Il est payant de savoir : comment la connaissance des données peut aider à protéger les informations sensibles

À mesure que les menaces à la sécurité des données d’entreprise s’aggravent, certaines entreprises peuvent avoir besoin de réévaluer leurs plans de sécurité des données pour garantir la meilleure défense possible contre les pirates informatiques et les voleurs d’informations b  v . Un plan de sécurité des données décrit la formation, les outils, les politiques et les procédures qu’une organisation utilisera pour prévenir et répondre aux violations de données.

Lorsqu’ils sont mis en œuvre avec précision, les plans de protection des données peuvent aider à arrêter le vol de données et potentiellement économiser des millions de dollars aux entreprises en amendes et en atteinte à leur réputation. À l’inverse, les entreprises pourraient souffrir si leurs plans de sécurité ne reposent pas sur des informations complètes et correctes. Par exemple, si une équipe de sécurité ne sait pas que les employés de l’entreprise stockent des informations confidentielles sur des disques durs, elle n’établira probablement pas de procédures efficaces de destruction sécurisée des disques durs. Cette omission pourrait exposer des données sensibles à des voleurs d’informations.

Certaines entreprises ont du mal à comprendre comment et où les données sensibles sont stockées, utilisées et détruites. Une enquête de l’ISACA auprès de professionnels travaillant dans le domaine de la confidentialité des données a révélé que 49% des répondants estimaient ne pas avoir suffisamment de budget de confidentialité. Dans le même sondage, 53 % des répondants ont déclaré qu’une cause courante de manquement à la protection de la vie privée était de ne pas effectuer une analyse des risques. Les données cachées peuvent coûter des millions aux entreprises et les exposer à un risque accru de menaces de sécurité. Les données redondantes, triviales et obsolètes, également appelées ROT et dark data , sont problématiques car vous ne remarquerez peut-être même pas si elles disparaissent. Les lacunes en matière d’informations peuvent représenter un risque encore plus grand pour les entreprises de non-respect des réglementations en matière de protection des données.

En posant les bonnes questions et en prenant des mesures pour comprendre la sécurité de l’information, les chefs d’entreprise peuvent être mieux informés lorsqu’ils élaborent des plans de protection des données qui incluent des tactiques pour aider à prévenir les violations de données physiques et numériques.

Cinq questions clés sur la gestion des données

Les « bases » du programme de gestion des données d’une organisation constituent le fondement d’une sécurité de l’information efficace. Les chefs d’entreprise devraient rencontrer leur responsable de la protection des données et tout autre employé concerné pour répondre à certaines questions clés sur les procédures de gestion de l’information de leur entreprise, notamment :

1. Quelles données sont collectées et stockées ? Les entreprises collecteront différents types de données confidentielles en fonction des produits et services qu’elles fournissent. Par exemple, un magasin de vêtements peut stocker les noms, adresses courriel et numéros de carte de crédit de ses clients, tandis qu’un cabinet d’avocats peut stocker des informations confidentielles sur des litiges passés ou en cours. Les dirigeants doivent également déterminer si les données collectées sont physiques (papier, disques durs, etc.) ou numériques (fichiers électroniques, fichiers nuage).
2. Combien de données sont collectées et stockées ? La quantité d’informations stockées par une entreprise peut aider à orienter l’investissement dans les outils, les services et le personnel de sécurité. Par exemple, une organisation qui collecte de grandes quantités de documents papier sensibles peut avoir besoin d’utiliser un service de gestion de l’information sécurisé qui offre une destruction régulière des documents.
3. Où sont stockées les données ? Cette question peut faire référence à l’emplacement des données physiques (stockées dans les bureaux, les salles de fichiers, les bureaux à domicile) et / ou des données numériques (stockées sur des serveurs externes, des disques durs locaux). L’emplacement des données peut jouer un rôle dans une série de décisions exécutives, de l’établissement de politiques de sécurité à la sélection des technologies de l’information.
4. Combien de temps les données sont-elles stockées et pourquoi ? Certaines réglementations en matière de protection contre la perte de données, telles que le Règlement général sur la protection des données (RGPD) en Europe, exigent que les entreprises ne stockent les données que le temps nécessaire. Les données inutiles et inutilisées peuvent faire des organisations de plus grandes cibles pour les pirates informatiques et les voleurs d’informations. À moins que l’organisation n’utilise activement des renseignements sensibles, ceux-ci doivent être détruits ou supprimés.
5. Avec qui les données sont-elles partagées ? La plupart des organisations font appel à des partenaires externes et peuvent partager des données sensibles avec eux dans le processus. Par exemple, les entreprises peuvent partager les adresses courriel des clients avec des entreprises de marketing pour développer une campagne de publicité par courriel.
6. Le partage de données avec des tiers, bien que souvent nécessaire aux opérations d’une entreprise, pourrait augmenter le risque d’exposer des données sensibles à de mauvais acteurs. En 2021, le fournisseur de logiciels tiers, Kaseya, a subi une cyberattaque qui a compromis non seulement les systèmes de Kaseya, mais aussi les fichiers de 1 500 entreprises. Les équipes de sécurité doivent aborder le partage de données de tiers dans les plans de sécurité des données et se connecter avec leurs partenaires externes pour comprendre leurs protocoles de sécurité.

Comment améliorer les connaissances en gestion des données

Une fois que les chefs d’entreprise et les équipes de sécurité ont parfaitement compris les « bases » de la gestion des données d’entreprise, ils peuvent commencer à mettre en œuvre d’autres stratégies pour aider à améliorer la connaissance et la sécurité des données, telles que :

• Évaluations des risques liés aux données : lors des évaluations des risques liés aux données, un professionnel de la sécurité de l’information examine les procédures de protection des données physiques et numériques d’une entreprise afin de déterminer les vulnérabilités. Les évaluations des risques liés aux données fournissent aux entreprises une opinion extérieure utile qui peut éclairer les investissements en sécurité de l’information.
• Comprendre la législation : Des pays du monde entier, dont le Canada, ont mis en œuvre des lois sur la protection des données. Les entreprises devraient se tenir informées des réglementations nouvelles et existantes, car la violation pourrait entraîner des poursuites judiciaires, des amendes et des coûts de réputation.
• Culture de la sécurité des données : La connaissance des informations de base sur la gestion des données est non seulement essentielle pour les décideurs, mais aussi pour les employés de toutes les organisations. Les entreprises devraient mettre en œuvre une formation régulière sur la sécurité de l’information pour aider les employés à se familiariser avec les plans et procédures de protection des données.

La protection des données physiques devrait être un acteur clé dans les politiques de protection des données de chaque entreprise, et nous sommes prêts à vous aider. Notre équipe de professionnels expérimentés de la sécurité de l’information physique peut aider les dirigeants à identifier les vulnérabilités et à créer un plan de gestion des données sûre et sécurisée. En savoir plus sur les services de Shred-it et contactez-nous pour planifier une évaluation gratuite des risques de sécurité.