Accueil > Conseil et formation > Sécurité numérique et informationnelle > Cadres de sécurité de l’information

Cadres de sécurité de l’information

Audits de cybersécurité

L’approche informationnelle d’abord

Il existe une idée fausse répandue parmi les organisations de la société civile selon laquelle il existe un ensemble objectif de mesures qu'elles devraient prendre pour être « sécurisées ». De nombreux fournisseurs de sécurité numérique encouragent cela en promouvant les audits comme moyen de comprendre vos vulnérabilités. Ces prestataires recommandent ensuite des solutions technologiques génériques à leurs clients. Ceux-ci ont l’avantage d’être facilement spécifiés et livrables dans un délai et un budget bien définis ; cependant, ils n'offrent qu'une « illusion de sécurité » : ils sont presque toujours inappropriés et parfois dangereux.

Notre approche diffère des solutions génériques existantes. Elle est basée sur les risques et centrée sur l’information. Nous nous concentrons sur vos actifs informationnels ainsi que sur leur valeur et les dommages potentiels qu'ils présentent, plutôt que d'auditer les configurations des appareils et les pratiques de sécurité numérique par rapport à des normes potentiellement arbitraires.

Vous devez garder à l’esprit que pour qu’une analyse et un cadre des lacunes en matière de sécurité de l’information soient efficaces, il est d'essentielles que votre organisation dispose des éléments nécessaires :

  • Membre(s) du personnel ayant la responsabilité et l'autorité déléguées en matière de sécurité de l'information.
  • Des ressources, notamment du temps, à consacrer au processus et à tout travail ultérieur.
  • Reconnaissance de la part de la haute direction qu'ils devront soutenir et être directement impliqués dans le processus pour qu'il soit un succès.

Nous pouvons discuter de la meilleure façon de procéder si une ou plusieurs de ces exigences ne sont pas actuellement en place dans votre organisation.

Le processus

Nous allons compléter un simple analyse des écarts et développer une cadre de sécurité de l'information avec vous, fondé sur des principes éprouvés de sécurité de l'information. Le cadre consiste en un accord politique et un provisoire ligne de base.

La politique est un simple document de deux pages couvrant la gouvernance et la mise en œuvre de la sécurité de l'information. La base de référence est composée de :

  • Registre d'informations : Les actifs informationnels de votre organisation, leur valeur et leurs dommages potentiels, ainsi que les mesures en place pour les protéger.
  • Registre technologique : Les exigences et la mise en œuvre des appareils et des services en ligne de votre organisation.
  • Dépôt de documents : Toutes les politiques, procédures et autres documents pertinents existants, le cas échéant.
  • File d'attente de priorité: Une liste hiérarchisée des activités et des projets de sécurité des informations que votre organisation souhaite réaliser.

Pour créer ces éléments, nous vous guiderons à travers les étapes suivantes :

  1. Offrir une sécurité des informations de deux heures atelier à tout le personnel.
  2. Création de la première version de votre référence via tout ou partie des éléments suivants :
    • Réalisation d'un revision de document de vos politiques, manuels, etc.
    • Exécuter un ou plusieurs ateliers avec les groupes concernés de parties prenantes au sein de votre organisation.
    • Conduite interviews avec le personnel clé ayant des responsabilités en matière de sécurité de l’information, y compris les cadres supérieurs.
    • Fournir modèles pour tous les registres à compléter avec notre point de contact désigné au sein de votre organisation.
  3. Mener une analyse des lacunes du cadre et partager nos conclusions de manière rapport et présentation à votre équipe de direction et à votre conseil d’administration, le cas échéant.
  4. Convenir d'un politique de sécurité de l'information avec vos hauts dirigeants.

À la fin du processus, vous comprendrez clairement où se trouvent les lacunes de votre cadre de sécurité de l’information et aurez commencé à les combler grâce aux registres et à la politique requis.

Prochaines étapes

Le cadre est essentiel fondation pour une gouvernance et une mise en œuvre efficaces et durables de la sécurité de l’information dans votre organisation. Parmi les différents éléments, c'est le File d'attente de priorité cela vous aidera à décider de l’ordre optimal des activités à réaliser lorsque les ressources le permettront à l’avenir. Votre file d'attente prioritaire comprendra l'élaboration de mesures visant à protéger vos actifs informationnels qui présentent les dommages potentiels les plus importants, ainsi que des procédures adaptées à des circonstances spécifiques pertinentes pour votre organisation, telles que le franchissement de frontières internationales. Ces mesures peuvent inclure :

  • Livre: Les politiques et les procédures
  • Personnes: Responsabilités et pratiques du personnel
  • Technologie: Exigences technologiques et mise en œuvre

Nous pouvons vous aider à décider sur quoi vous concentrer ensuite et vous fournir des devis si vous avez besoin de notre soutien pour l’une de ces activités.

Comprenez les lacunes critiques dans la gouvernance et la mise en œuvre de la sécurité de l'information de votre organisation, et comblez-les !Click To Tweet

Open Briefing est une entreprise sociale certifiée et un membre de
le CIVICUS alliance mondiale de la société civile et Vuka! coalition