Oleh Staf Techopedia, 6 Desember 2017
Takeaway: Tuan rumah Eric Kavanagh membahas Peraturan Perlindungan Data Umum UE yang akan datang dan dampaknya pada industri. Bergabung dengannya adalah William McKnight dari McKnight Consulting Group dan Kim Brushaber dari IDERA.
Anda saat ini belum masuk. Silakan masuk atau daftar untuk melihat video.
Eric Kavanagh: Oke, tuan dan nyonya, halo dan selamat datang sekali lagi. Ini hari Rabu jam 4 Eastern Time, yang berarti ini waktunya sekali lagi - salah satu yang terakhir di tahun 2017 - untuk Hot Technologies. Ya, memang, nama saya Eric Kavanagh - saya akan menjadi moderator Anda untuk acara hari ini. Kita berbicara tentang topik yang jauh jangkauannya, untuk sedikitnya. Saat ini, sepertinya tidak seperti itu - konsep GDPR, Peraturan Perlindungan Data Global. Ayo maju dan selami ini, ini bukan tentang Anda, cukup tentang saya. Tahun ini panas, benar-benar panas dalam banyak cara yang berbeda, tetapi peraturan yang akan datang dari GDPR dan dari organisasi lain, terus terang, memaksa kita untuk memikirkan kembali apa yang terjadi di dunia bisnis, khususnya karena hasilnya, atau karena berkaitan dengan data. Kita akan mendengar dari Kim Brushaber dari IDERA dan juga William McKnight dari McKnight Consulting Group.
Hanya beberapa kata cepat tentang topik yang ada, teman-teman. GDPR pada dasarnya mengatakan bahwa organisasi harus memiliki kebijakan privasi-pertama dan keamanan-pertama sehubungan dengan data dan benar-benar, ini tentang beberapa hal yang mungkin Anda dengar - seluruh hak untuk dilupakan, misalnya, adalah bagian dan sebagian untuk sepanjang saat ini, dan itu hal yang sangat menarik. Ini tentu saja berlaku dalam hal prinsip dan etika. Namun dalam hal implementasi aktual, ini merupakan tantangan yang cukup serius. Hak untuk dilupakan mengatakan bahwa jika Anda ingin beberapa organisasi tidak memiliki data Anda, data pribadi Anda yang sensitif, mereka harus membuangnya. Nah, Anda bisa bayangkan ketika beberapa lingkungan data yang benar-benar heterogen, betapa sulitnya itu. Untuk dapat menjangkau ke setiap tempat di mana data Anda gigih dan menariknya keluar, itu tidak akan terjadi, itulah intinya. Meskipun demikian, organisasi perlu memiliki kebijakan, untuk dapat mengatasi masalah tersebut, dan itulah yang akan dicari oleh regulator, saya cukup yakin.
Ini masalah besar. Organisasi tidak hanya perlu menghapus data Anda jika Anda mengatakannya, tetapi jika mereka telah melatih algoritma tentang data itu, secara teknis mereka juga harus melatih ulang algoritma tersebut. Itu perintah yang berat, saya harus memberi tahu Anda, tapi itu akan datang, akan mulai menurun, itu akan menjadi kenyataan di bulan Mei tahun depan dan ada peraturan lain juga. Kanada memiliki undang-undang antispam yang telah mereka lewati, itu berdampak pada bagaimana kita menangani informasi pribadi. Netralitas bersih mulai menurun sekarang, tentu saja sudah dicabut, pada dasarnya, dan itu akan mengubah beberapa hal. Ada banyak peraturan yang sangat serius ini yang memengaruhi bisnis di seluruh dunia dan di seluruh dunia, di mana organisasi besar benar-benar perlu mulai memikirkan dan mempersiapkan diri untuk itu.
Untuk itu, kami membuat William McKnight online dari McKnight Consulting Groups untuk memberi tahu kami apa yang ia pikirkan dan mengapa GDPR, sebenarnya, hanyalah puncak gunung es. Dengan itu, William, aku akan menyerahkannya padamu. Bawa pergi.
William McKnight: Terima kasih, Eric, dan seperti yang Anda katakan, seperti yang dikatakan slide, GDPR ini mungkin adalah puncak dari gunung es - itulah yang kami pikirkan. Sangat penting bagi kita untuk menyelami GDPR secara mendalam karena saya pikir itu mewakili gelombang regulasi yang turun ke pipa yang harus kita hadapi. Untungnya, Eric, ada beberapa standar masuk akal tentang hak untuk dilupakan, yang akan saya dapatkan. Namun demikian, dalam perjalanan saya tahun ini berbicara tentang GDPR, saya pikir ada banyak perusahaan, terutama perusahaan AS, yang belum siap untuk ini. Ini benar-benar panas dan sesuatu yang kami tidak pikirkan setahun yang lalu, ketika mereka hanya mencoba beberapa hal, tapi sekarang ini adalah peraturan dan kami harus menghadapinya, seperti yang Anda katakan, Eric, Semoga segera datang. di sini - jadi tidak jauh sama sekali.
Sedikit tentang saya, saya akan membahas ini dari perspektif data. Untuk memberi tahu Anda, saya adalah orang data seumur hidup dan konsultasi sekarang selama 19 tahun di bidang data, dan GDPR banyak tentang data. Saya akan mengajukan sejumlah solusi di sini, saat saya masuk ke presentasi saya seputar tata kelola data. Saya sudah, tentu saja, melakukan banyak program tata kelola data dan saya pikir jika Anda selaras dengan konsep itu, Anda melakukan beberapa tata kelola data, banyak perusahaan di luar sana akan berada cukup jauh di jalurnya. sebenarnya, untuk kepatuhan GDPR, tetapi akan ada banyak, dan yang paling jujur ada di belakang dalam pemerintahan dan karena itu sangat ketinggalan dalam persiapan GDPR mereka. Mari kita mengatur level di sini dan memahami apa arti GDPR dan saat kita semakin dalam dalam percakapan, kita akan masuk ke dalam lebih banyak konsekuensi GDPR pada kehidupan bisnis saat kita melangkah maju ke tahun baru dan seterusnya.
GDPR adalah untuk privasi data warga negara Uni Eropa. Ini adalah peraturan - berarti memiliki gigi, berarti dapat ditegakkan. Itu bukan sesuatu yang diajukan di sana sebagai saran - yang sudah terjadi dan sekarang sudah dibentuk menjadi peraturan dengan hukuman. Saya suka memulai dengan hukuman karena itu benar-benar mendapat perhatian orang. Ini adalah hukuman berat. Ada dua penalti, ada 2 persen dari pendapatan tahunan di seluruh dunia atau 10 juta euro jika bisnis gagal mematuhi kewajiban keamanan, tetapi yang lainnya, melanggar ketentuan lain - dan saya akan menerimanya - itu 4 persen. Anda mendengarnya remuk - 4 persen. Dan omong-omong, ini 4 persen atau 10 juta euro, mana yang lebih besar. Ini sangat kaku. Orang-orang sangat serius tentang ini. Berlakukan mulai 25 Mei 2018 - itu adalah tanggal kunci, saat itulah audit dapat dimulai, saat itulah Anda bisa mendapatkan denda Anda. Pasti Anda ingin siap untuk ini. Setiap perusahaan yang saya tangani, saya berurusan dengan banyak perusahaan Global 2000, mereka ada di suatu tempat dalam persiapan GDPR mereka, beberapa lebih dari yang lain dan beberapa harus lebih dari yang lain pada saat ini. Tentu saja, akan sulit untuk bertemu tanggal itu untuk beberapa orang, dan kita akan lihat nanti.
Ini adalah rezim kepatuhan privasi data yang paling menyeluruh yang kami lihat hingga saat ini. Ketika kita akan melihat sesuatu yang lebih kaku atau sesuatu yang mempengaruhi mungkin populasi AS lebih langsung, siapa tahu, tapi itu di luar sana dan pasti perlu dipatuhi. Ini membutuhkan organisasi untuk memahami apa yang warga negara UE PII - kita kenal dengan hak PII - informasi yang dapat diidentifikasi secara pribadi, jaminan sosial, nomor telepon, alamat, hal-hal yang dapat secara unik mengidentifikasi seseorang atau mengidentifikasi seseorang dengan cukup unik. Apa yang mereka miliki dan bagaimana mereka menggunakannya. Ini berarti inventaris. Ini berarti peraturan dalam perusahaan Anda sendiri tentang data semacam ini. Omong-omong, AS tidak memiliki undang-undang perlindungan data nasional apa pun. AS selalu - saya akan katakan di belakang, untuk menempatkannya dalam perspektif - di belakang Eropa dalam hal peraturan semacam ini, dan itu terus berlanjut. Itu melanjutkan GDPR, itu cukup jelas. Beberapa dari Anda mungkin tahu tentang perisai privasi, Anda mungkin bertanya-tanya tentang itu. Ada sekitar tiga atau empat ketentuan dalam GDPR yang memiliki tumpang tindih dengan perisai privasi, tetapi ada seratus ketentuan dalam GDPR, jadi itu jauh lebih dari itu dan tentu saja masih ada dan yang ada hubungannya dengan pertukaran data AS dan UE hanya saja, meskipun itu penting.
Sekali lagi, saya suka memulai dengan angka. Anda mendengar tentang denda, bagaimana dengan bagaimana Anda bersiap untuk itu. Penganggaran untuk GDPR dan melakukan beberapa hal ini, ini tergantung pada beberapa faktor. Jumlah data PII yang Anda kumpulkan pada warga negara Uni Eropa. Jika Anda tidak mengumpulkan, OK, Anda mungkin patuh dan tidak harus berurusan dengan ini, tetapi Anda mungkin melakukan panggilan ini karena Anda mengumpulkan beberapa di suatu tempat. Ukuran perusahaan Anda dan kematangan tata kelola data Anda, yang seperti saya katakan sebelumnya, mungkin mendekati apa yang perlu Anda lakukan untuk merespons GDPR. Anda dapat mengharapkan hingga beberapa juta USD atau euro, tergantung pada masalahnya, untuk kepatuhan. Namun, kami ingin, tidak ingin hanya mematuhi GDPR, untuk mencentang kotak itu, tentu saja kami harus melakukannya. Mudah-mudahan, Anda tidak dalam situasi direr di mana Anda hanya ingin memeriksa kotak itu. Cari keuntungan bisnis karena banyak hal yang Anda lakukan untuk mendukung GDPR baik untuk bisnis Anda. Tata kelola data baik untuk bisnis Anda. Dalam hal jumlah data PII, beberapa lebih penting daripada yang lain, beberapa akan lebih diteliti daripada yang lain, seperti kesehatan terkait data, akan diatur jauh lebih ketat di bawah GDPR daripada jenis data lainnya dan akan membutuhkan kepatuhan dengan kewajiban tambahan seperti melakukan penilaian dampak perlindungan data yang, jelas, menambah anggaran Anda.
Sedikit tentang penganggaran. Jika Anda berada di Inggris atau AS dan bertanya-tanya bagaimana pengaruhnya terhadap Anda - GDPR memengaruhi Inggris, yang masih berada di UE, sampai tanggal 29 Maret 2019 dan pemerintahnya telah mengindikasikan bahwa sesuatu seperti GDPR akan terus berlanjut setelah tanggal itu karena "Itu ide yang bagus." Perusahaan-perusahaan Inggris harus mematuhinya. Data warga negara Inggris tentu berada di atas meja untuk ini. Jika tidak jelas, ada bisnis yang berbasis di AS, jika Anda berurusan di UE, dengan data warga negara UE, ini tentu berlaku untuk Anda. Ini memiliki konsekuensi pada arsitektur data Anda karena Anda mungkin akhirnya harus menutup data Uni Eropa dari yang lain dan memperlakukannya secara berbeda. Itu memengaruhi analitik, seperti yang dikatakan Eric, dalam cara Anda menyusun analisis itu dan seterusnya. Mungkin lebih sulit sekarang untuk menjalankan segala jenis analitik, konsep global-lebar berjalan. Mereka mungkin menjadi lebih terlokalisasi sebagai akibat dari GDPR.
Apa yang ada dalam ketentuan? Ada standar perlindungan data. Ini semua kecuali menentukan enkripsi data saat istirahat dan bergerak. Saya akan berbicara tentang enkripsi selanjutnya. Ada standar pemberitahuan pelanggaran data. Tidak ada lagi menunggu selama berbulan-bulan, menunggu perempat untuk membiarkan semua orang tahu. Saya pikir ada yang besar beberapa hari yang lalu dan kami menemukan, "Oh, itu terjadi setahun yang lalu." Tidak ada yang dengan GDPR - Anda memiliki 72 jam. Itu nama dan kebijakan rasa malu. Semoga tidak ada yang mengerti, jelas beberapa orang akan melakukannya. Pelanggaran akan berlanjut, bahkan setelah GDPR, tentu saja. Ada proses untuk memantau lokasi dan kualitas data. Terdengar akrab? Itu benar-benar jantung dari tata kelola data. Semoga Anda memiliki beberapa di antaranya.
Warga negara Uni Eropa memiliki hak untuk dilupakan, seperti yang disebutkan Eric. Ada beberapa standar kewajaran untuk ini, Eric. Anda tidak perlu menghapus semuanya, jika Anda harus menghubungi kembali pelanggan itu, karyawan itu, Anda diizinkan untuk menjaga aspek-aspek tertentu dari data pribadi mereka. Namun, meskipun demikian, warga tersebut memiliki hak untuk dilupakan, tetapi tidak ada upaya yang tidak proporsional - itulah bahasanya - pada Anda atau membahayakan perusahaan, itu pada Anda untuk melenyapkan data itu. Saya tidak ingin mengecilkannya, tetapi Anda juga harus merilis salinan data pribadi yang telah ditahan dan Anda hanya bisa mendapatkan data itu di bawah persetujuan. Persetujuan itu harus diberikan oleh orang-orang yang usia minimum untuk memberikan izin tersebut. Itu seteguk di sana, tapi itu memberi warga banyak hak atas data mereka. Itu mudah dibawa di sana, kalau-kalau pernah muncul. Hak untuk dilupakan, jelas, tetapi juga - dan sesuatu yang tidak ada pada slide saya yang cukup penting - adalah subjek data berhak untuk tidak tunduk pada keputusan yang hanya didasarkan pada pemrosesan otomatis. Untuk apa kita bergerak? Pemrosesan otomatis, sekitar penerimaan pinjaman, penawaran apa yang akan kami berikan, ini semua perlu dikerjakan dalam hal bagaimana ini akan dimainkan dan seberapa jauh ini akan berjalan. Apa yang pada dasarnya dikatakan adalah transparansi tentang mengapa saya ditolak, mengapa saya diperlakukan dengan cara tertentu oleh perusahaan ini. Ini adalah hak saat ini, diberikan kepada warga negara UE.
Jelas, ada beberapa konsekuensi pada bagaimana kita melakukan bisnis dan mudah-mudahan Anda melihat bahwa GDPR bukan masalah IT, bukan masalah IT saja. Semua proses bisnis ini terlibat. Ini akan melibatkan orang-orang dari seluruh perusahaan. Penunjukan petugas perlindungan data direkomendasikan untuk perusahaan-perusahaan dengan lebih dari 250 karyawan dan Anda memiliki "matematika kritis dengan data PII UE". Anda dapat memutuskan sendiri apakah Anda memiliki matematika kritis itu, terkadang jelas, kadang tidak. Tapi, ada peran baru - tidak harus menjadi peran penuh-waktu, orang tersebut dapat memiliki tanggung jawab lain, tetapi saya tidak tahu - di beberapa perusahaan menengah dan besar, saya kira mengikuti GDPR akan menjadi dekat dengan peran penuh waktu. Saya akan mengatakan mulai dengan cara itu dan lihat apakah Anda dapat mengatasinya. Terutama pada tahun berikutnya, saat Anda melakukan aksi bersama di sekitar GDPR, setelah diselesaikan, mungkin Anda dapat memperlambat pekerjaan dalam hal ini, tetapi itu akan memakan waktu beberapa perusahaan. Izinkan individu untuk melihat data mereka sendiri dan portabilitas data, seperti yang saya sebutkan sebelumnya.
Ngomong-ngomong, ini tidak semua baru, tetapi hak untuk dilupakan sebenarnya ada di luar sana, percaya atau tidak. Peraturan UE saat ini sudah memberikan hak untuk menghapus atau membuat data pribadi tidak tersedia. Namun, sekarang ini bagian dari GDPR, itu akan ditegakkan jauh lebih luas. Enkripsi data - mengenkripsi data Anda saat istirahat. Gunakan metode enkripsi standar, jangan gunakan enkripsi buatan sendiri atau tidak standar Anda. AES adalah salah satu yang kami rekomendasikan sedikit. Gunakan kunci enkripsi yang aman secara kriptografis. Ubah kunci-kunci itu secara berkala. Juga mencegah kunci-kunci itu hilang. Ini hanya praktik enkripsi yang baik, tetapi sekarang mereka berada di garis depan dengan GDPR. Disinilah letak masalahnya - Saya baru saja mencapai ujung gunung es. Ada lebih banyak ketentuan, jelas, untuk melihat ke dalam, tetapi itu adalah yang utama.
Sekarang, solusinya. Tata kelola data, kerangka kepatuhan Anda, setidaknya itulah perspektif yang saya kemukakan di sini. Untungnya, ada disiplin aktif yang bisa dan memang, ketika dewasa, mengatasi sebagian besar persyaratan, dan itu tata kelola data - jelas saya katakan itu. Program tata kelola harus memiliki glosarium data, dan di sini saya menggunakan glosarium data dalam arti umum yang berarti dokumentasi di seluruh papan untuk proses Anda. Ini mendasar, untuk melayani kebutuhan inventaris GDPR, yang, seperti telah kita lihat, cukup besar. Program tersebut, program tata kelola, harus memfasilitasi protokol keamanan data - dan saya menggarisbawahi hal itu karena itu bukan sesuatu yang banyak dilakukan oleh program tata kelola data saat ini, tetapi saya pikir ini adalah tempat yang logis untuk melakukan hal ini karena mereka duduk di program yang menentukan siapa pemilik bisnis? Siapa yang perlu melihatnya? Dan kemudian langkah selanjutnya adalah memberikan izin itu. Itu perlu dipusatkan, yang perlu diformalkan. Perlu ada kebijakan internal yang digunakan. Penatagunaan harus ditugaskan ke semua elemen untuk memberikan masukan untuk semua hal di atas. Tata kelola data juga dapat menjadi fasilitator dari rekayasa proses bisnis, yang akan diperlukan.
Sebelum saya meninggalkan slide ini, dalam upaya menghindari denda yang besar dan kuat, perusahaan akan menerapkan praktik bisnis yang baik sebagai produk sampingan. Saya suka mengatakan bahwa ini lebih dari sekadar produk sampingan, tetapi sebenarnya ini hanya bisnis yang baik dan baik yang dapat membawa Anda ke tempat-tempat baru dari perspektif bisnis. Tentu saja, Anda akan mendapatkan banyak efisiensi untuk melakukan semua inisiatif di seluruh papan, jika Anda memiliki tata kelola data yang baik, itulah yang saya lihat selama bertahun-tahun. Dengan penambahan beberapa hal yang saya sebutkan, ke tata kelola data, mereka hanya akan menjadi lebih baik. Dalam rekayasa proses bisnis Anda, kami sarankan Anda mengajukan pertanyaan-pertanyaan ini, menyentuh setiap bidang bisnis. Jenis data apa yang kami kumpulkan dari pelanggan UE kami? Saya tidak akan membaca semuanya. Beberapa kunci di sini. Siapa yang perlu melihat data ini dan apakah itu diikuti? Siapa pelayan data untuk data itu? Siapa orang yang saya tuju dalam bisnis ini? Ini yang besar: Apakah kita membagikan data ini dengan pihak ketiga? Hanya karena Anda memberikannya kepada pihak ketiga, tidak memaafkan tanggung jawab Anda di sekitar data itu - itu masih data Anda, itu masih data yang Anda kumpulkan. Ada banyak kontrak pihak ketiga yang sekarang ditinjau secara menyeluruh sebagai hasil dari GDPR. Apakah sistem ini memiliki kegagalan deterministik? Berarti ketika mereka gagal, mereka gagal ke jalan yang telah kita tentukan sebelumnya, atau apakah mereka hanya gagal, crash, terbakar dan kita mulai dari awal menggali di dalamnya? Jelas akan jauh lebih baik. Ini sudah merupakan praktik yang baik, tetapi jelas jauh lebih baik untuk merekayasa balik beberapa hal ini, jika Anda memiliki kegagalan deterministik yang hebat dalam sistem Anda.
Penyimpanan data, kami telah berbicara tentang penyimpanan data selamanya. Namun, banyak perusahaan memiliki kebijakan, mereka tidak semua mengikutinya. Jelas, terkenal dalam perawatan kesehatan dan keuangan, kami ingin menyimpan data, kami harus menyimpan data selama beberapa tahun. Beberapa analis di firma-firma ini yang menyimpan data selama tujuh tahun atau yang lainnya, katakan, "Oh, setelah periode itu saya masih menginginkan data itu." Beberapa pengacara di perusahaan-perusahaan ini mengatakan, "Tapi kita harus menyingkirkannya untuk tujuan pertanggungjawaban, ”dan seterusnya. Itu tidak bisa begitu saja duduk di sana, sebagai masalah berselisih lebih lama dengan GDPR. Kita harus memiliki masa retensi, mengikutinya secara konsisten di seluruh papan dalam organisasi.
Dan akhirnya, bagaimana Anda memobilisasi untuk pelanggaran data? Skenario terburuk yang dapat terjadi pada Anda. Jelas, kami berusaha mencegah mereka, tetapi bagaimana jika itu terjadi? Bagaimana Anda memberikan ruang kepada hal itu dan memastikan bahwa Anda sekarang mengikuti ketentuan GDPR dalam respons Anda? Saya seorang arsitek data, saya berpikir tentang arsitektur data. Jika Anda adalah perusahaan yang berbasis di AS dengan operasi UE, yang berarti data warga Uni Eropa - Anda sedang mengumpulkannya, Anda harus mempertimbangkan apakah akan menerapkan standar perlindungan data ke semua data atau hanya data UE. Ya, saya memiliki klien yang membuat keputusan itu sekarang. Sebagai praktik bisnis yang baik, mereka mungkin ingin membawa itu ke AS, mereka mungkin merasa seperti mereka punya waktu, tetapi itu memunculkan peluru nomor dua. Anda mungkin harus menutup data UE dari sistem AS jika Anda tidak dapat menjamin bahwa sistem AS akan menangani data dengan tepat. Apakah itu memisahkan data untuk keperluan analisis? Apakah analitik bahkan valid jika Anda mencoba melakukannya di seluruh negara? Terkadang ya, kadang tidak, kan? Anda mungkin mendapati bahwa analitik Anda akan dimatikan sebagai hasilnya.
Seperti yang saya sebutkan sebelumnya, kecerdasan buatan berperan di sini karena jelas, kita dapat menggunakan AI untuk mencari semua data, membantu kami menemukan semua data, tetapi jika kita menggunakan AI di antarmuka pelanggan, kita perlu memiliki transparansi sekarang dengan pelanggan kami antarmuka dan itu tidak pernah menjadi setelan kuat AI. Untuk mencoba memberi tahu pelanggan, "Anda ditolak karena bla, bla, bla, " padahal sebenarnya itu AI. Itu sekarang harus dilakukan. Kita harus mencari tahu bagaimana AI bekerja, apa faktornya? Tidak bisa hanya duduk di sana dan menjadi kotak hitam untuk Anda lagi. Apa yang kita lakukan sekarang? Buat papan GDPR Anda. Saya sarankan Anda memiliki petugas privasi senior di sana atau jika Anda memiliki petugas perlindungan data, jelas orang itu. Kepala tata kelola data, risiko operasional dan / atau kepatuhan, sebagaimana berlaku, kepala IT, CIO jika itu adalah orangnya. Jika Anda memiliki orang manajemen yang berubah, itu akan menjadi orang yang hebat di sana. Hanya kepala beberapa departemen paling penting di bisnis Anda, dan juga kepala SDM karena pelatihan privasi sekarang akan sangat besar. Semua orang akan mendapatkan pelatihan privasi atau harus mendapatkan pelatihan privasi ketika mereka mendirikan perusahaan, bahkan konsultan.
Jika Anda tidak melakukan hal-hal yang Anda lihat di sini, Anda harus bergerak lebih cepat daripada Anda ingin membuat batas waktu. Anda juga harus mulai berharap bahwa Anda bukan salah satu yang pertama yang diaudit karena, terus terang ada banyak pekerjaan di sini jika Anda mulai dari awal dan Anda berurusan dengan banyak data warga negara Uni Eropa. Pekerjakan DPO Anda, inventaris data Anda dan proses Anda. Bangun rencana itu untuk tata kelola data, ambil dari tempat itu, ke tempat yang seharusnya. Mungkin, Anda mungkin ingin memulainya. Buat kebijakan privasi Anda dan pemberitahuan kebijakan Anda. Kebijakan privasi bersifat internal. Pemberitahuan kebijakan bersifat eksternal. Kami melihat budaya mulai dibuat sekarang di sekitar pemberitahuan kebijakan. Banyak perbandingan yang dilakukan dan banyak kata-kata yang cermat telah dilakukan, di sekitar pemberitahuan kebijakan ini. Menyewa pemeriksaan kepatuhan GDPR untuk semua sistem, termasuk sistem baru. Anda mungkin harus mengurutkannya dan melakukannya dengan urutan kepentingan, tetapi ini adalah cara lain untuk mengatasi masalah tersebut. Lihatlah sistem dan apa yang seharusnya mereka lakukan dan bagaimana mereka menangani data ini.
Apa sinyal GDPR? Itulah yang ingin kita bicarakan lebih jauh di sini. Saya menantikan apa yang Kim katakan tentang ini. GDPR adalah perubahan dalam kontrol privasi data menuju regulasi. Ini tren menuju transparansi, katanya benar dalam ketentuan. Kami menciptakan budaya pemberitahuan privasi ini, seperti yang saya bicarakan, itu masalahnya sekarang. Kita akan melihat konferensi tentang pemberitahuan privasi dan sebagainya. Pergeseran GDPR adalah menuju hak-hak dasar orang. Pertanyaan terbuka akan dikerjakan. Jelas ada pertanyaan terbuka, saya meninggalkan beberapa di atas meja untuk kita. Tidak ada yang punya jawabannya. Mereka akan dikerjakan. Kecenderungan menuju pemahaman yang lebih baik oleh individu tentang data mereka dan bagaimana data itu digunakan. Saya pikir ini telah meningkatkan kesadaran di antara populasi Uni Eropa, tentang pentingnya data mereka dan melihat itu sebagai salah satu aset pribadi mereka, bahwa mereka perlu mengelola lebih banyak. Itulah beberapa sinyal awal yang saya lihat, dan Eric, saya akan melemparkannya kembali kepada Anda sekarang.
Eric Kavanagh: Alrighty, izinkan saya menyerahkan kunci kepada Kim, yang dapat berbagi beberapa sudut pandangnya, tapi saya pikir itu adalah gambaran yang bagus, William, dan Anda menekan pada poin-poin kunci - yaitu bahwa ini pasti akan menuruni tombak dan kita semua harus sangat berhati-hati, terus terang. Dengan itu, izinkan saya menyerahkan kunci kepada Kim dan Anda dapat membagikan layar Anda dan mengambilnya dari sana.
Kim Brushaber: Hei, bisakah kau mendengarku?
Eric Kavanagh: Saya bisa mendengarmu.
Kim Brushaber: Luar Biasa. William membahas beberapa hal yang sama yang akan saya bahas, tetapi saya pikir itu layak untuk dibahas lagi karena sangat penting. Saya pikir ketika peraturan baru diturunkan, sangat bagus untuk mendapatkan banyak sudut pandang dan interpretasi orang yang berbeda sehingga ada sesuatu yang memicu pikiran Anda dan membuat Anda bisa menjadi lebih patuh. Saya didorong oleh semua orang yang ada di panggilan ini yang ingin tahu lebih banyak karena saya pikir datang 25 Mei, mungkin ada banyak kepanikan bagi perusahaan yang dikejar, tidak sesuai.
Nama saya Kim Brushaber, saya manajer produk senior di IDERA. Saya memiliki beberapa produk di bawah saya yang membantu kepatuhan GDPR serta peraturan lainnya. Saya akan beralih ke beberapa informasi. Saya akan mulai dengan beberapa fakta dan beberapa angka dan kemudian membahas sedikit tentang GDPR dan kemudian secara khusus bagaimana alat kami dapat membantu Anda. Satu fakta adalah lebih dari 5 juta catatan data hilang atau dicuri setiap hari. Kami tidak mendengar ini dilaporkan di berita, kami tidak mendengar ini datang dari tempat lain, tetapi ada lebih dari 5 juta catatan data yang dicuri setiap saat, langsung dari bawah kami. Jumlah rata-rata hari di mana penyerang tidak aktif di jaringan Anda adalah 200 hari. Banyak sistem sudah disusupi oleh orang-orang yang - dengan niat jahat - yang hanya menunggu kesempatan untuk memanfaatkan informasi Anda, sebagian besar dalam keamanan dan sertifikat, tetapi mereka hanya menunggu saat mereka menerkam. Itu sebabnya semakin penting untuk menangani keamanan data Anda. Biaya rata-rata pelanggaran data tunggal pada tahun 2020 diperkirakan akan melebihi $ 150 juta, karena lebih banyak infrastruktur bisnis terhubung ke sumber daya online dan semakin banyak hal naik di awan. Itu adalah angka anggaran yang baik jika Anda benar-benar khawatir tentang keamanan data, untuk diberikan kepada tim eksekutif Anda, untuk memberi tahu mereka bahwa ini adalah masalah serius dan dapat menghabiskan banyak uang untuk kami di masa mendatang.
Saya akan membahas secara singkat pelanggaran data Equifax karena saya pikir itu adalah pelanggaran data terbesar pada tahun 2017, untuk mengecat gambaran bagaimana rasanya melewati itu. Pelanggaran tersebut mempengaruhi 145, 5 juta pelanggan. Karyawan mengakui masalah keamanan dengan aplikasi web mereka dua bulan sebelum pelanggaran terjadi. Karyawan berkata, "Ini masalah." Dan bahkan sedikit sebelum itu adalah ketika tambalan benar-benar keluar. Butuh satu hari penuh setelah pelanggaran terjadi untuk meresponsnya dan menjadikan aplikasi web offline. Karena Equifax tidak memiliki protokol keamanan data yang jelas, butuh waktu yang cukup lama bagi mereka untuk mengetahui apa yang sedang terjadi dan kemudian dapat membuat sistem offline. Enam minggu setelah pelanggaran, publik disiagakan. Dengan GDPR - seperti yang kami nyatakan di atas dan saya akan mengatakannya lagi - Anda harus melaporkan dalam 72 jam, dan Equifax akan mengikat tangan mereka dan tidak dapat memenuhi kepatuhan itu karena mereka menunggu enam minggu untuk melaporkannya. Komunikasi untuk menanggapi pelanggaran tersebut mencakup situs web yang bahkan tidak dimiliki oleh Equifax. Equifax sendiri me-retweet tweet ini yang bahkan tidak ada dalam domain mereka - mereka telah membalik beberapa kata di sekitar. Untungnya itu bukan situs jahat yang memanfaatkan itu, tetapi mereka jelas tidak siap. Mereka tidak memiliki rencana di tempat, dan ini menjadi sangat sadar di arena publik. Equifax tidak sendirian - sejauh ini ada lebih dari 25 serangan profil dunia maya yang sangat tinggi di tahun 2017, dan kami masih bisa menemukan lebih banyak sebelum akhir tahun. Perusahaan benar-benar harus mulai menganggap ini serius karena orang-orang di luar sana dan jika Anda memberi mereka alasan untuk ingin datang kepada Anda, Anda sebaiknya siap untuk menanganinya.
Beberapa fakta dan angka data lain dalam hal bagaimana individu melihat keamanan data. Pada tahun 2020 akan ada 30 miliar perangkat yang terhubung ke internet melalui rumah kita, melalui perangkat yang dapat dikenakan, melalui ponsel, tablet, dan siapa tahu apa lagi yang masih akan datang di tahun-tahun mendatang. Ada banyak dan banyak perangkat yang rentan terhadap serangan ini. Empat puluh sembilan persen orang Amerika merasa informasi pribadi mereka kurang aman dibandingkan lima tahun lalu. Tujuh puluh tiga persen konsumen di Amerika ingin perusahaan transparan tentang data pribadi mereka. Tujuh puluh delapan persen orang mengaku sadar akan risiko mengklik tautan dan email yang tidak dikenal, tetapi mereka mengklik tautan itu - itu lebih dari tiga perempat populasi kami, dan mereka masih mengklik tautan itu meskipun mereka tahu itu mungkin menjadi masalah. Delapan puluh enam persen pengguna internet secara aktif berusaha meminimalkan, menganonimkan, dan menyembunyikan visibilitas jejak digital mereka. Ayah tiriku suka pergi keluar dan membuat nama palsu ketika dia mengisi formulir karena dia pikir itu membuatnya anonim, tetapi sedikit yang dia tahu alamat IP-nya juga dilacak. Ada banyak perhatian individu dan itulah yang menelurkan banyak peraturan GDPR dan mungkin peraturan tambahan yang akan menyusul.
Sejauh fakta industri keamanan data, 90 persen dari catatan data pelanggaran pada tahun 2016 berasal dari pemerintah, ritel dan teknologi. Empat puluh tiga persen serangan cyber menyerang bisnis kecil. Jika Anda berpikir, "Oh, aku bukan orang besar, mereka tidak akan mengejarku, " masih ada, hampir setengah dari mereka yang mengejar bisnis kecil. Tujuh puluh lima persen dari industri perawatan kesehatan terinfeksi malware pada tahun lalu. Tujuh puluh persen perusahaan minyak dan gas AS diretas pada tahun lalu. Ini adalah jumlah yang signifikan dari dampak pada berbagai industri yang berbeda dan berjalan, dan jumlah ini hanya akan naik dari sini.
Ketika Anda melihatnya dari perspektif eksekutif, 90 persen CIO mengaku menghabiskan jutaan dolar untuk keamanan dunia maya yang tidak memadai. Sembilan puluh persen juga mengatakan bahwa mereka telah diserang atau mereka berharap akan diserang oleh orang-orang yang bersembunyi di enkripsi mereka. Delapan puluh tujuh persen percaya kontrol keamanan mereka gagal melindungi bisnis mereka. Delapan puluh lima persen dari CIO mengharapkan penyalahgunaan pidana atas kunci dan sertifikat mereka menjadi lebih buruk. Ini adalah sejumlah besar perusahaan yang melihat masalah keamanan data ini dan kenyataannya adalah, banyak dari mereka tidak memiliki solusi yang sangat baik bahkan untuk dapat menanganinya ketika itu terjadi, meskipun mereka percaya bahwa itu akan terjadi.
Ketika kita melihat kesiapannya, pada tahun 2014, 70 persen generasi milenium mengakui bahwa mereka membawa aplikasi luar ke perusahaan mereka yang melanggar kebijakan TI. Tujuh puluh persen mengakuinya - bahkan mungkin ada jumlah yang lebih besar dari itu, yang benar-benar melakukannya. Lima puluh dua persen organisasi yang menderita serangan cyber yang sukses pada tahun 2016 tidak membuat perubahan pada keamanan mereka pada tahun 2017. Meskipun mereka pernah diserang sekali, mereka masih tidak pergi dan menopang tembok - mereka sama rapuhnya dengan mereka sebelum serangan. Ini benar-benar menimbulkan pertanyaan, apa yang perlu dilakukan perusahaan, untuk mempersiapkan diri untuk hal-hal ini? Tiga puluh delapan persen dari organisasi global mengklaim bahwa mereka siap untuk menangani serangan siber yang canggih. Itu bagus - hampir separuh ada di sana, dan saya bermurah hati dengan itu, kita benar-benar hanya di sepertiga, tetapi masih ada setidaknya setengah yang mengatakan, “Saya belum siap. Jika saya diserang, saya tidak siap dan para peretas mengetahuinya. ”Tiga puluh delapan persen organisasi memiliki rencana tanggapan insiden cyber. Sebagian besar perusahaan berada dalam ember yang sama dengan Equifax, di mana mereka tidak tahu apa yang akan mereka lakukan. Jika mereka mendapatkan ini, mereka harus bereaksi dan membuat hal-hal ini dengan cepat, dan peraturan seperti GDPR mengatakan, “Anda harus memiliki ini. Anda harus mempublikasikannya. Anda harus membuktikannya kepada auditor keamanan. ”Mudah-mudahan dengan dampak seperti itu, dengan peraturan seperti itu, kita akan dapat melampaui kurva ini dan bukannya menjadi reaksioner, kita bisa proaktif dalam pencarian kita.
Mari kita bicara sedikit tentang GDPR. Beberapa dari ini sudah dibahas oleh William, tetapi saya akan melanjutkan dan menutupinya lagi, hanya dari pandangan saya, suara saya, sudut pandang saya. Banyak perusahaan yang saya ajak bicara, mereka seperti, "Saya di AS, mengapa saya harus peduli dengan peraturan UE ini?" Fakta bahwa lebih banyak orang tidak berdengung dan lebih banyak orang tidak berbicara tentang itu, mereka berpikir bahwa itu hanya anggota UE yang terpengaruh, tetapi saya akan bertanya kepada Anda, jika Anda melihat daftar ini, apakah Anda mengumpulkan data ini dari anggota UE? Jika Anda mengumpulkan semua informasi ini sama sekali, Anda tunduk pada batasan GDPR, serta hukuman karena tidak mematuhi. Saya akan memberi Anda waktu sebentar untuk hanya menyerap ini dan memahami ini. Seperti yang disebutkan William sebelumnya, ini adalah hukuman dan sanksi sebagaimana dirujuk dalam Pasal 83 GDPR. Pada awalnya Anda mungkin akan mendapatkan tamparan di tangan, sedikit peringatan mengatakan, “Hei, persiapkan tindakan Anda. Letakkan ini di tempat. ”Tetapi jika Anda memiliki pelanggaran yang sangat besar - dan tergantung pada seberapa besar kesepakatan itu - mereka akan kembali kepada Anda untuk restitusi, dan ini adalah jumlah yang signifikan. Bukan 10 juta, tetapi 20 juta euro atau 4 persen dari omset / pendapatan Anda dari tahun sebelumnya. Itu banyak uang. Ini adalah banyak anggaran yang harus dikeluarkan untuk tim eksekutif Anda dan berkata, "Ini adalah sesuatu yang perlu kita mulai dengan serius dan kita perlu mengambil tindakan."
Izinkan saya membahas sedikit prinsip GDPR sebagaimana diuraikan dalam Pasal 5. Salah satu hal yang mereka katakan adalah bahwa data pribadi harus diproses secara sah, adil, dan transparan. Itu berarti publik ingin tahu apa yang Anda lakukan dengan data mereka. Bersikaplah transparan tentang hal itu dan itu harus dipublikasikan. Kebanyakan orang tidak membaca syarat dan ketentuan, tetapi ini adalah informasi baru yang Anda butuhkan untuk dapat berkomunikasi, sehingga Anda dapat memberi tahu mereka, "Data Anda sedang ditangani dengan tepat." Data pribadi harus dikumpulkan untuk ditentukan, tujuan eksplisit dan sah. Ini berarti semoga kita dapat menghilangkan sebagian dari spam ini, di mana perusahaan mengatakan mereka mengumpulkan informasi untuk kuis yang memberi tahu Anda betapa menariknya diri Anda, dan pada kenyataannya mereka mengambil data Anda dan menjualnya kembali ke orang lain, untuk dapat digunakan untuk apa pun tujuan mereka. Perusahaan sekarang harus lebih bertanggung jawab dan mengatakan dengan tepat untuk apa mereka menggunakan informasi Anda. Mereka juga mengatakan bahwa data pribadi harus memadai, relevan, dan terbatas pada apa yang diperlukan. Banyak perusahaan suka mengambil semua informasi mereka dan memasukkannya ke dalam kumpulan data besar dan kemudian mereka mencari tahu apa yang ingin mereka lakukan dengan informasi itu kemudian dan mereka mengumpulkan jauh lebih banyak daripada yang mungkin diperlukan. Ini mengatakan Anda tidak dapat mengumpulkannya dan menggunakannya di tempat lain. Anda juga tidak bisa begitu saja mengumpulkan semuanya dan berharap nanti Anda mungkin menemukan itu berguna. Anda harus sangat eksplisit mengapa Anda mengumpulkan informasi dan itu harus relevan dengan data yang Anda kumpulkan.
Data pribadi juga harus akurat dan selalu diperbarui. Anda harus memberi pengguna cara untuk memperbarui data mereka, setelah Anda mengumpulkannya; mereka harus dapat kembali dan berkata, "Anda tahu, saya memiliki pendapat ini pada beberapa survei, Anda bertanya kepada saya tentang informasi yang dapat diidentifikasi secara pribadi dan saya ingin kembali dan saya ingin mengubahnya dan memperbaruinya sekarang." untuk memberi mereka cara untuk bisa melakukan itu. Data pribadi harus disimpan dalam bentuk yang memungkinkan identifikasi subyek data tidak lebih dari yang diperlukan. Kembali ke poin William, bahwa Anda tidak dapat mengumpulkan informasi ini selamanya - Anda harus datang dengan apa yang Anda anggap valid dan perlu dan kemudian setelah itu, Anda harus menghapus data. Itu juga harus diproses dengan cara yang menjamin keamanan yang tepat, termasuk perlindungan terhadap pemrosesan yang tidak sah atau melanggar hukum, kehilangan yang tidak disengaja, kerusakan atau kerusakan.
Seperti yang saya katakan sebelumnya, saatnya untuk benar-benar serius tentang ini, menghentikan pelanggaran data tersebut karena Anda tidak hanya akan mengalami cedera yang datang ke perusahaan Anda dalam bentuk pelanggaran data dan hilangnya pendapatan dan biaya menopang proses Anda, tetapi Anda mungkin juga memiliki setumpuk denda yang ditampar di atas Anda dari GDPR. Sudah waktunya untuk benar-benar mulai serius tentang hal itu dan saya pikir ketika GDPR mulai berlaku, perusahaan akan dihadapkan dengan kenyataan yang sulit, dan untungnya bagi Anda yang sedang menelepon hari ini dapat mulai memikirkan hal ini dan mengetahui bagaimana Anda akan mewujudkannya.
GDPR juga banyak berbicara tentang apa hak-hak individu; itu benar-benar mencari pengguna individu. Hal pertama adalah hak untuk mengakses data pribadi Anda. Pengguna perlu mengetahui informasi apa yang telah Anda kumpulkan tentang mereka, sejauh informasi yang diidentifikasi secara pribadi, dan Anda harus memberi mereka cara untuk dapat mengaksesnya. Ada juga hak untuk perbaikan, yang merupakan cara mewah untuk mengatakan, "Saya harus dapat mengoreksi informasi yang Anda miliki tentang saya." Hak untuk menghapus - yang lagi-lagi, banyak orang mengatakan sebagai hak untuk memperbaiki. dilupakan - jika seseorang berkata, “Kamu tahu, aku tidak lagi ingin kamu tahu bahwa aku pengoleksi buku komik pria yang sangat menyenangkan, kamu harus menyingkirkan itu. Saya punya beberapa teman yang menggodaku dan menghapus saya dari daftar Anda sepenuhnya, “Anda harus bisa melakukan itu. Ada juga hak untuk membatasi pemrosesan, dan ini berarti bahwa pengguna dapat membatasi cara informasi mereka diproses. Mereka dapat mengatakan, "Saya tidak keberatan Anda mengambil informasi saya karena saya membeli mobil baru, tetapi jangan gunakan informasi itu untuk mengirimi saya email dan spam saya pada penawaran baru setiap kali mobil baru dirilis." Ada juga hak portabilitas data, yang berarti bahwa pengguna harus dapat memperoleh salinan data mereka dan dapat membawanya ke tempat lain. Banyak organisasi mengumpulkan informasi dan informasi itu memiliki faktor lengket, dan sekarang orang dapat mengatakan, “Anda tahu, saya ingin Anda mengambil semua informasi saya dan sekarang saya ingin Anda memberikannya kepada pesaing Anda, sehingga saya dapat memindahkannya. lebih."
Ada banyak hal yang harus dipikirkan dari sebuah organisasi yang prospektif tentang bagaimana Anda akan dapat melakukan itu dan informasi apa yang ingin Anda kumpulkan dan kirimkan. Ada juga hak untuk menolak, dan pengguna dapat menolak untuk memproses data mereka juga. Hak untuk tidak dikenakan keputusan semata-mata berdasarkan pemrosesan otomatis atau pembuatan profil. Ini memiliki dampak signifikan pada pemasaran B2B - jika Anda duduk di sana dan mencoba pengujian A / B dan mencoba mengidentifikasi apakah Colorado akan lebih dipengaruhi oleh pesan daripada California, maka Anda baru saja melakukan pembuatan profil, dengan melihat satu negara versus yang lain, dan Anda harus melihat bagaimana seorang individu harus dapat memilih untuk tidak melakukannya.
Mengingat kami memiliki beberapa hal menakutkan yang datang sejauh pelanggaran data dan bagaimana orang-orang melihat data mereka dan kami memiliki peraturan besar yang dibuang di atas bahu kami, saya sekarang di sini untuk memberi Anda solusi tentang bagaimana IDERA dapat membantu. Pasal 15 berbicara tentang cara mengontrol paparan data pribadi. Anda harus tahu siapa yang mengakses data Anda. Bagaimana mereka menggunakannya. Berapa banyak data yang telah diproses dan Manajer Kepatuhan produk SQL, yang menjadi manajer produk saya, memungkinkan Anda untuk melihat siapa yang mengakses data Anda dan bagaimana caranya. SQL Compliance Manger adalah untuk solusi SQL Server. Jika Anda memiliki database SQL Server, Anda dapat menghubungkan produk ini untuk dapat mengaudit dan melihat informasi ini, sehingga Anda dapat mematuhi GDPR dan Anda tahu persis bagaimana itu digunakan. Anda juga dapat melihat pelanggaran data sebelum terjadi, dan saya akan membicarakannya di slide lain. Ada juga artikel yang mengatakan, “Saya perlu catatan kegiatan pemrosesan. Saya perlu login dan saya perlu memantau operasi dan saya perlu tahu siapa yang memproses data pribadi dan siapa yang memiliki akses ke sistem itu. "SQL Compliance Manager mengelola audit server dan database, termasuk keamanan, DDL, DML serta menentukan data sensitif . SQL Compliance Manager memungkinkan Anda untuk mengaudit akses keamanan dan mencatat upaya, sehingga Anda dapat melihat siapa yang mengakses informasi, serta siapa yang masuk, apakah itu pengguna istimewa, apakah itu pengguna yang dikenal, atau apakah itu mungkin pengguna yang jahat.
Pasal 33 berbicara tentang pemberitahuan pelanggaran data pribadi kepada otoritas pengawas. Anda harus dapat mendeteksi pelanggaran tersebut; Anda perlu memiliki catatan untuk dapat menilai dampaknya; Anda perlu tahu seberapa cepat Anda akan memperbaikinya. Untuk melakukan itu, SQL Compliance Manger memungkinkan Anda mengatur peringatan pada database Anda agar dilihat oleh siapa yang memiliki akses ke data sensitif Anda, ketika mereka mengaksesnya, apa yang mereka akses. Ini juga memungkinkan Anda untuk mengesampingkan pengguna normal Anda yang biasa dari audit Anda. Jika Anda memiliki admin sistem atau admin jaringan yang Anda tahu akan mengaksesnya dan Anda tidak ingin menyumbat laporan Anda, Anda dapat mengesampingkannya dan berkata, "Berikan semua yang terjadi di luar informasi itu." Anda dengan cepat mengidentifikasi apakah seseorang secara jahat mengakses data Anda dan Anda dapat memiliki peringatan yang ada, yang memberi tahu Anda saat itu mulai terjadi dan kemudian saat informasi itu diakses, untuk dapat membobolnya, sehingga Anda dapat tidak harus menunggu sehari penuh untuk mencari tahu apa yang terjadi, seperti yang dilakukan Equifax.
Ada juga artikel yang membahas tentang perlindungan data dan penilaian dampak. Ini menilai risiko Anda dan memahami apa itu, serta menunjukkan dan mendokumentasikan kepatuhan Anda terhadap GDPR. SQL Compliance Manager memungkinkan Anda untuk melaporkan elemen-elemen yang sedang dipantau. Singkatnya, mengaudit data Anda dengan SQL Compliance Manager, SQL Compliance Manager memungkinkan Anda mendeteksi kegagalan login - yang merupakan tanda potensial pelanggaran - memantau aktivitas administrasi dan perubahan keamanan, mengingatkan Anda pada modifikasi database, audit kolom yang Anda definisikan sebagai informasi sensitif, mengidentifikasi pengguna istimewa dan melacak aktivitas mereka secara terpisah dari pengguna lain di sistem Anda, melaporkan bahwa informasi sedang diaudit sesuai dengan beberapa pedoman peraturan. Kami tidak hanya membahas GDPR, tetapi kami juga mencakup HIPAA, PCI, FERPA, SOX, semua pedoman peraturan ketika mereka datang untuk mengaudit informasi Anda dan memahami apa yang sedang diakses, kami memiliki pedoman peraturan tersebut.
Kami memiliki produk tambahan di IDERA untuk persiapan GDPR juga. Selain audit yang dilakukan oleh SQL Compliance Manager, kami memiliki ER / Studio Enterprise Team Edition, yang dapat membantu Anda mendokumentasikan proses data Anda dan memasukkan standar data ke dalam model data Anda, Anda dapat membuat glosarium data yang William bicarakan dalam slide sebelumnya. . Seperti yang telah saya nyatakan di sini dengan presentasi ini, SQL Compliance Manager dapat membantu Anda untuk mengaudit informasi Anda untuk memastikan orang yang salah tidak mengakses data Anda, serta membuktikannya kepada auditor. Cadangan Aman SQL dapat membantu Anda mengenkripsi data dan cadangan Anda. Enkripsi adalah bagian penting dari GDPR, yang tidak saya bahas dengan sangat rinci karena saya ingin banyak fokus pada aset Manajer Kepatuhan, tetapi Cadangan Aman SQL melakukan banyak enkripsi untuk Anda, sehingga data Anda dapat tetap aman. SQL Inventory Manager dapat memastikan bahwa server ditambal dan mutakhir, sehingga Anda tidak berakhir dalam kasus seperti Equifax, di mana mereka memiliki patch yang kedaluwarsa yang memberi mereka lubang keamanan besar yang dapat dilakukan orang. gunakan dengan jahat. SQL Secure dapat mengaudit privasi dan mengenkripsi standar.
