידי אנשים שגילם מינימלי כדי לתת אישור כזה. זה פה מלא פה, אבל זה נותן לאזרחים הרבה זכויות על הנתונים שלהם. זה ניידות ממש שם, למקרה שיעלה אי פעם. הזכות להישכח, בבירור, אך גם - ומשהו שלא בשקופית שלי שהוא די חשוב - היא שלנבדק תהיה הזכות לא להיות נתונה להחלטה שמבוססת אך ורק על עיבוד אוטומטי. למה עברנו קשה? עיבוד אוטומטי, סביב קבלת הלוואות, מה ההצעות שאנחנו הולכים להעניק, כל זה צריך להיבחן מבחינת האופן בו זה יתנהל וכמה רחוק זה הולך. מה שאומר בעצם, זה שקיפות סביב הסיבה שנדחתי, מדוע אני מטופלת בדרך מסוימת על ידי חברה זו. זו ממש עכשיו, המוענקת לאזרח באיחוד האירופי.

ברור שיש כמה השלכות על האופן בו אנו מבצעים עסקים, ובתקווה שאתה רואה ש- GDPR איננו בעיית IT ולא בעיה בלבד. כל התהליכים העסקיים הללו מעורבים. זה יהיה מעורב אנשים מכל רחבי החברה. מומלץ לבחור מינוי קצין להגנה על נתונים עבור חברות עם יותר מ- 250 עובדים ויש לך "מתמטיקה קריטית עם נתוני PII של האיחוד האירופי." אתה יכול להחליט בעצמך אם יש לך מתמטיקה קריטית כזו, לפעמים זה ברור, לפעמים זה לא. אבל, יש תפקיד חדש - לא צריך להיות תפקיד במשרה מלאה, האדם יכול לקבל אחריות אחרת, אבל אני לא יודע - בכמה תאגידים בינוניים וגדולים יותר, אני חושב שדבקות ב- GDPR הולכת להיות קרוב לתפקיד במשרה מלאה. הייתי אומר להתחיל ככה ולראות אם אתה יכול להתמודד עם זה. במיוחד במהלך השנה הבאה, כשאתה מפעיל את המעשה שלך סביב GDPR, ברגע שזה יישב, אולי תוכל להאט את העבודה בנושא, אבל זה לוקח כמה חברות לא מעט זמן. הרשו לאנשים לראות נתונים וניידות נתונים משלהם, כפי שציינתי קודם.

זה לא הכל חדש, אגב, אבל הזכות להישכח הייתה שם למעשה, תאמינו או לא. הכללים הנוכחיים של האיחוד האירופי כבר קובעים זכות למחוק נתונים אישיים או להיות בלתי זמינים. עם זאת, עכשיו זה חלק מ- GDPR, זה ייאכף בצורה הרבה יותר רחבה. הצפנת נתונים - הצפן את הנתונים שלך במנוחה. השתמש בשיטות הצפנה סטנדרטיות, אל תשתמש בהצפנה ביתית או לא סטנדרטית משלך. AES הוא אחד שאנחנו ממליצים עליו לא מעט. השתמש במפתחות הצפנה מאובטחים קריפטוגרפיים. שנה את המפתחות האלה מעת לעת. כמו כן למנוע אובדן של מפתחות אלה. אלה פשוט שיטות הצפנה טובות, אך כעת הן עולות לקדמת הבמה עם GDPR. בתוכו טמונה הבעיה - פגעתי רק בקצה הקרחון. יש כמובן הוראות נוספות שיש לבדוק, אבל אלה העיקריות.

עכשיו, פיתרון. ממשל נתונים, המסגרת של התאימות שלך, לפחות זו הפרספקטיבה שאני מעלה כאן. למרבה המזל, ישנה תחום פעיל עם עקב טוב שיכול ועושה, כאשר הוא בוגר, מענה לרוב הדרישות, וזו ממשלת נתונים - ברור שאני אומר את זה. לתכניות ממשל צריך להיות מילון מונחים של מידע, וכאן אני משתמש במונחי נתונים במובן כללי כדי להתכוון לתיעוד בכל התהליכים שלך. זה בסיסי, כדי לשרת את צרכי המלאי של GDPR, שכפי שראינו, הם אדירים למדי. התוכנית, תוכנית הממשל, צריכה להקל על פרוטוקולי אבטחת המידע - ואני מדגיש את זה כי זה לא משהו שהרבה תוכניות לניהול נתונים עושות כרגע, אבל אני חושב שזה מקום הגיוני לעשות זאת מכיוון שהם יושב בתוכנית שקובע מי הם בעלי העסקים? מי צריך לראות את זה? ואז השלב הבא הוא מתן הרשאות אלה. זה צריך להיות ריכוזי, זה צריך להיות רשמי. חייבות להיות מדיניות פנימית המשמשת. יש להקצות את הסגולה לכל האלמנטים כדי לספק קלט לכל האמור לעיל. ממשל נתונים יכול להיות גם המנחה של הנדסת התהליכים העסקיים, אשר עתיד להידרש.

לפני שאעזוב את השקופית הזו, בחיפוש אחר הימנעות מהקנסות החמורים, חברות יחבקו נהלים עסקיים תקינים כתוצר לוואי. אני רוצה לומר שמדובר ביותר מתוצר לוואי, אך למעשה מדובר בעסק פשוט וצליל טוב שיכול להוביל אותך למקומות חדשים מבחינה עסקית. בהחלט, תקבלו יעילות רבה לביצוע כל היוזמות בכל רחבי הלוח, אם יש לכם ממשל נתונים נכון, זה מה שראיתי לאורך השנים. על ידי הוספת חלק מהדברים האלה שאני מציין, לממשל נתונים, הם רק ישתפרו. בהנדסת התהליכים העסקיים שלך אנו ממליצים לשאול את השאלות הללו בכל רחבי האתר, ופגע בכל תחום עסקי. איזה סוג נתונים אנו אוספים על לקוחות האיחוד האירופי שלנו? אני לא אקרא את כולם. חלק מהמפתח כאן. למי יש צורך לראות נתונים אלה והאם הם נעקבים? מיהו דובר הנתונים עבור אותם נתונים? מיהו בן / בת הזוג שלי בעסק? זה גדול: האם אנו חולקים נתונים אלה עם צדדים שלישיים? רק בגלל שאתה מוסר אותם לצד שלישי, אל תסלח את האחריות שלך לגבי נתונים אלה - הם עדיין הנתונים שלך, הם עדיין נתונים שאספת. ישנם הרבה חוזים של צד ג 'הנבדקים כעת ביסודיות כתוצאה מ- GDPR. האם יש במערכות אלה כשלים דטרמיניסטיים? כלומר כשהם נכשלים, הם נכשלים בנתיב שקבענו מראש, או שהם פשוט נכשלים, התרסקו, נשרפים ואנחנו מתחילים מהתחלה לחפור עליו? ברור שיהיה טוב בהרבה. זה כבר נוהג טוב, אבל ברור שהרבה יותר טוב להנדסת רוורס של חלק מהדברים האלה, אם יש לך כשלים דטרמיניסטיים גדולים במערכת שלך.

