Quotidien finance innovation, innovation financière journal
Financial Year with Finyear
 
 
 
 


              

Que peuvent faire les entreprises pour se mettre en règle avec les standards de l'industrie sans sacrifier les bases sécuritaires ?


Par Yannick Hello, directeur d'Ipswitch Network Management Division France




The Financial Year by Finyear -- Qu'une entreprise se conforme aux différentes lois comme HIPAA, les lois sur la vie privée ou SOX, aux différents standards de l'industrie comme PCI-DSS et NIST, aux procédures internes, le processus est consommateur de temps et d'argent. Les entreprises ont tendance à se concentrer sur la dernière règlementation plutôt que sur leur politique sécuritaire. Comment peuvent-elles répondre efficacement aux besoins de conformité sans perdre de vue leur programme sécuritaire ?

La réalité est que les équipes de conformité et de sécurité partagent le même objectif : elles veulent protéger l'entreprise, ses clients, ses employés et ses actionnaires. Mais elles vont mettre en place cette protection de manière différente. L'équipe "Sécurité" s'applique à protéger tous les aspects technologiques de l'entreprise alors que l'équipe "Conformité" se concentre sur la création de contrôles et de méthodes appropriées pour s'assurer que l'entreprise protège ses données et répond aux exigences réglementaires.

Pour éviter d'énormes amendes, des titres de journaux désastreux et une perte de client, la conformité est une priorité brûlante. Les responsables en conformité reportent habituellement directement à la direction générale. En conséquence, cette équipe dispose de moyens financiers et a l'écoute des entités commerciales et de la direction.

D'un autre côté, la sécurité est souvent perçue comme un centre de coûts dans l'entreprise. La technologie nécessaire pour sécuriser l'infrastructure réseau est souvent confuse et il est difficile de définir clairement des étapes qui aident la direction à comprendre comment tous ces investissements rendent l'entreprise plus efficace.

En fait, ces deux équipes ont besoin l'une de l'autre. L'équipe "Conformité" a besoin de l'expertise de l'équipe "Sécurité" et de sa capacité à opérer des contrôles. L'équipe "Sécurité" peut vraiment s'appuyer sur l'influence de la direction de l'équipe "Conformité" ainsi que son budget. Donc, pourquoi ne pas travailler ensemble ?

De tels partenariats ne sont pas faciles à mettre en place sur le terrain. Mais il existe quelques tactiques gagnantes qui peuvent aider les équipes à prendre à un bon départ.

Nommer un champion : Que le champion soit le responsable de la conformité, le responsable de la sécurité des systèmes d'information ou un autre responsable, ce sponsor donne le ton du partenariat entre les deux équipes et s'assure que les deux groupes travaillent en symbiose pour atteindre leurs objectifs. Par exemple, dans l'étude 2011 Cost of Data Breach du Ponemon Institute, M. Ponemon a découvert que lorsque l'entreprise a un responsable de la sécurité des systèmes d'information en charge de la protection des données, le coût moyen d'une violation de données peut être réduit et s'élever à 80$. Pour atteindre une telle réduction de coûts, ce champion - responsable de la sécurité doit intégrer des processus de conformité pour protéger les données avec la technologie appropriée pour créer un véritable partenariat entre les équipes "Conformité" et "Sécurité".

Fixer des objectifs atteignables : Ces deux équipes doivent établir des objectifs trimestriels et annuels. Ces objectifs doivent comporter des étapes à franchir pour que les deux groupes puissent montrer qu'ils adhèrent aux besoins en conformité comme à la sécurité des données. Comme les équipes de sécurité informatique et de conformité doivent établir de nouveaux projets, il faut demander à une ligne d'activité de déterminer l'impact commercial attendu (% d'efficacité, réduction de coûts, croissance du chiffre d'affaires). Il faut utiliser ces données pour montrer le rôle de l'équipe sur l'activité de l'entreprise, ce qui aidera au changement de perception de l'équipe qui passera de "centre de coût" à "service à valeur ajoutée".

Développer un langage commun. La terminologie utilisée par les auditeurs et les professionnels informatiques sont vraiment différents. Comme les équipes travaillent de concert pour définir les objectifs et les besoins, il est important de donner des définitions claires et des éléments de mesure pour éviter toute confusion.

Se réunir souvent. Le champion doit fixer des réunions pour définir les priorités entre les deux groupes et s'assurer qu'ils réalisent bien leurs objectifs. Si les deux groupes ne tirent aucun bénéfice de ce partenariat, inutile de persévérer.

Créer un tableau de bord. Les tableaux de bord permettent à tous les protagonistes de visualiser leurs progrès, l'impact sur l'activité et ils permettent de mieux communiquer les priorités et les avancées à la direction.

Les entreprises dont les équipes "Conformité" et "Sécurité" dépassent le cadre de leur département et travaillent en symbiose pour prendre en charge toute l'activité pour gérer facilement les politiques de conformité sans perdre de vue les bases sécuritaires. Les problèmes de conformité et de sécurité sont gérées simultanément et symbolisent le succès de ce partenariat.

À propos de la division Network Management d’Ipswitch Inc
La division Network Management d'Ipswitch Inc. est le développeur de la suite logicielle de gestion informatique WhatsUp Gold. WhatsUp Gold est déployé sur plus de 150 000 réseaux dans le monde et permet d'avoir un réseau, un système, des applications et des solutions de gestion et de surveillance d'événements de log pour les PME comme pour les grandes entreprises. Ce logiciel prend en charge une large gamme de tâches d'administration comme la détection automatique de réseau, la cartographie de réseau et la surveillance de réseau en temps réel, les alertes, la résolution de problèmes et la rédaction de rapports.
Créée en 1991, Ipswitch Inc. a son siège social à Lexington, Massachussetts (USA) et des bureaux à Atlanta et Augusta (Géorgie) et à Madison (Wisconsin), Livonia (Michigan), sans oublier son siège européen situé à Amsterdam (Pays Bas) et celui de l'Asie-Pacifique situé à Tokyo (Japon). Ipswitch commercialise ses produits via ses distributeurs, revendeurs et les OEM.

Jeudi 7 Juin 2012
Notez




Nouveau commentaire :
Twitter

Your email address will not be published. Required fields are marked *
Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *



Recevez la newsletter quotidienne


évènements


Lettres métiers


Livres Blancs