Site icon Blog ARC Optimizer

Sécurité et innovation: le processus d'équilibrage le plus délicat de l'informatique


À première vue, le déploiement de mesures de cybersécurité et la poursuite de l'innovation peuvent sembler s'exclure mutuellement. Les stratégies visant à renforcer la sécurité visent à réduire les risques, tandis que les efforts d'innovation nécessitent d'être ouverts à la prise de risques.

Mais les entreprises trouvent des moyens de lancer de nouvelles initiatives commerciales numériques innovantes tout en prenant des mesures pour protéger les données et autres actifs informatiques. Ce faisant, ils établissent des voies vers de nouveaux revenus, une meilleure expérience client et de nouvelles opportunités de marché, tout en renforçant les exigences de sécurité, en protégeant les systèmes et les données et en restant conformes aux réglementations.

Après tout, c'est la formule pour succès dans l'environnement commercial d'aujourd'hui: Poussez les initiatives transformatrices qui englobent des technologies innovantes telles que le cloud, la technologie mobile, l'intelligence artificielle, l'analyse des données et l'Internet des objets (IoT) d'une manière qui assure la sécurité des systèmes et des données précieux. [19659002] Pour ce faire, les entreprises d'aujourd'hui doivent trouver des moyens de trouver un équilibre entre se démarquer de la concurrence, expérimenter de nouvelles technologies, apporter des preuves de concept à la production, et ainsi de suite, avec la pratique la plus averse au risque de garantir ces technologies.

Dans certains cas, cela pourrait impliquer une augmentation du budget et des ressources pour la sécurité de tous les systèmes; dans d'autres, cela pourrait signifier la mise de côté du budget et des ressources pour garantir des jeux d'innovation pure. Quoi qu'il en soit, l'objectif est d'être innovant mais d'une manière sûre et sensée.

Voici quelques exemples de la façon dont les entreprises tentent d'équilibrer l'innovation et la sécurité, que ce soit pour des projets spécifiques ou comme pratique générale.

Déploiement de nouveaux services en ligne tout en préservant la sécurité des données

Les établissements d'enseignement supérieur doivent se soucier du respect de la loi sur les droits éducatifs et la vie privée des familles (FERPA), une loi visant à protéger la confidentialité des données des étudiants.

«Bien que la conformité soit depuis longtemps une priorité, les systèmes d'information sur les étudiants traditionnels sur place et les données [were] généralement enfermés dans ces systèmes et fichiers, sans se soucier de l'accès du monde extérieur », explique Bill Balint, CIO à l'Indiana University of Pennsylvania (IUP). [19659010] "Mais avec l'avènement de l'accès basé sur le Web à des systèmes sécurisés, la perspective de violations de sécurité à grande échelle et d'expositions de données a fait de la conformité à la FERPA une priorité beaucoup plus élevée", dit Balint.

T Le problème s'est intensifié, car l'enseignement supérieur a été transformé en une opération beaucoup plus commerciale, dit Balint. "Les institutions, qui s'efforcent d'atteindre les objectifs d'inscription et de réussite des étudiants, se sont de plus en plus tournées vers des services de mise en œuvre rapide basés sur le cloud dans des domaines tels que la gestion de la relation client et les solutions d'analyse de données", dit-il.

Une telle technologie, à laquelle l'IUP accède via Les services d'abonnement basés sur le cloud permettent à l'université d'offrir des services innovants tels que la création de packages d'aide financière optimisés et personnalisés et une analyse académique personnalisée qui peuvent aider à attirer puis à retenir les étudiants qui réussissent.

«Mais pour ce faire, le les fournisseurs exigent généralement [that] des charges de données académiques et / ou financières sensibles sur l'étudiant qui doivent être importées dans des applications cloud contrôlées par le fournisseur », explique Balint. «De telles activités retirent un certain contrôle de sécurité à l'institution. Au lieu de cela, l'institution doit souvent «prendre la parole contractuelle» du vendeur que les données sensibles seront sécurisées à la fois en transit et au repos. »

Pour s'assurer que les données sensibles ne sont pas exposées, la première étape que l'IUP a prise a été de considérer les implications en matière de sécurité et de confidentialité des services basés sur le cloud et ne partager que les données essentielles à la fonctionnalité d'un outil.

«Par exemple, il serait important de partager des informations de qualité avec un fournisseur dont l'outil est axé sur la réussite scolaire». Dit Balint. «Mais les numéros de sécurité sociale n'ont aucune valeur et ne doivent pas être partagés.»

Au-delà de cela, IUP exige que tous les fournisseurs de cloud avec lesquels il travaille répondent aux normes de l'industrie en matière de confidentialité et de sécurité des données, via un contrat et un service formels – accords de niveau (SLA).

"Très peu d'établissements d'enseignement supérieur peuvent obtenir l'expertise interne pour remplir les fonctions de ces prestataires, mais les services qu'ils fournissent sont de plus en plus essentiels à la viabilité de nombreuses institutions", dit Balint. «L'industrie doit continuer à faire évoluer les meilleures pratiques qui protègent les données sensibles et confidentielles.»

Intégrer la sécurité dans une nouvelle application mobile

Fin 2019, l'État du Colorado a annoncé le lancement de Colorado Digital ID dans son application mobile myColorado pour transformer la façon dont les résidents interagissent avec le gouvernement de l'État. La vision de myColorado est de fournir aux résidents de l'État une solution mobile innovante, sécurisée et pratique grâce à laquelle ils peuvent se connecter à l'identité numérique et aux services gouvernementaux.

«Notre objectif est de faciliter la tâche des résidents qui souhaitent faire des affaires avec l'État. – comme le renouvellement de leur permis de conduire – en les connectant aux services via une plateforme mobile centrale », explique Deborah Blyth, CISO pour l'État du Colorado. "Cela élimine la nécessité de visiter un bureau d'État, réduisant ainsi le temps et les coûts de transport pour les résidents et, en fin de compte, contribuant à la satisfaction des clients."

Depuis le lancement public en octobre, plus de 30 000 résidents ont téléchargé l'application myColorado.

Le gouvernement de l'État se rend compte que gagner et maintenir la confiance du public est primordial pour assurer l'adoption généralisée de tout produit ou service offert aux résidents, dit Blyth, et cela est mieux accompli en s'assurant que la sécurité est un élément essentiel dans le développement d'applications.

Informations personnelles dans myColorado est protégé par une authentification multifacteur et un cryptage des données pour la confidentialité et la sécurité dans toute l'application. De plus, myColorado utilise l'authentification, la validation et la fédération des utilisateurs à plusieurs niveaux pour garantir l'identité de l'utilisateur, dit Blyth.

«Puisque l'époque myColorado n'était qu'une idée, un architecte de la sécurité a joué un rôle essentiel dans la conception de l'application. équipe », dit Blyth. «Dès le début du projet, il était nécessaire de valider l'identité de l'utilisateur mobile pour faire correspondre cet utilisateur aux informations appropriées contenues dans les systèmes d'État.»

D'autres considérations comprenaient la garantie d'un accès continu aux informations de l'utilisateur avec une authentification appropriée pour empêcher l'accès non autorisé, et évaluer et choisir un fournisseur de paiement pour traiter les paiements en toute sécurité.

L'équipe de développement a effectué des tests pour s'assurer que l'application mobile et les serveurs principaux étaient exempts de vulnérabilités qui pourraient être exploitées et donc conduire à des données sensibles étant exposé. Des précautions supplémentaires ont également été prises pendant le processus de développement pour empêcher les développeurs d'accéder aux données sensibles, explique Blyth.

Un facteur clé du déploiement réussi des fonctionnalités de sécurité de myColorado était que toutes les exigences de sécurité étaient convenues et intégrées à l'application via un processus itératif comme il a été conçu et construit, dit Blyth.

«Le fait d'avoir un architecte de sécurité en tant que participant actif et égal de l'équipe d'innovation a garanti que des critères de sécurité importants étaient intégrés dès le début, plutôt que simplement considérés comme une case à cocher à la fin du cycle de développement », dit-elle.

Adopter une approche expérimentale de l'innovation informatique

OC Tanner, qui offre aux clients des services de reconnaissance et de récompense des employés, lance des projets utilisant des technologies ou des méthodologies plus récentes telles que l'IA, l'impression 3D et DevOps. Ce faisant, il suit un certain nombre de pratiques pour garantir que les données et les systèmes sont sécurisés et que la confidentialité est préservée, tout en n'étouffant pas l'innovation.

L'une des plus importantes est de traiter les nouvelles initiatives informatiques comme protégées, expériences scientifiques. O.C. Tanner effectue des essais technologiques de petite taille et qui utilisent les processus et outils existants de l'entreprise, et il isole ces efforts des entités extérieures à l'organisation.

«Si l'une de nos expériences présente ou crée une vulnérabilité, nos processus existants devraient trouver la vulnérabilité », Déclare Niel Nickolaisen, vice-président directeur et directeur informatique. «Mais sinon, la vulnérabilité ne met pas le reste de notre monde en danger.»

Parfois, une vulnérabilité peut amener l'entreprise à annuler l'expérience ou à trouver des moyens de résoudre ou de contourner le problème. «Dans un cas, nous expérimentions une nouvelle technologie, découvrions certains problèmes et travaillions ensuite avec le fournisseur [startup] pour résoudre les problèmes», explique Nickolaisen.

Alors que les expériences réussissent certains points de preuve, qui varient selon le type de la technologie et l'expérimentation, «nos normes pour la valeur de production de l'échelle d'expérimentation, et donc les exigences deviennent plus strictes», dit Nickolaisen. «Avant que quoi que ce soit soit publié dans nos environnements de production, il doit respecter nos normes – et ces normes incluent la sécurité [and] de la confidentialité.»

Dans un exemple, O.C. Tanner était convaincu qu'il disposait de suffisamment de données pour pouvoir fournir aux clients un aperçu de certaines des causes

du roulement de personnel. Pour le prouver, il devait utiliser les données des employés clients, qu'il devait sécuriser, afin de créer des algorithmes d'IA / machine learning basés sur le cloud.

«Pour commencer petit, nous avons anonymisé un sous-ensemble de nos données client et les premières preuves de concept dans le service cloud », explique Nickolaisen. «Les résultats étaient suffisamment encourageants pour que nous pensions que nous devrions aller de l'avant. Mais, à un moment donné, nous aurions besoin d'utiliser des données réelles, non anonymisées. »

Comme O.C. Tanner a étendu l'expérience, il a également évalué les processus de sécurité et de confidentialité des services d'IA cloud et d'apprentissage automatique disponibles. «En parallèle, nous avons travaillé avec nos clients afin qu'ils puissent participer à notre évaluation des pratiques de sécurité / confidentialité des fournisseurs de cloud», explique Nickolaisen. «Nous avions besoin qu'ils soient aussi à l'aise que nous l'étions avec nos choix.»

Un autre exemple concerne le processus et les outils DevOps que l'entreprise utilise. Pour s'assurer que le processus DevOps répondait à ses normes de sécurité mais permettait toujours des déploiements rapides, O.C. Tanner voulait créer un certain type d'automatisation afin que les créateurs de nouveaux services et fonctionnalités puissent auto-déployer uniquement les modifications qui ont été pré-approuvées.

"Cette fonctionnalité requise ou un outil que nous n'avions pas", dit Nickolaisen. O.C. Tanner a trouvé un tel outil, mais il provenait d'une startup à un stade précoce et présentait donc un certain risque. «Nous avons fait une expérience avec leur outil pour évaluer leur fonctionnalité», dit-il. «Lorsque cette expérience a été couronnée de succès, nous avons commencé à appliquer nos normes de qualité de production et identifié des lacunes de sécurité et de certification dans leur produit.»

O.C. Tanner a ensuite travaillé avec l'entreprise pour résoudre les problèmes avant de passer à la production.

Prioriser l'expérience client – et la protection des données

Assurance mondiale pour les employés des agences publiques (WAEPA), un fournisseur d'assurance-vie temporaire collective, a un objectif

"Au fur et à mesure que les services et les outils numériques évoluent, WAEPA se rend compte de la nécessité de transformer et d'élever chaque plate-forme et chaque point de contact dans l'expérience utilisateur", explique Brandon Jones, CIO.

Avoir une forte présence numérique est fondamental pour répondre à cette vision, dit Jones. Pour renforcer sa présence en ligne, l'organisation a d'abord mené une étude d'utilisabilité, analysant l'état actuel de l'expérience numérique des clients

effectuant des tests d'utilisabilité et des entretiens avec les utilisateurs, et synthétisant les données pour identifier les tendances, les modèles et les similitudes entre les informations collectées. .

La recherche et l'analyse ont mis en évidence des opportunités d'amélioration de l'utilisabilité, permettant à WAEPA de générer un ensemble de résultats et de recommandations. passer à travers au cours d'une transaction, ce qu'ils attendent à chaque étape, quelles questions ils ont à chaque étape et ce qu'ils ressentent à chaque étape.

«Cet exercice nous a permis d'identifier les mesures prises par nos membres pour s'engager avec notre produits et services, ainsi que les liens vers d'autres parties de leurs voyages, les possibilités d'amélioration et les domaines où les étapes doivent être combinées ou fractionnées t », dit Jones. «En traçant méthodiquement les étapes de nos membres, nous avons pu utiliser cet exercice comme outil de diagnostic.»

La WAEPA a commencé à construire un nouveau site Web et un portail des membres en tirant parti des résultats de l'étude de convivialité et de la cartographie du parcours client. Les objectifs du nouveau site étaient de mieux informer les utilisateurs sur les produits et le processus de demande; améliorer la cohérence et la facilité d'utilisation sur l'ensemble du site; fournir des outils et des informations en libre-service afin que les utilisateurs puissent prendre des décisions éclairées; et «humaniser» l'expérience pour aider, guider et rassurer les utilisateurs en ligne.




Source link
Quitter la version mobile