samedi, 2 mars 2024

Des violations se produisent : il est temps d’arrêter de jouer au jeu du blâme et de commencer à apprendre ensemble

Que faites-vous après qu’un fournisseur ou un partenaire soit victime d’une violation ? Une fois que votre cœur rate un battement (ou deux), c’est une question courante que vous pourriez poser.

Comme l’indique une étude récente, plus de la moitié de toutes les organisations ont été victimes d’une violation de données par un tiers au cours des deux dernières années. La réponse frustrante à un tel incident est d’ostraciser la victime. Jusqu’à 83 % des consommateurs avouent qu’ils s’arrêtent brièvement ou mettent fin à leurs frais auprès d’une entreprise après un incident. Bien que compréhensible, cette réponse passe à côté de l’opportunité dont le marché a besoin pour apprendre et grandir ensemble après l’apparition d’informations sur un incident.

Des violations continuent de se produire, même après que les entreprises aient mis en place un programme de sécurité commercialement abordable. Personne n’est impénétrable. Un aspect essentiel à prendre en compte lors de l’examen de partenaires et fournisseurs potentiels est de comprendre leur capacité à réagir efficacement et leur volonté d’être transparent lorsqu’un incident de sécurité se produit.

Punir un partenaire ou un fournisseur pour avoir subi une violation ne fait qu’inciter les entreprises à couvrir leurs problèmes de sécurité. Les entreprises d’aujourd’hui doivent plutôt cultiver un environnement de compréhension, de transparence et de partage d’informations. Accueillir ces valeurs contribuera à renforcer les pratiques de sécurité dans l’ensemble du paysage économique.

VB Occasion

Le AI Impact Trip

Connectez-vous avec la communauté IA d’entreprise lors du AI Effect Trip de VentureBeat concernant une ville près de chez vous !

En savoir plus L’éloignement

du blâme Le changement vers la compréhension

se produit déjà au niveau des membres du personnel. De plus en plus, les employés ne sont plus immédiatement condamnés s’ils cliquent par erreur sur un lien de phishing ou répondent à un e-mail usurpé. Les spécialistes de la sécurité comprennent que les méthodes d’attaque comme le phishing sont un jeu vidéo de chiffres : si les attaquants ciblent suffisamment d’individus, il y a de fortes chances que quelqu’un finisse par mordre à l’hameçon. Les attaques de phishing deviennent de plus en plus astucieuses et crédibles. Il est tout simplement naturel de reconnaître la réalité de la confiance humaine – et de l’erreur humaine – dans notre paysage de menaces. Si un employé craignant des sanctions ou des représailles clique par erreur sur un lien de phishing, il peut choisir de faire tout son possible pour dissimuler l’incident et prétendre que cela n’a jamais eu lieu. D’un autre côté, un service qui encourage (et même commémore) l’auto-déclaration de ces erreurs et les accueille avec compréhension découvrira que les employés reconnaîtront beaucoup plus lorsqu’ils ont réellement commis une erreur et en tireront profit. Cela ne supprime pas la nécessité de former les employés à reconnaître les attaques. Cela reconnaît la réalité selon laquelle plus tôt une organisation est informée d’une violation potentielle, plus vite elle peut agir. Le rapport 2023 d’IBM sur les dépenses en cas de violation d’informations révèle que la détection précoce est l’un des éléments les plus essentiels pour limiter l’impact d’une violation. Combinés à la mise en œuvre d’innovations qui peuvent contribuer à empêcher ces e-mails de phishing d’atteindre les boîtes de réception des employés, ces efforts peuvent faire une véritable différence. Comprendre à grande échelle Même si les entreprises ont effectivement réussi à mettre en œuvre ces politiques à l’échelle privée, elles n’ont généralement pas appliqué la même posture

aux partenaires, fournisseurs et autres tiers. Une violation peut survenir dans n’importe quelle organisation, y compris celles qui ont effectivement pris toutes les mesures de sécurité commercialement raisonnables – et comprendre si ces précautions ont été prises devrait être un élément fondamental de la procédure de contrôle de toute entreprise. Rejeter un partenaire excellent et réputé en raison d’une attaque peut en fin de compte entraîner davantage de dangers, notamment des défis fonctionnels. Naturellement, il est nécessaire de faire la distinction entre une entreprise qui subit soudainement une violation et un service qui participe à un comportement continu à risque ou irresponsable (ou cherche

à dissimuler ou à retirer activement les détails entourant une enfreindre). Mais l’avènement de structures de conformité, d’enquêtes et de critères de sécurité et de programmes de sécurité plus complets ont rendu beaucoup plus facile l’évaluation de l’état de préparation d’un partenaire potentiel en cas de violation. Cela dit, si une violation se produit, il est également important de comprendre ce qui s’est passé et comment cela a été traité. La manière dont les entreprises choisissent d’interagir en cas de cyberincidents joue un rôle essentiel dans l’évaluation et le maintien de la confiance au sein de la relation

. Tout comme les membres du personnel sont désormais encouragés à signaler eux-mêmes les problèmes potentiels, encourager les entreprises à anticiper leurs défis ne permettrait pas seulement aux entreprises d’examiner plus facilement les capacités de sécurité de leurs partenaires – cela contribuerait également à réduire l’impact des futurs problèmes. violations. Plus les équipes de sécurité de l’information doivent gérer des techniques, techniques et procédures d’attaque (TTP), plus grandes sont leurs chances d’être en mesure de les découvrir, de les reconnaître et d’y remédier lorsqu’elles font elles-mêmes face à une attaque comparable. Plutôt que de punir les vendeurs parce qu’ils ont été exploités par des opposants, nous devrions les motiver à être plus ouverts, véridiques, transparents et réceptifs – au sens humain du terme. Visualiser un avenir protégé et transparent Adopter un état d’esprit plus compréhensif à l’égard des violations ne signifie pas que les entreprises doivent cesser de faire preuve de diligence raisonnable. Au contraire, les organisations doivent toujours valider le statut de conformité de leurs partenaires et fournisseurs, et les questionnaires de sécurité ainsi que les rapports et attestations de sécurité

continueront à jouer une fonction essentielle en confirmant

que les organisations se méfient de leurs information. Cependant, la réalité est que même une entreprise qui a fait quelque chose de légitime peut quand même subir une violation. Il est temps d’arrêter de blâmer les victimes. Il est temps de se traiter les uns les autres exactement de la même manière que nous traitons les membres du personnel qui agissent de bonne foi : en comprenant que personne n’est meilleur et en reconnaissant que l’honnêteté et la transparence profiteront à tout le monde à long terme.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici