4 choses à garder à l'esprit

La Journée internationale de la confidentialité des données approche à grands pas. Comment les organisations peuvent-elles s'assurer que leurs informations et celles de leurs clients sont sécurisées et protégées ?

Le 28 janvier, le monde reconnaîtra la Journée internationale de la protection des données, observée en Europe comme la Journée de la protection des données.

Cela se déroule dans le monde entier dans le cadre d'un effort international visant à responsabiliser et à encourager les particuliers et les entreprises à respecter la vie privée, à protéger les données et à favoriser la confiance entre tous.

Chez Progress, nous nous engageons fermement à protéger nos données et celles de nos clients, employés et fournisseurs/prestataires de services, en particulier en cette période de nouveaux défis juridiques causés par le développement technologique rapide. Pour donner suite à cet engagement, nous avons des experts internes qui exécutent des programmes internes et externes pour superviser les programmes de sécurité des données et de l'information.

La confidentialité est toujours difficile, et de nouvelles applications COVID-19 se développent avec l'intention de retracer votre emplacement, vos expositions récentes à COVID-19 et de capturer votre statut vaccinal. La vie privée ne disparaît pas. En fait, c'est probablement plus important que jamais, car le monde dans lequel nous vivons oblige les organisations à adopter rapidement des pratiques numériques nouvelles et supplémentaires auxquelles votre entreprise était habituée en raison de l'évolution du monde de la connectivité à distance. Par conséquent, il y a plus de données qui sont capturées, stockées ou traitées.

Comment les organisations doivent-elles développer leurs applications ou leurs systèmes en tenant compte de la confidentialité ?

Créez des applications avec les concepts Privacy by Design. Soyez proactif et anticipez les menaces qui pèsent sur vos applications et votre capacité à rester confidentielles. Tous les développeurs qui suivent le cycle de vie de développement système standard, au début du processus de cycle de vie, commencent par la conception. En concevant votre application en gardant à l'esprit la confidentialité, votre application a de meilleures chances d'assurer la confidentialité de vos utilisateurs ou de vos processus. Définissez la confidentialité des données comme une exigence clé pour votre application.

Comprenez quelles données vous prévoyez de capturer et si les données ont des implications sur les données, telles que la capture d'adresses e-mail personnelles ou d'informations sur la vaccination, l'âge ou la religion, pour n'en nommer que quelques-unes. Connaître les données dont votre système a réellement besoin pourrait entraîner une décision de limiter le type de données soumises ou stockées dans votre application.

Soyez conscient de la façon dont les données circulent dans votre système. Soyez transparent et ouvert sur la façon dont les données sont protégées contre les attaquants. Plus facile à dire qu'à faire, non? Aucun système n'est parfait.

Adoptez une approche systématique et itérative et concentrez-vous sur la compréhension des utilisateurs qui s'interfacent et utilisent votre application et comment. L'utilisateur aura-t-il besoin de partager des informations avec d'autres parties par e-mail ou par chat ? Votre application devra-t-elle s'interfacer avec d'autres systèmes ? Comment protégez-vous qui peut accéder à vos données et la gouvernance des données qu'elles contiennent ? Ce sont toutes de bonnes questions à poser pendant la phase de conception afin que vous puissiez mettre en évidence les domaines de votre application qui doivent être abordés en premier pour assurer la confidentialité.

Nous avons défini ce qui doit être privé et comment protéger nos données. Et après?

Évidemment, vous commencez à coder ou à développer votre application. Et lorsque vous avez terminé de créer votre application géniale, vous devriez avoir un plan de test détaillé. Faites confiance, mais vérifiez et assurez-vous que votre application est exempte de failles logiques, entraînant un accès non autorisé. Dans le cadre de votre assurance qualité, ayez des cas de test spécifiques qui garantissent qu'un profil système ne peut pas accéder à des informations supplémentaires auxquelles il n'avait pas droit à l'origine.

Cela prend soin de la logique. N'oubliez pas les métadonnées. Votre système collecte-t-il des métadonnées qui peuvent être regroupées et renverser toutes vos conceptions de confidentialité ? Incluez le test du code d'application et vérifiez les défauts ou les configurations du système non sécurisées. Parlez à votre équipe de sécurité ou engagez un expert en sécurité qui intègre la confidentialité dans le cadre de son test et pas seulement des tests de vulnérabilité de sécurité dans le but de pirater votre système. Une fois que vous aurez tous vos résultats de test, vous aurez plus que probablement des lacunes que vous devrez combler.

Attendez, j'ai un délai à respecter et nous avons promis de publier notre application la semaine prochaine ?

Cela vous semble familier : vous devrez hiérarchiser et identifier les risques de ne pas réparer votre application. La correction d'une partie de l'application est-elle plus importante que l'autre ? Seuls vous et votre entreprise connaissez cette réponse et avez une idée de ce qui est précieux pour votre entreprise et vos clients.

N'oubliez pas certaines des tendances à surveiller en 2022. Comment les entreprises peuvent-elles anticiper ce qui va suivre ?

L'année dernière a été pleine d'incidents dans la chaîne d'approvisionnement des logiciels et d'attaques de ransomwares, qui peuvent présenter un risque pour la confidentialité de vos applications. Je prévois que cela ne changera pas beaucoup cette année à venir. Si vous comprenez comment vous avez construit votre application, sur quelle pile technologique elle a été développée, les menaces associées à votre organisation et qui est susceptible d'attaquer votre application, vous avez une longueur d'avance. Vous vous serez préparé au pire et vous aurez pris les mesures nécessaires pour éloigner les méchants de votre système ou l'avoir rendu beaucoup plus coûteux à attaquer.

En conclusion, sachez quelles données vous devez capturer et celles qui doivent être privées. Concevez votre système en sachant comment votre application sera utilisée et comment elle peut préserver la confidentialité. Une fois que vous avez conçu et développé votre application, testez, testez et testez. Vous trouverez des failles et vous devrez déterminer si vous devez corriger vos lacunes maintenant car c'est important pour votre entreprise et vos clients.

Ou, si vous pouvez retarder le correctif parce que l'impact sur la confidentialité ou le risque de ne pas corriger une zone de votre application est judicieux sur le plan commercial à corriger dans la prochaine version tout en garantissant la confidentialité.