Au cours de la dernière décennie, la législation relative à la confidentialité s’est considérablement développée. L’« industrie de la confidentialité » a connu une métamorphose inédite dans de nombreuses autres disciplines. Maintenant, alors que nous réfléchissons à l’avenir post-pandémie, nous devons reconnaître que pouvoir accéder rapidement à des données précises et les partager est fondamental pour tout le monde.
En y réfléchissant, il est important de se rappeler qu’il existe un chevauchement important entre les aspects professionnels et personnels, par exemple les gestionnaires de mots de passe. Ceux-ci auront à la fois des informations d’identification personnelles et professionnelles enregistrées, ce qui peut être difficile à distinguer, et c’est pourquoi les plans d’utilisation familiale d’entreprise existent.
En tant qu’organisation, comment mesurez-vous la conformité au sein de votre entreprise lorsque des quantités croissantes de données sont partagées ? Et comment décidez-vous quand”assez bon”est en fait assez bon ?
Pour les particuliers, comment gardez-vous vos informations privées ?
Une équation tout ou rien ?
Les données en tant que marchandise sont passées d’une vision de longue date de la structure et de la rigidité à des magasins d’informations Big Data qui sont pour la plupart précis. Ces magasins de données peuvent être utilisés pour comprendre les comportements des individus, souvent à des fins commerciales.
Par exemple, vous pouvez commencer à recevoir des messages sur les voitures parce que vous avez publié une photo de votre nouveau véhicule sur les réseaux sociaux. Il s’agit d’une invasion subtile de la vie privée si vous ne savez pas que cela se produit (nous appelons cela le consentement requis) et peut être particulièrement ennuyeux si vous n’êtes plus sur le marché automobile et que vous ne voulez pas être ciblé par de telles publicités.
En tant qu’individus, nous pouvons être rassurés qu’au moins certaines grandes technologies s’efforcent d’appliquer la confidentialité par défaut. C’est inestimable, car cela signifie que beaucoup d’entre nous peuvent bénéficier de telles mesures de confidentialité, telles que celles adoptées par GDPR et CPRA, sans même s’en rendre compte.
Pour les entreprises, cependant, beaucoup plus d’efforts doivent être déployés dans ce domaine.
Nous mesurons souvent le succès commercial uniquement en termes de gains et de pertes, comme être dans le noir ou le rouge, être conforme ou non conforme. Par exemple, vous ne pouvez pas avoir un budget équilibré à 80 % ou un dispositif médical sûr à 90 %. Les données ne respectent pas toujours ces règles.
Il y aura des exceptions notables pour des niveaux de précision extrêmement élevés pour, par exemple, les organisations nucléaires ou les ressources militaires. Dans l’ensemble cependant, le monde du secteur commercial et public a des ressources limitées et doit choisir judicieusement pour obtenir le meilleur rendement.
Ceci est nouveau et peut rendre inconfortable les fonctions oui/non d’une entreprise. Surtout face aux nouvelles technologies (telles que ChatGPT) et aux normes de conformité récemment mises à jour (ISO 27001/2 2022) ou de nouvelles (Le NIST annonce les quatre premiers algorithmes cryptographiques résistants au quantum | NIST). Cela impliquera de choisir et de hiérarchiser les cadres de conformité à mettre en œuvre, les codes de conduite à suivre et les certifications à obtenir.
Qu’est-ce qui est « assez bon » pour la conformité et le maintien de la confidentialité ?
C’est une question qui nous interpelle continuellement. A partir de quel moment devons-nous considérer nos efforts comme satisfaisants ? Il y a deux choses à considérer :
Quelle est l’importance de votre activité par rapport à la stratégie globale ou à l’objectif de vie ? Quels sont les risques impliqués dans le scénario ?
Selon où vous en êtes dans votre parcours de confidentialité, vous vous concentrerez sur différents domaines. En tant qu’individu, cela peut être aussi simple que de comprendre comment protéger et gérer vos mots de passe et supprimer ou désactiver des comptes de médias sociaux. De plus, vous pouvez activer le mode de verrouillage d’Apple si vous êtes une cible probable du crime organisé.
Une organisation peut avoir besoin de satisfaire à certaines exigences minimales de certification ou d’accréditation pour faire des affaires-et il peut y en avoir de nombreuses différentes que vous devez respecter ! Il y a souvent des chevauchements dans ces cadres. Une recherche rapide en ligne d’un mappage NIST vers ISO 27001 et plusieurs feuilles de calcul vous montreront que le respect d’un cadre atteint 75 % de l’autre.
Indépendamment du cadre sur lequel vous vous concentrez, il ne fait rien sur le des lacunes qui seraient une grave préoccupation. Si vous êtes une PME, pensez à commencer par les conseils sur notre site Web et le CISA et NCSC sites Web.
Améliorer le comportement des employés et se familiariser avec la confidentialité
Avez-vous déjà assisté à un briefing du personnel et vers la fin, il y a une brève déclaration indiquant que votre la formation sur la conformité est prévue la semaine prochaine ? Il y a de fortes chances que de nombreux employés se précipitent et oublient une grande partie de ce qu’ils viennent d’entasser.
L’astuce pour améliorer ce processus n’est pas vraiment une astuce–la clé est d’être visible et engagé avec votre co-travailleurs. Écoutez activement leurs défis et soyez prêt à changer d’avis sur la façon dont la conformité peut être atteinte. (N’oubliez pas qu’il existe plusieurs façons d’obtenir la conformité !). Lorsque vos collègues se soucient ne serait-ce qu’une fraction de la sécurité et de la confidentialité comme vous le faites, c’est un moment positif et votre risque activé par l’homme sera plus faible.
Se familiariser avec la gestion de la confidentialité personnelle est une courbe d’apprentissage pour nous tous. Il y a quelques années, discuter de l’utilisation d’un gestionnaire de mots de passe était très rare. Malheureusement, le nombre d’escroqueries ciblant les personnes vulnérables ne cesse d’augmenter. S’arrêter pour réfléchir et parler des autorisations demandées par une application sur votre smartphone devient un peu plus courant. C’est grâce à plusieurs choses, notamment la formation de sensibilisation dans les affaires, et ces malheureuses victimes d’actes criminels qui ont appris à leurs dépens à partager ces expériences dans la presse.
Le Bâton
Qu’il s’agisse de la FTC, de la FCA, de l’ICO, de la CNIL, du Département du HHS ou de tout autre organisme public pouvant faire appliquer la loi, le thème récurrent est l’augmentation de la taille et de la fréquence des amendes. Il est maintenant difficile de ne pas voir un gros titre sans remarquer une infraction ou une amende. Meta, Clearview AI, Nissan, LastPass, Amazon, Vodafone, Dialpad et l’Université de Yale se sont tous retrouvés victimes d’un piratage ou ont enfreint leurs obligations de conformité. Le fait de ne pas investir dans les outils, les personnes et les décisions de conception pour garder les informations privées devient non seulement plus important, mais aussi plus coûteux si vous ne le faites pas.
Crédit d’image : BeeBright/depositphotos.com
Kevin Tunison est délégué à la protection des données chez Egres. Les produits Egress Defend, Egress Prevent et Egress Protect gardent vos informations chiffrées. Pour les entreprises, l’utilisation de Defend signifie également que la conformité sera beaucoup plus facile à démontrer lors du renouvellement d’une certification ISO 27001 pour Threat Intelligence.