安全 冰山一角:为什么gdpr仅仅是个开始

冰山一角:为什么gdpr仅仅是个开始

Anonim

通过Techopedia Staff,2017年12月6日

总结:主持人埃里克·卡瓦纳(Eric Kavanagh)讨论了欧盟即将颁布的《通用数据保护条例》及其对行业的影响。 McKnight Consulting Group的William McKnight和IDERA的Kim Brushaber也加入了他的行列。

您目前尚未登录。请登录或注册以观看视频。

埃里克·卡瓦纳(Eric Kavanagh):好的,女士们,先生们,您好,欢迎再次光临。 现在是美国东部时间星期三凌晨4点,这意味着Hot Technologies再次来了,这是2017年最后一次。 是的,确实,我的名字叫埃里克·卡瓦纳(Eric Kavanagh)–我将担任您今天活动的主持人。 至少可以说,我们所谈论的话题意义深远。 目前,情况似乎并非如此-GDPR(全球数据保护法规)的概念。 让我们继续深入研究吧,这与您的真实身份无关,对我来说也足够。 今年很热,实际上已经以许多不同的方式变得很热,但是坦率地说,来自GDPR和其他组织的迫在眉睫的法规正迫使我们重新思考商业世界中正在发生的事情,特别是结果如何,或者与数据有关。 我们将收到IDERA的Kim Brushaber以及McKnight Consulting Group的William McKnight的来信。

伙计们,关于这个话题只需要简短的几句话。 GDPR基本上说,组织必须在数据方面采取隐私至上和安全至上的策略,实际上,这是您可能已经听说过的一些内容–例如,被遗忘的全部权利是其中一部分和部分内容。这整个时刻,这是非常有趣的东西。 就其原则和道德而言,这当然是有效的。 但是,就实际实施而言,这是一个非常严峻的挑战。 被遗忘的权利表示,如果您希望某些组织没有您的数据,即您的个人敏感数据,则必须将其删除。 好吧,您可以想象在某些真正异构的数据环境中,这将是多么困难。 能够进入数据持久性的每个位置并将其拉出的根本目的就是要做到这一点。 尽管如此,组织仍需要制定政策,以解决这些问题,我很确定监管机构将要寻求这些政策。

这很重要。 如果您这样说,组织不仅需要删除您的数据,而且如果他们已经对该数据进行了算法训练,那么从技术上讲,他们也应该重新训练这些算法。 我必须告诉你,这是一个艰巨的任务,但是它来了,它正在下降,明年五月将成为现实,并且还有其他规定。 加拿大已经通过了反垃圾邮件法律,这对我们处理个人信息的方式产生了影响。 如今,网络中立性正在降低,当然,它已被连根拔起,这将改变一些事情。 这些非常严格的法规中有很多正在影响整个世界范围内的企业,大型组织确实需要开始考虑并做好准备。

为此,我们已在McKnight Consulting Groups的在线William McKnight上让我们知道了他的想法以及为什么GDPR实际上只是冰山一角。 这样,威廉,我将把它交给你。 把它拿开。

威廉·麦克奈特(William McKnight):谢谢,埃里克(Eric),正如您所说,如幻灯片所示,GDPR可能只是冰山一角-当然,这就是我们的想法。 我们必须深入研究GDPR,这一点很重要,因为我认为这代表着监管浪潮,而这正是我们必须处理的问题。 幸运的是,埃里克,关于被遗忘的权利有一些合理的标准,我将介绍。 但是,尽管如此,在我今年谈论GDPR的过程中,我认为仍有许多公司,尤其是美国公司尚未为此做好准备。 绝对很热,一年前我们绝对没有考虑过这些事情,当时他们正试着膨胀一些东西,但是现在这已成为一项法规,我们必须按照您所说的,Eric,May来对付。在这里–一点也不远。

关于我的一点点,我将从数据的角度出发。 让您知道,我是一个终身的数据人员,现在在数据领域咨询了19年,GDPR涉及很多数据。 在介绍有关数据治理的演示时,我将在此处提出解决方案。 显然,我已经做过很多数据治理程序,并且我认为,如果您与该概念保持一致,就在进行一些数据治理,那么很多公司将走的很远。实际上,这要符合GDPR的要求,但是会有很多方面,最坦率的说,这是治理方面的落后,因此GDPR准备工作也很落后。 让我们在这里进行设置,了解GDPR的含义,随着我们深入讨论,在进入新的一年及以后的时候,我们将深入探讨GDPR对商业生活的影响。

GDPR用于欧盟公民数据隐私。 这是一条法规–意味着有牙齿,意味着可以执行。 这并不是建议,而是已经提出来的建议,现在已经形成了具有惩罚性的法规。 我喜欢从罚款开始,因为这确实引起了人们的注意。 这些都是严厉的惩罚。 有两种处罚,如果一家企业未能履行安全义务,则将征收全球年收入的2%或1000万欧元,但违反其他规定的其他所有事项(我将对此进行解释)为4%。 您听说它花了大约4%。 顺便说一句,这是4%或1000万欧元,以较高者为准。 这非常僵硬。 人们对此非常重视。 从2018年5月25 开始执行–这是关键的日期,那是可以开始审核的时间,那是您可以罚款的时间。 绝对您要为此做好准备。 我与之打交道的每家公司,我与许多全球2000强公司打交道,它们都在GDPR准备工作中,有些比其他公司更多,而有些则必须比其他公司更多。 当然,要满足某些人的日期将是一个挑战,我们将看到。

这是迄今为止我们看到的最彻底的数据隐私合规性制度。 谁知道,当我们看到更僵硬的东西或可能更直接影响美国人口的东西时,就知道了,但是确实需要坚持。 它要求组织了解什么是UE公民PII--我们熟悉PII的权利-个人身份信息,社会保障,电话号码,地址,可以唯一标识一个人或相当唯一地标识一个人的事物。 他们拥有什么以及如何使用它。 这意味着库存。 这意味着您自己的公司内部将针对此类数据进行监管。 顺便说一句,美国没有任何类型的全国性数据保护法。 就这种监管而言,美国一直以来(我会在后面说)都落后于欧洲,而且这种情况仍在继续。 这是GDPR的延续,这是显而易见的。 你们中有些人可能对隐私保护有所了解,您可能对此感到疑惑。 GDPR中大约有三到四个条款与隐私保护措施有任何重叠,但是GDPR中有一百个条款,因此它远远超过了这一规定,而且当然仍然存在,并且与美国和欧盟的数据交换有关仅,尽管那很重要。

同样,我喜欢从数字开始。 您听说过罚款,如何为此做准备。 GDPR的预算以及其中的一些工作,取决于两个因素。 您收集的有关欧盟公民的PII数据量。 如果您不收集任何东西,那么好,您可能合规并且不必处理此问题,但是您可能正在参加此电话,因为您在某个地方收集了一些东西。 正如我之前所说,公司的规模和数据治理的成熟度可能正在接近您对GDPR做出的响应。 您可能希望视具体情况而定,最高可达数百万美元或欧元。 但是,我们想要,而不仅仅是遵守GDPR,请选中该复选框,当然我们必须这样做。 希望您不会遇到那种只需要检查那个框的恶劣情况。 寻求业务利益,因为您为支持GDPR所做的许多事情都对您的业务有利。 数据治理对您的业务有利。 在PII数据量方面,有些数据比其他数据更重要,有些数据比其他数据要受到更多的审查,例如与数据相关的健康状况,因此与其他类型的数据相比,GDPR的监管要严格得多,并且需要合规性承担其他义务,例如进行数据保护影响评估,这显然会增加您的预算。

关于预算的一点点。 如果您在英国或美国,想知道这会如何影响您-顺便说一句,GDPR会影响仍在欧盟的英国,直到2019年3月29 ,其政府表示GDPR之类的事情将继续在那之后,因为“这是个好主意。”英国公司必须遵守它。 英国公民数据肯定在此列。 如果不清楚,有一些美国公司,如果您在欧盟使用欧盟公民数据进行交易,那么这当然适用于您。 这会对您的数据体系结构产生影响,因为您可能最终不得不从其他所有数据中剔除EU数据并以不同的方式对待它们。 正如Eric所说,它会影响分析的编译方式等。 现在可能很难进行任何类型的概念范围的,全球范围的分析。 由于GDPR,它们可能会变得更加本地化。

规定中有什么? 有数据保护标准。 这些全部决定了静态和动态数据的加密。 接下来,我将讨论加密。 有数据泄露通知标准。 这种等待几个月,等待每个人都知道的季度。 我认为前一天有一个很大的事件,我们发现,“哦,它发生在一年前。” GDPR都不是-您有72个小时。 这是一个名称和耻辱政策。 希望没人能做到这一点,显然有人会这么做。 当然,即使在GDPR之后,违规行为仍会继续。 有一些过程可以监视数据的位置和质量。 听起来有点熟? 这确实是数据治理的核心。 希望你有一些。

正如埃里克(Eric)所说,欧盟公民有权被遗忘。 埃里克(Eric)有一些合理的标准。 您不必删除所有内容,如果您必须重新联系该客户,该员工,则可以保留其个人数据的某些方面。 但是,尽管如此,那些公民仍然有权被遗忘,但是对您或对公司的伤害绝不能有不成比例的努力(即语言)对您的破坏。 我不想低估它,但是您还必须释放已保留的个人数据的副本,并且您只能在获得同意的情况下获取这些数据。 必须由年龄最小的人给予同意。 那真是令人难以置信,但这给了公民很多关于其数据的权利。 如果出现这种情况,那就是可移植性。 明确地被遗忘的权利,但同时也是我的幻灯片上没有提到的很重要的一点是,数据主体应无权仅基于自动化处理来做出决定。 我们一直在努力做什么? 围绕贷款验收,我们将要提供的报价,自动化处理,所有这些都需要根据实施的方式以及实施的程度来制定。 这实际上是在透明地说明我为什么被拒绝,为什么我会被这家公司以某种方式对待。 这是现在授予欧盟公民的权利。

显然,我们的业务方式存在一些分歧,希望您看到GDPR并非IT问题,而不仅仅是IT问题。 所有这些业务流程都涉及到。 它将吸引来自公司各个部门的人员。 建议为那些拥有250名以上员工的公司任命一名数据保护官,并且您拥有“具有EU PII数据的关键数学”。您可以自己决定是否拥有关键数学,有时这很明显,有时却没有。 但是,有一个新角色–不必是专职角色,此人还可以承担其他责任,但我不知道–在一些中型和大型公司中,我认为遵守GDPR几乎可以接近全职角色。 我会说以这种方式开始,看看是否可以处理。 尤其是在明年,当您围绕GDPR采取行动时,一旦解决该问题,也许您可​​以放慢此工作,但是这将需要一些公司花费大量时间。 如前所述,允许个人查看自己的数据和数据可移植性。

顺便说一下,这并不是新鲜事,但不管您相信与否,被遗忘的权利实际上已经存在。 现行的欧盟规则已经规定了删除或不提供个人数据的权利。 但是,现在它已成为GDPR的一部分,它将得到更广泛的实施。 数据加密–静态加密您的数据。 使用标准的加密方法,请勿使用自己的本地或非标准加密。 AES是我们非常推荐的一种。 使用加密安全的加密密钥。 定期更改这些键。 同时防止丢失这些钥匙。 这些只是好的加密方法,但是现在它们在GDPR方面走到了最前沿。 问题就出在这里–我只是碰到了冰山一角。 显然,还有更多的规定要研究,但这是主要的规定。

现在,解决。 数据治理,您的合规性框架,至少这就是我在这里提出的观点。 幸运的是,有一个活跃且经验丰富的学科,可以并且确实可以在成熟时满足大多数需求,那就是数据治理–显然我是在说。 治理程序应该有一个数据词汇表,在这里我使用通用术语来表示整个过程的文档。 这是服务于GDPR的库存需求的基础,正如我们所看到的那样,这是非常巨大的。 该程序(治理程序)应该促进数据安全协议的使用-我强调这是因为目前还没有很多数据治理程序正在做这件事,但是我认为这样做是合乎逻辑的,因为它们坐在确定谁是企业主的程序上? 谁需要看? 然后下一步就是授予那些权限。 这需要集中化,需要形式化。 需要使用内部策略。 需要为所有要素分配管理权,以为上述所有要素提供输入。 数据治理也可能是业务流程工程的促进者,这将是必需的。

在我离开这张幻灯片之前,为了避免巨额罚款,公司将采用良好的商业惯例作为副产品。 我想说的不仅是副产品,而且实际上只是一项良好,稳健的业务,可以从业务角度带领您进入新的地方。 当然,如果您拥有完善的数据治理,那么您将能够全面地执行所有计划,这就是我多年来所看到的。 通过将我要提到的其中一些内容添加到数据治理中,它们只会变得更好。 在您的业务流程工程中,我们建议您全面询问这些问题,并涉及每个业务领域。 我们会收集有关欧盟客户的哪些数据? 我不会全部阅读。 这里的一些关键。 谁有需要查看此数据,并且正在遵循? 谁是该数据的数据管理员? 谁是我的业务主管? 这是一个很大的问题:我们是否与第三方共享此数据? 仅仅因为您将其赠与第三方,就不会为您对这些数据承担责任-那仍然是您的数据,那还是您收集的数据。 GDPR导致许多第三方合同正在接受彻底审查。 这些系统是否具有确定性故障? 意思是当它们失败时,它们会失败,进入我们预定的路径,或者只是失败,崩溃,烧毁,然后我们从头开始研究? 这显然会好很多。 这已经是一个好习惯,但是如果您的系统中存在确定性故障,显然可以对其中的某些东西进行逆向工程。

数据保留,我们一直在谈论数据保留。 许多公司都有政策,但是他们并没有全部遵循。 显然,在医疗保健和金融领域,我们要保留数据,我们必须将数据保留一定年限。 这些公司中的一些将数据保存了7年之久的分析师说:“哦,在那之后,我仍然想要这些数据。”这些公司中的一些律师说,“但是我们需要摆脱掉它出于责任目的”等等。 这不能只是简单地坐在那里,因为GDPR不再是争执的问题。 我们必须有保留期,并在组织内部全面贯彻。

最后,您如何动员数据泄露? 这些最坏的情况可能会发生在您身上。 显然,我们正在尝试阻止它们,但是如果确实发生了该怎么办? 您如何对事物进行整理,并确保您在响应中遵循GDPR的规定? 我是一名数据架构师,我在考虑数据架构。 如果您是一家总部设在美国的公司,并且拥有欧盟运营机构(即欧盟公民数据),那么您就必须考虑是否对所有数据还是仅对欧盟数据应用数据保护标准。 是的,我的客户现在正在做出决定。 作为良好的商业惯例,他们可能希望将其带到美国,但是他们可能觉得自己有时间,但这引出了第二点。 如果您不能保证美国系统将适当处理数据,则可能必须取消来自美国系统的欧盟数据。 是否出于分析目的将数据分开? 如果您要在整个国家/地区进行分析,分析是否还有效? 有时是,有时不是,对吗? 您可能会发现您的分析将因此被静音。

正如我之前提到的,人工智能之所以参与其中,显然是因为我们可以使用AI来查找所有数据,帮助我们找到所有数据,但是如果我们在客户界面中使用AI,那么现在就需要与客户保持透明度界面,这从来不是AI的强项。 试图告诉客户:“您被拒绝是因为等等,等等,当真的是AI的时候。” 现在必须完成。 我们必须弄清楚AI是如何工作的,有哪些因素? 不能只坐在那里给你一个黑匣子。 我们现在干什么? 建立您的GDPR委员会。 我建议您有高级隐私官,或者如果有数据保护官,显然是那个人。 数据治理,运营风险和/或法规遵从性主管(如果适用)是IT主管,CIO。 如果您有更换的管理人员,那将是一个很棒的人。 因为您的隐私培训将变得非常庞大,所以您只是企业中一些最重要部门的负责人,还是人力资源主管。 每个人在成立公司时都将接受隐私培训,或者应该接受隐私培训,甚至是顾问。

如果您没有执行此处看到的这些操作,那么您将必须比规定截止日期更快地行动。 您还需要开始希望自己不是最早接受审核的人之一,因为坦率地说,如果您是从头开始并且要处理大量欧盟公民数据,这里有很多工作要做。 雇用您的DPO,盘点数据和流程。 建立用于数据治理的计划,将其从实际位置转移到需要的地方。 视情况而定,您可能要启动它。 制定您的隐私政策和政策声明。 隐私政策是内部的。 政策声明发布在外部。 我们看到,现在开始围绕政策通告创建一种文化。 围绕这些政策声明进行了大量的比较,并进行了许多仔细的措辞。 为所有系统(包括新系统)组织GDPR合规性检查。 您可能需要对它们进行排序并以某种重要性顺序进行处理,但这是解决问题的另一种方法。 查看系统,它们应该做什么以及如何处理这些数据。

GDPR发出什么信号? 这就是我们在这里谈论的更多内容。 我期待着金对此有何评论。 GDPR是数据隐私控制向监管的转变。 条款中说得很对,这是向透明的趋势。 正如我所说,我们正在营造这种隐私通知文化,这已经成为现实。 我们将看到有关隐私声明的会议等。 GDPR向着人们的基本权利转移。 公开问题将得到解决。 显然有未解决的问题,我在这里为我们保留了一些问题。 没有人有答案。 他们将被解决。 一种趋势,使个人对其数据及其使用方式有了更多的了解。 我认为这提高了欧盟民众对他们数据重要性的认识,并认为作为他们的个人资产之一,他们需要进行更多管理。 那是我所见过的一些早期信号,埃里克,我现在将其反馈给您。

埃里克·卡瓦那( Eric Kavanagh):好吧,让我把钥匙交给金,她可以分享她的一些观点,但威廉姆,我认为这是一个很好的概述,您抓住了关键点-即,这肯定是矛头坦率地说,我们必须非常小心。 这样,让我将密钥移交给Kim,您就可以共享屏幕并从那里拿走。

Kim Brushaber:嘿,你能听到我说话吗?

埃里克·卡瓦纳(Eric Kavanagh):我能听到你的声音。

Kim Brushaber:太好了。 威廉介绍了我将要介绍的一些内容,但是我认为它们值得再次介绍,因为它们确实很重要。 我认为,当新法规通过时,获得许多不同人的观点和解释是非常好的,这样可以激发您的思想,使您能够更加遵守法规。 希望了解更多信息的所有人都对我感到鼓舞,因为我认为5月25 到来时,对于那些被追捧而不遵守法规的公司可能会产生很多恐慌。

我叫Kim Brushaber,我是IDERA的高级产品经理。 我下面有几种产品可以帮助您遵守GDPR以及其他法规。 我将跳入一些信息。 我将从一些事实和数字开始,然后再介绍GDPR,然后具体介绍我们的工具如何为您提供帮助。 一个事实是每天有超过500万条数据记录丢失或被盗。 我们没有在新闻中听到此消息,也没有从其他地方听到此消息,但是从我们下面一直有超过500万条数据记录一直被盗。 攻击者在您的网络中处于休眠状态的中位数是200天。 出于恶意目的,人们已经渗透到许多系统中,他们只是在等待机会利用您的信息,主要是在安全性和证书范围内,但他们只是在等待突如其来的时刻。 因此,处理数据安全变得越来越重要。 预计到2020年,随着越来越多的业务基础架构与在线资源建立连接以及云中事物的增多,单个数据泄露的平均成本将超过1.5亿美元。 如果您确实关心数据安全性,这是一个不错的预算数字,可以交给您的执行团队,告诉他们这是一件严肃的事情,并且可能使我们花费很多钱。

我将简要介绍一下Equifax数据泄露问题,因为我认为这是2017年最大的数据泄露事件,目的是为了勾勒出要经历的情况。 违规影响了1.455亿客户。 员工在漏洞发生前两个月就确认了Web应用程序的安全问题。 员工们在说:“这是一个问题。”甚至在此补丁实际发布之前的那一小段时间。 发生违规事件后,整整一整天才做出响应,并使Web应用程序脱机。 因为Equifax没有定义的数据安全协议,所以他们花费了大量时间甚至无法确定正在发生什么,然后能够使系统脱机。 违规事件发生六周后,向公众发出了警报。 使用GDPR –正如我们上面所说,我会再说一遍–您必须在72小时内报告,而Equifax会束手无策,无法达到该合规性,因为他们等待了六周时间才能报告。 应对违规行为的通讯包括一个甚至不是Equifax所有的网站。 Equifax自己转推了该推文,而该推文甚至不在他们的领域内–他们扭转了周围的某些说法。 幸运的是,这并不是一个利用它的恶意站点,但是显然他们没有做好准备。 他们没有适当的计划,这在公众场合已经很清楚。 Equifax并不孤单-到目前为止,2017年已有25多次非常受网络关注的攻击,并且在年底之前我们仍然可以找到更多攻击。 公司确实需要开始认真对待这一问题,因为人们在那里,如果您给他们一个想见您的理由,那么您最好准备好应对它。

关于个人如何看待数据安全性的其他一些数据事实和数据。 到2020年,将有300亿台设备通过我们的家,可穿戴设备,电话,平板电脑以及知道未来几年还会发生什么的互联网连接到互联网。 有很多设备容易受到这些攻击。 百分之四十九的美国人认为他们的个人信息不如五年前安全。 在美国,有73%的消费者希望公司对其个人数据保持透明。 78%的人声称知道点击未知链接和电子邮件所带来的风险,但他们还是点击了这些链接-占我们人口的四分之三以上,尽管他们仍然在点击这些链接知道这可能是一个问题。 86%的互联网用户正在积极尝试最小化,匿名化和隐藏其数字足迹的可见性。 我的继父喜欢在填写表格时走出去并创建假名字,因为他认为这使他变得匿名,但是他几乎不知道自己的IP地址也被追踪。 有很多个人关注的问题,这就是许多GDPR法规以及可能随之而来的其他法规产生的原因。

就数据安全行业的事实而言,2016年违反数据记录的90%来自政府,零售和技术。 百分之四十三的网络攻击攻击了小型企业。 如果您认为:“哦,我不是一个大个子,他们不会追随我。”仍然有近一半的人在追逐小企业。 在过去的一年中,有75%的医疗保健行业感染了恶意软件。 去年,美国有70%的石油和天然气公司被黑。 这对正在运行的各种不同行业产生了巨大影响,并且这个数字只会从这里上升。

从执行人员的角度来看,有90%的CIO承认由于网络安全不足而浪费了数百万美元。 90%的人还说他们已经受到攻击,或者期望被隐藏在加密中的人攻击。 87%的人认为他们的安全控制未能保护他们的业务。 百分之八十五的CIO期望对密钥和证书的滥用会进一步恶化。 有很多公司正在研究此数据安全问题,但现实是,尽管他们相信,很多公司都没有很好的解决方案,甚至无法在发生问题时进行处理。它会发生。

在我们进行准备时,2014年,有70%的千禧一代承认他们违反IT政策将外部应用程序带入企业。 百分之七十的人承认了这一点–实际上,可能有比这更多的数字。 在2016年遭受成功的网络攻击的组织中,有52%的组织在2017年的安全性没有任何改变。即使遭受一次攻击,他们仍然没有坚守墙面–他们和他们一样脆弱在袭击之前。 这确实引出了一个问题,公司需要开始做些什么,以便为这些事情做好准备? 38%的全球组织声称他们已准备好应对复杂的网络攻击。 很好-几乎有一半在那,我对此很慷慨,我们实际上只有三分之一,但至少还有一半的人说:“我还没准备好。 如果受到攻击,我还没准备好,黑客们就知道了。” 38%的组织制定了网络事件响应计划。 大多数公司与Equifax处在同一个桶中,在那里他们不知道自己将要做什么。 如果他们能做到这一点,他们将不得不做出反应并迅速提出这些建议,而GDPR之类的法规则说:“您必须将它们落实到位。 您必须将它们发布。 希望有这样的影响,有了这样的法规,我们将能够走在这条曲线的前面,而不是反动,我们可以积极主动地前进。

让我们谈谈GDPR。 William的某些文章已经讲过,但是我将继续讲一下,仅从我的观点,我的声音和我的角度来看。 我与之交谈的许多公司都在说:“我在美国,为什么还要关注欧盟的这一法规?”事实是,越来越多的人不再嗡嗡作响,而更多的人却不在谈论他们认为这只是受影响的欧盟成员,但是我想问您,如果您查看此列表,是否从欧盟成员那里收集了这些数据? 如果您完全收集了任何此类信息,则将受到GDPR的限制以及不遵守相关规定的处罚。 我会花一点时间来吸收和理解这一点。 正如William先前提到的,这些是GDPR第83条所提及的惩罚和制裁。 刚开始时,您可能会被打一巴掌,有些警告说:“嘿,一起行动吧。 但是,如果您确实有重大违规行为-并且要视交易的规模而定-违规行为将找您赔偿,这是一个很大的数目。 不是1000万,而是2000万欧元,即上一年营业额/收入的4%。 那是很多钱。 您的执行团队会花费很多预算,并说:“这是我们确实需要认真对待的事情,我们需要采取行动。”

让我回顾一下第5条中概述的GDPR原则。他们说的一件事是,应合法,公正和透明地处理个人数据。 这意味着公众想知道您正在使用他们的数据做什么。 对此保持透明,必须将其发布。 大多数人不阅读条款和条件,但这是您需要能够交流的新信息,因此您可以告诉他们“您的数据得到了适当的处理。”应针对特定的,明确和合法的目的。 这意味着希望我们能摆脱一些垃圾邮件,公司表示他们正在收集信息以进行测验,以告诉您您可能有多有趣,而实际上,他们是在获取您的数据并将其卖给其他人,以便能够将其用于任何目的。 公司现在需要更加负责,并准确说明他们将您的信息用于什么目的。 他们还说,个人数据必须足够,相关且仅限于必要的内容。 许多公司喜欢将所有信息收集到一个大数据池中,然后他们想出以后要对这些信息进行处理,并且收集的信息远远超出了必要。 就是说您无法收集它并在其他地方使用它。 您也不能只收集所有内容,并希望以后您会发现它有用。 您必须非常清楚地说明为什么要收集信息,并且该信息必须与要收集的数据相关。

个人数据也需要准确并保持最新。 一旦收集到数据,就必须为用户提供更新其数据的方法; 他们需要能够回过头来说:“您知道,我在您要求我提供有关个人身份信息的某些调查中有此观点,我想回去并希望对其进行更改并立即进行更新。”给他们一种能够做到这一点的方法。 个人数据的保存形式必须允许识别数据主体的时间不超过必要的时间。 回到William的观点,您不能永远收集这些信息–您必须提出您认为有效和必要的信息,然后再清除数据。 还必须以确保适当安全性的方式进行处理,包括防止未经授权或非法的处理,意外丢失,破坏或损坏。

正如我之前所说,是时候对此认真对待了,制止那些数据泄露,因为您不仅可能遭受数据泄露,收入损失以及支持流程的成本等形式的伤害,而且还会给公司造成伤害。 ,但您可能还会从GDPR身上被罚款一堆。 是时候开始对此变得非常认真了,我认为随着GDPR的生效,公司将面临艰难的现实,幸运的是,今天正在电话会议中的那些人可以开始考虑这一点并了解您如何将这些事情付诸实践。

GDPR还谈论了很多个人权利。 确实是在寻找个人用户。 首先是访问您的个人数据的权利。 用户需要知道您从中收集了哪些信息以及个人识别信息,并且您必须给他们提供一种访问这些信息的方法。 还有一种纠正权,这是一种奇特的说法,即“我需要能够纠正关于我的信息。”擦除权–同样,很多人都将其称为被遗忘–如果有人说:“您知道吗,我不再希望您知道我是超级好玩的漫画收藏家,那么您就必须摆脱它。 我有一些朋友正在取笑我,并彻底将我从清单上删除。”您必须能够做到这一点。 也有限制处理的权利,这意味着用户可以限制其信息的处理方式。 他们可能会说:“我不介意您获取我的信息,因为我正在购买一辆新车,但不要在每次发布新车时都使用该信息向我发送电子邮件并向我发送垃圾邮件。”数据可移植性的权利,这意味着用户应该能够获取其数据的副本并将其复制到其他地方。 许多组织收集信息,并且该信息具有粘性,现在人们可以说:“您知道吗,我希望您获取我所有的信息,现在我希望您将其提供给您的竞争对手,因此我可以移动它过度。”

一家组织有很多事情需要考虑,您将如何做到这一点以及希望能够收集和发送哪些信息。 还有反对的权利,用户也可以反对处理其数据。 不受完全基于自动处理或配置文件的决定的权利。 这对B2B营销产生了重大影响-如果您坐在那里尝试A / B测试,并试图确定科罗拉多州是否比加利福尼亚州更受信息影响,那么您已经完成了分析工作,只需查看一下状态与另一个状态之间的对立,您必须查看一个人应该如何选择退出。

鉴于我们在数据泄露以及人们如何看待数据方面遇到了一些可怕的事情,并且我们已经把这项巨大的法规抛在了肩上,我现在在这里给您IDERA如何提供帮助的解决方案。 第15条讨论了如何控制个人数据的暴露。 您必须知道谁在访问您的数据。 他们如何使用它。 我处理过多少数据以及我负责产品的SQL产品Compliance Manager,使您可以查看谁在访问数据以及如何访问数据。 SQL Compliance Manger适用于SQL Server解决方案。 如果您有SQL Server数据库,则可以连接此产品以进行审核和查看此信息,从而可以遵守GDPR并确切了解其用法。 您还可以在数据泄露发生之前就看到它们,我将在另一张幻灯片中对此进行讨论。 还有一篇文章说:“我需要记录处理活动。 我需要登录并且需要监视操作,并且我需要知道谁在处理个人数据以及谁可以访问那些系统。” SQL Compliance Manager维护服务器和数据库的审计,包括安全性,DDL,DML以及定义敏感数据。 SQL Compliance Manager允许您审核安全性访问并记录尝试,因此您可以查看谁在访问信息以及谁在登录,这是特权用户,是已知用户还是恶意用户。

第33条将有关个人数据泄露的通知告知监管机构。 您需要能够检测到这些违规; 您需要有记录才能评估影响; 您需要知道要多快进行补救。 为此,SQL Compliance Manger允许您在数据库上设置警报,以查看谁有权访问您的敏感数据,访问者何时访问敏感数据。 它还允许您从审核中排除普通特权用户。 如果您有要访问的系统管理员或网络管理员,并且不想阻塞报告,则可以将其排除在外,然后说:“将这些信息之外的所有情况都给我。”它允许您可以快速识别是否有人在恶意访问您的数据,并且可以设置警报,以便在发生警报的那一刻以及在访问该信息的那一刻就知道这些警报,以便对其进行分类,以便您不必等一整天就可以知道发生了什么,就像Equifax一样。

还有一篇文章讨论了数据保护和影响评估。 这是在评估您的风险并了解其风险,并演示和记录您对GDPR的遵守情况。 SQL Compliance Manager允许您报告正在监视的元素。 简而言之,使用SQL Compliance Manager审核数据,SQL Compliance Manager允许您检测失败的登录(这是潜在的违规迹象),监视管理活动和安全更改,提醒您数据库修改,审核您定义为敏感信息的列,标识特权用户并与系统中其他用户分开地跟踪其活动,报告信息正在按照若干法规指南进行审核。 我们不仅涵盖GDPR,而且涵盖HIPAA,PCI,FERPA,SOX,以及所有审核您的信息并了解所访问内容的法规指南,我们都有这些法规指南。

在IDERA,我们还有其他产品可用于GDPR的准备。 除了SQL Compliance Manager进行的审核之外,我们还有ER / Studio Enterprise Team Edition,它可以帮助您记录数据流程并将数据标准纳入您的数据模型中,还可以创建William在上一张幻灯片中谈到的数据词汇表。 正如我在此演示文稿中所述,SQL Compliance Manager可以帮助您审核信息,以确保没有错误的人访问您的数据,并向审核员证明这一点。 SQL安全备份可以帮助您加密数据和备份。 加密是GDPR的重要组成部分,由于我想将重点放在Compliance Manager的资产上,所以我没有详细介绍,但是SQL Safe Backup为您做了很多加密,以便您的数据可以保持安全。 SQL Inventory Manager可以确保对服务器进行修补和更新,因此您不会遇到像Equifax这样的情况,因为它们的修补程序过时了,这给人们带来了很大的安全漏洞恶意使用。 SQL Secure可以审核隐私和加密标准。

有关IDERA社区网站上的更多详细信息,我在博客下发布了《 GDPR的准备工作》以及《展望2018年》,并了解GDPR的影响将如何发展,此外,您当然可以下载SQL Compliance Manager的试用版。在IDERA以及我之前在幻灯片中提到的任何其他产品。

在这一点上,我将继续将演示文稿移交给Eric,以便我们提出一些问题。

埃里克·卡瓦纳(Eric Kavanagh):好的,很好。 您谈到了许多非常有趣的事情,Kim,其中之一-我认为这很简单,但是非常聪明-您谈到了检测失败的登录。 在我看来,这是一个很好的信号,表明某人没有权利做正确的事?

Kim Brushaber:好的 。 如果您看到有人试图访问和破解您的密码,这是一种非常快捷的方式,可以说某人没有按照其应有的方式行事。 也许有几次您可能输入了错误的密码,但是如果您看到其中30个密码输入错误,那就很不好了。

埃里克·卡瓦纳(Eric Kavanagh):是的。 他们的关键是在适当的上下文中设置警报。 您还能告诉我们什么有关如何管理设置警报和停用未执行其应做的警报的过程以及可以自动执行多少操作的信息?

Kim Brushaber: Compliance Manager确实有很多可配置的警报,以及您可以查看的报告。 我们将遍历您的SQL跟踪,并进行自动跟踪,并且其中很多已经预先设置和预定义,但是您当然也可以进行大量的自定义。

埃里克·卡瓦那(Eric Kavanagh):威廉,我将带您进入–在我看来,这是我们将在未来两到十年左右看到机器学习发挥作用的领域之一,不同的可能性。 查看系统可以优化其效率的所有不同方式,它可以解决诸如漏洞等问题的有效性。 那也是你的意思吗?

威廉·麦克奈特:是的,绝对如此。 我认为我们现在正在构建可以自我修复的系统。 尽管我们仍然需要这种正常运行时间,但24 x 7的监视已开始逐渐成为过去。 我认为系统主要是内置的,可以弄清楚那是什么错误。 我们需要在这里分配更多空间还是您有什么? 是的,我认为那绝对是我们未来的一部分。 可以映射到某些操作步骤以对某些事情做出反应的任何事物,绝对容易受到人工智能的攻击。

埃里克·卡瓦纳(Eric Kavanagh):很好。 威廉,我将再向您提出一个问题,因为我知道您对此领域进行了大量研究。 我已经等待了很长一段时间的事情之一,我认为我们还没有到那儿-我认为我们已经接近了,只是从我一直在阅读和思考的过程中-有一天,将有技术来解决监管问题,这些事情的实际措辞,并将其映射到功能和软件。 就像我说的那样,我们还有一段路要走–我无法想象没有人在为此工作。 您是否遇到过类似的问题,还是我们仍然需要人类仔细阅读这些规则,真正地尝试并理解它们,本质上将它们编码为机器代码,然后将其应用于各种应用?

威廉·麦克奈特(William McKnight):好的,我肯定会在这里分享您的想法。 我不熟悉与此相关的环境中的任何进展。 我通常会说,显然,我们不是开始告诉机器要做什么,而是要告诉我们我们要做什么的目标是什么,而机器在弄清细节方面变得越来越聪明。 我认为,一旦我们在组织中获得了更多的人工智能,很有可能可以与部署在组织内部的AI协同开发新的法规,从而可以按照您将来描述的方式进行推广。 目前,我们还没有采取行动。

埃里克·卡瓦纳(Eric Kavanagh):金,我将向您提出一个问题,因为这也很有趣。 您谈论的是平均延迟时间或某人登录系统后隐藏并等待的时间-攻击者在网络中处于休眠状态的天数-检测时间为200。我很好奇地知道,您对如何改进的想法是什么首先 但是,是否有一种方法可以使用这种规则来探索自己的系统? 要探索自己的数据,从而更好地将这类人员拒之门外?

Kim Brushaber:是的,我认为显然及早发现是关键。 您需要确定这些恶意站点正在访问您的信息并能够将其锁定。 我认为,在其他幻灯片中,我们表明大多数组织都没有这些政策。 这就是为什么他们坐在那里。 我认为,如果您确实有一项政策可以通过并锁定访问权限,并确保合适的人员可以访问。 确保定期旋转密钥并进行更新。 确保您的密码得到定期更新并执行这些操作,这看起来很基础。 目前,大多数组织甚至都没有这样做,而将这些部分放到位将有助于您超越此范围。

当然,这意味着黑客会变得更加狡猾,但是目前这很容易,就像,“我要去看看我想闯入的街道上的房屋,那些人会发出警报吗?系统? 他们有一个小的警报信号,并且有人带狗吗? 我要去一个没有警报信号,没有狗的地方,那是我要闯入的房子。”好吧,他们将找出那些没有警报的公司。没有这些补丁,它们没有安全性,他们没有更新密码,他们将去那里闲逛,并在加油站上使用您的信用卡几次,以确保您没有关闭它,然后当他们可以影响重大变化时,通常是某种政治声明,或者是当您看到他们突然抬起头来时。 制定这些政策,我认为您现在可以采取一些非常简单的步骤来领先这场比赛。

埃里克·卡瓦纳(Eric Kavanagh):这可能是最好的建议,当我与安全领域或监管领域的人们交谈时,我总是会听到这一点,基本知识将覆盖您80%的问题,并且有很多方面可以解决–这是一个好点子。 一位与会人员问到有人是否可以利用GDPR合规性工作挖掘出的商机,我想起了萨班斯-奥克斯利法案(Sarbanes-Oxley),我想是威廉,我将它交给您。 作为顾问,您一直在寻找在特定项目范围之外为客户提供帮助的方法-至少如果您是一位优秀的顾问,那么您正在这样做。 当您与人们谈论GDPR时,如果他们参与某个专注于GDPR的项目,您可以吹捧的附带好处是什么?

