Q:
Comment la sécurité peut-elle être à la fois un projet et un processus?
UNE:La question de la sécurité informatique est complexe et peut nécessiter une réponse forte et cohérente dans le temps. La sécurité peut être à la fois un projet et un processus dans le sens où les entreprises peuvent concevoir des projets de sécurité pour mettre à niveau leurs systèmes tout en entreprenant un processus continu pour maintenir et améliorer ces projets pour l'avenir. La complexité des types d'attaques auxquelles sont confrontées les entreprises et les autres parties nécessitent des réponses dédiées, complexes et multicanaux.
Une entreprise peut développer un projet de sécurité spécifique avec son propre calendrier et ses propres ressources, mais il est probable qu'un processus de sécurité s'applique également, où les professionnels travaillent au fil du temps pour assurer la sécurité et répondre à toutes les cybermenaces ou autres problèmes de sécurité. Les entreprises peuvent tirer parti du placement de leur personnel dans l'un ou l'autre de ces deux rôles, où la création et la maintenance sont deux priorités en termes de protection des secrets commerciaux, des données clients et de tout autre actif de données précieux.
La double nature de la sécurité informatique est démontrée dans les rapports du gouvernement américain qui parlent du développement du cycle de vie des projets de sécurité. Ces ressources sur une sécurité adéquate et complète indiquent qu'une sécurité adéquate implique souvent une vigilance et une maintenance continues, plutôt qu'une installation ou une configuration ponctuelle. Les experts parlent d'un processus en plusieurs étapes pour les pratiques de sécurité, qui peut inclure une boucle de données qui prend des informations afin de construire de futurs protocoles de sécurité. Les organismes fédéraux extérieurs et d'autres groupes conseillent souvent les entreprises sur la nécessité de stratégies de sécurité efficaces et continues.
Au sein de la communauté de la sécurité, il y a l'idée que la sécurité est plus qu'une simple architecture de sécurité, que c'est une sorte de processus vivant où les professionnels doivent s'intéresser aux technologies que l'entreprise utilise pour une sécurité d'entreprise adéquate. Cela peut impliquer une surveillance étroite des ressources réseau, des politiques émergentes pour la sécurité des terminaux, des réponses et des réactions aux nouveaux virus, logiciels malveillants et attaques, ou tout autre élément qui améliore une architecture de sécurité au fil du temps.
