Von Techopedia Staff, 6. Dezember 2017
Imbiss: Gastgeber Eric Kavanagh erläutert die bevorstehende Datenschutz-Grundverordnung der EU und deren Auswirkungen auf die Branche. Zu ihm gesellen sich William McKnight von der McKnight Consulting Group und Kim Brushaber von IDERA.
Du bist derzeit nicht angemeldet. Bitte melde dich an oder registriere dich, um das Video zu sehen.
Eric Kavanagh: OK, meine Damen und Herren, hallo und nochmals herzlich willkommen. Es ist Mittwoch um 16 Uhr Ostküstenzeit, was bedeutet, dass es wieder soweit ist - eines der letzten Male im Jahr 2017 - für Hot Technologies. Ja, mein Name ist Eric Kavanagh - ich werde Ihr Moderator für die heutige Veranstaltung sein. Wir sprechen über ein weitreichendes Thema, um es gelinde auszudrücken. Im Moment scheint es nicht so zu sein - das Konzept der DSGVO, der globalen Datenschutzverordnung. Lass uns weitermachen und gleich eintauchen. Es geht nicht um deine, sondern nur um mich. Dieses Jahr ist heiß, es war in vielerlei Hinsicht sehr heiß, aber die bevorstehenden Vorschriften der DSGVO und anderer Organisationen zwingen uns, ehrlich gesagt, zu überdenken, was in der Geschäftswelt vor sich geht, insbesondere was daraus resultiert, oder wie es sich auf Daten bezieht. Wir werden von Kim Brushaber von IDERA und von William McKnight von der McKnight Consulting Group hören.
Nur ein paar kurze Worte zum Thema, Leute. Die GDPR sagt im Grunde, dass Organisationen eine Datenschutz- und eine Sicherheitsrichtlinie in Bezug auf Daten haben müssen und es sich wirklich um einige der Dinge handelt, die Sie vielleicht gehört haben - das Recht, vergessen zu werden, ist zum Beispiel ein Teil und ein Teil davon diesen ganzen Moment, und es ist sehr interessantes Zeug. Es ist sicherlich gültig in Bezug auf seine Prinzipien und seine Ethik. In Bezug auf die tatsächliche Implementierung ist dies jedoch eine ziemlich große Herausforderung. Das Recht, vergessen zu werden, besagt, dass einige Organisationen, die nicht über Ihre Daten und Ihre persönlichen sensiblen Daten verfügen möchten, diese Daten entfernen müssen. Nun, Sie können sich vorstellen, wie schwierig das sein wird, wenn einige dieser wirklich heterogenen Datenumgebungen sind. In der Lage zu sein, an jeden Ort zu gelangen, an dem Ihre Daten persistent sind, und sie herauszuholen, ist die Quintessenz. Dennoch müssen Organisationen Richtlinien haben, um diese Bedenken auszuräumen, und ich bin mir ziemlich sicher, dass die Aufsichtsbehörden danach suchen werden.
Es ist ein großes Geschäft. Die Organisation muss nicht nur Ihre Daten entfernen, wenn Sie dies sagen, sondern auch, wenn sie Algorithmen für diese Daten trainiert haben, die Algorithmen technisch neu trainieren. Das ist eine große Aufgabe, muss ich Ihnen sagen, aber es kommt, es kommt auf den Hecht, es wird im Mai nächsten Jahres Realität und es gibt auch andere Vorschriften. Kanada hat ein Anti-Spam-Gesetz, das sie verabschiedet haben. Dies hat Auswirkungen auf den Umgang mit personenbezogenen Daten. Die Netzneutralität nimmt zu, natürlich wurde sie im Grunde genommen entwurzelt, und das wird einige Dinge ändern. Es gibt viele dieser sehr ernsten Vorschriften, die Unternehmen auf der ganzen Welt betreffen und auf die sich große Unternehmen wirklich Gedanken machen und auf die sie sich vorbereiten müssen.
Dafür haben wir William McKnight von McKnight Consulting Groups online gestellt, um uns mitzuteilen, was er denkt und warum GDPR eigentlich nur die Spitze des Eisbergs ist. Damit, William, übergebe ich es Ihnen. Nimm es weg.
William McKnight: Danke, Eric, und wie Sie sagen, wie die Folie sagt, ist diese DSGVO vielleicht die Spitze des Eisbergs - das ist sicherlich, was wir denken. Es ist wichtig, dass wir uns eingehend mit der DSGVO befassen, da dies meiner Meinung nach eine Regulierungswelle darstellt, mit der wir uns in Zukunft befassen müssen. Glücklicherweise, Eric, gibt es einige vernünftige Standards, um dieses Recht zu vergessen, auf die ich noch näher eingehen werde. Auf meinem diesjährigen Rundgang über die DSGVO denke ich jedoch, dass es viele Firmen gibt, insbesondere US-amerikanische Firmen, die noch nicht darauf vorbereitet sind. Es ist definitiv heiß und an etwas, woran wir vor einem Jahr definitiv nicht gedacht haben, als sie gerade ein paar Dinge ausprobiert haben, aber jetzt ist es eine Vorschrift und wir müssen damit fertig werden, wie Sie sagten, Eric, May kommt gleich hier oben - also gar nicht so weit weg.
Ein bisschen über mich, ich werde darauf aus der Datenperspektive kommen. Um Ihnen mitzuteilen, ich bin eine Person für lebenslange Datenerfassung und berate seit 19 Jahren im Bereich Daten, und bei der DSGVO geht es viel um Daten. Ich werde hier eine Reihe von Lösungen vorstellen, wenn ich mich mit der Datenverwaltung befasse. Ich habe offensichtlich viele Data Governance-Programme durchgeführt und ich denke, wenn Sie mit diesem Konzept in Einklang stehen, werden viele Unternehmen auf diesem Weg ziemlich weit weg sein eigentlich, um die GDPR-Konformität, aber es wird eine Menge geben, und ehrlich gesagt, die hinter der Regierungsführung zurückbleiben und daher ziemlich hinter ihren Vorbereitungen für die GDPR zurückbleiben. Lassen Sie uns hier einen Level festlegen und verstehen, worum es bei der DSGVO geht. Wenn wir uns eingehender mit den Konversationen befassen, werden wir uns mit den Auswirkungen der DSGVO auf das Geschäftsleben im weiteren Verlauf des neuen Jahres und darüber hinaus befassen.
Die DSGVO ist für den Datenschutz der Bürger der Europäischen Union. Es ist eine Vorschrift - bedeutet, dass es Zähne hat, bedeutet, dass es durchsetzbar ist. Es ist nicht etwas, das als Vorschlag herausgegeben wird - das ist bereits geschehen und jetzt ist es zu einer Verordnung mit Strafen geformt worden. Ich mag es, mit den Strafen zu beginnen, weil das die Aufmerksamkeit der Leute auf sich zieht. Das sind harte Strafen. Es gibt zwei Strafen, es gibt 2 Prozent des weltweiten Jahresumsatzes oder 10 Millionen Euro, wenn ein Unternehmen seinen Sicherheitsverpflichtungen nicht nachkommt, aber alles andere, was gegen andere Bestimmungen verstößt - und ich werde darauf eingehen - das sind 4 Prozent. Sie hören, dass es ungefähr - 4 Prozent bandagierte. Übrigens sind es 4 Prozent oder 10 Millionen Euro, je nachdem, welcher Wert höher ist. Das ist sehr steif. Die Leute meinen das sehr ernst. Durchsetzung ab dem 25. Mai 2018 - das ist ein Schlüsseltermin, an dem die Audits beginnen können, an dem Sie Ihr Bußgeld erhalten können. Auf jeden Fall möchten Sie dazu bereit sein. Jedes Unternehmen, mit dem ich zu tun habe, ich habe mit vielen Global 2000-Unternehmen zu tun, sie sind irgendwo in der Vorbereitung auf die DSGVO, einige mehr als andere und einige müssen an diesem Punkt mehr als andere sein. Es wird sicherlich eine Herausforderung für einige sein, diesen Termin einzuhalten, und wir werden sehen.
Es ist das gründlichste Datenschutz-Compliance-Regime, das wir bisher gesehen haben. Wenn wir etwas Steiferes oder etwas sehen, das sich vielleicht direkter auf die US-Bevölkerung auswirkt, wer weiß, aber es ist da draußen und muss definitiv eingehalten werden. Unternehmen müssen verstehen, welche personenbezogenen Daten von EU-Bürgern - wir sind mit personenbezogenen Daten vertraut - personenbezogene Daten, soziale Sicherheit, Telefonnummer, Adresse, die Dinge, die eine Person eindeutig oder ziemlich eindeutig identifizieren können. Was sie haben und wie sie es benutzen. Dies bedeutet Inventar. Dies bedeutet, dass Sie in Ihrem Unternehmen die Regeln für diese Art von Daten festlegen müssen. Übrigens gibt es in den USA kein landesweites Datenschutzgesetz. Die USA waren in Bezug auf diese Art von Regulierung immer - ich sage mal dahinter - hinter Europa, und das geht weiter. Das geht weiter mit der DSGVO, das ist ziemlich offensichtlich. Einige von Ihnen kennen sich vielleicht mit dem Schutz der Privatsphäre aus. Es gibt ungefähr drei oder vier Bestimmungen in der DSGVO, die sich mit dem Schutz der Privatsphäre überschneiden, aber es gibt hundert Bestimmungen in der DSGVO, also ist es viel mehr als das, und das ist natürlich auch noch vorhanden, und das hat mit dem Datenaustausch zwischen den USA und der EU zu tun nur, obwohl das wichtig ist.
Auch hier beginne ich gerne mit Zahlen. Sie haben von den Bußgeldern gehört, und wie werden Sie darauf vorbereitet? Das Budget für die DSGVO und einige davon hängen von einigen Faktoren ab. Die Menge an PII-Daten, die Sie über EU-Bürger sammeln. Wenn Sie keine sammeln, sind Sie wahrscheinlich konform und müssen sich nicht damit befassen, aber Sie sind wahrscheinlich bei diesem Anruf, weil Sie irgendwo welche sammeln. Die Größe Ihres Unternehmens und der Reifegrad Ihrer Daten-Governance, die sich, wie ich bereits sagte, möglicherweise dem nähern, was Sie tun müssen, um auf die DSGVO zu reagieren. Für die Einhaltung können Sie mit bis zu mehreren Millionen USD bzw. Euro rechnen. Wir wollen uns jedoch nicht nur an die DSGVO halten, sondern das Kästchen ankreuzen, natürlich müssen wir das tun. Hoffentlich befinden Sie sich nicht in einer schlimmen Situation, in der Sie dieses Kontrollkästchen unbedingt aktivieren möchten. Suchen Sie nach geschäftlichen Vorteilen, da viele der Maßnahmen, die Sie zur Unterstützung der DSGVO ergreifen, für Ihr Unternehmen von Vorteil sind. Data Governance ist gut für Ihr Unternehmen. Wenn es um die Menge der PII-Daten geht, sind einige wichtiger als andere, einige werden genauer untersucht als andere, wie z. B. der datenbezogene Gesundheitszustand, der unter der DSGVO viel strenger geregelt wird als andere Arten von Daten und Konformität erfordert mit zusätzlichen Verpflichtungen wie der Durchführung von Datenschutz-Folgenabschätzungen, die Ihr Budget offensichtlich aufbessern.
Ein bisschen über Budgetierung. Für den Fall, dass Sie in Großbritannien oder den USA sind und sich fragen, wie sich das auf Sie auswirkt - die DSGVO betrifft Großbritannien, das sich übrigens bis zum 29. März 2019 immer noch in der EU befindet und dessen Regierung angekündigt hat, dass so etwas wie die DSGVO fortgesetzt wird nach diesem Datum, weil "Es ist eine gute Idee". Britische Unternehmen müssen sich daran halten. Hierfür liegen mit Sicherheit Daten der britischen Bürger vor. Falls nicht klar ist, dass es in den USA ansässige Unternehmen gibt, wenn Sie in der EU mit EU-Bürgerdaten handeln, gilt dies mit Sicherheit für Sie. Dies hat Konsequenzen für Ihre Datenarchitektur, da Sie Ihre EU-Daten möglicherweise von allem anderen trennen und anders behandeln müssen. Es wirkt sich auf die Analyse aus, wie Eric sagte, wie Sie diese Analyse kompilieren und so weiter. Es könnte schwieriger werden, eine konzeptweite, globale Analyse in Gang zu bringen. Sie können aufgrund der DSGVO lokalisierter werden.
Was ist in den Bestimmungen? Es gibt Datenschutzstandards. Diese schreiben fast die Verschlüsselung von Daten in Ruhe und in Bewegung vor. Ich werde als nächstes über Verschlüsselung sprechen. Es gibt Standards für die Benachrichtigung über Datenschutzverletzungen. Nicht mehr monatelang auf Viertel warten, um es allen mitzuteilen. Ich denke, es gab neulich eine große und wir fanden heraus: „Oh, das ist vor einem Jahr passiert.“ Nichts davon mit der DSGVO - Sie haben 72 Stunden Zeit. Es ist eine Politik der Schande und des Namens. Hoffentlich kommt niemand dazu, klar werden es einige Leute. Verstöße werden natürlich auch nach der DSGVO weitergehen. Es gibt Prozesse zur Überwachung des Standorts und der Qualität von Daten. Klingt bekannt? Das ist wirklich das Herzstück der Datenverwaltung. Hoffentlich haben Sie einige davon.
EU-Bürger haben das Recht, vergessen zu werden, wie Eric sagte. Hierfür gibt es einige Maßstäbe, Eric. Sie müssen nicht unbedingt alles löschen, wenn Sie diesen Kunden oder Mitarbeiter erneut kontaktieren müssen, dürfen Sie bestimmte Aspekte seiner persönlichen Daten beibehalten. Trotzdem haben diese Bürger das Recht, vergessen zu werden, aber es kann keine unverhältnismäßige Anstrengung geben - das ist die Sprache - für Sie oder Schaden für das Unternehmen, das heißt für Sie, diese Daten zu vernichten. Ich möchte es nicht herunterspielen, aber Sie müssen Kopien der gespeicherten personenbezogenen Daten freigeben, und Sie können diese Daten nur mit Zustimmung erhalten. Diese Einwilligung muss von Personen erteilt werden, die ein Mindestalter für die Erteilung einer solchen Erlaubnis haben. Das ist ein Schluck, aber das gibt den Bürgern viele Rechte über ihre Daten. Das ist Portabilität für den Fall, dass es jemals dazu kommt. Das Recht, klar vergessen zu werden, aber auch - und etwas, das nicht auf meiner Folie steht und das ziemlich wichtig ist - ist, dass die betroffene Person das Recht hat, keine Entscheidung zu treffen, die ausschließlich auf der automatisierten Verarbeitung basiert. Worauf haben wir uns konzentriert? Automatisierte Abwicklung, rund um die Kreditannahme, welche Angebote wir geben werden, dies alles muss im Hinblick darauf geklärt werden, wie sich dies entwickeln wird und wie weit dies gehen wird. Was dies im Wesentlichen bedeutet, ist Transparenz darüber, warum ich abgelehnt wurde, warum ich von diesem Unternehmen auf eine bestimmte Art und Weise behandelt werde. Dies ist ein Moment, der einem EU-Bürger gewährt wird.
Natürlich gibt es einige Konsequenzen für unsere Geschäftstätigkeit, und Sie werden hoffentlich feststellen, dass GDPR kein IT-Problem, sondern nur ein IT-Problem ist. All diese Geschäftsprozesse sind involviert. Es wird Menschen aus dem gesamten Unternehmen einbeziehen. Die Ernennung eines Datenschutzbeauftragten wird für Unternehmen mit mehr als 250 Mitarbeitern empfohlen, und Sie verfügen über „kritische Berechnungen mit EU-PII-Daten“. Sie können selbst entscheiden, ob Sie über diese kritischen Berechnungen verfügen, manchmal ist dies offensichtlich, manchmal nicht. Aber es gibt eine neue Rolle - es muss keine Vollzeitrolle sein, die Person kann auch andere Aufgaben haben, aber ich weiß nicht - in einigen mittelgroßen und größeren Unternehmen denke ich, dass die Einhaltung der DSGVO vorprogrammiert wird in der Nähe einer Vollzeitstelle sein. Ich würde sagen, fang so an und schau, ob du damit zurechtkommst. Vor allem im nächsten Jahr, wenn Sie sich um die DSGVO bemühen, können Sie die Arbeit daran zwar verlangsamen, aber es wird einige Unternehmen einige Zeit in Anspruch nehmen. Ermöglichen Sie Einzelpersonen, ihre eigenen Daten und Datenübertragungsmöglichkeiten zu sehen, wie ich bereits erwähnt habe.
Das ist übrigens nicht alles neu, aber das Recht, vergessen zu werden, ist tatsächlich da draußen gewesen, ob Sie es glauben oder nicht. Die geltenden EU-Vorschriften sehen bereits ein Recht auf Löschung oder Nichtverfügbarkeit personenbezogener Daten vor. Jetzt ist es jedoch Teil der DSGVO und wird viel umfassender durchgesetzt. Datenverschlüsselung - verschlüsseln Sie Ihre Daten in Ruhe. Verwenden Sie Standardverschlüsselungsmethoden, verwenden Sie keine eigene oder nicht standardmäßige Verschlüsselung. AES ist eine, die wir sehr empfehlen. Verwenden Sie kryptografisch sichere Verschlüsselungsschlüssel. Ändern Sie diese Schlüssel regelmäßig. Verhindern Sie auch, dass diese Schlüssel verloren gehen. Dies sind nur gute Verschlüsselungspraktiken, aber jetzt rücken sie mit GDPR in den Vordergrund. Darin liegt das Problem - ich habe nur die Spitze des Eisbergs getroffen. Es gibt natürlich weitere Bestimmungen, die geprüft werden müssen, aber dies sind die wichtigsten.
Nun Lösung. Data Governance, der Rahmen Ihrer Compliance, das ist zumindest die Perspektive, die ich hier vorstelle. Glücklicherweise gibt es eine aktive, gut betuchte Disziplin, die die meisten Anforderungen erfüllen kann und kann, wenn sie ausgereift ist, und das ist Data Governance - das sage ich natürlich. Governance-Programme sollten ein Datenglossar haben, und hier verwende ich ein Datenglossar im allgemeinen Sinne, um Dokumentation für Ihre Prozesse auf breiter Front zu bezeichnen. Dies ist von grundlegender Bedeutung, um den Inventarbedarf der DSGVO zu decken, der, wie wir gesehen haben, immens ist. Das Programm, das Governance-Programm, sollte die Datensicherheitsprotokolle vereinfachen - und das unterstreiche ich, weil dies nicht gerade in vielen Data Governance-Programmen der Fall ist, aber ich denke, es ist ein logischer Ort, dies zu tun, weil sie es sind Sitzen auf dem Programm, das bestimmt, wer die Geschäftsinhaber sind? Wer muss es sehen? Der nächste Schritt besteht darin, diese Berechtigungen zu erteilen. Das muss zentralisiert werden, das muss formalisiert werden. Es müssen interne Richtlinien verwendet werden. Die Verantwortung muss allen Elementen zugewiesen werden, um die oben genannten Aspekte zu berücksichtigen. Data Governance kann auch der Moderator des Business Process Engineering sein, das erforderlich sein wird.
Bevor ich diese Folie verlasse, werden Unternehmen, um die hohen Bußgelder zu vermeiden, gesunde Geschäftspraktiken als Nebenprodukt akzeptieren. Ich möchte sagen, dass es mehr als ein Nebenprodukt ist, aber es ist eigentlich nur ein gutes, solides Geschäft, das Sie aus geschäftlicher Sicht an neue Orte führen kann. Mit Sicherheit erzielen Sie eine Menge Effizienz bei der Durchführung aller Initiativen auf breiter Front. Wenn Sie über eine solide Datenverwaltung verfügen, habe ich dies über die Jahre gesehen. Durch die Hinzufügung einiger dieser Dinge, die ich erwähne, zu Data Governance werden sie nur besser. In Ihrem Business Process Engineering empfehlen wir Ihnen, diese Fragen in allen Geschäftsbereichen zu stellen. Welche Art von Daten erheben wir über unsere EU-Kunden? Ich werde sie nicht alle lesen. Einige der wichtigsten hier. Wer muss diese Daten sehen und wird das befolgt? Wer ist der Datenverwalter für diese Daten? Wer ist mein Ansprechpartner im Geschäft? Dies ist eine große Frage: Teilen wir diese Daten mit Dritten? Nur weil Sie es an Dritte weitergeben, wird Ihre Haftung für diese Daten nicht entschuldigt - das sind immer noch Ihre Daten, das sind immer noch Daten, die Sie gesammelt haben. Aufgrund der DSGVO werden derzeit zahlreiche Verträge mit Drittanbietern eingehend geprüft. Haben diese Systeme deterministische Fehler? Das heißt, wenn sie scheitern, scheitern sie an einem von uns vorgegebenen Pfad oder scheitern sie einfach, stürzen ab, brennen und wir fangen von vorne an, uns darauf einzulassen? Es wird offensichtlich viel besser. Es ist bereits eine gute Praxis, aber offensichtlich viel besser für das Reverse Engineering einiger dieser Dinge, wenn Sie große deterministische Fehler in Ihrem System haben.
Vorratsdatenspeicherung: Wir haben schon immer über die Vorratsdatenspeicherung gesprochen. Viele Unternehmen haben Richtlinien, die jedoch nicht von allen befolgt werden. Offensichtlich wollen wir, wie es im Gesundheitswesen und im Finanzwesen bekannt ist, Daten aufbewahren, wir müssen Daten für eine bestimmte Anzahl von Jahren aufbewahren. Einige der Analysten in diesen Firmen, die Daten für die letzten sieben Jahre aufbewahren, oder so weiter, sagen: „Oh, nach dieser Zeit möchte ich diese Daten immer noch.“ Einige Anwälte in diesen Firmen sagen: „Aber wir müssen sie loswerden für Haftungszwecke “und so weiter. Das kann nicht einfach so bleiben, wie es bei GDPR nicht mehr der Fall ist. Wir müssen die Aufbewahrungsfrist haben, damit sie in der gesamten Organisation einheitlich eingehalten wird.
Und schließlich, wie mobilisieren Sie für einen Datenverstoß? Diese Worst-Case-Szenarien, die Ihnen passieren könnten. Natürlich versuchen wir, sie zu verhindern, aber was ist, wenn es passiert? Wie stellen Sie sicher, dass Sie die Bestimmungen der DSGVO in Ihrer Antwort befolgen? Ich bin ein Datenarchitekt und denke über Datenarchitektur nach. Wenn Sie ein in den USA ansässiges Unternehmen mit EU-Aktivitäten sind, also EU-Bürgerdaten - Sie erfassen diese, müssen Sie überlegen, ob Sie die Datenschutzstandards auf alle Daten oder nur auf EU-Daten anwenden möchten. Ja, ich habe Kunden, die diese Entscheidung jetzt treffen. Als solide Geschäftspraxis möchten sie das vielleicht in die USA bringen. Sie haben vielleicht das Gefühl, Zeit zu haben, aber das bringt die Nummer zwei. Möglicherweise müssen Sie EU-Daten von US-Systemen abschotten, wenn Sie nicht garantieren können, dass US-Systeme Daten angemessen verarbeiten. Trennt das Daten für Analysezwecke? Sind Analysen überhaupt gültig, wenn Sie versuchen, sie im ganzen Land durchzuführen? Mal ja, mal nein, oder? Möglicherweise stellen Sie fest, dass Ihre Analysen dadurch stumm geschaltet werden.
Wie ich bereits erwähnt habe, spielt hier künstliche Intelligenz eine Rolle, da wir natürlich AI verwenden können, um alle Daten zu finden, uns dabei zu helfen, alle Daten zu finden. Wenn wir AI jedoch in unseren Kundenschnittstellen verwenden, müssen wir jetzt Transparenz mit unseren Kunden haben Schnittstellen und das war noch nie die Stärke von AI. Um zu versuchen, einem Kunden zu sagen: "Du wurdest abgelehnt, weil bla, bla, bla", als es wirklich AI war. Das muss jetzt gemacht werden. Wir müssen herausfinden, wie AI funktioniert, was sind die Faktoren? Ich kann nicht mehr nur da sitzen und für dich eine Black Box sein. Was tun wir jetzt? Richten Sie Ihre GDPR-Karte ein. Ich schlage vor, Sie haben Ihren leitenden Datenschutzbeauftragten oder, wenn Sie einen Datenschutzbeauftragten haben, offensichtlich diese Person. Die Verantwortlichen für Data Governance, operationelles Risiko und / oder Compliance, sofern zutreffend, die IT-Verantwortlichen und die CIO, sofern dies die Person ist. Wenn Sie eine andere Führungskraft haben, wäre das eine großartige Person. Nur die Leiter einiger der wichtigsten Abteilungen in Ihrem Unternehmen und auch der Leiter der Personalabteilung, denn die Schulungen zum Thema Datenschutz werden jetzt sehr umfangreich sein. Jeder wird ein Datenschutz-Training absolvieren oder sollte ein Datenschutz-Training absolvieren, wenn er in ein Unternehmen einsteigt, selbst Berater.
Wenn Sie diese Dinge, die Sie hier sehen, nicht tun, müssen Sie sich schneller bewegen, als Sie die Frist einhalten möchten. Sie müssen auch hoffen, dass Sie nicht zu den Ersten gehören, die auditiert werden, denn ehrlich gesagt gibt es hier eine Menge Arbeit, wenn Sie von vorne anfangen und mit vielen Daten von EU-Bürgern umgehen. Stellen Sie Ihren DPO ein, inventarisieren Sie Ihre Daten und Prozesse. Erstellen Sie diesen Plan für die Datenverwaltung, und bringen Sie ihn von Ihrem Standort zu Ihrem Standort. Möglicherweise möchten Sie es starten. Erstellen Sie Ihre Datenschutzrichtlinien und Richtlinienhinweise. Datenschutzrichtlinien sind intern. Richtlinienhinweise gehen nach außen. Wir sehen, dass eine Kultur entsteht, die sich aus politischen Hinweisen zusammensetzt. Es wurde eine Menge Vergleiche angestellt und eine Menge sorgfältiger Formulierungen in Bezug auf diese Richtlinienhinweise vorgenommen. Chartern Sie eine DSGVO-Konformitätsprüfung für alle Systeme, einschließlich neuer Systeme. Möglicherweise müssen Sie sie sortieren und in einer Reihenfolge von Bedeutung ausführen, aber dies ist eine andere Möglichkeit, um das Problem zu lösen. Schauen Sie sich die Systeme an und was sie tun sollen und wie sie mit diesen Daten umgehen.
Was signalisiert die DSGVO? Deswegen sind wir hier, um ein bisschen mehr darüber zu reden. Ich freue mich darauf, was Kim dazu zu sagen hat. Die DSGVO ist eine Verlagerung der Datenschutzkontrollen in Richtung Regulierung. Es ist ein Trend zur Transparenz, heißt es in den Bestimmungen. Wir schaffen diese Kultur der Datenschutzhinweise, wie ich bereits sagte, das ist jetzt eine Sache. Wir werden Konferenzen über Datenschutzhinweise usw. sehen. Die Verlagerung der DSGVO geht in Richtung der Grundrechte der Menschen. Offene Fragen werden bearbeitet. Es gibt ganz klar offene Fragen, ich habe ein paar für uns auf dem Tisch gelassen. Niemand hat die Antwort. Sie werden ausgearbeitet. Ein Trend zu einem besseren Verständnis der einzelnen Personen für ihre Daten und deren Verwendung. Meines Erachtens hat dies das Bewusstsein der Bevölkerung in der EU für die Bedeutung ihrer Daten geschärft und zeigt, dass sie als eines ihrer persönlichen Vermögenswerte mehr verwalten müssen. Das sind einige der frühen Signale, die ich gesehen habe, und Eric, ich werfe es dir jetzt zurück.
Eric Kavanagh: Okay, lassen Sie mich die Schlüssel an Kim weitergeben, die einen Teil ihrer Sichtweise teilen kann, aber ich denke, das war ein guter Überblick, William, und Sie haben die wichtigsten Punkte getroffen - nämlich, dass dies auf jeden Fall den Spieß runterkommt und wir müssen alle sehr vorsichtig sein, ganz offen. Lassen Sie mich damit die Schlüssel an Kim übergeben, und Sie können Ihren Bildschirm freigeben und von dort übernehmen.
Kim Brushaber: Hey, kannst du mich hören?
Eric Kavanagh: Ich kann dich hören.
Kim Brushaber: Großartig. William hat einige der gleichen Dinge behandelt, die ich behandeln werde, aber ich denke, sie sind es wert, noch einmal behandelt zu werden, weil sie wirklich wichtig sind. Ich denke, wenn neue Vorschriften verabschiedet werden, ist es wirklich gut, eine Menge verschiedener Sichtweisen und Interpretationen zu erhalten, so dass etwas in Ihren Gedanken aufkommt und Sie in der Lage sind, die Compliance noch weiter zu verbessern. Ich bin ermutigt von all den Leuten, die an diesem Aufruf teilnehmen und mehr wissen wollen, weil ich denke, dass es am 25. Mai eine Menge Panik für Unternehmen geben kann, die verfolgt werden und nicht den Vorschriften entsprechen.
Mein Name ist Kim Brushaber, ich bin Senior Product Manager bei IDERA. Ich habe mehrere Produkte unter mir, die bei der Einhaltung der DSGVO sowie anderer Vorschriften helfen. Ich werde auf einige der Informationen eingehen. Ich beginne mit einigen Fakten und Zahlen und gehe dann ein wenig auf GDPR ein und dann speziell darauf, wie unsere Tools Ihnen helfen können. Fakt ist, dass täglich über 5 Millionen Datensätze verloren gehen oder gestohlen werden. Wir hören dies nicht in den Nachrichten, wir hören es nicht von anderen Orten, aber es gibt über 5 Millionen Datensätze, die ständig direkt unter uns gestohlen werden. Die durchschnittliche Anzahl der Tage, die Angreifer in Ihrem Netzwerk inaktiv bleiben, beträgt 200 Tage. Viele Systeme sind bereits von Personen infiltriert, die - mit böswilligen Absichten - nur auf die Möglichkeit warten, Ihre Informationen zu nutzen, hauptsächlich im Bereich Sicherheit und Zertifikate. Sie warten jedoch nur darauf, dass ihr Moment beginnt. Deshalb wird es immer wichtiger, mit Ihrer Datensicherheit umzugehen. Die durchschnittlichen Kosten für einzelne Datenverletzungen im Jahr 2020 werden voraussichtlich 150 Millionen US-Dollar überschreiten, da mehr Unternehmensinfrastrukturen mit Online-Ressourcen verbunden werden und die Cloud immer umfangreicher wird. Das ist eine gute Budget-Zahl, wenn Sie sich wirklich Gedanken über die Datensicherheit machen und Ihrem Führungsteam mitteilen möchten, dass dies eine ernste Angelegenheit ist und uns in Zukunft eine Menge Geld kosten könnte.
Ich werde kurz auf die Equifax-Datenschutzverletzung eingehen, da es meiner Meinung nach die größte Datenschutzverletzung des Jahres 2017 war, um ein Bild davon zu zeichnen, wie es ist, diese zu durchlaufen. Der Verstoß betraf 145, 5 Millionen Kunden. Mitarbeiter haben das Sicherheitsproblem mit ihrer Webanwendung zwei Monate vor dem Verstoß bestätigt. Die Mitarbeiter sagten: „Dies ist ein Problem.“ Und noch ein bisschen früher erschien der Patch tatsächlich. Es dauerte einen ganzen Tag, bis die Sicherheitsverletzung auftrat und die Webanwendung offline geschaltet wurde. Da Equifax über kein definiertes Datensicherheitsprotokoll verfügte, dauerte es einige Zeit, um herauszufinden, was vor sich ging, und um das System dann offline zu schalten. Sechs Wochen nach dem Verstoß wurde die Öffentlichkeit alarmiert. Bei der DSGVO müssen Sie sich - wie oben erwähnt und ich sage es noch einmal - innerhalb von 72 Stunden melden, und Equifax hätte die Hände gefesselt und wäre nicht in der Lage gewesen, diese Konformität zu erfüllen, da sie sechs Wochen darauf gewartet hätten, dies zu melden. Die Mitteilung zur Reaktion auf den Verstoß enthielt eine Website, die nicht einmal Equifax gehörte. Equifax selbst twitterte diesen Tweet, der sich nicht einmal in ihrer Domäne befand - sie hatten einige der Wörter umgedreht. Glücklicherweise war es keine böswillige Seite, die davon profitierte, aber sie waren offensichtlich nicht vorbereitet. Sie hatten keinen Plan, und dies wurde in der Öffentlichkeit sehr bewusst. Equifax ist nicht allein - im Jahr 2017 gab es bereits über 25 Angriffe mit sehr hohem Cyber-Profil, und wir konnten noch vor Jahresende weitere finden. Unternehmen müssen dies wirklich ernst nehmen, weil die Leute da draußen sind. Wenn Sie ihnen einen Grund geben, sich an Sie zu wenden, sollten Sie besser darauf vorbereitet sein, damit umzugehen.
Einige andere Daten Fakten und Zahlen in Bezug darauf, wie Einzelpersonen die Datensicherheit betrachten. Bis 2020 werden 30 Milliarden Geräte über unser Zuhause, unsere Wearables, unsere Telefone und Tablets mit dem Internet verbunden sein und wer weiß, was in den kommenden Jahren noch alles passieren wird. Es gibt sehr viele Geräte, die für diese Angriffe anfällig sind. 49 Prozent der Amerikaner sind der Meinung, dass ihre persönlichen Daten weniger sicher sind als vor fünf Jahren. 73 Prozent der Verbraucher in Amerika möchten, dass Unternehmen ihre personenbezogenen Daten transparent machen. 78 Prozent der Menschen geben an, sich der Risiken beim Klicken auf unbekannte Links und E-Mails bewusst zu sein, aber sie klicken trotzdem auf diese Links - das sind mehr als drei Viertel unserer Bevölkerung, und sie klicken immer noch auf die Links, obwohl sie es sind Ich weiß, dass es ein Problem sein könnte. 86 Prozent der Internetnutzer versuchen aktiv, die Sichtbarkeit ihrer digitalen Spuren zu minimieren, zu anonymisieren und zu verbergen. Mein Stiefvater mag es, beim Ausfüllen von Formularen falsche Namen zu erfinden, weil er denkt, dass dies ihn anonym macht, aber er weiß nicht, dass seine IP-Adresse auch verfolgt wird. Es gibt eine Menge individueller Bedenken und das ist es, was viele der DSGVO-Bestimmungen und wahrscheinlich weitere Bestimmungen hervorbringt, die folgen werden.
Nach Angaben der Datenschutzbranche stammten 2016 90 Prozent der Datenbrüche aus den Bereichen Regierung, Einzelhandel und Technologie. 43 Prozent der Cyberangriffe griffen kleine Unternehmen an. Wenn Sie denken: "Oh, ich bin kein großer Typ, sie werden nicht hinter mir her sein." Es gibt immer noch fast die Hälfte von ihnen, die nach kleinen Unternehmen streben. 75 Prozent der Gesundheitsbranche waren im vergangenen Jahr mit Malware infiziert. 70 Prozent der US-amerikanischen Öl- und Gasunternehmen wurden im letzten Jahr gehackt. Dies hat erhebliche Auswirkungen auf die verschiedenen Branchen, die derzeit in Betrieb sind, und diese Zahl wird erst von hier an steigen.
Wenn Sie es aus der Executive-Perspektive betrachten, geben 90 Prozent der CIOs zu, Millionen von Dollar für unzureichende Cybersicherheit verschwendet zu haben. Neunzig Prozent geben außerdem an, angegriffen worden zu sein oder von Männern angegriffen zu werden, die sich in ihrer Verschlüsselung verstecken. 87 Prozent glauben, dass ihre Sicherheitskontrollen ihr Geschäft nicht schützen. 85 Prozent der CIOs erwarten, dass sich der kriminelle Missbrauch ihrer Schlüssel und Zertifikate verschärft. Dies ist eine große Anzahl von Unternehmen, die sich mit diesem Problem der Datensicherheit befassen, und die Realität ist, dass viele von ihnen nicht über sehr gute Lösungen verfügen, um überhaupt in der Lage zu sein, damit umzugehen, wenn es passiert, obwohl sie dies glauben es wird passieren.
Im Jahr 2014 gaben 70 Prozent der Millennials zu, dass sie unter Verstoß gegen die IT-Richtlinien externe Anwendungen in ihr Unternehmen gebracht haben. Siebzig Prozent gaben es zu - wahrscheinlich gibt es sogar eine größere Zahl als die, die es tatsächlich getan hat. Zweiundfünfzig Prozent der Unternehmen, die 2016 erfolgreiche Cyberangriffe verzeichneten, haben 2017 keine Änderungen an ihrer Sicherheit vorgenommen. Auch wenn sie einmal angegriffen wurden, haben sie die Mauern nicht abgestützt - sie sind genauso anfällig wie sie waren vor dem Angriff. Dies wirft wirklich die Frage auf, was Unternehmen tun müssen, um sich auf diese Dinge vorzubereiten. 38 Prozent der globalen Unternehmen geben an, auf einen ausgeklügelten Cyberangriff vorbereitet zu sein. Das ist gut - fast die Hälfte ist da, und ich bin großzügig damit, wir sind wirklich erst bei einem Drittel, aber es gibt immer noch mindestens die Hälfte, die sagt: „Ich bin nicht bereit. Wenn ich angegriffen werde, bin ich nicht bereit und die Hacker wissen es. “38 Prozent der Unternehmen haben einen Plan zur Reaktion auf Cyber-Vorfälle. Die meisten Unternehmen befinden sich im selben Bereich wie Equifax, in dem sie nicht wissen, was sie tun werden. Wenn sie das bekommen, müssen sie sofort reagieren und sich diese Dinge einfallen lassen, und Vorschriften wie die DSGVO sagen: „Diese müssen vorhanden sein. Sie müssen veröffentlicht werden. Sie müssen es den Sicherheitsprüfern beweisen. “Mit solchen Auswirkungen und Vorschriften können wir hoffentlich dieser Kurve einen Schritt voraus sein, und anstatt reaktionär zu sein, können wir proaktiv handeln.
Reden wir ein wenig über die DSGVO. Einiges von diesem William hat bereits behandelt, aber ich werde weitermachen und es noch einmal behandeln, nur aus meiner Sicht, meiner Stimme, meiner Perspektive. Viele Unternehmen, mit denen ich spreche, sagen: „Ich bin in den USA, warum sollte mir diese EU-Verordnung überhaupt etwas ausmachen?“ Die Tatsache, dass immer mehr Menschen nicht brummen und immer mehr Menschen nicht darüber reden Sie denken, dass es nur EU-Mitglieder sind, aber ich würde Sie fragen, wenn Sie sich diese Liste ansehen, sammeln Sie irgendwelche Daten von EU-Mitgliedern? Wenn Sie diese Informationen überhaupt erfassen, unterliegen Sie den Grenzen der DSGVO sowie den Strafen für die Nichteinhaltung. Ich gebe Ihnen eine Sekunde Zeit, um dies zu absorbieren und zu verstehen. Wie William bereits erwähnt hat, handelt es sich hierbei um die in Artikel 83 der DSGVO genannten Strafen und Sanktionen. Zu Beginn erhalten Sie möglicherweise einen Schlag auf die Hand, ein wenig zur Warnung: „Hey, fassen Sie sich zusammen. Setzen Sie dies in Kraft. “Aber wenn Sie eine wirklich große Lücke haben - und je nachdem, wie groß das Geschäft ist -, werden sie zur Rückerstattung zu Ihnen zurückkehren, und es ist eine bedeutende Zahl. Nicht 10 Millionen, sondern 20 Millionen Euro oder 4 Prozent Ihres Umsatzes / Umsatzes aus dem Vorjahr. Das ist eine Menge Geld. Dies ist eine Menge Budget für Ihre Führungsteams, um zu sagen: "Dies ist etwas, was wir ernst nehmen müssen, und wir müssen Maßnahmen ergreifen."
Lassen Sie mich kurz auf die Grundsätze der DSGVO eingehen, die in Artikel 5 dargelegt sind. Sie fordern unter anderem, dass personenbezogene Daten rechtmäßig, fair und transparent verarbeitet werden. Das heißt, die Öffentlichkeit möchte wissen, was Sie mit ihren Daten tun. Seien Sie transparent darüber und es muss veröffentlicht werden. Die meisten Menschen lesen die Allgemeinen Geschäftsbedingungen nicht, aber dies sind neue Informationen, die Sie zur Kommunikation benötigen, damit Sie ihnen sagen können: „Ihre Daten werden angemessen behandelt.“ Die persönlichen Daten sollten für einen bestimmten Zeitraum gesammelt werden. explizite und legitime Zwecke. Dies bedeutet, dass wir hoffentlich einige dieser Spam-E-Mails beseitigen können, bei denen Unternehmen Informationen für ein Quiz sammeln, aus denen hervorgeht, wie interessant Sie möglicherweise sind. In Wirklichkeit nehmen sie Ihre Daten und verkaufen sie an andere Personen zurück in der Lage zu sein, für was auch immer ihre Zwecke sind. Unternehmen müssen jetzt viel verantwortungsbewusster sein und genau angeben, wofür sie Ihre Informationen verwenden. Sie sagen auch, dass personenbezogene Daten angemessen, relevant und auf das Notwendige beschränkt sein müssen. Viele Unternehmen ziehen es vor, all ihre Informationen in einen großen Datenpool zu packen, und dann überlegen sie, was sie später mit den Informationen anfangen möchten, und sammeln weitaus mehr als nötig. Dies bedeutet, dass Sie es nicht sammeln und woanders verwenden können. Sie können auch nicht einfach alles einsammeln und hoffen, dass Sie es später nützlich finden. Sie müssen genau angeben, warum Sie die Informationen erfassen, und sie müssen für die von Ihnen erfassten Daten relevant sein.
Persönliche Daten müssen außerdem korrekt und auf dem neuesten Stand sein. Sie müssen den Benutzern die Möglichkeit geben, ihre Daten zu aktualisieren, sobald Sie sie erfasst haben. Sie müssen in der Lage sein, zurückzukehren und zu sagen: "Weißt du, ich hatte diese Meinung bei einer Umfrage, bei der du mich nach persönlich identifizierbaren Informationen gefragt hast. Ich möchte zurückgehen und das ändern und es jetzt aktualisieren." um ihnen einen Weg zu geben, das zu können. Personenbezogene Daten müssen in einer Form aufbewahrt werden, die es ermöglicht, die betroffenen Personen nicht länger als erforderlich zu identifizieren. Zurück zu Williams Argument, dass Sie diese Informationen nicht für immer sammeln können - Sie müssen sich überlegen, was Sie für gültig und notwendig halten, und danach müssen Sie die Daten bereinigen. Es muss auch so verarbeitet werden, dass eine angemessene Sicherheit gewährleistet ist, einschließlich des Schutzes vor unbefugter oder rechtswidriger Verarbeitung, versehentlichem Verlust, Zerstörung oder Beschädigung.
Wie ich bereits sagte, ist es an der Zeit, sich ernsthaft damit zu befassen und diese Datenverletzungen zu stoppen, da Sie möglicherweise nicht nur in Form von Datenverletzungen, Umsatzverlusten und Kosten für die Sicherung Ihrer Prozesse eine Verletzung Ihres Unternehmens erleiden, aber Sie können auch einen Haufen Bußgelder von der DSGVO auf Sie verprügelt haben. Es ist an der Zeit, wirklich ernsthaft darüber nachzudenken, und ich denke, dass die Unternehmen mit dem Inkrafttreten der DSGVO mit der harten Realität konfrontiert werden, und zum Glück können diejenigen von Ihnen, die heute auf Abruf sind, darüber nachdenken und Bescheid wissen wie Sie diese Dinge in die Tat umsetzen.
Die DSGVO spricht auch viel über die Rechte des Einzelnen. Es ist wirklich auf die einzelnen Benutzer ausgerichtet. Das erste ist das Recht, auf Ihre persönlichen Daten zuzugreifen. Benutzer müssen wissen, welche Informationen Sie über sie gesammelt haben, was die persönlich identifizierten Informationen betrifft, und Sie müssen ihnen eine Möglichkeit geben, auf diese zuzugreifen. Es gibt auch ein Recht auf Berichtigung, was eine originelle Möglichkeit ist, zu sagen: „Ich muss in der Lage sein, die Informationen zu korrigieren, die Sie über mich haben.“ Das Recht auf Löschung - was wiederum viele Menschen als Recht formulieren vergessen werden - wenn jemand sagt: „Weißt du was, ich möchte nicht mehr, dass du weißt, dass ich ein super lustiger Comic-Sammler bin, dann musst du das loswerden. Ich habe ein paar Freunde, die mich necken und mich komplett von Ihrer Liste streichen. “Das müssen Sie können. Es gibt auch das Recht, die Verarbeitung einzuschränken, und dies bedeutet, dass Benutzer die Art und Weise, in der ihre Informationen verarbeitet werden, einschränken können. Sie können sagen: "Es macht mir nichts aus, wenn Sie meine Informationen nehmen, weil ich ein neues Auto kaufe, aber verwenden Sie diese Informationen nicht, um mir E-Mails zu senden und mir jedes Mal, wenn neue Autos herauskommen, neue Deals zu schicken." das Recht auf Datenübertragbarkeit, dh Benutzer sollten eine Kopie ihrer Daten erhalten und sie an einen anderen Ort bringen können. Viele Organisationen sammeln Informationen und diese Informationen haben einen klebrigen Faktor. Jetzt können Einzelpersonen sagen: „Weißt du was? Ich möchte, dass du alle meine Informationen nimmst und ich möchte, dass du sie deinem Konkurrenten gibst, damit ich sie verschieben kann Über."
Es gibt eine Menge Dinge, über die ein potenzieller Mitarbeiter nachdenken muss, wie Sie dies tun können und welche Informationen Sie sammeln und übermitteln möchten. Es besteht auch ein Widerspruchsrecht, und Benutzer können der Verarbeitung ihrer Daten ebenfalls widersprechen. Das Recht, einer Entscheidung nicht unterworfen zu werden, die ausschließlich auf der automatischen Verarbeitung oder Profilerstellung beruht. Dies hat erhebliche Auswirkungen auf das B2B-Marketing. Wenn Sie dort sitzen und versuchen, A / B-Tests durchzuführen und zu identifizieren, wird Colorado stärker von einer Nachricht beeinflusst als Kalifornien. Nun, Sie haben gerade ein Profil erstellt, indem Sie sich eine anschauen Zustand gegen einen anderen, und Sie müssen sich überlegen, wie eine Person in der Lage sein sollte, sich dagegen zu entscheiden.
Angesichts der Tatsache, dass wir einige beängstigende Dinge haben, die in Bezug auf Datenschutzverletzungen und die Art und Weise, wie die Leute auf ihre Daten schauen, auf uns zukommen, bin ich jetzt hier, um Ihnen zu helfen Die Lösung, wie IDERA helfen kann. Artikel 15 befasst sich mit der Kontrolle der Exposition gegenüber personenbezogenen Daten. Sie müssen wissen, wer auf Ihre Daten zugreift. Wie sie es benutzen. Wie viele Daten verarbeitet wurden und für welche SQL-Produkte Compliance Manager, dessen Produktmanager ich bin, können Sie sehen, wer auf Ihre Daten zugreift und wie. SQL Compliance Manager ist für SQL Server-Lösungen. Wenn Sie über eine SQL Server-Datenbank verfügen, können Sie eine Verbindung zu diesem Produkt herstellen, um diese Informationen prüfen und anzeigen zu können, damit Sie die GDPR einhalten und genau wissen, wie sie verwendet werden. Sie können auch Datenverletzungen erkennen, bevor sie auftreten, und ich werde dies auf einer anderen Folie erläutern. In einem Artikel heißt es außerdem: „Ich benötige Aufzeichnungen über die Verarbeitungsaktivitäten. Ich muss mich anmelden und Vorgänge überwachen, und ich muss wissen, wer personenbezogene Daten verarbeitet und wer Zugriff auf diese Systeme hat. “SQL Compliance Manager überwacht Server und Datenbanken, einschließlich Sicherheit, DDL und DML, und definiert vertrauliche Daten . Mit SQL Compliance Manager können Sie den Sicherheitszugriff überwachen und einen Versuch protokollieren, sodass Sie sehen, wer auf Informationen zugreift und wer sich anmeldet, ob es sich um einen privilegierten Benutzer handelt, ob es sich um einen bekannten Benutzer handelt oder ob es sich um einen böswilligen Benutzer handelt.
Artikel 33 befasst sich mit der Meldung eines Verstoßes gegen personenbezogene Daten an eine Aufsichtsbehörde. Sie müssen in der Lage sein, diese Verstöße zu erkennen. Sie benötigen Aufzeichnungen, um die Auswirkungen beurteilen zu können. Sie müssen wissen, wie schnell Sie Abhilfe schaffen. Zu diesem Zweck können Sie mit SQL Compliance Manager Warnungen für Ihre Datenbanken einrichten, um zu sehen, wer Zugriff auf Ihre vertraulichen Daten hat, wann und worauf sie zugegriffen haben. Außerdem können Sie Ihre normalen privilegierten Benutzer von Ihrer Prüfung ausschließen. Wenn Sie einen System- oder Netzwerkadministrator haben, von dem Sie wissen, dass er darauf zugreifen wird, und Sie Ihre Berichte nicht verstopfen möchten, können Sie ihn ausschließen und sagen: "Geben Sie mir alles, was außerhalb dieser Informationen geschieht." Sie können schnell feststellen, ob jemand in böswilliger Absicht auf Ihre Daten zugreift, und Sie können Benachrichtigungen erhalten, die Sie über den Moment informieren, in dem der Zugriff auf die Informationen beginnt, und Sie können sie dann auflösen Sie müssen nicht einen ganzen Tag warten, um herauszufinden, was los ist, wie es Equifax getan hat.
Es gibt auch einen Artikel zum Thema Datenschutz und Folgenabschätzung. Hierbei werden Ihre Risiken bewertet und deren Bedeutung verstanden sowie Ihre Einhaltung der DSGVO nachgewiesen und dokumentiert. Mit SQL Compliance Manager können Sie Berichte zu Elementen erstellen, die überwacht werden. Um es auf den Punkt zu bringen: Mit SQL Compliance Manager können Sie Ihre Daten mit SQL Compliance Manager überwachen. Dabei handelt es sich um ein potenzielles Anzeichen für einen Verstoß. Sie können administrative Aktivitäten und Sicherheitsänderungen überwachen und Sie auf Änderungen an der Datenbank hinweisen und überwachen Spalten, die Sie als vertrauliche Informationen definieren, privilegierte Benutzer identifizieren und deren Aktivität getrennt von den anderen Benutzern in Ihrem System verfolgen, melden, dass Informationen gemäß mehreren behördlichen Richtlinien geprüft werden. Wir decken nicht nur die DSGVO ab, sondern auch HIPAA, PCI, FERPA, SOX und alle gesetzlichen Richtlinien, wenn es darum geht, Ihre Informationen zu prüfen und zu verstehen, worauf zugegriffen wird. Wir haben diese gesetzlichen Richtlinien eingeführt.
Wir haben auf der IDERA weitere Produkte für die Vorbereitung der DSGVO. Abgesehen von der Prüfung, die SQL Compliance Manager durchführt, verfügen wir über ER / Studio Enterprise Team Edition, mit der Sie Ihre Datenprozesse dokumentieren und Datenstandards in Ihr Datenmodell integrieren können. Außerdem können Sie Datenglossare erstellen, über die William in einer vorherigen Folie gesprochen hat . Wie ich hier in dieser Präsentation dargelegt habe, kann Ihnen SQL Compliance Manager dabei helfen, Ihre Informationen zu prüfen, um sicherzustellen, dass die falschen Personen nicht auf Ihre Daten zugreifen, und dies den Prüfern zu beweisen. Mit SQL Safe Backup können Sie Ihre Daten und Ihre Sicherungen verschlüsseln. Verschlüsselung ist ein wesentlicher Bestandteil von GDPR, auf den ich nicht im Detail eingegangen bin, weil ich mich sehr auf die Assets von Compliance Manager konzentrieren wollte, aber SQL Safe Backup übernimmt einen Großteil der Verschlüsselung für Sie, damit Ihre Daten sicher bleiben. SQL Inventory Manager kann sicherstellen, dass die Server gepatcht und auf dem neuesten Stand sind, sodass Sie nicht in einem Fall wie Equifax landen, in dem sie einen veralteten Patch hatten, der ihnen eine große Sicherheitslücke verschaffte, die die Leute in der Lage waren böswillig verwenden. SQL Secure kann Datenschutz- und Verschlüsselungsstandards prüfen.
Weitere Informationen zur IDERA-Community-Website finden Sie in unserem Blog. Ich habe einen Artikel über die Vorbereitung auf die DSGVO sowie über die Auswirkungen der DSGVO auf das Jahr 2018 veröffentlicht. Außerdem können Sie auf jeden Fall eine Testversion von SQL Compliance Manager herunterladen bei IDERA sowie alle anderen Produkte, die ich gerade auf der Folie erwähnt habe.
An dieser Stelle werde ich Eric die Präsentation zurückgeben, damit wir einige Fragen stellen können.
Eric Kavanagh: Okay, gut. Sie haben dort eine Reihe wirklich interessanter Dinge angesprochen, Kim. Eines davon - ich denke, das ist ein bisschen einfach, aber es ist ziemlich clever - Sie haben über das Erkennen von fehlgeschlagenen Anmeldungen gesprochen. Es scheint mir, dass das ein ziemlich gutes Zeichen dafür ist, dass jemand nichts Gutes vorhat, oder?
Kim Brushaber: Auf jeden Fall. Wenn Sie jemanden sehen, der versucht, auf Ihr Passwort zuzugreifen und es zu knacken, können Sie auf sehr schnelle Weise sagen, dass jemand nicht das tut, was er sein sollte. Vielleicht geben Sie Ihr Passwort ein paar Mal falsch ein, aber wenn Sie 30 davon sehen, ist das ein schlechtes Zeichen.
Eric Kavanagh: Ja. Sie dienen dazu, Ihre Warnungen mit dem richtigen Kontext zu versehen. Was können Sie uns noch darüber sagen, wie Sie den Prozess des Einrichtens und Deaktivierens von Warnungen verwalten, die nicht das tun, was sie tun sollen, und wie viel davon kann automatisiert werden?
Kim Brushaber: Compliance Manager verfügt über eine Vielzahl konfigurierbarer Warnungen sowie über Berichte, die Sie überprüfen können. Wir gehen Ihre SQL-Traces durch und wir haben das automatische Tracking. Viele davon sind bereits vorkonfiguriert und vordefiniert, aber Sie können sicherlich auch zahlreiche Anpassungen vornehmen.
Eric Kavanagh: William, ich bringe Sie auf den Punkt. Mir scheint, das ist einer der Bereiche, in denen das maschinelle Lernen in den nächsten zwei bis zehn Jahren zum Tragen kommen wird verschiedene Möglichkeiten. Betrachtet man die verschiedenen Möglichkeiten, mit denen ein System seine Effizienz optimieren kann, so zeigt sich seine Effektivität in Bezug auf Probleme wie Verstöße und so weiter. Ist das auch deine Meinung?
William McKnight: Ja, absolut. Ich denke, wir bauen jetzt Systeme, die sich selbst reparieren. Die 24-mal-7-Überwachung verschwindet allmählich und gehört der Vergangenheit an, obwohl wir diese Betriebszeit immer noch benötigen. Ich denke, die Systeme werden größtenteils so eingebaut, dass sie herausfinden, was falsch ist. Müssen wir hier mehr Platz zuteilen oder was haben Sie? Ja, ich denke, das ist definitiv ein Teil unserer Zukunft. Alles da draußen, was auf bestimmte Handlungsschritte abgebildet werden kann, um auf etwas zu reagieren, ist definitiv anfällig für künstliche Intelligenz.
Eric Kavanagh: Das ist ein guter Punkt. Ich werde dir noch eine Frage stellen, William, weil ich weiß, dass du viel in diesem Raum recherchierst. Eines der Dinge, auf die ich jetzt schon eine ganze Weile gewartet habe und ich glaube, wir sind noch nicht da - ich glaube, wir nähern uns dem, was ich gelesen und darüber nachgedacht habe - ist Ein Tag, an dem es Technologien geben wird, mit denen regulatorische Fragen und der tatsächliche Wortlaut dieser Dinge aufgegriffen und auf Funktionalität und Software übertragen werden können. Wie ich schon sagte, wir sind immer noch weit davon entfernt - ich kann mir nicht vorstellen, dass niemand daran arbeitet. Sind Sie auf so etwas gestoßen, oder sind wir immer noch an einem Punkt angelangt, an dem die Menschen die Regeln betrachten, sie wirklich verstehen, sie im Wesentlichen in Maschinencode kodieren und diese dann auf ihre verschiedenen Anwendungen übertragen müssen?
William McKnight: Nun, ich verstehe das Konzept, das Sie hier teilen. Ich bin mit nichts vertraut, was in einem Umfeld, das damit zusammenhängt, auf ein Rollout abzielt. Ich werde jedoch allgemein sagen, dass wir offensichtlich anfangen, den Maschinen nicht zu sagen, was sie tun sollen, sondern was das Ziel ist, was wir tun wollen, und dass Maschinen viel klüger werden, wenn es darum geht, die Details herauszufinden. Ich denke, sobald wir mehr künstliche Intelligenz in unseren Organisationen haben, ist es durchaus möglich, dass neue Vorschriften in Abstimmung mit der KI entwickelt werden, die in Organisationen eingesetzt wird, sodass sie in der von Ihnen beschriebenen Weise in Zukunft eingeführt werden können. Im Moment handeln wir damit nicht.
Eric Kavanagh: Hier ist eine Frage, die ich dir stellen werde, Kim, denn das ist auch irgendwie interessant. Sie sprechen über die durchschnittliche Latenz oder die Zeit, die jemand, der sich in Ihr System einloggt, verbirgt und wartet - Anzahl der Tage, an denen ein Angreifer in einem Netzwerk im Ruhezustand war -, die Erkennung beträgt 200. Ich bin gespannt, wie Sie sich verbessern können das zuallererst? Aber gibt es auch eine Möglichkeit, diese Art von Regel zu verwenden, um Ihr eigenes System zu erkunden? Um Ihre eigenen Daten zu untersuchen, um diese Art von Leuten besser fernzuhalten?
Kim Brushaber: Ja, ich denke, dass offensichtlich die Früherkennung der Schlüssel ist. Sie müssen herausfinden, dass diese schädlichen Websites auf Ihre Informationen zugreifen, und sie sperren können. Ich denke, dass in den anderen Folien, in denen wir zeigen, dass die meisten Organisationen nicht über diese Richtlinien verfügen. Deshalb sitzen sie dort. Ich denke, wenn Sie tatsächlich eine Richtlinie hatten, durch die Sie Ihren Zugriff sperren und sicherstellen können, dass die richtigen Personen Zugriff haben. Stellen Sie sicher, dass Sie Ihre Schlüssel regelmäßig drehen und aktualisieren. Stellen Sie sicher, dass Ihre Passwörter regelmäßig aktualisiert werden und dass Sie die Dinge tun, die Ihnen ziemlich einfach erscheinen. Im Moment machen die meisten Organisationen das noch nicht einmal, und wenn Sie anfangen, diese Teile in Position zu bringen, helfen Sie Ihnen, darüber hinauszugehen.
Das bedeutet natürlich, dass die Hacker schlauer werden, aber im Moment ist es ganz einfach: „Ich werde mir die Häuser auf der Straße ansehen, in die ich gerne einbrechen möchte, werden diese alarmiert sein Systeme? Haben sie ein kleines Alarmzeichen und dieses hat Hunde? Ich werde zu einem gehen, der kein Alarmschild hat, keinen Hund und in das Haus, in das ich einbrechen werde. “Nun, sie werden die Firmen herausfinden, die nicht da sind. Ich habe diese Patches nicht installiert und sie haben nicht die Sicherheit installiert und sie aktualisieren nicht ihre Passwörter und sie werden ein paar Mal dort rumhängen und Ihre Kreditkarte an einer Tankstelle benutzen, um sicherzugehen Sie haben es nicht abgeschaltet, und dann, wenn sie eine große Veränderung beeinflussen können, normalerweise eine Art politisches Statement oder auf andere Weise, wenn Sie sehen, wie sie ihre Köpfe auftauchen. Ich denke, wenn Sie diese Richtlinien in Kraft setzen, können Sie an diesem Punkt einige ziemlich minimale Schritte unternehmen, um diesem Spiel einen Schritt voraus zu sein.
