टेकोपेडिया स्टाफ द्वारा, 6 दिसंबर, 2017
Takeaway: होस्ट एरिक कवनघ यूरोपीय संघ के आगामी जनरल डेटा प्रोटेक्शन रेगुलेशन और उद्योग पर पड़ने वाले प्रभावों पर चर्चा करता है। उनके साथ McKnight Consulting Group के विलियम मैकनाइट और IDERA के किम ब्रुशबर हैं।
आप वर्तमान में लॉग इन नहीं हैं। वीडियो देखने के लिए कृपया लॉग-इन या साइन-अप करें।
एरिक कवनघ: ठीक है, देवियों और सज्जनों, नमस्कार और एक बार फिर आपका स्वागत है। यह बुधवार को 4 बजे पूर्वी समय है, जिसका अर्थ है कि यह एक बार फिर से समय है - 2017 के वर्ष में आखिरी बार - हॉट टेक्नोलॉजीज के लिए। हां, वास्तव में, मेरा नाम एरिक कवनघ है - मैं आज के कार्यक्रम के लिए आपका मध्यस्थ बनूंगा। हम एक ऐसे विषय के बारे में बात कर रहे हैं जो कम से कम कहने के लिए दूरगामी है। अभी, ऐसा नहीं लगता है - GDPR की अवधारणा, ग्लोबल डेटा प्रोटेक्शन रेगुलेशन। चलो आगे बढ़ो और सही में गोता लगाओ, यह तुम्हारे बारे में सही मायने में नहीं है, मेरे बारे में पर्याप्त है। यह वर्ष गर्म है, यह वास्तव में बहुत अलग-अलग तरीकों से गर्म है, लेकिन जीडीपीआर और अन्य संगठनों से आसन्न विनियम, काफी स्पष्ट रूप से, व्यापार की दुनिया में क्या चल रहा है, विशेष रूप से यह परिणाम है, या फिर से सोचने के लिए मजबूर कर रहे हैं। जैसा कि यह डेटा से संबंधित है। हम IDERA के किम ब्रुशबर और मैककनाइट कंसल्टिंग ग्रुप के विलियम मैकनाइट से भी सुनने वाले हैं।
बस हाथ में विषय के बारे में त्वरित शब्दों के एक जोड़े, दोस्तों। जीडीपीआर मूल रूप से कहता है कि संगठनों के पास डेटा के संबंध में एक गोपनीयता-पहली और एक सुरक्षा-पहली नीति होनी चाहिए और वास्तव में, यह आपके द्वारा सुनाए जाने वाले कुछ सामानों के बारे में है - उदाहरण के लिए, भूल जाने का पूरा अधिकार भाग और आंशिक है यह पूरा पल, और यह बहुत दिलचस्प सामान है। यह निश्चित रूप से अपने सिद्धांतों और अपनी नैतिकता के संदर्भ में मान्य है। वास्तविक कार्यान्वयन के संदर्भ में, हालांकि, यह एक बहुत गंभीर चुनौती है। भूल जाने का अधिकार कहता है कि यदि आप चाहते हैं कि कुछ संगठन आपके डेटा, आपके व्यक्तिगत रूप से संवेदनशील डेटा नहीं हैं, तो उन्हें इससे छुटकारा पाना होगा। ठीक है, आप बस कल्पना कर सकते हैं जब इनमें से कुछ वास्तव में विषम डेटा वातावरण, कितना मुश्किल है। हर उस जगह तक पहुँचने में सक्षम होना जहाँ आपका डेटा लगातार बना रहता है और इसे बाहर निकालना है, यह सिर्फ होने वाला नहीं है, यह नीचे की रेखा है। बहरहाल, संगठनों को उन चिंताओं को दूर करने में सक्षम होने के लिए नीतियों को लागू करने की आवश्यकता है, और यही है कि नियामक, मुझे पूरा यकीन है, देखने के लिए जा रहे हैं।
यह एक बड़ा सौदा है। यदि आप ऐसा कहते हैं, तो न केवल संगठन को आपके डेटा को निकालने की आवश्यकता होती है, लेकिन अगर उन्होंने उस डेटा पर एल्गोरिदम को प्रशिक्षित किया है, तो तकनीकी रूप से वे एल्गोरिदम को भी पीछे हटाना चाहते हैं। यह एक लंबा आदेश है, मुझे आपको बताना है, लेकिन यह आ रहा है, यह पाइक नीचे आ रहा है, यह अगले साल मई में एक वास्तविकता बनने जा रहा है और अन्य नियम भी हैं। कनाडा में एंटीस्पैम कानून है जो वे पारित कर चुके हैं, यह एक प्रभाव है कि हम व्यक्तिगत जानकारी से कैसे निपटते हैं। नेट न्यूट्रैलिटी में अब गिरावट आ रही है, बेशक इसे अनिवार्य रूप से उखाड़ दिया गया है, और यह कुछ चीजों को बदलने वाला है। इन बहुत गंभीर नियमों में बहुत सारे ऐसे हैं जो बोर्ड और दुनिया भर के व्यवसायों को प्रभावित कर रहे हैं, बड़े संगठनों को वास्तव में सोचने और खुद को तैयार करने की आवश्यकता है।
उसके लिए, हमें मैककेनाइट कंसल्टिंग ग्रुप्स के विलियम मैककेनाइट ऑनलाइन मिल गए हैं ताकि हमें पता चल सके कि वह क्या सोचता है और जीडीपीआर वास्तव में हिमशैल का सिरा क्यों है। उस के साथ, विलियम, मैं इसे आप को सौंपने जा रहा हूँ। इसे दूर ले जाओ।
विलियम मैकनाइट: धन्यवाद, एरिक, और जैसा कि आप कहते हैं, जैसा कि स्लाइड कहती है, यह जीडीपीआर शायद हिमशैल का टिप है - यह निश्चित रूप से हम सोचते हैं। यह महत्वपूर्ण है कि हम GDPR में गहराई से गोता लगाएँ क्योंकि मुझे लगता है कि यह विनियमन की एक लहर का प्रतिनिधित्व करता है जो उस पाइप से नीचे आ रहा है जिसे हमें निपटना है। सौभाग्य से, एरिक, उस अधिकार के चारों ओर कुछ उचित मानक हैं जिन्हें भुला दिया जाना चाहिए, जो मुझे मिलेगा। लेकिन फिर भी, इस वर्ष जीडीपीआर के बारे में बात करते हुए, मुझे लगता है कि बहुत सारी फर्में हैं, विशेष रूप से अमेरिकी फर्में, जो अभी इसके लिए तैयार नहीं हैं। यह निश्चित रूप से गर्म है और कुछ ऐसा है जो हम निश्चित रूप से एक साल पहले के बारे में नहीं सोच रहे थे, जब वे सिर्फ कुछ चीजों के गुब्बारे का परीक्षण कर रहे थे, लेकिन अब यह एक विनियमन है और हमें इसके साथ निपटना होगा, जैसा कि आपने कहा, एरिक, सही आ रहा है यहाँ ऊपर - इतना दूर बिल्कुल नहीं है।
मेरे बारे में थोड़ा, मैं डेटा के नजरिए से इस पर आने वाला हूं। आपको बताने के लिए, मैं एक आजीवन डेटा व्यक्ति हूं और डेटा के स्थान पर 19 वर्षों से परामर्श कर रहा हूं, और GDPR डेटा के लिए बहुत कुछ है। जैसा कि मैं डेटा शासन के आसपास अपनी प्रस्तुति में मिलता है, मैं यहां समाधान का एक निकाय बनाने जा रहा हूं। मैं स्पष्ट रूप से, बहुत सारे डेटा गवर्नेंस प्रोग्राम कर रहा हूं और मुझे लगता है कि यदि आप उस कॉन्सेप्ट के साथ गठबंधन कर रहे हैं, तो आप कुछ डेटा गवर्नेंस कर रहे हैं, बहुत सारी कंपनियां बाहर का रास्ता तय करने वाली हैं। वास्तव में, जीडीपीआर अनुपालन के लिए, लेकिन बहुत कुछ होने जा रहा है, और सबसे स्पष्ट रूप से जो शासन में पीछे हैं और इसलिए उनकी जीडीपीआर तैयारियों में काफी पीछे हैं। आइए यहां सेट करें और समझें कि जीडीपीआर क्या है और जैसा कि हम बातचीत में गहरा हो गए हैं, हम व्यवसायिक जीवन पर जीडीपीआर के अधिक प्रभावों के बारे में जानेंगे, क्योंकि हम नए साल और उससे आगे बढ़ते हैं।
GDPR यूरोपीय संघ के नागरिक डेटा गोपनीयता के लिए है। यह एक विनियमन है - इसका मतलब है कि इसमें दांत हैं, इसका मतलब यह लागू करने योग्य है। यह ऐसा कुछ नहीं है जो एक सुझाव के रूप में वहाँ रखा गया है - जो पहले से ही हुआ है और अब इसे दंड के साथ एक विनियमन में गठित किया गया है। मुझे दंड के साथ शुरुआत करना पसंद है क्योंकि इससे लोगों का ध्यान जाता है। ये कठोर दंड हैं। दो दंड हैं, दुनिया भर में वार्षिक राजस्व का 2 प्रतिशत या 10 मिलियन यूरो है अगर कोई व्यवसाय सुरक्षा दायित्वों का पालन करने में विफल रहता है, लेकिन बाकी सब कुछ, अन्य प्रावधानों के उल्लंघन में - और मैं उनमें मिलूंगा - यह 4 प्रतिशत है। आप इसे 4 प्रतिशत के बारे में सुनते हैं। और वैसे, यह 4 प्रतिशत या 10 मिलियन यूरो है, जो भी अधिक है। यह बहुत कड़ा है। लोग इसे लेकर बहुत गंभीर हैं। 25 मई, 2018 से शुरू होने वाली लागू - यह एक महत्वपूर्ण तारीख है, कि जब ऑडिट शुरू हो सकती है, तभी आप अपना जुर्माना प्राप्त कर सकते हैं। निश्चित रूप से आप इसके लिए तैयार होना चाहते हैं। मैं जिस भी कंपनी के साथ काम करता हूं, मैं बहुत सारी ग्लोबल 2000 कंपनियों के साथ काम करता हूं, वे कहीं न कहीं उनकी जीडीपीआर की तैयारी में हैं, कुछ दूसरों की तुलना में और कुछ को इस बिंदु पर दूसरों से ज्यादा होना चाहिए। निश्चित रूप से, यह कुछ के लिए उस तारीख को पूरा करने के लिए चुनौतीपूर्ण होने जा रहा है, और हम देखेंगे।
यह सबसे गहन डेटा गोपनीयता अनुपालन शासन है जिसे हमने आज तक देखा है। जब हम कुछ अधिक कठोर या ऐसा कुछ देखेंगे जो शायद अमेरिकी आबादी को अधिक सीधे प्रभावित करता है, जो जानता है, लेकिन यह वहां से बाहर है और निश्चित रूप से इसका पालन करने की आवश्यकता है। यह समझने के लिए संगठनों की आवश्यकता है कि यूई नागरिक पीआईआई - हम पीआईआई से परिचित हैं - व्यक्तिगत रूप से पहचान योग्य जानकारी, सामाजिक सुरक्षा, फोन नंबर, पता, ऐसी चीजें जो किसी व्यक्ति की विशिष्ट पहचान कर सकती हैं या किसी व्यक्ति की काफी विशिष्ट पहचान कर सकती हैं। उनके पास क्या है और वे इसका उपयोग कैसे कर रहे हैं। इसका मतलब इन्वेंट्री है। इसका मतलब है कि इस तरह के डेटा के आसपास आपकी अपनी कंपनियों के भीतर विनियमन। वैसे, अमेरिका के पास किसी भी तरह का राष्ट्रव्यापी डेटा संरक्षण कानून नहीं है। अमेरिका हमेशा से रहा है - मैं इस तरह के विनियमन के संदर्भ में इसे यूरोप के पीछे - परिप्रेक्ष्य में रखने के लिए कहूंगा। यह GDPR के साथ जारी है, यह बहुत स्पष्ट है। आप में से कुछ लोग प्राइवेसी शील्ड के बारे में जान सकते हैं, आप सोच रहे होंगे। जीडीपीआर में लगभग तीन या चार प्रावधान हैं जिनकी गोपनीयता ढाल के साथ कोई भी ओवरलैप है, लेकिन जीडीपीआर में सौ प्रावधान हैं, इसलिए यह इससे कहीं अधिक है और निश्चित रूप से अभी भी जगह में है और इसका यूएस और ईयू डेटा इंटरचेंज के साथ क्या करना है केवल, हालांकि यह महत्वपूर्ण है।
दोबारा, मुझे संख्याओं के साथ शुरुआत करना पसंद है। आपने जुर्माने के बारे में सुना, इसके बारे में आप कैसे तैयार होते हैं। GDPR के लिए बजट बनाना और इसमें से कुछ करना, यह कुछ कारकों पर निर्भर करता है। पीआईआई डेटा की मात्रा जो आप यूरोपीय संघ के नागरिकों पर एकत्र करते हैं। यदि आप कोई नहीं जमा करते हैं, तो ठीक है, आप शायद शिकायत कर रहे हैं और इससे निपटने के लिए नहीं है, लेकिन आप शायद इस कॉल पर हैं क्योंकि आप कहीं इकट्ठा करते हैं। आपकी कंपनी का आकार और आपके डेटा गवर्नेंस की परिपक्वता, जैसा कि मैंने पहले कहा था, कि जीडीपीआर का जवाब देने के लिए आपको क्या करने की आवश्यकता हो सकती है। अनुपालन के लिए, जैसा कि मामला हो सकता है, आप कई मिलियन अमरीकी डालर या यूरो तक की उम्मीद कर सकते हैं। हालाँकि, हम चाहते हैं, केवल GDPR का अनुपालन न करना, उस बॉक्स की जाँच करना, निश्चित रूप से हमें ऐसा करना है। उम्मीद है, आप उस गंभीर स्थिति में नहीं हैं जहाँ आप उस बॉक्स को जाँचने के लिए बेताब हैं। व्यावसायिक लाभों के लिए देखें क्योंकि जीडीपीआर का समर्थन करने के लिए आपके द्वारा की जाने वाली बहुत सी चीजें आपके व्यवसाय के लिए अच्छी हैं। डेटा गवर्नेंस आपके व्यवसाय के लिए अच्छा है। जब पीआईआई डेटा की मात्रा की बात आती है, तो कुछ दूसरों की तुलना में अधिक महत्वपूर्ण होते हैं, कुछ अन्य की तुलना में अधिक जांच किए जाने वाले होते हैं, जैसे डेटा से संबंधित स्वास्थ्य, अन्य प्रकार के डेटा की तुलना में जीडीपीआर के तहत अधिक सख्ती से विनियमित किया जाना और अनुपालन की आवश्यकता होगी अतिरिक्त सुरक्षा के साथ जैसे कि डेटा सुरक्षा प्रभाव आकलन का संचालन करना, जो जाहिर है, आपके बजट में जोड़ता है।
बजट के बारे में बहुत कम। यदि आप यूके या यूएस में हैं और सोच रहे हैं कि यह आपको कैसे प्रभावित करता है - जीडीपीआर ब्रिटेन को प्रभावित करता है, जो अभी भी यूरोपीय संघ में है, तो 29 मार्च 2019 तक और जिसकी सरकार ने संकेत दिया है कि जीडीपीआर जैसा कुछ जारी रहेगा उस तारीख के बाद क्योंकि "यह एक अच्छा विचार है।" ब्रिटेन की कंपनियों को इसका अनुपालन करना है। ब्रिटेन का नागरिक डेटा निश्चित रूप से इसके लिए तालिका पर है। यदि यह स्पष्ट नहीं है, तो यूएस-आधारित व्यवसाय हैं, यदि आप यूरोपीय संघ के नागरिक डेटा के साथ यूरोपीय संघ में सौदा करते हैं, तो यह निश्चित रूप से आपके लिए लागू होता है। इससे आपके डेटा आर्किटेक्चर पर प्रभाव पड़ता है क्योंकि आप अपने ईयू डेटा को बाकी सब चीजों से अलग कर सकते हैं और इसे अलग तरह से समझ सकते हैं। यह एनालिटिक्स को प्रभावित करता है, जैसा कि एरिक कह रहा था, आप उन एनालिटिक्स को कैसे संकलित करते हैं आदि। अब किसी भी तरह के कॉन्सेप्ट-वाइड, ग्लोबल-वाइड एनालिटिक्स को प्राप्त करना अधिक कठिन हो सकता है। जीडीपीआर के परिणामस्वरूप वे अधिक स्थानीय हो सकते हैं।
प्रावधानों में क्या है? डेटा सुरक्षा मानक हैं। ये सभी लेकिन आराम और गति में डेटा के एन्क्रिप्शन को निर्देशित करते हैं। मैं अगले एन्क्रिप्शन के बारे में बात करूँगा। डेटा ब्रीच अधिसूचना मानक हैं। महीनों से इंतजार कर रहे क्वार्टर का इंतजार हर किसी को नहीं है। मुझे लगता है कि दूसरे दिन एक बड़ा था और हमें पता चला, "ओह, यह एक साल पहले हुआ था।" जीडीपीआर में से कोई भी नहीं - आपके पास 72 घंटे हैं। यह एक नाम और शर्म की नीति है। उम्मीद है कि किसी को भी नहीं मिलेगा, स्पष्ट रूप से कुछ लोग करेंगे। जीडीपीआर के बाद भी निश्चित रूप से ब्रेक्स चले जाएंगे। डेटा की स्थिति और गुणवत्ता की निगरानी करने के लिए प्रक्रियाएं हैं। जाना पहचाना? यह वास्तव में डेटा शासन का दिल है। उम्मीद है कि आपके पास जाने वाले कुछ लोग होंगे।
यूरोपीय संघ के नागरिकों को भूल जाने का अधिकार है, जैसा कि एरिक ने उल्लेख किया है। इस के लिए कुछ उचितता मानक हैं, एरिक। आपको आवश्यक रूप से सब कुछ करने की आवश्यकता नहीं है, यदि आपको उस ग्राहक, उस कर्मचारी से फिर से संपर्क करना पड़ सकता है, तो आपको उनके व्यक्तिगत डेटा के कुछ पहलुओं को रखने की अनुमति होगी। लेकिन, फिर भी, उन नागरिकों को भूल जाने का अधिकार है, लेकिन कोई असम्बद्ध प्रयास नहीं हो सकता है - यह भाषा है - आप पर या कंपनी को नुकसान पहुंचाना, यह आप पर है कि डेटा को तिरस्कृत किया जाए। मैं इसे कम नहीं करना चाहता, लेकिन आपको व्यक्तिगत डेटा की प्रतियां भी जारी करनी होंगी और आप केवल सहमति के तहत ही उस डेटा को प्राप्त कर सकते हैं। यह सहमति ऐसे लोगों को दी जानी चाहिए जो इस तरह की अनुमति देने के लिए न्यूनतम आयु के हैं। यह एक कौर है, लेकिन यह नागरिकों को उनके डेटा पर बहुत सारे अधिकार दे रहा है। उस स्थिति में पोर्टेबिलिटी ठीक है, जो कभी सामने आती है। भूल जाने का अधिकार, स्पष्ट रूप से, लेकिन यह भी - और ऐसा कुछ जो मेरी स्लाइड पर नहीं है जो बहुत महत्वपूर्ण है - डेटा विषय है अधिकार केवल स्वचालित प्रसंस्करण पर आधारित निर्णय के अधीन नहीं होना चाहिए। हम किस चीज़ को लेकर आगे बढ़ रहे हैं? स्वचालित प्रसंस्करण, ऋण स्वीकृति के आस-पास, हम जो प्रस्ताव देने जा रहे हैं, उसके लिए यह काम करना होगा कि यह कैसे चल रहा है और यह कितनी दूर जाने वाला है। यह अनिवार्य रूप से क्या कह रहा है, इस बारे में पारदर्शिता है कि मैं क्यों खारिज कर दिया गया, क्यों मुझे इस कंपनी द्वारा एक निश्चित तरीके से व्यवहार किया जा रहा है। यह अभी एक यूरोपीय संघ के नागरिक को दिया जा रहा है।
जाहिर है, हम व्यापार कैसे करते हैं, इस पर कुछ अड़चनें हैं और उम्मीद है कि आप देख रहे हैं कि GDPR एक IT समस्या नहीं है, बल्कि IT समस्या भी नहीं है। ये सभी व्यवसाय प्रक्रियाएं शामिल हैं। इसमें कंपनी भर के लोग शामिल होंगे। 250 से अधिक कर्मचारियों वाली उन कंपनियों के लिए एक डेटा सुरक्षा अधिकारी की नियुक्ति की सिफारिश की जाती है और आपके पास "ईयू पीआईआई डेटा के साथ महत्वपूर्ण गणित" है। यदि आप उस महत्वपूर्ण गणित के बारे में जानते हैं, तो कभी-कभी यह स्पष्ट नहीं होता है। लेकिन, एक नई भूमिका है - एक पूर्णकालिक भूमिका नहीं है, व्यक्ति पर अन्य जिम्मेदारियां हो सकती हैं, लेकिन मुझे नहीं पता - कुछ midsize और बड़े निगमों में, बहुत ज्यादा मुझे लगता है कि GDPR का पालन करने जा रहा है एक पूर्णकालिक भूमिका के करीब हो। मैं कहूंगा कि इस तरह से शुरुआत करें और देखें कि क्या आप इसे संभाल सकते हैं। विशेष रूप से अगले वर्ष, जैसा कि आप जीडीपीआर के आसपास एक साथ अपना काम कर लेते हैं, एक बार जब यह बस जाता है, तो शायद आप इस पर काम धीमा कर सकते हैं, लेकिन यह कुछ कंपनियों को काफी समय लेने वाला है। व्यक्तियों को अपने स्वयं के डेटा और डेटा पोर्टेबिलिटी को देखने की अनुमति दें, जैसा कि मैंने पहले उल्लेख किया है।
वैसे, यह सब नया नहीं है, लेकिन भुला दिए जाने का अधिकार वास्तव में वहां से बाहर हो गया है, यह विश्वास है या नहीं। वर्तमान यूरोपीय संघ के नियम पहले से ही व्यक्तिगत डेटा को हटाने या अनुपलब्ध होने के अधिकार के लिए प्रदान करते हैं। हालाँकि, अब यह GDPR का हिस्सा है, इसे बहुत अधिक व्यापक रूप से लागू किया जा रहा है। डेटा एन्क्रिप्शन - अपने डेटा को आराम से एन्क्रिप्ट करें। मानक एन्क्रिप्शन विधियों का उपयोग करें, अपने स्वयं के होमग्रोन या गैर-मानक एन्क्रिप्शन का उपयोग न करें। एईएस वह है जो हम काफी थोड़ा सुझाते हैं। क्रिप्टोग्राफिक रूप से सुरक्षित एन्क्रिप्शन कुंजियों का उपयोग करें। समय-समय पर उन चाबियों को बदलें। साथ ही उन चाबियों को नुकसान से बचाएं। ये केवल अच्छे एन्क्रिप्शन प्रैक्टिस हैं, लेकिन अब वे GDPR के साथ सबसे आगे आ रहे हैं। उसमें समस्या है - मैंने केवल हिमशैल के सिरे को मारा है। वहाँ अधिक प्रावधान हैं, जाहिर है, पर ध्यान देना, लेकिन वे मुख्य हैं।
अब, समाधान। डेटा गवर्नेंस, आपके अनुपालन की रूपरेखा, कम से कम यही वह परिप्रेक्ष्य है जो मैं यहाँ रख रहा हूँ। सौभाग्य से, एक सक्रिय अच्छी तरह से एड़ी वाला अनुशासन है जो परिपक्व होने पर सबसे अधिक आवश्यकताओं को संबोधित करता है और करता है, और यह डेटा गवर्नेंस है - जाहिर है मैं ऐसा कह रहा हूं। शासन कार्यक्रमों में एक डेटा शब्दावली होनी चाहिए, और यहां मैं आपकी प्रक्रियाओं के लिए बोर्ड भर में प्रलेखन के लिए सामान्य अर्थ में डेटा शब्दावली का उपयोग कर रहा हूं। यह मूलभूत है, जीडीपीआर की इन्वेंट्री जरूरतों को पूरा करने के लिए, जैसा कि हमने देखा, काफी अपार हैं। कार्यक्रम, शासन कार्यक्रम, डेटा सुरक्षा प्रोटोकॉल को सुविधाजनक बनाना चाहिए - और मैं यह रेखांकित करता हूं कि क्योंकि ऐसा कुछ नहीं है जो बहुत सारे डेटा गवर्नेंस प्रोग्राम अभी कर रहे हैं, लेकिन मुझे लगता है कि ऐसा करने के लिए यह एक तार्किक जगह है क्योंकि वे कर रहे हैं उस कार्यक्रम पर बैठे जो यह निर्धारित कर रहा है कि व्यवसाय के मालिक कौन हैं? इसे किसको देखने की जरूरत है? और फिर अगला कदम उन अनुमतियों को देना है। इसे केंद्रीकृत करने की आवश्यकता है, जिसे औपचारिक रूप देने की आवश्यकता है। आंतरिक नीतियों का उपयोग करने की आवश्यकता है। उपरोक्त सभी को इनपुट प्रदान करने के लिए स्टैर्डशिप को सभी तत्वों को सौंपा जाना चाहिए। डेटा गवर्नेंस बिजनेस प्रोसेस इंजीनियरिंग का सूत्रधार भी हो सकता है, जिसकी आवश्यकता होने वाली है।
इससे पहले कि मैं इस स्लाइड को छोड़ दूं, भारी जुर्माना के परिहार को शुद्ध करने में, कंपनियां एक उपोत्पाद के रूप में ध्वनि व्यवसाय प्रथाओं को अपनाएंगी। मुझे यह कहना पसंद है कि यह एक उपोत्पाद से अधिक है, लेकिन यह वास्तव में सिर्फ अच्छा है, ध्वनि व्यवसाय है जो आपको व्यवसाय के दृष्टिकोण से नई जगहों पर ले जा सकता है। निश्चित रूप से, यदि आपके पास ध्वनि डेटा गवर्नेंस है, तो बोर्ड में सभी पहलें करने के लिए आपको बहुत सारी दक्षताएँ मिलेंगी, यही मैंने वर्षों में देखा है। इन कुछ चीजों के अलावा, जिनका मैं उल्लेख कर रहा हूं, डेटा गवर्नेंस के लिए, वे केवल बेहतर होंगे। आपकी व्यावसायिक प्रक्रिया इंजीनियरिंग में, हम अनुशंसा करते हैं कि आप बोर्ड से ये प्रश्न पूछें, हर व्यवसाय क्षेत्र में हिट करें। हम अपने यूरोपीय संघ के ग्राहकों पर किस तरह का डेटा एकत्र करते हैं? मैं उन सब को नहीं पढ़ूंगा। यहाँ कुछ प्रमुख हैं। इस डेटा को देखने की आवश्यकता किसे है और क्या इसका पालन किया जा रहा है? उस डेटा के लिए डेटा कौन है? व्यवसाय में मेरा व्यक्ति कौन है? यह एक बड़ा है: क्या हम इस डेटा को तीसरे पक्ष के साथ साझा करते हैं? सिर्फ इसलिए कि आप इसे किसी तीसरे पक्ष को देते हैं, उस डेटा के आसपास अपने दायित्व का बहाना नहीं करता है - यह अभी भी आपका डेटा है, यह अभी भी आपके द्वारा एकत्र किया गया डेटा है। GDPR के परिणामस्वरूप अब बहुत सारे तृतीय-पक्ष अनुबंधों की गहन समीक्षा की जा रही है। क्या इन प्रणालियों में निर्धारक विफलताएं हैं? मतलब जब वे असफल होते हैं, तो वे एक ऐसे रास्ते में विफल हो जाते हैं जिसे हमने पूर्व निर्धारित किया है, या क्या वे बस असफल हो गए, दुर्घटनाग्रस्त हो गए, जल गए और हम उस पर खरोंच खुदाई से शुरू करते हैं? यह स्पष्ट रूप से बहुत बेहतर होने जा रहा है। यह पहले से ही एक अच्छा अभ्यास है, लेकिन स्पष्ट रूप से इस सामान के कुछ रिवर्स इंजीनियरिंग के लिए बहुत बेहतर है, अगर आपके सिस्टम में महान निर्धारक विफलताएं हैं।
डेटा प्रतिधारण, हम हमेशा के लिए डेटा अवधारण के बारे में बात कर रहे हैं। बहुत सारी कंपनियों की नीतियां हैं, वे सभी का पालन नहीं करते हैं, हालांकि। जाहिर है, स्वास्थ्य देखभाल और वित्तीय में प्रसिद्ध, हम डेटा रखना चाहते हैं, हमें निश्चित संख्या में डेटा रखना होगा। इन फर्मों में कुछ विश्लेषक जो सात साल तक डेटा रखते हैं या क्या कहते हैं, "ओह, उस अवधि के बाद मुझे वह डेटा चाहिए।" इन कंपनियों में से कुछ वकीलों का कहना है, "लेकिन हमें इससे छुटकारा पाने की आवश्यकता है। दायित्व प्रयोजनों के लिए, ”और इसी तरह। यह बस वहाँ नहीं बैठ सकता है, GDPR के साथ किसी भी समय लॉगरहेड्स में एक समस्या के रूप में। हमारे पास अवधारण अवधि है, यह संगठन के भीतर बोर्ड भर में लगातार पीछा किया है।
और अंत में, आप डेटा ब्रीच के लिए कैसे जुटते हैं? ये सबसे खराब स्थिति जो आपके साथ हो सकती है। जाहिर है, हम उन्हें रोकने की कोशिश कर रहे हैं, लेकिन अगर ऐसा होता है तो क्या होगा? आप युद्ध को कैसे देखते हैं और सुनिश्चित करें कि आप अपनी प्रतिक्रिया में जीडीपीआर के प्रावधानों का पालन कर रहे हैं। मैं एक डेटा आर्किटेक्ट हूं, मैं डेटा आर्किटेक्चर के बारे में सोचता हूं। यदि आप यूरोपीय संघ के संचालन के साथ एक यूएस-आधारित कंपनी हैं, जिसका अर्थ है ईयू नागरिक डेटा - आप इसे एकत्र कर रहे हैं, तो आपको यह विचार करना होगा कि डेटा सुरक्षा मानकों को सभी डेटा या केवल यूरोपीय संघ के डेटा पर लागू करना है या नहीं। हां, मेरे पास ऐसे ग्राहक हैं जो अब यह निर्णय ले रहे हैं। ध्वनि व्यवसाय अभ्यास के रूप में, वे चाहते हैं कि अमेरिका के लिए, वे ऐसा महसूस कर सकते हैं कि उनके पास समय है, हालांकि, यह बुलेटिन दो लाता है। यदि आप यह सुनिश्चित नहीं कर सकते हैं कि अमेरिकी सिस्टम डेटा को उचित रूप से संभालेगा, तो आपको अमेरिकी प्रणालियों से यूरोपीय संघ के डेटा को बंद करना पड़ सकता है। क्या एनालिटिक्स के उद्देश्यों के लिए यह अलग डेटा है? यदि आप उन्हें देश भर में करने की कोशिश कर रहे हैं तो क्या एनालिटिक्स भी मान्य हैं? कभी-कभी हाँ, कभी नहीं, है ना? आप पा सकते हैं कि आपके विश्लेषण के परिणामस्वरूप म्यूट होने जा रहे हैं।
जैसा कि मैंने पहले उल्लेख किया है, कृत्रिम बुद्धि यहाँ खेलती है क्योंकि जाहिर है, हम एआई का उपयोग सभी डेटा खोजने में कर सकते हैं, हमें सभी डेटा खोजने में मदद करते हैं, लेकिन यदि हम अपने ग्राहक इंटरफेस में एआई का उपयोग करते हैं, तो हमें अपने ग्राहक के साथ पारदर्शिता रखने की आवश्यकता है इंटरफेस और वह AI का मजबूत सूट कभी नहीं रहा। एक ग्राहक को यह बताने की कोशिश करने के लिए, "जब आप वास्तव में एआई थे, तो आपको अस्वीकार कर दिया गया था क्योंकि ब्ला, ब्ला, ब्ला, "। जो अब करना होगा। हमें यह पता लगाना होगा कि एआई कैसे काम कर रहा है, कारक क्या हैं? बस वहाँ नहीं बैठ सकता है और आपके लिए एक ब्लैक बॉक्स हो सकता है। अब हम क्या करें? अपना GDPR बोर्ड स्थापित करें। मेरा सुझाव है कि आपके पास अपना वरिष्ठ गोपनीयता अधिकारी है या यदि आपके पास डेटा सुरक्षा अधिकारी है, तो जाहिर है कि वह व्यक्ति है। डेटा प्रशासन, परिचालन जोखिम और / या अनुपालन के प्रमुख, जैसा कि वे लागू करते हैं, आईटी का प्रमुख, सीआईओ यदि वह व्यक्ति है। यदि आपके पास एक परिवर्तित प्रबंधन व्यक्ति है, तो वह वहां एक महान व्यक्ति होगा। बस आपके व्यवसाय में कुछ सबसे महत्वपूर्ण विभागों के प्रमुख हैं, और एचआर के प्रमुख भी हैं क्योंकि अब गोपनीयता प्रशिक्षण बहुत बड़ा होने जा रहा है। हर कोई गोपनीयता प्रशिक्षण प्राप्त करने जा रहा है या जब वे एक कंपनी, यहां तक कि सलाहकारों को बोर्ड करते हैं, तो गोपनीयता प्रशिक्षण प्राप्त करना चाहिए।
यदि आप इन चीजों को नहीं कर रहे हैं, जो आप यहां देख रहे हैं, तो आप जल्दी से आगे बढ़ने वाले हैं जितना आप समय सीमा बनाना चाहते हैं। आपको यह भी उम्मीद करना शुरू करना होगा कि आप ऑडिट करवाने वाले पहले लोगों में से एक नहीं हैं, क्योंकि अगर आप स्क्रैच से शुरू कर रहे हैं और आप बहुत से ईयू नागरिक डेटा के साथ काम करते हैं, तो यहाँ बहुत काम है। अपने डीपीओ को किराए पर लें, अपने डेटा और अपनी प्रक्रियाओं को सूचीबद्ध करें। डेटा गवर्नेंस के लिए उस योजना का निर्माण करें, इसे जहां से हो, जहां से ले जाना है, वहां ले जाएं। जैसा भी मामला हो, आप इसे शुरू करना चाह सकते हैं। अपनी गोपनीयता नीतियों और अपनी नीति नोटिस को शिल्पित करें। गोपनीयता नीतियां आंतरिक हैं। नीतिगत नोटिस बाहरी हो जाते हैं। हम नीति नोटिस के आसपास अब एक संस्कृति का निर्माण शुरू होते हुए देख रहे हैं। तुलनात्मक रूप से बहुत कुछ किया जा रहा है और इन नीतिगत नोटिसों के इर्द-गिर्द बहुत सावधानी बरती जा रही है। नई प्रणालियों सहित सभी प्रणालियों के लिए एक GDPR अनुपालन जांच चार्टर। आपको उन्हें अनुक्रम देना होगा और उन्हें किसी प्रकार के महत्व के क्रम में करना होगा, लेकिन समस्या से निपटने का यह एक और तरीका है। सिस्टम को देखो और वे क्या कर रहे हैं और वे इस डेटा को कैसे संभाल रहे हैं।
GDPR क्या संकेत देता है? यही कारण है कि हम यहाँ थोड़ा और अधिक बात करने के लिए हैं। मैं आगे देखता हूं कि किम का इस बारे में क्या कहना है। GDPR विनियमन की दिशा में डेटा गोपनीयता नियंत्रण में एक बदलाव है। यह पारदर्शिता के प्रति रुझान है, यह प्रावधानों में सही है। हम गोपनीयता नोटिस की इस संस्कृति का निर्माण कर रहे हैं, जैसा कि मैंने बात की है, यह अब एक बात है। हम गोपनीयता नोटिस इत्यादि के बारे में सम्मेलनों को देखने जा रहे हैं। जीडीपीआर बदलाव लोगों के मौलिक अधिकारों की ओर है। खुले प्रश्नों पर काम किया जाएगा। स्पष्ट रूप से खुले प्रश्न हैं, मैंने हमारे लिए यहां टेबल पर कुछ छोड़ दिया है। इसका जवाब किसी के पास नहीं है। वे काम करने जा रहे हैं। व्यक्तियों द्वारा उनके डेटा के बारे में अधिक समझ और इसका उपयोग कैसे किया जाता है, इसके प्रति रुझान। मुझे लगता है कि इसने यूरोपीय संघ की आबादी के बीच जागरूकता बढ़ा दी है, जैसा कि उनके डेटा के महत्व और यह देखते हुए कि उनकी व्यक्तिगत संपत्ति में से एक है, कि उन्हें अधिक प्रबंधन करने की आवश्यकता है। यह कुछ शुरुआती संकेत हैं जो मैंने देखे हैं, और एरिक, मैं इसे अभी आपको वापस टॉस करूंगा।
एरिक कवनघ: ठीक है, मैं किम को चाबी सौंप दूं, जो उसके कुछ परिप्रेक्ष्य को साझा कर सकते हैं, लेकिन मुझे लगता है कि यह एक अच्छा अवलोकन था, विलियम, और आपने प्रमुख बिंदुओं पर मारा - अर्थात् यह सुनिश्चित करने के लिए पाइक नीचे आ रहा है। और हम सभी को बहुत सावधान रहना चाहिए, काफी स्पष्ट रूप से। इसके साथ, मैं किम को चाबी सौंप दूं और आप अपनी स्क्रीन साझा कर सकते हैं और इसे वहां से ले जा सकते हैं।
किम Brushaber: अरे वहाँ, आप मुझे सुन सकते हैं?
एरिक कवनघ: मैं आपको सुन सकता हूं।
किम ब्रुशबर: बहुत बढ़िया। विलियम ने कुछ ऐसी ही चीजों को कवर किया जिन्हें मैं कवर करने जा रहा हूं, लेकिन मुझे लगता है कि वे फिर से कवर करने लायक हैं क्योंकि वे वास्तव में महत्वपूर्ण हैं। मुझे लगता है कि जब नए नियमों को पारित किया जाता है, तो विभिन्न लोगों के दृष्टिकोण और उस पर व्याख्या का एक बहुत कुछ प्राप्त करना वास्तव में अच्छा होता है ताकि कुछ आपके मन को भड़काए और आप अनुपालन में और भी अधिक सक्षम हो सकें। मैं उन सभी लोगों द्वारा प्रोत्साहित किया जाता हूं जो इस कॉल पर हैं जो अधिक जानना चाहते हैं क्योंकि मुझे लगता है कि 25 मई आते हैं, अनुपालन के लिए नहीं होने वाली कंपनियों के लिए बहुत घबराहट हो सकती है।
मेरा नाम किम ब्रुशबर है, मैं IDERA में वरिष्ठ उत्पाद प्रबंधक हूं। मेरे पास मेरे तहत कई उत्पाद हैं जो GDPR अनुपालन के साथ-साथ अन्य नियमों की मदद करते हैं। मैं कुछ जानकारी में कूदने जा रहा हूँ। मैं कुछ तथ्यों और कुछ आंकड़ों के साथ शुरुआत करने जा रहा हूं और फिर जीडीपीआर के बारे में थोड़ा जाना और फिर विशेष रूप से हमारे उपकरण आपकी मदद कर सकते हैं। एक तथ्य 5 मिलियन से अधिक डेटा रिकॉर्ड खो जाता है या हर दिन चोरी हो जाता है। हम इस खबर पर रिपोर्ट नहीं करते हैं, हम इसे अन्य स्थानों से नहीं सुनते हैं, लेकिन 5 मिलियन से अधिक डेटा रिकॉर्ड हैं जो हर समय चोरी हो जाते हैं, ठीक हमारे नीचे से। हमलावरों की औसत संख्या 200 दिनों तक आपके नेटवर्क में रहती है। कई प्रणालियों को पहले से ही ऐसे लोगों द्वारा घुसपैठ की जाती है - जो दुर्भावनापूर्ण इरादों के साथ - जो केवल आपकी जानकारी को भुनाने के अवसर की प्रतीक्षा कर रहे हैं, ज्यादातर सुरक्षा और प्रमाण पत्र के भीतर, लेकिन वे बस अपने पल की प्रतीक्षा कर रहे हैं। यही कारण है कि आपकी डेटा सुरक्षा को संभालना अधिक महत्वपूर्ण हो गया है। 2020 में सिंगल डेटा ब्रीच की औसत लागत $ 150 मिलियन से अधिक होने की भविष्यवाणी की जाती है, क्योंकि अधिक व्यावसायिक अवसंरचना ऑनलाइन संसाधनों से जुड़ जाती है और जैसे-जैसे अधिक चीजें क्लाउड में बढ़ती जाती हैं। यदि आप वास्तव में डेटा सुरक्षा के बारे में चिंतित हैं, तो अपनी कार्यकारी टीम को देने के लिए, उन्हें यह बताने के लिए कि यह एक गंभीर मामला है और हमें बहुत अधिक पैसा खर्च करना पड़ सकता है, एक अच्छी बजट संख्या है।
मैं संक्षेप में इक्विफ़ैक्स डेटा ब्रीच पर जा रहा हूं क्योंकि मुझे लगता है कि यह 2017 का सबसे बड़ा डेटा ब्रीच था, उस तरह की तस्वीर को पेंट करने के लिए जो उस के माध्यम से जाना पसंद करता है। उल्लंघन से 145.5 मिलियन ग्राहक प्रभावित हुए। कर्मचारियों ने ब्रीच होने से दो महीने पहले अपने वेब एप्लिकेशन के साथ सुरक्षा मुद्दे को स्वीकार किया। कर्मचारी कह रहे थे, "यह एक मुद्दा है।" और इससे पहले भी थोड़ा सा जब पैच वास्तव में बाहर आया था। एक बार उल्लंघन होने पर उसे जवाब देने और वेब एप्लिकेशन को ऑफलाइन लेने में पूरा दिन लग गया। क्योंकि इक्विफैक्स में एक परिभाषित डेटा सुरक्षा प्रोटोकॉल नहीं था, इसने उन्हें यह पता लगाने के लिए समय की एक महत्वपूर्ण राशि ले ली कि क्या चल रहा था और फिर सिस्टम को ऑफ़लाइन लेने में सक्षम था। उल्लंघन के छह सप्ताह बाद, जनता को सतर्क किया गया था। जीडीपीआर के साथ - जैसा कि हमने ऊपर कहा था और मैं इसे फिर से कहूंगा - आपको 72 घंटों के भीतर रिपोर्ट करना होगा, और इक्विफैक्स ने अपने हाथों को बांधा होगा और उस अनुपालन को पूरा करने में असमर्थ होंगे क्योंकि उन्होंने इसकी रिपोर्ट करने के लिए छह सप्ताह तक इंतजार किया था। उल्लंघन का जवाब देने के लिए संचार में एक ऐसी वेबसाइट शामिल थी जो इक्विफेक्स के स्वामित्व में भी नहीं थी। इक्विफैक्स खुद इस ट्वीट को रीट्वीट कर रहा था जो उनके डोमेन में भी नहीं था - उन्होंने आसपास के कुछ शब्दों को उलट दिया था। सौभाग्य से यह एक दुर्भावनापूर्ण साइट नहीं थी जो उस पर पूंजी लगा रही थी, लेकिन वे स्पष्ट रूप से तैयार नहीं थे। उनके पास कोई योजना नहीं थी, और यह सार्वजनिक क्षेत्र में बहुत जागरूक हो गया। इक्विफैक्स अकेला नहीं है - 2017 में अब तक 25 से अधिक उच्च साइबर प्रोफाइल हमले हुए हैं, और हम अभी भी वर्ष के अंत से पहले अधिक पा सकते हैं। कंपनियों को वास्तव में इसे गंभीरता से लेने की आवश्यकता है क्योंकि लोग वहां से बाहर हैं और यदि आप उन्हें आपके पास आने का कारण देना चाहते हैं, तो आप बेहतर तरीके से इसे संभालने में सक्षम होंगे।
कुछ अन्य डेटा तथ्य और आंकड़े इस संबंध में हैं कि व्यक्ति डेटा सुरक्षा को कैसे देख रहे हैं। 2020 तक हमारे घरों के माध्यम से, हमारे वेट्रबल्स के माध्यम से, हमारे फोन के माध्यम से, हमारे टैबलेट और जो जानते हैं कि आने वाले वर्षों में और क्या हो सकता है, के माध्यम से इंटरनेट से जुड़े 30 बिलियन डिवाइस होंगे। बहुत सारे और बहुत सारे उपकरण हैं जो इन हमलों के लिए असुरक्षित हैं। उनतालीस प्रतिशत अमेरिकियों को लगता है कि उनकी निजी जानकारी पांच साल पहले की तुलना में कम सुरक्षित है। अमेरिका में सत्तर-तीन प्रतिशत उपभोक्ता चाहते हैं कि कंपनियां अपने व्यक्तिगत डेटा के बारे में पारदर्शी हों। अट्ठाईस प्रतिशत लोग दावा करते हैं कि वे अनजान लिंक और ईमेल पर क्लिक करने के जोखिम के बारे में जानते हैं, लेकिन वे वैसे भी उन लिंक पर क्लिक करते हैं - जो हमारी आबादी के तीन-चौथाई से अधिक हैं, और वे अभी भी लिंक पर क्लिक कर रहे हैं, हालांकि वे यह एक मुद्दा हो सकता है पता है। अस्सी-छः प्रतिशत इंटरनेट उपयोगकर्ता सक्रिय रूप से अपने डिजिटल पैरों के निशान की दृश्यता को कम करने, गुम करने और छिपाने की कोशिश कर रहे हैं। मेरे सौतेले पिता बाहर जाना पसंद करते हैं और फर्जी नाम बनाते हैं जब वह फॉर्म भरते हैं क्योंकि वह सोचता है कि उसे गुमनाम बनाता है, लेकिन क्या वह जानता है कि उसका आईपी पता भी ट्रैक किया जा रहा है। व्यक्तिगत चिंता का एक बहुत कुछ है और यही GDPR नियमों का एक बहुत कुछ पैदा कर रहा है और शायद अतिरिक्त नियमों का पालन करना होगा।
जहां तक डेटा सुरक्षा उद्योग के तथ्यों की बात है, 2016 में ब्रीच डेटा रिकॉर्ड का 90 प्रतिशत सरकार, खुदरा और प्रौद्योगिकी से आया। चालीस प्रतिशत साइबर हमले छोटे व्यवसायों पर हमला करते हैं। अगर आपको लगता है, "ओह, मैं एक बड़ा आदमी नहीं हूं, तो वे मेरे पीछे नहीं आने वाले हैं, " वहाँ अभी भी है, उनमें से लगभग आधे हैं जो छोटे व्यवसायों के बाद जा रहे हैं। पिछले साल स्वास्थ्य देखभाल उद्योग का पचहत्तर प्रतिशत मैलवेयर में संक्रमित था। पिछले साल अमेरिकी तेल और गैस कंपनियों के सत्तर प्रतिशत हैक हो गए थे। यह विभिन्न विभिन्न उद्योगों पर प्रभाव की एक महत्वपूर्ण राशि है जो ऊपर और चल रहे हैं, और यह संख्या केवल यहाँ से ऊपर जाने वाली है।
जब आप इसे कार्यकारी नजरिए से देखते हैं, तो 90 प्रतिशत सीआईओ अपर्याप्त साइबर सुरक्षा पर लाखों डॉलर बर्बाद करने की बात स्वीकार करते हैं। नब्बे प्रतिशत का यह भी कहना है कि उन पर हमला किया गया है या उन्हें अपने एन्क्रिप्शन में छिपे लोगों द्वारा हमला किए जाने की उम्मीद है। अस्सी-सात प्रतिशत मानते हैं कि उनके सुरक्षा नियंत्रण उनके व्यवसाय की रक्षा करने में विफल हैं। CIO के पैंसठ प्रतिशत उम्मीद करते हैं कि उनकी चाबियों और प्रमाणपत्रों का आपराधिक दुरुपयोग और खराब होगा। यह उन कंपनियों की एक बड़ी संख्या है जो इस डेटा सुरक्षा मुद्दे को देख रहे हैं और वास्तविकता यह है कि उनमें से बहुत से समाधानों के लिए बहुत अच्छे समाधान नहीं हैं, भले ही ऐसा होने पर भी इससे निपटने में सक्षम हों, भले ही उनका मानना है कि यह होगा।
जब हम इसकी तैयारियों को देख रहे हैं, तो 2014 में, 70 प्रतिशत सहस्राब्दी ने स्वीकार किया कि वे आईटी पॉलिस के उल्लंघन में अपने उद्यम में बाहरी अनुप्रयोगों को लाए हैं। सत्तर प्रतिशत ने यह स्वीकार किया - संभवतः इससे भी बड़ी संख्या है, जो वास्तव में यह किया था। 2016 में पचास प्रतिशत सफल साइबर हमले झेल चुके संगठनों ने 2017 में अपनी सुरक्षा में कोई बदलाव नहीं किया। भले ही एक बार हमला हो गया, फिर भी वे नहीं गए और दीवारों को किनारे कर दिया - वे उतने ही कमजोर हैं हमले से पहले थे। यह वास्तव में सवाल है, इन चीजों के लिए खुद को तैयार करने के लिए कंपनियों को क्या करना शुरू करना चाहिए? अड़तीस प्रतिशत वैश्विक संगठनों का दावा है कि वे एक परिष्कृत साइबर हमले को संभालने के लिए तैयार हैं। यह अच्छा है - लगभग आधा वहाँ हैं, और मैं उस के साथ उदार हो रहा हूं, हम वास्तव में केवल एक तिहाई हैं, लेकिन अभी भी कम से कम आधा है कि कहते हैं, "मैं तैयार नहीं हूं। अगर मुझ पर हमला होता है, तो मैं तैयार नहीं हूं और हैकर्स को यह पता है। '' अड़तीस प्रतिशत संगठनों की साइबर घटना प्रतिक्रिया योजना है। अधिकांश कंपनियां इक्विफैक्स के समान बाल्टी में हैं, जहां उन्हें नहीं पता कि वे क्या करने जा रहे हैं। यदि वे इसे प्राप्त करते हैं, तो उन्हें प्रतिक्रिया करनी होगी और मक्खी पर इन चीजों के साथ आना होगा, और जीडीपीआर जैसे नियम कहते हैं, "आपको इनकी जगह मिल गई है। आपको उन्हें प्रकाशित करना होगा। आपको इसे सुरक्षा ऑडिटरों को साबित करना होगा। ”उम्मीद है कि इस तरह के प्रभावों के साथ, उस तरह के नियमों के साथ, हम इस वक्र से आगे निकल पाएंगे और प्रतिक्रियावादी होने के बजाय, हम अपने लक्ष्य में सक्रिय हो सकते हैं।
जीडीपीआर के बारे में थोड़ा बात करते हैं। इस विलियम में से कुछ ने पहले ही कवर कर लिया है, लेकिन मैं आगे जा रहा हूं और इसे फिर से कवर करूंगा, बस मेरी टेक, मेरी आवाज, मेरे नजरिए से। बहुत सी कंपनियां जिनसे मैं बात करता हूं, वे इस तरह हैं, "मैं अमेरिका में हूं, मुझे इस यूरोपीय संघ के विनियमन की भी परवाह क्यों करनी चाहिए?" यह तथ्य कि अधिक लोग गुलजार नहीं हैं और अधिक लोग बात नहीं कर रहे हैं। यह, उन्हें लगता है कि यह केवल यूरोपीय संघ के सदस्यों को प्रभावित करता है, लेकिन मैं आपसे पूछूंगा, यदि आप इस सूची को देखते हैं, तो क्या आप यूरोपीय संघ के सदस्यों का कोई डेटा एकत्र करते हैं? यदि आप इनमें से कोई भी जानकारी एकत्र करते हैं, तो आप GDPR की सीमाओं के अधीन हैं, साथ ही अनुपालन नहीं होने के लिए दंड भी। मैं आपको इसे अवशोषित करने और इसे समझने के लिए एक सेकंड दूंगा। जैसा कि विलियम ने पहले उल्लेख किया था, ये GDPR के अनुच्छेद 83 में उल्लिखित दंड और प्रतिबंध हैं। शुरुआत में आपको हाथ पर एक थप्पड़ पड़ सकता है, थोड़ी चेतावनी देते हुए कहा, “अरे, अपना काम कर लो। इसे लगाओ। ”लेकिन अगर आपके पास वास्तव में एक बड़ा उल्लंघन है - और इस बात पर निर्भर करता है कि यह कितना बड़ा सौदा है - वे आपके पास बहाली के लिए वापस आ जाएंगे, और यह एक महत्वपूर्ण संख्या है। पिछले वर्ष से 10 मिलियन नहीं, बल्कि 20 मिलियन यूरो या आपके टर्नओवर / राजस्व का 4 प्रतिशत। ये बहुत ज्यादा पैसा है। यह आपकी कार्यकारी टीमों में जाने के लिए बहुत अधिक बजट है और कहते हैं, "यह एक ऐसी चीज़ है जिसे हमें गंभीरता से लेना शुरू करने की आवश्यकता है और हमें इस पर कार्रवाई करने की आवश्यकता है।"
मुझे अनुच्छेद 5 में उल्लिखित जीडीपीआर सिद्धांतों के बारे में थोड़ा बताएं। उनमें से एक बात यह है कि व्यक्तिगत डेटा को कानूनी रूप से, निष्पक्ष और पारदर्शी तरीके से संसाधित किया जाना चाहिए। इसका मतलब है कि जनता जानना चाहती है कि आप उनके डेटा के साथ क्या कर रहे हैं। इसके बारे में पारदर्शी रहें और इसे प्रकाशित किया जाए। अधिकांश लोग नियम और शर्तें नहीं पढ़ते हैं, लेकिन यह नई जानकारी है जिसे आपको संवाद करने में सक्षम होने की आवश्यकता है, ताकि आप उन्हें बता सकें, "आपका डेटा उचित रूप से संभाला जा रहा है।" व्यक्तिगत डेटा को एक निर्दिष्ट के लिए एकत्र किया जाना चाहिए। स्पष्ट और वैध उद्देश्य। इसका मतलब यह है कि उम्मीद है कि हम इस स्पैम से छुटकारा पा सकते हैं, जहां कंपनियां कहती हैं कि वे एक प्रश्नोत्तरी के लिए जानकारी एकत्र कर रहे हैं जो आपको बताती है कि आप कितने दिलचस्प हो सकते हैं, और वास्तव में वे आपका डेटा ले रहे हैं और इसे वापस किसी और को बेच रहे हैं, जो कुछ भी उनके उद्देश्यों के लिए उपयोग करने में सक्षम हो। कंपनियों को अब और अधिक जिम्मेदार होने की जरूरत है और वे अपनी जानकारी का उपयोग कर रहे हैं। वे यह भी कहते हैं कि व्यक्तिगत डेटा को आवश्यक होने के लिए पर्याप्त, प्रासंगिक और सीमित होना चाहिए। बहुत सी कंपनियाँ अपनी सारी जानकारी लेना और एक बड़े डेटा पूल में डालना पसंद करती हैं और फिर वे यह पता लगाती हैं कि बाद में जानकारी के साथ वे क्या करना चाहती हैं और वे जितना आवश्यक हो उससे कहीं अधिक इकट्ठा करती हैं। यह कह रहा है कि आप इसे एकत्र नहीं कर सकते और इसे कहीं और उपयोग कर सकते हैं। आप भी सब कुछ इकट्ठा नहीं कर सकते हैं और आशा करते हैं कि बाद में आपको यह उपयोगी लग सकता है। आपको यह स्पष्ट करना होगा कि आप जानकारी क्यों एकत्र कर रहे हैं और यह आपके द्वारा एकत्रित किए जा रहे डेटा के लिए प्रासंगिक होना चाहिए।
व्यक्तिगत डेटा को भी सटीक होना चाहिए और अद्यतित रखा जाना चाहिए। आपको उपयोगकर्ताओं को उनके डेटा को अपडेट करने के तरीके देने होंगे, एक बार जब आप उन पर इसे एकत्र कर लेंगे; उन्हें वापस जाने और कहने में सक्षम होने की आवश्यकता है, "आप जानते हैं, मेरे पास व्यक्तिगत रूप से पहचान योग्य जानकारी पर पूछे गए कुछ सर्वेक्षण पर मेरी राय थी और मैं वापस जाना चाहता हूं और मैं इसे बदलना चाहता हूं और इसे अभी अपडेट करना चाहता हूं। और आपके पास है" उन्हें ऐसा करने के लिए सक्षम होने के लिए एक रास्ता देने के लिए। व्यक्तिगत डेटा को उस रूप में रखा जाना चाहिए जो डेटा विषयों की पहचान की अनुमति देता है, जो आवश्यक नहीं है। विलियम की बात पर वापस, कि आप इस जानकारी को हमेशा के लिए एकत्र नहीं कर सकते हैं - आपको उस चीज़ के साथ आना होगा जो आपको लगता है कि वैध और आवश्यक है और उसके बाद, आपको डेटा को साफ करना होगा। इसे ऐसे तरीके से भी संसाधित किया जाना चाहिए जो उचित सुरक्षा सुनिश्चित करता है, जिसमें अनधिकृत या गैरकानूनी प्रसंस्करण, आकस्मिक हानि, विनाश या क्षति के खिलाफ सुरक्षा शामिल है।
जैसा कि मैंने पहले कहा था, इस बारे में वास्तव में गंभीर होने का समय है, उन डेटा उल्लंघनों को रोकना क्योंकि न केवल आपको चोट लग सकती है जो डेटा उल्लंघनों के रूप में आपकी कंपनी में आती है और राजस्व में नुकसान और आपकी प्रक्रियाओं को किनारे करने की लागत।, लेकिन आपके पास जीडीपीआर से आपके ऊपर लगाए गए जुर्माने का ढेर भी हो सकता है। यह वास्तव में उसके बारे में बहुत गंभीर होने का समय है और मुझे लगता है कि जीडीपीआर प्रभावी होने के साथ-साथ कंपनियों को कठिन वास्तविकता का सामना करना पड़ रहा है, और सौभाग्य से आप जो आज कॉल पर हैं वे इस बारे में सोचना और जानना शुरू कर सकते हैं। आप इन चीजों को कैसे लागू करने जा रहे हैं।
जीडीपीआर इस बारे में भी बात करता है कि व्यक्तियों के अधिकार क्या हैं; यह वास्तव में अलग-अलग उपयोगकर्ताओं के लिए देख रहा है। पहली बात यह है कि आपके व्यक्तिगत डेटा तक पहुंचने का अधिकार है। उपयोगकर्ताओं को यह जानने की जरूरत है कि आपने उन पर कौन सी जानकारी एकत्र की है, जहां तक व्यक्तिगत रूप से पहचानी गई जानकारी है, और आपको इसे एक्सेस करने में सक्षम होने का एक तरीका देना होगा। सुधार करने का अधिकार भी है, जो कहने का एक फैंसी तरीका है, "मुझे उस जानकारी को ठीक करने में सक्षम होने की आवश्यकता है जो मेरे पास है।" मिटाने का अधिकार - जो फिर से, बहुत से लोग अधिकार के रूप में फिर से तैयार कर रहे हैं। भूल जाना - अगर कोई व्यक्ति कहता है, "आप जानते हैं कि, मैं नहीं चाहता कि आप यह जानना चाहते हैं कि मैं सुपर मजेदार आदमी कॉमिक बुक कलेक्टर हूं, तो आपको इससे छुटकारा पाने की आवश्यकता है। मुझे कुछ दोस्त मिले हैं जो मुझे इसके बारे में चिढ़ा रहे हैं और मुझे आपकी सूची से पूरी तरह से मिटा देंगे, "आपको ऐसा करने में सक्षम होना चाहिए। प्रसंस्करण पर प्रतिबंध का अधिकार भी है, और इसका मतलब है कि उपयोगकर्ता अपनी जानकारी संसाधित करने के तरीके को सीमित कर सकते हैं। वे कह सकते हैं, "मुझे कोई आपत्ति नहीं है कि आप मेरी जानकारी ले रहे हैं क्योंकि मैं एक नई कार खरीद रहा हूं, लेकिन मुझे ईमेल भेजने के लिए उस जानकारी का उपयोग न करें और हर बार नई कारों के जारी होने पर मुझे नए सौदों पर स्पैम करें।" डेटा पोर्टेबिलिटी का अधिकार, जिसका अर्थ है कि उपयोगकर्ताओं को अपने डेटा की एक प्रति प्राप्त करने में सक्षम होना चाहिए और इसे कहीं और ले जाने में सक्षम होना चाहिए। बहुत सारे संगठन जानकारी एकत्र करते हैं और उस जानकारी में एक चिपचिपाहट कारक होता है, और अब व्यक्ति कह सकते हैं, "आप जानते हैं कि, मैं चाहता हूं कि आप मेरी सारी जानकारी लें और अब मैं चाहता हूं कि आप इसे अपने प्रतियोगी को दें, इसलिए मैं इसे स्थानांतरित कर सकता हूं ऊपर।"
एक संगठन से संभावित रूप से विचार करने के बारे में बहुत सी बातें हैं कि आप ऐसा कैसे करने में सक्षम हो सकते हैं और आप किस जानकारी को इकट्ठा करने और भेजने में सक्षम होना चाहते हैं। ऑब्जेक्ट पर अधिकार भी है, और उपयोगकर्ता अपने डेटा के प्रसंस्करण पर भी आपत्ति कर सकते हैं। पूरी तरह से स्वचालित प्रसंस्करण या प्रोफाइलिंग पर आधारित निर्णय के अधीन नहीं होने का अधिकार। बी 2 बी मार्केटिंग पर इसका एक महत्वपूर्ण प्रभाव पड़ता है - यदि आप वहां बैठे हैं और ए / बी परीक्षण करने और पहचानने की कोशिश कर रहे हैं, तो कोलोराडो कैलिफ़ोर्निया की तुलना में एक संदेश से अधिक प्रभावित होने जा रहा है, अच्छी तरह से आपने सिर्फ प्रोफाइलिंग की है, एक को देखकर राज्य बनाम दूसरे, और आपको यह देखना होगा कि किसी व्यक्ति को इससे बाहर निकलने में कैसे सक्षम होना चाहिए।
यह देखते हुए कि हमें कुछ डरावनी चीजें मिली हैं जो डेटा ब्रीच के रूप में आ रही हैं और लोग अपने डेटा को कैसे देख रहे हैं और हमें यह बहुत बड़ा विनियमन मिला है जो हमारे कंधों के ऊपर डंप हो रहा है, मैं अब यहां आपको देने वाला हूं। IDERA कैसे मदद कर सकता है पर समाधान। अनुच्छेद 15 व्यक्तिगत डेटा के संपर्क को नियंत्रित करने के तरीके के बारे में बात करता है। आपको यह जानना होगा कि आपके डेटा को कौन एक्सेस कर रहा है। वे इसका उपयोग कैसे कर रहे हैं। कितना डेटा संसाधित किया गया है और SQL उत्पाद अनुपालन प्रबंधक, जिसके लिए मैं उत्पाद प्रबंधक हूं, आपको यह देखने की अनुमति देता है कि आपका डेटा कौन और कैसे एक्सेस कर रहा है। SQL कंप्लायंस Manger SQL सर्वर समाधान के लिए है। यदि आपके पास SQL सर्वर डेटाबेस है, तो आप इस उत्पाद को ऑडिट करने और इस जानकारी को देखने में सक्षम होने के लिए कनेक्ट कर सकते हैं, ताकि आप GDPR के अनुपालन में हो सकें और आपको पता चले कि इसका उपयोग कैसे किया जा रहा है। आप डेटा ब्रीच को उनके होने से पहले भी देख सकते हैं, और मैं इसके बारे में एक और स्लाइड में बात करूंगा। एक लेख भी है जो कहता है, “मुझे प्रसंस्करण गतिविधियों के रिकॉर्ड की आवश्यकता है। मुझे लॉग इन करने की आवश्यकता है और मुझे ऑपरेशन की निगरानी करने की आवश्यकता है और मुझे यह जानने की जरूरत है कि कौन व्यक्तिगत डेटा को संसाधित कर रहा है और उन सिस्टम तक किसकी पहुंच है। ”SQL कंप्लायंस मैनेजर सुरक्षा, DDL, DML के साथ-साथ संवेदनशील डेटा को परिभाषित करने वाले सर्वर और डेटाबेस का ऑडिट भी करता है। । SQL कंप्लायंस मैनेजर आपको सुरक्षा एक्सेस का ऑडिट करने और एक प्रयास को लॉग इन करने की अनुमति देता है, जिससे आप देख सकते हैं कि कौन एक्सेस करने वाली जानकारी है, साथ ही कौन लॉगिंग कर रहा है, चाहे वह एक विशेषाधिकार प्राप्त उपयोगकर्ता हो, चाहे वह एक ज्ञात उपयोगकर्ता हो, या चाहे वह कोई दुर्भावनापूर्ण उपयोगकर्ता हो।
अनुच्छेद 33 एक पर्यवेक्षक प्राधिकरण को व्यक्तिगत डेटा उल्लंघन की अधिसूचना के बारे में बात करता है। आपको उन उल्लंघनों का पता लगाने में सक्षम होने की आवश्यकता है; आपको प्रभाव का आकलन करने में सक्षम होने के लिए रिकॉर्ड की आवश्यकता है; आपको यह जानने की आवश्यकता है कि आप कितनी जल्दी इसका उपाय करने जा रहे हैं। ऐसा करने के लिए, SQL कम्प्लायंस मैंगर आपको अपने डेटाबेस पर अलर्ट सेट करने की अनुमति देता है, यह देखने के लिए कि आपके संवेदनशील डेटा तक किसकी पहुँच है, जब वे इसे एक्सेस करते हैं, तो वे क्या एक्सेस करते हैं। यह आपको अपने सामान्य विशेषाधिकार प्राप्त उपयोगकर्ताओं को अपने ऑडिट से बाहर करने की अनुमति देता है। यदि आपके पास सिस्टम व्यवस्थापक या नेटवर्क व्यवस्थापक है जिसे आप जानते हैं कि आप इसे एक्सेस करने जा रहे हैं और आप अपनी रिपोर्ट को रोकना नहीं चाहते हैं, तो आप उन्हें नियमबद्ध कर सकते हैं और कह सकते हैं, "मुझे वह सब कुछ दें जो उस जानकारी के बाहर हो रहा है।" यदि आप किसी व्यक्ति को आपके डेटा तक पहुँचने के लिए दुर्भावनापूर्ण तरीके से पहचानते हैं, तो आपके पास अलर्ट हो सकते हैं, जिससे आपको पता चल सके कि यह होने वाला क्षण है और फिर उस पल की जानकारी पहुँच जाती है, जिससे आप इसे क्रैक कर सकें, ताकि आप इक्विफैक्स ने क्या किया, यह जानने के लिए पूरा दिन इंतजार नहीं करना पड़ेगा।
एक लेख भी है जो डेटा सुरक्षा और प्रभाव मूल्यांकन के बारे में बात करता है। यह आपके जोखिमों का आकलन कर रहा है और समझ रहा है कि वे क्या हैं, साथ ही साथ GDPR के साथ अपने अनुपालन का प्रदर्शन और दस्तावेजीकरण भी कर रहे हैं। SQL अनुपालन प्रबंधक आपको उन तत्वों पर रिपोर्ट करने की अनुमति देता है जिनकी निगरानी की जा रही है। बस संक्षेप में जाने के लिए, SQL अनुपालन प्रबंधक के साथ अपने डेटा का ऑडिट करते हुए, SQL अनुपालन प्रबंधक आपको विफल लॉगिन का पता लगाने की अनुमति देता है - जो कि उल्लंघन का एक संभावित संकेत है - प्रशासनिक गतिविधियों और सुरक्षा परिवर्तनों की निगरानी करना, आपको डेटाबेस संशोधनों के लिए सचेत करना, ऑडिट करना वे कॉलम जिन्हें आप संवेदनशील जानकारी के रूप में परिभाषित करते हैं, विशेषाधिकार प्राप्त उपयोगकर्ताओं की पहचान करते हैं और आपके सिस्टम में अन्य उपयोगकर्ताओं से अलग उनकी गतिविधि को ट्रैक करते हैं, रिपोर्ट करते हैं कि जानकारी को कई नियामक दिशानिर्देशों के अनुसार ऑडिट किया जा रहा है। न केवल हम GDPR को कवर करते हैं, बल्कि हम HIPAA, PCI, FERPA, SOX को कवर करते हैं, वे सभी नियामक दिशा-निर्देश जब वे आपकी जानकारी और समझ का ऑडिट करने के लिए आते हैं, जिसे एक्सेस किया जा रहा है, हमारे पास उन नियामक दिशानिर्देश हैं।
हमारे पास GDPR की तैयारी के लिए IDERA पर अतिरिक्त उत्पाद भी हैं। SQL अनुपालन प्रबंधक द्वारा किए गए ऑडिटिंग के अलावा, हमारे पास ER / Studio एंटरप्राइज़ टीम संस्करण है, जो आपकी डेटा प्रक्रियाओं को दस्तावेज़ित करने और आपके डेटा मॉडल में डेटा मानकों को शामिल करने में आपकी मदद कर सकता है, आप डेटा शब्दावलियाँ बना सकते हैं जो विलियम पिछली स्लाइड में बता रहे थे । जैसा कि मैंने इस प्रस्तुति के साथ यहां कहा है, SQL अनुपालन प्रबंधक आपकी जानकारी को ऑडिट करने में आपकी मदद कर सकता है ताकि यह सुनिश्चित हो सके कि गलत लोग आपके डेटा तक नहीं पहुँच रहे हैं, साथ ही साथ ऑडिटरों को यह साबित भी कर रहे हैं। SQL Safe Backup आपके डेटा और आपके बैकअप को एन्क्रिप्ट करने में आपकी मदद कर सकता है। एन्क्रिप्शन GDPR का एक अनिवार्य हिस्सा है, जिसे मैंने बहुत विस्तार से कवर नहीं किया क्योंकि मैं अनुपालन प्रबंधक की परिसंपत्तियों पर बहुत अधिक ध्यान केंद्रित करना चाहता था, लेकिन SQL सुरक्षित बैकअप आपके लिए बहुत अधिक एन्क्रिप्शन करता है, ताकि आपका डेटा सुरक्षित रह सके। SQL इन्वेंटरी मैनेजर यह सुनिश्चित कर सकता है कि सर्वर पैच अप हो चुके हैं और अप टू डेट हैं, इसलिए आप इक्विकैक्स जैसे मामले में समाप्त नहीं होते हैं, जहां उनके पास आउट-ऑफ-डेट पैच था, जिसने उन्हें एक बड़ा सुरक्षा छेद दिया जो लोग सक्षम थे दुर्भावना से उपयोग करें। SQL सिक्योरिटी प्राइवेसी और एनक्रिप्टिंग मानकों का ऑडिट कर सकती है।
हमारे ब्लॉग के तहत IDERA समुदाय की वेबसाइट पर अधिक जानकारी के लिए, मैंने GDPR की तैयारी के साथ-साथ 2018 की तलाश में पोस्ट किया है और यह समझना है कि GDPR का प्रभाव क्या होने वाला है और वहाँ भी है, तो आप निश्चित रूप से SQL अनुपालन प्रबंधक की परीक्षण प्रतिलिपि डाउनलोड कर सकते हैं आईडीईआरए के साथ-साथ अन्य उत्पादों में से कोई भी जो मैंने अभी स्लाइड में पहले बताया था।
इस बिंदु पर, मैं आगे बढ़ने जा रहा हूं और प्रस्तुति को एरिक को सौंप दूंगा ताकि हम कुछ प्रश्न पूछ सकें।
एरिक कवनघ: ठीक है, अच्छा। आपने वहां कई दिलचस्प चीजों को छुआ, किम, जिनमें से एक - मुझे लगता है कि यह एक तरह का सरल है, लेकिन यह बहुत चालाक है - आपने पता लगाने में विफल लॉगिन के बारे में बात की। मुझे लगता है कि यह एक बहुत अच्छा संकेत है कि किसी का कोई अच्छा अधिकार नहीं है?
किम ब्रुशबर: बिल्कुल। यदि आप किसी ऐसे व्यक्ति को देखते हैं जो आपके पासवर्ड को एक्सेस करने और क्रैक करने की कोशिश कर रहा है, तो यह बहुत ही त्वरित तरीका है कि किसी को यह कहने में सक्षम न होने दें कि वह क्या है। हो सकता है कि एक दो बार आप अपना पासवर्ड गलत तरीके से टाइप करें, लेकिन यदि आप 30 लोगों को देखते हैं, तो यह एक बुरा संकेत है।
एरिक कवनघ: हाँ। वे यहां पर उचित संदर्भ के साथ आपके अलर्ट सेट करना चाहते हैं। आप हमें इस बारे में बता सकते हैं कि अलर्ट स्थापित करने की प्रक्रिया को कैसे प्रबंधित किया जाए और जो वे कर रहे हैं उन्हें निष्क्रिय करने के लिए और उस सामान को कितना स्वचालित किया जा सकता है?
किम ब्रुशर: कंप्लायंस मैनेजर के पास बहुत सारे कंफर्टेबल अलर्ट हैं, साथ ही ऐसी रिपोर्ट्स भी हैं जिनकी आप समीक्षा कर सकते हैं। हम आपके SQL निशान से गुज़रते हैं और हमारे पास स्वचालित रूप से ट्रैकिंग है और हमारे पास बहुत कुछ है जो पहले से ही पूर्व-स्थापित और पूर्वनिर्धारित है, लेकिन निश्चित रूप से अनुकूलन की एक महत्वपूर्ण राशि है जो आप भी कर सकते हैं।
एरिक कवनघ: विलियम, मैं आपको इसमें लाऊंगा - मुझे लगता है कि यह उन क्षेत्रों में से एक है, जहां हम अगले दो से दस वर्षों में खेलने के लिए मशीन लर्निंग देखने जा रहे हैं। विभिन्न संभावनाएं। सभी विभिन्न तरीकों को देखते हुए कि एक प्रणाली अपनी दक्षता को अनुकूलित कर सकती है, यह उल्लंघनों और इसके बाद के मुद्दों के आसपास प्रभावशीलता है। क्या आपका भी यही है?
विलियम मैकनाइट: हाँ, बिल्कुल। मुझे लगता है कि अब हम सिस्टम का निर्माण कर रहे हैं जो स्वयं की मरम्मत करता है। 24 बाय 7 की निगरानी दूर और अतीत की बात बनने लगी है, हालाँकि हमें अभी भी उस तरह के अपटाइम की जरूरत है। मुझे लगता है कि सिस्टम बड़े पैमाने पर बन रहा है और यह पता लगा रहा है कि यह गलत है। क्या हमें यहां अधिक स्थान आवंटित करने की आवश्यकता है या आपके पास क्या है? हाँ, मुझे लगता है कि यह निश्चित रूप से हमारे भविष्य का एक हिस्सा है। कुछ भी करने के लिए कार्रवाई के कुछ चरणों में मैप किया जा सकता है, निश्चित रूप से कृत्रिम बुद्धि के लिए कमजोर है।
एरिक कवनघ: यह एक अच्छी बात है। मैं आपके ऊपर एक और सवाल करूंगा, विलियम, क्योंकि मैं जानता हूं कि आप इस स्पेस में बहुत रिसर्च करते हैं। उन चीजों में से एक जिसका मैं अभी काफी समय से इंतजार कर रहा था और मुझे नहीं लगता कि हम अभी तक वहां हैं - मुझे लगता है कि हम पास हो रहे हैं, बस मैं जो पढ़ रहा हूं और उसके बारे में सोच रहा हूं - से एक दिन जब नियामक मुद्दों को अवशोषित करने के लिए प्रौद्योगिकी होगी, इन चीजों की वास्तविक शब्दावली और कार्यक्षमता और सॉफ्टवेयर के लिए मानचित्र। जैसा मैं कहता हूं, हम अभी भी उससे एक तरह से हैं - मैं सोच भी नहीं सकता कि कोई इस पर काम नहीं कर रहा है। क्या आप ऐसा कुछ भी कर सकते हैं, या हम अभी भी एक ऐसे बिंदु पर हैं जहाँ मानव को नियमों को देखने की जरूरत है, वास्तव में उन्हें देखने और समझने की कोशिश करें, उन्हें मशीन कोड में कोडित करें, अनिवार्य रूप से, और फिर टोक़ कि उनके विभिन्न अनुप्रयोगों पर?
विलियम मैकनाइट: ठीक है, मुझे निश्चित रूप से यह अवधारणा मिलती है कि आप यहां साझा कर रहे हैं। मैं उस वातावरण से संबंधित रोलआउट की ओर जाने वाली किसी भी चीज़ से परिचित नहीं हूं जो इससे संबंधित है। मैं हालांकि सामान्य तौर पर कहूंगा, जाहिर है कि हम मशीनों को यह बताने के लिए शुरू नहीं कर रहे हैं कि क्या करना है, लेकिन लक्ष्य क्या है हम क्या करना चाहते हैं और मशीनों को विवरण का पता लगाने के बारे में बहुत होशियार हो रहे हैं। मुझे लगता है कि एक बार जब हम अपने संगठनों में कुछ और कृत्रिम बुद्धिमत्ता प्राप्त कर लेते हैं, तो यह बहुत संभव है कि नए नियमों को एआई के साथ कॉन्सर्ट में विकसित किया जा सकता है जो कि संगठनों के अंदर तैनात किए जाते हैं ताकि वे भविष्य में आपके द्वारा बताए गए तरीके से रोल आउट कर सकें। अभी के लिए, हम उसके साथ काम नहीं कर रहे हैं।
एरिक कवनघ: यहाँ एक प्रश्न मैं आपके ऊपर फेंकता हूँ, किम, 'क्योंकि यह दिलचस्प भी है। आप औसत विलंबता या उस समय के बारे में बात करते हैं जो आपके सिस्टम में लॉग इन करता है और बस इंतजार करता है - एक नेटवर्क के भीतर एक हमलावर के रहने की संख्या दिन - दिन 200 है - पता लगाना 200 है। मुझे यह जानने की उत्सुकता है कि आपके विचारों में सुधार कैसे करें वह, सबसे पहले? लेकिन साथ ही, क्या इस तरह के नियम का उपयोग करने के लिए अपनी खुद की प्रणाली का पता लगाने का एक तरीका है? अपने स्वयं के डेटा का पता लगाने के लिए, इस प्रकार के लोगों को बाहर रखने का एक बेहतर काम करना है?
किम Brushaber: हाँ, मुझे लगता है कि स्पष्ट रूप से जल्दी पता लगाना महत्वपूर्ण है। आपको यह पता लगाने की आवश्यकता है कि ये दुर्भावनापूर्ण साइट आपकी जानकारी तक पहुंच रही हैं और इसे लॉक करने में सक्षम हैं। मुझे लगता है कि अन्य स्लाइड्स में जहां हम दिखाते हैं कि ज्यादातर संगठनों के पास उन नीतियों को जगह नहीं है। इसलिए वे वहीं बैठे हैं। मुझे लगता है कि यदि आपके पास वास्तव में जाने और अपनी पहुंच को बंद करने की नीति है और सुनिश्चित करें कि सही लोगों तक पहुंच हो। सुनिश्चित करें कि आप नियमित रूप से अपनी कुंजियाँ घुमा रहे हैं और उन्हें अपडेट कर रहे हैं। सुनिश्चित करें कि आपके पासवर्ड नियमित रूप से अपडेट किए जा रहे हैं और उन प्रकार की चीजों को कर रहे हैं, जो बहुत बुनियादी हैं। अभी, ज्यादातर संगठन ऐसा नहीं कर रहे हैं, और उन टुकड़ों को लगाने के लिए शुरू करने से आपको इससे परे जाने में मदद मिलेगी।
इसका मतलब है कि हैकर्स को इसके बारे में अधिक जानकारी मिल जाएगी, लेकिन इस समय यह आसान है, यह पसंद है, "मैं सड़क पर घरों को देखने जा रहा हूं जो मुझे लगता है कि मैं तोड़ना चाहता हूं, क्या उन लोगों में अलार्म होगा सिस्टम? क्या उनके पास थोड़ा अलार्म संकेत है और एक के पास कुत्ते हैं? मैं एक के पास जा रहा हूं जिसमें अलार्म साइन नहीं है, एक कुत्ता नहीं है और मैं जिस घर को तोड़ने जा रहा हूं। "ठीक है, वे उन कंपनियों का पता लगाने जा रहे हैं जो डॉन ' टी में ये पैच हैं और उनके पास जगह की सुरक्षा नहीं है और वे अपने पासवर्ड को अपडेट नहीं कर रहे हैं और वे वहां जाकर घूमने जा रहे हैं और अपने क्रेडिट कार्ड का उपयोग गैस स्टेशन पर एक दो बार सुनिश्चित करने के लिए करें। आपने इसे बंद नहीं किया है और फिर जब वे एक बड़े बदलाव को प्रभावित कर सकते हैं, आम तौर पर किसी तरह का राजनीतिक बयान या अन्यथा तब होता है जब आप उन्हें अपने सिर को पॉप करते हुए देखते हैं। उन नीतियों को लागू करते हुए, मुझे लगता है कि इस बिंदु पर आप इस खेल से आगे निकलने में सक्षम होने के लिए कुछ बहुत कम से कम कदम उठा सकते हैं।
एरिक कवनघ: यह शायद सबसे अच्छी सलाह है और मैं हमेशा यह सुनता हूं जब हम ऐसे लोगों से बात करते हैं जो सुरक्षा स्थान या नियामक स्थान पर होते हैं, तो मूल बातें आपकी समस्या का 80 प्रतिशत कवर करेगी, और यह कवर करने के लिए बहुत जमीन है - यह एक है अच्छी बात। उपस्थित लोगों में से एक ने पूछा कि क्या कोई व्यक्ति GDPR अनुपालन प्रयासों से प्राप्त किए जा सकने वाले व्यावसायिक अवसरों का विस्तार कर सकता है, मुझे सर्बनेस-ऑक्सले की याद दिलाई जाती है, और मुझे लगता है, विलियम, मैं इसे आपके ऊपर फेंक दूँगा। एक सलाहकार के रूप में आप हमेशा एक विशेष परियोजना के दायरे से बाहर अपने ग्राहकों की मदद करने के तरीकों की तलाश कर रहे हैं - कम से कम यदि आप एक अच्छे सलाहकार हैं जो आप कर रहे हैं। जब आप जीडीपीआर के बारे में लोगों से बात करते हैं, तो उन सहायक लाभों के बारे में क्या है जो आप बता सकते हैं कि अगर वे उस पर केंद्रित किसी परियोजना में संलग्न होते हैं तो उन्हें क्या मिलेगा?
विलियम मैककेनाइट: सबसे पहले, यह ध्यान रखना महत्वपूर्ण है कि जीडीपीआर के पीछे का विचार नागरिक के लिए पूर्ण अधिकार नहीं है। जीडीपीआर का दूसरा पक्ष है, जो इस विश्वास को सुधारने वाला है कि नागरिकों का हमारी कंपनियों में है। यह उन कंपनियों को और अधिक व्यवसाय करने के लिए प्रोत्साहित करने जा रहा है जो शिकायत कर रहे हैं। वास्तव में आपके GDPR को पूरा करने के उन सहायक लाभों में से हैं, अब आंतरिक रूप से, डेटा गवर्नेंस प्रोग्राम, जो हम सभी प्रकार की पहल को सुविधाजनक बनाने के लिए लागू करते हैं, वास्तव में, संगठनों के भीतर बंद हो रहे हैं और आज, सबसे दूर, पहल जो लात मारी जा रही हैं। संगठनों के अंदर बंद। मैं हाल ही में उनमें से कई के साथ 2018 के लिए कुछ नियोजन कर रहा हूं, उन्हें डेटा के साथ बहुत कुछ करना है, वे डेटा के बारे में 65 प्रतिशत से 90 प्रतिशत की तरह हैं - जब आप टेलीमैटिक्स या ग्राहक 360 कार्यक्रम के बारे में बात कर रहे हैं या salespeople की निगरानी करने के लिए एक डैशबोर्ड, यह काफी हद तक डेटा के बारे में है। जो कुछ भी उस डेटा को बेहतर ढंग से प्रबंधित करता है, वह इसे एक बेहतर आर्किटेक्चर में डालता है जो ऐसे लोगों का नाम देता है जो ऐसे लोगों के नाम हैं जो उस डेटा के बारे में किसी भी और सभी सवालों के जवाब दे सकते हैं, जो वास्तव में डेटा गवर्नेंस प्रोग्राम की तरह परवाह करते हैं। जो कुछ भी हमें एक डेटा शब्दावली प्रदान करता है - जैसे किम अपने उपकरणों के बारे में बात कर रहा था - कुछ भी जो ऐसा करता है, यह इन पहलों को बहुत अधिक कुशल बनाने में बहुत मददगार है, उन्हें जोखिम में डालना, समय कम करना, उनके लिए बजट कम करना और हमें प्राप्त करना एक फुर्तीली समय के लिए एक बहुत तेजी से और अच्छी चीजों की बाजार में पहल करने वाली कंपनी के लिए, जो सभी कंपनियां हैं।
एरिक कवनघ: मुझे विश्वास है कि अवधारणा से प्यार है। मुझे लगता है कि विश्वास हमारी दुनिया में एक बहुत ही कम वास्तविकता है और भरोसे के साथ सबसे अधिक व्यवसाय चलता है - यह वास्तव में तब होता है जब आप इसे सही तरीके से प्राप्त करते हैं। मैं इसे कुछ समापन टिप्पणियों के लिए, किम पर फेंक दूंगा। मुझे लगता है कि यहां जोड़ा गया एक महत्वपूर्ण मूल्य विश्वास में सुधार कर रहा है और विश्वास की संस्कृति को बढ़ावा दे रहा है क्योंकि इससे न केवल कंपनी पर सकारात्मक प्रभाव पड़ेगा, बल्कि कंपनी के अंदर के लोगों पर भी, लेकिन जनता को उस पर विश्वास है क्योंकि उस तरह का बात खत्म हो गई है, यह मुझे लगता है, लेकिन आपको क्या लगता है?
किम ब्रुशबर: हाँ, मुझे लगता है कि जब मैं उन दोस्तों से बात करता हूं जो Google पर काम करते हैं या फेसबुक पर काम करते हैं या कुछ बड़े, वास्तव में हाई-प्रोफाइल संगठनों के रूप में, वे लगभग कई नई सुविधाओं को लागू नहीं कर रहे हैं क्योंकि वे सुरक्षा प्रोटोकॉल और प्रदर्शन को लागू कर रहे हैं और मापनीयता के मुद्दे क्योंकि वे चाहते हैं कि उनका उपयोगकर्ता अनुभव एक हो जहां उन्हें विश्वास हो कि वे उस जानकारी पर भरोसा कर सकते हैं। मुझे लगता है कि कंपनियों के पास वह जिम्मेदारी है क्योंकि हम उस तरह का विश्वास प्रदान करने के लिए आगे बढ़ते रहते हैं। मुझे याद है कि जब लोगों ने पहली बार क्रेडिट कार्ड ऑनलाइन डालना शुरू किया था और लोग जैसे हैं, "ओह माय गॉड, मैं उस जानकारी को देने नहीं जा रहा हूं, क्योंकि यह सुरक्षित नहीं है।"
और अब, आपका क्रेडिट कार्ड हर तरह से जाता है क्योंकि आप, सिद्धांत रूप में, सोचते हैं कि आप कंपनी पर भरोसा कर सकते हैं क्योंकि इसे HTTPS प्रमाणपत्र मिला है। फिर आप लक्ष्य डेटा उल्लंघनों के बारे में सुनते हैं जहां क्रेडिट कार्ड, वे जैसे थे, "ओह, आप अपने क्रेडिट कार्ड को बेहतर तरीके से व्यापार करते हैं क्योंकि हम उस जानकारी को जाने देते हैं।" मुझे लगता है कि यह दो तरफा भावना है। मुझे लगता है कि व्यक्तियों, जबकि वे अधिक भरोसेमंद होना चाहते हैं क्योंकि यह बहुत आसान है, विश्वास करने में सक्षम होना और बड़े संगठनों में इस पर विश्वास करना है, बड़े संगठनों को इन टुकड़ों में कदम रखना होगा और जगह देना होगा ताकि वे डॉन ' t व्यक्ति को घायल या आप बाजार में हिस्सेदारी खो देते हैं। लोग कहते हैं, "वैसे तो आप जानते हैं कि मैं अब टारगेट पर खरीदारी करने नहीं जा रहा हूं, अब मैं अमेज़न पर खरीदारी करने जा रहा हूं।" मुझे लगता है कि विश्वास एक बड़ा मुद्दा है, हालांकि, जैसा कि हमने कहा, 78 प्रतिशत लोग हैं अभी भी एक ईमेल में उस लिंक पर क्लिक करने जा रहे हैं, भले ही उन्हें पता हो कि वे नहीं कर सकते हैं। लोगों की सुरक्षा की एक निश्चित मात्रा है, तब भी जब वे आप पर विश्वास करते हैं।
एरिक कवनघ: यह एक अच्छी बात है। तुम जानते हो, मैं तुम्हारे ऊपर एक आखिरी सवाल करूंगा, विलियम, या कम से कम एक और सवाल - हमें अब कुछ अच्छे लोग मिल रहे हैं। एक सहभागी लिखते हैं, “GDPR ग्राहक को पहचान प्रबंधन वापस भेज रहा है, जहाँ वह संबंधित है। Equifax ने 149 मिलियन उपभोक्ताओं को स्थायी रूप से क्षतिग्रस्त कर दिया, "बहुत ही सही, " डिजिटल अर्थव्यवस्था को दूषित करना। पहचान प्रबंधन के संबंध में ग्राहक स्वामित्व के संबंध में आपको अमेरिका में क्या परिवर्तन देखने को मिल रहे हैं? "
विलियम मैकनाइट: ठीक है, हम हमेशा अमेरिका में पीछे होते हैं जब यह इस तरह की बात आती है, तो हम नहीं हैं? एक सौ उनतालीस करोड़, वहीं बाल्टी में कोई बूंद नहीं है। यह लगभग आतंकवाद जैसा है, है ना? हम बस के लिए इस्तेमाल कर रहे हैं, यह सिर्फ हर समय हो रहा है। मुझे लगता है कि कुछ करने की जरूरत है। मुझे लगता है कि जीडीपीआर, मुझे ऐसे अधिकार पसंद हैं जो इसे नागरिकों को देते हैं, लेकिन यह एक प्राथमिकता नहीं लगती है - बहुत अधिक अन्य प्राथमिकताएं हैं और मुझे नहीं पता कि यह कहां जाना है। मुझे लगता है, जैसा कि मैंने उल्लिखित स्लाइड्स में उल्लेख किया है कि मेरे पास यह था कि यह उपभोक्ता द्वारा उनके डेटा पर अधिक अधिकारों के लिए एक बदलाव का संकेत देता है। जब अमेरिका में यहाँ होता है? मुझे नहीं पता, यह पाँच साल तक का हो सकता है, जीडीपीआर के बारे में कुछ बात देखने के लिए यहाँ अमेरिका में इस बिंदु पर अटकलें लगाई जा रही हैं।
एरिक कवनघ: यह वास्तव में एक अच्छा बिंदु है और मुझे लगता है कि हम इस पर अधिक प्रयास करने जा रहे हैं, क्योंकि हम इसका सामना कर रहे हैं, हम इन दिनों ऐसी डिजिटल अर्थव्यवस्था की ओर बढ़ रहे हैं। और यहाँ एक टिप्पणी के रूप में, एक ताड़ दार्शनिक, नीति उन्मुख हो रही है, यह वही है जो मुझे कैशलेस सोसाइटी में कदम रखने के बारे में सबसे अधिक चिंतित करता है, क्योंकि जब नकदी चली जाती है, अगर ऐसा होता है, तो सब कुछ डिजिटल है और हर सिस्टम को हैक किया जा सकता है और हर व्यक्ति की पहचान चुराई जा सकती है। मुझे लगता है कि यहाँ कमरे में एक बहुत बड़ा हाथी है, जैसा कि हम पहचान प्रबंधन के भविष्य को देखते हैं।
यह सब महान सामान है, दोस्तों। आज के समय और ध्यान के लिए विलियम मैकनाइट का धन्यवाद। IDERA से किम ब्रुशर को धन्यवाद। हम बाद में देखने के लिए इन सभी वेबकास्ट को संग्रहीत करते हैं, इसलिए वापस आने के लिए स्वतंत्र महसूस करें, आमतौर पर केवल कुछ घंटों के भीतर और संग्रह तैयार हो जाएगा। इसके साथ, हम आपको विदाई देने जा रहे हैं, दोस्तों। अपने समय और ध्यान के लिए फिर से धन्यवाद ध्यान रखना। अलविदा।
