Réduire la tension entre sécurité des données et automatisation
L’automatisation est en contradiction avec la sécurité des données dans l’entreprise. Pourquoi?
Le nœud du problème
L’automatisation augmente la productivité en exploitant la puissance des machines. De nombreux serveurs peuvent être achetés ou loués dans un cloud pour le prix d’un travailleur humain de l’information. Cependant, l’accès aux données d’entreprise, en particulier compte tenu de la vitesse et des volumes auxquels fonctionnent les machines, viole une myriade de politiques conçues et appliquées pour réduire le risque de prolifération et d’exposition de ces données. J'ai récemment rencontré ces forces contradictoires lors de la construction d'une automatisation.
L'automatisation récupère certaines pages Web internes contenant des mesures d'audience et les insère dans un ensemble de feuilles de calcul. Ensuite, les feuilles de calcul sont déplacées vers un dossier réseau où une deuxième automatisation détecte les nouveaux fichiers et les télécharge vers un emplacement spécifié où mon collègue note toute activité ou tendance nécessitant une attention particulière. Nous l'adorons. Puis, après plusieurs semaines de succès, le projet a échoué en raison d'un secret de sécurité expiré. Notre politique de gouvernance de l’accès aux données exige que certaines informations d’identification système expirent régulièrement. Bon pour la sécurité. Les informations d'identification expirées interrompent l'automatisation. Mauvais pour la productivité.
L’expiration régulière des secrets de sécurité est une bonne pratique évidente, mais est-ce que cela doit nécessairement casser des choses ? L’automatisation fait gagner un temps considérable à mon équipe, mais elle consiste simplement à lire des données à partir d’un emplacement et à les reformater pour une analyse facile dans un autre. L’automatisation doit-elle vraiment fonctionner au même niveau de privilège que moi, un humain ? Il doit y avoir un compromis quelque part.
Compromis
Voici deux options qui me viennent à l’esprit et qui peuvent servir de compromis :
Option A
Émettez un avertissement cinq jours avant l'expiration, ce qui vous laisse le temps de le renouveler avant qu'il ne se passe quelque chose de mal.
Option B
Émettez des informations d’identification de service spécifiques à la tâche d’automatisation avec le moins de privilèges requis.
Considérez l’automatisation comme un autre type d’utilisateur
Les deux options respectent les exigences de sécurité des données de l'organisation, et grâce à un peu de visibilité et de communication accrues entre l'entreprise et les opérations de sécurité (SecOps), une solution prudente et efficace est possible. Un compromis bien raisonné peut atténuer la tension entre les impératifs de sécurité des données et les automatisations augmentant la productivité, et, la plupart du temps, aucune des deux parties n’est perdante, ce qui signifie que l’entreprise gagne.
L’automatisation introduit un nouvel utilisateur dans la gouvernance de l’entreprise, appelé « travailleur de la machine ». Il rassemble les responsables de la mise en œuvre de la politique de sécurité et de l’automatisation. Les organisations qui reconnaissent ce nouvel utilisateur et prennent en compte ses besoins réels de manière plus détaillée échapperont à la tension à somme nulle, établiront des pratiques d’utilisation des données plus sûres et réaliseront les gains commerciaux offerts par les technologies améliorant la productivité.