Techopedia Staff, 6 Aralık 2017
Paket Servisi: Ev sahibi Eric Kavanagh, AB'nin yaklaşmakta olan Genel Veri Koruma Yönetmeliği'ni ve bunun sektör üzerindeki etkilerini tartışıyor. Kendisine McKnight Consulting Group'tan William McKnight ve IDERA'dan Kim Brushaber katılıyor.
Şu anda giriş yapmadınız. Lütfen videoyu görmek için giriş yapın veya üye olun.
Eric Kavanagh: Tamam, bayanlar baylar, merhaba ve tekrar hoş geldiniz. Çarşamba günü saat 4'te Doğu Saati, yani Sıcak Teknolojiler için bir kez daha - 2017 yılının son zamanlarından biri - zamanı geldi. Evet, gerçekten benim adım Eric Kavanagh - bugünkü etkinliğin moderatörü olacağım. En azını söylemek gerekirse, çok geniş bir konudan bahsediyoruz. Şu anda öyle görünmüyor - GDPR kavramı, Global Veri Koruma Yönetmeliği. Devam edelim ve tam da buna dalalım, bu seninle ilgili değil, benim hakkımda yeterli. Bu yıl sıcak, çok farklı şekillerde gerçekten sıcaktı, ancak GDPR ve diğer kuruluşlardan gelen yaklaşan düzenlemeler, açıkçası, iş dünyasında olup bitenleri, özellikle de sonuç olarak yeniden düşünmeye zorluyor veya verilerle ilgili olduğu için. IDERA'dan Kim Brushaber ve ayrıca McKnight Consulting Group'tan William McKnight'ı duyacağız.
Elinizdeki konu hakkında birkaç kısa söz var millet. GDPR temel olarak kuruluşların verilere ilişkin önce önce gizlilik ilkesi, hem de ilk önce güvenlik ilkesi olması gerektiğini ve gerçekten de duymuş olabileceğiniz bazı şeylerle ilgilidir - örneğin unutulma hakkının tamamı kısmen ve kısmen bütün bu an ve çok ilginç şeyler. İlkeleri ve ahlakı açısından kesinlikle geçerlidir. Bununla birlikte, gerçek uygulama açısından, bu oldukça ciddi bir zorluktur. Unutulma hakkı, bazı kuruluşların verilerinize, kişisel olarak hassas verilerinize sahip olmasını istemiyorsanız, onlardan kurtulmaları gerektiğini söylüyor. Eh, bu heterojen veri ortamlarından bazılarının ne zaman zor olacağını hayal edebilirsiniz. Verilerinizin kalıcı olduğu her yere ulaşabilmek ve dışarı çekebilmek için, sonuçta olmayacak, sonuçta. Bununla birlikte, kuruluşların bu endişeleri giderebilmeleri için politikalara sahip olmaları gerekmektedir ve eminim ki düzenleyicilerin aradığı şey budur.
Bu çok önemli. Organizasyonun sadece söylerseniz verilerinizi kaldırması değil, aynı zamanda bu veriler üzerinde algoritmalar eğitmiş olmaları da, teknik olarak algoritmaları da yeniden eğitmeleri gerekir. Bu uzun bir emir, size söylemeliyim, ama geliyor, pike düşüyor, gelecek yılın Mayıs ayında bir gerçeklik olacak ve başka düzenlemeler de var. Kanada, geçtikleri antispam yasasına sahiptir, bu kişisel bilgilerle nasıl başa çıktığımız üzerinde bir etkidir. Net tarafsızlık şimdi pike düşüyor, elbette kökten sökülüyor ve bu bazı şeyleri değiştirecek. Yönetim kurulunda ve tüm dünyada işletmeleri etkileyen, büyük kuruluşların gerçekten düşünmeye ve kendilerini hazırlamaya ihtiyaç duydukları bu çok ciddi düzenlemelerin çoğu vardır.
Bunun için, ne düşündüğünü ve GDPR'nin aslında buzdağının sadece görünen kısmı olduğunu bize bildirmek için McKnight Danışmanlık Grupları'ndan William McKnight çevrimiçi. Bununla, William, sana teslim edeceğim. Götürün.
William McKnight: Teşekkürler, Eric, ve dediğin gibi, slaytın dediği gibi, bu GDPR belki de buzdağının görünen kısmı - kesinlikle bizim düşündüğümüz bu. GDPR'ye derinlemesine dalmamız önemlidir çünkü bence başa çıkmak zorunda olduğumuz borudan inen bir düzenleme dalgasını temsil ediyor. Neyse ki Eric, unutulması gereken bazı makul standartlar var. Ancak yine de, bu yıl yürüyüşümde GSYİH'dan bahsederken, bunun için henüz hazır olmayan birçok firma, özellikle de ABD firmaları olduğunu düşünüyorum. Kesinlikle sıcak ve kesinlikle bir yıl önce düşünmediğimiz bir şey, sadece bazı şeyleri balonlamayı denedikleri zaman, ama şimdi bu bir düzenleme ve bununla başa çıkmak zorundayız, dediğin gibi Eric, May doğru geliyor burada - o kadar da uzakta değil.
Biraz benim hakkımda, veri perspektifinden buna geleceğim. Size bilgi vermek için, 19 yıl boyunca veri alanında bir hayat boyu veri sahibiyim ve danışmanlık yapıyorum ve GDPR çok fazla veri ile ilgili. Veri yönetimi konusundaki sunumuma girerken burada bir çözüm grubu oluşturacağım. Açıkçası, çok fazla veri yönetişimi programı yapıyorum ve bu kavramla uyumlu olursanız, bazı veri yönetişimi yapıyorsunuz, çok fazla şirket yolun oldukça aşağısında olacak aslında, GDPR uyumluluğuna, ancak açıkçası yönetişimde ve dolayısıyla GSYİH hazırlıklarında oldukça geride olan çok şey olacak. Burada ayarlayalım ve GDPR'nin ne hakkında olduğunu anlayalım ve konuşmaya derinleştikçe, yeni yıla ve ötesine ilerlerken GDPR'nin iş hayatı üzerindeki etkilerinin daha fazlasına gireceğiz.
GDPR, Avrupa Birliği vatandaşlarının veri gizliliği içindir. Bu bir düzenleme - dişleri olduğu, uygulanabilir olduğu anlamına gelir. Bu bir öneri olarak ortaya konan bir şey değil - zaten oldu ve şimdi cezalarla bir yönetmelik haline getirildi. Cezalarla başlamayı seviyorum çünkü bu gerçekten insanların dikkatini çekiyor. Bunlar sert cezalardır. İki ceza var, bir işletme güvenlik yükümlülüklerine uymazsa dünya çapında yıllık gelirin yüzde 2'si veya 10 milyon euro var, ancak diğer her şey, diğer hükümleri ihlal ederek - ve ben bunlara gireceğim - bu yüzde 4. Bunu yaklaşık yüzde 4 oranında duyduğunu duyuyorsun. Ve bu arada, yüzde 4 veya 10 milyon euro, hangisi daha büyükse. Bu çok sert. İnsanlar bu konuda çok ciddi. 25 Mayıs 2018'den itibaren uygulayın - bu önemli bir tarih, denetimlerin başlayabileceği, işte o zaman para cezanızı alabilirsiniz. Kesinlikle buna hazır olmak istiyorsunuz. Karşılaştığım her şirket, bir çok Global 2000 şirketi ile uğraşıyorum, GDPR hazırlıklarında bir yerlerde, bazıları diğerlerinden daha fazla ve bazıları bu noktada diğerlerinden daha fazla olmalı. Tabii ki, bazıları için bu tarihi karşılamak zor olacak ve göreceğiz.
