Mettre un maximum d'argent sur un problème ne fait que le cacher... Surtout quand il s'agit de sécurité.
De nos jours, le vol de données et les rançongiciels (ransomware) ont transformé le «SI» en un «QUAND». Quel que soit le budget du service de sécurité, vous ne saurez pas quand vous serez touché ni à quel niveau, mais vous le serez un jour ou l'autre.
La sécurité est un travail d'équipe où tout le monde (et en particulier la haute direction) doit s'impliquer.
Malheureusement, j'entends beaucoup trop de PDG / CFO demander: "Comment puis-je garantir que je n'aurai pas à faire face à du vol de données ou des rançongiciels"? C'est la mauvaise question. Une bonne question serait "Comment puis-je garantir que mon entreprise est prête pour tout événement de vol de données / rançongiciel".
Si votre but est de savoir si vous êtes prêt, vous êtes dans le bon état d'esprit.
Oui, avoir une infrastructure de sécurité solide est une grande partie de la solution, mais impliquer tout le monde dans une discussion continue sur la sécurité est, de loin, l'élément le plus important.
Parce que le pare-feu que vous avez acheté il y a 5 ou 10 ans n'est probablement plus en mesure de parer les techniques et outils criminels actuels aussi efficacement. Et d'un autre côté, le dernier modèle de pare-feu de type "Ferrari" à 200K $ pourrait vous fournir un faux sentiment de sécurité plus qu'autre chose ...
Ne pensez pas que vous ne pouvez pas être impliqué parce que vous ne comprenez pas les termes dont parle votre groupe informatique.
Si vous entrez dans la pièce avec du bon sens et une forte aversion pour les "je pense que oui", vous avez tout ce dont un bon décideur a besoin pour gérer toutes les réunions du service informatique.
Voici quelques bons exemples de questions que vous pouvez poser sur votre sécurité globale :
Puis-je voir le rapport de la dernière restauration de données que nous avons effectuée?
Quel est le dernier score de nos tests d'hameçonnage / sensibilisation à la sécurité du personnel?
Où puis-je trouver le document d'urgence en cas de panne de notre système téléphonique ou de notre solution de messagerie électronique?
Si les données de nos clients sont chiffrées par des pirates, combien de temps faudra-t-il pour être opérationnel? Quand l'avons-nous testé la dernière fois?
Et si ces questions obtiennent des réponses évasives, une réponse de type "nous n'en avons pas besoin" ou le ton général de la voix dans la salle monte d'un niveau, il était temps que vous vous impliquiez ...
C'est là qu'un expert en sécurité comme un CISSP (sur la paie ou via un MSP) serait un excellent partenaire dans ce processus. Il vous fournira, à vous et à vos entreprises, la meilleure assistance dans le processus de gestion de la sécurité, de la formation, des rapports... Et bien sûr, facilitera les communications entre vous et le service informatique.
Faites équipe avec votre service informatique ou MSP, posez des questions, investissez d'abord dans les gens et dans le matériel ensuite.
Parce que, quand les vrais problèmes surviennent, que préférez-vous avoir à vos côté? Des personnes qui s'impliquent, sont inclusive et orientée solution... Ou un rapport indiquant que, parce que personne n'a jamais testé les sauvegardes, vous devez maintenant expliquer à vos clients / partenaires / fournisseurs, que vous êtes essentiellement fermé pour la semaine prochaine ou plus...?
Parlez-en avec votre expert en sécurité de l'équipe informatique ou de votre MSP.