Réduire les risques liés au travail à domicile et à l'informatique fantôme lors de la conférence COVID-19

Les politiques relatives à l'informatique de l'utilisateur final (EUC) sont complexes, et s'en remettre à des personnes pressées par le temps pour appliquer ces directives n'est pas seulement une lourde tâche, c'est aussi un manque de praticité. Qu'est-ce qui vient d'aggraver ce défi ? La relocalisation d'un grand nombre d'employés d'entreprise vers le travail à distance.

Comme le souligne PricewaterhouseCoopers dans une nouvelle étude sur la cybersécurité, ces EUC, ou "Shadow IT", représentent une source de risque certaine pendant la période COVID-19, contre laquelle il est recommandé de prendre des mesures spécifiques :

Contrôler l'informatique parallèle et orienter les utilisateurs vers des solutions approuvées.

Examiner les journaux de trafic web pour surveiller l'utilisation de l'informatique parallèle (par exemple, le partage de fichiers, la vidéoconférence et les outils de collaboration), et travailler à la mise en œuvre et au transfert des utilisateurs vers des solutions approuvées et sécurisées par l'entreprise (par exemple, en utilisant des courtiers en sécurité d'accès au nuage et le filtrage par proxy web).

Les processus manuels ne permettent pas de dresser un inventaire des CUE.

La première étape qu'une entreprise doit franchir pour minimiser ses risques est d'inventorier ses actifs informatiques fantômes. Mais quelles mesures les gestionnaires de risques doivent-ils prendre pour dresser un inventaire correct des EUC ? Pour commencer, chaque EUC doit être clairement défini : dans quel logiciel est-il intégré ? Et selon la politique de l'entreprise, quelle est sa criticité ? Ensuite, il faut désigner les propriétaires, les validateurs, l'inventaire des EUC critiques pour l'entreprise sous lequel l'application en question devrait être enregistrée, etc. Étant donné que, dans toute organisation, le nombre d'EUC peut atteindre des centaines, voire des milliers, le respect manuel et précis de la politique EUC pour chaque application est une tâche considérable.

Cette approche est naturellement sujette à l'erreur humaine. Souvent, les utilisateurs sont invités à remplir des formulaires pour fournir des détails sur les EUC qu'ils utilisent et possèdent, mais invariablement, ils ne fournissent que des informations de haut niveau et peuvent même ne pas fournir un ensemble complet de réponses. De plus, le document permettant de dresser l'inventaire des EUC est généralement...une autre feuille de calcul !

Utilisation de la technologie pour le respect de la politique de l'UE pendant la conférence COVID-19

Avec la transition soudaine vers le travail à domicile ou à distance, vous pouvez facilement imaginer les complications que cela entraîne en ce qui concerne le nombre d'EUC et d'actifs dispersés - et le risque qui en découle.

Les systèmes technologiques offrent les meilleures chances de conformité avec la politique EUC dans l'ensemble de l'entreprise, grâce à la création d'un cadre personnalisé basé sur la politique EUC spécifique de l'organisation. Ces systèmes sont réalisables même à des moments comme celui-ci, avec une main-d'œuvre distribuée, et constituent un besoin plus urgent que pendant les périodes "normales".

Un Modèle d'inventaire EUC du fournisseur de technologie est livrée en blanc à l'organisation cliente, qui peut ainsi l'adapter en fonction de leurs propres besoins et des objectifs de gestion de l'EUC. Les questions initiales peuvent donc être les suivantes Quel est le type d'EUC (par exemple, Excel, Access, fichier Matlab) ? Quel est le risque matériel (c'est-à-dire opérationnel, réglementaire, financier, de réputation) de l'application pour l'organisation ? Ainsi que d'autres questions spécifiques à l'organisation.

En fonction de la réponse aux différentes questions, d'autres requêtes peuvent être nécessaires - par exemple, si le dossier présente un risque élevé, un plan de déclassement approprié doit être saisi. La technologie peut garantir que ces informations supplémentaires sont saisies dans des champs obligatoires afin d'assurer la conformité avec la politique de l'EUC.

Au fur et à mesure que l'on répond aux questions, les informations relatives au département et à la propriété sont également saisies à l'aide d'Active Directory. Cela permet à une organisation de créer une image cohérente et holistique de l'environnement EUC afin de fournir une vue claire des fichiers clés qui existent dans l'organisation. Par exemple, si un millier de fichiers sont enregistrés, la granularité est suffisante pour savoir que cent d'entre eux se trouvent sur des appareils distants, dont dix sont critiques et deux sont des modèles de tarification.

La flexibilité et les avantages d'une approche de l'UE basée sur la technologie

Bien entendu, les contrôles de la politique de l'UE ne peuvent pas être basés sur une visibilité "ponctuelle" du paysage de l'UE. Il est essentiel que la technologie aide à soutenir un inventaire "vivant" qui est toujours à jour, et non pas un inventaire qui n'est à jour qu'au moment de l'évaluation annuelle. Une application EUC qui présentait un risque moyen au début de l'année peut potentiellement devenir un risque élevé parce qu'elle est maintenant utilisée à distance, dans un contexte de sécurité différent. Grâce à l'automatisation offerte par les systèmes technologiques, ce changement est automatiquement enregistré et les contrôles de politique requis sont appliqués.

Si le statut de la main-d'œuvre change - qu'il s'agisse d'un passage à une utilisation à distance ou d'un retour au bureau - tout changement de politique peut être pris en compte dans le questionnaire, qui peut ensuite être envoyé automatiquement aux employés. De même, si un propriétaire d'EUC quitte l'organisation, les fichiers qui doivent être "ré-homogénisés" peuvent être facilement signalés. En raison de l'évolution constante des pressions réglementaires, des modifications de la politique peuvent également s'avérer nécessaires, de sorte que de nouvelles questions doivent être ajoutées au questionnaire d'inventaire. Avec la technologie adéquate, ces questions peuvent également être envoyées automatiquement aux utilisateurs avec une demande d'informations supplémentaires.

Tous les fichiers EUC enregistrés peuvent alors être automatiquement soumis à des normes de gestion et de contrôle des changements basées sur la politique EUC de l'organisation et comprenant des éléments tels que la gestion des versions, la supervision de l'accès et le contrôle de la protection, ainsi que des pistes d'audit pour la gestion de la conformité et des risques. Le système facilite également la remédiation ou le déclassement des EUC en fonction de la politique de l'organisation.

Il peut offrir une visibilité complète sur les processus de conformité des employés et une compréhension détaillée des documents non structurés, des systèmes et des applications dont les individus dépendent dans le cadre de leurs activités quotidiennes. Il facilite en toute sécurité l'attestation et l'examen, l'établissement de rapports réguliers et l'auditabilité complète jusqu'à la gouvernance du modèle afin de réduire les risques.

L'adoption de la technologie est le moyen le plus fiable, le plus sûr, le plus rapide et le plus rentable de gérer l'ensemble de l'environnement EUC dans les organisations - de la création d'une politique EUC et de son respect jusqu'à la gestion des risques de modèle pour la conformité réglementaire. Aujourd'hui, alors que les employés sont contraints de travailler à distance, cette approche est plus pertinente et nécessaire que jamais.