Accueil > Blog > Une approche simple pour protéger vos informations : partie 5

Une approche simple pour protéger vos informations : partie 5

Introduction

L'approche décrite jusqu'à présent dans cette série sur la sécurité de l'information se compose de quatre questions comme suit :

  1. Quelles sont vos informations les plus précieuses et les plus sensibles ?
  2. Où sont ces informations ?
  3. Où doivent se trouver ces informations ?
  4. Quel objectif de sécurité de l’information cherchez-vous à atteindre ?

Ces questions vous aideront à hiérarchiser les informations, à réduire la surface d'attaque et à déterminer l'objectif des mesures de sécurité que vous mettrez en œuvre. La cinquième et dernière question est la suivante :

  1. Quelles mesures de sécurité contribueront à atteindre l’objectif identifié ?

Les mesures

Les mesures de sécurité des informations se répartissent globalement en trois catégories :

  1. Papier. Politiques, procédures et lignes directrices.
  2. Gens. Rôles, responsabilités et pratiques.
  3. Technologie. Exigences et mise en œuvre.

Il est essentiel que pour chacun de vos actifs informationnels les plus précieux et les plus sensibles, une combinaison de mesures dans les trois catégories soit prise en compte. En outre, les mesures doivent être complémentaires et se renforcer mutuellement. Si les mesures sont considérées isolément, elles peuvent être contradictoires ou entrer en conflit les unes avec les autres et risquer de compromettre vos objectifs de sécurité.

Un exemple concret de mesures potentiellement contradictoires est celui d’une organisation qui adopte la papier mesure d’une politique interdisant le recours au chiffrement de bout en bout afin d’assurer la disponibilité d'informations en cas de départ d'un membre de l'équipe, tout en exigeant en même temps que le personnel mette en œuvre technologie des mesures pour protéger les confidentialité des communications entre les appareils, même si le fournisseur de services est compromis.

Papier

Les mesures papier consistent en des mesures de haut niveau politiques et plus détaillé procédures sur la manière dont les informations doivent être gérées. Ils peuvent également inclure lignes directrices ou d'autres conseils qui complètent les politiques et procédures officielles.

Une façon pratique de démarrer le processus de rédaction est de commencer par une approche ascendante. Cela commence par capturer ce qui est actuellement fait dans la pratique par les membres de l'équipe et la technologie qu'ils utilisent pour obtenir les informations les plus prioritaires. Une fois que cela est connu, vous pouvez le rendre officiel sans changement ou vous pouvez introduire des améliorations durables et progressives pour produire la première version. Les procédures identifiées de cette manière peuvent être promues en politiques une fois qu’elles sont considérées comme permettant d’atteindre suffisamment l’objectif identifié.

Même si la mise à jour des politiques nécessite généralement un processus plus complexe, les procédures peuvent généralement être mises à jour à condition qu'elles restent compatibles avec la politique approuvée. Néanmoins, il est important que les révisions ne soient pas si fréquentes au point de faire du suivi de la procédure une cible mouvante pour les membres de l'équipe.

Axé sur

Le papier n’est pas la réalité, il faut que les gens le mettent en œuvre. Une manière pratique de commencer est de procéder de manière descendante. Au minimum, le directeur exécutif aura globalement responsabilité pour la sécurité des informations de l'organisation ; cependant, il est peu probable qu’ils aient la capacité, l’expérience et l’expertise nécessaires pour gérer cela au quotidien. La délégation est donc essentielle.

La responsabilité quotidienne peut être déléguée à un particulier rôle. Cela ne rend pas la personne occupant ce rôle responsable de la sécurité des informations de l'organisation, mais elle mettra plutôt en œuvre la politique et veillera à ce que les procédures soient suivies, par exemple. Ils peuvent en outre déléguer à d'autres rôles, tels que ceux de gestionnaires de programme ou de propriétaires d'informations désignés. La délégation, à tout niveau, doit s'accompagner d'une articulation claire des numériques disponible et tout rapports exigences (telles que les manquements à la conformité).

Dans un monde parfait, les gens mettraient en œuvre toutes les politiques et procédures et assumeraient toutes les responsabilités liées à leur rôle. Malheureusement, la réalité n’est pas comme ça. En regardant ce que font réellement les gens pratique en matière d'information est essentielle. Notez que les membres de l’équipe ne se conforment pas à la politique ou commettent des erreurs dans la mise en œuvre des procédures peuvent indiquer que certains éléments ne sont pas pratiques ou inadaptés. Ainsi, plutôt que des mesures disciplinaires, un manquement à la conformité peut être mieux géré par un examen des mesures sur papier, par exemple.

Technologie

Le rôle de la technologie dans les ONG modernes a tendance à être déterminé par les caractéristiques. Mais plutôt que de commencer par les fonctionnalités des appareils et services potentiels, puis d'essayer de les sécuriser par la suite, vous devriez plutôt commencer par votre exigences. Ces exigences doivent englober à la fois les fonctions dont vous avez besoin et les propriétés de sécurité souhaitées. Ce n'est que lorsque vous aurez entièrement spécifié vos besoins que vous pourrez envisager les solutions appropriées. la mise en oeuvre (c'est-à-dire l'appareil ou le service que vous pourriez utiliser). Notez que certaines implémentations peuvent avoir des fonctionnalités qui vont au-delà de vos besoins, et les risques liés à la sécurité des informations devront être pris en compte – ce n’est pas parce que vous n’utilisez pas une fonctionnalité que les adversaires ne le feront pas si cela leur permet d’atteindre leurs objectifs.

Par exemple, vous aurez peut-être besoin de communiquer et de recevoir des informations d’un collègue en temps réel. Cela exclut le courrier électronique, mais les appels téléphoniques, les SMS, les vidéoconférences et la messagerie instantanée répondraient à cette exigence. Cependant, vous pourriez également être amené à communiquer ces informations de manière confidentielle. Cela exclut en outre les appels téléphoniques et les SMS, mais les services de vidéoconférence et de messagerie instantanée qui implémentent correctement le cryptage de bout en bout pourraient répondre à vos besoins. Vous pouvez ensuite explorer des services spécifiques à la lumière d'autres exigences, telles que le coût ou la facilité d'utilisation.

Dans l'exemple ci-dessus, les exigences du service de communication sont les suivantes : temps réel, crypté de bout en bout, rentable et facile à utiliser ; cependant, toutes ces exigences ne sont peut-être pas réalisables avec les services (implémentations) disponibles sur le marché, et vous devrez peut-être déterminer quels facteurs sont les plus importants ou si plusieurs technologies et un ajustement des procédures peuvent compenser. (Notez que ces exigences sont inadéquates car elles ne concernent que les informations en mouvement, et ne considérons pas la sécurité des informations in utilisé sur les appareils et at reste lorsque les appareils sont éteints.)

Conclusion

Une fois que vous avez déterminé les mesures papier, les personnes et les technologies les plus appropriées pour atteindre vos objectifs de sécurité, vous devez les enregistrer dans un File d'attente de priorité. Cette simple liste peut être utilisée pour prioriser le déploiement des mesures à la lumière des ressources disponibles (temps et fonds) et pour suivre ce qui est achevé, en cours et ce qui reste à faire.

Pour les organisations qui ne savent pas par où commencer à améliorer la sécurité de leurs informations, cette série d’articles fournit à la fois un point de départ et une approche systématique pour aborder ce sujet difficile à l’avenir. Sans savoir quelles sont vos informations les plus précieuses et les plus sensibles, comment pouvez-vous être sûr de les sécuriser ? Sans savoir où elles se trouvent et où elles devraient être, comment pouvez-vous être sûr d’avoir mis les mesures aux bons endroits et au bon moment ? Sans connaître l’objectif de vos mesures de sécurité de l’information, comment pouvez-vous savoir si vous l’avez atteint ou si vous le compromettez ? Et sans donner la priorité ni consacrer des ressources à des mesures de sécurité spécifiques, comment protégerez-vous correctement vos informations précieuses et sensibles ?

Cette approche est très différente de la sécurité numérique, qui se concentre sur la mise en œuvre de mesures générales – généralement basées sur la technologie. La sécurité numérique est essentielle à la sécurité de l’information mais elle n’est pas suffisante. L'approche de la sécurité de l'information est basée sur le risque et plus complexe, mais cette complexité est là pour une bonne raison : elle est conçue pour empêcher les adversaires de compromettre vos informations précieuses et sensibles !