Destruction sécurisée : comment gérer les données et éviter une violation

Nous savons tous pourquoi nous devons gérer les données sensibles de manière responsable, mais avec plus de 480 millions d’enregistrements divulgués l’année dernière selon la gouvernance informatique, prenons-nous cela suffisamment au sérieux ?

Nous vivons à l’ère du numérique, donc quand vous dites « violation de données », la plupart des gens pensent automatiquement aux attaques en ligne, comme celles récemment signalées par Yahoo et TalkTalk. Bien que ce type d’attaque constitue une menace majeure et croissante pour les entreprises, nous ne devons pas sous-estimer le pouvoir du papier.

Chaque individu et entreprise utilise du papier pour stocker des informations d’une manière ou d’une autre et le simple fait de le jeter à la poubelle après utilisation ne devrait pas signifier hors de vue, loin de l’esprit. Les violations de papier sont un moyen courant, et parfois facile, d’accéder à des informations privées et doivent donc être traitées avec une grande importance lorsqu’il s’agit de les supprimer. La même règle s’applique aux appareils de bureau tels que les imprimantes, les clés USB et les disques durs qui, même supprimés, contiennent toujours des données.

Le non-respect de la protection des informations sensibles, tant papier que numériques, pourrait entraîner une lourde amende en vertu de la loi sur la protection des données. Cependant, en 2018, cela sera remplacé par le nouveau règlement européen sur la protection des données (GDPR) qui aura des implications importantes pour tous les secteurs sur la façon dont les données sont collectées, stockées et consultées et, malgré le Brexit, cela aura un impact sur les entreprises britanniques.

Avec le nouveau règlement, les amendes pour violation de données seront plus élevées – des millions – et les citoyens européens auront plus de contrôle et plus de droits sur les informations détenues à leur sujet. Par exemple, les personnes auront le « droit à l’oubli » si elles souhaitent que les données anciennes ou inexactes les concernant soient effacées. Par conséquent, toute entreprise disposant d’informations identifiables sur un citoyen de l’UE, quel que soit son lieu d’établissement, doit en être consciente.

Avec des changements majeurs imminents dans la législation sur les données et des violations d’informations qui se produisent trop régulièrement, la question est de savoir comment les entreprises peuvent-elles gérer et détruire en toute sécurité des données sensibles pour empêcher une violation ?

Huit conseils utiles pour protéger les données sensibles :

1. Erreur humaineassurez-vous que tout le personnel est formé
On estime que 80 % des violations de données résultent d’une erreur humaine. Par conséquent, il est essentiel que le personnel sache ce que l’on attend d’eux et comprenne les conséquences d’un manquement à la protection des données sensibles. Cette responsabilité s’étend tant au personnel temporaire qu’au personnel permanent.

2. Protection des donnéesrévisez régulièrement vos politiques
Les politiques de protection des données doivent être à jour, conformes à la législation en vigueur et être révisées en fonction des évolutions de l’entreprise. Un programme de formation régulier comprenant des sessions de remise à niveau fréquentes est essentiel car la législation et les règles de traitement des données peuvent être sujettes à modification. Commencez dès aujourd’hui à vous préparer au RGPD de l’UE.

3. Données sensiblesstocker en toute sécurité et restreindre l’accès
Il est important de s’assurer que tous les dossiers papier et appareils multimédias contenant des informations sensibles sont stockés en toute sécurité sur place ou chez un tiers. Effectuez des sauvegardes régulières des informations stockées sur votre ordinateur et conservez-les dans un endroit sûr et séparé. Il est également prudent de limiter l’accès des employés aux données sensibles, en leur donnant accès uniquement aux informations dont ils ont besoin pour faire leur travail, à la fois en ligne et sur papier.

4. Élimination des donnéeséliminer le risque de confusion
La mise en œuvre d’une politique de « tout détruire » éliminera toute confusion que le personnel pourrait avoir sur ce qui est classé comme confidentiel et éliminera le risque d’erreur humaine. Les données doivent également être effacées des appareils électroniques tels que les ordinateurs, les ordinateurs portables et les clés USB, qui doivent tous être conservés dans des conteneurs ou des pièces verrouillés en attendant leur élimination en toute sécurité.

5. Destruction de détails’assurer que les produits de détail n’atteignent pas le marché noir
Tous les types d’articles de vente au détail tels que les vêtements, les chaussures ou les livres qui ont été mal imprimés ou surimprimés doivent être correctement détruits pour protéger l’image de marque de l’entreprise.

6. Cryptage et protection par mot de passeprotéger tous les appareils électroniques
Les mots de passe doivent être changés régulièrement et le personnel doit savoir quand le faire. C’est une bonne idée de s’assurer que les mots de passe contiennent un minimum de six à huit lettres, chiffres et caractères spéciaux, en utilisant des majuscules et des minuscules, pour réduire le risque que le mot de passe soit compromis. Le cryptage ajoute une autre couche de confidentialité des données et doit être placé sur tous les appareils, y compris les machines mobiles, les bandes de sauvegarde et les ordinateurs portables.

7. Signalement des violations et mise à jour des politiquesattribuer la propriété
Il est essentiel de savoir qui est responsable du signalement d’une violation. Les nouvelles réglementations soulignent qu’une violation doit être signalée immédiatement – la laisser jusqu’à ce que le CIO de votre entreprise soit de retour de vacances n’est pas une option. Par conséquent, il est essentiel de désigner quelqu’un, ou une petite équipe, pour en prendre possession.

De plus, les amendes pour non-conformité au RGPD de l’UE devant être fixées à 5 % du chiffre d’affaires annuel mondial, il est essentiel que la même personne ou la même équipe assume la responsabilité de se tenir au courant des nouvelles réglementations et d’introduire tout changement.

8. Matériel de bureauen disposer correctement
Les appareils multifonctions dotés de disques durs tels que les copieurs, les scanners et les imprimantes peuvent contenir des informations sensibles telles que des copies de documents imprimés et numérisés et présenter un risque potentiel pour les données. Ceux-ci doivent être collectés par une entreprise de bonne réputation et détruits en toute sécurité.

À partir de 2018, les entreprises exigeront le consentement explicite des individus pour collecter leurs données personnelles. Alors, mettez ces processus en place à l’avance. Toute entreprise qui stocke des données personnelles doit se demander quelles sont les raisons légitimes de leur conservation et comment les communiquer à leurs clients.

Par Ann Sellar, responsable des services de destruction sécurisée, Crown Records Management

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.