Exigence 27001 de la norme ISO 4.1 – Comprendre le contexte de l'organisation

Quels sont les enjeux internes et externes ?

L'ISO n'offre en réalité pas beaucoup d'aide pour expliquer ce que pourrait être un problème interne ou externe. Pour une organisation qui débute dans la gestion de la sécurité de l’information, la simple détermination de cette exigence pourrait perdre un temps précieux.

Cela dépend vraiment de la culture et de la nature de l'organisation, des personnes impliquées, de son point de départ et de la valeur à risque. À titre d'exemple, une petite organisation bien gérée avec un objectif clair et peu de personnes impliquées pourrait tirer ses conclusions sur les problèmes internes et externes affectant les résultats du SMSI au cours d'une tasse de thé de 10 minutes (en particulier avec tous les exemples du coach virtuel).

Cependant, d'autres organisations pourraient prendre plus de temps. Nous suggérons généralement qu'il s'agit d'un exercice de type brainstorming rapide qui évite une analyse excessive au départ - vous identifierez presque certainement davantage de problèmes internes et externes au fur et à mesure que vous aborderez les autres exigences et ceux-ci peuvent facilement être ajoutés au fur et à mesure de la mise en œuvre de votre système de gestion de la sécurité de l'information et le voyage vers une meilleure assurance de l’information se poursuit.

Comment identifier les problèmes internes

Considérez l'acronyme IPOPS ci-dessous pour identifier les problèmes internes susceptibles d'affecter les résultats d'un SMSI. Il peut s'agir d'un exercice sur tableau blanc, d'une séance de post-it ou simplement de capture de notes que vous téléchargerez plus tard pour démontrer votre compréhension des problèmes. Rassemblez les bonnes personnes dans une pièce ou au téléphone et démarrez la conversation !

Regardez l'image pour un exemple de base de ce qui pourrait être fait et qui peut être téléchargé comme élément de preuve, ou rédigé plus en détail et testé davantage avec d'autres parties prenantes en fonction de la nature de l'organisation. Du point de vue des auditeurs externes UKAS ISO 27001, ils chercheront à s'assurer que l'organisation a compris les problèmes qui pourraient affecter les résultats du SMSI (et les a documentés) avant d'utiliser ces preuves pour aller de l'avant.

Cela aidera ensuite à identifier les parties intéressées, à définir une portée, à documenter vos objectifs, à dresser un inventaire des actifs et à effectuer une analyse des risques liés à la sécurité de l'information avant d'élaborer des politiques et des contrôles appropriés conformément à la déclaration d'applicabilité.

Tout cela est un déroulement très logique et commence ici avec cet exercice simple !

Exemples de problèmes internes

Nous avons donné ci-dessous quelques idées et exemples de domaines dans lesquels vous pourriez rencontrer des problèmes internes affectant les résultats du SMSI, mais de nombreux problèmes pourraient être pris en compte en fonction de l'organisation, de son secteur, de sa taille, de la portée et de la nature des produits et services. etc.

Nous vous suggérons d'être pratique et de veiller à ce que cela ne devienne pas un exercice de stratégie majeur ou une thèse de doctorat lorsque cela n'est pas nécessaire. Il ne s'agit pas non plus de savoir où vous « regroupez » le problème interne, l'idée d'une simple analyse de portefeuille comme celle-ci est d'aider le cerveau à déclencher les problèmes internes.

Ainsi, que vous les placiez sous la responsabilité de personnes, d'une organisation ou ailleurs est moins important (certains peuvent également être des problèmes externes) : c'est l'identification des problèmes internes ou externes qui est importante afin que vous puissiez construire un système de gestion de la sécurité de l'information qui fonctionne pour vous. !

Vous prendrez également en compte la nature de l'organisation autour des personnes, par exemple la philosophie consistant à tout faire en interne, à sous-traiter, etc. – ces aspects donnent tous lieu à des « problèmes » qui pourraient affecter le SMSI.

