Emportar: L’amfitrió Eric Kavanagh discuteix el proper Reglament general de protecció de dades de la UE i els efectes que tindrà sobre la indústria. S'hi uneixen William McKnight, de McKnight Consulting Group, i Kim Brushaber, d'IDERA.
Actualment no teniu la sessió iniciada. Inicieu la sessió o registreu-vos per veure el vídeo.
Eric Kavanagh: D’acord, senyores, benvinguts i benvinguts una vegada més. És el dimecres a les quatre de la tarda a l'Est, cosa que significa que torna a ser una de les darreres vegades de l'any 2017 per a les tecnologies calentes. Sí, efectivament, em dic Eric Kavanagh, seré el vostre moderador per a l'esdeveniment d'avui. Estem parlant d’un tema que és de gran abast, per dir-ne el mínim. Ara mateix, no sembla així: el concepte de GDPR, el Reglament global de protecció de dades. Anem endavant i aprofundim en això, no es tracta de la teva veritat, prou de mi. Aquest any fa molta calor, fa molta calor de moltes maneres diferents, però les regulacions imminents de GDPR i d’altres organitzacions, francament, ens obliguen a repensar el que està passant en el món empresarial, concretament com en resulta, o ja que es relaciona amb dades. Ens sentirem a parlar de Kim Brushaber d'IDERA i també de William McKnight, de McKnight Consulting Group.
Només un parell de paraules ràpides sobre el tema que hem de fer, persones. GDPR diu bàsicament que les organitzacions han de tenir una política de privadesa i primera de seguretat pel que fa a les dades i, realment, es tracta d’alguns dels temes que haureu escoltat; tot el dret a ser oblidat, per exemple, és parcial i parcial a tot aquest moment, i són coses molt interessants. Certament és vàlid quant als seus principis i la seva ètica. En termes d'implementació real, però, és un repte bastant seriós. El dret a ser oblidat diu que si voleu que algunes organitzacions no tinguin les vostres dades, les vostres dades sensibles personalment, s’han de desfer d’ella. Doncs bé, només podeu imaginar quan serà algun d'aquests entorns de dades molt heterogènis, què tan difícil serà. Per poder arribar a tots els llocs on les dades siguin persistents i treure-les, només no passarà, és la línia de fons. Tot i això, les organitzacions han de tenir polítiques a l’abast per poder afrontar aquestes inquietuds i això és el que busquen els reguladors.
És un gran negoci. L’organització no només necessita suprimir les dades si ho diu, sinó que si han format algorismes sobre aquestes dades, tècnicament també se suposa que calen els algorismes. És un ordre alt, he de dir-ho, però, que ve, va a la punta, serà una realitat el mes de maig de l'any que ve i hi ha altres normatives. El Canadà té una llei antispam que han aprovat, la qual cosa té un impacte en la manera en què tractem la informació personal. La neutralitat de la xarxa està caient en aquest moment, per descomptat, ha estat desarrelada, fonamentalment, i això canviarà algunes coses. Hi ha moltes d’aquestes normatives tan greus que afecten empreses a tot el món i a tot el món, que les grans organitzacions necessiten començar a pensar i preparar-se.
Per això, tenim en línia William McKnight de McKnight Consulting Groups per fer-nos saber què pensa i per què GDPR és, de fet, només la punta de l’iceberg. Amb això, William, us la lliuraré. Emporta-t'ho.
William McKnight: Gràcies, Eric, i com dius, com diu la diapositiva, aquest GDPR potser és la punta de l’iceberg, això és el que pensem. És important que ens endinsem en el GDPR en profunditat perquè crec que representa una onada de regulació que està sobre la pipa que hem de tractar. Afortunadament, Eric, hi ha uns estàndards raonables a l’oblit d’aquest dret, als quals aconseguiré. Tot i això, en la meva caminada d’enguany parlant de GDPR, crec que hi ha moltes empreses, sobretot empreses americanes, que encara no estan preparades per a això. És definitivament calorós i alguna cosa que definitivament no pensàvem ara fa un any, quan es tractaven de posar-se en evidència algunes coses, però ara és un reglament i hem d’afrontar-ho, com heu dit, Eric, que arribarà bé. fins aquí, per tant, no tan llunyà.
Una mica sobre mi, ho abordaré des de la perspectiva de les dades. Per fer-ho saber, sóc una persona de dades de tota la vida i faig consultes des de fa 19 anys en l’espai de dades, i GDPR és molt relacionada amb les dades. Em plantejaré un cos de solucions aquí a mesura que aprofito la presentació sobre el govern de les dades. Evidentment, he estat fent molts programes de governança de dades i crec que si estàs alineat amb aquest concepte, estàs fent alguna governança de dades, moltes empreses hi sortiran força lluny. en realitat, segons el compliment de GDPR, però hi haurà moltes, i molt francament, que hi ha al govern i, per tant, molt enrere en els seus preparatius GDPR. Anem a establir el nivell aquí i entendrem de què es refereix GDPR i a mesura que aprofundim la conversa, aprofundirem en les ramificacions de GDPR a la vida empresarial a mesura que avancem cap al nou any i més enllà.
GDPR és per a la privadesa de dades de ciutadans de la Unió Europea. És un reglament: vol dir que té dents, significa que pot ser aplicable No és una cosa que es planteja com a suggeriment, que ja va passar i ara s'ha format en un reglament amb penalitzacions. M’agrada començar amb les penalitzacions perquè realment crida l’atenció de la gent. Es tracta de penes dures. Hi ha dues penalitzacions, un 2 per cent dels ingressos anuals mundials o 10 milions d’euros si una empresa incompleix les obligacions de seguretat, però tota la resta, incomplint les altres disposicions –i hi entraré–, un 4 per cent. Ho sentiu embolicat al voltant d'un - 4 per cent. I, per cert, és un 4 per cent o 10 milions d'euros, el que sigui més gran. Això és molt dur. La gent és molt seriosa sobre això. Aplica a partir del 25 de maigth, 2018: és una data clau, és a dir, quan poden començar les auditories, és a dir, quan podreu obtenir la vostra multa. Definitivament, voleu estar a punt per això. Cada empresa amb la qual em dedico, em dedico a moltes empreses de Global 2000, es troba en algun lloc de la seva preparació GDPR, algunes més que altres i algunes han de ser més que altres en aquest moment. Certament, per a alguns serà difícil desafiar aquesta data i ho veurem.
És el règim de compliment de la privadesa de dades més complet que hem vist fins ara. Quan veurem una cosa més rígida o alguna cosa que afecti més directament a la població dels Estats Units, qui sap, però és allà i és obligat. Cal que les organitzacions entenguin què és el ciutadà de la UE PII, que no coneixem la dreta de PII, informació d’identificació personal, seguretat social, número de telèfon, adreça, les coses que poden identificar de manera exclusiva a una persona o identificar-la prou. Què tenen i com ho fan servir? Això significa inventari. Això significa que reguli les vostres pròpies empreses sobre aquest tipus de dades. Per cert, els EUA no tenen cap tipus de llei nacional sobre protecció de dades. Els EUA sempre han estat –diré per darrere, per dir-ho en perspectiva– darrere d’Europa pel que fa a aquest tipus de regulació i això continua. Continuem amb GDPR, que és força evident. És possible que alguns de vostès coneguin l'escut de privadesa. Hi ha al voltant de tres o quatre disposicions a GDPR que tenen un solapament amb el blindatge de privadesa, però hi ha un centenar de disposicions a GDPR, de manera que és molt més que això i, per descomptat, encara està vigent i això té a veure amb l'intercanvi de dades dels Estats Units i de la UE. només, tot i que això és important.
De nou, m’agrada començar pels números. Heu sentit a parlar de les multes, i la manera de preparar-vos per això. El pressupost per a GDPR i fer això, això depèn d'un parell de factors. La quantitat de dades de PII que recopileu sobre els ciutadans de la UE. Si no en recopileu cap, d'acord, és probable que sigueu conformes i no haureu d'afrontar-ho, però probablement aneu a aquesta trucada perquè en recopileu algun lloc. La mida de la vostra empresa i la maduresa del seu govern de dades, que com he dit anteriorment, pot ser que s’apropin al que cal fer per respondre a GDPR. Podeu esperar fins a diversos milions de dòlars o euros, segons el cas, per complir. Tanmateix, volem, no volem complir només amb GDPR, per marcar aquesta casella, és clar, hem de fer-ho. Esperem que no es trobeu en aquella situació tan terrible en què només esteu desesperats per marcar aquesta casella. Busqueu avantatges comercials perquè moltes de les coses que feu per donar suport a GDPR són bones per al vostre negoci. El govern de les dades és adequat per al vostre negoci. Quan es tracta de la quantitat de dades de PII, algunes són més importants que d’altres, algunes seran examinades més que d’altres, com la salut relacionada amb les dades, es regularan molt més estrictament sota GDPR que altres tipus de dades i requeriran el seu compliment. amb obligacions addicionals, com ara realitzar avaluacions d’impacte de protecció de dades que, òbviament, s’afegeixen al vostre pressupost.
Hi ha una mica sobre pressupost. Per si esteu als EUA o als Estats Units i us pregunteu com us afecta, GDPR afecta la U.K., que encara es troba a la UE, per cert, fins al 29 de març.th del 2019 i el govern del qual ha indicat que quelcom com ara GDPR continuarà després d’aquesta data perquè “És una bona idea”. Les empreses de la UK han de complir-ho. Per això, les dades ciutadanes dels EUA són certament a la taula. Si no ho veieu clar, hi ha empreses basades en Estats Units. Si tracteu a la UE dades de ciutadans de la UE, això és cert per a vosaltres. Això comporta ramificacions en l'arquitectura de les vostres dades, perquè és possible que hagueu de suprimir les dades de la UE de la resta i tractar-les d'una altra manera. Afecta les analítiques, com deia Eric, en la manera de compilar aquestes analítiques, etc. Potser ara serà més difícil obtenir algun tipus d’analítica a nivell global i global. És possible que es localitzin com a resultat de GDPR.
Què hi ha a les disposicions? Hi ha estàndards de protecció de dades. Tot això excepte el xifrat de les dades en repòs i en moviment. A continuació parlaré sobre xifratge. Hi ha estàndards de notificació per incompliment de dades. No hi ha més temps que esperen durant mesos i esperem que uns trimestres ho facin saber a tothom. Crec que hi va haver una gran l’altre dia i vam descobrir: “Ah, va passar fa un any.” Res amb això de GDPR: tens 72 hores. És una política de nom i vergonya. Tant de bo ningú arribi a això, és clar que algunes persones ho faran. Per descomptat, els incompliments continuaran, fins i tot després de GDPR. Hi ha processos per supervisar la ubicació i la qualitat de les dades. Sona familiar? Aquest és el cor de la governança de dades. Esperem que en tingueu.
Com ha mencionat Eric, els ciutadans de la UE tenen dret a ser oblidats. Eric hi ha alguns estàndards de raonabilitat. No cal que ho oblidis tot necessàriament, si és possible que hagis de tornar a contactar amb aquell client, aquell empleat, se li permet mantenir certs aspectes de les seves dades personals. Però, tanmateix, els ciutadans tenen dret a ser oblidats, però no hi pot haver cap esforç desproporcionat, que sigui l’idioma, per a vostè o perjudicar a l’empresa, això depèn de les dades. No vull baixar-la, però també heu de publicar còpies de les dades personals que es conserven i només podeu obtenir aquestes dades sota consentiment. Aquest consentiment l’han de donar les persones que tinguin una edat mínima per concedir aquest permís. Allà és boig, però això dóna als ciutadans molts drets sobre les seves dades. Aquesta és la portabilitat en el cas que passi. El dret a ser oblidat, clarament, però també, i una cosa que no és a la meva diapositiva prou important - és que l’interessat haurà de tenir el dret de no estar sotmès a una decisió basada només en un tractament automatitzat. En què ens hem anat avançant? El processament automatitzat, a l’entorn de l’acceptació del préstec, quines ofertes donarem, tot això s’ha de treballar en termes de com es posarà en pràctica i fins on arribarà. El que això és essencialment dient és transparència per què em rebutgen, per què em sent tractat en certa manera per aquesta empresa. Ara mateix, es concedeix a un ciutadà de la UE.
Bviament, hi ha algunes ramificacions sobre la manera de fer negocis i esperem que veieu que GDPR no és un problema de TI ni un problema de TI. Tots aquests processos de negoci estan implicats. Hi participaran persones de tota l'empresa. El nomenament d’un responsable de protecció de dades es recomana per a aquelles empreses amb més de 250 empleats i teniu "matemàtiques crítiques amb dades de PII de la UE". Podeu decidir-vos si teniu aquesta matèria crítica, de vegades és evident, de vegades no ho és. Però, hi ha un nou paper –no ha de ser un paper a temps complet, la persona pot tenir altres responsabilitats, però no ho sé-, en algunes empreses grans i grans empreses, pràcticament crec que adherir-se a GDPR estar a prop d’un paper a temps complet. Diria que comenceu així i vegeu si ho podeu fer. Especialment durant el proper any, a mesura que ajunteu el vostre acte al voltant de GDPR, un cop instal·lat, potser podreu retardar el treball, però us caldrà passar algunes estones. Permet als individus veure les seves pròpies dades i portabilitat de dades, com he esmentat abans.
Tot això no és nou, per cert, però el dret a ser oblidat ha estat allà fora, creieu-lo o no. Les normes actuals de la UE ja preveuen un dret a suprimir o deixar disponibles les dades personals. Tanmateix, ara que forma part de GDPR, s'aplicarà de manera molt més àmplia. Xifrat de dades: xifra les dades en repòs. Utilitzeu mètodes de xifratge estàndard, no utilitzeu el vostre propi xifrat propi o normal. L’AES és un que recomanem bastant. Utilitzeu claus de xifrat segures de forma criptogràfica. Canvieu aquestes tecles periòdicament. També eviteu que es perdin aquestes claus. Aquestes són només bones pràctiques de xifratge, però ara arriben al primer pla amb GDPR. Hi ha el problema: només he tocat la punta de l’iceberg. Evidentment, hi ha més disposicions a examinar, però aquestes són les principals.
Ara, solució. El govern de les dades, el marc de la vostra conformitat, almenys aquesta és la perspectiva que proposo aquí. Afortunadament, hi ha una disciplina activa i ben cuidada que pot assolir la majoria dels requisits i, quan és madur, la majoria dels requisits i la seva governança de dades, òbviament, ho dic. Els programes de govern han de tenir un glossari de dades, i aquí estic fent servir un glossari de dades en sentit genèric per referir-me a la documentació de tots els processos per als vostres processos. Es tracta de bases per satisfer les necessitats d’inventari de GDPR, que, com hem vist, són força immenses. El programa, el programa de governança, hauria de facilitar els protocols de seguretat de dades, i ho subratllo perquè no és una cosa que fan molts programes de govern de dades ara mateix, però crec que és un lloc lògic que es faci perquè estan fent estar al programa que determina qui són els propietaris de l'empresa? Qui necessita veure-ho? I el següent pas és concedir aquests permisos. Que s’ha de centralitzar, que s’ha de formalitzar. Hi ha d'haver polítiques internes que s'utilitzin. S'ha d'assignar administració a tots els elements per proporcionar informació a totes les qüestions anteriors. El govern de dades també pot ser el facilitador de l'enginyeria de processos empresarials.
Abans de deixar aquesta diapositiva, amb l'objectiu d'evitar les fortes multes, les empreses adoptaran pràctiques empresarials sòlides com a subproducte. M'agrada dir que és molt més que un subproducte, però en realitat és un negoci sòlid i bo que us pot conduir a llocs nous des de la perspectiva empresarial. Certament, obtindreu moltes eficàcies per fer totes les iniciatives a nivell general, si teniu un bon govern de dades, això és el que he vist al llarg dels anys. A més d’afegir algunes d’aquestes coses que he esmentat, a la governança de dades, només milloraran. En l’enginyeria de processos empresarials us recomanem que feu aquestes preguntes a tot el món, toqueu totes les àrees de negoci. Quin tipus de dades recollim als nostres clients de la UE? No els he llegit tots. Algunes de les claus aquí. Qui té la necessitat de veure aquestes dades i se segueix? Qui és l’administrador de dades d’aquestes dades? Qui és el meu personal més interessat en el negoci? Aquesta és una gran cosa: compartim aquestes dades amb tercers? Només pel fet de cedir-lo a un tercer, no excusa la vostra responsabilitat al voltant d’aquestes dades: no deixen de ser les vostres dades, encara són les dades que vau recollir. Hi ha una gran quantitat de contractes de tercers que s’estan revisant a fons com a resultat de GDPR. Aquests sistemes tenen fallades deterministes? És a dir, quan fracassen, fracassen en un camí que hem predeterminat, o bé només fracassen, s'estavellen, cremen i comencem de zero a cavar-hi? Evidentment, serà molt millor. Ja és una bona pràctica, però òbviament és molt millor per enginyar inversament algunes coses, si teniu problemes importants en el sistema.
La retenció de dades, parlem des de la retenció de dades des de sempre. Moltes empreses tenen polítiques, però no totes les segueixen. Bviament, famosament en l’assistència sanitària i financera, volem conservar dades, hem de guardar dades durant un cert nombre d’anys. Alguns dels analistes d’aquestes empreses que conserven dades durant els set anys o no, diuen: “Ah, després d’aquest període, encara vull aquestes dades”. Alguns dels advocats d’aquestes empreses diuen, “Però hem de desfer-nos a efectes de responsabilitat ”, etc. Això no només pot quedar-se simplement allà, ja que el problema als loggerheads es manté amb GDPR. Hem de tenir el període de retenció, si el seguim de manera constant a través de tots els membres de la organització.
I, finalment, com us mobilitzeu per un incompliment de dades? Aquests pitjors casos que us podrien passar. Evidentment, intentem evitar-les, però, si passa? Com podeu combatre el problema i assegureu-vos que seguiu les disposicions de GDPR a la vostra resposta? Sóc arquitecte de dades, penso en arquitectura de dades. Si sou una empresa basada en Estats Units amb operacions de la UE, és a dir, dades de ciutadans de la UE, les recopileu, haureu de plantejar-vos si heu d’aplicar les normes de protecció de dades a totes les dades o només a les de la UE. Sí, ara tinc clients que prenen aquesta decisió. Com a bona pràctica empresarial, potser voldrien fer-ho arribar als Estats Units, però poden tenir el temps, però això suposa la bala número dos. És possible que hagueu d’apartar les dades de la UE dels sistemes nord-americans si no podreu comprovar que els sistemes dels Estats Units gestionin les dades de manera adequada. Separa aquesta informació per als propòsits de les analítiques? Les analítiques són vàlides fins i tot si intenteu fer-les a tot el país? De vegades sí, a vegades no, no? És possible que trobareu que la vostra anàlisi es canviarà com a resultat.
Com he comentat abans, la intel·ligència artificial toca aquí perquè, òbviament, podem utilitzar IA per anar a trobar totes les dades, ajudant-nos a trobar totes les dades, però si utilitzem IA en les nostres interfícies de clients, ara hem de tenir transparència amb el nostre client. Interfícies i que mai no ha estat el cas més intens de l'AI. Per intentar dir a un client: "Vau ser rebutjat perquè bla, bla, bla", quan realment era AI. Això ara s’ha de fer. Hem d’esbrinar com funciona l’IA, quins són els factors? No puc simplement seure-hi i ser una caixa negra per a tu. Què fem ara? Establiu el vostre consell GDPR. Us suggereixo que tingueu el vostre oficial de privadesa superior o si teniu un agent de protecció de dades, òbviament aquesta persona. Els caps de govern de dades, risc operatiu i / o compliment, segons s’aplica, el cap d’informàtica, CIO si és aquesta persona. Si teniu una persona directiva canviada, seria una gran persona allà. Només són caps d’alguns dels departaments més importants del vostre negoci i també el responsable de recursos humans, ja que la formació en privadesa ara serà enorme. Tothom va a rebre formació sobre privadesa o hauria d’estar formant-se en privacitat quan embarqui en una empresa, fins i tot en consultors.
