Les principales conclusions du rapport sont les suivants:

• Il existe généralement des attitudes positives à la sécurité de l’information;
• La plupart reconnaissent l’importance de la sécurité de l’information en entreprise;
• Une importante minorité ne veut pas, ou est incapable, de mettre en pratique des actions positives;
• 95% des personnes interrogées pensent que la sécurité de l’information est importante;
• 25% n’ont pas reçu de formation sur la sécurité de l’information;
• 20% ne savent pas comment signaler un incident de sécurité;
• Près d’un quart croient qu’il n’est pas approprié pour les employeurs de surveiller les courriels et l’utilisation de l’Internet et
• 31% estiment que les exigences de sécurité de l’information nuisent les employés dans leur travail.

Trop compliqué les politiques?

19% des employés sondés ne savent pas où trouver leur politique de sécurité, et 14% ne l’ont pas lu ou compris.

Selon Paula Davis de SAI Global, “beaucoup d’organisations se disent « nous avons une politique, tous les bons comportements sont écrits, les gens savent ce qu’ils doivent faire “. Je pense que c’est une position trop risquée. Les règles sont là, elles existent, elles sont écrites, mais les gens vont-ils vraiment les comprendre et savoir comment les appliquer? ”

Qu’est-ce qui pourrait être différent?

L’industrie de la sécurité informatique doit se concentrer un peu plus sur la dimension humaine de la sécurité. Il faut se rappeler que nous sommes tributaires du comportement de l’employé. C’est l’employé qui est la dernière pièce du puzzle pour protéger l’organisation. Il est vital d’avoir un programme de formation continu afin que le message soit bien compris par tous les employés. Je suis surpris que seulement 25% des employés disent ne pas avoir eu de formation sur la sécurité. Ça me semble quand même positif car la sensibilisation n’obtient pas souvent une grosse part du gâteau en termes de budget!

Aucun autre article similaire trouvé

C’est cependant une erreur. Les politiques de sécurité sont la fondation sur laquelle reposera beaucoup d’autres politiques comme les politiques en matière de ressources humaines.

Voici un exemple concret en ce qui concerne l’utilisation de l’Internet. Imaginez un moment cette situation: un employé est pris en train de naviguer sur un site pornographique. Quelle est votre réaction initiale? Une suspension? un avis disciplinaire dans le dossier de l’employé? un congédiement immédiat? ou pire, vous l’ignorez?

Choix difficile surtout si vous n’avez pas décidé au préalable de ce que vous devriez faire et surtout si vous n’avez jamais avertis vos employés. Malgré le fait que cet acte ne devrait jamais être fait au bureau, plusieurs plaideront l’ignorance. Quelle sanction appliquerez-vous alors? Que feriez-vous si cet employé était un de vos meilleurs employés, ou encore un ami?

Malheureusement, la plupart des PME mettent la création de politiques sous le tapis en pensant que le problème s’effacera de lui même. Grave erreur car dès qu’un gestionnaire fera face à un problème, il optera souvent pour la solution la plus facile, celle du laisser-aller.

En bout de compte, ce laisser-aller enverra un message aux employés qu’il est acceptable d’avoir des comportements à risque, ce qui augmentera considérablement le risque dans l’entreprise.

Vous pouvez facilement créer une ou deux politiques globales de sorte à créer une base, ce que je vous urge de faire. Assurez-vous de tenir à jour ces documents et de faire signer les employés annuellement.

Lorsque vous aurez une base, vous pourrez par la suite vous attaquer aux particularités comme l’utilisation d’un cellulaire, d’une clé USB ou d’un lecteur MP3 au bureau.

Aucun autre article similaire trouvé