C'est la semaine de la confidentialité des données! Cette initiative internationale d'une semaine a été développée par la National Cybersecurity Alliance et encourage toutes les organisations à respecter les données en améliorant la sécurité et la transparence de la gestion.
De riches flux de données ont permis aux organisations d'analyser le comportement des clients, d'identifier les opportunités, d'établir des références, de fixer des objectifs de performance, de recueillir des informations commerciales et bien plus encore. Bien que notre culture axée sur les données favorise les améliorations continues, le manque d'alignement stratégique autour de la protection des données peut entraîner la perte de la valeur de cet actif ou de la valeur de votre organisation, et cela peut se produire rapidement.
L'entreprise moyenne a 534,465 fichiers contenant des données sensibles. Dans certains secteurs, comme la finance, chaque employé a accès à plus de 1,000 fichiers sensibles. Pire encore, plus de 70% des employés sont connus pour partager des données sensibles et critiques pour l'entreprise via des plates-formes et des appareils non sécurisés ou sous-sécurisés. L'exposition des données peut entraîner des atteintes à la réputation, des sanctions juridiques et d'autres résultats commerciaux indésirables.
Répondez de manière proactive aux exigences en matière de confidentialité et de protection des données avec des stratégies, des technologies et d'autres mesures positives à l'épreuve du temps. Cela signifie différencier votre entreprise, augmenter la proposition de valeur de votre organisation et renforcer la confiance des consommateurs.
1. Localisez et identifiez les données. Vous ne pouvez pas protéger efficacement les informations de votre entreprise si vous ne savez pas qu'elles existent, où elles se trouvent ou quelles données vous conservez. Les données peuvent facilement se perdre dans des systèmes, des documents, des courriels et des applications héritées mis au rebut.
L'équipe de sécurité de votre organisation doit comprendre où tous les systèmes et données critiques sont stockés au sein de l'entreprise. L'équipe de sécurité doit également savoir qui a accès à quelles données, pourquoi et comment elles sont utilisées, le cas échéant. À son tour, cela permettra à votre équipe de sécurité de développer des processus, des contrôles et des garanties permettant d'assurer une protection suffisante des données et une conformité réglementaire.
2. Créez des politiques de sécurité claires. Lorsque de nouvelles réglementations entrent en jeu, les organisations essaient généralement de suivre les lois en mettant en œuvre des politiques compliquées en tant qu'addenda aux politiques existantes. Bien que cette approche puisse atteindre des objectifs juridiques, les employés ont souvent du mal à comprendre et à appliquer les nouvelles politiques à leurs tâches quotidiennes.
Les organisations doivent établir des politiques de sécurité claires et faciles à comprendre. Les politiques doivent répondre aux exigences mondiales de conformité en matière de sécurité et de confidentialité. Ils doivent également être cohérents. Saisir les opportunités de simplifier vos politiques et processus de protection des données et de confidentialité. Ce faisant, vous aiderez tous ceux qui s'efforcent réellement de protéger les données de votre organisation.
3. Développez des liens. La sécurité implique souvent un nombre affolant de parties prenantes, en particulier au sein des grandes entreprises. Pour répondre aux attentes en matière de confidentialité des données, les équipes de sécurité devront développer de solides relations de travail avec les professionnels de tous les départements qui ont besoin de sécuriser les données. En plus d'améliorer la communication, l'élaboration et la mise en œuvre des politiques, les connexions interministérielles peuvent permettre à votre organisation de découvrir et de résoudre les problèmes de non-conformité avant qu'un auditeur externe ne les signale.
4. Sensibilisation des employés. Éduquer les employés sur les risques de cybersécurité, les politiques de protection des données et les meilleures pratiques en matière de protection des données vous permet de réduire globalement les vulnérabilités. Un programme de sensibilisation solide devrait inclure un contenu éducatif, des messages de suivi, des tests et une mesure de la participation des employés à ces programmes. Préparez votre organisation au succès en vous concentrant sur les meilleures pratiques en matière de protection des données et en engageant une collaboration entre équipes pour créer un écosystème de sécurité et de confidentialité des données qui prend en charge l'évolution des réglementations et la croissance de l'entreprise.
5. Prévention des pertes de données (DLP). La prévention des pertes de données fait référence à une série de stratégies et d'outils que les organisations peuvent utiliser pour prévenir le vol, la perte ou la suppression accidentelle de données. Les organisations utilisent couramment la DLP pour protéger les Informations personnelles identifiables, pour se conformer aux réglementations correspondantes, pour protéger la propriété intellectuelle, pour obtenir une plus grande visibilité des données, pour sécuriser la main-d'œuvre distribuée et pour sécuriser les données sur les systèmes cloud distants.
Avant l'adoption, déterminez l'architecture de déploiement DLP ou la combinaison d'architectures la plus appropriée pour votre organisation. En plus d'aider à atteindre les objectifs susmentionnés, l'adoption de la DLP permet également aux RSSI de conserver les capacités de reporting nécessaires qui permettent des mises à jour fréquentes de la sécurité des données à la direction.
6. Sauvegardes, instantanés, réplications. Ces trois éléments ont un rôle à jouer dans la protection des données. Bien que les trois soient souvent confondus, tous sont destinés à protéger vos données de différentes manières:
Sauvegardes de données: En cas de perte ou de corruption, les sauvegardes de données vous permettent de restaurer les systèmes à un moment antérieur. Les sauvegardes de données créent des "points de sauvegarde" sur vos serveurs de production. Étant donné que la création de sauvegardes de données peut prendre un certain temps, de nombreuses entreprises les planifient la nuit ou le week-end. Les sauvegardes de données sont essentielles à des fins de conformité.
Instantanés de données: Un instantané de données copie l'état d'un système entier à un certain moment, présentant un "instantané" virtuel des systèmes de fichiers et des paramètres d'un serveur. Contrairement aux sauvegardes, les instantanés copient uniquement les paramètres et les métadonnées nécessaires à la restauration des données après une interruption.
Réplication des données: Le terme " réplication de données’ fait référence à la copie de données vers un autre emplacement, qu'il s'agisse d'un système de stockage dans le même centre de données ou d'un système dans un centre de données distant. Cette méthodologie de stockage des données permet à tous les utilisateurs de travailler à partir des mêmes ensembles de données. La réplication des données permet d'obtenir une base de données cohérente et distribuée.
7. Pare. Même si votre entreprise dispose d'un pare-feu, les réseaux sont-ils toujours vulnérables à leur cœur? Assurez-vous que votre solution de pare-feu est configurée de manière sécurisée. Procédez comme suit: Désactivez les protocoles non sécurisés tels que telnet et SNMP ou utilisez une configuration SNMP sécurisée. Planifiez des sauvegardes régulières de la configuration et de la base de données. Ajoutez une règle furtive dans la stratégie de pare-feu pour masquer le pare-feu des analyses du réseau. Des informations plus approfondies ici.
Des guides sur la sécurité des pare-feu sont souvent disponibles auprès de fournisseurs de sécurité et de tiers, tels que le Center for Internet Security (CIS), qui publie CIS Compare Les Périphériques Réseau. Aussi, voir le Liste de contrôle du Pare-Feu SANS.
8. Authentification et autorisation. Ces types de contrôles aident à la vérification des informations d'identification et garantissent que les privilèges des utilisateurs sont appliqués de manière appropriée. En règle générale, ces mesures sont mises en œuvre conjointement avec une solution de gestion des identités et des accès (IAM) et en tandem avec des contrôles d'accès basés sur les rôles (RBAC).
9. Protection des terminaux (EDR). Dans le cadre d'une approche de cybersécurité à plusieurs niveaux, la protection des terminaux permet de sécuriser les ordinateurs de bureau, les ordinateurs portables et les appareils mobiles. Les fonctionnalités essentielles d'une solution de point de terminaison incluent: l'anti-malware, l'analyse comportementale, la possibilité d'appliquer la conformité aux politiques de sécurité de l'entreprise, le cryptage des données, l'inspection du bac à sable, l'accès distant sécurisé et le filtrage des URL.
En ce qui concerne les solutions de sécurité des terminaux, le bon choix dépend des terminaux en question et des besoins uniques d'une organisation donnée. Votre organisation peut également envisager une solution XPR/ XDR, qui intègre la sécurité des terminaux, la sécurité du cloud computing, la sécurité de la messagerie et d'autres architectures de sécurité.
10. Effacement des données. En supprimant les données que votre organisation n'a pas besoin de stocker et n'utilise pas, votre organisation peut limiter ses responsabilités en matière de protection des données. En vertu de nombreuses règles de conformité, l'effacement des données inutiles est une exigence. En bref, l'effacement des données est un élément essentiel du processus de gestion du cycle de vie des données.
La protection de la confidentialité et de l'intégrité des données aide votre organisation à rester compétitive, augmente la valeur et améliore la confiance.
Pour en savoir plus sur la semaine de la confidentialité des données et les stratégies de protection de la confidentialité des données au niveau de la direction, voir CyberTalk.org couverture passée de.
Enfin, ne manquez pas l'inscription à l'événement de cybersécurité le plus important de l'année; CPX 360 2023. Inscrivez-vous ici.
Post 10 conseils sur la confidentialité des données pour protéger votre organisation cette année apparu en premier sur CyberTalk.