Sécurité des informations: stratégie d’entreprise

Sécurité

par Eliud Eliizondo Moya

Le niveau de conscience sur la sécurité de l’information dans les organisations est plus élevé que jamais. Cependant, il semble qu’il ne soit pas possible de maintenir suffisamment d’attention à l’avance avec les nouvelles technologies et les nouvelles menaces, qui peuvent être exposées à un risque les actifs les plus importants des entreprises: informations.

la première chose à poser sur la façon dont nous protégeons nos actifs les plus précieux: faisons-nous guider la sécurité de l’information vers le bon chemin?

réponds honnêtement cette question et faire une analyse à cet égard nous aidera à identifier des éléments fondamentaux qui devraient être pris en compte dans une stratégie de sécurité d’entreprise, afin de l’obtenir capable de fournir un bénéfice réel à l’organisation et qui ne sont pas considérés comme une dépense inutile, exclusif des domaines de Technologie de l’information (IT).

Pour faire face à cette question, nous devons élargir notre vision pour découvrir que la sécurité de l’information ne Cela dépend seulement des zones informatiques ou d’un groupe de personnes sélectionné au sein de l’institution, mais se trouve dans chaque composant de l’entreprise.

Para obtener este enfoque es necesario analizar tres grandes temas, los cuales debemos considerar como parte de una estrategia corporativa:

Un programa de gestión de seguridad de la información

Este debe contar con el patrocinio de la alta dirección, con el fin de poder representar y responder a todo le commerce. Rappelons que nous recherchons une gestion adéquate de la sécurité des actifs de l’information et qui sont non seulement trouvées dans les systèmes informatiques, mais devraient également être préoccupées par les espaces physiques de l’ensemble de l’organisation.

Un programme de gestion de la sécurité adéquat doit être aligné sur la stratégie d’entreprise, qui facilite la sécurité d’une entreprise et un élément de réaliser que les risques sont transformés en opportunités. Ce qui précède peut être atteint en définissant une stratégie et un plan d’échéance, grâce à l’analyse des risques de sécurité dans les processus opérationnels, ce qui permet d’identifier les forces, les faiblesses et les exigences en ces.

En outre, il s’agit d’une excellente activité visant à accroître la conscience dans les dirigeants des différents domaines de la société sur les risques et soins existants qu’ils doivent avoir avec les informations qui Dépositaire.

Juste considérer que les forces, les risques et les exigences de sécurité dans chaque processus doivent être identifiés et détaillés par les dirigeants et responsables de la transporter. Les zones informatiques et la sécurité de l’information ne peuvent fonctionner que comme modérateurs de cette activité.

dans ce programme de gestion, des sujets tels que:

· Modèle et gouvernement Gouvernement

· Continuité d’activité (BCP / DRP)

· Analyse et gestion des risques

· Formation et sensibilisation

· Rapports de métriques et de sécurité

Administration des menaces et des vulnérabilités

Security inclut des personnes, des processus et de la technologie. Il convient de noter que ce dernier point joue un rôle très important en raison de la grande quantité d’informations commerciales protégées dans des systèmes informatiques, qui sont transmises via Internet à l’aide de solutions dans le cloud, les sites Web de l’organisation ou le courrier électronique. À plusieurs reprises, ce contenu n’est pas transmis par des moyens fiables et sûrs, il pourrait donc être intercepté ou même modifié pendant l’expédition.

Après la construction du puzzle d’une stratégie de sécurité d’entreprise, nous devons connaître nos forces, identifier les menaces technologiques et aborder les risques auxquels l’entreprise est exposée. Ceci est réalisé en effectuant des évaluations techniques dans l’infrastructure informatique et des systèmes informatiques.

Il est recommandé de ne pas effectuer que cette activité n’est pas effectuée en exécutant un outil simple, mais il s’agit Impliquez des professionnels expérimentés sur le sujet de coordonner les efforts et d’identifier les itinéraires que quelqu’un de malveillance pourrait prendre, dans le but de voler ou de modifier les informations commerciales.

Il est incroyable comment, aujourd’hui, de nombreuses organisations sont exposées à une personne, en moins de 5 minutes, assurant l’identité de tout employé, y compris des membres de la direction, à travers e-mail. Cette situation est très difficile pour un outil de l’identifier clairement; Cependant, une personne ayant des connaissances de piratage très basiques (communément appelées script kiddie), peut le faire facilement quand il n’y a pas de commandes appropriées.

doit être considéré que bien que ces activités Sont techniques, nous devons présenter les forces, les risques et les menaces des niveaux de gestion dans une langue d’activité, ce qui peut être perçu sur la manière dont l’organisation peut être affectée en ne participant pas à ces risques et menaces. Des exemples de ceci sont les dommages à l’image, les sanctions de l’autorité pour la non-conformité, le vol d’argent par le biais du processus de comptabilité payable, etc.

Une administration adéquate de menaces et de vulnérabilités doit inclure:

· Tests de piratage éthique

· Evaluation de l’architecture technologique

· Analyse de sécurité dans les applications et les mobiles

· Sécurité dans le cycle de vie du développement des systèmes informatiques

· Analyse de sécurité en nuage

protection des données, confidentialité et conformité

de la loi fédérale sur la protection des données personnelles Publié en possession d’individus, d’innombrables sociétés – quel que soit leur tour ou leur secteur – ont réalisé des diagnostics de conformité et des améliorations des processus qui nécessitent un traitement ou une gestion de données à caractère personnel; Tout cela afin d’effectuer les ordonnances de ladite loi.

Il est très important de formaliser ce que cela et d’autres lois ou règlements qui recherchent la protection et la confidentialité des données entre les mains d’entreprises; Cependant, il est très courant d’observer la séparation entre les efforts déployés pour protéger les informations critiques de l’entreprise et des données qui doivent être protégées par une obligation d’une loi ou d’une norme.

Il suffit de considérer que les forces, les risques et les exigences de sécurité dans chaque processus métier doivent être identifiés et détaillés par les dirigeants et responsables de la transporter.

Nous ne devons pas isoler la question de la sécurité de l’information; Il est nécessaire de rechercher l’alignement de la stratégie, des processus, du plan d’échéance et du modèle de sécurité avec ces éléments qui nécessitent l’organisation, en particulier ceux liés à la protection et à la confidentialité des données.

En plus de la conformité, il est important de prendre en compte lors de la protection et de la confidentialité des données:

· Un gouvernement de données.

· Le plan de protection, inclus dans la stratégie de sécurité des informations générales.

· le programme de prévention des fuites.

Enfin, vous devez réfléchir sur le chemin qui prend la sécurité des informations au sein de l’organisation et commencez à travailler conjointement avec tous les domaines, Pour définir et exécuter une stratégie plus enable pour la réalisation des objectifs et, bien sûr, de protéger cet actif vital: les informations.

Vues de l’article: 3.377

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *