Lorsqu’on demande aux responsables de la sécurité d’évaluer la sécurité et la gouvernance des TI de leur entreprise, le processus comprend parfois de passer en revue une évaluation de 400 questions, qui ressemble souvent à la structure complète de la sécurité et de la gouvernance inscrite dans un tableur verrouillé avec comme seules options pour les réponses « oui » ou « non ». Ce n’est certainement pas la façon optimale de recueillir des informations importantes. Pourtant, des moyens comme celui-là sont souvent utilisés, et même parfois dépourvus de l’information dont vous avez besoin pour correctement répondre au questionnaire.

Lorsqu’ils sont utilisés correctement, les questionnaires et les évaluations peuvent être précieux. David Levine, vice-président, Sécurité de l’information et CISO pour Ricoh USA, Inc. a écrit à propos de ce sujet et a prodigué des conseils dans un article pour CSO1, une source de nouvelles, d’analyses et de recherches à propos de la sécurité et de la gestion des risques.

M. Levine affirme que bien que certains fournisseurs aient développé des outils pour tenter de résoudre ce problème, à l’heure actuelle, aucune solution miracle n’a été trouvée. Voici certaines des stratégies qu’il recommande:

  • Mettre en place une procédure, automatisée si possible, qui documente les demandes et la formation associée qui assure que vous receviez le questionnaire le plus tôt possible
  • Demander à tous les employés, ou les demandeurs, de partager toute l’information pertinente (étendue, types de données, etc.) à l’avance
  • Répertorier les réponses que vous donnez pour assurer l’uniformité de l’information fournie, passer en revue cette information sur une base régulière et ajouter de nouvelles réponses lorsque vous voyez de nouvelles questions

L’article présente d’autres stratégies qui peuvent aider à améliorer la sécurité et la gouvernance de vos TI par l’utilisation de questionnaires et d’évaluations. Tout compte fait, un questionnaire complet dans le bon contexte est beaucoup plus efficace et, du même coup, plus pertinent.

David Levine est le vice-président, Sécurité de l’information et CISO pour Ricoh USA, Inc. où il supervise la sécurité opérationnelle, les politiques de sécurité, la gestion des accès et le soutien de la découverte électronique tout en présidant les conseils consultatifs de la sécurité de Ricoh et le conseil d’administration de la HIPPA ainsi qu’en dirigeant l’équipe de sécurité virtuelle mondiale de Ricoh.

David sait qu’un questionnaire complet concernant la sécurité dans le bon contexte et doté des questions pertinentes peut renforcer la sécurité et la gouvernance de vos TI. Toutefois, comment pouvez-vous y arriver? Lisez l’article de David au CSO1.com pour en apprendre davantage.