שמירת נתונים, דיברנו על שמירת נתונים לנצח. להרבה חברות יש מדיניות, אולם לא כולם עוקבים אחריהם. ברור שמפורסם בתחום הבריאות והפיננסי אנו רוצים לשמור נתונים, עלינו לשמור נתונים במשך מספר מסוים של שנים. חלק מהאנליסטים בחברות האלה ששומרים נתונים במשך שבע שנים או מה לא, אומרים, "אה, אחרי התקופה ההיא אני עדיין רוצה את הנתונים האלה." חלק מעורכי הדין בחברות האלה אומרים, "אבל אנחנו צריכים להיפטר מהם למטרות חבות ", וכן הלאה. זה לא יכול פשוט פשוט לשבת שם, כנושא שבראשות הכניסה לפועל כבר לא נמצא ב- GDPR. עלינו להחזיק את תקופת השמירה, האם היא תוחלף בעקביות בכל רחבי הארגון.

ולבסוף, איך מתגייסים להפרת נתונים? התרחישים הגרועים ביותר שיכולים לקרות לך. ברור שאנחנו מנסים למנוע אותם, אבל מה אם זה יקרה? איך אתה ממלחם את הדבר ומוודא שאתה עוקב אחר הוראות ה- GDPR בתגובתך? אני אדריכל נתונים, אני חושב על ארכיטקטורת נתונים. אם אתה חברה שבסיסה בארה"ב עם פעולות של האיחוד האירופי, כלומר נתונים על אזרח האיחוד האירופי - אתה אוסף אותם, תצטרך לשקול אם להחיל את תקני הגנת הנתונים על כל הנתונים או רק על נתוני האיחוד האירופי. כן, יש לי לקוחות שמקבלים את ההחלטה הזו עכשיו. בתור תרגול עסקי טוב, אולי הם ירצו להביא את זה לארה"ב. הם עשויים להרגיש כאילו יש להם זמן, אבל זה מעלה את הכדור מספר שתיים. ייתכן שתצטרך לחסל את נתוני האיחוד האירופי ממערכות ארה"ב אם אינך יכול להבטיח כי מערכות ארה"ב יטפלו בנתונים כראוי. האם זה נפרד בין נתונים למטרות ניתוח? האם ניתוחים אפילו תקפים אם אתה מנסה לבצע אותם ברחבי הארץ? לפעמים כן, לפעמים לא, נכון? יתכן שתגלה שהניתוח שלך יושתק כתוצאה מכך.

כפי שציינתי קודם, בינה מלאכותית משחקת כאן מכיוון שברור שאנו יכולים להשתמש ב- AI כדי למצוא את כל הנתונים, לעזור לנו למצוא את כל הנתונים, אך אם אנו משתמשים ב- AI בממשקי הלקוחות שלנו, אנו צריכים להיות שקיפות כעת עם הלקוח שלנו. ממשקים וזה מעולם לא היה החליפה החזקה של AI. כדי לנסות להגיד ללקוח, "דחית אותך כי בלה, בלה, בלה", כאשר באמת זה היה AI. זה עכשיו צריך להיעשות. עלינו להבין כיצד AI עובד, מהם הגורמים? אתה לא יכול פשוט לשבת שם ולהיות לך קופסה שחורה יותר. מה נעשה עכשיו? הקימו את לוח ה- GDPR שלכם. אני מציע שיש לך את קצין הפרטיות הבכיר שלך או אם יש לך קצין להגנת מידע, ברור שהאדם הזה. ראשי ממשל נתונים, סיכון תפעולי ו / או ציות, ככל שהם חלים, ראש ה- IT, CIO אם זה האדם. אם יש לך איש ניהול שהשתנה, זה יהיה אדם נהדר שם. רק ראשי כמה מהמחלקות החשובות ביותר בעסק שלך, וגם ראש משאבי אנוש מכיוון שאימוני פרטיות עכשיו הולכים להיות עצומים. כולם עומדים לקבל הכשרה בנושא פרטיות או שהם צריכים לקבל הכשרה לפרטיות כאשר הם עולים לחברה, אפילו יועצים.

אם אינך עושה את הדברים שאתה רואה כאן, תצטרך לעבור מהר יותר מכפי שהיית רוצה לבצע את המועד האחרון. אתה צריך גם להתחיל לקוות שאתה לא מהראשונים שנבדקים, כי למען האמת יש כאן הרבה עבודה אם אתה מתחיל מהתחלה ואתה מתמודד עם הרבה נתונים על אזרחי האיחוד. שכור את ה- DPO שלך, מלאי את הנתונים שלך ואת התהליכים שלך. בנה את התוכנית הזו לממשל נתונים, קח אותה ממקום הימצאה, לאיפה שהוא צריך להיות. לפי העניין, אולי תרצו להתחיל בזה. צור את מדיניות הפרטיות שלך והודעות המדיניות שלך. מדיניות הפרטיות הינה פנימית. הודעות מדיניות חוצות. אנו רואים תרבות שמתחילה להיווצר כעת סביב הודעות מדיניות. הרבה השוואה נעשית והרבה ניסוח זהיר נעשה סביב הודעות מדיניות אלה. אמנה בדיקת תאימות של GDPR לכל המערכות, כולל מערכות חדשות. יתכן שתצטרך לרצף אותם ולעשות אותם בסדר מסוים של חשיבות, אך זו דרך נוספת להתמודד עם הבעיה. התבונן במערכות ומה הן אמורות לעשות ואיך הן מטפלות בנתונים אלה.

מה מסמן GDPR? על זה אנחנו כאן כדי לדבר קצת יותר. אני מצפה למה שיש לקים להגיד על זה. GDPR הוא שינוי בבקרת פרטיות הנתונים לכיוון הרגולציה. זו מגמה לשקיפות, זה אומר נכון בהוראות. אנו יוצרים תרבות זו של מודעות פרטיות, כפי שדיברתי עליה, זה דבר עכשיו. אנו הולכים לראות ועידות בנושא הודעות פרטיות וכן הלאה. מעבר ה- GDPR הוא לכיוון זכויות היסוד של אנשים. יפתחו שאלות פתוחות. יש בבירור שאלות פתוחות, השארתי כאן כמה על השולחן בשבילנו. לאף אחד אין את התשובה. הם יעבדו. מגמה להבנה רבה יותר של אנשים לגבי הנתונים שלהם וכיצד הם משמשים. אני חושב שהדבר העלה את המודעות בקרב אוכלוסיית האיחוד האירופי, לחשיבות הנתונים שלהם ולראות כי כאחד מהנכסים האישיים שלהם, שהם צריכים לנהל יותר. זה כמה מהאותות המוקדמים שראיתי, ואריק, אני אחזיר לך את זה בחזרה.

