Por el personal de Techopedia, 6 de diciembre de 2017
Para llevar: el anfitrión Eric Kavanagh habla sobre el próximo Reglamento General de Protección de Datos de la UE y los efectos que tendrá en la industria. Junto a él están William McKnight de McKnight Consulting Group y Kim Brushaber de IDERA.
Actualmente no has iniciado sesión. Inicia sesión o regístrate para ver el video.
Eric Kavanagh: OK, damas y caballeros, hola y bienvenidos una vez más. Es miércoles a las 4 en punto hora del este, lo que significa que es hora una vez más, una de las últimas veces en el año 2017, para Hot Technologies. Sí, de hecho, mi nombre es Eric Kavanagh. Seré su moderador para el evento de hoy. Estamos hablando de un tema de largo alcance, por decir lo menos. En este momento, no parece así: el concepto de GDPR, el Reglamento Global de Protección de Datos. Vamos a sumergirnos en esto, no se trata realmente de los tuyos, lo suficiente sobre mí. Este año es caluroso, ha sido muy caluroso de muchas maneras diferentes, pero las regulaciones inminentes de GDPR y de otras organizaciones, francamente, nos obligan a repensar lo que está sucediendo en el mundo de los negocios, específicamente como resulta, o en lo que se refiere a los datos. Tendremos noticias de Kim Brushaber de IDERA y también de William McKnight de McKnight Consulting Group.
Solo un par de palabras rápidas sobre el tema en cuestión, amigos. GDPR básicamente dice que las organizaciones deben tener una política de privacidad y seguridad con respecto a los datos y, en realidad, se trata de algunas de las cosas que puede haber escuchado: todo el derecho a ser olvidado, por ejemplo, es parcial y parcial para todo este momento, y es algo muy interesante. Ciertamente es válido en términos de sus principios y su ética. Sin embargo, en términos de implementación real, es un desafío bastante serio. El derecho a ser olvidado dice que si desea que algunas organizaciones no tengan sus datos, sus datos personales sensibles, deben deshacerse de ellos. Bueno, puedes imaginar cuando algunos de estos entornos de datos realmente heterogéneos, lo difícil que va a ser. Poder llegar a todos los lugares donde sus datos son persistentes y extraerlos, simplemente no va a suceder, es el resultado final. No obstante, las organizaciones deben tener políticas establecidas para poder abordar esas preocupaciones, y eso es lo que los reguladores, estoy bastante seguro, van a buscar.
Tiene mucha importancia. La organización no solo necesita eliminar sus datos si usted lo dice, sino que si han entrenado algoritmos sobre esos datos, técnicamente se supone que también deben volver a entrenar los algoritmos. Tengo que decirte que es una tarea difícil, pero se acerca, se viene abajo, será una realidad en mayo del próximo año y también hay otras regulaciones. Canadá tiene una ley antispam que han aprobado, eso es un impacto en la forma en que tratamos la información personal. La neutralidad de la red está bajando por el camino ahora, por supuesto, se ha desarraigado, esencialmente, y eso va a cambiar algunas cosas. Hay muchas de estas regulaciones muy serias que están afectando a las empresas en todos los ámbitos y en todo el mundo, en las que las grandes organizaciones realmente necesitan comenzar a pensar y prepararse.
Para eso, tenemos a William McKnight en línea de McKnight Consulting Groups para hacernos saber lo que piensa y por qué GDPR es, de hecho, solo la punta del iceberg. Con eso, William, te lo voy a entregar. Llevatelo.
William McKnight: Gracias, Eric, y como dices, como dice la diapositiva, este GDPR es quizás la punta del iceberg, eso es lo que pensamos. Es importante que profundicemos en el GDPR en profundidad porque creo que representa una ola de regulación que se viene por el camino que tenemos que enfrentar. Afortunadamente, Eric, hay algunos estándares razonables en torno a ese derecho a ser olvidado, a lo que llegaré. Sin embargo, en mi caminata de este año hablando sobre GDPR, creo que hay muchas empresas, especialmente empresas estadounidenses, que aún no están preparadas para esto. Definitivamente hace calor y algo en lo que definitivamente no estábamos pensando hace un año, cuando solo estaban probando algunas cosas, pero ahora es una regulación y tenemos que lidiar con eso, como dijiste, Eric. aquí arriba, así que no tan lejos en absoluto.
Un poco sobre mí, voy a llegar a esto desde la perspectiva de los datos. Para hacerle saber, soy una persona de datos de toda la vida y consulto desde hace 19 años en el espacio de datos, y GDPR tiene mucho que ver con los datos. Voy a plantear un conjunto de soluciones aquí, a medida que entro en mi presentación sobre el gobierno de datos. Obviamente, he estado haciendo muchos programas de gobernanza de datos y creo que si estás alineado con ese concepto, estás haciendo algo de gobernanza de datos, muchas empresas estarán muy lejos en el camino en realidad, para el cumplimiento de GDPR, pero va a haber mucho, y, francamente, eso está atrasado en la gobernanza y, por lo tanto, bastante atrasado en sus preparativos de GDPR. Vamos a establecer el nivel aquí y comprender de qué se trata GDPR y, a medida que profundicemos en la conversación, profundizaremos en las ramificaciones de GDPR en la vida empresarial a medida que avanzamos en el nuevo año y más allá.
GDPR es para la privacidad de datos de ciudadanos de la Unión Europea. Es una regulación, significa que tiene dientes, significa que es exigible. No es algo que se presente como una sugerencia, eso ya sucedió y ahora se ha convertido en una regulación con sanciones. Me gusta comenzar con las penalizaciones porque eso realmente llama la atención de la gente. Estas son sanciones severas. Hay dos sanciones, hay un 2 por ciento de los ingresos anuales mundiales o 10 millones de euros si una empresa no cumple con las obligaciones de seguridad, pero todo lo demás, en incumplimiento de otras disposiciones, y entraré en ellas, es un 4 por ciento. Escuchas que bajó un 4 por ciento. Y, por cierto, es 4 por ciento o 10 millones de euros, lo que sea mayor. Esto es muy rígido. La gente se toma muy en serio esto. Ejecute a partir del 25 de mayo de 2018: esa es una fecha clave, es cuando pueden comenzar las auditorías, es cuando puede obtener su multa. Definitivamente quieres estar listo para esto. Todas las compañías con las que trato, trato con muchas compañías de Global 2000, están en algún lugar de su preparación GDPR, algunas más que otras y algunas tienen que ser más que otras en este momento. Ciertamente, será un desafío cumplir con esa fecha para algunos, y ya veremos.
