เคล็ดลับของภูเขาน้ำแข็ง: ทำไม GDPR เป็นเพียงจุดเริ่มต้น

ผู้เขียน: Roger Morrison
วันที่สร้าง: 25 กันยายน 2021
วันที่อัปเดต: 21 มิถุนายน 2024
Anonim
Phorest’s Before & After Photos
วิดีโอ: Phorest’s Before & After Photos

Takeaway: โฮสต์ Eric Kavanagh กล่าวถึงกฎการป้องกันข้อมูลทั่วไปของสหภาพยุโรปที่กำลังจะมาถึงและผลกระทบที่จะเกิดขึ้นกับอุตสาหกรรม เข้าร่วมกับเขาคือ William McKnight จากกลุ่มที่ปรึกษาของ McKnight และ Kim Brushaber จาก IDERA



คุณยังไม่ได้เข้าสู่ระบบโปรดเข้าสู่ระบบหรือลงทะเบียนเพื่อดูวิดีโอ

Eric Kavanagh: ตกลงท่านสุภาพบุรุษและสุภาพสตรีสวัสดีและยินดีต้อนรับอีกครั้ง เป็นวันพุธเวลา 4 นาฬิกาเวลาตะวันออกซึ่งหมายถึงเวลาอีกครั้ง - หนึ่งในครั้งสุดท้ายในปี 2560 - สำหรับเทคโนโลยีสุดฮอต ใช่แน่นอนฉันชื่อ Eric Kavanagh - ฉันจะเป็นผู้ดูแลของคุณสำหรับงานวันนี้ เรากำลังพูดถึงหัวข้อที่อยู่ไกลที่สุดเพื่อพูดน้อยที่สุด ตอนนี้ดูเหมือนจะไม่เป็นเช่นนั้น - แนวคิดของ GDPR, กฎการคุ้มครองข้อมูลทั่วโลก ไปข้างหน้าและดำดิ่งกันในเรื่องนี้ไม่ใช่เรื่องของคุณอย่างแท้จริงพอเกี่ยวกับฉัน ปีนี้อากาศร้อนมันร้อนแรงจริงๆในหลาย ๆ ทาง แต่กฎเกณฑ์ที่ใกล้เข้ามาจาก GDPR และจากองค์กรอื่น ๆ ค่อนข้างตรงไปตรงมาทำให้เราต้องคิดใหม่ว่าเกิดอะไรขึ้นในโลกธุรกิจโดยเฉพาะอย่างยิ่งผลลัพธ์หรือ ตามที่เกี่ยวข้องกับข้อมูล เราจะได้รับการติดต่อจาก Kim Brushaber จาก IDERA และ William McKnight จาก McKnight Consulting Group

เพียงสองสามคำด่วนเกี่ยวกับหัวข้อที่อยู่ในมือคน โดยทั่วไปแล้ว GDPR บอกว่าองค์กรต้องมีนโยบายความเป็นส่วนตัวก่อนและนโยบายความปลอดภัยเป็นอันดับแรกซึ่งเกี่ยวกับข้อมูลและจริงๆแล้วมันเกี่ยวกับบางสิ่งที่คุณอาจเคยได้ยิน - สิทธิ์ทั้งหมดที่จะถูกลืมเช่นนั้นเป็นส่วนหนึ่งและบางส่วนของ ช่วงเวลาทั้งหมดนี้และมันเป็นสิ่งที่น่าสนใจมาก แน่นอนว่าใช้ได้จริงในแง่ของหลักการและจริยธรรม ในแง่ของการใช้งานจริงมันเป็นความท้าทายที่ค่อนข้างร้ายแรง สิทธิที่จะถูกลืมบอกว่าถ้าคุณต้องการให้บางองค์กรไม่มีข้อมูลของคุณข้อมูลที่ละเอียดอ่อนส่วนตัวของคุณพวกเขาจะต้องกำจัดมัน คุณสามารถจินตนาการได้เมื่อสภาพแวดล้อมข้อมูลที่แตกต่างกันเหล่านี้บางอย่างยากลำบากเพียงใด เพื่อให้สามารถเข้าถึงได้ทุกที่ที่ข้อมูลของคุณยังคงอยู่และดึงออกมามันจะไม่เกิดขึ้นนั่นคือสิ่งที่สำคัญที่สุด อย่างไรก็ตามองค์กรจำเป็นต้องมีนโยบายเพื่อให้สามารถแก้ไขข้อกังวลเหล่านั้นและนั่นคือสิ่งที่ผู้กำกับดูแลผมค่อนข้างแน่ใจว่ากำลังมองหา


มันเป็นเรื่องใหญ่ องค์กรไม่เพียง แต่จะต้องลบข้อมูลของคุณหากคุณพูดเช่นนั้น แต่หากพวกเขาได้ฝึกอบรมอัลกอริทึมในข้อมูลนั้นในทางเทคนิคแล้วพวกเขาควรจะฝึกอบรมอัลกอริทึมด้วยเช่นกัน นั่นเป็นคำสั่งซื้อที่สูงฉันต้องบอกคุณ แต่มันกำลังจะมาลงมาหอกมันจะเป็นจริงในเดือนพฤษภาคมปีหน้าและมีกฎระเบียบอื่น ๆ เช่นกัน แคนาดามีกฎหมายต่อต้านสแปมที่ส่งผ่านซึ่งมีผลกระทบต่อวิธีที่เราจัดการกับข้อมูลส่วนบุคคล ความเป็นกลางสุทธิกำลังลงมาหอกในตอนนี้แน่นอนว่ามันได้รับการถอนรากถอนโคนโดยพื้นฐานแล้วนั่นจะเป็นการเปลี่ยนแปลงบางอย่าง มีกฎระเบียบที่ร้ายแรงเหล่านี้มากมายที่ส่งผลกระทบต่อธุรกิจทั่วทั้งกระดานและทั่วโลกซึ่งองค์กรขนาดใหญ่จำเป็นต้องเริ่มคิดและเตรียมความพร้อมสำหรับตนเอง

ด้วยเหตุนี้เราจึงได้รับ William McKnight ออนไลน์จากกลุ่มที่ปรึกษาของ McKnight เพื่อแจ้งให้เราทราบว่าเขาคิดอย่างไรและทำไม GDPR ถึงเป็นเพียงส่วนปลายของภูเขาน้ำแข็ง ด้วยสิ่งนั้น William ฉันจะส่งมอบมันให้คุณ เอามันออกไป.

William McKnight: ขอบคุณ Eric และอย่างที่คุณพูดตามที่สไลด์บอกว่า GDPR นี้อาจเป็นส่วนหนึ่งของภูเขาน้ำแข็ง - นั่นคือสิ่งที่เราคิด สิ่งสำคัญคือเราต้องเจาะลึก GDPR ในเชิงลึกเพราะฉันคิดว่ามันเป็นตัวแทนของคลื่นของกฎระเบียบที่ลงมาจากท่อที่เราต้องจัดการ โชคดีที่เอริคมีมาตรฐานที่เหมาะสมพอสมควรที่จะถูกลืมซึ่งฉันจะได้รับ แต่ถึงกระนั้นในการเดินของฉันในปีนี้พูดถึง GDPR ฉันคิดว่ามี บริษัท จำนวนมากโดยเฉพาะ บริษัท ในสหรัฐอเมริกาที่ยังไม่พร้อมสำหรับเรื่องนี้ มันร้อนแน่นอนและบางสิ่งบางอย่างที่เราไม่ได้คิดเมื่อประมาณหนึ่งปีที่ผ่านมาเมื่อพวกเขาเพิ่งทดลองบอลลูนบางสิ่ง แต่ตอนนี้มันเป็นกฎระเบียบและเราต้องจัดการกับมันโดยที่คุณพูดเอริคอาจมาถูก ขึ้นที่นี่ - ดังนั้นอย่าไปไกลเลย


เล็กน้อยเกี่ยวกับฉันฉันจะไปที่นี้จากมุมมองข้อมูล เพื่อให้คุณรู้ว่าฉันเป็นคนเก็บข้อมูลตลอดชีวิตและให้คำปรึกษาตอนนี้เป็นเวลา 19 ปีในพื้นที่ของข้อมูลและ GDPR เป็นเรื่องเกี่ยวกับข้อมูลมากมาย ฉันจะแก้ปัญหาที่นี่เนื่องจากฉันได้รับการนำเสนอเกี่ยวกับการกำกับดูแลข้อมูล เห็นได้ชัดว่าฉันเคยทำโปรแกรมการควบคุมข้อมูลจำนวนมากและฉันคิดว่าถ้าคุณสอดคล้องกับแนวคิดนั้นคุณกำลังทำการกำกับดูแลข้อมูลบาง บริษัท จำนวนมากที่อยู่ห่างไกลออกไป อันที่จริงแล้วการปฏิบัติตาม GDPR แต่จะมีมากและตรงไปตรงมาที่สุดที่อยู่ในการกำกับดูแลและดังนั้นจึงค่อนข้างช้าในการเตรียมการ GDPR ของพวกเขา ระดับของการตั้งค่าที่นี่และเข้าใจว่า GDPR คืออะไรและเมื่อเราเข้าร่วมการสนทนาลึกลงไปเราจะได้รับประโยชน์มากมายจาก GDPR ในการดำเนินธุรกิจขณะที่เราก้าวไปข้างหน้าในปีใหม่และปีต่อ ๆ ไป

GDPR สำหรับความเป็นส่วนตัวของข้อมูลพลเมืองของสหภาพยุโรป เป็นข้อบังคับ - หมายความว่ามีฟันหมายถึงบังคับใช้ ไม่ใช่สิ่งที่เสนอไว้เพื่อเป็นข้อเสนอแนะ - เกิดขึ้นแล้วและตอนนี้มันได้รับการจัดทำเป็นกฎระเบียบที่มีบทลงโทษ ฉันชอบที่จะเริ่มต้นด้วยการลงโทษเพราะได้รับความสนใจจากผู้คน บทลงโทษเหล่านี้แข็งทื่อ มีการลงโทษสองครั้งมีรายได้ร้อยละ 2 ของรายปีทั่วโลกหรือ 10 ล้านยูโรหากธุรกิจล้มเหลวในการปฏิบัติตามข้อผูกพันด้านความปลอดภัย แต่อย่างอื่นฝ่าฝืนบทบัญญัติอื่น ๆ และฉันจะเข้าไปถึงพวกเขานั่นคือร้อยละ 4 คุณได้ยินมันเกี่ยวกับ - ร้อยละ 4 และโดยวิธีการนั้นคือ 4 เปอร์เซ็นต์หรือ 10 ล้านยูโรแล้วแต่จำนวนใดจะสูงกว่า นี่มันแข็งมาก ผู้คนจริงจังกับเรื่องนี้มาก บังคับใช้เริ่มต้นที่ 25 พฤษภาคมTH, 2018 - นั่นคือวันสำคัญที่ว่าเมื่อการตรวจสอบสามารถเริ่มต้นที่เมื่อคุณสามารถได้รับการปรับของคุณ แน่นอนคุณต้องการที่จะพร้อมสำหรับเรื่องนี้ ทุก บริษัท ที่ฉันจัดการฉันจัดการกับ บริษัท Global 2000 จำนวนมากพวกเขาอยู่ที่ไหนสักแห่งในการเตรียม GDPR ของพวกเขามากกว่า บริษัท อื่นและบางแห่งต้องมากกว่า บริษัท อื่น ณ จุดนี้ แน่นอนว่ามันจะเป็นเรื่องท้าทายที่จะพบบางคนในวันนั้นและเราจะเห็น

เป็นระบอบการปฏิบัติตามข้อกำหนดด้านข้อมูลส่วนบุคคลที่ละเอียดที่สุดที่เราเคยเห็นมา เมื่อเราเห็นบางสิ่งที่แข็งทื่อมากขึ้นหรือสิ่งที่มีผลกระทบต่อประชากรในสหรัฐฯโดยตรงผู้รู้ แต่มันออกไปข้างนอกและต้องได้รับการปฏิบัติตามอย่างแน่นอน มันต้องการให้องค์กรต้องเข้าใจสิ่งที่พลเมือง PII ของ UE - เราคุ้นเคยกับข้อมูล PII ที่ถูกต้อง - ข้อมูลส่วนบุคคล, ประกันสังคม, หมายเลขโทรศัพท์, ที่อยู่, สิ่งต่าง ๆ ที่สามารถระบุตัวบุคคลได้อย่างไม่ซ้ำใคร สิ่งที่พวกเขามีและวิธีการใช้งาน หมายถึงสินค้าคงคลัง นี่หมายถึงข้อบังคับภายใน บริษัท ของคุณเกี่ยวกับข้อมูลประเภทนี้ โดยวิธีการที่สหรัฐอเมริกาไม่มีกฎหมายคุ้มครองข้อมูลทั่วประเทศใด ๆ สหรัฐฯอยู่เสมอ - ฉันจะบอกว่าเพื่อให้เป็นมุมมอง - ด้านหลังยุโรปในแง่ของกฎระเบียบประเภทนี้และนั่นก็ดำเนินต่อไป ที่ต่อเนื่องกับ GDPR ซึ่งเห็นได้ชัดมาก บางท่านอาจรู้เกี่ยวกับการปกป้องความเป็นส่วนตัวคุณอาจสงสัยว่า มีสามหรือสี่บทบัญญัติใน GDPR ที่มีการทับซ้อนกับความเป็นส่วนตัว แต่มีร้อยบทบัญญัติใน GDPR ดังนั้นจึงเป็นมากกว่านั้นและแน่นอนว่ายังคงอยู่ในสถานที่เช่นกันและที่เกี่ยวข้องกับการแลกเปลี่ยนข้อมูลของสหรัฐอเมริกาและสหภาพยุโรป เพียง แต่นั่นเป็นสิ่งสำคัญ

อีกครั้งฉันต้องการเริ่มต้นด้วยตัวเลข คุณเคยได้ยินเกี่ยวกับค่าปรับสิ่งที่เกี่ยวกับวิธีการเตรียมตัวสำหรับสิ่งนั้น งบประมาณสำหรับ GDPR และทำสิ่งนี้ขึ้นอยู่กับปัจจัยสองประการ จำนวนข้อมูล PII ที่คุณรวบรวมกับพลเมืองสหภาพยุโรป หากคุณไม่รวบรวมเลยตกลงคุณอาจจะปฏิบัติตามและไม่ต้องจัดการกับเรื่องนี้ แต่คุณอาจต้องใช้สายนี้เพราะคุณรวบรวมบางแห่ง ขนาดของ บริษัท ของคุณและการกำกับดูแลข้อมูลของคุณซึ่งตามที่ฉันได้กล่าวไว้ก่อนหน้านี้อาจจะเข้าใกล้สิ่งที่คุณต้องทำเพื่อตอบสนองต่อ GDPR คุณสามารถคาดหวังได้มากถึงหลายล้านเหรียญสหรัฐหรือยูโรตาม แต่กรณี อย่างไรก็ตามเราต้องการไม่ต้องการปฏิบัติตาม GDPR เพื่อทำเครื่องหมายในช่องแน่นอนว่าเราต้องทำเช่นนั้น หวังว่าคุณจะไม่ได้อยู่ในสถานการณ์ที่น่ากลัวซึ่งคุณเพียงต้องการที่จะทำเครื่องหมายในช่องนั้น มองหาผลประโยชน์ทางธุรกิจเพราะหลายสิ่งที่คุณทำเพื่อสนับสนุน GDPR นั้นดีต่อธุรกิจของคุณ การกำกับดูแลข้อมูลเป็นสิ่งที่ดีสำหรับธุรกิจของคุณ เมื่อพูดถึงปริมาณของข้อมูล PII บางอย่างมีความสำคัญมากกว่าข้อมูลอื่น ๆ บางอย่างจะถูกตรวจสอบมากกว่าข้อมูลอื่น ๆ เช่นสุขภาพที่เกี่ยวข้องกับข้อมูลจะถูกควบคุมอย่างเข้มงวดมากขึ้นภายใต้ GDPR มากกว่าข้อมูลประเภทอื่นและจะต้องมีการปฏิบัติตาม ด้วยภาระหน้าที่เพิ่มเติมเช่นการดำเนินการประเมินผลกระทบด้านการปกป้องข้อมูลซึ่งจะเพิ่มงบประมาณของคุณอย่างชัดเจน

นิดหน่อยเกี่ยวกับการจัดทำงบประมาณ ในกรณีที่คุณอยู่ในสหรัฐอเมริกาหรือสหรัฐอเมริกาและสงสัยว่าสิ่งที่ส่งผลกระทบต่อคุณอย่างไร - GDPR มีผลต่อสหรัฐอเมริกาซึ่งยังคงอยู่ในสหภาพยุโรปจนถึงวันที่ 29 มีนาคมTH ในปี 2019 และรัฐบาลระบุว่าบางสิ่งเช่น GDPR จะดำเนินต่อไปหลังจากนั้นเพราะ“ เป็นความคิดที่ดี” บริษัท สหราชอาณาจักรต้องปฏิบัติตาม ข้อมูลพลเมืองของสหรัฐอเมริกาอยู่ในตารางแน่นอน ในกรณีที่ไม่ชัดเจนมีธุรกิจในสหรัฐอเมริกาหากคุณทำธุรกิจในสหภาพยุโรปโดยใช้ข้อมูลพลเมืองของสหภาพยุโรปสิ่งนี้จะนำไปใช้กับคุณอย่างแน่นอน สิ่งนี้มีผลกระทบกับสถาปัตยกรรมข้อมูลของคุณเพราะคุณอาจต้องปิดข้อมูล EU ของคุณจากทุกสิ่งทุกอย่างและปฏิบัติแตกต่างกัน มันมีผลต่อการวิเคราะห์อย่างที่ Eric พูดในขณะที่คุณรวบรวมการวิเคราะห์เหล่านั้นและอื่น ๆ ตอนนี้อาจเป็นเรื่องยากมากขึ้นที่จะได้รับการวิเคราะห์ทั่วโลก พวกเขาอาจกลายเป็นภาษาท้องถิ่นมากขึ้นอันเป็นผลมาจาก GDPR

มีบทบัญญัติอะไรบ้าง? มีมาตรฐานการปกป้องข้อมูล สิ่งเหล่านี้ล้วน แต่เป็นการเข้ารหัสข้อมูลที่วางไว้และเคลื่อนไหว ฉันจะพูดถึงการเข้ารหัสต่อไป มีมาตรฐานการแจ้งเตือนการละเมิดข้อมูล ไม่รออีกหลายเดือนรอไตรมาสเพื่อให้ทุกคนรู้ ฉันคิดว่ามีวันหนึ่งที่ยิ่งใหญ่เมื่อวันก่อนและเราพบว่า“ โอ้มันเกิดขึ้นเมื่อปีที่แล้ว” ไม่มีสิ่งใดใน GDPR - คุณมีเวลา 72 ชั่วโมง มันเป็นนโยบายชื่อและความอัปยศ หวังว่าจะไม่มีใครได้เห็นอย่างชัดเจนว่าบางคนจะ การรั่วไหลจะดำเนินต่อไปแม้กระทั่งหลังจาก GDPR แน่นอน มีกระบวนการในการตรวจสอบตำแหน่งและคุณภาพของข้อมูล ฟังดูคุ้นหูไหม? นั่นคือหัวใจสำคัญของการกำกับดูแลข้อมูล หวังว่าคุณจะมีบางอย่างที่เกิดขึ้น

พลเมืองสหภาพยุโรปมีสิทธิ์ที่จะถูกลืมดังที่ Eric กล่าวไว้ เอริคมีมาตรฐานความสมเหตุสมผลนี้อยู่บ้าง คุณไม่จำเป็นต้องลบล้างทุกอย่างที่จำเป็นหากคุณอาจต้องติดต่อกับลูกค้ารายนั้นพนักงานคนนั้นอีกครั้งคุณจะได้รับอนุญาตให้เก็บข้อมูลส่วนบุคคลบางประการไว้ แต่อย่างไรก็ตามพลเมืองเหล่านั้นมีสิทธิ์ที่จะถูกลืม แต่ไม่มีความพยายามที่ไม่ได้สัดส่วนซึ่งเป็นภาษา - ต่อคุณหรือเป็นอันตรายต่อ บริษัท ซึ่งทำให้คุณต้องลบล้างข้อมูลนั้น ฉันไม่ต้องการเล่นซ้ำ แต่คุณต้องเผยแพร่สำเนาของข้อมูลส่วนบุคคลที่จัดขึ้นและคุณสามารถรับข้อมูลนั้นได้ก็ต่อเมื่อได้รับความยินยอม ความยินยอมนั้นจะต้องได้รับจากผู้ที่มีอายุน้อยที่สุดในการอนุญาตการอนุญาตดังกล่าว นั่นเป็นคำพูดที่นั่น แต่นั่นทำให้ประชาชนได้รับสิทธิมากมายในข้อมูลของพวกเขา การพกพานั้นอยู่ที่นั่นในกรณีที่เกิดขึ้น สิทธิ์ที่จะถูกลืมชัดเจน แต่ด้วย - และบางสิ่งที่ไม่ได้อยู่บนสไลด์ของฉันที่สำคัญมาก - คือหัวเรื่องของข้อมูลจะมีสิทธิ์ที่จะไม่ถูกตัดสินใจโดยอาศัยการประมวลผลอัตโนมัติเพียงอย่างเดียว เรามีอะไรที่เคลื่อนไหวอย่างหนักเพื่อ? การประมวลผลอัตโนมัติ, การรับเงินกู้, สิ่งที่เราจะให้, สิ่งนี้จะต้องดำเนินการในแง่ของวิธีการที่จะเล่นและวิธีนี้จะไปไกล สิ่งที่สำคัญที่สุดคือการพูดคือความโปร่งใสว่าทำไมฉันถึงถูกปฏิเสธทำไมฉันถึงได้รับการปฏิบัติจาก บริษัท นี้ นี่คือตอนนี้ได้รับอนุญาตให้พลเมืองของสหภาพยุโรป

เห็นได้ชัดว่ามีเครือข่ายบางอย่างเกี่ยวกับวิธีที่เราทำธุรกิจและหวังว่าคุณจะเห็นว่า GDPR ไม่ใช่ปัญหาด้านไอทีไม่ใช่ปัญหาด้านไอทีอย่างเดียว กระบวนการทางธุรกิจทั้งหมดนี้เกี่ยวข้องกัน มันจะเกี่ยวข้องกับผู้คนจากทั่วทั้ง บริษัท ขอแนะนำให้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลสำหรับ บริษัท เหล่านั้นที่มีพนักงานมากกว่า 250 คนและคุณมี "คณิตศาสตร์ที่สำคัญกับข้อมูล EU PII" คุณสามารถตัดสินใจได้ด้วยตัวเองหากคุณมีคณิตศาสตร์ที่สำคัญบางครั้งก็ไม่ชัดเจน แต่มีบทบาทใหม่ - ไม่จำเป็นต้องมีบทบาทเต็มเวลาบุคคลสามารถมีความรับผิดชอบอื่น ๆ แต่ฉันไม่รู้ - ในองค์กรขนาดกลางและขนาดใหญ่บางแห่งฉันคิดว่าการปฏิบัติตาม GDPR จะเป็นอย่างไร ใกล้ชิดกับบทบาทเต็มเวลา ฉันจะเริ่มต้นด้วยวิธีนั้นและดูว่าคุณสามารถจัดการกับมันได้หรือไม่ โดยเฉพาะอย่างยิ่งในปีหน้าเมื่อคุณได้ทำหน้าที่ร่วมกันเกี่ยวกับ GDPR เมื่อมีการตัดสินบางทีคุณอาจทำให้งานช้าลง แต่มันจะทำให้บาง บริษัท ใช้เวลาสักครู่ อนุญาตให้แต่ละคนเห็นข้อมูลและการพกพาข้อมูลของตนเองดังที่ฉันได้กล่าวไว้ก่อนหน้านี้

นี่ไม่ใช่เรื่องใหม่ แต่อย่างใด แต่สิทธิในการถูกลืมได้ถูกออกไปจริง ๆ เชื่อหรือไม่ กฎปัจจุบันของสหภาพยุโรปได้จัดเตรียมไว้เพื่อให้สิทธิ์ในการลบข้อมูลส่วนบุคคลหรือไม่สามารถใช้งานได้ อย่างไรก็ตามตอนนี้มันเป็นส่วนหนึ่งของ GDPR มันจะถูกบังคับใช้อย่างกว้างขวางมากขึ้น การเข้ารหัสข้อมูล - เข้ารหัสข้อมูลของคุณที่เหลือ ใช้วิธีการเข้ารหัสมาตรฐานอย่าใช้การเข้ารหัสแบบดั้งเดิมหรือแบบที่ไม่ได้มาตรฐาน AES เป็นสิ่งที่เราแนะนำให้ทำ ใช้คีย์เข้ารหัสที่ปลอดภัยแบบเข้ารหัส เปลี่ยนคีย์เหล่านั้นเป็นระยะ ยังป้องกันไม่ให้กุญแจเหล่านั้นสูญหาย นี่เป็นเพียงแนวทางการเข้ารหัสที่ดี แต่ตอนนี้พวกเขากำลังมาถึงแถวหน้าด้วย GDPR ปัญหานั้นอยู่ที่ - ฉันเพิ่งชนปลายภูเขาน้ำแข็งเท่านั้น เห็นได้ชัดว่ามีบทบัญญัติเพิ่มเติม แต่ก็เป็นบทบัญญัติหลัก

ตอนนี้แก้ปัญหา การกำกับดูแลข้อมูลกรอบการปฏิบัติตามของคุณอย่างน้อยนั่นก็เป็นมุมมองที่ฉันยกมาที่นี่ โชคดีที่มีระเบียบวินัยขั้นสูงที่สามารถทำได้เมื่อเป็นผู้ใหญ่จะต้องจัดการกับความต้องการส่วนใหญ่และการกำกับดูแลข้อมูลซึ่งแน่นอนว่าฉันกำลังบอกว่า โปรแกรมการกำกับดูแลควรมีอภิธานศัพท์ข้อมูลและที่นี่ฉันกำลังใช้อภิธานศัพท์ข้อมูลในแง่ทั่วไปเพื่อหมายถึงเอกสารทั่วทั้งกระดานสำหรับกระบวนการของคุณ นี่คือพื้นฐานเพื่อตอบสนองความต้องการสินค้าคงคลังของ GDPR ซึ่งก็คือที่เราเห็นมีขนาดใหญ่มาก โปรแกรมโปรแกรมการกำกับดูแลควรอำนวยความสะดวกในโปรโตคอลความปลอดภัยของข้อมูล - และฉันขีดเส้นใต้ว่าเพราะนั่นไม่ใช่สิ่งที่โปรแกรมการกำกับดูแลข้อมูลจำนวนมากกำลังทำอยู่ในขณะนี้ แต่ฉันคิดว่านี่เป็นเหตุผลที่ควรทำ นั่งในโปรแกรมที่กำหนดว่าใครเป็นเจ้าของธุรกิจ ใครต้องดูบ้าง จากนั้นขั้นตอนต่อไปคือการให้สิทธิ์เหล่านั้น ที่จะต้องมีการรวมศูนย์ที่จะต้องมีแบบแผน จะต้องมีนโยบายภายในที่ใช้ Stewardship จะต้องได้รับมอบหมายให้องค์ประกอบทั้งหมดเพื่อให้ข้อมูลทั้งหมดข้างต้น การกำกับดูแลข้อมูลยังสามารถเป็นผู้ดำเนินการด้านวิศวกรรมกระบวนการทางธุรกิจที่จำเป็นต้องมี

ก่อนที่ฉันจะออกจากสไลด์นี้ในการหลีกเลี่ยงการเสียค่าปรับที่หนักหนาสาหัส บริษัท ต่างๆจะต้องรับเอาแนวทางปฏิบัติทางธุรกิจที่ดีมาเป็นผลพลอยได้ ฉันอยากจะบอกว่ามันเป็นมากกว่าผลพลอยได้ แต่จริงๆแล้วมันเป็นเรื่องที่ดีธุรกิจเสียงที่สามารถนำคุณไปสู่สถานที่ใหม่จากมุมมองทางธุรกิจ แน่นอนว่าคุณจะได้รับประสิทธิภาพอย่างมากสำหรับการทำกิจกรรมทั้งหมดในกระดานหากคุณมีระบบการจัดการข้อมูลที่ดีนั่นคือสิ่งที่ฉันได้เห็นตลอดหลายปีที่ผ่านมา โดยการเพิ่มสิ่งเหล่านี้บางอย่างที่ฉันกล่าวถึงเพื่อการจัดการข้อมูลพวกเขาจะดีขึ้นเท่านั้น ในวิศวกรรมกระบวนการทางธุรกิจของคุณเราขอแนะนำให้คุณถามคำถามเหล่านี้ทั่วทั้งกระดาน เรารวบรวมข้อมูลประเภทใดในลูกค้าสหภาพยุโรปของเรา ฉันจะไม่อ่านทั้งหมด บางส่วนของคนสำคัญที่นี่ ใครมีความต้องการที่จะเห็นข้อมูลนี้และกำลังถูกติดตาม? ใครเป็นผู้ดูแลข้อมูลสำหรับข้อมูลนั้น ใครเป็นคนทำธุรกิจของฉัน? นี่เป็นเรื่องใหญ่: เราแบ่งปันข้อมูลนี้กับบุคคลที่สามหรือไม่ เพียงเพราะคุณมอบให้แก่บุคคลที่สามคุณจะไม่แก้ตัวความรับผิดชอบของคุณที่มีต่อข้อมูลนั้น - นั่นคือข้อมูลของคุณซึ่งยังเป็นข้อมูลที่คุณเก็บรวบรวม มีสัญญาของบุคคลที่สามมากมายที่ถูกตรวจสอบอย่างละเอียดเนื่องจาก GDPR ระบบเหล่านี้มีข้อผิดพลาดหรือไม่ ความหมายเมื่อพวกเขาล้มเหลวพวกเขาล้มเหลวในเส้นทางที่เราได้กำหนดไว้ล่วงหน้าหรือว่าพวกเขาล้มเหลวผิดพลาดเผาไหม้และเราเริ่มต้นจากการขีดข่วนขุดลงไป มันจะดีขึ้นมากอย่างเห็นได้ชัด เป็นวิธีปฏิบัติที่ดีอยู่แล้ว แต่เห็นได้ชัดว่าดีกว่ามากสำหรับการทำวิศวกรรมย้อนกลับของบางสิ่งถ้าคุณมีความล้มเหลวที่กำหนดไว้อย่างดีเยี่ยมในระบบของคุณ

การเก็บข้อมูลเราได้พูดถึงการเก็บข้อมูลไว้ตลอดกาล บริษัท จำนวนมากมีนโยบาย แต่พวกเขาไม่ได้ติดตามพวกเขาทั้งหมด เห็นได้ชัดว่ามีชื่อเสียงในการดูแลสุขภาพและการเงินเราต้องการเก็บข้อมูลเราต้องเก็บข้อมูลเป็นเวลาหลายปี นักวิเคราะห์บางคนใน บริษัท เหล่านี้ที่เก็บข้อมูลเป็นเวลาเจ็ดปีหรืออะไรก็ตามพูดว่า“ โอ้หลังจากนั้นฉันก็ยังต้องการข้อมูลนั้น” ทนายบางคนใน บริษัท เหล่านี้พูดว่า“ แต่เราต้องกำจัดมันออกไป เพื่อวัตถุประสงค์ด้านความรับผิด” และอื่น ๆ นั่นไม่เพียงแค่นั่งอยู่ตรงนั้นในฐานะที่เป็นประเด็นปัญหาเกี่ยวกับ GDP อีกต่อไป เราต้องมีระยะเวลาการเก็บรักษามีการติดตามอย่างสม่ำเสมอทั่วทั้งกระดานภายในองค์กร

และในที่สุดคุณจะระดมพลหาช่องโหว่ข้อมูลได้อย่างไร? สถานการณ์ที่เลวร้ายที่สุดที่อาจเกิดขึ้นกับคุณ เห็นได้ชัดว่าเรากำลังพยายามป้องกันพวกเขา แต่จะเกิดอะไรขึ้นถ้ามันเกิดขึ้น คุณทำสงครามกับสิ่งนั้นอย่างไรและตรวจสอบให้แน่ใจว่าคุณได้ปฏิบัติตามบทบัญญัติของ GDPR ในการตอบสนองของคุณในขณะนี้? ฉันเป็นสถาปนิกข้อมูลฉันคิดถึงสถาปัตยกรรมข้อมูล หากคุณเป็น บริษัท ในสหรัฐอเมริกาที่มีการดำเนินงานในสหภาพยุโรปหมายถึงข้อมูลพลเมืองของสหภาพยุโรป - คุณกำลังรวบรวมคุณจะต้องพิจารณาว่าจะใช้มาตรฐานการปกป้องข้อมูลกับข้อมูลทั้งหมดหรือเฉพาะข้อมูลในสหภาพยุโรป ใช่ฉันมีลูกค้าที่ตัดสินใจตอนนี้ ในฐานะที่เป็นแนวปฏิบัติทางธุรกิจที่ดีพวกเขาอาจต้องการนำสิ่งนั้นไปที่สหรัฐอเมริกาพวกเขาอาจรู้สึกว่าพวกเขามีเวลา แต่ก็ทำให้เกิดหัวข้อย่อยที่สอง คุณอาจต้องปิดกั้นข้อมูลในสหภาพยุโรปจากระบบของสหรัฐอเมริกาหากคุณไม่สามารถรับรองได้ว่าระบบของสหรัฐอเมริกาจะจัดการข้อมูลอย่างเหมาะสม ข้อมูลแยกจากกันเพื่อจุดประสงค์ในการวิเคราะห์หรือไม่ การวิเคราะห์จะใช้ได้แม้ในกรณีที่คุณพยายามทำข้ามประเทศ บางครั้งใช่บางครั้งไม่ถูกต้อง? คุณอาจพบว่าการวิเคราะห์ของคุณจะถูกปิดเสียงเป็นผล

ดังที่ฉันได้กล่าวไว้ก่อนหน้านี้ปัญญาประดิษฐ์เล่นอยู่ที่นี่เพราะเห็นได้ชัดว่าเราสามารถใช้ AI เพื่อค้นหาข้อมูลทั้งหมดช่วยเราค้นหาข้อมูลทั้งหมด แต่ถ้าเราใช้ AI ในส่วนติดต่อลูกค้าของเราเราต้องมีความโปร่งใสในขณะนี้กับลูกค้าของเรา อินเทอร์เฟซและนั่นไม่เคยเป็นชุดที่แข็งแกร่งของ AI เพื่อพยายามบอกลูกค้าว่า“ คุณถูกปฏิเสธเพราะ blah, blah, blah” เมื่อเป็น AI จริงๆ ที่ตอนนี้จะต้องมีการทำ เราต้องหาว่า AI ทำงานอย่างไรปัจจัยคืออะไร ไม่สามารถนั่งที่นั่นและเป็นกล่องดำให้คุณได้อีกต่อไป เราจะทำอะไรตอนนี้ จัดตั้งคณะกรรมการ GDPR ของคุณ ฉันขอแนะนำให้คุณมีเจ้าหน้าที่ความเป็นส่วนตัวอาวุโสของคุณในนั้นหรือถ้าคุณมีเจ้าหน้าที่คุ้มครองข้อมูล หัวหน้าฝ่ายกำกับดูแลข้อมูลความเสี่ยงด้านปฏิบัติการและ / หรือการปฏิบัติตามที่หัวหน้าฝ่ายไอที CIO ใช้หากเป็นบุคคลนั้น หากคุณมีผู้บริหารที่มีการเปลี่ยนแปลงนั่นจะเป็นบุคคลที่ยอดเยี่ยมในนั้น เพียงแค่เป็นหัวหน้าแผนกที่สำคัญที่สุดในธุรกิจของคุณและหัวหน้าฝ่ายทรัพยากรบุคคลเพราะการอบรมเรื่องความเป็นส่วนตัวในตอนนี้กำลังจะยิ่งใหญ่ ทุกคนจะได้รับการฝึกอบรมความเป็นส่วนตัวหรือควรได้รับการฝึกอบรมความเป็นส่วนตัวเมื่อพวกเขาลงทะเบียน บริษัท แม้แต่ที่ปรึกษา

หากคุณไม่ได้ทำสิ่งเหล่านี้ที่คุณเห็นที่นี่คุณจะต้องย้ายเร็วกว่าที่คุณต้องการเพื่อกำหนดเวลา คุณต้องเริ่มด้วยความหวังว่าคุณไม่ใช่คนแรก ๆ ที่จะได้รับการตรวจสอบเพราะตรงไปตรงมามีงานมากมายที่นี่ถ้าคุณเริ่มต้นจากศูนย์และคุณจัดการกับข้อมูลพลเมืองของสหภาพยุโรปจำนวนมาก จ้าง DPO ของคุณทำรายการข้อมูลและกระบวนการของคุณ สร้างแผนนั้นสำหรับการควบคุมข้อมูลนำไปจากที่ที่มันอยู่ไปยังที่ที่มันต้องการ แล้วแต่กรณีคุณอาจต้องการเริ่มต้น จัดทำนโยบายความเป็นส่วนตัวและประกาศนโยบายของคุณ นโยบายความเป็นส่วนตัวเป็นเรื่องภายใน ประกาศนโยบายไปภายนอก เรากำลังเห็นวัฒนธรรมเริ่มถูกสร้างขึ้นในขณะนี้รอบประกาศนโยบาย มีการเปรียบเทียบจำนวนมากและมีการใช้ถ้อยคำอย่างระมัดระวังรอบประกาศนโยบายเหล่านี้ กฎบัตรการตรวจสอบการปฏิบัติตาม GDPR สำหรับทุกระบบรวมถึงระบบใหม่ คุณอาจต้องเรียงลำดับและทำตามลำดับความสำคัญ แต่นี่เป็นอีกวิธีหนึ่งในการจัดการปัญหา ดูระบบและสิ่งที่พวกเขาควรจะทำและวิธีจัดการกับข้อมูลนี้

GDPR ส่งสัญญาณอะไร นั่นคือสิ่งที่เราอยู่ที่นี่เพื่อพูดคุยเพิ่มเติมเกี่ยวกับ ฉันหวังว่าสิ่งที่คิมจะพูดเกี่ยวกับเรื่องนี้ GDPR คือการเปลี่ยนแปลงในการควบคุมความเป็นส่วนตัวของข้อมูลไปสู่การควบคุม เป็นแนวโน้มสู่ความโปร่งใสกล่าวได้อย่างถูกต้องในบทบัญญัติ เรากำลังสร้างวัฒนธรรมของประกาศความเป็นส่วนตัวดังที่ฉันพูดถึงนั่นเป็นเรื่องที่เกิดขึ้นแล้ว เราจะเห็นการประชุมเกี่ยวกับประกาศความเป็นส่วนตัวและอื่น ๆ การเปลี่ยนแปลงจีดีพีเป็นไปเพื่อสิทธิขั้นพื้นฐานของประชาชน คำถามที่เปิดจะได้ผล มีคำถามที่เปิดกว้างอย่างชัดเจนฉันทิ้งไว้สองสามข้อให้กับเรา ไม่มีใครมีคำตอบ พวกเขากำลังจะได้ผล แนวโน้มในการทำความเข้าใจที่มากขึ้นโดยบุคคลเกี่ยวกับข้อมูลของพวกเขาและวิธีการใช้งาน ฉันคิดว่าสิ่งนี้ได้สร้างความตระหนักในหมู่ประชากรของสหภาพยุโรปเกี่ยวกับความสำคัญของข้อมูลของพวกเขาและเห็นว่าเป็นหนึ่งในสินทรัพย์ส่วนบุคคลของพวกเขาที่พวกเขาต้องจัดการเพิ่มเติม นั่นคือสัญญาณแรก ๆ ที่ฉันได้เห็นและเอริคฉันจะโยนมันกลับไปหาคุณตอนนี้

Eric Kavanagh: เอาล่ะฉันขอมอบกุญแจให้กับคิมซึ่งสามารถแบ่งปันมุมมองของเธอได้บ้าง แต่ฉันคิดว่านั่นเป็นภาพรวมที่ดีของวิลเลียมและคุณก็ตีประเด็นสำคัญ - นั่นคือสิ่งที่ทำให้หอกลงมาแน่นอนและเรามี ทุกคนต้องระวังให้มากตรงไปตรงมา ด้วยสิ่งนั้นขอให้ฉันมอบกุญแจให้คิมและคุณสามารถแชร์หน้าจอของคุณและรับมันจากที่นั่น

Kim Brushaber: เฮ้คุณได้ยินฉันไหม

Eric Kavanagh: ฉันสามารถได้ยินเสียงคุณ.

Kim Brushaber: น่ากลัว William ครอบคลุมบางสิ่งเดียวกันกับที่ฉันจะพูด แต่ฉันคิดว่าสิ่งเหล่านั้นคุ้มค่าที่จะพูดอีกเพราะเป็นสิ่งที่สำคัญจริงๆ ฉันคิดว่าเมื่อมีการยกเลิกกฎระเบียบใหม่ ๆ มันเป็นเรื่องดีจริงๆที่จะได้รับมุมมองและการตีความที่แตกต่างกันของผู้คนมากมายเพื่อให้บางสิ่งบางอย่างทำให้จิตใจของคุณแตกต่างและทำให้คุณสามารถปฏิบัติตามได้ ฉันได้รับการสนับสนุนจากทุกคนที่อยู่ในสายที่ต้องการทราบข้อมูลเพิ่มเติมเพราะฉันคิดว่าจะมาในวันที่ 25 พฤษภาคมTHอาจมีความตื่นตระหนกอย่างมากสำหรับ บริษัท ที่ถูกไล่ล่าโดยไม่ปฏิบัติตาม

ฉันชื่อ Kim Brushaber ฉันเป็นผู้จัดการผลิตภัณฑ์อาวุโสที่ IDERA ฉันมีผลิตภัณฑ์หลายอย่างภายใต้ตัวฉันซึ่งช่วยในเรื่องความสอดคล้องกับ GDPR รวมถึงกฎระเบียบอื่น ๆ ฉันจะกระโดดเข้าไปในข้อมูลบางส่วน ฉันจะเริ่มต้นด้วยข้อเท็จจริงและตัวเลขบางส่วนจากนั้นก็เข้าสู่ข้อมูล GDPR เล็กน้อยจากนั้นเครื่องมือของเราจะช่วยคุณได้อย่างไร ข้อเท็จจริงอย่างหนึ่งคือบันทึกข้อมูลมากกว่า 5 ล้านรายการจะสูญหายหรือถูกขโมยทุกวัน เราไม่ได้ยินสิ่งนี้รายงานในข่าวเราไม่ได้ยินสิ่งนี้มาจากที่อื่น แต่มีบันทึกข้อมูลมากกว่า 5 ล้านรายการที่ถูกขโมยตลอดเวลาจากเรา จำนวนวันเฉลี่ยที่ผู้โจมตีพักอยู่ในเครือข่ายของคุณคือ 200 วัน ระบบจำนวนมากถูกแทรกซึมโดยคนที่มีเจตนาร้ายที่กำลังรอโอกาสที่จะใช้ประโยชน์จากข้อมูลของคุณซึ่งส่วนใหญ่อยู่ในความปลอดภัยและใบรับรอง แต่พวกเขากำลังรอช่วงเวลาของพวกเขา นั่นเป็นสาเหตุที่ทำให้การรักษาความปลอดภัยข้อมูลของคุณมีความสำคัญมากขึ้นเรื่อย ๆ ค่าใช้จ่ายเฉลี่ยของการรั่วไหลของข้อมูลเดียวในปี 2020 คาดว่าจะเกิน 150 ล้านดอลลาร์เนื่องจากโครงสร้างพื้นฐานทางธุรกิจเชื่อมต่อกับแหล่งข้อมูลออนไลน์มากขึ้นและมีสิ่งต่าง ๆ เพิ่มขึ้นในระบบคลาวด์ นั่นคือหมายเลขงบประมาณที่ดีหากคุณกังวลเกี่ยวกับความปลอดภัยของข้อมูลเพื่อมอบให้กับทีมผู้บริหารของคุณเพื่อบอกพวกเขาว่านี่เป็นเรื่องร้ายแรงและอาจทำให้เราเสียเงินจำนวนมากในอนาคต

ฉันจะไปสรุปข้อมูลการละเมิดข้อมูล Equifax สั้น ๆ เพราะฉันคิดว่านี่เป็นการละเมิดข้อมูลที่ใหญ่ที่สุดของปี 2560 เพื่อกำหนดรูปแบบของภาพที่เป็นไปตามนั้น การละเมิดดังกล่าวส่งผลกระทบต่อลูกค้า 145.5 ล้านคน พนักงานรับทราบปัญหาความปลอดภัยกับเว็บแอปพลิเคชันของพวกเขาสองเดือนก่อนที่จะมีการละเมิดเกิดขึ้น พนักงานกำลังพูดว่า“ นี่เป็นปัญหา” และแม้แต่นิดหน่อยก่อนหน้านั้นก็คือตอนที่ปะออกมาจริง ๆ ใช้เวลาหนึ่งวันเต็มเมื่อการฝ่าฝืนเกิดขึ้นเพื่อตอบสนองและทำให้เว็บแอปพลิเคชันออฟไลน์ เนื่องจาก Equifax ไม่มีโปรโตคอลความปลอดภัยของข้อมูลที่กำหนดไว้จึงต้องใช้เวลาพอสมควรในการพิจารณาว่าเกิดอะไรขึ้นและสามารถใช้ระบบออฟไลน์ได้ หกสัปดาห์หลังจากการฝ่าฝืนประชาชนได้รับการแจ้งเตือน ด้วย GDPR - ตามที่เราได้กล่าวไว้ข้างต้นและฉันจะพูดอีกครั้ง - คุณต้องรายงานภายใน 72 ชั่วโมงและ Equifax จะมีมือของพวกเขาผูกและไม่สามารถปฏิบัติตามนั้นเพราะพวกเขารอเป็นเวลาหกสัปดาห์เพื่อรายงาน การสื่อสารเพื่อตอบสนองต่อการละเมิดนั้นรวมถึงเว็บไซต์ที่ไม่ได้เป็นเจ้าของโดย Equifax Equifax กำลังทวีตซ้ำทวีตนี้ซึ่งไม่ได้อยู่ในโดเมนพวกเขากลับคำบางคำไป โชคดีที่มันไม่ใช่ไซต์ที่เป็นอันตรายที่ใช้ประโยชน์จากสิ่งนั้น แต่เห็นได้ชัดว่าไม่ได้เตรียมไว้ พวกเขาไม่มีแผนและนี่ก็กลายเป็นที่รับรู้ในเวทีสาธารณะ Equifax ไม่ได้อยู่คนเดียว - มีการโจมตีทางไซเบอร์มากกว่า 25 ครั้งในปี 2560 และเรายังสามารถหาข้อมูลเพิ่มเติมได้ก่อนสิ้นปีนี้ บริษัท จำเป็นต้องเริ่มต้นทำสิ่งนี้อย่างจริงจังเพราะมีผู้คนอยู่ที่นั่นและถ้าคุณให้เหตุผลแก่พวกเขาที่จะมาหาคุณคุณควรเตรียมพร้อมที่จะรับมือกับมันได้ดีกว่า

ข้อมูลและตัวเลขเกี่ยวกับข้อมูลอื่น ๆ เกี่ยวกับความปลอดภัยของข้อมูลของแต่ละบุคคล ภายในปี 2563 จะมีอุปกรณ์ 30 พันล้านเครื่องที่เชื่อมต่ออินเทอร์เน็ตผ่านทางบ้านของเราผ่านเครื่องแต่งตัวของเราผ่านทางโทรศัพท์แท็บเล็ตของเราและผู้ที่รู้ว่าจะมีอะไรอีกที่จะเกิดขึ้นอีกในอนาคต มีอุปกรณ์มากมายที่เหลือจากการโจมตีเหล่านี้ สี่สิบเก้าเปอร์เซ็นต์ของชาวอเมริกันรู้สึกว่าข้อมูลส่วนบุคคลของพวกเขาปลอดภัยน้อยกว่าเมื่อห้าปีก่อน เจ็ดสิบสามเปอร์เซ็นต์ของผู้บริโภคในอเมริกาต้องการให้ บริษัท มีความโปร่งใสเกี่ยวกับข้อมูลส่วนบุคคลของพวกเขา เจ็ดสิบแปดเปอร์เซ็นต์ของผู้คนอ้างว่าตระหนักถึงความเสี่ยงในการคลิกที่ลิงค์และลิงค์ที่ไม่รู้จัก แต่พวกเขาคลิกลิงค์เหล่านั้นต่อไป - นั่นคือมากกว่าสามในสี่ของประชากรของเราและพวกเขายังคลิกลิงก์แม้ว่าพวกเขาจะคลิก รู้ว่ามันอาจเป็นปัญหา ร้อยละแปดสิบหกของผู้ใช้อินเทอร์เน็ตพยายามอย่างแข็งขันลดย่อระบุชื่อและซ่อนการเปิดเผยของเท้าดิจิทัล พ่อเลี้ยงของฉันชอบออกไปและสร้างชื่อปลอมเมื่อเขากรอกแบบฟอร์มเพราะเขาคิดว่านั่นทำให้เขาไม่เปิดเผยตัวตน แต่เขารู้ว่าที่อยู่ IP ของเขากำลังถูกติดตามอยู่ด้วย มีข้อกังวลส่วนตัวมากมายและนั่นคือสิ่งที่วางไข่ของกฎระเบียบ GDPR จำนวนมากและอาจมีกฎระเบียบเพิ่มเติมที่จะตามมา

เท่าที่อุตสาหกรรมข้อเท็จจริงด้านความปลอดภัยข้อมูล 90 เปอร์เซ็นต์ของการบันทึกข้อมูลการละเมิดในปี 2016 มาจากรัฐบาลค้าปลีกและเทคโนโลยี สี่สิบสามเปอร์เซ็นต์ของการโจมตีทางไซเบอร์โจมตีธุรกิจขนาดเล็ก หากคุณคิดว่า“ โอ้ฉันไม่ใช่คนที่แต่งตัวประหลาดขนาดใหญ่พวกเขาจะไม่ตามฉันมา” ยังมีอีกครึ่งหนึ่งของพวกเขาที่ไปตามธุรกิจเล็ก ๆ เจ็ดสิบห้าเปอร์เซ็นต์ของอุตสาหกรรมการดูแลสุขภาพติดมัลแวร์ในปีที่ผ่านมา เมื่อปีที่แล้ว บริษัท น้ำมันและก๊าซเจ็ดสิบเปอร์เซ็นต์ถูกแฮ็ก นี่เป็นผลกระทบอย่างมากต่ออุตสาหกรรมต่าง ๆ ที่เปิดดำเนินการและจำนวนนี้จะเพิ่มขึ้นจากที่นี่เท่านั้น

เมื่อคุณมองจากมุมมองของผู้บริหาร 90 เปอร์เซ็นต์ของซีไอโอยอมรับว่าเสียเงินหลายล้านดอลลาร์ไปกับการรักษาความปลอดภัยทางไซเบอร์ที่ไม่เพียงพอ เก้าสิบเปอร์เซ็นต์บอกว่าพวกเขาถูกโจมตีหรือพวกเขาคาดหวังว่าจะถูกโจมตีโดยพวกที่ซ่อนตัวอยู่ในการเข้ารหัส ร้อยละแปดสิบเจ็ดเชื่อว่าการควบคุมความปลอดภัยของพวกเขาล้มเหลวในการปกป้องธุรกิจของพวกเขา ร้อยละแปดสิบห้าของซีไอโอคาดว่าการนำคีย์และใบรับรองไปใช้ในทางที่ผิดจะแย่ลง นี่คือ บริษัท จำนวนมากที่กำลังดูที่ปัญหาความปลอดภัยของข้อมูลนี้และความจริงก็คือพวกเขาส่วนใหญ่ไม่มีวิธีแก้ปัญหาที่ดีมากนักแม้แต่จะสามารถจัดการกับมันได้เมื่อมันเกิดขึ้นแม้ว่าพวกเขาจะเชื่อว่า มันจะเกิดขึ้น.

เมื่อเรากำลังพิจารณาความพร้อมของมันในปี 2014 ร้อยละ 70 ของพันปียอมรับว่าพวกเขานำแอปพลิเคชันภายนอกเข้ามาในองค์กรของพวกเขาโดยละเมิดนโยบายด้านไอที เจ็ดสิบเปอร์เซ็นต์ยอมรับว่า - อาจมีจำนวนมากกว่านั้นที่ทำได้จริง ร้อยละห้าสิบสองขององค์กรที่ประสบความสำเร็จในการโจมตีทางไซเบอร์ในปี 2559 ไม่ได้ทำการเปลี่ยนแปลงใด ๆ ต่อความปลอดภัยของพวกเขาในปี 2560 แม้ว่าพวกเขาจะถูกโจมตีเพียงครั้งเดียว แต่พวกเขาก็ยังไม่ได้ไปซุกกำแพง ก่อนการโจมตี นี่เป็นคำถามจริงๆว่า บริษัท ต้องเริ่มทำอะไรเพื่อเตรียมพร้อมสำหรับสิ่งเหล่านี้ องค์กรระดับโลกสามสิบแปดเปอร์เซ็นต์อ้างว่าพวกเขาเตรียมรับมือกับการโจมตีทางไซเบอร์ที่ซับซ้อน เป็นสิ่งที่ดี - เกือบครึ่งหนึ่งอยู่ที่นั่นและฉันเป็นคนใจกว้างกับสิ่งนั้นเราเพียงแค่หนึ่งในสามเท่านั้น แต่ยังมีอีกครึ่งที่พูดว่า“ ฉันยังไม่พร้อม หากฉันถูกโจมตีฉันก็ยังไม่พร้อมและแฮ็กเกอร์ก็รู้” ร้อยละสามสิบแปดขององค์กรมีแผนรับมือเหตุการณ์ไซเบอร์ บริษัท ส่วนใหญ่อยู่ในที่เดียวกันกับ Equifax ที่พวกเขาไม่ทราบว่าพวกเขากำลังจะทำอะไร หากพวกเขาได้รับสิ่งนี้พวกเขาจะต้องตอบโต้และคิดสิ่งเหล่านี้ได้ทันทีและกฎระเบียบเช่น GDPR บอกว่า“ คุณต้องมีสิ่งเหล่านี้มาแล้ว คุณต้องให้พวกเขาเผยแพร่ คุณต้องพิสูจน์ให้กับผู้ตรวจสอบด้านความปลอดภัย” หวังว่าด้วยผลกระทบเช่นนี้ด้วยกฎระเบียบเช่นนั้นเราจะสามารถก้าวไปข้างหน้าของโค้งนี้และแทนที่จะเป็นปฏิกิริยาเราสามารถรุกในการแสวงหาของเรา

มาพูดเกี่ยวกับ GDPR กันหน่อย บางส่วนของ William นี้ได้ครอบคลุมไปแล้ว แต่ฉันจะดำเนินการต่อไปและครอบคลุมอีกครั้งเพียงแค่ใช้ของฉันเสียงของฉันมุมมองของฉัน หลาย บริษัท ที่ฉันคุยด้วยพวกเขาชอบ“ ฉันอยู่ในสหรัฐฯทำไมฉันถึงต้องใส่ใจเรื่องกฎของสหภาพยุโรปนี้ด้วย?” ความจริงที่ว่าผู้คนจำนวนมากไม่คึกคักและผู้คนไม่ได้พูดถึง พวกเขาคิดว่ามีเพียงสมาชิกในสหภาพยุโรปที่ได้รับผลกระทบ แต่ฉันจะถามคุณถ้าคุณดูรายการนี้คุณรวบรวมข้อมูลใด ๆ จากสมาชิกสหภาพยุโรปหรือไม่ หากคุณรวบรวมข้อมูลใด ๆ เลยคุณจะต้องอยู่ภายใต้ขอบเขตของ GDPR รวมถึงบทลงโทษที่ไม่ปฏิบัติตาม ฉันจะให้เวลาคุณดูดซับสิ่งนี้และเข้าใจสิ่งนี้ ดังที่วิลเลียมกล่าวถึงก่อนหน้านี้สิ่งเหล่านี้เป็นบทลงโทษและบทลงโทษตามที่อ้างถึงในมาตรา 83 ของ GDPR ในตอนแรกคุณอาจตบมือได้เตือนเล็กน้อยว่า“ เฮ้ทำหน้าที่ของคุณด้วยกัน วางสิ่งนี้ไว้ในสถานที่” แต่ถ้าคุณมีช่องโหว่ที่ใหญ่มาก - และขึ้นอยู่กับว่ามีข้อตกลงใหญ่ขนาดไหน - พวกเขาจะกลับมาหาคุณเพื่อชดใช้ความเสียหาย ไม่ใช่ 10 ล้าน แต่เป็น 20 ล้านยูโรหรือ 4 เปอร์เซ็นต์ของมูลค่าการซื้อขาย / รายได้ของคุณจากปีที่แล้ว นั่นเป็นเงินจำนวนมาก นี่เป็นงบประมาณจำนวนมากที่จะไปที่ทีมผู้บริหารของคุณและพูดว่า“ นี่คือสิ่งที่เราต้องเริ่มจริงจังและเราต้องลงมือทำ”

ผมขอพูดถึงหลักการ GDPR นิดหน่อยดังที่กล่าวไว้ในข้อ 5 สิ่งหนึ่งที่พวกเขากล่าวคือข้อมูลส่วนบุคคลควรถูกประมวลผลอย่างถูกกฎหมายเป็นธรรมและโปร่งใส นั่นหมายถึงสาธารณะต้องการทราบว่าคุณกำลังทำอะไรกับข้อมูลของพวกเขา มีความโปร่งใสเกี่ยวกับเรื่องนี้และจะต้องมีการเผยแพร่ คนส่วนใหญ่ไม่ได้อ่านข้อกำหนดและเงื่อนไข แต่นี่เป็นข้อมูลใหม่ที่คุณต้องสามารถสื่อสารได้เพื่อที่คุณจะสามารถบอกพวกเขาว่า“ ข้อมูลของคุณถูกจัดการอย่างเหมาะสม” ข้อมูลส่วนบุคคลควรถูกเก็บรวบรวมตามที่ระบุ วัตถุประสงค์ที่ชัดเจนและถูกกฎหมาย ซึ่งหมายความว่าหวังว่าเราจะสามารถกำจัดจดหมายขยะบางส่วนได้ที่ บริษัท บอกว่าพวกเขากำลังรวบรวมข้อมูลสำหรับแบบทดสอบที่บอกคุณว่าคุณน่าสนใจแค่ไหนและในความเป็นจริงพวกเขากำลังนำข้อมูลของคุณไปขายให้คนอื่น เพื่อให้สามารถใช้เพื่อจุดประสงค์ของพวกเขา บริษัท ต่างๆต้องมีความรับผิดชอบมากขึ้นและพูดอย่างชัดเจนว่าพวกเขาใช้ข้อมูลของคุณเพื่ออะไร พวกเขายังกล่าวด้วยว่าข้อมูลส่วนบุคคลจะต้องเพียงพอมีความเกี่ยวข้องและถูก จำกัด ในสิ่งที่จำเป็น บริษัท จำนวนมากชอบที่จะนำข้อมูลทั้งหมดของพวกเขามาใส่ไว้ในแหล่งรวมข้อมูลขนาดใหญ่แล้วพวกเขาก็คิดออกว่าพวกเขาต้องการทำอะไรกับข้อมูลในภายหลังและพวกเขาก็เก็บรวบรวมมากกว่าที่จำเป็น นี่เป็นการบอกว่าคุณไม่สามารถรวบรวมได้และใช้งานที่อื่น คุณไม่สามารถรวบรวมทุกอย่างได้และหวังว่าในภายหลังคุณจะพบว่ามีประโยชน์ คุณต้องชัดเจนมากในสาเหตุที่คุณรวบรวมข้อมูลและต้องเกี่ยวข้องกับข้อมูลที่คุณรวบรวม

ข้อมูลส่วนบุคคลจะต้องถูกต้องและเป็นปัจจุบัน คุณต้องให้วิธีแก่ผู้ใช้ในการอัปเดตข้อมูลของพวกเขาเมื่อคุณรวบรวมมันไว้ พวกเขาต้องสามารถย้อนกลับไปและพูดว่า“ คุณรู้ไหมฉันมีความคิดเห็นนี้ในแบบสำรวจบางอย่างที่คุณถามฉันเกี่ยวกับข้อมูลที่สามารถระบุตัวบุคคลได้และฉันต้องการกลับไปและฉันต้องการกลับไปและฉันต้องการเปลี่ยนมันและอัปเดตเดี๋ยวนี้” เพื่อให้พวกเขามีวิธีที่จะสามารถทำเช่นนั้นได้ ข้อมูลส่วนบุคคลจะต้องถูกเก็บไว้ในรูปแบบที่อนุญาตให้ระบุตัวตนของข้อมูลวิชาไม่เกินความจำเป็น กลับไปที่จุดของ William ที่คุณไม่สามารถรวบรวมข้อมูลนี้ได้ตลอดไป - คุณต้องคิดในสิ่งที่ถูกต้องและจำเป็นหลังจากนั้นคุณต้องล้างข้อมูลให้สะอาด นอกจากนี้ยังจะต้องดำเนินการในลักษณะที่รับรองความปลอดภัยที่เหมาะสมรวมถึงการป้องกันการประมวลผลที่ไม่ได้รับอนุญาตหรือผิดกฎหมายการสูญเสียโดยอุบัติเหตุการทำลายหรือความเสียหาย

ดังที่ฉันได้กล่าวไว้ก่อนหน้านี้ถึงเวลาแล้วที่ต้องจริงจังกับเรื่องนี้มากการหยุดการรั่วไหลของข้อมูลเหล่านั้นเพราะไม่เพียง แต่คุณจะได้รับบาดเจ็บที่มากับ บริษัท ของคุณในรูปแบบของการรั่วไหลของข้อมูลและการสูญเสียรายได้ แต่คุณอาจมีค่าปรับที่ตบหน้าของคุณจาก GDPR ถึงเวลาแล้วที่จะเริ่มจริงจังกับสิ่งนั้นมากและฉันคิดว่าเมื่อ GDPR มีผลบังคับใช้ บริษัท ต่างๆจะต้องเผชิญกับความจริงที่ยากลำบากและโชคดีที่พวกคุณที่อยู่ระหว่างการโทรในวันนี้สามารถเริ่มคิดถึงเรื่องนี้และรู้ คุณจะนำสิ่งเหล่านี้ไปปฏิบัติอย่างไร

จีดีพีอาร์พูดถึงเรื่องสิทธิของปัจเจกบุคคลมากมาย เป็นเรื่องที่น่าจับตามองสำหรับผู้ใช้แต่ละคน สิ่งแรกคือสิทธิ์ในการเข้าถึงข้อมูลส่วนบุคคลของคุณ ผู้ใช้จำเป็นต้องทราบว่าคุณได้รวบรวมข้อมูลใดบ้างเท่าข้อมูลที่ระบุตัวตนได้และคุณต้องให้วิธีการในการเข้าถึงพวกเขา นอกจากนี้ยังมีสิทธิ์ในการแก้ไขซึ่งเป็นวิธีแฟนซีในการพูดว่า“ ฉันต้องสามารถแก้ไขข้อมูลที่คุณมีกับฉันได้” สิทธิ์ในการลบออก - ซึ่งอีกครั้งผู้คนจำนวนมากกำลังใช้ถ้อยคำที่เหมาะสม ถูกลืม - ถ้ามีคนพูดว่า“ คุณรู้อะไรฉันไม่ต้องการให้คุณรู้ว่าฉันเป็นนักสะสมหนังสือการ์ตูนที่สนุกสุด ๆ คุณต้องกำจัดมันทิ้ง ฉันมีเพื่อนบางคนที่ล้อเล่นเกี่ยวกับเรื่องนี้และเช็ดฉันออกจากรายการของคุณอย่างสมบูรณ์” คุณต้องทำเช่นนั้นได้ นอกจากนี้ยังมีสิทธิ์ในการ จำกัด การประมวลผลซึ่งหมายความว่าผู้ใช้สามารถ จำกัด วิธีการประมวลผลข้อมูลของพวกเขา พวกเขาสามารถพูดได้ว่า“ ฉันไม่รังเกียจที่จะรับข้อมูลของฉันเพราะฉันซื้อรถใหม่ แต่ไม่ได้ใช้ข้อมูลนั้นกับฉันและสแปมฉันในข้อตกลงใหม่ทุกครั้งที่มีรถใหม่ออกมา” นอกจากนี้ยังมี สิทธิ์ในการพกพาข้อมูลซึ่งหมายความว่าผู้ใช้ควรจะได้รับสำเนาของข้อมูลและสามารถนำไปใช้ที่อื่นได้ องค์กรจำนวนมากรวบรวมข้อมูลและข้อมูลนั้นมีปัจจัยความหนืดและตอนนี้บุคคลสามารถพูดว่า "คุณรู้อะไรฉันต้องการให้คุณนำข้อมูลทั้งหมดของฉันและตอนนี้ฉันต้องการให้คุณให้กับคู่แข่งของคุณดังนั้นฉันสามารถย้ายที่ เกิน."

มีหลายสิ่งที่ต้องพิจารณาจากองค์กรที่คาดหวังว่าคุณจะสามารถทำสิ่งนั้นได้อย่างไรและข้อมูลใดที่คุณต้องการรวบรวมและทำซ้ำ นอกจากนี้ยังมีสิทธิ์คัดค้านและผู้ใช้สามารถคัดค้านการประมวลผลข้อมูลได้เช่นกัน สิทธิ์ที่จะไม่ถูกตัดสินใจโดยขึ้นอยู่กับการประมวลผลอัตโนมัติหรือการทำโปรไฟล์ สิ่งนี้มีผลกระทบอย่างมีนัยสำคัญต่อการตลาด B2B - ถ้าคุณนั่งที่นั่นและลองทดสอบ A / B และพยายามระบุว่าโคโลราโดจะได้รับอิทธิพลจากแคลิฟอร์เนียมากกว่านั่นเป็นเรื่องดีที่คุณเพิ่งทำโปรไฟล์โดยดูที่รัฐใดรัฐหนึ่ง เมื่อเทียบกับที่อื่นและคุณต้องดูว่าบุคคลควรจะสามารถเลือกที่จะ

เนื่องจากเรามีบางสิ่งที่น่ากลัวที่กำลังจะมาถึงการละเมิดข้อมูลและวิธีการที่ผู้คนกำลังดูข้อมูลของพวกเขาและเรามีกฎระเบียบที่ยิ่งใหญ่นี้ซึ่งถูกทิ้งไว้บนไหล่ของเราตอนนี้ฉันมาที่นี่เพื่อให้คุณ วิธีแก้ปัญหาว่า IDERA สามารถช่วยได้อย่างไร ข้อที่ 15 พูดถึงวิธีการควบคุมการเปิดเผยข้อมูลส่วนบุคคล คุณต้องรู้ว่าใครกำลังเข้าถึงข้อมูลของคุณ พวกเขาใช้งานอย่างไร มีการประมวลผลข้อมูลจำนวนเท่าใดและผลิตภัณฑ์ SQL Compliance Manager ซึ่งฉันเป็นผู้จัดการผลิตภัณฑ์ช่วยให้คุณเห็นว่าใครกำลังเข้าถึงข้อมูลของคุณและวิธีการ ตัวจัดการการปฏิบัติตามข้อกำหนดของ SQL ใช้สำหรับโซลูชันของ SQL Server หากคุณมีฐานข้อมูล SQL Server คุณสามารถเชื่อมต่อผลิตภัณฑ์นี้เพื่อให้สามารถตรวจสอบและดูข้อมูลนี้เพื่อให้สอดคล้องกับ GDPR และคุณรู้ว่าวิธีการใช้งานนั้นเป็นไปอย่างแม่นยำ คุณสามารถดูการรั่วไหลของข้อมูลก่อนที่จะเกิดขึ้นและฉันจะพูดถึงเรื่องนั้นในอีกสไลด์ นอกจากนี้ยังมีบทความที่กล่าวว่า“ ฉันต้องการบันทึกกิจกรรมการประมวลผล ฉันต้องเข้าสู่ระบบและฉันต้องตรวจสอบการดำเนินงานและฉันจำเป็นต้องรู้ว่าใครกำลังประมวลผลข้อมูลส่วนบุคคลและผู้ที่สามารถเข้าถึงระบบเหล่านั้นได้” SQL Compliance Manager รักษาการตรวจสอบเซิร์ฟเวอร์และฐานข้อมูลรวมถึงการรักษาความปลอดภัย DDL, DML . SQL Compliance Manager อนุญาตให้คุณตรวจสอบการเข้าถึงการรักษาความปลอดภัยและบันทึกความพยายามเพื่อให้คุณสามารถดูว่าใครกำลังเข้าถึงข้อมูลรวมทั้งผู้ที่ลงชื่อเข้าใช้ไม่ว่าจะเป็นผู้ใช้ที่มีสิทธิ์ไม่ว่าจะเป็นผู้ใช้ที่รู้จักหรือไม่ก็ตาม

บทความที่ 33 พูดถึงการแจ้งเตือนการละเมิดข้อมูลส่วนบุคคลต่อหน่วยงานผู้บังคับบัญชา คุณต้องสามารถตรวจจับการละเมิดเหล่านั้นได้ คุณต้องมีบันทึกเพื่อให้สามารถประเมินผลกระทบได้ คุณต้องรู้ว่าคุณจะแก้ไขได้เร็วแค่ไหน ในการดำเนินการดังกล่าว SQL Compliance Manger จะช่วยให้คุณสามารถตั้งค่าการแจ้งเตือนในฐานข้อมูลของคุณเพื่อดูว่าใครสามารถเข้าถึงข้อมูลที่สำคัญของคุณเมื่อพวกเขาเข้าถึงมันสิ่งที่พวกเขาเข้าถึง นอกจากนี้ยังช่วยให้คุณสามารถแยกผู้ใช้ที่ได้รับการยกเว้นตามปกติจากการตรวจสอบของคุณ หากคุณมีผู้ดูแลระบบหรือผู้ดูแลระบบเครือข่ายที่คุณรู้ว่ากำลังจะเข้าถึงและคุณไม่ต้องการที่จะปิดกั้นรายงานของคุณคุณสามารถออกกฎและพูดว่า“ ให้ทุกสิ่งที่เกิดขึ้นนอกข้อมูล” ให้ฉัน คุณสามารถระบุได้อย่างรวดเร็วว่ามีใครบางคนกำลังเข้าถึงข้อมูลของคุณโดยมีเจตนาร้ายหรือไม่และคุณสามารถมีการแจ้งเตือนที่มีอยู่ในสถานที่ซึ่งจะแจ้งให้คุณทราบว่าช่วงเวลาที่เกิดขึ้นนั้นเริ่มขึ้นแล้ว ไม่ต้องรอทั้งวันเพื่อดูว่าเกิดอะไรขึ้นเหมือน Equifax

นอกจากนี้ยังมีบทความที่พูดถึงการปกป้องข้อมูลและการประเมินผลกระทบ นี่คือการประเมินความเสี่ยงและความเข้าใจของคุณว่ามันคืออะไรเช่นเดียวกับการสาธิตและบันทึกการปฏิบัติตาม GDPR ของคุณ SQL Compliance Manager อนุญาตให้คุณรายงานองค์ประกอบที่กำลังถูกตรวจสอบ สรุปการตรวจสอบข้อมูลของคุณด้วย SQL Compliance Manager, SQL Compliance Manager ช่วยให้คุณสามารถตรวจสอบการเข้าสู่ระบบที่ล้มเหลวซึ่งเป็นสัญญาณที่บ่งบอกถึงการฝ่าฝืน - กิจกรรมการควบคุมดูแลและการเปลี่ยนแปลงด้านความปลอดภัยแจ้งเตือนคุณถึงการดัดแปลงฐานข้อมูล คอลัมน์ที่คุณกำหนดว่าเป็นข้อมูลที่ละเอียดอ่อนระบุผู้ใช้ที่ได้รับสิทธิพิเศษและติดตามกิจกรรมของพวกเขาแยกต่างหากจากผู้ใช้รายอื่นในระบบของคุณรายงานว่าข้อมูลนั้นได้รับการตรวจสอบตามแนวทางการกำกับดูแลต่างๆ ไม่เพียง แต่เราจะครอบคลุม GDPR เท่านั้น แต่เรายังครอบคลุม HIPAA, PCI, FERPA, SOX ซึ่งเป็นแนวทางปฏิบัติด้านกฎระเบียบทั้งหมดเมื่อพวกเขามาตรวจสอบข้อมูลของคุณและทำความเข้าใจกับสิ่งที่เข้าถึงได้เรามีแนวทางปฏิบัติด้านกฎระเบียบเหล่านั้น

เรามีผลิตภัณฑ์เพิ่มเติมที่ IDERA สำหรับการเตรียม GDPR เช่นกัน นอกเหนือจากการตรวจสอบที่ SQL Compliance Manager แล้วเรายังมี ER / Studio Enterprise Team Edition ซึ่งสามารถช่วยคุณจัดทำเอกสารกระบวนการข้อมูลของคุณและรวมมาตรฐานข้อมูลไว้ในตัวแบบข้อมูลของคุณคุณสามารถสร้างอภิธานศัพท์ข้อมูลที่ William พูดถึงในสไลด์ก่อนหน้า . ตามที่ฉันได้กล่าวไว้ที่นี่พร้อมกับงานนำเสนอนี้ SQL Compliance Manager สามารถช่วยคุณตรวจสอบข้อมูลของคุณเพื่อให้แน่ใจว่าคนที่ไม่ถูกต้องไม่สามารถเข้าถึงข้อมูลของคุณรวมทั้งพิสูจน์สิ่งนี้กับผู้ตรวจสอบบัญชี SQL Safe Backup สามารถช่วยคุณเข้ารหัสข้อมูลและข้อมูลสำรองของคุณ การเข้ารหัสเป็นส่วนสำคัญของ GDPR ซึ่งฉันไม่ได้กล่าวถึงในรายละเอียดเพราะฉันต้องการที่จะมุ่งเน้นไปที่สินทรัพย์ของ Compliance Manager แต่การสำรองข้อมูลอย่างปลอดภัยของ SQL นั้นทำหน้าที่เข้ารหัสให้คุณมากมายเพื่อให้ข้อมูลของคุณปลอดภัย ตัวจัดการสินค้าคงคลังของ SQL สามารถมั่นใจได้ว่าเซิร์ฟเวอร์นั้นได้รับการอัพเดทและทันสมัยดังนั้นคุณจึงไม่ต้องจบลงในกรณีเช่น Equifax ที่พวกเขามีแพตช์ที่ล้าสมัยซึ่งทำให้พวกเขามีช่องโหว่ด้านความปลอดภัยขนาดใหญ่ ใช้อย่างประสงค์ร้าย SQL Secure สามารถตรวจสอบความเป็นส่วนตัวและมาตรฐานการเข้ารหัส

สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับเว็บไซต์ชุมชน IDERA ภายใต้บล็อกของเราฉันได้โพสต์เตรียมความพร้อมสำหรับ GDPR เช่นเดียวกับการมองหาในปี 2018 และทำความเข้าใจว่าผลกระทบของ GDPR จะเป็นอย่างไรและคุณสามารถดาวน์โหลดสำเนาทดลองใช้ของ SQL Compliance Manager ที่ IDERA รวมถึงผลิตภัณฑ์อื่น ๆ ที่ฉันเพิ่งพูดถึงในสไลด์

ณ จุดนี้ฉันจะไปข้างหน้าและส่งงานนำเสนอกลับไปที่ Eric เพื่อให้เราสามารถถามคำถามได้

Eric Kavanagh: OK ดี. คุณสัมผัสกับสิ่งที่น่าสนใจมากมายในนั้น Kim หนึ่งในนั้น - ฉันคิดว่านี่เป็นวิธีที่เรียบง่าย แต่ฉลาดมาก - คุณพูดถึงการล็อกอินที่ล้มเหลวในการตรวจจับ สำหรับฉันแล้วมันเป็นสัญญาณที่ดีทีเดียวที่ใครบางคนทำไม่ถูกต้องใช่ไหม

Kim Brushaber: อย่างแน่นอน หากคุณเห็นคนที่พยายามเข้าถึงและถอดรหัสรหัสผ่านของคุณนั่นเป็นวิธีที่รวดเร็วมากในการบอกว่าบางคนไม่ได้ทำในสิ่งที่ควรจะเป็น บางทีสองสามครั้งคุณอาจพิมพ์รหัสผ่านไม่ถูกต้อง แต่ถ้าคุณเห็น 30 ในรหัสผ่านที่ผ่านมานั่นเป็นสัญญาณที่ไม่ดี

Eric Kavanagh: ใช่. พวกเขาสำคัญที่นี่คือการตั้งค่าการแจ้งเตือนของคุณด้วยการควบคุมที่เหมาะสม คุณสามารถบอกอะไรเราได้อีกเกี่ยวกับวิธีจัดการกระบวนการตั้งค่าการแจ้งเตือนและการปิดการแจ้งเตือนที่ไม่ได้ทำในสิ่งที่ควรทำและวิธีอัตโนมัตินั้นมีมากเท่าใด

Kim Brushaber: Compliance Manager มีการแจ้งเตือนที่กำหนดค่าได้จำนวนมากรวมถึงรายงานที่คุณสามารถตรวจสอบได้ เราผ่านการติดตาม SQL ของคุณและเรามีการติดตามโดยอัตโนมัติและเรามีจำนวนมากที่ได้รับการตั้งค่าและกำหนดไว้ล่วงหน้าแล้ว แต่ก็มีการปรับแต่งจำนวนมากที่คุณสามารถทำได้เช่นกัน

Eric Kavanagh: วิลเลียมฉันจะนำคุณมาสู่สิ่งนี้ - สำหรับฉันแล้วดูเหมือนว่าเป็นหนึ่งในพื้นที่ที่เราจะได้เห็นการเรียนรู้ของเครื่องจักรเพื่อเข้ามาเล่นในอีกสองถึงสิบปีข้างหน้าเพื่อดูความเป็นไปได้ต่าง ๆ ทั้งหมด ดูวิธีต่างๆที่ระบบสามารถเพิ่มประสิทธิภาพได้อย่างมีประสิทธิภาพ แต่ก็มีประสิทธิภาพในการแก้ไขปัญหาต่างๆเช่นการฝ่าฝืนและอื่น ๆ นั่นเป็นสิ่งที่คุณใช้เช่นกัน?

William McKnight: ใช่แน่นอน ฉันคิดว่าเรากำลังสร้างระบบในขณะนี้ที่สามารถซ่อมแซมตัวเองได้ การติดตาม 24 โดย 7 นั้นเริ่มหลุดลอยและกลายเป็นอดีตไปแล้วแม้ว่าเรายังต้องการเวลาแบบนั้น ฉันคิดว่าระบบส่วนใหญ่ได้รับการติดตั้งภายในและการหาสิ่งที่ผิด เราจำเป็นต้องจัดสรรพื้นที่เพิ่มเติมหรืออะไรมีคุณ ใช่ฉันคิดว่านั่นเป็นส่วนหนึ่งของอนาคตของเรา อะไรก็ตามที่สามารถแมปกับการดำเนินการบางอย่างเพื่อตอบสนองต่อสิ่งที่มีความเสี่ยงต่อปัญญาประดิษฐ์แน่นอน

Eric Kavanagh: นั่นเป็นจุดที่ดี ฉันจะส่งคำถามเพิ่มเติมให้คุณที่ William เพราะฉันรู้ว่าคุณทำการวิจัยมากมายในพื้นที่นี้ หนึ่งในสิ่งที่ฉันรอมาพักหนึ่งแล้วและฉันไม่คิดว่าเราอยู่ที่นั่น - ฉันคิดว่าเราเข้าใกล้แล้วจากสิ่งที่ฉันอ่านและคิดเกี่ยวกับมัน - คือ วันที่จะมีเทคโนโลยีในการรองรับปัญหาด้านกฎระเบียบถ้อยคำที่เกิดขึ้นจริงของสิ่งเหล่านี้และทำแผนที่ว่าเป็นหน้าที่การใช้งานและซอฟต์แวร์ อย่างที่ฉันบอกว่าเรายังคงเป็นวิธีอยู่ - ฉันไม่สามารถจินตนาการได้ว่าไม่มีใครทำงานอยู่ คุณเคยเจออะไรแบบนั้นหรือยังเรายังอยู่ในจุดที่มนุษย์จำเป็นต้องดูกฎลองและทำความเข้าใจกับพวกเขาประมวลเป็นรหัสเครื่องเป็นหลักแล้วทำให้เกิดแรงบิดกับแอปพลิเคชันต่างๆ

William McKnight: ฉันได้รับแนวคิดที่แน่นอนว่าคุณแบ่งปันที่นี่ ฉันไม่คุ้นเคยกับสิ่งที่กำลังเกิดขึ้นในสภาพแวดล้อมที่เกี่ยวข้อง ฉันจะบอกโดยทั่วไปว่าแน่นอนเรากำลังเริ่มบอกเครื่องว่าจะทำอย่างไร แต่เป้าหมายคืออะไรในสิ่งที่เราต้องการทำและเครื่องจักรเริ่มฉลาดขึ้นมากในการหารายละเอียด ฉันคิดว่าเมื่อเราได้รับปัญญาประดิษฐ์เพิ่มเติมในองค์กรของเราว่าเป็นไปได้ค่อนข้างที่กฎระเบียบใหม่จะสามารถพัฒนาขึ้นพร้อมกับ AI ที่นำไปใช้ภายในองค์กรเช่นที่พวกเขาสามารถแผ่ออกในลักษณะที่คุณอธิบายไว้ในอนาคต สำหรับตอนนี้เราไม่ได้แสดง

Eric Kavanagh: นี่คือคำถามที่ฉันจะส่งถึงคุณคิมเพราะนี่คือสิ่งที่น่าสนใจเช่นกัน คุณพูดคุยเกี่ยวกับเวลาแฝงเฉลี่ยหรือเวลาที่มีคนเข้าสู่ระบบซ่อนของคุณและรอ - จำนวนวันที่ผู้โจมตีอยู่เฉยๆภายในเครือข่าย - การตรวจจับคือ 200 ฉันอยากรู้ว่าคุณคิดอย่างไรเกี่ยวกับวิธีการปรับปรุง อย่างแรกเลย? แต่ยังมีวิธีใช้กฎชนิดนี้ในการสำรวจระบบของคุณเองหรือไม่? ในการสำรวจข้อมูลของคุณเองคุณจะทำหน้าที่ปกป้องคนประเภทนี้ได้ดีขึ้นหรือไม่

Kim Brushaber: ใช่ฉันคิดว่าการตรวจจับอย่างชัดเจนเป็นกุญแจสำคัญ คุณต้องเข้าใจว่าเว็บไซต์ที่เป็นอันตรายเหล่านี้กำลังเข้าถึงข้อมูลของคุณและสามารถล็อคมันได้ ฉันคิดว่าในอีกสไลด์ที่เราแสดงให้เห็นว่าองค์กรส่วนใหญ่ไม่มีนโยบายเหล่านั้น นั่นเป็นสาเหตุที่พวกเขานั่งอยู่ที่นั่น ฉันคิดว่าถ้าคุณมีนโยบายในการเข้าถึงและล็อคการเข้าถึงของคุณและตรวจสอบให้แน่ใจว่าคนที่เหมาะสมสามารถเข้าถึงได้ ตรวจสอบให้แน่ใจว่าคุณหมุนแป้นของคุณเป็นประจำและอัปเดต ตรวจสอบให้แน่ใจว่ารหัสผ่านของคุณได้รับการอัปเดตเป็นประจำและทำสิ่งต่าง ๆ เหล่านั้นซึ่งดูธรรมดา ตอนนี้องค์กรส่วนใหญ่ไม่ได้ทำอย่างนั้นและการเริ่มวางสิ่งเหล่านั้นเข้าที่จะช่วยให้คุณได้รับมากกว่านี้

แน่นอนว่าแฮ็กเกอร์จะมีฝีมือมากขึ้นเกี่ยวกับเรื่องนี้ แต่ในขณะนี้มันง่ายมันเหมือน“ ฉันจะดูบ้านบนถนนที่ฉันรู้สึกเหมือนฉันอยากจะบุกเข้าไป ระบบ? พวกเขามีสัญญาณเตือนเล็กน้อยและมีสุนัขหรือไม่? ฉันจะไปหาคนที่ไม่มีสัญญาณเตือนภัยไม่มีสุนัขและนั่นคือบ้านที่ฉันกำลังจะบุกเข้าไป "อืมพวกเขาจะไปหา บริษัท ที่ไม่ได้รับ ไม่มีแพตช์เหล่านี้ในสถานที่และพวกเขาไม่มีความปลอดภัยในสถานที่และพวกเขาไม่ได้อัปเดตรหัสผ่านของพวกเขาและพวกเขาจะไปและออกไปเที่ยวที่นั่นและใช้บัตรเครดิตของคุณในสถานีบริการน้ำมันสองสามครั้งเพื่อให้แน่ใจ คุณยังไม่ได้ปิดมันและเมื่อพวกเขาสามารถมีอิทธิพลต่อการเปลี่ยนแปลงครั้งใหญ่โดยปกติแล้วคำแถลงทางการเมืองบางอย่างหรือเมื่อคุณเห็นพวกเขาโผล่หัวขึ้น เมื่อรับนโยบายเหล่านั้นฉันคิดว่า ณ จุดนี้คุณสามารถทำตามขั้นตอนเล็กน้อยเพื่อให้สามารถก้าวไปข้างหน้าของเกมนี้

Eric Kavanagh: นั่นอาจเป็นคำแนะนำที่ดีที่สุดและฉันมักจะได้ยินสิ่งนี้เสมอเมื่อเราพูดคุยกับคนที่อยู่ในพื้นที่รักษาความปลอดภัยหรือพื้นที่ด้านกฎระเบียบนั้นพื้นฐานจะครอบคลุมปัญหาของคุณ 80 เปอร์เซ็นต์และนั่นเป็นเหตุผลที่ดี ผู้เข้าร่วมประชุมคนหนึ่งถามว่าใครบางคนสามารถขยายโอกาสทางธุรกิจที่สามารถขุดได้จากความพยายามในการปฏิบัติตาม GDPR ฉันนึกถึง Sarbanes-Oxley และฉันเดาว่า William ฉันจะส่งไปให้คุณ ในฐานะที่ปรึกษาคุณมักจะมองหาวิธีที่จะช่วยเหลือลูกค้าของคุณนอกขอบเขตของโครงการใดโครงการหนึ่ง - อย่างน้อยถ้าคุณเป็นที่ปรึกษาที่ดีคุณก็จะทำเช่นนั้น เมื่อคุณพูดคุยกับผู้คนเกี่ยวกับ GDPR คุณจะได้รับประโยชน์อะไรบ้างที่พวกเขาจะได้รับหากพวกเขามีส่วนร่วมในโครงการที่มุ่งเน้นไปที่นั้น

William McKnight: ก่อนอื่นสิ่งสำคัญคือการทราบว่าความคิดที่อยู่เบื้องหลัง GDPR นั้นไม่ได้มีสิทธิ์เต็มรูปแบบสำหรับพลเมืองเลยมีด้านอื่น ๆ ของ GDPR ซึ่งก็คือสิ่งนี้จะช่วยเพิ่มความเชื่อมั่นที่ประชาชนมีใน บริษัท ของเรา สนับสนุนให้พวกเขาทำธุรกิจมากขึ้นใน บริษัท ที่เป็นไปตามมาตรฐาน มีประโยชน์เสริมเหล่านั้นของการบรรลุจีดีพีของคุณจริง ๆ แล้วตอนนี้ภายในโปรแกรมการกำกับดูแลข้อมูลที่เราดำเนินการให้บริการเพื่ออำนวยความสะดวกทุกรูปแบบของการริเริ่มจริงๆที่ถูกเตะออกภายในองค์กรและในวันนี้ ภายในองค์กร ฉันเพิ่งวางแผนสำหรับปี 2018 กับหลาย ๆ คนพวกเขาต้องทำกับข้อมูลมากมายพวกเขาชอบข้อมูล 65% ถึง 90 เปอร์เซ็นต์ - เมื่อคุณพูดถึงโปรแกรม telematics หรือลูกค้า 360 หรือแดชบอร์ดเพื่อตรวจสอบพนักงานขายส่วนใหญ่เกี่ยวกับข้อมูล อะไรก็ตามที่จัดการข้อมูลนั้นได้ดีกว่าซึ่งทำให้อยู่ในสถาปัตยกรรมที่ดีกว่าซึ่งตั้งชื่อบุคคลที่เป็นคนที่ไปสู่คนที่สามารถตอบคำถามใด ๆ และทั้งหมดเกี่ยวกับข้อมูลนั้นซึ่งให้ความสำคัญกับโปรแกรมการกำกับดูแลข้อมูล อะไรก็ตามที่ให้ข้อมูลอภิธานศัพท์แก่เรา - เช่นเดียวกับที่คิมพูดคุยด้วยเครื่องมือของเธอ - อะไรก็ตามที่ทำเช่นนั้นมันมีประโยชน์มากในการทำให้การริเริ่มเหล่านี้มีประสิทธิภาพมากขึ้นลดความเสี่ยงลดเวลาหดงบประมาณให้พวกเขา ถึงเวลาที่คล่องตัวในการทำตลาดได้เร็วขึ้นและสิ่งที่ดีสำหรับ บริษัท ที่ทำโครงการซึ่งเป็น บริษัท ทั้งหมด

Eric Kavanagh: ฉันรักแนวคิดของความไว้วางใจ ฉันคิดว่าความน่าเชื่อถือเป็นความจริงที่ด้อยค่าในโลกของเราและธุรกิจส่วนใหญ่มักดำเนินการเกี่ยวกับความไว้วางใจ - มันจะเกิดขึ้นเมื่อคุณได้รับมัน ฉันจะส่งถึงคุณเพื่อรับความเห็นที่ปิดสนิทคิม ฉันคิดว่าหนึ่งในคุณค่าสำคัญที่เพิ่มที่นี่คือการปรับปรุงความเชื่อมั่นและส่งเสริมวัฒนธรรมแห่งความไว้วางใจเพราะมันจะไม่เพียง แต่ส่งผลกระทบเชิงบวกต่อ บริษัท เองต่อผู้คนใน บริษัท ต่อคน แต่ยังเกี่ยวกับสิ่งที่ประชาชนรับรู้ด้วย สิ่งที่หกฉันดูเหมือน แต่คุณคิดอย่างไร?

Kim Brushaber: ใช่ฉันคิดว่าเมื่อฉันพูดคุยกับเพื่อนที่ทำงานกับ Google หรือทำงานที่หรือเป็นหนึ่งในองค์กรที่มีชื่อเสียงระดับสูงพวกเขาไม่ได้ใช้คุณสมบัติใหม่เกือบเท่าที่พวกเขากำลังใช้โปรโตคอลความปลอดภัยและปัญหาเรื่องประสิทธิภาพและความสามารถในการปรับขนาดได้ พวกเขาต้องการให้ประสบการณ์ผู้ใช้ของพวกเขาเป็นหนึ่งในสิ่งที่พวกเขาเชื่อว่าพวกเขาสามารถเชื่อถือได้ในข้อมูลนั้น ฉันคิดว่า บริษัท ต่าง ๆ มีความรับผิดชอบในขณะที่เรายังคงเดินหน้าต่อไปเพื่อมอบความไว้วางใจประเภทนั้น ฉันจำได้ว่าเมื่อผู้คนเริ่มใส่บัตรเครดิตทางออนไลน์เป็นครั้งแรกและผู้คนก็เป็นเหมือน“ โอ้พระเจ้าฉันจะไม่ให้ข้อมูลนั้นในที่นั่นเพราะมันไม่ปลอดภัย”

และตอนนี้บัตรเครดิตของคุณไปทุกทางเพราะในทางทฤษฎีแล้วคุณคิดว่าคุณสามารถไว้วางใจ บริษัท ได้เพราะมีใบรับรอง HTTPS จากนั้นคุณได้ยินเกี่ยวกับข้อมูลเป้าหมายละเมิดบัตรเครดิตซึ่งเป็นเหมือนที่“ โอ้คุณแลกบัตรเครดิตของคุณได้ดีขึ้นเพราะเราปล่อยข้อมูลนั้นออกไป” ฉันคิดว่ามันเป็นความรู้สึกแบบสองทาง ฉันคิดว่าบุคคลทั่วไปในขณะที่พวกเขาต้องการที่จะไว้วางใจมากขึ้นเพราะมันง่ายกว่ามากที่จะสามารถไว้วางใจและมีความเชื่อมั่นในสิ่งนี้ในองค์กรขนาดใหญ่องค์กรขนาดใหญ่ต้องก้าวเข้ามาและวางชิ้นส่วนเหล่านี้เพื่อให้พวกเขาสวม ไม่ทำร้ายบุคคลหรือคุณสูญเสียส่วนแบ่งการตลาด มีคนพูดว่า“ คุณรู้ไหมว่าฉันจะไม่ไปซื้อของที่ Target อีกต่อไปตอนนี้ฉันจะไปซื้อของที่ Amazon” ฉันคิดว่าความไว้วางใจเป็นปัญหาใหญ่แม้ว่าอย่างที่เราพูดแล้ว จะยังคงคลิกที่ลิงก์นั้นแม้ว่าจะรู้ว่าอาจไม่ มีการคุ้มครองผู้คนจำนวนหนึ่งแม้ว่าพวกเขาจะเชื่อใจคุณ

Eric Kavanagh: นั่นเป็นจุดที่ดี คุณรู้ไหมฉันจะส่งคำถามสุดท้ายให้คุณ William หรืออย่างน้อยหนึ่งคำถาม - เราได้รับคำถามดีๆเข้ามาแล้ว ผู้เข้าร่วมประชุมเขียนว่า“ GDPR กำลังย้ายการจัดการข้อมูลประจำตัวกลับไปที่ลูกค้าซึ่งเป็นของ Equifax สร้างความเสียหายแก่ผู้บริโภค 149 ล้านคนอย่างถาวรซึ่งเป็นความจริงอย่างมาก คุณเห็นการเปลี่ยนแปลงอะไรที่เกิดขึ้นในสหรัฐอเมริกาเกี่ยวกับความเป็นเจ้าของลูกค้าที่เกี่ยวกับการจัดการข้อมูลผู้ใช้”

William McKnight: เราอยู่ข้างหลังเสมอในสหรัฐอเมริกาเมื่อพูดถึงเรื่องแบบนี้เราไม่ใช่เหรอ หนึ่งร้อยสี่สิบเก้าล้านที่ไม่ทิ้งในถังที่นั่น มันเกือบจะเหมือนการก่อการร้ายใช่ไหม เราคุ้นเคยกับมันเป็นสิ่งที่เกิดขึ้นตลอดเวลา ฉันคิดว่าต้องทำอะไรบางอย่าง ฉันคิดว่า GDPR ฉันชอบสิทธิที่มอบให้แก่ประชาชน แต่ดูเหมือนจะไม่ได้รับความสำคัญ - มีลำดับความสำคัญอื่น ๆ มากมายและฉันไม่รู้ว่าจะไปที่ไหน ฉันคิดว่าดังที่ฉันได้กล่าวถึงในสไลด์หน่วยความจำที่ฉันมีนี่เป็นการส่งสัญญาณให้ผู้บริโภคได้รับสิทธิมากกว่าจากข้อมูลของพวกเขา เกิดขึ้นที่นี่เมื่อใดในสหรัฐอเมริกา ฉันไม่รู้ว่ามันอาจจะนานถึงห้าปีเพื่อดูบางสิ่งบางอย่างที่สอดคล้องกับ GDPR ที่เกิดขึ้นที่นี่ในสหรัฐอเมริกาเพียงแค่การเก็งกำไร ณ จุดนี้

Eric Kavanagh: มันเป็นจุดที่ดีมากและฉันคิดว่าเราจะเห็นความพยายามมากขึ้นในเรื่องนี้เพราะถ้าอย่างนั้นเราจะไปสู่เศรษฐกิจดิจิทัลในยุคนี้ และในฐานะที่เป็นความคิดเห็นปิดที่นี่ได้รับปรัชญาตาดนโยบายที่มุ่งเน้นนี่คือสิ่งที่ฉันกังวลมากที่สุดเกี่ยวกับการย้ายไปสู่สังคมเงินสดเพราะเมื่อเงินสดหายไปถ้าเกิดขึ้นแล้วทุกอย่างเป็นดิจิตอลและทุกระบบสามารถแฮ็ค และตัวตนของทุกคนสามารถถูกขโมยได้ ดูเหมือนว่าฉันจะเป็นช้างตัวใหญ่ที่น่ารักในห้องที่นี่เพราะเรามองหอกสู่อนาคตของการจัดการอัตลักษณ์

นี่คือสิ่งที่ดีทั้งหมดคน ขอบคุณ William McKnight สำหรับเวลาและความสนใจของเขาในวันนี้ ขอบคุณ Kim Brushaber จาก IDERA เราเก็บถาวรเว็บคาสต์เหล่านี้ทั้งหมดเพื่อการดูในภายหลังดังนั้นโปรดกลับมาโดยปกติภายในเวลาไม่กี่ชั่วโมงและไฟล์เก็บถาวรจะพร้อมใช้งาน ด้วยวิธีนี้เราจะเสนอราคาเพื่ออำลาคุณ ขอขอบคุณอีกครั้งสำหรับเวลาและความสนใจของคุณดูแล ลาก่อน.