Si no feu aquestes coses que veieu aquí, haureu d’avançar més ràpidament del que voldríeu per fer el termini. També heu de començar a esperar que no sigueu un dels primers a fer-vos auditories perquè, francament, hi ha molta feina aquí si partiu de zero i tracteu moltes dades de ciutadans de la UE. Contracteu el vostre DPO, inventarieu les vostres dades i els vostres processos. Creeu aquest pla per a la governança de dades, porteu-lo d’on sigui, fins on ha de ser. Segons el cas, és possible que vulgueu iniciar-lo. Elabora les vostres polítiques de privadesa i els vostres avisos de política. Les polítiques de privadesa són internes. Els avisos de política passen a ser externs. Actualment, comencem a crear una cultura al voltant dels avisos de polítiques. S'ha realitzat molta comparació i molta redacció acurada al voltant d'aquests avisos sobre polítiques. Carta una comprovació del compliment de GDPR per a tots els sistemes, inclosos els nous sistemes. Pot ser que hagueu de seqüenciar-les i fer-les en algun tipus d’ordre d’importància, però aquesta és una altra manera d’afrontar el problema. Mireu els sistemes i què se suposa que haurien de fer i com gestionen aquestes dades.
Què fa senyal de GDPR? És el que estem aquí per parlar-ne una mica més. Espero el que ha de dir Kim sobre això. GDPR és un canvi en els controls de privadesa de dades cap a la regulació. Es tracta d’una tendència cap a la transparència, segons es diu en les disposicions. Creem aquesta cultura de notificacions de privadesa, com he parlat, ara és una cosa. Anem a veure conferències sobre avisos de privacitat, etc. El canvi GDPR és cap als drets fonamentals de les persones. Es treballaran preguntes obertes. Hi ha preguntes clarament obertes, hi he deixat unes quantes sobre la taula aquí. Ningú té la resposta. Es treballaran. Una tendència cap a una major comprensió per part de les persones sobre les seves dades i el seu ús. Crec que això ha augmentat la consciència entre la població de la UE sobre la importància de les seves dades i veient que és un dels seus actius personals que han de gestionar més. Aquests són alguns dels primers senyals que he vist, i Eric, ja us ho comunicaré.
Eric Kavanagh: D’acord, deixa’m lliurar les claus a Kim, que pot compartir alguna de les seves perspectives, però crec que va ser una bona visió general, William, i vas colpejar en els punts claus, és a dir, que això segueix a l’altura de la mateixa per segur i ho tenim. a tots, molt atent, francament. Amb això, deixa'm lliurar les tecles a Kim i pots compartir la pantalla i treure-la d'allà.
Kim Brushaber: Ei, allà em pots sentir?
Eric Kavanagh: Puc sentir-te.
Kim Brushaber: Impressionant. William va tractar algunes de les mateixes coses que vaig a tractar, però crec que val la pena cobrir-les de nou perquè són realment importants. Crec que quan es aproven noves regulacions, és molt bo tenir una gran quantitat de perspectiva i interpretació de persones diferents sobre això, de manera que alguna cosa et faci una idea i et permeti ser encara més conforme. Estic animat per totes les persones que participen en aquesta trucada que vulguin saber-ne més perquè crec que vindrà el 25 de maigthPot haver-hi molt de pànic a les empreses que han estat perseguides, sense complir-les.
Em dic Kim Brushaber, sóc el principal responsable de productes d’IDERA. Tinc sota meu diversos productes que ajuden al compliment de GDPR, així com d'altres normatives. Vaig a aprofundir en una mica de la informació. Començaré amb alguns fets i algunes xifres i aprofundiré una mica sobre GDPR i, concretament, sobre com us poden ajudar les nostres eines. Una dada és que es perden o es roben cada dia més de 5 milions de registres de dades. No sentim això notificat a les notícies, no ho sentirem procedir d’altres llocs, però hi ha més de 5 milions de registres de dades robats tot el temps, directament a sota de nosaltres. El nombre mitjà de dies que els atacants romanen inactius dins de la vostra xarxa és de 200 dies. Ja hi ha molts sistemes infiltrats per persones que –amb intenció maliciosa– que només esperen l’oportunitat de treure profit de la vostra informació, principalment en seguretat i certificats, però només esperen el seu moment per difondre’s. És per això que cada vegada és més important gestionar la vostra seguretat de les dades. Es preveu que el cost mitjà de l’incompliment de dades únic el 2020 superi els 150 milions de dòlars, ja que es connecta més infraestructura empresarial als recursos en línia i a mesura que augmenten les coses al núvol. Aquest és un bon número de pressupost si estàs preocupat per la seguretat de les dades, per donar-li al teu equip executiu, que els digui que aquest és un tema seriós i que ens pot costar molts diners endavant.
Examinaré breument l’incompliment de dades d’Equifax perquè crec que va ser l’incompliment més gran de dades del 2017, per tal de pintar una imatge del que voldria passar per això. L’incompliment va afectar 145,5 milions de clients. Els empleats van reconèixer el problema de seguretat amb la seva aplicació web dos mesos abans que es produís l’incompliment. Els empleats deien: "Aquest és un problema". I fins i tot, una mica abans, va sortir el pegat. Va passar un dia complet un cop que es va produir l’incompliment per respondre-hi i prendre l’aplicació web fora de línia. Com que Equifax no tenia un protocol de seguretat de dades definit, els va costar un temps significatiu fins i tot per esbrinar què estava passant i poder prendre fora del sistema fora de línia. Sis setmanes després de l’incompliment, es va alertar el públic. Amb GDPR, com hem dit més amunt i ho tornaré a dir, heu d’informar en un termini de 72 hores, i Equifax hauria tingut les mans lligades i no ha pogut complir aquest compliment perquè esperaven sis setmanes per informar-lo. La comunicació per respondre a l’incompliment incloïa un lloc web que ni tan sols era propietat d’Equifax. Els mateixos Equifax estaven retuitant aquest tuit que ni tan sols era del seu domini: havien revertit algunes de les paraules al voltant. Afortunadament, no era un lloc malintencionat que s’estava capitalitzant, però òbviament no estaven preparats. No tenien un pla en marxa i això es va fer molt conscient en l'àmbit públic. Equifax no està sol: hi ha més de 25 atacs cibernètics molt alts el 2017 fins ara, i encara podríem trobar-ne més abans de finals d’any. Les empreses realment han de començar a prendre's seriosament perquè la gent és fora i, si els donen una raó per voler venir a la vostra casa, és millor que estiguis disposat a poder-ho.
Algunes altres dades i dades sobre dades relacionades amb la seguretat de les persones. El 2020, hi haurà 30 mil milions de dispositius connectats a Internet a través de les nostres llars, a través dels nostres dispositius portàtils, a través dels nostres telèfons, de les nostres tauletes i qui sap què més encara pot arribar en els propers anys. Hi ha molts dispositius que es deixen vulnerables a aquests atacs. Quaranta-nou per cent dels nord-americans consideren que la seva informació personal és menys segura que la que hi havia fa cinc anys. El setanta-tres per cent dels consumidors a Amèrica vol que les empreses siguin transparents sobre les seves dades personals. El setanta-vuit per cent de la gent afirma tenir consciència dels riscos en fer clic en enllaços i enllaços desconeguts, però fan clic en aquests enllaços, això és més de les tres quartes parts de la nostra població i encara fan clic als enllaços, tot i que sé que pot ser un problema. El vuitanta-sis per cent dels usuaris d'Internet estan intentant activament minimitzar, anonimitzar i ocultar la visibilitat dels seus peus digitals. Al meu padrastre li agrada sortir i crear noms falsos quan emplena els formularis perquè creu que el fa anònim, però poc sap que es fa un seguiment de la seva adreça IP. Hi ha molta preocupació individual i és el que genera una gran quantitat de normes GDPR i, probablement, de reglaments addicionals.