威廉·麦克奈特(William McKnight):首先,重要的是要指出,GDPR背后的思想根本就不是公民的全部权利。GDPR的另一面是,这将提高公民对我们公司和企业的信任。它将鼓励他们在合规的公司中开展更多业务。 实际完成您的GDPR会带来一些附带的好处,现在,在内部,我们实施的数据治理计划可促进各种举措的实施,实际上,这些举措已在组织内部启动,而今天(到目前为止)正在启动在组织内部。 我最近一直在为2018年做一些计划,其中许多都与数据有关,很多时候,当您谈论远程信息处理或客户360程序时,它们大约占所有数据的65%至90%或用于监视销售人员的仪表板,很大程度上与数据有关。 能够更好地管理数据的任何事物,都将其置于一个更好的体系结构中,该体系将任命能够回答有关该数据的任何和所有问题的人员,这些人员真的像数据治理程序一样在乎。 可以给我们提供数据词汇表的任何事物(例如Kim在使用她的工具谈论的事物)都可以使这些举措变得更加高效,降低风险,缩短时间,缩减预算并获得我们的帮助。在敏捷的时间里,对于所有采取行动的公司来说,更快,更好的营销是一件好事。

埃里克·卡瓦纳(Eric Kavanagh):我喜欢信任的概念。 我认为信任在我们的世界中是一个非常被低估的现实,坦率地说,大多数企业都依靠信任来运作-当您认真对待信任时,信任的确会发生。 金,我只想作一些总结,就把它交给你。 我认为,这里增加的主要价值之一是改善信任并建立信任文化,因为这不仅会对公司本身,公司内部人员产生积极影响,而且还会对公众的看法产生积极影响,因为这种东西溢出了,在我看来,但是您怎么看?

Kim Brushaber:是的,我想,当我与在Google工作或在Facebook工作的朋友或一些规模较大,知名度很高的组织交谈时,他们实现的新功能不如实现安全协议和性能那么多和可扩展性问题,因为他们希望自己的用户体验成为他们认为可以信任该信息的地方。 我认为,在我们继续提供这种信任的过程中,公司有责任。 我记得人们第一次开始将信用卡放在网上时,人们会说:“哦,天哪,我不会在那里提供该信息,因为它不安全。”

而现在,您的信用卡无所不在,因为理论上您认为您可以信任该公司,因为它拥有HTTPS证书。 然后,您会听到有关Target数据泄露的信息,就像信用卡一样,“哦,您最好用您的信用卡进行交易,因为我们放弃了这些信息。”我认为这是双向的。 我认为,尽管个人希望因为容易得多而更加信任,但在大型组织中要能够信任并对此充满信心,但是大型组织必须介入并将这些问题放在适当的位置,以便他们不会伤害个人或失去市场份额。 人们说:“你知道吗,我不再打算在Target商店购物,现在我要在亚马逊购物。”我认为信任是一个大问题,尽管像我们说的那样,有78%的人即使他们知道可能不会,也仍然要单击电子邮件中的该链接。 即使人们确实信任您,也有一定程度的保护。

埃里克·卡瓦纳(Eric Kavanagh):很好。 您知道吗,威廉,或者至少一个,我将向您提出最后一个问题–我们现在有一些好问题要问。 与会者写道:“ GDPR正在将身份管理移回其所属的客户。 Equifax永久损坏了1.49亿消费者,这是非常真实的,污染了数字经济。 您认为美国在身份管理方面的客户所有权发生了什么变化?”

威廉·麦克奈特(William McKnight):恩,在这种事情上,我们总是在美国落后,不是吗? 1亿4千9百万,这可不是一笔钱。 几乎就像恐怖主义,对不对? 我们已经习惯了,它一直在发生。 我认为需要做些事情。 我认为GDPR,我喜欢它赋予公民的权利,但这似乎不是优先事项-还有许多其他优先事项,而且我不知道它会去哪里。 正如我在分支幻灯片中提到的那样,我认为这标志着消费者正在转向消费者对其数据的更多权利。 在美国什么时候发生? 我不知道,要想在美国这里发生与GDPR相称的事情,可能还需要长达五年的时间。

埃里克·卡瓦纳(Eric Kavanagh):这确实是一个很好的观点,我认为我们将在这方面看到更多的努力,因为,面对现实,我们如今正朝着这样的数字经济发展。 作为结束语,这里有一点点哲学性,政策导向性,这是我转向无现金社会时最担心的事情,因为当现金消失时,一切都会数字化,每个系统都可以被黑客入侵每个人的身份都可能被盗。 在我看来,这是房间里的一头巨大的大象,因为我们看不起身份管理的未来。

伙计们,这都是很棒的东西。 感谢William McKnight今天的时间和关注。 感谢IDERA的Kim Brushaber。 我们确实将所有这些网络广播存档,以供以后查看,因此通常在几个小时内就可以随时回来,存档将准备就绪。 亲爱的,我们将向您告别。 再次感谢您的时间和关注。 再见。

冰山一角:为什么gdpr仅仅是个开始