Définissez les attentes et les limites de votre programme de sécurité afin de minimiser les risques

Définissez les attentes et les limites de votre programme de sécurité afin de minimiser les risques

Au fil des ans, nous avons vu d’excellents programmes de sécurité de l’information, allant des contrôles techniques les plus récents et les plus performants aux systèmes de documentation de sécurité les plus époustouflants. S’il existait un programme de sécurité parfait, une poignée de ces environnements conviendrait parfaitement.

Bien sûr, il n’existe pas de programme de sécurité parfait; il y aura toujours des lacunes qui doivent être trouvées et fermées. Néanmoins, en repensant à tous les grands programmes de sécurité que l’on peut voir, une chose estlprésente à chaque fois: une bonne communication. Bonne communication entre l’informatique et la gestion, entre l’informatique et les utilisateurs finaux, et entre la direction et l’ensemble de l’organisation.

Une bonne communication est la clé du succès d’un programme de sécurité

Voir une bonne communication en action est une chose merveilleuse. Tout le monde adhère aux objectifs du programme de sécurité et comprend ce qu’il devrait faire et ne pas faire sur son ordinateur. Cela peut rapidement réduire les risques de sécurité et maximiser la résilience du réseau. Mais pourquoi ça? En termes simples, c’est parce que nous sommes humains.

Dès le plus jeune âge, on nous a appris à faire ceci et à ne pas faire cela, mais nous sommes toujours déterminés à faire ce que nous voulons faire, surtout s’il n’ya aucune conséquence perçue. Les parents peuvent particulièrement comprendre cela. Quand un enfant est en danger près d’une route très fréquentée ou d’une cuisinière chaude, quelle est votre première inclination? Vous dites: «Ne faites pas ça!» Ou «Arrêtez-vous.» Qu’est-ce que l’enfant fait ensuite, neuf fois sur dix? La même chose! Et, généralement, les parents continuent à utiliser la même tactique.

Dire à quelqu’un de ne pas faire quelque chose n’est pas une bonne approche. La meilleure chose à faire est de dire à la personne pourquoi elle ne devrait pas faire ce qu’elle fait en premier lieu. La sécurité de l’information n’est pas différente.

Ne dites pas simplement «non» aux utilisateurs, expliquez pourquoi

Bien sûr, le comportement de l’utilisateur est imprévisible. Mais les utilisateurs doivent savoir ce qui est attendu et pourquoi certaines mesures peuvent créer des problèmes, non seulement pour eux-mêmes, mais pour toute l’organisation. Plutôt que de dire «Ne faites pas ça!», Approche commune du personnel informatique, les utilisateurs doivent savoir pourquoi un tel comportement et de tels choix sont réellement importants. Ouvrir des pièces jointes, cliquer sur des liens, fournir des informations sensibles sans poser de questions – ce sont toutes des actions aux conséquences lourdes qui peuvent être expliquées très simplement.

Au lieu de dire simplement «Non», il faut montrer aux utilisateurs comment faire quelque chose différemment. Les professionnels de la sécurité pourraient montrer aux utilisateurs à quoi ressemble une infection par programme malveillant. Ils peuvent guider les utilisateurs lors d’un compte rendu de réaction aux incidents qui décrit tous les efforts déployés pour répondre aux choix incorrects ou mal faits de quelqu’un. Les équipes de sécurité peuvent même montrer aux employés à quoi ressemble une attaque par déni de service (DoS) ou les véritables conséquences d’une violation.

Les gens aiment les histoires. Ils aiment entendre les détails. Des vidéos, des infographies et un contenu attrayant sont généralement tout ce dont vous avez besoin pour engager les gens. Ou, si vous en avez besoin, laissez le récit à un professionnel extérieur. Pour remédier à tout cela, il suffit de s’éloigner de la case à cocher et d’ajouter de la créativité à la fonction de sensibilisation à la sécurité et de formation.

Configurez les bonnes limites pour votre organisation

Ce n’est pas seulement la définition des attentes qui importe; les limites sont également essentielles – des limites dans lesquelles l’utilisateur autodiscipliné peut travailler afin de savoir quand s’arrêter lorsqu’il est présenté avec certains scénarios. Mieux encore, les limites que vous contrôlez. La plupart des utilisateurs sont informés quotidiennement des décisions de sécurité. Cela ne devrait pas se produire

Bien sûr, il est impossible d’empêcher les employés de prendre une décision. Il n’ya pas assez de temps d’assistance dans le monde pour cela. Néanmoins, vous pouvez le faire en utilisant des contrôles de sécurité, tels que des mots de passe forts, une segmentation du réseau et des pare-feu, ainsi que des sauvegardes de données. Il existe également de nouvelles technologies que vous pouvez utiliser à votre avantage, notamment:

  • Les outils de détection et de réponse des points d’extrémité (EDR);
  • Les courtiers en sécurité de l’accès au cloud (CASB);
  • Les Passerelles Web sécurisées;
  • Les Systèmes de gestion des informations et des événements de sécurité (SIEM); et
  • Les solutions de gestion unifiée des Endpoints (UEM).

Essentiellement, partout où vos utilisateurs touchent votre réseau et vos actifs informationnels, vous devez être guidé et contrôlé. Cette approche de la sécurité évite à vos utilisateurs de prendre des décisions, du moins la plupart du temps. L’automatisation peut être introduite dans l’expérience informatique, avec les logging, les alertes et les rapports. De telles limites permettent aux informaticiens d’économiser du temps et des efforts et, ce qui est peut-être plus important encore, de permettre aux utilisateurs de ne pas avoir à poser des questions inutiles au personnel informatique.

Les adultes sont toujours conscients d’être jugés, que ce soit positivement ou négativement. L’une des principales responsabilités du service informatique est de préparer ses utilisateurs au succès. Pour guider les utilisateurs avec les politiques, formez-les et gardez-les à l’abri des ennuis en ne leur permettant pas de prendre de mauvaises décisions en matière de sécurité. La dernière chose dont vous avez besoin est le comportement de l’utilisateur qui mène à un incident ou à une violation. Regardez le côté humain de votre programme de sécurité. Vous trouverez probablement de nombreuses lacunes et opportunités pour améliorer les choses pour toutes les personnes impliquées.