Un exemple de tableau de bord de stratégie avec des indicateurs de performance qui aborde les tendances émergentes de la cybersécurité.
Sujets clés de l’article :
Point de départ : Études sur la sécurité des données
Des études régulières sur la sécurité et la protection des données nous donnent une bonne idée de la cause principale des violations de données et des moyens de les prévenir. Dans cet article, nous discuterons d’un exemple de la façon dont ces résultats peuvent être combinés dans une stratégie globale de cybersécurité mesurable par des indicateurs clés de performance (KPI).
Voici les rapports que nous allons utiliser comme référence :
- Rapport sur le coût d’une violation de données par IBM1 avec des études menées par le Ponemon Institute est l’un des points de référence dans le monde de la sécurité informatique.
- Rapport d’enquête sur les violations de données de Verizon2 apporte une perspective différente sur les risques de cybersécurité et les moyens de les aborder.
- Enquête mondiale sur la sécurité de l’information d’EY3 partage les meilleures pratiques que les organisations mettent en œuvre pour faire face aux risques de sécurité des données.
- Rapport FireEye M-TRENDS4 rend compte des menaces à la sécurité des données et de leur évolution au fil du temps.
Terminologie : Cybersécurité, Sécurité des données, Protection des données, Confidentialité des données
Commençons par la discussion de la différence entre les termes sûreté/sécurité de l’information et protection des données (confidentialité des données).
- Sûreté/sécurité de l’information concerne le maintien d’une architecture sécurisée pour gérer les données. Pensez à des sauvegardes régulières, à des logiciels de sécurité à jour, à des droits d’accès, à la mise en œuvre de logiciels DLP, etc.
- Protection des données concerne l’utilisation éthique et légale des données – obtenir le consentement et respecter les obligations réglementaires.
Cette différence est importante. Par exemple, dans le cas Facebook–Cambridge Analytica, les données étaient gérées de manière sûre (étaient cryptées et stockées sur un serveur sécurisé), mais elles n’étaient pas gérées de manière responsable selon les réglementations sur la protection des données.
Le terme de protection des données est principalement utilisé en Europe et en Asie, tandis qu’aux États-Unis, le même concept est appelé confidentialité des données. Françoise Gilbert a partagé une bonne explication des différences sur son blog.
Enfin, un terme de cybersécurité est censé couvrir un éventail plus large d’idées, incluant non seulement la sécurité des données mais aussi d’autres systèmes de sécurité. En pratique, il est souvent utilisé de manière interchangeable avec le terme de sécurité des données.
Pourquoi avons-nous besoin de KPIs et de stratégie en cybersécurité ?
Au-delà des idées évidentes, comme savoir comment votre organisation se porte et comprendre la direction à suivre, je mentionnerais ces raisons :
- Être capable de soutenir les arguments avec des données lors de la présentation de nouvelles solutions de sécurité aux parties prenantes.
- Avoir un contexte commercial formulé aide à aligner les initiatives de cybersécurité sur d’autres parties de la stratégie, par exemple, sur le tableau de bord des talents, le tableau de bord IT ou le tableau de bord de la gouvernance d’entreprise.
- Convertir certaines idées vagues comme “environnement commercial hautement sécurisé qui exploite les dernières technologies IT” en quelque chose de plus tangible avec des indicateurs de performance spécifiques.
Comment mesurer quelque chose qui n’a pas encore eu lieu
Il pourrait sembler que la sécurité des données soit quelque chose d’intangible et difficile àquantifier et mesurer, car nous ne savons jamais à l’avance quel type de violation de données une organisation devra affronter. Les études empiriques mentionnées au début (voir, par exemple, le rapport IBM Security) partagent un point de vue différent.
La plupart des violations de données sont causées par des facteurs connus tels que :
- Identifiants compromis (19 %)
- Phishing (14 %)
- Mauvaise configuration du cloud (19 %)
Cela nous donne une idée de l’endroit où les efforts de cybersécurité devraient être concentrés.
