Les violations de données ne vont pas disparaître. Face aux menaces émanant d'États-nations, d'organisations criminelles et de groupes tels que Anonymous, à la hausse, nous constatons que de plus en plus de PDG sont conscients de la nécessité d'engager un responsable de la sécurité des informations (CISO) pour piloter la stratégie de sécurité et de risque des informations..

Les récentes violations très médiatisées ont mis en évidence la nécessité d’une sensibilisation accrue de la part des employés ordinaires au conseil d’administration en matière de sécurité de l’information. Cependant, que devons-nous savoir sur le rôle du RSSI? Nous avons parlé à Bob West, responsable de la confiance chez CipherCloud, pour connaître son opinion..

TechRadar Pro: dans une entreprise, la sécurité et l'informatique doivent-elles être placées sous le même parapluie??

Bob West: Généralement non, mais cela dépend de la taille de l'organisation et de la composition du personnel technique. Il peut être judicieux pour une entreprise de 1 000 personnes d’avoir l’informatique et la sécurité dans le même groupe. Mais il est logique pour les grandes entreprises de séparer les rôles et les équipes à des fins de dimensionnement.

En fin de compte, les responsabilités sont fondamentalement différentes: la sécurité protège les actifs de l'entreprise; il fournit des informations sur les décisions technologiques et les risques éventuels auxquels l'entreprise est confrontée. L'informatique offre des solutions technologiques.

TRP: Quel est le rôle d'un RSSI??

BW: Le RSSI conseille l'équipe de direction sur la manière dont l'organisation doit satisfaire aux diverses exigences en matière de sécurité et de confidentialité pour mener des activités dans leur secteur d'activité et leurs territoires d'exploitation. Le RSSI supervise une équipe qui a une vue à 360 degrés des risques auxquels l’entreprise est confrontée et qui met en place les technologies et les processus de sécurité nécessaires pour minimiser les risques pour l’organisation..

TRP: Comment le rôle du RSSI se compare-t-il à un CIO?

BW: Ci-dessus, nous avons couvert le rôle du RSSI. Le CIO, qui dirige la stratégie technologique, se chevauche parfois. Par exemple, lorsque le groupe technologique prend une décision d'achat, le groupe de sécurité doit être invité à contrôler la technologie d'un point de vue sécurité..

TRP: Quelle est l'importance du rôle du RSSI aujourd'hui?

BW: Le rôle gagne en importance avec chaque faille de sécurité et vulnérabilité identifiées. Les menaces ont été beaucoup plus agressives et vont des États-nations aux organisations criminelles.

TRP: Chaque organisation devrait-elle avoir un RSSI??

BW: Comme je l'ai mentionné dans ma réponse à la première question, les PME n'ont peut-être pas besoin d'un RSSI dédié. Dans ces cas, il pourrait être judicieux que le responsable de l'information porte également le chapeau de CISO et il / elle peut avoir un consultant pour fournir des conseils à temps partiel.

TRP: L’absence de RSSI at-elle été un facteur majeur de la fameuse violation des données de la cible?

BW: Il est difficile de comprendre pourquoi une organisation de la taille de Target n'employait pas de RSSI à ce moment-là, mais sans lui, il est très difficile de garantir la protection constante des informations dans l'ensemble de l'entreprise..

TRP: Que peuvent faire d'autres organisations pour empêcher la répétition d'une infraction similaire??

BW: Assurez-vous qu'il existe un leadership en matière de sécurité et que vous disposez du personnel et du budget appropriés pour pouvoir protéger correctement les informations. Les politiques qui peuvent être clairement comprises doivent être écrites pour guider l’ensemble de l’organisation. Tout le monde devrait comprendre ce qu'il faut faire pour protéger les informations dans le cadre de son rôle quotidien. La protection de l'information nécessite la bonne combinaison de personnes, de processus et de technologie.

TRP: Que peuvent faire les entreprises pour améliorer leur sécurité cloud quelle que soit leur infrastructure??

BW: Le plus grand danger dans le cloud réside dans le fait que les entreprises pensent que les fournisseurs de cloud ont une sécurité assurée ou qu’il n’existe pas de solutions pour la sécurité dans le cloud. Sur le point précédent, les principaux fournisseurs de cloud ont développé une sécurité robuste du réseau et de l’infrastructure. Par exemple, dans le cas du courrier électronique, Google et Microsoft ont mis en œuvre le cryptage SSL pour protéger les données au niveau de la couche de transport, ce qui est très utile..

Toutefois, la protection des données va encore plus loin et constitue un impératif pour les entreprises dans le climat actuel des affaires. Certains de ces contrôles pour le cloud incluent la découverte d'applications, le chiffrement, la création de jetons en tant que solution de masquage, la prévention de la perte de données pour définir et appliquer des stratégies, et la surveillance pour comprendre une activité inhabituelle..