Wondershare EdrawMind
Galerie de cartes mentales Ingénieur en gouvernance des données DAMA-CDGA-7.
- 5
Ingénieur en gouvernance des données DAMA-CDGA-7.
La gestion de la sécurité des données consiste à soutenir un accès approprié et à empêcher tout accès inapproprié aux actifs de données de l'entreprise, à assurer le respect des systèmes et des réglementations en matière de confidentialité, de protection et de confidentialité, et à garantir que les exigences de confidentialité des parties prenantes sont respectées.
Modifié à 2024-03-05 20:23:35
- Cent ans de solitude - Tableau des relations entre les personnages
Cent ans de solitude est le chef-d'œuvre de Gabriel Garcia Marquez. La lecture de ce livre commence par l'analyse des relations entre les personnages, qui se concentre sur la famille Buendía et raconte l'histoire de la prospérité et du déclin de la famille, de ses relations internes et de ses luttes politiques, de son métissage et de sa renaissance au cours d'une centaine d'années.
- Cent ans de solitude - Tableau des relations entre les personnages
Cent ans de solitude est le chef-d'œuvre de Gabriel Garcia Marquez. La lecture de ce livre commence par l'analyse des relations entre les personnages, qui se concentre sur la famille Buendía et raconte l'histoire de la prospérité et du déclin de la famille, de ses relations internes et de ses luttes politiques, de son métissage et de sa renaissance au cours d'une centaine d'années.
- Modèle de processus de gestion de projet
La gestion de projet est le processus qui consiste à appliquer des connaissances, des compétences, des outils et des méthodologies spécialisés aux activités du projet afin que celui-ci puisse atteindre ou dépasser les exigences et les attentes fixées dans le cadre de ressources limitées. Ce diagramme fournit une vue d'ensemble des 8 composantes du processus de gestion de projet et peut être utilisé comme modèle générique.
Ingénieur en gouvernance des données DAMA-CDGA-7.
- Cent ans de solitude - Tableau des relations entre les personnages
Cent ans de solitude est le chef-d'œuvre de Gabriel Garcia Marquez. La lecture de ce livre commence par l'analyse des relations entre les personnages, qui se concentre sur la famille Buendía et raconte l'histoire de la prospérité et du déclin de la famille, de ses relations internes et de ses luttes politiques, de son métissage et de sa renaissance au cours d'une centaine d'années.
- Cent ans de solitude - Tableau des relations entre les personnages
Cent ans de solitude est le chef-d'œuvre de Gabriel Garcia Marquez. La lecture de ce livre commence par l'analyse des relations entre les personnages, qui se concentre sur la famille Buendía et raconte l'histoire de la prospérité et du déclin de la famille, de ses relations internes et de ses luttes politiques, de son métissage et de sa renaissance au cours d'une centaine d'années.
- Modèle de processus de gestion de projet
La gestion de projet est le processus qui consiste à appliquer des connaissances, des compétences, des outils et des méthodologies spécialisés aux activités du projet afin que celui-ci puisse atteindre ou dépasser les exigences et les attentes fixées dans le cadre de ressources limitées. Ce diagramme fournit une vue d'ensemble des 8 composantes du processus de gestion de projet et peut être utilisé comme modèle générique.
- Recommandé pour vous
- Contour
Ingénieur en gouvernance des données DAMA-CDGA-17. Gestion des données et gestion du changement organisationnel.
- 6
Ingénieur en gouvernance des données DAMA-CDGA-16. Organisation de la gestion des données et attentes en matière de rôle.
- 5
Ingénieur en gouvernance des données DAMA-CDGA-11, entreposage de données et intelligence d'affaires.
- 6
Ingénieur en gouvernance des données DAMA-CDGA-10. Données de référence et données de base.
- 5
7.Sécurité des données
introduction
Source des exigences de sécurité
Parties prenantes
réglementations gouvernementales
Orientation commerciale spécifique
Chaque organisation possède des données propriétaires qui doivent être protégées
Exigences d’accès légitimes
Les processus métier nécessitent que des personnes ayant des rôles différents accèdent, utilisent et conservent différentes données
Obligations contractuelles
moteurs d'activité
réduire le risque
La sécurité des données est mieux assurée au niveau de l'entreprise
Sans un effort de collaboration, les unités commerciales recherchent individuellement des solutions à leurs besoins de sécurité, ce qui entraîne une augmentation des coûts globaux tout en réduisant potentiellement la sécurité en raison de mesures de protection incohérentes.
