Conversations avec les clients – Réinitialiser les attentes en matière de sécurité des données

J’entends des questions courantes telles que :

  • « Dois-je rechercher mes informations avant de pouvoir les comprendre ? »
  • « Dois-je d’abord classer mes données pour commencer à les protéger ? »
  • « Comment puis-je protéger tous les canaux rapidement et efficacement avec un impact minimal sur mon entreprise ? »

Étonnamment, la réponse à ces questions est Ce « non » retentissant Quand j’entends ces questions Je réponds souvent par des questions telles que « Quel est le problème que nous essayons de résoudre ? » ou « Quelles sont vos attentes ou les résultats escomptés ? »

selon mon expérience Il existe 3 moteurs « typiques » des efforts de protection des données :

  • exigences réglementaires
  • Impact potentiel sur la réputation de la marque
  • Accès non autorisé/inapproprié ou violation des « gros mots B ».

pour les grandes entreprises Cela pourrait être une combinaison des trois! sachant cela J’aime comprendre le paysage des affaires. selon l’organisation Cela pourrait conduire à d’autres questions courantes :

  • « Quels systèmes existe-t-il pour détecter ces jours-ci? »
    réponse: Email, Web, DLP ou point de terminaison CASB .
  • « Quelles politiques d’entreprise avons-nous pour conduire ce projet à réussir? »
    réponse: Pratiques de traitement sécuritaire des données Utilisation inappropriée/excessive Formation des utilisateurs sur les accès privilégiés
  • « Quels sont les processus de mise à l’échelle/d’automatisation d’un cadre de protection des données ? »
    réponse: DLP fait partie du programme organique. Pas seulement un outil autonome et doivent être en mesure de s’adapter aux changements des exigences de l’entreprise et des politiques et procédures nécessaires pour les soutenir.

En préparation de la prochaine réunion sur la stratégie de sécurité de l’information Il est recommandé de garder à l’esprit ce qui suit :

La nécessité de rechercher et de collecter des données en téraoctets. S’il n’y a pas de pétaoctet de données Il ne vous submergera que d’enregistrements et de bruit.En tant qu’organisation, vous devez accepter ce qui est important. Et elles doivent d’abord être protégées. Disons simplement que personne ne connaît mieux les données de votre organisation que vos employés. Il peut s’agir de données client, de code source PII d’employé, etc. Il pourrait être le fer de lance du début du changement et le découvrir. « Où a-t-il été endommagé ? »

Ensuite, la nécessité de classer ou d’étiqueter vos données ne garantit pas leur protection. Mais cela aidera vos utilisateurs à mieux comprendre l’hygiène des données. La plupart des organisations que j’ai vues utilisent des classifications antérieures. finir par répéter ou publier une étiquette 4 ou 5 fois avant « Faites-le bien » et utilisez un outil DLP pour le valider. C’est une solution complémentaire complète pour une raison. Utilisez DLP pour surveiller, valider, appliquer tout en appliquant des classifications pour aider à gérer, éduquer et simplifier l’expérience utilisateur.

Enfin, la nécessité de tout protéger d’un coup sans s’enliser est un jeu du chat et de la souris sans fin. Par exemple, certaines organisations ont des politiques USB ou d’impression qui sont dues. En conséquence, ils appliquent ces créneaux en premier. Il est moins risqué et a un chemin facile à bloquer plusieurs fois, c’est le chemin avec le moins de résistance pour une organisation.

mais à mon avis Cette méthode n’est pas la meilleure. J’encourage la plupart des organisations à faire de la messagerie électronique, du Web ou même des canaux d’application cloud une priorité absolue. Le risque potentiel de ces canaux est nettement plus élevé et il y a une plus grande probabilité de fuites de données ou de mauvaises configurations. Je comprends que c’est plus facile à dire qu’à faire. En effet, il s’agit du domaine le plus difficile pour mettre en place des contrôles efficaces de compensation ou de blocage.

Si votre programme de sécurité des données est Je discuterai des plans pour protéger ces canaux à haut risque. Si vous pouvez obtenir votre organisation à bord avec une application précoce, une formation et une éducation sur ces vecteurs de menace. Votre programme sera plus efficace et les « gains faciles » restants se stabiliseront plus facilement.

Merci d’avoir lu.

###

Si vous rencontrez des difficultés pour protéger vos données et j’ai besoin d’aide pour identifier les pièces d’informations sensibles et le besoin de protection Nous savons comment Forcepoint peut vous aider :

Source link