Conseils de Tripwire: sécurité informatique et conformité en neuf étapes

Anonim

L'amélioration de la stabilité et de la sécurité du système pose des défis importants pour les entreprises à mettre en œuvre. Jennifer Bayuk du Stevens Institute of Technology dans le New Jersey et Gene Kim, directeur technique et co-fondateur de Tripwire, ont mené un projet de recherche pour explorer comment les entreprises gèrent la sécurité et la conformité dans la pratique. «Une erreur typique de nombreuses entreprises est de comprendre les audits et la conformité comme un projet plutôt que comme un processus», explique Kim. «Les organisations qui suivent cette approche se retrouvent souvent dans un cycle de résolution de problèmes motivé par la crise. De la préparation de l'audit proprement dit à l'évaluation des résultats en passant par le dépannage et la répétition de l'audit, l'incendie est principalement éteint au lieu de mettre en place systématiquement des règles et des processus pour plus de sécurité. Le résultat est plus une recherche hautement politique du coupable de l'échec qu'une sécurité améliorée de leur propre informatique. "

Kim recommande aux organisations d'avoir un plan en 9 points pour briser ce cercle vicieux et faire en sorte que la sécurité et la conformité deviennent partie intégrante de leur travail quotidien.

  1. De haut en bas:
    Expliquez clairement au conseil informatique qu'il doit partager la responsabilité de la sécurité informatique et des résultats d'audit avec le responsable de la sécurité informatique.

  2. Comprendre les objectifs de l'entreprise et la sécurité informatique comme un tout:
    Le succès commercial et la sécurité informatique vont de pair. Définissez les objectifs entrepreneuriaux de votre entreprise et montrez avec quels processus et mesures l'informatique sécurisée permet d'exclure les risques et d'atteindre ces objectifs.

  3. Rendre la sécurité mesurable:
    Identifiez des indicateurs mesurables qui décrivent une infrastructure informatique sécurisée de manière optimale.

  4. Comprendre le flux d'informations du début à la fin:
    Décrivez vos processus métier de manière précise et complète pour saisir tous les processus et la documentation pertinents pour un audit:

    • Où les informations sensibles entrent, entrent et sortent de l'entreprise et où sont-elles stockées?

    • Quels risques d'entreprise et de sécurité ce flux d'informations implique-t-il?

    • À quels moments utilisez-vous quelles technologies pour prévenir les erreurs et détecter les erreurs?

  5. Définition de la responsabilité du contrôle et des processus:
    Pour chaque processus métier important, nommez une personne responsable du contrôle et du maintien des règles de sécurité et de conformité.

  6. Décrivez clairement les résultats attendus:
    Déterminez les indicateurs qu'un test de sécurité et de conformité automatisé doit tester et les résultats que vous attendez. De cette façon, les propriétaires de processus peuvent comparer les résultats réels avec les spécifications.

  7. Effectuez des tests réguliers:
    Testez régulièrement si les processus, programmes et configurations informatiques répondent toujours à vos exigences de sécurité et de conformité. Cela vous permettra de détecter rapidement les écarts et les erreurs et de vous assurer que vous êtes prêt pour le prochain audit.

  8. Vérifier et documenter la suppression des défauts:
    Vérifier et documenter l'élimination des défauts et erreurs détectés. Cela garantira qu'ils seront effectivement résolus à temps pour le prochain audit.

  9. Intégrez les changements dans le matériel informatique et les processus informatiques:
    Assurez-vous d'adapter vos responsabilités, indicateurs et contrôles existants aux changements importants dans les processus informatiques et l'infrastructure informatique pour maintenir votre état de sécurité et de conformité.

Le livre blanc anglais détaillé de Gene Kim et Jennifer Bayuk sur «La sécurité de l'information et la multi-conformité: éviter la fatigue d'audit avec une stratégie de conformité informatique unique» est disponible sur demande auprès du fabricant. (Tripwire / ph)