L’impératif de la cyberconformité : Rapprocher les employés de la technologie (Partie III de IV) | Le groupe juridique Volkov

Publié le 13 juillet 2023 par Mycamer

Il est facile de se perdre dans le monde technologique de la cybersécurité – le secteur des technologies de l’information s’appuie sur de nombreux acronymes, termes techniques et terminologie spécifique à la fonction. En répondant à un profil de risque lié à la cybersécurité et à la sécurité des données, les profanes s’attendent à entendre beaucoup parler de solutions axées sur la technologie. En fait, beaucoup de temps est consacré à l’examen, à l’évaluation et à la sélection de solutions spécifiques à intégrer dans un cadre de sécurité global.

Les responsables de la sécurité de l’information qui s’appuient sur ces solutions, sans tenir compte de l’élément humain, manquent l’ingrédient le plus important de tout programme de cyberconformité. Juste pour énoncer une autre compréhension profonde de l’évidence – les humains/employés sont responsables de l’exécution des fonctions commerciales et, en fin de compte, un programme de cyberconformité doit intégrer des contrôles solides axés sur l’humain.

Cela ressemble à beaucoup de charabia. Permettez-moi d’essayer de résumer cela. Les humains doivent concevoir et mettre en œuvre des contrôles axés sur la cybersécurité. Les humains doivent communiquer sur ces contrôles pour s’assurer que tout le monde suit les protocoles spécifiques. Les professionnels de la cybersécurité ont démontré de solides compétences interpersonnelles, même s’ils opèrent dans un domaine hautement technique.

Le succès d’un programme de conformité en matière de cybersécurité dépend des personnes. Dans la mesure où les capacités et les fonctions de sécurité intègrent l’« élément » humain, meilleures sont les chances de succès. En fin de compte, ce sont les gens qui assurent le succès de la sécurité et les performances à long terme.

La conception d’un système de sécurité doit améliorer les performances des employés en leur apprenant à comprendre les contrôles de sécurité, à identifier les anomalies potentielles, à répondre de manière appropriée aux menaces potentielles et à fonctionner conformément aux contrôles existants. Les contrôles de sécurité peuvent sembler bons sur le papier, mais c’est la façon dont ils sont mis en œuvre et suivis dans le monde réel qui détermine l’efficacité globale du programme de gestion des risques de sécurité.

Les employés doivent comprendre plus qu’une simple sensibilisation à la sécurité ; en fait, ils doivent comprendre les contrôles de sécurité, le but derrière les contrôles et la manière de mettre en œuvre et de suivre ces contrôles. Les RSSI doivent toujours examiner les événements de cybersécurité passés pour rechercher les causes profondes, contrôler l’efficacité et la conduite des employés.

Les responsables de la cybersécurité ont tendance à se concentrer sur les solutions technologiques sans tenir dûment compte de l’élément humain – dans un premier temps, les RSSI doivent gérer la technologie et les talents humains pour maximiser les deux capacités – les compétences technologiques et interpersonnelles. Une source clé peut être une équipe technologique interne à partir de laquelle des individus talentueux pourraient être identifiés pour des programmes de développement de carrière.

À mesure que la cybersécurité et la technologie gagnent en importance au sein d’une organisation, de plus en plus d’employés exécuteront des fonctions technologiques dans le cadre de leurs emplois respectifs. La cybersécurité doit être construite autour du fonctionnement d’une entreprise, ce qui signifie que les contrôles de cybersécurité doivent être adaptés au flux de travail et à l’organisation humaine de l’organisation.

Avec une telle approche intégrée, les RSSI peuvent alors développer des pratiques d’évaluation efficaces pour comprendre leur exposition aux menaces et de manière continue. Il s’agit d’une exigence clé pour les entreprises afin qu’elles puissent investir efficacement dans la sécurité. Dans ce domaine, les RSSI doivent utiliser la validation de la cybersécurité pour examiner comment les techniques, les processus et les outils peuvent être utilisés pour valider la façon dont les pirates potentiels peuvent exploiter une menace spécifique. En réunissant un protocole de validation robuste, les RSSI peuvent mettre en œuvre des évaluations reproductibles, développer des références et répondre avec des contrôles de sécurité appropriés. La plupart des entreprises se tournent vers des plateformes de cybersécurité, tout comme d’autres outils de gestion des risques, pour consolider les fonctions de cybersécurité telles que la gouvernance, les accès privilégiés et d’autres fonctions de gestion des accès.

Un élément clé de tout programme de conformité en matière de cybersécurité est l’engagement et la surveillance du conseil d’administration. Trop souvent, les conseils d’administration des entreprises ne parviennent pas à s’engager et à se renseigner sur la cybersécurité, et s’en remettent en grande partie aux RSSI. En évitant la courbe d’apprentissage, les conseils d’administration mettent leur entreprise en danger en créant des risques supplémentaires liés à la surveillance du conseil d’administration et au suivi des échecs. De plus en plus de conseils d’administration intègrent des membres ayant une expertise en cybersécurité. C’est une évolution bienvenue.

to www.jdsupra.com


Abonnez-vous à notre page Facebook: https://www.facebook.com/mycamer.net
Pour recevoir l’actualité sur vos téléphones à partir de l’application Telegram cliquez ici: https://t.me/+KMdLTc0qS6ZkMGI0
Nous ecrire par Whatsapp : Whatsapp +44 7476844931