Per personal de Techopedia, 6 de desembre de 2017
Take away: L' amfitrió Eric Kavanagh discuteix el proper Reglament general de protecció de dades de la UE i els efectes que tindrà sobre la indústria. S'hi uneixen William McKnight, de McKnight Consulting Group, i Kim Brushaber, d'IDERA.
Actualment no teniu la sessió iniciada. Inicieu la sessió o registreu-vos per veure el vídeo.
Eric Kavanagh: D' acord, senyores i benvinguts, hola i benvinguts de nou. És el dimecres a les quatre de la tarda a l'Est, cosa que significa que torna a ser una de les darreres vegades de l'any 2017 per a les tecnologies calentes. Sí, efectivament, em dic Eric Kavanagh: seré el vostre moderador per a l'esdeveniment d'avui. Estem parlant d’un tema que és de gran abast, com a mínim. Ara mateix, no sembla així: el concepte de GDPR, el Reglament global de protecció de dades. Anem endavant i ens endinsem en això, no es tracta de la teva veritat, prou de mi. Aquest any fa molta calor, fa molta calor de moltes maneres diferents, però les regulacions imminents de GDPR i d’altres organitzacions, francament, ens obliguen a repensar el que està passant en el món empresarial, concretament com en resulta, o ja que es relaciona amb dades. Ens sentirem a parlar de Kim Brushaber de IDERA i també de William McKnight, de McKnight Consulting Group.
Només un parell de paraules ràpides sobre el tema que hem de fer, persones. GDPR diu bàsicament que les organitzacions han de tenir una política de privadesa i primera de seguretat pel que fa a les dades i, realment, es tracta d’alguns dels temes que haureu escoltat; tot el dret a ser oblidat, per exemple, és parcial i parcial a tot aquest moment, i són coses molt interessants. És certament vàlid quant als seus principis i la seva ètica. Pel que fa a la implementació real, és un repte bastant seriós. El dret a ser oblidat diu que si voleu que algunes organitzacions no tinguin les vostres dades, les vostres dades sensibles personalment, s’han de desfer d’ella. Doncs bé, només us podeu imaginar quan seran alguns d’aquests entorns de dades realment heterogenis, com de difícil serà això. Per poder arribar a tots els llocs on les dades siguin persistents i treure-les, simplement no passarà, és la línia de fons. Tot i això, les organitzacions han de tenir polítiques a l’abast per poder afrontar aquestes preocupacions i això és el que buscaran els reguladors.
És un gran problema. L’organització no només necessita suprimir les dades si ho diu, sinó que, si han entrenat algoritmes sobre aquestes dades, tècnicament també se suposa que calen els algorismes. És una ordre alta, t’ho he de dir, però s’acosta, va baixant el pit, serà una realitat el maig de l’any vinent i també hi ha altres normatives. El Canadà té la llei antispam que han aprovat, això té un impacte en la manera en què tractem la informació personal. La neutralitat neta està baixant al principi, per descomptat, ha estat desarrelada, fonamentalment, i això canviarà algunes coses. Hi ha moltes d’aquestes normatives tan greus que afecten empreses a tot el món i a tot el món, que les grans organitzacions necessiten començar a pensar i preparar-se.
Per això, tenim en línia William McKnight de McKnight Consulting Groups per fer-nos saber què pensa i per què GDPR és, de fet, només la punta de l’iceberg. Amb això, William, t’ho lliuraré. Emporta-t'ho.
William McKnight: Gràcies, Eric, i com dius, com diu la diapositiva, aquest GDPR potser és la punta de l’iceberg, això és, certament, el que pensem. És important que ens endinsem en el GDPR en profunditat, ja que crec que representa una onada de regulació que està caient per la pipa que hem de fer front. Afortunadament, Eric, hi ha uns estàndards raonables al voltant d'aquest dret a oblidar, al qual arribaré. Tot i això, a la meva caminada d’enguany parlant de GDPR, crec que hi ha moltes empreses, sobretot empreses americanes, que encara no estan preparades per a això. És definitivament calorós i alguna cosa que definitivament no pensàvem ara fa un any, quan es tractaven de posar-se en evidència algunes coses, però ara és un reglament i hem de fer front, com heu dit, Eric, que arribarà bé. fins aquí, per tant, no tan llunyà.
Una mica sobre mi, vaig a abordar això des de la perspectiva de les dades. Per fer-ho saber, sóc una persona de dades de tota la vida i consulto des de fa 19 anys en l’espai de dades, i GDPR és molt relacionada amb les dades. Aquí plantejaré un cos de solucions a mesura que entro a la meva presentació sobre el govern de les dades. Evidentment, he estat fent molts programes de governança de dades i crec que si estàs alineat amb aquest concepte, estàs fent alguna governança de dades, moltes empreses hi sortiran força lluny. en realitat, segons el compliment de GDPR, però hi haurà moltes, i molt francament, que hi ha al govern i, per tant, molt enrere en els seus preparatius GDPR. Anivellem aquí i entendrem de què es refereix GDPR i, a mesura que aprofundim en la conversa, aprofundirem en les ramificacions de GDPR en la vida empresarial a mesura que avancem cap al nou any i més enllà.
GDPR és per a la privadesa de dades de ciutadans de la Unió Europea. És una regulació: vol dir que té dents, vol dir que pot ser aplicable. No és una cosa que es proposi com a suggeriment: això ja va passar i ara s'ha convertit en un reglament amb penalitzacions. M’agrada començar amb les penalitzacions perquè realment crida l’atenció de la gent. Es tracta de penes dures. Hi ha dues penalitzacions, hi ha un 2 per cent dels ingressos anuals mundials o 10 milions d’euros si una empresa incompleix les obligacions de seguretat, però tota la resta, incomplint les altres disposicions –i entraré en les mateixes– és un 4 per cent. Ho sentiu embolicat al voltant d'un - 4 per cent. I, per cert, és d’un 4 per cent o 10 milions d’euros, el que sigui més gran. Això és molt dur. La gent és molt seriosa sobre això. Feu complir el 25 de maig de 2018, que és una data clau, és a partir de quan es poden iniciar les auditories i és quan podreu aconseguir la vostra multa. Definitivament, voleu estar a punt per això. Cada empresa amb la qual em dedico, em trobo amb moltes empreses de Global 2000, estan en algun lloc de la seva preparació de GDPR, algunes més que altres i algunes han de ser més que altres en aquest moment. Certament, per a alguns serà difícil desafiar aquesta data i ho veurem.
És el règim de compliment de la privadesa de dades més complet que hem vist fins ara. Quan veurem alguna cosa més rígid o alguna cosa que afecti potser directament a la població nord-americana, qui sap, però està fora d’aquí i, sens dubte, s’ha d’adherir. Cal que les organitzacions entenguin què és el ciutadà de la UE PII, que tenim coneixement de la dreta de PII, informació d’identificació personal, seguretat social, número de telèfon, adreça, les coses que poden identificar una persona o identificar-la prou. Què tenen i com l’utilitzen. Això significa inventari. Això significa que reguli les vostres pròpies empreses sobre aquest tipus de dades. Per cert, els EUA no tenen cap tipus de llei nacional sobre protecció de dades. Els EUA sempre han estat –diré per darrere, per dir-ho en perspectiva– darrere d’Europa pel que fa a aquest tipus de regulació, i això continua. Això continua amb GDPR, això és força evident. És possible que alguns de vostès coneguin l'escut de privadesa. Hi ha al voltant de tres o quatre disposicions a GDPR que tenen un solapament amb el blindatge de privacitat, però hi ha un centenar de disposicions a GDPR, de manera que és molt més que això, i, per descomptat, encara està vigent i té a veure amb l'intercanvi de dades dels Estats Units i de la UE. només, tot i que això és important.
De nou, m’agrada començar pels números. Heu sentit a parlar de les multes, i la manera de preparar-vos per això. El pressupost per a GDPR i fer això, això depèn d'un parell de factors. La quantitat de dades de PII que recopileu sobre els ciutadans de la UE. Si no en recopileu cap, d'acord, és probable que compliu i no haureu de fer front a això, però probablement aneu a aquesta trucada perquè en recopileu algun lloc. La mida de la vostra empresa i la maduresa del seu govern de dades, que com he dit anteriorment, pot ser que s’apropin al que cal fer per respondre a GDPR. Podeu esperar fins a diversos milions de dòlars o euros, segons el cas, per complir. Tot i això, volem, no volem simplement complir amb GDPR, per marcar aquesta casella, és clar, hem de fer-ho. Tant de bo no estigueu en aquella situació tan desesperada on només esteu desesperats per marcar la casella. Busqueu avantatges comercials perquè moltes de les coses que feu per donar suport a GDPR són bones per al vostre negoci. El govern de les dades és adequat per al vostre negoci. Quan es tracta de la quantitat de dades de PII, algunes són més importants que d’altres, algunes seran examinades més que d’altres, com la salut relacionada amb les dades, es regularan molt més estrictament sota GDPR que altres tipus de dades i requeriran el seu compliment. amb obligacions addicionals, com ara realitzar avaluacions d’impacte de protecció de dades que, òbviament, s’afegeixen al vostre pressupost.
Hi ha una mica sobre pressupost. En cas que estigueu al Regne Unit o als Estats Units i us pregunteu com us afecta, GDPR afecta el Regne Unit, que encara és a la UE, per cert, fins al 29 de març del 2019 i el govern del qual ha indicat que alguna cosa com GDPR continuarà després d'aquesta data, ja que "És una bona idea". Les empreses del Regne Unit han de complir-ho. Les dades de ciutadans del Regne Unit són certament a aquesta taula. Per si no ho veieu clar, hi ha negocis amb seu als Estats Units. Si tracteu a la UE, amb dades de ciutadans de la UE, això és cert per a vosaltres. Això comporta ramificacions en l'arquitectura de les vostres dades, perquè és possible que hagueu de suprimir les dades de la UE de la resta i tractar-les d'una altra manera. Afecta les analítiques, com deia Eric, en la manera de compilar aquestes analítiques, etc. Potser ara serà més difícil obtenir algun tipus d’analítica a nivell global i global. És possible que es localitzin com a resultat de GDPR.
Què hi ha a les disposicions? Hi ha estàndards de protecció de dades. Tot això excepte el xifrat de les dades en repòs i en moviment. Parlaré de xifrat a continuació. Hi ha estàndards de notificació per incompliment de dades. No hi ha més temps que esperen durant mesos i esperem que uns trimestres ho facin saber a tothom. Crec que hi va haver una gran l’altre dia i vam descobrir: “Ah, va passar fa un any.” Res amb això de GDPR: tens 72 hores. És una política de nom i vergonya. Tant de bo ningú arribi a això, és clar que algunes persones ho faran. Per descomptat, els incompliments continuaran, fins i tot després de GDPR. Hi ha processos per supervisar la ubicació i la qualitat de les dades. Sona familiar? Això és realment el cor de la governança de dades. Esperem que en tingueu.
Com ha mencionat Eric, els ciutadans de la UE tenen dret a ser oblidats. Eric hi ha alguns estàndards de raonabilitat. No cal que ho oblidis tot necessàriament, si és possible que hagis de tornar a contactar amb aquell client, aquell empleat, se li permet mantenir certs aspectes de les seves dades personals. Però, tanmateix, els ciutadans tenen dret a ser oblidats, però no hi pot haver cap esforç desproporcionat –és el llenguatge– per a vostè o perjudicar a l’empresa, és a dir que cal deixar de banda aquestes dades. No vull deixar-ho baixar, però també heu de publicar còpies de les dades personals que es conserven i només podeu obtenir aquestes dades sota consentiment. Aquest consentiment l’han de donar les persones que tinguin una edat mínima per concedir aquest permís. Això és boig, però això dóna als ciutadans molts drets sobre les seves dades. Allà és la portabilitat, per si alguna vegada arriba. El dret a ser oblidat, clarament, però també, i alguna cosa que no és a la meva diapositiva, és força important, és que el subjecte de les dades haurà de tenir el dret de no estar sotmès a una decisió basada només en un tractament automatitzat. En què ens hem anat avançant? El processament automatitzat, a l’entorn de l’acceptació del préstec, quines ofertes donarem, tot això s’ha de treballar en termes de com es va a jugar i fins a quin punt això anirà. El que això és essencialment dient és transparència per què em rebutgen, per què em sent tractat en certa manera per aquesta empresa. Ara mateix, es concedeix a un ciutadà de la UE.
Obbviament, hi ha algunes ramificacions sobre com fem negocis i esperem que estigueu veient que GDPR no és un problema de TI, ni un problema només d’informàtica. Tots aquests processos de negoci estan implicats. Hi participaran persones de tota l'empresa. Es recomana la designació d’un responsable de protecció de dades per a aquelles empreses amb més de 250 empleats i teniu “matemàtiques crítiques amb les dades de la PII de la UE”. Podeu decidir-vos si teniu aquesta matèria crítica, de vegades és evident, de vegades no. Però, hi ha un nou paper –no ha de ser un paper a temps complet, la persona pot tenir altres responsabilitats, però no ho sé-, en algunes empreses grans i grans empreses, pràcticament crec que adherir-se a GDPR estar a prop d’un paper a temps complet. Diria que comenceu així i mira si ho podeu fer. Especialment durant el proper any, a mesura que ajunteu el vostre acte al voltant de GDPR, un cop instal·lat, potser podreu retardar el treball, però us caldran algunes companyies. Permet als individus veure les seves pròpies dades i portabilitat de dades, com he esmentat abans.
Tot això no és nou, per cert, però el dret a ser oblidat ha estat allà fora, creieu-lo o no. Les normes actuals de la UE ja preveuen un dret a suprimir o deixar disponibles les dades personals. Tanmateix, ara forma part de GDPR, s'aplicarà de manera molt més àmplia. Xifrat de dades: xifra les dades en repòs. Utilitzeu mètodes de xifratge estàndard, no utilitzeu el vostre xifrat propi o independent. L’AES és un que recomanem bastant. Utilitzeu claus de xifrat segures de forma criptogràfica. Canvieu aquestes tecles periòdicament. També eviteu la pèrdua de les claus. Aquestes són només bones pràctiques de xifratge, però ara estan arribant a l'avantguarda amb GDPR. Hi ha el problema: només he arribat a la punta de l’iceberg. Evidentment, hi ha més disposicions per examinar-les, però aquestes són les principals.
Ara, solució. La governança de dades, el marc de compliment, almenys aquesta és la perspectiva que proposo aquí. Afortunadament, hi ha una disciplina activa i ben cuidada que, quan és madur, pot fer front a la majoria dels requisits, i això és el govern de les dades, òbviament, ho dic. Els programes de govern han de tenir un glossari de dades, i aquí estic fent servir un glossari de dades en sentit genèric per referir-me a la documentació de tots els processos per als vostres processos. Es tracta de bases per satisfer les necessitats d’inventari de GDPR, que, com hem vist, són força immenses. El programa, el programa de governança, hauria de facilitar els protocols de seguretat de dades, i ho subratllo perquè no és una cosa que fan molts programes de govern de dades ara mateix, però crec que és un lloc lògic que es faci perquè estan fent estar al programa que determina qui són els propietaris de l'empresa? Qui necessita veure-ho? I el següent pas és concedir aquests permisos. Que s’ha de centralitzar, que s’ha de formalitzar. Hi ha d'haver polítiques internes que s'utilitzin. S'ha d'assignar administració a tots els elements per proporcionar informació a totes les qüestions anteriors. El govern de dades també pot ser el facilitador de l'enginyeria de processos empresarials.
Abans de deixar aquesta diapositiva, amb l'objectiu d'evitar les fortes multes, les empreses adoptaran pràctiques empresarials sòlides com a subproducte. M'agrada dir que és més que un subproducte, però en realitat és un negoci sòlid i bo que us pot conduir en llocs nous des de la perspectiva empresarial. Certament, obtindreu moltes eficàcies per fer totes les iniciatives a tot el món. Si teniu un bon govern de dades, això és el que he vist al llarg dels anys. Si afegiu algunes d’aquestes coses, a la governança de dades, només milloraran. En l’enginyeria de processos empresarials us recomanem que feu aquestes preguntes a tot el món, toqueu totes les àrees de negoci. Quin tipus de dades recollim als nostres clients de la UE? No els llegiré tots. Algunes de les claus aquí. Qui té la necessitat de veure aquestes dades i se segueix? Qui és l’administrador de dades d’aquestes dades? Qui és el meu personal més interessat en el negoci? Aquesta és una gran cosa: compartim aquestes dades amb tercers? Només pel fet de cedir-lo a un tercer, no excusa la vostra responsabilitat al voltant d’aquestes dades: no deixen de ser les vostres dades, encara són les dades que vau recollir. Hi ha una gran quantitat de contractes de tercers que s’estan revisant a fons com a resultat de GDPR. Aquests sistemes tenen fallades deterministes? És a dir, quan fracassen, fracassen en un camí que hem predeterminat, o bé només fracassen, s'estavellen, cremen i comencem de zero a cavar-hi? Evidentment, serà molt millor. Ja és una bona pràctica, però òbviament és molt millor per enginyar inversament algunes coses, si teniu grans fallades deterministes al vostre sistema.
La retenció de dades, parlem des de la retenció de dades des de sempre. Moltes empreses tenen polítiques, però no totes les segueixen. Bviament, famosament en l’assistència sanitària i financera, volem conservar dades, hem de guardar dades durant un cert nombre d’anys. Alguns dels analistes d’aquestes empreses que conserven dades durant set anys o no, diuen: “Ah, després d’aquest període, encara vull aquestes dades”. Alguns dels advocats d’aquestes empreses diuen: “Però hem de desfer-nos a efectes de responsabilitat ”, etc. Això no només pot quedar-se simplement allà, ja que el problema als loggerheads es manté amb GDPR. Hem de tenir el període de retenció, si el seguim de manera constant a través de tots els membres de la organització.
I, finalment, com us mobilitzeu per un incompliment de dades? Aquests pitjors casos que us podrien passar. Evidentment, intentem evitar-les, però, si passa? Com podeu combatre el tema i assegurar-vos que seguiu les disposicions de GDPR en la vostra resposta? Sóc arquitecte de dades, penso en arquitectura de dades. Si sou una empresa nord-americana amb operacions de la UE, és a dir, les dades de ciutadans de la UE: la recopileu, haureu de considerar si heu d’aplicar els estàndards de protecció de dades a totes les dades o només a les dades de la UE. Sí, ara tinc clients que prenen aquesta decisió. Com a bona pràctica empresarial, potser voldrien fer-ho arribar als Estats Units, pot ser que tinguin temps, però això suposa la número dos de la bala. És possible que hagueu d’apartar les dades de la UE dels sistemes nord-americans si no podeu comprovar que els sistemes nord-americans tractaran les dades de manera adequada. Separa aquesta informació per als propòsits de les analítiques? Fins i tot, les analítiques són vàlides si es tracta de fer-les a tot el país? De vegades sí, a vegades no, no? És possible que trobareu que la vostra anàlisi es canviarà com a resultat.
Com he comentat abans, la intel·ligència artificial toca aquí perquè, òbviament, podem utilitzar IA per anar a trobar totes les dades, ajudant-nos a trobar totes les dades, però si utilitzem IA en les nostres interfícies de clients, ara hem de tenir transparència amb el nostre client. Interfícies i que mai no ha estat el cas més intens de l'AI. Per intentar dir a un client: "Vau ser rebutjat perquè bla, bla, bla", quan realment era AI. Això ara s’ha de fer. Hem d’esbrinar com funciona l’IA, quins són els factors? No puc més asseure-hi i ser una caixa negra per a tu. Què fem ara? Establiu el vostre consell GDPR. Us suggereixo que tingueu el vostre oficial de privadesa superior o si teniu un agent de protecció de dades, òbviament aquesta persona. Els caps de govern de dades, risc operatiu i / o compliment, segons s’aplica, el responsable d’informàtica, CIO si és aquesta persona. Si teniu una persona directiva canviada, seria una gran persona allà. Només són caps d’alguns dels departaments més importants del vostre negoci i també el responsable de recursos humans, ja que la formació en privadesa ara serà enorme. Tothom va a rebre formació sobre privadesa o hauria d’estar formant-se en privacitat quan embarqui en una empresa, fins i tot en consultors.
Si no veieu aquestes coses que veieu aquí, haureu d’avançar més ràpidament del que voldríeu per fer la data límit. També haureu de començar a esperar que no sigueu un dels primers en fer-vos auditoris, perquè, francament, hi ha molta feina aquí si partiu de zero i tracteu moltes dades sobre ciutadans de la UE. Contracteu el vostre DPO, inventarieu les vostres dades i els vostres processos. Creeu aquest pla per a la governança de dades, porteu-lo d’on sigui, fins on ha de ser. Segons el cas, és possible que vulgueu iniciar-lo. Elabora les vostres polítiques de privadesa i els vostres avisos de política. Les polítiques de privadesa són internes. Els avisos de política passen a ser externs. Actualment, comencem a crear una cultura al voltant dels avisos de polítiques. S'ha realitzat molta comparació i molta redacció acurada al voltant d'aquests avisos sobre polítiques. Carta una comprovació del compliment de GDPR per a tots els sistemes, inclosos els nous sistemes. Pot ser que hagueu de seqüenciar-les i fer-les en algun tipus d’ordre d’importància, però aquesta és una altra manera d’afrontar el problema. Mireu els sistemes i què se suposa que fan i com gestionen aquestes dades.
Què fa senyal de GDPR? És el que estem aquí per parlar-ne una mica més. Espero el que ha de dir Kim sobre això. GDPR és un canvi en els controls de privadesa de dades cap a la regulació. És una tendència cap a la transparència, i ho diu correctament a les disposicions. Estem creant aquesta cultura dels avisos de privacitat, tal com vaig parlar, ara és una cosa. Anem a veure conferències sobre avisos de privacitat, etc. El canvi GDPR és cap als drets fonamentals de les persones. Es treballaran preguntes obertes. Hi ha preguntes clarament obertes, n’he deixat unes quantes sobre la taula aquí per a nosaltres. Ningú té la resposta. Es treballaran. Una tendència cap a una major comprensió per part de les persones sobre les seves dades i com s’utilitzen. Crec que això ha augmentat la consciència entre la població de la UE sobre la importància de les seves dades i veient que és un dels seus actius personals que han de gestionar més. Aquests són alguns dels primers senyals que he vist, i Eric, us ho tornaré a llançar.
Eric Kavanagh: D' acord, deixeu-me lliurar les claus a Kim, que pot compartir alguna de les seves perspectives, però crec que va ser una bona visió general, William, i vas colpejar en els punts claus, és a dir, que això es tractarà de la mateixa per segur. i tots hem de tenir molta cura, francament. Amb això, deixa'm lliurar les tecles a Kim i pots compartir la pantalla i treure-la d'allà.
Kim Brushaber: Hola, pots sentir-me?
Eric Kavanagh: Et puc sentir.
Kim Brushaber: Impressionant. William va tractar algunes de les mateixes coses que vaig a cobrir, però crec que val la pena cobrir de nou perquè són realment importants. Crec que quan es aproven les noves regulacions, és molt bo tenir una perspectiva i una interpretació molt diverses de les persones per tal que alguna cosa desperti la ment i et permeti ser encara més conforme. Estic animat per totes les persones que participen en aquesta trucada que vulguin saber-ne més perquè crec que el proper 25 de maig pot haver-hi un gran pànic a les empreses que han estat perseguides i no complint-les.
Em dic Kim Brushaber, sóc el principal responsable de productes d’IDERA. Tinc sota meu diversos productes que ajuden al compliment de GDPR, així com d'altres normatives. Vaig a aprofundir en alguna informació. Començaré amb alguns fets i algunes xifres per aprofundir una mica sobre GDPR i, concretament, com les nostres eines us poden ajudar. Una dada és que es perden o es roben cada dia més de 5 milions de registres de dades. No sentim això notificat a les notícies, no sentim que això surti d’altres llocs, però hi ha més de 5 milions de registres de dades robats tot el temps, directament a sota de nosaltres. El nombre mitjà de dies que els atacants romanen inactius dins de la vostra xarxa és de 200 dies. Ja hi ha molts sistemes infiltrats per persones que –amb intenció maliciosa– que només esperen l’oportunitat de treure profit de la vostra informació, principalment en seguretat i certificats, però només esperen el seu moment. És per això que cada vegada és més important gestionar la vostra seguretat de dades. Es preveu que el cost mitjà de l’incompliment de dades únic el 2020 superi els 150 milions de dòlars, ja que es connecta més infraestructura empresarial als recursos en línia i a mesura que augmenten les coses al núvol. És un bon número de pressupost si realment et preocupa la seguretat de les dades, que has de proporcionar al teu equip executiu, que els digui que aquest és un tema seriós i que ens pot costar molts diners endavant.
Vaig a examinar breument l’incompliment de dades d’Equifax perquè crec que va ser l’incompliment de dades més important del 2017, per tal d’elaborar la imatge de com passa per això. L’incompliment va afectar 145, 5 milions de clients. Els empleats van reconèixer el problema de seguretat amb la seva aplicació web dos mesos abans que es produís l’incompliment. Els empleats deien: "Aquest és un problema". I fins i tot, una mica abans, va sortir el pegat. Va passar un dia complet un cop que es va produir l’incompliment per respondre-hi i prendre l’aplicació web fora de línia. Com que Equifax no tenia un protocol de seguretat de dades definit, els va costar un temps significatiu fins i tot per esbrinar què estava passant i poder prendre fora del sistema fora de línia. Sis setmanes després de l’incompliment, es va alertar el públic. Amb GDPR, com ja vam indicar més amunt i ho tornaré a dir, heu d’informar en un termini de 72 hores, i Equifax hauria tingut les mans lligades i no podent complir aquest compliment perquè esperaven sis setmanes per informar-lo. La comunicació per respondre a l’incompliment incloïa un lloc web que ni tan sols era propietat d’Equifax. Els mateixos Equifax estaven retuitant aquest tuit que ni tan sols era del seu domini: havien revertit algunes de les paraules del voltant. Afortunadament, no era un lloc malintencionat que s’estava capitalitzant, però òbviament no estaven preparats. No tenien un pla en marxa i això es va fer molt conscient en l'àmbit públic. Equifax no està sol: hi ha més de 25 atacs cibernètics molt alts el 2017 fins ara i encara podríem trobar-ne més abans que acabi l'any. Les empreses realment han de començar a prendre-ho seriosament perquè la gent és fora i, si els donen una raó per voler venir a la vostra casa, és millor que estiguis disposat a poder-ho.
Algunes altres dades i dades sobre dades relacionades amb la seguretat de les persones. El 2020, hi haurà 30 mil milions de dispositius connectats a Internet a través de les nostres llars, a través dels nostres dispositius portàtils, a través dels nostres telèfons, de les nostres tauletes i qui sap què més encara pot arribar en els propers anys. Hi ha molts dispositius que es deixen vulnerables a aquests atacs. Quaranta-nou per cent dels nord-americans consideren que la seva informació personal és menys segura que la que hi havia fa cinc anys. El setanta-tres per cent dels consumidors a Amèrica vol que les empreses siguin transparents sobre les seves dades personals. El setanta-vuit per cent de la gent afirma tenir consciència dels riscos en fer clic en enllaços i correus electrònics desconeguts, però, tot i així, fan clic en aquests enllaços, això és més de les tres quartes parts de la nostra població i encara fan clic als enllaços, tot i que sé que pot ser un problema. El vuitanta-sis per cent dels usuaris d'Internet estan intentant activament minimitzar, anonimitzar i ocultar la visibilitat de les seves petjades digitals. Al meu padrastre li agrada sortir i crear noms falsos quan omple formularis perquè creu que el fa anònim, però poc sap que la seva adreça IP també es fa un seguiment. Hi ha molta preocupació individual i això és el que genera moltes regulacions de GDPR i, probablement, regulacions addicionals.
Pel que fa a la indústria de seguretat de dades, el 90 per cent dels registres d’incompliment de dades del 2016 provenien de govern, venda al detall i tecnologia. Quaranta-tres per cent dels ciberataques van atacar petites empreses. Si penseu: "Oh, no sóc un noi gran, no vindran després de mi", encara hi ha, gairebé la meitat d'ells que van després de petites empreses. El setanta-cinc per cent de la indústria assistencial ha estat infectada per programari maliciós durant l'últim any. Un setanta per cent de les empreses petrolieres i de gas nord-americanes van ser piratejades el darrer any. Això suposa un impacte significatiu sobre diverses indústries que estan en marxa i aquest nombre només augmentarà a partir d’aquí.
Quan el mireu des de la perspectiva executiva, el 90 per cent dels CIOs admeten malgastar milions de dòlars per una ciberseguretat inadequada. El 90% afirma que han estat atacats o que esperen ser atacats per nois que s’amaguen en el seu xifrat. El vuitanta-set per cent creu que els seus controls de seguretat no protegeixen el seu negoci. El vuitanta-cinc per cent dels CIO esperen que un mal ús de les seves claus i certificats empitjori. Aquest és un gran nombre d’empreses que estudien aquest problema de seguretat de dades i la realitat és que moltes d’elles no tenen solucions molt bones fins i tot per poder-ne tractar quan passi, tot i que creuen que passarà.
Quan examinem la seva preparació, el 2014, el 70 per cent dels mil·lenaris van admetre que van introduir aplicacions externes a la seva empresa en violació de les polítiques informàtiques. El setanta per cent ho va admetre, probablement hi ha un nombre més gran que això, que ho va fer en realitat. El cinquanta-dos per cent de les organitzacions que van patir ciberatacs amb èxit el 2016 no van fer cap canvi en la seva seguretat el 2017. Tot i que van ser atacats una vegada, encara no van sortir i es van tancar per les parets, tan vulnerables com ells. eren abans de l'atac. Això ens fa la pregunta: què necessiten les empreses per començar a preparar-se per preparar-se? El trenta-vuit per cent de les organitzacions mundials afirma que està disposada a manejar un ciberataque sofisticat. És bo, gairebé la meitat hi són, i sóc generós amb això, només estem a un terç, però hi ha almenys la meitat que diuen: “No estic a punt. Si m’atacen, no estic a punt i els pirates informàtics ho saben. ”El trenta-vuit per cent de les organitzacions tenen un pla de resposta a cibersicidents. La majoria de les empreses es troben al mateix cubell que Equifax, on no saben què faran. Si ho aconsegueixen, hauran de reaccionar i sortiran amb aquestes coses sobre la marxa, i regulacions com GDPR diuen: “Heu de tenir-les al seu lloc. Els heu de publicar. Heu de demostrar-ho als auditors de seguretat. ”Esperem que amb impactes com aquest, amb regulacions així, puguem avançar aquesta corba i, en lloc de ser reaccionaris, puguem ser proactius en els nostres objectius.
Parlem una mica sobre GDPR. Alguna cosa d’aquest William ja ha cobert, però vaig a avançar i a cobrir-ho de nou, només des de la meva presa, la meva veu, la meva perspectiva. A moltes empreses amb qui parlo, com: "Estic als Estats Units, per què fins i tot m'hauria de preocupar aquesta regulació de la UE?" El fet que més gent no faci broma i que no parli més gent creuen que només afecten els membres de la UE, però us demanaria que, si mireu aquesta llista, recolliu alguna d’aquestes dades de membres de la UE? Si recopileu alguna d’aquesta informació, esteu subjectes als límits del GDPR, així com a les penalitzacions per no complir-les. Li donaré un segon per absorbir això i entendre això. Com William va esmentar anteriorment, es tracta de les sancions i sancions tal com es fa referència a l'article 83 del GDPR. Al principi, potser teniu una bufetada a la mà, amb un petit advertiment dient: "Ei, ajunteu la vostra actuació. Poseu-ho al lloc. ”Però si teniu un incompliment realment gran, i en funció de l’important acord que tingueu, us tornaran a restituir, i és un nombre important. No 10 milions, sinó 20 milions d'euros o el 4 per cent de la vostra facturació / ingressos de l'any anterior. Això té molts diners. Aquest pressupost té molts pressupostos als vostres equips executius i dir: "Això és el que hem de començar a prendre seriosament i que hem de prendre mesures".
Permetin-me recórrer una mica els principis de GDPR tal com s’exposen a l’article 5. Una de les coses que diuen és que les dades personals s’han de processar de manera legal, justa i transparent. Això vol dir que el públic vol saber què està fent amb les seves dades. Sigui transparent i s’ha de publicar. La majoria de la gent no llegeix termes i condicions, però es tracta d’una informació nova que cal comunicar, de manera que els pugueu dir: “Les vostres dades s’estan gestionant adequadament”. Les dades personals s’han de recopilar per a una determinada, finalitats explícites i legítimes. Això vol dir que, amb l’esperança, ens podem desfer d’alguns d’aquests correu brossa, on les empreses diuen que recopilen informació per a un test que us indica com d’interessant pot ser, i que en realitat estan rebent les vostres dades i venent a altres persones, per poder utilitzar-lo per als que siguin els seus propòsits. Les empreses ara han de ser molt més responsables i dir exactament per a què utilitzen la informació. També diuen que les dades personals han de ser adequades, rellevants i limitar-se al que sigui necessari. A moltes empreses els agrada agafar tota la informació i posar-la a un gran grup de dades, i després esbrinen què volen fer amb la informació més endavant i recopilen molt més del que sigui necessari. Això diu que no podeu recollir-lo i utilitzar-lo en un altre lloc. També no només podeu recollir-ho tot i esperem que més endavant us resulti útil. Heu de ser molt explícit per què recopileu la informació i ha de ser rellevant per a les dades que esteu recopilant.
Les dades personals també cal que siguin exactes i es mantinguin actualitzades. Heu de proporcionar als usuaris maneres d’actualitzar les seves dades un cop les hagueu recollit; Necessiten poder tornar enrere i dir: "Ja ho sabeu, tenia aquesta opinió en alguna enquesta que em vau demanar informació identificable personalment i vull tornar enrere i vull canviar-la i actualitzar-la ara". per donar-los una manera de poder fer-ho. Les dades personals han de conservar-se de forma que permeti la identificació de les persones que no estiguin necessàries. Tornar al punt de William, que no podeu recopilar aquesta informació per sempre: heu de presentar allò que creieu que és vàlid i necessari i, després, netegeu les dades netes. També s’ha de processar de manera que garanteixi la seguretat adequada, inclosa la protecció contra processaments no autoritzats o il·lícits, pèrdues accidentals, destrucció o danys.
Com he dit abans, és hora de posar-nos realment seriosos en això, aturar aquests incompliments de dades, ja que no només pot tenir lesions que tinguin la seva empresa en forma d’incompliments de dades, la pèrdua d’ingressos i el cost d’aprimar els seus processos., però és possible que també tingueu un munt de multes aplicades a GDPR. Ha arribat el moment de començar a posar-nos molt seriosament al respecte i crec que a mesura que entri en vigor GDPR, les empreses es veuran davant de la dura realitat i, per sort, les persones que estigueu de moda poden començar a pensar en això i saber-ho. com vas a posar en pràctica aquestes coses.
GDPR també parla molt sobre quins són els drets de les persones; realment està buscant els usuaris individuals. El primer és el dret a accedir a les vostres dades personals. Els usuaris han de saber quina informació heu recopilat en relació amb la informació identificada personalment i heu de donar-los una manera de poder-hi accedir. També hi ha un dret a la rectificació, que és una manera fantàstica de dir: "He de ser capaç de corregir la informació que teniu sobre mi". El dret a esborrar, que de nou, molta gent està expressant el dret a oblideu-vos-si un individu diu: "Ja ho sabeu, jo ja no vull que sàpigueu que sóc un col·leccionista de còmics fantàstic, divertit, us n’heu de desfer. Tinc alguns amics que em molesten al respecte i m'esborren de la vostra llista completament. Ha de ser capaç de fer-ho. També hi ha el dret a restriccions de processament i això vol dir que els usuaris poden limitar la manera de processar la seva informació. Poden dir: "No m'importa que agafi la meva informació perquè estic comprant un cotxe nou, però no utilitzeu aquesta informació per enviar-me correus electrònics i fer-me brossa sobre les ofertes noves cada cop que surtin automòbils nous". el dret a la portabilitat de les dades, cosa que significa que els usuaris haurien de poder obtenir una còpia de les seves dades i poder portar-los en qualsevol altre lloc. Moltes organitzacions recopilen informació i aquesta informació té un factor enganxós i ara els individus poden dir: “Sabeu què, vull que emporteu tota la informació i ara vull que la doneu a la vostra competidora, així que puc moure aquesta més de temps. "
Des d'una organització prospectiva hi ha moltes coses a pensar sobre com podreu fer-ho i quina informació voleu poder recopilar i enviar. També hi ha dret a oposar-se i els usuaris també poden oposar-se al tractament de les seves dades. Dret a no ser sotmès a una decisió basada únicament en processament automàtic o perfilació. Això té un impacte significatiu en el màrqueting B2B: si esteu asseguts i proveu les proves A / B i intenteu identificar, Colorado us influirà més en un missatge que Califòrnia, així que acabeu de fer de perfil, si us plau indicar vers un altre i heu de mirar com un individu hauria de poder optar per això.
Tenint en compte que tenim algunes coses que fan por pel que fa a la vulneració de dades i la manera com la gent mira les seves dades i tenim aquesta enorme regulació que està sobre les nostres espatlles, ara estic aquí per donar-vos les dades la solució sobre com ajuda IDERA. L’article 15 parla sobre com controlar l’exposició a dades personals. Heu de saber qui accedeix a les vostres dades. Com s’utilitzen. La quantitat de dades que s’han processat i el producte de Gestor de compliment de productes SQL, per a qui sóc el gestor de productes, permet veure qui està accedint a les vostres dades i com. SQL Compliance Manger és per a solucions SQL Server. Si teniu una base de dades SQL Server, podeu connectar aquest producte per poder auditar i mirar aquesta informació, de manera que pugueu complir GDPR i saber exactament com s’utilitza. També podeu veure les infraccions de dades abans que es produeixin i en parlaré d'una altra diapositiva. També hi ha un article que diu: “necessito registre d’activitats de processament. Necessito registrar-me i necessito controlar les operacions i necessito saber qui processa les dades personals i qui té accés a aquests sistemes. ”SQL Compliance Manager manté l’auditoria de servidors i bases de dades, incloses seguretat, DDL, DML, a més de definir dades sensibles . SQL Compliance Manager permet auditar l'accés de seguretat i registrar un intent, de manera que podeu veure qui accedeix a la informació, així com qui inicia la sessió, si és un usuari privilegiat, si és un usuari conegut o si pot ser un usuari malintencionat.
L’article 33 parla de la notificació de l’incompliment de dades personals a una autoritat supervisora. Heu de poder detectar aquests incompliments; necessiteu registres per poder avaluar l'impacte; has de saber amb quina rapidesa vas a posar remei. Per fer-ho, SQL Compliance Manger us permet configurar alertes a les vostres bases de dades per veure qui té accés a les vostres dades sensibles, quan van accedir-hi i a què accedien. També us permet descartar els vostres usuaris privilegiats habituals de la vostra auditoria. Si teniu l'administrador de sistemes o l'administrador de xarxa que sabeu que hi podran accedir i no voleu obstruir els informes, els podeu descartar i dir: "Dóna'm tot el que està passant fora d'aquesta informació". Permet identifiqueu ràpidament si algú està accedint malament a les vostres dades i podeu tenir alertes que hi hagi lloc, que us permetran saber el moment en què comença a passar i, a continuació, el moment en què s’accedeix a la informació, per tal de descompondre-les No heu d'esperar un dia sencer per esbrinar què passa, com ho va fer Equifax.
També hi ha un article que parla sobre protecció de dades i avaluació d’impacte. Això permet avaluar els vostres riscos i comprendre quins són, a més de demostrar i documentar el vostre compliment amb GDPR. SQL Compliance Manager us permet informar sobre elements que s'estan supervisant. En poques paraules, auditant les vostres dades amb SQL Compliance Manager, SQL Compliance Manager us permet detectar els inicis d’inici de sessió fallits, cosa que és un senyal potencial d’incompliment: supervisar les activitats administratives i els canvis de seguretat, avisar-vos de les modificacions de la base de dades, auditar. les columnes que definiu com a informació sensible, identifiqueu usuaris privilegiats i feu el seguiment de la seva activitat per separat dels altres usuaris del vostre sistema, denuncien que la informació s’està verificant d’acord amb diverses directrius reguladores. No només cobrim GDPR, sinó que cobrim HIPAA, PCI, FERPA, SOX, totes les directrius reguladores a l’hora de verificar la informació i comprendre el que s’accedeix, tenim aquestes directrius reguladores vigents.
Disposem de productes addicionals a IDERA per a la preparació de GDPR. Més enllà de només l’auditoria que fa el SQL Compliance Manager, tenim ER / Studio Enterprise Team Edition, que us pot ajudar a documentar els vostres processos de dades i a incorporar estàndards de dades al vostre model de dades, podeu crear glossaris de dades de què parlava William en una diapositiva anterior . Com he indicat aquí amb aquesta presentació, SQL Compliance Manager us pot ajudar a auditar la vostra informació per assegurar-vos que les persones errònies no accedeixen a les vostres dades, a més de demostrar-ho als auditors. La còpia de seguretat de SQL pot ajudar-vos a xifrar les dades i les còpies de seguretat. El xifrat és una part essencial de GDPR, que no vaig cobrir amb gran detall perquè volia centrar-me molt en els actius de Compliance Manager, però SQL Safe Backup fa molt del xifrat per tal que les vostres dades siguin segures. SQL Inventory Manager pot assegurar que els servidors estan pegats i actualitzats, de manera que no acabi en un cas com Equifax, on tenien un pegat desfasat que els proporcionava un gran forat de seguretat que la gent va poder fer fer servir malament. SQL Secure pot verificar la privadesa i els criteris de xifrat.
Per obtenir més detalls al lloc web de la comunitat IDERA, al nostre bloc, he publicat un Preparació per a GDPR i mirarem cap al 2018 i entenem quin és l'impacte de GDPR i també hi ha, certament, podeu descarregar una còpia de prova de SQL Compliance Manager. a IDERA, així com a qualsevol dels altres productes que acabo de mencionar anteriorment a la diapositiva.
En aquest moment, passaré endavant i lliuraré la presentació a Eric perquè puguem fer algunes preguntes.
Eric Kavanagh: D' acord, bé. Heu tocat una sèrie de coses realment interessants, Kim, una de les quals –crec que això és senzill, però és bastant intel·ligent–, heu parlat de la detecció d’inicis de sessió fallits. Em sembla que és un bon senyal que algú no està bé?
Kim Brushaber: Absolutament. Si veieu algú que ha intentat accedir i trencar la vostra contrasenya, aquesta és una manera molt ràpida de poder dir que algú no fa el que hauria de ser. Potser un parell de vegades podríeu escriure la vostra contrasenya de manera incorrecta, però si veieu que hi passen 30, això és un mal signe.
Eric Kavanagh: Sí. Aquí són claus per configurar les alertes amb el context adequat. Què més ens podeu dir sobre com gestionar el procés de configuració d'alertes i desactivació de les que no estan fent el que haurien de fer i quant d'aquestes coses es poden automatitzar?
Kim Brushaber: Compliance Manager té moltes alertes configurables, a més d’informes que podeu revisar. Anem a través dels vostres rastres SQL i el seguim automàticament i en tenim molts ja configurats i predefinits, però segur que també podeu fer una gran quantitat de personalitzacions.
Eric Kavanagh: William, t’ho introduiré, em sembla que és una de les àrees en què veurem que l’aprenentatge de màquines entrarà en joc durant els propers dos o deu anys més o menys. diferents possibilitats. Tenint en compte les diferents maneres que un sistema pot optimitzar la seva eficiència, és efectiva al voltant de problemes com ara incompliments. És també la vostra presa?
William McKnight: Sí, absolutament. Crec que ara estem construint sistemes que reparen ells mateixos. El seguiment 24 per 7 ja comença a caure i es converteix en cosa del passat, tot i que encara necessitem aquest temps de temps. Crec que els sistemes s’incrementen en gran mesura i esbrinen què és incorrecta. Hem de destinar més espai aquí o què teniu? Sí, crec que definitivament és una part del nostre futur. Qualsevol cosa allà fora que pugui ser assenyalat a alguns passos d’acció, com a resposta a alguna cosa, és sensiblement vulnerable a la intel·ligència artificial.
Eric Kavanagh: És un bon punt. Em llançaré una altra pregunta, William, perquè sé que fas moltes investigacions en aquest espai. Una de les coses que he estat esperant des de fa temps i no crec que encara hi siguem –crec que ens apropem, només del que he llegit i pensant en això– és un dia en què hi haurà tecnologia per absorbir problemes de regulació, la redacció real d’aquestes coses, i mapar-la a la funcionalitat i al programari. Com dic, seguim sent una forma d’això, no puc imaginar que no hi hagi ningú que hi treballi. Heu trobat alguna cosa així, o encara estem en un moment en què els éssers humans necessitem mirar les regles, intentar-les comprendre, codificar-les en clau de màquina, fonamentalment, i, després, ajustar-les a les seves diverses aplicacions?
William McKnight: Bé, sens dubte tinc el concepte que compartiu aquí. No conec res del que passa cap a un llançament en un entorn relacionat amb això. Diré, en general, però, evidentment, comencem a dir a les màquines no què fer, però quin és l'objectiu del que volem fer i les màquines són molt més intel·ligents en esbrinar els detalls. Crec que una vegada que tinguem una intel·ligència més artificial a les nostres organitzacions, és molt possible que es puguin desenvolupar noves regulacions de manera conjunta amb l'AI que es desplegui a les organitzacions de manera que es puguin desenvolupar de la manera que heu descrit en el futur. De moment, no actuem amb això.
Eric Kavanagh: Aquí hi ha una pregunta que us faré arribar, Kim, perquè també és interessant aquesta qüestió. Parles de la latència mitjana o del temps que algú que s’inicia al sistema s’amaga i acaba d’esperar, el nombre de dies que un atacant es va quedar inactiu dins d’una xarxa: la detecció és de 200. Tinc curiositat per saber quins són els vostres pensaments sobre com millorar això, primer de tot? Però també, hi ha alguna manera d’utilitzar aquest tipus de regles per explorar el vostre propi sistema? Per explorar les vostres pròpies dades, per fer un millor treball per mantenir aquests tipus de persones fora?
Kim Brushaber: Sí, crec que òbviament és clau la detecció precoç. Heu d'esbrinar que aquests llocs malintencionats estan accedint a la vostra informació i podreu bloquejar-la. Crec que a les altres diapositives on es demostra que la majoria d’organitzacions no tenen aquestes polítiques. Per això s’asseuen allà. Crec que, si realment teníeu una política per aplicar i bloquejar l’accés i assegureu-vos que tinguin accés les persones adequades. Assegureu-vos que esteu rotant les tecles de forma regular i que les actualitzeu. Assegureu-vos que les vostres contrasenyes s’actualitzin regularment i feu aquest tipus de coses, que semblen bastant bàsiques. Ara mateix, la majoria d’organitzacions ni tan sols ho estan fent i començar a posar aquestes peces al seu lloc us ajudarà a superar-vos.
Per descomptat, significa que els pirates informàtics estaran més enginyosos, però de moment és fàcil, és com: "Vaig a mirar les cases del carrer que sento que vull trencar-les? sistemes? Tenen una petita senyal d’alarma i que un té gossos? Aniré a un que no tingui cap senyal d’alarma, no tingui un gos i aquesta sigui la casa a la qual vaig a entrar. ”Bé, trobaran les empreses que no No teniu la seguretat al lloc i no tenen la seguretat al seu lloc i no actualitzen les seves contrasenyes i aniran a passar i penjar-hi i fer servir la targeta de crèdit a una benzinera dues vegades per assegurar-vos. no ho heu tancat i aleshores quan poden influir en un canvi important, normalment és una mena de declaració política o d’una altra manera és quan els veieu clavant el cap. Com posar en marxa aquestes polítiques, crec que en aquest moment podeu fer uns passos força mínims per poder avançar en aquest joc.
Eric Kavanagh: probablement és el millor consell i sempre ho escolto quan parlem amb persones que es troben a l’espai de seguretat o a l’espai regulador, que les bases bàsiques cobriran el 80 per cent del vostre problema, i que hi ha una gran quantitat de temes per cobrir. bon punt Un dels assistents va preguntar sobre si algú podia aprofitar les oportunitats de negoci que es podrien extreure dels esforços de compliment de GDPR, em recordo a Sarbanes-Oxley i suposo que, William, us ho lliuraré. Com a consultor, sempre esteu buscant maneres d’ajudar els vostres clients fora de l’abast d’un determinat projecte, almenys si sou un bon consultor que ho feu. Quan parleu amb persones sobre GDPR, quins són els avantatges accessoris que podeu obtenir si aconsegueixen si participen en algun projecte centrat en això?
William McKnight: En primer lloc, és important tenir en compte que la idea que hi ha darrere de GDPR no són els drets del ciutadà en absolut. Hi ha l’altra cara de GDPR, és a dir, que millorarà la confiança que els ciutadans tenen a les nostres empreses i els animarà a fer més negocis a les empreses que compleixen. Hi ha aquells avantatges accessoris d’aconseguir efectivament el vostre GDPR, ara a l’interior, els programes de govern de dades que implementem serveixen per facilitar tota mena d’iniciatives, realment, que s’inicien a les organitzacions i avui, amb molta diferència, les iniciatives que s’estan iniciant. fora de les organitzacions. Fa poc he realitzat una planificació per al 2018 amb molts d’ells, tenen a veure amb les dades, molt, són com entre el 65 i el 90 per cent de totes les dades, quan parleu de telemàtica o programa de client 360. o un quadre de comandament per supervisar els venedors, es tracta principalment de les dades. Qualsevol cosa que gestioni millor aquestes dades, que ho integri en una arquitectura millor que nomeni les persones que són pròpies i que puguin respondre a totes i totes les preguntes sobre aquestes dades, que realment importa com un programa de govern de dades. Tot allò que ens ofereix un glossari de dades, com en parlava Kim amb les seves eines, qualsevol cosa que faci això, és molt útil fer aquestes iniciatives molt més eficients, arriscar-les, reduir el temps, reduir el pressupost per obtenir-les i obtenir-nos. a un moment àgil per comercialitzar coses molt més ràpides i bones per a que una empresa faci iniciatives, que són totes les empreses.
Eric Kavanagh: M'encanta aquest concepte de confiança. Crec que la confiança és una realitat molt poc apreciada al nostre món i, francament, la majoria dels negocis tenen confiança. Us la faré arribar només per a alguns comentaris de tancament, Kim. Crec que un dels principals valors afegits aquí és millorar la confiança i fomentar una cultura de confiança, ja que això no només tindrà impactes positius en la companyia mateixa, en les persones de l’empresa per si mateixa, sinó també en el que percep el públic perquè aquest tipus de la cosa s’esvaeix, em sembla, però què en penses?
Kim Brushaber: Sí, crec que quan parlo amb amics que treballen a Google o treballen a Facebook o en algunes de les organitzacions més grans i realment destacades, no estan implementant gairebé tantes novetats com en la implementació de protocols de seguretat i rendiment. i problemes d’escalabilitat perquè volen que la seva experiència d’usuari sigui aquella on creuen que poden confiar en aquesta informació. Crec que les empreses tenen aquesta responsabilitat mentre continuem avançant per proporcionar aquest tipus de confiança. Recordo quan la gent va començar a posar targetes de crèdit en línia i la gent és com: "Déu meu, no vaig a donar aquesta informació per aquí perquè no està segura."
I ara, la vostra targeta de crèdit va de qualsevol manera perquè, en teoria, penses que pots confiar en l’empresa perquè té un certificat HTTPS. A continuació, escolteu les infraccions a les dades de l'objectiu quan apareixen les targetes de crèdit, com "Oh, és millor que comercialitzeu la targeta de crèdit perquè deixem passar aquesta informació". Crec que és un sentiment bidireccional. Crec que els individus, tot i que volen confiar més perquè és molt més fàcil, poder confiar i tenir fe en això a les grans organitzacions, les grans organitzacions han de treure i posar en marxa aquestes peces perquè es donin. No perjudicarà l’individu o perds quota de mercat. La gent diu: "Bé, ja ho sabeu, no vaig a comprar a Target, ara vaig a comprar a Amazon". Crec que la confiança és un gran problema, tot i que, com dèiem, el 78 per cent de la gent és Encara haureu de fer clic en aquest enllaç per correu electrònic, tot i que saben que no. Hi ha una certa protecció de les persones, fins i tot quan confien en vosaltres.
Eric Kavanagh: És un bon punt. Ja ho sabeu, llançaré una última pregunta a tu, William, o almenys una altra, ja en sortirem de bones. Un assistent escriu: “GDPR trasllada la gestió de la identitat al client, on pertany. Equifax va danyar definitivament 149 milions de consumidors, "molt cert", que contamina l'economia digital. Quins canvis es produeixen als Estats Units en matèria de propietat del client respecte a la gestió de la identitat? "
William McKnight: Bé, sempre estem enrere als EUA quan es tracta d’aquest tipus de coses, no? Cent quaranta-nou milions, aquí no hi ha cap caiguda a la galleda. És gairebé com un terrorisme, no? Estem tan acostumats, només passa tot el temps. Crec que cal fer alguna cosa. Crec que GDPR m’agraden els drets que dóna als ciutadans, però no sembla que sigui una prioritat: hi ha moltes altres prioritats i no sé on anirà. Crec, com he comentat a la diapositiva de ramificacions que tenia, que això indica un canvi cap a més drets per part del consumidor sobre les seves dades. Quan això passa aquí als EUA? No sé, podrien estar fins a cinc anys de descans, veure que hi hagi alguna cosa proporcional a la GDPR que es produeix aquí als Estats Units.
Eric Kavanagh: És un punt real i crec que anirem fent més esforços al respecte perquè, seguim, estem passant a una economia digital aquests dies. I com a comentari de cloenda aquí, aconseguint una orientació filosòfica i orientada a les polítiques, això és el que més em preocupa del pas a una societat sense diners, perquè quan els efectius desapareixen, si això passa, tot és digital i tots els sistemes poden piratejar-los. i es pot robar la identitat de cada persona. Em sembla que és una elefant força gran a la sala, ja que mirem la mateixa mirada cap al futur de la gestió de la identitat.
Tot són coses fantàstiques. Gràcies a William McKnight pel seu temps i atenció avui. Gràcies a Kim Brushaber d'IDERA. Arxivem tots aquests transmissions web per a la seva posterior visualització, així que no dubteu en tornar, normalment en poques hores i l'arxiu estarà llest. Amb això, us acomiadarem, amics. Gràcies de nou pel vostre temps i atenció. Tingueu en compte. Adeu.