Pel que fa a la indústria de seguretat de dades, el 90 per cent dels registres d’incompliment de dades del 2016 provenien de govern, venda al detall i tecnologia. Quaranta-tres per cent dels ciberataques van atacar petites empreses. Si penseu: "Oh, no sóc un noi gran, no voldran després de mi", encara hi ha gairebé la meitat d'ells que van després de petites empreses. El setanta-cinc per cent de la indústria assistencial ha estat infectada per programari maliciós durant l'últim any. El 70% de les empreses petrolieres i de gas nord-americana van ser piratejades el darrer any. Això suposa un impacte significatiu en diverses indústries que estan en marxa i aquest nombre només augmentarà a partir d’aquí.
Quan el mireu des de la perspectiva executiva, el 90 per cent dels CIOs admeten malgastar milions de dòlars per una ciberseguretat inadequada. El 90% afirma que han estat atacats o que esperen ser atacats per nois que s’amaguen en el seu xifrat. El vuitanta-set per cent creu que els seus controls de seguretat no protegeixen el seu negoci. El vuitanta-cinc per cent dels CIO esperen que un mal ús de les seves claus i certificats empitjori. Aquest és un gran nombre d’empreses que estudien aquest problema de seguretat de dades i la realitat és que moltes d’elles no tenen solucions molt bones fins i tot per poder-ne tractar quan passi, tot i que creuen que passarà.
Quan examinem la seva preparació, el 2014, el 70 per cent dels mil·lenaris van admetre que van introduir aplicacions externes a la seva empresa amb violació de les polítiques informàtiques. El setanta per cent ho va admetre, probablement hi hagi fins i tot un nombre més gran que això. El cinquanta-dos per cent de les organitzacions que van patir ciberatacs amb èxit el 2016 no van fer cap canvi en la seva seguretat el 2017. Tot i que van ser atacats una vegada, encara no van sortir i es van tancar per les parets, tan vulnerables com ells. eren abans de l'atac. Això ens fa la pregunta: què necessiten les empreses per començar a preparar-se per preparar-se? El trenta-vuit per cent de les organitzacions mundials afirma que està disposada a manejar un ciberataque sofisticat. Està bé: gairebé la meitat hi són, i sóc generós amb això, només estem a un terç, però hi ha almenys la meitat que diuen: "No estic a punt. Si m’atacen, no estic a punt i els hackers ho saben. ”El trenta-vuit per cent de les organitzacions tenen un pla de resposta a incidents cibernètics. La majoria de les empreses es troben al mateix cubell que Equifax, on no saben què faran. Si ho aconsegueixen, hauran de reaccionar i plantejaran aquestes coses sobre la marxa, i regulacions com GDPR diuen que “Heu de tenir-les al lloc. Els heu de publicar. Heu de demostrar-ho als auditors de seguretat. ”Esperem que amb impactes com aquest, amb regulacions així, puguem avançar aquesta corba i, en lloc de ser reaccionaris, puguem ser proactius en els nostres objectius.
Parlem una mica sobre GDPR. Alguna cosa d’aquest William ja ha cobert, però vaig a continuar i tornar a cobrir, només des de la meva perspectiva, la meva veu, la meva perspectiva. A moltes empreses amb qui parlo, com: "Estic als Estats Units, per què fins i tot m'hauria de preocupar aquesta regulació de la UE?" El fet que més gent no faci broma i que no parli més gent creuen que només afecten els membres de la UE, però us demanaria que, si mireu aquesta llista, recolliu alguna d’aquestes dades de membres de la UE? Si recopileu alguna d’aquesta informació, esteu subjectes als límits del GDPR, així com a les penalitzacions per no complir-les. Us donaré un segon per absorbir-ho i comprendre això. Com William va esmentar anteriorment, es tracta de les sancions i sancions tal com es fa referència a l'article 83 del GDPR. Al principi, potser teniu una bufetada a la mà, amb un petit advertiment dient: "Ei, ajunteu la vostra actuació. Posa-ho al seu lloc. ”Però si tens una violació molt gran, i en funció de l’important acord que sigui, et tornaran a la restitució, i és un nombre important. No 10 milions, sinó 20 milions d'euros o el 4 per cent de la vostra facturació / ingressos de l'any anterior. Això té molts diners Aquest pressupost té molts pressupostos als vostres equips executius i dir: "Això és el que hem de començar a prendre seriosament i que hem de prendre mesures".
Permetin-me recórrer una mica els principis de GDPR tal com s’exposen a l’article 5. Una de les coses que diuen és que les dades personals s’han de processar de manera legal, justa i transparent. Això vol dir que el públic vol saber què fas amb les seves dades. Sigui transparent i s’ha de publicar. La majoria de la gent no llegeix termes i condicions, però es tracta d’una informació nova que cal comunicar, de manera que els pugueu dir: “Les vostres dades s’estan gestionant adequadament”. Les dades personals s’han de recopilar per a una determinada, finalitats explícites i legítimes. Això vol dir que, amb l’esperança, ens podem desfer d’alguns d’aquests correu brossa, on les empreses diuen que recopilen informació per a un test que us indica com d’interessant pot ser, i que en realitat estan rebent les vostres dades i venent a altres persones , per poder utilitzar-lo per als que siguin els seus propòsits. Ara les empreses han de ser molt més responsables i dir exactament per a què utilitzen la vostra informació. També diuen que les dades personals han de ser adequades, rellevants i limitar-se al que sigui necessari. A moltes empreses els agrada agafar tota la informació i posar-la a un gran grup de dades, i després esbrinen què volen fer amb la informació més endavant i recopilen molt més del que sigui necessari. Això diu que no el podeu recollir ni utilitzar en cap altre lloc. No només podeu recollir tot i espereu que més endavant us resulti útil. Heu de ser molt explícit per què recopileu la informació i ha de ser rellevant per a les dades que esteu recopilant.
Les dades personals també cal que siguin exactes i es mantinguin actualitzades. Heu de proporcionar als usuaris maneres d’actualitzar les seves dades un cop les hagueu recollit; necessiten poder tornar i dir: "Ja ho sabeu, jo tenia aquesta opinió en alguna enquesta que em vau demanar informació identificable personalment i vull tornar enrere i vull canviar-la i actualitzar-la ara". per donar-los una manera de poder fer-ho. Les dades personals han de conservar-se de forma que permeti la identificació de les persones que no estiguin necessàries. Tornar al punt de William, que no podeu recopilar aquesta informació per sempre, heu de presentar allò que creieu que és vàlid i necessari i, després, netegeu les dades. També s’ha de processar de manera que garanteixi la seguretat adequada, inclosa la protecció contra processaments no autoritzats o il·lícits, pèrdues accidentals, destrucció o danys.
Com he dit abans, és hora de posar-nos realment seriosos en això, aturant aquests incompliments de dades, perquè no només es poden produir lesions que causen la vostra empresa en forma d’incompliments de dades, la pèrdua d’ingressos i el cost d’aprimar els seus processos. , però és possible que també tingueu un munt de multes aplicades a GDPR. Ha arribat el moment de començar a posar-nos molt seriosament al respecte i crec que a mesura que entri en vigor GDPR, les empreses es veuran davant de la dura realitat i, per sort, les persones que estigueu de moda poden començar a pensar en això i saber-ho. com vas a posar en pràctica aquestes coses.
GDPR també parla molt sobre quins són els drets de les persones; realment estan buscant els usuaris. El primer és el dret a accedir a les vostres dades personals. Els usuaris han de saber quina informació heu recopilat en la informació personal identificada i heu de proporcionar una manera de poder-hi accedir. També hi ha un dret a la rectificació, que és una manera fantàstica de dir: "He de ser capaç de corregir la informació que teniu sobre mi." El dret a esborrar, que de nou, molta gent està expressant el dret a oblideu-vos-si un individu diu: "Ja sabeu què, jo ja no vull que sàpigueu que sóc un col·leccionista de còmics fantàstic, divertit, heu de desfer-vos d'això. Tinc alguns amics que em molesten al respecte i m’esborren completament de la llista ”, haureu de poder fer-ho. També hi ha el dret a restriccions de processament i això significa que els usuaris poden limitar la manera de processar la seva informació. Poden dir: "No m'importa que prenguis les meves dades perquè estic comprant un cotxe nou, però no em facin servir aquesta informació i em brodin correu brossa en ofertes noves cada cop que surtin automòbils nous". dret a la portabilitat de les dades, cosa que significa que els usuaris haurien de poder obtenir una còpia de les seves dades i poder portar-la en qualsevol altre lloc. Moltes organitzacions recopilen informació i aquesta informació té un factor enganxós, i ara els individus poden dir: “Sabeu què, vull que emporteu tota la informació i ara vull que la doneu al vostre competidor, així que puc moure aquesta més ”.
Hi ha moltes coses que s'han de pensar en una organització prospectiva sobre com podreu fer-ho i quina informació voleu recopilar i recuperar. També hi ha un dret a oposar-se i els usuaris també poden oposar-se al tractament de les seves dades. Dret a no ser sotmès a una decisió basada únicament en processament automàtic o perfilació. Això té un impacte significatiu en el màrqueting B2B. Si esteu asseguts allà i proveu les proves A / B i intentareu identificar, el Colorado tindrà una influència més gran que una de Califòrnia, així que acabeu de fer perfilació, mirant un estat. contra un altre i heu de mirar com un individu hauria de poder optar per això.
Tenint en compte que tenim algunes coses que fan por pel que fa a la vulneració de dades i la manera com la gent mira les seves dades i tenim aquesta enorme regulació que està sobre les nostres espatlles, ara estic aquí per donar-vos les dades la solució sobre com ajuda IDERA. L’article 15 parla sobre com controlar l’exposició a dades personals. Heu de saber qui accedeix a les vostres dades. Com l'utilitzen La quantitat de dades processades i el Gestor de compliment de productes SQL, del qual sóc gestor de productes, permet veure qui accedeix a les vostres dades i com. SQL Compliance Manger és per a solucions SQL Server. Si teniu una base de dades SQL Server, podeu connectar aquest producte per poder auditar i mirar aquesta informació, de manera que pugueu complir GDPR i saber exactament com s’utilitza. També podeu veure les infraccions de dades abans que es produeixin i ho parlaré en una altra diapositiva. També hi ha un article que diu: “necessito registre d’activitats de processament. Necessito registrar-me i necessito controlar les operacions i necessito saber qui processa les dades personals i qui té accés a aquests sistemes. ”SQL Compliance Manager manté l’auditoria de servidors i bases de dades, incloses seguretat, DDL, DML, a més de definir dades sensibles . SQL Compliance Manager permet auditar l'accés de seguretat i registrar un intent, de manera que podeu veure qui accedeix a la informació, així com qui inicia la sessió, si és un usuari privilegiat, si és un usuari conegut o si pot ser un usuari malintencionat.
L’article 33 parla de la notificació de l’incompliment de dades personals a una autoritat supervisora. Heu de poder detectar aquests incompliments; necessiteu registres per poder avaluar l'impacte; heu de saber amb quina rapidesa podreu posar-hi remei. Per fer-ho, SQL Compliance Manger us permet configurar alertes a les vostres bases de dades per veure qui té accés a les vostres dades sensibles, quan van accedir-hi i a què accedien. També us permet descartar els vostres usuaris privilegiats habituals de la vostra auditoria. Si teniu l'administrador de sistemes o l'administrador de xarxa que sabeu que hi podran accedir i no voleu obstruir els informes, els podeu descartar i dir: "Dóna'm tot el que està passant fora d'aquesta informació". Permet identifiqueu ràpidament si algú està accedint malament a les vostres dades i podeu tenir alertes que hi hagi lloc, que us permetran saber el moment en què comença a passar i, a continuació, el moment en què s’accedeix a la informació, per tal de descompondre-les No heu d'esperar un dia sencer per esbrinar què passa, com ho va fer Equifax.
També hi ha un article que parla sobre protecció de dades i avaluació d’impacte. Això permet avaluar els vostres riscos i comprendre quins són, a més de demostrar i documentar el vostre compliment amb GDPR. SQL Compliance Manager us permet informar sobre elements que s'estan supervisant. En poques paraules, auditant les vostres dades amb SQL Compliance Manager, SQL Compliance Manager us permet detectar els inicis d’inici de sessió fallits, cosa que és un senyal potencial d’incompliment: supervisar les activitats administratives i els canvis de seguretat, avisar-vos de les modificacions de la base de dades, auditar. les columnes que definiu com a informació sensible, identifiqueu usuaris privilegiats i feu el seguiment de la seva activitat per separat dels altres usuaris del vostre sistema, denuncien que la informació s’està verificant d’acord amb diverses directrius reguladores. No només cobrim GDPR, sinó que cobrim HIPAA, PCI, FERPA, SOX, totes les directrius reguladores a l’hora de verificar la informació i comprendre el que s’accedeix, tenim aquestes directrius reguladores vigents.
Disposem de productes addicionals a IDERA per a la preparació de GDPR. Més enllà de només l’auditoria que fa el SQL Compliance Manager, tenim ER / Studio Enterprise Team Edition, que us pot ajudar a documentar els vostres processos de dades i a incorporar estàndards de dades al vostre model de dades, podeu crear glossaris de dades de què parlava William en una diapositiva anterior . Tal com he indicat aquí amb aquesta presentació, SQL Compliance Manager us pot ajudar a auditar la vostra informació per assegurar-vos que les persones equivocades no accedeixen a les vostres dades, a més de demostrar-ho als auditors. La còpia de seguretat de SQL pot ajudar-vos a xifrar les dades i les còpies de seguretat. El xifrat és una part essencial de GDPR, que no vaig incloure en grans detalls, perquè volia centrar-me molt en els actius del Compliance Manager, però SQL Safe Backup fa molt del xifrat per tal que les vostres dades puguin romandre segures. SQL Inventory Manager pot assegurar que els servidors estan pegats i actualitzats, de manera que no acabi en un cas com Equifax, on tenien un pegat desfasat que els proporcionava un gran forat de seguretat que la gent va poder fer fer servir malament. SQL Secure pot verificar la privadesa i els criteris de xifrat.
Per obtenir més detalls al lloc web de la comunitat IDERA, al nostre bloc, he publicat un Preparació per a GDPR i mirarem cap al 2018 i entenem quin és l'impacte de GDPR i també hi ha, certament, podeu descarregar una còpia de prova de SQL Compliance Manager. a IDERA, així com a qualsevol dels altres productes que acabo de mencionar anteriorment a la diapositiva.
Arribat a aquest moment, faré la presentació a Eric, per tal de fer-nos algunes preguntes.
Eric Kavanagh: D'acord. Vau tocar algunes coses realment interessants, Kim, una de les quals –crec que això és senzill, però és molt intel·ligent–, vau parlar de la detecció d’inicis de sessió fallits. Em sembla un bon senyal que algú no té res de bo?
Kim Brushaber: Absolutament. Si veieu algú que ha intentat accedir i trencar la vostra contrasenya, és una manera molt ràpida de poder dir que algú no fa el que hauria de ser. Potser un parell de vegades podríeu escriure la vostra contrasenya de manera incorrecta, però si veieu que hi ha trenta, això és un mal signe.
Eric Kavanagh: Sí. Aquí teniu la possibilitat de configurar les vostres alertes amb les indicacions adequades. Què més ens podeu dir sobre com gestionar el procés de configuració d'alertes i desactivació de les que no fan el que haurien de fer i quant d'aquestes coses es poden automatitzar?
Kim Brushaber: Compliance Manager té moltes alertes configurables, a més d'informes que podeu revisar. Anem a través dels vostres rastres SQL i el seguim automàticament i en tenim molts ja configurats i predefinits, però també hi ha una quantitat important de personalitzacions.
Eric Kavanagh: William, t’ho introduiré en això, em sembla que una de les àrees on veurem que l’aprenentatge de màquines entrarà en joc en els propers dos o deu anys més o menys, està buscant totes les diferents possibilitats. Tenint en compte les diferents maneres en què un sistema pot optimitzar la seva eficiència, és efectiva al voltant de problemes com ara incompliments i altres. És també la vostra presa?
William McKnight: Sí, absolutament. Crec que ara estem construint sistemes que reparen ells mateixos. El seguiment 24 per 7 ja comença a caure i es converteix en cosa del passat, tot i que encara necessitem aquest temps de temps. Crec que els sistemes s’incrementen en gran mesura i esbrinen què és incorrecta. Hem de destinar més espai aquí o què teniu? Sí, crec que definitivament és una part del nostre futur. Qualsevol cosa allà fora que pugui ser assenyalat a alguns passos d’acció, com a resposta a alguna cosa, és sensiblement vulnerable a la intel·ligència artificial.
Eric Kavanagh: És un bon punt. Em llançaré una altra pregunta, William, perquè sé que fas moltes investigacions sobre aquest espai. Una de les coses que he estat esperant des de fa temps i no crec que encara hi siguem –crec que ens apropem, només del que he llegit i pensant en això– és un dia en què hi haurà tecnologia per absorbir problemes de regulació, la redacció real d’aquestes coses, i mapar-la a la funcionalitat i al programari. Tal com dic, encara hi ha una manera d’això, no puc imaginar que hi hagi ningú que hi treballi. Heu trobat alguna cosa així, o encara estem en un moment en què els éssers humans necessitem mirar les regles, intentar-les comprendre, codificar-les en clau de màquina, fonamentalment, i, després, ajustar-les a les seves diverses aplicacions?
William McKnight: Bé, sens dubte tinc el concepte que compartiu aquí. No conec cap cosa que passi cap a un llançament en un entorn relacionat amb això. Diré, en general, però, evidentment, comencem a dir a les màquines no què fer, però quin és l'objectiu del que volem fer i les màquines són molt més intel·ligents en esbrinar els detalls. Crec que una vegada que tinguem una intel·ligència més artificial a les nostres organitzacions, és molt possible que es puguin desenvolupar noves regulacions de manera conjunta amb l'AI que es desplegui a les organitzacions de manera que es puguin desenvolupar de la manera que vau descriure en el futur. De moment, no actuem amb això.
Eric Kavanagh: Aquí hi ha una pregunta que us llançaré, Kim, perquè també és interessant. Parles de la latència mitjana o del temps que algú que s’inicia al sistema s’amaga i acaba d’esperar, el nombre de dies que un atacant es va quedar inactiu dins d’una xarxa: la detecció és de 200. Tinc curiositat per saber quins són els vostres pensaments sobre com millorar això, primer de tot? Però també, hi ha alguna manera d’utilitzar aquest tipus de regles per explorar el vostre propi sistema? Per explorar les vostres pròpies dades, per fer un millor treball per mantenir aquests tipus de persones fora?
Kim Brushaber: Sí, crec que òbviament és clau la detecció precoç. Heu d'esbrinar que aquests llocs malintencionats estan accedint a la vostra informació i podreu bloquejar-la. Crec que a les altres diapositives on es demostra que la majoria d’organitzacions no tenen aquestes polítiques. És per això que s’asseuen allà Crec que, si realment teníeu una política per aplicar i bloquejar l’accés i assegureu-vos que tinguin accés les persones adequades. Assegureu-vos que feu girar les tecles de forma regular i les actualitzeu. Assegureu-vos que les vostres contrasenyes s’actualitzin regularment i feu aquest tipus de coses, que semblen bastant bàsiques. Ara mateix, la majoria d’organitzacions ni tan sols ho fan, i començar a posar aquestes peces al seu lloc us ajudaran a superar-vos.
Per descomptat, significa que els pirates informàtics estaran més enginyosos, però de moment és fàcil, és com: "Vaig a mirar les cases del carrer que sento que vull trencar-les? sistemes? Tenen una petita senyal d’alarma i que un té gossos? Aniré a un que no tingui cap senyal d’alarma, no tingui un gos i aquesta sigui la casa a la qual vaig a entrar. ”Bé, trobaran les empreses que no No teniu la seguretat al lloc i no tenen la seguretat al seu lloc i no actualitzen les seves contrasenyes i aniran a passar i penjar-hi i fer servir la targeta de crèdit a una benzinera dues vegades per assegurar-vos. no ho heu tancat i aleshores quan poden influir en un canvi important, normalment és una mena de declaració política o d’una altra manera és quan els veieu clavant el cap. Com posar en marxa aquestes polítiques, crec que en aquest moment podeu fer uns passos força mínims per poder avançar en aquest joc.
Eric Kavanagh: Probablement sigui el millor consell i sempre ho escolto quan parlem amb persones que es troben a l’espai de seguretat o a l’espai regulador, que les bases bàsiques cobriran el 80 per cent del problema, i que hi ha molt de terreny per cobrir, que és un bon punt. Un dels assistents va preguntar sobre si algú podria aprofitar les oportunitats de negoci que es podrien extreure dels esforços de compliment de GDPR, em recordo a Sarbanes-Oxley i suposo, William, que us ho passaré. Com a consultor, sempre esteu buscant maneres d’ajudar els vostres clients fora de l’abast d’un determinat projecte, almenys si sou un bon consultor que ho feu. Quan parleu amb persones sobre GDPR, quins són els avantatges accessoris que podeu obtenir si aconsegueixen si participen en algun projecte centrat en això?
William McKnight: Primer de tot, és important tenir en compte que la idea que hi ha darrere de GDPR no són els drets complets sobre el ciutadà. Hi ha l’altra cara de GDPR, és a dir, que millorarà la confiança que tenen els ciutadans en les nostres empreses i que passarà a animeu-los a fer més negocis a les empreses que compleixen. Hi ha aquells avantatges accessoris d’aconseguir efectivament el vostre GDPR, ara a l’interior, els programes de govern de dades que implementem serveixen per facilitar tota mena d’iniciatives, realment, que s’inicien a les organitzacions i avui, amb molta diferència, les iniciatives que s’estan iniciant. fora de les organitzacions. Fa poc he realitzat una planificació per al 2018 amb molts d’ells, tenen a veure amb les dades, molt, són com entre el 65 i el 90 per cent de totes les dades, quan parleu de telemàtica o programa de client 360. o un quadre de comandament per supervisar els venedors, es tracta principalment de les dades. Qualsevol cosa que gestioni millor aquestes dades, que ho integri en una arquitectura millor que nomeni les persones que són pròpies i que puguin respondre a totes i totes les preguntes sobre aquestes dades, que realment importa com un programa de govern de dades. Tot allò que ens ofereix un glossari de dades, com en parlava Kim amb les seves eines, qualsevol cosa que faci això, és molt útil fer aquestes iniciatives molt més eficients, arriscar-les, reduir el temps, reduir el pressupost per obtenir-les i obtenir-nos. a un moment àgil per comercialitzar coses molt més ràpides i bones per a que una empresa faci iniciatives, que són totes les empreses.
Eric Kavanagh: M'encanta aquest concepte de confiança. Crec que la confiança és una realitat molt poc apreciada al nostre món i, francament, la majoria dels negocis tenen confiança. Us la faré arribar només per a alguns comentaris de tancament, Kim. Crec que un dels principals valors afegits aquí és millorar la confiança i fomentar una cultura de confiança, ja que això no només tindrà impactes positius en la companyia mateixa, en les persones de l’empresa per si mateixa, sinó també en el que percep el públic perquè aquest tipus de la cosa s’esvaeix, em sembla, però què en penses?
Kim Brushaber: Sí, crec que quan parlo amb amics que treballen a Google o treballen o en algunes de les organitzacions més grans i de gran abast, no estan implementant gairebé tantes novetats com a la implementació de protocols de seguretat i problemes de rendiment i escalabilitat perquè volen que la seva experiència d’usuari sigui aquella on creuen que poden confiar en aquesta informació. Crec que les empreses tenen aquesta responsabilitat mentre continuem avançant per proporcionar aquest tipus de confiança. Recordo quan la gent va començar a posar targetes de crèdit en línia i la gent és com: "Déu meu, no vaig a donar aquesta informació per allà perquè no està segura".
I ara, la targeta de crèdit va de qualsevol manera perquè, en teoria, penses que pots confiar en l’empresa perquè té un certificat HTTPS. A continuació, escolteu les infraccions a les dades de l'objectiu quan apareixen les targetes de crèdit, com "Oh, és millor que comercialitzeu la targeta de crèdit perquè deixem passar aquesta informació". Crec que és un sentiment bidireccional. Crec que els individus, tot i que volen confiar més perquè és molt més fàcil, poder confiar i tenir fe en això a les grans organitzacions, les grans organitzacions han de treure i posar en marxa aquestes peces perquè es donin. No perjudicarà l’individu o perds quota de mercat. La gent diu: "Bé, ja ho sabeu, no vaig a comprar a Target, ara vaig a comprar a Amazon". Crec que la confiança és un gran problema, tot i que, com dèiem, el 78 per cent de la gent és Encara heu de fer clic en aquest enllaç a un, tot i que saben que no. Hi ha una certa protecció de les persones, fins i tot quan confien en vosaltres.
Eric Kavanagh: És un bon punt. Ja sabeu què, us llançaré una última pregunta, William, o almenys una altra, ja en sortirem de bones. Un assistent escriu: “GDPR trasllada la gestió de la identitat al client, on pertany. Equifax va danyar definitivament 149 milions de consumidors, "molt cert", que contamina l'economia digital. Quins canvis es produeixen als EUA en matèria de propietat del client respecte a la gestió de la identitat? "
William McKnight: Bé, sempre estem enrere als EUA quan es tracta d’aquest tipus de coses, no? Cent quaranta-nou milions, que no són ni una caiguda a la galleda aquí. És gairebé com un terrorisme, no? Estem tan acostumats, només succeeix tot el temps. Crec que cal fer alguna cosa. Crec que GDPR m’agraden els drets que dóna als ciutadans, però no sembla que sigui una prioritat: hi ha moltes altres prioritats i no sé on anirà. Crec, com he comentat a la diapositiva de ramificacions que tenia, que això indica un canvi cap a més drets per part del consumidor sobre les seves dades. Quan això passa aquí als EUA? No ho sé, podrien passar fins a cinc anys per veure que hi hagi alguna cosa proporcional a GDPR aquí als Estats Units.
Eric Kavanagh: És un punt molt bo i crec que anirem fent més esforços al respecte perquè, siguem, estem passant a una economia digital aquests dies. I com a comentari de tancament aquí, aconseguint una mica filosòfic i orientat a les polítiques, això és el que més em preocupa del pas cap a una societat sense diners, perquè quan el diner desapareix, si això passa, tot és digital i tots els sistemes poden piratejar. i es pot robar la identitat de cada persona. Em sembla que és un elefant força gran a la sala, ja que mirem la mirada cap al futur de la gestió de la identitat.
Tot són coses fantàstiques. Gràcies a William McKnight pel seu temps i atenció avui. Gràcies a Kim Brushaber d'IDERA. Arxivem tots aquests transmissions web per a la seva posterior visualització, així que no dubteu en tornar, normalment en poques hores i l'arxiu estarà llest. Amb això, us acomiadarem, amics. Gràcies de nou pel vostre temps i atenció. Tingueu en compte. Adeu.