Définir les responsabilités organisationnelles en matière de sécurité du cloud
Au-delà dumodèle de responsabilité partagée, il est important de définir les responsabilités individuelles en matière de sécurité du cloud au sein de votre organisation et de veiller à ce que chacun sache ce qui est exigé. Il ne suffit pas - et c'est même un peu cliché - de dire simplement que "la sécurité est la responsabilité de tous".
Les équipes de direction doivent parrainer les efforts de sécurité du cloud. Dans le paysage réglementaire actuel, le parrainage des cadres est pratiquement obligatoire. L'impact financier potentiel de la non-conformité réglementaire sur une entreprise peut être aussi dévastateur (voire pire) qu'une violation de données elle-même. Outre les sanctions financières, de nombreuses réglementations prévoient des sanctions pénales pour les dirigeants d'entreprise et les autres fiduciaires d'une entreprise.
Les dirigeants doivent montrer l'exemple. Si la politique de l'entreprise exige que les données de l'entreprise sur les appareils mobiles soient cryptées et que l'accès aux applications SaaS nécessite une authentification multifactorielle (MFA), il ne faut pas faire d'exceptions " ponctuelles " pour les cadres. Au-delà de l'exemple, les dirigeants doivent s'assurer que les initiatives en matière de sécurité et de conformité bénéficient du soutien et des ressources nécessaires et que l'impact des décisions stratégiques sur la position globale de l'organisation en matière de sécurité et de conformité est toujours pris en compte.
Les équipes de sécurité et de conformité doivent définir et appliquer des politiques appropriées qui permettent à l'entreprise de fonctionner en toute sécurité. Pour être efficaces, les équipes de sécurité et de conformité doivent comprendre et s'aligner sur les buts et objectifs de l'entreprise, et elles ne doivent pas être un goulot d'étranglement pour la productivité et l'efficacité.
Les responsables hiérarchiques ont la responsabilité de veiller à ce que la gouvernance de la sécurité et de la conformité du cloud de l'organisation soit comprise et respectée dans leurs secteurs d'activité respectifs. Au fur et à mesure de l'évolution des besoins de l'entreprise, les responsables opérationnels devraient s'associer aux équipes de sécurité pour évaluer le rapport risque/rendement de l'adoption de nouveaux outils. Contourner une politique de sécurité, telle que l'exigence de n'utiliser que des applications SaaS approuvées, pour atteindre un objectif commercial à court terme ou un objectif de productivité ne devrait jamais être acceptable. Au contraire, les outils de sécurité doivent s'adapter aux besoins de l'entreprise et induire le comportement souhaité de l'utilisateur.
La collaboration avec les équipes de sécurité et de conformité permet également de s'assurer que les différents secteurs d'activité sont en mesure de tirer parti de toutes les relations actuelles que l'organisation peut avoir avec des vendeurs ou des fournisseurs de cloud pour se procurer des services de manière plus économique et obtenir une assistance rapide en cas de besoin, au lieu de fonctionner en vase clos avec des technologies et des produits de cloud cloisonnés.
Les équipes DevOps sont soumises à une pression constante pour livrer rapidement des projets et des mises à jour de logiciels et réduire les délais de mise sur le marché. Pour répondre à ces exigences, les exigences de sécurité doivent être définies et comprises dès le début de tout projet et, idéalement, intégrées dans le flux de travail de livraison de l'application. Ainsi, les équipes de développement peuvent continuer à avancer sans devoir constamment s'arrêter et se réinitialiser pour remédier aux failles de sécurité et aux violations de la conformité.
Les utilisateurs finaux individuels ont la responsabilité de suivre la gouvernance de l'entreprise en ce qui concerne la sécurité et la conformité du cloud. Ils doivent comprendre les risques inhérents au cloud et protéger les données qui leur sont confiées comme s'il s'agissait de leurs propres données personnelles.