Tribunes

Dix raisons pour lesquelles la sécurité est négligée dans la gouvernance des informations, et comment y remédier

Dix raisons pour lesquelles la sécurité est négligée dans la gouvernance des informations, et comment y remédier

La gouvernance des informations et d'autres initiatives relatives aux données pilotées par l'entreprise continuent de progresser ; cependant, la gestion de la sécurité associée continue d'être déconnectée. Cet article expose les raisons courantes de ce manque de convergence, ainsi que dix actions que les entreprises peuvent tenter de mener pour réduire l'écart le plus rapidement possible.

PublicitéLa majorité des entreprises qui ont commencé à s'intéresser aux initiatives de gouvernance des informations ne prêtent pas suffisamment attention aux implications de la tâche en matière de risque et de sécurité.

Plusieurs raisons expliquent ce phénomène, mais la cause première est une incapacité à comprendre l'impact potentiel sur l'entreprise du fait de défaillances dans les processus et contrôles de sécurité des données. La focalisation de l'entreprise sur le risque est relativement de courte portée et ne prend pas toujours en compte les risques informatiques ou pour la sécurité des informations.

L'imputabilité et la responsabilité ne sont généralement pas détenues par les mêmes personnes, ce qui fait que les décideurs ne sont pas tenus responsables si les décisions s'avèrent mauvaises ou négligentes. La situation est encore plus compliquée par la nature d'entreprise de la gouvernance des informations : les individus impliqués dans le processus travaillent souvent dans des départements disparates avec des structures hiérarchiques différentes, ce qui conduit à des objectifs et impératifs divergents.


Recommandations

- Éduquez et sensibilisez les personnes à tous les niveaux aux questions de risque informatique et de sécurité dans le cadre des programmes de gouvernance des informations.
- Les responsables de la sécurité doivent identifier les parties prenantes de l'entreprise impliquées dans la gouvernance des informations, et être visibles et présents dans leurs conversations et réunions.
- Intégrez des contrôles de la sécurité des données le plus tôt possible dans la gestion des données pour garantir la transparence et un impact limité. Recherchez les opportunités de tirer parti des outils, processus et structures existants afin d'intégrer les concepts de risque et de sécurité dans les projets de l'entreprise axés sur les données.
- Faites participer des responsables de domaines autres que la sécurité, tels que le responsable des litiges et le responsable de la conformité, le cas échéant.


Nos interactions continues avec des clients de Gartner montrent une inquiétude croissante vis-à-vis des concepts de l'intégration des initiatives de protection des données dans le domaine en rapide expansion de la gouvernance des informations. Cette discipline devient plus importante pour les clients de Gartner, qui manifestent leur volonté d'extraire plus de valeur des données d'entreprise et de minimiser les risques de données mal gérées.
Gartner définit la gouvernance des informations comme la spécification des droits de décision et une structure d'imputabilité pour garantir un comportement approprié dans l'évaluation, la création, le stockage, l'utilisation, l'archivage et la suppression des informations. La gouvernance des informations inclut les processus, rôles, standards et métrologies qui garantissent l'utilisation efficace et efficiente des informations afin de permettre à une entreprise d'atteindre ses objectifs. Fondamentalement, la gouvernance des informations suit une approche exhaustive de la gestion des données d'entreprise. La gouvernance des informations est un bloc fonctionnel crucial et difficile à mettre en oeuvre pour les efforts plus vastes de gestion des informations d'entreprise (EIM) qui sont également en train de gagner en importance dans la base de clients de Gartner.
Aussi difficile que s'avère la gouvernance des informations, il est encore plus difficile de faire inclure systématiquement les problèmes de sécurité comme facteur et contrainte dans le programme de gouvernance des informations.
Une table ronde des analystes utilisateurs qui s'est tenue en octobre 2011 à l'occasion du 21e Symposium/ ITxpo de Gartner à Orlando, en Floride, a confirmé les difficultés à y parvenir. Le présent article rassemble les conclusions tirées des interactions avec nos clients et de cette table ronde, qui incluait des participants issus des secteurs verticaux des services financiers, des assurances, de la santé et de l'administration.

Publicité
Pourquoi la sécurité ne fait pas partie intégrante de la gouvernance des informations

Pourquoi la sécurité ne fait pas partie intégrante de la gouvernance des informations

1.     La classification des données n'est pas  rattachée  à  la  valeur  opérationnelle.
Encore  difficile à  atteindre, une classification des données robuste et cohérente est impérative pour prendre des décisions appropriées sur la façon dont les données doivent être protégées. Les approches de classification traditionnelles ne sont pas suffisamment dynamiques pour être à la hauteur. En outre, la plupart des schémas de classification existants qui sont créés par les équipes en charge de la sécurité sont liés à des définitions abstraites qui n'ont pas de lien clair avec un risque ou une valeur opérationnels ; or, sans ce lien, les parties prenantes de l'entreprise n'ont aucune motivation à participer aux activités relatives à la protection des données.

2.     La sécurité ne fait pas partie de la vision stratégique de l'entreprise.
L'un des facteurs de succès pour toute activité de programme tactique est qu'elle soit dérivée d'un objectif métier stratégique ou ait un lien clair avec un tel objectif. Nos interactions avec nos clients indiquent que la sécurité des données reste considérée comme une discipline technique tactique qui nécessite une contribution minimale des parties prenantes de l'entreprise. Si la gestion de la sécurité n'est pas élevée au niveau des autres stratégies d'entreprise, nous continuerons à voir une mentalité de négligence. Résultat : l'entreprise pensera que le problème est pris en charge, tandis que les équipes en charge de la sécurité seront obligées de prendre des décisions sur la gestion de la sécurité des données sans le contexte adéquat.

3.     Les parties prenantes de l'entreprise ne comprennent pas les données, ignorent où elles se trouvent et ne comprennent pas le risque qui pèse sur les données.
Les parties prenantes de l'entreprise ne comprennent généralement pas les "données". Ce qu'elles comprennent, ce sont les informations, ainsi que les processus et activités métiers. Il s'ensuit que le personnel de l'entreprise ne réalise pas que les activités métiers qu'il entreprend ont pour objet d'extraire des informations et de la valeur des données sous-jacentes et, ainsi, de minimiser les risques encourus par l'entreprise si les données ne sont pas correctement protégées.

4.     La sécurité n'a pas suffisamment d'influence dans la prise de décisions en matière de gouvernance des informations.
Bien que Gartner ait constaté que l'accent est davantage mis sur la gestion de la sécurité dans les grandes entreprises et dans les secteurs verticaux qui sont soumis à des impératifs juridiques et réglementaires, il reste fréquent que la sécurité soit considérée comme un obstacle à l'atteinte des objectifs métiers et soit reléguée à des niveaux inférieurs de l'entreprise. Plus les responsables de la sécurité sont éloignés des dirigeants de l'entreprise, plus il est difficile d'obtenir le soutien pour les initiatives relatives à la sécurité des données, d'autant plus si les contrôles recommandés sont intrusifs par nature. Cette situation peut être compensée dans certains cas par le soutien d'un dirigeant haut placé, mais il peut être difficile d'abattre cette carteS à plusieurs reprises.

5. L'entreprise ne s'est jamais vue infliger d'amende.
Les  critères  de  conformité réglementaire et juridique continuent d'être un moteur important pour l'investissement dans la gestion de la sécurité. Dans les entreprises qui n'ont jamais reçu d'amendes ou échoué aux audits, il n'est pas rare d'adopter une attitude attentiste plutôt que proactive.

6.     Les personnes veulent un accès ouvert. (C'est à moi, pourquoi ne puis-je pas en faire ce que bon me semble ?)
Ce problème est plus répandu dans les secteurs verticaux habitués à une certaine ouverture dans l'accès aux informations, tels que les médias et l'éducation, mais Gartner en entend parler dans d'autres secteurs verticaux également. Les parties prenantes ne voient que la valeur du partage, mais ne comprennent pas les risques que présente le partage à outrance ou la fuite d'informations. On note souvent une opposition à une intervention de la sécurité dans le processus de gestion de l'accès. Si la gouvernance des informations porte fondamentalement sur le contrôle, il est difficile pour les professionnels de la sécurité de communiquer correctement les risques de sécurité en des termes que les parties prenantes de l'entreprise comprennent.

7.     Les dirigeants n'ont pas la conscience de la sécurité.
Les clients de Gartner témoignent d'un manque de sensibilisation aux implications de la sécurité et à l'impact des brèches dans la protection des données. Si elle s'impose depuis un certain nombre d'années, la gouvernance des informations reste très concentrée sur la gestion des données, plutôt que sur les risques pour la sécurité associés aux données. Les dirigeants impliqués dans la gouvernance des informations sont très bien conscients de nombreux risques, notamment en termes juridiques et de qualité des données, mais pas forcément des risques qui pèsent sur la sécurité. La sécurité continue d'être considérée par beaucoup comme une discipline technique tactique, plutôt que comme un programme proactif basé sur les processus.

8.     La sécurité n'a pas accès aux parties prenantes adéquates.
Lorsque des décisions sont prises au sein des unités opérationnelles et qu'il n'y a pas de proximité avec l'équipe en charge de la sécurité, il est difficile pour les responsables de la sécurité d'avoir accès aux parties prenantes de l'entreprise en premier lieu. Il devient de plus en plus difficile de surmonter les réalités pratiques des décisions prises dans les silos de l'entreprise, et les risques continuent d'être ignorés.

9.     Il est difficile d'éduquer les parties prenantes.
Les  équipes  en  charge  de  la  sécurité  ont  toujours  du  mal  à communiquer  avec  les  parties prenantes de l'entreprise dans des termes qui trouvent un écho auprès d'un public centré sur les activités. Lorsque les opportunités sont rares et que le message n'est pas correctement orienté et communiqué, la seconde chance peut arriver trop tard pour avoir l'impact nécessaire.

10. Personne ne voit la valeur de la sécurisation des données.
Une difficulté constante avec toutes les activités d'un programme de sécurité est de démontrer la valeur de l'investissement, et la sécurité des données ne fait pas exception. Ajoutez à cela les difficultés précédemment citées, et le résultat final revient à se battre contre des moulins à vent.

Comment pouvons-nous évoluer vers une gouvernance des informations sensible à la sécurité ?

Comment pouvons-nous évoluer vers une gouvernance des informations sensible à la sécurité ?

1.     Déterminez les conséquences financières imputables aux individus.
L'un des moyens les plus efficaces de faire en sorte que les individus dans l'entreprise prêtent attention à quelque chose est de s'assurer que des conséquences financières sont associées à leurs actions ou objectifs. Il est capital de s'assurer que la gestion de la sécurité fait partie des objectifs stratégiques des dirigeants de l'entreprise. Les objectifs doivent être clairement associés à des objectifs mesurables liés à la rémunération, comme tout autre objectif métier. Par exemple, il peut s'agir d'intégrer la conformité aux objectifs de sécurité des données dans la revue de fin d'année des dirigeants de l'entreprise, ou d'assujettir une partie de leur prime à leur implication dans le processus de gouvernance de la sécurité.

2.     Obtenez le soutien de la direction.
Tandis que la gouvernance des informations continue d'être une cible stratégique pour les entreprises, les responsables de la sécurité doivent veiller à ce que la stratégie de sécurité suive le rythme. L'idée que la sécurité porte sur le réseau a mené à des lacunes dans les processus et contrôles de sécurité des données. Il est important d'inclure une stratégie relative à la sécurité des données dans la stratégie de sécurité globale, et un facteur crucial pour y parvenir est le soutien visible des dirigeants. Plusieurs mécanismes peuvent garantir cet appui : la création d'une charte pour démontrer le soutien des hauts dirigeants et habiliter l'équipe en charge de la sécurité à gérer le programme de sécurité, le choix d'un parrain au plus haut niveau de l'entreprise pouvant aider à socialiser le message, et le recours aux équipes en charge des questions juridiques et/ou de conformité pour sensibiliser davantage à l'importance d'inclure la sécurité dans les initiatives de gouvernance des informations.

3.     Éduquez et sensibilisez les individus.
La première étape pour obtenir la résolution d'un problème est de faire comprendre aux individus qu'il y a un problème à résoudre. Le fait de communiquer avec les parties prenantes à différents niveaux, en mettant l'accent sur les risques pour la sécurité résultant de la gouvernance des informations, suscitera une sensibilisation aux problèmes des mauvaises pratiques de sécurité des données.
Par exemple :
- enseigner aux développeurs d'applications les meilleures pratiques en matière de gestion des données ;
- sensibiliser les utilisateurs des données aux risques vis-à-vis de la confidentialité des données ;
- informer les responsables d'unité opérationnelle à propos des implications d'une mauvaise gestion des données réglementées.

La sensibilisation doit être à la fois ascendante et descendante, et les dirigeants doivent être inclus dans les activités de sensibilisation. Si les employés peuvent s'occuper de la gestion des données au quotidien, les dirigeants ont quant à eux accès à des données confidentielles et vitales et comprennent souvent le moins bien l'impact des mauvaises pratiques de sécurité des données.

4.     Définissez une stratégie au niveau des informations plutôt qu'au niveau des données.
La discussion sur les concepts de données et d'informations fait rage. Les approches traditionnelles de la sécurité des données ont tendance à se concentrer sur la couche des éléments de données, qui peut sembler écrasante. Les efforts de gouvernance des informations sont souvent dirigés sur de multiples couches. Il sera plus facile d'expliquer et de mettre en oeuvre le processus de prise de décisions si les parties prenantes sont encouragées à se concentrer sur le processus, les problèmes de sécurité plus vastes et les systèmes ou éléments d'information moins granulaires. À mesure que la maturité augmente et que l'intégration entre la gouvernance des informations et la sécurité des données s'améliore, les entreprises peuvent aborder des points de décision plus granulaires.

5.     Effectuez des évaluations tierces.
Il peut souvent être très avantageux de faire appel à un tiers extérieur pour effectuer une évaluation de l'état de protection des données. Souvent, les entités extérieures auront une expertise et des outils supplémentaires, amèneront une perspective nouvelle à l'évaluation, et seront considérées par toutes les parties concernées comme n'étant pas guidées par leur propre intérêt, offrant une évaluation et des recommandations indépendantes. L'impact des évaluations indépendantes est lié aux références d'identité et à la réputation du prestataire et à sa capacité à rassembler, résumer et communiquer les risques pour la sécurité dans un contexte opérationnel.

6. Tirez parti des aspects techniques de la gestion des données.
Pratiquement toutes les entreprises ont des outils en place pour les aider à gérer leurs données ; ces outils peuvent souvent être exploités pour améliorer la sécurité sans surcharge ni investissement supplémentaires. Par exemple, l'utilisation de la suite de gestion des identités et de l'accès pour apprendre "qui a accès à quoi" et la mise en correspondance de ces éléments avec des alertes émanant des outils de prévention de la perte de données sensibles au contenu peuvent optimiser la gouvernance des informations en offrant une perspective sur le flux des données relatives aux informations cruciales. L'adoption d'une approche plus cohérente vis-à-vis de l'exploitation des outils existants pour étayer à la fois les efforts de gouvernance des informations et les objectifs de sécurité des données contribuera grandement à démontrer la valeur d'une meilleure sécurité et soutiendra les initiatives d'économies d'échelle. L'utilisation des outils qui sont déjà en place peut conduire à des décisions rationalisées quant au risque et à la sécurité  dans  le  cadre  d'une gouvernance  des  informations globale.  

7.     Intégrez la conscience de la sécurité dans les unités opérationnelles.
Les recherches de Gartner sur la gouvernance des informations fournissent des pistes importantes sur la façon de structurer les rôles et responsabilités au sein du programme de gouvernance des informations. L'un des rôles clés est celui de gérant des données, considéré comme "l'incarnation de la gouvernance des informations". Le fait d'éduquer les gérants des données sur la manière d'identifier les risques pour la sécurité des données et de les aligner sur l'équipe en charge de la sécurité des informations fournira une voie de communication indispensable entre l'entreprise et la sécurité. Cette voie, qui n'existe pas dans la plupart des entreprises, offre un avantage dans les deux sens : l'entreprise a l'écoute de l'équipe chargée de la sécurité des informations et peut mieux communiquer ses stratégies dans un langage commun, tandis que l'équipe de sécurité a une voie pour communiquer efficacement les risques pour la sécurité.

8.     Impliquez l'architecture de la sécurité au niveau de la conception.
Cette option nécessite un solide programme d'architecture d'entreprise avec des niveaux élevés d'intégration aux objectifs de sécurité. Pour les entreprises dotées de cette capacité, cela devient simplement une question de définir la stratégie de protection des informations et de l'exprimer par des contrôles et des processus. Si ce travail est fait correctement, il sera pratiquement transparent, avec des contrôles incorporés et des contrôles d'interface de demande des données bien intégrés. À mesure que l'architecture évolue, les entreprises peuvent mettre en place des boucles de rétroaction continues pour mieux aligner l'architecture sur les objectifs de gouvernance des informations, convergeant au final les objectifs de sécurité et  de gouvernance des  
informations  dans  une  même  structure.  

9.     Recherchez des moteurs dans les politiques publiques.
Si Gartner n'est pas particulièrement partisan de lois et réglementations supplémentaires, nous avons constaté une amélioration dans des domaines tels que la sécurité du périmètre, la sécurité des extrémités et la surveillance qui est directement attribuable aux impératifs de conformité juridique et réglementaire déclenchés par des investissements. Une partie des éléments sont déjà en place, avec une multitude de lois centrées sur les données notamment médicales, financières et relatives à la vie privée. Les entreprises qui ont du mal à sensibiliser et à communiquer l'importance de la sécurité des données peuvent exploiter les impératifs spécifiés dans l'environnement juridique et réglementaire existant et croissant. Les facteurs de conformité sont fréquemment cités comme la motivation nécessaire pour faire de la sécurité un objectif stratégique.

10. Mettez l'accent sur les rôles et responsabilités (responsabilité, autorité, consultation et information [RACI]).
L'une des causes d'échec les plus courantes pour un projet ou un programme est le manque de clarté sur la personne responsable de telles ou telles activités. Parmi les questions courantes qui ne trouvent souvent pas de réponse figurent les suivantes :
- Qui détient ces données ?
- Quelle est la classification des données ?
- Qui est responsable de prendre des décisions relatives au risque pour les données ?
- Qui est tenu responsable du résultat desdites décisions relatives au risque ?

La création d'un ensemble de rôles et de responsabilités clairement défini relatif à la gestion des données et aux implications de sécurité autour des données est essentielle pour s'assurer que la sécurité n'est pas occultée du processus de prise de décisions. La définition des rôles et des responsabilités est une composante importante de la gouvernance des informations, mais l'ajout de rôles de sécurité, notamment pour déterminer les droits de décision relatifs à l'accès, doit être défini et attribué.

Témoignages

Plus d'une dizaine de demandes de renseignements récentes de clients indiquent que les entreprises ont entamé des initiatives de gouvernance des données, de gouvernance des informations, de gestion du cycle de vie des informations et/ou de gestion des données maîtresses, mais qu'elles n'impliquent pas les équipes en charge de la sécurité des informations. Une table ronde des analystes utilisateurs organisée au Symposium/ITxpo, avec 11 participants occupant divers rôles liés au risque informatique et à la sécurité des informations chez des clients dans six secteurs verticaux, confirme les problèmes constants pour convaincre les propriétaires des données d'entreprise d'impliquer la sécurité des informations dans la prise de décisions. Une étude de Gartner Research sur la gouvernance des données, la gouvernance des informations, la gestion du cycle de vie des informations et/ou la gestion des données maîtresses fournit une perspective supplémentaire. Si le risque est mentionné dans l'étude revue, le concept de la sécurité des informations est rarement mentionné (si tant est qu'il le soit) en tant que facteur ou contrainte.


Légende des acronymes
EIM : Gestion des informations d'entreprise (Enterprise Information Management)
RACI : Responsabilité, autorité, consultation et information

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis