Sécurité du traitement
En tant qu'organisme responsable au sens de la protection des données, on doit respecter différentes directives de la protection des données en ce qui concerne Sécurité des données à prendre en compte. On dépend souvent de prestataires de services en qui on a confiance. Cette confiance peut conduire à des infractions coûteuses en raison d'un manque de visibilité / de compréhension des activités du prestataire de services et de l'absence de contrats de service.
Dans la pratique, il s'avère qu'il est nécessaire d'utiliser les vérifier de près les mises en œuvre de la sécurité des donnéesLes scénarios typiques sont les suivants :
- Le site Le prestataire de services informatiques ne fournit des prestations que conformément à son mandatCe qui n'est pas commandé n'est pas mis en œuvre. Il n'y a pas d'obligation de conseil, le prestataire de services informatiques ne conseille que ce qu'il veut vendre. Ainsi, il arrive souvent que les concepts et les mises en œuvre soient ponctuels, comme par exemple des concepts de sauvegarde qui n'existent pas ou qui sont incomplets ou dont l'efficacité n'a jamais été testée. Dans ce cas, la perte de données est inévitable. Par exemple, une grande quantité d'e-mails d'une entreprise a été perdue à jamais parce qu'ils n'existaient que localement sur un PC dans des fichiers d'archive Outlook, car Outlook était configuré de telle sorte qu'il supprime les e-mails après leur consultation sur le serveur de messagerie. Ainsi, les e-mails ne sont enregistrés que localement dans un fichier PST. Comme le PC n'a pas été sauvegardé parce que tous les collaborateurs travaillent sur des lecteurs réseau, le fichier PST a été perdu par le remplacement et la suppression du PC.
- Souvent, il y a des rudiments Concepts de sécurité des données qui, au fil du temps par exemple en déménageant des serveurs ou en restructurant l'informatique se perdre. Il arrive ainsi qu'après un déménagement de serveur, le concept de droits soit perdu, avec pour conséquence que chaque utilisateur peut soudain accéder à toutes les structures de dossiers et tout voir, comme par exemple les documents du personnel.
- Sauvegarde Des concepts qui ne fonctionnent plus après des années parce que l'espace de stockage n'était pas suffisant ou qui produisaient des données de sauvegarde erronées qui ne pouvaient pas être restaurées ou qui ne produisaient plus de sauvegarde du tout parce que les structures de dossiers étaient trop imbriquées et ne pouvaient plus être sauvegardées parce que le programme de sauvegarde ne pouvait traiter qu'un nombre limité de longueurs de caractères. Des sauvegardes qui ne sauvegardent plus qu'une partie des données, etc.
- Mises à jour de sécurité une fois par an seulement pour des raisons de coûts.
- Le manque de cryptage ou la rupture de la chaîne de cryptage sont d'autres exemples.
- Sauvegardes dans le même bâtiment qui sont également détruites en cas d'incendie ou d'autres catastrophes.
- Logiciels individuels ou boutiques en ligne qui mettent vos données personnelles à disposition sur Internet de manière non sécurisée ou qui sont vulnérables en raison de l'utilisation de piles logicielles obsolètes. Dans des environnements de test et de production, par exemple des bases de données MySQL accessibles depuis Internet avec des mots de passe standard ou des copies de toutes les données accessibles dans des caches Redis ou des instances Elastic Search sans mécanismes d'autorisation, car ces services auraient dû être découplés d'Internet.
- Souvent, les réseaux d'entreprise forment un grand ensemble, ce qui a pour conséquence que si un appareil réseau quelconque est infecté par un logiciel malveillant, celui-ci peut attaquer tous les participants du réseau. De nos jours, les appareils liés au réseau tels que les routeurs, les caméras, les imprimantes, les projecteurs et les centrales de contrôle des bâtiments sont également des portes d'entrée fréquentes. Dans ce cas, il est possible de séparer la production de l'administration grâce à la segmentation du réseau, ce qui a pour conséquence qu'une infection dans la production ne peut se propager que dans cette zone.
- et bien d'autres choses encore.
On constate régulièrement qu'un manque de sécurité informatique et de sécurité des données peut entraîner des pertes de données coûteuses ou fâcheuses.