+1 (888) 440-2404

Blog de DriveSavers

Conformité de la sécurité des données : Un aide-mémoire pour les services informatiques

Que vous travailliez pour une organisation soumise à des normes de conformité ou que vous soyez un informaticien indépendant cherchant à développer son activité, les réglementations sectorielles relatives à la sécurité des données, également appelée sécurité de l'information, peuvent parfois constituer un véritable casse-tête.

Poursuivez votre lecture pour découvrir un ensemble unique de lignes directrices à suivre qui peuvent être appliquées à toutes les réglementations sectorielles.

LA RAISON D'ÊTRE DES RÉGLEMENTATIONS EN MATIÈRE DE SÉCURITÉ DES DONNÉES

Les exigences en matière de sécurité des données imposées par l'industrie ont une bonne raison d'être. Les numéros de sécurité sociale, les numéros de carte de crédit, les dates de naissance, etc. sont tous extrêmement précieux sur le marché noir. Là où il y a des données personnelles, il y a des pirates informatiques qui essaient de s'en emparer. Selon le Centre de ressources sur le vol d'identité (ITRC)Le nombre de compromissions de données en 2021 a augmenté de 23 % par rapport au record historique précédent.

Des histoires d'horreur circulent sur le vol de données par des sociétés de récupération de données tierces ou, pire encore, sur le vol de données par des sociétés de récupération de données tierces, vendu au plus offrant. C'est pourquoi il est extrêmement important de disposer d'une pré-vérifié de récupération de données à Atlanta, GA.

DriveSavers fait l'objet d'un Audit SOC 2 de type II de ses contrôles internes d'hébergement et de traitement des données afin de garantir que nos services de récupération des données respectent les protocoles rigoureux de sécurité et de confidentialité des données imposés par les entreprises clientes et les agences gouvernementales que nous servons. Les SOC 2 Type II  couvre tous les protocoles.

Termes de l'industrie que les services informatiques doivent connaître

Vocabulaire et normes de conformité

Chacun de ces secteurs suit un ensemble différent de règles et utilise un vocabulaire différent. Vous devez vous familiariser avec les termes utilisés dans les secteurs avec lesquels vous envisagez de travailler.

Sociétés et autres entreprises

Toute entreprise soucieuse de la cybersécurité qui ne relève pas de l'un des mandats de conformité susmentionnés aura élaboré son propre ensemble de lignes directrices en matière de sécurité des données. En fait, ces entreprises individuelles élaborent souvent des politiques qui sont encore plus rigoureuses que les mandats fédéraux !

Étant donné que ces entreprises ont élaboré leur propre ensemble de règles et ne suivent aucun mandat de l'industrie, elles ont souvent leur propre vocabulaire. Il est important d'apprendre les termes utilisés par les entreprises auxquelles vous fournissez des services informatiques et de vous familiariser avec leurs exigences en matière de sécurité de l'information et de cybersécurité.

Banque et finance

Comme décrit dans l'article 4(k) du Bank Holding Company ActEn vertu du GLBA, toute entreprise qui est "engagée de manière significative" dans des "activités financières" doit se conformer au GLBA. Si une entreprise entre dans cette catégorie et qu'elle est également cotée en bourse, elle devra également se conformer à la loi SOX.

  • Prêteurs hypothécaires non bancaires
  • Évaluateurs de biens immobiliers
  • Courtiers en prêts
  • Certains conseillers financiers ou d'investissement
  • Agents de recouvrement
  • Préparateurs de déclarations fiscales
  • Banques
  • Prestataires de services de règlement immobilier
  • Toute autre entreprise qui est "engagée de manière significative" dans des "activités financières".

Termes à connaître :

  • GLBA : Loi Gramm-Leach-Bliley
  • SOX : loi Sarbanes-Oxley de 2002
  • NPI : Informations personnelles non publiques

Soins de santé

Toute organisation travaillant dans le domaine de la santé doit se conformer à la réglementation HIPAA.

  • Régimes de santé
  • Centres d'échange d'informations sur les soins de santé
  • Prestataires de soins de santé
  • les partenaires commerciaux des personnes susmentionnées (y compris VOUS !)

Termes à connaître :

  • HIPAA : Health Insurance Portability and Accountability Act (loi sur la portabilité et la responsabilité de l'assurance maladie) de 1996
  • ePHI : Informations électroniques protégées sur la santé

L'éducation

Tout établissement d'enseignement qui reçoit un financement fédéral, quel qu'il soit, doit respecter la FERPA.

  • Écoles primaires et secondaires publiques
  • Les écoles primaires et secondaires privées ou à charte qui bénéficient d'un financement fédéral.
  • Collèges et universités d'État
  • Les établissements d'enseignement supérieur privés qui bénéficient d'un financement fédéral
  • Toute autre organisation éducative recevant un financement fédéral

Termes à connaître :

  • FERPA : Loi sur les droits et la protection de la vie privée dans le domaine de l'éducation
  • IPI : Informations personnelles identifiables

Gouvernement et armée des États-Unis

Toutes les agences du gouvernement américain et leurs partenaires commerciaux doivent se conformer à la FISMA, qui suit les recommandations du NIST. Fondamentalement, ces organisations doivent adhérer aux recommandations du NIST en tant que règles.

  • Agences du gouvernement fédéral
  • Les entreprises fournissant des services au nom ou à l'intention d'une agence du gouvernement fédéral (y compris VOUS !)

Termes à connaître :

  • FISMA : Federal Information Security Management Act (loi fédérale sur la gestion de la sécurité de l'information)
  • NIST : Institut national des normes et de la technologie

Cinq étapes vers la conformité

Une voie unique pour toutes les industries

Bien que les différents secteurs soient tenus de suivre des lignes directrices différentes, les éléments de sécurité de l'information dont les services informatiques doivent vraiment se préoccuper se recoupent assez bien.

Même si certaines informations personnelles ne sont pas soumises à des normes de conformité, du point de vue informatique, on peut supposer que toutes les informations personnelles des clients, des employés ou autres doivent être protégées contre une violation, une exposition accidentelle ou d'autres transgressions liées à la cybersécurité. 

Afin d'obtenir et de maintenir la conformité à tout protocole de sécurité de l'information imposé par l'industrie ou le gouvernement, vous devez disposer de politiques et de procédures de sécurité des données documentées et validées qui sont utilisées par votre entreprise.

Les cinq étapes que vous devez suivre en tant qu'informaticien en ce qui concerne les politiques et les procédures de cybersécurité sont assez classiques. 

1. Analyse des risques

L'analyse des risques, parfois également appelée analyse des lacunes ou l'évaluation des risques de sécuritéL'évaluation des risques de sécurité est la première étape de l'élaboration d'une politique de sécurité des données. Les évaluations des risques de sécurité doivent être effectuées chaque année, deux fois par an ou à chaque fois qu'un changement survient, comme l'achat de nouveaux équipements ou l'expansion des services de l'entreprise.

L'objectif de l'analyse des risques est de comprendre le système existant et d'identifier les lacunes de la politique et les risques potentiels pour la sécurité. Comme l'explique le Institut SANSLe processus doit permettre de répondre aux questions suivantes :

  • Que faut-il protéger ?
  • Quelles sont les menaces et les vulnérabilités ?
  • Quelles sont les conséquences d'une détérioration ou d'une perte de ces documents ?
  • Quelle est la valeur pour l'organisation ?
  • Que peut-on faire pour minimiser l'exposition à la perte ou au dommage ?

Zones à examiner pour assurer une sécurité adéquate :

  • Configuration des postes de travail et des serveurs
  • Sécurité physique
  • Administration de l'infrastructure de réseau
  • Contrôles d'accès au système
  • Classification et gestion des données
  • Développement et maintenance des applications
  • Menaces existantes et potentielles

Méthodes de sécurité à revoir :

  • Accès et authentification : l'accès doit être physiquement inaccessible à toute personne non autorisée.
  • Gestion des comptes utilisateurs
  • Sécurité des réseaux
  • Contrôle
  • Séparation des tâches
  • Sécurité physique
  • Vérification des antécédents des employés
  • Accords de confidentialité
  • Formation à la sécurité

Ce document de l'Institut SANS donne d'excellentes instructions pour réaliser une analyse de risque approfondie pour votre entreprise.

2. Élaboration de politiques et de procédures

Sur la base des résultats de l'analyse des risques, les politiques et procédures de sécurité de l'information pour la protection des données doivent être mises à jour ou, s'il n'en existe pas, rédigées à partir de zéro.

Identifier, développer et documenter :

  • Un plan complet décrivant les politiques de sécurité des données et de cybersécurité
  • Responsabilités individuelles du personnel en matière de sécurité des données
  • les outils à utiliser pour minimiser les risques liés à la sécurité des données, tels que les caméras de sécurité, les pare-feu ou les logiciels de sécurité
  • Lignes directrices en matière de cybersécurité concernant l'utilisation de l'internet, de l'intranet et de l'extranet

3. Mise en œuvre

Une fois que les politiques et procédures de sécurité de l'information de votre entreprise ont été identifiées, planifiées et documentées, elles doivent être mises en œuvre et suivies.

  • Acheter des logiciels de sécurité et d'autres outils jugés nécessaires.
  • Mettre à jour les logiciels et les systèmes d'exploitation existants qui sont obsolètes
  • Organiser des programmes obligatoires de formation et de sensibilisation à la sécurité pour tous les employés et exiger des signatures sur les documents à lire obligatoirement.
  • Vérifier les antécédents de tous les employés
  • Vérifier les fournisseurs tiers pour s'assurer qu'ils maintiennent et documentent des protocoles de sécurité de l'information identiques ou plus robustes que ceux en place dans votre entreprise.

4. La validation

Afin de prouver que votre entreprise est en conformité avec les réglementations du secteur, vous devez demander à une société tierce de sécurité des données de valider les protocoles et procédures de sécurité de votre entreprise, ainsi que la mise en œuvre de ces politiques et procédures. Ce contrôle doit être effectué chaque année ou tous les deux ans.

Ce processus peut être coûteux, chronophage et intrusif ; cependant, ce type de vérification aidera votre entreprise à maintenir la sécurité des données et ajoutera de la valeur à vos services à l'intention de vos clients.

Un SOC 2 Type II peut couvrir un large éventail d'exigences en matière de sécurité des données réglementées par l'industrie, y compris toutes celles qui sont abordées dans cet article : HIPAA, GLBA, SOX, FERPA, FISMA et NIST.

5. Application de la loi

Les politiques et procédures de sécurité de l'information peuvent être appliquées par le biais de l'éducation et de sanctions.

Vous avez peut-être remarqué que l'éducation relève à la fois mise en œuvre et l'application. Il s'agit de la partie la plus importante de la sécurité de l'information de votre entreprise et elle doit être proposée en permanence. Des programmes obligatoires de formation et de sensibilisation à la sécurité des données doivent être programmés pour les employés afin de garantir la protection des données sensibles et confidentielles. Veillez à ce que toute personne susceptible de toucher des données protégées reçoive une formation sur les politiques et les risques actuels, et à ce qu'elle soit tenue au courant des mises à jour des politiques ou de l'identification de nouveaux risques.

Par exemple, assurez-vous que tous les employés concernés sont conscients des menaces de cybersécurité telles que les escroqueries par hameçonnage, de la manière de les identifier, de ce qu'il faut faire si quelqu'un pense être ciblé et de ce qu'il faut faire s'il a été victime d'une telle escroquerie, exposant éventuellement des données protégées. Au fur et à mesure de l'apparition de nouveaux types d'escroqueries, envoyez des courriels à l'ensemble de l'entreprise pour expliquer en détail les méthodes d'identification et de protection.

La deuxième partie de l'application consiste à éliminer la tentation d'ignorer les protocoles de sécurité des données et à encourager le respect des règles. Cela peut se faire en imposant des sanctions, financières ou autres, à ceux qui ne respectent pas les procédures importantes.

Vet DriveSavers
  • Sécurité
  • Conformité de l'industrie

La conformité du secteur et la sécurité globale des données seront aider à préserver la sécurité des données de votre organisationet constituent un excellent argument de vente lors de la prospection de clients.

Pour en savoir plus

Articles connexes

Mike Cobb, directeur de l'ingénierie et RSSI
En tant que directeur de l’ingénierie, Mike Cobb gère les opérations quotidiennes du département d’ingénierie, y compris la récupération physique et logique des supports rotatifs, des SSD, des appareils intelligents et des supports flash. Il supervise également les efforts de recherche et développement sur les technologies de stockage passées, présentes et futures. Mike favorise la croissance et veille à ce que chaque département et ses ingénieurs continuent d’acquérir des connaissances dans leur domaine. Chaque ingénieur de DriveSavers est formé pour faire de la récupération complète et réussie des données sa priorité absolue.

En tant que Chief Information Security Officer (CISO), Mike supervise la cybersécurité chez DriveSavers, notamment en maintenant et en mettant à jour les certifications de sécurité telles que la conformité SOC 2 Type II, en coordonnant la politique de sécurité de l’entreprise et en assurant la formation des employés en cybersécurité.

Mike a rejoint DriveSavers en 1994 et est titulaire d'un diplôme en informatique (B.S.) de l'Université de Californie à Riverside.

TwitterFacebookLinkedIn
Haut de page
Rechercher