Quelle est la sécurité des données?

par Nirmal Ranganathan, Jared Jacobson – 2 octobre 2020

Mains tenant un téléphone intelligent avec une image de sécurité affichée

La sécurité des données fait référence à ses stratégies et normes pour protéger vos données: dans votre réseau, dans votre infrastructure et vos applications, ainsi que dans plusieurs couches. Les méthodes de sécurité des données comprennent des environnements dans les installations et cloud et incluent le codage, le masquage, la tokénisation, l’élimination, l’authentification, le contrôle d’accès, la sauvegarde et la récupération, ainsi que la résilience des données. La sécurité des données suppose également les revendications liées à la conformité, motivée par la réglementation gouvernementale ou les normes de l’industrie, telles que PCI ou HIPAA.

L’importance de la sécurité des données

Selon un récent Verizon Rapport, une violation de la sécurité sur huit a des raisons économiques et toutes créent une turbulence financière pour les victimes. Une violation de données peut causer autant de perturbation que celle qui se produit à cause du manque de conformité. Sans une stratégie de sécurité solide de données, cela pourrait risquer de ressentir des conséquences dans les relations publiques, que des sanctions sont infligées en raison du manque de conformité et des pertes de productivité se produisent. Certaines des conséquences communes d’une violation de données sont les suivantes:

conséquences dans les relations publiques

Les attentes des consommateurs en ligne sont en plein essor. Par conséquent, lorsque les clients potentiels ou les investisseurs découvrent que leur organisation a fait l’objet d’une violation, vous êtes considéré comme téméraire et peu fiable, même si vous avez fait tout ce qui était censé faire. Cette perception pourrait entraîner la perte de participation sur le marché et jusqu’à ce que vous ayez un impact sur le prix de vos actions. L’effort et le coût de la correction de la violation initiale, de la gestion des moyens, de communiquer avec les clients et de reconstruire leur marque prendront des ressources de leur mission principale.

sanctions dues au manque de conformité

faire Non respecté les exigences réglementaires et légales en matière de rétention, de permis et de stockage peut entraîner des amendes importantes faute de conformité. Tout d’abord, ces amendes sont des sanctions du conseil de réglementation. En outre, il est possible qu’il existe des charges associées, telles que des paiements directs aux victimes de violations, la fourniture de services de résolution (surveillance du crédit ou protection de l’identité) ou aux demandes de dommages-intérêts.

pertes de productivité

Après une violation des données, les équipes informatiques doivent abandonner ce qu’ils font pour répondre et résoudre la menace. Si la perte de données survient, le temps est destiné à restaurer des sauvegardes. Une violation de la sécurité affectera probablement la capacité de certains employés à accéder et à utiliser les données dont ils ont besoin pour compléter leur travail. Dans une étude récente détenue par Cisco, 48% des entreprises ayant plus de 10 000 employés expérimentés, au moins quatre heures de temps d’arrêt pour une violation de données et un tiers ont connu jusqu’à 16 heures de temps d’arrêt.

Types de technologie de sécurité de données

Protection des données dans le cloud ou dans les installations impliquera d’utiliser une ou plusieurs des technologies suivantes:

  • données Cryptage
  • Masquage des données
  • TOKENISATION
  • Suppression de données
  • Authentification
  • Contrôle d’accès
  • Dossiers et récupération
  • Résilience des données

Cryptage de données

Le codage des données empêche les utilisateurs non autorisés accéder aux données. Cette technique nécessite un certain type d’autorisation ou de la clé pour décoder et afficher ou modifier les données. Le codage s’applique principalement au niveau du réseau et de l’infrastructure; Cependant, les actifs physiques, les mémoires flash ou les disques durs peuvent également utiliser cette méthode de sécurité de données. De plus, le codage peut être appliqué dans les applications. Par exemple:

Données d’origine: John Smith

codé: 393938383838

Décodé: John Smith

State de blocage: bloqué, vous pouvez Déverrouiller

Accès: les utilisateurs finaux peuvent accéder à l’ensemble du jeu de données

Masquage des données

lorsque les données sont masquées, l’ensemble est remplacé ou faisant partie des données. Fréquemment, nous voyons ce cas lors de l’affichage des numéros de carte de crédit ou de sécurité sociale. Les données sont là, mais vous ne pouvez pas y accéder. Cette technique est utilisée pour des situations où les données sont enregistrées dans le système, mais en raison de problèmes de conformité, tels que PCI ou HIPAA, les utilisateurs ne peuvent pas voir les données réelles. Vous ne pouvez pas inverser le masquage.Une fois que les données sont masquées, elles perdent leur valeur et ne sont pas disponibles pour une utilisation dans une autre fonction. Par exemple:

Données originales: John Smith

Masqué: 393938383838

Non masqué: N / C

Etat de blocage: bloqué, il ne peut pas être déverrouillé

Accès: les utilisateurs finaux ne peuvent pas accéder aux données et que les données ne peuvent pas être utilisées pour analyse

TOKENISATION

S’il est important de tirer parti de la valeur de toutes les données, certains éléments des données, tels que des informations d’identification personnelles (PII), des informations médicales et des informations financières, doivent être traitées avec des soins particuliers. La tokénisation permet aux organisations de cacher des informations confidentielles mais de préserver leur importance. Contrairement à la codage, où les données peuvent être déverrouillées, ou masquage, et, en outre, ils perdent leur valeur, la tokénisation ne peut pas être déverrouillée, mais ses caractéristiques restent précieuses. Vous ne connaissez peut-être pas le nom et l’adresse de chaque client, mais vous pouvez extraire des données pour déterminer, par exemple, lorsque les clients dans une région donnée dépenser davantage sur un article particulier.

Données originales: John Smith

TOKENISÉ: 838383838

Non supprimé: N / C

Statut de verrouillage: Bloqué, ne peut pas être déverrouillé

Accès: fin Les utilisateurs peuvent accéder à des informations sur les données, mais pas sur le jeu de données réel

Élimination des données

En raison de la hausse des règlements sur la protection de la vie privée, tels que le GDPR et la CCPA, les entreprises ont besoin Pour protéger les données reçues et, en outre, ils doivent avoir un processus qui supprime les données. Un nettoyage des données désorganisées et une adhésion négligée au contrôle des données peuvent faire valoir cela, pour certaines organisations, il est impossible de se conformer pleinement aux demandes d’élimination des données, car elles n’ont pas de bonne gestion dans tous les endroits où les points de données pouvaient être hébergés. Lorsque cela est fait correctement, la suppression des données fonctionne comme suit:

Données d’origine: John Smith

Supprimé:

Non supprimé: N / C

Accès: les données sont inexistantes. L’utilisateur final n’a jamais su que les données existaient.

Authentification

L’authentification est le processus permettant aux utilisateurs d’identifier et de pouvoir accéder aux informations. Pour certains systèmes, c’est un mot de passe; Pour d’autres, il peut s’agir d’un indicateur biométrique, tel que des empreintes digitales ou un balayage facial. L’authentification déverrouille les données bloquées afin que les pièces autorisées les utilisent. Ceci est appliqué au niveau du réseau, l’application ou le fichier.

Contrôle d’accès

Lors de l’établissement de groupes d’utilisateurs basés sur un rôle et de méthodes d’accès, les organisations peuvent contrôler les utilisateurs de voir quelles données. Cela garantit que les employés ayant besoin de voir les données confidentielles sont correctement autorisés à le faire. Le contrôle d’accès est établi dans la plupart des normes de conformité des données à éviter, par exemple, qu’un réceptionniste d’un bureau médical constate des antécédents médicaux complètes d’un patient, au lieu de ne voir que les informations d’assurance nécessaires pour enregistrer et planifier les patients.

Les sauvegardes et la récupération

dos et récupérations font référence à la manière dont vous stockez les données et comment vous allez les restaurer en cas d’incident. Comme les services de niveau de consommation qui la protègent si vous trompez ou perdez votre téléphone, la sauvegarde du niveau de l’entreprise signifie la séparation de données dans des endroits différents et sûrs pour fournir une redondance. Si un emplacement échoue, l’autre emplacement est activé avec une image précise des données. Les organisations utilisent les métriques de la cible de récupération et le temps de la cible de récupération (RPO) pour déterminer quelles données sont récupérées et la durée de récupération de la récupération.

résilience des données

résilience des données Fait référence à la rapidité avec laquelle vous pouvez récupérer et restaurer des opérations en cas de violation des données. Dans le passé, cela a été réalisé en déployant plusieurs serveurs dans différents endroits. Après la récente crise mondiale, de nombreuses organisations font face à des centres de données auxquels ils ne peuvent pas accéder. Pour cette raison, ils considèrent des alternatives en nuage, qui peuvent être administrées à distance, elles ont une faculté de sauvegarde automatique et ne nécessitent pas de grands investissements de capital initiaux.

Meilleures pratiques de sécurité des données

Les meilleures pratiques de sécurité des données sont divisées en trois catégories principales:

  • Gestion des risques des données
  • Contrôle des données
  • Conformité des données

Gestion des risques de données

Gestion des risques des données est la suivante: Fournit une feuille de route pour les priorités de sécurité des données. C’est là qu’une organisation détermine les réglementations suivantes, quelle devrait être leur posture autour de la sécurité et les KPI nécessaires pour démontrer la conformité. Par exemple, même si vous ne stockez pas les informations de carte de crédit, vous pouvez choisir de vous conformer à la PCI car elle établit une norme supérieure en termes de sécurité des données.

Un autre élément de la gestion des risques est la classification de les données. Si la documentation juridique est demandée et que les données ne sont pas étiquetées, ou sont incorrectées de manière incorrecte, les organisations pourraient faire face à des sanctions ou à des heures de travail fastidieux en recherchant des données, ce qui peut être comparé à rechercher une aiguille dans un Hayloft virtuel.

Contrôle des données

Le contrôle des données est ce que. En fonction des obligations de gestion des risques, le contrôle des données couvre les politiques et les pratiques qui servent de base à la gestion des données. Il détermine également la responsabilité et définit la manière dont les données peuvent être stockées, comment elles sont transférées, comment elles sont accessibles, comment elles sont préservées et comment elles sont détruites. Outre les règles et les techniques, il devrait également offrir des conseils et des perspectives afin que les utilisateurs maintiennent des données sûres et propres.

Conformité de données

La conformité des données est la suivante: C’est là que tout le travail réel est effectué pour répondre aux règles de contrôle. Par exemple, c’est là que l’accès à un rôle est établi sur la base de la norme PCI que vous avez choisie à adopter. La conformité représente le niveau d’exécution de la sélection des outils, des technologies et des processus afin de fournir un soutien au codage, aux pare-feu, à antivirus, à la surveillance et à la réponse.

Contrairement à la volonté et à l’administration des risques, la conformité des données évolue constamment . Bien que l’objectif de maintien de la conformité avec PCI ou HIPAA puisse rester compatible à partir d’une perspective et de contrôle des risques, des agences d’audit s’adaptent et examinent constamment ce que cela signifie de respecter les normes.

Les avantages de la sécurité des données

Maintenir une stratégie de sécurité de données définie protège l’ensemble de l’organisation. Souvent, les petites entreprises souffrant de violations quittent l’activité dans un an et finissent par dépenser une moyenne de 200 000 USD. Et pour ceux qui traversent les conséquences d’une violation des données, il y aura un trou financier énorme autant de ressources et de main-d’œuvre nécessaires pour se remettre d’une perspective technologique et du point de vue des entreprises.

avec un Politique de sécurité de données solide, les organisations encouragent la confiance, économisent des ressources et évitent de modifier les entreprises en devant gérer une violation ou une interruption.

Solutions de sécurité de la technologie de racks de rack

avec plus de deux décennies de sécurité Expérience et gestion des données pour certaines des plus grandes entreprises du monde, Technology Rackspace propose des solutions de sécurité de données complets et vérifiées. Notre méthodologie couvre les personnes, les processus et la technologie pour fournir les solutions dont vous avez besoin pour mettre en œuvre la sécurité au niveau de l’entreprise, maintenir la conformité et gagner la confiance des clients. Les solutions comprennent des services de sécurité gérés, une assistance pour la conformité, la protection de la vie privée et la protection des données, les outils de sécurité et la politique de sécurité, ainsi que notre solution QuickStart qui le met rapidement.

Note de la rédaction: Octobre est le mois de sensibilisation national sur l’ordinateur Sécurité (NCSAM)! Assurez-vous de revoir toute notre série de ressources orientée sur la sécurité pour NCSAM 2020, qui incluent les éléments suivants:

  • Séminaire Web: le nouveau scénario de la cybersécurité (en direct le 7 octobre ou la faible demande)
  • Séminaire Web: Parcourez les menaces de cybersécurité aujourd’hui (en direct le 22 octobre ou sur demande)
  • article: Qu’est-ce qui cause le manque de compétences en cybersécurité??
  • Article: Le Covid-19 et la « nouvelle normalité » pour la cybersécurité des affaires
  • Podcast avec Cloudflare: attentes du consommateur en ligne après le COVID-19

Leave a Comment

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *