Comment organiser la cybersécurité dans une petite organisation?
« Le rôle exécutif de la cybersécurité est important pour tout type d’organisation. Il existe des solutions peu coûteuses pour garantir une bonne gouvernance des cyberrisques pour les organisations de toutes tailles. Un diagnostic CISO-360 peut vous indiquer comment y remédier ».
Les meilleures pratiques de gouvernance en cybersécurité nous dictent de séparer le rôle du responsable de la sécurité (CISO) et celui du responsable de l’informatique (CIO). Mais est-ce possible pour une petite organisation?
J’observe comment la gouvernance de la sécurité est organisée auprès de nombreux clients. La capacité financière et humaine des plus petites organisations les oblige à jumeler ce rôle, et c’est tout à fait compréhensible. Par contre, ces 2 rôles peuvent être contradictoires. La priorité du CIO est de s’assurer que les systèmes soient disponibles le plus rapidement et facilement possible. Le CISO quant à lui, consiste à mettre des contrôles en place qui peut rendre les systèmes plus difficiles à accéder. En priorité quelle action gagne? La disponibilité. Un exemple concret, si le technicien chargé de vérifier les contrôles de sécurité quotidienne reçoit des demandes utilisateurs car un système n’est pas disponible, sa priorité y sera consacrée. L’équipe TI sera jugée sur sa réactivité à répondre aux usagers. C’est le bon comportement à adopter certes, mais au détriment de la cybersécurité.
Il existe plusieurs options pour remédier à ceci. Une des options est d’externaliser les services de surveillance de cybersécurité. Les options sont multiples et les organisations auront accès à des outils et une équipe ayant une très grande connaissance des cybermenaces. Mais ce n’est pas suffisant. Un programme sain de cybersécurité regroupe des centaines de contrôles, autant stratégiques que tactiques. Les mettre en place et les maintenir demande de la rigueur.
C’est là qu’intervient le CISO sur demande. Un responsable externe, qualifié en cybersécurité et surtout, neutre. Les exécutifs doivent avoir un moyen clair d’évaluer et comprendre, dans un langage clair, le niveau de risque de leur organisation, et ce, en tout temps. Les attaques sont un risque réel pour les organisations et en subir une peut geler les opérations pour plusieurs semaines. En externalisant les services de surveillance de cybersécurité ou en engageant un responsable externe, les petites organisations peuvent avoir accès à des experts en cybersécurité pour les aider à mettre en place ces pratiques de sécurité. Cela leur permet également de bénéficier d’une évaluation indépendante de leur programme de cybersécurité pour identifier les zones à risque et les améliorations nécessaires.
Les entreprises font des audits financiers pour valider la régularité, la conformité et s’assurer d’avoir une opinion fidèle de l’état comptable. C’est exactement ce que les organisations doivent faire avec leur programme de cybersécurité.
Nous vous invitons à nous contacter si vous désirez avoir plus d’information à ce sujet et visiter le site Web de Eficio. Nous avons une gamme de solutions stratégiques permettant aux organisations de gérer leurs cyberrisques.
Inscrivez-vous à l’infolettre Eficio et soyez le premier à recevoir notre actualité !