En rupture : Keyfactor acquiert InfoSec Global et CipherInsights | Des solutions complètes pour la découverte, le contrôle et l'agilité

La convergence de l'informatique et de la sécurité et du risque et de la conformité
  • Accueil
  • Blog
  • La convergence de l'informatique et de la sécurité et du risque et de la conformité

La convergence de l'informatique et de la sécurité et du risque et de la conformité

Octobre 25, 2016

Les services informatiques et les services de conformité collaborent de plus en plus fréquemment

L'intégration entre l'informatique et la conformité

À l'heure actuelle, l'abandon des cloisonnements entre les équipes informatiques et les équipes chargées de la conformité se traduit par une convergence des services dans de nombreuses entreprises. Un effort de resserrement et de consolidation entre l'informatique, la sécurité et la GRC s'est avéré bénéfique pour la posture de sécurité de l'ensemble de l'organisation, et de nombreuses entreprises ont opté pour ce changement.

Voici pourquoi : compte tenu de la virulence du paysage de la sécurité aujourd'hui et des exigences de conformité sans cesse croissantes pour tous les secteurs, la conformité doit être intégrée dans les conceptions informatiques - et non pas ajoutée ultérieurement. Les projets informatiques ne devraient pas avancer sans la bénédiction de la GRC. Il est beaucoup plus facile d'intégrer la conformité dès le début d'un projet informatique que de l'ajouter a posteriori.

Une partie de la fonction de GRC ne consiste pas seulement à assurer la conformité, mais aussi à créer et à appliquer des politiques. De concert avec les équipes de sécurité et d'informatique, l'une des responsabilités de la GRC est de comprendre ce qui doit être protégé et les politiques appropriées nécessaires pour soutenir cette protection. Par le passé, les équipes informatiques et de sécurité ont souvent exécuté des projets et établi elles-mêmes des politiques qui n'émanaient pas nécessairement de la GRC, ce qui a eu pour effet négatif de provoquer des piratages. Lorsque l'informatique, la sécurité et la GRC travaillent ensemble, la conformité devient une influence plus importante et joue un rôle tangible dans la sécurité informatique.

Plus la GRC est impliquée tôt dans l'informatique, plus les bénéfices sont importants. Le déploiement d'un système conforme dès le départ est le scénario idéal de déploiement informatique, tout simplement parce qu'une organisation ne peut jamais devenir plus sûre. Si un système est déployé, la sécurité ne peut pas augmenter avec le temps, mais elle peut se dégrader. En outre, l'informatique s'occupe des mécanismes utilisés pour contrôler les actifs, mais c'est à la GRC qu'il incombe de déterminer les contrôles les plus appropriés pour les systèmes.

 

Comparaison des compétences en matière d'informatique et de sécurité et de GRC

Les gestionnaires de risques et les spécialistes de l'informatique diffèrent en ce sens qu'un gestionnaire de risques s'attache à comprendre la valeur des actifs informatiques et leurs risques potentiels, tandis qu'un spécialiste de l'informatique ou de la sécurité se concentrera davantage sur les contrôles techniques réels nécessaires pour protéger un actif spécifique.

 

Informatique et sécurité GRC
  • Se concentrer sur les contrôles techniques nécessaires.
  • Déterminer quels contrôles de sécurité peuvent être renforcés pour assurer le niveau de protection le plus élevé possible.
  • Moins préoccupés par les risques et plus préoccupés par les mécanismes de sécurité réels.
  • Traduire les actifs et les risques potentiels en pertes financières consommables.
  •  Comprendre les actifs informatiques et leur valeur.
  • Identifier les risques et les menaces qui pèsent sur les actifs dans le monde.
  • Communiquer les risques et les contrôles disponibles à un RSSI ou à un VIO afin qu'il puisse déterminer le niveau de risque acceptable.

 

Par le passé, l'informatique et la sécurité ainsi que la GRC ont toutes deux rédigé des politiques, ce qui est compréhensible, car chaque groupe s'occupe d'un grand nombre des mêmes machines. Aujourd'hui, l'intégration entre l'informatique et la sécurité et la GRC s'accroît, avec moins de chevauchement entre les responsabilités pour une efficacité et une sécurité globales accrues. L'élaboration intégrée d'une politique informatique et le respect de cette politique sont essentiels pour parvenir à une position de sécurité optimale.

 

Gérer la fusion des départements

La définition des rôles est absolument essentielle. Étant donné que les deux groupes étaient autrefois des machines indépendantes dont les fonctions se chevauchaient, les charges de travail liées aux politiques, à l'élaboration des contrôles, à la conformité et aux risques devraient être de nature unique dans tous les départements.

La création de charges de travail définissant la manière dont les rapports sont établis, les systèmes sont adoptés et les politiques sont élaborées garantira le bon déroulement des mises en œuvre techniques. La fusion est une question de rôles, de définition et de définition des attentes au sein des départements. Les deux départements continuent d'apporter une valeur ajoutée indépendante, mais ils font des choses différentes. La sécurité et l'informatique ont toujours commis l'erreur d'élaborer des politiques dépourvues de risques et de conformité - l'acceptation du changement ne fera que renforcer la sécurité de votre entreprise.

CSS développe des contrôles et des politiques sur une base continue en aidant les clients à se développer dans le cadre de la GRC. Si votre organisation de sécurité souhaite en savoir plus, contactez-nous pour discuter de vos besoins en matière de conformité à la cybersécurité.

Parlez à un expert PKI
carré Keyfactor logo

Auteur

Keyfactor

Équipe technique
Plus d'articles par Keyfactor