Établir la confiance et le contrôle à l’ère de la réglementation sur la confidentialité des données

L’un des éléments les plus importants de la confidentialité et de la sécurité des données est la conformité aux réglementations qui exigent la protection des informations.

Les régulateurs veulent voir la transparence et la contrôlabilité au sein des organisations, car c’est ce qui les rend dignes de confiance du point de vue de la confidentialité et de la sécurité des données. Idéalement, les organisations déploieront des systèmes qui fournissent des preuves irréfutables pour étayer leurs affirmations selon lesquelles elles répondent à leurs exigences pour fournir la protection et les performances dont les parties prenantes ont besoin.

La protection des données contre le vol et l’utilisation abusive est depuis longtemps le domaine des responsables de la cybersécurité et des technologies de l’information. Mais aujourd’hui, c’est vraiment une préoccupation pour l’ensemble de la C-suite et, dans de nombreux cas, le conseil d’administration, qui sont tous bien conscients des répercussions d’une violation de données et du non-respect de la réglementation.

Il y a tout simplement trop de risques lorsque les entreprises n’assurent pas un niveau de contrôle et de confiance dans la manière dont elles traitent les données. C’est le cas en raison de plusieurs tendances convergentes :

• La croissance continue du volume de données d’entreprise, y compris une énorme quantité d’informations sur les clients et les employés, dont la plupart sont personnelles et personnellement identifiables.

• L’importance de ces données d’un point de vue stratégique. Les entreprises s’appuient sur les informations qu’elles tirent de l’analyse des données du marché pour obtenir un avantage concurrentiel.

• Un paysage de menaces en constante expansion, avec des cybercriminels de plus en plus sophistiqués et bien financés qui recherchent ces données à des fins lucratives.

• Un «périmètre» d’entreprise en voie de disparition avec l’augmentation des services cloud, du travail à distance et des appareils mobiles utilisés par les employés dans divers endroits. L’idée d’un périmètre fixe protégé par un pare-feu ne s’applique plus à la plupart des organisations.

Au milieu de tout cela, il y a l’augmentation des réglementations gouvernementales conçues pour tenir les organisations responsables de la manière dont elles collectent, stockent, partagent et utilisent les données. Une organisation qui ne se conforme pas à ces réglementations peut faire face à de lourdes amendes et autres sanctions, ainsi qu’à une publicité négative et à des dommages à sa marque.

Gagner en confiance et en contrôle

L’un des défis pour établir le contrôle et la confiance avec les données est le manque de visibilité sur les données : où elles résident, qui y a accès, comment elles sont utilisées, etc. Les organisations doivent connaître leur niveau de risque et comment le risque peut être atténués, ainsi que leur niveau de progrès dans l’amélioration de la sécurité et de la confidentialité des données.

Les terminaux présentent un niveau de cyber-risque particulièrement élevé, en raison des défis liés à la gestion d’un nombre important et croissant d’appareils et d’applications mobiles sur le lieu de travail, ainsi que d’ordinateurs de bureau et d’ordinateurs portables utilisés pour le travail à distance. De nombreux acteurs de la menace ciblent les données d’entreprise pour le vol et l’extorsion, et les terminaux présentent des points d’entrée potentiels dans une organisation.

La la surface d’attaque des terminaux s’est rapidement étendue au cours des dernières années,

grâce en grande partie à la croissance du travail à distance et hybride. Pour de nombreuses organisations, on a le sentiment que la surface d’attaque devient incontrôlable, en raison du défi que représente la visibilité et le contrôle de cet environnement. Ils se rendent compte qu’un seul terminal compromis pourrait entraîner une attaque qui causerait des dommages financiers et de réputation importants.

Malheureusement, peu d’outils sur le marché sont conçus spécifiquement pour surveiller et gérer le cyber-risque de manière unifiée. Les organisations ont dû assembler des solutions ponctuelles pour s’en sortir. Et dans de nombreux cas, ils manquent de données à jour, précises, complètes et contextuelles.

En outre, de nombreuses organisations n’ont pas la capacité de mesurer et de comparer les scores de risque de l’entreprise avec leurs pairs du secteur ; agir rapidement une fois le risque évalué ; fixer des objectifs pour la correction des vulnérabilités ; et hiérarchisez les domaines dans lesquels dépenser des ressources de sécurité limitées.

Afin d’instaurer la confiance et d’obtenir un meilleur contrôle des données, les organisations doivent tirer parti d’une technologie qui leur permet de savoir à quel point leurs actifs critiques sont vulnérables, s’ils atteignent leurs objectifs d’amélioration de la sécurité, comment ils se comparent à leurs pairs du secteur ; et ce qu’ils devraient faire pour devenir plus sûrs.

Idéalement, les outils technologiques devraient être en mesure de fournir aux organisations des comparaisons en temps réel avec des pairs de l’industrie dans des domaines tels que la vulnérabilité des systèmes, les correctifs en attente et le risque de mouvement latéral.

Du point de vue de la visibilité, les outils doivent identifier les failles de vulnérabilité et de conformité sur tous les terminaux utilisés dans une organisation, permettant aux organisations de hiérarchiser les problèmes qui représentent le risque le plus élevé, de visualiser les relations complexes entre les actifs et de recueillir des commentaires en temps réel. Ils doivent être en mesure de suivre chaque actif en collectant des données complètes sur tous les terminaux en temps réel.

En termes de contrôle, les outils de sécurité doivent aider les organisations à réduire considérablement la surface d’attaque en gérant les correctifs, les mises à jour logicielles et les configurations. Les métriques doivent donner une idée claire des progrès au fil du temps et indiquer où des améliorations sont nécessaires.

Du point de vue de la confiance, les outils doivent fournir une vue unique et précise des risques, permettant une notation des risques et des tableaux de bord qui donnent aux dirigeants une idée claire du niveau des risques et de la manière dont ils peuvent être atténués.

Lorsqu’il s’agit d’assurer la conformité aux réglementations sur la confidentialité des données, les responsables de l’informatique et de la sécurité doivent établir la confiance et le contrôle au sein des environnements de leur organisation. C’est le seul moyen de démontrer aux régulateurs, ainsi qu’aux clients, employés et partenaires commerciaux, qu’ils prennent la confidentialité des données au sérieux et prennent les mesures nécessaires.

Les moyens les plus efficaces d’être en conformité tout en améliorant la sécurité des données consistent à obtenir une plus grande visibilité sur l’infrastructure de l’organisation, y compris sur chaque terminal, à évaluer l’efficacité des solutions de sécurité et à apporter les améliorations nécessaires, et à comparer les mesures de risque avec celles d’organisations comparables. .

Évaluez le risque de votre organisation avec le Évaluation des risques liés au tanium. Votre rapport de risque personnalisé comprendra votre score de risque, le plan de mise en œuvre proposé, comment vous vous comparez aux pairs de l’industrie, et plus encore.