Comment procéder à une évaluation de la sécurité des opérations

Analyser le système de sécurité actuel

• Examiner les politiques actuelles qui définissent des informations protégées et décrivent les procédures de sécurité en vigueur. En général, l'information protégée comprend des secrets commerciaux, des plans d'affaires stratégiques, employé privé et les informations clients et les informations protégées en vertu de la Loi sur la responsabilité Insurance Portability et la santé. Selon l'Institut national des normes et de la technologie, les pratiques de sécurité de petites entreprises devraient inclure antivirus et anti-logiciels espions, Internet sécurisée et les connexions sans fil, un pare-feu et les mises à jour du système de sécurité réguliers. Informations procédures de sauvegarde, l'accès limité à l'information protégée et une formation adéquate des employés sont également essentiels.

Trouvez et l'analyse des communications Vulnérabilités

• 
  
  
  
  

  Selon le Département américain de la Défense, des menaces de sécurité de l'information proviennent de sources internes et externes. Les employés qui soit intentionnellement ou non violent les procédures de sécurité des opérations sont les plus grandes menaces internes, alors que les concurrents, les pirates et les cybercriminels sont les principales menaces externes. Examiner le réseau informatique et les comptes utilisateurs individuels pour assurer, par exemple, que le logiciel de sécurité est en cours et le système empêche les utilisateurs d'accéder à des sites non autorisés ou de mener des téléchargements non autorisés. Examiner les emails entrants et sortants, qui devrait contenir un avertissement de sécurité, ainsi que les procédures utilisées pour crypter et supprimer des informations. Interroger les employés pour savoir si elles ont reçu des appels téléphoniques suspects et d'identifier les procédures qu'ils suivies si elles ont.

Évaluer l'impact et la probabilité d'occurrence

• 
  
  
  
  
  

  Une évaluation d'impact évalue le préjudice potentiel ou la perte qui pourrait se produire en raison de failles de sécurité. Une évaluation de la vraisemblance estime la probabilité et les circonstances dans lesquelles une menace identifiée pourrait se produire à nouveau à l'avenir. Ensemble, ces deux facteurs déterminent non seulement le niveau global estimé du risque, mais aident également à déterminer quelles mesures correctives sont nécessaires. Par exemple, vous pourriez déterminer le réseau informatique est défectueux si elle permet aux utilisateurs d'accéder à des sites Web non autorisés, ou un utilisateur spécifique est l'envoi de courriels non cryptés contenant des informations de la clientèle privée.

Appliquer atténuation des risques contre-

• Préparer un rapport officiel opérations d'évaluation de la sécurité. Dans ce document, la liste des vulnérabilités identifiées en fonction de leur impact. Inclure des détails, comme ce qui est arrivé, combien de fois et, si nécessaire, qui ont commis une violation de sécurité. Reportez-vous à des règles de gestion existante de savoir si le rapport devrait inclure des recommandations ou esquisser une réponse spécifique. Selon le résultat, l'entretien, des modifications aux procédures de sécurité existantes, la formation continue des employés ou peut-être une enquête formelle d'une situation ou un employé peut avoir des recommandations ou des réponses appropriées.