.svg){kind=small}
Mercredi 17 avril 2024 par KLD Team
KLDiscovery a atteint une performance record en 2023 grâce à des investissements stratégiques, y compris l'expansion de la sécurité de l'information et des données. Dans notre précédent billet, nous avons publié le premier volet d'une série visant à mettre en lumière notre personnel, nos processus, notre technologie et notre innovation, en montrant comment chacun d'entre eux a contribué à notre succès historique. Dans ce billet, nous nous intéressons plus particulièrement à la sécurité des informations et des données de KLDiscovery avec Linda Baynes, directrice de la gouvernance informatique, du risque et de la conformité.
Nous avons interrogé Linda sur le paysage actuel de la sécurité de l'information et sur la façon dont une combinaison d'investissements continus dans la protection des données et la promotion d'une culture d'amélioration continue et d'innovation permet à KLDiscovery de rester à la pointe de l'industrie.
 |
"À une époque où les violations de données continuent de proliférer, KLDiscovery est un modèle d'excellence dans le domaine de la sécurité de l'information.Linda Baynes, directrice de la gouvernance informatique, du risque et de la conformité |
Alors que la sécurité de l'information continue d'évoluer, quels sont les développements récents les plus importants ?
Les cybermenaces continuent d'évoluer à mesure que les acteurs malveillants trouvent des moyens plus sophistiqués de lancer des attaques contre les individus et les organisations. Les équipes de sécurité de l'information, comme celle de KLDiscovery, déploient des technologies et des pratiques pour empêcher ces attaques d'avoir un impact sur nos environnements et pour maintenir la confidentialité, l'intégrité et la disponibilité des données de l'entreprise et de ses clients. Ceci étant dit, l'élément le plus important à comprendre en matière desécurité de l'information et de protection des données est le rôle que jouent tous les membres de l'équipe. S'assurer que chaque employé sait qu'il est une cible potentielle pour une attaque de cybersécurité et qu'il sait comment se protéger et protéger KLDiscovery est notre meilleure défense. Alors que nous continuons à investir dans l'extension de notre système de gestion de la sécurité de l'information (SGSI) avec de nouvelles technologies et de meilleures pratiques pour faire face à un paysage de cybermenaces en constante évolution, nos employés et leur engagement à faire leur part pour identifier et signaler les menaces potentielles sont des facteurs clés de la réussite de notre programme de sécurité.
Quelles sont les questions les plus fréquemment posées par les clients et les prospects en matière de sécurité de l'information ?
Sans aucun doute, les questions les plus fréquentes concernent les contrôles d'accès. Les clients et les prospects veulent savoir qui a accès à leurs données, comment l'accès est accordé ou refusé, si l'accès est limité géographiquement et quels sont les rapports disponibles concernant l'accès à leurs données. Nous avons mis en place des contrôles rigoureux, notamment des comptes d'utilisateurs uniques, des exigences strictes en matière de mots de passe, l'authentification multifactorielle, la mise en liste blanche des applications, etc.
Parmi les investissements qui ont permis à KLDiscovery d'atteindre une année record en termes de revenus en 2023, il y a eu l'ajout de six nouvelles certifications et conformités en matière de sécurité de l'information. Qu'est-ce qui a motivé ces ajouts ?
Il n'est pas habituel d'ajouter six nouvelles certifications et conformités à l'empreinte de sécurité et de conformité d'une organisation. La décision d'obtenir ces nouvelles certifications a été prise en premier lieu pour répondre aux besoins de sécurité de nos clients, qui comprennent des prestataires de soins de santé, des compagnies d'assurance, des institutions financières, des cabinets d'avocats et leurs clients. Nous fournissons à nos clients une multitude de services de gestion des données, allant de larécupération des données et de la gestion des bandes à l'eDiscovery, en passant par laréponse aux cyberincidents et lesenquêtes. L'un de nos rôles les plus importants est de traiter les données de nos clients de manière à maintenir les protections réglementaires et légales qu'ils sont tenus de déployer sur leurs données.
Les nouvelles certifications visent à fournir à nos clients et aux parties prenantes la preuve, par des auditeurs tiers indépendants et des professionnels de la sécurité de l'information, que le SGSI et les pratiques de KLDiscovery ont été conçus et mis en œuvre conformément aux mêmes cadres de sécurité que ceux que nos clients sont tenus d'administrer.
Le secteur de l'administration de la preuve électronique est en constante évolution. Non seulement la technologie change, mais aussi la portée et l'étendue des services que nous fournissons à nos clients pour les aider à gérer leur besoin d'identifier les informations pertinentes, d'analyser leur importance et de fournir les informations appropriées aux clients, aux tribunaux, aux tiers et à d'autres personnes. Les certifications et les statuts de conformité vérifiés que nous avons obtenus en 2023, ainsi que les certifications et les conformités standard que nous maintenons depuis des années, donnent aux clients l'assurance que KLDiscovery ne se repose pas sur ses succès passés, mais investit dans toutes les parties de l'organisation, y compris la sécurité de l'information, pour répondre aux besoins futurs.
KLDiscovery a embauché 335 nouveaux membres de l'équipe et promu 124 employés en 2023. L'une de ces embauches ou promotions a-t-elle concerné l'équipe chargée de la sécurité de l'information ?
Oui, et je suis ravi de la croissance de l'équipe de sécurité de l'information, tant du côté de la conformité que des opérations. Depuis que j'ai été promu à mon poste actuel en 2021, nous avons plus que doublé le nombre d'auditeurs de risques et de conformité au sein de notre équipe de conformité. Cette embauche supplémentaire visait à préparer l'obtention de nouvelles certifications, notamment la loi fédérale sur la gestion de la sécurité de l'information (FISMA), le programme fédéral de gestion des risques et des autorisations (FedRAMP) et l'échange d'évaluation de la sécurité de l'information (TISAX). Nous avons obtenu le statut FISMA - NIST 800-171 Audited Compliance en 2023. En 2024, nous avons lancé nos efforts de certification FedRAMP et TISAX et travaillons actuellement avec des auditeurs tiers indépendants dans le cadre du processus de certification.
Nous investissons également dans la maturation de notre programme de gestion des fournisseurs tiers avec l'embauche d'un analyste dédié à la conformité de la sécurité de l'information et à la gestion des fournisseurs et l'automatisation de notre processus en utilisant une plateforme de gouvernance, de risque et de conformité (GRC) construite sur mesure. La gestion des fournisseurs tiers est un domaine qui préoccupe nos clients. Étant donné que bon nombre des violations les plus importantes sont dues à une attaque réussie contre un fournisseur de la cible, il est devenu indispensable de s'assurer que les fournisseurs d'une entreprise travaillent de manière sécurisée, en particulier au cours des cinq dernières années.
Trois membres de mon équipe s'attachent à répondre aux questionnaires d'évaluation de la sécurité des clients, aux demandes de renseignements sur les exploits et à d'autres questions de diligence raisonnable. Cinq membres de mon équipe se concentrent sur une série d'activités liées aux risques et à la conformité, notamment la gestion des risques, la gestion des fournisseurs, les audits des clients, les audits des agences de certification et les audits internes. L'équipe chargée des demandes de renseignements des clients sur la sécurité de l'information (ICI) a récemment accueilli un nouveau membre basé en Grèce. KLDiscovery étant une société internationale dont la clientèle s'étend dans le monde entier, il était important pour moi d'ajouter un membre de l'équipe basé dans la région EMEA afin de nous permettre de fournir une assistance plus dispersée géographiquement et d'accroître la diversité de notre équipe. Avec des membres de l'équipe de sécurité de l'information répartis entre les États-Unis et l'EMEA, nous disposons de la bande passante nécessaire pour répondre aux demandes des clients non seulement dans les délais impartis, mais aussi dans une perspective locale, en tirant parti des compétences culturelles et linguistiques de l'équipe.
Qu'est-ce qui distingue la sécurité de l'information de KLDiscovery, en particulier des autres entreprises du secteur ?
Les équipes qui soutiennent notre SGSI ont des années d'expérience dans leurs domaines d'expertise et nous travaillons en collaboration pour identifier les problèmes qui peuvent survenir et agir rapidement pour contrer les vulnérabilités potentielles. De plus, la culture inclusive de KLDiscovery encourage un échange d'idées riche, favorisant un environnement où l'innovation prospère. Les dirigeants de KLDiscovery et l'ensemble du programme ISMS disposent d'une quantité impressionnante de connaissances et d'idées sur la sécurité de l'information et des données. Nous comprenons que la protection des données de nos clients et de nos environnements est primordiale pour notre capacité à servir nos clients. C'est la raison pour laquelle nous surveillons constamment notre environnement et nos pratiques afin d'améliorer ce que nous faisons, que ce soit au niveau de l'application, du soutien au projet ou du réseau. Notre personnel est un élément central du déploiement d'une technologie de pointe et d'un excellent service à la clientèle.
À une époque où les violations de données continuent de proliférer, KLDiscovery se présente comme un phare d'excellence dans le domaine de la sécurité de l'information. Grâce à un mélange méticuleux d'acquisition de talents, de progrès technologiques et de formation qui va bien au-delà des exigences minimales, nous soulignons notre engagement à fournir une protection des données à une base de clients mondiale.
En tant qu'avocat diplômé, pourriez-vous nous parler de votre parcours depuis la faculté de droit jusqu'à votre carrière dans la sécurité de l'information et la conformité chez KLDiscovery ?
Lorsque j'ai obtenu mon doctorat en droit à la faculté de droit de l'université d'Akron et mon master en administration des affaires à la faculté de commerce de l'université d'Akron, je n'envisageais pas de devenir directeur de la GRC, je m'intéressais plutôt au droit des sociétés. Après avoir passé l'examen du barreau de Virginie occidentale, j'ai commencé à chercher un emploi dans des cabinets d'avocats locaux. J'ai accepté un poste d'avocat contractuel dans le service de révision de documents d'un cabinet dont le siège social mondial se trouve dans ma ville natale de Wheeling, en Virginie-Occidentale, tout en postulant à d'autres opportunités.
Ce poste temporaire s'est rapidement transformé en mon premier poste de chef d'équipe d'avocats à temps plein, qui m'a ensuite permis de devenir chef d'équipe d'avocats, puis directeur adjoint des opérations du groupe Discovery Analytics & Review Services. Mon expérience de l'examen de l'eDiscovery au sein de l'entreprise s'est développée au fur et à mesure que je supervisais plus de 25 avocats chefs d'équipe, 10 assistants juridiques et des équipes composées de 2 à plus de 200 avocats contractuels travaillant sur plus de 30 dossiers simultanément. Ma charge de travail allait des affaires de contrefaçon de brevet à fort enjeu et des litiges relatifs aux titres adossés à des créances hypothécaires résidentielles à défendeurs multiples aux litiges en matière d'emploi et de travail et autres litiges en col blanc. J'ai présidé le comité pour la diversité et l'inclusion et j'ai servi de mentor au sein du cabinet. En outre, et peut-être avec un peu de recul, j'ai siégé au conseil consultatif de la société qui allait devenir KLDiscovery, où j'ai participé au développement de nouveaux produits d'eDiscovery, de caractéristiques de la plateforme et de fonctionnalités des outils.
Après 5 ans au sein de l'entreprise, j'étais prêt à explorer d'autres opportunités et j'ai décidé d'accepter une mission de consultant contractuel au sein de l'entreprise qui allait devenir KLDiscovery, en réorganisant le processus de demande de propositions (RFP). Heureusement, j'ai rapidement évolué vers un rôle de consultant en découverte à temps plein et j'ai pu embaucher un autre consultant en découverte. Au fur et à mesure que l'équipe s'agrandissait, j'ai commencé à m'intéresser à la sécurité de l'information afin de pouvoir répondre aux questions des clients. C'est à ce moment-là que j'ai demandé à l'équipe chargée de la sécurité de l'information si elle accepterait de travailler avec moi et j'ai été ravie de voir qu'elle accueillait ma demande à bras ouverts, partageant généreusement avec moi ses connaissances en matière de sécurité de l'information. En collaborant avec l'équipe de sécurité de l'information, j'ai commencé à comprendre divers domaines et comment KLDiscovery gérait et déployait la sécurité des données.
Mon intérêt et ma capacité à élargir ma base de connaissances en matière de gouvernance de la sécurité de l'information ont jeté les bases qui ont permis mon transfert vers l'équipe de sécurité de l'information, où j'ai ensuite été promue à mon poste actuel. Pour moi, cela illustre l'une des choses que j'aime chez KLDiscovery, à savoir que nos collaborateurs vivent les valeurs de notre entreprise. J'avais envie d'utiliser mes expériences et mes connaissances professionnelles pour soutenir l'entreprise d'une manière différente et, avec l'aide des autres, j'ai trouvé une voie pour y parvenir.
Comment l'évolution de votre rôle chez KLDiscovery a-t-elle reflété l'évolution du paysage de la sécurité de l'information ?
Mon rôle dans la gouvernance, le risque et la conformité se situe à l'intersection du juridique, de la sécurité de l'information et des opérations commerciales d'eDiscovery/de récupération des données. La confidentialité des données et la cybersécurité étant de plus en plus préoccupantes pour les individus et les agences gouvernementales, il y a eu une augmentation marquée du développement de lois et de règlements sur la confidentialité des données qui s'appliquent aux entreprises, qu'elles opèrent dans des secteurs hautement réglementés ou non. Pour s'assurer que KLDiscovery répond aux nouvelles exigences de conformité et reste à la pointe de l'évolution du paysage de la cybersécurité, je m'appuie non seulement sur des conversations avec des clients issus de divers secteurs, mais aussi sur ma formation et mon expérience juridiques, ainsi que sur mon expérience de la gouvernance de la sécurité de l'information et de l'administration de la preuve électronique dans le monde réel.
Qu'appréciez-vous le plus chez KLDiscovery ?
Tout d'abord, j'apprécie les personnes et laculture de KLDiscovery. J'ai une merveilleuse équipe de direction qui est accessible et qui me soutient, et mes collaborateurs directs sont talentueux, intelligents et assidus. Je fais partie du One Fingerprint Business Resource Group de KLDiscovery et je trouve gratifiant de faire connaître les histoires des membres de l'équipe au reste de l'organisation, en reconnaissant leurs contributions uniques tout en encourageant la collaboration au sein d'une équipe dispersée dans le monde entier et en soulignant tout ce que nous avons en commun, quel que soit l'endroit où nous résidons dans le monde.
Deuxièmement, l'organisation dans son ensemble est tournée vers l'avenir et l'innovation. J'adore apprendre et c'est un endroit idéal pour rester à la pointe de la technologie. Il y a toujours quelque chose de nouveau qui se passe alors que nous continuons à croître et à nous développer pour répondre aux besoins changeants de nos clients.
Vous avez récemment été nominée pour le Gayle O'Connor Spirit Award. Pourriez-vous nous en dire plus sur ce prix et sur ce que cette nomination a signifié pour vous ?
LeGayle O'Connor Spirit Award est un prix décerné par les pairs et, bien que je ne sache pas qui m'a nominée, je suis honorée et touchée par le fait que quelqu'un ait pris le temps de soumettre ma candidature. Ce prix est décerné en hommage à ceux qui font preuve d'enthousiasme, de mentorat, d'amitié et d'un esprit encourageant qui inspire, éduque ou promeut les intérêts communs et la cohésion des professionnels de l'eDiscovery, de la technologie juridique, de la gouvernance de l'information, de la cybersécurité et de la confidentialité des données. Pour moi, cette nomination confirme que le travail que mon équipe et moi-même effectuons chez KLDiscovery fait une différence significative dans notre industrie. J'en suis extrêmement reconnaissant.
Nous remercions Linda d'avoir partagé son temps et son expertise pour présenter les coulisses de KLDiscovery, en soulignant l'expérience, les réalisations et les contributions qu'elle et son équipe ont apportées à l'avancement de la sécurité de l'information chez KLDiscovery.
Qu'il s'agisse de renforcer notre équipe avec des talents internationaux ou de mettre en œuvre les dernières certifications, KLDiscovery fait preuve d'un dévouement inébranlable à l'excellence en matière de sécurité de l'information et des données. En investissant à la fois dans la technologie et dans les experts qui savent comment l'exploiter pleinement, nous continuons à renforcer nos offres pour protéger les données des clients et cultiver un environnement où chaque membre de l'équipe est habilité à contribuer à notre succès collectif. Cette approche globale garantit que l'année record que nous avons connue en 2023 n'était pas une réussite isolée, mais une base solide pour une excellence durable en matière de service et de sécurité.
Restez à l'écoute pour d'autres articles sur les personnes et les investissements à l'origine du succès continu de KLDiscovery.