Comment gérer en toute sécurité et en toute sécurité les informations sensibles

Table des matières:

Comment gérer en toute sécurité et en toute sécurité les informations sensibles
Comment gérer en toute sécurité et en toute sécurité les informations sensibles

Vidéo: Comment gérer en toute sécurité et en toute sécurité les informations sensibles

Vidéo: Comment gérer en toute sécurité et en toute sécurité les informations sensibles
Vidéo: 4 façons de vous motiver à travailler dur quand vous n'êtes vraiment pas d'humeur 2024, Mars
Anonim

Lorsque vous travaillez dans un environnement professionnel, vous devrez inévitablement gérer des informations sensibles. Afin de le protéger, toute votre organisation doit prioriser la sécurité. Dès le premier jour, assurez-vous que tous les employés de l'entreprise comprennent quelles informations sont sensibles et quel est leur rôle pour les protéger. De plus, limitez les personnes pouvant accéder à ces données et prenez des mesures pour ne stocker que ce qui est absolument essentiel pour votre entreprise.

Pas

Méthode 1 sur 5: Identification des informations sensibles

Traiter les informations sensibles Étape 1
Traiter les informations sensibles Étape 1

Étape 1. Protégez toutes les informations dont votre entreprise dispose que d'autres ne devraient pas

En tant que chef d'entreprise, il est important d'être minutieux dans l'évaluation de ce qui est sensible et de ce qui ne l'est pas. Les spécificités varient d'une entreprise à l'autre, bien sûr, mais en général, vous devez prendre des mesures pour sécuriser tout ce qui pourrait nuire à vos clients, à vos employés ou au succès de votre entreprise s'il était rendu public.

  • Par exemple, vous devrez peut-être protéger les informations personnelles de vos clients, telles que leurs noms, numéros de sécurité sociale et informations de carte de crédit.
  • D'un autre côté, vous pourriez être plus préoccupé par la limitation de l'accès à certains processus ou formules qui vous donnent un avantage sur vos concurrents, connus sous le nom de secrets commerciaux. Cela peut inclure des formules ou des processus de fabrication, le modèle financier de votre entreprise, des listes de vos fournisseurs, des informations d'acquisition ou vos méthodes de vente.
  • Lorsque vous évaluez les informations à classer comme sensibles, pensez également au temps dont vous aurez besoin pour conserver ces informations. Dans le cas des informations client, par exemple, elles resteraient toujours sensibles, il est donc préférable de ne les conserver dans vos systèmes que le temps nécessaire.
Traiter les informations sensibles Étape 2
Traiter les informations sensibles Étape 2

Étape 2. Protégez ces données contre les menaces telles que le vol ou la fuite de données

Ne laissez pas uniquement la sécurité des données à votre service informatique, elle doit être intégrée à tous les aspects de votre entreprise. Faites de la sécurité une priorité absolue et gardez à l'esprit que la perte de données peut survenir à la fois à l'extérieur et à l'intérieur de votre entreprise. Cela peut conduire à la fraude, au vol d'identité, à la perte de revenus, à la confiance de vos clients et même à des problèmes juridiques.

Par exemple, votre entreprise peut être confrontée à des menaces de pirates informatiques, de concurrents peu scrupuleux ou même d'employés qui partagent involontairement des informations sécurisées

Traiter les informations sensibles Étape 3
Traiter les informations sensibles Étape 3

Étape 3. Méfiez-vous de tout étiqueter comme sensible

Bien que la sécurité doive être une priorité absolue, il est également important de créer une culture d'entreprise dans laquelle vos employés disposent des informations dont ils ont besoin pour faire leur travail. Si vous êtes généralement transparent avec vos employés, ils comprendront mieux les informations que vous n'êtes pas en mesure de partager avec eux.

Si vous qualifiez trop d'informations de sensibles, les employés trouveront probablement des solutions de contournement pour le protocole de sécurité afin d'accéder aux données dont ils ont besoin

Méthode 2 sur 5: Traitement des données protégées

Traiter les informations sensibles Étape 4
Traiter les informations sensibles Étape 4

Étape 1. Connaître les exigences légales pour le traitement des informations sensibles

Il existe un certain nombre de lois qui peuvent affecter la façon dont votre entreprise doit traiter les données sensibles. Ces statuts peuvent avoir un impact sur tout le monde, des directeurs d'entreprise aux employés de première ligne, alors assurez-vous que tout le monde est en conformité.

  • Par exemple, si votre entreprise propose des services financiers tels que l'encaissement de chèques ou l'octroi de prêts, la loi Gramm-Leach-Bliley vous oblige à protéger toutes les informations personnelles non publiques, y compris les noms, les adresses, l'historique de paiement des consommateurs ou les informations que vous obtenez à partir des rapports des consommateurs.
  • Si vous êtes un employé de l'entreprise, veillez également à connaître les règles de l'organisation sur la façon de traiter les informations sensibles.
  • Pensez à contacter un avocat spécialisé en droit des sociétés pour vous assurer que vous êtes légalement protégé.
Traiter les informations sensibles Étape 5
Traiter les informations sensibles Étape 5

Étape 2. Communiquez clairement les attentes de votre entreprise aux employés

Faites de la sécurité une partie intégrante de la culture de votre entreprise. Donnez à tous les employés un manuel ou une brochure couvrant vos attentes en matière de confidentialité et leur rôle dans la sécurité de l'information. De plus, formez régulièrement tous vos employés sur la façon de gérer les informations sensibles.

  • Par exemple, vous pouvez suivre une formation annuelle sur la sécurité, puis envoyer un e-mail si l'un de vos processus de sécurité est modifié est mis à jour.
  • Vous pouvez également installer une signalisation sur chacun des sites de votre entreprise pour que la sécurité reste au premier plan de l'esprit de vos employés.
  • Exigez de vos employés qu'ils vident leurs bureaux, se déconnectent de leurs ordinateurs et verrouillent leurs classeurs ou leurs bureaux chaque jour avant leur départ.
  • Encouragez vos employés à signaler d'éventuelles violations de données. Vous pourriez même créer un programme incitatif pour récompenser les employés qui signalent un problème à votre attention !
Traiter les informations sensibles Étape 6
Traiter les informations sensibles Étape 6

Étape 3. Formez vos employés à repérer et à éviter le phishing

Parfois, les pirates enverront des e-mails ou passeront des appels téléphoniques conçus pour donner l'impression qu'ils viennent de l'intérieur de l'entreprise alors qu'ils ne le sont pas. Cela se fait généralement pour tenter d'accéder à des données sécurisées. Assurez-vous que tous vos employés sachent qu'ils ne doivent jamais divulguer d'informations sensibles par téléphone ou par e-mail. En outre, expliquez comment ils peuvent détecter rapidement les demandes de phishing.

  • Par exemple, si un e-mail semble suspect, le destinataire doit vérifier soigneusement le domaine à partir duquel l'e-mail a été envoyé.
  • Les appels d'hameçonnage prétendent souvent provenir du service informatique, alors indiquez clairement que votre équipe technique ne demandera jamais le nom d'utilisateur ou le mot de passe d'un employé par téléphone.
  • Les employés qui reçoivent des appels de clients doivent disposer d'un processus pour vérifier les informations d'un client avant de discuter des informations de compte par téléphone.
Traiter les informations sensibles Étape 7
Traiter les informations sensibles Étape 7

Étape 4. Créez des systèmes internes pour gérer les données sensibles

Commencez par effectuer une évaluation descendante pour identifier les informations sensibles que votre entreprise gère, ainsi que les endroits où vous pourriez être vulnérable à la perte de données. Ensuite, créez une politique écrite sur la façon de sécuriser ces informations, combien de temps les conserver et comment les éliminer lorsque vous n'en avez plus besoin.

  • Assurez-vous que toutes les informations sensibles sont clairement étiquetées, qu'il s'agisse de données numériques ou de copies physiques.
  • Incluez la manière dont les employés doivent gérer les données auxquelles ils ont accès, notamment en ne gardant pas de documents sensibles sur leur bureau. C'est ce qu'on appelle une politique de bureau propre.
Traiter les informations sensibles Étape 8
Traiter les informations sensibles Étape 8

Étape 5. Contrôlez qui a accès aux informations sensibles

Créez une politique du besoin de savoir où les employés n'ont accès qu'aux informations dont ils ont directement besoin pour faire leur travail. Cela comprend la limitation de l'accès aux données informatiques ainsi que la prise de mesures de sécurité physique telles que le stockage des documents, des badges d'identification, des clés d'accès et des codes de sécurité dans des pièces verrouillées ou des classeurs.

N'autorisez pas les employés à supprimer des données sensibles des bâtiments de l'entreprise, notamment en emportant des ordinateurs portables chez eux ou en envoyant des e-mails contenant des informations protégées

Traiter les informations sensibles Étape 9
Traiter les informations sensibles Étape 9

Étape 6. Protégez les informations sur les ordinateurs des employés

La perte de données numériques est une menace énorme pour toute entreprise qui traite des informations sensibles. Maintenez à jour les pare-feu, les protocoles de chiffrement et les logiciels antivirus. De plus, exigez que tous les employés utilisent des mots de passe sécurisés contenant des lettres, des chiffres et des symboles. D'autres mesures pourraient inclure:

  • Configurer les ordinateurs de l'entreprise pour qu'ils expirent automatiquement après avoir été inactifs pendant un certain temps.
  • Envoi d'informations sensibles uniquement via des e-mails cryptés ou des courriers sécurisés, et uniquement aux personnes autorisées à les recevoir.
  • Toujours en utilisant l'impression sécurisée.
  • Être sûr que le service informatique sait qui peut et ne peut pas accéder aux informations sensibles.
  • Appliquer les mêmes mesures de sécurité aux employés qui travaillent à domicile.
Traiter les informations sensibles Étape 10
Traiter les informations sensibles Étape 10

Étape 7. Limitez la quantité de données qui quittent le bâtiment en limitant les ordinateurs portables

En général, il est préférable que les employés utilisent des ordinateurs de bureau, surtout si des informations sécurisées y sont stockées. Si un employé a besoin d'utiliser un ordinateur portable pour faire son travail, limitez ou cryptez toutes les données sensibles conservées sur cette machine.

  • De même, évitez la quantité de données sécurisées auxquelles les employés peuvent accéder à partir de leurs téléphones ou tablettes.
  • Installez une fonction d'effacement à distance sur les ordinateurs portables et autres appareils. De cette façon, si cet élément est perdu ou volé, vous pouvez détruire ces données afin qu'elles ne puissent pas être compromises.
Traiter les informations sensibles Étape 11
Traiter les informations sensibles Étape 11

Étape 8. Assurez-vous que les discussions sensibles sont sécurisées

S'il y a une réunion dans votre entreprise au cours de laquelle des secrets commerciaux ou d'autres informations privées vont être discutés, assurez-vous qu'elle se déroule dans une salle privée pour éviter les écoutes. De plus, assurez-vous que seules les personnes autorisées à connaître ces informations assistent à la réunion.

Par exemple, vous pouvez utiliser une salle de conférence privée avec des murs insonorisés

Traiter les informations sensibles Étape 12
Traiter les informations sensibles Étape 12

Étape 9. Ne conservez pas les données sensibles dont vous n'avez pas besoin

Il n'y a aucune raison de risquer de perdre des données sensibles si elles ne sont pas essentielles au fonctionnement de votre entreprise. N'acceptez ni ne stockez les données privées inutiles des consommateurs, par exemple en utilisant des numéros de compte uniques au lieu d'identifier vos clients par leurs numéros de sécurité sociale.

  • Si vous devez collecter des informations sensibles, comme un numéro de carte de crédit, envisagez de les effacer de votre système dès que vous avez terminé de traiter la transaction.
  • Certaines informations vous obligent à respecter des exigences législatives rigoureuses, telles que la protection des informations des patients via HIPAA. Le non-respect de ces exigences peut entraîner de lourdes amendes, donc si vous n'avez pas besoin de le manipuler ou de le stocker, il est préférable de l'éviter complètement.
Traiter les informations sensibles Étape 13
Traiter les informations sensibles Étape 13

Étape 10. Ayez un plan pour gérer une violation

Le plan doit détailler la façon dont vous continuerez à faire fonctionner votre entreprise en cas de violation de la sécurité ou de perte de données. Cela devrait également couvrir ce que l'entreprise fera pour protéger les données en cas de sinistre qui pourrait exposer vos systèmes à des attaques.

Par exemple, en cas de panne de courant généralisée, déterminez si vos données numériques seraient plus vulnérables au piratage. Si tel est le cas, prenez des mesures pour éliminer ce risque

Traiter les informations sensibles Étape 14
Traiter les informations sensibles Étape 14

Étape 11. Effectuez des audits réguliers pour vérifier la conformité de la sécurité

Ayez un plan pour évaluer régulièrement qui a accédé à quelles informations, y compris au sein de votre service informatique. Comprenez où vos données sensibles sont stockées sur le système afin de savoir immédiatement si quelqu'un essaie de les exploiter.

