Protéger votre entreprise, c'est plus qu'une simple question de conformité, IT News, ET CIO


Par Sandeep Bhargava

Pour une organisation, s'efforcer d'atteindre des normes de conformité telles que le RGPD est une étape importante vers la protection de son entreprise. L'entreprise devra aborder les contrôles clés concernant les pare-feu, les mots de passe, le cryptage, les logiciels malveillants, l'accès et mettre en œuvre les meilleures pratiques de sécurité grâce à un processus de conformité rigoureux. Ce faisant, l'organisation aura abordé certains éléments cruciaux de son programme de sécurité.

Cependant, avec l'évolution rapide du paysage de la cybersécurité d'aujourd'hui, la conformité à elle seule est insuffisante pour protéger une organisation. Il est temps de se concentrer sur le renforcement de la sécurité de leur cyberinfrastructure. Lorsque les principaux protocoles Internet sont fondamentalement non sécurisés et que les appareils mobiles sont continuellement construits sur de tels systèmes, les organisations deviennent plus vulnérables aux cyberattaques.

Récemment, de nombreuses entreprises en Inde ont été la cible d'une série de cyberattaques, en particulier du redoutable ransomware. Selon une enquête mondiale menée par Sophos, une entreprise de cybersécurité, l'Inde a enregistré le plus grand nombre d'attaques de ransomware avec environ 68 % des organisations qui auraient été touchées, entraînant des paiements de rançon globaux de plus de 76 619 $ US.

En mars 2021, les données du gouvernement indien présentées au Parlement révélaient qu'en 2020, près de 1,16 million de cyberattaques avaient été enregistrées, soit une forte augmentation de trois fois les incidents survenus l'année précédente. Pour éviter que des incidents de cybersécurité ne se reproduisent, les organisations doivent faire tout ce qui est en leur pouvoir pour s'assurer que leur infrastructure de cybersécurité résiste à de telles attaques.

Les normes de conformité sont généralement conçues dans un but unique et spécifique. Par exemple, le projet de loi sur la protection des données personnelles, introduit en décembre 2019, se concentre principalement sur les protections générales de la vie privée numérique. Cependant, les normes de conformité sont souvent limitées à une limite de portée spécifique ou à une « enclave ». Elles ne protègent pas nécessairement les actifs, les systèmes et les fonctions clés qui sont essentiels pour une entreprise (en dehors de cette enclave). Même à l'intérieur des limites, il est probable que les organisations aient encore besoin de mettre en œuvre des contrôles plus étendus pour améliorer la sécurité de l'environnement global dans lequel elles opèrent.

Bien que les normes de conformité répondent certainement aux objectifs de l'initiative de conformité pour laquelle elles ont été conçues, elles ne sont pas conçues pour être le fondement du programme de cybersécurité d'une organisation. Par conséquent, il est impératif que les entreprises examinent attentivement certaines des recommandations suivantes et évaluent si elles leur conviennent.

Intégrer les programmes de conformité dans un cadre fondé sur les risques

Un cadre basé sur les risques se concentre sur la compréhension et la réponse aux facteurs qui peuvent conduire à des défaillances de confidentialité, d'intégrité et de disponibilité. Cela commence par des contrôles qui protègent une organisation des scénarios de risque présents ou perçus. Ils peuvent utiliser efficacement des cadres basés sur les risques pour développer ou améliorer leurs programmes de cybersécurité. De plus, une organisation peut facilement adapter la conception et la mise en œuvre des spécifications en fonction du risque.

Lorsqu'un cadre basé sur les risques est appliqué, les entreprises seront en mesure de créer un environnement global plus sécurisé au-delà de la simple conformité. De plus, cela les aidera également à rester en permanence à jour et pertinents pour faire face aux défis posés par un paysage de sécurité en évolution rapide, car il sera beaucoup plus facile de modifier librement les contrôles en fonction des facteurs de risque qui sont importants pour eux.

Souvent, les réglementations ne sont pas mises à jour assez rapidement pour fournir une garantie de sécurité suffisante. Par conséquent, empiler les programmes de conformité requis avec un cadre plus complet et basé sur les risques est une voie beaucoup plus optimale à suivre.

Avantages d'une approche-cadre fondée sur les risques

La mise en œuvre d'une approche-cadre fondée sur les risques permet aux organisations de :

  • Protégez soigneusement leurs évaluations les plus critiques
  • Personnaliser les contrôles en fonction de leurs besoins spécifiques en matière de sécurité et d'organisation
  • Adoptez une position plus proactive en matière de sécurité
  • Encourager une culture résiliente
  • Améliorer leur posture de conformité réglementaire de manière organique

Une approche de la cybersécurité basée sur les risques offre tous ces avantages et plus encore, sur la base de sa conception fondamentale et pragmatique. Il est important de comprendre d'abord quels sont les actifs les plus critiques, puis de réagir aux scénarios de risque du monde réel qui pourraient avoir un impact sur ces actifs critiques. Cette approche aidera une organisation à s'engager sur la bonne voie vers une sécurité proactive qui minimise son paysage de menaces.

En encourageant les employés à travailler avec les membres de l'équipe de gestion des risques et à partager les menaces réelles (associées à une équipe de gestion des risques à la recherche proactive des menaces), la culture d'une organisation devient plus résiliente aux changements de l'environnement externe. Cela en soi contribuera à améliorer la posture de contrôle de manière organique, ce qui soutient également la maturité de la conformité réglementaire en aval en même temps.

Cadres fondés sur les risques à prendre en compte

Pour gérer efficacement un programme de cybersécurité, les organisations doivent mettre en œuvre un cadre basé sur les risques qui les aide également à maintenir la conformité, le cas échéant. Les trois cadres les plus reconnus, en particulier en Inde, comprennent :

  • L'Organisation internationale de normalisation / Commission électrotechnique internationale (ISO 27001) est une norme internationalement reconnue qui fournit un cadre basé sur les risques pour les systèmes de gestion de la sécurité de l'information (SGSI). Il est conçu pour aider à garantir la confidentialité, l'intégrité et la disponibilité continues des informations, et il peut être utilisé par des organisations de tout type qui ont besoin de gérer la sécurité des actifs. Vous pouvez également être certifié dans ce cadre et obtenir divers avantages commerciaux, tels que le maintien de l'activité actuelle, la conclusion de nouveaux contrats et l'amélioration de la sécurité globale.

  • Le National Institute of Standards and Technology (NIST) est un organisme non réglementaire du département américain du Commerce, chargé de rechercher et d'établir des normes dans toutes les agences fédérales. Plus précisément, la publication spéciale 800-53 du NIST définit les normes et les lignes directrices des agences fédérales pour l'architecture et la gestion de leurs systèmes de sécurité de l'information. Bien que le NIST ait été créé pour fournir des conseils sur la protection des données privées des agences et des citoyens, ce cadre basé sur les risques s'applique à une large base d'organisations des secteurs public et privé. Pour cette raison, les entreprises du secteur privé peuvent et ont choisi de mettre en œuvre ce cadre, ou des parties de celui-ci, dans le cadre de la formation de leurs propres programmes de cybersécurité, car il est largement accepté comme norme de référence de l'industrie. La conception globale du NIST 800-53 est axée sur l'entreprise, ce qui signifie que les contrôles ne sont pas aussi spécifiques aux limites que d'autres programmes de conformité réglementaire.
  • Le cadre de vision de la cybersécurité de la Reserve Bank of India est principalement conçu pour les banques coopératives urbaines ou les UCB. Compte tenu de la nature hétérogène du secteur UCB, qui se compose de diverses caractéristiques telles que la taille, les régions, la santé financière et la profondeur numérique, une approche unique n'est pas la voie à suivre. Par conséquent, la formulation du cadre de cybersécurité pour les UCB est centrée sur une approche par niveau déterminée par l'exposition aux risques de leurs services numériques pour garantir que ceux qui ont une forte pénétration informatique ou qui offrent une large gamme de services de paiement sont élevés au même niveau que les autres banques. qui présentent une infrastructure et des pratiques de cybersécurité plus matures. Les principales responsabilités de mise en œuvre des contrôles de cybersécurité sont attribuées au conseil d'administration d'UCB.

En matière de gestion de la sécurité, les organisations doivent comprendre que la cybersécurité est ancrée dans la gestion des risques de l'entreprise. Ils doivent également regarder en eux-mêmes pour s'assurer que leurs employés sont bien équipés pour gérer les incidents liés à la sécurité.

De cette façon, les organisations peuvent répondre de manière adéquate à tous les éléments de leurs problèmes de sécurité, allégeant ainsi la charge de leurs équipes internes. Après avoir accompli cela, les organisations seront en mesure de réorienter leur attention vers des initiatives plus stratégiques pour aider leur entreprise à se développer.

L'auteur est directeur général, Asie-Pacifique Japon



Source link

Pourquoi composer une boutique sur le web ?

Il n’a des fois été aussi facile de lancer un site e-commerce de nos jours, il suffit de voir le taux le montant le pourcentage de sites commerce électronique en France pour s’en rendre compte. En effet, 204 000 websites actifs en 2016. En 10 ans, le taux le montant le pourcentage de sites a été fois 9. Avec l’évolution des technologies, les médias à grand coup d’histoire de succès story, (si si je vous assure, je suis aussi tombé a l’intérieur du panneau) le e-commerce a longuement été vu comme un eldorado. Du coup, une concurrence accrue a vu le le jour dans thématiques.