אריק קוואנה: בסדר, תן לי למסור את המפתחות לקים, שיכולה לחלוק חלק מהפרספקטיבה שלה, אבל אני חושב שזו הייתה סקירה כללית טובה, וויליאם, ואתה מכה בנקודות המפתח - כלומר שזה יורד בפס. וכולנו להיות זהירים מאוד, בכנות. עם זה, הרשה לי למסור את המפתחות לקים ותוכל לשתף את המסך שלך ולקחת אותו משם.

קים ברושאבר: היי שם, אתה שומע אותי?

אריק קוואנה: אני שומע אותך.

קים ברושאבר: מדהים. ויליאם כיסה כמה מאותם דברים שאני הולך לכסות, אבל אני חושב ששווה לכסות אותם שוב כי הם באמת חשובים. אני חושב שכאשר תקנות חדשות מתקבלות, זה ממש טוב לקבל הרבה פרספקטיבה של אנשים שונים ופרשנות על כך שמשהו מנצנץ את דעתך ויאפשר לך להיות מסוגל להיות עוד יותר. מעודדים אותי כל האנשים שנמצאים בשיחה הזו שרוצים לדעת יותר מכיוון שלדעתי מגיעים ב -25 במאי, יתכן שיש הרבה פאניקה לחברות שנרדפות אחריה, ולא מצייתות להן.

שמי קים ברושאבר, אני מנהל המוצר הבכיר בחברת IDERA. יש לי כמה מוצרים תחתי שעוזרים להתאמה של ה- GDPR כמו גם בתקנות אחרות. אני הולך לקפוץ לחלק מהמידע. אני אתחיל עם כמה עובדות וכמה נתונים ואז להיכנס קצת על GDPR ואז ספציפית כיצד הכלים שלנו יכולים לעזור לך. עובדה אחת היא שלמעלה מ -5 מיליון רשומות נתונים הולכות לאיבוד או נגנבות מדי יום. אנחנו לא שומעים את זה מדווח בחדשות, אנחנו לא שומעים שזה מגיע ממקומות אחרים, אבל יש יותר מ -5 מיליון רשומות נתונים שנגנבות כל הזמן, ממש מתחתינו. המספר החציוני של הימים בהם התוקפים נשארים רדומים ברשת שלך הוא 200 יום. מערכות רבות מסתננות כבר על ידי אנשים - בכוונות זדוניות - שרק מחכים להזדמנות לנצל את המידע שלך, בעיקר בתוך אבטחה ותעודות, אך הם רק מחכים לרגע שלהם להתנפל. לכן יותר ויותר חשוב לטפל באבטחת הנתונים שלך. העלות הממוצעת של הפרת נתונים בודדים בשנת 2020 צפויה לעלות על 150 מיליון דולר, ככל שתשתיות עסקיות רבות יותר מתחברות למשאבים מקוונים וככל שיותר דברים עולים בענן. זה מספר תקציב טוב אם אתם באמת מודאגים מאבטחת מידע, לתת לצוות המנהל שלכם, להגיד להם שזה עניין רציני ויכול לעלות לנו הרבה כסף קדימה.

אני אעבור בקצרה על הפרת הנתונים של אקוויפקס מכיוון שלדעתי זו הייתה הפרת הנתונים הגדולה ביותר של 2017, כדי לצייר את התמונה איך זה לעבור. ההפרה השפיעה על 145.5 מיליון לקוחות. עובדים אישרו את נושא האבטחה ביישום האינטרנט שלהם חודשיים לפני שהפרה התרחשה. העובדים אמרו, "זה נושא." ואפילו קצת לפני כן היה הרגע שהטלאי יצא. זה לקח יום שלם מרגע שהפרה התרחשה כדי להגיב לה ולהעביר את יישום האינטרנט במצב לא מקוון. מכיוון של- Equifax לא היה פרוטוקול מוגדר לאבטחת נתונים, לקח להם זמן משמעותי אפילו להבין מה קורה ואז להיות מסוגלים להעביר את המערכת במצב לא מקוון. שישה שבועות לאחר ההפרה, הציבור הוזעק. עם ה- GDPR - כפי שאמרנו לעיל ואגיד זאת שוב - עליכם לדווח תוך 72 שעות, ו- Equifax היו קשורות בידיהם ולא היו מסוגלים לעמוד בדרישות ההיא מכיוון שהמתינו שישה שבועות כדי לדווח עליה. התקשורת לתגובה להפרה כללה אתר שלא היה אפילו בבעלות אקוויפקס. אקוויפקס עצמם צייצו מחדש את הציוץ הזה שאפילו לא היה בתחום שלהם - הם הפכו חלק מהמילים סביב. למרבה המזל זה לא היה אתר זדוני שהפיק תועלת מכך, אך ברור שהם לא היו מוכנים. לא הייתה להם תוכנית במקום וזה הפך מודע מאוד בזירה הציבורית. אקוויפקס לא לבד - ישנם מעל 25 התקפות מאוד בפרופילי סייבר בשנת 2017 עד כה, ועדיין יכולנו למצוא עוד לפני סוף השנה. חברות באמת צריכות להתחיל לקחת את זה ברצינות מכיוון שאנשים נמצאים שם בחוץ, ואם אתה נותן להם סיבה לרצות לבוא אליך, מוטב שיהיה מוכן להיות מסוגל להתמודד עם זה.

כמה עובדות ומספרים אחרים לגבי נתונים כיצד בודקים אנשים על אבטחת מידע. עד 2020 יהיו 30 מיליארד מכשירים המחוברים לאינטרנט דרך הבתים שלנו, דרך לבישים שלנו, דרך הטלפונים שלנו, הטאבלטים שלנו ומי יודע מה עוד עשוי לבוא בשנים הבאות. יש המון מכשירים שנותרים פגיעים להתקפות אלה. ארבעים ותשעה אחוזים מהאמריקנים מרגישים שהמידע האישי שלהם פחות בטוח מאשר היה לפני חמש שנים. שבעים ושלושה אחוז מהצרכנים באמריקה רוצים שחברות יהיו שקופות ביחס לנתונים האישיים שלהם. שבעים ושמונה אחוזים מהאנשים טוענים שהם מודעים לסיכונים בלחיצה על קישורים ואימיילים לא ידועים, אך הם לוחצים על אותם קישורים בכל מקרה - זהו יותר משלושה רבעים מהאוכלוסייה שלנו, והם עדיין לוחצים על הקישורים למרות שהם יודע שזה יכול להיות בעיה. שמונים ושש אחוז ממשתמשי האינטרנט מנסים באופן פעיל למזער, לאנונימי ולהסתיר את הנראות של טביעות הרגל הדיגיטלית שלהם. אבי החורג אוהב לצאת וליצור שמות מזויפים כשהוא ממלא טפסים מכיוון שהוא חושב שזה הופך אותו לאנונימי, אך מעט הוא יודע שכתובת ה- IP שלו נמצאת גם במעקב. יש הרבה דאגות אינדיבידואליות וזה מה שמאריך הרבה בתקנות ה- GDPR וכנראה גם תקנות נוספות שיבואו להופיע.