Une architecture ou des processus de sécurité inefficaces peuvent entraîner des coûts de violation pour les organisations et réduire leur productivité.
Commencez par classer les données de votre organisation pour identifier ce qui doit être protégé
processus
1. Identifier et classer les actifs de données sensibles
Certains actifs de données et données sensibles doivent être classés et classés en fonction du secteur et du type d'organisation auxquels ils appartiennent.
2. Trouver des données sensibles dans l'entreprise
Selon l'endroit où les données sont stockées, leurs exigences de sécurité peuvent différer
Une grande quantité d'informations sensibles est stockée dans un seul emplacement, créant un risque extrêmement élevé si cet emplacement est compromis.
3. Déterminer les moyens de protéger chaque actif
Mettre en œuvre des mesures de sécurité ciblées basées sur le contenu des données et le type de technologie
4. Comment identifier les informations et les processus métiers qui interagissent
Les processus métier doivent être analysés pour déterminer dans quelles conditions ces accès sont autorisés
Outre la classification et le classement des données elles-mêmes, les menaces externes et les risques internes doivent également être évalués.
Promouvoir la croissance des entreprises
Une sécurité renforcée des informations stimule les transactions et renforce la confiance des clients
La sécurité comme atout
Les métadonnées sont un moyen de gérer les données sensibles
La classification des informations et la sensibilité de la conformité peuvent être marquées au niveau des éléments de données et de la collecte.
Tirez parti de la technologie de marquage des données pour permettre aux métadonnées de circuler avec les informations dans toute l'entreprise.
objectifs et principes
Cible
Prendre en charge un accès approprié et empêcher tout accès inapproprié aux ressources de données de l'entreprise
Soutenir le respect des systèmes et réglementations en matière de confidentialité, de protection et de confidentialité
Veiller à ce que les exigences en matière de confidentialité des parties prenantes soient respectées
en principe
Collaboration
La sécurité des données est un effort de collaboration impliquant l'informatique, les spécialistes de la gestion des données, l'audit interne et externe, les services juridiques et autres.
Planification d'entreprise
La cohérence organisationnelle doit être assurée lors de l’application des normes et politiques de sécurité des données
Gestion active
Des responsabilités claires
Définir clairement les rôles et les responsabilités
Piloté par les métadonnées
La classification et la classification de la sécurité des données sont une partie importante de la définition des données
Réduire l’exposition pour réduire les risques
Minimiser la prolifération des données sensibles et confidentielles, en particulier dans les environnements hors production
concept de base
vulnérabilité
Faiblesses et failles d’un système vulnérables aux attaques, essentiellement des failles dans les défenses d’une organisation
Certaines vulnérabilités sont appelées expositions de vulnérabilité
Par exemple, les ordinateurs du réseau dotés de correctifs de sécurité obsolètes, les pages Web qui ne sont pas protégées par des mots de passe fiables, les utilisateurs recevant des pièces jointes à des e-mails d'expéditeurs inconnus, les logiciels d'entreprise qui ne sont pas protégés par des commandes techniques.
menacer
est une action offensive potentielle qui peut être prise contre une organisation
Les menaces incluent les pièces jointes infectées par des virus envoyées à une organisation, les processus qui submergent les serveurs réseau au point de les empêcher de fonctionner, et l'exploitation de vulnérabilités connues.
Peut être interne ou externe
risque
Fait référence à la fois à la possibilité de perte et aux choses ou conditions qui constituent une perte potentielle.
Les risques peuvent être calculés sous les aspects suivants :
La probabilité qu'une menace se produise et sa fréquence probable
Le type et l'ampleur des dommages que chaque incident de menace peut causer, y compris les atteintes à la réputation
Impact de la dépréciation sur les revenus ou les opérations commerciales
Frais de réparation après un dommage
Coût de la prévention des menaces, y compris la correction des vulnérabilités
Buts ou intentions possibles de l'attaquant
Les risques peuvent être hiérarchisés en fonction du niveau potentiel de dommage ou de la probabilité d'occurrence.
Classification des risques
Décrit la sensibilité des données et le potentiel d'accès aux données à des fins malveillantes
La classification est utilisée pour déterminer qui peut accéder aux données
La classification de sécurité la plus élevée parmi toutes les données relevant des droits d'un utilisateur détermine le risque de sécurité global
inclure
données clés sur les risques
Étant donné que les informations personnelles ont une valeur financière directe élevée, les parties internes et externes peuvent déployer de grands efforts pour obtenir une utilisation non autorisée de ces informations.
L’utilisation abusive de données sur les risques critiques ne nuit pas seulement aux individus, elle peut également entraîner des sanctions importantes pour les entreprises et une fidélisation accrue des clients. Le coût des employés et les dommages causés à la marque et à la réputation de l'entreprise, entraînant ainsi des risques financiers pour l'entreprise
Risque élevé pour les données
Les données à haut risque offrent aux entreprises un avantage concurrentiel, ont une valeur financière directe potentielle et sont souvent activement recherchées pour une utilisation non autorisée.
Si un risque élevé est utilisé à mauvais escient, l’entreprise peut subir des pertes financières.
Données à risque moyen
Informations non publiques sur l'entreprise qui ont peu de valeur pratique et dont l'utilisation non autorisée peut avoir un impact négatif sur l'entreprise
organisation de sécurité des données
Les grandes entreprises ont souvent un responsable de la sécurité de l'information (RSSI) qui rend compte au CIO ou au PDG.
processus de sécurité
4A
AutorisationAutorisation
Accorder aux individus l’accès à des vues spécifiques de données adaptées à leur rôle
Après avoir obtenu l'autorisation, le système de contrôle d'accès vérifie la validité du jeton d'autorisation à chaque fois que l'utilisateur se connecte
Techniquement, il s'agit d'une entrée dans un champ de données de l'Active Directory de l'entreprise, indiquant que cette personne est autorisée à accéder aux données.
AutorisationDroit
Est-ce la somme de tous les éléments de données exposés à l'utilisateur par une seule décision d'autorisation d'accès
AccèsAccès
Fournir aux personnes autorisées un accès rapide au système
Vérifier l'authentification
Vérifier les droits d'accès des utilisateurs
Lorsqu'un utilisateur tente de se connecter au système, le système doit vérifier que l'identité de la personne est authentique.
Outre les mots de passe, les méthodes d'authentification plus strictes incluent les jetons de sécurité, la réponse aux questions ou la soumission d'empreintes digitales.
Pendant le processus d'authentification, toutes les transmissions doivent être cryptées pour éviter le vol des informations d'authentification.
AuditAudit
Examiner les opérations de sécurité et les activités des utilisateurs pour garantir le respect des réglementations et le respect des politiques et normes de l'entreprise.
La surveillance et l’audit peuvent être effectués de manière continue ou périodique
Les audits formels doivent être menés par un tiers pour être considérés comme valides.
Les tiers peuvent provenir de l’intérieur de l’organisation ou de l’extérieur de l’organisation
moniteur
Surveillance active
Les systèmes contenant des informations confidentielles mettent souvent en œuvre une surveillance proactive en temps réel pour alerter les administrateurs de sécurité de toute activité suspecte ou d'un accès inapproprié.
est un mécanisme de détection
surveillance passive
La surveillance passive consiste à suivre les changements qui se produisent en temps réel en capturant des instantanés du système à intervalles réguliers et en comparant les tendances à une référence ou à d'autres normes.
Le système envoie un rapport à l'administrateur des données ou à l'administrateur de la sécurité
C'est un mécanisme d'évaluation
intégrité des données
Il s’agit d’une exigence globale de statut pour éviter d’être affecté par des ajouts/suppressions/modifications inappropriés.
chiffrement
Est-ce le processus de conversion de texte brut en code complexe pour masquer des informations privilégiées, vérifier l'intégrité d'une transmission ou vérifier l'identité de l'expéditeur
Les données cryptées ne peuvent pas être lues sans la clé ou l'algorithme de décryptage
Les clés ou algorithmes de déchiffrement sont généralement stockés séparément et ne peuvent pas être calculés sur la base d'autres éléments de données du même ensemble de données.
Méthode de cryptage
Hacher
consiste à convertir n'importe quelle longueur en une représentation de données de longueur fixe
Même si l'algorithme exact utilisé et l'ordre d'application sont connus, les données originales ne peuvent pas être déchiffrées.
MD5/SHA
Cryptage symétrique
Utiliser une clé pour crypter et déchiffrer les données
L'expéditeur et le destinataire doivent avoir la clé pour lire les données brutes
Data Standard Encryption DES, Triple DES 3DES, Advanced Encryption Standard AES, International Data Encryption Algorithm IDES
cryptage asymétrique
L'expéditeur et le destinataire utilisent des clés différentes
L'expéditeur utilise une clé publique accessible au public pour chiffrer, et le destinataire utilise une clé privée pour déchiffrer afin de révéler les données originales.
RSA, Diffie-Hell-man, PGP (application gratuite de chiffrement à clé publique)
confusion et désensibilisation
La disponibilité des données peut être réduite en les obscurcissant (les rendant floues et peu claires) ou en les désensibilisant (en supprimant, en mélangeant ou en modifiant d'une autre manière l'apparence des données) sans perdre la signification des données ou leur relation avec d'autres ensembles de données.
L'obfuscation et la désensibilisation des données sont une méthode de sécurité pour résoudre le problème de l'utilisation des données.
désensibilisation statique
La désensibilisation statique modifie les données de manière permanente et irréversible
Généralement non utilisé dans les environnements de production, mais entre les environnements de production et de développement (test)
Désensibilisation sans atterrissage
La désensibilisation standard est utilisée lorsque le déplacement de données entre une source (généralement un environnement de production) et un environnement cible (généralement un environnement hors production) nécessite une désensibilisation ou un obscurcissement.
consiste à capturer régulièrement des instantanés du système à travers le système et à comparer les tendances avec les références ou d'autres normes pour comparer et suivre les changements au fil du temps.
Puisqu’aucun fichier intermédiaire ou base de données contenant des données non désensibilisées ne sera laissé, la méthode de désensibilisation standard est très sûre.
Si certaines données rencontrent des problèmes pendant le processus de désensibilisation, le processus de désensibilisation peut être réexécuté.
désensibilisation au sol
Lorsque la source et la cible des données sont identiques, la désensibilisation au sol peut être utilisée
Lisez les données non masquées de la source de données et écrasez les données d'origine directement après avoir effectué l'opération de masquage.
Il existe un risque qu'en cas d'échec du processus de désensibilisation, il soit difficile de restaurer les données dans un format utilisable.
désensibilisation dynamique
Change l'apparence des données pour l'utilisateur final ou le système sans modifier les données sous-jacentes
Numéro 123456789, affiche ******789 lors de l'appel
Méthode de désensibilisation
remplacer
mélanger
variation spatio-temporelle
variation numérique
Annuler ou supprimer
sélection aléatoire
Technologie de cryptage
désensibilisation de l'expression
Désensibilisation aux valeurs clés
Terminologie de la cybersécurité
porte arrière
Fait référence à une entrée cachée ignorée dans un système informatique ou une application
Il permet aux utilisateurs non autorisés d'accéder en contournant les restrictions telles que les mots de passe.
Les portes dérobées sont généralement créées par les développeurs dans le but de maintenir le système ; d'autres incluent des portes dérobées mises en place par des créateurs de progiciels commerciaux.
Lors de l'installation d'un système logiciel ou d'un package Web, le mot de passe par défaut reste inchangé. Il s'agit d'une porte dérobée qui découvrira son existence tôt ou tard, donc toute porte dérobée constitue un risque pour la sécurité.
robot ou zombie
Désigne un poste de travail qui a été piraté par des pirates malveillants utilisant des chevaux de Troie, des virus, du phishing ou téléchargeant des fichiers infectés.
Contrôlez à distance des robots pour effectuer des tâches malveillantes
Spam, blocage de réseau, hébergement de sites Web frauduleux
Biscuits
Il s'agit d'un petit fichier de données qu'un site Web installe sur le disque dur de votre ordinateur pour identifier les clients réguliers et analyser leurs loisirs.
Parfois exploité par des logiciels espions, provoquant des problèmes de confidentialité
pare-feu
Il s'agit d'un logiciel/matériel qui filtre le trafic réseau pour protéger un seul ordinateur ou un réseau entier contre les accès non autorisés et les tentatives d'attaques sur le système.
Les communications entrantes ou sortantes peuvent être analysées à la recherche d'informations restreintes ou réglementées, pour empêcher tout passage non autorisé et pour restreindre l'accès à des sites Web externes spécifiques.
monde
Fait référence à la frontière entre l'environnement organisationnel et les systèmes externes
Pare-feu déployé entre interne et externe
DMZ
La zone démilitarisée fait référence à la zone marginale ou périphérique d'une organisation.
Avoir un pare-feu entre la DMZ et l'organisation
compte superutilisateur
Est un compte avec un accès administrateur système ou superutilisateur, utilisé uniquement en cas d'urgence
Enregistreur de frappe
est un logiciel d'attaque qui enregistre toutes les frappes tapées sur le clavier et les envoie ensuite à Internet
Tests de pénétration
Les pirates informatiques « chapeau blanc », qu'ils proviennent de l'organisation elle-même ou qu'ils soient embauchés par des sociétés de sécurité externes, tentent de s'introduire dans le système de l'extérieur, à la manière de pirates informatiques malveillants, en essayant d'identifier les vulnérabilités du système.
Les vulnérabilités découvertes doivent être corrigées avant la publication officielle de l'application.
Effectuer régulièrement des tests d'intrusion sur tous les logiciels et installer des correctifs de sécurité
réseau privé virtuel
Un VPN utilise Internet non sécurisé pour créer un chemin sécurisé, ou « tunnel », dans l'environnement d'une organisation. Le tunnel est hautement crypté.
Les VPN permettent la communication entre les utilisateurs et les réseaux internes en utilisant des éléments d'authentification multifacteur pour se connecter au pare-feu au périmètre de l'environnement organisationnel.
Le VPN crypte toutes les données transmises
Type de sécurité des données
Aperçu
La sécurité des données ne consiste pas seulement à empêcher tout accès inapproprié, mais également à assurer un accès légitime aux données.
L'accès aux données sensibles doit être contrôlé en accordant des autorisations
Les utilisateurs ne sont pas autorisés à afficher les données ou à effectuer des opérations dans le système sans autorisation
Le « moindre privilège » est un principe de sécurité important
Autoriser un utilisateur, un processus ou un programme à accéder uniquement aux informations autorisées par son objectif légitime
Sécurité des installations
La première ligne de défense contre les acteurs malveillants
Doit disposer d'au moins un centre de données pouvant être verrouillé et dont l'accès est limité aux employés autorisés.
Sécurité des appareils
Politique d'accès pour l'utilisation des connexions d'appareils mobiles
Stocker des données sur des appareils portables
Effacement et élimination des données de l'appareil conformément aux politiques de gestion des dossiers
Installation de logiciels anti-malware et de cryptage
Sensibilisation aux vulnérabilités de sécurité
Sécurité des identifiants
est utilisé lors de l’attribution de l’accès au système à chaque utilisateur
La plupart des informations d'identification sont une combinaison d'identifiant utilisateur et de mot de passe
Système de gestion des identités
Traditionnellement, les utilisateurs disposent de comptes et de mots de passe différents pour chaque ressource, plateforme, système d'application ou poste de travail indépendant.
Cette méthode oblige les utilisateurs à gérer plusieurs comptes et mots de passe
Les organisations disposant d'annuaires d'utilisateurs d'entreprise peuvent établir des mécanismes de synchronisation entre des ressources hétérogènes pour simplifier la gestion des mots de passe des utilisateurs.
Dans ce cas, l'utilisateur ne doit saisir son mot de passe qu'une seule fois et toutes les authentifications et autorisations ultérieures sont effectuées en référençant l'annuaire des utilisateurs de l'entreprise.
Un système de gestion des identités qui implémente cette fonctionnalité est appelé « authentification unique » et est optimal du point de vue de l'utilisateur.
Norme d'identification utilisateur pour les systèmes de messagerie
L'ID utilisateur doit être unique
Normes de mot de passe
Les mots de passe sont la première ligne de défense pour protéger vos données
Nécessite des niveaux de mot de passe suffisamment élevés définis dans les normes de sécurité, souvent appelés mots de passe « forts »
Il est recommandé de changer les mots de passe périodiquement. La fréquence spécifique des changements dépend de la nature du système, du type de données et de la sensibilité de l'entreprise.
Mais changer les mots de passe trop fréquemment peut aussi comporter des risques
Identification de facteurs multiples
Certains systèmes nécessitent des procédures d'identification supplémentaires
Comprend les retours d'appels vers l'appareil mobile de l'utilisateur contenant du code, l'utilisation de périphériques matériels nécessaires à la connexion ou des facteurs biométriques tels que les empreintes digitales, la reconnaissance faciale, les scans de la rétine
L'identification à deux facteurs rend plus difficile la saisie de comptes ou la connexion aux appareils des utilisateurs. Les utilisateurs ayant accès à des informations hautement sensibles doivent utiliser la technologie d'identification à deux facteurs pour se connecter au réseau.
Sécurité des communications électroniques
Les méthodes de communication non sécurisées peuvent être lues ou interceptées par des parties externes
Les médias sociaux sont également considérés comme un moyen de communication sécurisé, notamment les blogs, portails, WIKI, forums ou autres médias sociaux, et ne doivent pas contenir d'informations confidentielles ou restreintes.
Contraintes de sécurité des données
Niveau de confidentialité
source de la demande
interne
Il ne peut y avoir qu'un seul niveau de confidentialité pour un ensemble de données : le niveau est basé sur l'élément de données le plus sensible (niveau de confidentialité le plus élevé) de l'ensemble de données.
données confidentielles
ouvert au grand public
Pour usage interne uniquement
confidentiel
secret restreint
Top secret
exigences réglementaires
source de la demande
définition externe
La réglementation est additive par classe : un seul ensemble de données peut restreindre les données selon plusieurs catégories réglementaires
données réglementaires
Série Règlement
informations personnellement identifiables
Informations financièrement sensibles
Informations médicales/personnelles sur la santé
informations pédagogiques
Réglementations industrielles ou réglementations contractuelles
Norme de sécurité des données du secteur des cartes de paiement
Avantage concurrentiel ou secret commercial
Restrictions contractuelles
Risques de sécurité du système
abus de privilège
Le principe du moindre privilège doit être utilisé lors de l’octroi de l’accès aux données
Exécutez uniquement les utilisateurs, processus et programmes pour accéder aux informations autorisées par leurs objectifs légitimes.
Le risque est qu'en disposant de privilèges allant au-delà de ceux requis pour ses responsabilités professionnelles, un utilisateur puisse abuser de ces privilèges à des fins malveillantes ou accidentellement.
Les utilisateurs peuvent se voir accorder plus de droits d’accès qu’ils n’auraient dû
Manque de surveillance des droits des utilisateurs, qui est l'une des raisons pour lesquelles de nombreuses réglementations sur les données précisent la sécurité de la gestion des données.
abus de privilège légitime
Un utilisateur peut abuser des privilèges de base de données qui lui sont légalement accordés à des fins non autorisées.
Par exemple : un médecin à tendance criminelle a le droit de consulter les dossiers de ses patients via une application WEB désignée
Élévation de privilèges non autorisée
Les attaquants peuvent exploiter les vulnérabilités logicielles de la plateforme de base de données pour modifier les droits d'accès des droits d'utilisateur ordinaires aux droits d'administrateur.
Abus de compte de service ou de compte partagé
L'utilisation de comptes de service ou de comptes partagés augmente le risque de violations de données et complique la capacité de retracer la source d'une vulnérabilité
Attaque d'intrusion sur la plateforme
vulnérabilité d'injection
Lors d'une attaque par injection SQL, un attaquant insère une instruction de base de données non autorisée dans une instruction SQL vulnérable.
Ces instructions SQL injectées sont transmises à la base de données où elles sont généralement exécutées en tant que commandes légitimes.
Lors de l'utilisation de l'injection SQL, l'attaquant dispose d'un accès illimité à l'intégralité de la base de données
mot de passe par défaut
La suppression des mots de passe par défaut est une étape de sécurité importante lors de chaque implémentation
Abus de données de sauvegarde
Le piratage
pirate au chapeau blanc
Engagé à modifier le système, à découvrir les vulnérabilités et à les corriger
pirate au chapeau noir
Endommager délibérément un système pour causer des dommages
Menaces de phishing/ingénierie sociale
Le phishing est le processus consistant à inciter quelqu'un à fournir sans le savoir des informations précieuses ou des informations personnelles via des appels téléphoniques, des messages instantanés ou des e-mails.
logiciel malveillant
Logiciel publicitaire
Est un type de logiciel espion téléchargé sur un ordinateur à partir d'Internet
Surveiller l'utilisation de l'ordinateur, par exemple les sites Web visités, et peut également insérer des objets et des barres d'outils dans le navigateur.
Il ne s'agit pas d'une violation, mais il est utilisé pour collecter des profils complets des habitudes de navigation et d'achat des utilisateurs et les vendre à des sociétés de marketing.
Spyware
Tout programme logiciel qui infiltre un ordinateur et suit l'activité en ligne sans consentement
Différentes formes de logiciels espions suivent différents types d'activités
Certains programmes surveillent les visites de sites Web, tandis que d'autres enregistrent les frappes des utilisateurs et volent des informations personnelles.
cheval de Troie
Désigne les programmes malveillants qui pénètrent dans les systèmes informatiques en déguisant ou en intégrant des logiciels légitimes.
Une fois installé, un cheval de Troie supprimera des fichiers, accédera à des informations personnelles, installera des logiciels malveillants, reconfigurera l'ordinateur, installera des enregistreurs de frappe et permettra même aux pirates d'utiliser l'ordinateur comme une arme (bot ou zombie) contre d'autres ordinateurs du réseau.
Virus
est un programme informatique qui s'attache à un fichier exécutable ou à une application vulnérable, provoquant des résultats destructeurs
ver
Un programme qui peut être copié et diffusé sur le réseau
Les ordinateurs infectés par des vers enverront continuellement des messages d'infection
Consomme principalement beaucoup de bande passante, provoquant des interruptions du réseau
Sources de logiciels malveillants
messagerie instantannée
réseau social
courrier indésirable
Activité
Identifier les besoins en matière de sécurité des données
Les besoins de l'entreprise
Les besoins commerciaux de l'organisation, sa mission, sa taille stratégique et son secteur d'activité déterminent la rigueur de la sécurité des données requise.
Par exemple : le secteur américain des titres financiers est hautement réglementé, et les grands et petits détaillants ont des activités principales similaires mais choisissent des types de titres différents.
Identifiez les points de contact de sécurité en analysant les règles et processus métier
exigences réglementaires
Développer un système de sécurité des données
système
Est un énoncé d'un plan d'action choisi et une description de haut niveau des comportements attendus pour atteindre un objectif
Stratégie
Décrire le comportement déterminé
niveau
Système de sécurité d'entreprise
Système de sécurité informatique
Système de sécurité des données
1. Le système de sécurité informatique et le système de sécurité des données font partie de la combinaison du système de sécurité ; 2. Il est préférable de les distinguer ; 3. Le système de sécurité des données est intrinsèquement plus granulaire et nécessite différents contrôles et processus pour différents contenus ;
Superviseur et maintenance
Spécialiste de la gestion des données
examen et approbation
Comité de gouvernance des données
Définir des règles de sécurité des données
Aperçu
Le système fournit des règles de conduite mais ne peut pas répertorier toutes les éventualités possibles.
Les statuts complètent le régime et fournissent des détails supplémentaires sur la manière dont l'intention du régime sera respectée.
Définir les niveaux de confidentialité des données
Définir les niveaux de gouvernance des données
Définir les rôles de sécurité
Les contrôles d'accès aux données peuvent être gérés au niveau de l'utilisateur individuel ou au niveau de l'organisation, en fonction de vos besoins. Autrement dit, autoriser et mettre à jour les autorisations d'accès compte utilisateur par compte utilisateur nécessite beaucoup de travail redondant.
Les petites organisations peuvent trouver acceptable de gérer l'accès aux données à un seul niveau
Les grandes organisations bénéficieront grandement du contrôle d'accès basé sur les rôles, en accordant des autorisations aux groupes de rôles, accordant ainsi des autorisations à chaque membre du groupe.
matrice d'attribution des rôles
hiérarchie d'attribution des rôles
Évaluer les risques de sécurité actuels
Mettre en œuvre des contrôles et des procédures
Attribuer un niveau de confidentialité
Attribuer une catégorie réglementaire
Gérer et maintenir la sécurité des données
Contrôler la disponibilité des données/sécurité centrée sur les données
Surveiller l'authentification des utilisateurs et le comportement d'accès
Gérer la conformité du système de sécurité
Gérer la conformité réglementaire
Auditer les activités de sécurité et de conformité des données
outil
Logiciel antivirus/sécurité
Un logiciel antivirus protège les ordinateurs contre les virus en ligne
De nouveaux virus et autres logiciels malveillants apparaissent chaque jour, il est donc important de mettre régulièrement à jour votre logiciel de sécurité.
HTTPS
Si l'adresse Web commence par http://, cela signifie que le site Web est équipé d'une couche de sécurité cryptée.
Les utilisateurs doivent fournir un mot de passe ou un autre moyen d'authentification pour accéder au site
Les paiements en ligne ou l'accès aux informations confidentielles sont protégés par ce cryptage
Sans cryptage, les utilisateurs du même segment de réseau peuvent lire des messages en texte brut
Technologie de gestion des identités
Stocke les informations d'identification attribuées et les partage avec le système sur demande
La plupart des applications utilisent un magasin central de données d'identification, mais certaines gèrent toujours leurs propres magasins d'informations d'identification.
Certaines entreprises adoptent et proposent des produits de « sécurité par mot de passe » sous licence d'entreprise qui créent un fichier de mot de passe crypté sur l'ordinateur de chaque utilisateur. Les utilisateurs n'ont besoin que d'apprendre un mot de passe long pour ouvrir le programme, et tous les mots de passe peuvent être stockés en toute sécurité dans un fichier crypté. Un système d’authentification unique peut avoir le même objectif.
Technologie de détection et de prévention des intrusions
IDS du système de détection d’intrusion
déclencher une alarme
Système de prévention des intrusions IPS
réponse automatique
pare-feu
Un pare-feu sécurisé et sophistiqué doit être déployé au niveau de la passerelle de l'entreprise, avec la capacité de permettre un transfert de données à haut débit tout en effectuant une analyse détaillée des données.
Pour les serveurs Web exposés à Internet, une structure de pare-feu plus complexe est recommandée, car de nombreuses attaques de pirates malveillants peuvent exploiter les vulnérabilités des bases de données et des serveurs Web en déformant intentionnellement le trafic légitime.
Suivi des métadonnées
Les outils de suivi des métadonnées aident les organisations à suivre le mouvement des données sensibles
Risque : Les données externes peuvent détecter des données internes à partir des métadonnées associées au document
Le marquage des informations sensibles avec des métadonnées est le meilleur moyen de garantir la protection de vos données.
Désensibilisation/cryptage des données
méthode
Appliquer la matrice CRUD
Les matrices de processus de données et les matrices de rôles de données (CRUD - Créer, Lire, Mettre à jour, Supprimer) courantes et utilisées aident à cartographier les besoins d'accès aux données et à guider les définitions des groupes de rôles, des paramètres et des autorisations en matière de sécurité des données.
Déploiement instantané des correctifs de sécurité
Attributs de sécurité des données dans les métadonnées
Les référentiels de métadonnées sont essentiels pour garantir l'intégrité et la cohérence des modèles de données d'entreprise lorsqu'ils sont utilisés dans les processus métier.
Exigences de sécurité dans les exigences du projet
Les problèmes de sécurité des systèmes et des données doivent être résolus pour chaque projet impliquant des données, les exigences en matière de sécurité des données et des applications étant déterminées en détail au cours de la phase d'analyse.
L'identification préalable des exigences de sécurité permet de guider la conception et d'éviter les modifications des processus de sécurité.
Recherche efficace de données cryptées
La recherche de données cryptées implique évidemment la nécessité de décrypter les données
Une façon de réduire la quantité de données à déchiffrer consiste à utiliser la même méthode de chiffrement pour chiffrer les critères de recherche (tels que les chaînes), puis à utiliser le texte chiffré pour trouver des correspondances.
Nettoyage de fichiers
Fait référence au processus de suppression des métadonnées des fichiers avant qu'ils ne soient partagés
Guide de mise en œuvre
Évaluation de l’état de préparation/évaluation des risques
Améliorer la conformité
entraînement
cohérence institutionnelle
Mesurer les avantages en matière de sécurité
Définir les exigences de sécurité pour les fournisseurs
Augmenter le sentiment d’urgence
Communication continue
Changement organisationnel et culturel
Visibilité de l'autorisation des données utilisateur
L'autorisation de données de chaque utilisateur (c'est-à-dire la somme de toutes les données fournies par un seul point d'autorisation) est examinée lors de la mise en œuvre du système pour déterminer si des informations contrôlées sont incluses.
Sécurité des données dans le monde de l'externalisation
Tout est externe, sauf la responsabilité
Toute forme d’externalisation augmente le risque organisationnel
Les mesures et processus de sécurité des données doivent traiter les risques pour les fournisseurs externes comme des risques à la fois externes et internes.
Transférer le contrôle ne signifie pas transférer des responsabilités, mais nécessite des mécanismes de gestion des risques et de contrôle plus stricts.
La matrice Responsable, Approbation, Consulter, Informer (RACI) aide à clarifier les rôles, la séparation des tâches et les responsabilités des différents rôles, y compris leurs obligations en matière de sécurité des données.
Sécurité des données dans les environnements cloud
DaaS/SaaS/PaaS/XaaS
Dans le cloud computing, il est particulièrement important de partager les responsabilités, de définir la gouvernance des données, ainsi que la propriété et la garde.
Gouvernance de la sécurité des données
Sécurité des données et architecture d'entreprise
Métrique
Indicateurs de mise en œuvre de la sécurité
Indicateurs de sensibilisation à la sécurité
Indicateurs de protection des données
Indicateurs d'incidents de sécurité
Nombre de tentatives d'intrusion détectées et bloquées
Retour sur investissement en économies de coûts de sécurité en empêchant les intrusions
Prolifération des données confidentielles
Le nombre de copies de données confidentielles doit être mesuré pour réduire la prolifération
Plus les données confidentielles sont stockées dans d’endroits, plus le risque de fuite est grand.