Outre les dirigeants plus avant-gardistes et prêts à investir, avoir un ISMS n’est pas considérée comme une priorité pour de nombreux dirigeants à l’heure actuelle. Même si les preuves de menace sont accablantes, jusqu'à ce qu'une perte leur arrive ou qu'une personne qu'ils connaissent, rien d'important ne se passe au-delà des achats de sécurité opérationnelle, par exemple un antivirus, un pare-feu, etc.
Selon votre point de départ et les attentes des parties prenantes pour l’avenir, ne rien faire n’est plus une option. Les forces externes en faveur du changement se multiplient et doivent être examinés attentivement, tout comme les attentes des parties prenantes externes..
Les réglementations orientent les organisations vers des approches plus professionnelles en matière de sécurité et de protection. Un simple une violation de données peut tuer une entreprise et avoir des conséquences dévastatrices pour les parties prenantes qui subissent des pertes. Un SMSI pragmatique et bien ciblé aidera faire face à ce risque.
Les clients puissants deviennent également plus intelligents gérer leur chaîne d'approvisionnement risques et atténuer les risques d’échec. Cependant, même si les forces qui poussent au changement sont nombreuses, à moins que les forces de résistance ne soient combattues (par exemple, l'apathie des dirigeants à investir), il est peu probable que la mise en œuvre du SMSI soit réussie ou durable.
Il y a tellement de bruit dans le monde de la sécurité de l’information et de la vie privée en ce moment. Il y a tellement de choix, mais avec peu de clarté sur les avantages, que les gens n'agissent tout simplement pas parce qu'ils ne peuvent pas être sûrs de prendre les bonnes décisions. Ils n’ont peut-être pas non plus le temps, l’intérêt ou l’expertise nécessaire pour se renseigner sur le sujet.
Il est crucial d’examiner les besoins des parties prenantes puissantes. En l’absence d’instructions plus claires de la part de clients puissants, ou les régulateurs sur ce à quoi ressemble une norme de certification pour le RGPD (à titre d'exemple de pratiques législatives), en suivant des normes minimales telles que les listes de contrôle ICO, Cyber Essentials, et pour des approches plus globales, la norme ISO 27001:2013 est une bonne voie à suivre.
Nous présentons ultérieurement la carte de maturité en matière de sécurité de l'information et évaluons les attentes des parties prenantes ; les deux peuvent servir de base à votre organisation pour réfléchir et planifier vers où elle pourrait vouloir évoluer à l’avenir.
Sécurité des informations et gestion de la confidentialité peut être difficile pour certains dirigeants de s'enthousiasmer, de sorte qu'ils ne voient qu'une partie de l'équation ; coût. Ils considèrent également que cela est très compliqué, donc sans aborder les raisons 1 et 2, cela reste dans la « case trop dure ».
Faire passer les personnes résistantes en interne d’une mentalité de coût à celle de bénéfice est crucial pour le succès et l’adhésion des dirigeants.
Plus stratégique et professionnel gestion de la sécurité de l'information doit montrer la partie retour de l’équation et être considéré comme un investissement, pas seulement un coût.
Le retour sur investissement peut être convaincant lorsqu’il est réalisé avec sérieux. Il doit également reconnaître que, comme les professionnels de la vente, de la comptabilité et autres systèmes d'affaires clés, un SMSI a besoin de plus qu'un simple magasin de dossiers partagés, d'e-mails, de feuilles de calcul et de documents pour qu'il fonctionne suffisamment bien pour être fiable et efficace.
Un SMSI offre un retour sur investissement positif. L'objectif de notre livre blanc est de vous montrer pourquoi, quoi et comment obtenir un retour sur investissement grâce à un SMSI adapté aux besoins de votre entreprise.