Étape n° 4 : Traiter efficacement avec la direction de l’entreprise Décrocher le téléphone pour appeler la suite de niveau C est la partie la plus délicate du plan de communication d’une équipe de sécurité. Le discernement est crucial pour décider quand et comment informer les pouvoirs en place. Les cadres supérieurs doivent être dans la boucle de sécurité, mais le ciel tombera sur l’agent de sécurité qui émettra une trop grande quantité de fausses alarmes.
Le taux de fausses alertes pour les gens d’affaires doit être faible pour qu’il soit pris au sérieux. Si un magasin de sécurité avertit par erreur plus de deux fois par an, les gens ont tendance à ignorer le suivant. L’expérience et l’intuition du responsable de la sécurité jouent un rôle majeur ainsi que de savoir ce qui intéresse les cadres supérieurs et ce qui ne l’est pas. L’équipe de triage de l’Université de Géorgie évalue toujours l’étendue et la gravité d’un incident avant de contacter les supérieurs M&T Bank classe la gravité de l’incident sur une échelle de 1 à 4, le niveau 1 étant considéré comme le plus critique. Un incident de niveau 1 doit impliquer au moins l’un des éléments suivants : divulgation, modification, destruction ou suppression non autorisée d’informations ou de données sensibles ; perturbation de la continuité des activités et des processus ou communications commerciaux critiques ; un impact sur la perception publique à long terme de l’organisation ; ou l’usurpation d’identité d’un individu ou d’un groupe. En réponse à un incident de niveau 1, le responsable des ressources concernées reçoit l’instruction de cesser d’utiliser les ressources jusqu’à ce que le coordinateur de réponse aux incidents de la banque prenne contact et fournisse des instructions supplémentaires.
Au New York Presbyterian Hospital, la priorité d’un incident augmente lorsqu’un segment particulier d’un réseau devient lent, puis s’intensifie jusqu’au point où il y a une interruption complète du service qui doit être signalée. Au sein de l’établissement de santé, tout incident susceptible d’affecter les soins aux patients doit également être signalé en amont. Les incidents sont tous signalés, mais pas au niveau des virus individuels et pas tous les jours.
Chez Pitney Bowes, le contexte compte. Une attaque impliquant une application peut sembler mineure, mais si cette application est un système d’entreprise clé qui affecte de nombreuses personnes, elle peut devenir un incident à connaître. Les incidents jugés ne pas évaluer l’attention immédiate des cadres de niveau C sont périodiquement résumés et présentés à eux dans un groupe.
Certains professionnels de la sécurité fournissent un résumé de l’incident à un comité de direction composé de cadres supérieurs tous les six mois. Le résumé comprend le nombre d’incidents par catégorie, y compris l’accès, la divulgation, l’utilisation ou la destruction non autorisés ; la perte ou le vol d’informations ou d’équipements contenant des informations ; les interruptions de service ; et les violations du droit d’auteur ou de la marque. Les incidents sont en outre classés par impact et gravité. Pour assurer une communication raisonnablement fluide en cas de crise, les groupes de sécurité doivent ouvrir un canal de communication avec la direction. Avoir une base établie pour le dialogue est crucial pour l’efficacité de l’agent de sécurité, même dans le cours normal des affaires, et plus encore en cas d’urgence, disent les experts en sécurité. Les experts en sécurité vantent une relation étroite avec les hauts gradés comme essentielle pour maintenir un budget de sécurité sain et une culture d’entreprise qui valorise la sécurité. Il y a un énorme roulement parmi les responsables de la sécurité de l’information, certains anciens agents de sécurité insistant sur le fait qu’ils ne reprendront pas cette affectation. Mais certains agents de sécurité ont établi de solides liens au niveau de la direction. surveillances