Par exemple, vous pourrez peut-être mieux contrôler le personnel en interne que les fournisseurs, mais il se peut qu'il y ait un argument en faveur de l'implication des fournisseurs dans leurs processus parce qu'ils offrent les services que vous souhaitez. N'oubliez pas que vos objectifs commerciaux passent en premier – c'est au cœur de l'identification des problèmes – gérez votre entreprise comme vous le souhaitez et assurez-vous que le SMSI protège vos informations précieuses et celles de vos parties intéressées.

Tous les problèmes pertinents doivent ensuite être pris en compte pour une analyse des risques plus détaillée ultérieurement. Cependant, tous les problèmes ne constituent pas réellement des risques et certains sont plus importants que d’autres. Vous pouvez donc choisir de prioriser les problèmes les plus importants. Nous vous suggérons donc d’éviter l’analyse des risques ou toute réflexion approfondie sur les hypothèses à ce stade et de vous concentrer sur l’identification des problèmes.

Les informations en tant qu'actifs qui constituent des problèmes internes affectant les résultats du SMSI

Quelles informations sont créées, traitées, stockées, gérées et ont une valeur réelle pour l'organisation et ses parties intéressées (conformément à l'analyse des parties prenantes que vous ferez pour 4.2 ensuite) ? Données personnelles, idées sensibles des clients et DPI, informations financières, marque, bases de code, etc. ?

C'est en plein cœur du SMSI où les actifs informationnels constituent la base de tout le reste – l'identification précoce de ces actifs facilite également la gestion de l'inventaire des actifs informationnels pour A8.1.

Examinez ensuite les problèmes potentiels liés aux informations elles-mêmes – en particulier la confidentialité, l’intégrité et la disponibilité, en tenant compte des autres domaines ci-dessous au fur et à mesure pour avoir une idée de l’endroit où les problèmes pourraient se trouver.

Problèmes internes liés aux personnes qui pourraient affecter le résultat escompté du SMSI
Il n'est pas surprenant que la sécurité des ressources humaines soit une partie importante du SMSI, en effet l'Annexe A 7 y est consacrée et toutes les politiques, contrôles et gestions ultérieurs seront probablement pensés en pensant aux personnes, tant aux employés internes qu'aux ressources externes comme Fournisseurs.

Par conséquent, considérez tous les problèmes existants de :

• recrutement – ​​par exemple, difficultés liées à l'embauche de personnes compétentes, rotation du personnel élevée/faible
• initiation – par exemple, reçoivent-ils actuellement une formation sur la sécurité de l'information, est-ce que cela fonctionne
• dans la gestion de la vie – par exemple en les gardant engagés et en démontrant leur conformité aux politiques et aux contrôles – le personnel trouve-t-il réellement la sécurité de l'information sexy et excitante ou est-ce un défi culturel d'amener quelqu'un à verrouiller son ordinateur portable lorsqu'il va aux toilettes
• changement de rôle et sortie – par exemple, l'accès et la suppression des actifs et services informationnels sont-ils effectués

Problèmes internes organisationnels affectant les résultats du SMSI

Quels sont les problèmes auxquels l’organisation est confrontée et qui pourraient affecter les résultats du SMSI ? Par exemple, une croissance rapide entraîne des problèmes de personnel et de structure qui peuvent affecter la compréhension et la connaissance des politiques, ou le fait que les choses changent si rapidement qu'il est difficile de mettre en place des processus détaillés et cohérents.

Y a-t-il des pressions de la part de la direction de l'organisation et du conseil d'administration ou des actionnaires qui pourraient causer des problèmes (ceux-ci peuvent être positifs comme négatifs) ? Les opérations internationales auront des normes culturelles différentes pour les personnes impliquées.

Un autre problème interne associé aux personnes et à l'organisation pourrait être lié au fait que vous ne voulez pas que beaucoup d'entre eux soient employés ou que vous ayez du mal à en trouver de bons, alors comptez plutôt sur l'externalisation. Cela entraîne un besoin de fournisseurs (et de personnel chez les fournisseurs), c'est donc un problème à relier à l'analyse des parties intéressées que vous ferez ensuite au point 4.2.

Problèmes internes liés aux produits et services pouvant avoir un impact sur les résultats du SMSI

Quels sont les produits et services fournis par l'organisation et quels types de problèmes émergent autour de ceux-ci qui pourraient entraîner un risque informationnel ? Par exemple, si l'organisation est innovatrice et que la protection des DPI est importante pour le leadership produit, c'est une question qui doit être prise en compte dans le SMSI.

Si l'organisation s'appuie sur de grandes propriétés physiques, par exemple en tant que fabricant, cela posera probablement davantage de problèmes de sécurité physique, alors qu'un petit fournisseur de logiciels cloud pourrait être beaucoup plus concentré sur des questions telles que la protection des DPI contre les pirates numériques et les problèmes liés à la dépendance du succès et du succès de leurs produits. assurance sur les fournisseurs d’hébergement, etc.

Les systèmes et processus en tant que problèmes internes qui affectent le résultat escompté du SMSI

Les gens pensent souvent aux ordinateurs et à la technologie numérique lorsque le mot « système » est utilisé. Cependant, les systèmes manuels et sur papier sont également des domaines clés pour l'émergence de problèmes, alors n'oubliez pas de les prendre également en compte.

Chacun des domaines répertoriés ci-dessus impliquera des systèmes et des processus – qui pourraient être implicites (nous l’avons toujours fait de cette façon et ne l’avons jamais documenté) ou pourraient être enveloppés dans une masse de documentation que personne ne pourra jamais suivre…… .après avoir examiné les domaines IPOP ci-dessus, réfléchissez aux problèmes internes liés aux systèmes et processus – par exemple, si vous recrutez régulièrement du personnel mais que vous ne disposez pas d'un processus et de systèmes formels démontrant l'évaluation et la sélection du point de vue de la sécurité de l'information, vous avez un problème (notamment en raison de l'annexe A7 de la norme ISO 27001).

Le problème est que vous pourriez embaucher des personnes qui vont devenir l'ennemi intérieur, soit par ignorance de la sécurité de l'information, soit parce qu'elles sont des saboteurs et que vous n'y avez jamais pensé. Il en va de même pour tous les systèmes et processus de l'organisation qui relèvent de la garantie des informations : quels types de problèmes surviennent lorsque la confidentialité, l'intégrité ou la disponibilité des informations pourraient être menacées ?

Comment identifier les problèmes externes

L'un des anciens favoris de l'analyse externe est PESTLE (politique, économique, sociologique, technologique, juridique et environnemental) et il a le mérite d'être utilisé dans cet exercice, encore une fois pour rester pratique et axé sur les questions affectant les résultats du SMSI plutôt que comme un outil d'analyse externe. un travail stratégique profond. Cet exercice nécessite généralement beaucoup moins d’explications et vous le trouverez sans aucun doute assez facile à parcourir et à considérer du point de vue de la sécurité des informations.

Encore une fois, évitez de suranalyser et d'essayer de forcer l'ajustement des choses dans des compartiments pour le plaisir – quelque chose se déclenchera ou non et vous pourrez toujours y revenir plus tard. Les problèmes internes affectant les résultats du SMSI déclencheront également des problèmes externes – par exemple, si l'organisation décide qu'elle ne fera pas tout en interne et a besoin de fournisseurs, alors les problèmes externes avec ces fournisseurs et leurs aspects liés à PESTLE entrent en jeu.

Questions politiques extérieures

Quelles questions politiques pourraient affecter l’organisation et affecter les résultats ? Les exemples pourraient inclure le Brexit et des changements de politique spécifiques dans un secteur qui ont un impact sur l'investissement ou la croissance et qui pourraient conduire à des méthodes de travail différentes et à des approches différentes en matière de gestion de l'information.

La politique (et les puissants acteurs des médias sociaux abusant des données personnelles) a amené le RGPD, ce qui a entraîné des changements réglementaires, augmentant ainsi la pression sur les clients, qui à leur tour obligent les fournisseurs à mettre en place des systèmes de gestion de la sécurité de l'information certifiés ISO 27001 de manière indépendante pour les aider à gérer leur approvisionnement global. risque en chaîne.

C'est un exemple d'un problème à cheval sur de nombreux aspects de PESTLE et c'est un problème externe auquel presque toutes les organisations sont confrontées.

Problèmes économiques externes

Quel est l’impact économique de votre marché et de la chaîne d’approvisionnement sur l’organisation ? Cela entraîne-t-il plus ou moins de problèmes avec les fournisseurs, les clients, quels aspects de la sécurité de l'information pourraient être réduits dans le domaine de la réduction des coûts et entraîner une augmentation des risques ou des menaces (et bien sûr des opportunités également) ?

Les exemples peuvent être une main-d'œuvre moins chère, moins de formation et moins de temps pour faire le travail, ou l'incapacité de se permettre des systèmes technologiques décents qui aideraient à améliorer les opérations parce que les fonds doivent être prioritaires ailleurs (Conseil : consultez notre livre blanc sur le planificateur d'analyse de rentabilisation pour obtenir des conseils sur le retour sur investissement). sur l'investissement dans la sécurité de l'information.)

Enjeux sociologiques externes

Comment la société ou la démographie de votre public évolue-t-elle et affecte-t-elle votre entreprise ? Par exemple, des citoyens toujours connectés offrent des opportunités et des menaces, et une génération de personnel qui a parfois plus ou moins de respect pour les données apporte également des points positifs et négatifs.

Enjeux technologiques externes

Comment le rythme croissant du changement technologique crée-t-il des problèmes pour les résultats du SMSI ? Les changements quotidiens dans les systèmes d'exploitation sont-ils corrigés contre (disons) une fois par an dans le passé ? Cela conduit à la nécessité d’une gestion beaucoup plus dynamique que de nombreuses organisations ont du mal à maintenir et qui, si elle n’est pas gérée, augmente la menace d’une cyber-violation et la perte devient plus probable.

Dans quelle mesure l’intelligence artificielle, l’apprentissage automatique, le cloud et tous les autres mots à la mode technologiques créent-ils des problèmes pour votre organisation en externe ?

Questions législatives externes

L’un des domaines d’échec les plus courants de la norme ISO 27001 est l’incapacité à mettre efficacement en évidence les problèmes de législation et de réglementation d’application, puis à les gérer. Cette partie de PESTLE est un excellent point de départ pour l'annexe A18 sur la conformité : si votre auditeur en sait plus que vous sur la législation et la réglementation affectant votre organisation (et donc le SMSI), il ne sera pas impressionné.

Cela va bien au-delà de la protection des données, du RGPD, de la surveillance informatique, des droits de l'homme et du droit de la propriété intellectuelle, alors accordez-y une attention particulière pour toute information relevant de votre compétence. Vous n'aurez pas nécessairement besoin d'un avocat, mais montrer que vous avez pris en compte la législation applicable affectant l'organisation rendra également le traitement des risques, la création de politiques et de contrôles plus ciblés et pertinents.

Il se peut que votre appétit pour le risque soit assez élevé, mais si une législation ou une réglementation applicable fixe la barre, vous devrez alors élaborer des politiques et des contrôles pour vous y conformer plutôt que de vous contenter de ce que vous pensez être acceptable !

Problèmes externes environnementaux

PESTLE traite généralement l'environnement comme une question verte, mais il peut également s'agir de votre « environnement » plus large. De simples considérations environnementales pourraient signifier que vous visez à utiliser moins de papier et à voyager moins – super, quels en sont les problèmes pour le SMSI ?

Par exemple, le développement du SMSI pourrait être l’occasion de changer les pratiques en matière d’impression ou de développer des politiques de travail mobile, etc. – ce sont quelques idées simples qui surgissent lorsque l’on pense au papier environnemental et aux questions de voyage.

Les problèmes « environnementaux » plus larges pourraient être ce qui se passe chez vos concurrents et dans des forces plus larges (pensez Porteurs 5 forces à titre d'exemple simple) – quels problèmes environnementaux externes se produisent là-bas et pourraient avoir un impact sur les résultats de votre SMSI ?

Vous savez que votre pouvoir de négociation auprès de vos clients augmente en matière de sécurité des informations. Cependant, si vos concurrents obtiennent tous une certification indépendante ISO 27001 et que vous ne pensez qu'à la conformité des cases à cocher et des gestes de la main, il s'agit d'un problème externe que vous voudriez examiner plus en profondeur pour être compétitif, sans parler de sécurité et de confiance.