La sécurité de l'information est un sujet crucial à notre époque numérique. Pourtant, bien souvent, on s'en rend compte de son importance seulement après avoir été victimes d'une cyberattaque ou d'un incident de sécurité.
La Clause 7.3 de la norme ISO27001 demande à ce que les employés, mais aussi toutes les parties prenantes d'une organisation, ai été sensibilisé à l'importance de la sécurité de l'information.
Tout d'abord, les équipes doivent comprendre les notions de base de la sécurité de l'information au sens large. Cela ne se limite pas à éviter de cliquer sur des courriels d'hameçonnage ou à maintenir nos mots de passe à jour.
Donc, les membres de l'équipe doivent avoir une formation à l'embauche ainsi que durant l'année sur des items appropriés à leur emploi versus la politique de l'entreprise ainsi que les conséquences de non-respect.
Les sujets de sensibilisation
Une formation et sensibilisation à la sécurité de l'information pour les nouveaux employés devrait idéalement couvrir: Introduction à la sécurité, Politiques et directives, Responsabilités individuelles, Menaces à la sécurité, Réponse aux incidents, Gestion des données, Sécurité physique, et Lois applicables.
Critères de succès
- Quel type de formation ou de sensibilisation à la sécurité de l'information est fourni aux employés ?
- Comment l'organisation mesure-t-elle l'efficacité de ses programmes de sensibilisation ?
- Comment l'organisation engage-t-elle les employés à être proactifs dans la signalisation des incidents ?