Des employés dispersés signifient des données dispersées – Serveur d’impression
Des employés du monde entier ont récemment été invités à travailler à domicile en réponse à COVID-19. Bien que cela ne soit pas nouveau pour beaucoup – dans le monde, 52% des employés travaillent à domicile au moins une fois par semaine – cette nouvelle période de travail à distance régulier représente un territoire inexploré pour des millions d'employés et des milliers d'organisations dans le monde entier, couvrant toutes les industries.
Le travail à distance apporte ses défis spécifiques, allant de la recherche d'un espace de travail idéal à la communication continue entre clients, prospects, fournisseurs et collègues. Mais l'un des plus grands obstacles associés au travail à distance est également l'un des plus négligés – garantir que les organisations comprennent le risque de dispersion des données.
Par exemple, pour qu'une organisation reste en communication étroite avec ses employés, elle peut héberger des vidéoconférences régulières à l'échelle de l'entreprise. Au cours de ces réunions virtuelles, un dirigeant peut filtrer des informations sensibles, telles que les futures feuilles de route des produits, les chiffres de vente, les événements juridiques et plus encore. De nombreux dirigeants font confiance à leurs employés pour ne pas divulguer ces informations, mais la confiance est-elle jamais suffisante? Que se passe-t-il lorsqu'une capture d'écran ou un écran d'un membre du personnel enregistre ces informations et les enregistre sur leur disque personnel sur le cloud? Bien qu'il s'agisse d'un acte inoffensif, il présente une nouvelle vulnérabilité de données inconnue qui peut être exploitée si elle n'est pas sécurisée correctement.
Dans un autre scénario, lorsque les professionnels de la vente déplacent les prospects vers les clients, où stockent-ils les propositions, les contrats signés et les autres informations sensibles nécessaires au cours du processus d'intégration? La plupart stockent des documents dans plusieurs endroits, certains des plus courants, notamment dans les dossiers locaux «Mes documents»; synchronisé sur les dossiers de stockage cloud; téléchargé sur les systèmes CRM; archivé dans les courriels «Éléments envoyés»; re-téléchargé sur un dossier «Mes téléchargements»; partagé via des applications de chat interne, ce qui conduit d'autres personnes à le stocker dans d'autres endroits également.
Tout comme la main-d’œuvre est répartie à travers le monde, les données de l’organisation le sont plus que jamais. Avec les meilleures pratiques suivantes, votre entreprise peut créer de manière proactive des systèmes et des politiques pour créer un environnement de travail à distance plus sécurisé:
Sommaire
De quel appareil s'agit-il, de toute façon?
Lorsque vous travaillez à distance, il est important de commencer par établir une position claire de l'entreprise sur la propriété des appareils, d'autant plus que le BYOD n'a augmenté que sur le lieu de travail au fil du temps. En règle générale, une organisation appartient à l'une des trois catégories de propriété des appareils:
● Tous les appareils utilisés appartiennent à l'entreprise
● Tous les appareils utilisés appartiennent à l'employé
● Certains appareils appartiennent à l'entreprise, tandis que d'autres appartiennent à l'employé
La propriété complète de l'appareil par l'entreprise est le scénario idéal pour la plupart des organisations, car elle permet un contrôle total sur tous les appareils, ce qui permet à la surveillance à distance de valider tout appareil est sûr et sécurisé pour une utilisation. Cela pose le risque le plus faible. D'un autre côté, cette option est également disponible au coût le plus élevé, car elle nécessite que l'entreprise maintienne un ordinateur portable et un logiciel de sécurité approprié pour chaque membre du personnel.
Parfois, une organisation n'a pas le choix et les employés sont obligés d'utiliser leurs propres appareils lorsqu'ils travaillent à distance. Bien qu'il s'agisse d'une option à faible coût et que le temps de déploiement soit plutôt court, cela entraîne également des conséquences importantes. Le travail à partir d'appareils appartenant aux employés présente le plus grand risque de sécurité, car les données sensibles de l'entreprise seront inévitablement stockées sur des appareils n'appartenant pas à l'entreprise. Cela peut également entraîner des violations potentielles de la confidentialité et de la conformité, ce qui peut conduire une entreprise à sa fin.
Les organisations qui mettent en œuvre une approche hybride, ce qui signifie qu'une gamme d'appareils appartenant à l'entreprise et employés par les employés sont utilisés sur le tas, feront face à des défis importants. D'une part, les équipes informatiques n'ont pas la visibilité appropriée pour différencier un «utilisateur sûr» d'un «voyou», et cela crée une confusion interne sur la façon dont certaines politiques s'appliquent à chaque appareil. En outre, les entreprises qui souhaitent éliminer complètement l'utilisation des appareils personnels sont confrontées à des problèmes liés à la chaîne d'approvisionnement. Les livraisons de matériel continuent d'être retardées en raison de perturbations de la chaîne d'approvisionnement, ce qui signifie que même si les entreprises souhaitent déployer des appareils gérés et verrouillés conformes aux normes de l'entreprise, ils ont recours à des mesures temporaires – l'utilisation d'appareils d'employés non gérés – pour ne pas perturber la productivité.
Quels que soient les appareils utilisés par une organisation, une chose reste constante: le leadership doit établir une position claire de l'entreprise. Les employés fournissent leur propre équipement ou l'entreprise le fournira, sans les eaux troubles d'une approche hybride. Cela permettra ensuite à l'organisation d'élaborer des politiques de sécurité appropriées autour des appareils utilisés, mettant ainsi tout le personnel sur la même page.
Définir et partager la norme de sécurité
Tout aussi essentiel qu'un espace de travail silencieux et une connexion Internet forte est une norme de sécurité à suivre pour les employés distants.
Dans le cadre de ces directives, les organisations doivent veiller à ce que les employés distants disposent du WiFi crypté WPA2. Il est recommandé d'activer la fonction Réseau invité et de déplacer tous les appareils non essentiels (tels que votre réfrigérateur intelligent, votre télévision, vos services de streaming et plus) vers ce réseau. Gardez le réseau principal propre pour un usage professionnel.
Ensuite, si vous fournissez un appareil appartenant à l'entreprise, assurez-vous que seuls les employés l'utilisent. En donnant accès à la famille ou aux colocataires, cela augmente les chances de visiter des sites non sécurisés. Pire encore, si une organisation utilise la journalisation par proxy d'entreprise, l'employé doit comprendre que l'entreprise enregistre tout pour des raisons de sécurité – si un membre de la famille commence à visiter des sites Web non productifs, c'est-à-dire dans le journal de l'employé.
Enfin, dans le cadre des normes de sécurité pour tous les employés, souligner qu'un appareil est une extension du réseau de l'entreprise de confiance. Ne l'utilisez pas pour accéder au stockage personnel, y compris aux lecteurs portables, ou copier des supports personnels sur l'appareil. Demandez à tous les employés de lire les normes et de les signer. Faites circuler les lignes directrices au moins une fois par trimestre, afin que les employés comprennent l'importance d'une approche sécurisée du travail à distance.
N'oubliez pas les imprimantes
Il est important de prendre en compte les imprimantes personnelles dans les normes de sécurité d’une organisation. S'il est nécessaire d'imprimer des documents physiques pendant le travail à distance, l'organisation doit prendre en compte les éléments suivants afin de fournir une politique et une position sur l'impression:
● Faut-il autoriser l'utilisation d'imprimantes personnelles?
● Le personnel devrait-il déplacer les documents commerciaux sur un ordinateur personnel pour les imprimer? Est-ce que cela violerait par inadvertance la politique de traitement des données personnelles sur les systèmes non professionnels?
● Y aura-t-il un besoin commercial justifié d'en tenir compte?
● Si votre entreprise par défaut est de verrouiller l'appareil, comment autoriserez-vous la configuration d'une imprimante personnelle via USB ou réseau?
Il existe plusieurs façons de relever le défi de l'impression, qui ne s'excluent pas mutuellement, notamment:
● Établissez des contrôles techniques lorsque cela est possible. Par exemple, les plates-formes cloud Google et Office365 / Azure fournissent des options pour limiter l'impression et le téléchargement de documents afin de réduire les fuites de données.