Bugüne kadar gördüğümüz en kapsamlı veri gizliliği uyum rejimi. Daha sert bir şey gördüğümüzde veya belki de ABD nüfusunu daha doğrudan etkileyen bir şey göreceğimizde, kim bilir, ama o dışarıdadır ve kesinlikle uyulması gerekir. Kuruluşların UE vatandaşı PII'sinin ne olduğunu anlamalarını gerektirir - PII hakkını biliyoruz - kişisel olarak tanımlanabilir bilgi, sosyal güvenlik, telefon numarası, adres, bir kişiyi benzersiz bir şekilde tanımlayabilen veya bir kişiyi oldukça benzersiz bir şekilde tanımlayabilen şeyleri. Sahip oldukları ve nasıl kullandıkları. Bu envanter anlamına gelir. Bu, kendi şirketlerinizde bu tür veriler etrafında düzenleme anlamına gelir. Bu arada, ABD'nin ülke çapında herhangi bir veri koruma yasası yoktur. ABD her zaman - arkada söyleyeceğim, perspektife koymak için - bu tür bir düzenleme açısından Avrupa'nın arkasındaydı ve bu devam ediyor. Bu GSYİH ile devam ediyor, bu oldukça açık. Bazılarınız gizlilik kalkanı hakkında bilgi sahibi olabilir, bunu merak ediyor olabilirsiniz. GDPR'de gizlilik kalkanı ile örtüşen yaklaşık üç veya dört hüküm var, ancak GDPR'de yüz hüküm var, bu yüzden bundan çok daha fazlası ve elbette hala geçerli ve ABD ve AB veri alışverişi ile ilgili sadece önemli olmasına rağmen.
Yine sayılarla başlamak istiyorum. Para cezalarını duydunuz, buna nasıl hazırlandığınız hakkında. GSYİH için bütçeleme ve bazılarını yapmak, bu birkaç faktöre bağlıdır. AB vatandaşları hakkında topladığınız PII verilerinin miktarı. Hiçbirini toplamazsanız, tamam, muhtemelen uyumlu olursunuz ve bununla uğraşmak zorunda kalmazsınız, ancak muhtemelen bu çağrıdasınız çünkü bazı yerlerde toplarsınız. Şirketinizin büyüklüğü ve veri yönetişiminizin vadesi, daha önce de söylediğim gibi, bu GSYİH'ya yanıt vermek için yapmanız gerekenler ile ilgili olabilir. Durum olarak, uyumluluk için birkaç milyon USD veya avro bekleyebilirsiniz. Bununla birlikte, sadece GDPR'ye uymak istemiyoruz, bu kutuyu işaretlemek için elbette bunu yapmalıyız. Umarım, o kutuyu işaretlemek için umutsuz olduğunuz o direr durumda değilsinizdir. Ticari faydalar arayın çünkü GDPR'yi desteklemek için yaptığınız pek çok şey işletmeniz için iyidir. Veri yönetişimi işletmeniz için iyidir. PII verilerinin miktarı söz konusu olduğunda, bazıları diğerlerinden daha önemlidir, bazıları veri ile ilgili sağlık gibi diğerlerinden daha fazla incelenecek, GDPR altında diğer veri türlerinden çok daha katı bir şekilde düzenlenecek ve uyumluluk gerekecektir bütçenizi artıran veri koruma etki değerlendirmeleri yapmak gibi ek yükümlülüklerle.
Bütçeleme hakkında biraz orada. İngiltere veya ABD'deyseniz ve bunun sizi nasıl etkilediğini merak ediyorsanız - GDPR, 29 Mart 2019'a kadar hala AB'de bulunan ve hükümeti GDPR gibi bir şeyin devam edeceğini belirten İngiltere'yi etkiliyor o tarihten sonra “Bu iyi bir fikir.” İngiltere şirketleri buna uymak zorunda. İngiltere vatandaş verileri bunun için kesinlikle masada. Açık değilse, ABD merkezli işletmeler var, eğer AB'de AB vatandaş verileriyle uğraşıyorsanız, bu kesinlikle sizin için geçerlidir. Bunun veri mimariniz üzerinde sonuçları vardır, çünkü AB verilerinizi her şeyden ayırmanız ve farklı şekilde ele almanız gerekebilir. Eric'in dediği gibi, bu analitiği nasıl derlediğinize dair analitiği etkiler. Artık her türlü konsept çapında, küresel çapta analitiğin başlatılması daha zor olabilir. GSYİH'nin bir sonucu olarak daha yerel hale gelebilirler.
Hükümler nelerdir? Veri koruma standartları vardır. Bunların tümü, hareketsiz ve hareket halindeki verilerin şifrelenmesini gerektirir. Şimdi şifreleme hakkında konuşacağım. Veri ihlali bildirim standartları vardır. Artık aylarca beklemek yok, çeyrekler herkesi bilgilendirmek için bekliyor. Geçen gün büyük bir tane olduğunu düşünüyorum ve “Oh, bir yıl önce oldu” diye öğrendik. GDPR ile bunların hiçbiri - 72 saatiniz var. Bu bir isim ve utanç politikası. Umarım kimse buna ulaşmaz, bazı insanlar açıkça görecektir. Tabii ki GDPR'den sonra bile ihlaller devam edecek. Verilerin yerini ve kalitesini izlemek için süreçler vardır. Kulağa tanıdık geliyor mu? Bu gerçekten veri yönetiminin kalbidir. Umarım bunlardan bazıları vardır.
Eric'in de belirttiği gibi AB vatandaşlarının unutulma hakkı var. Bunun için bazı makul standartlar var, Eric. Her şeyi mutlaka yok etmek zorunda değilsiniz, eğer o müşteriyle, o çalışanla yeniden iletişim kurmanız gerekirse, kişisel verilerinin belirli yönlerini tutmanıza izin verilir. Ancak, yine de, bu vatandaşların unutulma hakkı vardır, ancak orantısız bir çaba olamaz - dil bu - sizin üzerinizde veya şirkete zarar verir, bu verileri yok etmek sizin üzerinizde. Bunu küçümsemek istemiyorum, ancak tutulan kişisel verilerin kopyalarını da yayınlamanız gerekiyor ve bu verileri yalnızca rıza altına alabilirsiniz. Bu izin, bu izni vermek için asgari yaştaki kişiler tarafından verilmelidir. Bu bir ağız dolusu, ama vatandaşlara verileri üzerinde çok fazla hak veriyor. Bu, orada olması ihtimaline karşı taşınabilirliktir. Unutulma hakkı, açıkça, ama aynı zamanda - ve benim slaytımda olmayan çok önemli bir şey - veri sahibinin sadece otomatik işleme dayalı bir karara tabi tutulmaya hakkı olacaktır. Neye zorlandık? Otomatik işleme, kredi kabulü, ne gibi teklifler vereceğimiz, bunların nasıl oynayacağı ve bunun ne kadar ilerleyeceği açısından ele alınması gerekiyor. Bunun aslında söylediği şey, neden reddedildiğim, neden bu şirket tarafından belirli bir şekilde muamele gördüğüm konusunda şeffaflık. Bu bir AB vatandaşına tanınan bir hak.
Açıkçası, nasıl iş yaptığımız konusunda bazı sonuçlar var ve umarım GDPR'nin bir BT sorunu değil, yalnızca BT sorunu olmadığını görüyorsunuz. Tüm bu iş süreçleri söz konusudur. Şirketin her yerinden insanları kapsayacak. 250'den fazla çalışanı olan şirketler için bir veri koruma görevlisi atanması önerilir ve “AB PII verileriyle kritik matematik” e sahipsiniz. Bu kritik matematik bilgisine sahip olup olmadığınıza kendiniz karar verebilirsiniz, bazen açıktır, bazen değildir. Ancak, yeni bir rol var - tam zamanlı bir rol olmak zorunda değil, kişinin başka sorumlulukları olabilir, ama bilmiyorum - bazı orta büyüklükte ve daha büyük şirketlerde, GDPR'ye bağlı kalmanın hemen hemen tam zamanlı bir role yakın olmak. Bu şekilde başlayın ve başa çıkıp çıkamayacağınızı görün. Özellikle gelecek yıl boyunca, GDPR etrafında bir araya geldiğinizde, yerleştikten sonra, belki de bu konudaki çalışmaları yavaşlatabilirsiniz, ancak bazı şirketleri biraz zaman alacaktır. Daha önce de belirttiğim gibi, bireylerin kendi verilerini ve veri taşınabilirliklerini görmelerine izin verin.
Bu arada hepsi yeni değil, ama unutulma hakkı aslında oradaydı, ister inanın ister inanmayın. Mevcut AB kuralları zaten kişisel verilerin silinmesini veya kullanılamamasını sağlamaktadır. Ancak, şimdi GDPR'nin bir parçası, çok daha geniş çapta uygulanacak. Veri şifreleme - verilerinizi beklemede şifreleyin. Standart şifreleme yöntemlerini kullanın, kendi oluşturduğunuz veya standart olmayan şifrelemenizi kullanmayın. AES biraz tavsiye ediyoruz. Kriptografik olarak güvenli şifreleme anahtarları kullanın. Bu tuşları periyodik olarak değiştirin. Ayrıca bu anahtarların kaybolmasını önleyin. Bunlar sadece iyi şifreleme uygulamaları, ama şimdi GDPR ile ön plana çıkıyorlar. Sorun burada yatıyor - sadece buzdağının ucuna vurdum. Açıkça bakılması gereken daha fazla hüküm var, ancak bunlar ana hükümler.
Şimdi, çözüm. Veri yönetişimi, uyumluluk çerçeveniz, en azından burada ortaya koyduğum bakış açısı. Neyse ki, olgunlaştığında, gereksinimlerin çoğunu karşılayabilecek ve yapabilen aktif, iyi topuklu bir disiplin var ve bu veri yönetişimi - açıkçası söylüyorum. Yönetişim programlarının veri sözlüğü olması gerekir ve burada genel olarak veri sözlüğünü süreçleriniz için genel olarak dokümantasyon anlamına geliyor. Gördüğümüz gibi oldukça büyük olan GSYİH'nın envanter ihtiyaçlarını karşılamak için bu temeldir. Program, yönetişim programı, veri güvenliği protokollerini kolaylaştırmalıdır - ve bunun altını çiziyorum çünkü bu, birçok veri yönetişimi programının şu anda yaptığı bir şey değil, ancak bunun yapılması için mantıklı bir yer olduğunu düşünüyorum çünkü işletme sahibi kim olduğunu belirleyen program üzerinde oturan? Kim görmeli? Ve bir sonraki adım bu izinleri vermektir. Bu merkezileştirilmeli, resmileştirilmeli. Kullanılan iç politikaların olması gerekir. Yukarıdakilerin tümüne girdi sağlamak için tüm unsurlara yönetim atanmalıdır. Veri yönetişimi, gerekli olacak iş süreci mühendisliğinin de kolaylaştırıcısı olabilir.
Bu slayttan ayrılmadan önce, ağır para cezalarından kaçınmak için şirketler sağlam iş uygulamalarını bir yan ürün olarak benimseyecekler. Bunun bir yan üründen daha fazlası olduğunu söylemek isterim, ama aslında sizi yeni yerlerde iş perspektifinden yönlendirebilecek iyi, sağlam bir iş. Elbette, tüm veri girişimlerini yapmak için çok fazla verimlilik elde edersiniz, eğer sağlam veri yönetişiminiz varsa, yıllar boyunca gördüğüm şey budur. Bahsettiğim bazı şeyleri veri yönetimine ekleyerek, sadece daha iyi olacaklar. İş süreç mühendisliğinizde, bu soruları tahtada sormanızı, her iş alanına çarpmanızı öneririz. AB müşterilerimiz hakkında ne tür veriler topluyoruz? Hepsini okumam. Burada anahtar olanlardan bazıları. Bu verileri kimin görmesi gerekiyor ve bu takip ediliyor mu? Bu veriler için veri sorumlusu kim? İnţteki benim go-to kiţim kim? Bu büyük bir şey: Bu verileri üçüncü taraflarla paylaşıyor muyuz? Üçüncü bir tarafa verdiğiniz için, bu verilerle ilgili sorumluluğunuzu mazur görmez - bu hala sizin verilerinizdir, yine de topladığınız verilerdir. GDPR'nin bir sonucu olarak şu anda ayrıntılı olarak incelenen birçok üçüncü taraf sözleşmesi var. Bu sistemlerde belirleyici başarısızlıklar var mı? Yani başarısız olduklarında, önceden belirlediğimiz bir yola giriyorlar ya da sadece başarısız oldular, çöktüler, yaktılar ve üzerinde sıfırdan kazmaya başladık mı? Açıkçası çok daha iyi olacak. Zaten iyi bir uygulamadır, ancak sisteminizde büyük belirleyici başarısızlıklarınız varsa, bu şeylerin bazılarını tersine mühendislik için çok daha iyi.
Veri saklama, sonsuza dek veri saklama hakkında konuşuyorduk. Birçok şirketin politikaları var, ancak hepsi onları takip etmiyor. Açıkçası, ünlü sağlık ve finans, veri tutmak istiyoruz, belirli bir süre için veri tutmak zorundayız. Yedi yıl boyunca veri tutan ya da olmayan bir şey olan bu firmalardaki bazı analistler, “Ah, o dönemden sonra hala bu verileri istiyorum” diyorlar. Bu şirketlerdeki bazı avukatlar, “Ama ondan kurtulmamız gerekiyor sorumluluk amaçlıdır ”. GDPR ile artık loggerhead'lerde bir sorun olduğu için bu sadece orada oturamaz. Organizasyon içinde yönetim kurulunda tutarlı bir şekilde takip edilmesini sağlamak için saklama süresine sahip olmalıyız.
Son olarak, veri ihlali için nasıl harekete geçersiniz? Başınıza gelebilecek en kötü senaryolar. Açıkçası, onları önlemeye çalışıyoruz, ama ne olur? Şeyle nasıl savaşırsınız ve cevabınızdaki şimdi GSYİH hükümlerini takip ettiğinizden emin olursunuz? Ben bir veri mimarım, veri mimarisini düşünüyorum. AB operasyonları olan, AB vatandaşı verileri anlamına gelen ABD merkezli bir şirketseniz - veri topluyorsanız, veri koruma standartlarının tüm verilere mi yoksa sadece AB verilerine mi uygulanacağını düşünmeniz gerekir. Evet, bu kararı veren müşterilerim var. Sağlam bir iş pratiği olarak, bunu ABD'ye getirmek isteyebilirler, ancak zamanları varmış gibi hissedebilirler, ancak bu iki numaralı mermiyi getirir. ABD sistemlerinin verileri uygun şekilde ele alacağına dair garanti veremiyorsanız AB verilerini ABD sistemlerinden almanız gerekebilir. Bu, analiz amacıyla verileri ayırıyor mu? Analizleri ülke çapında yapmaya çalışıyorsanız bile geçerli mi? Bazen evet, bazen hayır, değil mi? Sonuç olarak, analizlerinizin sesini kapatacağını görebilirsiniz.
Daha önce de belirttiğim gibi, yapay zeka burada oynuyor çünkü açıkçası, tüm verileri bulmak, tüm verileri bulmamıza yardımcı olmak için AI kullanabiliriz, ancak müşteri arayüzlerimizde AI kullanırsak, şimdi müşterimizle şeffaflık yapmamız gerekiyor arayüzler ve bu AI'nın güçlü kıyafeti olmamıştı. Bir müşteriye, gerçekten yapay zekâ olduğu zaman, “Yalan, filan, filan, çünkü reddedildiniz” demeyi denemek için. Bu şimdi yapılmalı. Yapay zekanın nasıl çalıştığını, faktörlerin neler olduğunu bulmalıyız. Artık orada oturup kara kutu olamaz. Şimdi ne yapacağız? GDPR kartınızı oluşturun. Orada üst düzey gizlilik memurunuz olmasını veya veri koruma memurunuz varsa, o kişi olduğunu öneririm. Veri yönetişimi, operasyonel risk ve / veya uyumluluk başkanları, uygulandıkları takdirde, BT başkanı, eğer CIO ise. Değişen bir yönetim kişiniz varsa, bu orada harika bir kişi olacaktır. Sadece işinizdeki en önemli departmanların bazılarının başkanları ve aynı zamanda İK başkanı da çünkü gizlilik eğitimi çok büyük olacak. Herkes gizlilik eğitimi alacak ya da bir şirket kurarken, danışmanlar bile gizlilik eğitimi alacaktır.
Burada gördüğünüz şeyleri yapmıyorsanız, son tarihi yapmak istediğinizden daha hızlı hareket etmeniz gerekecektir. Ayrıca, denetlenecek ilklerden biri olmadığınızı ummaya başlamanız gerekir, çünkü açıkçası sıfırdan başlıyorsanız ve çok sayıda AB vatandaşıyla uğraşıyorsanız burada çok fazla iş var. DPO'nuzu kiralayın, verilerinizi ve süreçlerinizi envantere alın. Veri yönetimi için bu planı oluşturun, olduğu yerden, olması gereken yere götürün. Durumda olduğu gibi, başlatmak isteyebilirsiniz. Gizlilik politikalarınızı ve politika bildirimlerinizi hazırlayın. Gizlilik politikaları içseldir. Politika bildirimleri harici hale gelir. Politika bildirimleri etrafında oluşturulmaya başlayan bir kültür görüyoruz. Bu politika bildirimleri etrafında pek çok karşılaştırma yapılmış ve çok dikkatli ifadeler yapılmıştır. Yeni sistemler de dahil olmak üzere tüm sistemler için bir GDPR uyumluluk kontrolü yapın. Bunları sıralamanız ve bir tür önem sırasına göre yapmanız gerekebilir, ancak bu sorunu çözmenin başka bir yoludur. Sistemlere ve ne yapmaları gerektiğine ve bu verileri nasıl ele aldıklarına bakın.
GDPR neyi işaret ediyor? Biraz daha fazla konuşmak için buradayız. Kim'in bu konuda söylediklerini dört gözle bekliyorum. GDPR, veri gizliliği kontrollerinde düzenlemeye doğru bir kaymadır. Şeffaflık yönünde bir eğilim, hükümlerde doğru olduğunu söylüyor. Bahsettiğim gibi, bu gizlilik bildirimleri kültürünü yaratıyoruz, bu şimdi bir şey. Gizlilik bildirimleri vb. İle ilgili konferansları göreceğiz. GDPR değişimi insanların temel haklarına yöneliktir. Açık sorular üzerinde durulacaktır. Açıkça açık sorular var, bizim için birkaç masayı burada bıraktım. Kimse cevap vermiyor. Çalışacaklar. Bireylerin verileri ve nasıl kullanıldığı hakkında daha iyi bir anlayışa doğru bir eğilim. Bence bu, AB nüfusu arasında verilerinin önemi ve kişisel varlıklarından biri olarak daha fazlasını yönetmeleri gerektiğini görmek konusunda farkındalığı artırdı. Gördüğüm ilk işaretlerden bazıları bu ve Eric, şimdi size geri göndereceğim.
Eric Kavanagh: Pekala, anahtarlarını bazı perspektiflerini paylaşabilen Kim'e bırakmama izin ver, ama bence bu iyi bir genel bakıştı, William ve kilit noktalara çarptın - yani bu kesinlikle pike'den aşağı iniyor. ve hepimiz çok dikkatli olmalıyız, açıkçası. Bununla, anahtarları Kim'e vereyim ve ekranınızı paylaşabilir ve oradan alabilirsiniz.
Kim Brushaber: Hey, beni duyabiliyor musun?
Eric Kavanagh: Seni duyabiliyorum.
Kim Brushaber: Harika. William, ele alacağım aynı şeylerden bazılarını ele aldı, ama bence tekrar ele almaya değer çünkü gerçekten önemli. Yeni düzenlemeler geçtiğinde, bir çok farklı insanın bakış açısını ve yorumunu elde etmenin gerçekten iyi olduğunu düşünüyorum, böylece bir şey zihninizi kıvılcım haline getirir ve daha uyumlu hale gelebilmenizi sağlar. Bu çağrıda bulunan ve daha fazla bilgi edinmek isteyen herkes tarafından cesaretlendirildim çünkü 25 Mayıs'ta geleceğini düşünüyorum, takip edilen şirketler için uyumsuzluk için çok fazla panik olabilir.
Benim adım Kim Brushaber, IDERA'nın kıdemli ürün müdürüyüm. Altımda GDPR uyumluluğuna ve diğer düzenlemelere yardımcı olan birkaç ürünüm var. Bazı bilgilere atlayacağım. Bazı gerçekler ve bazı rakamlarla başlayacağım ve sonra GDPR ve daha sonra özellikle araçlarımızın size nasıl yardımcı olabileceği hakkında biraz konuşacağım. Bir gerçek, her gün 5 milyondan fazla veri kaydının kaybolması veya çalınmasıdır. Bunun haberlerde bildirildiğini duymuyoruz, bunun başka yerlerden geldiğini duymuyoruz, ancak her zaman çalınan, altımızdan 5 milyondan fazla veri kaydı var. Saldırganların ağınızda hareketsiz kaldığı ortalama gün sayısı 200 gündür. Birçok sistem, zaten - çoğunlukla güvenlik ve sertifikalar dahil olmak üzere - bilgilerinizden yararlanmak için fırsat beklemekte olan - kötü niyetli niyetleri olan - zaten sızmış durumdalar. Bu nedenle veri güvenliğinizle başa çıkmak gittikçe daha önemli hale geldi. 2020'de ortalama tek veri ihlali maliyetinin, daha fazla iş altyapısı çevrimiçi kaynaklara bağlandıkça ve bulutta daha fazla şey arttıkça 150 milyon doları aşacağı tahmin ediliyor. Veri güvenliği konusunda gerçekten endişeleniyorsanız, yönetici ekibinize vermek, bunun ciddi bir mesele olduğunu ve ileride bize çok paraya mal olabileceğini söylemek için iyi bir bütçe numarası.
Kısaca Equifax veri ihlalini ele alacağım çünkü 2017'nin en büyük veri ihlali olduğunu düşünüyorum, bunun içinden geçmenin nasıl bir şey olduğunu resmedelim. İhlal 145.5 milyon müşteriyi etkiledi. Çalışanlar, ihlallerin gerçekleşmesinden iki ay önce web uygulamalarıyla ilgili güvenlik sorununu kabul ettiler. Çalışanlar “Bu bir sorundur” diyordu. Ve bundan biraz önce bile, yama gerçekten ortaya çıktı. İhlalin yanıtlanması ve web uygulamasını çevrimdışına alması tam bir gün sürdü. Equifax'in tanımlanmış bir veri güvenliği protokolü olmadığından, neler olup bittiğini anlamaları ve ardından sistemi çevrimdışına almaları önemli bir zaman aldı. İhlalden altı hafta sonra halk uyarıldı. GDPR ile - yukarıda belirttiğimiz gibi ve tekrar söyleyeceğim - 72 saat içinde rapor vermelisiniz ve Equifax ellerini bağlamak zorunda kalacaktı ve altı ay boyunca bildirmek için bekledikleri için bu uyumu karşılayamayacaktı. İhlale cevap verecek iletişimde Equifax'a ait olmayan bir web sitesi de vardı. Equifax, alan adlarında bile olmayan bu tweet'i kendileri retweetliyorlardı - etraftaki bazı kelimeleri tersine çevirmişlerdi. Neyse ki, bundan yararlanan kötü niyetli bir site değildi, ancak açıkçası hazır değildi. Bir planları yoktu ve bu halka açık alanda çok farkına vardı. Equifax yalnız değil - 2017'de şu ana kadar 25'ten fazla siber profil saldırısı var ve yıl sonundan önce daha fazlasını bulabiliriz. Şirketler gerçekten bunu ciddiye almaya başlamalıdır, çünkü insanlar dışarıdadır ve onlara size gelmek için bir neden verirseniz, bununla başa çıkmaya hazır olsanız iyi olur.
Bireylerin veri güvenliğine nasıl baktıklarına ilişkin diğer bazı veriler ve rakamlar. 2020 yılına kadar evimize, giyilebilir cihazlarımıza, telefonlarımıza, tabletlerimize ve önümüzdeki yıllarda başka neler gelebileceğini bilen 30 milyar cihaz internete bağlanacak. Bu saldırılara karşı savunmasız kalan çok sayıda cihaz var. Amerikalıların yüzde kırk dokuzu kişisel bilgilerinin beş yıl öncesine göre daha az güvenli olduğunu düşünüyor. Amerika'daki tüketicilerin yüzde yetmiş üçü şirketlerin kişisel verileri hakkında şeffaf olmasını istiyor. İnsanların yüzde yetmiş sekizi, bilinmeyen bağlantılara ve e-postalara tıklamanın risklerinin farkında olduğunu iddia ediyor, ancak yine de bu bağlantıları tıklıyorlar - bu, nüfusumuzun dörtte üçünden fazla ve hala bağlantılarına tıklıyorlar. bir sorun olabileceğini biliyorum. İnternet kullanıcılarının yüzde seksen altısı aktif olarak dijital ayak izlerinin görünürlüğünü en aza indirmeye, anonimleştirmeye ve gizlemeye çalışıyor. Üvey babam, formları doldururken dışarı çıkmayı ve sahte isimler oluşturmayı seviyor çünkü onu anonim hale getirdiğini düşünüyor, ancak IP adresinin de izlendiğini çok az biliyor. Bir sürü bireysel endişe var ve GDPR düzenlemelerinin çoğunu ve muhtemelen takip edecek ek düzenlemeleri ortaya çıkaran şey bu.
Veri güvenliği endüstrisi gerçeklerine göre, 2016'daki ihlal veri kayıtlarının yüzde 90'ı devlet, perakende ve teknolojiden geldi. Siber saldırıların yüzde kırk üçü küçük işletmelere saldırdı. “Oh, ben büyük bir adam değilim, onlar benim peşimden gelmeyecekler” diye düşünürseniz, neredeyse yarısı küçük işletmelerin peşinde. Sağlık sektörünün yüzde yetmiş beşi geçtiğimiz yıl kötü amaçlı yazılım bulaşmıştı. ABD petrol ve gaz şirketlerinin yüzde yetmişi geçen yıl saldırıya uğramıştı. Bu, faaliyette olan çeşitli endüstriler üzerinde önemli bir etkidir ve bu sayı sadece buradan yukarı çıkacaktır.
Yönetici perspektifinden baktığınızda, CIO'ların yüzde 90'ı yetersiz siber güvenlik nedeniyle milyonlarca doları boşa harcadığını itiraf ediyor. Yüzde doksan aynı zamanda saldırıya uğradıklarını ya da şifrelemelerinde saklanan adamlar tarafından saldırıya uğradıklarını söylüyor. Yüzde seksen yedi, güvenlik kontrollerinin işlerini koruyamadığına inanıyor. CIO'ların yüzde seksen beşi anahtarlarının ve sertifikalarının kötüye kullanılmasının kötüye gitmesini bekliyor. Bu, bu veri güvenliği sorununa bakan çok sayıda şirket ve gerçek şu ki, birçoğunun, gerçekleştiğinde bile, bununla başa çıkabilmek için bile çok iyi çözümleri yok. olacaktır.
Hazırlığına baktığımızda, 2014 yılında, binyılların yüzde 70'i BT politikalarını ihlal ederek işletmelerine dış uygulamalar getirdiklerini itiraf etti. Yüzde yetmişi kabul etti - muhtemelen bundan daha büyük bir sayı var, aslında bunu yaptı. 2016 yılında başarılı siber saldırılar geçiren kuruluşların yüzde elli ikisi 2017'de güvenliklerinde herhangi bir değişiklik yapmadı. Bir kez saldırıya uğramış olsalar bile, hala duvarlara çıkmadılar ve onlar kadar savunmasızlar. saldırıdan önce. Bu, şirketlerin kendilerini bu şeylere hazırlamak için ne yapmaya başlaması gerektiğini gerçekten soruyor. Küresel örgütlerin yüzde otuz sekizi karmaşık bir siber saldırıya hazır olduklarını iddia ediyor. Bu iyi - neredeyse yarısı orada ve bu konuda cömert davranıyorum, gerçekten sadece üçte birindeyiz, ama hala en azından yarısı var, “Hazır değilim. Saldırıya uğrarsam hazır değilim ve bilgisayar korsanları bunu biliyor. ”Örgütlerin yüzde otuz sekizininde siber olay müdahale planı var. Çoğu şirket, ne yapacaklarını bilmedikleri Equifax ile aynı gruptadır. Eğer bunu elde ederlerse, tepki vermek ve bu şeyleri anında ortaya çıkarmak zorunda kalacaklar ve GDPR gibi düzenlemeler, “Bunları yerinde tutmalısınız. Onları yayınlatmalısınız. Bunu güvenlik denetçilerine kanıtlamanız gerekiyor. ”Umarım böyle etkilerle, bunun gibi düzenlemelerle, bu eğrinin önüne geçebiliriz ve gerici olmak yerine, çabalarımızda proaktif olabiliriz.
GDPR hakkında biraz konuşalım. William'ın bir kısmı zaten kaplamıştı, ama devam edip tekrar ele alacağım, sadece benim almamdan, sesimden, perspektifimden. Konuştuğum birçok şirket, “ABD'deyim, neden bu AB düzenlemesini bile önemsemeliyim?” Gibi. Daha fazla insanın vızıldamadığı ve daha fazla insanın konuşmadığı gerçeği sadece AB üyelerinin bundan etkilendiğini düşünüyorlar, ancak size sorarım, eğer bu listeye bakarsanız, bu verilerden herhangi birini AB üyelerinden toplar mısınız? Bu bilgilerden herhangi birini toplarsanız, GSYİH'nın sınırlarına ve ayrıca uygun olmama cezalarına tabi olursunuz. Sana bunu bir tür emip anlamanız için bir saniye vereceğim. William'ın daha önce de belirttiği gibi, bunlar GDPR'nin 83. Maddesinde atıfta bulunulan cezalar ve yaptırımlardır. Başlangıçta elinize bir tokat atabilirsiniz, “Hey, harekete geçin. Bunu yerine koyun. ”Ama gerçekten büyük bir ihlaliniz varsa - ve bunun ne kadar büyük bir anlaşma olduğuna bağlı olarak - geri ödeme için size geri dönecekler ve bu önemli bir sayı. 10 milyon değil, 20 milyon euro veya önceki yıla göre cironuzun / gelirinizin yüzde 4'ü. Bu çok para. Yönetici ekiplerinize gidip “Bu, ciddiye almaya başlamamız ve harekete geçmemiz gereken bir şey” demek için çok fazla bütçe var.
5. maddede ana hatlarıyla belirtildiği gibi, GDPR ilkelerinin bir kısmını gözden geçireyim. Söyledikleri şeylerden biri, kişisel verilerin yasal, adil ve şeffaf bir şekilde işlenmesi gerektiğidir. Bu, halkın verileriyle ne yaptığınızı bilmek istediği anlamına gelir. Bu konuda şeffaf olun ve yayınlanması gerekiyor. Çoğu kişi şartlar ve koşulları okumaz, ancak bu, iletişim kurabilmeniz gereken yeni bilgilerdir, böylece onlara “Verileriniz uygun şekilde işleniyor” diyebilirsiniz. Kişisel veriler, açık ve meşru amaçlar. Bu, umarız, şirketlerin size ne kadar ilginç olabileceğinizi söyleyen bir sınav için bilgi topladıklarını ve gerçekte verilerinizi alıp başkalarına sattıklarını söyleyen bu spam'den bazılarından kurtulabileceğimiz anlamına gelir., amaçları ne olursa olsun kullanabilmek. Şirketler artık çok daha sorumlu olmalı ve bilgilerinizi tam olarak ne için kullandıklarını söylemelidir. Ayrıca kişisel verilerin yeterli, alakalı ve gerekli olanla sınırlı olması gerektiğini söylüyorlar. Birçok şirket tüm bilgilerini almayı ve büyük bir veri havuzuna koymayı sever ve daha sonra bu bilgilerle ne yapmak istediklerini anlar ve gerekenden çok daha fazlasını toplarlar. Bu, onu toplayamayacağınız ve başka bir yerde kullanamayacağınız anlamına geliyor. Ayrıca her şeyi toplayamazsınız ve daha sonra yararlı bulabileceğinizi umabilirsiniz. Bilgileri neden topladığınız konusunda çok açık olmalısınız ve bu bilgileri topladığınız verilerle ilgili olmalıdır.
Kişisel verilerin de doğru ve güncel tutulması gerekir. Kullanıcılara, verileri topladıktan sonra güncellemelerinin yollarını vermelisiniz; geri dönüp “Kişisel olarak tanımlanabilir bilgiler hakkında bana sorduğunuz bir ankette bu fikre sahip oldum ve geri dönmek istiyorum ve bunu değiştirmek ve şimdi güncellemek istiyorum” diyebilmeleri gerekiyor. onlara bunu yapabilmeleri için bir yol vermek. Kişisel veriler, veri konularının gerekenden daha uzun süre tanımlanmasına izin verecek şekilde tutulmalıdır. William'ın görüşüne geri dönersek, bu bilgileri sonsuza kadar toplayamayacağınız - geçerli ve gerekli olduğunu düşündüğünüz şeyi bulmanız gerekir ve bundan sonra verileri temizlemeniz gerekir. Ayrıca, yetkisiz veya yasa dışı işleme, kazara kayıp, imha veya hasara karşı koruma da dahil olmak üzere uygun güvenliği sağlayacak şekilde işlenmelidir.
Daha önce de söylediğim gibi, bu konuda gerçekten ciddi olmanın zamanı geldi, bu veri ihlallerini durdurduk, çünkü şirketinize veri ihlalleri ve gelir kaybı ve süreçlerinizi destekleme maliyeti şeklinde gelen yaralanmanız olmayabilir., ancak GDPR'den size bir yığın para cezası verebilirsiniz. Bu konuda gerçekten çok ciddi olmaya başlamanın zamanı geldi ve bence GDPR yürürlüğe girdikçe şirketler zor gerçeklerle karşı karşıya kalacaklar ve neyse ki bugün çağrıda bulunanlar bunu düşünmeye başlayabilir ve bunları nasıl eyleme geçireceksiniz.
GSYİH ayrıca bireylerin haklarının ne olduğu hakkında çok konuşur; gerçekten bireysel kullanıcıları arıyor. İlk şey, kişisel verilerinize erişme hakkıdır. Kullanıcıların, kişisel olarak tanımlanan bilgilere kadar, kendileri hakkında hangi bilgileri topladığınızı bilmeleri gerekir ve bu bilgilere erişebilmeleri için onlara bir yol vermeniz gerekir. Düzeltme hakkı da var, bu da “Benim hakkımdaki bilgileri düzeltebilmem gerekiyor” demenin süslü bir yolu. Silme hakkı - ki yine, birçok insan hak hakkı olarak ifade ediyor unutulmalıdır - eğer bir kişi, “Biliyor musunuz, artık süper eğlenceli bir adam çizgi roman koleksiyoncusu olduğumu bilmenizi istemiyorum, bundan kurtulmanız gerekir. Bu konuda bana alay eden ve beni listenden tamamen silinen bazı arkadaşlarım var ”dedi. İşlemenin kısıtlanması hakkı da vardır ve bu, kullanıcıların bilgilerinin işlenme şeklini sınırlayabileceği anlamına gelir. “Yeni bir araba satın aldığım için bilgilerimi almanıza aldırmıyorum, ancak yeni arabaları her çıkardığımda bana e-posta göndermek ve yeni fırsatlara spam göndermek için bu bilgileri kullanmıyorum.” Diyebilirler. veri taşınabilirliği hakkı, bu da kullanıcıların verilerinin bir kopyasını alabilmeleri ve başka bir yere götürebilmeleri gerektiği anlamına gelir. Birçok kuruluş bilgi toplar ve bu bilgilerin bir yapışkanlık faktörü vardır ve şimdi bireyler “Biliyor musunuz, tüm bilgilerimi almanızı istiyorum ve şimdi bunu rakibinize vermenizi istiyorum, böylece taşıyabilirim. bitmiş."
Bunu nasıl yapabileceğiniz ve hangi bilgileri toplamak ve göndermek istediğiniz konusunda bir kuruluştan düşünülmesi gereken çok şey var. İtiraz etme hakkı da vardır ve kullanıcılar verilerinin işlenmesine de itiraz edebilir. Yalnızca otomatik işleme veya profil oluşturmaya dayalı bir karara tabi tutulmama hakkı. Bu, B2B pazarlaması üzerinde önemli bir etkiye sahiptir - orada oturuyorsanız ve A / B testi yapmaya ve tanımlamaya çalışıyorsanız, Colorado'nun California'dan bir mesajdan daha fazla etkilenecek olması, bir kereye bakarak profil oluşturdunuz. ve bir bireyin bundan nasıl vazgeçebilmesi gerektiğine bakmalısınız.
Veri ihlali kadar gelen bazı korkutucu şeylere ve insanların verilerine nasıl baktığına ve omuzlarımızın üzerine dökülen bu büyük düzenlemeye sahip olduğumuza göre, şimdi size vermek için buradayım IDERA'nın nasıl yardımcı olabileceğine dair çözüm. Madde 15, kişisel verilere maruz kalmanın nasıl kontrol edileceğinden bahseder. Verilerinize kimlerin eriştiğini bilmelisiniz. Nasıl kullanıyorlar. Ne kadar veri işlendi ve ürün yöneticisi olduğum SQL ürünleri Uyum Yöneticisi, verilerinize kimin ve nasıl eriştiğini görmenizi sağlar. SQL Uyumluluk Yöneticisi, SQL Server çözümleri içindir. Bir SQL Server veritabanınız varsa, GDPR ile uyumlu olabilmeniz ve tam olarak nasıl kullanıldığını bilmeniz için bu ürünü denetleyip bu bilgilere bakabilmek için bağlayabilirsiniz. Veri ihlallerini gerçekleşmeden önce de görebilirsiniz, ben de başka bir slaytta bundan bahsedeceğim. Ayrıca “İşleme faaliyetlerinin kaydına ihtiyacım var. Oturum açmam gerekiyor ve işlemleri izlemem gerekiyor ve kişisel verileri kimin işlediğini ve bu sistemlere kimlerin erişebileceğini bilmem gerekiyor. ”SQL Uyumluluk Yöneticisi, güvenlik, DDL, DML de dahil olmak üzere sunucuların ve veritabanlarının denetlenmesini ve hassas verilerin tanımlanmasını sağlıyor . SQL Uyumluluk Yöneticisi, güvenlik erişimini denetlemenize ve bir girişimi günlüğe kaydetmenize olanak tanır; böylece, kimin bilgilere eriştiğini ve kimlerin oturum açtığını, ayrıcalıklı bir kullanıcı olup olmadığını, bilinen bir kullanıcı olup olmadığını veya kötü amaçlı bir kullanıcı olup olmadığını görebilirsiniz.
33. madde, bir vizörün yetkiliye kişisel veri ihlalinin bildirilmesinden bahsediyor. Bu ihlalleri tespit edebilmeniz gerekir; etkiyi değerlendirebilmek için kayıtlara ihtiyacınız vardır; ne kadar çabuk çözeceğinizi bilmeniz gerekir. Bunu yapmak için SQL Uyumluluk Yöneticisi, hassas verilerinize kimin eriştiğine, eriştiklerine, eriştiklerine göre kimin göreceği veritabanlarınızda uyarılar ayarlamanızı sağlar. Ayrıca, normal ayrıcalıklı kullanıcılarınızı denetiminizden çıkarmanıza da olanak tanır. Erişeceğinizi bildiğiniz sistem yöneticiniz veya ağ yöneticiniz varsa ve raporlarınızı tıkamak istemiyorsanız, bunları devre dışı bırakabilir ve “Bana bu bilgilerin dışında olan her şeyi ver” diyebilirsiniz. birisinin verilerinize kötü amaçlı bir şekilde erişip erişmediğini hızlı bir şekilde tespit edersiniz ve gerçekleşmeye başladığı anı ve daha sonra bilgilere erişildiği anı bildiren uyarılara sahip olabilirsiniz, böylece Equifax'ın yaptığı gibi neler olup bittiğini anlamak için tam bir gün beklemek zorunda değilsiniz.
Ayrıca veri koruma ve etki değerlendirmesi hakkında bir makale var. Bu, risklerinizi değerlendirir ve ne olduklarını anlamanın yanı sıra GDPR ile uyumunuzu gösterir ve belgelendirir. SQL Uyumluluk Yöneticisi, izlenmekte olan öğeler hakkında rapor oluşturmanıza olanak tanır. Kısacası SQL Compliance Manager ile verilerinizi denetlemek için SQL Compliance Manager, olası bir ihlal işareti olan başarısız girişleri tespit etmenize izin verir - yönetimsel etkinlikleri ve güvenlik değişikliklerini izleyin, veritabanı değişikliklerini, denetimi sizi uyarır hassas bilgi olarak tanımladığınız, ayrıcalıklı kullanıcıları tanımladığınız ve etkinliklerini sisteminizdeki diğer kullanıcılardan ayrı olarak izlediğiniz sütunlarda, bilgilerin çeşitli yasal yönergelere uygun olarak denetlendiğini bildirin. Sadece GDPR'yi kapsamakla kalmıyor, aynı zamanda bilgilerinizi denetlemeye ve neye erişildiğini anlamaya geldiklerinde HIPAA, PCI, FERPA, SOX, tüm yasal yönergelere de yer veriyoruz, bu yasal yönergelere sahibiz.
IDERA'da GDPR hazırlığı için ek ürünlerimiz de var. SQL Uyumluluk Yöneticisi'nin yaptığı denetimin ötesinde, veri işlemlerinizi belgelemenize ve veri standartlarını veri modelinize dahil etmenize yardımcı olabilecek ER / Studio Enterprise Team Edition'ımız var, William'ın önceki bir slaytta bahsettiği veri sözlüğü oluşturabilirsiniz . Burada bu sunumla belirttiğim gibi, SQL Uyumluluk Yöneticisi, yanlış kişilerin verilerinize erişmediğinden emin olmak için bilgilerinizi denetlemenize ve bunu denetçilere kanıtlamanıza yardımcı olabilir. SQL Güvenli Yedekleme, verilerinizi ve yedeklemelerinizi şifrelemenize yardımcı olabilir. Şifreleme, Uyumluluk Yöneticisi'nin varlıklarına çok fazla odaklanmak istediğim için ayrıntılı olarak ele almadığım GDPR'nin önemli bir parçasıdır, ancak SQL Güvenli Yedekleme sizin için çok fazla şifreleme yapar, böylece verileriniz güvende kalabilir. SQL Inventory Manager, sunucuların yamalı ve güncel olmasını sağlayabilir, böylece Equifax gibi eski bir düzeltme eki olan ve kullanıcıların yapabileceği büyük bir güvenlik açığı sağlayan bir durumla karşılaşmazsınız. kötü niyetli kullanmak. SQL Secure gizliliği ve şifreleme standartlarını denetleyebilir.
IDERA topluluğu web sitesi hakkında daha fazla bilgi için, blogumuz altında, GDPR için Hazırlanmak ve 2018'e Doğru Bakmak ve GDPR'nin Etkisinin Ne Olduğunu Anlamak ve ayrıca SQL Compliance Manager'ın deneme sürümünü indirebilirsiniz. IDERA'da ve daha önce slaytta bahsettiğim diğer ürünlerden herhangi birinde.
Bu noktada, bazı soruları sorabilmemiz için sunumu Eric'e geri vereceğim.
Eric Kavanagh: Tamam, güzel. Orada bir dizi gerçekten ilginç şeye dokundun, Kim, bunlardan biri - bence bu basit ama oldukça zekice - başarısız girişleri tespit etmekten bahsettin. Bana öyle geliyor ki, bu birisinin iyi olmadığı konusunda oldukça iyi bir işaret mi?
Kim Brushaber: Kesinlikle. Şifrenize erişmeye ve şifrenizi kırmaya çalışan birini görüyorsanız, bu kişinin olması gereken şeyi yapmadığını söylemenin çok hızlı bir yoludur. Belki birkaç kez şifrenizi yanlış yazabilirsiniz, ancak bunlardan 30 tanesinin geldiğini görürseniz, bu kötü bir işarettir.
Eric Kavanagh: Evet. Burada önemli olan uyarılarınızı uygun içerikle ayarlamaktır. Bize uyarı yapma ve yapmaları gerekeni yapmayan uyarıları devre dışı bırakma sürecini nasıl yönetebileceğimiz ve bunların ne kadarının otomatik hale getirilebileceği hakkında başka neler söyleyebilirsiniz?
Kim Brushaber: Uyum Yöneticisi'nin gözden geçirebileceğiniz birçok rapor ve yapılandırılabilir uyarısı var. SQL izlemelerinizden geçtik ve otomatik olarak izlemeye sahibiz ve önceden ayarlanmış ve önceden tanımlanmış bir çok şeyimiz var, ancak kesinlikle de yapabileceğiniz önemli miktarda özelleştirme var.
Eric Kavanagh: William, seni buna getireceğim - bana öyle geliyor ki, önümüzdeki iki ila on yıl boyunca makine öğreniminin devreye gireceğini göreceğimiz alanlardan biri, farklı olasılıklar. Bir sistemin verimliliğini optimize edebilmesinin tüm farklı yollarına bakıldığında, ihlaller ve benzeri konulardaki etkinliği. Bu senin de alman mı?
William McKnight: Evet, kesinlikle. Sanırım şimdi kendilerini onaran sistemler inşa ediyoruz. 7 gün 24 saat izleme kaybolmaya başlıyor ve hala bu tür bir çalışma süresine ihtiyacımız var. Bence sistemler büyük ölçüde bunu inşa ediyor ve bunun ne olduğunu anlıyorlar. Burada daha fazla yer ayırmamız gerekiyor mu yoksa neyin var? Evet, bence bu kesinlikle geleceğimizin bir parçası. Bazı eylem adımlarıyla eşleştirilebilen, bir şeye yanıt olarak alınabilecek herhangi bir şey, yapay zekaya kesinlikle savunmasızdır.
Eric Kavanagh: Bu iyi bir nokta. Size bir soru daha soracağım William, çünkü bu alanda çok araştırma yaptığınızı biliyorum. Uzun süredir beklediğim şeylerden biri ve henüz orada olduğumuzu sanmıyorum - sanırım sadece okuduğum ve düşündüğümden yaklaşıyoruz - düzenleyici sorunları özümseyecek teknolojinin, bunların gerçek ifadelerini ve işlevselliği ve yazılımı eşleştireceği bir gün. Dediğim gibi, hala bunun bir yoluyuz - üzerinde çalışan biri olmadığını hayal edemiyorum. Böyle bir şeyle karşılaştınız mı, yoksa hala insanların kurallara bakması, onları gerçekten denemeyi ve anlaması, onları makine kodunda kodlaması gerektiği ve daha sonra bunları çeşitli uygulamalarına doğru sıkacağı bir noktada mıyız?
William McKnight: Kesinlikle burada paylaştığınız konsepti anladım. Bununla ilgili bir ortamda kullanıma sunulmaya giden hiçbir şeye aşina değilim. Yine de genel olarak söyleyeceğim, açıkçası makinelere ne yapmamayı değil, ne yapmak istediğimizin amacının ne olduğunu söylemeye başlıyoruz ve makineler ayrıntıları anlamak için çok daha akıllı hale geliyor. Organizasyonlarımızda biraz daha yapay zeka elde ettiğimizde, gelecekte tarif ettiğiniz şekilde ortaya çıkabilmeleri için kuruluşların içine yerleştirilen YZ ile uyumlu olarak yeni düzenlemelerin geliştirilmesinin oldukça mümkün olduğunu düşünüyorum. Şimdilik bununla hareket etmiyoruz.
Eric Kavanagh: İşte size atacağım bir soru, Kim, çünkü bu da ilginç. Ortalama gecikme süresinden veya sisteminize giriş yapan birinin gizlediği ve beklediği süreden bahsediyorsunuz - bir saldırganın bir ağ içinde hareketsiz kaldığı gün sayısı - algılama 200'dür. Biliyorum, nasıl geliştirileceğine dair düşünceleriniz nelerdir her şeyden önce? Ama aynı zamanda, kendi sisteminizi keşfetmek için bu tür bir kuralı kullanmanın bir yolu var mı? Kendi verilerinizi keşfetmek, bu tür insanları dışarıda tutmak için daha iyi bir iş yapmak?
Kim Brushaber: Evet, sanırım erken teşhis çok önemli. Bu kötü amaçlı sitelerin bilgilerinize eriştiğini ve bunları kilitleyebildiğini anlamanız gerekir. Sanırım diğer organizasyonların çoğunda bu politikaların uygulanmadığını gösteriyoruz. Bu yüzden orada oturuyorlar. Gerçekte, geçip erişiminizi kilitlemek ve doğru kişilerin erişebildiğinden emin olmak için bir politikanız varsa düşünüyorum. Anahtarlarınızı düzenli olarak döndürdüğünüzden ve güncellediğinizden emin olun. Şifrelerinizin düzenli olarak güncellendiğinden ve oldukça basit görünen bu tür şeyleri yaptığınızdan emin olun. Şu anda, çoğu kuruluş bunu bile yapmıyor ve bu parçaları yerine koymaya başlamak, bunun ötesine geçmenize yardımcı olacaktır.
Tabii ki bilgisayar korsanları bu konuda daha kurnaz olacaklar, ama şu anda kolay, “Sokakta girmek istediğimi hissettiğim evlere bakacağım, alarm olacak mı? sistemleri? Küçük bir alarm işareti var mı ve köpekleri var mı? Alarm işareti olmayan, köpeği olmayan bir eve gideceğim ve işte oraya gireceğim ev. ”Eh, onlar olmayan şirketleri bulacaklar. t Bu yamaları yerinde var ve güvenlik yerinde değil ve şifreleri güncellenmiyor ve gidip orada takılmak ve kredi kartınızı bir benzin istasyonunda birkaç kez kullanacağınızdan emin olmak için kapatmadınız ve daha sonra büyük bir değişikliği etkileyebildikleri zaman, normalde bir tür politik açıklama ya da başka türlü başlarını açtıklarını gördüğünüzde. Bu politikaları hayata geçirerek, bu noktada bu oyunun önüne geçmek için oldukça az adım atabileceğinizi düşünüyorum.
