L'ÉVALUATION DES RISQUES DE SÉCURITÉ
PROCÉDER À UNE ÉVALUATION DES RISQUES
CISO AG examinera les objectifs de sécurité de votre organisation et procédera à une évaluation des risques afin d'éclairer vos choix en matière de cybersécurité. En comprenant les risques liés à la sécurité de l'information et l'impact qu'ils peuvent avoir sur une organisation, les consultants de CISO AG posent les bases d'un programme formalisé de gestion des risques informatiques.
La gestion des risques est le processus continu d'identification, d'évaluation et de réponse aux risques. Il s'agit de la première étape du cycle de sécurité de la gestion des risques. L'évaluation des risques donne une idée de l'efficacité de votre dispositif de sécurité et sert de base à l'élaboration de politiques et à la prise de décisions en matière de contrôle.
Ce résultat est obtenu grâce aux processus suivants :
Identifier les systèmes d'information les plus critiques et cartographier les flux de données critiques
Identifier toutes les "parties intéressées" susceptibles d'accéder à vos données sensibles ou de les traiter sur place
Identifier tous les tiers concernés qui traitent des données critiques et les classer par ordre de priorité en fonction des risques.
Identifier les limites des systèmes sous votre contrôle, par rapport au contrôle et à l'accès d'une tierce partie
Créer un processus d'intégration des fournisseurs, incorporant divers contrôles de conformité à vos politiques et répondant à l'appétit pour le risque de votre organisation.
S'assurer que tous les tiers existants ont des contrats, avec des clauses, des accords de niveau de service et des pénalités appropriés.
Veiller à ce que les obligations en cas de violation des données soient intégrées et testées, ainsi que la sensibilisation et la participation de votre équipe interne (y compris votre équipe de relations publiques).
Application des obligations contractuelles par le biais d'audits et d'examens des performances des fournisseurs
L'utilisation d'outils de classe mondiale pour fournir à vos fournisseurs les plus critiques une évaluation continue des risques techniques
Intégrer le retour d'évaluation dans un processus d'amélioration continue de votre chaîne d'approvisionnement
L'escalade des risques majeurs vers les services d'approvisionnement, pour aider votre organisation à éviter les eaux dangereuses.
Ce service est un modèle rentable qui peut être adapté - tant en termes de durée que de portée - pour répondre aux besoins de sécurité spécifiques et uniques ainsi qu'à l'appétit pour le risque du client. Grâce à cette formule, nos clients peuvent se concentrer sur leurs activités principales, tout en étant assurés que leurs actifs informationnels sont disponibles, efficaces et sûrs.
Au-delà de la définition de base de la posture de sécurité d'une organisation, l'évaluation des risques de sécurité de l'information est également la première exigence énoncée dans les réglementations fédérales telles que la loi Sarbanes-Oxley (SOX), la loi Gramm-Leach Bliley (GLBA) et la loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA).
Les normes de sécurité des données de l'industrie des cartes de paiement exigent également des commerçants de toutes tailles qu'ils fassent preuve de diligence raisonnable dans l'évaluation des risques liés à leurs opérations technologiques. Il s'agit également d'une exigence du cadre du GDPR.
Identifier les actifs
Identifier les menaces et les vulnérabilités
Évaluer la situation actuelle
Évaluer les risques
Attribuer la propriété