Une approche pratique de la protection des données

Par où commencer avec "Une approche pratique de la protection des données"

Protection des données clients

Quand on dit que les yeux des gens sur la protection des données brillent, il est compréhensible que la loi sur la protection des données de 1998 soit importante non seulement pour les entreprises mais pour le grand public. La loi sur la protection des données sera cependant remplacée en 2018 par le RGPD.

Ne vous inquiétez pas, cet article ne traitera pas de la protection de vos données, nous voulons plutôt nous concentrer sur ce que vous pouvez faire pour protéger vos données et les données de vos clients.

Cet article s'applique à toutes les personnes en affaires, que vous soyez un groupe de sources de coordonnées de clients conservées sur votre téléphone portable, un propriétaire de magasin qui doit ou non se conformer à PCI DSS ou une société multinationale. Si vous avez des données sur votre entreprise et / ou vos clients partout (même sur papier), alors c'est pour vous!

Premières réflexions sur les considérations de sécurité

Au fur et à mesure du développement de Microsoft Windows, l'un des problèmes majeurs que Microsoft a essayé de résoudre est la sécurité. Avec Windows 10, ils ont fait un pas en avant dans la protection de vos données.

Beaucoup de gens semblent se concentrer sur le travail de licence pour Windows 10 et ce que Microsoft lui permet de faire; suppression de logiciels contrefaits, etc. Bien sûr que non. En fait, si vous êtes en affaires et que vos systèmes ont un faux programme, vous vous ouvrez à la perte de données de manière considérable.

Les logiciels piratés contiennent généralement un code supplémentaire qui permet aux pirates d'accéder à votre système et donc à vos données. Avec les services basés sur le cloud ces jours-ci, l'utilisation de logiciels légitimes devrait être plus facile que jamais, car tous les coûts mensuels d'une copie d'Office 365 sont bons.

Bien que nous soyons sur des systèmes basés sur le cloud, il convient de se rappeler que si vous ne cryptez pas vos données dans le cloud, il est probable qu'elles se retrouvent entre de mauvaises mains, quelle que soit la sécurité du fournisseur. De nouveaux équipements sont en cours de développement qui s'en occuperont pour vous, mais ils ne sont pas encore là, alors soyez averti.

Nous reviendrons sur la sécurité un peu plus tard après avoir examiné les lourdes amendes que vous pourriez encourir en ne prenant pas la sécurité des données au sérieux.

Il s'agit de GRANDES entreprises, n'est-ce pas?

Non, certainement pas, la sécurité des données de vos entreprises est la responsabilité de chacun dans votre entreprise. Le non-respect peut être coûteux en termes plus que monétaires.

Tout au long de cet article, je présenterai quelques règles de l'ICO qui montrent à quel point il est important de prendre ces questions au sérieux. Ce n'est pas une tentative de vous faire peur, ni un complot marketing d'aucune sorte; Beaucoup de gens pensent que se faire attraper ne leur arrivera jamais, en fait, cela peut arriver à toute personne qui ne prend pas de mesures raisonnables pour protéger leurs données.

Voici quelques décisions récentes détaillant les mesures prises au Royaume-Uni par le Bureau des commissaires à l'information:

Date 16 avril 2015 Type: Poursuites

Une société de recrutement a été poursuivie devant le tribunal d'instance d'Ealing pour n'avoir pas informé l'ICO. L'entreprise de recrutement a plaidé coupable et a été condamnée à une amende de 375 et a été condamnée à payer des frais de 774,20 £ et une suramende compensatoire de 38 £.

et ici & # 39; s suivant:

Date 05 décembre 2014 Type: Amendes monétaires

La société derrière le festival annuel de Manchester; s, Weekend Park Park a été condamné à une amende de 70 000 £ pour avoir envoyé des SMS non désirés.

Le texte a été envoyé à 70 000 personnes qui avaient acheté des billets pour l'événement de l'année dernière et est apparu aux destinataires & # 39; téléphone portable envoyé par "Maman".

Examinons la manière la plus simple de protéger vos données. Oubliez les équipements coûteux, ils peuvent être réévalués si les principes essentiels de protection des données ne sont pas respectés.

L'éducation est de loin le moyen le plus simple de protéger les données sur votre ordinateur et, par conséquent, sur votre réseau. Cela signifie prendre le temps d'éduquer le personnel et de le mettre à jour régulièrement.

Ici et ce que nous avons découvert – des pratiques choquantes

En 2008, on nous a demandé d'effectuer un audit informatique dans une organisation, rien d'inhabituel, sauf qu'une semaine avant la date de l'audit, j'ai reçu un appel d'une personne âgée de cette organisation, l'appel s'est passé comme suit:

"Nous n'avons pas mentionné plus tôt que nous soupçonnions un membre du personnel en position d'autorité. Il semble avoir eu une relation très étroite avec la société informatique qui nous soutient actuellement. Nous soupçonnons également qu'il finissait des emplois qui n'étaient pas liés à l'utilisation de l'ordinateur dans son bureau par notre organisation. Lorsque nous lui avons parlé du prochain audit informatique, il était frustré et plus nous étions persistants qu'il devait accepter, plus il devenait inquiet. "

Il s'est avéré que ce PC a fait l'objet d'une inspection approfondie, mais la médecine légale, à l'exception d'un jeu sans licence, nous n'avons rien trouvé et croyant que les informations que vous cherchiez auraient pu être supprimées, nous avons récupéré données sur le disque dur.

Les résultats ont été tracés et nous ont demandé de contacter l'ICO. Nous avons trouvé beaucoup de données très sensibles qui n'appartenaient pas à ce disque. Il semblait qu'il y était depuis un certain temps, et la plupart d'entre eux ne se sont pas remis, suggérant qu'il avait été retiré il y a longtemps.

Il s'est avéré que le lecteur de disque avait été remplacé quelques mois plus tôt et que la société informatique avait utilisé le disque comme magasin de données temporaire pour d'autres sociétés. Ils ont formaté les disques et déployé le nouveau système d'exploitation sans y penser.

Cela montre simplement que le formatage d'un disque, puis son utilisation pendant des mois ne supprime pas toutes les données précédentes. Aucune mesure n'a été prise, sauf une claque au poignet pour la firme informatique pour mauvaise pratique.

Alors, qui devrait être formé?

La meilleure façon de démontrer l'importance de la protection des données est d'utiliser des sessions d'apprentissage descendantes où la direction est d'abord formée, suivie d'une nouvelle gestion suivie par le personnel. De cette façon, il est clair pour la direction comme pour le personnel, la protection des données n'est pas quelque chose qu'une personne fait, en fait c'est le devoir de chaque employé au sein d'une entreprise.

Une violation de données affectera tout le monde au sein de l'entreprise, non seulement la personne responsable mais également les personnes responsables en dernier ressort.

La formation n'est ni longue ni difficile, mais elle doit être dispensée par un expert de terrain ou une entreprise dont l'expertise ne fait aucun doute.

La formation en interne sur ce sujet n'est pas recommandée car c'est juste un étranger qui sera pris au sérieux et aura la crédibilité des tiers requis pour faire valoir l'importance de l'affaire.

La sécurité de l'information est l'affaire de tous

Formation de sensibilisation à la sécurité de l'information: ici et ce qu'il faut couvrir:

  • Offrez une formation en ligne de sensibilisation à la sécurité de l'information de 40 minutes pour que vos employés puissent entrer et apprendre les meilleures pratiques en matière de sécurité de l'information.
  • Fournissez le meilleur contenu de cours de vos exigences de conformité.
  • Enseignez aux employés dans un langage simple et non technique comment et pourquoi les pirates piratent.
  • Informez les employés sur les meilleures méthodes de protection de vos systèmes et des informations sensibles que vous traitez.
  • Expliquez les responsabilités inhérentes des employés pour protéger les informations de votre entreprise et identifier et signaler les activités suspectes.
  • Fournir ces informations de manière efficace et efficiente, une évaluation des risques de sécurité de l'information doit être effectuée.

Une bonne évaluation des menaces et des risques devrait répondre aux questions suivantes:

  • Quelle graine dois-je protéger et où est-elle?
  • Quelle est la valeur de cette information commerciale?
  • Quelles autres vulnérabilités sont associées aux systèmes qui traitent ou stockent ces informations?
  • Quelles sont les menaces pour la sécurité des systèmes et leur probabilité d'occurrence?
  • Quels seraient les dommages commerciaux si ces informations étaient compromises?
  • Que faut-il faire pour minimiser et gérer les risques?

Répondre aux questions ci-dessus est la première et la plus importante étape de la gestion des risques de sécurité des informations. Il identifie exactement ce que votre entreprise doit protéger et où elle est située et pourquoi vous devez la protéger en termes d'impact réel sur les coûts que tout le monde devrait comprendre.

Ne finissez pas comme ces gars:

Date 22 décembre 2014 Type: Amendes monétaires

Le Commissaire à l'information et le Bureau (39) ont infligé une amende de 90 000 $ à une société de commercialisation basée à Londres pour avoir exprimé à plusieurs reprises des préoccupations visant des victimes vulnérables. Dans certains cas, les appels ont entraîné la fraude des personnes âgées pour payer l'assurance chaudière dont elles n'avaient pas besoin.

En clair, expliquez clairement à chaque employé de l'entreprise quelles sont ses responsabilités quotidiennes envers les données qui sont à sa portée, expliquez comment les protéger, expliquez pourquoi nous devons les protéger et montrez les conséquences pour l'entreprise. ne pas faire ça.

La plupart des employés non formés penseront que la protection des données n'a rien ou presque rien à voir avec eux; mais, si une violation de données s'est produite, l'entreprise peut perdre des affaires lorsque les nouvelles arrivent dans la presse, ce qui pourrait entraîner des licenciements en raison de la perte de ses activités. Cela incombe vraiment à tout le monde dans l'entreprise, du personnel de nettoyage au PDG, à prendre en charge.

Qui devrait diriger la formation?

Ce sujet n'est pas quelque chose que toute entreprise de formation peut donner correctement. Vous avez vraiment besoin de travailler avec de véritables experts en sécurité, des entreprises hautement qualifiées et expérimentées.

Malheureusement, dans le secteur informatique, de nombreuses personnes et entreprises se sont présentées comme le gourou de la sécurité informatique & # 39; s et la plupart sont juste des marchands effrayants avec l'ordre du jour. Ils veulent vendre un service spécifique, que vous en ayez besoin ou non.

Cependant, il existe des entreprises professionnelles très qualifiées et très utiles.

En 2011, j'ai eu la chance d'être dans eCrimes Wales lorsque Richard Hollis de RISC Factory a pris la parole. Sa présentation a parlé au public d'une manière que plusieurs autres ont fait ce jour-là, le plaçant dans l'opinion de ces auteurs comme mon rendez-vous avec une personne au Royaume-Uni sur les questions de sécurité des données. J'ai réussi à lui parler rapidement pendant une pause et il m'a vraiment aidé.

Pourquoi est-ce que j'évalue la richesse si riche? Eh bien, son expérience est pour le moins intéressante, une expérience au service de la NSA signifie qu'il sait ce qu'il fait et a plus de connaissances dans le domaine que le Joe moyen. Cela signifie également que là où d'autres experts en sécurité informatique voient un problème, Rich montre une image beaucoup plus grande.

Bien sûr, de nombreuses autres sociétés offrent des services similaires et dans le climat économique actuel, il est préférable d'acheter si vous le souhaitez.

départ

Tout d'abord, regardez et re-regardez la vidéo (liée ci-dessous) et trouvez cette deuxième piste sur YouTube, regardez-la aussi. Prenez des notes pendant la vidéo et suivez les étapes prévues dans votre esprit, répondez aux questions clés sur votre entreprise, vos données et votre sécurité.

Ensuite, parlez à votre service informatique si vous avez une entreprise, au sujet du support informatique si vous ne voulez pas voir s'ils ont des idées rentables que vous pouvez mettre en œuvre sans affecter considérablement votre budget informatique.

Vous pouvez commencer à protéger les données de votre entreprise contre des sources externes pour plusieurs centaines de livres GB en installant le bon type de pare-feu, avec des mises à jour basées sur le cloud 24/7.

Un antivirus de qualité avec un antivirus intégré ne devrait pas coûter une fortune à l'entreprise ou, encore une fois, obtenir des conseils. Beaucoup de ces produits ralentissent tellement le système informatique qu'ils ont un impact négatif sur les performances. L'un des plus célèbres (à commencer par N) est souvent vendu comme «le meilleur» dans les magasins d'électronique en ligne, les stations et les magasins de biens de consommation; en fait c'est la meilleure marge bénéficiaire et non le meilleur produit, cela ralentit le système et a besoin d'un logiciel séparé pour le supprimer complètement!

Stockez les données sensibles dans une zone cryptée d'un système de stockage RAID avec un contrôle d'accès restreint. Une machine NAS est un moyen bon marché et efficace d'y parvenir.

Ne stockez pas de données sensibles sur des systèmes basés sur le cloud comme Dropbox, assurez-vous qu'elles sont gratuites et faciles à utiliser, donc si vous ne parcourez pas de données critiques telles que des graphiques, des logos et du matériel promotionnel ; génial! Si vous transférez vos comptes à votre comptable, un nouveau produit schématique pour une entreprise de machines mécaniques, etc. – utilisez autre chose qui a une meilleure sécurité.

Rien de personnel contre Dropbox et les produits connexes, mais comme Microsoft OneDrive tel qu'il est maintenant, les deux ont été piratés dans le passé. Bien que la sécurité se soit considérablement améliorée, vous ne devez pas prendre de risque.

Obtenez enfin les conseils de vrais experts en cas de doute. Des gens comme Richard Hollis ont consacré leur carrière à la sécurité. En se garant devant une entreprise pour une réunion, ils ont déjà analysé automatiquement certaines considérations de sécurité. Lorsqu'ils franchissent la porte d'entrée, ils effectuent une douzaine de calculs et d'évaluations des risques supplémentaires. Tout le monde avant de s'asseoir et de vous parler de vos préoccupations.

Couches: la sécurité concerne une approche en couches. Considérez-le comme un oignon. Ici & # 39; s un exemple sur le plan physique pour une entreprise où j'ai travaillé il y a de nombreuses années.

Lorsque vous êtes entré dans le bâtiment, vous ne pouviez pas passer devant la réception à moins qu'ils ne vous "trompent" à travers les barrières de sécurité dans la zone d'attente. Il s'agissait de cartes magnétiques contrôlées pour le personnel.

Les cartes tournantes pour le personnel ne leur permettaient d'accéder qu'aux zones où ils étaient autorisés à entrer; ainsi, par exemple, seul le personnel de support informatique et certains développeurs avaient accès à la salle des serveurs. Notez ici que contrairement à certaines entreprises, le nettoyeur n'avait pas accès à la salle des serveurs ou à la zone de travail du développeur.

Vous avez l'idée?

Au niveau électronique, tous les systèmes critiques ont été copiés avec une alimentation indépendante, une alimentation de secours d'un générateur qui avait une alimentation de secours d'un système UPS.

Les pare-feu séparent les différents LAN et l'intérieur de l'extérieur de l'entreprise. Chaque service fonctionnerait sur son propre réseau local avec des connexions LAN uniquement pour les personnes qui en avaient absolument besoin.

Vous pouvez procéder à des niveaux de protection beaucoup plus bas, par exemple en vous assurant que tous les lecteurs USB sont cryptés et cryptés afin qu'ils ne puissent être utilisés que pour déplacer des données entre les PC des entreprises.

Ces types de mesures de sécurité sont en fait très faciles à réaliser, elles ne sont pas sorcières, elles ne devraient pas vous coûter une fortune absolue.

N'oubliez pas – planifier, faire, vérifier, agir – répéter au besoin. Mais demandez toujours conseil à des professionnels. Croyez-moi, le gamin d'à côté qui construit ses ordinateurs et les vend ne connaît pas suffisamment les menaces qui pèsent sur votre entreprise.

Si vous êtes au Royaume-Uni, envisagez de prendre le programme Cyber ​​Essentials du gouvernement pour rapprocher les entreprises d'une norme minimale de protection des données. Cela vaut vraiment la peine d'être examiné; Au cours du récent raid du NHS, aucun des NHS Trusts qui avaient achevé et avaient normalisé les institutions Cyber ​​Essentials n'a été pénétré.

Nous pensons que vous avez trouvé cet article intéressant, parlez-en à vos amis.

Une dernière chose, le 28 mai 2018 verra le RGPD remplacer la loi sur la protection des données et les entreprises au Royaume-Uni devront être prêtes pour le changement, n'attendez pas. Commencez dès aujourd'hui.