Eric Kavanagh: Das ist wahrscheinlich der beste Rat und ich höre immer, wenn wir mit Leuten sprechen, die im Sicherheits- oder Regulierungsbereich tätig sind, dass die Grundlagen 80 Prozent Ihres Problems abdecken, und das ist eine Menge zu bedeckender Gründe guter Punkt. Einer der Teilnehmer fragte, ob jemand die Geschäftsmöglichkeiten ausbauen könne, die sich aus den Bemühungen zur Einhaltung der DSGVO ergeben könnten. Ich erinnere mich an Sarbanes-Oxley, und ich schätze, William, ich übergebe es Ihnen. Als Berater suchen Sie immer nach Möglichkeiten, Ihren Kunden außerhalb eines bestimmten Projekts zu helfen - zumindest, wenn Sie ein guter Berater sind, tun Sie dies. Wenn Sie mit Leuten über GDPR sprechen, was sind die zusätzlichen Vorteile, die Sie anpreisen können, wenn sie sich an einem Projekt beteiligen, das sich darauf konzentriert?
William McKnight: Zuallererst ist es wichtig festzustellen, dass die Idee hinter der DSGVO überhaupt keine vollen Rechte für die Bürger hat. Es gibt die andere Seite der DSGVO: Dies wird das Vertrauen der Bürger in unsere Unternehmen verbessern und Es wird sie ermutigen, mehr Geschäfte in den Unternehmen zu tätigen, die konform sind. Es gibt diese zusätzlichen Vorteile, wenn Sie Ihre DSGVO tatsächlich durchführen. Die von uns implementierten Data-Governance-Programme ermöglichen jetzt alle Arten von Initiativen, die tatsächlich innerhalb von Organisationen und heute - bei weitem - von Initiativen, die angestoßen werden aus innerhalb von Organisationen. Ich habe in letzter Zeit einige Pläne für 2018 mit vielen von ihnen gemacht, sie haben viel mit Daten zu tun, sie sind ungefähr 65 Prozent bis 90 Prozent, alles über die Daten - wenn Sie über Telematik oder ein Kunden-360-Programm sprechen Bei einem Dashboard zur Überwachung von Vertriebsmitarbeitern geht es hauptsächlich um Daten. Alles, was diese Daten besser verwaltet und in eine bessere Architektur einfügt, in der Personen benannt werden, die die Ansprechpartner sind, die alle Fragen zu diesen Daten beantworten können und die wirklich wichtig sind, wie dies bei einem Data Governance-Programm der Fall wäre. Alles, was uns ein Datenglossar gibt - wie Kim es mit ihren Tools angesprochen hat -, alles, was dies bewirkt, ist sehr hilfreich, um diese Initiativen effizienter zu gestalten, Risiken zu verringern, die Zeit zu verkürzen, das Budget für sie zu verringern und uns zu beschaffen zu einer agilen Zeit, viel schneller und guter Dinge für ein Unternehmen zu vermarkten, das Initiativen durchführt, das sind alles Unternehmen.
Eric Kavanagh: Ich liebe dieses Konzept des Vertrauens. Ich denke, Vertrauen ist eine sehr unterschätzte Realität in unserer Welt und ehrlich gesagt beruht das meiste Geschäft auf Vertrauen. Ich werfe es dir nur für ein paar abschließende Kommentare zu, Kim. Ich denke, einer der wichtigsten Wertschöpfungen besteht darin, das Vertrauen zu stärken und eine Vertrauenskultur zu fördern, da dies nicht nur positive Auswirkungen auf das Unternehmen selbst, auf die Mitarbeiter im Unternehmen selbst, sondern auch auf die Wahrnehmung durch die Öffentlichkeit hat es kommt mir so vor, als würde etwas überlaufen, aber was denkst du?
Kim Brushaber: Ja, ich denke, wenn ich mit Freunden spreche, die bei Google oder Facebook arbeiten, oder mit einigen der größeren, wirklich bekannten Organisationen, implementieren sie nicht annähernd so viele neue Funktionen wie bei der Implementierung von Sicherheitsprotokollen und -leistung und Skalierbarkeitsprobleme, weil sie möchten, dass ihre Benutzererfahrung eine ist, bei der sie glauben, dass sie auf diese Informationen vertrauen können. Ich denke, dass die Unternehmen diese Verantwortung tragen, während wir uns weiterhin darum bemühen, diese Art von Vertrauen zu schaffen. Ich erinnere mich, als die Leute anfingen, Kreditkarten online zu stellen, und die Leute sagten: "Oh mein Gott, ich werde diese Informationen nicht weitergeben, weil sie nicht sicher sind."
Und jetzt kann Ihre Kreditkarte überall verwendet werden, da Sie theoretisch der Meinung sind, dass Sie dem Unternehmen vertrauen können, da es ein HTTPS-Zertifikat besitzt. Dann hören Sie von den Verstößen gegen die Target-Daten, bei denen Kreditkarten lauteten: „Oh, Sie tauschen Ihre Kreditkarte besser aus, weil wir diese Informationen loslassen.“ Ich denke, das ist eine bidirektionale Einstellung. Ich denke, dass Einzelpersonen, obwohl sie vertrauensvoller sein wollen, weil es viel einfacher ist, großen Organisationen zu vertrauen und daran zu glauben, dass die großen Organisationen diese Teile einsetzen müssen, damit sie nicht Verletzen Sie nicht den Einzelnen oder verlieren Sie Marktanteile. Die Leute sagen: "Weißt du was? Ich werde nicht mehr bei Target einkaufen, jetzt werde ich bei Amazon einkaufen." Ich denke, Vertrauen ist ein großes Problem, obwohl, wie wir sagten, 78 Prozent der Leute es sind Ich werde immer noch auf diesen Link in einer E-Mail klicken, auch wenn sie wissen, dass sie es möglicherweise nicht tun. Es gibt ein gewisses Maß an Schutz für Menschen, auch wenn sie Ihnen vertrauen.
Eric Kavanagh: Das ist ein guter Punkt. Weißt du was? Ich werde dir noch eine letzte Frage stellen, William, oder zumindest noch eine - wir haben jetzt ein paar gute. Ein Teilnehmer schreibt: „GDPR verlagert das Identitätsmanagement zurück zum Kunden, wo es hingehört. Equifax hat 149 Millionen Verbraucher nachhaltig geschädigt und damit die digitale Wirtschaft kontaminiert. Welche Veränderungen sehen Sie in den USA in Bezug auf das Kundeneigentum in Bezug auf das Identitätsmanagement? “
William McKnight: Nun, wir sind in den USA immer im Rückstand, nicht wahr? Einhundertneunundvierzig Millionen, das ist kein Tropfen auf den heißen Stein. Es ist fast wie Terrorismus, oder? Wir sind einfach so daran gewöhnt, dass es die ganze Zeit passiert. Ich denke, dass etwas getan werden muss. Ich denke, GDPR, ich mag die Rechte, die es den Bürgern gibt, aber es scheint keine Priorität zu geben - es gibt viele andere Prioritäten und ich weiß nicht, wohin es gehen wird. Ich denke, wie ich bereits in den Folgerungen erwähnt habe, bedeutet dies eine Verschiebung hin zu mehr Rechten des Verbrauchers an seinen Daten. Wann passiert das hier in den USA? Ich weiß nicht, es könnte bis zu fünf Jahre dauern, bis hier in den USA etwas passiert, das der DSGVO entspricht.
Eric Kavanagh: Das ist ein wirklich guter Punkt, und ich denke, wir werden uns noch mehr darum bemühen, weil wir heutzutage auf eine solche digitale Wirtschaft umsteigen. Und als abschließende Bemerkung hier, ein bisschen philosophisch, politisch orientiert, ist dies das, was mich am Umzug in eine bargeldlose Gesellschaft am meisten beschäftigt, denn wenn Bargeld verschwindet, dann ist alles digital und jedes System kann gehackt werden und die Identität jeder Person kann gestohlen werden. Mir scheint, dass hier ein ziemlich großer Elefant im Raum ist, während wir auf die Zukunft des Identitätsmanagements blicken.
Das ist alles großartiges Zeug, Leute. Vielen Dank an William McKnight für seine Zeit und Aufmerksamkeit heute. Vielen Dank an Kim Brushaber von IDERA. Wir archivieren alle diese Webcasts für eine spätere Ansicht. Sie können sie daher in der Regel innerhalb weniger Stunden erneut aufrufen. Das Archiv ist dann fertig. Damit verabschieden wir uns von Ihnen, Leute. Nochmals vielen Dank für Ihre Zeit und Aufmerksamkeit. Tschüss.
