Connect with us

Technologie

Groupe de réflexion sur la sécurité : Pensez aux personnes, aux processus et aux systèmes

Published

on


Ce n’est qu’une année inhabituelle à bien des égards. Nous avons dû gérer les demandes continues de notre main-d’œuvre en ce qui concerne leur capacité à travailler à domicile, avec sa dépendance à la technologie qui l’accompagne, et il y a eu une augmentation continue des ransomwares et la bataille en cours pour protéger les données.

Qu’en avons-nous appris? Que nous ne pouvons rien tenir pour acquis et que nous devons comprendre l’impact de la cybersécurité sur l’entreprise, comment engager et responsabiliser la main-d’œuvre, et comment comprendre nos vulnérabilités. Cela nécessite de se concentrer sur trois domaines : les personnes, les processus et les systèmes.

Personnes – aligner la cybersécurité sur l’objectif de l’entreprise

Avec notre dépendance accrue à la technologie pour la croissance, pour changer la façon dont les entreprises livrent et pour permettre un travail efficace à domicile, il est clairement nécessaire d’engager et de responsabiliser le conseil d’administration et la main-d’œuvre en démystifiant le « cyber ».

Cela commence par une conversation sur la façon de développer l’entreprise en toute sécurité dans un monde numérique. Il existe des moyens pratiques de le faire, y compris des exercices de simulation et de demander à la main-d’œuvre d’aider à développer des solutions qui soutiennent explicitement les objectifs de l’entreprise.

Les exercices de simulation se concentrent sur l’impact d’un incident de cybersécurité sur l’entreprise et les décisions qui sont nécessaires. Ils donnent vie à l’action qu’une organisation doit planifier. Lorsqu’un cadre supérieur dit lors d’une simulation de ransomware au niveau du conseil d’administration, « Je n’avais jamais pensé que nous ne serions pas en mesure de payer notre personnel« , vous savez qu’ils en reconnaissent les implications.

Le plus grand défi, cependant, est de s’attaquer à la mentalité « nous » et « eux » qui existe dans de nombreuses organisations, où les employés voient le mot « cyber » comme négatif ou incompréhensible – et un domaine géré par d’autres (« Oh, vous faites de l’informatique »). Cela crée un public aliéné qui ne voit pas en quoi leurs attitudes et leur comportement sont essentiels à une culture de cybersécurité efficace. Pour y remédier, il est d’aligner les objectifs cybernétiques sur l’objectif de l’entreprise en amenant les gens dans la conversation et en se concentrant sur les risques liés à l’entreprise plutôt que sur une discussion technique.

Dans le cas d’une organisation, ils sont fiers du travail qu’ils font pour maximiser la sécurité des citoyens britanniques, de sorte qu’ils ont un fort élément « protéger » à leur culture. Ceci est utilisé pour développer des messages qui engagent la main-d’œuvre à posséder des solutions cybernétiques dans le cadre de leur entreprise.

Processus – me faciliter la vie, s’il vous plaît

Nous parlons constamment d’intégrer la bonne sécurité dans les systèmes et les bons comportements dans nos employés. Il est tout aussi important d’avoir des processus qui encouragent la conformité et permettent aux utilisateurs et aux systèmes de faire plus facilement les bonnes choses. Cela signifie concevoir des processus plus faciles à suivre que de les contourner et les tester régulièrement.

« La leçon de sécurité la plus importante de 2021 était que nous ne devrions pas devenir complaisants. Nous avons fait d’énormes progrès dans l’amélioration de la cybersécurité … mais la course est toujours en cours, les menaces augmentent, et nous devons continuer à améliorer notre cybersécurité pour les atténuer. »

Cate Pye, PA Consulting

Cela prend vie dans un régulateur du secteur public britannique, qui engage les gens à concevoir des processus qui donnent la liberté aux employés d’exploiter de nouvelles méthodes de travail, tout en opérant dans un cadre de sécurité qui protège l’organisation, ses employés et les services fournis.

Cela permettra à l’organisation de réagir plus rapidement aux menaces actuelles et d’intégrer l’agilité de ses processus et de son personnel pour garder une longueur d’avance, qu’il s’agisse d’un ransomware ou de la prochaine menace.

Cela repose sur la nécessité d’apprendre en testant les processus de continuité des activités et en apportant les modifications nécessaires pour mettre à jour ces processus. Cela devrait reconnaître que lorsque la chaîne d’approvisionnement facilite de nombreuses fonctions de l’organisation, les exercices doivent être conjoints et réalistes pour s’assurer qu’il existe un processus en place avant que la crise ne frappe, qui définit clairement les responsabilités et les domaines nécessitant une collaboration.

Systèmes – fournir une architecture et un contrôle

Aller sur le marché pour des solutions peut être un peu comme aller au supermarché. Si vous n’avez pas une idée claire de ce que vous essayez d’atteindre, vous pourriez finir par acheter des ingrédients pour un dessert lorsque vous avez vraiment besoin de cuisiner votre repas principal. De nombreuses organisations ont investi dans de très bons produits pour chacun de leurs besoins, mais elles peuvent ne pas bien fonctionner ensemble. Pour éviter cela, une vision claire de ce dont l’entreprise a besoin et de l’architecture pour la prendre en charge est nécessaire, sinon vous risquez de vous retrouver avec des systèmes incompatibles ou incomplets qui rendent l’intégration coûteuse ou impossible..

Quel que soit le fournisseur de vos systèmes, vous êtes toujours responsable de la protection de vos propres données et de celles de vos clients, il est donc toujours nécessaire de vous assurer que vos contrôles de sécurité fonctionnent et que vous comprenez leurs limites. Bien que de nombreux systèmes disposent de contrôles intégrés et que les fournisseurs de cloud offrent souvent un ensemble de fonctionnalités de sécurité en constante amélioration, vous devez toujours effectuer vos propres vérifications.

Les règles d’or sont de tester vos contrôles et de ne pas supposer qu’ils fonctionnent – par exemple, les sauvegardes ainsi que la protection contre les intrusions, les contrôles et procédures antivirus et administratifs. Ensuite, si vos contrôles nécessitent une configuration, vérifiez que la configuration est correcte par le biais d’un examen par les pairs, d’un audit et de tests.

Dans le même temps, vous devez développer vos contrôles pour répondre aux menaces d’aujourd’hui, en acceptant qu’elles puissent être différentes des menaces d’hier. Dans tout cela, vous ne pouvez pas supposer parce que vous avez des contrôles en place qu’ils vous protègent et que le cloud est le serveur de quelqu’un d’autre, vous devez donc vous assurer que vous avez convenu de responsabilités mutuelles pour protéger vos informations et vos actifs de données.

La leçon de sécurité la plus importante de 2021 était que nous ne devrions pas devenir complaisants. Nous avons fait d’énormes progrès dans l’amélioration de la cybersécurité, et nous devrions prendre un moment pour féliciter nos équipes pour le travail acharné qui y est parvenu. Mais la course est toujours en cours, les menaces augmentent et nous devons continuer à améliorer notre cybersécurité pour les atténuer.


Cate Pye est experte en cybersécurité chez PA Consulting. Consultants Michael Christodoulides, Keith Chappell, Mark Needham et Chris Atkinson ont également contribué à cet article.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance