La shadow IT et comment s’en servir

La Shadow IT et comment la gérer

La Shadow IT et comment la gérer

Qu’est-ce que le shadow IT ?

Selon la définition (en anglais) de Gartner, il s’agit des “logiciels, services ou appareils informatiques qui n’appartiennent pas au service informatique d’une organisation ou sont hors de son contrôle”.

Se rapportant plus spécifiquement aux technologies utilisées par les collaborateurs d’une organisation sans l’approbation du service informatique, le shadow IT (également appelé “informatique de l’ombre”, “informatique fantôme”, ou “shadow informatique”) peut inclure l’utilisation d’un service de streaming audio sur un ordinateur portable professionnel ou l’envoi de documents confidentiels par le biais d’un compte personnel de messagerie.

Il n’est donc pas surprenant qu’il divise l’opinion dans le monde de l’entreprise, comme vous pouvez le constater ci-dessous :

Les réponses face aux Shadow IT en image

Cet article nous permettra d’analyser chacune de ces opinions ainsi que leur signification plus en détail.

Pourquoi faut-il faire face au phénomène de “l’informatique de l’ombre” ?

Selon les prévisions de Gartner, dès 2020, un tiers des cyber-attaques réussies cibleront les données liées aux ressources de shadow IT (rapport disponible en anglais pour les clients de Gartner). Il est donc urgent pour les entreprises de définir une approche robuste leur permettant de gérer le shadow IT, afin de se protéger des risques auxquels elles devront faire face à l’avenir.

Compte tenu du manque d’attention porté à leur utilisation et aux conséquences y étant associées, les ressources de shadow IT sont naturellement moins sécurisées que les ressources approuvées par le service informatique d’une entreprise. N’étant pas normalement intégrées aux systèmes existants, elles offrent des capacités limitées de reporting et d’analytique.

La conception des processus informatiques traditionnels est leur principal atout, car elle tient compte de l’influence des appareils, applications et moyens de stockage autorisés sur la sécurité et le rendement de l’entreprise. Toutefois, les ressources de shadow IT peuvent également s’avérer productives et parfois même supérieures aux solutions existantes.

Généralement éprouvées et bien établies, les ressources approuvées par le service informatique n’ont rien d’original ou d’expérimental. L’informatique traditionnelle préfère parfois éviter les technologies basées sur le cloud, de peur de se retrouver, du moins partiellement, sous le contrôle d’un tiers. Cette résistance au changement peut entraîner l’utilisation de ressources non autorisées par des collaborateurs isolés ou des unités opérationnelles entières, sans demander la permission ou l’aide du service informatique de l’organisation.

Infographie sur les formes que prend la Shadow IT

L’Internet des Objets fantôme

Les entreprises d’aujourd’hui doivent faire face à de nombreuses menaces. Outre le shadow IT, elles doivent désormais gérer l’évolution rapide de I’Internet des Objets (IdO) fantôme. Les méthodes de collecte, de stockage et de partage des données se sont développées de telle sorte que nous passons de plus en plus de temps à gérer des interactions de données. C’est ainsi qu’à l’ère des données numériques, il est facile de négliger les risques potentiels associés à l’installation d’une machine à café connectée.

La priorité des technologies IdO étant d’intégrer des interactions humain-machine innovantes, les problèmes de sécurité sont parfois mis de côté. De plus, une fois les problèmes de sécurité identifiés, il est souvent difficile ou impossible de les résoudre à l’aide de correctifs.

Équipés de capteurs de collecte des données, les appareils IdO sont généralement connectés aux réseaux de l’organisation, où ils ont accès aux données sensibles. Les navigateurs de l’IdO (comme Shodan) peuvent facilement exploiter les appareils et donner lieu à des violations de données ou créer de nouveaux vecteurs non protégés augmentant les risques de cyberattaques.

Selon Armis, une société spécialisée dans la sécurité de l’IdO, près d’un demi-milliard d’appareils IdO sont vulnérables aux prises de contrôle à distance par le biais d’attaques DNS (article en anglais). Le rapport indique que l’utilisation d’appareils connectés (imprimantes, téléviseurs intelligents, caméras IP, etc.) rend les entreprises particulièrement vulnérables.

3 réponses à la question : comment gérer le phénomène du shadow IT ?

Réponse 1 

“C’est inadmissible. Il faut absolument se débarrasser de ce phénomène.”

Ceux qui soutiennent cet argument considèrent le shadow IT comme une véritable abomination. Apanage des collaborateurs peu scrupuleux qui se moquent de la sécurité des données ainsi que des programmes de conformité et de reporting, cette pratique fait fi des protocoles informatiques autorisés.

Face à cette attitude, il est difficile de vanter les mérites du shadow IT. Bien qu’il existe des politiques informatiques dont l’objectif principal est de protéger les entreprises et leur rendement, tenter d’éliminer l’ensemble des expositions potentielles au shadow IT implique de mettre en œuvre un verrouillage exhaustif des données. Cette approche nécessite de surveiller de près l’ensemble des transmissions de données, de révoquer les permissions et de fortement limiter l’accès à Internet. Elle exclut également les politiques permettant aux collaborateurs d’utiliser leurs appareils personnels à des fins professionnelles (de l’anglais BYOD, ou Bring Your Own Device), ce qui sous-entend des investissements exorbitants dans l’acquisition d’appareils appartenant à l’organisation. En cas de découverte de ressources de shadow IT, la réponse est rapide et radicale.

Par conséquent, les collaborateurs se sentent surveillés et ont peu d’égard pour les politiques de leur entreprise. Afin d’illustrer notre propos, admettons qu’un collaborateur lance l’impression de 500 copies d’un document par erreur. N’ayant pas les permissions nécessaires, il serait dans l’incapacité d’interrompre le processus. Le résultat : un collaborateur très mécontent ainsi qu’un gros gaspillage de papier.

Sans compter qu’en limitant strictement la marge de manœuvre des employés, l’organisation les privera des moyens et de la motivation nécessaires pour créer de nouvelles solutions susceptibles de lui bénéficier. De plus, aussi strict que soit le protocole de verrouillage des données utilisé par l’organisation, une seule capture d’écran suffira à compromettre des données sensibles.

Solution recommandée : accordez une amnistie aux utilisateurs du shadow IT.

Pour résoudre un problème, il faut d’abord le comprendre. En accordant une amnistie, même temporaire, votre organisation pourra entamer un dialogue autour des raisons qui poussent ses collaborateurs à utiliser des ressources de shadow IT, ce qui lui permettra de comprendre pourquoi les systèmes autorisés ne leur suffisent pas. La direction obtiendra ainsi des informations concernant les lacunes que les collaborateurs ont tenté de combler dans les processus et technologies existants.

Admettons que l’un de vos collaborateurs reconnaisse employer un outil de productivité non autorisé pour suivre la progression des tâches en cours ou organiser ses projets. Dans ce cas, la direction devrait envisager d’intégrer un produit offrant ces fonctionnalités aux systèmes et applications existants, sous l’égide du service informatique.

Capture d'écran du logiciel Asana pour sa gestion de projet informatique
Liste des tâches dans le logiciel de gestion des projets Asana (Source)

Réponse 2 

“Le shadow IT présente des avantages. Il favorise l’innovation et augmente la productivité des collaborateurs.”

Pour ceux qui soutiennent cet argument, l’informatique traditionnelle est un carcan bureaucratique dont “l’informatique de l’ombre” permet de sortir. Offrant davantage de flexibilité à ses utilisateurs, le shadow IT permet de contourner des processus informatiques dépassés et peu efficaces, qui n’encouragent pas l’innovation.

Le terme shadow IT sous-entend une pratique secrète et fondamentalement négative. Par conséquent, comment peut-il bénéficier à une organisation ? C’est très simple. Il suffit d’accepter les avantages présentés par ces ressources pour qu’elles ne soient plus dans l’ombre. Il s’agit tout simplement de méthodes utilisées par les collaborateurs pour faire leur travail.

Sans oublier qu’en autorisant les employés à s’adapter rapidement et à adopter de nouvelles technologies dès que l’occasion se présente, les entreprises se donnent les moyens de rester concurrentielles dans un paysage commercial en constante évolution. Aujourd’hui, les connaissances autrefois détenues par le service informatique proviennent de toute l’organisation. Les collaborateurs d’aujourd’hui sont férus de technologie et dépendent beaucoup moins des canaux informatiques traditionnels que la génération précédente.

Aujourd’hui, les non-techniciens peuvent créer des applications sans avoir à utiliser de code, à l’aide de services Platform-as-a-Service, ou PaaS. Ainsi, nombreux sont les collaborateurs qui disposent des connaissances et des capacités nécessaires pour participer, souvent de façon utile, au développement informatique de leur organisation.

Solution recommandée : créez un programme de sensibilisation aux risques associés au shadow IT

Si vous souhaitez assimiler le shadow IT à la culture de votre organisation, la sensibilisation aux risques est essentielle. Intégrez-le ainsi que l’IdO fantôme à des programmes de sensibilisation aux risques. Définissez un lien de causalité entre les appareils et applications non autorisés et les risques financiers qu’ils posent pour votre entreprise.

Les conséquences négatives du shadow IT incluent l’interruption des activités dues aux cyberattaques, les amendes pour violation des normes de conformité et l’exposition aux risques des informations exclusives. De tels événements peuvent affecter les bénéfices réalisés par votre entreprise et affecter négativement les augmentations de salaire et les avantages dont bénéficient les collaborateurs.

En expliquant clairement à vos collaborateurs que l’utilisation peu scrupuleuse du shadow IT peut les affecter, vous les encouragerez à se conformer de bon gré aux politiques de gestion des risques. Correctement sensibilisés, ils sont également plus susceptibles de parler ouvertement des raisons pour lesquelles une nouvelle solution serait plus adaptée aux besoins de l’organisation, au lieu d’utiliser des solutions non autorisées sans en informer le service informatique.

Réponse 3 :

“C’est inévitable. Si vous ne pouvez pas lutter, autant vous adapter.”

Ceux qui soutiennent cet argument ont accepté l’inéluctable : le shadow IT existe bel et bien. Tenter de l’éliminer par la force ne servira à rien. Si les collaborateurs veulent utiliser des applications et appareils non autorisés pour faire leur travail, la meilleure solution est de veiller à ce que l’organisation puisse réglementer ces activités.

Les collaborateurs modernes n’attendent plus que les processus informatiques et les mécanismes de gestion rattrapent le temps perdu. Plus autonomes, ils trouvent ou créent leurs propres solutions et ne se rendent pas toujours compte qu’ils utilisent des ressources non autorisées. C’est le cas, par exemple, lorsqu’ils téléchargent des documents sur le cloud pour continuer de travailler une fois rentrés chez eux.

Des plateformes de stockage sur le cloud aux applications SaaS, en passant par la foule d’appareils connectés à Internet, tout semble les encourager à utiliser le shadow IT au grand dam du service informatique qui ne sait plus où donner de la tête.

Solution recommandée : adoptez un courtier en sécurité d’accès cloud (CASB)

Pour lutter contre l’évolution rapide du shadow IT, les entreprises peuvent employer un courtier en sécurité d’accès cloud (de l’anglais Cloud Access Security Broker, ou CASB) qui contrôlera l’utilisation des applications cloud et analysera les pare-feux dans le but d’identifier les menaces à la sécurité. Ces informations permettront aux entreprises d’identifier les applications et sites Internet présentant des risques, afin de les bloquer ou de limiter l’utilisation qu’en font leurs collaborateurs.

Les systèmes CASB permettent également d’intégrer le classement des données et les politiques de sécurité, afin de filtrer automatiquement l’accès aux applications cloud et aux services de stockage. Donnant lieu à une approche moins stricte du shadow IT, ces fonctionnalités font obstacle à l’exfiltration des données et favorisent le respect des normes de conformité en vigueur. Bien qu’ils conviennent mieux aux entreprises de plus de 50 collaborateurs, les logiciels de CASB s’adaptent à de nombreux types d’organisation.

Capture d'écran du rapport d'anomalies sur Netskope
Rapport des anomalies dans le logiciel CASB Netskope (Source)

Et pour la suite ?

Loin de vouloir se montrer réfractaires, les collaborateurs qui utilisent des ressources de shadow IT cherchent généralement à augmenter leur productivité et à améliorer la collaboration au sein de l’organisation. Il est essentiel d’encourager le dialogue entre la direction et les collaborateurs de votre entreprise, afin d’identifier les outils dont ces derniers ont besoin pour travailler efficacement ainsi que pour éliminer l’utilisation d’outils non autorisés et préserver l’intégrité des systèmes informatiques.

Finalement, le shadow IT est-il une pratique inadmissible, avantageuse ou un fait accompli ?

Il s’agit sans doute un peu des trois.

Né d’un besoin évident, le shadow IT doit encourager les chefs d’entreprises à dialoguer et à trouver des solutions adéquates.

Vous trouverez d’autres solutions permettant de gérer le phénomène du shadow IT sur les pages du catalogue de GetApp, en utilisant les mots clés gestion de projets et sécurité informatique.

 

Das können Managed Service Provider zur IT-Sicherheit kleiner Unternehmen beitragen

was-ist-mssp

was-ist-mssp

Viele kleine Unternehmen entscheiden sich für handelsübliche IT-Sicherheitssoftware und lassen sie von einem Anbieter installieren, mit dem sie darüber hinaus keine Geschäftsbeziehung pflegen. Sie gehen davon aus, dass ihre Systeme nun sicher sein werden.

Dabei vergessen sie, dass sich die Bedrohungslandschaft ständig ändert, beispielsweise wenn Hacker sich künstliche Intelligenz zunutze machen. Um damit Schritt zu halten, müssen kleine Unternehmen ihre IT-Sicherheitssysteme kontinuierlich aktualisieren, verwalten und skalieren.

Wenn das sicherheitsbezogene Fachwissen, die Ressourcen und das Budget jedoch knapp bemessen sind, ist die Cybersicherheit oft nicht einfach zu bewerkstelligen

Es lohnt sich, einen Managed Service Provider für die Sicherheit (MSSP) zu beauftragen, um die IT-Netzwerke zu überwachen, Bedrohungen zu erkennen, Systeme zu verwalten und somit für eine immer aktuelle Sicherheitsinfrastruktur zu sorgen. So sind kleine Unternehmen besser vor Cyberrisiken geschützt als andere, die die Sicherheit intern, aber mit unzureichenden Ressourcen und Kenntnissen verwalten.

In diesem Artikel soll es darum gehen, was Managed Service Provider zur IT-Sicherheit kleiner Unternehmen beitragen können. Außerdem werden wir eine MSSP-Definition liefern und typische Fragen zu Managed Security Services beantworten.

Warum kann das Outsourcen der IT-Sicherheit für kleine Unternehmen funktionieren?

Kleine Unternehmen lagern häufig Bereiche aus, um ihre betriebliche Effizienz zu erhöhen, beispielsweise Gehaltmanagement, Recruiting und Steuer.

Doch wie sieht es mit der IT-Sicherheit aus? Dort ist es etwas komplizierter, denn schließlich kann das Outsourcing hier auch zahlreiche Sicherheitsrisiken mit sich bringen – und in Zeiten der DSGVO müssen dabei auch Datenschutzgesetze genau bedacht werden.

Nichtsdestrotrotz sind sich viele IT-Expert*innen einig, dass sich kleine Unternehmen durch das Auslagern der IT-Sicherheit besser auf ihre Kernkompetenzen konzentrieren, Sicherheitsvorfälle frühzeitig erkennen und Kosten einsparen können. Michael Sorokin, Security Solution Architect bei CDW, sagt dazu:

Für viele KMU lohnt es sich, die Cybersicherheit in die Hände eines Managed Service Provider zu legen. Wenige mittelgroße (und fast keine kleinen) Unternehmen verfügen über das nötige interne Sicherheitspersonal, um ein umfassendes Cybersicherheitsprogramm zu implementieren und zu managen.

Für viele Unternehmen ist das Risiko durch das Outsourcen von Sicherheitsdienstleistungen geringer als die Bedrohung durch Cyberangriffe. Die meisten kleinen und mittleren Unternehmen (KMU) wenden sich an Drittanbieter, weil sie nicht genügend entsprechend geschultes Personal oder finanzielle Mittel haben, um die Sicherheit selbst zu bewältigen.

Und es gibt eine ganze Reihe guter Gründe dafür, Managed Service Provider einzusetzen:

    • Sicherheit ist nicht die Kernkompetenz.Dies gilt für die meisten KMU. Sicherheitsbezogene Aufgaben lenken oft vom Kerngeschäft ab. Da der Fokus des Unternehmens auf anderen Dingen liegt, fehlen oft schlicht auch die Ressourcen, um sämtliche IT-Sicherheitsanforderungen intern zu erfüllen.
    • Das Budget ist nicht hoch genug.Sicherheitsrelevante Geräte und Hardware wie Netzwerksicherheits-Appliances, Firewalls der neuesten Generation und Intrusion Detection-Systeme erfordern häufig eine große Investition. Erweiterte Software zur Bedrohungserkennung kostet etwa 000 $ im Jahr. Kleine Unternehmen, denen das nötige Budget fehlt, ignorieren häufig, was eigentlich gebraucht wird, oder betrachten es als von niedriger Priorität.
    • Es gibt zu wenig Fachkräfte:Weltweit fehlen fast 3 Millionen Fachkräfte im Bereich Cybersicherheit. Gleichzeitig befinden sich die Gehälter in diesem Bereich auf einem Rekordhoch. Angesichts des Fachkräftemangels und den oft hohen verlangten Gehältern ist es schwer, mit Großunternehmen um Sicherheitsexpert*innen zu konkurrieren.

Kurz gesagt: Eigenes Sicherheitspersonal einzustellen ist nicht nur kostspielig, sondern auch gar nicht so einfach! An dieser Stelle kommen Managed Security Services ins Spiel.

Was sind MSSPs und Security-as-a-Service?

Managed Security Service Providers sind Drittanbieter, die bei der Remote-Überwachung von sicherheitsrelevanten Ereignissen und damit zusammenhängenden Daten helfen. Zu den von ihnen angebotenen Dienstleistungen zählen beispielsweise die Erkennung von Bedrohungen im Netzwerk, Sicherheitsanalysen und -berichte, Vorfallreaktion und Schwachstellenscans über ihr Remote-Security Operations Center (SOC).

Unterschiedliche Managed Service Provider bieten auch unterschiedliche Dienstleistungen an. Üblicherweise gehören dazu:

  • Sicherheitsüberwachung, Berichterstellung und Warnungen:Protokolle und andere Daten aus den Unternehmensnetzwerken werden erfasst und für Sicherheitsprüfberichte analysiert. Warnmeldungen zu Bedrohungen aus unterschiedlichen Quellen werden ausgegeben und Empfehlungen zu Gegenmaßnahmen gegeben.
  • Sicherheitsgerätemanagement:Sicherheitsgerätekonfigurationen und -regeln werden aktualisiert, Firewalls und Intrusion-Prevention-Systeme verwaltet und auf erkannte Vorfälle reagiert.
  • Risikobewertung und -management:Potentielle Bedrohungen werden identifiziert und analysiert, Schwachstellen überprüft und Gegenmaßnahmen wie Patching ergriffen, um Sicherheitsrisiken zu minimieren. Außerdem werden IT- und Sicherheitssysteme jährlich oder halbjährlich überprüft, um den Schutz vor neuen Bedrohungen sicherzustellen.
  • Sicherheitssoftwaremanagement:Übliche Sicherheitssoftware wie Schwachstellenscans, Anti-Malware, Patch-Management, Virtual Private Network (VPN) und Intrusion Detection wird bereitgestellt, konfiguriert und verwaltet. MSSPs stellen diese Funktionen entweder über eigene SOCs oder die von Drittanbietern zur Verfügung.
  • Vorfallmanagement und -reaktion:Unterstützt beim Entwickeln systematischer Methoden zur Reaktion auf Sicherheitsvorfälle wie Datenschutzverletzungen oder Ausfallzeiten von Servern und Netzwerken. Außerdem wird es möglich, schneller auf Vorfälle zu reagieren, gegen ausgenutzte Schwachstellen vorzugehen, Dienste wiederherzustellen und finanzielle Verluste zu minimieren.

Einige MSSPs bieten – häufig gegen eine Zusatzgebühr – weitere Leistungen wie Sicherheitsanalysen, Sicherheits-Governance und die Gestaltung von Sicherheitsprogrammen.

Arten von MSSPs

Der MSSP-Markt ist ziemlich ausgereift und die Anbieter können in folgende Bereiche kategorisiert werden:

  • Netzwerksicherheitsdienstleister:Verwalten Netzwerksicherheitsprodukte und bieten Leistungen wie die Remote-Überwachung.
  • Reine Sicherheitsdienstleister:Konzentrieren sich auf End-to-End-Sicherheitsdienstleistungen und bieten beispielsweise Funktionen für Bedrohungserkennung, Sicherheitsüberwachung, Gerätemanagement und Vorfallreaktionsmanagement. Reine MSSPs konzentrieren sich häufig auf bestimmte Industriezweige, gesetzliche Anforderungen oder Analysedienstleistungen.
  • IT-Outsourcer:Breit aufgestellte IT-Diensteanbieter, die Managed Security Services häufig im Rahmen von Outsourcing-Angeboten bieten. Außerdem bieten sie grundlegende Dienstleistungen rund um Sicherheitsüberwachung, Systemkonfiguration und Updates an.
  • Sicherheitsberater*innen:Sie sind die aufstrebenden Neueinsteiger in diesem Markt und bieten ihren Kund*innen kontinuierliche Beratungen anstelle einmaliger Projekte. Sie führen Risikobewertungen durch und bieten Ratschläge zu Sicherheitslösungen.

Wie können MSSPs kleinen Unternehmen helfen? Vorteile und Herausforderungen

Die Zusammenarbeit mit MSSPs bietet kleinen Unternehmen verschiedene Vorteile, aber stellt sie auch vor Herausforderungen.

Kostengünstige Sicherung von Systemen und Verbesserung der Compliance

Zu den großen Vorteilen gehören die folgenden Punkte:

  • Verbesserter Schutz:MSSPs verfügen über hervorragende Sicherheitsexpert*innen und -systeme, von denen kleine Unternehmen profitieren können, um Datenschutz und Sicherheit zu verbessern. So erhalten sie die neuesten Updates und Informationen zu aktuellen Cybersicherheitsbedrohungen, Möglichkeiten zur Risikominderung sowie Sicherheitssoftware.
  • Verbessertes Risiko- und Compliance-Management:Es ist nicht einfach, gleichzeitig ein kleines Unternehmen zu führen und bei all den neuen Branchenstandards, Gesetzen und Regelungen auf dem Laufenden zu bleiben. Diese Aufgaben kann ein Managed Service Provider übernehmen, der außerdem mehr Routine im Implementieren von Sicherheits- und Compliance-Kontrollen hat.
  • Kosteneinsparungen:Für die meisten kleinen Unternehmen haben Einsparungen höchste Priorität. Durch Managed Service Provider lassen sich die Kosten für die Einstellung von internem Sicherheitspersonal, High-End-Netzwerküberwachungslösungen und Tools zur Bedrohungserkennung reduzieren. Unseren Untersuchungen zufolge können kleine Unternehmen ihre Sicherheitskosten durch die Zusammenarbeit mit MSSPs um 20 bis 30 Prozent senken.
  • Verfügbarkeit:MSSPs stellen sicher, dass ihre SOCs rund um die Uhr verfügbar sind, um deine Netzwerke, Anwendungen und Geräte auf Schwachstellen und potentielle Cyberangriffe zu überwachen.

Herausforderungen durch standardisierte Lösungen und unklare SLAs

Mit MSSPs lassen sich Zeit und Kosten sparen, doch sie bringen unter Umständen auch einige Schwierigkeiten mit sich. Vor allem die folgenden beiden Probleme können auftreten:

  • Eingeschränktes Verständnis vom bzw. Wissen über das Geschäft des Kunden:Trotz ihres Know-hows im Sicherheitsbereich gelingt es nicht immer allen MSSPs, die Geschäftsanforderungen ihrer Kunden zu verstehen. Einige versuchen, eine Universalmethode einzusetzen, was dazu führen kann, dass sich manche ihrer Sicherheitstools nicht gut in unternehmenseigene Backend-Systeme integrieren lassen.
  • Unklare Verteilung der Verantwortlichkeiten:Ein fest umrissenes Service Level Agreement (SLA) mit klaren Rollen und Aufgabenverteilungen für beide Seiten sorgt dafür, dass Schuldzuweisungen vermieden werden. Unklare oder mehrdeutige Regeln können die Behebung von Risiken verzögern und den Ruf von Unternehmen schädigen. Nicht selten scheitert die Zusammenarbeit mit einem Managed Security Provider an schlecht kommunizierten Anforderungen.

 Expertentipp

Unternehmensinhaber*innen haben die Hauptverantwortung für die Sicherheit ihres Unternehmens. Daher dürfen sie grundlegende Sicherheitsmaßnahmen auch dann nicht außer Acht lassen, wenn ein MSSP beauftragt wurde. Es ist wichtig, die Angestellten weiterhin in ihrem Sicherheitsbewusstsein zu schulen und Best Practices zur Datensicherheit umzusetzen.

Wann ist der richtige Zeitpunkt für die Zusammenarbeit mit MSSPs?

Braucht ein kleines Start-up mit zwei Angestellten und ohne eigenes Büro schon einen MSSP?

Ja! Selbst die kleinsten Unternehmen müssen sich voll und ganz auf die Sicherheit konzentrieren. Ein großer Teil der Unternehmen sieht in MSSPs mittlerweile einen großen Vorteil (Quelle):

Managed Security Service Provider

 

Unternehmen mit weniger als fünf Geräten können handelsübliche IT-Sicherheitssoftware nutzen. Doch sobald mehr Mitarbeiter*innen eingestellt werden und das Unternehmen wächst, steigt auch die Zahl der Endpunkte im IT-Netzwerk. Damit haben auch Hacker mehr mögliche Angriffspunkte und potentiell ausnutzbare Schwachstellen.

Wenn vorinstallierte Antivirensoftware und Firewalls nicht mehr ausreichen, braucht es einen MSSP. Jedes Unternehmen benötigt Passwortmanager, Netzwerküberwachungssoftware, Tools zur Bedrohungserkennung und mehr, doch oft fehlt die Zeit und das Fachwissen, um all dies zu konfigurieren und zu managen. Auch für interne Vollzeit-Sicherheitsexpert*innen sind in kleinen Unternehmen meist nicht die Ressourcen vorhanden.

Genau das sind Hinweise darauf, das MSSPs der richtige Weg sind. Weitere Zeichen sind:

Es sind veraltete, inkompatible Cybersicherheitslösungen im Einsatz: 69 % der IT-Sicherheitsexperten glauben, dass die bestehenden Sicherheitstools ihrer Unternehmen unzureichend und veraltet sind. Veraltete Software kann bei der Integration in andere Systeme Kompatibilitätsprobleme verursachen und ein Sicherheitsrisiko darstellen, schlimmstenfalls kann sie zum Verlust wichtiger Dateien führen. Managed Service Provider integrieren alle wichtigen Sicherheitslösungen, verzichten auf überflüssige Tools und schaffen eine organisierte Struktur für die effektive Bedrohungserkennung und -bekämpfung.

Es wurde noch nie in Sicherheitslösungen investiert: Vielen kleinen Unternehmen fehlt schlicht das nötige Wissen über Cybersicherheit. Angesichts der Tatsache, dass 43 Prozent aller Cyberangriffe auf kleine Unternehmen abzielen und 60 Prozent davon infolgedessen den Betrieb aufgeben müssen, ist dies ein Nichtwissen, das KMU sich schlicht nicht leisten können. Deshalb ist es so wichtig, mit Sicherheitsexpert*innen zusammenzuarbeiten, um die eigene Sicherheitslage zu verbessern.

Sicherheitssysteme geben Warnmeldungen aus, doch niemand weiß, was zu tun ist: 72 Prozent der IT-Sicherheitsfachkräfte geben zu, dass ihre Teams unter einer Art Warnungsmüdigkeit leiden: Sie erhalten zahllose Warnmeldungen, unter denen viele Fehlalarme sind. Daher neigen kleinere IT-Teams mit ohnehin schon geringen Ressourcen dazu, Warnmeldungen zu ignorieren. Die Zusammenarbeit mit einem MSSP macht es möglich, genau auf diese Hinweise einzugehen und sicherzustellen, dass keine wirklich kritischen Warnungen unabsichtlich ignoriert werden.

Andere kleine Unternehmen wurden Opfer von Cyberangriffen: Wenn verwandte Unternehmen und Wettbewerber bereits DDoS-Angriffen oder anderen Cyberangriffen zum Opfer gefallen sind, sollte man dies als Warnzeichen betrachten und nicht tatenlos abwarten, bis auch im eigenen Unternehmen etwas passiert. Die Zusammenarbeit mit einem MSSP muss in Angriff genommen werden, bevor es zu spät ist, sich zu schützen.

Die eigenen Investoren und Geschäftspartner priorisieren die IT-Sicherheit: Manchmal drängen Investoren und Geschäftspartner auf die Einführung strengerer IT-Sicherheitsmaßnahmen. Es lohnt sich, dies ernst zu nehmen und die Dienste eines Managed Service Provider in Anspruch zu nehmen, wenn das eigene Team nicht über umfassende Erfahrung im Bereich Cybersicherheit verfügt.

Wie findet man MSSPs für kleine Unternehmen?

Bei der Wahl eines Managed Service Provider gibt es einiges zu beachten. Folgende Punkte sind besonders wichtig:

Anleitung MSSP Suche für kleine Unternehmen

Qualifikation und Fachwissen von MSSPs überprüfen: Unterschiedliche MSSPs bieten unterschiedliche Leistungen an. Manche bieten nur die Sicherheitsüberwachung, andere auch Sicherheitsgerätemanagement, Schwachstellenmanagement oder Bedrohungserkennung – oder alles zusammen. Vor der Beauftragung eines Managed Service Providers sollte man genau wissen, worin man von ihm Unterstützung benötigt.

Bei kleinen Unternehmen geht es meist um Sicherheitsüberwachung, Konfiguration und Verwaltung von Sicherheitssystemen, Warnmeldungen, Berichterstellung/Dashboards und Risikobewertungen. Außerdem gilt es sicherzustellen, dass der MSSP Erfahrung im Betrieb von Remote-SOCs und im Umgang mit Cloud-Technologien hat.

Anbieter wählen, die sich durch schriftlich festgelegte SLAs verpflichten: Durch das Unterzeichnen formaler SLAs mit dem MSSP wird sichergestellt, dass man sich auf Servicestandards für Berichterstellung, Warnmeldungen und das Management von Sicherheitsvorfällen einigt. Außerdem helfen die SLAs beim Festlegen von Verfügbarkeitszeiten, Richtlinien für die Datenspeicherung und Bedingungen für die Kündigung des Vertrags.

Nach benutzerdefinierten Services und relevanter Branchenerfahrung fragen: Es empfiehlt sich, nach MSSPs zu suchen, die bereits mit Kunden in derselben Branche zusammengearbeitet haben und sich somit mit branchenspezifischen Vorschriften und Compliance-Anforderungen auskennen.

Außerdem sollten sie ihre Angebote auf die spezifischen Anforderungen des jeweiligen Unternehmens anpassen. So vermeidet man es, für Dienstleistungen zu zahlen, die man gar nicht benötigt. Sinnvoll sind angepasste Pakete, die genau das bieten, was für Berichterstellung, Warnungen, Protokollmanagement oder Risikobewertung benötigt wird.

Beispiele von MSSPs für kleine Unternehmen

An dieser Stelle möchten wir einen Blick auf ein paar der führenden MSSPs aus Gartners Magic Quadrant werfen, die Security-as-a-Service anbieten. Diese Liste ist nicht vollständig und wir empfehlen, vor der Entscheidung für einen MSSP nach weiteren Optionen zu suchen.

    • IBM:Die Managed Security Services von IBM bieten Software und Fachwissen, damit Kund*innen ihre Informationsbestände besser sichern können. Zu den angebotenen Dienstleistungen gehören Firewall-Management, Protokollmanagement, Intrusion Detection, einheitliches Bedrohungsmanagement, Endpunkt-Sicherheitsdienste und dedizierte Security Intelligence-Analysen.
    • Secureworks:Secureworks bietet Firewall-Management, Intrusion Detection and Prevention, Malware-Schutz, Endpunkt-Schutz, Schwachstellenverwaltung sowie Überwachungs- und Berichterstellungsservices.
    • Symantec:Die Managed Security Services von Symantec bieten eine kontinuierliche Sicherheitsüberwachung und Sicherheitsanalyseoptionen in Echtzeit, außerdem Protokollverwaltung, Berichterstellung und benutzerdefinierte Anpassungen.
    • Trustwave:Trustwave bietet Services für Managed Threat Detection, Technologiemanagement und Bedrohungsverfolgung. Das Tool unterstützt KMU beim Einhalten der PCI-DSS-Richtlinien.
    • Verizon:Die Managed Security Services von Verizon sind anpassbar und unterstützen eine kontinuierliche Sicherheitsüberwachung, Vorfallmanagement, Protokollverwaltung, Sicherheitsgerätemanagement und Analysen.

MSP versus MSSP: Die Hauptunterschiede

Managed Service Provider (MSP) sind Drittanbieter, die IT-Infrastruktur und -Betrieb von anderen Unternehmen verwalten. Sie bieten Netzwerk-, Anwendungs- und E-Management-Services. Einige MSPs bieten außerdem Leistungen zu Sicherheitsüberwachung und -management, allerdings nur als zusätzliches Feature – im Gegensatz zu MSSPs, die sich ausschließlich auf Sicherheitsdienstleistungen konzentrieren. Die Wahl eines MSP für die Verwaltung des Sicherheitsbetriebs ist sinnvoll, wenn er über das nötige Know-how verfügt, die Sicherheitsanforderungen weniger komplex sind und die Zusammenarbeit mit einem einzigen MSP für IT- und Sicherheitsanforderungen unkomplizierter und kostengünstiger erscheint.

Bei der Suche nach einem MSP für IT-Verwaltung und Sicherheitsdienstleistungen kann unsere Liste von Managed Service Providers und entsprechender Software hilfreich sein.

Nächste Schritte

Vor der Beauftragung eines MSSPs sollte eine Sicherheitsbewertung für das Unternehmen durchgeführt werden, um Schwachstellen und mögliche Bedrohungen zu identifizieren. Diese Prüfung des Sicherheitsstatus kann durch interne Angestellte oder Drittanbieter erfolgen. Eine solche Sicherheitsprüfung hilft auch, klar festzulegen, welche Dienstleistungen genau von einem Managed Service Provider benötigt werden.

 

Du suchst nach IT-Sicherheitssoftware?
Unser Softwareverzeichnis bietet einen Überblick über Lösungen für die unterschiedlichsten Anforderungen.

Quels sont les risques de sécurité du cloud computing ?

Quels sont les risques de sécurité du cloud computing

Quels sont les risques de sécurité du cloud computing

Le saviez-vous ? 70 % des entreprises utilisent désormais la sécurité cloud pour leurs applications.

Souvent, les employés s’inscrivent eux-mêmes à ces applications pour faire leur travail plus efficacement, sans que le département informatique ne soit au courant ni ne l’autorise. Cette pratique semble plus répandue dans les petites entreprises qui n’ont pas d’équipe IT dédiée.

Les petites entreprises adoptent rapidement les technologies sur le cloud, mais elles le font souvent sans tenir compte des problèmes de sécurité liés au stockage de leurs données sur le cloud. Ces PME font aveuglément confiance à leurs fournisseurs de cloud computing et d’applications cloud, ignorant comment leurs données sont stockées, sécurisées ou utilisées.

Les petites entreprises qui s’abonnent aux services sur le cloud sans en comprendre les conditions d’utilisation et sans implémenter de mesures de sécurité supplémentaires, comme le chiffrement ou la sauvegarde, s’exposent à un risque plus élevé de perte de données, de cyberattaques et de sanctions pour non-respect de la conformité.

Dans cet article, nous aborderons les principaux risques de la sécurité liés au cloud computing, les mesures prises par les entreprises qui les rendent vulnérables aux risques et les stratégies que vous pouvez implémenter pour mieux vous protéger.

Qu’est-ce que le cloud computing ?

Le cloud computing, ou informatique sur le cloud, désigne la prestation de services informatiques sur Internet, par exemple des applications logicielles, des réseaux, du stockage, des serveurs.

Contrairement aux systèmes traditionnels où vous hébergez vos données, vos serveurs et vos applications dans des locaux, les fournisseurs de services sur le cloud hébergent vos données dans leurs centres de données, qui sont situés à un emplacement différent. Vous pouvez ensuite accéder à ces données via Internet.

Les avantages du cloud computing incluent :

  • Économies sur les coûts d’équipement informatique
  • Espace de stockage évolutif
  • Modèle de paiement d’abonnement par lequel vous ne payez que ce que vous utilisez

Vous bénéficiez également de l’assistance de professionnels expérimentés pour gérer les opérations informatiques, vous évitant ainsi d’avoir besoin d’une équipe informatique complète pour installer et maintenir les systèmes. Cependant, le cloud computing augmente également les risques de sécurité car vos données sont placées dans un datacenter qui est également utilisé par d’autres entreprises. Vous n’avez aucun contrôle et aucune visibilité sur la façon dont le centre de données est géré et ignorez où et comment vos données sont stockées.

Le cloud computing est une technologie très utile à laquelle vous ne pourrez pas échapper. Toutefois, vous devez être conscient des risques liés à la sécurité sur le cloud et prendre des mesures pour assurer une meilleure protection des données.

Les 5 plus gros risques du cloud computing

Dans cette section, nous abordons certains des risques liés au cloud computing qui affectent les entreprises à travers le monde.

1. Perte de données

La perte de données désigne l’indisponibilité ou la destruction partielle ou complète de vos informations. Cela peut se produire par effacement accidentel, écrasement ou actions malveillantes de la part d’utilisateurs ou de pirates.

EXEMPLE:  Code Spaces était une société qui offrait des services de code source et de gestion de projet aux développeurs. Elle a été construite principalement sur Amazon Web Services (AWS) en utilisant des instances de serveur et de stockage. En juin 2014, un pirate informatique a accédé au panneau de contrôle AWS de l’entreprise et a demandé une rançon (ransomware). Lorsque Code Spaces a refusé de payer, le pirate a supprimé des fichiers importants, y compris des snapshots EBS, des seaux S3, et plus encore. Code Spaces a dû fermer.

Bien que les fournisseurs de services sur le cloud aient amélioré leurs contrôles de sécurité au cours des dernières années, les attaques par rançon, comme celle décrite ci-dessus, sont de plus en plus répandues, rendant les entreprises vulnérables.

De plus, ces pertes ne sont pas toujours imputées à des pirates ! Une erreur humaine sur le site du fournisseur de solutions sur le cloud peut également entraîner une perte de données pour le client, comme peut en témoigner le géant Cisco. En août 2017, une erreur dans la mise à jour des politiques du service de stockage a entraîné la suppression de toutes les données qui avaient été téléchargées avant 11 h 20 ce jour-là. Les petites entreprises qui n’ont pas de politique de sauvegarde ou de récupération des données seraient les plus touchées dans un tel cas de figure.

Mesures recommandées pour réduire le risque de perte de données :

  • Signez des accords de niveau de service avec les fournisseurs de services sur le cloud pour la restauration des données, la sauvegarde des données et le basculement vers un réseau ou système alternatif (fail-over).
  • Prenez des mesures supplémentaires de votre côté pour sécuriser les données critiques en les sauvegardant sur des disques ou sur un autre service cloud. Mettez en œuvre d’autres technologies de sécurité et de prévention des pertes de données sur le cloud, entre autres.

2. Non-conformité réglementaire

Selon un sondage mené auprès de 177 organisations mondiales IT au cours des mois précédant l’échéance du RGPD, encore peu d’organisations avaient compris comment la politique affecterait les services sur le cloud.

Les petites organisations n’ont généralement pas de conseiller juridique spécialisé, ce qui complique le décryptage des conditions précises qu’elles doivent respecter pour se conformer au RGPD. Elles doivent compter sur les fournisseurs de services sur le cloud pour le faire à leur place.

D’autres règlements, comme le HIPAA, exigent également que vous assuriez la sécurité et la confidentialité de certains renseignements clients si vous avez une entreprise aux États-Unis. Si vous faites confiance à un fournisseur de services sur le cloud pour le stockage de vos données, vous devez vous assurer qu’il respecte les normes de sécurité requises.

EXEMPLE:  Le personnel du St. Elizabeth’s Medical Center, un hôpital du Massachusetts, a utilisé une application de partage de fichiers sur le cloud pour stocker les renseignements médicaux des patients. Une fuite de données ePHI (renseignements médicaux électroniques protégés) de plus de 500 patients s’est produite et l’hôpital a été condamné à une amende de 218 400 $ (soit environ 198 355 €) pour avoir enfreint les règles de sécurité et de confidentialité des données en vertu du HIPAA. L’organisme de réglementation lui a également demandé de mettre en place des mesures de sécurité correctives.

De nombreux règlements, tels que le HIPAA, considèrent que le fournisseur de services sur le cloud et l’entreprise sont responsables. Dans d’autres cas, seule l’entreprise sera pénalisée pour non-conformité.

Mesures recommandées pour réduire le risque de non-conformité :

  • N’établissez des partenariats qu’avec des fournisseurs de services sur le cloud établis et conformes à toutes les réglementations importantes, telles que SOC 2 et la norme ISO/CEI 27001.
  • Effectuez des évaluations des risques avant de migrer vers les services sur le cloud et utilisez les courtiers en sécurité de l’accès au cloud comme mesure de sécurité supplémentaire.
  • Éduquez et formez vos employés sur les meilleures pratiques d’utilisation des applications SaaS et sur la nécessité de maintenir la conformité.

3. Déni de service

Les clouds publics sont généralement multilocataires, c’est-à-dire qu’il y a de nombreuses organisations qui partagent de l’espace sur le même cloud.

Les attaques sur les ressources utilisées par un ou plusieurs autres locataires peuvent également affecter vos opérations. Les attaquants peuvent frapper l’ensemble du réseau et causer l’arrêt des activités, selon la bande passante disponible. Cela peut frustrer vos clients et retarder vos opérations régulières.

EXEMPLE:  Les pirates informatiques ont ciblé Cedexis, une société de cloud computing basée à Portland, en mai 2017, lors d’une attaque qui a provoqué des pannes généralisées sur l’infrastructure. De nombreux médias français, dont Le Monde, Le Figaro et d’autres qui utilisaient les services de Cedexis, ont été touchés. Leurs clients ont dû interrompre leurs activités en raison de l’attaque par déni de service sur le cloud de Cedexis.

Mesures recommandées pour réduire le risque de déni de service :

  • Vérifiez si votre fournisseur de services sur le cloud est capable d’augmenter la bande passante pour résister aux attaques DDoS. Demandez-lui s’ils ont des centres de nettoyage de trafic, ou scrubbing centers, pour purifier et filtrer le trafic malveillant.
  • Renseignez-vous auprès de votre fournisseur de cloud sur la possibilité de restaurer les données mises en cache en cas d’attaque DDoS pour réduire la durée des indisponibilités.
  • Mettez en œuvre des plans de reprise après sinistre et de continuité des opérations afin de rétablir plus rapidement les opérations.

4. Comptes compromis et atteintes à la protection des données

Les pirates informatiques qui volent les informations d’identification de compte pour accéder à vos applications et systèmes sur le cloud représentent l’un des risques les plus courants associés au cloud computing.

Les entreprises subissent en moyenne 12 incidents de comptes compromis par mois, au cours desquels des agents tiers non autorisés exploitent des informations d’identification volées pour accéder aux données d’entreprise stockées dans un service public sur le cloud.

EXEMPLE:  Des cybercriminels ont volé les données personnelles (y compris les adresses physiques et les revenus) de 3 millions de clients la World Wrestling Entertainment, l’entreprise américaine de catch. Les pirates ont eu accès à ces informations après avoir ciblé une base de données non sécurisée sur un serveur Amazon.

Mesures recommandées pour réduire le risque d’atteinte à la protection des données :

  • Les pratiques de Shadow IT et de BYOD (bring your own device ou l’habitude d’apporter son propre appareil au bureau) entraînent souvent des atteintes à la protection des données. Renforcez la sécurité des données en installant des logiciels antivirus, de cryptage, d’authentification et de protection des données sur les appareils personnels que les employés utilisent au travail.
  • Sensibilisez les employés à la nécessité de tenir leur manager et le directeur informatique au courant de l’utilisation de toute nouvelle application autre que celles spécifiées ou fournies par l’équipe IT.
  • Consultez les conditions d’utilisation ainsi que les fonctions de sécurité offertes par les fournisseurs de services sur le cloud et les prestataires de SaaS pour garantir la confidentialité des données.

5. Menaces internes

Les menaces internes désignent les comportements intentionnels ou non intentionnels des employés qui entraînent l’exposition ou le partage de données sensibles.

Cela comprend le partage par erreur de fichiers contenant des renseignements confidentiels (comme les numéros de sécurité sociale des employés) avec un groupe non autorisé plus important et l’utilisation de contrôles de partage inappropriés.

35 % des incidents sont causés par des collaborateurs internes.

EXEMPLE:  Les vols de données sont plus fréquents lors du départ d’un employé. Par exemple, un vendeur qui quitte l’entreprise pour un concurrent peut facilement télécharger des données clients à partir d’une application CRM sur le cloud. Ce type d’attaque est plus difficile à détecter que le vol de documents papier.

Mesures recommandées pour réduire le risque de menace interne :

  • Améliorez les contrôles d’accès à l’aide d’outils tels que l’authentification et l’autorisation multifactorielles pour vous assurer que seules les bonnes personnes ont accès à vos données.
  • Organisez un cours de formation de sensibilisation à la sécurité pour prévenir le partage intentionnel ou accidentel de données confidentielles.

Pratiques courantes qui rendent votre entreprise vulnérable aux risques liés au cloud computing

Des politiques commerciales mal implémentées peuvent entraîner une vulnérabilité accrue aux risques liés au cloud computing. Un comportement négligent de la part de vos employés peut également vous rendre vulnérable à certains des risques mentionnés ci-dessus.

Voici quelques-unes des vulnérabilités de votre organisation :

Shadow IT

L’une des principales causes de l’augmentation des risques liés au cloud computing est la tendance des employés et des gestionnaires à contourner l’équipe IT et à télécharger des applications tierces sans son accord. L’augmentation du nombre d’applications SaaS qui vous aident à effectuer des tâches aléatoires (conversion de fichiers JPEG en fichiers PDF, enregistrement et édition de fichiers vidéo, messagerie instantanée, etc.) fait que les employés s’inscrivent et utilisent ces programmes sans prendre les précautions nécessaires.

Souvent, les fichiers sensibles sont téléchargés sur des serveurs cloud inconnus pour être simplement convertis en différents types de fichiers. Bien que ces actions ne soient pas détectées la plupart du temps, il suffit qu’une seule donnée sensible soit diffusée au grand public ou tombe entre les mains de la concurrence pour nuire à la réputation de votre entreprise.

Apportez votre propre appareil (BYOD)

De plus en plus d’entreprises permettent aujourd’hui à leurs employés d’apporter leurs propres appareils au travail, un concept appelé BYOD. Bien que le BYOD permette aux entreprises d’économiser de l’argent sur l’équipement informatique, il augmente également les risques de sécurité.

Les employés peuvent utiliser des applications SaaS non approuvées à partir de leurs appareils personnels et peuvent également utiliser côte à côte des applications de stockage sur le cloud personnelles et officielles, ce qui augmente le risque que des données confidentielles soient consultables depuis un espace personnel. Les politiques de BYOD compliquent le suivi de l’utilisation des données d’entreprise par les employés sur leurs appareils personnels. Les dispositifs volés, perdus ou mal utilisés peuvent également représenter un risque pour la confidentialité des données.

Absence d’accords de niveau de service avec les fournisseurs de cloud computing

Vous vous êtes inscrit à un fournisseur de services sans avoir lu et compris ses conditions d’utilisation ou sans avoir signé un contrat légal ? Connaissez-vous les clauses de transférabilité des données, les attentes en matière de reprise après sinistre, le temps de disponibilité et les processus de médiation des différends offerts par le fournisseur ?

Si vous avez répondu “non” à cette question, vous n’êtes pas seul. De nombreuses PME s’inscrivent auprès des fournisseurs de cloud computing sans demander un accord de niveau de service (SLA) solide.

Ces derniers ne doivent pas être rédigés dans un jargon juridique incompréhensible ; recherchez des termes qui garantissent un certain niveau de performance de la part du fournisseur. Comprendre l’étendue des fonctions de sécurité, comme le chiffrement et la prévention des pertes de données, offertes par le fournisseur, ainsi que les fonctions techniques et commerciales (temps de réponse, résilience, etc.) vous aidera à garantir la sécurité de vos données sur le cloud.

Employés malhonnêtes

Bien que les employés prennent souvent soin de sécuriser leurs fichiers papier et leurs clés USB, ils ont tendance à être laxistes avec les contrôles de sécurité des données sur le cloud, probablement parce qu’ils manquent de visibilité sur l’endroit et la façon dont leurs données sont stockées.

Les employés partagent souvent des mots de passe pour les comptes sur le cloud, ce qui augmente le risque d’atteinte à la protection des données et de perte de données. Selon un rapport, un employé sur 5 partage son mot de passe par e-mail avec ses collègues. 61 % des PME de moins de 50 employés ayant connu un incident de cybersécurité considèrent que la négligence des employés est la cause première des atteintes à la protection des données.

Mesures recommandées : les étapes à suivre pour faire face aux risques liés au cloud computing

La sécurisation de vos données stockées sur un cloud public est une responsabilité partagée entre vous et votre fournisseur de services.

Les fournisseurs de services cloud, tels qu’Amazon, Microsoft Azure, Box et d’autres, ont pris des mesures pour améliorer la sécurité en ajoutant des fonctionnalités telles que le cryptage au repos, la prévention des pertes de données et la sauvegarde.

Mais, selon Gartner, jusqu’en 2022, 95 % des défaillances de sécurité du cloud seront imputables au client. Pour vous protéger contre les risques liés au cloud computing, vous devez compléter les mesures de sécurité de votre FSC par des outils de sécurité supplémentaires et former vos employés à l’hygiène de sécurité.

Mesures de sécurité supplémentaires que votre entreprise doit prendre :

  • Authentification multifactorielle : l’authentification multifactorielle est une méthode d’authentification qui permet d’accéder à un portail ou à une application uniquement après que l’utilisateur a présenté avec succès deux éléments de preuve ou plus. Une authentification à deux facteurs utilisant un mot de passe ainsi qu’une clé d’authentification unique (OTP) en est un exemple.
  • Prévention des pertes de données : un outil de DLP (data loss prevention) s’assure que les informations sensibles ou critiques ne sont pas envoyées en dehors des réseaux de l’entreprise. Il aide l’administrateur réseau à contrôler les données que les utilisateurs finaux peuvent transférer.
  • Cryptage : première ligne de défense de tout système, le cryptage utilise des algorithmes complexes pour dissimuler ou chiffrer des informations. Pour décrypter ces fichiers, vous devez disposer d’une clé de cryptage confidentielle. Le cryptage permet d’éviter que des données confidentielles ne tombent entre de mauvaises mains. Le chiffrement des données au repos est une nécessité, tandis que le chiffrement des données en transit est fortement conseillé.
  • Sauvegarde des données : la sauvegarde des données est le processus qui consiste à dupliquer les données pour permettre leur récupération en cas de perte de données. Il permet de s’assurer que les données sont conservées lors de catastrophes naturelles, de vols ou de tout autre incident.
  • Pare-feu : un pare-feu est un outil de sécurité réseau qui surveille le trafic entrant et sortant pour détecter les anomalies. Il bloque également le trafic spécifique sur la base d’un ensemble de règles définies. Les pare-feux virtuels basés sur le cloud aident à filtrer le trafic réseau à destination et en provenance d’Internet et à sécuriser le centre de données.
  • Évaluations de sécurité : elles vous aident à tester, valider et améliorer les fonctions de sécurité sur le cloud. Vous pouvez demander à votre fournisseur de services les résultats des évaluations de sécurité qu’il a effectuées ou faire appel à des services tiers pour auditer vos opérations sur le cloud.

Prochaines étapes : les questions à poser à votre fournisseur de services sur le cloud

Ne vous inscrivez pas aveuglément aux services cloud ou aux applications SaaS. Posez des questions et faites part de vos doutes à votre fournisseur afin de bien comprendre les fonctions de sécurité des données offertes.

Voici sept questions à poser à votre fournisseur de services sur le cloud :

Infographie sur les questions à poser au fournisseur de cloud computing

Ataques cibernéticos: como proteger sua empresa das ameaças digitais

ataques cibernéticos

ataques cibernéticos

Com frequência, o tópico ataques cibernéticos retorna às manchetes mundiais. Empresas como PlayStation, eBay, Yahoo e JPMorgan já encabeçaram notícias sobre o assunto ao se tornarem vítimas de cibercrimes. Já no Brasil, onde ataques de hackers já geraram prejuízo de mais de R$ 80 bilhões, destaca-se o caso da invasão ao sistema da Netshoes, que resultou no vazamento de dados bancários de clientes, e do INSS, que além de deixar o site fora do ar, também comprometeu atendimentos da instituição.

Pela cobertura midiática que este tipo de crime recebe, pode até parecer que os negócios suscetíveis a ataques digitais são as grandes empresas e instituições. Engana-se quem pensa assim! Mais da metade de todos os ataques cibernéticos são aplicados em empresas de menor porte, demonstrando que esse tipo de negócio está muito vulnerável. 

Seja por não ter uma grande carteira de clientes ou não possuir alto faturamento, muitos empresários deixam de investir em cibersegurança, e é aí que reside o perigo. Confira abaixo os prejuízos de um cibercrime e veja dicas, como a adoção de software de cibersegurança, para fazer da segurança digital uma prioridade da sua empresa.

Pequenas e médias empresas: na mira dos ataques cibernéticos

Há alguns fatores que tornam as PMEs alvo fácil dos hackers. São eles:

  • Ausência de ações de cyber security
  • Falta de treinamento e conscientização dos funcionários sobre perigos digitais
  • Posse de dados importantes , como informações de cartão de crédito dos clientes
  • Inexistência de uma plataforma externa para backup de arquivos e proteção de dados

E é para as PMEs que um ataque cibernético pode ser extremamente impactante. Indisponibilidade do sistema, perda de dados importantes, prejuízo aos clientes e problemas na reputação da marca são as principais consequências deste crime. Dependendo da gravidade, pode-se chegar à falência, afinal, estatísticas apontam que cerca de 60% das PMEs fecham as portas seis meses após serem invadidas

Para se ter uma ideia da gravidade, a empresa de serviços na nuvem Code Spaces nem precisou de alguns meses para o fim da operação: ele chegou em algumas horas! Hackers deletaram a maior parte dos dados e backups dos clientes. Com isso, o custo para resolver o problema e reembolsar os consumidores tornou inviável a operação. Com a reputação em baixa e financeiramente abalada, a empresa decidiu não seguir adiante.

Casos assim apenas reforçam a necessidade de investimento em medidas de precaução.     

Conheça 5 tipos de ataques cibernéticos

As ameaças online não só aumentam a cada ano como também estão mais aperfeiçoadas, e os crimes cibernéticos têm objetivos muito claros: o acesso ilegal a dispositivos e o roubo de dados confidenciais. Veja algumas modalidades de cibercrimes abaixo.

Malware

Malware é um software malicioso que, por meio do download de arquivos suspeitos, permite ao criminoso ter acesso sem autorização aos dados de terceiros. Vírus, spywares, Cavalo de Troia e ransomware são alguns dos mais conhecidos malwares.

Ransomware

Trata-se da modalidade de crime digital em que o hacker sequestra os dados da vítima e, a partir de então, cobra um valor pelo resgate da informação, levando muitas empresas a cederem à extorsão. Há casos em que se pediram R$ 400 mil pelo resgate

Phishing 

phishing cyber security

Você provavelmente já lidou com esta modalidade de ataque! O phishing é a tentativa de obter dados, como senhas e número de cartão de crédito, a partir de e-mails fraudulentos que imitam fontes confiáveis. Também é comum que se crie páginas falsas que emulam sites de banco com o mesmo intuito de roubar informações confidenciais.  

Social Engineering

Neste método, o criminoso ludibria os funcionários de uma empresa para ter acesso a dados importantes. A ameaça vem de fontes que parecem confiáveis, como uma mensagem de um colega de trabalho. Porém, aquela conta provavelmente foi hackeada e o objetivo do link que a acompanha é concluir o golpe.   

DDoS

O ataque distribuído de negação do serviço (DDoS) tem como objetivo tornar indisponível um servidor, aplicativo ou infraestrutura. É uma forma muito comum de ataque a serviços online, como e-commerces. 

O que é cyber security?

A essa altura, você deve estar se perguntando como pode proteger a integridade da sua empresa frente a essas ameaças digitais. Por isso, chegou o momento de falar sobre o que é cyber security e como essa prática pode ajudá-lo contra a insegurança do meio digital. 

Conhecido também como cibersegurança, o cyber security refere-se a métodos preventivos que protegem o sistema de uma empresa dos acessos não autorizados. A partir das estratégias, mitiga-se o risco de informações cruciais serem acessadas, mantendo a integridade do negócio. 

Em um cenário onde as empresas chegam a levar oito meses para identificar ciberataques, é imprescindível contar com ações de proteção digital. O ideal é que elas venham aliadas a três importantes pilares: pessoas, processos e tecnologia. É disso traremos  abaixo!   

Como se prevenir de ataques cibernéticos

  • Pessoas

A capacitação da equipe é parte importante das medidas de prevenção. Muitos crimes são cometidos a partir de erros básicos, como abertura de e-mail com conteúdo falso ou o download de arquivos suspeitos. 

Invista em treinamentos constantes que estimulem os funcionários a criar senhas fortes e também alertem sobre o perigo de conteúdos suspeitos. Crie neles um senso de responsabilidade quanto à proteção digital.

  • Processos

Como proceder frente a um ataque cibernético? Tenha um mapa de ação no qual se defina também atribuições, assim a sua empresa poderá responder rapidamente às ameaças. Crimes cibernéticos estão cada vez mais sofisticados, portanto o seu método de reação também deve evoluir na mesma proporção.

  • Tecnologia

De antivírus a ferramentas de backup, use um software de cibersegurança como um aliado importante da sua estratégia de prevenção. Há inúmeras opções no mercado que se ajustam à necessidade da sua empresa e ao seu orçamento.   

Outra dica é empregar um software de segurança de e-mail. Essa ferramenta protege de vírus, SPAM, phishing, ransomware, entre outras ameaças. 

A proteção é essencial para o crescimento sustentável do seu negócio. Como sua empresa se blinda de ataques cibernéticos? Compartilhe seus insights nos comentários.

3 technologies essentielles de protection des données

comment assurer la protection des données informatiques

Les données sont désormais au cœur de l’activité économique. Aucune entreprise ne peut s’en sortir sans données clients, propriété intellectuelle et informations sur ses concurrents. De plus en plus nombreuses, rapides, variées et utiles, ces données augmentent les risques de sécurité liés à leur archivage et leur partage. Bien que la protection des données d’une entreprise soit cruciale, 47 % des PME déclarent qu’elles n’ont ni le temps ni les ressources nécessaires pour améliorer leurs pratiques.

comment assurer la protection des données informatiques

Entre les coûts de nettoyage et les amendes qui peuvent les pénaliser si elles ne sécurisent pas leurs données grâce aux technologies de cryptage, de sauvegarde et d’autres outils de protection des données, les PME ont beaucoup à perdre.

Dans cet article, nous allons vous présenter les différentes technologies que les PME peuvent implémenter dans leurs activités.

La sauvegarde et la récupération des données : des éléments nécessaires

Les données informatiques constituent les atouts les plus importants pour votre entreprise. D’ailleurs, 80 % des sociétés ayant perdu leurs données mettent la clé sous la porte dans l’année qui suit. Tout ça pourrait être évité en sauvegardant leurs données et en implémentant une stratégie de récupération.

Sauvegarder vos données signifie conserver une copie de vos données en lieu sûr. Les techniques de récupération des données informatiques vous permettent de récupérer et travailler sur les versions copiées pendant un incident pour limiter l’immobilisation de vos équipes.

La plupart des logiciels de sauvegarde de données incluent des options de récupération, ce qui est idéal pour les PME. Elles bénéficient de deux technologies garantissant la sécurité des données cruciales (la sauvegarde et la récupération) à un prix réduit.

sécuriser un équipement informatique et ses données

De nombreuses entreprises utilisent encore des disques durs externes et des clés USB pour conserver des copies de leurs données informatiques. Bien que ces appareils vous permettent de récupérer rapidement vos données, chaque clé USB constitue un danger pour la sécurité. Les pirates et employés peu scrupuleux s’en servent pour répandre des logiciels malveillants ou voler des données. Ce sont également des dispositifs de petite taille qu’il est facile d’égarer. Par conséquent, les PME doivent adopter des technologies de sauvegarde et de récupération infaillibles.

Ces dernières années, ces techniques de sauvegarde ont évolué de façon significative : vitesse de copie accélérée, objectif de point de rétablissement (OPR) et objectif de temps de rétablissement (OTR).

Les technologies les plus récentes de sauvegarde de données incluent les fonctionnalités suivantes :

  • Sauvegarde sur le cloud : aussi appelée sauvegarde en ligne, cette fonction enregistre une copie des données sur des serveurs distants ou hors site. Selon où elles sont archivées, pensez à copier vos données sur site sur le cloud ou misez pour la sauvegarde cloud-to-cloud. Cette technologie est bien moins coûteuse que la plupart des options de stockage sur site. De plus, elle inclut des fonctions de récupération, ce qui est idéal pour les PME. Les logiciels de sauvegarde sur le cloud vous permettent également d’archiver des données enregistrées sur des appareils mobiles.
  • Stockage défini par logiciel : le logiciel gère des ressources et fonctionnalités de stockage de données, sans tenir compte de la capacité de stockage du matériel physique. Les outils de stockage défini par logiciel peuvent être placés sur des serveurs physiques ou des machines virtuelles, où les utilisateurs peuvent contrôler plusieurs ressources de stockage. Ils incluent également des fonctionnalités de gestion des politiques de stockage des données, telles que la déduplication, la réplication, les instantanés et la sauvegarde.
  • Disques durs et SSD : ces deux types de disques sont toujours utilisés de nos jours pour stocker des données en local. Les disques durs peuvent abriter des téraoctets de données et sont moins coûteux que le stockage sur le cloud. Cependant, ils ne proposent pas d’options de récupération facile et peuvent être perdus ou endommagés. Cela dit, les disques durs SSD sont plus avancés et plus chers, copient des données plus rapidement, durent plus longtemps et sont plus fiables en général.

La stratégie de sauvegarde 3-2-1

Pour éviter toute perte de données, pensez à placer une copie de vos données informatiques sur le cloud et une autre sur un appareil physique de sauvegarde.

La règle de sauvegarde 3-2-1 désigne une stratégie où vous conservez :

  • 3 copies de vos données (dont la version originale)
  • 2 copies en local sur différents systèmes de stockage
  • 1 sauvegarde hors site sur des serveurs cloud

Les fonctionnalités clés de la sauvegarde et de la récupération des données

Les fonctionnalités suivantes des technologies de sauvegarde de données seront particulièrement utiles aux petites entreprises :

  • Sauvegarde de données en continu ou automatique : les modifications apportées à vos fichiers sont appliquées à vos copies sauvegardées. Vous pouvez ainsi récupérer vos derniers changements en cas de perte de données, ce qui réduit votre objectif de point de rétablissement.
  • Sauvegarde incrémentielle : il s’agit d’un type de sauvegarde où seules les modifications sont copiées, et non les fichiers entiers. Cela réduit le temps requis pour copier les données et ne ralentit pas votre flux de travail.
  • Récupération instantanée : cette fonctionnalité permet à un instantané de sauvegarde de s’exécuter de façon temporaire sur un stockage secondaire pour réduire le taux d’indisponibilité d’une application.
  • Déduplication des données : cette fonction élimine les duplicata quand les données sont transférées. Cela réduit la charge réseau et l’espace de stockage requis.
  • Copie sans erreur : les logiciels de sauvegarde s’assurent que les données copiées d’une source et placées sur un serveur de sauvegarde sont identiques et ne sont pas corrompues.

Les avantages de la sauvegarde de données dans le cloud

Les outils de sauvegarde de données dans le cloud proposent de nombreux avantages, dont l’accessibilité, la capacité de gérer les documents corrompus et la récupération des fichiers.

Le graphique suivant présente les principaux avantages de ces logiciels.

Infographie sur les bénéfices des copies de sauvegarde en termes de sécurité informatique

Des outils très intéressants pour les PME

Nous générons environ 1,7 Mo de données chaque minute.. Au niveau mondial, 90 % de ces données ont été générées dans les deux dernières années.

Même à l’échelle d’une petite entreprise, il s’agit d’un volume conséquent. C’est pourquoi il est important de vous protéger de la perte ou de la corruption de vos données et d’investir dans des outils de sauvegarde.

Si vous ne voulez pas être à la traîne, suivez les étapes indiquées dans la section suivante pour élaborer vos stratégies de sauvegarde de données.

Les étapes à suivre pour sauvegarder vos données

  • Préparez un plan de sauvegarde de vos données : cela doit être votre point de départ. Ce plan doit identifier les données qui doivent être sauvegardées en continu. Décidez ensuite quelles données doivent être sauvegardées sur le cloud et lesquelles doivent être copiées en local. Les données cruciales, telles que les informations système qui doivent être accessibles en cas d’urgence, devraient être stockées sur site, sur des supports physiques.
  • Identifiez et contactez les prestataires de sauvegarde de données : une fois que vous avez mis en place votre stratégie, dressez une liste des prestataires disponibles selon vos critères : espace de stockage, vitesse de copie, objectif de point de rétablissement (OPR), objectif de temps de rétablissement (OTR) et coût.
Liste des meilleurs prestataires de solutions de sauvegarde et copie de données selon leur note sur GetApp (au 1er février 2019)

Pour en savoir plus sur les autres prestataires de solutions de sauvegarde et copie des données, consultez le catalogue GetApp. Vous pouvez filtrer et sélectionner les prestataires selon les fonctionnalités souhaitées, votre budget, leur situation géographique, leur modèle de déploiement, etc.

Les technologies de protection des données d’entreprise sur le cloud sont essentielles

Selon un sondage effectué dans la zone EMEA, 70 % des entreprises ont investi dans la technologie cloud en 2018 pour exécuter des applications et stocker des données. Quand la majorité de vos données sont entreposées sur des clouds publics, il est vital de mettre en place des mesures pour les protéger.

Les technologies de protection des données sur le cloud vous garantissent que les données entreposées ou transférées sur le cloud ne puissent pas être piratées, corrompues ou volées. Ces outils vous permettent aussi de respecter les lois en vigueur telles que le RGDP selon lesquelles vous devez sécuriser vos données et garantir le respect de la confidentialité.

Il existe une large gamme de solutions de protection des données sur le cloud qui proposent différents niveaux et types de protection. Dans la section suivante, nous vous présentons les principales fonctionnalités de ces technologies.

Fonctionnalités principales des solutions de protection des données sur le cloud

Dans cette section, nous vous présentons les fonctionnalités essentielles des outils de protection des données sur le cloud pour les PME. Bien qu’ils soient nombreux à proposer certaines de ces fonctionnalités, il convient d’évaluer la qualité de chacune et, si besoin était, d’ajouter vos propres contrôles de sécurité pour améliorer les niveaux de protection.

  • Cryptage : il s’agit de la base de toute mesure de sécurité. Même si votre logiciel de protection des données chiffre les données stockées, il vous faut implémenter un cryptage additionnel pour dissimuler le transfert des données sur le cloud. Assurez-vous que les données au repos et les données en transit sont chiffrées pour réduire le risque de perte ou de faille.
  • Tokenisation : ce processus remplace une donnée critique par un élément équivalent ordinaire, que l’on appelle token (ou jeton en français). Ce dernier fonctionne comme un espace réservé, et vous permet de stocker la donnée critique à un autre endroit. Contrairement au chiffrage, la tokenisation est un processus irréversible. On s’en sert surtout pour stocker des données financières importantes. Les entités régulatrices, telles que le Conseil des normes de sécurité PCI, considèrent que la tokenisation est la stratégie la plus efficace pour protéger des données.
  • Sécurité des équipements : vous devez sécuriser les appareils des utilisateurs qui accèdent à des ressources basées sur le cloud pour éviter qu’ils ne soient piratés. Les pare-feux et les solutions antivirus peuvent vous aider à protéger les dispositifs qui fonctionnent avec des outils d’IaaS (infrastructure as a service), de SaaS (software as a service) ou PaaS (platform as a service).
  • Authentification et contrôles d’accès : assurez-vous que seul le personnel autorisé peut accéder aux données sur le cloud et les modifier. Cela vous permet de maintenir l’intégrité des données et de réduire les risques de vol.
  • Outils de gestion d’accès privilégié (PAM) : vérifiez l’identité des utilisateurs et ne permettez qu’au personnel autorisé d’afficher et de modifier les données.

En plus de ces fonctionnalités, les outils de protection des données sur le cloud peuvent également proposer des options de sauvegarde et récupération des données. Passez en revue les fonctionnalités disponibles avant d’acheter des outils de sécurité supplémentaires.

Certaines des technologies abordées peuvent aussi être disponibles en tant qu’outils à part.

Les avantages d’un logiciel de sécurité sur le cloud

Ces solutions améliorent la sécurité grâce au chiffrage, aux contrôles d’accès, à la conformité réglementaire ainsi qu’à une meilleure visibilité des mesures de protection des données.

Voici une liste de ces avantages sous forme de graphique :

Infographie sur les bénéfices du cloud pour la protection des données

Un outil très intéressant pour les PME

De nombreuses entreprises françaises comptent migrer la majorité de leurs applications sur le cloud d’ici 2020. Pour exécuter des opérations quotidiennes sur le cloud, les PME doivent investir dans la sécurité ou risquer de voir des pirates voler ou corrompre leurs données.

L’utilisation accrue d’applications SaaS pour stocker des informations sensibles rend incontournables les technologies de protection sur le cloud.

Recommandations pour les PME

  • Comprenez les fonctionnalités de sécurité des fournisseurs de solutions sur le cloud : de nombreux prestataires proposent des fonctionnalités de sécurité telles que le chiffrage et des outils pour lutter contre les logiciels malveillants, ainsi que des options de stockage des données. Étudiez leur fonctionnement, lisez soigneusement leurs conditions d’utilisation et faites une liste des coûts supplémentaires pour accéder aux fonctionnalités de sécurité du fournisseur. Consultez un expert de la sécurité pour trouver les bons outils de sécurité sur le cloud pour votre PME.
     
  • Investissez dans des solutions de sécurité sur le cloud : les applications sur le cloud s’intègrent facilement aux autres programmes et prennent en charge les transferts de données. Collaborez avec des experts pour identifier des stratégies de protection de vos données, qu’elles soient au repos ou en transit. Le catalogue GetApp liste les outils logiciels de sécurité sur le cloud. Filtrez les produits selon leurs fonctionnalités, leur coût, leur modèle d’abonnement, etc. N’oubliez pas de consulter les avis des utilisateurs pour vous faire une idée.
Les 5 meilleurs logiciels de sécurité sur le cloud selon leur note sur GetApp

La technologie blockchain : améliorez la sécurité de vos données

La blockchain, c’est une technologie révolutionnaire conçue pour renforcer la sécurité, l’intégrité et l’authenticité des données.

Il s’agit d’un registre partagé qui ajoute de nouveaux éléments accompagnés de dates et de liens de référence vers les saisies précédentes. Tous les éléments contenus dans une blockchain sont sécurisés par chiffrage et chaque membre du réseau peut vérifier l’authenticité des données à l’aide de clés privées et publiques. Une fois que les données sont ajoutées à la blockchain, on ne peut plus les modifier ni les corrompre.

Bien que cette technologie soit prometteuse, elle n’a pas encore été adoptée par le grand public. En attendant, renseignez-vous sur les fonctionnalités et les avantages clés de la blockchain pour préparer votre entreprise à la transition technologique.

Les fonctionnalités clés de la technologie blockchain

Les fonctionnalités suivantes de la blockchain sont particulièrement utiles pour assurer la sécurité de vos données :

  • Décentralisation : au lieu de télécharger des données sur un serveur cloud ou de les stocker à un seul endroit, la blockchain les divise en fragments et les envoie sur un réseau d’ordinateurs distants. Chaque ordinateur ou nœud situé sur le réseau recevra une copie de ces données. Cela rend la manipulation des données sur la blockchain quasiment impossible.
  • Cryptage : les données ajoutées ou stockées sur un réseau de blockchain sont chiffrées. La technologie s’appuie sur une méthode de cryptographie, telle que des clés publiques, pour protéger l’identité des utilisateurs et sécuriser les transactions.
  • Validation : le modèle de blockchain vous permet de valider facilement les données stockées en raison de sa nature distribuée. Vous pouvez vérifier les signatures de fichier entre les registres sur tous les nœuds du réseau et vérifier que les données n’ont pas été modifiées.

Les avantages de la technologie blockchain

Avec la blockchain, protégez vos données informatiques grâce à une technologie fiable, une sécurité anticorruption et une transparence prouvée.

sécuriser un équipement informatique et ses données

Un outil peu intéressant pour les PME

La technologie blockchain en est encore à ses débuts. Implémenter un réseau blockchain requiert de puissantes capacités informatiques et un budget en conséquence. Il se peut également que vous rencontriez des problèmes de compatibilité entre applications et de régulations lors de l’implémentation du système.

La blockchain n’est pour l’instant pas une technologie recommandée pour les PME. D’après un rapport Gartner (en anglais, disponible pour les clients uniquement), la technologie blockchain ne sera pas prête avant 5 à 10 ans.

Recommandations de protection des données pour les entreprises

Consultez les études de cas sur la blockchain. De nombreuses applications de sécurité des données intègrent la technologie blockchain dans leur architecture. Les entreprises travaillent également à l’adoption d’outils basés sur cette même technologie. Cependant, nous recommandons aux petites entreprises de se pencher sur ces cas sans s’y plonger directement.

Garantissez la confidentialité de vos données et formez votre équipe

Voici comment vous pouvez sécuriser davantage vos données informatiques :

Gestion de parc informatique : guide de mise au rebut

La gestion de parc informatique : guide de mise au rebut

La gestion de parc informatique : guide de mise au rebut

Avec l’évolution toujours plus rapide de la technologie, les entreprises accumulent un nombre croissant d’appareils et de ressources informatiques obsolètes. Vieux PC stockés dans des armoires, serveurs hors service enterrés dans des entrepôts, écrans obsolètes oubliés dans des box de stockage… Autant de ressources qui peuvent encombrer votre entreprise. 

Depuis quelques années, les solutions de stockage en cloud et les logiciels en tant que service (SaaS) démocratisent le stockage de données en ligne et remplacent bien des appareils de stockage physique. Les ordinateurs portables et les tablettes supplantent les traditionnels PC. Même la clé USB, pourtant si pratique, est évincée par des solutions cloud comme Dropbox.

Malheureusement, le retrait d’ordinateurs et d’autres ressources informatiques peut générer des problèmes de propriété intellectuelle, de conformité réglementaire et de respect de l’environnement. Les PME doivent se fixer des règles pour que la mise au rebut de leur parc informatique respecte les politiques en matière de sécurité et de protection de l’environnement.

Comment se défaire de son parc informatique ?

Un prestataire d’élimination du matériel informatique (IT asset disposition ou ITAD en anglais) peut vous débarrasser des appareils en fin de vie, supprimer toutes les données qu’ils contiennent et les éliminer de manière écologique. Même si cette solution semble simple, elle exige de sélectionner une entreprise de bonne réputation et de prendre en compte de nombreux facteurs, dont le transport et les pratiques de destruction des données. Vous trouverez plus d’informations sur les prestataires d’élimination du matériel informatique dans la suite de cet article.

Vous pouvez aussi vous charger vous-même de la mise au rebut de votre parc informatique. Cette solution convient mieux aux PME qu’aux grandes sociétés. Le fait de supprimer tout intermédiaire permet de revendre vos vieux appareils pour récupérer un pourcentage de leur valeur ou d’en faire don pour vous épargner des taxes environnementales ou de recyclage.

Comment effacer des volumes importants de données ?

Avant de vous débarrasser de votre matériel, vous devez vous assurer que vos données sont bien supprimées. Le parc informatique d’une entreprise comprend des ordinateurs portables, des imprimantes, des tablettes, etc. Tous ces appareils contiennent des données sensibles qui doivent être effacées. Mais même si vous parvenez à supprimer la mémoire d’une imprimante scanner, comment être certain que toutes les données ont bien été effacées ?

Une analyse de 200 disques durs de seconde main achetés en ligne a révélé que deux tiers d’entre eux contenaient des informations potentiellement associées à des individus et qu’au moins 20 d’entre eux abritaient des données commerciales sensibles. De plus, nombre de ces disques durs contenaient des données effacées d’un simple clic sur “supprimer” ou par glisser-déposer dans la corbeille.

Malheureusement, ce n’est pas rare. La suppression d’un fichier n’entraîne pas celle du code qui contient l’information enregistrée sur le disque dur ; elle élimine simplement le fichier qui renvoie l’utilisateur vers les données. C’est pour cette raison que vous pouvez récupérer des données en restaurant une version antérieure de votre système d’exploitation.

Et si vous pensez vous en sortir en formatant votre disque dur, sachez que cela ne suffira pas. Les données effacées de disques durs formatés peuvent être récupérées tant qu’elles n’ont pas été écrasées. C’est pour cette raison que les PME doivent utiliser des logiciels spécialisés afin de remplacer les données enregistrées par des informations sans valeur avant de se défaire de leurs appareils.

Notez que, par défaut, de nombreuses solutions d’effacement de données consistent simplement à écraser une seule fois la mémoire. C’est suffisant pour les ordinateurs personnels, mais les parcs informatiques professionnels regorgent de données sensibles qui exigent plusieurs écrasements successifs.

Cela s’applique aux clés USB, aux cartes mémoire et aux autres supports de stockage. Certaines méthodes d’écrasement sont plus adaptées à certains appareils qu’à d’autres : un disque dur SSD, par exemple, peut être plus difficile à nettoyer qu’un disque dur standard. Les prestataires ITAD ont conscience de ces spécificités et vous feront bénéficier de leur expertise en la matière.

Démagnétiser et broyer la moindre donnée

Vous pouvez démagnétiser les disques durs contenant des données particulièrement sensibles que vous n’avez pas l’intention de revendre.

La démagnétisation est une méthode de destruction des appareils de stockage magnétiques qui permet d’altérer leur mémoire et de les rendre illisibles. Elle détruit généralement les composants électroniques des appareils en même temps que leur mémoire, ce qui les rend inutilisables et directement recyclables.

Les machines de démagnétisation sont assez chères (à partir de 5 000 € environ). À moindre coût, vous pouvez opter pour une baguette de démagnétisation, mais la méthode est moins efficace. Quel que soit votre choix, pensez à vérifier la conformité des appareils que vous utilisez.

La démagnétisation est la seule manière de s’assurer de la destruction totale de vos données. Cependant, elle ne fonctionne que pour les supports magnétiques comme les disques durs et les bandes magnétiques. Les appareils de stockage optique comme les CD-ROM, les DVD et de plus en plus de disques durs SSD ne peuvent pas être démagnétisés.

Enfin, un disque dur peut être physiquement éliminé par écrasement. C’est une bonne méthode pour les disques durs qui ne contiennent pas de données sensibles ou pour ceux qui ont déjà été démagnétisés.

Les disques sont pliés en deux, ce qui brise leurs plateaux et les rend inutilisables. D’autres machines permettent même de broyer les appareils de stockage ou de les mettre en pièces. Les différents modèles sont adaptés à des supports spécifiques (clés USB ou appareils mobiles, par exemple).

Maintenant que vous avez démagnétisé et/ou détruit votre disque dur, il ne vous reste plus qu’à l’emmener dans un centre de recyclage. Eh oui, la démarche n’est pas de tout repos !

N’oubliez pas les imprimantes, les photocopieuses et autres dispositifs IoT

Les imprimantes et les photocopieurs stockent généralement des images des documents traités en mémoire. Il faut donc gérer prudemment ces données, en particulier parce que ces appareils sont souvent loués, achetés d’occasion ou revendus.

De plus, les dispositifs IoT conservent parfois des informations comme des mots de passe Wi-Fi dans leur mémoire interne. Les montres intelligentes, par exemple, enregistrent des informations de calendrier ; les navigateurs web de télévisions intelligentes sont utilisés pour accéder à des données commerciales ; les voitures de société synchronisent les contacts téléphoniques avec leur système multimédia embarqué. Ces appareils compliquent fortement le processus d’élimination d’un parc informatique.

Aujourd’hui, nous ne pouvons plus nous contenter de vérifier que nos PC sont nettoyés ; nous devons nous assurer que tous les appareils capables de stocker des données sont nettoyés de fond en comble.

Pour mieux comprendre les enjeux de la gestion d’un parc informatique en fin de vie, n’hésitez pas à visionner The Wolf, un court-métrage produit par HP. Christian Slater y joue le rôle d’un pirate informatique qui se sert d’imprimantes et d’autres appareils a priori sans danger pour dérober des informations commerciales.

Équipez-vous d’un logiciel dédié à la gestion de parc informatique

Avant de mettre en œuvre un programme efficace d’élimination de votre parc informatique, vous devez savoir où se trouvent les appareils concernés, connaître l’usage qui en est fait et déterminer leur ancienneté. Un logiciel de gestion des ressources informatiques vous aidera à cataloguer et identifier l’ensemble de votre parc informatique.

Vous pourrez ensuite surveiller chaque appareil par utilisateur, centre de coût ou emplacement physique. En plus de simplifier le processus d’élimination, le suivi logiciel des ressources vous aide à garder les garanties à l’œil, à calculer la perte de valeur des appareils et à évaluer la nécessité de les mettre à jour. Consultez le catalogue de logiciels de gestion des ressources informatiques de GetApp pour trouver un outil qui vous permettra d’éliminer plus facilement votre parc informatique.

interface EZOfficeInventory, logiciel de gestion de ressources informatiques
EZOfficeInventory, logiciel de gestion des ressources informatiques (source)

Suivez une politique de gestion claire pour assurer votre conformité

Les entreprises négligent souvent la mise au rebut de leur parc informatique. C’est pourtant un aspect crucial de la conformité au RGPD et à d’autres réglementations dont la norme de sécurité de l’industrie des cartes de paiement (Payment Card Industry Data Security Standard ou PCI DSS). Selon ces textes, vous devez en effet être en mesure de prouver l’existence d’une chaîne de contrôle et d’une méthode de suppression des données.

Si vous détenez des données associées à des utilisateurs issus de pays couverts par le RGPD (toute personne vivant dans l’Union européenne ou l’Espace économique européen), vous êtes considéré comme responsable de traitement.

Si vous chargez une autre entreprise de la gestion de vos données, cette entreprise est considérée comme un sous-traitant.

Lorsque vous engagez un prestataire d’élimination du matériel informatique pour gérer la fin de vie de votre parc informatique, vous et le prestataire êtes responsables de la suppression sécurisée des données concernées par le RGPD.

Pour assurer votre conformité, vous devez donc établir une politique claire afin de disposer d’archives vérifiables. Pour ce faire, posez-vous les questions suivantes :

  • Quand les différents appareils doivent-ils être éliminés ?
  • Comment les données sensibles ou soumises aux réglementations seront-elles identifiées ?
  • Quelle méthode d’élimination des données sera suivie ?
  • Où seront stockées les ressources à éliminer ?
  • Comment démontrerez-vous le respect de votre chaîne de contrôle ?

Il peut être difficile d’établir une politique générale, car chaque appareil est différent. La procédure à suivre pour une photocopieuse vieille de 3 ans qui vous a coûté 5 000 € n’est pas la même que pour une tablette à 250 € que vous possédez depuis 2 ans.

Envisagez des procédures spécifiques pour :

  • Les ordinateurs fixes et portables
  • Les imprimantes et les photocopieuses
  • Les appareils de stockage externes (mémoires flash, par exemple)
  • Les serveurs
  • Les équipements réseau (routeurs ou commutateurs, notamment)
  • Les appareils mobiles et les tablettes
  • Les dispositifs IoT

Créez des organigrammes des procédures de gestion de votre parc informatique

Infographie d'exemple d'organigramme de gestion de parc informatique

Le processus d’élimination devrait être déclenché dès qu’un appareil atteint un point spécifique de son cycle de vie. Ce point peut correspondre à une certaine ancienneté, à un état d’utilisation ou à l’obsolescence de l’équipement ou des données. Pour simplifier la prise de décision, créez des organigrammes précisant les procédures à suivre.

Solutions de gestion des ressources informatiques

Revente

Les ressources informatiques peuvent être reconditionnées et vendues en direct ou par l’intermédiaire d’un broker informatique. Les équipements des centres de données (serveurs et commutateurs) sont particulièrement recherchés sur le marché de l’occasion car de nombreuses entreprises ne peuvent pas se permettre de les acheter neufs. Vous pouvez aussi revendre votre parc à vos employés à petit prix. Enfin, vous pouvez vendre en pièces détachées les appareils les plus anciens et ceux qui ne fonctionnent plus.

Réaffectation

Dans certains cas, les ressources informatiques peuvent trouver une seconde vie au sein même de l’entreprise. Par exemple, un ordinateur portable qui n’est plus suffisamment puissant pour un graphiste peut parfaitement servir d’appareil de contrôle pour un agent de terrain. Les tablettes peuvent être réaffectées et prêtées à des collaborateurs ou utilisées à l’accueil pour permettre à vos visiteurs de surfer sur le web.

Don

Les appareils utilisés mais toujours en état de marche peuvent être cédés à des écoles, à des organisations caritatives ou à des organismes internationaux d’aide humanitaire. Vous pouvez consulter des sites web tels que Donordi pour savoir quelle organisation locale pourrait redistribuer votre matériel informatique à des structures de formation scolaire ou professionnelle. Le don permet aussi à votre entreprise de bénéficier de réductions fiscales.

Recyclage

En dernier recours, vous pouvez envisager le recyclage de votre parc informatique. Mais vous ne pourrez pas vous contenter de déposer vos appareils dans une décharge ; vous devez respecter des procédures de recyclages strictes détaillées ci-dessous.

Empreinte écologique de l’élimination et du recyclage d’un parc informatique

La mise au rebut et le recyclage des ressources informatiques servent à la fois l’environnement et vos efforts marketing. Une enquête récemment menée auprès de 25 000 consommateurs a en effet révélé que plus de la moitié des répondants étaient prêts à dépenser plus pour travailler avec des entreprises respectueuses de l’environnement.

Les ressources informatiques contiennent quantité de substances toxiques (plomb, mercure et cadmium, notamment) qui représentent de sérieux risques environnementaux si elles ne sont pas correctement gérées. Même si les fabricants commencent à créer du matériel électronique plus durable (Apple, par exemple, utilise de l’aluminium recyclé pour créer ses MacBook Air), les déchets électroniques s’accumulent de plus en plus.

Une récente étude des Nations Unies a révélé que la quantité de déchets d’équipements électriques et électroniques mondiaux a augmenté de 8 % entre 2014 et 2016. On s’attend à observer une croissance supplémentaire de 17 % d’ici 2021 et une masse totale annuelle de 52 millions de tonnes. L’étude a également montré que 20 % des déchets électriques et électroniques produits en 2016 ont été recyclés.

Bonne nouvelle, en revanche : selon le rapport, 66 % de la population mondiale est désormais soumise à une loi régulant la gestion des déchets d’équipements électriques et électroniques, soit une progression de 50 % par rapport à 2014. C’est une excellente chose, car les pays en voie de développement réceptionnent une grande partie de ces déchets.

Si vous voulez travailler avec un prestataire ITAD respectueux de l’environnement, ciblez les entreprises certifiées par l’État ou par l’Europe. Elles peuvent efficacement décomposer des appareils électroniques, récupérer leurs composants et éliminer les substances toxiques en toute sécurité.

Pour aller plus loin

La mise au rebut sûre et responsable de votre parc informatique n’est pas simple, mais elle est indispensable pour assurer la sécurité de votre propriété intellectuelle et pour vous éviter des amendes salées. Si vous ne savez pas comment vous y prendre, dressez d’abord une liste de vos ressources informatiques. Classez-les par catégories pour déterminer si vous pourriez gagner du temps et de l’argent en utilisant des logiciels spécialisés.

Vous pouvez aussi créer un programme de récupération des ressources informatiques et inciter vos collaborateurs à fouiller leurs armoires pour exhumer leurs vieux claviers et téléphones portables. Organisez une tombola, offrez des tickets pour chaque appareil récupéré ou distribuez des tickets boisson pour le prochain apéro.

Tournez la page en vous séparant de vos vieux ordinateurs et autres ressources informatiques dépassées. En procédant de manière responsable, vous participez à la conservation de l’environnement.

Why is cybersecurity important for small businesses?

why is cybersecurity important

Despite the volume, variety and severity of cyber threats, many SMEs still don’t see the value of investing in software that can protect them. Here, we examine the current threat landscape, the consequences of a breach for SMEs, why cybersecurity is important and the solutions available to keep your small business safe.

why is cybersecurity important

Why is cybersecurity important?

Cybersecurity is often a low priority for small and medium business owners. You have enough to worry about with revenue, staffing, competitors, markets, regulation and outgoings. Often, SME bosses are not even experts in technology, let alone cybersecurity, so choosing and implementing security software is not a project they can easily tackle.

But the threat is real. According to the Cyber Security Breaches Survey (CSBS) from April 2019, published by the Department for Digital, Culture, Media and Sport, 40%businesses (10 – 49 employees) identified a breach or attack in the 12 months leading up to the survey. For medium businesses (50-249 employees,) this figure rose to 60%.

According to Verizon’s Data Breach Investigations Report 2019, small businesses accounted for 43%of all breaches worldwide. That may seem counterintuitive – surely criminals would target larger firms where the rewards would be greater – but SMEs represent an attractive target.

Why is that? Because they tend to spend less on protection. According to the CSBS, micro and small businesses had a mean spend of £3,490 on cybersecurity, while medium businesses spent £25,100 on average. That’s in comparison to £277,000 for larger businesses. When attackers are looking for targets, it makes sense to pick the easy prey, and that means small firms with easy-to-penetrate networks and limited means to detect intruders.

What are the consequences of cyberattacks for a small business?

While cyberattacks on your business may be virtual, they can cause real damage. A 2018 study by Hiscox found that a cybersecurity breach costs a small business £25,700 on average. And the CSBS reports that repairing the damage can take between 1.3 days (for the smallest businesses where material damage is limited) to 5 days (for larger businesses that have lost data or other assets)

Just under half of all businesses have been affected in at least one of the ways listed below.

Lost data (and the regulatory consequences)

In a GDPR world, businesses of all sizes have become more careful about how they handle data. But no matter how carefully you prepare, a breach can have disastrous consequences. Fines for improper protection of data or incorrect reporting after data is lost can cost businesses up to 20 million euros – a sum that would bankrupt most small firms.

Business disruption

Loss of business continuity can happen for many reasons. Criminals can block access to your critical files and systems until you pay a ransom, for example. Or they can steal or corrupt data, which means you have to spend time identifying what data has gone missing and following the necessary steps to inform affected parties and regulatory bodies – all time you should be spending looking after your business. The CSBC says that 17% of businesses reporting a breach suffered temporary loss of access to files or networks. And 10% said their website or other online services were taken down or disrupted. 

Reputational damage

Large companies that suffer outages or lose customer data often end up on the front pages, and apologetic executives are forced to face difficult questions from news reporters as to why paying customers have been let down again.

While it’s unlikely that small and medium businesses will be subject to such public scrutiny, word travels fast in any industry, and customers, suppliers and partners will soon find out. The impact of this loss of trust is hard to calculate, but affected firms may find it harder to make it onto approved supplier lists for important contracts for a long time to come.

What cybersecurity solutions do I need to protect my small business?

There is a wide range of software to protect your workloads from various attack types. Many common IT solutions have security features built in, but paying for additional, specialised security software will bring more capabilities and let you benefit from the wider expertise and threat overview of a dedicated security vendor. 

Here are three cybersecurity solutions that SMEs should consider:

Anti-phishing software 

Phishing, which accounts for 80% of attacks on businesses, describes the technique where attackers send automated emails pretending to be from a trusted source, such as a bank or internet provider. Their goal is to trick recipients – your employees – into handing over critical data like usernames, passwords or bank-account details. These emails can be very sophisticated and hard to identify, but software exists that filters out phishing attempts and reduces their effectiveness. You can even run fake phishing campaigns to test how your company responds to these types of attack.

If your devices are infected with malicious software (malware), attackers can disable devices completely, steal data, or use your systems to attack others. Anti-malware solutions help identify, block, and remove such software from your company’s devices.

Network security software 

It includes solutions that monitor traffic across your network, block certain types of traffic, and compile data that can help you with internal audits or regulatory compliance. Together, anti-phishing, anti-malware and network security software form a multi-layered barrier that will strengthen your small or medium business’s defences.

You can learn more about the vast range of cybersecurity solutions available to small businesses on our website. Each solution is rated by businesses owners like you and features a detailed description and download link.

5 tips om je organisatie te beschermen tegen hackers

Bedrijven kunnen op veel manieren gehackt worden en dat gebeurt ook dagelijks. Ondanks ruim bezette IT-afdelingen en het gebruik van cybersecuritytools blijven bedrijven kwetsbaar. Aan de hand van concrete voorbeelden bekijken we waarom veel bedrijven zo simpel te hacken zijn en hoe organisaties zich beter kunnen beschermen tegen hackers.

beschermen tegen hackers

Vraag aan de ICT-afdeling hoeveel kwetsbaarheden nog niet opgelost zijn

De ICT-afdelingen van veel bedrijven weten dat er kwetsbaarheden zijn in de gebruikte software, maar voeren de updates niet uit. Dat is waarom er momenteel zo veel ondernemingen gehackt worden. De mensen die thuis braaf de nieuwste updates op hun computers en telefoons installeren, snappen er niets van: als ze het zelf zonder al te veel moeite doen, waarom doen de ervaren ict’ers dat dan niet?

De verklaring is vrij simpel: thuis werken de updates meestal zonder problemen, maar niet op de ingewikkelde computersystemen van bedrijven. Daar moet eerst alles uitgebreid getest worden zodat systemen niet uitvallen. Al die tijd zijn de systemen kwetsbaar, omdat ze niet voorzien zijn van de broodnodige updates.

De ene keer is het gebrek aan tijd door onderbezetting, een andere keer slordig gedrag van de ict’ers.

Een mooi voorbeeld is de grote hack van kredietbureau Equifax. De persoonlijke gegevens van zo’n 143 miljoen klanten werden daarbij gestolen. Katie van Fleet kreeg na de hack vijftien verschillende kredietaanvragen op haar naam en was maandenlang bezig met het herstellen van haar kredietreputatie. Equifax werd gehackt door het niet oplossen van een kwetsbaarheid die volgens het interne beleid binnen 48 uur gedicht moest worden. Soms is het gebrek aan capaciteit, maar de ICT-afdeling was best ruim bezet met 255 IT-specialisten in dienst.

Bedenk welke gegevens interessant zouden kunnen zijn voor hackers

Bedrijven en organisaties denken vaak dat ze niet interessant genoeg zijn om gehackt te worden. Het Interprovinciaal Overleg (IPO) meldde onlangs een datalek bij de Autoriteit Persoonsgegevens: een medewerker had op een phishinglink geklikt, accountgegevens ingevoerd en vervolgens werden vanaf haar mailadres valse mails verzonden.

Zo’n hack is niet opmerkelijk, wel de reactie van een woordvoerder van het Interprovinciaal Overleg in de media. Hij zei desgevraagd dat IPO-medewerkers niet worden getraind om phishing-mails te herkennen. De reden? ‘Wij zijn slechts een kleine organisatie met ongeveer 30 medewerkers. Vooral de ICT-afdeling houdt zich bezig met dit soort zaken.’

Deze woordvoerder snapt blijkbaar niet dat de ICT-afdeling niet kan voorkomen dat de medewerkers op phishingmails klikken en hun accountgegevens invoeren. En dat als de ICT-afdeling dat niet kan voorkomen, hun computers gehackt worden. Een kleine organisatie is natuurlijk een slap excuus om de medewerkers niet op te leiden op digitaal gebied. Dezelfde medewerkers volgen vast tal van andere verplichte cursussen. Want bij elke organisatie valt er wat te halen.

Bij IPO is vooral het netwerk van hun partners interessant. Als je zo’n kleine organisatie hackt en namens hun een phishingmail stuurt naar de partners, dan trappen die er waarschijnlijk wel in. Wie de partners zijn staat op hun site. Het Interprovinciaal Overleg behartigt de gezamenlijke belangen van de provincies en deelt veel kennis met andere organisaties. ‘Het IPO beschikt hiertoe over een uitgebreid netwerk en onderhoudt contact met onder andere het kabinet, het parlement, de ministeries, de Europese Unie en maatschappelijke organisaties.’ Nou, dat zijn nogal wat interessante doelen!

beschermen tegen hackers

Beperk de rechten van de medewerkers

Ik kom bij steeds meer bedrijven waar programma’s automatisch geblokkeerd worden op het bedrijfsnetwerk. Bij een gemeente wilde ik een leerzaam YouTube-filmpje tijdens een lezing over cybersecurity laten zien, maar dat kon niet, want niemand mocht op YouTube. Ook veel andere bekende sites waren uit voorzorg geblokkeerd.

‘Als iemand privé berichten op Facebook wil checken of YouTube filmpjes wil bekijken, dan doet-ie dat maar thuis. Ik heb geen zin in virussen, omdat de medewerkers op elk linkje op social media klikken,’ kreeg ik van de ict’er te horen.

Als dat goed uitgelegd wordt, schijnen de medewerkers het zonder problemen te accepteren. En mocht het een keer misgaan: goede back-up software maakt vaak het verschil tussen weinig data verliezen of alles kwijtraken.

Bescherm jezelf tegen je leveranciers

Het begint een trend te worden dat grote en goed beveiligde bedrijven via kleine leveranciers worden gehackt. Dat is relatief gemakkelijk, want leveranciers hebben vaak toegang tot een gedeelte van het computernetwerk. Als hackers op deze manier binnenkomen, krijgen ze het vaak voor elkaar om ook toegang tot de rest van het netwerk te verkrijgen.

De afgelopen tijd zijn nogal wat bekende bedrijven via hun leveranciers gehackt. Ticketmaster bijvoorbeeld, die had het ook nog lange tijd niet door.

Train de digibete medewerkers om de digitale gevaren te herkennen

Toen ik research deed voor mijn boek ‘Komt een vrouw bij de h@cker’ vroeg ik aan diverse hackers wat de makkelijkste manier was om binnen te komen. ‘De medewerkers,’ zeiden ze. ‘Bedrijven verzinnen allerlei tools om het computersysteem veilig te houden, maar a fool with a tool is still a fool.’ 

Security-oplossingen helpen natuurlijk wel, maar hoe komt het dat de medewerkers volgens de hackers zulke ‘fools’ zijn? Vaak heeft niemand de moeite genomen om ze op een simpele manier uit te leggen hoe ze zichzelf en het bedrijf kunnen beschermen tegen hackers en dan moeten zij dat eventjes doen?

Op het werk van mijn man strooit de ICT-afdeling met waarschuwingsberichten op het intranet, maar die worden nauwelijks gelezen. Bovendien zijn ze ook nog onduidelijk voor de gemiddelde digibeet. En dan denkt zo’n bedrijf dat ze op deze manier de medewerkers goed hebben voorgelicht.

Hij werkt bij een groot industrieel bedrijf. Ik vrees dat daar hetzelfde zou kunnen gebeuren als in Noorwegen, waar aluminiumproducent Norks Hydro werd gehackt, allerlei fabrieken stil kwamen te staan en de schade tot meer dan dertig miljoen euro opliep. Dat kan tegenwoordig door op een simpele phishingmail te klikken, die het computersysteem gijzelt. Investeren in awareness hoeft helemaal niet duur te zijn en het kan een miljoenenschade en ook reputatieschade voorkomen.

Ben je op zoek naar cybersecurity tools? Op vergelijkingssite Capterra vind je veel aanbieders; je kunt bovendien filteren op functionaliteiten en honderden geverifieerde reviews van gebruikers lezen.

Over de auteur:

Maria Genova (1973) is journaliste en schrijfster. Ze ontving de Looijer Debutantenprijs voor haar debuut in 2007 voor haar boek Communisme, sex en leugens. Na haar debuut schreef ze nog vele andere boeken waaronder meerdere bestsellers zoals Komt een vrouw bij de h@cker, een eye-opener over digitale gevaren. In 2014 werd ze uitgeroepen tot Schrijfster van het Jaar. Maria werkt voor verschillende kranten en tijdschriften. Ze ontwikkelt e-learning cursussen en quizzen en is een van de meest gevraagde sprekers in Nederland op het gebied van identiteitsfraude, privacy en informatiebeveiliging. Meer over Maria Genova op haar website, op LinkedIn of Twitter: @genova2

6 alternative ways to promote cyber security

cyber security

The biggest gap in corporate security is usually between the desk and the keyboard. And most people go for convenience and not for safety. “A lot of people are absolutely unaware of the risks of links and attachments in emails” states an IT specialist on an online forum. “Recently we had a phishing test carried out at our office. And no less than 25% of all employees casually entered their login details on the phishing site.”

cyber security

There have been many studies trying to understand what does and does not work in the area of ​​awareness to cyber security. Posters with warnings about cyber security hardly seem to have any effect. Interactive lectures score very high, but as a small company you can’t just invite a speaker for six people. And with the large companies you can’t reach everyone with presentations. So let’s list a few alternatives:

Organise a cyber treasure hunt

You hide at least 10 cyber security threats and let everyone search. A USB stick with a possible virus, a mobile phone with security code 0000, a file with personal data lying around on a desk, a forgotten document in the printer, a non-locked computer screen, etc. The result is that usually employees find more dangers than the ones that you have originally hidden.

Explain the cyber risks in normal human language

IT specialists often forget that ordinary employees do not have enough digital knowledge. Employees don’t understand the scope of clicking on a phishing email or using a weak password. Research by the British internet provider Beaming showed that 31% don’t want to work with a supplier who has become a victim of cyber crime due to negligence.

Hackers are increasingly trying to get into small companies as a handy stepping stone to attack large companies. The use of specially developed software for information security can do a lot against this, but employees have to cooperate.

Reward reporting data breaches

Should you reward an employee that has caused a data breach? A director decided to do that because she knew that many employees withheld data breaches, such as sending an email with personal data to the wrong person. 

When a few people received a small gift because they had quickly reported a data breach, suddenly everyone was talking about how important it is not to withhold data breaches and that you will not be punished if it happens to you. In fact, you even received a gift because you tried to limit the consequences. Sometimes companies discover after six months that they have been hacked, because an employee has clicked on a phishing email and didn’t find it necessary to point it out to the IT department.

Abuse computers that are not locked (for a good cause)

From all computers that employees leave  unattended, send an email to a non-existent email address: “I hereby offer my resignation.” When they return, they are shocked by the email that they have sent from their computer.

Explain clearly to employees what the dangers of not locking your computer are, how they can recognise phishing emails and how they can remember hundreds of complicated passwords. This is possible through a presentation or an e-learning course. Even a cyber quiz can greatly increase their level of knowledge.

Choose practical and easier solutions

Many employees forget to change their password very often. Studies show that this primarily results in false safety. University College London (UCL) wanted to encourage staff and students to choose stronger passwords. Longer passwords had to be replaced less often than short and weak passwords. For words from the dictionary the employees received penalty points (these are cracked very quickly by automatic hacking programs).

The new policy proved to be a success. In the long run most employees opted for stronger passwords in exchange for a longer lifespan. Show employees how simple is to come up with hackable passwords, just a new sentence every time. For example, in January the sentence: Ik_wil_3_kilo_afvallen! And in February the sentence: Ik_ga_op_wintersport02! Or even easier: enter a password manager as a solution against all password frustrations.

Think of playful ways to raise awareness

Spending money on expensive IT tools is throwing money away if employees don’t understand how hackers work.  An example is someone who happened to be on vacation during a phishing email test. The holiday maker saw the phishing email too late and emailed back: “I was not present last week, you can send the link again, because it no longer works.”

Use simple ways to train the less alert employees. When a colleague has not touched his computer for a while, a screen saver with prevention tips pops up automatically. The company app also occasionally shows a prevention tip about opening suspicious emails, sharing confidential information or making fake payments. Create engaging educational videos about privacy and cyber crime on the intranet.

About the author:

Maria Genova (1973) is a journalist and writer. She received the Looijer Debutantenprijs for her debut in 2007 for her book The Idea for Communism, Sex and Lies . After her debut, she wrote many other books including several bestsellers such as Will a woman come to the h @ cker , an eye-opener about digital dangers. In 2014 she was named Writer of the Year. Maria works for various newspapers and magazines. She develops e-learning courses and quizzes and is one of the most requested speakers in the Netherlands in the field of identity fraud, privacy and information security. More about Maria Genova on her website or on Twitter: @ genova2

Backup, Verschlüsselung und Blockchain: Diese drei Technologien sind für den Datenschutz unverzichtbar

Technologien im Datenschutz

Technologien im Datenschutz

Daten sind das Lebenselixier eines jeden Unternehmens. Ob Kundendaten, geistiges Eigentum der Firma oder Informationen über Wettbewerber: All diese Daten und Ressourcen sind für Unternehmen unverzichtbar.

Doch je stärker die Masse der Daten, ihre Vielfalt, ihr Wert und die Geschwindigkeit ihrer Verarbeitung wachsen, desto größer werden auch die Sicherheitsrisiken bei ihrer Speicherung und gemeinsamen Nutzung. Obwohl Datensicherung wie Datensicherheit entsprechend von großer Wichtigkeit sind, haben 47 Prozent der kleinen Unternehmen eigenen Angaben zufolge nicht ausreichend Zeit und Ressourcen, um ihre diesbezüglichen Praktiken zu verbessern.

Bei Verstößen drohen hohe Bußgelder, gerade hat es British Airways erwischt. Entsprechend wichtig ist es für kleine wie große Unternehmen, kritische Daten ordnungsgemäß zu sichern, zum Beispiel mithilfe von Verschlüsselung, einem Datensicherungsprogramm und anderen Datenschutztechnologien.

In diesem Artikel werden verschiedene Datenschutztechnologien vorgestellt, die kleine Unternehmen recherchieren und einsetzen sollten.

Daten-Backup und -Wiederherstellung sind bei Datenverlusten und Sicherheitsverletzungen der Rettungsanker

Wie bereits erwähnt, sind Daten die wichtigste Ressource von Unternehmen. Sie sind so wichtig, dass 70 Prozent der kleinen Firmen, die einen großen Datenverlust erleiden, innerhalb eines Jahres ihr Geschäft aufgeben müssen. Und das nur, weil sie kein Backup ihrer Daten erstellt und keine ausreichenden Vorsorgemaßnahmen zur Notfallwiederherstellung getroffen hatten.

Bei Backups geht es darum, eine zusätzliche Kopie der Daten sicher aufzubewahren. Mithilfe von Datenwiederherstellungstechniken kann diese Kopie im Falle eines Datenverlusts hervorgeholt und mit ihr gearbeitet werden, um Ausfallzeiten zu verringern.

Die meiste Software für das Daten-Backup verfügt über integrierte Optionen zur Datenwiederherstellung, was gerade für kleine Unternehmen ideal ist. So bekommen sie die beiden kritischen Datenschutztechnologien Backup und Notfallwiederherstellung im Paket zu einem günstigeren Preis.

Statistik zu Datenschutz und Datenverlust

Aus einem Small Business Trends-Report (Quelle)

Viele Firmen nutzen noch immer USB-Sticks und externe Festplatten für das Backup von Daten. Auch wenn Daten schnell von ihnen wiederhergestellt werden können, stellen USB-Sticks jedoch eine Sicherheitsbedrohung dar. Hacker und böswillige Angestellte können mit ihnen Malware verbreiten oder Daten stehlen, außerdem besteht immer das Risiko, die Datenträger zu verlieren. Deshalb empfiehlt sich ein Blick auf Daten-Backup- und Wiederherstellungstechnologien, die helfen können, diese Fehlerquelle auszumerzen.

Im Laufe der Jahre haben Daten-Backup-Technologien zahlreiche Verbesserungen erfahren: Die Kopiergeschwindigkeit ist gestiegen, genau wie RPO (Recovery Point Objective bzw. maximal tolerierbarer Datenverlust) und RTO (Recovery Time Objective bzw. die Zeit, die ein System oder Geschäftsprozess maximal ausfallen darf). Zu den neueren Daten-Backup-Technologien gehören die folgenden:

  • Cloud-Backup:Bei Cloud- bzw. Online-Backups wird eine Kopie der Daten remote oder offsite auf einem Backup-Server gespeichert. Je nachdem, wo sie gespeichert sind, kopiert man die lokalen Daten in die Cloud oder entscheidet sich für ein Cloud-to-Cloud-Backup. Diese Technologie ist deutlich billiger als viele On-Premises-Speicheroptionen. Sie bietet Funktionen zur Notfallwiederherstellung und ist somit für kleine Unternehmen eine gute Option. Mit Cloud-Backup-Software lassen sich auch Daten von Mobilgeräten sichern. Hier ist nur bei der Auswahl des Dienstes Vorsicht geboten: Nicht alle sind vollständig DSGVO-kompatibel.
  • Software-Defined Storage:Diese Software verwaltet Datenspeicherressourcen und -funktionen unabhängig von der zugrundeliegenden physischen Speicherhardware. Software-Defined Storage-Tools können auf physischen Servern oder virtuellen Maschinen gehostet werden, von denen aus Nutzer mehrere Speicherressourcen kontrollieren können. Außerdem bieten sie Funktionen zur Verwaltung von Datenspeicherungsrichtlinien beispielsweise zu Replikationen, Snapshots und Backups.
  • Festplatten und Solid State Drives:Festplatten sind eine schnelle und zuverlässige Methode zur lokalen Speicherung. Festplattenlaufwerke (HDD bzw. Hard Disk Drive) werden so häufig verwendet, weil problemlos mehrere Terabyte an Daten auf ihnen gespeichert werden können und sie zudem kostengünstiger sind als Cloud-Speicher. Sie bieten allerdings keine Optionen zur einfachen Wiederherstellung und könnten verloren gehen oder zerstört werden. Solid State Drives sind technisch fortgeschrittener und gleichzeitig teurer: Sie unterstützen das schnellere Kopieren von Daten, haben eine längere Lebensspanne und niedrigere Ausfallraten.

Die 3-2-1-Backup-Strategie

Um den Verlust von Daten auszuschließen, empfiehlt es sich, eine Kopie in der Cloud und eine weitere auf einem lokalen Speichergerät zu speichern. Bewährt hat sich die 3-2-1-Backup-Strategie. Dabei speichert man:

  • 3 Kopien der Daten (einschließlich der Originalversion)
  • 2 lokale Kopien auf unterschiedlichen Speichersystemen
  • 1 Offsite-Backup auf Cloud-Servern

Zentrale Merkmale von Daten-Backup und Wiederherstellung

Daten-Backup-Technologien verfügen über zahlreiche Funktionen, die kleinen Unternehmen große Vorteile bieten:

  • Kontinuierliches/automatisches Daten-Backup:So wird sichergestellt, dass Änderungen an Dateien zeitgleich auch an den Backup-Speicherort kopiert werden. Auf diese Weise können auch kürzlich erfolgte Änderungen bei einem Datenverlust wiederhergestellt und somit das Recovery Point Objective gesenkt werden.
  • Inkrementelle Backups:Bei inkrementellen Backups werden nur die Änderungen kopiert, nicht die gesamten Dateien. Dies reduziert die für das Kopieren erforderliche Zeit, ohne die Arbeit selbst zu verlangsamen.
  • Instant Recovery:Mit dieser Funktion kann ein Backup-Snapshot temporär auf einem sekundären Speicher ausgeführt werden, um die Downtime einer Anwendung zu reduzieren.
  • Datendeduplikation:Bei der Deduplikation werden redundante Datenblöcke identifiziert und eliminiert, bevor die Daten auf den Backup-Speicher übertragen werden. So werden die Netzwerklast und der erforderliche Speicherplatz reduziert.
  • Fehlerfreie Kopien:Daten-Backup-Software stellt sicher, dass die von einer Quelle kopierten und auf einem Backup-Server gespeicherten Daten identisch sind und keine Fehler enthalten.

Vorteile von Cloud-Backups

Cloud-Backup-Tools bieten zahlreiche Vorteile, beispielsweise ihre Zugänglichkeit, die Möglichkeit, beschädigte Dokumente zu reparieren sowie Wiederherstellungsfunktionen. Die Hauptvorteile solcher Datensicherungsprogramme sind in der nachstehenden Grafik dargestellt.

Vorteile von Cloud Backups für Datensicherheit

Relevanz für kleine Unternehmen: HOCH

Menschen erzeugen jeden Tag etwa 2,5 Trillionen Bytes an Daten, wobei 90 Prozent aller Daten weltweit allein in den letzten zwei Jahren generiert wurden.

Selbst wenn kleine Unternehmen nur einen Bruchteil zu diesen Datenmengen beitragen, ist das dennoch eine riesige Menge Informationen. Umso wichtiger ist es, diese Daten vor Verlust und Beschädigung zu schützen und die richtigen Backup-Tools dafür zu verwenden.

80 Prozent der Unternehmen planen Umfragen zufolge, bis 2020 ihre Daten in der Cloud zu sichern.

Wer nicht ins Hintertreffen geraten möchte, sollte mithilfe der folgenden Schritte eine robuste Daten-Backupstrategie aufbauen.

Empfohlene Maßnahmen für das Daten-Backup in kleinen Unternehmen

Es empfiehlt sich, in folgender Reihenfolge vorzugehen:

  • Einen Daten-Backup-Plan vorbereiten:In diesem ersten Schritt identifiziert man kritische Datenressourcen, die kontinuierlich gesichert werden müssen. Es wird entschieden, welche Daten in der Cloud und welche lokal gesichert werden sollen. Besonders kritische Daten wie Systeminformationen, auf die im Katastrophenfall schnell zugegriffen werden muss, werden am besten vor Ort auf Laufwerken gespeichert.
  • Einen Daten-Backup-Anbieter auswählen:Sobald die Backup-Strategie entwickelt wurde, ist es an der Zeit, Backup-Anbieter zu recherchieren, die den eigenen Anforderungen an Speicherplatz, Geschwindigkeit, RPO, RTO und Kosten sowie den gesetzlichen Vorgaben entsprechen.

Die besten Daten-Backup-Anbieter nach durchschnittlicher Nutzerbewertung auf GetApp (Stand Februar 2019)

CrashPlan

Logo Crashplan

Cloudberry Backup

Logo Cloudberry

IntelligenceBank Digital Asset Management

Logo IntelligenceBank

Acronis Backup

Logo Acronis

GoodSync

Logo Goodsync

Eine ausführlichere Liste von Daten-Backup-Anbietern findet sich im Verzeichnis von Backup-Software von GetApp. Dort lassen sich Anbieter nach Funktionen, Budget, Ort, Bereitstellungsmodell und mehr filtern.

Technologien für den Cloud-Datenschutz sind unverzichtbar

Zwei Drittel aller Unternehmen nutzen Cloud-Technologien für das Ausführen von Anwendungen und das Speichern von Daten. Dabei setzen immer mehr Unternehmen auch Public-Cloud-Lösungen ein, was Maßnahmen zum Datenschutz noch wichtiger macht.

Technologien für den Cloud-Datenschutz stellen sicher, dass Daten bei der Übertragung und Speicherung in der Cloud nicht gehackt, manipuliert oder gestohlen werden. Gleichzeitig helfen diese Tools dabei, gesetzliche Anforderungen wie beispielsweise die DSGVO und andere Datenschutzgesetze einzuhalten.

Es gibt eine Vielzahl an unterschiedlichen Cloud-Datenschutztechnologien, die verschiedene Schutzebenen und -arten bieten. Im Folgenden wollen wir einige der wichtigsten Merkmale von Technologien für den Cloud-Datenschutz näher betrachten.

Zentrale Funktionen von Cloud-Datenschutztechnologien

Auf die folgenden Funktionen sollten kleine Unternehmen bei Technologien für den Cloud-Datenschutz nicht verzichten. Viele Cloud-Diensteanbieter (CSPs) bieten mindestens einige dieser Funktionen und es empfiehlt sich, genau zu vergleichen, wie stark die jeweiligen Funktionen sind und gegebenenfalls eigene Sicherheitskontrollen für einen zusätzlichen Schutz zu implementieren.

  • Verschlüsselung:Eine umfassende Verschlüsselung der Dateien ist das A und O aller Cloud-Sicherheitsmaßnahmen. Selbst wenn der Anbieter die gespeicherten Daten verschlüsselt, sollte eine zusätzliche Verschlüsselung erfolgen, damit die Daten beim Upload in die Cloud nicht ausgelesen werden können. Daten müssen sowohl bei der Speicherung als auch bei der Übertragung verschlüsselt sein, um das Risiko von Datensicherheitsverletzungen und -verlusten zu minimieren.
  • Tokenisierung:Bei diesem Vorgang wird ein sensibles Datenelement durch ein nicht sensibles Äquivalent ersetzt, was als Token bezeichnet wird. Der Token fungiert als Platzhalter, während die sensiblen Daten an einem anderen Ort gespeichert werden. Im Gegensatz zur Verschlüsselung kann die Tokenisierung nicht rückgängig gemacht werden. Sie wird primär zur Speicherung sensibler finanzieller Daten verwendet. Aufsichtsbehörden wie der PCI Security Standards Council betrachten die Tokenisierung als sicherere Form des Datenschutzes.
  • Endpunktsicherheit:Für den Zugriff auf cloudbasierte Ressourcen genutzte Endgeräte müssen gesichert werden, damit sie nicht zum Ziel von Hackerangriffen werden. Firewalls und Antivirenlösungen tragen zum Schutz von Endnutzergeräten bei, mit denen IaaS-, SaaS- oder PaaS-Tools genutzt werden.
  • Authentifizierung und Zugriffskontrollen:Diese Tools stellen sicher, dass nur autorisierte Personen Zugriffs- und Änderungsrechte für Cloud-Daten haben. So wird die Integrität der Daten gewahrt und das Risiko eines Datendiebstahls reduziert. Tools zur Verwaltung von Zugriffsberechtigungen (Privileged Access Management) verifizieren die Nutzeridentität und erlauben es nur autorisierten Personen, Daten einzusehen oder zu ändern.

Zusätzlich zu einigen der hier beschriebenen Funktionen können Cloud-Diensteanbieter auch begrenzte Daten-Backup- und Wiederherstellungsfunktionen anbieten. Vor dem Kauf zusätzlicher Cloud-Sicherheitstools lohnt es sich daher, die angebotenen Sicherheitsfunktionen zu recherchieren.

Hinweis: Einige der oben genannten Technologien sind möglicherweise auch als eigenständige Lösung verfügbar.

Vorteile von Cloud-Sicherheitssoftware

Die Hauptvorteile dieser Lösungen liegen in der verbesserten Datensicherheit durch Verschlüsselung und Zugriffskontrollen, der Einhaltung gesetzlicher Vorschriften und einer erhöhten Transparenz von Datenschutzmaßnahmen. Zusammengefasst sind sie noch einmal in der folgenden Grafik dargestellt:

Vorteile von Cloud Sicherheitstechnologie für den Datenschutz

Relevanz für kleine Unternehmen: HOCH

Es ist zu erwarten, dass schon 2020 mehr Daten in der Cloud als auf lokalen Geräten gespeichert werden und immer mehr Unternehmen den Großteil ihrer Anwendungen in die Cloud verlagern. Kleine Unternehmen, die im Alltagsbetrieb auf die Cloud setzen, müssen in die Cloud-Sicherheit investieren, um nicht ein hohes Risiko einzugehen, dass Hacker ihre wertvollen Daten stehlen oder manipulieren.

SaaS-Anwendungen werden zunehmend zur Speicherung kritischer Unternehmensdaten genutzt, was die Bedeutung von Technologien für den Cloud-Datenschutz immer schneller ansteigen lässt.

Empfohlene Maßnahmen für kleine Unternehmen

  • Sicherheitsfunktionen von Cloud-Anbietern verstehen:Viele Anbieter bieten Sicherheitsfunktionen wie Verschlüsselung und Anti-Malware-Tools mit Datenspeicheroptionen. Vor der Entscheidung für ein Tool sollte man genau herausfinden, wie (und wie gut) es funktioniert, wie die Nutzungsbedingungen aussehen und ob beim Zugriff auf die Sicherheitsfunktionen des Cloud-Anbieters zusätzliche Kosten entstehen. Sicherheitsexpert*innen können dabei unterstützen, die richtigen Cloud-Sicherheitstools für das eigene Unternehmen zu finden.
  • In Cloud-Sicherheitslösungen investieren:Cloud-Anwendungen lassen sich unkompliziert in andere Anwendungen integrieren und unterstützen Datenübertragungen. Um mögliche Maßnahmen für den Schutz von gespeicherten und übertragenen Daten zu ermitteln, sollten Fachleute zu Rate gezogen werden. Unser Verzeichnis mit Cloud-Sicherheitssoftware bietet einen guten Anhaltspunkt für den Vergleich verschiedener Softwaretools. Die Produkte lassen sich nach Funktionen, Preis, Abomodellen usw. filtern und Nutzerbewertungen geben Aufschluss darüber, wie sich die Tools im realen Einsatz bewährt haben.

Blockchain ist die neue Technologie für mehr Datensicherheit

Blockchain ist eine revolutionäre Technologie, die das Potential hat, die Datensicherheit, -integrität und -authentizität zu verbessern. Die Art und Weise, auf die Daten gespeichert und kontrolliert werden, wird komplett verändert und ist nahezu unmöglich zu manipulieren.

Eine Blockchain ist eine Kette von aneinandergereihten Datensätzen, die Zeitstempel und Verweise auf die vorherigen Einträge enthalten. Alle Datensätze in einer Blockchain sind kryptographisch gesichert und jedes Mitglied des Netzwerks verifiziert die Richtigkeit der Daten mithilfe privater und öffentlicher Schlüssel. Sobald Daten zur Blockchain hinzugefügt wurden, können sie nicht mehr verändert oder manipuliert werden.

Die Technologie klingt vielversprechend, ist aber noch nicht im Mainstream angekommen. Wer sich bereits mit den Funktionsweisen und Vorteilen der Blockchain vertraut macht, kann sein Unternehmen jetzt schon darauf vorbereiten, die Technologie reibungslos einzuführen, sobald sie ausgereifter ist.

Wichtige Funktionen der Blockchain-Technologie

Blockchain ist aufgrund folgender Funktionen nützlich für den Datenschutz:

  • Dezentralisierung:Daten werden nicht auf einen Cloud-Server hochgeladen oder an einem einzigen Ort gespeichert, sondern auf ein Netzwerk von Computern verteilt. Jeder Computer oder Knoten im Netzwerk verfügt dabei über eine Kopie der Daten. Durch diese Vielzahl von vergleichbaren Kopien ist es kaum möglich, Daten in der Blockchain zu manipulieren.
  • Verschlüsselung:Die in einem Blockchain-Netzwerk gespeicherten oder hinzugefügten Daten sind verschlüsselt. Die Technologie nutzt Kryptographiemethoden wie öffentliche Schlüssel, um die Identität der Nutzer*innen zu schützen und Transaktionen zu sichern.
  • Validierung:Aufgrund des dezentralen Charakters des Blockchain-Modells können die gespeicherten Daten einfach überprüft werden. Dateisignaturen können in allen Registern auf allen Netzwerkknoten abgeglichen werden, um sicherzustellen, dass keine Daten geändert wurden.

Vorteile der Blockchain-Technologie

Die Technologie bietet zahlreiche Datenschutzvorteile, beispielsweise Zuverlässigkeit, manipulationssichere Daten und Transparenz.

Vorteile von Blockchain für Datensicherheit

Relevanz für kleine Unternehmen: NIEDRIG

Die Blockchain-Technologie wird bisher noch für verschiedene Anwendungsfälle in Unternehmen getestet. Die für den Betrieb eines Blockchain-Netzwerks erforderlichen leistungsstarken Computerressourcen machen es kostenintensiv. Außerdem kann es bei der Implementierung zu technischen oder andersartigen Problemen kommen, beispielsweise wenn Anwendungen nicht kompatibel sind oder rechtliche Bedenken auftreten.

Für die Einführung in kleinen Unternehmen ist die Blockchain bisher kaum geeignet. Dem Hype Cycle for Data Security von Gartner zufolge (Bericht nur für Gartner-Kunden verfügbar) wird die Blockchain für die Datensicherheit innerhalb der nächsten 5 bis 10 Jahre ausgereift sein und weite Verbreitung finden.

Empfohlene Maßnahmen für kleine Unternehmen

Blockchain-Anwendungsfälle studieren. Viele Datensicherheitsanwendungen haben Blockchain-Technologien integriert. Auch einige Großunternehmen experimentieren mit den Möglichkeiten der Blockchain für den Datenschutz. Kleinen Unternehmen empfehlen wir, sich zunächst einmal durch die Beschäftigung mit Anwendungsfällen und Machbarkeitsstudien mit den Prinzipien und Funktionsweisen der Blockchain vertraut zu machen.

 

 

Nächste Schritte: Daten klassifizieren und Angestellte schulen

Mit den folgenden Schritten lassen sich die Datenbestände kleiner Unternehmen zusätzlich sichern:

  1. Daten klassifizieren: Auch wenn sie bereits 2018 in Kraft getreten ist, sind noch längst nicht alle kleinen Unternehmen mit der DSGVO bzw. Datenschutzgrundverordnung und ihren Anforderungen vertraut – und das sollte sich schleunigst ändern. Die Auseinandersetzung mit der DSGVO bietet eine gute Gelegenheit, um die eigenen Daten in unterschiedliche Datentypen aufzuteilen, die gegebenenfalls mit verschiedenen Datenschutztechnologien geschützt werden sollten.
  2. Die nötigen Technologien für den Datenschutz einführen: Hier sind beispielsweise Tools zur mehrstufigen Authentifizierung und der Verwaltung von Zugriffsberechtigungenzu nennen. In Zusammenarbeit mit dem IT-Team oder mit Sicherheitsexpert*innen sollte ermittelt werden, welche Datenschutztechnologien für welche Datenklasse am besten geeignet sind.
  3. Angestellte schulen: Ein großer Teil der Datensicherheitsverletzungen in kleinen Unternehmen wird durch riskantes Verhalten von Angestellten verursacht. Alle Mitarbeiter*innen sollten zu Datenschutzrichtlinien und Best Practices für die Sicherheitshygiene geschult werden, beispielsweise zur Identifizierung von Phishing-Versuchen, der Nutzung von sozialen Medien und der Arbeit mit Datenschutztechnologien beispielsweise zu Backup und Notfallwiederherstellung.

Bereit für den Vergleich verschiedener Softwarelösungen?

Unser Verzeichnis mit IT-Sicherheitssoftware hilft weiter.