La droite espagnole bondit dans les sondages locaux, portant un coup…

iOS 16.6 Beta introduit une fonctionnalité de confidentialité BIG sur…

juan jerez capture la grandeur moderniste d’une villa restaurée…

cybersécurité

Vos plus grands risques de cybersécurité pourraient se trouver à l’intérieur de votre organisation

Lire aussi :

ChatGPT confirme la violation de données, soulevant des…

La cybersécurité rencontre l’IA : augmenter et…

À mesure que le monde numérique continue de croître, le volume, la variété et la rapidité des cybermenaces et des attaques augmentent également. Le monde est inondé de données et il y a toujours quelqu’un qui essaie de les transformer en sa propre monnaie virtuelle.

Aujourd’hui, les logiciels malveillants et les rançongiciels frappent tout, de nos téléphones portables personnels aux infrastructures critiques et aux chaînes d’approvisionnement. Qu’il s’agisse de phishing, de smishing ou de vishing, les attaquants deviennent également plus sophistiqués, utilisant des détails sur notre vie personnelle et professionnelle pour nous inciter à partager nos données.

Mais dans un monde où tout le monde est une cible, les entreprises doivent également comprendre leur exposition aux risques liés à à l’intérieur leurs organisations. Aujourd’hui, plus de 300 millions de personnes travaillent à distance pour créer, accéder, partager et stocker des données où qu’elles aillent et les violations de données résultant de menaces internes et de simples incidents peuvent coûter aux entreprises en moyenne 7,5 millions de dollars par an. Considérez la violation de données de Cash App en 2022, où un ancien employé a accédé aux rapports financiers des clients après avoir été licencié. La violation a probablement touché 8,2 millions de clients actuels et anciens.

En fin de compte, peu importe si la violation était intentionnelle ou accidentelle. Les programmes de gestion des risques internes doivent faire partie de la stratégie de sécurité de chaque entreprise. Pour réussir, les organisations doivent diriger avec leurs employés en tant que partenaires dans l’effort et compléter leur programme avec des outils avancés qui détectent et atténuent les risques internes où qu’ils surviennent.

Voici quatre leçons que j’ai apprises en tant que CISO chez Microsoft, en gérant notre programme de gestion des risques d’initiés au fur et à mesure qu’il est passé d’une petite initiative interne à une unité commerciale qui relève du PDG.

1. Prioriser la confiance et la confidentialité des employés

Ce point vient en premier pour une raison. Dans les affaires et dans la vie, la confiance est la clé de toute relation qui fonctionne. Les meilleurs programmes de gestion des risques internes mettent l’accent sur l’équilibre entre la confidentialité des employés et la sécurité de l’entreprise. Il est essentiel de proposer des contrôles et des politiques de confidentialité qui maintiennent, voire renforcent, la confiance.

La mise en place d’outils pour filtrer sans discernement les activités des employés à la recherche d’actes répréhensibles est non seulement inefficace et contre-productive, c’est tout simplement faux. C’est une atteinte à la vie privée qui crée de l’anxiété et érode la relation. Les organisations doivent être capables de détecter les risques internes, mais elles doivent le faire de la bonne manière, en agissant de manière transparente et dans un cadre étroitement défini pour faire preuve de respect et étendre la confiance aux employés.

La mise en place de contrôles de confidentialité qui protègent les identités au travail même pendant les enquêtes permet aux gens de savoir que vous les protégez également. L’utilisation d’un accès basé sur les rôles pour les outils de gestion des risques internes permet également de s’assurer que la bonne personne examine les alertes de conformité, empêchant ainsi les soupçons injustifiés de s’infiltrer dans l’organisation.

2. Collaborez entre les fonctions

Alors que les groupes informatiques et de sécurité ouvriront la voie, le risque interne est un problème commercial qui implique l’ensemble de l’entreprise. Chez Microsoft, nous avons appris cela au fil du temps. Ce qui a commencé comme une initiative dans notre organisation de sécurité s’est transformé en un effort unifié entre les groupes commerciaux, y compris les services juridiques, les ressources humaines et la haute direction.

Cette large implication permet d’assurer une adhésion plus large et offre des perspectives et des ressources supplémentaires, telles que le service juridique qui donne la priorité aux réglementations émergentes et les RH qui facilitent les programmes de formation et les enquêtes. Un comité des risques d’initiés ou un médiateur peut aider à engager la conversation. L’une de leurs premières tâches devrait être de créer un plan de réponse qui décrit comment les informations sont partagées, quand et ce que chaque groupe contribue, qui prend quelles décisions et qui est responsable.

Il est également important d’avoir des objectifs communs avec des mesures claires de réussite. Vous pouvez affiner le processus en quantifiant les mesures clés telles que le nombre de cas soulevés, les indicateurs de vrais positifs et de faux positifs, et les actions prises à la suite des résultats. Si vous avez un nombre élevé de faux positifs, vous risquez de surcharger vos équipes RH et juridiques avec des investigations inutiles et coûteuses.

3. Reconnaître que les employés sont la première et la dernière ligne de défense

Amener les employés à suivre une formation sur la protection des données et la conformité peut être difficile, mais il est important qu’ils sachent comment atténuer les risques de sécurité et pourquoi c’est une priorité. Les formations qui mettent l’accent sur la gestion des données montrent que l’organisation étend sa confiance aux employés alors qu’ils servent l’entreprise.

Formez les gens sur la façon de gérer correctement les données de l’organisation et répétez ce message régulièrement pour qu’il soit toujours frais. Cela aide aussi à le rendre personnel. La plupart des gens comprennent et s’engagent immédiatement sur la façon de protéger leurs propres données financières et de santé. Insuffler un aspect personnel dans la formation relie les points sur l’importance de la protection des données pour l’entreprise également.

Former les gens sur le principe de voir quelque chose, dire quelque chose sans risque est une capacité essentielle pour un programme d’initié. En améliorant l’éducation et la formation à la sécurité des données, les entreprises peuvent responsabiliser les employés en tant que première et dernière ligne de défense, complétée par des outils de détection.

4. Utilisez des outils d’apprentissage automatique pour faire plus avec moins

Gartner définit la gestion des risques internes comme les outils et capacités permettant de mesurer, détecter et contenir les comportements indésirables des comptes de confiance au sein de l’organisation. Et les outils de gestion des risques internes sont devenus beaucoup plus précis et efficaces ces dernières années.

Les outils plus anciens ont tendance à négliger les indicateurs subtils qui peuvent identifier un mauvais acteur essayant de cacher ses traces. Ils comportent également souvent des contrôles trop stricts qui réduisent la productivité et encouragent les solutions de contournement. Aujourd’hui, une nouvelle génération d’outils de gestion des risques internes émerge avec des capacités de sécurité adaptatives qui peuvent détecter les activités à risque et atténuer tout impact potentiel tout en restant à l’écart et en gardant les informations des utilisateurs privées.

Là où une activité comme l’impression d’un fichier confidentiel peut ne pas montrer d’intention, une séquence d’activités connexes comme renommer le fichier puis le supprimer après l’impression peut indiquer quelque chose de plus grave. Grâce à l’apprentissage automatique, ces outils peuvent séparer le signal du bruit et identifier les actions subtiles, réduisant ainsi les faux positifs qui peuvent enliser l’organisation.

Un programme de gestion des risques internes réussi se concentre sur les personnes, les processus et les technologies

La gestion des risques internes et externes est vitale pour la sécurité de toute organisation. Chacun vient avec ses propres défis, mais ce qui rend la gestion des risques internes particulièrement délicate, c’est la nécessité d’équilibrer les personnes, les processus et les technologies.

Des outils puissants peuvent aider à empêcher, détecter et répondre aux risques internes, mais ils ne traiteront pas les causes profondes. C’est là que l’intégration détaillée, les formations à la sécurité, les exercices de consolidation d’équipe et les programmes d’équilibre entre vie professionnelle et vie privée sont utiles. La création d’un environnement de travail sain aide à réduire le risque qu’un employé adopte intentionnellement un comportement dangereux. Mais en fin de compte, trouver l’équilibre entre les personnes et la technologie est le plus important. La gestion des risques doit être proactive et continue, et il faut de la confiance, de la transparence et de la collaboration pour maintenir ce moteur en marche. Cette philosophie axée sur les personnes, soutenue par une technologie puissante, est le seul moyen de prévenir les incidents avant qu’ils ne surviennent, de les détecter s’ils se produisent et d’y répondre rapidement et efficacement.

www.actusduweb.com
Suivez Actusduweb sur Google News


vous pourriez aussi aimer Plus d'articles de l'auteur
Plus d'Articles

ChatGPT confirme la violation de données, soulevant des problèmes de…

La cybersécurité rencontre l’IA : augmenter et accélérer les…

Les annonces au RSAC 2023 montrent des alliances, l’IA…

Plateforme IA SentinelOnes pour la cybersécurité – Australian…

La science de la bonne santé Médecine de l’IA et cybersécurité

BlackBerry réorganise le portefeuille de cybersécurité Cylance basé…

1 De 154

Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désinscrire si vous le souhaitez. J'accepte Lire la suite