Inside Job: comment prévenir les violations de données d'employés


Inside Job: comment prévenir les violations de données d'employés

Bien que les entreprises soient toujours exposées aux menaces de sécurité des données provenant de l'extérieur, les activités des employés causent aussi une part équitable des violations de données, selon un nouveau sondage.

Spectorsoft fournisseur de solutions, a publié son enquête "Insider menace: vivant et prospère" aujourd'hui (24 septembre), révélant que 23 pour cent des entreprises ont subi une violation de données de l'intérieur.

Selon l'enquête, la propriété intellectuelle (PI) est l'un des types de données les plus fréquemment violés. En outre, la propriété intellectuelle, les plans d'affaires, les conceptions technologiques et les fusions et acquisitions sont enfreints 44% du temps. Les employeurs ont également déclaré que 47% des anciens employés ont rompu les accords de confidentialité et de non-divulgation, en recueillant les informations sur la société avant qu'ils ne quittent l'organisation.

L'étude révèle également que les entreprises ont mis en place des protocoles pour éviter les violations de données. De nombreux employés rompent souvent avec la politique de l'entreprise. Cinquante-trois pour cent des entreprises ont déclaré que leurs employés utilisaient des appareils d'entreprise pour envoyer des informations commerciales à des comptes de messagerie électronique et de partage de fichiers personnels, tels que Gmail et DropBox. Jason Judge, PDG de SpectorSoft, a contacté MobbyBusiness et fourni les conseils suivants sur l'atténuation des violations de données et le suivi des employés:

MobbyBusiness:

Quelles mesures les employeurs peuvent-ils prendre pour appliquer les politiques de l'entreprise? Jason Judge:

Tout d'abord, assurez-vous que les employés sont au courant des politiques de votre organisation. Avoir simplement un manuel d'employé ou une politique d'utilisation acceptable ne signifie pas que quelqu'un les a lues. Avoir les employés reconnaissent qu'ils sont au courant des politiques d'utilisation acceptables et qu'ils les ont lus. Tout ce que votre organisation permet continuera à avoir lieu. Vous avez besoin d'un moyen de valider la conformité avec les politiques. Vous devez laisser les employés qui enfreignent [ces règlements] savoir que les politiques existent pour une raison et qu'elles seront appliquées. Mobby Business:

Quels types de contrôles les employeurs peuvent-ils mettre en œuvre pour éviter les violations IP? JJ:

Assurez-vous que votre organisation gère les utilisateurs qui ont accès à ce type d'information critique et confidentielle. Il y a des personnes qui ont légitimement besoin d'un accès - assurez-vous que l'accès est limité à ces personnes. Maintenant, la question devient: "Comment vous assurez-vous que les gens utilisent les accès qui leur sont accordés correctement?" C'est le défi unique posé par la menace interne. Je crois que vous devez vous concentrer sur l'activité des initiés eux-mêmes. De cette façon, vous avez un dossier clair de ce qui a été fait et du contexte pour comprendre pourquoi cela a été fait. Il y a beaucoup de solutions axées sur la prévention de l'accès non autorisé, mais elles ne peuvent pas traiter efficacement la menace interne. S'il s'agissait simplement de définir les bonnes autorisations, nous ne verrions pas autant d'histoires sur le vol de données. Mobby Business:

Comment les employeurs peuvent-ils s'assurer que les anciens employés respectent les accords de confidentialité et de non-divulgation? Les employeurs de CAN font cela? J.J.:

Ils peuvent. Le vol de modèles IP créés par le CERT - la division de la cyberdéfense et de la sécurité du Software Engineering Institute de l'Université Carnegie Mellon - montre que la plupart des initiés volent la propriété intellectuelle dans les 30 jours suivant leur départ d'une organisation. Lorsque quelqu'un donne un avis, il est logique de commencer à surveiller activement son activité pour protéger vos informations. Mieux, si vous avez un journal d'activité détaillé de 30 jours pour tous les employés, vous pouvez simplement vérifier les dossiers et s'assurer que rien n'a été pris avant ou après l'avis. Si vous trouvez des preuves de vol d'IP, vous pouvez y faire face rapidement et de manière proactive. Mobby Business:

Les fournisseurs de messagerie personnels et de partage de fichiers en ligne populaires sont généralement sécurisés. Qu'est-ce qui les rend dangereux lorsqu'ils transmettent des informations sur une entreprise et comment les employeurs peuvent-ils empêcher les employés d'utiliser ces services? J.J.:

Le problème n'est pas la sécurité de ces services. C'est le fait que les données de l'entreprise ont quitté le contrôle de l'entreprise. Une fois qu'il est passé à l'une de ces solutions, il n'y a aucun moyen pour l'entreprise ou les responsables de la sécurité de la protéger, ou même de savoir où elle se trouve. Les entreprises devraient établir des politiques sur qui peut et ne peut pas utiliser ces types d'offres. Cela dit, je ne sais pas si les employeurs peuvent les empêcher complètement d'être utilisés par des employés qui veulent les utiliser. De nouveaux services apparaissent tout le temps. Et pour la plupart, les employés les utilisent pour augmenter leur productivité. Trouver et bloquer tous n'est pas facile. Les solutions de prévention des pertes de données ont un rôle à jouer ici, mais elles ne sont pas sensibles au contexte. Vous devez être averti lorsque des données sensibles sont téléchargées sur l'une de ces offres, et vous devez avoir une image claire de l'activité de l'utilisateur menant à cette alerte - afin que vous puissiez comprendre si vous avez un employé qui prend du travail à la maison pour l'amélioration de l'entreprise, ou une question de sécurité qui doit être traitée. Sinon, vous risquez d'être submergé par des faux positifs. Mobby Business:

La confidentialité est un énorme problème. Comment les entreprises parviennent-elles à surmonter les problèmes de confidentialité liés aux logiciels de surveillance des employés? J.J.:

Les recherches montrent que les employés ne voient pas la surveillance pendant les heures de travail sur les ordinateurs de l'entreprise comme une atteinte à la vie privée. Beaucoup s'y attendent, 91% des employés acceptant que leurs activités et comportements informatiques soient surveillés pendant les heures de travail. Pour que les employeurs puissent déployer plus facilement des solutions de surveillance des activités à une époque où la confidentialité est un problème, nous avons conçu Spector 360 Recon pour trouver un équilibre entre les deux facteurs essentiels.


Smart Energy: utiliser l'IoT et l'IA pour réduire les déchets et augmenter les profits

Smart Energy: utiliser l'IoT et l'IA pour réduire les déchets et augmenter les profits

Réduire le gaspillage et la gestion responsable de l'énergie est devenu une nécessité pour les entreprises qui cherchent à consolider leur image auprès du public. Cependant, tout en passant au vert est certainement un objectif éthique louable, c'est aussi un budget responsable. Les entreprises qui mettent en œuvre des stratégies vertes - telles que la réduction des déchets, l'efficacité énergétique et la maintenance prédictive - font invariablement économiser de l'argent à long terme.

(Entreprise)

Insightly fondateur Anthony Smith sur CRM pour les petites entreprises

Insightly fondateur Anthony Smith sur CRM pour les petites entreprises

Anthony Smith a passé six mois à construire la première version de son logiciel de gestion de projet et de gestion de la relation client, Insightly, chez lui. Aujourd'hui, il est PDG de sa société basée à San Francisco et aide les petites entreprises à rationaliser leurs processus relationnels et à améliorer la collaboration en équipe.

(Entreprise)