작성자 : Techopedia Staff, 2017 년 12 월 6 일
테이크 아웃 : 호스트 Eric Kavanagh는 EU의 다가오는 일반 데이터 보호 규정과 그것이 업계에 미칠 영향에 대해 논의합니다. 그와 함께 McKnight Consulting Group의 William McKnight과 IDERA의 Kim Brushaber가 있습니다.
현재 로그인하지 않았습니다. 비디오를 보려면 로그인 또는 가입하십시오.
에릭 카바나 흐 : 좋아, 신사 숙녀 여러분 안녕하세요. 다시 한 번 환영합니다. 수요일 오전 4시 (동부 표준시)로, Hot Technologies의 경우 다시 한 번 – 2017 년 마지막 시간 중 하나입니다. 그렇습니다. 제 이름은 Eric Kavanagh입니다. 오늘 행사의 중재자가 되겠습니다. 우리는 가장 멀리 다룰 주제에 대해 이야기하고 있습니다. 현재 글로벌 데이터 보호 규정 인 GDPR의 개념은 그렇지 않습니다. 계속해서 이것으로 뛰어 갑시다. 그것은 당신에 관한 것이 아닙니다. 올해는 매우 뜨겁습니다. 정말 다양한 방식으로 더워졌습니다. 그러나 GDPR과 다른 조직의 임박한 규제는 솔직히 비즈니스 세계에서 일어나고있는 일, 특히 결과에 대해 다시 생각하도록 강요하고 있습니다. 데이터와 관련되어 있습니다. 우리는 IDERA의 Kim Brushaber와 McKnight Consulting Group의 William McKnight의 의견을들을 예정입니다.
당면한 주제에 대해 몇 마디 만하겠습니다. GDPR은 기본적으로 조직은 데이터와 관련하여 프라이버시 우선 및 보안 우선 정책을 가지고 있어야하며 실제로는 여러분이들은 내용 중 일부에 관한 것입니다. 예를 들어 잊을 수있는 모든 권리는 지금이 순간, 매우 흥미로운 것들입니다. 원칙과 윤리면에서 확실히 유효합니다. 그러나 실제 구현 측면에서 보면 이는 매우 심각한 과제입니다. 잊을 권리는 일부 조직이 귀하의 데이터, 개인적으로 민감한 데이터를 갖지 않게하려면이를 제거해야한다고 말합니다. 글쎄, 당신은 이러한 이기종 데이터 환경 중 일부가 언제 어려울 지 상상할 수 있습니다. 데이터가 지속되는 모든 장소에 접근하여 데이터를 끌어낼 수 있다는 것은 결론이 아닙니다. 그럼에도 불구하고, 조직은 이러한 문제를 해결할 수있는 정책을 마련해야하며 규제 기관이 기대하는 바입니다.
큰 문제입니다. 귀하가 말한 경우 조직에서 데이터를 제거해야 할뿐만 아니라 해당 데이터에 대해 알고리즘을 학습 한 경우 기술적으로도 알고리즘을 재교육해야합니다. 그것은 큰 주문이며, 당신에게 말해야하지만, 다가오고 있습니다. 파이크가 내려갑니다. 내년 5 월에 현실이 될 것이며 다른 규정도 있습니다. 캐나다는 스팸 방지법을 통과 시켰으며 이는 개인 정보 취급 방식에 영향을 미칩니다. 순 중립은 현재 파이크를 낮추고 있습니다. 물론 그것은 근본적으로 뿌리 뽑혔으며, 그것은 몇 가지 변화를 가져올 것입니다. 이사회 및 전 세계의 비즈니스에 영향을 미치는 이러한 매우 심각한 규정이 많이 있으며, 대기업은 실제로 생각하고 준비해야합니다.
이를 위해 우리는 McKnight Consulting Groups의 William McKnight 온라인을 통해 그가 생각하는 것과 GDPR이 실제로 빙산의 일각 인 이유를 알려줍니다. 그것으로, 윌리엄, 나는 그것을 당신에게 나누어 줄 것입니다. 멀리 가져.
William McKnight : 감사합니다. Eric, 그리고 슬라이드에서 알 수 있듯이이 GDPR은 아마도 빙산의 일각 일 것입니다. 이것이 우리의 생각입니다. 우리가 다루어야 할 파이프로 내려 오는 규제의 물결을 의미한다고 생각하기 때문에 우리는 GDPR에 깊이 들어가는 것이 중요합니다. 운 좋게도, Eric, 잊을 수있는 권리에 대한 합리적인 표준이 있습니다. 그럼에도 불구하고 올해 GDPR에 대해 이야기하면서 아직 미 준비 회사가 많지 않다고 생각합니다. 1 년 전에는 생각조차하지 않았지만, 몇 가지를 시험해 보았을 때, 이제는 규제가되었으므로 에릭, 5 월이 올 것입니다. 여기까지 – 전혀 멀지 않습니다.
나에 대해 조금, 나는 데이터 관점에서 이것에 올 것이다. 알려 드리기 위해 저는 평생 데이터 담당자이며 19 년 동안 데이터 분야에서 컨설팅을하고 있으며 GDPR은 데이터에 관한 것입니다. 데이터 거버넌스에 대한 프레젠테이션을 진행하면서 여기에 솔루션을 제시하겠습니다. 나는 분명히 많은 데이터 거버넌스 프로그램을 수행해 왔으며 그 개념에 부합한다면 데이터 거버넌스를 수행하고 있다고 생각합니다. 실제로, GDPR 준수에 관한 것이지만, 거버넌스에 뒤떨어져 있고 GDPR 준비에있어 상당히 솔직한 것이 많을 것입니다. 여기에 레벨을 설정하고 GDPR이 무엇인지 이해하고 대화에 깊이 들어가면 새해를 넘어서면서 비즈니스 라이프에 대한 GDPR의 파급 효과를 더 많이 보게 될 것입니다.
GDPR은 유럽 연합 시민 데이터 개인 정보 보호를위한 것입니다. 그것은 규제입니다 – 그것은 이가 있다는 것을 의미합니다. 그것은 이미 제안 된 것으로 제시된 것이 아닙니다 – 벌써 일어난 일이며 이제는 벌칙으로 규제되고 있습니다. 나는 사람들의 관심을 끌기 때문에 처벌로 시작하는 것을 좋아합니다. 이것들은 엄격한 처벌입니다. 기업이 보안 의무를 준수하지 않는 경우 전 세계 연간 매출의 2 % 또는 천만 유로가 있지만 두 가지 처벌이 있지만 다른 규정을 위반하여 다른 모든 조항을 위반할 경우 4 %입니다. 약 4 %의 붕대가 들린다 고 들었습니다. 그건 그렇고, 그것은 4 % 또는 1 천만 유로 중 더 큰 것입니다. 이것은 매우 뻣뻣합니다. 사람들은 이것에 대해 매우 진지합니다. 2018 년 5 월 25 일부터 시작하십시오. 감사의 시작일, 벌금을받을 수있는 주요 날짜입니다. 확실히 당신은 이것을 준비하고 싶습니다. 내가 다루는 모든 회사, 많은 글로벌 2000 회사를 다루고 있습니다. GDPR 준비 과정에 있고 다른 회사보다 더 많은 회사가 있고 다른 회사보다 더 많은 회사가 있어야합니다. 확실히, 일부는 그 날짜를 맞추는 것이 어려울 것이며, 우리는 보게 될 것입니다.
지금까지 본 가장 철저한 데이터 개인 정보 보호 규정입니다. 우리가 더 뻣뻣하거나 미국 인구에 더 직접적인 영향을 미치는 것을 볼 때, 누가 알지만, 거기에 있으며 반드시 준수해야합니다. 개인 식별 정보, 주민 등록 번호, 전화 번호, 주소, 개인을 고유하게 식별하거나 개인을 상당히 고유하게 식별 할 수있는 것들 등 UE 시민 PII가 PII 권리에 대해 잘 알고있는 것을 이해해야합니다. 그들이 가진 것과 그것을 사용하는 방법. 이것은 재고를 의미합니다. 이는 이러한 종류의 데이터에 대한 회사 내 규제를 의미합니다. 그건 그렇고, 미국에는 전국적인 데이터 보호법이 없습니다. 미국은 항상 이런 종류의 규제 측면에서 유럽의 배후에 있다고 생각합니다. 그것은 GDPR을 계속하고 있으며, 그것은 분명합니다. 여러분 중 일부는 프라이버시 실드에 대해 알고있을 수도 있습니다. GDPR에는 프라이버시 실드와 겹치는 조항이 약 3 개 또는 4 개 있지만 GDPR에는 100 개가 있습니다. 물론 그 외에도 훨씬 많은 부분이 있으며 미국 및 EU 데이터 교환과 관련이 있습니다. 중요하지만 중요합니다.