מבחינת עובדות ענף אבטחת המידע, 90 אחוז מרשומות נתוני ההפרה בשנת 2016 הגיעו מממשל, קמעונאות וטכנולוגיה. ארבעים ושלושה אחוזים מהתקפות הסייבר תקפו עסקים קטנים. אם אתה חושב, "הו, אני לא בחור גדול, הם לא יתכוונו אחריי", יש עדיין, כמעט מחציתם, שעסקים אחרי עסקים קטנים. שבעים וחמישה אחוזים מתעשיית שירותי הבריאות נדבקו בתוכנה זדונית בשנה האחרונה. שבעים אחוז מחברות הנפט והגז האמריקניות נפרצו בשנה האחרונה. מדובר בכמות משמעותית של השפעה על תעשיות שונות ומגוונות שקיימות, ומספר זה רק יעלה מכאן.

כשמסתכלים על זה מנקודת מבט מנהלתית, 90 אחוז מהנמ"רים מודים כי בזבזו מיליוני דולרים על ביטחון לא תקין ברשת. תשעים אחוז גם אומרים שהותקפו או שהם מצפים שתוקפים אותם על ידי בחורים שמתחבאים בהצפנה שלהם. שמונים ושבעה אחוזים מאמינים כי בקרת האבטחה שלהם אינה מצליחה להגן על העסק שלהם. שמונים וחמישה אחוזים מהנמ"רים מצפים כי שימוש לרעה פלילי במפתחותיהם ותעודותיהם יחמיר. מדובר במספר עצום של חברות הבוחנות את נושא אבטחת המידע הזה והמציאות היא, להרבה מהן אין פתרונות טובים במיוחד כדי אפילו להיות מסוגלים להתמודד עם זה כשזה קורה, למרות שהם מאמינים ש זה יקרה.

כאשר אנו בוחנים את המוכנות לכך, בשנת 2014, 70 אחוז מאלפי המילניום הודה כי הם הכניסו יישומים חיצוניים למפעלם בניגוד למדיניות ה- IT. שבעים אחוז הודו בכך - כנראה שיש אפילו מספר גדול מזה, שלמעשה עשה זאת. חמישים ושניים אחוז מהארגונים שסבלו מהתקפות סייבר מוצלחות בשנת 2016 לא ביצעו שינויים בביטחונם בשנת 2017. למרות שהם הותקפו פעם אחת, הם עדיין לא הלכו לחוף את החומות - הם פגיעים בדיוק כמו שהם היו לפני הפיגוע. זה באמת מעלה את השאלה, מה חברות צריכות להתחיל לעשות כדי להכין את עצמן לדברים האלה? שלושים ושמונה אחוז מהארגונים העולמיים טוענים שהם מוכנים להתמודד עם מתקפת סייבר מתוחכמת. זה טוב - כמעט חצי יש, ואני נדיב עם זה, אנחנו באמת רק בשליש, אבל עדיין יש לפחות חצי שאומרים, "אני לא מוכן. אם אני תוקף אותי, אני לא מוכן וההאקרים יודעים את זה. "שלושים ושמונה אחוז מהארגונים יש תוכנית תגובה בנושא אירועי סייבר. רוב החברות נמצאות באותו דלי כמו Equifax, שם הן לא יודעות מה הן יעשו. אם הם יבינו את זה, הם יצטרכו להגיב ולהביא עם הדברים האלה תוך כדי תנועה, ותקנות כמו GDPR אומרות, "אתה צריך שיהיו אלה במקום. אתה צריך לפרסם אותם. אתה צריך להוכיח את זה בפני מבקרי האבטחה. "אני מקווה שתהיה לנו השפעה כזו, עם תקנות כאלה, אנו יכולים להקדים את העקומה הזו ובמקום להיות תגובה ריאקציונלית, נוכל להיות פרואקטיביים בעשייה שלנו.

בואו נדבר קצת על GDPR. חלק מוויליאם זה כבר כיסה, אבל אני הולך לכסות את זה שוב, רק מהקלטת שלי, קולי, נקודת המבט שלי. הרבה חברות שאני מדבר איתן, הן כמו "אני בארה"ב, למה בכלל אכפת לי מהרגולציה של האיחוד האירופי הזה?" העובדה שיותר אנשים לא מזמזמים ויותר אנשים לא מדברים על זה, הם חושבים שזה רק חברי האיחוד האירופי המושפעים, אבל הייתי שואל אותך, אם אתה מסתכל ברשימה זו, אתה אוסף מידע כלשהו מחברי האיחוד? אם אוספת מידע כלשהו ממידע זה, אתה כפוף לגבולות ה- GDPR, כמו גם לקנסות בגין אי ציות. אני אתן לך שנייה לסוג פשוט לספוג את זה ולהבין את זה. כפי שציין וויליאם קודם לכן, אלה העונשים והסנקציות כמוזכרים בסעיף 83 של ה- GDPR. בהתחלה אתה עלול לקבל סטירה על היד, קצת אזהרה באומרו, "היי, בואו לפעול יחד. שימו את זה למקום. "אבל אם יש לך הפרה גדולה באמת - ותלוי כמה זה גדול - הם יחזרו אליך להשבה, וזה מספר משמעותי. לא 10 מיליון, אלא 20 מיליון יורו או 4 אחוז מהמחזור / הכנסותיך מהשנה הקודמת. זה הרבה כסף. זה הרבה מאוד תקציב ללכת לצוותים המנהלים שלך ולהגיד, "זה משהו שאנחנו צריכים להתחיל להתייחס ברצינות ואנחנו צריכים לנקוט בפעולה."

הרשה לי לעבור על מעט מעקרונות ה- GDPR כמפורט בסעיף 5. אחד הדברים שהם אומרים הוא שצריך לעבד נתונים אישיים כחוק, הוגן ובאופן שקוף. זה אומר שהציבור רוצה לדעת מה אתה עושה עם הנתונים שלהם. היה שקוף בעניין וזה צריך להתפרסם. רוב האנשים אינם קוראים תנאים והגבלות, אך זהו מידע חדש שאתה צריך בכדי שתוכל לתקשר, כך שתוכל לומר להם "הנתונים שלך מטופלים כראוי." יש לאסוף את הנתונים האישיים עבור מידע מוגדר, מטרות מפורשות ולגיטימיות. המשמעות היא שלקוות שנוכל להיפטר מחלק מהספאם הזה, שבו חברות אומרות שהן אוספות מידע לחידון שיגיד לך כמה אתה יכול להיות מעניין, ובמציאות הן לוקחות את הנתונים שלך ומוכרות אותן למישהו אחר, כדי להיות מסוגל להשתמש לכל מטרתו. חברות צריכות להיות הרבה יותר אחראיות ולומר בדיוק בשביל מה הן משתמשות במידע שלך. הם גם אומרים כי נתונים אישיים צריכים להיות הולמים, רלוונטיים ומוגבלים למה שנחוץ. הרבה חברות אוהבות לקחת את כל המידע שלהן ולהכניס אותו למאגר נתונים גדול ואז הם מגלים מה הם רוצים לעשות עם המידע בהמשך והם אוספים הרבה יותר ממה שנחוץ. זה אומר שאתה לא יכול לאסוף אותו ולהשתמש בו במקום אחר. אתה גם לא יכול פשוט לאסוף את הכל ולקוות שמאוחר יותר תמצא את זה מועיל. עליך להיות מאוד מפורש מדוע אתה אוסף את המידע וזה חייב להיות רלוונטי לנתונים שאתה אוסף.