Bien que nous ne puissions pas prévenir toutes les violations de données, les données montrent que nous pouvons minimiser leur impact sur l’organisation en :
- Mettant en œuvre l’automatisation de la sécurité,
- Ayant une équipe de réponse et un plan de réponse prêts,
- Éduquant les employés, et
- Testant l’environnement commercial en utilisant des approches comme les tests red team.
Quels cadres d’affaires sont applicables pour la sécurité des données ?
Avant, nous avons discuté de divers cadres d’affaires qui aident les organisations à articuler et exécuter leurs stratégies. Quels cadres sont applicables pour un domaine de cybersécurité ?
Pour obtenir les meilleurs résultats, nous devons combiner divers cadres :
- Nous utiliserons l’analyse PESTEL pour détecter et analyser les nouveaux facteurs de l’environnement externe (voir les objectifs de la perspective Apprentissage et Croissance). Cela peut inclure des changements dans la législation, comme les lois sur la protection des données, ou des changements perturbateurs que nous avons observés après Covid-19, par exemple, la tendance du travail à distance.
- Nous parlerons beaucoup de l’importance de concentrer les efforts de réponse. Dans ce contexte, divers cadres de hiérarchisation seront utiles.
- Lors de l’élaboration d’une stratégie de sécurité des données, nous devons prendre en compte les actions requises aujourd’hui, dans un avenir proche, et certaines initiatives pour le futur lointain. Dans ce contexte, le modèle des Trois Horizons aidera à mener des discussions disciplinées.
- Pour convertir toutes ces idées déconnectées en une stratégie cohérente, nous utiliserons le cadre de la Balanced Scorecard.
Utilisons les cadres d’affaires mentionnés et les rapports de recherche référencés au début pour créer un exemple de stratégie de sécurité des données.
Perspective financière. Estimer l’impact financier de la sécurité des données
Les KPI financiers pour la sécurité des données sont indispensables lors de la présentation des initiatives de sécurité aux parties prenantes. La présentation est encore plus impressionnante lorsque des référentiels sectoriels pertinents peuvent être fournis.
Le rapport de Verizon, ainsi que le rapport d’IBM (réalisé par le Ponemon Institute), partagent quelques réflexions dans ce contexte. Parfois, les données sont contradictoires. Par exemple, vous constaterez que les coûts d’une violation de données par enregistrement varient considérablement. Le rapport d’IBM donne une fourchette de 150 à 175 dollars, tandis que selon le rapport de Verizon (voir le Data Breach Investigations Report, 2015), il est d’environ 0,58 dollar. Ken Spinner a partagé quelques explications sur le sujet dans TeachBeacon.
Comment pouvez-vous estimer les coûts d’une violation de données dans le cas de votre organisation ?
Cela peut être basé sur les coûts directs et indirects :
- Coûts directs incluent le coût de l’analyse médico-légale, les amendes, les compensations aux clients.
- Coûts indirects se réfèrent à la perte de clients existants et potentiels, d’employés, de partenaires qui s’est produite en raison d’une violation de données.
Sur le tableau de bord de la sécurité des données, nous pouvons prendre quelques références des études Ponemon ou Verizon pour la métrique du coût de la violation de données par enregistrement et le multiplier par le nombre d’enregistrements à risque.
Pour effectuer les calculs, nous aurons besoin de quelques données commerciales de base :
- LTV (valeur à vie du client)
- Estimation de la perte de clientèle due à une violation de données
- Nombre de clients
- Nombre d’enregistrements à risque
- Clients potentiels perdus
Respectivement, l’impact direct d’une violation de données peut être calculé comme suit :
- Coûts de la violation de données (coûts directs) = Coût de la violation de données par enregistrement * Le nombre d’enregistrements à risque
Quant aux coûts indirects, une façon de les quantifier est d’utiliser le taux de perte de clientèle dû à la violation de données et la LTV :
- Coût de la perte de clientèle = [Nombre de clients]*[LTV]*[Perte de clientèle due à la violation de données]/100
De plus, vous pouvez estimer le nombre de clients potentiels qui n’ont pas signé le contrat.
- Coût d’opportunité perdue = [Clients potentiels perdus] * [LTV]
Perspective du client. Quantifier les risques de sécurité.