다시, 나는 숫자로 시작하고 싶습니다. 벌금에 대해 들었습니다. 어떻게 준비 할 수 있습니까? GDPR에 예산을 책정하고이 중 일부를 수행하는 것은 몇 가지 요인에 따라 다릅니다. EU 시민에 대해 수집 한 PII 데이터의 양입니다. 당신이 아무것도 수집하지 않으면, 당신은 아마 준수하고 이것을 처리 할 필요는 없지만 어딘가에서 수집하기 때문에 아마도이 전화를하고있을 것입니다. 회사의 규모와 데이터 거버넌스의 성숙도. 앞에서 말했듯이 GDPR에 대응하기 위해해야 할 일에 접근하고있을 수 있습니다. 규정 준수를 위해 최대 수백만 달러 또는 유로가 예상 될 수 있습니다. 그러나 우리는 단지 GDPR을 준수하고 박스를 체크하기를 원하지 않습니다. 물론 그렇게해야합니다. 바라건대, 당신은 그 상자를 체크하기 위해 필사적으로 더 어두운 상황에 있지 않습니다. GDPR을 지원하기 위해하는 많은 일들이 사업에 도움이되기 때문에 사업상의 이점을 찾으십시오. 데이터 거버넌스는 비즈니스에 좋습니다. PII 데이터의 양과 관련하여 일부는 다른 것보다 더 중요하고 일부는 데이터 관련 건강과 같은 다른 것보다 더 면밀히 조사 될 것이며 다른 유형의 데이터보다 GDPR에 의해 훨씬 더 엄격하게 규제 될 것이며 준수가 필요할 것입니다 예산에 추가되는 데이터 보호 영향 평가 수행과 같은 추가 의무가 있습니다.
예산 책정에 대해 조금 거기에. 영국이나 미국에 거주하고 있고 그것이 어떻게 영향을 미치는지 궁금한 경우 – GDPR은 2019 년 3 월 29 일까지 EU에있는 영국에 영향을 미치며 정부는 GDPR과 같은 것을 계속할 것이라고 밝혔습니다. "좋은 생각"이기 때문에 그 날짜 이후 영국 회사는 그것을 준수해야합니다. 이에 대한 영국 시민 데이터는 확실합니다. 확실하지 않은 경우, 미국에 기반을 둔 사업체가 있습니다. EU 시민 데이터로 EU를 거래하는 경우 이는 분명히 귀하에게 적용됩니다. EU 데이터를 다른 모든 것으로부터 차단하고 다르게 취급해야하기 때문에 데이터 아키텍처에 영향을 미칩니다. Eric이 말한 것처럼 분석을 컴파일하는 방식에 분석에 영향을 미칩니다. 개념 전체의 글로벌 분석을 수행하기가 더 어려울 수 있습니다. GDPR의 결과로 더 현지화 될 수 있습니다.
조항에 무엇이 있습니까? 데이터 보호 표준이 있습니다. 이 모든 것들은 휴지 및 이동중인 데이터의 암호화를 지시합니다. 다음에 암호화에 대해 이야기하겠습니다. 데이터 유출 알림 표준이 있습니다. 더 이상 몇 달 동안 기다리지 않고 모든 사람에게 알리기 위해 분기를 기다립니다. 전날 큰 일이 있었는데 우리는“아, 1 년 전에 일어난 일”이라고 생각했습니다. GDPR에서는 그 중 어느 것도 72 시간입니다. 이름과 부끄러운 정책입니다. 바라지 않는 사람은 아무도 없을 것입니다. 물론 GDPR 이후에도 위반은 계속 될 것입니다. 데이터의 위치와 품질을 모니터링하는 프로세스가 있습니다. 익숙한 소리? 이것이 바로 데이터 거버넌스의 핵심입니다. 잘만되면 당신은 그들 중 일부가 있습니다.
에릭이 언급했듯이 EU 시민은 잊을 권리가있다. 이에 대한 몇 가지 합리적 표준이 있습니다. Eric. 해당 고객, 직원에게 다시 연락해야 할 경우 반드시 모든 것을 소멸시킬 필요는 없습니다. 개인 데이터의 특정 측면을 유지할 수 있습니다. 그럼에도 불구하고, 그 시민들은 잊혀 질 권리가 있지만, 언어에 대한 불균형 한 노력, 즉 당신에게 또는 회사에 해를 끼칠 수는 없습니다. 나는 그것을 무시하고 싶지 않지만, 당신은 또한 보유 된 개인 데이터의 사본을 공개해야하며 당신은 그 데이터를 동의 할 때만 얻을 수 있습니다. 그러한 동의를 얻기 위해서는 최소 연령의 사람들이 동의해야합니다. 그것은 한 입이지만, 시민들에게 데이터에 대한 많은 권리를 부여합니다. 그것이 떠오르는 경우를 대비하여 이식성입니다. 잊어 버릴 수있는 권리 – 그리고 또한 내 슬라이드에없는 것 – 매우 중요한 것 – 데이터 주제는 자동화 된 처리에만 근거한 결정의 대상이 될 수 없다는 것입니다. 우리는 무엇으로 열심히 움직이고 있습니까? 자동화 된 처리, 대출 승인, 우리가 제공하는 제안, 이 모든 것이 어떻게 진행될 것인지 그리고 얼마나 멀리 갈 것인지에 관해 해결되어야합니다. 이것이 본질적으로 말하는 것은, 왜 거절 당했는지, 왜이 회사에 의해 특정한 방식으로 대우 받고 있는지에 대한 투명성입니다. 이것은 지금 EU 시민에게 부여되고 있습니다.
분명히, 우리가 사업을 수행하는 방법에 약간의 영향이 있으며 GDPR이 IT 문제가 아니라 IT 문제가 아니라는 것을 알기를 바랍니다. 이러한 모든 비즈니스 프로세스가 관련됩니다. 회사 전체의 사람들이 참여합니다. 직원 수가 250 명 이상인 회사의 경우 데이터 보호 담당자를 임명하는 것이 좋습니다. "EU PII 데이터를 사용하여 중요한 수학"을 사용하는 경우가 있습니다. 중요한 수학이 있는지 여부를 판단 할 수 있습니다. 그러나, 새로운 역할이 있습니다 – 풀 타임 역할이 아니어도 그 사람은 다른 책임을 져야합니다. 그러나 일부 중소 기업에서는 GDPR을 준수 할 것이라고 생각합니다. 풀 타임 역할에 가까워 야합니다. 나는 그런 식으로 시작하고 당신이 그것을 다룰 수 있는지 보라고 말하고 싶습니다. 특히 내년에 GDPR에 관한 행동을 취합하면 일단 해결되면 이에 대한 작업 속도가 느려질 수 있지만 일부 회사에는 시간이 다소 걸릴 것입니다. 앞에서 언급 한 것처럼 개인이 자신의 데이터 및 데이터 이식성을 볼 수 있도록합니다.
그건 그렇고 모두 새로운 것은 아니지만 잊어 버릴 권리는 실제로 거기에 있었고, 믿거 나 말거나하지 않습니다. 현재 EU 규칙은 이미 개인 데이터를 삭제하거나 사용할 수 없도록 할 권리를 제공합니다. 그러나 이제는 GDPR의 일부이며 훨씬 더 광범위하게 시행 될 것입니다. 데이터 암호화 – 유휴 데이터를 암호화합니다. 자체 암호화 또는 비표준 암호화를 사용하지 말고 표준 암호화 방법을 사용하십시오. AES는 우리가 꽤 권장하는 것입니다. 암호화 보안 암호화 키를 사용하십시오. 해당 키를 정기적으로 변경하십시오. 또한 해당 키가 손실되지 않도록하십시오. 이것들은 좋은 암호화 방법 일 뿐이지 만 GDPR을 통해 최전선에 서고 있습니다. 거기에는 문제가있다 – 나는 단지 빙산의 일각에 부딪쳤다. 분명히 살펴볼 더 많은 조항이 있지만 이것이 주요 조항입니다.
이제 솔루션. 데이터 거버넌스, 컴플라이언스 프레임 워크, 적어도 제가 여기서 제시하고자하는 관점입니다. 다행스럽게도 성숙 할 때 대부분의 요구 사항을 처리 할 수 있고 수행하는 데이터 관리 방식과 데이터 거버넌스가 활성화되어 있습니다. 거버넌스 프로그램에는 데이터 용어집이 있어야하며 여기에서는 일반적인 용어로 데이터 용어집을 사용하여 프로세스 전반에 걸쳐 문서를 의미합니다. 이것은 우리가 볼 수 있듯이 GDPR의 재고 요구를 충족시키기위한 기초입니다. 거버넌스 프로그램 인이 프로그램은 데이터 보안 프로토콜을 용이하게해야합니다. 그리고 저는 이것이 많은 데이터 거버넌스 프로그램이 지금하고있는 것이 아니기 때문에 이것이 중요하기 때문에 이것이 논리적 인 장소라고 생각합니다. 비즈니스 소유자를 결정하는 프로그램에 앉아 있습니까? 누가 볼 필요가 있습니까? 그리고 다음 단계는 이러한 권한을 부여하는 것입니다. 그것은 집중화되어야하고 공식화되어야합니다. 사용되는 내부 정책이 있어야합니다. 위의 모든 사항에 의견을 제공하기 위해 모든 요소에 청지기 직분을 할당해야합니다. 데이터 거버넌스는 또한 비즈니스 프로세스 엔지니어링의 촉진자 일 수 있으며, 이는 필요할 것입니다.
이 슬라이드를 떠나기 전에 무거운 벌금을 피하기 위해 회사는 부산물로 건전한 비즈니스 관행을 수용 할 것입니다. 나는 그것이 부산물 이상이라고 말하고 싶지만 실제로 비즈니스 관점에서 새로운 장소로 인도 할 수있는 건전하고 건전한 사업입니다. 확실히, 당신은 건전한 데이터 거버넌스를 가지고 있다면, 전반적으로 모든 이니셔티브를 수행하는 데 많은 효율성을 얻게 될 것입니다. 그것이 수년 동안 내가 본 것입니다. 내가 언급 한 것들 중 일부를 데이터 거버넌스에 추가함으로써 그것들은 더 나아질 것입니다. 비즈니스 프로세스 엔지니어링에서는 모든 비즈니스 영역에 영향을 미치면서 이러한 질문을 전반적으로 수행하는 것이 좋습니다. EU 고객에 대해 어떤 종류의 데이터를 수집합니까? 나는 그들 모두를 읽지 않을 것입니다. 여기에 몇 가지 핵심 사항이 있습니다. 이 데이터를 볼 필요가있는 사람은 누구입니까? 해당 데이터의 관리자는 누구입니까? 사업체에서 내가가는 사람은 누구입니까? 우리는이 데이터를 제 3 자와 공유합니까? 제 3 자에게 제공한다고해서 해당 데이터에 대한 귀하의 책임을 변명하지 마십시오. 그것은 여전히 귀하의 데이터이며, 여전히 귀하가 수집 한 데이터입니다. GDPR의 결과로 많은 제 3 자 계약이 철저하게 검토되고 있습니다. 이러한 시스템에 결정적인 오류가 있습니까? 그들이 실패했을 때, 그들은 우리가 미리 결정한 경로에 실패하거나, 단지 실패, 충돌, 화상을 입었고 우리는 처음부터 파고 들었습니까? 분명히 훨씬 나아질 것입니다. 이미 좋은 습관이지만 시스템에 결정 론적 인 오류가있는 경우이 부분 중 일부를 리버스 엔지니어링하는 것이 훨씬 좋습니다.
데이터 보존, 우리는 데이터 보존에 대해 영원히 이야기했습니다. 많은 회사들이 정책을 가지고 있지만, 모든 정책을 따르지는 않습니다. 분명히 건강 관리 및 금융 분야에서 데이터를 유지하고 싶습니다. 데이터는 몇 년 동안 유지해야합니다. 7 년 동안 데이터를 유지하는 이들 회사의 일부 분석가들은“아, 그 기간이 지난 후에도 여전히 그 데이터를 원합니다.”라고 말합니다. 그러나이 회사의 일부 변호사들은“그러나 데이터를 제거해야합니다. 책임의 목적으로”등. 더 이상 GDPR을 가진 loggerheads의 문제로 단순히 거기에 앉아있을 수는 없습니다. 우리는 보존 기간을 가져야하며 조직 내 전반에 걸쳐 지속적으로 준수해야합니다.
마지막으로 데이터 유출에 어떻게 동원합니까? 당신에게 일어날 수있는 최악의 시나리오. 분명히, 우리는 그들을 막으려 고 노력하고 있지만, 만약 그렇다면 어떻게 될까요? 당신은 어떻게 그 방을 전쟁하고 당신의 응답에서 GDPR의 조항을 따르고 있는지 확인합니까? 저는 데이터 아키텍트이고 데이터 아키텍처에 대해 생각합니다. EU 시민 데이터를 의미하는 EU 운영을하는 미국 기반 회사 인 경우이를 수집하는 경우 데이터 보호 표준을 모든 데이터에 적용할지 아니면 EU 데이터에만 적용할지 고려해야합니다. 예, 지금 결정을 내리고있는 고객이 있습니다. 건전한 사업 관행으로, 그들은 미국에 그것을 가져오고 싶을 수도 있지만, 시간이있는 것처럼 느낄지 모르지만 총알은 두 번째입니다. 미국 시스템이 데이터를 적절하게 처리 할 것이라고 보증 할 수없는 경우 미국 시스템에서 EU 데이터를 차단해야 할 수도 있습니다. 분석 목적으로 데이터를 분리합니까? 국가별로 분석을 시도하는 경우에도 분석이 유효합니까? 때때로 그렇습니다, 때때로 그렇습니다, 맞습니까? 결과적으로 분석 결과가 소거 될 수 있습니다.
앞에서 언급했듯이 인공 지능은 AI를 사용하여 모든 데이터를 찾고 모든 데이터를 찾을 수 있지만 AI를 고객 인터페이스에서 사용하는 경우 이제 고객과의 투명성을 확보해야하기 때문에 여기에서 사용됩니다. 인터페이스는 AI의 강력한 소송이 아닙니다. 실제로 AI 일 때 고객에게“당신은 blah, blah, blah 때문에 거절당했습니다.”라고 말하려고했습니다. 이제해야합니다. AI가 어떻게 작동하는지 알아 내야합니다. 요인은 무엇입니까? 더 이상 거기에 앉아서 당신에게 블랙 박스가 될 수 없습니다. 우리는 지금 무엇을합니까? GDPR 보드를 설정하십시오. 수석 프라이버시 담당자가 있거나 데이터 보호 담당자가 있다면 그 사람을 추천합니다. 데이터 거버넌스 책임자, 운영 위험 및 / 또는 규정 준수 (적용되는 경우) IT 책임자, CIO 책임자 관리 담당자가 변경된 경우에는 그 사람이 훌륭한 사람이됩니다. 개인 정보 보호 교육이 엄청날 것이기 때문에 비즈니스에서 가장 중요한 일부 부서장과 HR 책임자도 있습니다. 모두가 개인 정보 보호 교육을 받거나 컨설턴트, 심지어 회사에 가입 할 때 개인 정보 보호 교육을 받아야합니다.
여기서 볼 수있는 일을하지 않으면 마감 시한보다 더 빨리 움직여야합니다. 또한 처음부터 감사를 받고 많은 EU 시민 데이터를 다루는 경우 여기에 많은 작업이 있기 때문에 감사를받는 첫 번째 사람이 아니라는 것을 기대해야합니다. DPO를 고용하고 데이터와 프로세스를 인벤토리하십시오. 데이터 거버넌스를위한 계획을 수립하여 필요한 곳에서 필요한 곳으로 가져갑니다. 경우에 따라 시작할 수도 있습니다. 개인 정보 보호 정책 및 정책 통지를 작성하십시오. 개인 정보 보호 정책은 내부적입니다. 정책 통지는 외부로 진행됩니다. 우리는 이제 정책 공고를 중심으로 문화가 조성되기 시작하고 있습니다. 이러한 정책 고지에 대해 많은 비교가 이루어지고 많은주의 깊은 말이 이루어졌습니다. 새 시스템을 포함한 모든 시스템에 대한 GDPR 준수 검사를 승인하십시오. 순서를 정하고 중요한 순서로 수행해야 할 수도 있지만 이것이 문제를 해결하는 또 다른 방법입니다. 시스템과 이들이 수행해야 할 작업 및이 데이터를 처리하는 방법을 살펴보십시오.
GDPR은 무엇을 알리나요? 그것이 우리가 여기서 조금 더 이야기하고자하는 것입니다. 김씨가 이것에 대해 말한 것을 기대합니다. GDPR은 규제에 대한 데이터 프라이버시 제어의 변화입니다. 그것은 투명성에 대한 추세입니다. 우리가 이야기 한 바와 같이, 우리는 이러한 개인 정보 보호 문화를 만들고 있습니다. 우리는 프라이버시 공지 등에 관한 회의를 보게 될 것입니다. GDPR 전환은 사람들의 기본 권리를 향한 것입니다. 공개 질문이 해결됩니다. 분명히 열린 질문이 있습니다. 저는 여기 테이블에 몇 가지를 남겨 놓았습니다. 아무도 대답이 없습니다. 그들은 해결 될 것입니다. 개인의 데이터 및 사용 방법에 대한 개인의 이해를 높이는 경향. 데이터의 중요성과 개인 자산 중 하나로서 더 많은 관리가 필요하다는 점에 대해 EU 인구의 인식이 높아졌다고 생각합니다. 그것은 내가 본 초기 신호 중 일부이며, Eric, 나는 그것을 당신에게 다시 돌려 줄 것입니다.
에릭 카바나 흐 : 알겠습니다. 열쇠를 킴에게 가져 가겠습니다. 킴은 그녀의 관점 중 일부를 공유 할 수 있지만, 저는 이것이 훌륭한 개요라고 생각합니다. 윌리엄, 당신은 핵심 요점을 쳤습니다. 솔직히 매우 조심해야합니다. 이것으로 키를 Kim에게 넘겨 주면 화면을 공유하고 가져갈 수 있습니다.
Kim Brushaber : 저기요, 내 말 들려요?
에릭 카바나 흐 : 들려요.
Kim Brushaber : 대단합니다. 윌리엄은 제가 다룰 내용과 같은 내용을 다루었지만 실제로 중요하기 때문에 다시 다루어야 할 가치가 있다고 생각합니다. 새로운 규정이 통과되면 다른 사람들의 관점과 해석을 이해하여 무언가가 당신의 마음을 촉발시키고 더 많은 컴플라이언스가 될 수 있다고 생각합니다. 5 월 25 일에 와서 더 많은 것을 알고 싶어하는이 전화를 받고있는 모든 사람들에게 격려를 받고 있습니다. 준수하지 않고 추격을당하는 회사에게는 많은 공황이있을 수 있습니다.
저는 IDERA의 선임 제품 관리자 인 Kim Brushaber입니다. GDPR 규정 준수 및 기타 규정에 도움이되는 몇 가지 제품이 있습니다. 몇 가지 정보를 살펴 보겠습니다. 몇 가지 사실과 수치로 시작한 다음 GDPR에 대해 조금 자세히 살펴보고 특히 도구가 어떻게 도움이 될 수 있는지 살펴 보겠습니다. 한 가지 사실은 매일 5 백만 개가 넘는 데이터 레코드가 손실되거나 도난 당한다는 것입니다. 우리는이 소식에 대한 소식을 듣지 못하고 다른 곳에서 오는 소식을 듣지 않지만 항상 도난당한 500 만 건 이상의 데이터 레코드가 있습니다. 공격자가 네트워크 내에서 휴면 상태를 유지하는 평균 일수는 200 일입니다. 많은 시스템은 이미 악의적 인 의도를 가지고 대부분 보안 및 인증서 내에서 정보를 활용할 기회를 기다리는 사람들이 침투하고 있지만, 그들은 단지 자신의 순간을 기다리는 중입니다. 그렇기 때문에 데이터 보안을 다루는 것이 점점 더 중요 해지고 있습니다. 2020 년 단일 데이터 침해의 평균 비용은 더 많은 비즈니스 인프라가 온라인 리소스에 연결되고 클라우드에서 더 많은 일이 발생함에 따라 1 억 5 천만 달러를 초과 할 것으로 예상됩니다. 데이터 보안에 대해 정말로 염려하고, 경영진에게 제공하고, 이것이 심각한 문제이며 앞으로 많은 돈이들 수 있다고 말하면 좋은 예산 번호입니다.
Equifax 데이터 침해에 대해 간단히 살펴 보겠습니다. 2017 년에 발생한 가장 큰 데이터 침해라고 생각하기 때문입니다. 이 위반은 1 억 4, 550 만 고객에게 영향을 미쳤습니다. 직원들은 위반이 발생하기 2 개월 전에 웹 애플리케이션의 보안 문제를 인정했습니다. 직원들은“이것은 문제입니다.”라고 말했습니다. 그리고 그 전에는 패치가 실제로 나왔을 때였습니다. 위반이 발생하여 응답하고 웹 응용 프로그램을 오프라인으로 만드는 데 하루가 걸렸습니다. Equifax에는 정의 된 데이터 보안 프로토콜이 없기 때문에 진행 상황을 파악한 후 시스템을 오프라인으로 전환하는 데 상당한 시간이 걸렸습니다. 위반 6 주 후 대중에게 경고했다. 위에서 언급 한대로 다시 말하지만 GDPR을 사용하면 72 시간 이내에보고해야하며 Equifax는 손을 묶고보고하기 위해 6 주 동안 기다렸 기 때문에 규정 준수를 충족하지 못했을 것입니다. 위반에 대응하기위한 커뮤니케이션에는 Equifax가 소유하지 않은 웹 사이트도 포함되었습니다. Equifax 자신은 자신의 영역에없는이 트윗을 리트 윗하고있었습니다. 다행히도 악의적 인 사이트가 아니 었으나 분명히 준비된 것은 아닙니다. 그들은 계획을 세우지 않았으며, 이것은 공공 장소에서 매우 잘 인식되었습니다. Equifax는 혼자가 아닙니다. 지금까지 2017 년에 25 건의 매우 높은 사이버 프로필 공격이 있었으며, 연말 전에 더 많은 것을 찾을 수 있습니다. 회사는 사람들이 외부에 있기 때문에 이것을 진지하게 받아 들여야합니다. 만약 당신이 그들에게오고 싶어하는 이유를 주신다면, 그것을 처리 할 수있는 준비를하는 것이 좋습니다.
개인이 데이터 보안을보고있는 방식과 관련된 기타 데이터 사실 및 수치. 2020 년까지 가정, 웨어러블, 전화, 태블릿을 통해 인터넷에 300 억 개의 장치가 연결될 것이며 앞으로 몇 년 동안 무엇이 더 올지 알 수있을 것입니다. 이러한 공격에 취약한 많은 장치가 있습니다. 미국인의 47 %가 자신의 개인 정보가 5 년 전보다 덜 안전하다고 생각합니다. 미국 소비자의 73 %는 회사가 개인 데이터에 대해 투명하게 행동하기를 원합니다. 70 %의 사람들이 알 수없는 링크와 이메일을 클릭 할 때의 위험에 대해 알고 있다고 주장하지만 어쨌든 그들은 링크를 클릭합니다. 이는 인구의 3/4 이상이며 여전히 링크를 클릭하고 있습니다. 문제가 될 수 있음을 알고 있습니다. 인터넷 사용자의 88 %가 디지털 설치 공간의 가시성을 최소화, 익명화 및 숨기려고 적극적으로 노력하고 있습니다. 의붓 아버지는 익명으로 생각하기 때문에 양식을 작성할 때 나가서 가짜 이름을 만드는 것을 좋아하지만 IP 주소도 추적한다는 것을 거의 알지 못합니다. 많은 개인의 관심이 있고 그것은 많은 GDPR 규정과 아마도 추가로 발생할 수있는 추가 규정을 만들어내는 것입니다.