נתונים אישיים צריכים גם להיות מדויקים ולהתעדכן. אתה צריך לתת למשתמשים דרכים לעדכן את הנתונים שלהם, ברגע שאספת אותם עליהם; הם צריכים להיות מסוגלים לחזור ולהגיד, "אתה יודע, הייתה לי דעה זו על איזה סקר ששאלת אותי על מידע המאפשר זיהוי אישי, ואני רוצה לחזור ואני רוצה לשנות את זה ולעדכן אותו עכשיו." לתת להם דרך להיות מסוגלים לעשות זאת. יש לשמור נתונים אישיים בצורה המאפשרת זיהוי של נבדקים לא יותר מהנדרש. בחזרה לנקודה של וויליאם, שאתה לא יכול לאסוף את המידע הזה לנצח - אתה צריך להמציא את מה שאתה חושב שהוא תקף והכרחי ואז לאחר מכן, עליך למחוק את הנתונים נקיים. כמו כן, יש לעבד אותו באופן שמבטיח ביטחון הולם, כולל הגנה מפני עיבוד בלתי מורשה או בלתי חוקי, אובדן מקרי, הרס או נזק.

כמו שאמרתי קודם, הגיע הזמן להתעניין באמת בעניין זה, לעצור את הפרות הנתונים האלה כי לא רק שתיתכן פגיעה שמגיעה לחברה שלך בצורה של הפרות הנתונים ואובדן ההכנסות ועלות הפחתת התהליכים שלך., אך יתכן שיש לך גם ערימת קנסות שסטירה עליכם מ- GDPR. הגיע הזמן באמת להתחיל להתעניין בזה מאוד ואני חושב שככל שה- GDPR ייכנס לתוקף, חברות עומדות להתמודד עם המציאות הקשה, ולמזלי אלה מכם שנמצאים בשיחה היום יכולים להתחיל לחשוב על זה ולדעת איך אתה הולך ליישם את הדברים האלה.

GDPR מדבר הרבה גם על זכויותיהם של אנשים פרטיים; זה ממש משגיח על המשתמשים הבודדים. הדבר הראשון הוא הזכות לגשת לנתונים האישיים שלך. משתמשים צריכים לדעת איזה מידע אספתם עליהם, ככל שהמידע שזוהה באופן אישי, ועליכם לתת להם דרך להיות מסוגלים לגשת אליו. יש גם זכות לתיקון, וזו דרך מפוארת לומר, "אני צריך להיות מסוגל לתקן את המידע שיש לך עלי." הזכות למחוק - ושוב, הרבה אנשים מנסחים את הזכות תשכח - אם אדם אומר, "אתה יודע מה, אני כבר לא רוצה שתדעי שאני אספן בחורים קומיים של כיף, אתה צריך להיפטר מזה. יש לי כמה חברים שמתגרים אותי בעניין ומוחקים אותי מהרשימה שלך לגמרי, "אתה צריך להיות מסוגל לעשות את זה. קיימת גם הזכות להגבלת העיבוד, והמשמעות היא שמשתמשים יכולים להגביל את דרך עיבוד המידע שלהם. הם יכולים לומר, "לא אכפת לי שתקחי את המידע שלי מכיוון שאני קונה מכונית חדשה, אבל אל תשתמש במידע הזה כדי לשלוח לי דוא"ל ולפקס אותי בדילים חדשים בכל פעם שמכוניות חדשות משתחררות." יש גם הזכות לניידות נתונים, מה שאומר שמשתמשים צריכים להיות מסוגלים לקבל עותק של הנתונים שלהם ולהיות מסוגלים לקחת אותם למקום אחר. הרבה ארגונים אוספים מידע ולמידע הזה יש גורם דביק, וכעת אנשים יכולים לומר "אתה יודע מה, אני רוצה שתיקח את כל המידע שלי ועכשיו אני רוצה שתעביר אותו למתחרה שלך, כדי שאוכל להזיז את זה על."

יש הרבה דברים שאפשר לחשוב עליהם מארגון פוטנציאלי כיצד תוכל לעשות זאת ואיזה מידע אתה רוצה להיות מסוגל לאסוף ולשלוח. יש גם זכות להתנגד, ומשתמשים יכולים להתנגד גם לעיבוד הנתונים שלהם. הזכות שלא להיות נתונה להחלטה המבוססת אך ורק על עיבוד או פרופיל אוטומטי. יש לכך השפעה משמעותית על השיווק ב- B2B - אם אתה יושב שם ומנסה לבצע בדיקות A / B ומנסה לזהות הוא שקולורדו תושפע יותר מהודעה מאשר מקליפורניה, ובכן עשית פרופיל, על ידי התבוננות באחת מצב לעומת אחר, ועליכם לבדוק כיצד אדם צריך להיות מסוגל לבטל את הסכמתו.

בהתחשב בעובדה שיש לנו כמה דברים מפחידים שמגיעים עד הפרה של נתונים ואיך שאנשים מסתכלים על הנתונים שלהם ויש לנו את התקנה הענקית הזו שמוטלת על כתפינו, אני עכשיו כאן כדי לתת לך הפיתרון כיצד IDERA יכול לעזור. סעיף 15 מדבר על אופן השליטה בחשיפה לנתונים אישיים. עליכם לדעת למי ניגש לנתונים שלכם. איך הם משתמשים בזה. כמה נתונים שעובדו ומנהל תאימות מוצרי SQL, שאני מנהל המוצר עבורו, מאפשר לך לראות למי ניגש לנתונים שלך ואיך. SQL Compliance Manger מיועד לפתרונות SQL Server. אם יש לך מסד נתונים של SQL Server, אתה יכול לחבר מוצר זה כדי שתוכל לבקר ולעיין במידע זה, כך שתוכל לעמוד בדרישות ה- GDPR ותדע בדיוק כיצד משתמשים בו. אתה יכול גם לראות הפרות נתונים לפני שהם מתרחשים, ואני אדבר על כך בשקופית אחרת. יש גם מאמר שאומר "אני זקוק לתיעוד של פעילויות עיבוד. אני צריך להתחבר ואני צריך לעקוב אחר הפעולות ואני צריך לדעת מי מעבד נתונים אישיים ולמי יש גישה למערכות האלה. "SQL Compliance Manager מקיים ביקורת על שרתים ובסיסי נתונים, כולל אבטחה, DDL, DML וכן הגדרת נתונים רגישים . מנהל ציות של SQL מאפשר לך לבקר בגישה לאבטחה ולהיכנס לניסיון, כך שתוכל לראות למי הגישה למידע, כמו גם למי נכנס, האם זה משתמש רשום, האם זה משתמש ידוע או שמא הוא משתמש זדוני.

