Introduction
Dans la première partie de notre nouvelle série sur la sécurité des informations, nous avons présenté une approche simple pour vous aider à archiver, sauvegarder ou détruire une grande partie des informations susceptibles de vous inquiéter. Vous pouvez ensuite concentrer votre énergie (et vos ressources limitées) sur le déploiement de mesures de sécurité appropriées pour les informations avec lesquelles vous travaillez. Tout d’abord, dans cet article, nous devons vous aider à répondre :
- Quelles sont vos informations les plus précieuses et les plus sensibles ?
La sécurité de l’information est en passe de devenir l’un des problèmes les plus importants auxquels sont confrontées les organisations caritatives modernes. Malheureusement, ces préoccupations ne se traduisent pas en actes. Cette situation résulte de plusieurs facteurs :
- La grande quantité d’informations déjà accumulées.
- La création et l’acquisition incontrôlées d’informations à l’avenir.
- Manque de ressources (ou manque d’allocation budgétaire à la sécurité de l’information).
- Refus ou incapacité de changer.
- J'espère que quelques outils protégeront tout de toutes les attaques possibles.
- Confusion sur ce qu'il faut faire.
Il est essentiel de commencer le plus tôt possible car le défi ne fera que s'accroître chaque jour qui passe. La réalité est qu’il ne sera pas possible de protéger toutes vos informations contre toutes les manières possibles de les compromettre, et vous devez donc établir des priorités. La première étape consiste à identifier ce que vous essayez de protéger et pourquoi.
Pour résoudre ce problème, il est souvent utile de distinguer deux types d’actifs informationnels en fonction du rôle qu’ils jouent au sein de votre organisation :
- Opérationnel: Assurer le fonctionnement administratif de votre organisation.
- Stratégique: Réaliser le changement souhaité par votre organisation dans le monde.
Cette distinction peut comporter quelques zones d'ombre, mais en général, c'est un bon moyen de partitionner les actifs informationnels de votre organisation afin qu'ils puissent être traités séparément.
La première étape consiste à identifier ce que vous essayez de protéger et pourquoi.Click To TweetValeur
La sécurité de l’information est souvent présentée sous un jour négatif. Par exemple, elle est souvent perçue comme prohibitive en interdisant certaines manières de travailler ou d’utiliser certains outils appréciés des gens. Il est également souvent perçu comme un dictateur, imposant des contraintes et rendant le travail des gens plus difficile qu'il ne devrait l'être. Si telle est votre perception, il est probable que les conseils que vous avez reçus jusqu'à présent n'aient pas pris en compte un élément essentiel : le Plus-value l’information joue dans votre travail.
Certaines de vos informations auront de la valeur dans le fonctionnement efficace de votre organisation, comme la paie ou les ressources humaines. Il est probable que les obligations juridiques et financières joueront un rôle important dans la solution visant à protéger ces informations opérationnelles. D’autres informations étayeront votre travail de plaidoyer. Le simple fait de mettre en évidence un problème ne gagnera pas l’adhésion du public ou des personnes au pouvoir que vous cherchez à influencer ; les preuves de votre position sont essentielles à un plaidoyer réussi. À ce titre, ces informations sont nécessaires pour atteindre vos objectifs stratégiques.
L’information stratégique n’est pas statique. Il doit être partagé avec les bonnes personnes et utilisé pour créer de nouvelles informations, telles que des rapports, des infographies et des campagnes qui trouveront un écho auprès d'un public cible. Les activités impliquant des actifs informationnels de grande valeur peuvent être menées de manière moins sécurisée lorsqu'elles sont justifiées par le désir de réaliser la pleine valeur stratégique d'un actif. Cependant, même si vous recevrez du crédit lorsque les choses se passeront bien, vous devrez également accepter la responsabilité si les choses ne se passent pas comme prévu. Par conséquent, outre la valeur, vous devez considérer le nuire cela pourrait arriver si les choses tournent mal.
Nuire
Les organisations caritatives qui s’efforcent d’apporter des changements positifs dans le monde ne sont pas perçues par tous sous un jour positif. Changer le statu quo signifie inévitablement que certains, satisfaits de la situation actuelle, seront menacés par vos actions. Même si les préjudices potentiels peuvent parfois se limiter à des sentiments négatifs ou à l’apathie, certaines conséquences peuvent être bien plus graves. Même si certaines de vos activités peuvent être basées sur des informations accessibles au public, d'autres peuvent nécessiter la contribution de sources confidentielles. Les lanceurs d’alerte qui fournissent des preuves d’actes répréhensibles sont souvent les plus exposés aux risques.
