Av Techopedia Staff, 6 december 2017
Takeaway: Värd Eric Kavanagh diskuterar EU: s kommande allmänna dataskyddsförordning och de effekter den kommer att få på branschen. Med honom ingår William McKnight från McKnight Consulting Group och Kim Brushaber från IDERA.
Du är för närvarande inte inloggad. Logga in eller registrera dig för att se videon.
Eric Kavanagh: OK, mina damer och herrar, hej och välkommen igen. Det är onsdag klockan 4 Eastern Time, vilket betyder att det är dags igen - en av de sista gångerna under 2017 - för Hot Technologies. Ja, jag heter verkligen Eric Kavanagh - jag kommer att vara din moderator för dagens evenemang. Vi talar om ett mycket långtgående ämne, för att säga det mildt. Just nu verkar det inte så - begreppet GDPR, den globala dataskyddsförordningen. Låt oss gå vidare och dyka rätt i det här, det handlar inte om ditt verkligen, tillräckligt om mig. Det här året är varmt, det har varit riktigt varmt på många olika sätt, men de kommande förordningarna från GDPR och från andra organisationer, helt uppriktigt, tvingar oss att tänka om vad som händer i affärsvärlden, särskilt när det resulterar, eller när det gäller data. Vi kommer att höra från Kim Brushaber från IDERA och även William McKnight från McKnight Consulting Group.
Bara ett par snabba ord om ämnet till hands, folkens. GDPR säger i princip att organisationer måste ha en sekretess-först och en säkerhets-första policy med avseende på data och egentligen handlar det om några av de saker du kanske har hört - hela rätten att glömmas till exempel är delvis och delvis hela detta ögonblick, och det är väldigt intressanta grejer. Det är verkligen giltigt med avseende på dess principer och dess etik. När det gäller faktiskt genomförande är det dock en ganska allvarlig utmaning. Rätten att bli glömd säger att om du vill att vissa organisationer inte ska ha dina uppgifter, dina personligen känsliga uppgifter, måste de bli av med dem. Du kan bara tänka dig när några av dessa riktigt heterogena datamiljöer, hur svårt det kommer att bli. Att kunna nå ut till alla platser där dina data är ihållande och dra ut dem, det kommer bara inte att hända, det är slutresultatet. Icke desto mindre måste organisationer ha en politik på plats för att kunna hantera dessa problem, och det är vad tillsynsmyndigheterna, jag är ganska säker, kommer att leta efter.
Det är en stor sak. Organisationen behöver inte bara ta bort dina uppgifter om du säger det, men om de har tränat algoritmer på den informationen, är de tekniskt tänkt att göra om algoritmerna också. Det är en hög ordning, jag måste säga er, men den kommer, den kommer ner på gädda, den kommer att bli verklighet i maj nästa år och det finns andra förordningar också. Kanada har antispamlagar som de har antagit, det är en inverkan på hur vi hanterar personlig information. Nätneutralitet kommer ner på gädda nu, naturligtvis har den upphävts, väsentligen, och det kommer att förändra vissa saker. Det finns många av dessa mycket allvarliga bestämmelser som påverkar företag över hela världen, som stora organisationer verkligen behöver börja tänka på och förbereda sig för.
Därför har vi William McKnight online från McKnight Consulting Groups för att informera oss om vad han tycker och varför GDPR i själva verket bara är toppen av isberget. Med det, William, ska jag överlämna det till dig. Ta bort det.
William McKnight: Tack, Eric, och som du säger, som bilden säger, denna BNP är kanske toppen av isberget - det är verkligen vad vi tycker. Det är viktigt att vi dyker djup in i BNP eftersom jag tror att det representerar en våg av reglering som kommer ner i röret som vi måste ta itu med. Lyckligtvis, Eric, det finns några rimliga standarder kring den rätten att glömma bort, som jag kommer till. Men ändå, på min promenad i år och talar om GDPR, tror jag att det finns många företag, särskilt amerikanska företag, som ännu inte är beredda på detta. Det är definitivt hett och något som vi definitivt inte tänkte på för ett år sedan, när de bara prövade en del saker, men nu är det en förordning och vi måste ta itu med det, som du sa, Eric, får komma rätt här uppe - så inte alls så långt borta.
Lite om mig, jag kommer att komma till detta ur dataperspektivet. För att berätta för mig, jag är en livslång dataperson och konsulterar nu i 19 år inom dataområdet, och GDPR handlar mycket om data. Jag kommer att utgöra en lösning här, när jag kommer in i min presentation kring datastyring. Jag har uppenbarligen gjort en hel del program för datastyring och jag tror att om du är i linje med det konceptet, du gör en del datastyring, kommer många företag där ute att vara ganska långt ner på vägen faktiskt för att följa GDPR, men det kommer att bli mycket, och ärligt talat som är bakom i styrning och därför ganska bakom i deras BNP-förberedelser. Låt oss ställa oss här och förstå vad GDPR handlar om och när vi går djupare in i konversationen kommer vi att få in mer av konsekvenserna av GDPR för affärslivet när vi fortsätter in i det nya året och därefter.
GDPR är för EU-medborgarnas integritetsuppgifter. Det är en förordning - betyder att den har tänder, betyder att den är verkställbar. Det är inte något som läggs ut där som ett förslag - det har redan hänt och nu har det formats till en förordning med påföljder. Jag gillar att börja med påföljder eftersom det verkligen får människors uppmärksamhet. Det här är styva påföljder. Det finns två påföljder, det finns 2 procent av världsomspännande årliga intäkter eller 10 miljoner euro om ett företag inte uppfyller säkerhetsskyldigheterna, men allt annat, i strid med andra bestämmelser - och jag kommer in i dem - det är 4 procent. Du hör den bandade omkring - 4 procent. Och förresten, det är 4 procent eller 10 miljoner euro, beroende på vad som är större. Det här är väldigt styvt. Folk ser mycket allvarligt på detta. Tvinga in från och med den 25 maj 2018 - det är ett viktigt datum, det är när revisionerna kan börja, det är då du kan få böter. Definitivt vill du vara redo för det här. Varje företag jag arbetar med, jag har många globala 2000-företag, de är någonstans i deras BNP-förberedelser, några mer än andra och andra måste vara mer än andra på denna punkt. Visst kommer det att bli utmanande att träffa det datumet för vissa, och vi kommer att se.
Det är den mest grundliga regimen för datakonsekvens som vi hittills har sett. När vi ser något mer styvt eller något som påverkar kanske den amerikanska befolkningen mer direkt, vem vet, men det är där ute och måste definitivt följas. Det kräver att organisationer förstår vilken UE-medborgare PII - vi är bekanta med PII rätt - personligt identifierbar information, socialförsäkring, telefonnummer, adress, de saker som kan identifiera en person eller ganska ganska unikt identifiera en person. Vad de har och hur de använder det. Detta betyder inventering. Detta innebär reglering inom dina egna företag kring denna typ av data. Förresten, USA har inte någon form av rikstäckande lagar för dataskydd. USA har alltid varit - jag ska säga bakom, för att sätta det i perspektiv - bakom Europa när det gäller denna typ av reglering, och det fortsätter. Det fortsätter med GDPR, det är ganska uppenbart. Några av er kanske känner till sekretesssköld, du kanske undrar om det. Det finns ungefär tre eller fyra bestämmelser i GDPR som har någon överlappning med integritetsskyddet, men det finns hundra bestämmelser i GDPR, så det är mycket mer än så och naturligtvis är det fortfarande på plats och det har att göra med USA och EU: s datautbyte bara, även om det är viktigt.
Återigen vill jag börja med siffror. Du har hört talas om böterna, vad sägs om hur du är beredd på det. Att budgetera för GDPR och göra något av detta beror på några faktorer. Mängden PII-data som du samlar in om EU-medborgare. Om du samlar ingen, OK, är du förmodligen kompatibel och behöver inte ta itu med det här, men du är antagligen på det här samtalet eftersom du samlar in någonstans. Storleken på ditt företag och löptiden för din datastyring, vilket som jag sa tidigare kanske närmar sig vad du behöver göra för att svara på GDPR. Du kan förvänta dig upp till flera miljoner USD eller euro, i förekommande fall, för efterlevnad. Men vi vill, vill inte bara följa GDPR, för att kryssa för den rutan, naturligtvis måste vi göra det. Förhoppningsvis är du inte i den allvarligare situation där du bara är desperat efter att kryssa för den rutan. Leta efter affärsfördelar eftersom många saker du gör för att stödja GDPR är bra för ditt företag. Datastyring är bra för ditt företag. När det gäller mängden PII-uppgifter är vissa viktigare än andra, vissa kommer att granskas mer än andra, som datarelaterad hälsa, kommer att regleras mycket striktare under GDPR än andra typer av data och kommer att kräva efterlevnad med ytterligare skyldigheter som att genomföra konsekvensbedömningar av dataskydd som uppenbarligen lägger till din budget.
Lite där om budgetering. Om du är i Storbritannien eller USA och undrar hur det påverkar dig - GDPR påverkar Storbritannien, som fortfarande är i EU, till och med den 29 mars 2019 och vars regering har indikerat att något som GDPR kommer att fortsätta efter det datumet för “Det är en bra idé.” Storbritanniens företag måste följa det. Uppgifter om brittiska medborgare ligger verkligen på bordet för detta. Om det inte är klart, det finns USA-baserade företag, om du handlar i EU med EU-medborgares uppgifter, gäller detta säkert dig. Detta har förgreningar i din dataarkitektur eftersom du kan hamna i din EU-information från allt annat och behandla dem annorlunda. Det påverkar analysen, som Eric sa, i hur du sammanställer dessa analyser och så vidare. Det kan vara svårare nu att få någon form av konceptomfattande och global analys analys. De kan bli mer lokaliserade till följd av GDPR.
Vad finns i bestämmelserna? Det finns dataskyddsstandarder. Dessa alla undantar diktera kryptering av data i vila och i rörelse. Jag ska prata om kryptering nästa. Det finns anmälningsstandarder för dataöverträdelser. Inget mer av detta väntar i månader, väntar på kvartal för att låta alla få veta. Jag tror att det fanns en stor förleden och vi fick reda på, "Åh, det hände för ett år sedan." Inget av det med GDPR - du har 72 timmar. Det är en politik för namn och skam. Förhoppningsvis kommer ingen att komma till det, helt klart kommer vissa människor att göra det. Överträdelser kommer att fortsätta, även efter GDPR, naturligtvis. Det finns processer för att övervaka datorns placering och kvalitet. Låter bekant? Det är verkligen hjärtat i datastyrning. Förhoppningsvis har du några av dem som går.
EU-medborgare har rätt att glömmas, som Eric nämnde. Det finns vissa rimlighetskrav för detta, Eric. Du behöver inte utplåna allt nödvändigtvis, om du kanske måste kontakta den kunden, den anställda, får du behålla vissa aspekter av deras personuppgifter. Men ändå har dessa medborgare rätt att glömmas, men det kan inte göras någon oproportionerlig ansträngning - det är språket - på dig eller skada på företaget, det är på dig att utplåna dessa data. Jag vill inte bagatellisera det, men du måste också släppa kopior av personuppgifter som finns och du kan bara få dessa uppgifter under samtycke. Detta samtycke måste ges av personer som är i en lägsta ålder för att bevilja ett sådant tillstånd. Det är en munfull där, men det ger medborgarna mycket rättigheter över sina uppgifter. Det är portabiliteten just där, om det någonsin kommer upp. Rätten att glömmas, tydligt, men också - och något som inte är på min bild som är ganska viktigt - är den registrerade ska ha rätten att inte vara föremål för ett beslut baserat enbart på automatiserad behandling. Vad har vi gått hårt mot? Automatiserad bearbetning, kring låneavtagande, vilka erbjudanden vi kommer att ge, allt detta måste bearbetas i termer av hur detta kommer att spela ut och hur långt detta kommer att gå. Vad detta i huvudsak säger är öppenhet kring varför jag blev avvisad, varför jag behandlas på ett visst sätt av detta företag. Detta är just nu, som beviljas en EU-medborgare.
Uppenbarligen finns det några förgreningar för hur vi gör affärer och förhoppningsvis ser du att GDPR inte är ett IT-problem, inte ett IT-problem. Alla dessa affärsprocesser är involverade. Det kommer att involvera människor från hela företaget. Att utse en dataskyddsansvarig rekommenderas för de företag med mer än 250 anställda och du har "kritisk matematik med EU-PII-uppgifter." Du kan själv bestämma om du har den kritiska matematiken, ibland är det uppenbart, ibland är det inte. Men, det finns en ny roll - behöver inte vara en heltidsroll, personen kan ha andra ansvarsområden, men jag vet inte - i vissa medelstora och större företag tror jag ganska mycket att hålla sig till GDPR kommer att vara nära en heltidsroll. Jag skulle säga börja på det sättet och se om du klarar det. Speciellt under det kommande året, när du samlar din handling kring GDPR, när du väl är bosatt i, kanske du kan bromsa arbetet med detta, men det kommer att ta vissa företag ganska lång tid. Låt individer se sina egna data och dataportabilitet, som jag nämnde tidigare.
Detta är förresten inte helt nytt, men rätten att glömmas har faktiskt funnits där, tro eller inte. De nuvarande EU-reglerna föreskriver redan en rätt att ta bort personuppgifter eller göras otillgängliga. Men nu är det en del av GDPR, det kommer att verkställas mycket bredare. Datakryptering - kryptera dina data i vila. Använd standardkrypteringsmetoder, använd inte din egen hemodlade eller icke-standardkryptering. AES är en som vi rekommenderar en hel del. Använd kryptografiskt säkra krypteringsnycklar. Ändra dessa tangenter med jämna mellanrum. Förhindra också att nycklarna går förlorade. Det här är bara bra krypteringsmetoder, men nu kommer de i framkant med GDPR. Där ligger problemet - jag har bara träffat toppen av isberget. Det finns naturligtvis fler bestämmelser att undersöka, men det är de viktigaste.
Nu, lösning. Datastyring, ramverket för din efterlevnad, åtminstone det är det perspektiv som jag lägger fram här. Lyckligtvis finns det en aktiv välklackad disciplin som kan och gör, när den är mogen, tillgodoser de flesta av kraven, och det är datastyring - det säger jag uppenbarligen. Styrningsprogram borde ha en dataordlista, och här använder jag dataordlista i generisk mening för att betyda dokumentation över hela linjen för dina processer. Detta är grundläggande, för att tillgodose lagerbehovet för GDPR, vilket, som vi sett, är ganska enormt. Programmet, styrningsprogrammet, bör underlätta datasäkerhetsprotokollen - och jag understryker det för det är inte något som många datastyrningsprogram gör just nu, men jag tror att det är en logisk plats att göra det eftersom de är sitter på programmet som avgör vem som är företagare? Vem behöver se det? Och nästa steg är att bevilja dessa behörigheter. Det måste centraliseras, det måste formaliseras. Det måste finnas interna policyer som används. Stewardship måste tilldelas alla element för att ge input till alla ovanstående. Datastyring kan också vara underlättaren för affärsprocessen, vilket kommer att krävas.
Innan jag lämnar den här bilden kommer företagen att anta sund affärsmetoder som en biprodukt för att undvika de stora böterna. Jag vill säga att det är mer än en biprodukt, men det är faktiskt bara bra, sunda företag som kan leda dig till nya platser ur ett affärsperspektiv. Visst kommer du att få mycket effektivitet för att göra alla initiativ över hela linjen, om du har god datastyring är det vad jag har sett under åren. Genom att lägga till några av dessa saker som jag nämner, till datahantering, kommer de bara att bli bättre. I din affärsprocessteknik rekommenderar vi att du ställer dessa frågor över hela linjen, träffar alla affärsområden. Vilken typ av data samlar vi in på våra EU-kunder? Jag kommer inte läsa dem alla. Några av de viktigaste här. Vem har behovet av att se dessa uppgifter och följs de? Vem är datatillsynsmannen för den informationen? Vem är min go-to person i branschen? Det här är en stor: Delar vi denna information med tredje parter? Bara för att du överlämnar det till en tredje part, ursäkta inte ditt ansvar för dessa data - det är fortfarande dina data, det är fortfarande data du samlade in. Det finns många kontrakt från tredje part som nu granskas noggrant till följd av GDPR. Har dessa system deterministiska fel? Betydelse när de misslyckas, misslyckas de på en väg som vi har förutbestämt, eller misslyckades de bara, kraschade, brände och vi börjar från början gräva in på den? Det kommer uppenbarligen att bli mycket bättre. Det är en bra praxis redan, men uppenbarligen mycket bättre för omvänd konstruktion av vissa saker, om du har stora deterministiska fel i ditt system.
Datalagring, vi har talat om datalagring för alltid. Många företag har policy, de följer dock inte alla. Självklart, känt inom hälso- och sjukvård och ekonomi, vill vi behålla data, vi måste hålla data under ett visst antal år. Några av analytikerna i dessa företag som lagrar data under de sju åren eller inte, säger: ”Åh, efter den perioden vill jag fortfarande ha den informationen.” Några av advokaterna i dessa företag säger: ”Men vi måste bli av med det för ansvarsändamål, "och så vidare. Det kan inte bara helt enkelt sitta där, som en fråga i loggerheads längre med GDPR. Vi måste ha kvarhållningsperioden, ha den följt konsekvent över hela linjen inom organisationen.
Och slutligen, hur mobiliserar du för ett dataintrång? Dessa värsta fall som kan hända dig. Naturligtvis försöker vi förhindra dem, men vad händer om det händer? Hur kriger du rummet och ser till att du nu följer bestämmelserna i GDPR i ditt svar? Jag är en dataarkitekt, jag tänker på dataarkitektur. Om du är ett USA-baserat företag med EU-verksamhet, vilket betyder EU-medborgares uppgifter - du samlar in dem, måste du överväga om du ska tillämpa dataskyddsstandarder på alla uppgifter eller bara EU-uppgifter. Ja, jag har kunder som tar det beslutet nu. Som sund affärspraxis kanske de vill ta över det till USA, de kanske känner att de har tid, men det ger upp kul nummer två. Du kan behöva avbryta EU-uppgifter från amerikanska system om du inte kan garantera att amerikanska system kommer att hantera data på lämpligt sätt. Separerar det data för analysen? Är analytiken till och med giltig om du försöker göra dem över hela landet? Ibland ja, ibland nej, eller hur? Du kanske upptäcker att dina analyser kommer att dämpas som ett resultat.
Som jag nämnde tidigare spelar artificiell intelligens här eftersom vi självklart kan använda AI för att hitta alla data, hjälpa oss att hitta alla uppgifter, men om vi använder AI i våra kundgränssnitt måste vi ha öppenhet nu med våra kunder gränssnitt och det har aldrig varit AI: s starka kostym. För att försöka säga till en kund, "Du blev avvisad för att bla, bla, bla, " när det verkligen var AI. Det måste nu göras. Vi måste ta reda på hur AI fungerar, vilka är faktorerna? Kan inte bara sitta där och vara en svart låda för dig längre. Vad gör vi nu? Upprätta ditt GDPR-kort. Jag föreslår att du har din högsta sekretesschef där eller om du har en dataskyddsombud, uppenbarligen den personen. Cheferna för datastyring, operativ risk och / eller efterlevnad, i tillämpliga fall, chefen för IT, CIO om det är personen. Om du har en förändrad ledningsperson, skulle det vara en bra person där inne. Bara chefer för några av de viktigaste avdelningarna i ditt företag, och även chefen för HR, eftersom privatlivsträning nu kommer att bli enorm. Alla kommer att få sekretessutbildning eller borde få sekretessutbildning när de går ombord i ett företag, även konsulter.
Om du inte gör de här sakerna som du ser här, måste du gå snabbare än du vill göra tidsfristen. Du måste också börja hoppas att du inte är en av de första som får granskas, för det är uppriktigt mycket arbete här om du börjar från grunden och du har mycket EU-medborgares uppgifter. Anställ din DPO, lagra dina data och dina processer. Bygg den planen för datastyring, ta den från den är, till den den behöver vara. Som fallet kanske du vill starta det. Skapa din integritetspolicy och dina policymeddelanden. Integritetspolicyn är intern. Policymeddelanden går externa. Vi ser en kultur som börjar skapas nu kring politiska meddelanden. Mycket jämförelse görs och mycket noggrann formulering har gjorts kring dessa policymeddelanden. Charta en GDPR-efterlevnadskontroll för alla system, inklusive nya system. Du kanske måste ordna dem och göra dem i någon sorts ordningsföljd, men detta är ett annat sätt att ta itu med problemet. Titta på systemen och vad de ska göra och hur de hanterar denna information.
Vad signalerar GDPR? Det är vad vi är här för att prata lite mer om. Jag ser fram emot vad Kim har att säga om detta. GDPR är en förskjutning i kontrollen av integritetsskydd mot regleringen. Det är en trend mot öppenhet, det säger det rätt i bestämmelserna. Vi skapar denna kultur med integritetsmeddelanden, som jag talade om, det är en sak nu. Vi kommer att se konferenser om integritetsmeddelanden och så vidare. GDPR-förskjutningen går mot de grundläggande rättigheterna för människor. Öppna frågor kommer att bearbetas. Det finns helt klart öppna frågor, jag har lämnat några på bordet här för oss. Ingen har svaret. De kommer att utarbetas. En trend mot större förståelse för individer om deras data och hur de används. Jag tror att detta har ökat medvetenheten bland EU: s befolkning om vikten av deras uppgifter och att se att de är en av deras personliga tillgångar, att de behöver hantera mer. Det är några av de tidiga signalerna som jag har sett, och Eric, jag kommer att kasta tillbaka det till dig nu.
Eric Kavanagh: Okej, låt mig överlämna nycklarna till Kim, som kan dela några av hennes perspektiv, men jag tror att det var en bra överblick, William, och du slog på de viktigaste punkterna - nämligen att detta kommer ner på gädda för säker och vi måste alla vara mycket försiktiga, helt uppriktigt. Med det låt mig överlämna tangenterna till Kim så kan du dela din skärm och ta den därifrån.
Kim Brushaber: Hej där, kan du höra mig?
Eric Kavanagh: Jag kan höra dig.
Kim Brushaber: Awesome. William täckte några av samma saker som jag kommer att täcka, men jag tror att de är värda att täcka igen för de är verkligen viktiga. Jag tror att när nya förordningar antas är det riktigt bra att få många olika människors perspektiv och tolkning av det så att något gnister ditt sinne och gör att du kan bli ännu mer efterlevnad. Jag uppmuntras av alla människor som är på detta samtal som vill veta mer eftersom jag tror att den 25 maj kommer att det kan vara mycket panik för företag som jagas efter, inte följer.
Jag heter Kim Brushaber, jag är senior produktchef på IDERA. Jag har flera produkter under mig som hjälper till med GDPR-överensstämmelse såväl som andra bestämmelser. Jag kommer att hoppa in lite av informationen. Jag ska börja med några fakta och några siffror och sedan gå in på lite om GDPR och sedan specifikt hur våra verktyg kan hjälpa dig. Ett faktum är att över 5 miljoner dataposter går förlorade eller stulas varje dag. Vi hör inte detta rapporterat i nyheterna, vi hör inte detta kommer in från andra platser, men det finns över 5 miljoner dataposter som stulas hela tiden, precis under oss. Medianantalet dagar som angripare håller sig vilande i ditt nätverk är 200 dagar. Många system infiltreras redan av människor som - med skadliga syften - som bara väntar på möjligheten att dra nytta av din information, mestadels inom säkerhet och certifikat, men de väntar bara på att deras ögonblick kommer att stötta. Det är därför det har blivit allt viktigare att hantera din datasäkerhet. Den genomsnittliga kostnaden för överträdelser av enstaka data 2020 beräknas överstiga 150 miljoner dollar, eftersom mer affärsinfrastruktur kopplas till online-resurser och när fler saker går upp i molnet. Det är ett bra budgetnummer om du verkligen är orolig för datasäkerhet, att ge till ditt verkställande team, att säga dem att detta är en allvarlig fråga och kan kosta oss mycket pengar framöver.
Jag kommer att gå kort över Equifax-dataintrånget för jag tror att det var det största dataintrånget 2017, för att måla ut bilden av hur det är att gå igenom det. Överträdelsen berörde 145, 5 miljoner kunder. Anställda erkände säkerhetsproblemet med sin webbapplikation två månader innan överträdelsen inträffade. Anställda sa: "Det här är en fråga." Och till och med lite innan det var då plåstret faktiskt kom ut. Det tog en hel dag när överträdelsen inträffade för att svara på det och ta webbapplikationen offline. Eftersom Equifax inte hade ett definierat datasäkerhetsprotokoll tog det dem en betydande tid att till och med ta reda på vad som pågick och sedan kunna ta systemet offline. Sex veckor efter överträdelsen var allmänheten larmad. Med GDPR - som vi nämnde ovan och jag ska säga det igen - måste du rapportera inom 72 timmar, och Equifax skulle ha haft sina händer bundna och inte kunnat uppfylla den efterlevnaden eftersom de väntade i sex veckor för att rapportera det. Kommunikationen för att svara på överträdelsen inkluderade en webbplats som inte ens ägdes av Equifax. Equifax själva retweetade den här tweeten som inte ens var inom deras domän - de hade vänt några av orden runt. Lyckligtvis var det inte en skadlig webbplats som utnyttjade det, men de var uppenbarligen inte beredda. De hade ingen plan på plats, och detta blev mycket medveten på den offentliga arenan. Equifax är inte ensam - det finns över 25 mycket höga cyberprofilattacker under 2017 hittills, och vi kunde fortfarande hitta mer före årets slut. Företag måste verkligen börja ta detta på allvar eftersom människor är ute och om du ger dem en anledning att vilja komma till dig, skulle du bättre vara beredd att kunna hantera det.
Några andra fakta och siffror om uppgifter om hur individer ser på datasäkerhet. Fram till 2020 kommer det att finnas 30 miljarder enheter anslutna till internet via våra hem, via våra bärbara apparater, via våra telefoner, våra surfplattor och vem vet vad som fortfarande kan komma under de kommande åren. Det finns massor av enheter som lämnas sårbara för dessa attacker. Fyrtio-nio procent av amerikanerna anser att deras personliga information är mindre säker än för fem år sedan. Sjuttiotre procent av konsumenterna i Amerika vill att företag ska vara öppna om sina personuppgifter. Sjuttioåtta procent av människorna hävdar att de är medvetna om riskerna med att klicka på okända länkar och e-postmeddelanden, men de klickar på dessa länkar ändå - det är över tre fjärdedelar av vår befolkning, och de klickar fortfarande på länkarna trots att de vet att det kan vara ett problem. Åttiosex procent av internetanvändarna försöker aktivt minimera, anonymisera och dölja synligheten för deras digitala fotavtryck. Min styvfar gillar att gå ut och skapa falska namn när han fyller i formulär eftersom han tror att det gör honom anonym, men lite vet han att hans IP-adress också spåras. Det finns en hel del individuell oro och det är det som väcker mycket av GDPR-förordningarna och förmodligen ytterligare förordningar som kommer att följa.
När det gäller fakta om datasäkerhetsbranschen kom 90 procent av uppgifterna om överträdelser under 2016 från myndigheter, detaljhandel och teknik. Fyrtiotre procent av cyberattackerna attackerade småföretag. Om du tänker, "Åh, jag är inte en stor kille, de kommer inte att följa mig", det finns fortfarande nästan hälften av dem som följer småföretag. Sjuttiofem procent av vårdbranschen smittades av skadlig kod under det senaste året. Sjuttio procent av de amerikanska olje- och gasföretagen hackades det senaste året. Detta är en betydande påverkan på olika branscher som är igång och detta antal kommer bara att öka härifrån.
När du tittar på det från det verkställande perspektivet medger 90 procent av CIO: er att de slösat bort miljoner dollar på otillräcklig cybersäkerhet. Nittio procent säger också att de har attackerats eller att de förväntar sig att bli attackerade av killar som gömmer sig i deras kryptering. Åttiosju procent tror att deras säkerhetskontroll misslyckas med att skydda sin verksamhet. Åttiofem procent av CIO: er förväntar sig att kriminellt missbruk av deras nycklar och certifikat förvärras. Detta är ett stort antal företag som tittar på denna datasäkerhetsfråga och verkligheten är att många av dem inte har så bra lösningar för att ens kunna hantera det när det händer, även om de tror att det kommer att hända.
När vi tittar på beredskapen, medgav 70 procent av tusenåren 2014 att de tog med sig externa ansökningar till sitt företag i strid med IT-policys. Sjuttio procent erkände det - det finns förmodligen ännu ett större antal än det, som faktiskt gjorde det. Femtiotvå procent av organisationerna som drabbades av framgångsrika cyberattacker 2016 gjorde inga förändringar i säkerheten under 2017. Trots att de blev attackerade en gång, gick de fortfarande inte längs väggarna - de är lika sårbara som de var före attacken. Detta väcker verkligen frågan, vad behöver företag för att börja göra för att förbereda sig för dessa saker? Trettioåtta procent av de globala organisationerna hävdar att de är beredda att hantera ett sofistikerat cyberattack. Det är bra - nästan hälften är där, och jag är generös med det, vi är egentligen bara på en tredjedel, men det finns fortfarande åtminstone hälften som säger: ”Jag är inte redo. Om jag blir attackerad är jag inte redo och hackarna vet det. ”Trettioåtta procent av organisationerna har en responsplan för cyberhändelser. De flesta företag är i samma hink som Equifax, där de inte vet vad de ska göra. Om de får det här kommer de att behöva reagera och komma med dessa saker i farten, och förordningar som GDPR säger: ”Du måste ha dessa på plats. Du måste ha dem publicerade. Du måste bevisa det för säkerhetsrevisorer. ”Förhoppningsvis kommer vi med sådana effekter, med förordningar som det, att kunna gå före denna kurva och istället för att vara reaktionära kan vi vara proaktiva i våra sysselsättningar.
Låt oss prata lite om GDPR. Något av det här William har redan täckt, men jag kommer att gå vidare och täcka det igen, bara från mitt tag, min röst, mitt perspektiv. Många företag som jag pratar med, de är som "Jag är i USA, varför ska jag till och med bry mig om den här EU-förordningen?" Det faktum att fler människor inte surrar och att fler inte pratar om det, de tror att det bara är EU-medlemmar som påverkas, men jag ber dig, om du tittar på den här listan, samlar du in någon av dessa uppgifter från EU-medlemmar? Om du alls samlar in någon av dessa uppgifter är du underlagt gränserna för GDPR, såväl som påföljderna för att inte följa kraven. Jag ska ge dig en sekund till att bara absorbera detta och förstå detta. Som William nämnde tidigare är det dessa påföljder och sanktioner som avses i artikel 83 i GDPR. I början kanske du får en smäll på handen, lite varning som säger: ”Hej, samla din handling. Sätt på plats. ”Men om du har ett riktigt stort överträdelse - och beroende på hur stort det är - kommer de att komma tillbaka till dig för återställning, och det är ett betydande antal. Inte 10 miljoner utan 20 miljoner euro eller 4 procent av din omsättning / intäkt från föregående år. Det är mycket pengar. Det här är mycket budget att gå till dina verkställande lag och säga, "Det här är något vi behöver för att börja ta på allvar och vi måste vidta åtgärder."
Låt mig gå igenom lite av GDPR-principerna som beskrivs i artikel 5. En av de saker som de säger är att personuppgifter ska behandlas lagligt, rättvist och på ett öppet sätt. Det betyder att allmänheten vill veta vad du gör med deras data. Var transparent för det och det måste publiceras. De flesta läser inte villkor, men det är ny information som du behöver för att kunna kommunicera, så att du kan säga dem: "Dina uppgifter hanteras på rätt sätt." Personuppgifterna ska samlas in för en specificerad, uttryckliga och legitima syften. Det betyder att vi förhoppningsvis kan bli av med en del av detta skräppost, där företag säger att de samlar in information för en frågesport som berättar hur intressant du kan vara, och i verkligheten tar de dina data och säljer dem tillbaka till någon annan, för att kunna använda för vad deras syften är. Företag måste nu vara mycket mer ansvarsfulla och säga exakt vad de använder din information till. De säger också att personuppgifter måste vara adekvata, relevanta och begränsade till vad som är nödvändigt. Många företag gillar att ta all sin information och lägga den i en stor datapool och sedan räknar de ut vad de vill göra med informationen senare och de samlar in mer än vad som kan behövas. Detta säger att du inte kan samla in det och använda det någon annanstans. Du kan inte bara samla in allt och hoppas att du senare kan hitta det användbart. Du måste vara mycket tydlig i varför du samlar in informationen och det måste vara relevant för de uppgifter du samlar in.
Personuppgifter måste också vara korrekta och hållas uppdaterade. Du måste ge användarna sätt att uppdatera sina data när du har samlat in dem på dem; de måste kunna gå tillbaka och säga, "Du vet, jag hade den här åsikten om någon undersökning som du frågade mig om personlig identifierbar information och jag vill gå tillbaka och jag vill ändra det och uppdatera det nu." Och du har att ge dem ett sätt att kunna göra det. Personuppgifter måste förvaras i form som tillåter identifiering av registrerade inte längre än nödvändigt. Tillbaka till William's poäng, att du inte kan samla in denna information för alltid - du måste komma med vad du tycker är giltigt och nödvändigt och sedan måste du torka informationen ren. Det måste också behandlas på ett sätt som säkerställer lämplig säkerhet, inklusive skydd mot obehörig eller olaglig behandling, oavsiktlig förlust, förstörelse eller skada.
Som jag sa tidigare är det dags att bli riktigt seriös om detta, stoppa dessa dataöverträdelser eftersom du inte bara kan ha skada som kommer till ditt företag i form av dataintrång och inkomstbortfall och kostnader för att minska dina processer, men du kanske också har en hög med böter som släpps ovanpå dig från GDPR. Det är dags att verkligen börja bli väldigt allvarliga med det och jag tror att när GDPR träder i kraft kommer företag att möta den hårda verkligheten, och lyckligtvis kan er av er som talar idag börja tänka på detta och veta hur du kommer att göra dessa saker till handling.
GDPR pratar också mycket om individernas rättigheter. det ser verkligen ut för de enskilda användarna. Det första är rätten att få tillgång till dina personuppgifter. Användare måste veta vilken information du har samlat in om dem, såväl som den personligt identifierade informationen, och du måste ge dem ett sätt att få tillgång till den. Det finns också en rätt till rättelse, vilket är ett fint sätt att säga: ”Jag måste kunna korrigera den information du har om mig.” Rätten att radera - vilket återigen många människor formulerar rätten att bli glömd - om en person säger: ”Du vet vad, jag vill inte längre att du ska veta att jag är en super kul kille serier, du måste bli av med det. Jag har några vänner som retar mig för det och torkar mig helt från din lista. ”Du måste kunna göra det. Det finns också rätten att begränsa behandlingen, och det innebär att användare kan begränsa hur deras information behandlas. De kan säga, "Jag har inget emot att du tar min information eftersom jag köper en ny bil, men använder inte den informationen för att skicka mig e-post och skicka mig till nya erbjudanden varje gång nya bilar släpps." Det finns också rätten till dataportabilitet, vilket innebär att användare ska kunna få en kopia av sina data och kunna ta den någon annanstans. Många organisationer samlar in information och den informationen har en klibbighetsfaktor, och nu kan individer säga: "Du vet vad, jag vill att du ska ta all min information och nu vill jag att du ska ge den till din konkurrent, så jag kan flytta det över."
Det finns många saker att tänka på från en organisation som är framtidsutsedd för hur du kommer att kunna göra det och vilken information du vill kunna samla in och skicka över. Det finns också rätt att invända, och användare kan också göra invändningar mot behandlingen av deras data. Rätten att inte bli föremål för ett beslut baserat endast på automatisk bearbetning eller profilering. Detta har en betydande inverkan på B2B-marknadsföring - om du sitter där och försöker A / B-testa och försöka identifiera är Colorado kommer att påverkas mer av ett meddelande än Kalifornien, du har precis gjort profilering genom att titta på ett tillstånd mot ett annat, och du måste titta på hur en individ ska kunna välja bort det.
Med tanke på att vi har några läskiga saker som kommer så långt som dataöverträdelse och hur människor tittar på deras data och vi har den här enorma förordningen som blir dumpad ovanpå våra axlar, är jag nu här för att ge dig lösningen på hur IDERA kan hjälpa. Artikel 15 talar om hur man kontrollerar exponeringen för personuppgifter. Du måste veta vem som har åtkomst till dina uppgifter. Hur de använder det. Hur mycket data som har bearbetats och SQL-produkter Compliance Manager, som jag är produktansvarig för, låter dig se vem som har åtkomst till dina uppgifter och hur. SQL Compliance Manger är för SQL Server-lösningar. Om du har en SQL Server-databas kan du ansluta den här produkten för att kunna granska och titta på den här informationen så att du kan uppfylla GDPR och vet exakt hur den används. Du kan också se dataöverträdelser innan de händer, och jag ska prata om det i en annan bild. Det finns också en artikel som säger: ”Jag behöver register över behandlingsaktiviteter. Jag måste logga in och jag behöver övervaka operationer och jag måste veta vem som behandlar personuppgifter och vem som har tillgång till dessa system. ”SQL Compliance Manager upprätthåller revision av servrar och databaser, inklusive säkerhet, DDL, DML samt definierar känslig information . Med SQL Compliance Manager kan du granska säkerhetsåtkomst och logga in ett försök, så att du kan se vem som har åtkomst till information, liksom vem som loggar in, om det är en privilegierad användare, om det är en känd användare eller om det kan vara en skadlig användare.
Artikel 33 talar om anmälan om överträdelse av personuppgifter till en tillsynsmyndighet. Du måste kunna upptäcka dessa överträdelser; du måste ha register för att kunna bedöma effekterna. du måste veta hur snabbt du kommer att åtgärda det. För att göra det låter SQL Compliance Manger dig ställa in varningar på dina databaser så att de kan se vem som har tillgång till dina känsliga data, när de har åtkomst till dem, vad de har åtkomst till. Det låter dig också utesluta dina vanliga privilegierade användare från din granskning. Om du har systemadministratör eller nätverksadministratör som du vet kommer att få åtkomst till den och du inte vill täppa till dina rapporter kan du utesluta dem och säga: "Ge mig allt som händer utanför den informationen." Det tillåter du snabbt kan identifiera om någon skadligt får åtkomst till dina uppgifter och du kan ha varningar som finns på plats, som låter dig veta det ögonblick som det börjar hända och sedan ögonblicket då informationen nås, för att kunna bryta ner den, så att du behöver inte vänta en hel dag för att ta reda på vad som händer, som Equifax gjorde.
Det finns också en artikel som talar om dataskydd och konsekvensbedömning. Detta utvärderar dina risker och förstår vad de är, samt visar och dokumenterar din efterlevnad av GDPR. Med SQL Compliance Manager kan du rapportera om element som övervakas. Bara för att gå i en kort skala, genom att granska dina data med SQL Compliance Manager, låter SQL Compliance Manager dig upptäcka misslyckade inloggningar - vilket är ett potentiellt tecken på brott - övervaka administrativa aktiviteter och säkerhetsförändringar, varna dig för databasändringar, granska kolumner som du definierar som känslig information, identifierar privilegierade användare och spårar deras aktivitet separat från de andra användarna i ditt system, rapporterar att information granskas i enlighet med flera reglerande riktlinjer. Inte bara täcker vi GDPR, utan vi täcker HIPAA, PCI, FERPA, SOX, alla lagstiftningsriktlinjer när de kommer att granska din information och förstå vad som nås, vi har dessa lagstiftningsriktlinjer på plats.
Vi har ytterligare produkter på IDERA för beredning av GDPR. Utöver bara den granskning som SQL Compliance Manager gör, har vi ER / Studio Enterprise Team Edition, som kan hjälpa dig att dokumentera dina dataprocesser och integrera datastandarder i din datamodell, du kan skapa datalister som William talade om i en tidigare bild . Som jag har hävdat här med denna presentation, kan SQL Compliance Manager hjälpa dig att granska din information för att se till att fel personer inte får åtkomst till dina data, samt bevisa detta för revisorerna. SQL Safe Backup kan hjälpa dig att kryptera dina data och dina säkerhetskopior. Kryptering är en väsentlig del av GDPR, som jag inte täckte i detalj eftersom jag ville fokusera mycket på Compliance Manager: s tillgångar, men SQL Safe Backup gör mycket av krypteringen för dig så att dina data kan förbli säkra. SQL Inventory Manager kan se till att servrarna är korrigerade och uppdaterade, så att du inte hamnar i ett fall som Equifax, där de hade en föråldrad patch som gav dem ett stort säkerhetshål som folk kunde använda skadligt. SQL Secure kan granska sekretess- och krypteringsstandarder.
För mer information om IDERA-samhällswebbplatsen, under vår blogg, har jag lagt ut en Getting Prepared for GDPR samt tittar mot 2018 och förstår vad GDPRs inverkan kommer att bli och det finns också, du kan säkert ladda ner en provkopia av SQL Compliance Manager på IDERA såväl som alla andra produkter som jag just nämnde tidigare i bilden.
Just nu kommer jag att gå vidare och överlämna presentationen till Eric så att vi kan ställa några frågor.
Eric Kavanagh: OK, bra. Du berörde ett antal riktigt intressanta saker där, Kim, varav en - jag tycker att det här är ganska enkelt men det är ganska smart - du pratade om att upptäcka misslyckade inloggningar. Det verkar för mig att det är ett ganska bra tecken på att någon inte har något gott rätt?
Kim Brushaber: Absolut. Om du ser någon som har försökt få åtkomst till och knäcka ditt lösenord, är det ett mycket snabbt sätt att kunna säga att någon inte gör vad de borde vara. Kanske ett par gånger kan du skriva ditt lösenord fel, men om du ser 30 av dem komma igenom är det ett dåligt tecken.
Eric Kavanagh: Ja. De nycklar här är att ställa in dina varningar i rätt sammanhang. Vad mer kan du berätta för oss om hur vi hanterar processen för att ställa in varningar och inaktivera sådana som inte gör vad de borde göra och hur mycket av det som kan automatiseras?
Kim Brushaber: Compliance Manager har många konfigurerbara varningar, såväl som rapporter som du kan granska. Vi går igenom dina SQL-spår och vi har automatiskt spårning och vi har mycket av det som redan är förinställt och fördefinierat, men det finns verkligen en betydande mängd anpassning du kan göra också.
Eric Kavanagh: William, jag tar dig in i det här - det verkar för mig att det är ett av områdena där vi kommer att se maskinlärande för att komma till spel de kommande två till tio åren eller så, tittar på alla olika möjligheter. Om man tittar på alla olika sätt som ett system kan optimera dess effektivitet är det effektivitet kring problem som överträdelser och så vidare. Är det ditt tag också?
William McKnight: Ja, absolut. Jag tror att vi bygger system nu som reparerar sig själva. Övervakningen 24 och 7 börjar glida bort och bli en saga historia, även om vi fortfarande behöver den typen av drifttid. Jag tror att systemen till stor del blir inbyggda och räknar ut vad det är som är fel. Behöver vi avsätta mer utrymme här eller vad har du? Ja, jag tror att det definitivt är en del av vår framtid. Allt där ute som kan kartläggas till några åtgärder, för att ta svar på något, är definitivt sårbart för artificiell intelligens.
Eric Kavanagh: Det är en bra poäng. Jag ska kasta ytterligare en fråga till dig, William, för jag vet att du gör en hel del undersökningar i detta utrymme. En av de saker som jag har väntat på nu ett tag och jag tror inte att vi är där ännu - jag tror att vi kommer nära, precis från det jag har läst och tänkt på det - är en dag då det kommer att finnas teknik för att ta upp reglerande frågor, den faktiska formuleringen av dessa saker och kartlägga detta till funktionalitet och programvara. Som jag säger, vi är fortfarande ett sätt därifrån - jag kan inte tänka mig att det inte är någon som arbetar med det. Har du stött på något sådant, eller är vi fortfarande vid en punkt där människor måste titta på reglerna, verkligen försöka förstå dem, kodifiera dem i maskinkod, i huvudsak, och sedan vridmoment som övergår till deras olika applikationer?
William McKnight: Tja, jag får verkligen konceptet som du delar här. Jag känner inte till något som händer mot en utrullning i en miljö som är relaterad till det. Jag kommer dock att säga i allmänhet, uppenbarligen börjar vi berätta för maskinerna inte vad de ska göra men vad målet är vad vi vill göra och maskiner blir mycket smartare med att ta reda på detaljerna. Jag tror att när vi har fått lite mer konstgjord intelligens i våra organisationer att det är mycket möjligt att nya förordningar kan utvecklas i samarbete med AI som används i organisationer så att de kan rulla ut på det sätt som du beskrev i framtiden. För närvarande agerar vi inte med det.
Eric Kavanagh: Här är en fråga som jag kommer att kasta till dig, Kim, för det här är också intressant. Du pratar om den genomsnittliga latensen eller den tid som någon som loggar in på ditt system gömmer sig och bara väntar - antal dagar en attacker stannade vilande i ett nätverk - upptäckt är 200. Jag är nyfiken på att veta, vad är dina tankar kring hur du kan förbättra det, först av allt? Men finns det också ett sätt att använda den här typen av regel för att utforska ditt eget system? Vill du utforska dina egna data, göra ett bättre jobb med att hålla sådana människor ute?
Kim Brushaber: Ja, jag tror att uppenbarligen tidig upptäckt är nyckeln. Du måste ta reda på att dessa skadliga webbplatser får åtkomst till din information och kan låsa in den. Jag tror att i de andra bilderna där vi visar att de flesta organisationer inte har den politiken på plats. Det är därför de sitter där. Jag tror att om du faktiskt hade en policy att gå igenom och låsa din tillgång och se till att rätt personer har tillgång. Se till att du roterar dina nycklar regelbundet och uppdaterar dem. Se till att dina lösenord uppdateras regelbundet och gör sådana saker, som verkar ganska grundläggande. Just nu gör de flesta organisationer inte ens det, och att börja sätta de bitarna på plats hjälper dig att komma längre än detta.
Det betyder naturligtvis att hackarna blir mer listiga om det, men för tillfället är det enkelt, det är som, "Jag kommer att titta på husen på gatan som jag känner att jag vill bryta mig in i, kommer de att ha larm system? Har de lite larmskyltar och att man har hundar? Jag ska gå till en som inte har ett alarmtecken, inte har en hund och det är det hus jag ska bryta in i. ”Tja, de kommer att ta reda på de företag som inte t har dessa korrigeringar på plats och de har inte säkerheten på plats och de uppdaterar inte sina lösenord och de kommer att gå och hänga där och använda ditt kreditkort på en bensinstation ett par gånger för att se till du har inte stängt av det och sedan när de kan påverka en stor förändring, är normalt ett slags politiskt uttalande eller på annat sätt när du ser dem poppa upp huvudet. Att få dessa policyer på plats tror jag att du vid denna tidpunkt kan ta några ganska minimala steg för att kunna komma före detta spel.