데이터 보안 산업에 관한 한, 2016 년 위반 데이터 기록의 90 %는 정부, 소매 및 기술에서 나왔습니다. 사이버 공격의 43 %가 소기업을 공격했습니다. “아, 나는 큰 사람이 아니에요. 그들은 나를 쫓지 않을 것입니다.”라고 생각한다면, 그들 중 거의 절반이 소규모 사업을 겪고 있습니다. 건강 관리 산업의 75 %가 지난 해 맬웨어에 감염되었습니다. 미국 석유 및 가스 회사의 70 %가 작년에 해킹당했습니다. 이는 다양한 산업 분야에 상당한 영향을 미치며이 수치는 앞으로도 계속 증가 할 것입니다.
경영진의 관점에서 보면 CIO의 90 %가 부적절한 사이버 보안에 수백만 달러를 낭비하는 것을 인정합니다. 90 %는 또한 공격을 받았거나 암호화에 숨어있는 사람들의 공격을받을 것으로 예상합니다. 78 %는 보안 제어가 비즈니스 보호에 실패하고 있다고 생각합니다. CIO의 85 %가 키 및 인증서의 범죄 오용이 더 악화 될 것으로 예상합니다. 이 회사는이 데이터 보안 문제를보고있는 수많은 회사이며 실제로 많은 사람들은 이러한 데이터 보안 문제가 발생했을 때이를 처리 할 수있는 적절한 솔루션을 가지고 있지 않다고 생각합니다. 일어날 것입니다.
2014 년에 밀레니엄 세대의 70 %가 IT 정책을 위반하여 애플리케이션을 외부로 회사에 가져 왔다고 인정했습니다. 70 %가이 사실을 인정했습니다. 실제로 그보다 훨씬 많은 숫자가있을 것입니다. 2016 년 사이버 공격이 성공한 조직의 52 %는 2017 년 보안에 아무런 변화를주지 않았습니다. 한 번 공격을 받았지만 여전히 벽을 뚫고 올라가지 않았습니다. 공격 전에 있었다. 이것은 실제로 이런 일에 대비하기 위해 기업이 무엇을 시작해야하는지에 대한 의문을 제기합니다. 전 세계 조직의 38 %가 정교한 사이버 공격을 처리 할 준비가되어 있다고 주장합니다. 좋습니다. 거의 절반이 있고, 그 점에 관대합니다. 우리는 3 분의 1 밖에 안되지만 여전히 절반이 남아 있습니다.“준비되지 않았습니다. 공격을 받으면 준비가되지 않았으며 해커들이이를 알고 있습니다.”38 %의 조직이 사이버 사고 대응 계획을 가지고 있습니다. 대부분의 회사는 Equifax와 동일한 버킷에 있습니다. Equifax는 그들이 무엇을할지 모릅니다. 그들이 이것을 얻으면, 그들은 즉시 대응하고 반응해야하고 GDPR과 같은 규정은“당신은 이것들을 제자리에 두어야합니다. 게시해야합니다. 보안 감사관에게이를 입증해야합니다.”이와 같은 규제를 통해 이러한 규제를 통해 이러한 곡선을 극복하고 반동적 인 태도를 취하지 않고 적극적으로 추구 할 수 있습니다.
GDPR에 대해 조금 이야기 해 봅시다. 이 윌리엄 중 일부는 이미 다뤘지만, 나는 나의 의견, 내 목소리, 내 관점에서 계속해서 다시 다룰 것입니다. 내가 말하고있는 많은 회사들은“미국에 있는데 왜이 EU 규정에 관심을 가져야합니까?”라고 말합니다. 더 많은 사람들이 윙윙 거리지 않고 더 많은 사람들이 말하지 않는 사실 그들은 EU 회원들만 영향을받는다고 생각하지만, 이 목록을 보면 EU 회원들로부터이 데이터를 수집하겠습니까? 이 정보를 전혀 수집하지 않으면 GDPR의 경계와 준수하지 않는 것에 대한 처벌을받습니다. 나는 이것을 흡수하고 이것을 이해하기 위해 잠시 당신에게 줄 것입니다. 윌리엄이 앞서 언급했듯이, 이는 GDPR 제 83 조에 언급 된 처벌 및 제재입니다. 처음에 당신은 손에 때리고, 약간의 경고가 나올 수 있습니다.“여러분의 행동을 취하십시오. 하지만이 계약을 제자리에 두십시오.”그러나 만약 당신이 정말로 큰 위반을한다면 – 그리고 그것이 얼마나 큰 거래인지에 따라 – 그들은 보상을 위해 당신에게 돌아올 것입니다. 그리고 그것은 상당한 수입니다. 전년 대비 1 천만 대가 아니라 2 천만 유로 또는 이직률 / 수익의 4 %입니다. 그것은 많은 돈입니다. 이것은 경영진에 가서 많은 예산이 있으며, “이것은 우리가 진지하게 행동하기 시작해야하며 조치를 취해야합니다.”라고 말합니다.
제 5 조에 요약 된 GDPR 원칙에 대해 조금 살펴 보겠습니다. 그들이 말하는 것 중 하나는 개인 데이터가 합법적이고 공정하며 투명한 방식으로 처리되어야한다는 것입니다. 그것은 대중이 자신의 데이터로 무엇을하고 있는지 알고 싶어한다는 것을 의미합니다. 그것에 대해 투명하게 공개해야합니다. 대부분의 사람들은 이용 약관을 읽지 못하지만 이것은 의사 소통 할 수있는 새로운 정보이므로 "데이터가 적절하게 처리되고 있습니다"라고 말할 수 있습니다. 명시적이고 합법적 인 목적. 다시 말해, 이 스팸 중 일부를 제거 할 수 있기를 희망합니다. 여기서 회사는 퀴즈에 대한 정보를 수집하여 사용자가 얼마나 흥미로울 지 알려주고 실제로 데이터를 가져 와서 다른 사람에게 판매하고 있다고 말합니다. 목적에 관계없이 사용할 수 있습니다. 이제 회사는 훨씬 더 책임감 있고 정보를 사용하고있는 것을 정확하게 말해야합니다. 또한 개인 데이터는 적절하고 적절하며 필요한 것으로 제한되어야한다고 말합니다. 많은 회사가 모든 정보를 가져 와서 빅 데이터 풀에 넣은 다음 나중에 정보로 무엇을하고 싶은지 알아 내고 필요한 것보다 훨씬 많은 정보를 수집합니다. 이것은 당신이 그것을 수집하고 다른 곳에서 사용할 수 없다고 말합니다. 또한 모든 것을 모을 수는 없으며 나중에 유용 할 수 있기를 바랍니다. 정보를 수집하는 이유는 매우 분명해야하며 수집하는 데이터와 관련이 있어야합니다.
개인 데이터도 정확하고 최신 상태로 유지되어야합니다. 데이터를 수집 한 후에는 사용자에게 데이터를 업데이트 할 수있는 방법을 제공해야합니다. 그들은 다시 돌아가서“개인적으로 식별 가능한 정보에 관해 나에게 물어 본 일부 설문 조사에 대해이 의견을 가지고 있으며, 돌아가고 싶습니다. 변경하고 지금 업데이트하고 싶습니다.”라고 말했습니다. 그들에게 그렇게 할 수있는 방법을 제공합니다. 개인 데이터는 더 이상 필요하지 않은 기간 동안 데이터 주체를 식별 할 수있는 형태로 유지해야합니다. 윌리엄의 요점으로 돌아가서, 이 정보를 영원히 수집 할 수 없다는 – 당신은 당신이 생각하는 것이 타당하고 필요하다고 생각한 다음에 데이터를 정리해야합니다. 또한 무단 또는 불법 처리, 우발적 손실, 파괴 또는 손상으로부터 보호하는 등 적절한 보안을 보장하는 방식으로 처리해야합니다.
앞에서 말했듯이, 데이터 유출의 형태로 인해 회사에 부상을 입거나 수익 손실 및 프로세스 비용을 삭감하는 비용뿐만 아니라 데이터 유출을 막을 때이 문제에 대해 진지하게 생각해야합니다. 하지만 GDPR에서 벌금이 부과 될 수도 있습니다. 이제는 그것에 대해 매우 진지해지기 시작할 때입니다. GDPR이 발효되면서 회사는 어려운 현실에 직면하게 될 것입니다. 운 좋게도 오늘 전화를 거는 여러분은 이에 대해 생각하고 시작할 수 있습니다. 이런 것들을 행동으로 옮기는 방법.
GDPR은 또한 개인의 권리가 무엇인지에 대해 많은 이야기를합니다. 실제로 개별 사용자를 찾고 있습니다. 첫 번째는 개인 데이터에 액세스 할 수있는 권리입니다. 사용자는 개인 식별 정보에 이르기까지 자신이 수집 한 정보를 알아야하며 해당 정보에 액세스 할 수있는 방법을 제공해야합니다. 정류에 대한 권리도 있습니다. "나는 당신이 가지고있는 정보를 바로 잡을 수 있어야합니다."라고 말할 수있는 멋진 방법입니다. 지우는 권리 – 다시 말하지만, 많은 사람들이 잊어 버리십시오 – 개인이“당신이 무엇을 알고 있는지, 내가 더 이상 내가 재미있는 사람 만화책 수집 가라는 것을 알기를 원하지 않기 때문에, 당신은 그것을 제거해야합니다. 저를 괴롭히는 친구들이 있는데, 당신의 목록을 완전히 없애 버립니다.”그렇게 할 수 있어야합니다. 처리 제한에 대한 권리도 있으며 이는 사용자가 정보 처리 방식을 제한 할 수 있음을 의미합니다. "내가 새 차를 구입하고 있기 때문에 내 정보를 가져가도 괜찮지 만 새 차가 출시 될 때마다 해당 정보를 사용하여 새 거래에 대해 전자 메일을 보내거나 스팸 메일을 보내지 마십시오." 데이터 이식성에 대한 권리. 즉, 사용자는 자신의 데이터 사본을 얻어 다른 곳으로 가져갈 수 있어야합니다. 많은 조직들이 정보를 수집하고 그 정보에 끈적 거림 요인이 생겼으며 이제 개인은“무엇을 알고 있는지, 모든 정보를 가져 가서 경쟁 업체에 제공하기를 원합니다. 위에."
조직에서이를 수행 할 수있는 방법과 수집 및 전송할 수있는 정보에 대해 고려해야 할 사항이 많이 있습니다. 또한 이의를 제기 할 권리가 있으며 사용자는 자신의 데이터 처리에 이의를 제기 할 수도 있습니다. 자동 처리 또는 프로파일 링만을 기반으로 한 결정을받지 않을 권리. 이것은 B2B 마케팅에 중대한 영향을 미칩니다. 만약 당신이 거기에 앉아 A / B 테스트를 시도하고 식별하려고 시도하는 경우, 콜로라도가 캘리포니아보다 메시지에 더 많은 영향을받을 것입니다. 상태와 다른 상태를 비교할 수 있으며 개인이 어떻게이를 거부 할 수 있는지 살펴 봐야합니다.
데이터 유출에 이르기까지 끔찍한 일이 발생하고 사람들이 데이터를보고있는 방식에 대해 우리가 어깨 너머로 버려지고있는이 거대한 규제를 받았으니, 지금 여기에 있습니다. IDERA가 도울 수있는 방법에 대한 솔루션. 제 15 조는 개인 데이터에 대한 노출을 통제하는 방법에 대해 설명합니다. 누가 데이터에 액세스하고 있는지 알아야합니다. 그들이 어떻게 사용하고 있습니까? 처리 된 데이터 양과 제품 관리자 인 SQL 제품 Compliance Manager를 사용하면 누가 데이터에 액세스하는지와 방법을 확인할 수 있습니다. SQL Compliance Manger는 SQL Server 솔루션을위한 것입니다. SQL Server 데이터베이스가있는 경우이 제품을 연결하여이 정보를 감사하고 볼 수 있으므로 GDPR을 준수 할 수 있으며 사용법을 정확히 알 수 있습니다. 데이터 유출이 발생하기 전에 데이터 유출을 볼 수 있으며 다른 슬라이드에서 이에 대해 이야기하겠습니다. “처리 활동에 대한 기록이 필요합니다. 로깅하고 작업을 모니터링해야하며 개인 데이터를 처리하는 사람과 해당 시스템에 액세스 할 수있는 사람을 알아야합니다.”SQL Compliance Manager는 보안, DDL, DML을 포함한 서버 및 데이터베이스의 감사를 유지하고 중요한 데이터를 정의합니다. . SQL Compliance Manager를 사용하면 보안 액세스를 감사하고 시도를 기록 할 수 있으므로 권한있는 사용자인지, 알려진 사용자인지 또는 악의적 인 사용자인지 여부와 정보를 액세스하는 사람 및 로그인 한 사람을 볼 수 있습니다.
제 33 조는 감독 당국에 개인 정보 침해 신고에 관한 내용을 담고 있습니다. 이러한 위반을 감지 할 수 있어야합니다. 영향을 평가할 수있는 기록이 있어야합니다. 얼마나 빨리 치료할 것인지 알아야합니다. 이를 위해 SQL Compliance Manger를 사용하면 민감한 데이터에 액세스 할 수있는 사람, 액세스 할 때, 액세스 한 대상이 볼 수 있도록 데이터베이스에 경고를 설정할 수 있습니다. 또한 감사에서 일반 권한있는 사용자를 배제 할 수 있습니다. 액세스하려는 시스템 관리자 나 네트워크 관리자가 있고 보고서를 막고 싶지 않은 경우 해당 보고서를 배제하고 "정보 외부에서 발생하는 모든 것을 제공하십시오."라고 말할 수 있습니다. 누군가가 데이터에 악의적으로 액세스하고 있는지를 신속하게 파악할 수 있으며, 알림이있을 때 발생하는 순간을 알려주고 정보에 액세스하는 순간을 알려 주어 정보를 해독 할 수 있습니다. Equifax처럼 어떤 일이 일어나고 있는지 파악하기 위해 하루 종일 기다릴 필요가 없습니다.
데이터 보호 및 영향 평가에 대한 기사도 있습니다. 이것은 귀하의 위험을 평가하고 그 위험을 이해하고 GDPR 준수를 입증하고 문서화하는 것입니다. SQL Compliance Manager를 사용하면 모니터링중인 요소를보고 할 수 있습니다. 간단히 말해서 SQL Compliance Manager를 사용하여 데이터를 감사하기 위해 SQL Compliance Manager를 사용하면 실패한 로그인을 감지 할 수 있습니다. 이는 침입의 징후 일 가능성이 있습니다. 관리 활동 및 보안 변경 사항을 모니터링하고 데이터베이스 수정에 대해 경고하고 감사합니다. 중요한 정보로 정의하고 권한있는 사용자를 식별하고 시스템의 다른 사용자와 별도로 활동을 추적하는 열은 여러 규제 지침에 따라 정보가 감사되고 있다고보고합니다. 우리는 GDPR뿐만 아니라 HIPAA, PCI, FERPA, SOX 및 모든 규제 지침이 정보를 감사하고 액세스되는 내용을 이해하는 데 필요한 모든 규제 지침을 다루고 있습니다.
IDERA에는 GDPR 준비를위한 추가 제품도 있습니다. SQL Compliance Manager의 감사 외에도 ER / Studio Enterprise Team Edition을 통해 데이터 프로세스를 문서화하고 데이터 표준을 데이터 모델에 통합 할 수 있으며 William이 이전 슬라이드에서 논의한 데이터 용어집을 만들 수 있습니다. . 이 프레젠테이션에서 여기에 언급 한 바와 같이 SQL Compliance Manager를 사용하면 정보를 감사하여 잘못된 사람이 데이터에 액세스하지 못하도록하고 감사 자에게이를 입증 할 수 있습니다. SQL Safe Backup을 사용하면 데이터와 백업을 암호화 할 수 있습니다. 암호화는 GDPR의 필수 부분으로, 규정 준수 관리자의 자산에 집중하고 싶었 기 때문에 자세히 다루지 않았지만 SQL 세이프 백업은 데이터를 안전하게 유지할 수 있도록 많은 암호화를 수행합니다. SQL Inventory Manager는 서버가 최신 상태로 패치되도록 보장하므로 Equifax와 같은 경우에는 최신 패치를 사용하여 사람들이 할 수있는 큰 보안 허점을 제공했습니다. 악의적으로 사용하십시오. SQL Secure는 개인 정보 및 암호화 표준을 감사 할 수 있습니다.
IDERA 커뮤니티 웹 사이트에 대한 자세한 내용은 블로그 아래에 GDPR 준비 및 2018 전망 및 GDPR의 영향에 대한 이해를 게시했으며 그에 따른 SQL Compliance Manager 시험판을 다운로드 할 수 있습니다. IDERA와 슬라이드에서 앞서 언급 한 다른 제품 중 하나입니다.
이제 몇 가지 질문을 할 수 있도록 프리젠 테이션을 Eric에게 넘겨 주겠습니다.
에릭 카바나 흐 : 좋습니다. Kim에서 흥미로운 사실을 발견했습니다.이 중 하나는 간단하지만 매우 영리하다고 생각합니다. 실패한 로그인 감지에 대해 이야기했습니다. 그것은 누군가에게 옳지 않다는 꽤 좋은 신호 인 것 같습니다.
Kim Brushaber : 물론입니다. 암호에 액세스하여 암호를 해독하려는 누군가가 있다면 누군가가해야 할 일을하지 않는다고 말할 수있는 매우 빠른 방법입니다. 어쩌면 몇 번 암호를 잘못 입력했을 수 있지만 그 중 30 개가 발견되면 잘못된 신호입니다.
에릭 카바나 : 네. 여기에서 핵심은 적절한 컨텍스트를 사용하여 경고를 설정하는 것입니다. 알림 설정 및 알림을 수행하지 않는 알림을 비활성화하는 방법 및 자동화 할 수있는 작업량에 대해 다른 정보를 제공 할 수 있습니까?
Kim Brushaber : 컴플라이언스 관리자에는 구성 가능한 많은 알림과 검토 할 수있는 보고서가 있습니다. 우리는 당신의 SQL 추적을 겪고 자동 추적하고 이미 미리 설정하고 미리 정의한 많은 것을 가지고 있지만 확실히 많은 양의 사용자 정의가 가능합니다.
에릭 카바나 흐 : 윌리엄, 나는 당신을 이것으로 데려 올 것입니다 – 그것은 우리가 앞으로 2 년에서 10 년 정도 동안 기계 학습이 시작될 것을 보게 될 영역 중 하나 인 것 같습니다. 다른 가능성. 시스템이 효율성을 최적화 할 수있는 모든 다른 방법을 살펴보면 보안 침해 등의 문제에 대한 효과가 있습니다. 그것도 당신의 테이크입니까?
William McKnight : 네, 물론입니다. 우리는 지금 스스로 수리하는 시스템을 구축하고 있다고 생각합니다. 24x7 모니터링은 사라지기 시작하고 과거의 일이되고 있지만 여전히 가동 시간이 필요합니다. 시스템이 대부분 내장되어 있고 그것이 무엇인지 알아 내고 있다고 생각합니다. 여기에 더 많은 공간을 할당해야합니까? 그래, 그건 분명히 우리 미래의 일부라고 생각합니다. 어떤 행동 단계에 매핑되고 무언가에 반응하여 취할 수있는 것은 인공 지능에 확실히 취약합니다.
Eric Kavanagh : 좋은 지적입니다. 이 공간에 대해 많은 연구를하고 있다는 것을 알고 있기 때문에 윌리엄에게 한 가지 더 질문을하겠습니다. 내가 지금까지 오랫동안 기다려온 것들 중 하나이며, 우리가 아직 거기에 있다고 생각하지 않습니다 – 나는 우리가 읽고 그것에 대해 생각한 것에 가깝습니다. 규제 문제를 흡수하는 기술, 실제 사안을 기술하고이를 기능 및 소프트웨어에 매핑하는 날이 있습니다. 내가 말했듯이, 우리는 여전히 그 방법입니다. 누군가 작업하고 있지 않다고 상상할 수 없습니다. 그런 것을 보았습니까, 아니면 인간이 규칙을보고, 실제로 규칙을 이해하고, 기계 코드로 체계화 한 다음, 다양한 응용 분야에 적용해야하는 시점에 여전히 있습니까?
William McKnight : 글쎄, 나는 당신이 여기서 공유하고있는 개념을 가지고 있습니다. 나는 그와 관련된 환경에서 롤아웃을 진행하는 것에 익숙하지 않습니다. 나는 일반적으로 기계에게 무엇을해야하는지가 아니라 우리가하고 싶은 목표가 무엇인지 알려주기 시작했으며, 기계가 세부 사항을 파악하는 데 훨씬 더 똑똑해지고 있다고 말할 것입니다. 조직 내부에 인공 지능이 더 생겨나면 조직 내부에 배포 된 AI와 함께 새로운 규정을 개발하여 향후에 설명하는 방식으로 배포 할 수 있다고 생각합니다. 현재로서는 우리는 그렇게 행동하지 않습니다.
에릭 카바나 흐 (Eric Kavanagh) : 김씨, 제가 당신에게 던질 질문이 있습니다. 평균 대기 시간 또는 시스템에 로그인 한 사람이 네트워크에서 휴면 상태를 유지 한 일 수-탐지가 200 일 동안 숨기고 기다리는 시간에 대해 이야기합니다. 탐지는 200입니다. 궁금한 점은, 개선 방법에 대한 귀하의 생각입니다 우선은? 그러나 이런 종류의 규칙을 사용하여 자신의 시스템을 탐색 할 수있는 방법이 있습니까? 자신의 데이터를 탐색하고 이러한 종류의 사람들을 더 잘 지키기 위해 더 나은 일을 하시겠습니까?
Kim Brushaber : 네, 분명히 조기 발견이 핵심이라고 생각합니다. 이러한 악의적 인 사이트가 귀하의 정보에 액세스하여 정보를 잠글 수 있다는 것을 알아야합니다. 다른 슬라이드에서는 대부분의 조직에 이러한 정책이 없다는 것을 보여줍니다. 그래서 그들은 그곳에 앉아 있습니다. 실제로 귀하가 접근 할 수있는 정책을 가지고 있다면 접근을 차단하고 올바른 사람들이 접근 할 수 있도록해야합니다. 키를 정기적으로 회전하고 업데이트하는지 확인하십시오. 비밀번호가 정기적으로 업데이트되고 그런 종류의 작업을 수행하는지 확인하십시오. 현재 대부분의 조직은 그렇게하지 않고 있으며, 이러한 부분을 제자리에 놓기 시작하면이 이상을 극복하는 데 도움이됩니다.
물론 해커들은 그것에 대해 더 교묘해질 것입니다. 그러나 지금은 쉽습니다.“길에서 거리에있는 집들을보고 싶을 것입니다. 시스템? 그들은 작은 경보 표시가 있고 그 개는 개가 있습니까? 알람 표시가없고 개가없고 침입 할 집이있는 곳으로갑니다.”글쎄요, 그들은 회사가 아닌 회사를 찾을 것입니다. 이 패치가 제자리에 있고 보안이 제대로 설치되어 있지 않으며 비밀번호를 업데이트하지 않으며 거기에서 전화를 걸어 주유소에서 신용 카드를 몇 번 사용하여 확인하십시오. 당신은 그것을 닫지 않았고 그들이 큰 변화, 일반적으로 일종의 정치적 진술에 영향을 줄 수 있거나 그렇지 않으면 그들이 그들의 머리를 팝업하는 것을 볼 때입니다. 이러한 정책을 제정하면이 시점에서이 게임을 앞서 기 위해 최소한의 조치를 취할 수 있다고 생각합니다.
에릭 카바나 흐 (Eric Kavanagh) : 아마도 최선의 충고 일 것입니다. 보안 공간이나 규제 공간에있는 사람들과 이야기 할 때, 기본 사항은 문제의 80 %를 차지할 것이며, 다루어야 할 근거가 많이 있습니다. 좋은 지적. 참석자 중 한 명이 GDPR 규정 준수 노력으로 채굴 할 수있는 사업 기회를 확장 할 수 있는지에 대해 물었습니다. 저는 Sarbanes-Oxley를 상기시켜 드리며 William은이를 여러분에게 넘겨 줄 것입니다. 컨설턴트는 항상 특정 프로젝트의 범위를 벗어난 고객을 도울 수있는 방법을 찾고 있습니다. 적어도 좋은 컨설턴트라면 그렇게하고 있습니다. GDPR에 대해 사람들과 이야기 할 때, 그들에게 초점을 둔 프로젝트에 참여하면 얻을 수있는 부수적 인 이점은 무엇입니까?
William McKnight : 우선, GDPR에 대한 아이디어는 시민들에게 전혀 권리가 없다는 점에 주목하는 것이 중요합니다. GDPR의 다른 측면이 있습니다. 즉, 이것은 우리 회사에 대한 시민들의 신뢰를 향상시킬 것입니다. 준수하는 회사에서 더 많은 비즈니스를하도록 장려 할 것입니다. 실제로 내부적으로 GDPR을 달성함으로써 얻을 수있는 부수적 인 이점이 있습니다. 현재 우리가 구현하는 데이터 거버넌스 프로그램은 실제로 조직 내에서 시작되어 오늘날까지 대부분 시작된 이니셔티브를 촉진하기 위해 모든 방식의 이니셔티브를 촉진합니다. 조직 내부에서. 나는 최근에 많은 사람들과 함께 2018 년 계획을 세웠습니다. 데이터와 관련이 있습니다. 텔레매틱스 또는 고객 360 프로그램에 대해 이야기 할 때 데이터와 관련하여 65 %에서 90 % 정도입니다. 영업 사원을 모니터링하는 대시 보드 나 데이터에 관한 것입니다. 데이터를 더 잘 관리하고, 데이터 거버넌스 프로그램처럼 관심을 갖는 해당 데이터에 대한 모든 질문에 대답 할 수있는 사람들을 명명하는 더 나은 아키텍처로 데이터를 관리하는 모든 것. Kim이 도구와 관련하여 이야기 한 것처럼 데이터 용어집을 제공하는 모든 작업은 이러한 이니셔티브를 훨씬 더 효율적으로 만들고 위험을 줄이며 시간을 줄이며 예산을 줄이며 우리를 얻는 데 매우 도움이됩니다. 이니셔티브를 수행하는 회사 (모든 회사)에게 훨씬 빠르고 좋은 일을 시장에 내놓을 수있는 민첩한 시간.
Eric Kavanagh : 저는 그 신뢰 개념을 좋아합니다. 저는 세상에서 신뢰가 매우 과소 평가 된 현실이라고 생각합니다. 솔직히 대부분의 비즈니스는 신뢰를 바탕으로 운영됩니다. 김정일 님의 의견을 드리기 위해이 내용을 알려 드리겠습니다. 여기서 중요한 가치 중 하나는 신뢰를 높이고 신뢰 문화를 육성하는 것입니다. 왜냐하면 그것은 회사 자체, 회사 내부의 사람들에게뿐만 아니라 대중이 무엇을 인식하는지에 대한 긍정적 인 영향을 미치기 때문입니다. 일이 쏟아져 나에게 보이지만 어떻게 생각하십니까?
Kim Brushaber : 예. Google에서 일하거나 Facebook 또는 더 크고 규모가 큰 조직에서 일하는 친구와 대화 할 때 보안 프로토콜 및 성능을 구현할 때만 큼 새로운 기능을 구현하지는 않습니다. 확장 성 문제는 사용자 경험이 해당 정보를 신뢰할 수 있다고 생각하기 때문입니다. 그런 신뢰를 제공하기 위해 계속 노력할 때 회사는 그 책임이 있다고 생각합니다. 사람들이 처음으로 신용 카드를 온라인으로 구매하기 시작했을 때 사람들은“오 세상에, 나는 그것이 안전하지 않기 때문에 그 정보를 제공하지 않을 것입니다.”라고 기억합니다.
이제 신용 카드는 HTTPS 인증서를 가지고 있기 때문에 회사를 신뢰할 수 있다고 생각하기 때문에 모든 방법으로 신용 카드가 사용됩니다. 그런 다음 신용 카드와 같은 대상 데이터 유출에 대해 듣게됩니다. "아, 우리는 그 정보를 버리기 때문에 신용 카드를 더 잘 거래 할 수 있습니다."나는 양방향 정서라고 생각합니다. 개인은 훨씬 쉬워서 더 신뢰하기를 원하지만, 큰 조직에서 이것을 믿고 신뢰할 수 있기를 원하지만, 큰 조직은이 조각들을 제자리에 두어야합니다. 개인을 다치거나 시장 점유율을 잃지 마십시오. 사람들은 이렇게 말합니다.“더 이상 Target에서 쇼핑하지 않을 것입니다. 이제 Amazon에서 쇼핑 할 것입니다.”라고 말합니다. 비록 우리가 말했듯이 78 %의 사람들이 이메일에 링크를 클릭하더라도 링크를 클릭 할 수 있습니다. 사람들이 당신을 믿어도 일정 정도의 사람들이 보호됩니다.
Eric Kavanagh : 좋은 지적입니다. 윌리암, 또는 적어도 하나 이상의 질문을 던질 것입니다. 우리는 지금 좋은 질문을 받고 있습니다. 참석자는 다음과 같이 말합니다.“GDPR은 ID 관리를 고객이 속한 고객으로 다시 옮기고 있습니다. Equifax는 1 억 4, 900 만 명의 소비자를 영구적으로 손상 시켰으며, “디지털 경제를 오염시키고 있습니다. 신원 관리와 관련하여 고객 소유권과 관련하여 미국에서 어떤 변화가 있습니까?”
윌리엄 맥나이트 : 글쎄, 우리는 이런 종류의 일에 관해서 미국에서 항상 뒤에 있지 않습니까? 1 억 4 천 9 백만 개는 양동이 안에 떨어지지 않습니다. 테러와 거의 비슷합니다. 우리는 항상 익숙해 져서 항상 일어나고 있습니다. 뭔가해야한다고 생각합니다. 저는 GDPR이 시민들에게주는 권리를 좋아하지만 우선 순위는 아닌 것 같습니다. 다른 우선 순위가 많고 어디로 갈지 모르겠습니다. 필자가 가지고있는 파급 효과 슬라이드에서 언급했듯이, 이는 소비자가 데이터에 대해 더 많은 권리를 향한 전환을 의미한다고 생각합니다. 언제 미국에서 이런 일이 발생합니까? 나는 미국에서 여기에서 일어나는 GDPR에 상응하는 것을보기 위해 최대 5 년이 걸릴 수 있다는 것을 모른다.
에릭 카바나 흐 (Eric Kavanagh) : 정말 좋은 지적이며, 우리가 요즘 디지털 경제로 나아가고 있기 때문에 더 많은 노력을 기울일 것이라고 생각합니다. 그리고 폐쇄적 인 의견으로, 철학적이고 정책 지향적 인 태도를 취하는 것은 현금이없는 사회로의 이동에 대해 가장 우려되는 부분입니다. 현금이 사라지면 모든 것이 디지털이고 모든 시스템이 해킹 될 수 있기 때문입니다. 모든 사람의 신원을 도용 할 수 있습니다. 신원 관리의 미래에 대한 파이크를 내려다 보면서 여기있는 방에 꽤 큰 코끼리 인 것 같습니다.
이것은 모두 위대한 물건입니다. 그의 시간과 관심에 오늘 William McKnight에게 감사합니다. IDERA의 Kim Brushaber에게 감사합니다. 우리는 나중에 볼 수 있도록 이러한 모든 웹 캐스트를 보관하므로 보통 몇 시간 내에 언제든지 다시 방문하여 보관할 수 있습니다. 그것으로, 우리는 당신에게 작별 인사를 할 것입니다. 시간과 관심에 다시 한번 감사드립니다. 안녕.