Le cryptage n'est pas suffisant: 3 vérités critiques sur la sécurité des données

Auteur: Eugene Taylor
Date De Création: 10 Août 2021
Date De Mise À Jour: 1 Juillet 2024
Anonim
Le cryptage n'est pas suffisant: 3 vérités critiques sur la sécurité des données - La Technologie
Le cryptage n'est pas suffisant: 3 vérités critiques sur la sécurité des données - La Technologie

Contenu



Source: Nasir1164 / Dreamstime.com

À emporter:

La sécurité des données est confrontée à plus de défis que jamais.

Grâce à des périmètres morts, à des adversaires persistants, au cloud, à la mobilité et à votre propre appareil (BYOD), une sécurité centrée sur les données est impérative. Le principe de la sécurité centrée sur les données est simple: si un réseau est compromis, ou si un appareil mobile est perdu ou volé, les données sont protégées. Les entreprises qui ont accepté ce changement de paradigme ont compris la nécessité d’ajouter contrôle et visibilité à la sécurité des données en allant au-delà des solutions traditionnelles. En adoptant cette vision évoluée de la sécurité centrée sur les données, les organisations à tous les niveaux peuvent protéger les données sensibles, en les connectant virtuellement, où qu’elles se trouvent.

Les solutions de sécurité centrées sur les données ont toujours été tournées vers l’intérieur et se sont concentrées sur la protection des données au sein du domaine de l’organisation au fur et à mesure de leur collecte et de leur stockage. Cependant, les données s'éloignent du centre de l'organisation et non de celui-ci, et les grandes tendances telles que le cloud et la mobilité ne font qu'accélérer le processus. Une sécurité efficace centrée sur les données protège les données lorsque celles-ci s'éloignent du centre de l'organisation pour être partagées et utilisées. Cela inclut des relations ad hoc au-delà de la limite du domaine, permettant des interactions sécurisées avec les clients et les partenaires. (Faites quelques lectures de base sur la sécurité informatique. Essayez les 7 principes de base de la sécurité informatique.)

Les 3 vérités critiques de la sécurité centrée sur les données

Une vision évoluée de la sécurité centrée sur les données est basée sur trois vérités essentielles qui indiquent comment la sécurité doit être mise en œuvre pour être efficace:
  • Les données iront à des endroits que vous ne connaissez pas, que vous ne pouvez pas contrôler et que vous ne pouvez de plus en plus avoir confiance Cela se produit tout au long du processus de traitement, d'erreur utilisateur ou de complaisance ou d'activité malveillante. Étant donné que les emplacements de vos données peuvent ne pas être fiables, vous ne pouvez pas compter sur la sécurité du réseau, du périphérique ou de l'application pour protéger ces données.

  • Le cryptage seul ne suffit pas pour protéger les données.
    Le chiffrement doit être associé à des contrôles d'accès persistants et adaptables permettant à l'expéditeur de définir les conditions dans lesquelles une clé sera attribuée et de modifier ces contrôles en fonction des circonstances.

  • Il devrait y avoir une visibilité complète et détaillée sur les personnes qui accèdent aux données protégées, quand et combien de fois.
    Cette visibilité détaillée garantit la vérifiabilité des exigences réglementaires et l’analyse analytique pour une vision plus globale des modèles d’utilisation et des problèmes potentiels, ce qui améliore le contrôle.

Données: Oh, les endroits où il ira

En commençant par la première vérité, nous sommes en mesure de conclure une norme opérationnelle pragmatique importante: pour que la sécurité centrée sur les données soit efficace, les données doivent être protégées au point d'origine. Si les données sont cryptées dès la première étape du processus, elles sont sécurisées où qu’elles se trouvent, sur quel réseau elles voyagent et où elles résident. Faire autrement nécessite la confiance de chaque ordinateur, de chaque connexion réseau et de chaque personne, à partir du moment où les informations quittent le soin de l'expéditeur, et ce, aussi longtemps que ces copies existent.

La protection des données au point d'origine repose sur une hypothèse de fond: votre solution de sécurité centrée sur les données doit pouvoir protéger les données où qu'elles se trouvent. Comme le dit la première vérité, les données et leurs nombreuses copies créées naturellement iront dans de nombreux endroits, y compris les appareils mobiles, les appareils personnels et le cloud. Une solution efficace doit sécuriser les données indépendamment du périphérique, de l'application ou du réseau. Il doit sécuriser ces données quels que soient leur format ou leur emplacement, qu’elles soient au repos, en mouvement ou en cours d’utilisation. Il doit facilement s'étendre au-delà du périmètre et être capable de protéger les dialogues ad hoc.

C’est là qu’il est utile de s’arrêter et d’examiner les nombreuses solutions de sécurité centrées sur les données et spécifiques à un point ou à une fonction disponibles sur le marché. De par leur nature même, ces solutions créent des silos de protection car - comme l'exige la première vérité critique - les données résideront quelque part en dehors de leur durée de fonctionnement. Parce que ces solutions ne disposent pas de la protection omniprésente nécessaire, les agences et les entreprises sont obligées d’ériger plusieurs silos. Pourtant, malgré les efforts de ces silos multiples, les résultats sont prévisibles: les données resteront entre les deux. Et ces lacunes sont précisément là où des adversaires extérieurs et des initiés malveillants attendent pour exploiter les vulnérabilités et voler des données. En outre, chaque silo représente des coûts réels pour l’acquisition, la mise en œuvre et le support de la solution associée, ainsi que la charge opérationnelle liée à la gestion de plusieurs solutions. (Plus de matière à réflexion: le fossé de la sécurité des données que de nombreuses entreprises négligent.)

Le cryptage des données n'est pas suffisant

La deuxième vérité est que le cryptage n'est pas suffisant en lui-même - il doit être combiné à des contrôles granulaires et persistants. Le partage de contenu cède effectivement le contrôle sur celui-ci, ce qui revient essentiellement au copropriétaire destinataire des données. Les contrôles permettent à l'expéditeur de définir les conditions dans lesquelles le destinataire se voit attribuer une clé pour accéder au fichier et à l'option de dicter ce que le destinataire peut faire une fois que les données ont été consultées. Cela inclut la possibilité de fournir une fonctionnalité d'affichage uniquement lorsque le destinataire ne peut pas enregistrer le fichier, copier / coller le contenu ou le fichier.

Le terme "persistant" est une caractéristique essentielle des contrôles d'accès nécessaires à une sécurité efficace centrée sur les données. Les données restent virtuellement liées à l'expéditeur, qui peut répondre à l'évolution des exigences ou aux menaces en révoquant l'accès ou en modifiant les conditions d'accès à tout moment. Ces modifications doivent être appliquées instantanément à toutes les copies des données, où qu’elles se trouvent. Rappelez-vous que la première vérité dit que les données peuvent se trouver dans des lieux inconnus de l'auteur ou sur lesquels il ne peut exercer aucun contrôle. Par conséquent, la connaissance préalable de l'emplacement des données et l'accès physique aux périphériques associés ne peuvent pas être supposés. Un contrôle persistant a l'avantage supplémentaire de traiter la révocation de données sur des appareils perdus ou volés qui ne seront probablement plus jamais en contact avec le réseau.

L’adaptabilité est une caractéristique essentielle qui différencie simultanément les solutions concurrentes et plaide en faveur d’une approche unifiée et omniprésente. Toutes les solutions de sécurité centrées sur les données ne sont pas égales, certaines utilisent des méthodes de chiffrement inventées avant la mobilité, le cloud et l’adoption généralisée d’Internet. Avec ces méthodes, les contrôles d'accès sont définis au moment où les données sont cryptées, mais ils ne bénéficient pas des avantages liés au contrôle persistant.

Qui, quand et combien de fois les données sont-elles consultées?

La troisième vérité d'une sécurité efficace centrée sur les données est le besoin absolu d'une visibilité complète et d'une auditabilité. Cela inclut la visibilité de toutes les activités d'accès pour chaque objet de données, autorisées et non autorisées. Il inclut également une visibilité sur tout type de données, à l'intérieur et à l'extérieur des limites du périmètre. Des données d'audit complètes et la non répudiation permettent à une entreprise de savoir qui utilise les données, à quel moment et à quelle fréquence. La visibilité renforce le contrôle en donnant aux organisations l’information nécessaire pour apporter des réponses rapides et bien informées aux tentatives incessantes d’exfiltration de l’information. Cette visibilité devrait s’étendre à l’ensemble de l’écosystème de sécurité de l’organisation, en fournissant les données aux outils de gestion des informations et des événements de sécurité (SIEM) et à l’analyse opérationnelle. À leur tour, la corrélation et l’analyse peuvent fournir des informations telles que l’identification d’éventuels initiés malveillants.

Vous allez être victime d'une violation. Chaque couche de défenses de sécurité informatique peut et sera compromise. Les organisations ne peuvent plus compter sur la sécurité du périmètre pour sécuriser leurs données sensibles et leur propriété intellectuelle. Ils doivent rechercher des approches alternatives pour protéger les informations sensibles. Les défenses de périmètre ne sont pas les seules à souffrir: de nombreuses solutions de sécurité centrées sur les données ont été créées avant la mobilité, le BYOD, le cloud et les interactions extra-domaine basées sur le Web. Les organisations doivent se tourner vers des solutions de sécurité centrées sur les données qui adoptent une vision évoluée, abordant pleinement les dures vérités de la protection des données dans l’environnement informatique extrêmement complexe et en rapide évolution de notre époque.