Lar Segurança Dica do iceberg: por que o gdpr é apenas o começo

Dica do iceberg: por que o gdpr é apenas o começo

Anonim

Por Techopedia Staff, 6 de dezembro de 2017

Takeaway: O anfitrião Eric Kavanagh discute o próximo Regulamento Geral de Proteção de Dados da UE e os efeitos que ele terá sobre o setor. Juntam-se a ele William McKnight, do McKnight Consulting Group, e Kim Brushaber, do IDERA.

No momento, você não está logado. Faça o login ou inscreva-se para ver o vídeo.

Eric Kavanagh: OK, senhoras e senhores, olá e bem-vindos mais uma vez. É quarta-feira, às 4 horas, horário da costa leste dos EUA, o que significa que é hora mais uma vez - uma das últimas vezes no ano de 2017 - para a Hot Technologies. Sim, de fato, meu nome é Eric Kavanagh - serei seu moderador no evento de hoje. Estamos falando de um tópico abrangente, para dizer o mínimo. No momento, não parece assim - o conceito de GDPR, o Regulamento Global de Proteção de Dados. Vamos em frente e mergulhar bem nisso, não é sobre o seu verdadeiramente, é o suficiente sobre mim. Este ano é quente, tem sido muito quente de muitas maneiras diferentes, mas os regulamentos iminentes do GDPR e de outras organizações, francamente, estão nos forçando a repensar o que está acontecendo no mundo dos negócios, especificamente como resultado, ou no que se refere aos dados. Ouviremos Kim Brushaber, da IDERA, e também William McKnight, do McKnight Consulting Group.

Apenas algumas palavras rápidas sobre o assunto em questão, pessoal. O GDPR basicamente diz que as organizações devem ter uma política de privacidade e segurança em relação aos dados e, na verdade, trata-se de algumas das coisas que você já deve ter ouvido - todo o direito de ser esquecido, por exemplo, faz parte e todo esse momento, e é uma coisa muito interessante. Certamente é válido em termos de seus princípios e ética. Em termos de implementação real, porém, é um desafio bastante sério. O direito de ser esquecido diz que, se você deseja que algumas organizações não tenham seus dados pessoais, eles precisam se livrar deles. Bem, você pode imaginar, quando alguns desses ambientes de dados realmente heterogêneos, quão difícil isso será. Ser capaz de acessar todos os lugares onde seus dados são persistentes e retirá-los, simplesmente não vai acontecer, é o resultado final. No entanto, as organizações precisam ter políticas em vigor para poder lidar com essas preocupações, e é isso que os reguladores, tenho certeza, procurarão.

É um grande negócio. A organização não apenas precisa remover seus dados, se você o disser, mas se eles treinaram algoritmos nesses dados, tecnicamente eles também devem treinar novamente os algoritmos. É uma tarefa difícil, tenho que lhe dizer, mas está chegando, está chegando ao fim, será uma realidade em maio do próximo ano e também há outros regulamentos. O Canadá tem uma lei antispam que eles aprovaram, isso afeta a maneira como lidamos com informações pessoais. A neutralidade da rede está diminuindo agora, é claro que foi desenraizada, essencialmente, e isso vai mudar algumas coisas. Existem muitos desses regulamentos muito sérios que afetam as empresas em todo o mundo e em todo o mundo, para as quais as grandes organizações realmente precisam começar a pensar e se preparar.

Para isso, temos William McKnight online do McKnight Consulting Groups para nos informar o que ele pensa e por que o GDPR é, de fato, apenas a ponta do iceberg. Com isso, William, vou entregá-lo a você. Leve embora.

William McKnight: Obrigado, Eric, e como você diz, como diz o slide, este GDPR é talvez a ponta do iceberg - é certamente o que pensamos. É importante mergulharmos profundamente no GDPR, porque acho que isso representa uma onda de regulamentação que está chegando ao ponto em que temos que lidar. Felizmente, Eric, existem alguns padrões razoáveis ​​em torno desse direito de ser esquecido, aos quais eu chegarei. Mas, no entanto, na minha caminhada deste ano falando sobre o RGPD, acho que há muitas empresas, especialmente as americanas, que ainda não estão preparadas para isso. Está definitivamente quente e algo que definitivamente não estávamos pensando há um ano atrás, quando eles estavam apenas experimentando algumas coisas, mas agora é um regulamento e temos que lidar com isso, como você disse, Eric, que pode vir à direita aqui em cima - não tão longe assim.

Um pouco sobre mim, vou abordar isso da perspectiva dos dados. Para que você saiba, sou uma pessoa de dados ao longo da vida e estou consultando agora há 19 anos no espaço de dados, e o GDPR é muito sobre dados. Vou apresentar um corpo de solução aqui, quando entrar na minha apresentação sobre governança de dados. Obviamente, eu tenho feito muitos programas de governança de dados e acho que, se você está alinhado com esse conceito, está administrando alguma governança de dados, muitas empresas por aí estarão bem distantes no caminho na verdade, para a conformidade com o RGPD, mas haverá muito, e mais francamente, que estão atrasados ​​na governança e, portanto, bastante atrasados ​​em seus preparativos para o RGPD. Vamos definir o nível aqui e entender o que é o GDPR e, à medida que nos aprofundarmos na conversa, entraremos em mais ramificações do GDPR na vida dos negócios à medida que avançamos no novo ano e além.

O GDPR é para a privacidade de dados de cidadãos da União Europeia. É um regulamento - significa que tem dentes, significa que é aplicável. Não é algo apresentado como sugestão - isso já aconteceu e agora foi transformado em um regulamento com penalidades. Eu gosto de começar com as penalidades, porque isso realmente chama a atenção das pessoas. Essas são penalidades severas. Existem duas penalidades, 2% da receita anual mundial ou 10 milhões de euros se uma empresa não cumprir as obrigações de segurança, mas todo o resto, violando outras disposições - e eu vou entrar nelas - são 4%. Você ouve isso em torno de 4%. E, a propósito, são 4% ou 10 milhões de euros, o que for maior. Isso é muito rígido. As pessoas são muito sérias sobre isso. Imposição a partir de 25 de maio de 2018 - essa é uma data importante, é quando as auditorias podem começar, é quando você pode obter a multa. Definitivamente você quer estar pronto para isso. Todas as empresas com as quais trato, trato com muitas empresas do Global 2000, elas estão em algum lugar da preparação do GDPR, algumas mais que outras e algumas precisam ser mais do que outras neste momento. Certamente, será um desafio cumprir essa data para alguns, e vamos ver.