Pour la perspective du client, l’objectif principal est formulé comme suit :
- Atténuer les risques liés à la sécurité et à la protection des données
Cela est qualifié par ces indicateurs :
- Indicateur avancé Détection précoce et réponse rapide aux risques de données qui est le résultat des objectifs de la Perspective interne
- Indicateur avancé Préparation à la protection des données
- Indicateur retardé Indice de risque pondéré
La logique ici est que l’organisation travaille sur les systèmes de sécurité internes (quantifiés par détection précoce et réponse rapide aux risques de données) et introduit les mesures nécessaires de protection des données (quantifiées par Préparation à la protection des données) pour mieux atténuer les risques de sécurité des données, tels que quantifiés par l’Indice de risque pondéré.
- Lors de l’élaboration d’une stratégie de sécurité des données, assurez-vous que votre équipe comprend la différence entre les métriques pour les facteurs de succès (métriques avancées) et les métriques pour les résultats attendus (métriques retardées).
Discutons en détail des indicateurs du point de vue du client.
Indice pondéré en fonction du risque
Le but de cet indicateur est de quantifier le niveau de risque actuel auquel l’organisation est confrontée. Pour ce faire, nous allons quantifier le nombre de violations de données catégorisées par leur niveau d’impact :
- Événements à risque critique, poids 70%
- Événements à risque important, poids 20%
- Événements à risque moyen, poids 7%
- Événements à risque faible, poids 3%
Comme vous pouvez le voir, une échelle de poids non linéaire a été appliquée. Avec ce modèle, les violations de données critiques ont le plus grand impact sur la métrique de l’indice, tandis que les événements de faible niveau ont un faible impact.
Cette approche aborde le problème de la manipulation du système de mesure lorsque l’indicateur de contrôle est déplacé dans la zone verte en résolvant des problèmes moins significatifs. Cependant, nous devons nous assurer que les événements à risque sont correctement catégorisés.
Si vous êtes intéressé par l’apprentissage de plus sur le calcul des indicateurs d’indice et en tenant compte du poids des indicateurs, jetez un œil à l’article respectif sur notre site Web.
Mesurer la protection des données ou la confidentialité des données
Comme expliqué précédemment, la protection des données concerne l’utilisation éthique et légale des informations personnellement identifiables (PII) et des données similaires.
Les mesures de protection, dans ce cas, sont bien articulées par la législation applicable. En Europe, c’est le RGPD ; aux États-Unis, il existe différentes lois selon le domaine d’activité, comme le CCPA, HIPPA, PCI DSS, GLBA.
Si nous prenons le RGPD comme exemple, du point de vue de la mesure, la protection des données peut être suivie par un indicateur d’index, Préparation à la protection des données, qui est calculé en utilisant des métriques telles que (principalement binaires) :
- Officier de protection des données nommé
- Suivi du consentement explicite
- Procédure de déclaration de violation de données
- Droit d’accès, de rectification, d’effacement mis en œuvre
- Droit à la portabilité des données
Ces indicateurs peuvent être détaillés plus avant dans les cas les plus spécifiques applicables à l’organisation, ses produits et services.
Pour assurer la conformité réglementaire, ces indicateurs, ainsi que les exigences légales, devraient être examinés régulièrement. Cela peut être automatisé par la fonction intervalle de mise à jour pour l’indicateur respectif. Voir la section Automatisation ci-dessous pour des exemples plus spécifiques.
Perspective interne. Comment atténuer les risques de sécurité des données
Pour trouver les objectifs et les indicateurs de performance de la perspective interne, nous devons effectuer une analyse des causes profondes et examiner les points de risque/coût identifiés.
Les conclusions dépendront du domaine d’activité et des systèmes d’affaires d’une organisation spécifique. Cependant, certaines tendances communes ont été mises en évidence dans les rapports d’IBM Security et de Verizon. Nous utiliserons ces conclusions pour formuler les objectifs et les indicateurs de performance pour la perspective interne du tableau de bord.
Détection précoce et réponse rapide aux risques liés aux données
Si une violation de données se produisait, une réponse rapide en termes de détection et de réaction réduirait considérablement les coûts.
Sur le tableau de bord, cela est quantifié par deux indicateurs retardés :
- Délai moyen de détection
- Délai moyen de réponse
Les indicateurs retardés quantifient ce qui s’est déjà passé. Comment une organisation peut-elle influencer ces indicateurs ? Les mêmes rapports suggèrent certaines actions qui conduisent généralement à une meilleure réponse en matière de sécurité des données.
Sur le modèle de tableau de bord, vous trouverez deux enregistrements alignés avec l’objectif Détection précoce et réponse rapide :
- Équipes de réponse aux incidents formées. Cet enregistrement est marqué comme un facteur de succès. Selon le rapport IBM Security, c’est l’une des causes principales de la minimisation des impacts des violations de données.
- Détection des accès aux données à haut risque. Avec cette initiative, votre équipe peut prioriser ses efforts en fonction de l’impact de certains types d’accès aux données. Si vous recherchez une approche plus systématique de la priorisation, consultez l’article sur les cadres de priorisation.
Il y a deux autres indicateurs principaux dans le contexte de l’objectif Détection précoce et réponse rapide. Les deux sont basés sur les conclusions des rapports de sécurité des données mentionnés ci-dessus :
- Élaborer un plan d’atténuation des risques
- Réduire la complexité de l’informatique
Discutons-en en détail.
Développer un plan d’atténuation des risques
Avoir un plan d’atténuation des risques est un facteur de succès pour une réponse plus rapide à la violation de données.
Comment pouvons-nous nous assurer que le plan existant pour la sécurité des données est bon ?
Il devrait être basé sur un modèle de risque à jour qui reflète la manière dont les données sont gérées dans l’organisation. Sur la carte de stratégie, cela est quantifié par l’indicateur précurseur Audits réguliers de sécurité des données qui est expliqué dans les perspectives Apprentissage et Croissance.
Comment savons-nous que le plan de réponse aux risques proposé est réellement efficace ?
En plus des mises à jour régulières du plan de risque, nous pourrions tester l’application du plan développé en pratique. Cela est quantifié par l’indicateur de retard, Test de réponse aux incidents.
Réduire la complexité de l’informatique et des données
Les études empiriques mentionnent plusieurs autres facteurs qui aident à minimiser les coûts liés aux violations de données, tels que :
- Complexité de l’infrastructure informatique
- Complexité du schéma de données
- Automatisation
Sur la carte stratégique, nous avons formulé ces facteurs dans l’objectif Réduire la complexité de l’informatique et des données.
Dans ce cas :
- Diminuer les complexités des données et de l’informatique est une raison d’être de l’objectif
- Limiter l’accès aux données les plus précieuses est l’un des facteurs de réussite pour diminuer la complexité des solutions informatiques requises
- Automatiser les tests de vulnérabilité et la conformité est une vaste initiative pour l’automatisation de la sécurité informatique
Enfin, si la minimisation de la complexité est nommée comme l’un des facteurs d’une meilleure réponse aux violations de données, comment pouvons-nous quantifier cela ?
La réponse est individuelle et dépend du paysage informatique de votre organisation. Pour ce tableau de bord, il y a un exemple d’indice de complexité de la sécurité des données qui est composé d’indicateurs tels que :
- Nombre d’utilisateurs avec le niveau d’accès le plus élevé. La fonction d’optimisation pour cet indicateur est définie sur « Minimiser linéairement », car réduire le nombre d’utilisateurs ayant accès aux données sensibles améliorera la performance globale de l’indice.
- Temps pour désactiver les identifiants de connexion. 7 % des violations de données sont causées par un initié malveillant. Désactiver rapidement les identifiants de connexion est l’une des mesures de sécurité informatique qui peut réduire ce pourcentage. L’intervalle de temps acceptable, dans ce cas, est très court. Pour refléter cette idée sur le tableau de bord, la fonction d’optimisation pour cet indicateur est décroissance exponentielle.
- % de données sensibles contrôlées par le logiciel DLP. Les solutions de prévention des pertes de données sont l’un des moyens d’automatiser la sécurité informatique. Tant que les organisations traitent de nouvelles données, il est important de réviser régulièrement les modèles de données pour s’assurer que les données sensibles sont accessibles par les outils DLP (Data Loss Prevention).
- Chiffrement et sauvegarde des données automatisés. Similaire à l’indicateur précédent, nous sommes intéressés à avoir un modèle de données à jour et à nous assurer que les données sensibles sont correctement gérées.
- % de logiciels de sécurité à jour. Cette métrique semble simple, mais les études racontent une histoire différente. La cause racine de 16 % des violations de données est une vulnérabilité dans un logiciel tiers. Les fournisseurs de logiciels publient régulièrement des mises à jour qui corrigent les vulnérabilités. Avoir les dernières mises à jour installées est l’un des facteurs de réussite pour minimiser les risques de sécurité.
- Couverture de l’automatisation, % l’indicateur compare le niveau d’automatisation qui est possible avec le niveau actuel d’automatisation. Une automatisation plus élevée réduit l’impact des facteurs humains et réduit la complexité pour les parties prenantes.
Ce ne sont que des exemples de certaines métriques qui peuvent quantifier la complexité dans le cas de la sécurité des données. Une approche plus robuste de la complexité devrait inclure une analyse plus approfondie des parties prenantes, trouver les points de mauvaises complexités et élaborer une stratégie de réduction de la complexité. Dans l’article précédent, nous avons discuté des métriques de complexité et des façons de les appliquer en pratique.
Perspective d’apprentissage et de croissance
Dans cette perspective, nous avons deux grands objectifs :
- Audits réguliers de la sécurité des données objectif qui aide à se concentrer sur une infrastructure adéquate pour la sécurité des données.
- Former les employés à la sécurité des données objectif qui se concentre sur la fourniture à votre équipe des connaissances et compétences à jour nécessaires pour prévenir les violations de données ou en minimiser l’impact.
Voyons comment ces objectifs sont formulés sur la carte stratégique.
Audits réguliers de la sécurité des données
Nous avons une logique Analyser les risques de cybersécurité alignée avec l’objectif. Quels sont ces risques typiques de cybersécurité ? Dans la description de la logique, nous avons quelques exemples :
- Cyberattaques
- Rançongiciels
- Logiciels malveillants
- Menaces internes
- Identifiants perdus/volés
- Accès non autorisé
- Perte de données
- Corruption des données
Il existe une hypothèse, Le travail à distance impacte la sécurité des données alignée avec l’objectif. Pour de nombreuses organisations, le travail à distance faisait partie de leur stratégie anticrise en réponse à la Covid-19.
Il y a deux indicateurs principaux :
- Analyse régulière des risques – une analyse générale des nouveaux risques
- Évaluation régulière du risque des données sensibles – une analyse plus spécifique dans le contexte des données sensibles
Les deux indicateurs sont configurés pour être mis à jour sur une base trimestrielle.
Il existe plusieurs métriques qui aident à quantifier les efforts de l’équipe de sécurité pour analyser la situation de risque actuelle et en tirer des leçons :
- Analyse des vulnérabilités – généralement, une analyse automatisée effectuée par l’équipe informatique
- Test de pénétration (test de pénétration) – une simulation d’une cyberattaque
- Test de l’équipe rouge – un test de sécurité à plus grande échelle impliquant plus de participants
Les KPI respectifs sont configurés pour différents intervalles de mise à jour :
- L’analyse automatisée des vulnérabilités peut être effectuée hebdomadairement ou mensuellement.
- Selon le modèle de risque, un test de pénétration peut être réalisé trimestriellement.
- Enfin, l’indicateur pour le test de l’équipe rouge, le plus exigeant en ressources, est configuré pour un intervalle de mise à jour semi-annuel ou annuel.
Les procédures d’analyse des risques et de test sont conçues pour identifier les points faibles du système de sécurité. Comment savons-nous que les enseignements de ces simulations et tests sont effectivement mis en œuvre ? Pour répondre à cette question, nous pouvons suivre :
- L’indicateur du nombre de violations de données récurrentes.
Si une violation de données du même type se répète, c’est un signe que le plan de réduction des risques suggéré par l’équipe de sécurité n’est pas aussi efficace que prévu.
Former les employés sur la sécurité des données
Le facteur humain reste l’un des risques les plus élevés de tout système de sécurité des données. Selon le rapport IBM Security, environ 36 % des violations de données malveillantes sont associées au comportement humain (hameçonnage, ingénierie sociale, informations d’identification compromises).
Comment la stratégie de sécurité des données peut-elle être conçue pour atténuer efficacement ces risques ?
L’une des solutions consiste à automatiser certaines opérations et à réduire le rôle de l’opérateur humain. Cela résonne beaucoup avec l’objectif de réduction de la complexité que nous avons discuté dans la perspective interne.
Pour les autres cas, où l’automatisation n’est pas possible ou n’est pas rentable, l’éducation est une réponse. Comment concentrer les efforts éducatifs dans le contexte de la sécurité des données ? Nous pouvons utiliser une paire d’indicateurs avancés et retardés !
- Indicateur avancé : le taux de pénétration de la formation à la sécurité des données peut être utilisé pour suivre la couverture de la formation à la sensibilisation à la sécurité des données, où les participants peuvent apprendre, par exemple, les pratiques de hameçonnage et la manière de les éviter.
- Le meilleur indicateur retardé, dans ce cas, devrait se concentrer sur l’impact tangible de la formation à la sensibilisation. Si la compréhension des pratiques de hameçonnage était l’un des sujets de la formation, effectuez un test de hameçonnage et voyez si les employés utilisent effectivement les enseignements de la formation. Cela peut être quantifié sur le tableau de bord avec l’indicateur taux de réussite du test de hameçonnage.
Si former les employés à la sécurité des données est votre priorité maintenant, alors votre équipe de sécurité peut concevoir un tableau de bord d’évaluation de la formation en utilisant le modèle des niveaux de Kirkpatrick, comme discuté dans cet article.
Automatisation pour le tableau de bord de sécurité des données
Nous avons discuté d’un exemple de tableau de bord stratégique qui aide à décrire, mettre en œuvre et exécuter la stratégie de sécurité des données dans votre organisation.
Ce tableau de bord est disponible comme l’un des modèles gratuits dans BSC Designer Online afin que vous puissiez vous inscrire avec un compte gratuit et commencer à le personnaliser selon vos besoins.
Connaître le coût total de la stratégie
Nous avons mentionné qu’une des raisons d’avoir une carte de score pour la sécurité des données est qu’elle facilitera la présentation de nouvelles initiatives aux parties prenantes.
Le coût de la stratégie suggérée est l’une des premières questions qui seront posées. Le coût d’exécution de la stratégie peut être estimé comme la somme des coûts de tous les objectifs commerciaux et de leurs initiatives respectives.
Si vous utilisez BSC Designer comme outil d’automatisation, vous pourrez attribuer des budgets aux initiatives et contrôler leur utilisation. Le logiciel sera capable de générer un rapport de coût de la stratégie pour présenter un coût total attendu pour exécuter la stratégie.
Visualisez les données importantes sur les tableaux de bord
Une autre demande typique des parties prenantes est d’avoir les données nécessaires pour prendre les bonnes décisions (nous avons parlé auparavant des décisions fondées sur des données). En soi, la carte stratégique contient beaucoup de données. Une autre approche consiste à construire un tableau de bord BI qui peut être configuré pour afficher les indicateurs les plus importants et leurs données.
Dans le modèle de stratégie pour cet article, nous avons deux tableaux de bord (vous pouvez basculer entre eux).
Le tableau de bord de l’indice de risque est exclusivement axé sur les indicateurs de l’indice de risque que nous avons utilisés pour quantifier la situation de risque actuelle. Avec les diagrammes du tableau de bord, nous pouvons voir :
- Risques actuels visualisés sur les graphiques à jauge
- Comment l’indice de risque a changé au fil du temps
- La contribution de chaque indicateur à l’indice de risque sur le graphique de pondération
Un autre tableau de bord est l’indice de complexité de la sécurité des données. Comme nous l’avons discuté, les mauvaises complexités des systèmes de sécurité sont un facteur de risque accru de violation de données. Ce tableau de bord visualise l’état actuel de la complexité tel que quantifié par les indicateurs sélectionnés.
Analyser les données de performance
Collecter des données de performance sous forme d’indicateurs clés de performance (KPI) est quelque chose que la plupart des organisations font régulièrement. Peu importe l’outil d’automatisation utilisé, il y a beaucoup de données disponibles.
La question est toujours de savoir comment utiliser ces données et les convertir en informations exploitables. Certaines perspectives se dégagent lorsque l’équipe discute d’une carte stratégique ou d’un tableau de bord ; d’autres perspectives peuvent être automatisées.
Dans ce sens, la fonction Analyse dans BSC Designer aide beaucoup. Voici quelques exemples :
- La plupart des indicateurs dont nous avons discuté doivent être mis à jour régulièrement. Avec l’analyse du Temps de mise à jour, vous pouvez trouver les indicateurs qui doivent être mis à jour bientôt ou ceux qui n’ont pas été mis à jour à temps. Cela peut également être automatisé avec la fonction Alertes.
- Chaque indicateur sur le tableau de bord a un poids qui reflète l’importance de l’indicateur. Avec l’analyse du Poids absolu, vous pouvez trouver les indicateurs ayant le poids le plus élevé. Par exemple, dans notre exemple, l’indicateur Temps moyen de détection a l’un des poids les plus élevés. Si votre équipe envisage de travailler sur plusieurs initiatives, et que l’une d’elles promet de détecter les violations de données plus rapidement, alors donnez la priorité à celle-ci.
- Parfois, des découvertes intéressantes peuvent être faites simplement en observant comment les données de performance ont changé. Un gain ou une perte rapide est le signe de nouveaux facteurs qui devraient être analysés. Pourquoi l’indicateur des Événements à risque moyen a-t-il subi une perte de 30 % – était-ce le résultat d’une mise à jour interne du système, ou est-ce un problème de rapport ?
Cartographier les justifications, les facteurs de succès et les résultats attendus
Dans le cours gratuit de planification stratégique, nous avons discuté de l’importance de comprendre le contexte commercial d’un objectif. Il ne suffit pas d’avoir un objectif bien décrit, il est important de comprendre la raison d’être, les facteurs de succès et les résultats attendus qui sont précieux pour l’organisation.
Jetez un œil à l’objectif Réduire la complexité de l’informatique et des données à partir du modèle de tableau de bord :
- Il existe un enregistrement de justification Réduire la complexité des données et de l’informatique qui explique pourquoi cet objectif est important : « La complexité élevée des systèmes logiciels et de l’infrastructure des données est un facteur de risque pour la violation des données. »
- Il y a aussi un facteur de succès de la réduction des complexités – Limiter l’accès aux données les plus précieuses. Cela a parfaitement du sens dans le contexte de l’objectif – moins d’accès aux données sensibles réduit la complexité du schéma des données et réduit les risques de violations de données en conséquence.
Dans certains cas, nous n’avons pas de plan fixe pour atteindre quelque chose, nous traitons plutôt une hypothèse éclairée. Les utilisateurs de BSC Designer peuvent ajouter une hypothèse à leurs objectifs. Dans notre exemple, il y avait une hypothèse, Le travail à distance impacte la sécurité des données alignée avec Des audits réguliers de la sécurité des données.
Connaître les résultats attendus est également crucial. Par exemple, pour la Formation des employés à la sécurité des données, nous avons un résultat attendu appelé Gestion responsable des données. Que signifie cela en pratique ? Comment pouvons-nous quantifier cela ? Ces questions ouvrent la porte à des discussions intéressantes.
Créer des initiatives avec budgets, propriétaires, et statuts
Pour combler l’écart entre la planification stratégique et l’exécution, utilisez les initiatives pour les objectifs. Prenons l’initiative Automatiser les tests de vulnérabilité et la conformité alignée avec Réduire la complexité de l’IT et des données.
- Comment votre équipe va-t-elle travailler exactement sur cette initiative ? Utilisez le champ description pour ajouter un plan d’action détaillé.
- Comment est-il aligné avec d’autres plans d’atténuation des risques ? Utilisez la section documents pour lier les ressources pertinentes. Dans notre exemple, nous avons lié à l’exemple de tableau de bord IT.
- Qui est responsable de cette initiative ? Assignez des propriétaires afin qu’ils reçoivent une notification lorsqu’un événement pertinent se produit.
- Quel est le statut actuel de l’initiative ? Mettez à jour le statut avec l’avancement de votre équipe travaillant sur l’initiative.
- Comment pouvez-vous suivre les progrès dans le contexte de cette initiative ? Dans notre exemple, nous l’avons lié à l’indicateur couverture de l’automatisation, % qui forme un indice de complexité de la sécurité des données.
Session de formation : 'Introduction au Balanced Scorecard par BSC Designer' est proposée dans le cadre de notre programme de formation continue et incluse avec un abonnement BSC Designer.
Les sessions de formation sont dispensées chaque semaine via Zoom, offrant des perspectives pratiques et des conseils personnalisés. À la fin de la session, les participants reçoivent une attestation de présence. Explorez toutes les sessions de formation disponibles ici.
Conclusions
Dans cet article, nous discutons d’un exemple de stratégie de sécurité des données. Voici les idées les plus importantes que nous avons abordées :
- Il existe des facteurs de risque connus de violation de données, ainsi que des moyens éprouvés pour minimiser l’impact des incidents de sécurité.
- Aidez vos parties prenantes à comprendre les coûts directs et indirects des violations de données.
- Concentrez votre stratégie sur la détection précoce des problèmes et la réponse rapide.
- Ayez un plan de mitigation des risques et une équipe de réponse pour réduire l’impact des violations de données.
- Réduisez les mauvaises complexités des systèmes informatiques et des schémas de données.
- Mettez à jour les modèles de risque régulièrement, testez votre environnement de sécurité.
- Le facteur humain est l’un des points de risque – éduquez votre équipe, observez les changements de comportement, pas seulement les scores des examens formels.
Et ensuite ? Une bonne stratégie cybernétique est faite sur mesure en fonction des besoins de votre organisation. Utilisez le modèle de stratégie de sécurité discuté dans cet article comme point de départ pour commencer à construire votre propre stratégie de sécurité des données. N’hésitez pas à partager vos défis et vos découvertes dans les commentaires.
Utiliser le modèle Data Security and Protection Scorecard
BSC Designer aide les organisations à mettre en œuvre leurs stratégies complexes :
- Inscrivez-vous pour un plan gratuit sur la plateforme.
- Utilisez le modèle
Data Security and Protection Scorecard comme point de départ. Vous le trouverez dans Nouveau > Nouveau tableau de bord > Plus de modèles.
- Suivez notre Système de mise en œuvre stratégique pour aligner les parties prenantes et les ambitions stratégiques dans une stratégie globale.
Commencez dès aujourd'hui et voyez comment BSC Designer peut simplifier la mise en œuvre de votre stratégie !
- Rapport sur le coût d’une violation de données. 2020, IBM Security ↩
- Rapport d’enquête sur les violations de données 2020, 2020, Verizon ↩
- Enquête mondiale sur la sécurité de l’information, 2020, EY ↩
- Rapport M-TRENDS, 2020, FireEye ↩
Alexis est un consultant senior en stratégie et PDG de BSC Designer, avec plus de 20 ans d’expérience en planification stratégique. Alexis a développé le « Système de mise en œuvre de la stratégie en 5 étapes » qui aide les entreprises à mettre en œuvre concrètement leurs stratégies. Il intervient régulièrement lors de conférences industrielles et a publié plus de 100 articles sur la stratégie et la gestion de la performance, y compris le livre « Système KPI en 10 étapes ». Ses travaux sont fréquemment cités dans la recherche académique.