50 choses que vous devez savoir pour optimiser l'approche de votre entreprise en matière de confidentialité des données et de cybersécurité

Juin
22, 2021

15+ min de lecture

Les avis exprimés par les contributeurs de Entrepreneur sont les leurs.

Nous vivons dans un monde où les violations de données et les ransomwares ont paralysé même les grandes organisations multinationales. De quoi chaque entreprise a-t-elle besoin pour renforcer son approche de la confidentialité des données et de la Cybersécurité ? Quelles sont les nouvelles menaces dont les entreprises doivent être conscientes ?

Dans une récente série d'entretiens dans le magazine Authority intitulée « 5 choses que vous devez savoir pour optimiser l'approche de votre entreprise en matière de confidentialité des données et de cybersécurité », nous avons interrogé près de deux cents Experts Data Privacy et Cybersecurity, ainsi que des CTO et CISO qui ont abordé ces questions. Voici quelques faits saillants de leurs entretiens.

Angela Saverice-Rohan, EY Consulting

1. Comprendre la valeur de vos données à risque : Afin de prendre des décisions fondées sur les risques concernant votre cyberstratégie et les efforts de conformité à la confidentialité à prioriser, vous devez d'abord comprendre non seulement quelles données vous avez, mais comment votre organisation l'utilise. Cela ne signifie pas que l'organisation doit entreprendre un effort massif pour inventorier toutes ses données. Au lieu de cela, identifiez et hiérarchisez les systèmes contenant des actifs de grande valeur  —  ces informations qui, si elles étaient exfiltrées, corrompues ou rendues publiques, auraient un impact négatif significatif sur vos opérations commerciales.

2. Connaissez vos stratégies de défense des données et d'infraction aux données : Être capable d'expliquer pourquoi l'une ou l'autre de ces stratégies est plus importante au cours d'une année donnée. La défense des données vise à minimiser les inconvénients des risques liés aux données et l'infraction aux données consiste à maximiser la valeur de vos données pour stimuler la croissance et l'efficacité de votre entreprise. La défense des données impose des contraintes et inclut la cybersécurité et la plupart de vos mesures de confidentialité. Votre stratégie d'infraction aux données pourrait être affectée en fonction de la façon dont vous concevez vos contrôles de cybersécurité et de confidentialité. Votre conseil d'administration doit être mis à jour sur ces stratégies à l'unisson, car cela lui permet de comprendre la situation dans son ensemble et de prendre des décisions éclairées sur l'équilibre entre deux objectifs d'égale importance.

3. Comprendre comment la cybersécurité et la confidentialité sont opérationnalisées dans votre environnements cloud et lacs de données : Je vois de nombreux clients qui discutent de cyber et de confidentialité au début de ces projets pour moderniser leur écosystème de données, mais ils ne transposent pas les exigences dans l'environnement d'exploitation. Cela signifie que la propriété du contrôle pour la cybersécurité ou la confidentialité peut ne pas être claire (vis-à-vis du fournisseur de cloud par rapport à l'entreprise) ou, dans le cas d'un lac de données, il peut y avoir un accès non contrôlé et un manque de restrictions concernant les cas d'utilisation des données. 19659009]Intégrez vos contrôles de cybersécurité et de confidentialité dans votre entreprise sur trois lignes de défense : Cela signifie que vous devez disposer de contrôles de sécurité et de confidentialité qui s'appliquent au bon niveau du processus, applicables à chaque unité commerciale. Cela établit la responsabilité de le contrôle et offre le bon niveau de couverture des risques. Un cadre approprié qui fournit la base d'un contrôle interne efficace doit démontrer la traçabilité de toutes les lois, réglementations, normes et engagements contractuels liés à la cybersécurité et à la confidentialité. Il devrait également avoir délimité les contrôles dans l'ensemble de l'entreprise et agir comme la source unique de vérité pour prendre en charge les programmes de cybersécurité et de confidentialité, les ressources et l'activation de la technologie.

4. Donner la priorité à certaines capacités par rapport à d'autres en raison des gains à avoir. : Au fur et à mesure que les attaques deviennent plus avancées, leur détection prendra plus de temps, ce qui aggrave le risque pour l'organisation. Ne réduisez pas votre investissement dans le domaine de la détection. Du point de vue de la confidentialité, créez des contrôles qui prennent en charge la confidentialité dès la conception, conformément au cycle de vie de votre produit/service, ainsi qu'à la manière dont les données personnelles sont collectées, traitées, stockées, partagées et éliminées. Intégrez ces contrôles dans l'entreprise via les points où se produit la gestion du changement. Ne partez pas du principe que toutes vos activités de gestion du changement sont centralisées. Au lieu de cela, discutez avec les unités commerciales de la manière dont les changements spécifiques à leurs opérations sont gérés et déposez les contrôles dans ces processus existants.

Gabe Turner, Security.org

1. Utilisez des VPN : Surtout si vos employés sont sur des réseaux Wi-Fi publics, comme dans un café ou une bibliothèque, demandez-leur de se connecter à des VPN ou à des réseaux privés virtuels avant de travailler en ligne. Cela cryptera leur activité Web et masquera leurs adresses IP, les rendant beaucoup moins sensibles au piratage. Après que j'en ai eu marre d'être en lock-out et que les cafés se soient ouverts, j'ai commencé à travailler dans des cafés pour m'échapper de chez moi, en me connectant toujours à un VPN avant de travailler en ligne.

2. Utilisez des gestionnaires de mots de passe : Pour pour protéger les comptes des employés contre les accès non autorisés, demandez-leur d'utiliser un gestionnaire de mots de passe pour tous les comptes en ligne liés à l'entreprise. Les gestionnaires de mots de passe vérifieront leurs mots de passe actuels, en s'assurant qu'il existe un mot de passe long, unique et compliqué pour chaque compte. Ensuite, certains gestionnaires de mots de passe peuvent ajouter des méthodes d'authentification avancées, comme l'authentification à deux facteurs sous la forme d'un mot de passe ou l'authentification à plusieurs facteurs sous forme d'empreinte digitale ou d'identification faciale, qui empêche les accès non autorisés. Avant d'avoir LastPass comme gestionnaire de mots de passe, je devais constamment réinitialiser les mots de passe et j'utilisais une variante du même mot de passe pour chaque compte. Désormais, non seulement mes mots de passe sont protégés dans un coffre-fort crypté, mais j'utilise également Touch ID pour me connecter à des comptes sur mon téléphone, ce qui est à la fois plus sécurisé et plus facile que de devoir mémoriser un million de mots de passe différents.

3. Obtenez le vol d'identité d'entreprise. protection : Beaucoup de gens ne savent pas que les entreprises ont besoin d'une protection contre le vol d'identité ainsi que les individus. Les services de protection contre le vol d'identité analysent un certain nombre de domaines à la recherche d'informations identifiables sur les entreprises, comme leur numéro d'identification fiscale. Lorsque notre messagerie professionnelle a été impliquée dans une violation de données de Poshmark, nous avons immédiatement reçu des alertes sur nos téléphones et modifié notre mot de passe.

4. Utilisez un logiciel antivirus : Pour vous protéger contre les logiciels malveillants, il est important d'avoir tous appareils liés au travail téléchargés avec un logiciel antivirus. De nombreux services incluent également une protection contre le phishing, le suivi des publicités et même les appels indésirables. J'avais l'habitude de recevoir plusieurs appels de spam par jour, ce qui me rendait fou, mais avec un logiciel antivirus, j'en reçois de moins en moins.

5. Former les employés : Cela devrait être assez évident, mais certaines entreprises lésinent sérieusement sur la formation des employés sur la façon de protéger les données des entreprises et des clients. À tout le moins, formez vos employés sur la façon de reconnaître les liens et les e-mails de phishing, car ce sont les moyens les plus courants de piratage.

Bindu Sundaresan, AT&T Cybersecurity

1. Créez une stratégie offensive avec un état d'esprit axé sur la sécurité : Supposez que vous êtes déjà piraté. De tout temps. Si une entreprise construit ses opérations et sa défense avec cette prémisse à l'esprit, les chances d'aider à détecter ces types d'attaques et de prévenir les violations sont beaucoup plus grandes que pour la plupart des organisations d'aujourd'hui.

2. La gestion formelle des vulnérabilités n'implique pas simplement l'action de corriger et de reconfigurer les paramètres non sécurisés : La gestion des vulnérabilités est une pratique disciplinée qui nécessite un état d'esprit organisationnel au sein de l'informatique selon lequel de nouvelles vulnérabilités sont découvertes quotidiennement, nécessitant une découverte et une correction continuelles

3. La gouvernance des données est nécessaire pour fournir et protéger des données de haute qualité tout au long du cycle de vie de ces données : Cela inclut l'intégrité des données, la sécurité des donnéesla disponibilité et la cohérence. Les politiques du programme de gouvernance des données doivent inclure :

• Délimiter la responsabilité des personnes responsables des données et des actifs de données

• Fournir des contrôles d'intégrité pour assurer la qualité et l'exactitude des données

• Identifier les garanties pour protéger les données

• Déterminer qui peut prendre quelles actions, avec quelles données, dans quelles circonstances, en utilisant quelles méthodes.

• Attribuer aux niveaux appropriés de l'organisation la responsabilité de gérer et de protéger les données

4. La marque d'une organisation est un atout précieux, mais c'est aussi une excellente surface d'attaque. Les acteurs de la menace exploitent la confiance du public dans cette marque lorsqu'ils hameçonnent sous le nom de l'organisation ou lorsqu'ils contrefaçons ses produits. Le problème devient plus difficile lorsqu'une organisation s'engage avec le monde sur autant de plateformes numériques  — le Web, les médias sociaux, les applications mobiles. Ces engagements sont évidemment cruciaux pour une entreprise. Donc, quelque chose d'autre devrait également être évident : protéger la « confiance numérique » d'une organisation — la confiance du public dans la sécurité numérique de l'entreprise —est un élément décisif pour une entreprise, et pas seulement une partie d'une liste de contrôle de conformité.

5. Construire une culture de sécurité demande du temps et des efforts. De plus, une formation de sensibilisation à la cybersécurité devrait être régulière  —  une fois par trimestre au minimum  —  où il s'agit d'une conversation continue avec les employés. Un seul et fait ne suffira pas. Les gens ont la mémoire courte, donc la répétition est tout à fait appropriée lorsqu'il s'agit d'un sujet si stratégique pour l'organisation. Cela doit également faire partie d'un effort descendant plus large commençant par la haute direction. Une formation de sensibilisation doit être intégrée à toutes les organisations, et pas seulement limitée à la gouvernance, à la détection des menaces et aux plans de réponse aux incidents. La campagne devrait impliquer plus que de servir des règles, séparées de la réalité commerciale plus large. Cela signifie inculquer un état d'esprit axé sur la sécurité pour aider à protéger une entreprise et obtenir de meilleurs résultats commerciaux. La sécurité appartient à chaque employé de l'entreprise, de la suite C au stagiaire saisonnier  —  chaque employé possède une parcelle de la surface d'attaque exposée, mais les programmes de sécurité fonctionnent mieux lorsque tout le monde comprend que la sécurité rend l'entreprise plus forte et leur travail plus facile.

Newt Higman, Sharp Electronics

1. Assurez-vous d'avoir une protection multicouche pour sécuriser tous les aspects de votre entreprise : Une évaluation des risques du réseau peut vous aider à découvrir les lacunes de votre cybersécurité.

2. Former, former, former vos employés : Les pirates utilisent des tactiques telles que le phishing pour amener vos employés à leur donner accès à votre réseau  —  et ils ne font que s'améliorer.

3. Ayez un plan de réponse aux incidents : Comme vous l'auriez fait. un plan d'évacuation en cas d'urgence, vous avez besoin d'un plan de réponse aux incidents qui détaille chaque étape que votre entreprise doit prendre en cas de violation.

4. Sachez que tout le monde est une cible : Les grandes entreprises sont une évidence. cible en raison des possibilités de paiement, cependant, les petites et moyennes entreprises (PME) sont particulièrement sensibles aux menaces de cybersécurité. En effet, elles manquent souvent des ressources des grandes entreprises pour investir dans des solutions plus sophistiquées et plus complètes.

5. Sachez que vous n'êtes pas seul : Si votre service informatique est à court de ressources, faites appel à un fournisseur de services gérés (MSP). En fait, Sharp a récemment mené une enquête qui a révélé que 90 % des petites et moyennes entreprises utilisent ou prévoient d'utiliser un MSP aujourd'hui. Le partenariat avec MSP est plus abordable que vous ne le pensez, surtout par rapport au coût d'une cyber-attaque.

Doug Clare, FICO

1. Adoptez une approche basée sur les risques face aux défis liés à la cybersécurité : Les organisations doivent évaluer en permanence les mesures de prévention de la cybersécurité qu'elles prennent. Il n'est pas rare que les organisations épuisent toutes leurs ressources en étant occupées par des activités de sécurité quotidiennes, mais l'important est de prendre du recul pour évaluer les actifs les plus importants, en veillant à ce qu'ils bénéficient de la protection appropriée. Les organisations doivent élargir leur réflexion et s'assurer qu'elles s'engagent dans une approche de protection basée sur les risques, ce qui signifie comprendre où se trouvent les zones à haut risque et concentrer davantage d'activités sur ces zones.

2. Évitez une mentalité de « liste de contrôle » : Il peut être facile pour les organisations de tomber dans une mentalité de « liste de contrôle ». L'un des principaux défis auxquels les organisations ont été confrontées en matière de cybersécurité est qu'elles ont permis à l'activité ou au « être occupé » d'être un substitut à l'efficacité. Certaines cyber-équipes font tout — elles pilotent tous les correctifs, mettent à jour tous les certificats, répondent à toutes les vulnérabilités, etc. Cependant, elles ne prennent pas de recul sur ces activités pour savoir où elles courent le risque, afin qu'ils puissent doubler la mise dans ces domaines à haut risque.

3. Les temps changeants nécessitent une diligence accrue : Avec les employés travaillant à distance et la liste des fournisseurs et des partenaires tiers avec lesquels les organisations travaillent également changeant en fonction de nouveaux besoins, c'est le moment opportun pour les mauvais acteurs de faire grève. Les organisations doivent être encore plus réfléchies dans la surveillance des vulnérabilités pendant les périodes de changement intense comme maintenant, car il y a une probabilité accrue de nouvelles expositions à la sécurité.

4. La convergence est roi : Le risque peut signifier différentes choses pour différentes organisations, mais en général, il y a été un mouvement vers la convergence des domaines clés au sein d'une organisation qui peut être victime d'infractions ou de délits. Cela inclut des domaines tels que le cyber-risque, la fraude, la conformité et, le cas échéant, la criminalité financière. Cette tendance est certainement quelque chose que les principaux décideurs doivent prendre en compte, car il existe un réel avantage à partager des informations au sein de ces départements, ce qui peut empêcher les violations et les fraudes.

5. Connaissez votre réseau : Assurez-vous de tenir compte de tout ce dont vous êtes censé être responsable. Cela va au-delà du cyber-risque et de la sécurité du réseau  —  cela peut également être un problème de sécurisation des portefeuilles de produits ou de clients. Nous trouvons, et nous entendons beaucoup d'histoires à propos d'organisations qui sont fréquemment exploitées dans le domaine qui ne les dérange pas… le peu qui a été oublié. Un inventaire des risques bien documenté peut être un atout important, car la chaîne n'est aussi solide que le maillon le plus faible.

Raju Vegesna, Zoho

1. Utilisez des bloqueurs de publicités et des plug-ins anti-pistage sur les navigateurs Web : Bien sûr, la plupart des sites Web que nous apprécions sont gratuits, mais la plupart des produits gratuits ont toujours un prix, et cela se présente sous la forme d'annonces. Aussi inoffensives que soient de nombreuses publicités en ligne, certaines fenêtres contextuelles ont tendance à surcharger votre navigateur et peuvent devenir extrêmement frustrantes. Les cookies et autres traqueurs publicitaires sont connus pour être des menaces de cybersécurité et affaiblir votre confidentialité en ligne. Les bloqueurs de publicités sont parfaits pour protéger votre vie privée en ligne. Les bloqueurs de publicités et les applications anti-pistage plus avancés vous permettent de bloquer les publicités irritantes, de rendre votre ordinateur plus fluide et d'arrêter ces pop-ups ennuyeux.

2. Vérifiez soigneusement les accords d'utilisation et prenez les décisions logicielles en conséquence : Une chose qui rend la confidentialité des consommateurs très délicate, c'est que les consommateurs signent des termes et conditions qui permettent à ces entreprises de collecter des quantités massives de données et de vendre ces données. Donc, techniquement, ce qu'ils font est légal. Mais si les consommateurs et les entreprises prenaient le temps de lire attentivement ces termes et conditions et accords d'utilisation, je pense qu'ils trouveraient beaucoup de choses avec lesquelles ils sont en désaccord, et peut-être plus prudents avec le logiciel qu'ils se sentent à l'aise de télécharger. Vous ne pensez peut-être pas que vous êtes vulnérable, mais tout ce qui est connecté au réseau de votre organisation constitue une menace potentielle pour vous et votre entreprise.

3. Désactivez les services de localisation et de localisation inutiles sur les téléphones et les ordinateurs : Les applications et même les services sur votre smartphone surveille constamment vos emplacements et de nombreux consommateurs ne le savent même pas. Bien sûr, bien que le suivi de localisation puisse être pratique, il s'agit également d'un énorme problème de confidentialité et de sécurité. Il existe de nombreux articles en ligne sur la façon de désactiver ces fonctionnalités et je vous recommande vivement de les désactiver et de vous assurer que vous accordez la priorité à votre vie privée.

4. Désactiver le partage d'informations sur les sites Web dans la mesure du possible : La plupart Les sites Web sur Internet collectent en permanence des données et des informations. Certains sites Web peuvent même collecter des données à partir de vos onglets ouverts, donc si vous vous souciez de contrôler qui utilise vos données, prenez le temps de comprendre quelles informations vous donnez. Vous pouvez utiliser des sites Web tels que « Simple Opt Out » qui permettent aux consommateurs de refuser plus facilement le partage de données avec plus de 50 entreprises. Par exemple, vous ne réalisez peut-être pas que Chase Bank peut partager les soldes de vos comptes et l'historique des transactions avec des non-affiliés pour vous commercialiser. De même, Crate & Barrel peut partager vos informations personnelles sur les clients, telles que les transactions, les e-mails et l'adresse personnelle avec d'autres sociétés sélectionnées.

5. Les chefs d'entreprise doivent investir dans des solutions logicielles à distance qui protègent la confidentialité et les données des employés : Avec 2020 forçant la plupart entreprises vers le travail à distance, le besoin de solutions logicielles à distance s'est accru, exposant un nouveau domaine à la confidentialité et à l'utilisation abusive des données. Au fur et à mesure que nous nous adaptons à la « nouvelle normalité », les préoccupations en matière de sécurité et de confidentialité des entreprises doivent devenir une priorité. Les activités malveillantes des pirates, les escroqueries par hameçonnage et bien d'autres encore deviennent de plus en plus intelligentes et fréquentes. Les entreprises doivent considérer les logiciels à distance non seulement comme un outil pour aider les employés à rester productifs, mais aussi pour assurer la sécurité et la sûreté de l'entreprise et de ses employés. 2020 a révélé les failles de la sécurité et de la confidentialité des logiciels et nous a montré que nous ne pouvons plus ignorer l'importance de protéger les informations.

Michael Zachman, Zebra Technologies

1. Connaissez votre environnement : Il est extrêmement difficile de protéger ce que vous ne savez pas que vous possédez. Cela semble très basique, mais c'est un problème courant pour les entreprises. Tenir une liste à jour des systèmes, applications et périphériques est une tâche étonnamment difficile. Savoir quels systèmes sont les plus importants est encore plus difficile, mais disposer d'un inventaire hiérarchisé des actifs numériques est la base de la conception et de l'exécution d'un programme de sécurité. Imaginez que c'est votre travail d'assurer la sécurité d'un groupe d'écoliers lors d'une sortie scolaire, mais vous n'avez pas de liste de ceux qui participent au voyage. Cette liste est probablement la première chose que vous demanderiez avant de quitter l'école.

2. Connaissez vos défenses : En fonction de votre inventaire, vous devez vous assurer que vous avez pris les mesures appropriées pour protéger vos actifs. « Approprié » est un mot important car tous les actifs ne doivent pas être protégés de la même manière. Pour utiliser un exemple courant, la «recette de Coca-Cola» d'une entreprise devrait être hautement protégée, contrairement à son menu de cafétéria. Recherchez constamment des lacunes dans vos défenses. Après tout, c'est ce que font les cybercriminels. Si vous verrouillez 99 fenêtres sur 100, les cybercriminels découvriront qu'une fenêtre est déverrouillée. Soyez toujours à l'affût de votre maillon le plus faible afin de pouvoir le renforcer.

3. Assurez-vous de gérer vos alertes : Les meilleures défenses échoueront parfois. Un bon programme de cybersécurité est équipé de nombreuses alertes pour indiquer les défaillances potentielles. La clé est de gérer ces alertes à la bonne sensibilité. Une erreur courante est d'avoir des alertes trop sensibles, créant de nombreux faux positifs. Non seulement les faux positifs sont coûteux à suivre, mais ils conduisent généralement à une propension à ignorer ou à manquer des alertes liées à de véritables pannes. De nombreuses analyses post-violation ont montré qu'une ou plusieurs alertes ont été déclenchées très tôt dans la violation, mais qu'elles ont été manquées ou ignorées à ce moment-là.

4. Pratiquez votre réponse : Les entreprises auront un incident/une violation de sécurité. Ce n'est qu'une question de temps, donc tout bon programme de cybersécurité comprend une réponse efficace aux incidents. Comme je l'ai mentionné plus tôt, l'une des parties les plus critiques de la réponse aux incidents est les efforts de pré-planification qui se produisent en prévision d'une future violation. C'est dans ces activités de pré-planification que les entreprises ont les meilleures chances d'assurer une réponse rapide et efficace à un incident/atteinte à la sécurité. Pensez aux exercices d'incendie; le moment de déterminer les voies d'évacuation n'est pas lors d'un véritable incendie. Il ne suffit pas d'avoir planifié ces itinéraires ; nous sommes tenus de les pratiquer via des exercices d'incendie.

5. Bien communiquer : Les gens assimilent la sécurité au secret, et il y a une part de vérité derrière cela. Cependant, de bons programmes de cybersécurité doivent également être correctement transparents. Par exemple, les dirigeants doivent connaître et comprendre les risques de cybersécurité auxquels l'entreprise est confrontée. Un programme efficace n'exagère pas les risques en diffusant FUD (Fear, Uncertainty, and Doubt) dans l'espoir d'obtenir plus de budget. Un programme de cybersécurité efficace ne sous-estime pas non plus les risques d'obtenir de bonnes notes ou d'éviter les conversations difficiles. La transparence est primordiale dans les relations avec les parties prenantes externes. Les approches passées des démentis et des divulgations au public de violations « enrobées de sucre » se sont souvent avérées plus préjudiciables à l'entreprise que la violation elle-même. Comme le dit l'adage, « ce n'est pas le crime, c'est la dissimulation » ; il en est souvent de même pour les incidents/violations de sécurité. Les parties prenantes externes sont bien plus avisées que les entreprises ne le croient ; ils sont capables de comprendre les faits, bons et mauvais, concernant les incidents de sécurité. Dans certains cas, des entreprises et des dirigeants ont été trouvés en train de dissimuler des activités illégales à des cadres supérieurs pour couvrir des violations majeures de données ou d'autres entraves à la justice.

Satya Nanda, Fujitsu Americas

1. Ne laissez pas le parfait être l'ennemi du bien : Bien que l'ambition de créer un programme complet de sécurité et de confidentialité « parfait » soit honorable, je recommanderais de commencer petit, avec une auto-évaluation de base de sécurité pour comprendre et combler les lacunes les plus critiques par phases.

2. Automatiser, automatiser, automatiser : Avec autant de nouveaux outils et technologies désormais disponibles  — y compris Robotic Process Automation (RPA) —  pour automatiser les tâches de base telles que la gestion des vulnérabilités et les correctifs, plus Les ingénieurs ont du temps libre pour se concentrer sur des travaux d'analyse et de correction complexes.

3. Rechercher une aide externe : Pour la plupart des entreprises, disposer en interne de toutes les compétences en matière de sécurité et de confidentialité est prohibitif. Faites appel à des consultants externes et à des fournisseurs de MSS si nécessaire pour combler les lacunes.

4. Mettez en œuvre un modèle de confiance zéro : Le travail à distance étant la nouvelle norme, les exigences d'accès aux identités sont inversées, avec plus d'utilisateurs, d'appareils, d'applications et données situées à l'extérieur d'une entreprise qu'à l'intérieur. Assurez la sécurité de vos opérations et de vos clients en mettant en œuvre un modèle de confiance zéro pour les appareils.

5. Concentrez-vous sur la cybersécurité éducation sur les travailleurs à distance : Avec les changements apportés à la façon dont nous travaillons pendant cette pandémie, les cybercriminels cherchent à exploiter les vulnérabilités du travail à distance. Les organisations doivent s'assurer que les employés font leur part pour assurer la sécurité de l'entreprise tout en travaillant depuis leur bureau à domicile.

Robbert Emery, NEC X

Au risque d'énoncer une évidence, il est important pour les entreprises d'adopter une approche holistique de la confidentialité des données et de la cybersécurité. Cela signifie tirer parti des avantages concurrentiels des aspects humains et informatiques en établissant un système robuste et durable de confidentialité des données et de cybersécurité.

1. Responsabilité : La mise en œuvre d'une solution holistique et robuste est complexe et dynamique, et ses exigences continuent d'être évoluer avec les nouvelles directives fédérales; y compris les modifications apportées aux directives existantes et le suivi des politiques de l'entreprise. Par conséquent, la responsabilité à laquelle je fais référence est descendante  —  fournir les bons outils et les moyens de garantir que les gestionnaires de données de l'entreprise peuvent sécuriser leurs propres données tout en veillant à ce que les outils soient adaptables à l'environnement en évolution rapide de la confidentialité des données et de la cybersécurité.[19659079] Motivation : Les violations de données, les fuites et les utilisations abusives sont des problèmes bien trop courants. Lorsqu'ils se produisent, les équipes réseau et sécurité des données doivent être motivées pour relever tous les défis qui se présentent, et elles doivent être conscientes des conséquences des retards ou de l'exécution du plan d'incident de sécurité hors séquence. Il est important de conseiller l'équipe sur les conséquences.
2. Faire connaître les conséquences : Les coûts élevés que les abus et les fuites de données ont sur la productivité, l'exposition des entreprises à des amendes et les graves dommages qui pourraient être causés à la La santé de crédit d'un jeune adulte entrant sur le marché du travail ou des études supérieures sont les principales raisons pour lesquelles les entreprises assurent la responsabilisation de leurs équipes de sécurité.
3. Un système fermé : En plus des aspects humains, il y a l'informatique aspects du système, où la semi-automatisation et un système fermé renforcent la mise en œuvre de la confidentialité des données et de la cybersécurité de l'entreprise. Ce que je veux dire ici, c'est que l'utilisation d'une plate-forme et de modèles d'IA permet aux entreprises de se conformer aux nombreuses directives régionales protégeant les données personnelles et des consommateurs.
4. Semi-automatisation : Ce type d'appliance analyse diverses données d'entreprise. lacs (et autres sources de données) pour les types de données, et les PII en particulier, telles que définies dans les directives sur la protection des données. Il applique ensuite les recours conformément aux directives. Parce que ce système est programmable, les changements de politiques ou de directives sont facilement adoptés dans le cadre du modèle d'IA. Cela permet de recycler le système et de redéployer la solution mise à jour en quelques jours.

Marijus Briedis, NordVPN

1. Connaître votre flux de données : C'est une tâche incroyablement difficile pour les grandes organisations, mais vous devez savoir quelles données vont où et pourquoi. Connaître tous les « canaux » et « flux » vous permet d'inspecter, d'analyser et de détecter les anomalies plus rapidement.

2. Crypter les données en cours de transfert : L'utilisation de protocoles anciens et non cryptés pour les transferts de données est un chemin direct vers un désastre, même si vous les utilisez dans des environnements isolés. Les attaques MITM peuvent passer inaperçues pendant longtemps, et si les données sont reniflées, cela peut être une mine d'or qui permettra à un attaquant de pénétrer dans d'autres systèmes. Le cryptage des données et l'utilisation de protocoles modernes empêchent les cyberattaques.

3. Crypter les données au repos : Vous devez non seulement savoir où vos données sont stockées et situées physiquement, mais vous devez également vous assurer qu'elles sont cryptées. À un moment donné de ma carrière, j'ai reçu une alerte indiquant qu'un des disques durs indiquait une erreur sur un contrôleur RAID. Il est revenu à un état normal en 10 minutes, mais le numéro de série du disque était différent. Après une longue conversation avec le fournisseur, ils ont dit qu'ils "devaient le changer". J'ai été soulagé que toutes les données soient cryptées.

4. Mettez à jour les logiciels et les technologies que votre entreprise utilise : Maintenir les logiciels à jour est un N'oubliez pas que MD5 n'est pas le hachage que vous devriez toujours utiliser pour crypter vos mots de passe dans la base de données   —  il existe des alternatives meilleures et plus solides.

5. Éduquer vos employés sur la cybersécurité : Une formation régulière est importante pour tout le monde, qu'il s'agisse d'un comptable non technique ou d'un développeur geek. En fin de compte, le maillon faible de la cybersécurité est entre le président et l'ordinateur.