Data Management
Les entreprises considèrent souvent les données comme l’un de leurs actifs les plus importants ; Cependant, tenter de protéger toutes les données dans les entreprises modernes peut entraîner des coûts insoutenables ou des risques inacceptables. L’objectif d’une gestion efficace des données est de garantir que les données sont correctement protégées en fonction de leur valeur à tout moment et en tous lieux, y compris au repos, en transit, pendant le traitement et lors de leur consultation.
Pour déterminer les protections de données appropriées, il faut d’abord identifier les données en fonction de leur utilisation, puis les classer en fonction de leur valeur, qui découle de l’importance des processus métier qui les utilisent. La protection des données commence donc dès la réception. Au moment de la collecte des données, le but et l’intention de la collecte sont généralement clairement compris, et c’est le moment opportun pour classer les données sur cette base.
La validation des données peut être effectuée avec une liste blanche de données autorisées ou une liste noire de données interdites. Une liste blanche est l’approche privilégiée dans les environnements où la validation des entrées repose sur des valeurs statiques ou changeant rarement, où il est plus facile d’anticiper quelles valeurs seraient raisonnables que d’anticiper quelles valeurs seraient malveillantes. L’utilisation d’une bibliothèque de listes blanches commune peut garantir que la validation des données se produit de manière cohérente dans différentes applications.
Les listes noires sont utiles dans les environnements où la gamme de valeurs valides est extrêmement large, mais où seules quelques valeurs connues doivent être interdites (comme une recherche de gros mots), et elles sont soit complètement statiques, soit rarement mises à jour.
L’un des éléments les plus importants de la protection des données est le contrôle des niveaux d’autorisation et de permission des utilisateurs qui peuvent accéder aux données et aux applications. Le professionnel du risque doit s'assurer que les utilisateurs disposent des autorisations minimales nécessaires à l'exécution de leurs fonctions et que ces privilèges ne sont accordés que pour les périodes nécessaires, une approche de gestion des autorisations connue sous le nom de « moindre privilège ».
Les données circulent souvent entre les réseaux et les systèmes pour servir divers objectifs au sein des organisations. Pendant leur transit, les données peuvent être vulnérables à l’interception et à l’élimination non autorisée (exfiltration). Les entreprises peuvent limiter le risque de transfert de données en envoyant des données entre les points de terminaison du réseau à l'aide d'un cryptage, tel que Transport Layer Security (TLS), qui apparaît comme le préfixe https : dans les adresses Web.
Enfin, les données doivent également être protégées lorsqu’elles sont au repos, ce qui implique de conserver les données sensibles sur des réseaux distincts ou sur des systèmes qui ne sont pas accessibles au personnel non autorisé grâce à une combinaison de contrôles d’accès physiques ou basés sur les rôles.
Comment gérez-vous vos données ?
Pour déterminer les protections de données appropriées, il faut d’abord identifier les données en fonction de leur utilisation, puis les classer en fonction de leur valeur, qui découle de l’importance des processus métier qui les utilisent. La protection des données commence donc dès la réception. Au moment de la collecte des données, le but et l’intention de la collecte sont généralement clairement compris, et c’est le moment opportun pour classer les données sur cette base.
La validation des données peut être effectuée avec une liste blanche de données autorisées ou une liste noire de données interdites. Une liste blanche est l’approche privilégiée dans les environnements où la validation des entrées repose sur des valeurs statiques ou changeant rarement, où il est plus facile d’anticiper quelles valeurs seraient raisonnables que d’anticiper quelles valeurs seraient malveillantes. L’utilisation d’une bibliothèque de listes blanches commune peut garantir que la validation des données se produit de manière cohérente dans différentes applications.
Les listes noires sont utiles dans les environnements où la gamme de valeurs valides est extrêmement large, mais où seules quelques valeurs connues doivent être interdites (comme une recherche de gros mots), et elles sont soit complètement statiques, soit rarement mises à jour.
L’un des éléments les plus importants de la protection des données est le contrôle des niveaux d’autorisation et de permission des utilisateurs qui peuvent accéder aux données et aux applications. Le professionnel du risque doit s'assurer que les utilisateurs disposent des autorisations minimales nécessaires à l'exécution de leurs fonctions et que ces privilèges ne sont accordés que pour les périodes nécessaires, une approche de gestion des autorisations connue sous le nom de « moindre privilège ».
Les données circulent souvent entre les réseaux et les systèmes pour servir divers objectifs au sein des organisations. Pendant leur transit, les données peuvent être vulnérables à l’interception et à l’élimination non autorisée (exfiltration). Les entreprises peuvent limiter le risque de transfert de données en envoyant des données entre les points de terminaison du réseau à l'aide d'un cryptage, tel que Transport Layer Security (TLS), qui apparaît comme le préfixe https : dans les adresses Web.
Enfin, les données doivent également être protégées lorsqu’elles sont au repos, ce qui implique de conserver les données sensibles sur des réseaux distincts ou sur des systèmes qui ne sont pas accessibles au personnel non autorisé grâce à une combinaison de contrôles d’accès physiques ou basés sur les rôles.
Comment gérez-vous vos données ?
Commentaires
Enregistrer un commentaire