Récemment, Parimal Patel, responsable des méthodologies quantitatives, Group Risk chez Schroders, a rédigé un excellent blog décrivant les éléments clés d'une politique relative à l 'informatique des utilisateurs finaux (EUC). Les politiques relatives à l'informatique des utilisateurs finaux sont complexes et compter sur des personnes pressées par le temps pour appliquer le véritable esprit de ces directives est non seulement une grande demande, mais aussi un manque de praticité.
La visibilité du paysage EUC et de sa structure est fondamentale pour l'application des politiques EUC. Il est pratiquement impossible de créer manuellement un inventaire fiable et précis des applications EUC au sein de l'organisation. Souvent, les utilisateurs d'EUC sont invités à remplir des formulaires pour fournir des détails sur les EUC qu'ils utilisent et possèdent, mais invariablement, ils ne fournissent que des informations de haut niveau et peuvent même ne pas remplir le modèle dans son intégralité. De plus, le document permettant de compléter l'inventaire des EUC est généralement une autre feuille de calcul !
Utiliser la technologie pour élaborer une politique de l'UE
Avant tout, les systèmes technologiques peuvent faciliter l'adhésion à la politique EUC dans l'ensemble de l'entreprise grâce à la création d'un cadre personnalisé, basé sur la politique EUC spécifique des organisations. Le modèle de saisie de l'inventaire est en fait un document vierge que les organisations peuvent adapter en fonction de leurs propres exigences et objectifs de gestion de l'EUC. Les questions initiales peuvent donc être les suivantes : quel est le type d'EUC (par exemple, Excel, Access, fichier Matlab) et quel est le risque matériel (c'est-à-dire opérationnel, réglementaire, financier, de réputation) de l'application pour l'organisation, en plus de toute autre question spécifique à l'organisation.
Par la suite, en fonction de la réponse aux différentes questions, d'autres requêtes peuvent être formulées - par exemple, si le dossier présente un risque élevé, un plan de déclassement approprié doit être saisi. La technologie peut garantir que ces informations supplémentaires sont saisies par le biais de champs obligatoires afin d'assurer la conformité avec la politique de l'EUC.
Au fur et à mesure que l'on répond aux questions, les informations relatives au département et à la propriété sont également saisies à l'aide d'Active Directory. Cela permet à une organisation de créer une image cohérente et holistique de l'environnement EUC afin de fournir une vue claire des fichiers clés qui existent dans l'organisation. Par exemple, s'il y a 1000 fichiers enregistrés, il y a suffisamment de granularité pour savoir que 100 se trouvent dans le front office, dont 10 sont critiques et deux sont des modèles de tarification.
Bien entendu, les contrôles de la politique de l'UE ne peuvent pas être basés sur une visibilité "ponctuelle" du paysage de l'UE. La technologie permet de disposer d'un inventaire "vivant", et non d'un inventaire actualisé une fois par an, au moment de l'évaluation annuelle. Une application EUC qui présentait un risque moyen au début de l'année peut devenir un risque élevé par la suite - grâce à l'automatisation offerte par les systèmes technologiques, ce changement est automatiquement enregistré et les contrôles de politique requis sont appliqués.
De même, si le propriétaire d'un EUC spécifique quitte l'organisation, les fichiers qui doivent être "ré-homologués" peuvent être facilement signalés. L'évolution constante des pressions réglementaires signifie que des modifications de la politique peuvent également être nécessaires, de sorte que de nouvelles questions doivent être ajoutées au questionnaire d'inventaire. Grâce à la technologie, ces questions peuvent être envoyées automatiquement aux utilisateurs avec une demande d'informations supplémentaires.
Tous les fichiers EUC enregistrés peuvent alors être automatiquement soumis à des normes de gestion et de contrôle des changements basées sur la politique EUC de l'organisation et comprenant la gestion des versions, la supervision de l'accès et le contrôle de la protection, ainsi que des pistes d'audit pour la gestion de la conformité et des risques. Le système facilite également la remédiation ou le déclassement des EUC en fonction de la politique de l'organisation.
Il convient de noter qu'en veillant à ce que les utilisateurs enregistrent les fichiers EUC, la propriété de ces derniers revient à l'entreprise, qui est leur propriétaire légitime. Les fichiers EUC ne doivent jamais relever de la seule compétence des utilisateurs individuels. Une telle situation exacerbe les risques posés par les fichiers EUC critiques pour l'entreprise. L'automatisation offerte par la technologie fournit des garanties intégrées permettant à l'entreprise d'anticiper et d'atténuer tout risque émanant des fichiers critiques. L'adoption de la technologie est le moyen le plus fiable, le plus digne de confiance et le plus rentable en termes de temps et d'argent pour mettre en œuvre la politique de protection des données critiques de l'entreprise.
Découvrir PolicyHub
C'est la solution de gestion des politiques facile à utiliser qui vous permet de renforcer la conformité.