סעיף 33 מדבר על הודעה על הפרת נתונים אישיים לרשות מפקחת. אתה צריך להיות מסוגל לזהות את ההפרות הללו; אתה זקוק לרשומות בכדי שיוכלו להעריך את ההשפעה; אתה צריך לדעת כמה מהר אתה מתקן את זה. בכדי לעשות זאת, SQL Compliance Manger מאפשר לך להגדיר התראות על בסיסי הנתונים שלך כדי שיראו מי יש גישה לנתונים הרגישים שלך, מתי הם ניגשים אליהם, למה הם ניגשים. זה גם מאפשר לך לשלול את המשתמשים הרשאים הרגילים שלך מביקורת שלך. אם יש לך מנהל מערכות או מנהל רשת שאתה יודע שהולכים לגשת אליו ואינך רוצה לסתום את הדוחות שלך, אתה יכול לשלול אותם ולומר, "תן לי את כל מה שקורה מחוץ למידע הזה." זה מאפשר אתה יכול לזהות במהירות אם מישהו ניגש בזדון שלך לנתונים ויכול להיות לך התראות שנמצאות במקום, שיאפשרו לך לדעת את הרגע בו הוא מתחיל להתרחש ואז את הרגע בו ניגש למידע, כדי שתוכל לאבד אותו, כך שאתה אל תצטרך לחכות יום שלם כדי להבין מה קורה, כמו שעשתה אקוויפקס.

יש גם מאמר המדבר על הגנת נתונים והערכת השפעות. זה הוא הערכת הסיכונים שלך והבנת מה הם, כמו גם הדגמה ותיעוד של עמידה שלך ב- GDPR. SQL Compliance Manager מאפשר לך לדווח על רכיבים שנמצאים תחת פיקוח. רק על מנת ללכת על קצה המזלג, לבקר את הנתונים שלך באמצעות SQL Compliance Manager, SQL Compliance Manager מאפשר לך לאתר כניסות שנכשלו - וזה סימן פוטנציאלי להפרה - לפקח על פעילויות ניהוליות ושינויי אבטחה, להתריע בפניך על שינויים בבסיס הנתונים, ביקורת עמודות שאתה מגדיר כמידע רגיש, מזהה משתמשים בעלי הרשאות ומעקב אחר פעילותם בנפרד מהמשתמשים האחרים במערכת שלך, מדווחים כי המידע נבדק בהתאם למספר הנחיות רגולטוריות. לא רק אנו מכסים את ה- GDPR, אלא אנו מכסים את HIPAA, PCI, FERPA, SOX, את כל ההנחיות הרגולטוריות בבואם לבקר את המידע שלך ולהבין את הגישה אליו, יש לנו הנחיות רגולטוריות אלה.

יש לנו מוצרים נוספים ב- IDERA להכנת GDPR. מעבר רק לביקורת ש- SQL Compliance Manager עושה, יש לנו ER / Studio Enterprise Team Edition, שיכולים לעזור לך לתעד את תהליכי הנתונים שלך ולשלב תקני נתונים במודל הנתונים שלך, אתה יכול ליצור מילוני מונחים עליהם וויליאם דיבר בשקופית קודמת. . כפי שציינתי כאן עם המצגת זו, SQL Compliance Manager יכול לעזור לך לבקר את המידע שלך כדי לוודא שהאנשים השגויים אינם ניגשים לנתונים שלך, כמו גם להוכיח זאת בפני רואי החשבון. גיבוי SQL בטוח יכול לעזור לך להצפין את הנתונים ואת הגיבויים שלך. הצפנה היא חלק מהותי ב- GDPR שלא סיקרתי בפירוט רב מכיוון שרציתי להתמקד רבות בנכסי Compliance Manager, אך SQL Safe Backup עושה הרבה מההצפנה בשבילך, כך שהנתונים שלך יכולים להישאר בטוחים. SQL Inventory Manager יכול להבטיח כי השרתים טופלים ומעודכנים, כך שלא תגיע בסופו של דבר למקרה כמו Equifax, שם היה להם תיקון לא מעודכן שהעניק להם חור אבטחה גדול שאנשים הצליחו לבצע השתמש בזדון. SQL Secure יכולה לבצע ביקורת על תקני פרטיות והצפנה.

לפרטים נוספים באתר הקהילה של IDERA, תחת הבלוג שלנו, פרסמתי הכנה לקראת ה- GDPR, כמו גם מבט לקראת 2018 והבנה מה ההשפעה של GDPR הולכת להיות, ויש גם, אתה בהחלט יכול להוריד עותק ניסיון של מנהל הציות SQL. ב- IDERA כמו גם בכל המוצרים האחרים שהזכרתי קודם בשקופית.

בשלב זה אני הולך להמשיך ולהעביר את המצגת לאריק כדי שנוכל לשאול כמה שאלות.

אריק קוואנה: אוקיי, טוב. נגעת במספר דברים באמת מעניינים שם, קים, שאחד מהם - אני חושב שזה די פשוט אבל זה די חכם - דיברת על איתור כניסות כושלות. נראה לי שזה סימן די טוב שמישהו לא בסדר?

קים ברושאבר: בהחלט. אם אתה רואה מישהו שניסה לגשת לסיסמה שלך ולפצח אותה, זו דרך מהירה מאוד להיות מסוגל לומר שמישהו לא עושה את מה שהוא צריך להיות. אולי פעמיים אתה יכול להקליד את הסיסמה שלך בצורה לא נכונה, אבל אם אתה רואה 30 כאלה שעברו, זה סימן רע.

אריק קוואנה: כן. המפתח כאן הוא להגדיר את ההתראות שלך בהקשר הנכון. מה עוד תוכל לספר לנו כיצד לנהל את התהליך של הגדרת התראות וביטול התראות שאינן עושות את מה שהן צריכות לעשות וכמה מהדברים האלה יכולים להיות אוטומטיים?

קים ברושאבר: למנהל הציות יש הרבה התראות שניתן להגדיר, וכן דוחות שתוכלו לבדוק. אנו עוברים את עקבות ה- SQL שלך ויש לנו מעקב אוטומטי זה ויש לנו הרבה ממנו כבר הוגדר ומוגדר מראש, אבל בהחלט יש כמות משמעותית של התאמה אישית שתוכל גם לעשות.

אריק קוונהאג: ויליאם, אני אביא אותך לעניין הזה - נראה לי שזה אחד התחומים שבהם אנו הולכים לראות מכונה לומדת להיכנס לפעולה במהלך השנתיים-עשר השנים הבאות בערך, מסתכל על כל אפשרויות שונות. כשמסתכלים על כל הדרכים השונות בהן מערכת יכולה לייעל את יעילותה, יעילותה סביב סוגיות כמו הפרות וכדומה. האם גם הטייק שלך?

ויליאם מק'קנייט: כן, בהחלט. אני חושב שאנחנו בונים עכשיו מערכות שמתקנות את עצמן. ניטור ה- 24 על 7 מתחיל לחמוק ולהפוך לנחלת העבר, אם כי אנו עדיין זקוקים לסוג זמן זה. אני חושב שהמערכות בעיקר מובנות ומובנות מה זה לא בסדר. האם עלינו להקצות כאן יותר מקום או מה יש לך? כן, אני חושב שזה בהחלט חלק מהעתיד שלנו. כל דבר בחוץ שניתן למפות אותו לכמה צעדים של פעולה, לנקוט בתגובה למשהו, הוא בהחלט פגיע לבינה מלאכותית.

אריק קוואנה: זו נקודה טובה. אני אעביר לך עוד שאלה אחת, וויליאם, כי אני יודע שאתה עושה הרבה מחקר במרחב הזה. אחד הדברים שחיכיתי להם כבר די הרבה זמן ואני עדיין לא חושב שאנחנו שם - אני חושב שאנחנו מתקרבים, בדיוק ממה שקראתי וחושב על זה - הוא יום בו תהיה טכנולוגיה לקליטת סוגיות רגולטוריות, הניסוח בפועל של הדברים האלה, ומיפוי זה לפונקציונליות ותוכנה. כמו שאמרתי, אנחנו עדיין דרכים מכך - אני לא יכול לדמיין שאין מישהו שעובד על זה. האם נתקלתם במשהו כזה, או שאנו עדיין בנקודה בה בני אדם צריכים להסתכל על הכללים, באמת לנסות ולהבין אותם, לקודד אותם בקוד מכונה, בעצם, ואז מומנט זה ליישומים השונים שלהם?

ויליאם מק'קנייט: ובכן, אני בהחלט מקבל את הרעיון שאתה משתף כאן. אני לא מכיר שום דבר שמתרחש לקראת הפעלה בסביבה שקשורה לזה. אני אגיד באופן כללי, ברור שאנחנו מתחילים להגיד למכונות לא מה לעשות, אלא מה המטרה של מה שאנחנו רוצים לעשות והמכונות הופכות להיות הרבה יותר חכמות באיתור הפרטים. אני חושב שברגע שנקבל קצת יותר בינה מלאכותית בארגונים שלנו, יתכן בהחלט שאפשר לפתח תקנות חדשות בשיתוף עם ה- AI שנפרס בתוך ארגונים כך שיוכלו להתגלגל באופן שתיארת בעתיד. לעת עתה, אנחנו לא פועלים עם זה.

אריק קוונהאג: הנה שאלה שאעביר לך, קים, כי גם זה די מעניין. אתה מדבר על ההשהיה הממוצעת או הפעם שמישהו נכנס למערכת שלך מסתתר ופשוט מחכה - מספר הימים שהתוקף נשאר רדום ברשת - הגילוי הוא 200. אני סקרן לדעת, מה המחשבות שלך לגבי איך לשפר זה, קודם כל? אבל גם האם יש דרך להשתמש בכללים מסוג זה כדי לחקור את המערכת שלך? כדי לחקור את הנתונים שלך, לעשות עבודה טובה יותר כדי להרחיק אנשים כאלה?

קים ברושאבר: כן, אני חושב שזיהוי מוקדם הוא המפתח. עליך להבין שאתרים זדוניים אלה ניגשים למידע שלך ויכולים לנעול אותם. אני חושב שבשקופיות האחרות בהן אנו מראים שלרוב הארגונים אין מדיניות זו. בגלל זה הם יושבים שם. אני חושב שאם הייתה לך ממש מדיניות לעבור ולנעול את הגישה שלך ולוודא שלאנשים הנכונים יש גישה. וודא שאתה מסובב את המפתחות שלך על בסיס קבוע ומעדכן אותם. וודא שהסיסמאות שלך מתעדכנות באופן קבוע ועושות דברים מסוג זה שנראים די בסיסיים. נכון לעכשיו, מרבית הארגונים אפילו לא עושים את זה, והתחלנו להציב את החלקים האלה במקום יעזור לכם לעבור מעבר לזה.

המשמעות היא כמובן שההאקרים יבינו את זה יותר ערמומית, אבל כרגע זה קל, זה כמו, "אני הולך להסתכל על הבתים ברחוב שאני מרגיש שאני רוצה לפרוץ אליהם, האם לאלה יהיה אזעקה מערכות? יש להם שלט אזעקה קטן ולזה יש כלבים? אני הולך ללכת לאחד שאין לו שלט אזעקה, אין לו כלב וזה הבית שאני מתכוון לפרוץ אליו. "ובכן, הם יגלו את החברות שלא לא יהיו תיקונים אלה במקום ואין להם את האבטחה והם לא מעדכנים את הסיסמאות שלהם והם הולכים להסתובב שם ולהשתמש בכרטיס האשראי שלך בתחנת דלק כמה פעמים כדי לוודא לא סגרתם את זה ואז כשהם יכולים להשפיע על שינוי גדול, בדרך כלל אמירה פוליטית כלשהי או אחרת, זה כשאתם רואים אותם קופצים בראש. לאחר התקנת המדיניות הזו, אני חושב שבשלב זה תוכלו לנקוט כמה צעדים די מינימליים בכדי שתוכלו להקדים את המשחק הזה.

אריק קוואנה: זו ככל הנראה העצה הטובה ביותר ואני תמיד שומע את זה כשאנחנו מדברים עם אנשים שנמצאים במרחב הביטחוני או במרחב הרגולטורי, כי היסודות יכסו 80 אחוז מהבעיה שלך, וזה הרבה מקום לכסות - זה נקודה טובה. אחד הנוכחים שאל אם מישהו יכול להרחיב את ההזדמנויות העסקיות שניתן לכרות ממאמצי הציות של ה- GDPR, אני נזכר בסרבנס-אוקסלי, ואני מניח, וויליאם, אני אעביר לך את זה. כיועץ אתה תמיד מחפש דרכים לעזור ללקוחות שלך מחוץ לפרויקט מסוים - לפחות אם אתה יועץ טוב אתה עושה את זה. כשאתה מדבר עם אנשים על GDPR, מהם היתרונות הנוספים שאתה יכול לציין שהם יקבלו אם הם יעסקו בפרויקט כלשהו הממוקד בזה?

ויליאם מק'קנייט: ראשית, חשוב לציין שהרעיון העומד מאחורי ה- GDPR אינו זכויות מלאות לאזרח בכלל. יש את הצד השני של ה- GDPR, זה הולך לשפר את האמון שיש לאזרחים בחברות שלנו זה יעודד אותם לעשות יותר עסקים בחברות התואמות. ישנם יתרונות נלווים לכך שבאמת להשיג את ה- GDPR שלך, כעת באופן פנימי, תוכניות ממשל הנתונים שאנו מיישמים משמשות כדי להקל על כל סוג של יוזמות, שבאמת מתחילות בתוך ארגונים והיום, ללא ספק, יוזמות שנבעטות. מחוץ לארגונים. לאחרונה עשיתי קצת תכנון לשנת 2018 עם רבים מהם, הם קשורים לנתונים, הרבה, הם כמו 65 אחוז עד 90 אחוז הכל על הנתונים - כשמדברים על טלמטיקה או תוכנית 360 של לקוח. או לוח מחוונים לפיקוח על אנשי מכירות, זה בעיקר קשור לנתונים. כל דבר שמנהל נתונים אלה בצורה טובה יותר, זה מכניס אותם לארכיטקטורה טובה יותר שמנה אנשים שהם האנשים המגיעים אליהם שיכולים לענות על כל שאלה על כל אותם נתונים, שבאמת אכפת להם כמו תוכנית לניהול נתונים. כל דבר שנותן לנו מילון מונחים - כמו שקים דיברה עליו עם הכלים שלה - כל דבר שעושה זאת, מאוד מועיל לייעל את היוזמות הללו, לסכן אותן, לכווץ את הזמן, לכווץ את התקציב עבורן ולקבל אותנו לזמן זריז לשווק הרבה יותר דברים טובים וטובים עבור חברה שעושה יוזמות, שכולן חברות.

אריק קוואנה: אני אוהב את המושג הזה של אמון. אני חושב שאמון הוא מציאות מאוד לא מוערכת בעולמנו ולמען האמת שרוב העסקים פועלים על אמון - זה באמת כשמגיעים אליו ממש. אני אעביר לך את זה רק לכמה הערות סגורות, קים. אני חושב שאחד מערכי המפתח שמוסיף כאן הוא שיפור האמון וטיפוח תרבות של אמון מכיוון שלדבר זה לא יהיו רק השפעות חיוביות על החברה עצמה, על אנשים בתוך החברה כשלעצמם, אלא גם על מה שהציבור תופס כי זה סוג של הדבר נשפך, נראה לי, אבל מה אתה חושב?

קים ברושאבר: כן, אני חושב כשאני מדבר עם חברים שעובדים בגוגל או עובדים בפייסבוק או עם כמה מהארגונים הגדולים והמאוד פרופילים, הם לא מיישמים כמעט כמה תכונות חדשות כמו ביישום פרוטוקולי אבטחה וביצועים. ובעיות מדרגיות מכיוון שהם רוצים שחוויית המשתמש שלהם תהיה כזו בה הם מאמינים שהם יכולים לסמוך במידע זה. אני חושב שלחברות יש אחריות כזו שאנחנו ממשיכים להתקדם לספק אמון מסוג זה. אני זוכר כשאנשים התחילו לראשונה להכניס כרטיסי אשראי לאנשים ואנשים הם כמו, "אלוהים אדירים, אני לא מתכוון למסור את המידע הזה בחוץ כי זה לא מאובטח."

ועכשיו, כרטיס האשראי שלך עובר לכל דרך שהיא מכיוון שאתה, בתיאוריה, חושב שאתה יכול לסמוך על החברה כי יש לה תעודת HTTPS. ואז אתה שומע על הפרות נתוני היעד בהן כרטיסי האשראי, איפה שהם היו, "אה, כדאי שתחלוק את כרטיס האשראי שלך מכיוון ששחררנו את המידע הזה." אני חושב שזה סנטימנט דו כיווני. אני חושב שאנשים פרטיים, למרות שהם רוצים להיות אמינים יותר מכיוון שזה הרבה יותר קל, להיות מסוגלים לסמוך ולהאמין בזה בארגונים גדולים, הארגונים הגדולים צריכים להיכנס ולהכניס את החלקים האלה למקומם כך שהם לא יתנהלו. אתה לא פוגע באדם או שאתה מאבד נתח שוק. אנשים אומרים, "ובכן אתה יודע מה, אני כבר לא הולך לחנות בטרגט, עכשיו אני הולך לקנות באמזון." אני חושב שאמון הוא נושא גדול, אם כי, כמו שאמרנו, 78 אחוז מהאנשים הם ועדיין הולך ללחוץ על הקישור הזה בדוא"ל, למרות שהם יודעים שאולי לא. יש מידה מסוימת של הגנה על אנשים, אפילו כשהם אכן בוטחים בך.

אריק קוואנה: זו נקודה טובה. אתה יודע מה, אני אעביר לך שאלה אחרונה אחת, וויליאם, או לפחות עוד אחת - יש לנו כמה טובות שנכנסות עכשיו. משתתף כותב, "GDPR מעביר את ניהול הזהויות חזרה ללקוח, לאן שהוא שייך. Equifax פגעה באופן קבוע ב 149- מיליון צרכנים, "נכון מאוד", שזיהמו את הכלכלה הדיגיטלית. אילו שינויים אתה רואה שמתרחש בארה"ב בנוגע לבעלות על לקוחות ביחס לניהול זהויות? "

ויליאם מקנייט: ובכן, אנחנו תמיד מאחור בארה"ב כשמדובר בדברים מסוג זה, לא? מאה ארבעים ותשעה מיליון, זה לא טיפה בדלי ממש שם. זה כמעט כמו טרור, נכון? אנחנו פשוט כל כך רגילים שזה פשוט קורה כל הזמן. אני חושב שצריך לעשות משהו. אני חושב GDPR, אני אוהב זכויות שהוא נותן לאזרחים, אבל נראה שזה לא בסדר העדיפויות - יש המון סדרי עדיפויות אחרים ואני לא יודע לאן זה הולך. אני חושב שכפי שציינתי בשקופית ההשלכות שהיו לי, זה מסמל מעבר לעוד זכויות מצד הצרכן על הנתונים שלו. כשזה קורה כאן בארה"ב? אני לא יודע, זה יכול להימשך עד חמש שנות חופש, לראות משהו שתואם את ה- GDPR קורה כאן בארה"ב. רק ספקולציות בשלב זה.

אריק קוואנה: זו נקודה ממש טובה ואני חושב שאנחנו הולכים לראות יותר מאמץ בגלל זה, בואו נודה בזה, אנו עוברים לכלכלה דיגיטלית כזו בימינו. וכהערה מסכמת כאן, קבלת מעט פילוסופיות, מדיניות מכוונת, זה מה שהכי מעסיק אותי לגבי המעבר לחברה חסרת מזומנים, מכיוון שכאשר מזומנים נעלמים, אם זה יקרה, אז הכל דיגיטלי וכל מערכת יכולה הוא לפרוץ וניתן לגנוב את זהותו של כל אדם. נראה לי שזה פיל די גדול בחדר כאן, כשאנחנו מסתכלים על העץ אל העתיד של ניהול זהויות.

כל אלה דברים נהדרים, אנשים. תודה לוויליאם מקנייט על זמנו ותשומת ליבו היום. תודה לקים ברושאבר מ- IDERA. אנו מבצעים ארכיון של כל שידורי האינטרנט הללו לצפייה מאוחרת יותר, אז אל תהסס לחזור, בדרך כלל תוך מספר שעות בלבד והארכיון יהיה מוכן. עם זה, אנו הולכים להיפרד מכם, אנשים. שוב תודה על זמנכם ותשומת לבכם. ביי ביי.

טיפ הקרחון: מדוע gdpr הוא רק ההתחלה