Le RGPD est un « troisage » cette année, et malgré la lutte contre les deux terribles, de nombreuses organisations ont toujours du mal à protéger leurs données. Rien que l’année dernière, le Royaume-Uni avait la deuxième valeur totale d’amendes RGPD la plus élevée dans toute l’UE, les entreprises payant 39,7 millions de livres au total. Et, au début de l’année, les chiffres indiquaient que les amendes RGPD avaient atteint 245 millions de livres sterling.
A propos de l’auteur
Wim Stoop, directeur client et produit CDP, Cloudera.
Le risque d’amendes ne se limite toutefois pas au RGPD. Actuellement, 128 pays disposent d’une législation sur la protection des données et la confidentialité, notamment CCPA, CCPA, PSD2, GLBA et une multitude d’autres acronymes.
Dans le même temps, le paysage des affaires a considérablement changé au cours des trois dernières années – la mention obligatoire du Brexit et du COVID-19. Pour compliquer le défi de la protection des données, la législation elle-même n’aurait pas pu prévoir l’adoption rapide des technologies ou le passage accéléré au cloud computing causé par la pandémie. Un risque aggravé par une augmentation sans précédent du travail à distance et des employés utilisant des appareils domestiques et des réseaux, qui sont presque certainement moins sécurisés que ceux que l’on trouve dans l’environnement de l’entreprise.
Ce ne sont pas de nouvelles préoccupations en matière de gestion et de protection des données, mais le problème est que peu d’entreprises étaient préparées à la rapidité avec laquelle les choses ont dégénéré. Après tout, beaucoup se sont concentrés sur la transformation numérique pour simplement maintenir leur entreprise en marche, de sorte que la sécurité dans la conception de nouveaux systèmes et processus a souvent été négligée, même si ce n’est pas par choix. La bonne nouvelle est que des enseignements précieux ont été tirés, notamment en matière de protection et de gestion des données pour garantir la conformité. Et en discutant avec nombre de nos propres clients, nous pouvons en partager quelques-uns.
Sommaire
Garder une longueur d’avance sur la conformité RGPD
On passe du réactif au proactif, en ce qui concerne la sécurité et la conformité des données. De nombreuses entreprises commencent à adopter une approche proactive de la sécurité des données et reconnaissent que garantir le respect de la réglementation signifie établir une base solide en adoptant la bonne infrastructure informatique. Ils ont commencé à identifier à quel point leurs données sont sensibles et attribuent le bon niveau de sécurité à des degrés divers. Qu’il s’agisse de données personnelles, telles que la biométrie, jusqu’à des informations accessibles au public, telles que votre adresse ou le titre de votre poste. Une fois classées, les entreprises peuvent appliquer les règles de protection des données appropriées, par exemple en restreignant l’accès en fonction des exigences d’autorisation et du niveau de sensibilité matérielle.
Pour certaines entreprises, cela impliquera de passer par un processus d’identification réactif, mais néanmoins vital, car la gestion proactive des données nécessite d’abord de mettre de l’ordre dans votre maison. La prochaine étape consiste à combler les lacunes dans l’identification, le suivi et la classification de toutes les données d’une entreprise en temps réel. Pour ce faire, la mise en place d’une marketplace de données ou la mise en œuvre d’une fabrique de données offre aux organisations un référentiel de données sécurisé à partir duquel la sensibilité des données peut être évaluée dès le départ.
Dans le cadre de la création d’un marché de données, les entreprises doivent regarder au-delà des cas d’utilisation et des sources d’informations individuelles disponibles et les comprendre du point de vue de la qualité et des métadonnées. L’adoption de ce processus se prête naturellement à l’enracinement du respect de la vie privée dans l’entreprise. L’exercice du contrôle et de la connaissance de chaque élément de données signifie qu’une entreprise peut empêcher le verrouillage des données, réduire les frictions pour les employés en raison du contrôle des données et tirer le meilleur parti des données.
Une solution de données d’entreprise prête à l’emploi
Une autre pièce clé du puzzle pour respecter le RGPD et d’autres normes de conformité réside dans la protection des données. Pour qu’une entreprise bénéficie pleinement de son approche de sécurité et de gouvernance établie, l’application de la stratégie à tous ses ensembles de données à travers l’entreprise – que ce soit sur site ou dans le cloud – est une bonne pratique. Dans ce domaine, les entreprises ont constaté que l’utilisation du stockage cloud pour la gestion des données augmente donc considérablement, d’autant plus qu’il leur donne accès à des solutions à faible coût et évolutives.
En réponse, les clouds de données d’entreprise (EDC) gagnent en popularité. Ils offrent une plate-forme hybride et multi-cloud qui assure la sécurité dans différents environnements et exploite les analyses à chaque étape du cycle de vie des données. Les données sont visibles pour l’organisation, où qu’elles se trouvent, ce qui facilite leur gestion. La place d’EDC dans les opérations existantes et les fonctions de support des données, permettant aux données d’être entièrement protégées lorsqu’elles transitent par l’infrastructure de l’entreprise jusqu’au marché des données. Cela fournit finalement des données fiables et régies aux utilisateurs finaux pour qu’ils puissent relever leurs défis commerciaux.
Le gouverneur ; conduite de haut en bas
Pour définir des normes de gouvernance respectées, les entreprises se rendent compte qu’une approche tonalité au sommet est cruciale pour atténuer les défis de conformité réglementaire et peut aider à réduire la complexité de la sécurité des données transfrontalières. L’implication des parties prenantes de haut niveau dans les projets liés à la conformité améliore la maturité de la conformité, la formation à tous les niveaux de l’organisation étant un élément essentiel. Cette approche encourage également, par nécessité, une entreprise à décomposer les différentes étapes nécessaires pour devenir conforme, ce qui fournit à son tour une feuille de route à suivre.
Si une nouvelle règle GDPR est introduite, une approche descendante voit les exigences répertoriées et signalées aux services concernés, mettant en évidence les changements fonctionnels dans les systèmes et les documents, ainsi que les mises à jour des politiques et des procédures, et les délais et délais associés. L’intégration de cela dans la culture de l’entreprise établit une base de référence sécurisée pour vos systèmes.
Du point de vue de la cybersécurité, une approche descendante signifie que l’équipe informatique n’est plus seule responsable de la pile technologique. Les départements ne travaillent plus en silo et toutes les équipes comprennent le rôle qu’elles jouent dans la cybersécurité. Les systèmes ne sont sécurisés que par le membre de l’équipe le moins soucieux de la sécurité, ce qui nous amène à comprendre que la confidentialité et la conformité des données ne se limitent pas aux problèmes de technologie et de traitement ; il s’agit aussi des gens.
Le facteur humain : conduire de bas en haut
L’année dernière a appris à de nombreuses organisations que la technologie à elle seule ne suffit pas à rendre une entreprise conforme ; les personnes et les processus à l’origine de cette technologie doivent également être en harmonie pour garantir le respect des réglementations nouvelles et existantes en matière de protection des données.
L’essor du travail à distance, couplé à des équipes réduites – deux symptômes de la pandémie – a mis en évidence pour les entreprises que bien que les données sensibles qu’elles traitent puissent être cryptées avec un accès restreint, l’utilisation d’appareils en dehors des paramètres de sécurité du réseau constitue une menace réelle. Et bien que les responsables informatiques fassent confiance à leur personnel, il est inquiétant de constater que près de la moitié des employés travaillant à domicile avouent qu’ils sont moins susceptibles de suivre des pratiques de données sécurisées, soit parce qu’ils sont distraits, soit parce que l’équipe informatique n’est pas là pour surveiller leurs actions.
Le lieu de travail moderne n’étant plus lié à un environnement de bureau, la création d’îlots de gouvernance – dans lesquels les employés et les départements disposent de garanties pour assurer la conformité des données – est perdue. Pour que les entreprises puissent surmonter cela, un cadre global pour fournir une norme pour la gouvernance des données est impératif. Pour les entreprises, cela nécessite une gestion proactive des données et la bonne technologie, comme les EDC, fonctionnant à l’unisson avec un personnel informé et expérimenté pour assurer la conformité réglementaire de bas en haut. Cette combinaison d’une approche descendante et ascendante fournit le cadre permettant aux entreprises de définir les règles nécessaires à la conformité réglementaire sans sous-estimer l’importance du personnel et de ses connaissances pratiques de première main comme fondamentales pour l’administration des protocoles de sécurité des données.
Dans un scénario où une violation de données se produit, un signalement précoce peut non seulement réduire les dommages, mais également les amendes associées – avoir les outils pour identifier ces violations est essentiel, mais avoir un personnel vigilant sachant ce qu’il faut rechercher et sachant repérer les anomalies fournit cet avantage supplémentaire .
La protection des données au-delà d’aujourd’hui
Les volumes de données toujours croissants et les vulnérabilités de sécurité résultant du travail à distance signifient que les entreprises doivent rester au top de la protection des données dès le départ. Le RGPD et d’autres lois sur la protection des données exigent une preuve de conformité. Et l’utilisateur d’aujourd’hui s’attend à ce que sa vie privée soit respectée et complétée par la transparence des entreprises qui traitent et stockent leurs données. En se tenant à jour et en respectant les normes GDPR, les entreprises peuvent non seulement renforcer la confiance du public et des utilisateurs – au profit de leur réputation – mais, dans ce processus, peuvent également créer des stratégies de confidentialité des données étanches qui les maintiennent en conformité avec d’autres gestion et protection des données. réglementations en dehors du RGPD.