Eric Kavanagh: Muhtemelen en iyi tavsiye budur ve güvenlik alanında veya düzenleyici alanda bulunan kişilerle konuşurken, temel bilgilerin sorununuzun yüzde 80'ini kapsayacağını ve bunu ele almamız gereken çok şey olduğunu duyuyorum. iyi bir nokta. Katılımcılardan biri, birisinin GDPR uyumluluk çabalarından çıkarılabilecek iş fırsatlarını genişletip genişletemeyeceğini sordu, Sarbanes-Oxley'e hatırlatıyorum ve sanırım William, bunu size atacağım. Bir danışman olarak, müşterilerinize her zaman belirli bir proje kapsamı dışında yardım etmenin yollarını arıyorsunuz - en azından bunu iyi bir danışmansanız. GDPR hakkında insanlarla konuştuğunuzda, buna odaklanmış bir projeye katılırlarsa alabilecekleri yan faydalar nelerdir?
William McKnight: Her şeyden önce, GDPR'nin arkasındaki fikrin vatandaş için tam bir hak olmadığını belirtmek önemlidir. GDPR'nin diğer tarafı da var, bu vatandaşlarımızın şirketlerimize duyduğu güveni artıracak ve onları uyumlu şirketlerde daha fazla iş yapmaya teşvik edecek. GDPR'nizi gerçekten gerçekleştirmenin yan faydaları var, şimdi dahili olarak, uyguladığımız veri yönetişimi programları, gerçekten, organizasyonlar içinde ve bugün, çok açık bir şekilde, başlatılmakta olan inisiyatifleri başlatan her türlü girişimi kolaylaştırmaya hizmet ediyor. kuruluşların içinde. Son zamanlarda 2018 için birçoğu ile biraz planlama yapıyorum, verilerle ilgili, çok fazla, veri hakkında yüzde 65 ila 90 gibi - telematik veya müşteri 360 programından bahsederken veya satış görevlilerini izlemek için bir gösterge tablosuna sahipseniz, büyük ölçüde verilerle ilgilidir. Bu verileri daha iyi yöneten her şey, veri yönetim programı gibi gerçekten önemseyen, bu verilerle ilgili tüm soruları yanıtlayabilen ve gitmesi gereken insanları adlandıran daha iyi bir mimariye yerleştirir. Bize bir veri sözlüğü veren her şey - Kim'in araçlarıyla konuştuğu gibi - bunu yapan her şey, bu girişimleri çok daha verimli hale getirmek, onları riske atmak, zamanı küçültmek, onlar için bütçeyi daraltmak ve bize ulaşmak tüm şirketler olan girişimler yapan bir şirket için çok daha hızlı ve iyi şeyler pazarlamak için çevik bir zaman.
Eric Kavanagh: Bu güven kavramını seviyorum. Bence güven dünyamızda çok takdir edilmemiş bir gerçekliktir ve açıkçası çoğu işletme güvene dayalıdır. Sadece bazı kapanış yorumları için sana atacağım, Kim. Bence buradaki katma değerlerden biri güveni arttırmak ve güven kültürünü teşvik etmektir, çünkü bu sadece şirketin kendisi, şirket içindeki insanlar üzerinde değil, aynı zamanda halkın ne algıladığı üzerinde de olumlu etkiler yaratacaktır. bir şey dökülür, bana öyle geliyor, ama ne düşünüyorsun?
Kim Brushaber: Evet, sanırım Google'da çalışan veya Facebook'ta çalışan arkadaşlarla veya daha büyük, gerçekten yüksek profilli kuruluşlarla konuştuğumda, güvenlik protokollerini ve performansını uygularken neredeyse yeni özellikler uygulamıyorlar ölçeklenebilirlik sorunları, çünkü kullanıcı deneyimlerinin bu bilgilere güvenebileceklerini düşündükleri bir deneyim olmasını istiyorlar. Bu tür bir güven sağlamak için ilerlemeye devam ederken şirketlerin bu sorumluluğa sahip olduğunu düşünüyorum. İnsanların kredi kartlarını ilk kez internete koymaya başladığında ve "Ah Tanrım, bu bilgiyi oraya vermeyeceğim, çünkü güvenli olmadığı için" diye hatırlıyorum.
Ve şimdi, kredi kartınız her yöne gidiyor çünkü teorik olarak, bir HTTPS sertifikası olduğu için şirkete güvenebileceğinizi düşünüyorsunuz. Sonra kredi kartlarının nerede olduğu Hedef veri ihlallerini duyuyorsunuz, “Ah, kredi kartınızı takas etseniz iyi olur, çünkü bu bilgileri bırakıyoruz.” Bence bu iki yönlü bir duygu. Bence bireyler daha fazla güvenmek istedikleri için, çünkü çok daha kolay, büyük organizasyonlarda buna güvenebilmek ve buna inanmak, büyük kuruluşların bu parçaları yerine oturtmaları ve t Bireye zarar vermek veya pazar payını kaybetmek. İnsanlar, “Biliyor musunuz, artık Target'da alışveriş yapmayacağım, şimdi Amazon'da alışveriş yapacağım” diyorlar. Sanırım güven büyük bir sorundur, ancak dediğimiz gibi, insanların yüzde 78'i yapamayacaklarını bilmelerine rağmen, yine de bir e-postadaki bu bağlantıyı tıklayacaklardır. Sana güveniyor olsalar bile, insanların belirli bir miktarda koruması vardır.
Eric Kavanagh: Bu iyi bir nokta. Biliyor musun, sana son bir soru daha soracağım William ya da en azından bir tane daha - şimdi bazı iyi sorular geliyor. Bir katılımcı şöyle yazıyor: “GDPR kimlik yönetimini ait olduğu müşteriye geri götürüyor. Equifax, 149 milyon tüketiciye kalıcı olarak zarar verdi, ”çok doğru” dijital ekonomiyi kirletti. ABD'de kimlik yönetimi konusunda müşteri mülkiyeti konusunda ne gibi değişiklikler yapıyorsunuz? ”
William McKnight: Bu tür bir şey söz konusu olduğunda ABD'de her zaman geride kalıyoruz, değil mi? Yüz kırk dokuz milyon, buradaki kovada hiç düşüş yok. Neredeyse terörizm gibi, değil mi? Biz buna çok alışkınız, her zaman oluyor. Bence bir şeylerin yapılması gerekiyor. Bence GDPR, vatandaşlara verdiği hakları seviyorum, ama bu bir öncelik gibi görünmüyor - başka öncelikler de var ve nereye gideceğini bilmiyorum. Sanırım, sonuçta ortaya koyduğum sonuç slaytlarında, bunun tüketici tarafından verileri üzerinde daha fazla haklara doğru bir kaymaya işaret ettiğini düşünüyorum. Bu ABD'de ne zaman olur? Bilmiyorum, ABD'de burada GSYİH ile orantılı bir şeyler görmek beş yıla kadar sürebilir.
Eric Kavanagh: Bu gerçekten iyi bir nokta ve bence bu konuda daha fazla çaba göstereceğiz çünkü yüzleşelim, bugünlerde böyle bir dijital ekonomiye geçiyoruz. Ve burada kapanış bir yorum olarak, biraz felsefi, politika odaklı olmak, nakitsiz bir topluma geçiş konusunda beni en çok ilgilendiren şey, çünkü nakit gittiğinde, eğer olursa, o zaman her şey dijital ve her sistem hacklenebilir ve her insanın kimliği çalınabilir. Kimlik yönetiminin geleceğine baktığımızda, buradaki odada oldukça büyük bir fil gibi görünüyor.
Hepsi harika şeyler, millet. William McKnight'a bugün geçirdiği zaman ve ilgi için teşekkür ederiz. IDERA'dan Kim Brushaber'a teşekkürler. Tüm bu web yayınlarını daha sonra izlemek üzere arşivliyoruz, bu yüzden genellikle sadece birkaç saat içinde geri dönmekten çekinmeyin ve arşiv hazır olacaktır. Bununla size veda edeceğiz millet. Zaman ayırdığınız ve dikkat ettiğiniz için tekrar teşekkür ederiz. Güle güle.