Eric Kavanagh: Det är förmodligen det bästa rådet och jag hör alltid detta när vi pratar med människor som befinner sig i säkerhetsutrymmet eller regelverket, att grunderna kommer att täcka 80 procent av ditt problem, och det är mycket mark att täcka - det är en bra poäng. En av de deltagande frågade om någon skulle kunna utöka de affärsmöjligheter som kan brytas ut från GDPR-ansträngningar för efterlevnad, jag påminns om Sarbanes-Oxley, och jag antar att William, jag ska kasta det till dig. Som konsult letar du alltid efter sätt att hjälpa dina kunder utanför ramen för ett visst projekt - åtminstone om du är en bra konsult gör du det. När du pratar med människor om GDPR, vad är de extra fördelarna som du kan visa att de kommer att få om de deltar i något projekt som fokuserar på det?
William McKnight: Först och främst är det viktigt att notera att tanken bakom GDPR inte är fullständiga rättigheter för medborgaren alls. Det finns den andra sidan av GDPR som är, detta kommer att förbättra förtroendet för medborgarna i våra företag och det kommer att uppmuntra dem att göra mer affärer i de företag som uppfyller kraven. Det finns de därtill hörande fördelarna med att faktiskt åstadkomma din GDPR, nu internt, dataprogrammen för datainsamling som vi genomför tjänar till att underlätta alla slags initiativ, verkligen som sparkas in i organisationer och idag, överlägset, initiativ som sparkas utanför organisationerna. Jag har nyligen gjort en del planering för 2018 med många av dem, de har att göra med data, mycket, de är som 65 procent till 90 procent allt om uppgifterna - när du pratar om telematik eller kund 360-program eller en instrumentpanel för att övervaka säljare, det handlar till stor del om uppgifterna. Allt som hanterar dessa data bättre, som sätter det i en bättre arkitektur som namnger människor som är de go-to människor som kan svara på alla frågor om dessa data, som verkligen bryr sig om som ett datahantering program skulle. Allt som ger oss en dataordlista - som Kim talade om med sina verktyg - allt som gör det, det är till stor hjälp att göra dessa initiativ mycket effektivare, riskera dem, krympa tiden, krympa budgeten för dem och få oss till en smidig tid att marknadsföra mycket snabbare och bra saker för ett företag som gör initiativ, vilket är alla företag.
Eric Kavanagh: Jag älskar det begreppet förtroende. Jag tror att förtroende är en mycket undervärderad verklighet i vår värld och ärligt talat de flesta affärer driver på förtroende - det gör det verkligen när du kommer till det. Jag ska kasta över det till dig bara för några avslutande kommentarer, Kim. Jag tror att ett av de viktigaste värdena som läggs till här är att förbättra förtroendet och främja en förtroendekultur eftersom det inte bara kommer att ha positiva effekter på företaget självt, på människor i företaget i sig, utan också på vad allmänheten uppfattar eftersom den typen av det går över, det verkar för mig, men vad tycker du?
Kim Brushaber: Ja, jag tror att när jag pratar med vänner som arbetar på Google eller arbetar på Facebook eller några av de större, riktigt högprofilerade organisationerna, implementerar de inte så många nya funktioner som de implementerar säkerhetsprotokoll och prestanda och skalbarhetsproblem eftersom de vill att deras användarupplevelse ska vara en där de tror att de kan lita på den informationen. Jag tror att företagen har det ansvaret när vi fortsätter att fortsätta att tillhandahålla den typen av förtroende. Jag minns när folk först började sätta kreditkort på nätet och människor är som "Åh herregud, jag kommer inte att ge den informationen ute eftersom det inte är säkert."
Och nu går ditt kreditkort till vilket sätt som helst eftersom du i teorin tror att du kan lita på företaget eftersom det har ett HTTPS-certifikat. Då hör du om överträdelser av måldata där kreditkort, där de var som, "Åh, du ska bättre byta ut ditt kreditkort eftersom vi släpper den informationen." Jag tror att det är ett tvåvägs sentiment. Jag tror att individer, även om de vill vara mer förtroende eftersom det är mycket lättare, att kunna lita på och ha förtroende för detta hos stora organisationer, de stora organisationerna måste gå in och sätta dessa bitar på plats så att de inte " t skadar individen eller tappar du marknadsandel. Människor säger: "Vet du vad, jag kommer inte att handla på Target längre, nu ska jag handla på Amazon." Jag tror att förtroende är en stor fråga, även om 78 procent av människorna som vi sa kommer fortfarande att klicka på den länken i ett e-postmeddelande, även om de vet att de kanske inte gör det. Det finns ett visst skydd för människor, även om de litar på dig.
Eric Kavanagh: Det är en bra poäng. Vet du vad, jag ska kasta en sista fråga till dig, William, eller åtminstone en till - vi har några bra som kommer in nu. En deltagare skriver: ”GDPR flyttar identitetshantering tillbaka till kunden, där den hör hemma. Equifax skadade permanent 149 miljoner konsumenter, "mycket sant", som förorenar den digitala ekonomin. Vilka förändringar ser du hända i USA när det gäller kundägande med avseende på identitetshantering? ”
William McKnight: Vi är alltid bakom i USA när det gäller den här typen av saker, eller hur? Hundra fyrtio-nio miljoner, det är ingen droppe i skopan just där. Det är nästan som terrorism, eller hur? Vi är bara så vana att det händer bara hela tiden. Jag tror att något måste göras. Jag tror att GDPR, jag gillar rättigheter som det ger medborgarna, men det verkar inte vara en prioritering - det finns många andra prioriteringar och jag vet inte vart det ska gå. Jag tror, som jag nämnde i förstärkningsbilden som jag hade, att detta signalerar en förskjutning mot fler rättigheter av konsumenten över sina uppgifter. När det händer här i USA? Jag vet inte, det kan vara upp till fem år ledigt att se något som motsvarar GDPR som händer här i USA. Bara spekulationer vid denna punkt.
Eric Kavanagh: Det är en riktigt bra poäng och jag tror att vi kommer att se mer ansträngning för det här, för låt oss inse det, vi flyttar till en sådan digital ekonomi i dag. Och som en avslutande kommentar här, att få en lite filosofisk, politisk inriktad, är det detta som mest berör mig om övergången till ett kontantlöst samhälle, för när kontanter försvinner, om det händer, så är allt digitalt och varje system kan han hacka och varje persons identitet kan stulas. Det verkar för mig att det är en ganska stor elefant i rummet här, när vi ser ner gädda till framtiden för identitetshantering.
Det här är bra saker, folkens. Tack till William McKnight för hans tid och uppmärksamhet idag. Tack till Kim Brushaber från IDERA. Vi arkiverar alla dessa webbsändningar för senare visning, så kom gärna tillbaka, vanligtvis inom bara några timmar och arkivet är klart. Med det kommer vi att hälsa dig, folkens. Tack igen för din tid och uppmärksamhet Ta hand. Hejdå.
