Sécurité des données – L’importance des agents de sécurité pour les entreprises détenant des données sur leurs clients

This post is also available in:

La semaine dernière, à l’occasion de la Journée de la sécurité des données , nous avons invité Irina Maltseva à parler de la protection des petites entreprises contre la fraude aux paiements. Cependant, nous oublions l’autre aspect important de la sécurité des données dans nos entreprises, et nous ne nous rendons compte de leur importance que lorsque quelque chose va mal. Je parle, bien sûr, des équipes juridiques et de sécurité qui semblent se fondre dans le décor jusqu’à ce qu’il soit temps de dispenser une formation à la sécurité numérique ou qu’il y ait une violation des données.

Toute entreprise qui détient ou accède à des données sensibles de clients doit être consciente de la confiance que leur accordent leurs clients. Vous ne pouvez pas demander à vos clients de vous communiquer leurs informations si vous n’êtes pas conscient de la responsabilité qui vous incombe de préserver la sécurité de ces données.

Simplybook.me est l’une de ces sociétés, et nous accordons une attention particulière à la manière dont nous stockons et accédons à ces informations. Nous avons notre responsable juridique et de la sécurité, ainsi qu’un autre responsable de la sécurité de l’information, qui veillent à ce que nous soyons toujours dans le droit chemin.

Présentation de nos agents de sécurité

Veuillez montrer votre appréciation à notre personnel de sécurité pour son incroyable dévouement à son travail. Voici Georgia, notre responsable juridique et de la sécurité, et Maryna, notre consultante en sécurité de l’information.

Nous leur avons posé quelques questions sur ce qu’ils font au quotidien et sur la façon dont ils se tiennent au courant des exigences.

Géorgie

Que faites-vous ?

Je combine les deux rôles de responsable juridique et de responsable de la sécurité. Ma principale responsabilité est de veiller à la maintenance de notre système de gestion de la sécurité de l’information, Certifié ISO 27001:2013 . En termes simples, je dois comprendre comment nous utilisons les données et comment nous les transférons dans notre organisation. Il doit voyager en toute sécurité et avec des technologies appropriées.

Comment assurez-vous la conformité avec la sécurité des données et les lois qui les protègent ?

La première étape consiste à s’assurer que nous nous tenons au courant des modifications apportées aux lois applicables et à voir comment celles-ci s’appliquent à nos activités commerciales. Ensuite, nous devons communiquer avec nos experts en informatique et apporter toute amélioration à nos contrôles de sécurité établis. La conformité exige un suivi quotidien et cohérent des opérations commerciales et des contrôles en place, avec une communication interne régulière.

Comment suivez-vous les changements, etc. ?

Je surveille principalement les sites web des organismes de réglementation concernés. En outre, je suis d’autres chaînes :

• Je suis les organisations et les professionnels du secteur sur LinkedIn,
• Abonnez-vous aux organisations pertinentes et, dans la mesure du possible,
• Assistez à des conférences ou à des webinaires en ligne pour vous former ou créer des réseaux.

Nous évaluons les changements importants et les présentons à la direction générale. Nous travaillons ensuite ensemble pour apporter les modifications nécessaires à nos contrôles de sécurité établis.

Comment faire en sorte que chacun sache comment assurer la sécurité des données ?

• Chaque nouvelle recrue suit une formation d’initiation/de premier jour.
• Chaque année, tous les employés doivent suivre une formation intensive sur la sécurité et la confidentialité des données.
• Nous effectuons des audits annuels au cours desquels nous vérifions que les employés respectent les politiques et les procédures.

D’une manière générale, on est convaincu que chacun comprend l’importance de respecter les politiques et procédures internes en matière de sécurité des données. Cependant, comme l’entreprise s’est développée, nous avons commencé à mettre en place un rappel continu des pratiques et procédures de sécurité tout au long de l’année. Nous avons récemment commencé à utiliser un outil de formation qui envoie à tous les employés des rappels mensuels et des mises à jour des politiques tout au long de l’année.

Maryna

Que faites-vous ?

J’ai le rôle de consultant en sécurité de l’information. Je contribue, comme Georgia, à ce que la sécurité de l’information dans l’entreprise réponde aux exigences des normes internationales, notamment la norme ISO 27001.

Mes principales responsabilités sont :

• S’assurer que les exigences de conformité connexes sont prises en compte, par exemple, les règlements et contrôles de sécurité associés à la norme ISO 27001:2013.
• Assurer des processus appropriés d’atténuation des risques et de contrôle des incidents de sécurité, le cas échéant.
• Documenter et diffuser les politiques, procédures et directives en matière de sécurité de l’information.
• Contribuer à la coordination de l’élaboration et de la mise en œuvre du programme de formation et de sensibilisation à la sécurité de l’information.
• Aider à coordonner une réponse à des violations réelles ou suspectées de la confidentialité, de l’intégrité ou de la disponibilité des actifs informationnels.
• Contribuer à l’inventaire des actifs de l’entreprise, par exemple en tenant le registre des actifs matériels.
• Réalisation d’audits de sécurité de l’information planifiés et non planifiés, conformément à la norme ISO 27001 ou à d’autres normes.
• Participer à l’élaboration de plans de continuité des activités et à l’évaluation des risques.

Comment suivez-vous les changements ?

Afin d’améliorer mes connaissances, je contacte parfois mes anciens collègues dans ce domaine pour échanger des informations, je lis des articles présentant de nouvelles mises en œuvre de contrôles de sécurité et j’essaie de participer à divers événements de formation.

Sécurité des données dans le(s) système(s)

Bien que nos responsables juridiques et de la sécurité passent la plupart de leur temps à s’occuper de l’aspect humain de la sécurité des données, leurs recherches et leurs conclusions influencent également la manière dont nous traitons les données au sein du système SimplyBook.me (et, bien sûr, SimplyMeet.me et SBPay.me).

Notre équipe de sécurité a travaillé très dur pour s’assurer que notre système et nos politiques respectent strictement les lois entourant le GDPR et d’autres politiques plus localisées aux États-Unis et en Australie. Chacun doit avoir sa propre version des lois sur la protection des données et de la vie privée, avec des ajustements et des changements mineurs. Toutefois, la quasi-totalité des différentes versions des lois sur la protection des données couvrent le même terrain.

Il incombe à Georgia et Maryna de veiller à ce que nos normes en matière de sécurité des données et de respect de la vie privée soient conformes aux lois de chaque pays où l’on utilise notre système pour conserver les données des clients.

Importance de la sécurité des données et de la confidentialité, pour nous et pour vous

Nous nous engageons à garantir la confidentialité des données de nos clients. Cependant, nous sommes également très conscients que nos politiques de sécurité des données vous concernent, vous et vos clients. Vous êtes tous aussi importants les uns que les autres, qu’il s’agisse de l’exploitant unique d’une entreprise de coiffure ou de la clinique médicale qui traite des informations sensibles sur ses patients. Si votre entreprise enregistre des informations sur les clients, nous devons être en mesure de garantir la sécurité des données que vous promettez à vos clients.

Réfléchissez à ce qu’il pourrait vous en coûter de payer des dommages et intérêts pour une violation de la confidentialité des données. Cela peut être beaucoup et suffisant pour paralyser votre entreprise. Sans parler des clients qui pourraient ne pas vouloir revenir après un tel incident. En choisissant une entreprise dotée d’une équipe de sécurité bien établie et de nombreux dispositifs de sécurité gratuits, vous vous protégez des dangers d’une entreprise non protégée et vous permettez à vos clients de vous faire confiance.

Merci, Georgia et Maryna. Votre travail acharné est très apprécié et valorisé.