Gouvernance IT
L'efficacité de la sécurité des informations n'est pas un simple problème technique, mais appelle une approche globale de l'entreprise. La principale raison en est que le champ ne doit pas se limiter à l'information électronique, et que la sécurité devrait en réalité être dictée par les objectifs commerciaux de l'organisation concernée. La sécurité doit par ailleurs bénéficier de l'appui déterminé de la direction.Par-delà ces considérations, des aspects réglementaires tels que les codes de gouvernance des sociétés (p. ex. Sarbanes-Oxley) et les lois relatives à la protection de la vie privée (p. ex. la directive EU sur la protection des données et les législations nationales qui la prolongent) contribuent à accroître la nécessité d'une politique de sécurité au niveau de la direction.
Scanit vous apporte son aide dans ces domaines en vous offrant des conseils dédiés liés à la norme ISO/IEC 27001 et aux politiques de sécurité.
Conseils ISO 27001
Le besoin croissant d'une politique de sécurité au niveau de la direction mis en lumière dans l'introduction est entre autres codifié par la norme internationale ISO/IEC 27001:2005.Cette norme définit un système de gestion de la sécurité de l'information, dont le but est de mettre en place un processus continu de suivi et d'amélioration de la sécurité d'une organisation. Cet objectif est similaire à celui que les normes ISO/IEC 9000 s'efforcent de réaliser pour la gestion de la qualité. Une organisation peut également être certifiée comme se conformant à cette norme, ce qui peut être utilisé vis-à-vis d'autres parties comme preuve de l'engagement de l'organisation en matière de sécurité de l'information.
Scanit peut vous aider à mettre en place et entretenir un tel système de gestion de la sécurité de l'information.
Dans la phase de mise en place, cet appui peut aller de l'assistance à la définition d'une infrastructure organisationnelle appropriée jusqu'à vous aider à développer un cadre d'évaluation des risques. Nous pouvons aussi vous aider à élaborer des politiques et à vous assurer que toute la documentation requise par les normes est disponible.
Après la phase de mise en place, notre conseil se rapporte habituellement au processus d'audit stipulé par la norme. Scanit peut apporter le savoir-faire voulu et ses conseils pour la conception et la mise en oeuvre des audits et de votre programme d'audits.
Création de politique
Une sécurité de l'information bien gérée commence par des politiques de sécurité de base. Celles-ci témoignent visiblement de l'engagement de la direction de l'organisation. Elles définissent en outre une base de référence pour les comportements acceptables et les niveaux minimaux de sécurité à respecter.La création d'une telle politique peut apparaître au premier abord comme une tâche d'une ampleur décourageante. Scanit peut faciliter ce processus grâce à notre savoir-faire en matière de sécurité de l'information et à notre expérience pratique de guides tels que le Standard for Good Practice in Information Security de l'ISF (Information Security Forum), le ISO/IEC 17799 et ISO/IEC 27001.
En appui sur de nombreuses séances de travail, nous vous aiderons à créer une politique qui pourra être mise en oeuvre et qui prendra en compte les menaces contre la sécurité propres à votre environnement et à votre culture d'entreprise, ainsi que les meilleures pratiques actuelles. Des aspects réglementaires spécifiques tels que les conditions requises par le COA 81 belge seront aussi pris en compte.
Contrôle et bilan de sécurité
Une politique de la sécurité est un document vivant. Celui-ci doit non seulement être tenu à jour, mais il doit aussi être mis en oeuvre et respecté dans l'ensemble de l'organisation.Scanit peut proposer, pour les politiques existantes, un audit de bilan de la politique. Un tel projet s'articule habituellement suivant trois étapes.
La première étape commence par un inventaire des politiques existantes. Ensuite, on effectue une analyse de la manière dont ces politiques s'articulent les unes avec les autres, avec votre organisation et avec les différentes dimensions de la sécurité. Un "bilan de cohérence" intervient ensuite pour mettre en lumière les zones où apparaissent des incohérences, ou celles qui ne sont pas suffisamment prises en compte.
La seconde phase comporte l'identification des contrôles de sécurité qui mettent en application les différents éléments de la politique. On effectue ensuite une vérification pour déterminer les domaines de la politique qui ne sont pas traités par les contrôles de sécurité existants ou les contrôles qui ne se rapportent à aucune politique.
Enfin, les contrôles de sécurité sont vérifiés sur la base d'échantillonnages (en assignant la priorité aux domaines à risque élevé) pour déterminer s'ils sont efficaces et correctement exécutés.