5 étapes pour mettre en œuvre la classification de la sensibilité des données

5 étapes pour mettre en œuvre la classification de la sensibilité des données

Partager

Partager sur linkedin
Partager sur facebook
Partager sur twitter

Il y a une bonne raison pour laquelle environ 68% des chefs d'entreprise estiment que les risques de cybersécurité pour leur entreprise augmentent, selon recherche récente par Accenture. Ils augmentent.

From phishing to incidental data exposure as a result of human error, data breaches are becoming increasingly common among organizations of all types. In the first half of 2020 alone, more than 36 billion corporate records were exposed by mistake, selon la sécurité basée sur les risques.

Une partie du problème est que la plupart des entreprises ont encore du mal à identifier l'intégralité des données générées par leur organisation et ne parviennent pas à les classer en fonction du niveau de sensibilité. Plus que la moitié de toutes les données au sein de l'entreprise type n'est ni classé ni étiqueté. Sans comprendre la sensibilité des données, il est difficile de les sécuriser correctement.

La classification de sensibilité est le fondement d'une bonne sécurité des données, et la bonne nouvelle est que l'établissement d'un système de classification robuste n'est pas aussi difficile qu'il y a dix ans.

Il existe cinq étapes de base pour mettre en œuvre un système complet de classification de la sensibilité des données.

Étape 1 : Élaborez un plan de classification des données

La première étape consiste à élaborer un plan de classification des données qui correspond aux besoins de l'organisation.

La classification des données est essentielle pour l'atténuation des risques, mais d'autres cas d'utilisation fréquents selon Recherche Gartner comprennent la gouvernance/conformité, l'efficacité et l'optimisation, et le support analytique. La définition des objectifs de classification doit donc être le point de départ de votre plan, y compris les systèmes concernés par le processus de classification initial et tout cadre réglementaire pour les données que l'entreprise doit suivre.

Une fois ces considérations fondamentales définies, les organisations doivent classer les données par type, telles que les informations personnellement identifiables ou la propriété intellectuelle, et définir les niveaux de classification des données.

Pour en savoir plus sur cette étape, lisez notre article, Comment développer un plan de classification de la sensibilité des données.

Étape 2 : Définir le processus de classification automatisé

Il existe trois façons de classer chaque donnée d'entreprise. Les données peuvent être classées manuellement par les employés, elles peuvent être classées automatiquement par les systèmes de détection et de sécurité des données, ou les organisations peuvent adopter une approche hybride qui combine à la fois une classification automatisée et manuelle.

Comme l'indique le titre de cette étape, la plupart des organisations voudront au moins une certaine mesure d'automatisation de la classification des données, car une classification manuelle complète est fonctionnellement impossible. En outre, il ne sert à rien de faire de la classification un processus manuel.

La plupart des entreprises qui réussissent à classer les données en fonction de leur sensibilité adoptent une approche hybride qui combine la découverte et la classification automatisées complètes des données avec un audit manuel continu de la classification des données effectué par le système.

Il existe plusieurs solutions robustes de découverte et de classification de données sur le marché, y compris les solutions basées sur le cloud de Qohash fonctionne plate-forme qui peut découvrir des données d'entreprise sensibles même sur des serveurs cloud publics et des appareils informatiques personnels au domicile d'un employé.

Dans le cadre de cette étape, les entreprises définiront également quelles données doivent être analysées en premier, la fréquence d'analyse et les ressources utilisées pour maintenir la classification des données.

Étape 3 : Spécifiez les critères de classification et passez en revue

Avec une solution de classification des données en place, la troisième étape consiste à définir les critères de classification et le processus de vérification des classifications correctes.

En termes de critères de classification, une organisation voudra définir les modèles de classification et les étiquettes au sein de la solution automatisée qui seront nécessaires pour une classification correcte. Cela sera facile ou difficile en fonction de la connaissance de l'organisation de son empreinte de données complète, du schéma développé pendant la phase de planification de la classification et de la solution de classification automatisée des données qui a été choisie.

Les entreprises doivent également spécifier le processus d'examen de la classification automatisée des données dans le cadre de cette étape, et le processus de validation de son exactitude continue.

La précision de la classification est généralement décomposée en deux mesures, selon le Association pour la gestion de l'information et de l'image (AIIM):

> Quel pourcentage des classifications de données de la solution automatisée est le même qu'un humain attribuerait ? Une précision parfaite signifie que toutes les données sont classées de la même manière que ce qui serait obtenu par une classification manuelle.

> Une métrique distincte mais liée, quel pourcentage de toutes les données valides la solution automatisée est-elle capable de classer correctement pour une catégorie de données donnée ? Un rappel parfait signifie que toutes les données d'entreprise destinées à être incluses sont classées correctement par la solution.

Étape 4 : Établir les résultats globaux et l'utilisation des données classifiées

La classification des données n'est pas une fin en soi, la prochaine étape consiste donc à définir et à mettre en place les processus d'analyse et de sécurité qui résulteront de la classification des données. C'est là que l'utilisation de la classification et les résultats globaux sont définis et mis en œuvre. Du point de vue de la sécurité des données, c'est également le jour de paie pour toutes les étapes précédentes.

Dans la mesure du possible, les résultats basés sur la classification des données doivent être automatisés afin qu'ils puissent avoir lieu en temps réel avec une opportunité minimale de latence entre la création des données et les cas d'utilisation basés sur la classification. Ceci est particulièrement critique pour les processus de sécurité construits autour de la classification des données sensibles, car les données telles que la propriété intellectuelle et les informations d'identification personnelle nécessitent une action de sécurité immédiate.

Dans le cadre de ce processus, testez et examinez les résultats avant le déploiement des systèmes pour vérifier qu'ils sont conformes à tous les objectifs spécifiés dans le plan de classification des données de l'organisation.

Étape 5 : Surveiller et maintenir la classification

La dernière étape est l'une des plus importantes.

La classification des données n'est pas une chose à faire, alors établissez un processus de découverte et de classification des ressources de données d'entreprise sur une base continue. Cela inclut de spécifier la fréquence de découverte et de classification si elle n'est pas effectuée automatiquement en temps réel.

En plus d'établir un processus continu de classification des données, les entreprises doivent également définir un processus pour examiner périodiquement les catégories de classification des données et le processus de classification dans son ensemble.

Si la conformité réglementaire est l'un des objectifs de l'effort de classification, cela devrait inclure la spécification d'un processus de surveillance continue des modifications réglementaires pour assurer la pertinence continue de la classification des données.

S'assurer que toutes les données sensibles de l'entreprise sont correctement sécurisées n'est pas un processus instantané. Mais en même temps, c'est plus facile que de nombreuses entreprises ne le pensent. Tout ce qu'il faut, c'est une connaissance du paysage de l'entreprise, un peu de planification structurée et la bonne technologie d'automatisation des données en place.

Une grande partie de ce processus, de la découverte des données à la classification automatique en temps réel des données sensibles, peut être gérée par la solution Qostodian de Qohash. Contactez-nous pour une démonstration de Qostodian ou des conseils sur la façon de simplifier les opérations de sécurité des données de votre entreprise.

Langue

Contactez-nous