Il existe tant de voies rapides pour établir une gestion de la sécurité ainsi que des contrôles que les risques de passer à côté du livre pourraient être négligés. Il est facile d’utiliser des cadres, des normes telles que ISO 27001 ou d’autres exigences réglementaires et de ne jamais tomber dans l’habitude de l’amélioration continue. C’est la raison pour laquelle cet article explique le processus de sélection des contrôles de sécurité, les meilleures pratiques de l’industrie et quelques expériences en cours de route.
Afin d’établir un plan pour obtenir une table solide de contrôles de sécurité, nous avons écrit un livre blanc sur ce sujet qui explique en détail le processus de sélection des contrôles de sécurité basé sur le cadre de gestion des risques NIST utilisé internationalement et la publication spéciale 800-53. Ce document conclut toutes les étapes nécessaires pour compléter une liste de contrôles sélectionnés, des exemples, l’expérience de l’industrie et les idées fausses couramment utilisées pour mettre en œuvre de manière optimale ce processus dans vos processus de risque ou de sécurité de l’information ainsi qu’un exemple complet sur la façon dont le résultat de ce processus ressemblerait. Vous pouvez trouver le livre blanc en suivant ce lien :
Livre blanc Overlooked Danger – Sélection des contrôles de sécurité
Le résumé
Le processus de sélection des contrôles de sécurité est largement connu mais souvent négligé ou programmé après l’obtention des premiers résultats, mais l’amélioration peut se produire même avant la mise en conformité, de sorte que le processus de sélection commence dès le début de la mise en place d’un ISMS. La sélection des contrôles de sécurité comprend trois étapes : The selection of a minimum baseline, identification of common controls and the selection of hybrid and system-specific controls. Chaque étape doit être prise en compte avec soin pour une efficacité optimale du programme de sécurité. En suivant le processus décrit dans le cadre de gestion des risques du NIST, le résultat devrait être indiqué dans un plan de sécurité, mais tout autre document serait également suffisant. Un exemple d’un tel document se trouve à la fin du livre blanc.