É o regime mais completo de conformidade de privacidade de dados que já vimos até hoje. Quando veremos algo mais rígido ou algo que afeta talvez a população dos EUA mais diretamente, quem sabe, mas está lá fora e definitivamente precisa ser respeitado. Exige que as organizações entendam quais informações pessoais de identificação pessoal (PII) dos cidadãos da UE - estamos familiarizados com as informações pessoais pessoais (PII) - previdência social, número de telefone, endereço, coisas que podem identificar uma pessoa de forma única ou bastante singular. O que eles têm e como estão usando. Isso significa inventário. Isso significa regulamentação dentro de suas próprias empresas sobre esse tipo de dados. A propósito, os EUA não possuem nenhum tipo de lei nacional de proteção de dados. Os EUA sempre estiveram - direi atrás, para colocar em perspectiva - atrás da Europa em termos desse tipo de regulamentação, e isso continua. Isso continua com o GDPR, isso é bastante evidente. Alguns de vocês devem conhecer o escudo de privacidade, talvez estejam se perguntando sobre isso. Existem cerca de três ou quatro disposições no GDPR que se sobrepõem ao escudo de privacidade, mas há centenas de disposições no GDPR, por isso é muito mais do que isso e é claro que ainda está em vigor e que tem a ver com o intercâmbio de dados nos EUA e na UE somente, embora isso seja importante.

Mais uma vez, gosto de começar com números. Você ouviu falar sobre as multas, e sobre como você se prepara para isso. Orçar o GDPR e fazer parte disso depende de alguns fatores. A quantidade de dados PII que você coleta em cidadãos da UE. Se você não coletar nenhuma, tudo bem, você provavelmente é compatível e não precisa lidar com isso, mas provavelmente está nesta ligação porque coleta algumas em algum lugar. O tamanho da sua empresa e a maturidade da governança de dados, que, como eu disse antes, podem estar se aproximando do que você precisa fazer para responder ao GDPR. Você pode esperar vários milhões de dólares ou euros, conforme o caso, pela conformidade. No entanto, queremos, não queremos apenas cumprir o GDPR, para marcar essa caixa, é claro que precisamos fazer isso. Felizmente, você não está nessa situação mais sombria em que está desesperado para marcar essa caixa. Procure benefícios comerciais, porque muitas das ações que você faz para apoiar o GDPR são boas para os seus negócios. A governança de dados é boa para os seus negócios. Quando se trata da quantidade de dados de PII, alguns são mais importantes que outros, alguns serão examinados mais do que outros, como a saúde relacionada aos dados, serão regulados de forma muito mais rigorosa sob o RGPD do que outros tipos de dados e exigirão conformidade com obrigações adicionais, como conduzir avaliações de impacto na proteção de dados que, obviamente, aumentam seu orçamento.

Um pouco sobre orçamento. Caso você esteja no Reino Unido ou nos EUA e esteja se perguntando como isso afeta você - o RGPD afeta o Reino Unido, que ainda está na UE, a propósito, até 29 de março de 2019 e cujo governo indicou que algo como o RGPD continuará após essa data porque "é uma boa ideia". As empresas britânicas precisam cumpri-la. Os dados dos cidadãos britânicos certamente estão na mesa para isso. Caso não esteja claro, existem empresas com sede nos EUA, se você negocia na UE com dados de cidadãos da UE, isso certamente se aplica a você. Isso tem ramificações na sua arquitetura de dados, porque você pode acabar tendo que isolar os dados da UE de todo o resto e tratá-los de maneira diferente. Isso afeta a análise, como Eric estava dizendo, na forma como você compila essas análises e assim por diante. Agora pode ser mais difícil obter qualquer tipo de análise em todo o conceito e em todo o mundo. Eles podem se tornar mais localizados como resultado do RGPD.

O que há nas provisões? Existem padrões de proteção de dados. Tudo isso dita a criptografia de dados em repouso e em movimento. Vou falar sobre criptografia a seguir. Existem padrões de notificação de violação de dados. Não há mais isso esperando meses, esperando quartos para que todos saibam. Acho que houve um grande problema no outro dia e descobrimos: “Ah, isso aconteceu há um ano.” Nada disso com o GDPR - você tem 72 horas. É uma política de nome e vergonha. Espero que ninguém chegue a isso, claramente algumas pessoas o farão. As violações continuarão, mesmo depois do RGPD, é claro. Existem processos para monitorar a localização e a qualidade dos dados. Soa familiar? Esse é realmente o coração da governança de dados. Espero que você tenha alguns deles.

Os cidadãos da UE têm o direito de serem esquecidos, como Eric mencionou. Existem alguns padrões de razoabilidade para isso, Eric. Você não precisa obliterar tudo necessariamente; se for necessário entrar em contato novamente com esse cliente, com esse funcionário, você poderá manter certos aspectos de seus dados pessoais. Mas, no entanto, esses cidadãos têm o direito de serem esquecidos, mas não pode haver esforço desproporcional - esse é o idioma - para você ou prejudicar a empresa, é para você obliterar esses dados. Não quero subestimá-lo, mas você também precisa liberar cópias dos dados pessoais mantidos e só pode obtê-los sob consentimento. Esse consentimento deve ser dado por pessoas com idade mínima para conceder essa permissão. Isso é um bocado, mas está dando aos cidadãos muitos direitos sobre seus dados. Essa é a portabilidade, caso isso aconteça. O direito de ser esquecido, claramente, mas também - e algo que não está no meu slide que é muito importante - é que o titular dos dados terá o direito de não estar sujeito a uma decisão baseada apenas no processamento automatizado. Para o que estamos nos movendo com dificuldade? Processamento automatizado, em torno da aceitação de empréstimos, o que ofertas vamos oferecer, tudo isso precisa ser elaborado em termos de como isso vai acontecer e até que ponto isso vai dar. O que isso está dizendo é essencialmente a transparência sobre o motivo pelo qual fui rejeitado, por que estou sendo tratado de certa maneira por esta empresa. Este é um momento, sendo concedido a um cidadão da UE.

Obviamente, existem algumas ramificações na forma como fazemos negócios e espero que você esteja vendo que o GDPR não é um problema de TI, não é apenas um problema de TI. Todos esses processos de negócios estão envolvidos. Envolverá pessoas de toda a empresa. A nomeação de um responsável pela proteção de dados é recomendada para empresas com mais de 250 funcionários e você tem “matemática crítica com dados da PII da UE”. Você pode decidir por si mesmo se possui essa matemática crítica, às vezes é óbvio, às vezes não. Mas, há um novo papel - não precisa ser em tempo integral, a pessoa pode ter outras responsabilidades, mas eu não sei - em algumas empresas de médio e grande porte, basicamente acho que a adesão ao GDPR vai estar perto de um papel em tempo integral. Eu diria que comece assim e veja se você consegue lidar com isso. Especialmente durante o próximo ano, à medida que você se reúne em torno do GDPR, uma vez estabelecido, talvez você possa desacelerar o trabalho sobre isso, mas vai levar algumas empresas para demorar um pouco. Permita que as pessoas vejam seus próprios dados e portabilidade, como mencionei antes.

A propósito, isso não é tudo novo, mas o direito de ser esquecido realmente existe, acredite ou não. As regras atuais da UE já prevêem o direito de excluir ou tornar indisponíveis os dados pessoais. No entanto, agora que faz parte do RGPD, será aplicada de maneira muito mais ampla. Criptografia de dados - criptografe seus dados em repouso. Use métodos de criptografia padrão, não use sua própria criptografia doméstica ou fora do padrão. AES é um que recomendamos bastante. Use chaves de criptografia seguras criptograficamente. Altere essas chaves periodicamente. Também impeça a perda dessas chaves. Essas são apenas boas práticas de criptografia, mas agora elas estão na vanguarda do GDPR. Aí reside o problema - só atingi a ponta do iceberg. Obviamente, há mais provisões para examinar, mas essas são as principais.

Agora, solução. Governança de dados, a estrutura de sua conformidade, pelo menos é a perspectiva que estou apresentando aqui. Felizmente, existe uma disciplina ativa e atenta que, quando madura, pode atender a maioria dos requisitos, e isso é governança de dados - obviamente estou dizendo isso. Os programas de governança devem ter um glossário de dados, e aqui estou usando o glossário de dados em um sentido genérico para significar documentação em geral para seus processos. Isso é fundamental para atender às necessidades de inventário do GDPR, que são, como vimos, são imensas. O programa, o programa de governança, deve facilitar os protocolos de segurança de dados - e enfatizo isso porque isso não é algo que muitos programas de governança de dados estão fazendo no momento, mas acho que é um lugar lógico para isso, porque eles são participando do programa que determina quem são os empresários? Quem precisa ver isso? E o próximo passo é conceder essas permissões. Isso precisa ser centralizado, isso precisa ser formalizado. É preciso haver políticas internas usadas. A administração precisa ser atribuída a todos os elementos para fornecer informações para todos os itens acima. A governança de dados também pode ser o facilitador da engenharia de processos de negócios, que será necessária.

Antes de sair deste slide, para evitar multas pesadas, as empresas adotarão boas práticas de negócios como subproduto. Eu gosto de dizer que é mais do que um subproduto, mas, na verdade, são apenas negócios bons e sólidos que podem levá-lo a novos lugares da perspectiva dos negócios. Certamente, você terá muitas eficiências ao executar todas as iniciativas em geral, se você tiver uma governança de dados sólida, é isso que eu tenho visto ao longo dos anos. Com a adição de algumas dessas coisas que estou mencionando, à governança de dados, elas só ficarão melhores. Na engenharia de processos de negócios, recomendamos que você faça essas perguntas de maneira geral e atinja todas as áreas de negócios. Que tipo de dados coletamos sobre nossos clientes da UE? Não vou ler todos eles. Alguns dos principais aqui. Quem tem a necessidade de ver esses dados e isso está sendo seguido? Quem é o administrador de dados para esses dados? Quem é minha pessoa preferida no negócio? Esse é um grande problema: compartilhamos esses dados com terceiros? Só porque você os entrega a terceiros, não isenta sua responsabilidade por esses dados - esses ainda são seus dados, ainda são os dados que você coletou. Atualmente, muitos contratos de terceiros estão sendo revisados ​​minuciosamente como resultado do RGPD. Esses sistemas têm falhas determinísticas? Ou seja, quando eles fracassam, eles fracassam em um caminho que nós predeterminamos, ou eles simplesmente fracassam, quebram, queimam e começamos do zero, cavando-o? Vai ser obviamente muito melhor. Já é uma boa prática, mas obviamente é muito melhor para engenharia reversa de algumas dessas coisas, se você tiver grandes falhas determinísticas em seu sistema.

Retenção de dados, falamos sobre retenção de dados para sempre. Muitas empresas têm políticas, mas nem todas as seguem. Obviamente, famoso em saúde e finanças, queremos manter os dados, temos que mantê-los por um certo número de anos. Alguns dos analistas dessas empresas que mantêm dados por sete anos ou mais, dizem: “Ah, depois desse período, ainda quero esses dados”. Alguns dos advogados dessas empresas dizem: “Mas precisamos nos livrar deles por motivos de responsabilidade "e assim por diante. Isso não pode simplesmente ficar parado, como um problema em conflito com o GDPR. Temos que ter o período de retenção, seguido de forma consistente em toda a organização.

E, finalmente, como você se mobiliza para uma violação de dados? Esses piores cenários que podem acontecer com você. Obviamente, estamos tentando evitá-los, mas e se isso acontecer? Como você aprova a coisa e se certifica de que está seguindo agora as disposições do GDPR em sua resposta? Sou arquiteto de dados, penso em arquitetura de dados. Se você é uma empresa norte-americana com operações na UE, ou seja, dados de cidadãos da UE - você está coletando esses dados, terá que considerar se deve aplicar os padrões de proteção de dados a todos os dados ou apenas aos dados da UE. Sim, tenho clientes que estão tomando essa decisão agora. Como prática comercial sólida, eles podem querer levar isso para os EUA, mas podem sentir que têm tempo, mas isso traz a bala número dois. Pode ser necessário isolar os dados da UE dos sistemas dos EUA, se você não puder garantir que os sistemas dos EUA manipularão os dados adequadamente. Isso separa os dados para fins de análise? A análise é válida mesmo se você estiver tentando fazer isso em todo o país? Às vezes sim, às vezes não, certo? Você pode achar que suas análises serão desativadas como resultado.

Como mencionei antes, a inteligência artificial é usada aqui porque, obviamente, podemos usar a IA para encontrar todos os dados, nos ajudar a encontrar todos os dados, mas se usarmos a IA nas interfaces de nossos clientes, precisamos ter transparência agora com nosso cliente interfaces e isso nunca foi o ponto forte da IA. Para tentar dizer a um cliente: "Você foi rejeitado porque blá, blá, blá", quando na verdade era AI. Isso agora tem que ser feito. Temos que descobrir como a IA está funcionando, quais são os fatores? Não posso mais ficar sentado lá e ser uma caixa preta para você. O que fazemos agora? Estabeleça seu conselho do GDPR. Eu sugiro que você tenha seu oficial sênior de privacidade lá ou se você tem um oficial de proteção de dados, obviamente essa pessoa. Os chefes de governança de dados, risco operacional e / ou conformidade, conforme aplicáveis, o chefe de TI e CIO, se essa é a pessoa. Se você mudou uma pessoa de gerenciamento, seria uma ótima pessoa lá. Apenas chefes de alguns dos departamentos mais importantes da sua empresa e também o chefe de RH, porque o treinamento em privacidade agora será enorme. Todo mundo vai receber treinamento em privacidade ou deveria estar recebendo treinamento em privacidade quando ingressar em uma empresa, mesmo consultores.

Se você não estiver fazendo as coisas que vê aqui, precisará mover-se mais rapidamente do que gostaria de cumprir o prazo. Você também precisa começar esperando que não seja um dos primeiros a ser auditado porque, francamente, há muito trabalho aqui se você está começando do zero e lida com muitos dados de cidadãos da UE. Contrate seu DPO, inventeie seus dados e seus processos. Crie esse plano para governança de dados, leve-o de onde está e para onde precisa estar. Conforme o caso, você pode querer iniciá-lo. Crie suas políticas de privacidade e seus avisos de política. As políticas de privacidade são internas. Os avisos de política são externos. Estamos vendo uma cultura começando a ser criada agora em torno de avisos de políticas. Muita comparação está sendo feita e muita redação cuidadosa, em torno desses avisos de política. Faça uma verificação de conformidade com o GDPR para todos os sistemas, incluindo novos sistemas. Pode ser necessário sequenciá-los e executá-los em algum tipo de ordem de importância, mas essa é outra maneira de resolver o problema. Veja os sistemas e o que eles deveriam estar fazendo e como eles estão lidando com esses dados.

O que o GDPR sinaliza? É sobre isso que estamos aqui para falar um pouco mais. Estou ansioso pelo que Kim tem a dizer sobre isso. O GDPR é uma mudança nos controles de privacidade de dados em direção à regulamentação. É uma tendência para a transparência, diz o mesmo nas disposições. Estamos criando essa cultura de avisos de privacidade, como eu falei, isso é uma coisa agora. Vamos assistir a conferências sobre avisos de privacidade e assim por diante. A mudança do GDPR é para os direitos fundamentais das pessoas. Perguntas abertas serão elaboradas. Há perguntas claramente abertas, deixei algumas sobre a mesa aqui para nós. Ninguém tem a resposta. Eles vão ser trabalhados. Uma tendência para uma maior compreensão das pessoas sobre seus dados e como eles são usados. Eu acho que isso aumentou a conscientização da população da UE sobre a importância de seus dados e, como um de seus bens pessoais, eles precisam gerenciar mais. Esses são alguns dos primeiros sinais que eu já vi, e Eric, vou devolvê-lo agora.

Eric Kavanagh: Tudo bem, deixe-me entregar as chaves para Kim, que pode compartilhar algumas de suas perspectivas, mas acho que foi uma boa visão geral, William, e você acertou nos pontos-chave - ou seja, que isso está chegando ao ponto certo e todos temos que ter muito cuidado, francamente. Com isso, deixe-me entregar as chaves para Kim e você pode compartilhar sua tela e levá-la de lá.

Kim Brushaber: Olá, você pode me ouvir?

Eric Kavanagh: Eu posso ouvir você.

Kim Brushaber: Incrível. William cobriu algumas das mesmas coisas que eu vou cobrir, mas acho que valem a pena cobrir novamente porque são realmente importantes. Eu acho que quando novas regulamentações são aprovadas, é realmente bom ter uma perspectiva e interpretação de muitas pessoas diferentes, para que algo desperte sua mente e permita que você seja ainda mais compatível. Sou encorajado por todas as pessoas que estão nesta ligação que querem saber mais, porque acho que, em 25 de maio, pode haver muito pânico para as empresas que estão sendo perseguidas, não estando em conformidade.

Meu nome é Kim Brushaber, sou gerente de produtos sênior da IDERA. Tenho vários produtos em mim que ajudam na conformidade com o GDPR e em outros regulamentos. Vou pular algumas informações. Começarei com alguns fatos e algumas figuras e depois vou falar um pouco sobre o GDPR e, em seguida, especificamente como nossas ferramentas podem ajudá-lo. Um fato é que mais de 5 milhões de registros de dados são perdidos ou roubados todos os dias. Não ouvimos isso ser noticiado nas notícias, não ouvimos isso de outros lugares, mas existem mais de 5 milhões de registros de dados que são roubados o tempo todo, diretamente sob nós. O número médio de dias em que os invasores permanecem inativos na sua rede é de 200 dias. Muitos sistemas já estão infiltrados por pessoas que - com intenções maliciosas - estão apenas esperando a oportunidade de capitalizar suas informações, principalmente dentro de segurança e certificados, mas estão apenas esperando o momento de atacar. É por isso que se tornou cada vez mais importante lidar com a segurança dos seus dados. Prevê-se que o custo médio da violação de dados únicos em 2020 exceda US $ 150 milhões, à medida que mais infraestrutura de negócios se conecta aos recursos online e à medida que mais coisas acontecem na nuvem. Esse é um bom orçamento se você estiver realmente preocupado com a segurança dos dados, para fornecer à sua equipe executiva, dizer a eles que isso é um assunto sério e que pode nos custar muito dinheiro daqui para frente.

Analisarei brevemente a violação de dados do Equifax, porque acho que foi a maior violação de dados de 2017, meio que pintar a imagem de como é passar por isso. A violação afetou 145, 5 milhões de clientes. Os funcionários reconheceram o problema de segurança com seu aplicativo da web dois meses antes da ocorrência da violação. Os funcionários estavam dizendo: "Isso é um problema". E mesmo um pouco antes disso, foi quando o patch foi lançado. Demorou um dia inteiro depois que a violação ocorreu para responder a ela e colocar o aplicativo Web offline. Como a Equifax não tinha um protocolo de segurança de dados definido, eles levaram uma quantidade significativa de tempo para descobrir o que estava acontecendo e, em seguida, poder colocar o sistema offline. Seis semanas após a violação, o público foi alertado. Com o GDPR - como declaramos acima e direi novamente - você deve informar dentro de 72 horas, e a Equifax teria as mãos atadas e seria incapaz de atender a essa conformidade porque esperou seis semanas para denunciá-la. A comunicação para responder à violação incluía um site que nem era da Equifax. Os próprios Equifax estavam retuitando este tweet que nem estava em seu domínio - eles haviam revertido algumas das palavras. Felizmente, não era um site malicioso que estava aproveitando isso, mas eles obviamente não estavam preparados. Eles não tinham um plano em prática, e isso se tornou muito consciente na arena pública. A Equifax não está sozinha - há mais de 25 ataques cibernéticos muito altos em 2017 até agora, e ainda podemos encontrar mais antes do final do ano. As empresas realmente precisam começar a levar isso a sério, porque as pessoas estão lá fora, e se você lhes der um motivo para querer ir até você, é melhor você estar preparado para poder lidar com isso.

Alguns outros fatos e números de dados sobre como as pessoas estão olhando para a segurança dos dados. Até 2020, haverá 30 bilhões de dispositivos conectados à Internet em nossas casas, em nossos dispositivos móveis, em nossos telefones, tablets e quem sabe o que mais ainda poderá vir nos próximos anos. Existem muitos dispositivos que ficam vulneráveis ​​a esses ataques. Quarenta e nove por cento dos americanos acham que suas informações pessoais são menos seguras do que há cinco anos. Setenta e três por cento dos consumidores nos Estados Unidos querem que as empresas sejam transparentes sobre seus dados pessoais. Setenta e oito por cento das pessoas afirmam estar cientes dos riscos ao clicar em links e e-mails desconhecidos, mas clicam nesses links de qualquer maneira - isso representa mais de três quartos da nossa população e ainda estão clicando nos links, mesmo que sabe que pode ser um problema. Oitenta e seis por cento dos usuários da Internet estão tentando ativamente minimizar, anonimizar e ocultar a visibilidade de suas pegadas digitais. Meu padrasto gosta de sair e criar nomes falsos quando está preenchendo formulários porque acha que isso o torna anônimo, mas pouco ele sabe que seu endereço IP também está sendo rastreado. Há muita preocupação individual e é isso que está gerando muitos regulamentos do GDPR e provavelmente regulamentos adicionais que virão a seguir.

Quanto aos fatos do setor de segurança de dados, 90% dos registros de violação de dados em 2016 vieram do governo, varejo e tecnologia. Quarenta e três por cento dos ataques cibernéticos atacaram pequenas empresas. Se você pensa: "Oh, eu não sou um cara grande, eles não vão atrás de mim", ainda há quase metade deles perseguindo pequenas empresas. Setenta e cinco por cento da indústria de serviços de saúde foram infectados por malware no ano passado. Setenta por cento das empresas americanas de petróleo e gás foram invadidas no ano passado. Isso causa um impacto significativo em vários setores diferentes que estão em funcionamento e esse número só aumentará daqui.

Quando você olha para isso da perspectiva executiva, 90% dos CIOs admitem gastar milhões de dólares em segurança cibernética inadequada. Noventa por cento também dizem que foram atacados ou esperam ser atacados por caras escondidos em sua criptografia. Oitenta e sete por cento acreditam que seus controles de segurança estão falhando em proteger seus negócios. 85% dos CIOs esperam que o uso indevido criminal de suas chaves e certificados piore. Esse é um grande número de empresas que estão analisando esse problema de segurança de dados e a realidade é que muitas delas não têm soluções muito boas para poder lidar com isso quando isso acontece, mesmo acreditando que isso vai acontecer.

Quando analisamos a preparação, em 2014, 70% dos millennials admitiram que trouxeram aplicativos externos para a empresa, violando as políticas de TI. Setenta por cento admitiram isso - provavelmente há um número ainda maior do que isso, que realmente conseguiu. Cinqüenta e dois por cento das organizações que sofreram ataques cibernéticos bem-sucedidos em 2016 não fizeram nenhuma alteração em sua segurança em 2017. Embora tenham sido atacados uma vez, ainda não foram além das barreiras - eles são tão vulneráveis ​​quanto foram antes do ataque. Isso realmente levanta a questão: o que as empresas precisam começar a fazer para se preparar para essas coisas? Trinta e oito por cento das organizações globais afirmam estar preparadas para lidar com um sofisticado ataque cibernético. Isso é bom - quase metade está lá, e eu estou sendo generoso com isso, na verdade estamos apenas em um terço, mas ainda há pelo menos metade que diz: “Não estou pronto. Se eu for atacado, não estou pronto e os hackers sabem disso. ”Trinta e oito por cento das organizações têm um plano de resposta a incidentes cibernéticos. A maioria das empresas está no mesmo balde que a Equifax, onde não sabe o que fará. Se eles conseguirem isso, terão que reagir e apresentar essas coisas rapidamente, e regulamentos como o GDPR dizem: “Você precisa implementá-las. Você precisa publicá-los. Você precisa provar isso aos auditores de segurança. ”Esperançosamente, com impactos como esse, com regulamentos como esse, seremos capazes de avançar nessa curva e, em vez de sermos reacionários, podemos ser proativos em nossas atividades.

Vamos falar um pouco sobre o GDPR. Parte disso já foi abordada por William, mas vou abordá-la novamente, apenas pela minha opinião, minha voz, minha perspectiva. Muitas empresas com quem converso dizem: "Estou nos EUA, por que eu deveria me importar com esse regulamento da UE?" O fato de mais pessoas não estarem zumbindo e mais pessoas não estarem falando sobre eles acham que apenas os membros da UE são afetados, mas eu perguntaria, se você olhar para esta lista, você coleta algum desses dados dos membros da UE? Se você coletar alguma dessas informações, estará sujeito aos limites do RGPD, bem como às multas por não estar em conformidade. Vou te dar um segundo para apenas absorver isso e entender isso. Como William mencionou anteriormente, essas são as penalidades e sanções referidas no artigo 83 do RGPD. No começo, você pode levar um tapa na mão, um pouco de aviso, dizendo: “Ei, ajam-se. Coloque isso no lugar. ”Mas se você tiver uma violação muito grande - e dependendo de quão grande é o negócio -, eles voltarão para você para restituição, e é um número significativo. Não são 10 milhões, mas 20 milhões de euros ou 4% de seu faturamento / receita do ano anterior. Isto é muito dinheiro. É muito orçamento para as equipes executivas e dizer: "Isso é algo que precisamos começar a levar a sério e precisamos agir".

Permitam-me examinar um pouco dos princípios do RGPD, descritos no artigo 5. Uma das coisas que eles dizem é que os dados pessoais devem ser processados ​​de forma legal, justa e transparente. Isso significa que o público quer saber o que você está fazendo com os dados deles. Seja transparente e precisa ser publicado. A maioria das pessoas não lê os termos e condições, mas essas são novas informações que você precisa poder se comunicar, para que possa dizer a elas: "Seus dados estão sendo manipulados adequadamente". Os dados pessoais devem ser coletados para um período especificado, fins explícitos e legítimos. Isso significa que, com sorte, podemos nos livrar de parte desse spam, onde as empresas dizem que estão coletando informações para um questionário que mostra o quanto você pode ser interessante e, na realidade, elas estão pegando seus dados e os vendendo para outra pessoa, para poder usar para quaisquer que sejam seus objetivos. As empresas agora precisam ser muito mais responsáveis ​​e dizer exatamente para o que estão usando suas informações. Eles também dizem que os dados pessoais devem ser adequados, relevantes e limitados ao necessário. Muitas empresas gostam de pegar todas as suas informações e colocá-las em um grande pool de dados e então descobrem o que querem fazer com as informações posteriormente e coletam muito mais do que o necessário. Isso significa que você não pode coletá-lo e usá-lo em outro lugar. Você também não pode simplesmente coletar tudo e torcer para que mais tarde seja útil. Você deve ser muito explícito no motivo pelo qual está coletando as informações e elas devem ser relevantes para os dados que você está coletando.

Os dados pessoais também precisam ser precisos e atualizados. Você precisa dar aos usuários maneiras de atualizar seus dados, depois de coletá-los; eles precisam ser capazes de voltar e dizer: "Sabe, eu tive essa opinião em alguma pesquisa que você me perguntou sobre informações de identificação pessoal e quero voltar e quero mudar isso e atualizá-lo agora." para dar a eles uma maneira de conseguir fazer isso. Os dados pessoais devem ser mantidos em forma que permita a identificação dos titulares dos dados por mais tempo do que o necessário. De volta ao argumento de William, que você não pode coletar essas informações para sempre - você precisa inventar o que acha que é válido e necessário e, depois disso, é necessário limpar os dados. Ele também deve ser processado de maneira a garantir a segurança adequada, incluindo proteção contra processamento não autorizado ou ilegal, perda acidental, destruição ou dano.

Como eu disse antes, é hora de realmente levar isso a sério, interrompendo as violações de dados, porque você não só pode ter ferimentos que chegam à sua empresa na forma de violações de dados, mas também perda de receita e custos de escoramento de seus processos., mas você também pode receber uma pilha de multas do GDPR. É hora de realmente começar a ficar muito sério sobre isso e acho que, à medida que o RGPD entrar em vigor, as empresas enfrentarão a dura realidade e, felizmente, aqueles que estão hoje hoje podem começar a pensar sobre isso e saber como você vai colocar essas coisas em ação.

O GDPR também fala muito sobre quais são os direitos dos indivíduos; está realmente cuidando dos usuários individuais. A primeira coisa é o direito de acessar seus dados pessoais. Os usuários precisam saber quais informações você coletou sobre eles, tanto quanto as informações pessoalmente identificadas, e você deve oferecer a eles uma maneira de poder acessá-las. Há também o direito à retificação, que é uma maneira elegante de dizer: “Preciso corrigir as informações que você tem sobre mim.” O direito ao apagamento - que, novamente, muitas pessoas estão expressando como o direito de ser esquecido - se um indivíduo disser: “Sabe de uma coisa, eu não quero mais que você saiba que sou um colecionador de quadrinhos super divertido, você precisa se livrar disso. Eu tenho alguns amigos que estão me provocando e me limpam completamente da sua lista ”, você precisa ser capaz de fazer isso. Há também o direito à restrição de processamento, e isso significa que os usuários podem limitar a maneira como suas informações são processadas. Eles podem dizer: "Não me importo que você pegue minhas informações porque estou comprando um carro novo, mas não use essas informações para me enviar e-mails e me enviar spam em novos negócios sempre que novos carros forem lançados". o direito à portabilidade de dados, o que significa que os usuários devem poder obter uma cópia de seus dados e levá-los para outro lugar. Muitas organizações coletam informações e essas informações têm um fator de rigidez, e agora as pessoas podem dizer: “Quer saber, eu quero que você pegue todas as minhas informações e agora quero que você as entregue ao seu concorrente, para que eu possa mudar isso. sobre."

Há muitas coisas a serem pensadas em uma organização em perspectiva sobre como você poderá fazer isso e quais informações você deseja coletar e enviar. Há também o direito de se opor, e os usuários também podem se opor ao processamento de seus dados. O direito de não ser submetido a uma decisão baseada apenas no processamento ou criação de perfil automático. Isso tem um impacto significativo no marketing B2B - se você estiver sentado lá, tentando testar A / B e tentando identificar, o Colorado será mais influenciado por uma mensagem do que a Califórnia, bem, você acabou de criar perfis, olhando para uma estado versus outro, e você deve observar como um indivíduo deve optar por não participar.

Dado que temos algumas coisas assustadoras que estão chegando até a violação de dados e como as pessoas estão olhando para eles, e temos essa enorme regulamentação que está sendo despejada sobre nossos ombros, agora estou aqui para lhe dar a solução sobre como o IDERA pode ajudar. O artigo 15 fala sobre como controlar a exposição a dados pessoais. Você precisa saber quem está acessando seus dados. Como eles estão usando isso. Quantos dados foram processados ​​e os produtos SQL Compliance Manager, dos quais sou gerente de produto, permitem que você veja quem está acessando seus dados e como. O SQL Compliance Manger é para soluções do SQL Server. Se você possui um banco de dados do SQL Server, pode conectar este produto para poder auditar e examinar essas informações, para que você esteja em conformidade com o GDPR e saiba exatamente como ele está sendo usado. Você também pode ver violações de dados antes que elas aconteçam, e falarei sobre isso em outro slide. Há também um artigo que diz: “Preciso registrar as atividades de processamento. Preciso fazer logon e monitorar operações e preciso saber quem está processando dados pessoais e quem tem acesso a esses sistemas. ”O SQL Compliance Manager mantém auditoria de servidores e bancos de dados, incluindo segurança, DDL, DML, além de definir dados confidenciais . O SQL Compliance Manager permite auditar o acesso à segurança e registrar uma tentativa, para que você possa ver quem está acessando as informações e quem está acessando, se é um usuário privilegiado, se é um usuário conhecido ou se é um usuário mal-intencionado.

O artigo 33 fala sobre a notificação de violação de dados pessoais a uma autoridade supervisora. Você precisa ser capaz de detectar essas violações; você precisa ter registros para poder avaliar o impacto; você precisa saber com que rapidez você vai remediá-lo. Para fazer isso, o SQL Compliance Manger permite que você configure alertas em seus bancos de dados para serem vistos por quem tem acesso aos seus dados confidenciais, quando eles acessaram, o que eles acessaram. Ele também permite que você exclua seus usuários privilegiados normais da sua auditoria. Se você tem um administrador de sistemas ou de rede que você sabe que vai acessá-lo e não deseja obstruir seus relatórios, você pode descartá-los e dizer: "Dê-me tudo o que está acontecendo fora dessas informações." você identifica rapidamente se alguém está acessando maliciosamente seus dados e você pode ter alertas em vigor, que informam no momento em que começa a acontecer e, em seguida, no momento em que as informações são acessadas, para poder decifrá-las. não precisa esperar um dia inteiro para descobrir o que está acontecendo, como Equifax fez.

Há também um artigo que fala sobre proteção de dados e avaliação de impacto. Isso é avaliar seus riscos e entender o que eles são, além de demonstrar e documentar sua conformidade com o GDPR. O SQL Compliance Manager permite que você relate os elementos que estão sendo monitorados. Para resumir, auditando seus dados com o SQL Compliance Manager, o SQL Compliance Manager permite detectar logins com falha - o que é um sinal potencial de violação - monitore as atividades administrativas e as alterações de segurança, alertando-o sobre as modificações no banco de dados, auditoria colunas que você define como informações confidenciais, identifica usuários privilegiados e rastreia suas atividades separadamente dos outros usuários em seu sistema, informa que as informações estão sendo auditadas de acordo com várias diretrizes regulatórias. Não apenas cobrimos o GDPR, mas cobrimos HIPAA, PCI, FERPA, SOX, todas as diretrizes regulatórias quando se trata de auditar suas informações e entender o que está sendo acessado, temos essas diretrizes regulatórias em vigor.

Também temos produtos na IDERA para a preparação do GDPR. Além da auditoria realizada pelo SQL Compliance Manager, temos o ER / Studio Enterprise Team Edition, que pode ajudá-lo a documentar seus processos de dados e incorporar padrões de dados ao seu modelo de dados, você pode criar glossários de dados sobre os quais William estava falando no slide anterior . Como afirmei aqui nesta apresentação, o SQL Compliance Manager pode ajudá-lo a auditar suas informações para garantir que as pessoas erradas não estejam acessando seus dados, além de provar isso aos auditores. O SQL Safe Backup pode ajudá-lo a criptografar seus dados e seus backups. A criptografia é uma parte essencial do GDPR, que não abordei em detalhes, porque queria me concentrar muito nos ativos do Compliance Manager, mas o SQL Safe Backup faz muita criptografia para você, para que seus dados possam permanecer seguros. O SQL Inventory Manager pode garantir que os servidores estejam corrigidos e atualizados, para que você não termine em um caso como o Equifax, onde eles tinham um patch desatualizado que lhes dava uma grande brecha na segurança que as pessoas podiam use maliciosamente. O SQL Secure pode auditar os padrões de privacidade e criptografia.

Para obter mais detalhes no site da comunidade IDERA, em nosso blog, publiquei um artigo Preparando-se para o GDPR, olhando para 2018 e Entendendo o impacto do GDPR e também há, você certamente pode baixar uma cópia de avaliação do SQL Compliance Manager na IDERA, bem como em qualquer outro produto que mencionei anteriormente no slide.

Neste ponto, vou seguir em frente e devolver a apresentação a Eric para que possamos fazer algumas perguntas.

Eric Kavanagh: OK, bom. Você tocou em várias coisas realmente interessantes, Kim, uma das quais - acho que isso é meio simples, mas é bastante inteligente - você falou sobre a detecção de logins com falha. Parece-me que é um bom sinal de que alguém não está certo, certo?

Kim Brushaber: Absolutamente. Se você vir alguém que está tentando acessar e decifrar sua senha, é uma maneira muito rápida de dizer que alguém não está fazendo o que deveria. Talvez algumas vezes você possa digitar sua senha incorretamente, mas se você vir 30 delas, isso é um mau sinal.

Eric Kavanagh: Sim. A chave aqui é definir seus alertas com o contexto apropriado. O que mais você pode nos dizer sobre como gerenciar o processo de configurar alertas e desativar os que não estão fazendo o que deveriam estar fazendo e quanto desse material pode ser automatizado?

Kim Brushaber: O Compliance Manager possui muitos alertas configuráveis, além de relatórios que você pode revisar. Analisamos seus rastreamentos SQL e temos esse rastreamento automático e muitos deles já estão pré-configurados e predefinidos, mas certamente há uma quantidade significativa de personalização que você também pode fazer.

Eric Kavanagh: William, vou falar sobre isso - parece-me que essa é uma das áreas em que veremos o aprendizado de máquina entrar em ação nos próximos dois a dez anos, mais ou menos, analisando todas as possibilidades diferentes. Observando todas as diferentes maneiras pelas quais um sistema pode otimizar sua eficiência, é eficaz em questões como violações e assim por diante. Essa é a sua opinião também?

William McKnight: Sim, com certeza. Acho que agora estamos construindo sistemas que se consertam. O monitoramento 24 por 7 está começando a desaparecer e se tornar uma coisa do passado, embora ainda precisemos desse tipo de tempo de atividade. Eu acho que os sistemas estão basicamente incorporando isso e descobrindo o que está errado. Precisamos alocar mais espaço aqui ou o que você tem? Sim, acho que definitivamente faz parte do nosso futuro. Qualquer coisa lá fora, que possa ser mapeada para algumas etapas da ação, para responder a alguma coisa, é definitivamente vulnerável à inteligência artificial.

Eric Kavanagh: Esse é um bom ponto. Vou fazer mais uma pergunta para você, William, porque sei que você faz muita pesquisa nesse espaço. Uma das coisas que eu estou esperando há um bom tempo e acho que ainda não chegamos - acho que estamos chegando perto, apenas pelo que tenho lido e pensado - é um dia em que haverá tecnologia para absorver questões regulatórias, a redação real dessas coisas e mapeá-la para funcionalidade e software. Como eu disse, ainda estamos longe disso - não consigo imaginar que não haja alguém trabalhando nisso. Você já se deparou com algo assim, ou ainda estamos em um ponto em que os seres humanos precisam olhar para as regras, realmente tentar entendê-las, codificá-las em código de máquina, essencialmente, e depois direcioná-las para suas diversas aplicações?

William McKnight: Bem, eu certamente entendo o conceito que você está compartilhando aqui. Não estou familiarizado com nada acontecendo em relação a uma implantação em um ambiente relacionado a isso. Porém, em geral, obviamente, estamos começando a dizer às máquinas não o que fazer, mas qual é o objetivo do que queremos fazer e as máquinas estão ficando muito mais inteligentes em descobrir os detalhes. Penso que, uma vez que obtivemos mais inteligência artificial em nossas organizações, é bem possível que novos regulamentos possam ser desenvolvidos em conjunto com a IA implantada dentro das organizações, para que possam ser implementados da maneira que você descreveu no futuro. Por enquanto, não estamos agindo com isso.

Eric Kavanagh: Aqui está uma pergunta que vou passar para você, Kim, porque isso também é interessante. Você fala sobre a latência média ou o tempo que alguém que faz logon no seu sistema oculta e apenas espera - o número de dias em que um invasor permanece inativo em uma rede - a detecção é 200. Estou curioso para saber, quais são seus pensamentos sobre como melhorar isso antes de tudo? Mas também, existe uma maneira de usar esse tipo de regra para explorar seu próprio sistema? Para explorar seus próprios dados, fazer um trabalho melhor para manter esse tipo de pessoa fora?

Kim Brushaber: Sim, acho que obviamente a detecção precoce é fundamental. Você precisa descobrir que esses sites maliciosos estão acessando suas informações e poder bloqueá-las. Eu acho que nos outros slides em que mostramos que a maioria das organizações não possui essas políticas. É por isso que eles estão sentados lá. Acho que se você realmente tivesse uma política em vigor para bloquear e bloquear seu acesso, verifique se as pessoas certas têm acesso. Certifique-se de girar suas chaves regularmente e atualizá-las. Verifique se suas senhas estão sendo atualizadas regularmente e fazendo esse tipo de coisa, que parece bastante básico. No momento, a maioria das organizações nem está fazendo isso, e começar a colocar essas peças no lugar ajudará você a superar isso.

Significa que é claro que os hackers ficarão mais espertos com isso, mas no momento é fácil, é como: “Vou olhar para as casas na rua em que sinto vontade de invadir, elas terão alarme? sistemas? Eles têm um pequeno sinal de alarme e esse tem cães? Vou para uma que não tem sinal de alarme, não tem cachorro e é nessa casa que vou invadir. ”Bem, eles vão descobrir as empresas que não eles não têm a segurança no lugar e não estão atualizando suas senhas. Eles vão ficar lá e usar seu cartão de crédito em um posto de gasolina algumas vezes para garantir você não o interrompeu e quando eles podem influenciar uma grande mudança, normalmente algum tipo de declaração política ou de outra forma é quando você os vê levantar a cabeça. Colocando essas políticas em prática, acho que, neste momento, você pode tomar algumas medidas mínimas para se antecipar a este jogo.

Eric Kavanagh: Esse é provavelmente o melhor conselho e eu sempre ouço isso quando conversamos com pessoas que estão no espaço de segurança ou no espaço regulatório, que o básico cobrirá 80% do seu problema e que há muito a ser coberto - isso é um bom ponto. Um dos participantes perguntou se alguém poderia expandir as oportunidades de negócios que poderiam ser extraídas dos esforços de conformidade com o GDPR, lembro-me de Sarbanes-Oxley e, acho, William, vou falar sobre você. Como consultor, você está sempre procurando maneiras de ajudar seus clientes fora do escopo de um projeto específico - pelo menos se você é um bom consultor, está fazendo isso. Quando você conversa com as pessoas sobre o GDPR, quais são os benefícios auxiliares que você pode dizer que eles obterão se se envolverem em algum projeto focado nisso?

William McKnight: Antes de tudo, é importante observar que a idéia por trás do RGPD não é de todos os direitos. Existe o outro lado do RGPD, ou seja, isso vai melhorar a confiança que os cidadãos têm em nossas empresas e isso os incentivará a fazer mais negócios nas empresas compatíveis. Existem os benefícios auxiliares de realmente realizar seu GDPR, agora internamente, os programas de governança de dados que implementamos servem para facilitar todo tipo de iniciativas, realmente, que estão sendo iniciadas nas organizações e hoje, de longe, iniciativas que estão sendo lançadas. fora das organizações. Recentemente, planejei para 2018 muitos deles, eles têm muito a ver com dados, são 65 a 90% sobre todos os dados - quando você está falando sobre telemática ou programa do cliente 360 ou um painel para monitorar os vendedores, trata-se principalmente dos dados. Qualquer coisa que gerencie melhor esses dados, que os coloque em uma arquitetura melhor que nomeie as pessoas que podem responder a todas e quaisquer perguntas sobre esses dados, que realmente se importam como um programa de governança de dados. Qualquer coisa que nos dê um glossário de dados - como Kim estava falando com suas ferramentas - qualquer coisa que faça isso, é muito útil para tornar essas iniciativas muito mais eficientes, arrisque-as, reduza o tempo, diminua o orçamento para elas e nos leve a um tempo ágil para comercializar coisas muito mais rápidas e boas para uma empresa que toma iniciativas, que são todas as empresas.

Eric Kavanagh: Eu amo esse conceito de confiança. Penso que a confiança é uma realidade muito subestimada em nosso mundo e, francamente, a maioria dos negócios funciona com confiança - realmente acontece quando você se dedica a isso. Vou falar para você apenas para alguns comentários finais, Kim. Eu acho que um dos principais valores agregados aqui é melhorar a confiança e fomentar uma cultura de confiança, porque isso não só terá impactos positivos na própria empresa, nas pessoas dentro da empresa, mas também no que o público percebe porque esse tipo de parece-me algo, mas o que você acha?

Kim Brushaber: Sim, acho que quando falo com amigos que trabalham no Google ou no Facebook ou em algumas das maiores organizações de alto nível, eles não estão implementando tantos recursos novos quanto na implementação de protocolos e desempenho de segurança e problemas de escalabilidade, porque eles querem que a experiência do usuário seja aquela em que acreditem que podem confiar nessas informações. Penso que as empresas têm essa responsabilidade, à medida que continuamos avançando para fornecer esse tipo de confiança. Lembro-me de quando as pessoas começaram a colocar cartões de crédito on-line e as pessoas pensavam: "Oh meu Deus, não vou dar essas informações por aí, porque não são seguras".

E agora, seu cartão de crédito funciona de qualquer maneira, porque você, em teoria, pensa que pode confiar na empresa porque possui um certificado HTTPS. Depois, você ouve sobre as violações de dados da Target, onde os cartões de crédito eram como: "Oh, é melhor trocar seu cartão de crédito porque liberamos essas informações". Acho que é um sentimento de mão dupla. Eu acho que as pessoas, apesar de quererem ser mais confiantes porque é muito mais fácil, poder confiar e ter fé nisso em grandes organizações, as grandes organizações precisam intervir e colocar essas peças no lugar para que não ' Não fere o indivíduo ou você perde participação de mercado. As pessoas dizem: “Bem, você sabe, não vou mais comprar na Target, agora vou comprar na Amazon.” Acho que a confiança é um grande problema, embora, como dissemos, 78% das pessoas estejam ainda vai clicar nesse link em um email, mesmo sabendo que talvez não. Existe uma certa proteção das pessoas, mesmo quando elas confiam em você.

Eric Kavanagh: Esse é um bom ponto. Quer saber, vou fazer uma última pergunta para você, William, ou pelo menos mais uma - temos algumas boas entrando agora. Um participante escreve: “O GDPR está transferindo o gerenciamento de identidade de volta para o cliente, onde ele pertence. A Equifax danificou permanentemente 149 milhões de consumidores ", é verdade", contaminando a economia digital. Que mudanças você vê acontecendo nos EUA em relação à propriedade do cliente em relação ao gerenciamento de identidades? ”

William McKnight: Bem, estamos sempre atrasados ​​nos EUA quando se trata desse tipo de coisa, não estamos? Cento e quarenta e nove milhões, isso não é gota no balde ali. É quase como terrorismo, certo? Estamos tão acostumados, está acontecendo o tempo todo. Eu acho que algo precisa ser feito. Eu acho que o RGPD, eu gosto dos direitos que ele concede aos cidadãos, mas isso não parece ser uma prioridade - existem muitas outras prioridades e eu não sei para onde isso vai dar. Penso que, como mencionei no slide de ramificações que eu tinha, isso sinaliza uma mudança em direção a mais direitos do consumidor sobre seus dados. Quando isso acontece aqui nos EUA? Eu não sei, pode demorar até cinco anos para ver algo proporcional ao RGPD acontecendo aqui nos EUA. Apenas especulações neste momento.

Eric Kavanagh: É um ponto muito bom e acho que vamos ver mais esforços nisso, porque, vamos ser sinceros, estamos nos movendo para uma economia digital hoje em dia. E como um comentário final aqui, ficando um pouco filosófico, orientado para as políticas, é isso que mais me preocupa com a mudança para uma sociedade sem dinheiro, porque quando o dinheiro vai embora, se isso acontecer, tudo é digital e todo sistema pode ser hackeado e a identidade de cada pessoa pode ser roubada. Parece-me que é um elefante muito grande na sala aqui, enquanto olhamos para o futuro do gerenciamento de identidade.

Isso tudo é ótimo, pessoal. Agradeço a William McKnight por seu tempo e atenção hoje. Obrigado a Kim Brushaber da IDERA. Arquivamos todos esses webcasts para visualização posterior, portanto, fique à vontade para voltar, geralmente em apenas algumas horas e o arquivo estará pronto. Com isso, vamos dizer adeus, pessoal. Mais uma vez obrigado pelo seu tempo e atenção. Tome cuidado. Tchau tchau.

Dica do iceberg: por que o gdpr é apenas o começo