Objectifs:
La Sécurité des Données (data security) englobe la planification, le développement et l’exécution des politiques et procédures de sécurité de l’information. Les spécifications de la Sécurité des Données diffèrent selon les secteurs et les pays, mais dans tout cas, l’objectif des pratiques de sécurité des données reste le même: proteger les données et informations conformément aux lois sur la protection de la vie privée et de la confidentialité, aux clauses contractuelles et aux besoins de l’entreprise.
Ces besoins peuvent découler de ce qui suit:
- Stakeholders
- Législation
- Aspects relatifs aux données des entreprises
- Besoin légitime d’accès aux données
- Obligations contractuelles
Des politiques et des procédures efficaces en matière de sécurité des données garantissent que les bonnes personnes peuvent utiliser et mettre à jour les données de la bonne manière et que tout accès non autorisés est empêché.
Il n’existe pas de méthode unique pour mettre en œuvre la Sécurité des Données qui réponde à toutes les exigences nécessaires en matière de respect de la vie privée et de confidentialité: les réglementations se concentrent sur les finalités de la sécurité, et non sur les moyens d’y parvenir. Chaque organisation doit donc concevoir ses propres contrôles, démontrer qu’ils satisfont ou dépassent les exigences réglementaires, documenter la mise en œuvre de ces contrôles et, enfin, surveiller et mesurer leur efficacité dans le temps. Comme dans les autres domaines de Knowledge Area, les activités comprennent l’identification des besoins, la définition de l’état actuel afin d’identifier les lacunes et les risques, la mise en œuvre et l’application d’outils et de processus, et la vérification des mesures de sécurité prises pour en assurer l’efficacité.
Activitées menées par notre Équipe:
Identifier les exigences de la Sécurité des données
Tout d’abord, il est important de faire la distinction entre les exigences des entreprises, les réglementations imposées par des législateurs externes et les règles imposées par l’application d’un logiciel spécifique. Si les systèmes d’application servent à appliquer les règles et procédures de l’entreprise, il est courant que ces mêmes systèmes aient leurs propres exigences de sécurité en plus de celles nécessaires aux processus de l’entreprise, et celles-ci deviennent de plus en plus courantes grâce aux systèmes prêts à l’emploi. Toutefois, il est nécessaire de souligner la manière dont ces systèmes soutiennent les normes de sécurité des données de l’organisation.
Définir les Politiques de Sécurité des données
Les organisations doivent élaborer des politiques de Sécurité des Données d’après les exigences d’enterprise et réglamentarires. Une politique est la déclaration d’une certaine route et d’une description de haut niveau des comportaments considérés comme appropriés pour atteindre certains objectifs. Le politiques des sécurité des Données décrivent les comportements qui sont les milleurs pour une organisation souhaitant protéger ses données. Les politiques doivent avoir un impact mesurable; elles doivent donc être vérifiables et effectivement vérifiées.
Les politiques d’enterprise ont souvent des implications juridiques. Un juge pourrait considérer qu’une politique mise en place pour remplir un exigence réglementaire est un effort interne de l’organisation pour se conformer à cette norme; par conséquent, le non-respect d’une politique d’enterprise, à la suite d’une violation des données, peut avoir des implications juridiques.
La définition des politiques de sécurité nécessite une collaboration entre les administrateurs de la sécurité TI, les responsables de l’architecture des systèmes de sécurité, les comité de Gouvernance des Données, les Data Stewards, les groupes d’audit interne et externe et le département juridique. Les Data Stewards doivent également collaborer aves les Privacy Officer (définis par certaines loi, notamment américaines, Sarbanes-Oxley supervisors, HIPAA Officers) et avec les chefs d’enterprise pour développer des catégories de métadonnées à des fins réglementaires et appliquer ces classifications de sécurité d’une manière cohérente avec les definitions données. Toutes les actions visant à garantir la conformité aux réglementations et aux normes doivent être coordonnées afin de réduire les coûts et d’éviter les instructions et les procédures confuses.
Définir les normes de Sécurité des Données
Les politiques visent à donner des lignes directices en matière de comportament, mais elles ne définissent pas toutes les situations possibles. Les normes complètent les politiques fourinessent des détails supplémentaires sur la manière de remplir les intentions définies dans les politiques. Par exemple, la politique peut déclarer que le mots de pass doivent suivre les lignes directrices relatives aux mots de passe robustes; les normes définissant un mot de passe sécurisé sont détaillées séparément. Enfin, la technologie renforce les politiques en empêchant les utilisateurs de créer des mots de passe qui ne répondent pas aux normes de sécurité.