● Pensez à des scénarios où l'impression est une véritable exigence, comme la signature de documents avec des signatures originales. Demandez: Pouvez-vous atténuer cette exigence? Les utilisateurs traditionnels sur support papier peuvent-ils être formés à se fier uniquement à l'examen des documents à l'écran? Sinon, quel niveau d'ancienneté ou quels rôles ont une raison vraiment justifiée d'imprimer?
Plus important encore, quelle que soit l’approche, assurez-vous que la politique de sécurité de l’organisation exprime clairement sa position sur l’impression des documents. Soutenez cela avec une formation claire et assurez-vous que des rafraîchissements sont fournis pour tout le personnel à distance couvrant les principaux domaines de risque pertinents, y compris l'impression ou la sauvegarde des données de l'entreprise sur les appareils locaux.
Effectuer des analyses régulières des postes de travail
Une fois qu'une organisation définit les appareils pouvant être utilisés et les mesures de sécurité appropriées lorsqu'elle y travaille, elle doit également effectuer un nettoyage régulier des données stockées sur les espaces de travail. Régulièrement, et en particulier dans l'environnement de travail distant d'aujourd'hui, prenez le temps d'effectuer un balayage de découverte de données sur les serveurs, les bases de données, les postes de travail et dans le cloud. Assurez-vous que les données sensibles sont hébergées de manière responsable et conforme et que les employés ne sont pas négligents avec ces actifs précieux.
Le moment est également venu de réévaluer la stratégie de sauvegarde des données existante d’une organisation, ce qui a toujours posé un défi pour de nombreuses organisations. Il est maintenant temps de demander:
● Va-t-il continuer à fonctionner tel quel ou doit-il être modifié pour tenir compte de la nature éloignée du travail?
● Si un employé perd des données précieuses ou n'a pas d'appareil fonctionnel, comment peut-il se remettre en marche et fonctionner en un minimum de temps?
● L'entreprise a-t-elle une stratégie de sauvegarde par défaut sur le serveur / sauvegarde sur le cloud de l'entreprise pour limiter les données enregistrées sur les appareils locaux? Et la politique de l'entreprise le soutient-elle?
● Les appareils distants sont-ils régulièrement sauvegardés? Si non, ou impossible à mettre en œuvre, quels contrôles d'atténuation peuvent être mis en œuvre pour contourner ce risque?
En règle générale, la meilleure stratégie consiste à éliminer ou à minimiser le risque de sauvegarde des données sur les terminaux. cependant, cela n'est souvent pas impossible à éviter. Cela renforce la nécessité de surveiller les données sensibles sur tous les emplacements possibles, y compris les points de terminaison. En garantissant que la propagation des données sensibles est minimisée, le risque associé de violation de données peut être contenu et atténué.
À l'heure actuelle, des décisions rapides sont prises et ces choix peuvent avoir un impact à vie sur une organisation. Ne laissez pas la posture de risque de sécurité tomber de la liste des priorités – utilisez la main-d'œuvre distante comme un moyen de la rendre plus forte que jamais.
A propos de l'auteur:
Stephen Cavey est un co-fondateur de Labos au sol, à la tête d'une équipe mondiale habilitant ses clients à découvrir, identifier et sécuriser les données sensibles dans leurs organisations. En tant que chef évangéliste, il dirige le développement de ses produits, ses ventes et son marketing ainsi que ses opérations commerciales dans le monde entier et a contribué à étendre la présence de Ground Labs auprès des entreprises clientes. Stephen possède une expertise approfondie dans le domaine de la sécurité avec un accent sur les paiements électroniques et la conformité de la sécurité des données. Il intervient fréquemment lors d'événements de l'industrie sur des sujets liés à la sécurité des données, à l'atténuation des risques et aux tendances et futurs de la cybersécurité. Il a commencé Ground Labs après avoir occupé des postes d'ingénierie et de direction chez Paycorp Holdings (qui fait maintenant partie de MYOB), un fournisseur de solutions de paiement électronique intégrées et Webpay, un fournisseur de services de paiement acquis par la suite par Fidelity.
Commentaires
Laisser un commentaire