Reconnaissez la demande !

Des risques liés à l'utilisation croissante des ressources informatiques dans toute entreprise sont très souvent sous-estimés. Cela est dû en grande partie à la puissance des technologies de l'information, qui fonctionnent en grande partie en arrière-plan sans que les utilisateurs s'en aperçoivent.

Des opérations informatiques ininterrompues ?

L'une des tâches les plus importantes est de veiller à ce que les systèmes et les applications puissent fonctionner sans interruption et que les données qu'ils contiennent soient accessibles sans perte de données.

Tout est sous contrôle sans interruption

disponibles dans le respect de la loi. C'est précisément sur ces points importants qu'il y a souvent un manque de clarté quant aux exigences concrètes de sauvegarde et de stockage que l'organisation impose aux ressources informatiques. Les employés des petites entreprises gérables peuvent encore être familiarisés avec les exigences des processus informatiques. Dans les moyennes et grandes organisations, la situation est souvent très différente en raison de la division du travail : les utilisateurs assument des exigences de disponibilité utopiques. Une panne du poste de travail ou d'une seule application importante n'est jamais survenue. La raison en est que les technologies de l'information ont complètement exclu de tels scénarios par la conception des systèmes et la sélection des produits.

Connaître les risques

Si l'informatique veut minimiser les risques de défaillance de manière ciblée et s'aligner sur les besoins de l'entreprise, il faut connaître les exigences relatives aux processus et aux applications ainsi que les ressources informatiques qui y sont utilisées. En particulier dans les grandes entreprises ou administrations, où la gamme d'applications et de données différentes est très vaste, il est important de connaître les exigences concernant les dimensions de sécurité. Des chiffres clés sur la disponibilité, l'existence, l'intégrité et la confidentialité des données doivent être enregistrés de manière systématique et reproductible par le service informatique. Cela leur permet d'adapter les systèmes, les processus et les scénarios d'urgence des TI aux exigences.

Identification ciblée des risques de défaillance

de l'organisation en conséquence. Les risques sont ainsi minimisés de manière ciblée et les exigences légales peuvent être mieux appliquées. Enfin, l'objectif est de connaître les besoins de l'organisation en matière de sauvegarde et d'archivage, de quantifier les conséquences des défaillances et leurs effets temporels, et par conséquent de proposer des services informatiques adaptés aux besoins de protection.

Définir la procédure

Le besoin de protection peut être satisfait de différentes manières et avec des qualités variables. Le dialogue sur les risques établi et éprouvé sous forme d'entretiens est le meilleur moyen d'obtenir les paramètres clés. Les risques individuels peuvent être spécifiquement filtrés sur la base des questions et des réactions des personnes interrogées. Les variables pertinentes pour l'informatique sont systématiquement déterminées à l'aide des questions.

La procédure de ce dialogue sur les risques comporte de nombreuses pierres d'achoppement. Si, par exemple, les personnes interrogées ne sont interrogées que sur les indicateurs clés de la sécurité et du stockage sans connaissances de base plus détaillées, les résultats obtenus ne sont pas faciles à comprendre. Aucun facteur critique pour les entreprises ne peut être identifié qui justifie la mise en œuvre de l'exigence étudiée. Le dialogue sur les risques ne doit donc pas viser directement les indicateurs de performance, mais doit être mené avec des questions basées sur le principe du "et si". Les questions relatives aux conséquences des défaillances ou des erreurs visant à nuire à l'exécution des tâches, à la réputation publique ou aux conséquences juridiques doivent être abordées. À cette fin, il est avantageux que des scénarios de dommages compréhensibles soient utilisés spécifiquement comme exemples

Prendre en compte l'environnement

Dans les petites et moyennes entreprises, les exigences peuvent être satisfaites directement grâce au dialogue sur les risques décrit. Dans le cas de moins de sept services, il est conseillé de s'entretenir personnellement avec les responsables et les employés concernés. Si des centaines d'analyses doivent être effectuées dans de grandes organisations hétérogènes, cela ne peut plus se faire avec des dialogues sur les risques personnels.

À cette fin, par exemple, une enquête électronique est plus appropriée. Un nombre quelconque de destinataires peut être défini. Elle prend beaucoup moins de temps que les dialogues sur les risques en face à face. Une telle analyse d'impact sur les entreprises couvre l'ensemble de l'inventaire des demandes. Bien sûr, il y a aussi des inconvénients

le lié à un questionnaire. En raison du manque de contact personnel, il y a un manque d'intuition pour vérifier la pertinence de certaines déclarations. Dans le cadre du suivi de l'analyse, cela peut être

PersonalRiskDialogue

Le problème peut être contré en recherchant le dialogue dans des cas isolés où des manifestations extrêmes apparaissent ou lorsqu'il y a suspicion d'incohérences.

Saisir les exigences

Les exigences en matière de sauvegarde et de conservation ont été enregistrées à l'aide d'un questionnaire à choix multiples adapté aux directives en matière de sauvegarde, composé de 25 questions réparties en trois chapitres : sauvegarde des données, conservation des données et sécurité des informations.

1. la sauvegarde des données - – les valeurs les plus importantes pour la sauvegarde sont demandées. Le temps d'interruption maximum acceptable ou la perte de données maximum tolérable sont des valeurs qui découlent directement de la politique de sauvegarde. Cette procédure est basée sur la norme ISO 22301, la principale norme de continuité des activités. Étant donné que les personnes interrogées répondent souvent de manière déformée à ces déclarations de leur point de vue subjectif, il est nécessaire d'inclure également les conséquences des défaillances du système ou de la perte de données. Les conséquences sont enregistrées sous la forme d'une progression temporelle de la gravité. Grâce à cette progression, les données absolues peuvent être vérifiées. Cela fournit également aux TI le paramètre le plus important pour la protection des données : le temps moyen de récupération d'un système. Ceci est déterminé par les résultats de l'enquête.

2. la conservation des données - Contrairement à la sauvegarde, il s'agit de concevoir la période de conservation et donc la durée de conservation des sauvegardes. Des exigences importantes de conformité telles que la durée minimale légale de conservation sont mises en question et, comme déjà dans le chapitre sur la sauvegarde des données, des effets liés au temps sont mis en évidence en cas de non-conformité. La conservation des données exige une grande sensibilité en raison de l'explosion de la quantité de données et des périodes de conservation variables mais parfois longues. Quiconque pense pouvoir tirer de l'enquête une ligne directrice de rétention de 1:1 sera déçu. Même les experts en informatique ne peuvent pas donner une réponse concluante à la question de savoir combien de temps les sauvegardes doivent être conservées - par rapport à leurs propres données. Outre les exigences théoriques, les aspects économiques et l'orientation stratégique des TI jouent toujours un rôle dans le thème de la rétention.

3. la sécurité des données - Dans la dernière partie du questionnaire, les aspects de la sécurité des données sont abordés et, par exemple, les conséquences d'une fuite d'informations involontaire sont incluses. En plus des exigences de protection pour les sauvegardes et les archives, les réponses dans ce domaine fournissent également des informations sur la manière dont les TI devraient traiter les informations provenant des applications.

Enfin, le questionnaire fournit des informations sur les exigences en matière de sauvegarde et de stockage du point de vue du bénéficiaire du service et sur les conséquences des défaillances, des pertes et des violations de la conformité. Les résultats sont utilisés pour quantifier les priorités en matière de sécurité et de stockage. Dans ce cas précis, les résultats ont été utilisés pour créer une directive de sauvegarde et de conservation et un concept de sauvegarde basé sur les exigences de plus de 100 applications.

Conclusion

L'approche d'incitation aux exigences décrite ci-dessus est particulièrement intéressante pour les moyennes et grandes organisations informatiques. Avec un effort raisonnable pour l'informatique, les besoins des bénéficiaires des services pour les demandes sont évalués. Cette méthode donne aux responsables de la sécurité un aperçu de ce que l'on attend d'une gestion de crise (BCM) et d'une sécurité efficace. La personne responsable de la sécurité a

Un objectif de sécurité efficace

Le DSI, à son tour, peut utiliser ces informations pour effectuer une analyse d'impact reproductible basée sur les normes ISO 27001 et ISO 22301. Le DSI, quant à lui, dispose d'une analyse d'impact compréhensible et reproductible basée sur les normes ISO 27001 et ISO 22301. Fort de ces connaissances, le DSI sait ce qu'on attend effectivement de lui en termes de sécurité et de stockage. Plus rien ne s'oppose à la mise en œuvre.