Le NIST Cadre de confidentialité, finalisé plus tôt cette année, est un ensemble de lignes directrices visant à aider les organisations à gérer les risques liés à la confidentialité. Créé par Institut national des normes et de la technologie (NIST), le cadre de confidentialité établit une compréhension commune et un ensemble de pratiques pour améliorer les postures de confidentialité des données et réduire les risques – et peut servir de base sur laquelle les organisations construisent leurs programmes de confidentialité.
Les programmes traditionnels de sécurité des données ne suffisent plus à gérer les préoccupations en matière de confidentialité des données, à se conformer aux réglementations et à protéger les données des consommateurs. Ils doivent être coordonnés avec des programmes de confidentialité des données spécifiques et, ensemble, renforcer la sécurité de l'ensemble du paysage des données.
Les principaux objectifs du cadre de confidentialité du NIST sont les suivants :
- Aider les organisations à améliorer leurs normes de confidentialité des données grâce à la gestion des risques d'entreprise
- Fournir aux organisations un ensemble de lignes directrices qui traitent des pratiques actuelles en matière de confidentialité
- S'adapter aux changements et aux défis à venir que présentent les nouvelles réglementations sur la confidentialité des données
- S'aligner sur le cadre de cybersécurité du NIST
La confidentialité repose sur la sécurité : cadre de cybersécurité du NIST
Le cadre de confidentialité du NIST complète le cadre de cybersécurité existant du NIST (CSF), qui offrent tous deux des étapes permettant aux organisations d'adopter une position plus ferme en matière de risque, de confidentialité et de sécurité.
Le Cadre de cybersécurité du NIST (CSF) a été initialement élaboré pour combler les lacunes des normes tierces en matière de cybersécurité, afin de contribuer à la lutte contre le problème émergent (et croissant) des cyberattaques et des fuites de données, tout en maintenant une approche de défense en profondeur. Ces lignes directrices ont été élaborées pour favoriser un état d'esprit commun, favoriser l'harmonisation et mieux armer les organisations afin de développer des postures de sécurité solides face aux risques accrus.
Le CSF permet aux organisations d'évaluer et de perfectionner leur capacité à prévenir, détecter et répondre aux cyberattaques. Tout cela au nom de la protection des données, afin de minimiser les risques et de mettre en place un programme de cybersécurité durable.
Le succès et l’accueil ont été si bons qu’ils ont alors décidé de créer un cadre de confidentialité – sous forme de lignes directrices parallèles et complémentaires pour gérer vie privée risque.
Ensemble, ces deux cadres sont conçus pour aider les entreprises à prioriser et à développer la bonne stratégie en matière de confidentialité et de protection des données, et à combler le fossé entre confidentialité et sécurité.
Éléments de base pour la confidentialité des données
Le CSF du NIST se divise en cinq fonctions principales : Identifier, protéger, détecter, réagir et récupérer. Le cadre de confidentialité adopte la même structure, mais se concentre plutôt sur les fonctions clés pour Identifier, gouverner, contrôler, communiquer et protéger.
Identifier: Développer la compréhension organisationnelle pour gérer les risques liés à la confidentialité des personnes découlant du traitement des données.
Dans le cadre de la fonction d’identification, les organisations doivent être en mesure de connaître leurs données pour faire un inventaire précis et cartographier leurs données (ainsi que l'ensemble de leur environnement commercial), évaluer les risques et obtenir une vue unique pour une visibilité complète sur leurs données, où qu'elles se trouvent.
Afin d'identifier efficacement les risques liés aux données traitement, les organisations devraient adopter une approche de découverte en profondeur pouvoir créer un inventaire des données traitées, enregistrer la finalité du traitementet identifier les données à haut risque.
Gouverner: Développer et mettre en œuvre la structure de gouvernance organisationnelle pour permettre une compréhension continue des priorités de gestion des risques de l’organisation qui sont éclairées par le risque lié à la confidentialité.
La fonction de gouvernance souligne la nécessité d’une stratégie de gestion des risques solide : afin de gérer les risques, les organisations doivent identifier les exigences réglementaires et de conformité, établir un flux de travail politiques, mettre en œuvre des politiques de conservation des données et établir des critères de qualité des données.
Contrôle: Développer et mettre en œuvre des activités appropriées pour permettre aux organisations ou aux individus de gérer les données avec une granularité suffisante pour gérer les risques liés à la confidentialité.
La fonction de contrôle du Cadre de confidentialité du NIST souligne la nécessité de politiques, de processus et de procédures de traitement des données. La première étape pour y parvenir consiste à créer un inventaire unifié des données, cartographiant toutes les données, partout, ainsi qu'un catalogue de données Permet de gérer, de surveiller et de suivre facilement les données traitées. Les organisations peuvent ensuite intégrer des outils d'intelligence d'accès pour identifier qui peut (et qui doit) accéder aux données personnelles et sensibles, appliquer et faire respecter les politiques relatives aux données sensibles, et obtenir une visibilité complète sur leurs environnements de données pour gérer efficacement les risques.
Communiquer: Développer et mettre en œuvre des activités appropriées pour permettre aux organisations et aux individus d'avoir une compréhension fiable et d'engager un dialogue sur la manière dont les données sont traitées et les risques associés à la confidentialité
Les organisations doivent pouvoir communiquer sur les données traitées et leurs finalités, garantissant ainsi la transparence de la collecte et du traitement des données. Elles doivent également être en mesure de rendre compte des données traitées (et de leurs finalités). surveiller (et divulguer) le partage des données, signaler et valider la suppression des données, et être en mesure d'identifier et d'avertir les individus si leurs données ont été compromises lors d'une violation.
Protéger: Développer et mettre en œuvre des garanties appropriées en matière de traitement des données.
Afin de protéger les données personnelles et sensibles, les organisations doivent établir des pratiques de sécurité de base, identifier et gérer les risques, et maintenir des politiques cohérentes pour protéger les données sensibles et personnelles. Cela va de l'élaboration de plans de réponse aux incidents à la gestion et à la surveillance proactives des données sensibles dans toute l'organisation, qu'il s'agisse de données au repos ou en mouvement. Il est essentiel de pouvoir gérer et surveiller l'accès aux données sensibles, de protéger les données vulnérables contre les fuites de données et les cyberattaques potentielles, et de pouvoir appliquer automatiquement les violations de politiques.
Un cadre pour la gestion de la confidentialité
Alors que les réglementations en matière de confidentialité et de protection des données continuent d’évoluer, il est plus important que jamais d’établir un cadre de gestion de la confidentialité.
Les réglementations allant du SHIELD Act de New York au CCPA en passant par le RGPD de l'UE soulignent l'importance d'établir un programme de confidentialité qui non seulement s'aligne sur la sécurité, mais qui peut également s'adapter à l'évolution des définitions des données sensibles :
« Une catégorie de données personnelles que nous considérons aujourd'hui comme de faible valeur pourrait avoir une toute nouvelle utilité dans quelques années », déclare Naomi Lefkovitz, conseillère principale en matière de politique de confidentialité au NISTIl se peut aussi que vous ayez deux catégories de données qui ne sont pas sensibles individuellement, mais que leur regroupement puisse soudainement les rendre sensibles. C'est pourquoi il est nécessaire d'avoir un cadre de gestion des risques liés à la confidentialité, et pas seulement une liste de tâches : il vous faut une approche qui vous permette de réévaluer et de vous adapter en permanence aux nouveaux risques.
BigID est spécialement conçu pour l'ère de la confidentialité : en tant que plate-forme moderne d'intelligence des données fondée sur la découverte en profondeur, BigID s'aligne sur les cadres de confidentialité pour offrir une conformité durable en matière de confidentialité, une protection des données exploitable et une intelligence des données de nouvelle génération. Découvrez comment BigID s'intègre au cadre de confidentialité du NIST avec une démonstration en direct – et apprenez à agir pour la confidentialité, la protection et la perspective.