Es el régimen de cumplimiento de privacidad de datos más completo que hemos visto hasta la fecha. Cuando veamos algo más rígido o algo que afecte a la población de EE. UU. De manera más directa, quién sabe, pero está ahí afuera y definitivamente debe cumplirse. Requiere que las organizaciones comprendan qué PII ciudadano de la UE: estamos familiarizados con el derecho de PII: información de identificación personal, seguridad social, número de teléfono, dirección, las cosas que pueden identificar de manera única a una persona o identificar de manera bastante única a una persona. Lo que tienen y cómo lo están usando. Esto significa inventario. Esto significa la regulación dentro de sus propias empresas en torno a este tipo de datos. Por cierto, Estados Unidos no tiene ningún tipo de ley de protección de datos a nivel nacional. Estados Unidos siempre ha estado, diré detrás, para ponerlo en perspectiva, detrás de Europa en términos de este tipo de regulación, y eso continúa. Eso continúa con el GDPR, eso es bastante evidente. Algunos de ustedes pueden saber sobre el escudo de privacidad, puede que se estén preguntando sobre eso. Hay alrededor de tres o cuatro disposiciones en GDPR que se superponen con el escudo de privacidad, pero hay un centenar de disposiciones en GDPR, por lo que es mucho más que eso y, por supuesto, eso también está en vigencia y eso tiene que ver con el intercambio de datos de EE. UU. Y la UE solo, aunque eso es importante.
Nuevamente, me gusta comenzar con números. Has oído hablar de las multas, ¿qué hay de cómo te preparas para eso? Presupuestar para GDPR y hacer algo de esto, esto depende de un par de factores. La cantidad de datos de PII que recopila sobre ciudadanos de la UE. Si no recolecta ninguno, está bien, probablemente cumpla con los requisitos y no tenga que lidiar con esto, pero probablemente esté en esta llamada porque recolecta algunos en algún lugar. El tamaño de su empresa y la madurez de su gobierno de datos, que como dije antes, puede estar aproximándose a lo que necesita hacer para responder al GDPR. Puede esperar hasta varios millones de dólares o euros, según sea el caso, para el cumplimiento. Sin embargo, queremos, no queremos simplemente cumplir con GDPR, para marcar esa casilla, por supuesto, tenemos que hacerlo. Con suerte, no estás en esa situación más grave en la que solo estás desesperado por marcar esa casilla. Busque beneficios comerciales porque muchas de las cosas que hace para respaldar el RGPD son buenas para su negocio. El gobierno de datos es bueno para su negocio. Cuando se trata de la cantidad de datos de PII, algunos son más importantes que otros, algunos serán analizados más que otros, como la salud relacionada con los datos, serán regulados mucho más estrictamente bajo GDPR que otros tipos de datos y requerirán cumplimiento con obligaciones adicionales como realizar evaluaciones de impacto de protección de datos que, obviamente, se suman a su presupuesto.
Un poco de presupuesto. En caso de que se encuentre en el Reino Unido o los EE. UU. Y se pregunte cómo eso lo afecta, el GDPR afecta al Reino Unido, que todavía se encuentra en la UE, hasta el 29 de marzo de 2019 y cuyo gobierno ha indicado que algo como GDPR continuará después de esa fecha porque "es una buena idea". Las empresas del Reino Unido tienen que cumplirla. Los datos de ciudadanos del Reino Unido ciertamente están sobre la mesa para esto. En caso de que no esté claro, hay empresas con sede en los EE. UU., Si trata en la UE, con datos de ciudadanos de la UE, esto ciertamente se aplica a usted. Esto tiene ramificaciones en su arquitectura de datos porque puede terminar teniendo que bloquear sus datos de la UE de todo lo demás y tratarlos de manera diferente. Afecta a la analítica, como decía Eric, en cómo compila esas analíticas, etc. Puede ser más difícil ahora poner en marcha cualquier tipo de análisis de todo el concepto y de todo el mundo. Pueden volverse más localizados como resultado de GDPR.
¿Qué hay en las disposiciones? Existen estándares de protección de datos. Todos estos dictan el cifrado de datos en reposo y en movimiento. Hablaré sobre cifrado a continuación. Existen estándares de notificación de violación de datos. No más de esto esperando meses, esperando trimestres para que todos lo sepan. Creo que hubo uno grande el otro día y descubrimos: "Oh, sucedió hace un año". Nada de eso con GDPR: tienes 72 horas. Es una política de nombre y vergüenza. Esperemos que nadie llegue a eso, claramente algunas personas lo harán. Las violaciones continuarán, incluso después del GDPR, por supuesto. Existen procesos para monitorear la ubicación y la calidad de los datos. ¿Suena familiar? Ese es realmente el corazón del gobierno de datos. Espero que tengas algunos de esos.
Los ciudadanos de la UE tienen derecho a ser olvidados, como mencionó Eric. Hay algunos estándares de razonabilidad para esto, Eric. No tiene que borrar todo necesariamente, si tiene que volver a contactar a ese cliente, a ese empleado, se le permite mantener ciertos aspectos de sus datos personales. Pero, sin embargo, esos ciudadanos tienen derecho a ser olvidados, pero no puede haber un esfuerzo desproporcionado, ese es el lenguaje, sobre usted o un daño a la empresa, eso está en que usted borre esos datos. No quiero minimizarlo, pero también debe liberar copias de los datos personales que se han retenido y solo puede obtener esos datos bajo consentimiento. Ese consentimiento debe ser otorgado por personas mayores de edad para otorgar dicho permiso. Eso es un bocado allí, pero eso les da a los ciudadanos muchos derechos sobre sus datos. Esa es la portabilidad allí mismo, en caso de que alguna vez surja. El derecho a ser olvidado, claramente, pero también, y algo que no está en mi diapositiva que es bastante importante, es que el interesado tendrá derecho a no estar sujeto a una decisión basada únicamente en el procesamiento automatizado. ¿A qué nos hemos estado moviendo? El procesamiento automatizado, alrededor de la aceptación del préstamo, las ofertas que vamos a ofrecer, todo esto debe resolverse en términos de cómo se desarrollará esto y hasta dónde llegará. Lo que esto esencialmente dice es transparencia sobre por qué fui rechazado, por qué esta compañía me está tratando de cierta manera. Este es un momento, otorgado a un ciudadano de la UE.
Obviamente, hay algunas ramificaciones sobre cómo hacemos negocios y esperamos que esté viendo que GDPR no es un problema de TI, no es un problema de TI. Todos estos procesos comerciales están involucrados. Involucrará a personas de toda la empresa. Se recomienda la designación de un oficial de protección de datos para aquellas empresas con más de 250 empleados y que usted tenga “matemática crítica con datos de PII de la UE”. Puede decidir por sí mismo si tiene esa matemática crítica, a veces es obvio, a veces no lo es. Pero, hay un nuevo rol, no tiene que ser un rol de tiempo completo, la persona puede tener otras responsabilidades, pero no lo sé, en algunas corporaciones medianas y grandes, creo que adherirme al GDPR estar cerca de un rol a tiempo completo. Yo diría que comience de esa manera y vea si puede manejarlo. Especialmente durante el próximo año, a medida que actúen juntos en torno al GDPR, una vez que se establezca, tal vez puedan ralentizar el trabajo en esto, pero tomará bastante tiempo a algunas compañías. Permita que las personas vean sus propios datos y portabilidad de datos, como mencioné antes.
Por cierto, esto no es todo nuevo, pero el derecho a ser olvidado ha estado ahí, lo creas o no. Las normas actuales de la UE ya establecen el derecho a que los datos personales se eliminen o no estén disponibles. Sin embargo, ahora es parte de GDPR, se aplicará de manera mucho más amplia. Cifrado de datos: cifre sus datos en reposo. Use métodos de cifrado estándar, no use su propio cifrado propio o no estándar. AES es uno que recomendamos bastante. Use claves de cifrado criptográficamente seguras. Cambie esas llaves periódicamente. También evite la pérdida de esas claves. Estas son solo buenas prácticas de cifrado, pero ahora están llegando a la vanguardia con GDPR. Ahí radica el problema: solo he golpeado la punta del iceberg. Obviamente, hay más disposiciones que considerar, pero esas son las principales.
Ahora, solución. El gobierno de datos, el marco de su cumplimiento, al menos esa es la perspectiva que propongo aquí. Afortunadamente, existe una disciplina activa y adinerada que puede, y cuando es madura, abordar la mayoría de los requisitos, y esa es la gobernanza de datos, obviamente lo digo. Los programas de gobernanza deben tener un glosario de datos, y aquí estoy usando un glosario de datos en un sentido genérico para significar documentación general para sus procesos. Esto es fundamental, para satisfacer las necesidades de inventario de GDPR, que es, como hemos visto, es bastante inmenso. El programa, el programa de gobernanza, debería facilitar los protocolos de seguridad de datos, y lo subrayo porque eso no es algo que muchos programas de gobernanza de datos están haciendo en este momento, pero creo que es un lugar lógico para hacerlo porque son sentado en el programa que determina quiénes son los dueños de negocios? ¿Quién necesita verlo? Y luego el siguiente paso es otorgar esos permisos. Eso necesita ser centralizado, eso necesita ser formalizado. Es necesario que se utilicen políticas internas. La mayordomía debe asignarse a todos los elementos para proporcionar información a todo lo anterior. El gobierno de datos también puede ser el facilitador de la ingeniería de procesos de negocio, que se requerirá.
Antes de dejar esta diapositiva, para evitar las fuertes multas, las compañías adoptarán prácticas comerciales sólidas como subproducto. Me gusta decir que es más que un subproducto, pero en realidad es un negocio bueno y sólido que puede llevarlo a nuevos lugares desde una perspectiva comercial. Ciertamente, obtendrá muchas eficiencias para hacer todas las iniciativas en todos los ámbitos, si tiene un buen gobierno de los datos, eso es lo que he visto a lo largo de los años. Al agregar algunas de estas cosas que menciono, al gobierno de datos, solo mejorarán. En su ingeniería de procesos de negocio, le recomendamos que haga estas preguntas en todos los ámbitos, que llegue a cada área de negocios. ¿Qué tipo de datos recopilamos sobre nuestros clientes de la UE? No los leeré todos. Algunas de las claves aquí. ¿Quién tiene la necesidad de ver estos datos y se está siguiendo? ¿Quién es el administrador de datos para esos datos? ¿Quién es mi persona de referencia en el negocio? Esta es una gran pregunta: ¿Compartimos esta información con terceros? El hecho de que lo entregue a un tercero, no excusa su responsabilidad con respecto a esos datos, siguen siendo sus datos, siguen siendo datos que recopiló. Hay muchos contratos de terceros que ahora se están revisando a fondo como resultado de GDPR. ¿Estos sistemas tienen fallas deterministas? Es decir, cuando fallan, fracasan en un camino que hemos predeterminado, o simplemente fallan, se estrellan, se queman y comenzamos desde cero cavando en él. Obviamente va a ser mucho mejor. Ya es una buena práctica, pero obviamente es mucho mejor para la ingeniería inversa de algunas de estas cosas, si tiene grandes fallas deterministas en su sistema.
Retención de datos, hemos estado hablando de retención de datos desde siempre. Muchas compañías tienen políticas, aunque no todas las siguen. Obviamente, famoso en la atención médica y financiera, queremos conservar los datos, tenemos que mantener los datos durante un cierto número de años. Algunos de los analistas en estas firmas que guardan datos durante los siete años o no, dicen: "Oh, después de ese período todavía quiero esos datos". Algunos de los abogados de estas compañías dicen: "Pero tenemos que deshacernos de ellos. para fines de responsabilidad ", y así sucesivamente. Eso no puede simplemente sentarse allí, como un problema en desacuerdo por más tiempo con GDPR. Tenemos que tener el período de retención, que se siga de manera consistente en todos los ámbitos dentro de la organización.
Y finalmente, ¿cómo se moviliza por una violación de datos? Estos peores escenarios que podrían sucederle. Obviamente, estamos tratando de prevenirlos, pero ¿qué pasa si sucede? ¿Cómo hace una guerra contra la cosa y se asegura de que está siguiendo ahora las disposiciones de GDPR en su respuesta? Soy arquitecto de datos, pienso en la arquitectura de datos. Si es una empresa con sede en los EE. UU. Con operaciones en la UE, es decir, datos de ciudadanos de la UE: debe recopilarlos, deberá considerar si debe aplicar los estándares de protección de datos a todos los datos o solo a los datos de la UE. Sí, tengo clientes que están tomando esa decisión ahora. Como buena práctica comercial, es posible que quieran traer eso a los EE. UU., Sin embargo, pueden sentir que tienen tiempo, pero eso trae la viñeta número dos. Es posible que deba bloquear los datos de la UE de los sistemas de EE. UU. Si no puede garantizar que los sistemas de EE. UU. Manejarán los datos adecuadamente. ¿Eso separa los datos para fines de análisis? ¿Los análisis son válidos incluso si está intentando realizarlos en todo el país? A veces sí, a veces no, ¿verdad? Puede encontrar que sus análisis se silenciarán como resultado.
Como mencioné antes, la inteligencia artificial juega aquí porque obviamente, podemos usar IA para buscar todos los datos, ayudarnos a encontrar todos los datos, pero si usamos AI en nuestras interfaces de cliente, necesitamos tener transparencia ahora con nuestro cliente interfaces y eso nunca ha sido el fuerte de AI. Para tratar de decirle a un cliente: "Usted fue rechazado porque bla, bla, bla", cuando realmente era AI. Eso ahora tiene que hacerse. Tenemos que averiguar cómo funciona la IA, ¿cuáles son los factores? Ya no puedo sentarme allí y ser una caja negra para ti. ¿Que hacemos ahora? Establezca su junta de GDPR. Le sugiero que tenga allí a su oficial superior de privacidad o, si tiene un oficial de protección de datos, obviamente esa persona. Los jefes de gobierno de datos, riesgo operativo y / o cumplimiento, según corresponda, el jefe de TI, CIO si esa es la persona. Si ha cambiado una persona de administración, sería una gran persona allí. Solo jefes de algunos de los departamentos más importantes de su negocio, y también el jefe de recursos humanos porque la capacitación en privacidad ahora será enorme. Todos van a recibir capacitación en privacidad o deberían recibir capacitación en privacidad cuando suban a una empresa, incluso consultores.
Si no está haciendo estas cosas que ve aquí, tendrá que moverse más rápido de lo que le gustaría llegar a la fecha límite. También debe comenzar a esperar que no sea uno de los primeros en ser auditado porque, francamente, aquí hay mucho trabajo si comienza desde cero y maneja una gran cantidad de datos de ciudadanos de la UE. Contrata tu DPO, inventaria tus datos y tus procesos. Cree ese plan para la gobernanza de datos, llévelo desde donde está hasta donde debe estar. Según sea el caso, es posible que desee iniciarlo. Diseñe sus políticas de privacidad y sus avisos de políticas. Las políticas de privacidad son internas. Los avisos de política son externos. Estamos viendo una cultura que comienza a crearse ahora en torno a los avisos de políticas. Se están haciendo muchas comparaciones y se han redactado muchas palabras cuidadosas sobre estos avisos de políticas. Alquile una verificación de conformidad GDPR para todos los sistemas, incluidos los nuevos. Es posible que tenga que secuenciarlos y hacerlos en algún tipo de orden de importancia, pero esta es otra forma de abordar el problema. Mire los sistemas y lo que se supone que deben hacer y cómo manejan estos datos.
¿Qué señala la GDPR? De eso es de lo que estamos aquí para hablar un poco más. Espero con ansias lo que Kim tiene que decir sobre esto. GDPR es un cambio en los controles de privacidad de datos hacia la regulación. Es una tendencia hacia la transparencia, lo dice justo en las disposiciones. Estamos creando esta cultura de avisos de privacidad, como mencioné, eso es una cosa ahora. Vamos a ver conferencias sobre avisos de privacidad, etc. El cambio de GDPR es hacia los derechos fundamentales de las personas. Las preguntas abiertas se resolverán. Hay preguntas claramente abiertas, he dejado algunas en la mesa aquí para nosotros. Nadie tiene la respuesta. Ellos van a ser resueltos. Una tendencia hacia una mayor comprensión por parte de las personas sobre sus datos y cómo se utilizan. Creo que esto ha aumentado la conciencia entre la población de la UE, en cuanto a la importancia de sus datos y al ver que, como uno de sus activos personales, necesitan gestionar más. Esas son algunas de las primeras señales que he visto, y Eric, te lo devolveré ahora.
Eric Kavanagh: Muy bien, déjame entregarle las llaves a Kim, quien puede compartir algo de su perspectiva, pero creo que esa fue una buena visión general, William, y tú apuntaste en los puntos clave, es decir, que esto está seguro. y todos debemos ser muy cuidadosos, francamente. Con eso, déjame entregarle las llaves a Kim y podrás compartir tu pantalla y tomarla desde allí.
Kim Brushaber: Hola, ¿me oyes?
Eric Kavanagh: Te puedo escuchar.
Kim Brushaber: Impresionante. William cubrió algunas de las mismas cosas que voy a cubrir, pero creo que vale la pena volver a cubrirlas porque son realmente importantes. Creo que cuando se aprueban nuevas regulaciones, es realmente bueno tener una perspectiva e interpretación de muchas personas diferentes para que algo despierte su mente y le permita ser aún más conforme. Me siento alentado por todas las personas que están en esta llamada que quieren saber más porque creo que el 25 de mayo puede haber mucho pánico para las compañías que están siendo perseguidas, no están cumpliendo.
Mi nombre es Kim Brushaber, soy el gerente de producto senior de IDERA. Tengo varios productos debajo de mí que ayudan con el cumplimiento de GDPR, así como otras regulaciones. Voy a saltar a parte de la información. Comenzaré con algunos hechos y algunas cifras y luego profundizaré un poco sobre GDPR y luego específicamente cómo nuestras herramientas pueden ayudarlo. Un hecho es que más de 5 millones de registros de datos se pierden o son robados todos los días. No escuchamos esto en las noticias, no escuchamos que venga de otros lugares, pero hay más de 5 millones de registros de datos que son robados todo el tiempo, directamente debajo de nosotros. El número medio de días que los atacantes permanecen inactivos dentro de su red es de 200 días. Muchos sistemas ya están infiltrados por personas que, con intenciones maliciosas, que solo esperan la oportunidad de capitalizar su información, principalmente dentro de la seguridad y los certificados, pero solo esperan su momento para saltar. Es por eso que se ha vuelto cada vez más importante manejar la seguridad de sus datos. Se pronostica que el costo promedio de la violación de datos individuales en 2020 superará los $ 150 millones, a medida que se conecte más infraestructura empresarial a los recursos en línea y más cosas suban en la nube. Es un buen número de presupuesto si está realmente preocupado por la seguridad de los datos, para dar a su equipo ejecutivo, para decirles que esto es un asunto serio y que podría costarnos mucho dinero en el futuro.
Voy a repasar brevemente la violación de datos de Equifax porque creo que fue la mayor violación de datos de 2017, para pintar la imagen de cómo es pasar por eso. La violación afectó a 145, 5 millones de clientes. Los empleados reconocieron el problema de seguridad con su aplicación web dos meses antes de que ocurriera la violación. Los empleados decían: "Este es un problema". E incluso un poco antes de eso fue cuando salió el parche. Una vez que se produjo el incumplimiento, tardó un día completo en responder y desconectar la aplicación web. Debido a que Equifax no tenía un protocolo de seguridad de datos definido, les tomó una cantidad significativa de tiempo incluso descubrir qué estaba pasando y luego poder desconectar el sistema. Seis semanas después de la violación, el público fue alertado. Con GDPR, como dijimos anteriormente y lo diré nuevamente, debe informar dentro de las 72 horas, y Equifax habría tenido las manos atadas y no habría podido cumplir con ese cumplimiento porque esperaron seis semanas para informarlo. La comunicación para responder a la violación incluyó un sitio web que ni siquiera era propiedad de Equifax. Equifax ellos mismos retuitearon este tweet que ni siquiera estaba en su dominio, habían revertido algunas de las palabras. Afortunadamente, no era un sitio malicioso que estaba aprovechando eso, pero obviamente no estaban preparados. No tenían un plan establecido, y esto se hizo muy consciente en el ámbito público. Equifax no está solo: hay más de 25 ataques de perfil cibernético muy altos en 2017 hasta ahora, y aún podríamos encontrar más antes de fin de año. Las empresas realmente necesitan comenzar a tomar esto en serio porque las personas están por ahí y si les das una razón para querer venir a ti, es mejor que estés preparado para poder manejarlo.
Algunos otros datos y cifras sobre la forma en que las personas analizan la seguridad de los datos. Para 2020 habrá 30 mil millones de dispositivos conectados a Internet a través de nuestros hogares, nuestros dispositivos portátiles, nuestros teléfonos, nuestras tabletas y quién sabe qué más puede llegar en los próximos años. Hay muchos dispositivos que quedan vulnerables a estos ataques. Cuarenta y nueve por ciento de los estadounidenses sienten que su información personal es menos segura que hace cinco años. El setenta y tres por ciento de los consumidores en Estados Unidos quiere que las empresas sean transparentes sobre sus datos personales. El setenta y ocho por ciento de las personas afirman ser conscientes de los riesgos de hacer clic en enlaces y correos electrónicos desconocidos, pero de todos modos hacen clic en esos enlaces; eso representa más de las tres cuartas partes de nuestra población, y siguen haciendo clic en los enlaces a pesar de que Sé que podría ser un problema. El ochenta y seis por ciento de los usuarios de Internet están tratando activamente de minimizar, anonimizar y ocultar la visibilidad de sus huellas digitales. A mi padrastro le gusta salir y crear nombres falsos cuando completa formularios porque cree que eso lo hace anónimo, pero poco sabe que su dirección IP también está siendo rastreada. Existe una gran preocupación individual y eso es lo que está generando muchas de las regulaciones GDPR y probablemente regulaciones adicionales que seguirán.
En cuanto a los hechos de la industria de seguridad de datos, el 90 por ciento de los registros de datos de violación en 2016 provino del gobierno, el comercio minorista y la tecnología. Cuarenta y tres por ciento de los ataques cibernéticos atacaron a las pequeñas empresas. Si piensas: "Oh, no soy un tipo grande, no van a venir a por mí", todavía hay, casi la mitad de ellos que persiguen pequeñas empresas. El setenta y cinco por ciento de la industria del cuidado de la salud se infectó con malware en el último año. El setenta por ciento de las compañías estadounidenses de petróleo y gas fueron pirateadas en el último año. Este es un impacto significativo en varias industrias diferentes que están en funcionamiento, y este número solo aumentará a partir de aquí.
Cuando lo miras desde la perspectiva ejecutiva, el 90 por ciento de los CIO admiten perder millones de dólares en seguridad cibernética inadecuada. El noventa por ciento también dice que han sido atacados o esperan ser atacados por tipos escondidos en su encriptación. El ochenta y siete por ciento cree que sus controles de seguridad no protegen sus negocios. El ochenta y cinco por ciento de los CIO esperan que el mal uso criminal de sus claves y certificados empeore. Esta es una gran cantidad de empresas que están analizando este problema de seguridad de datos y la realidad es que muchas de ellas no tienen muy buenas soluciones para siquiera poder lidiar con eso cuando sucede, a pesar de que creen que Pasará.
Cuando estamos viendo la preparación, en 2014, el 70 por ciento de los millennials admitió que trajeron aplicaciones externas a su empresa en violación de las políticas de TI. El setenta por ciento lo admitió; probablemente haya incluso un número mayor que eso, que realmente lo hizo. El 52% de las organizaciones que sufrieron ataques cibernéticos exitosos en 2016 no hicieron ningún cambio en su seguridad en 2017. A pesar de que fueron atacadas una vez, aún no fueron y apuntalaron las paredes: son tan vulnerables como ellos. fueron antes del ataque. Esto realmente plantea la pregunta, ¿qué deben comenzar a hacer las empresas para prepararse para estas cosas? El 38% de las organizaciones globales afirman que están preparadas para manejar un ciberataque sofisticado. Eso es bueno, casi la mitad está allí, y estoy siendo generoso con eso, en realidad solo estamos en un tercio, pero todavía hay al menos la mitad que dice: “No estoy listo. Si me atacan, no estoy listo y los piratas informáticos lo saben ”. El 38% de las organizaciones tienen un plan de respuesta a incidentes cibernéticos. La mayoría de las empresas están en el mismo grupo que Equifax, donde no saben lo que van a hacer. Si obtienen esto, van a tener que reaccionar y elaborar estas cosas sobre la marcha, y las regulaciones como GDPR dicen: "Debes tener esto en su lugar. Tienes que tenerlos publicados. Tienes que demostrarlo a los auditores de seguridad ”. Esperemos que con impactos como ese, con regulaciones como esa, podamos adelantarnos a esta curva y, en lugar de reaccionar, podamos ser proactivos en nuestras actividades.
Hablemos un poco sobre GDPR. Algo de esto William ya lo ha cubierto, pero voy a seguir adelante y cubrirlo nuevamente, solo desde mi punto de vista, mi voz, mi perspectiva. Muchas de las empresas con las que hablo dicen: "Estoy en los EE. UU., ¿Por qué debería importarme esta regulación de la UE?" El hecho de que más personas no están hablando y más personas no están hablando piensan que solo afectan a los miembros de la UE, pero les pregunto, si miran esta lista, ¿recopilan estos datos de los miembros de la UE? Si recopila alguna de esta información, está sujeto a los límites del RGPD, así como a las sanciones por no cumplir. Te daré un segundo para absorber esto y entenderlo. Como William mencionó anteriormente, estas son las sanciones y sanciones mencionadas en el artículo 83 del RGPD. Al principio puede recibir una bofetada en la mano, un poco de advertencia diciendo: "Oye, actúen juntos. Ponga esto en su lugar ”. Pero si tiene una brecha realmente grande, y dependiendo de cuán grande sea el problema, volverán a usted para su restitución, y es un número significativo. No 10 millones, sino 20 millones de euros o el 4 por ciento de su facturación / ingresos del año anterior. Eso es mucho dinero. Este es un gran presupuesto para sus equipos ejecutivos y decir: "Esto es algo que debemos comenzar a tomar en serio y debemos tomar medidas".
Permítanme repasar un poco de los principios del RGPD como se describe en el artículo 5. Una de las cosas que dicen es que los datos personales deben procesarse de manera legal, justa y transparente. Eso significa que el público quiere saber qué estás haciendo con sus datos. Sea transparente al respecto y debe publicarse. La mayoría de las personas no leen los términos y condiciones, pero esta es información nueva que necesita para poder comunicarse, de modo que pueda decirles: "Sus datos se manejan adecuadamente". Los datos personales deben recopilarse para un determinado fines explícitos y legítimos. Esto significa que, con suerte, podemos deshacernos de parte de este spam, donde las compañías dicen que están recopilando información para un cuestionario que le dice qué tan interesante puede ser, y en realidad están tomando sus datos y vendiéndolos a otra persona., para poder usar para cualesquiera que sean sus propósitos. Las empresas ahora deben ser mucho más responsables y decir exactamente para qué están utilizando su información. También dicen que los datos personales deben ser adecuados, relevantes y limitados a lo necesario. A muchas empresas les gusta tomar toda su información y ponerla en un gran grupo de datos y luego descubren qué quieren hacer con la información más tarde y recopilan mucho más de lo que puede ser necesario. Esto significa que no puede recolectarlo y usarlo en otro lugar. Tampoco puedes simplemente recolectar todo y esperar que luego te sea útil. Debe ser muy explícito sobre por qué está recopilando la información y debe ser relevante para los datos que está recopilando.
Los datos personales también deben ser precisos y actualizados. Debe proporcionar a los usuarios formas de actualizar sus datos, una vez que los haya recopilado; necesitan poder regresar y decir: "Sabes, tenía esta opinión sobre una encuesta que me preguntaste sobre información de identificación personal y quiero regresar y quiero cambiar eso y actualizarlo ahora". Y tienes para darles una forma de poder hacer eso. Los datos personales deben mantenerse en forma que permita la identificación de los interesados por un tiempo no mayor al necesario. Volviendo al punto de William, que no puede recopilar esta información para siempre: debe encontrar lo que cree que es válido y necesario y luego, debe borrar los datos. También debe procesarse de manera que garantice la seguridad adecuada, incluida la protección contra el procesamiento no autorizado o ilegal, pérdida accidental, destrucción o daño.
Como dije antes, es hora de tomarse realmente en serio esto, deteniendo esas violaciones de datos porque no solo puede tener una lesión que llega a su empresa en forma de violaciones de datos y la pérdida de ingresos y el costo de apuntalar sus procesos, pero también puede tener un montón de multas impuestas sobre GDPR. Es hora de comenzar realmente a tomarse muy en serio eso y creo que a medida que GDPR entre en vigencia, las empresas se enfrentarán a la dura realidad y, afortunadamente, aquellos de ustedes que están en la llamada hoy pueden comenzar a pensar en esto y saber cómo vas a poner estas cosas en acción.
El RGPD también habla mucho sobre cuáles son los derechos de las personas; realmente está cuidando a los usuarios individuales. Lo primero es el derecho a acceder a sus datos personales. Los usuarios necesitan saber qué información ha recopilado sobre ellos, en cuanto a la información personalmente identificada, y usted debe darles una forma de poder acceder a ella. También existe el derecho a la rectificación, que es una forma elegante de decir: "Necesito poder corregir la información que tiene sobre mí". El derecho a borrar, lo que, de nuevo, muchas personas están redactando como el derecho a olvídate: si un individuo dice: “Sabes qué, ya no quiero que sepas que soy un coleccionista de cómics súper divertido, debes deshacerte de eso. Tengo algunos amigos que me están tomando el pelo y me borran de tu lista por completo ", debes ser capaz de hacerlo. También existe el derecho a restringir el procesamiento, y esto significa que los usuarios pueden limitar la forma en que se procesa su información. Pueden decir: "No me importa que tomes mi información porque estoy comprando un auto nuevo, pero no uses esa información para enviarme correos electrónicos y enviarme correos no deseados en nuevas ofertas cada vez que se lanzan autos nuevos". el derecho a la portabilidad de datos, lo que significa que los usuarios deberían poder obtener una copia de sus datos y poder llevarla a otro lugar. Muchas organizaciones recopilan información y esa información tiene un factor de adherencia, y ahora las personas pueden decir: “Sabes qué, quiero que tomes toda mi información y ahora quiero que se la des a tu competidor, así puedo mover eso terminado."
Hay muchas cosas en las que puede pensar una organización prospectiva sobre cómo va a poder hacer eso y qué información desea poder recopilar y enviar. También existe el derecho de objetar, y los usuarios también pueden oponerse al procesamiento de sus datos. El derecho a no estar sujeto a una decisión basada únicamente en el procesamiento automático o la elaboración de perfiles. Esto tiene un impacto significativo en el marketing B2B: si estás sentado allí e intentas realizar pruebas A / B e intentar identificarte, Colorado estará más influenciado por un mensaje que California, bueno, acabas de hacer un perfil al mirar uno estado versus otro, y hay que ver cómo un individuo debería poder optar por no hacerlo.
Dado que tenemos algunas cosas aterradoras que están llegando a la violación de datos y cómo las personas están mirando sus datos y tenemos esta enorme regulación que se está volcando sobre nuestros hombros, ahora estoy aquí para brindarle La solución sobre cómo IDERA puede ayudar. El artículo 15 habla sobre cómo controlar la exposición a datos personales. Tienes que saber quién está accediendo a tus datos. Cómo lo están usando. Cuántos datos se han procesado y el Administrador de cumplimiento de productos SQL, del cual soy el gerente de productos, le permite ver quién accede a sus datos y cómo. SQL Compliance Manager es para soluciones de SQL Server. Si tiene una base de datos de SQL Server, puede conectar este producto para poder auditar y ver esta información, de modo que pueda cumplir con GDPR y saber exactamente cómo se está utilizando. También puede ver las violaciones de datos antes de que sucedan, y hablaré de eso en otra diapositiva. También hay un artículo que dice: “Necesito un registro de las actividades de procesamiento. Necesito registrarme y monitorear las operaciones y saber quién está procesando los datos personales y quién tiene acceso a esos sistemas ”. SQL Compliance Manager mantiene auditorías de servidores y bases de datos, incluyendo seguridad, DDL, DML, así como también define datos confidenciales. . SQL Compliance Manager le permite auditar el acceso de seguridad y registrar un intento, para que pueda ver quién accede a la información, así como quién inicia sesión, si es un usuario privilegiado, si es un usuario conocido o si puede ser un usuario malintencionado.
El artículo 33 se refiere a la notificación de violación de datos personales a una autoridad supervisora. Debe poder detectar esas infracciones; necesita tener registros para poder evaluar el impacto; necesitas saber qué tan rápido lo vas a remediar. Para hacerlo, el Administrador de cumplimiento de SQL le permite configurar alertas en sus bases de datos para que las vea quién tiene acceso a sus datos confidenciales, cuándo accedieron a ellos, a qué accedieron. También le permite descartar sus usuarios privilegiados normales de su auditoría. Si tiene un administrador de sistemas o administrador de red que sabe que va a acceder a él y no desea obstruir sus informes, puede descartarlos y decir: "Dame todo lo que está sucediendo fuera de esa información". para identificar rápidamente si alguien está accediendo a sus datos de manera maliciosa y puede recibir alertas que le avisen en el momento en que comienzan a ocurrir y luego en el momento en que se accede a la información, para poder descifrarla, de modo que usted no tiene que esperar un día completo para descubrir qué está sucediendo, como lo hizo Equifax.
También hay un artículo que habla sobre la protección de datos y la evaluación de impacto. Esto es evaluar sus riesgos y comprender cuáles son, así como demostrar y documentar su cumplimiento con GDPR. SQL Compliance Manager le permite informar sobre los elementos que se están monitoreando. En pocas palabras, auditando sus datos con el Administrador de cumplimiento de SQL, el Administrador de cumplimiento de SQL le permite detectar inicios de sesión fallidos, lo que es una posible señal de incumplimiento: supervisar las actividades administrativas y los cambios de seguridad, alertarlo sobre las modificaciones de la base de datos, auditar las columnas que defina como información confidencial, identifique a los usuarios privilegiados y realice un seguimiento de su actividad por separado de los demás usuarios en su sistema, informe que la información se está auditando de acuerdo con varias pautas regulatorias. No solo cubrimos GDPR, sino que cubrimos HIPAA, PCI, FERPA, SOX, todas las pautas regulatorias cuando se trata de auditar su información y comprender a qué se está accediendo, tenemos esas pautas regulatorias vigentes.
Tenemos productos adicionales en IDERA para la preparación de GDPR también. Más allá de la auditoría que hace SQL Compliance Manager, tenemos ER / Studio Enterprise Team Edition, que puede ayudarlo a documentar sus procesos de datos e incorporar estándares de datos en su modelo de datos, puede crear glosarios de datos de los que William habló en una diapositiva anterior . Como he dicho aquí con esta presentación, el Administrador de cumplimiento de SQL puede ayudarlo a auditar su información para asegurarse de que las personas incorrectas no estén accediendo a sus datos, así como demostrar esto a los auditores. SQL Safe Backup puede ayudarlo a cifrar sus datos y sus copias de seguridad. El cifrado es una parte esencial de GDPR, que no cubrí con gran detalle porque quería centrarme mucho en los activos de Compliance Manager, pero SQL Safe Backup hace mucho del cifrado por usted, para que sus datos puedan permanecer seguros. SQL Inventory Manager puede garantizar que los servidores estén parcheados y actualizados, por lo que no terminará en un caso como Equifax, donde tenían un parche desactualizado que les dio un gran agujero de seguridad que la gente pudo uso malicioso SQL Secure puede auditar la privacidad y los estándares de cifrado.
Para obtener más detalles sobre el sitio web de la comunidad IDERA, en nuestro blog, también publiqué Preparándose para GDPR Mirando hacia 2018 y Entendiendo cuál será el impacto de GDPR y también hay, sin duda, puede descargar una copia de prueba de SQL Compliance Manager en IDERA, así como en cualquiera de los otros productos que acabo de mencionar anteriormente en la diapositiva.
En este punto, voy a seguir adelante y entregarle la presentación a Eric para que podamos hacer algunas preguntas.
Eric Kavanagh: OK, bien. Tocaste una serie de cosas realmente interesantes allí, Kim, una de las cuales, creo que es algo simple pero es bastante inteligente, habló sobre la detección de inicios de sesión fallidos. Me parece una buena señal de que alguien no está haciendo nada bueno, ¿verdad?
Kim Brushaber: Absolutamente. Si ve a alguien que ha estado intentando acceder y descifrar su contraseña, esa es una forma muy rápida de poder decir que alguien no está haciendo lo que debería hacer. Tal vez un par de veces podría escribir su contraseña de forma incorrecta, pero si ve que 30 de ellos se cumplen, es una mala señal.
Eric Kavanagh: Sí. La clave aquí es configurar sus alertas con el contexto adecuado. ¿Qué más puede decirnos sobre cómo administrar el proceso de configuración de alertas y desactivar las que no están haciendo lo que deberían hacer y cuánto de eso se puede automatizar?
Kim Brushaber: Compliance Manager tiene muchas alertas configurables, así como informes que puede revisar. Revisamos sus seguimientos de SQL y tenemos ese seguimiento automático y tenemos muchos de ellos que ya están preconfigurados y predefinidos, pero ciertamente también puede hacer una gran cantidad de personalización.
Eric Kavanagh: William, te traeré a esto, me parece que esa es una de las áreas donde veremos que el aprendizaje automático entrará en juego en los próximos dos a diez años más o menos, está analizando todos los Diferentes posibilidades. Al observar todas las diferentes formas en que un sistema puede optimizar su eficiencia, es la efectividad en torno a problemas como las infracciones, etc. ¿Es esa tu opinión también?
William McKnight: Sí, absolutamente. Creo que ahora estamos construyendo sistemas que se reparan a sí mismos. El monitoreo 24 por 7 está comenzando a desaparecer y convertirse en algo del pasado, aunque todavía necesitamos ese tipo de tiempo de actividad. Creo que en gran medida los sistemas están incorporando eso y descubriendo qué es lo que está mal. ¿Necesitamos asignar más espacio aquí o qué tenemos? Sí, creo que definitivamente es parte de nuestro futuro. Cualquier cosa que pueda asignarse a algunos pasos de acción, en respuesta a algo, es definitivamente vulnerable a la inteligencia artificial.
Eric Kavanagh: Ese es un buen punto. Te haré una pregunta más, William, porque sé que investigas mucho en este espacio. Una de las cosas que he estado esperando desde hace bastante tiempo y no creo que estemos allí todavía, creo que nos estamos acercando, solo por lo que he estado leyendo y pensando al respecto, es un día en que habrá tecnología para absorber los problemas regulatorios, la redacción real de estas cosas y asignarla a la funcionalidad y el software. Como digo, todavía estamos lejos de eso: no puedo imaginar que no haya alguien trabajando en ello. ¿Te has encontrado con algo así, o todavía estamos en un punto en el que los seres humanos necesitan mirar las reglas, realmente tratar de entenderlas, codificarlas en código máquina, esencialmente, y luego ajustarlas a sus diversas aplicaciones?
William McKnight: Bueno, ciertamente entiendo el concepto que estás compartiendo aquí. No estoy familiarizado con nada que ocurra hacia un lanzamiento en un entorno relacionado con eso. Sin embargo, diré que, en general, obviamente estamos comenzando a decirles a las máquinas no qué hacer sino cuál es el objetivo de lo que queremos hacer y las máquinas se están volviendo mucho más inteligentes para descubrir los detalles. Creo que una vez que obtengamos más inteligencia artificial en nuestras organizaciones, es muy posible que se puedan desarrollar nuevas regulaciones en concierto con la IA que se implementa dentro de las organizaciones para que puedan implementarse de la manera que usted describió en el futuro. Por ahora, no estamos actuando con eso.
Eric Kavanagh: Aquí hay una pregunta que te haré, Kim, porque esto también es interesante. Usted habla sobre la latencia promedio o el tiempo que alguien que inicia sesión en su sistema se esconde y solo espera (número de días que un atacante permaneció inactivo dentro de una red) la detección es 200. Tengo curiosidad por saber, ¿qué piensa sobre cómo mejorar? eso, antes que nada? Pero también, ¿hay alguna forma de usar este tipo de regla para explorar su propio sistema? ¿Para explorar sus propios datos, para hacer un mejor trabajo al mantener alejado a este tipo de personas?
Kim Brushaber: Sí, creo que obviamente la detección temprana es clave. Debe descubrir que estos sitios maliciosos están accediendo a su información y poder bloquearla. Creo que en las otras diapositivas donde mostramos que la mayoría de las organizaciones no tienen esas políticas en su lugar. Por eso están sentados allí. Creo que si realmente tuvieras una política establecida para cerrar y bloquear tu acceso y asegurarte de que las personas adecuadas tengan acceso. Asegúrese de rotar las teclas regularmente y actualizarlas. Asegúrese de que sus contraseñas se actualicen regularmente y hagan ese tipo de cosas, que parecen bastante básicas. En este momento, la mayoría de las organizaciones ni siquiera lo están haciendo, y comenzar a colocar esas piezas en su lugar lo ayudará a superarlo.
Significa, por supuesto, que los piratas informáticos se volverán más astutos al respecto, pero por el momento es fácil, es como, "Voy a mirar las casas en la calle en las que siento que quiero entrar, ¿tendrán alarma? sistemas? ¿Tienen una pequeña señal de alarma y esa tiene perros? Voy a ir a uno que no tiene señal de alarma, no tiene perro y esa es la casa en la que voy a entrar. Bueno, van a descubrir las compañías que no No tienen estos parches en su lugar y no tienen la seguridad establecida y no están actualizando sus contraseñas y van a pasar el rato allí y usar su tarjeta de crédito en una estación de servicio un par de veces para asegurarse no lo ha cerrado y luego, cuando pueden influir en un gran cambio, normalmente algún tipo de declaración política o de otra manera es cuando los ve asomarse. Poniendo en práctica esas políticas, creo que en este punto puedes dar algunos pasos mínimos para adelantarte a este juego.
Eric Kavanagh: Ese es probablemente el mejor consejo y siempre escucho esto cuando hablamos con personas que están en el espacio de seguridad o en el espacio regulatorio, que lo básico cubrirá el 80 por ciento de su problema, y eso es mucho para cubrir, eso es un buen punto. Uno de los asistentes preguntó si alguien podría ampliar las oportunidades comerciales que podrían aprovecharse de los esfuerzos de cumplimiento de GDPR, me acuerdo de Sarbanes-Oxley, y supongo, William, se lo entregaré. Como consultor, siempre está buscando formas de ayudar a sus clientes fuera del alcance de un proyecto en particular, al menos si es un buen consultor lo está haciendo. Cuando habla con la gente sobre el RGPD, ¿cuáles son los beneficios complementarios que puede promocionar que obtendrán si participan en algún proyecto centrado en eso?
William McKnight: En primer lugar, es importante tener en cuenta que la idea detrás de GDPR no es derechos plenos para el ciudadano en absoluto. Existe el otro lado de GDPR que es, esto va a mejorar la confianza que los ciudadanos tienen en nuestras empresas y les animará a hacer más negocios en las empresas que cumplen. Existen esos beneficios complementarios de lograr realmente su GDPR, ahora internamente, los programas de gobernanza de datos que implementamos sirven para facilitar todo tipo de iniciativas, realmente, que se están iniciando dentro de las organizaciones y hoy, la mayoría, con mucho, iniciativas que se están iniciando fuera de las organizaciones. Recientemente he estado planeando algo para 2018 con muchos de ellos, tienen que ver con datos, mucho, son como 65 por ciento a 90 por ciento sobre los datos, cuando se habla de telemática o programa de cliente 360 o un tablero para monitorear a los vendedores, se trata principalmente de los datos. Cualquier cosa que maneje mejor esos datos, que los coloque en una mejor arquitectura que nombre a las personas que son las personas que pueden responder a todas y cada una de las preguntas sobre esos datos, que realmente se preocupan como lo haría un programa de gobierno de datos. Cualquier cosa que nos dé un glosario de datos, como Kim estaba hablando con sus herramientas, cualquier cosa que haga eso, es muy útil para hacer que estas iniciativas sean mucho más eficientes, eliminar el riesgo, reducir el tiempo, reducir el presupuesto para ellos y conseguirnos a un momento ágil para comercializar mucho más rápido y cosas buenas para una empresa que realiza iniciativas, que son todas las empresas.
Eric Kavanagh: Me encanta ese concepto de confianza. Creo que la confianza es una realidad muy poco apreciada en nuestro mundo y, francamente, la mayoría de las empresas se basan en la confianza, realmente lo hace cuando se llega al final. Te lo entregaré solo por algunos comentarios finales, Kim. Creo que uno de los valores clave que agrega aquí es mejorar la confianza y fomentar una cultura de confianza porque eso no solo tendrá un impacto positivo en la empresa en sí, en las personas dentro de la empresa en sí, sino también en lo que el público percibe porque ese tipo de Me parece que la cosa se derrama, pero ¿qué te parece?
Kim Brushaber: Sí, creo que cuando hablo con amigos que trabajan en Google o en Facebook o en algunas de las organizaciones más grandes y de alto perfil, no están implementando tantas funciones nuevas como implementan protocolos de seguridad y rendimiento y problemas de escalabilidad porque quieren que su experiencia de usuario sea una en la que creen que pueden confiar en esa información. Creo que las empresas tienen esa responsabilidad a medida que continuamos avanzando para proporcionar ese tipo de confianza. Recuerdo cuando la gente comenzó a poner tarjetas de crédito en línea y la gente dijo: "Oh, Dios mío, no voy a dar esa información porque no es segura".
Y ahora, su tarjeta de crédito va en todas direcciones porque, en teoría, cree que puede confiar en la compañía porque tiene un certificado HTTPS. Luego escuchas sobre las infracciones de datos de Target donde las tarjetas de crédito, donde decían: "Oh, es mejor que cambies tu tarjeta de crédito porque dejamos pasar esa información". Creo que es un sentimiento bidireccional. Creo que las personas, si bien quieren ser más confiables porque es mucho más fácil, poder confiar y tener fe en esto en las grandes organizaciones, las grandes organizaciones tienen que intervenir y poner estas piezas en su lugar para que no ' No perjudique al individuo o perderá cuota de mercado. La gente dice: "Bueno, ya sabes qué, ya no voy a comprar en Target, ahora voy a comprar en Amazon". Creo que la confianza es un gran problema, aunque, como dijimos, el 78 por ciento de las personas son Todavía voy a hacer clic en ese enlace en un correo electrónico, a pesar de que saben que no. Hay una cierta cantidad de protección de las personas, incluso cuando confían en ti.
Eric Kavanagh: Ese es un buen punto. Sabes qué, te enviaré una última pregunta, William, o al menos una más: tenemos algunas buenas que están llegando ahora. Un asistente escribe: “GDPR está trasladando la gestión de identidad al cliente, donde pertenece. Equifax dañó permanentemente a 149 millones de consumidores, "muy cierto", contaminando la economía digital. ¿Qué cambios ve que suceden en los Estados Unidos con respecto a la propiedad del cliente con respecto a la gestión de identidad?
William McKnight: Bueno, siempre estamos atrasados en los Estados Unidos cuando se trata de este tipo de cosas, ¿no? Ciento cuarenta y nueve millones, eso no es una gota en el cubo allí mismo. Es casi como el terrorismo, ¿verdad? Estamos tan acostumbrados, simplemente sucede todo el tiempo. Creo que hay que hacer algo. Creo GDPR, me gustan los derechos que otorga a los ciudadanos, pero no parece ser una prioridad: hay muchas otras prioridades y no sé a dónde irá. Creo que, como mencioné en la diapositiva de ramificaciones que tenía, esto indica un cambio hacia más derechos por parte del consumidor sobre sus datos. Cuando eso sucede aquí en los Estados Unidos? No sé, podrían pasar hasta cinco años para ver que algo relacionado con el RGPD ocurra aquí en los EE. UU. Solo especulaciones en este momento.
Eric Kavanagh: Es un punto realmente bueno y creo que vamos a ver un mayor esfuerzo en esto porque, seamos sinceros, nos estamos moviendo a una economía tan digital en estos días. Y como comentario final aquí, obtener un poco filosófico, orientado a las políticas, esto es lo que más me preocupa sobre el cambio a una sociedad sin efectivo, porque cuando el efectivo desaparece, si eso sucede, entonces todo es digital y todos los sistemas pueden ser pirateados y la identidad de cada persona puede ser robada. Me parece que es un elefante bastante grande en la sala aquí, mientras miramos el camino hacia el futuro de la gestión de la identidad.
Todo esto es genial, amigos. Gracias a William McKnight por su tiempo y atención hoy. Gracias a Kim Brushaber de IDERA. Archivamos todos estos webcasts para verlos más tarde, así que siéntase libre de regresar, generalmente en unas pocas horas y el archivo estará listo. Con eso, nos despediremos, amigos. Gracias de nuevo por su tiempo y atención. Tenga cuidado. Adiós.