Untuk detail lebih lanjut di situs web komunitas IDERA, di blog kami, saya telah memposting Mempersiapkan Diri untuk GDPR dan Menatap 2018 dan Memahami Apa Dampak GDPR Akan Menjadi Ada dan ada juga, Anda tentu dapat mengunduh salinan percobaan dari SQL Compliance Manager di IDERA dan juga produk lain yang baru saja saya sebutkan sebelumnya di slide.
Pada titik ini, saya akan melanjutkan dan menyerahkan presentasi kembali kepada Eric sehingga kami dapat mengajukan beberapa pertanyaan.
Eric Kavanagh: Oke, bagus. Anda menyentuh sejumlah hal yang sangat menarik di sana, Kim, salah satunya - saya pikir ini agak sederhana tapi cukup pintar - Anda berbicara tentang mendeteksi login yang gagal. Bagiku itu pertanda bagus bahwa seseorang sedang tidak baik kan?
Kim Brushaber: Tentu saja. Jika Anda melihat seseorang yang telah mencoba mengakses dan memecahkan kata sandi Anda, itu adalah cara yang sangat cepat untuk dapat mengatakan seseorang tidak melakukan apa yang seharusnya. Mungkin beberapa kali Anda salah mengetik kata sandi, tetapi jika Anda melihat 30 di antaranya, itu pertanda buruk.
Eric Kavanagh: Ya. Kunci mereka di sini adalah mengatur peringatan Anda dengan konteks yang tepat. Apa lagi yang bisa Anda ceritakan kepada kami tentang bagaimana mengelola proses pengaturan lansiran dan menonaktifkan lansiran yang tidak melakukan apa yang seharusnya mereka lakukan dan seberapa banyak hal itu dapat diotomatisasi?
Kim Brushaber: Compliance Manager memang memiliki banyak peringatan yang dapat dikonfigurasi, serta laporan yang dapat Anda tinjau. Kami melewati jejak SQL Anda dan kami memiliki itu pelacakan secara otomatis dan kami memiliki banyak itu yang sudah ditetapkan dan ditetapkan sebelumnya, tetapi tentu saja ada sejumlah besar kustomisasi yang dapat Anda lakukan juga.
Eric Kavanagh: William, saya akan membawa Anda ke sini - menurut saya itu adalah salah satu area di mana kita akan melihat pembelajaran mesin untuk ikut bermain selama dua hingga sepuluh tahun ke depan, sedang melihat semua kemungkinan berbeda. Melihat semua cara yang berbeda bahwa suatu sistem dapat mengoptimalkan efisiensinya, itu efektif di sekitar masalah seperti pelanggaran dan sebagainya. Apakah itu pendapat Anda juga?
William McKnight: Ya, tentu saja. Saya pikir kita sedang membangun sistem sekarang yang memperbaiki diri. Pemantauan 24 oleh 7 mulai menyelinap dan menjadi sesuatu dari masa lalu, meskipun kita masih membutuhkan uptime semacam itu. Saya pikir sebagian besar sistem yang dibangun dan mencari tahu apa yang salah. Apakah kami perlu mengalokasikan lebih banyak ruang di sini atau apa yang Anda miliki? Ya, saya pikir itu pasti bagian dari masa depan kita. Apa pun di luar sana yang dapat dipetakan ke beberapa langkah tindakan, untuk menanggapi sesuatu, jelas rentan terhadap kecerdasan buatan.
Eric Kavanagh: Itu poin yang bagus. Saya akan mengajukan satu pertanyaan lagi kepada Anda, William, karena saya tahu Anda melakukan banyak penelitian di ruang ini. Salah satu hal yang saya tunggu-tunggu sekarang cukup lama dan saya pikir kita belum sampai di sana - saya pikir kita sudah dekat, hanya dari apa yang saya baca dan pikirkan - adalah suatu hari ketika akan ada teknologi untuk menyerap masalah regulasi, kata-kata aktual dari hal-hal ini, dan memetakannya ke fungsionalitas dan perangkat lunak. Seperti yang saya katakan, kita masih jauh dari itu - saya tidak bisa membayangkan tidak ada orang yang mengerjakannya. Pernahkah Anda menemukan hal seperti itu, atau apakah kita masih pada titik di mana manusia perlu melihat aturan, benar-benar mencoba dan memahaminya, menyusunnya dalam kode mesin, pada dasarnya, dan kemudian mengubahnya ke berbagai aplikasi mereka?
William McKnight: Ya, saya tentu mendapatkan konsep yang Anda bagikan di sini. Saya tidak terbiasa dengan apa pun yang terjadi menuju peluncuran di lingkungan yang terkait dengan itu. Saya akan mengatakan secara umum, jelas kita mulai memberi tahu mesin bukan apa yang harus dilakukan tetapi apa tujuannya adalah apa yang ingin kita lakukan dan mesin semakin pintar tentang mencari tahu detailnya. Saya pikir begitu kita mendapatkan lebih banyak kecerdasan buatan dalam organisasi kita bahwa sangat mungkin bahwa peraturan baru dapat dikembangkan bersama dengan AI yang dikerahkan di dalam organisasi sehingga dapat diluncurkan dengan cara yang Anda gambarkan di masa depan. Untuk saat ini, kami tidak bertindak dengan itu.
Eric Kavanagh: Ini pertanyaan yang akan saya sampaikan kepada Anda, Kim, karena ini juga menarik. Anda berbicara tentang latensi rata-rata atau waktu seseorang yang login ke sistem Anda bersembunyi dan hanya menunggu - beberapa hari penyerang tetap tidak aktif dalam jaringan - deteksi adalah 200. Saya ingin tahu, apa pendapat Anda tentang cara meningkatkan itu, pertama-tama? Tetapi juga, apakah ada cara untuk menggunakan aturan semacam ini untuk menjelajahi sistem Anda sendiri? Untuk mengeksplorasi data Anda sendiri, untuk melakukan pekerjaan yang lebih baik untuk menyingkirkan orang-orang seperti ini?
Kim Brushaber: Ya, saya pikir deteksi dini jelas adalah kuncinya. Anda perlu mengetahui bahwa situs jahat ini mengakses informasi Anda dan dapat menguncinya. Saya pikir dalam slide lain di mana kami menunjukkan bahwa sebagian besar organisasi tidak memiliki kebijakan tersebut. Itu sebabnya mereka duduk di sana. Saya pikir jika Anda benar-benar memiliki kebijakan untuk melewati dan mengunci akses Anda dan memastikan bahwa orang yang tepat memiliki akses. Pastikan Anda memutar kunci secara teratur dan memperbaruinya. Pastikan kata sandi Anda diperbarui secara teratur dan melakukan hal-hal semacam itu, yang tampaknya cukup mendasar. Saat ini, sebagian besar organisasi bahkan tidak melakukan itu, dan untuk mulai meletakkan potongan-potongan itu di tempat akan membantu Anda mengatasi hal ini.
Ini berarti tentu saja para peretas akan mendapatkan lebih licik tentang hal itu, tetapi pada saat ini mudah, itu seperti, "Saya akan melihat rumah-rumah di jalan yang saya rasa ingin saya hancurkan, apakah mereka memiliki alarm sistem? Apakah mereka memiliki tanda alarm kecil dan seseorang memiliki anjing? Saya akan pergi ke yang tidak memiliki tanda alarm, tidak punya anjing dan itu adalah rumah yang akan saya hancurkan. ”Yah, mereka akan mencari tahu perusahaan yang tidak t memiliki tambalan ini di tempat dan mereka tidak memiliki keamanan di tempat dan mereka tidak memperbarui kata sandi mereka dan mereka akan pergi dan nongkrong di sana dan menggunakan kartu kredit Anda di pompa bensin beberapa kali untuk memastikan Anda belum mematikannya dan kemudian ketika mereka dapat mempengaruhi perubahan besar, biasanya semacam pernyataan politik atau sebaliknya adalah ketika Anda melihat mereka mengangkat kepala. Setelah menerapkan kebijakan itu, saya pikir pada titik ini Anda dapat mengambil beberapa langkah yang sangat minimal untuk bisa maju dari permainan ini.
Eric Kavanagh: Itu mungkin saran terbaik dan saya selalu mendengar ini ketika kita berbicara dengan orang-orang yang berada di ruang keamanan atau ruang regulasi, bahwa dasar-dasar akan mencakup 80 persen dari masalah Anda, dan itu banyak alasan untuk dibahas - itu adalah Poin yang bagus. Salah satu peserta bertanya tentang apakah seseorang dapat memperluas peluang bisnis yang dapat ditambang dari upaya kepatuhan GDPR, saya teringat pada Sarbanes-Oxley, dan saya kira, William, saya akan memberikannya kepada Anda. Sebagai seorang konsultan Anda selalu mencari cara untuk membantu klien Anda di luar lingkup proyek tertentu - setidaknya jika Anda seorang konsultan yang baik Anda melakukan itu. Ketika Anda berbicara dengan orang-orang tentang GDPR, apa manfaat tambahan yang Anda dapat katakan bahwa mereka akan dapatkan jika mereka terlibat dalam beberapa proyek yang berfokus pada hal itu?
William McKnight: Pertama-tama, penting untuk dicatat bahwa ide di balik GDPR sama sekali bukan hak penuh bagi warga negara. Ada sisi lain dari GDPR yaitu, ini akan meningkatkan kepercayaan yang dimiliki warga di perusahaan kami dan itu akan mendorong mereka untuk melakukan lebih banyak bisnis di perusahaan yang sesuai. Ada beberapa manfaat tambahan untuk benar-benar mencapai GDPR Anda, sekarang secara internal, program tata kelola data yang kami implementasikan berfungsi untuk memfasilitasi segala macam inisiatif, sungguh, yang diluncurkan dalam organisasi dan saat ini, sebagian besar, inisiatif yang ditendang di dalam organisasi. Saya baru-baru ini telah melakukan perencanaan untuk 2018 dengan banyak dari mereka, ada hubungannya dengan data, banyak, mereka seperti 65 persen hingga 90 persen semua tentang data - ketika Anda berbicara tentang telematika atau program 360 pelanggan atau dasbor untuk memantau tenaga penjualan, sebagian besar tentang data. Apa pun yang mengelola data itu dengan lebih baik, yang menempatkannya dalam arsitektur yang lebih baik yang menamai orang-orang yang menjadi orang yang bisa menjawab setiap dan semua pertanyaan tentang data itu, yang benar-benar peduli seperti yang akan dilakukan oleh program tata kelola data. Apa pun yang memberi kita glosarium data - seperti yang dibicarakan Kim dengan alat-alatnya - apa pun yang melakukannya, sangat membantu untuk membuat inisiatif ini jauh lebih efisien, mengurangi risiko mereka, mengecilkan waktu, mengecilkan anggaran untuk mereka, dan mendapatkan kita ke waktu yang gesit untuk memasarkan banyak hal yang lebih cepat dan baik bagi perusahaan yang melakukan inisiatif, yang semuanya adalah perusahaan.
Eric Kavanagh: Saya suka konsep kepercayaan itu. Saya pikir kepercayaan adalah kenyataan yang sangat kurang dihargai di dunia kita dan terus terang sebagian besar bisnis berjalan berdasarkan kepercayaan - itu benar-benar terjadi ketika Anda langsung melakukannya. Saya akan memberikannya kepada Anda hanya untuk beberapa komentar penutup, Kim. Saya pikir salah satu nilai tambah utama di sini adalah meningkatkan kepercayaan dan menumbuhkan budaya kepercayaan karena itu tidak hanya akan berdampak positif pada perusahaan itu sendiri, pada orang-orang di dalam perusahaan itu sendiri, tetapi juga pada apa yang dirasakan masyarakat karena jenis Hal tumpah, menurut saya, tetapi bagaimana menurut Anda?
Kim Brushaber: Ya, saya pikir ketika saya berbicara dengan teman-teman yang bekerja di Google atau bekerja di Facebook atau beberapa organisasi besar yang benar-benar profil tinggi, mereka tidak mengimplementasikan fitur baru sebanyak yang mereka miliki dalam mengimplementasikan protokol dan kinerja keamanan dan masalah skalabilitas karena mereka ingin pengalaman pengguna mereka menjadi tempat di mana mereka percaya mereka dapat mempercayai informasi itu. Saya pikir perusahaan memiliki tanggung jawab itu karena kami terus maju untuk memberikan kepercayaan semacam itu. Saya ingat ketika orang pertama mulai meletakkan kartu kredit online dan orang-orang seperti, "Ya Tuhan, saya tidak akan memberikan informasi itu di luar sana karena itu tidak aman."
Dan sekarang, kartu kredit Anda menuju ke segala arah karena menurut Anda, secara teori, Anda dapat memercayai perusahaan karena memiliki sertifikat HTTPS. Kemudian Anda mendengar tentang data Target melanggar di mana kartu kredit, di mana mereka seperti, "Oh, Anda lebih baik menukar kartu kredit Anda karena kami melepaskan informasi itu." Saya pikir itu adalah sentimen dua arah. Saya pikir bahwa individu, walaupun mereka ingin lebih percaya karena jauh lebih mudah, untuk dapat mempercayai dan percaya pada ini di organisasi besar, organisasi besar harus turun tangan dan meletakkan potongan-potongan ini di tempat sehingga mereka tidak t melukai individu atau Anda kehilangan pangsa pasar. Orang-orang berkata, "Ya, Anda tahu, saya tidak akan berbelanja di Target lagi, sekarang saya akan berbelanja di Amazon." Saya pikir kepercayaan adalah masalah besar, meskipun, seperti yang kami katakan, 78 persen orang masih akan mengklik tautan itu di email, meskipun mereka tahu mereka mungkin tidak. Ada sejumlah perlindungan orang, bahkan ketika mereka benar-benar mempercayai Anda.
Eric Kavanagh: Itu poin yang bagus. Anda tahu, saya akan mengajukan satu pertanyaan terakhir kepada Anda, William, atau setidaknya satu lagi - kami punya beberapa pertanyaan bagus yang masuk sekarang. Seorang peserta menulis, “GDPR memindahkan manajemen identitas kembali ke pelanggan, di mana tempatnya. Equifax secara permanen merusak 149 juta konsumen, "sangat benar, " mencemari ekonomi digital. Perubahan apa yang Anda lihat terjadi di AS terkait kepemilikan pelanggan sehubungan dengan manajemen identitas? "
William McKnight: Ya, kita selalu ketinggalan di AS dalam hal-hal semacam ini, bukan? Seratus empat puluh sembilan juta, itu tidak setetes dalam ember di sana. Ini hampir seperti terorisme, bukan? Kami sudah biasa, hanya terjadi setiap saat. Saya pikir sesuatu perlu dilakukan. Saya pikir GDPR, saya suka hak yang diberikannya kepada warga negara, tetapi sepertinya tidak menjadi prioritas - ada banyak prioritas lain dan saya tidak tahu ke mana harus pergi. Saya pikir, seperti yang saya sebutkan dalam slide konsekuensi yang saya miliki, bahwa ini menandakan pergeseran ke arah lebih banyak hak oleh konsumen atas data mereka. Kapan itu terjadi di sini di AS? Saya tidak tahu, mungkin sampai lima tahun, untuk melihat sesuatu yang sepadan dengan GDPR yang terjadi di sini di AS. Hanya spekulasi pada titik ini.
Eric Kavanagh: Ini poin yang sangat bagus dan saya pikir kita akan melihat lebih banyak upaya dalam hal ini karena, mari kita hadapi itu, kita bergerak ke ekonomi digital seperti ini akhir-akhir ini. Dan sebagai komentar penutup di sini, mendapatkan sedikit filosofis, berorientasi kebijakan, inilah yang paling membuat saya khawatir tentang pindah ke masyarakat tanpa uang tunai, karena ketika uang tunai hilang, jika itu terjadi, maka semuanya digital dan setiap sistem dapat dia retas. dan identitas setiap orang dapat dicuri. Menurut saya itu adalah gajah yang cukup besar di ruangan ini, ketika kita melihat ke bawah ke arah masa depan manajemen identitas.
Ini semua hal-hal hebat, kawan. Terima kasih kepada William McKnight untuk waktu dan perhatiannya hari ini. Terima kasih kepada Kim Brushaber dari IDERA. Kami mengarsipkan semua webcast ini untuk ditonton nanti, jadi silakan kembali, biasanya hanya dalam beberapa jam dan arsip akan siap. Dengan itu, kami akan mengucapkan selamat tinggal, kawan. Sekali lagi terima kasih atas waktu dan perhatiannya. Sampai jumpa.