Réduire les risques liés au travail à domicile et à l'informatique fantôme lors de la conférence COVID-19

Les politiques relatives à l'informatique de l'utilisateur final (EUC) sont complexes, et s'en remettre à des personnes pressées par le temps pour appliquer ces directives n'est pas seulement une lourde tâche, c'est aussi un manque de praticité. Qu'est-ce qui vient d'aggraver ce défi ? La relocalisation d'un grand nombre d'employés d'entreprise vers le travail à distance.

Comme l'a souligné PricewaterhouseCoopers dans un nouvelle étude sur la cybersécuritéDans le cadre de COVID-19, ces EUC, ou "Shadow IT", représentent une source de risque certaine, contre laquelle ils recommandent des mesures spécifiques :

Contrôler l'informatique parallèle et orienter les utilisateurs vers des solutions approuvées.

Examiner les journaux du trafic web pour surveiller l'utilisation de l'informatique parallèle (par exemple, le partage de fichiers, la vidéoconférence et les outils de collaboration), et s'efforcer de mettre en œuvre et d'orienter les utilisateurs vers des solutions approuvées et sécurisées par l'entreprise (par exemple, en utilisant des courtiers en sécurité d'accès au nuage et le filtrage par proxy web).

Les processus manuels ne permettent pas de dresser un inventaire des CUE.

La première étape qu'une entreprise doit franchir pour minimiser ses risques est d'inventorier ses actifs informatiques fantômes. Mais quelles mesures les responsables de la gestion des risques doivent-ils prendre pour rassembler les actifs de l'informatique fantôme ? a approprié l'inventaire des CUE ?  Tout d'abord, chaque EUC doit être clairement défini : dans quel logiciel est-il intégré ? Et selon la politique de l'entreprise, quelle est sa criticité ? Ensuite, il faut désigner les propriétaires, les validateurs, l'inventaire de l'EUC critique pour l'entreprise sous lequel l'application en question devrait être connectée, et ainsi de suite. Étant donné que, dans toute organisation, le nombre d'EUC peut atteindre des centaines, voire des milliers, le respect manuel et précis de la politique EUC pour chaque application est une tâche considérable.

Cette approche est naturellement sujette à l'erreur humaine. Souvent, les utilisateurs sont invités à remplir des formulaires pour fournir des détails sur les EUC qu'ils utilisent et possèdent, mais invariablement, ils ne fournissent que des informations de haut niveau et peuvent même ne pas fournir un ensemble complet de réponses. De plus, le document permettant de dresser l'inventaire des EUC est généralement...une autre feuille de calcul !

Utilisation de la technologie pour le respect de la politique de l'EUC lors de la conférence COVID-19

Avec la transition soudaine vers le travail à domicile ou à distance, vous pouvez facilement imaginer les complications que cela entraîne en ce qui concerne le nombre d'EUC et d'actifs dispersés - et le risque que cela représente.

Les systèmes technologiques offrent les meilleures chances de conformité avec la politique EUC dans toute l'entreprise, grâce à la création d'un cadre personnalisé basé sur la politique EUC spécifique de l'organisation. Ces systèmes sont réalisables même dans des moments comme celui-ci, avec une main-d'œuvre distribuée, et sont les suivants un besoin plus urgent que pendant les périodes "normales".

Un Modèle d'inventaire EUC du fournisseur de technologie est livrée en blanc à l'organisation cliente, qui peut ainsi l'adapter en fonction de leurs propres besoins et des objectifs de gestion de l'EUC. Les questions initiales peuvent donc être les suivantes Quel est le type d'EUC (par exemple, Excel, Access, fichier Matlab) ? Quel est le risque matériel (c'est-à-dire opérationnel, réglementaire, financier, de réputation) de l'application pour l'organisation ? Ainsi que d'autres questions spécifiques à l'organisation.

En fonction de la réponse aux différentes questions, d'autres requêtes peuvent être nécessaires - par exemple, si le dossier présente un risque élevé, un plan de déclassement approprié doit être saisi. La technologie peut garantir que ces informations supplémentaires sont saisies dans des champs obligatoires afin d'assurer la conformité avec la politique de l'EUC.

Au fur et à mesure que l'on répond aux questions, les informations relatives au département et à la propriété sont également saisies à l'aide d'Active Directory. Cela permet à une organisation de créer un une image cohérente et holistique du paysage de l'EUC afin de fournir une vision claire des fichiers clés qui existent dans l'organisation. Par exemple, si un millier de fichiers sont enregistrés, la granularité est suffisante pour savoir que cent d'entre eux se trouvent sur des appareils distants, dont dix sont critiques et deux sont des modèles de tarification.

La flexibilité et les avantages d'une approche de l'UE basée sur la technologie

Bien entendu, les contrôles de la politique de l'UE ne peuvent pas être basés sur une visibilité "ponctuelle" du paysage de l'UE. Il s'agit d'un point crucial, permet de soutenir un inventaire "vivant" qui est toujours d'actualité, et non pas une application qui n'est à jour qu'au moment de l'évaluation annuelle. Une application EUC qui présentait un risque moyen au début de l'année peut potentiellement devenir un risque élevé parce qu'elle est maintenant utilisée à distance, dans un contexte de sécurité différent. Grâce à l'automatisation offerte par les systèmes technologiques, ce changement est automatiquement enregistré et les contrôles de politique requis sont appliqués.

Si le statut de l'effectif change - qu'il s'agisse d'un passage à une base à distance ou d'un retour à une base à distance. en au bureau - tout changement de politique peut être intégré dans le questionnaire, qui peut ensuite être envoyé automatiquement aux employés. De même, si un propriétaire d'EUC quitte l'organisation, les fichiers qui doivent être "ré-homologués" peuvent être facilement signalés. Les pressions réglementaires en constante évolution signifient que les modifications de la politique peuvent également Les informations supplémentaires peuvent être demandées, de sorte que de nouvelles questions doivent être ajoutées au questionnaire d'inventaire. Avec la bonne technologie, ces questions peuvent également être envoyées automatiquement aux utilisateurs avec une demande d'informations supplémentaires.

Tous les fichiers EUC enregistrés peuvent alors être automatiquement soumis à des normes de gestion et de contrôle des changements basées sur la politique EUC de l'organisation et comprenant des éléments tels que la gestion des versions, la supervision de l'accès et le contrôle de la protection, ainsi que des pistes d'audit pour la gestion de la conformité et des risques. Le système facilite également la remédiation ou le déclassement des EUC en fonction de la politique de l'organisation.

Il peut offrir une visibilité complète sur les processus de conformité des employés et une compréhension détaillée des documents non structurés, des systèmes et des applications dont les individus dépendent dans le cadre de leurs activités quotidiennes. Il facilite en toute sécurité l'attestation et l'examen, l'établissement de rapports réguliers et l'auditabilité complète jusqu'à la gouvernance des modèles afin de réduire les risques.

L'adoption de la technologie est le moyen le plus fiable, le plus sûr, le plus rapide et le plus rentable de gérer l'ensemble de l'environnement EUC dans les organisations - de la création d'une politique EUC et de son respect jusqu'à la gestion des risques de modèle pour la conformité réglementaire. Aujourd'hui, alors que les employés sont contraints de travailler à distance, il s'agit là d'un défi majeur pour les entreprises. plus pertinent et plus nécessaire que jamais.