  • Surveillez le trafic sur votre système, en particulier si de grandes quantités de données sont transmises vers ou depuis votre système.
  • De plus, surveillez les multiples tentatives de connexion de nouveaux utilisateurs ou d'ordinateurs inconnus, car cela pourrait être un indicateur potentiel que quelqu'un essaie d'accéder à des données sécurisées.

Méthode 3 sur 5: Conseiller les nouveaux employés et les employés qui partent

Traiter les informations sensibles Étape 15
Traiter les informations sensibles Étape 15

Étape 1. Liez tous les employés avec des accords ou des clauses de confidentialité

Demandez à chaque nouvelle recrue de signer un accord de non-divulgation (NDA) lors de son embarquement, avant d'avoir accès à des secrets commerciaux ou des données client. Bien que cela n'arrête pas tous les cas de perte de données, cela vous offre une certaine protection juridique si cela se produit.

Assurez-vous que la durée de la NDA est suffisamment longue pour vous protéger même après le départ de l'employé de l'entreprise

Traiter les informations sensibles Étape 16
Traiter les informations sensibles Étape 16

Étape 2. Discutez de la sécurité des données lorsqu'une personne est embauchée

Donnez aux nouvelles recrues le manuel ou la brochure qui énonce votre protocole de sécurité. Cependant, ne vous attendez pas seulement à ce qu'ils le lisent et le comprennent - expliquez-leur clairement pendant le processus d'intégration.

  • Expliquez à chaque employé que le maintien de la sécurité des données fait partie de sa description de poste.
  • Discutez de toutes les lois et documents de politique internes pertinents.
  • N'oubliez pas que cela devrait inclure tous les employés, y compris les travailleurs des bureaux satellites et les employés saisonniers ou temporaires.
Traiter les informations sensibles Étape 17
Traiter les informations sensibles Étape 17

Étape 3. Faites une entrevue de départ lorsqu'un employé part

Au cours de cette conversation, rappelez-leur leur NDA et quelles sont leurs obligations concernant les informations sensibles auxquelles ils auraient pu avoir accès. De plus, demandez-leur de rendre les appareils de leur entreprise, leurs badges de sécurité, leurs clés, etc.

Demandez au service informatique de révoquer également toutes leurs autorisations de sécurité et leurs mots de passe

Méthode 4 sur 5: Informer les tiers et les visiteurs

Traiter les informations sensibles Étape 18
Traiter les informations sensibles Étape 18

Étape 1. Inclure des clauses d'informations sensibles dans les contrats avec des tiers

Si vous faites affaire avec des tiers, comme des vendeurs et des fournisseurs, assurez-vous qu'ils sont conscients de leur responsabilité de protéger les informations sensibles. De plus, assurez-vous de savoir clairement quand vous devez les informer d'informations considérées comme privées.

  • C'est une bonne idée d'utiliser le libellé « toutes les informations non publiques » dans ces clauses. De cette façon, vous n'avez pas à étiqueter chaque élément de données sensibles.
  • Vous devrez peut-être également demander à vos fournisseurs de services de signer des accords de non-divulgation s'ils ont accès à des informations sensibles.
Traiter les informations sensibles Étape 19
Traiter les informations sensibles Étape 19

Étape 2. Partagez les données uniquement si nécessaire

Tout comme avec vos employés, assurez-vous que tous les tiers ne donnent des informations à des tiers que si cela est absolument essentiel à leur capacité à faire leur travail. C'est ce qu'on appelle une politique de « moindre privilège ».

  • De plus, assurez-vous que les informations ne sont partagées que de manière sécurisée, comme sur des réseaux cryptés ou lors de réunions privées.
  • Vérifiez régulièrement les informations d'identification et les accès accordés à vos tiers et assurez-vous de savoir exactement qui les utilise.
Traiter les informations sensibles Étape 20
Traiter les informations sensibles Étape 20

Étape 3. Demandez aux visiteurs de signer le NDAS si nécessaire

Si un visiteur de votre entreprise peut potentiellement avoir accès à des informations sécurisées, demandez-lui de signer un accord de non-divulgation lors de son enregistrement. Stockez ces NDA de visiteur dans un fichier aussi longtemps qu'ils sont valides au cas où un individu violerait les accords plus tard.

Par exemple, si un représentant de votre fournisseur visite votre installation et qu'il peut avoir un aperçu d'un processus de fabrication non public, ce serait une bonne idée de lui faire signer un NDA

Traiter les informations sensibles Étape 21
Traiter les informations sensibles Étape 21

Étape 4. Limitez l'accès des visiteurs aux informations sécurisées

Bien qu'un NDA puisse vous donner un certain recours si un visiteur discute d'informations privées, il est préférable d'éviter de lui permettre d'accéder à ces données. Ayez une politique empêchant les visiteurs d'entrer dans les zones où des informations sécurisées sont stockées, et surveillez où ils vont lorsqu'ils sont dans les locaux.

Par exemple, vous pouvez demander à un employé d'escorter les visiteurs pour vous assurer qu'ils ne pénètrent pas dans des zones réglementées

Méthode 5 sur 5: Stockage et élimination des informations confidentielles

Traiter les informations sensibles Étape 22
Traiter les informations sensibles Étape 22

Étape 1. Soyez conscient de la façon dont les informations sensibles entrent dans votre entreprise

Afin de protéger les informations sensibles, vous devez comprendre les points d'entrée. Évaluez d'où proviennent ces informations, en quoi elles consistent et qui pourrait y avoir accès. Certaines sources potentielles peuvent inclure:

  • Par exemple, vous pouvez obtenir des informations de demandeurs d'emploi, de clients, de sociétés émettrices de cartes de crédit ou de banques.
  • Ces informations peuvent entrer dans votre entreprise via votre site Web, votre courrier électronique, votre courrier, vos caisses enregistreuses ou votre service comptable.
Traiter les informations sensibles Étape 23
Traiter les informations sensibles Étape 23

Étape 2. Stockez en toute sécurité les informations numériques et les documents

La sécurité des données nécessite une approche à deux volets. Vous devez non seulement protéger vos systèmes informatiques, mais vous devez également vous assurer que tous les documents sont soigneusement sécurisés.

  • Assurez-vous que tous les documents sont stockés dans des classeurs verrouillés et que l'accès n'est accordé qu'aux employés autorisés qui ont légitimement besoin de ces informations.
  • En plus de sécuriser vos données numériques sur site, assurez-vous que tout le stockage cloud utilise une authentification et un cryptage multifacteur.
Traiter les informations sensibles Étape 24
Traiter les informations sensibles Étape 24

Étape 3. Stockez les informations numériques avec soin

Lorsque cela est possible, évitez de stocker des données sensibles sur des ordinateurs ayant accès à Internet. Dans les cas où vous avez besoin d'avoir ces informations sur un ordinateur avec une connexion Internet, assurez-vous qu'elles sont cryptées de manière sécurisée. Vous pouvez également:

  • Utilisez des serveurs sécurisés, y compris le stockage en nuage.
  • Chiffrez (ou hachez) les mots de passe des clients.
  • Mettez régulièrement à jour les mots de passe.
  • Gardez le logiciel de sécurité à jour.
  • Soyez conscient des vulnérabilités des logiciels.
  • Contrôlez l'accès USB.
  • Sauvegardez les informations dans un endroit sécurisé.
Traiter les informations sensibles Étape 25
Traiter les informations sensibles Étape 25

Étape 4. Débarrassez-vous des papiers en les déchiquetant

Ne vous contentez pas de jeter les anciennes applications ou fichiers clients à la poubelle. Au lieu de cela, investissez dans des déchiqueteuses à coupe transversale de haute qualité et assurez-vous qu'elles sont facilement accessibles dans le bureau. Ensuite, faites jeter les papiers déchiquetés dans des poubelles confidentielles.

N'oubliez pas de nettoyer les vieux classeurs avant de les vendre ou de les jeter

Traiter les informations sensibles Étape 26
Traiter les informations sensibles Étape 26

Étape 5. Effacez complètement les disques durs avant de vous débarrasser des appareils

Utilisez un utilitaire de destruction de données sécurisé pour vous assurer de détruire toutes les informations sur l'ordinateur, le téléphone ou la tablette. Ne comptez pas uniquement sur le reformatage du disque dur, cela ne suffit pas pour effacer complètement toutes les données, même si vous les écrasez par la suite.

Conseillé: