Les entreprises du gouvernement fédéral continuent d’élaborer de toutes nouvelles directives en matière de confidentialité personnelle tandis que les utilisateurs finaux succombent à des fautes professionnelles et à des arnaques.
Bill Tolson, vice-président de la conformité et de l’eDiscovery chez Archive360, a investi de nombreuses années consulter les régulateurs et recommander aux entreprises des actions concrètes pour améliorer la confidentialité des informations. Dans cette interview d’Assistance Net Security, il explique comment les entreprises doivent s’assurer que la confidentialité personnelle est intégrée dans le processus de style, les investissements en cybersécurité pour une bien meilleure confidentialité, et bien plus encore.
Quelles actions pratiques devraient suivi par les entreprises pour garantir que la confidentialité personnelle est correctement intégrée dans la procédure de style ? Quels avantages cela aura-t-il à long terme ?
Comprenons l’évolution continue des préoccupations. En règle générale, nous avons vu des organisations établir des procédures pour conserver des dossiers particuliers afin de respecter des mandats spécifiques. Celles-ci ont généralement une portée limitée, affectant peut-être 5 % de toutes les données/enregistrements internes. Maintenant, il s’agit de n’importe quoi : toutes les données d’entreprise, y compris les informations détenues et/ou gérées par les employés sur leurs appareils personnels. De plus, les organisations sont tenues d’enregistrer, d’indexer, de sécuriser et de traiter toutes les informations personnelles en fonction des différentes lois nationales, fédérales et étrangères sur la confidentialité des informations.
Rien de tout cela ne se fera sans les technologies de confidentialité des informations, politiques et processus déployés tôt. Comme l’a rappelé Jen Easterly de CISA, nous devons faire la distinction entre la sécurité par style et la sécurité par défaut.
Pensez à la façon dont cela se joue avec les innovations populaires. Notre expérience chez Archive360 révèle que de nombreuses entreprises poussent les partages de fichiers sur site dans le cloud via Microsoft SharePoint Online. Cela offre deux avantages : il permet un transfert complet vers le cloud et offre un accès renforcé et une sécurité des informations. Ceci est activé en créant un partage de fichiers dans la plate-forme SharePoint Online de l’entreprise, qui permet la synchronisation automatisée de dossiers particuliers sur les systèmes informatiques des travailleurs autant que le partage de fichiers SharePoint. Il place les meilleurs processus au début : des politiques sont établies uniquement pour permettre aux informations sur les membres du personnel d’être conservées dans des dossiers particuliers sur l’appareil de l’employé, qui est régulièrement synchronisé avec SharePoint Online. Ces données peuvent avoir des politiques de conservation/élimination définies pour une gestion continue ; tous les nouveaux fichiers peuvent être analysés à la recherche de matériel PII, et tous les PII peuvent être immédiatement chiffrés, même si des contrôles d’accès basés sur les rôles sont utilisés.
C’est un exemple. Dans tous les cas, des technologies et des procédures doivent être créées pour englober toutes les informations, avec des processus intégrés dès le début pour rationaliser la capture, la numérisation, la conservation, la recherche et la récupération.
Alors que les directives mondiales en matière de sécurité des informations obligeaient les entreprises à accorder plus d’attention à la façon dont ils gèrent les PII, nous constatons toujours des violations massives et des millions de personnes perdent leur vie privée quotidiennement. Les individus auront-ils un jour la possibilité de contrôler la manière dont leurs informations sont utilisées ? Existe-t-il quelque chose qu’ils peuvent faire?
Bien que nous soyons encore loin d’être parfaits, il est bon de voir la confidentialité des données personnelles consacrée en tant qu’être humain. De l’ancêtre GDPR en Europe à l’explosion des exigences au niveau de l’État jusqu’à (peut-être) une exigence nationale, les droits des personnes sont au premier plan.
Cela dit, les lois de l’humanité dictent que nous aurons constamment le mal actions de mauvais acteurs. Ce qui est différent maintenant, c’est que les gens peuvent acquérir plus rapidement des informations sur les organisations qui ont des antécédents de mauvaise sécurité et de violations des informations personnelles et choisir de prendre leur service ailleurs. Sinon, les lois faisant autorité sur la confidentialité des données personnelles et une application agressive qui obligent les entreprises à investir dans des technologies ingénieuses et les meilleures pratiques restent la meilleure solution aux violations de la vie privée.
Ce changement est motivé par des individus très conscients de leurs droits à l’information la vie privée. Tout comme les débats publics aboutissent à de toutes nouvelles lois dans tout le pays, les fournisseurs changent la façon dont ils collectent et utilisent les informations sur les personnes : alerte et collecte de cookies sur les sites, paramètres de confidentialité personnels plus robustes, etc. Ce sont des modifications incrémentielles, mais elles sont prendre de l’élan.
La connaissance est une arme puissante, et les nouveaux mandats de confidentialité des informations s’ajoutent à l’arsenal des consommateurs. Ceux-ci consistent en un droit d’action privé, par lequel ils peuvent intenter des poursuites contre des organisations qui ont cessé de travailler pour exécuter les procédures de sécurité appropriées ; et la demande d’accès aux informations, par laquelle ils peuvent demander à une entreprise des informations sur les informations que cette entreprise possède sur eux et sur la manière dont elles sont utilisées. Au fur et à mesure que ces étapes prendront de l’ampleur et alimenteront davantage d’actions en justice, nous verrons idéalement moins de manquements et d’infractions.
Les amendes sont-elles suffisamment importantes ? Pour certaines entreprises, payer plusieurs millions de frais est encore une goutte d’eau par rapport à ce qu’elles gagnent en traitant mal les informations de leurs utilisateurs.
Il existe un arrangement de base selon lequel les sanctions du RGPD (jusqu’à 4 % des revenus mondiaux ou 20 millions d’euros, ainsi que les raz-de-marée de mauvaises promotions) ont en fait attiré l’attention même des plus grandes entreprises. Cependant, de nombreuses nouvelles lois étatiques minimisent les amendes possibles, et celles-ci n’offrent pas de sanctions suffisantes pour entraîner une véritable modification.
Une infraction est peut-être différente : alors que les informations client sont compromises, les entreprises prennent une grande touchés également, y compris des poursuites judiciaires privées, des dommages à la marque, une perte de capital des investisseurs et une diminution de l’organisation.
Supposons qu’une organisation souhaite traiter avec fermeté des informations délicates. Quel type d’investissement financier dans la cybersécurité envisagent-ils ? Matériel, application logicielle, sensibilisation à la sécurité, etc.
Aucune technique ne peut à elle seule parer à toutes les menaces. Il faut une puissante combinaison de technologies, de politiques et de pratiques, le tout avec une assistance en salle de conseil. Gardez à l’esprit que les employés représentent généralement le maillon le plus faible de la chaîne de sécurité de l’information étant donné qu’un simple e-mail de phishing peut contourner les défenses les plus sophistiquées. Une sécurité renforcée commence par une formation pratique et son application.
La direction peut également aider à s’assurer que chaque technique repose sur une base solide. De nombreuses entreprises sont désormais engagées dans d’importantes initiatives d’amélioration numérique et de migration vers le cloud. Certains ont encore besoin d’aide pour répondre à des préoccupations fondamentales : comprenons-nous où se trouvent toutes les données de la maison ? Comprenons-nous combien il se compose de PII, et qui y a accès ? Comment les données sont-elles gérées dans le cloud ? Quel type de cryptage de fichier a été utilisé ? Où sont enregistrées les clés de chiffrement des fichiers et qui y a accès ?
La mise en œuvre d’une architecture de confiance zéro avec les droits qui l’accompagnent peut grandement contribuer à limiter l’accès aux données délicates. Dans des circonstances spécifiques, il est également possible de publier des logiciels pour des fonctions spécifiques dans un environnement séparé, ce qui permet de garantir la sécurité du réseau, l’évolutivité, les comptes de stockage, l’accès aux contrôles, etc. De cette manière, il n’y a pas de ressources réseau partagées, et la sécurité renforcée est associée à une plus grande polyvalence pour garantir un déploiement spécifique à l’entreprise : un locataire cloud dédié et une application logicielle personnalisée pour répondre à des besoins particuliers.
Certains soutiennent que les politiques que nous avons mises en place aujourd’hui sont trop sévères ou doivent laisser plus de latitude aux entreprises pour travailler avec les données. Qu’est-ce qui définirait un ensemble de capacités sensibles de confidentialité des données ?
Cette installation est inacceptable : les lois existantes sur la confidentialité des informations ne font pas suffisamment autorité et n’entraînent pas un inconvénient suffisamment important pour que de nombreuses entreprises les prennent au sérieux. L’idée que nous ne pouvons pas traiter les informations sans violer les droits à la vie privée des informations est ridicule, voire offensante.
Nous exigeons une application plus stricte, la possibilité de poursuites individuelles des personnes concernées et des sanctions plus lourdes. Les entreprises qui font les choses correctement n’ont absolument rien à craindre ; des sanctions rigoureuses peuvent encourager le reste.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