Il faut tenir compte du risque pris par les personnes qui travaillent avec vous. Ceux qui vous confient des informations méritent une certaine protection de votre part. Vous devez considérer les dommages potentiels qui pourraient découler d’une compromission de la sécurité de ces informations. Ces conséquences peuvent aller d’inconvénients à d’éventuelles amendes réglementaires pour votre organisation ; ils peuvent également inclure la source qui perd son emploi ou même fait face à des poursuites pénales. Dans les cas les plus graves, la source ou un membre de votre personnel peut faire face à des représailles pour ses actes sous forme de blessures, d'enlèvement, de torture ou de mort.
Même s’il est essentiel que vous réfléchissiez au pire des cas, toutes vos informations n’entraîneront pas ces graves préjudices si elles sont compromises. Il faut donc également considérer probabilité lors de la priorisation de vos actifs informationnels.
Probabilité
On dit souvent que la sécurité est trop coûteuse et prend beaucoup de temps lorsqu’elle n’est pas nécessaire, mais qu’elle est très bon marché et rentable lorsqu’elle est requise. Malheureusement, nous ne pouvons jamais savoir avec certitude quand cela sera nécessaire et nous devons donc procéder systématiquement sur la base du risque plutôt que de la certitude. Déterminer la probabilité qu’un événement se produise n’est pas une science, mais ce n’est pas non plus arbitraire.
Quand il s'agit de Plus-value d’informations, vous devez déterminer à la fois la valeur potentielle qu’elles pourraient avoir et le moment où vous prévoyez réaliser cette valeur potentielle. Par exemple, il est peu probable que des informations conservées pendant des années sans être utilisées aient une grande valeur pour votre organisation à l’avenir. Cela ne veut pas dire que les informations n'ont pas de valeur intrinsèque, mais plutôt que leur valeur peut être moindre par rapport aux autres activités et priorités planifiées de votre organisation.
Si vous préférez nuire, de nombreux facteurs peuvent déterminer si quelque chose est susceptible de se produire ou non. Vous devez vous demander qui est l’adversaire, quel mal il a l’intention d’infliger et s’il a les capacités pour infliger ce mal. Vous devrez également juger s’ils causeraient réellement le préjudice même s’ils étaient en mesure de le faire. Par exemple, une publicité négative peut dissuader certains acteurs – par exemple les entreprises – d’agir d’une manière particulière, tandis que d’autres acteurs – comme les gouvernements, les gangs du crime organisé et les groupes de pression bruyants – peuvent ne pas avoir de telles inhibitions.
Prochaines étapes
Vous devez prendre en compte les différents types d’informations que vous détenez et chercher à mieux comprendre à la fois leur valeur pour votre travail et les dommages que cela pourrait vous causer, ainsi qu’à autrui, si un attaquant les compromettait.
Bien qu’il existe un certain nombre de systèmes possibles de notation des risques qui pourraient être utilisés pour décider par où commencer, une approche simplifiée est généralement préférable à ce stade. L’approche peut devenir plus sophistiquée et détaillée si nécessaire au fil du temps. Le diagramme ici présente quatre grandes catégories d’actions basées sur la valeur et les inconvénients potentiels de vos différents actifs informationnels.
Les informations ayant une faible valeur et un faible potentiel de préjudice doivent être prises en compte pour archivage sécurisé, tandis que les informations de faible valeur mais à fort potentiel de préjudice doivent être prises en compte pour destruction sécurisée. Les informations de grande valeur présentant un faible potentiel de préjudice pourraient bénéficier d’un sauvegardes sécurisées pour se protéger contre la destruction ou la modification accidentelle ou malveillante.
Les informations de grande valeur susceptibles d'entraîner des dommages graves sont un peu plus complexes et constituent un bon point de départ pour commencer à déployer des informations appropriées. mesures de sécurité. Si vous ne souhaitez pas ou ne pouvez pas apporter la moindre amélioration à la sécurité de vos informations les plus sensibles et les plus précieuses, vous devez alors vous demander pourquoi ? (Est-ce parce que vous ne pouvez pas identifier cette information ?)
Si vous ne souhaitez pas ou ne pouvez pas apporter la moindre amélioration à la sécurité de vos informations les plus sensibles et les plus précieuses, vous devez alors vous demander pourquoi ?Click To TweetConclusion
En considérant la valeur et les préjudices potentiels de vos informations opérationnelles et stratégiques ainsi que la probabilité que cette valeur ou ces préjudices se réalisent, vous devriez également être en mesure de prendre certaines mesures sur la base de cette évaluation initiale, notamment :
- Archivage sécurisé.
- Sauvegarde sécurisée.
- Destruction sécurisée.
Vous aurez alors archivé, sauvegardé ou détruit une grande partie des informations qui ont pu vous poser des inquiétudes. C'est un point de départ fantastique ! Vous pouvez désormais concentrer votre énergie (et vos ressources limitées) sur le déploiement de mesures de sécurité appropriées pour les informations les plus précieuses et les plus sensibles avec lesquelles vous travaillez. Dans le prochain article, nous vous aidons dans un premier temps à répondre à la question : où se trouvent ces informations ?