La loi américaine SOx (Sarbanes-Oxley) Act, 2002, aborde un large éventail de principes fondamentaux de sécurité de l'information pour les entreprises commerciales, garantissant que leurs fonctions sont enracinées et appliquées de manière cohérente, sur la base des concepts de la CIA (confidentialité , Intégrité et Disponibilité).
La réalisation de ces objectifs nécessite l'engagement de nombreuses personnes, qui doivent toutes être conscientes ; leurs responsabilités en maintenant l'état sécurisé des actifs de l'entreprise, en comprenant les politiques, les procédures, les normes, les directives et les possibilités de pertes liées à leurs fonctions.
CIA vise à s'assurer que l'alignement de la stratégie, des buts, de la mission et des objectifs de l'entreprise est soutenu par des contrôles de sécurité, approuvés en tenant compte de la diligence raisonnable de la haute direction et de la tolérance aux risques et aux coûts.
Clusters de bases de données PostgreSQL
Le serveur PostgreSQL dispose d'une large collection de fonctionnalités offertes gratuitement, ce qui en fait l'un des SGBD (systèmes de gestion de base de données) les plus populaires, permettant son adoption sur un large éventail de projets dans différentes sphères sociales et économiques .
Le principal avantage de son adoption est la licence Open Source, supprimant les problèmes de violation du droit d'auteur au sein d'une organisation, pouvant être causés par un administrateur informatique, dépassant par inadvertance le nombre de licences autorisées.
La mise en œuvre de la sécurité de l'information pour PostgreSQL (à partir d'un contexte organisationnel) ne réussira pas sans des politiques et procédures de sécurité soigneusement élaborées et uniformément appliquées qui couvrent tous les aspects de la planification de la continuité des activités.
PCA (planification de la continuité des activités)
La direction doit s'entendre avant de commencer le programme BCP pour s'assurer qu'elle comprend les livrables attendus, ainsi que sa responsabilité personnelle (financière et même pénale) s'il est déterminé qu'elle n'a pas fait preuve de diligence pour protéger adéquatement l'organisation et ses ressources.
Les attentes de la haute direction sont communiquées par le biais de politiques, développées et maintenues par des agents de sécurité, chargés d'établir des procédures et de respecter les normes, les lignes de base et les directives, et de découvrir les SPoF (Single Points of Failure) qui peuvent empêcher tout un système de fonctionner de manière sûre et fiable.
La classification de ces événements perturbateurs potentiels, se fait à l'aide de BIA (Business Impact Analysis), qui est une approche séquentielle de ; identifier les actifs et les processus métiers, déterminer la criticité de chacun, estimer le MTD (Maximum Tolerable Downtime) en fonction de leur sensibilité temporelle pour la reprise, et enfin, calculer les objectifs de reprise; RTO (Recovery Time Objective) et RPO (Recovery Point Objective), en tenant compte du coût pour atteindre l'objectif par rapport au bénéfice.
Rôles et responsabilités en matière d'accès aux données
Les entreprises commerciales embauchent généralement des entreprises extérieures spécialisées dans la vérification des antécédents afin de recueillir plus d'informations sur les nouveaux employés potentiels, d'aider le responsable du recrutement avec des dossiers de travail solides, de valider les diplômes et certifications, les antécédents criminels et les références chèques.
Les systèmes opérationnels sont obsolètes et pauvres ou les mots de passe écrits ne sont que quelques-unes des nombreuses façons dont des personnes non autorisées peuvent trouver des vulnérabilités et attaquer les systèmes d'information d'une organisation, via le réseau ou l'ingénierie sociale.
Les services tiers, engagés par l'organisation, peuvent également représenter une menace, surtout si les employés ne sont pas formés pour utiliser les procédures de sécurité appropriées. Leurs interactions doivent reposer sur des bases de sécurité solides afin d'empêcher la divulgation d'informations.
Le moindre privilège consiste à n'accorder aux utilisateurs que l'accès dont ils ont besoin pour faire leur travail, rien de plus. Alors que certains employés (en fonction de leurs fonctions professionnelles) ont un accès « besoin de savoir » plus élevé. Par conséquent, leurs postes de travail doivent être surveillés en permanence et mis à jour avec les normes de sécurité.
Quelques ressources qui peuvent vous aider
COSO (Comité des organisations de parrainage de la Commission Treadway)
Formé en 1985, pour parrainer la Commission nationale américaine (États-Unis) sur les rapports financiers frauduleux, qui a étudié les facteurs de causalité qui conduisent à des rapports financiers frauduleux et a produit des recommandations pour ; les entreprises publiques, leurs auditeurs, la SEC (Securities Exchange Commission), d'autres régulateurs et les organismes chargés de l'application de la loi.
ITIL (Bibliothèque d'infrastructure des technologies de l'information)
Construit par le Stationary Office du gouvernement britannique, ITIL est un cadre composé d'un ensemble de livres, qui démontre les meilleures pratiques pour les besoins informatiques spécifiques d'une organisation, tels que la gestion des processus opérationnels de base, les incidents et la disponibilité, et les considérations financières.
COBIT (Objectifs de contrôle des technologies de l'information et des technologies connexes)
Publié par l'ITGI (IT Governance Institute), COBIT est un cadre qui fournit une structure globale pour les contrôles informatiques, y compris l'examen de l'efficience, de l'efficacité, de la CIA, de la fiabilité et de la conformité, en alignement avec les besoins de l'entreprise. ISACA (Information Systems Audit and Control Association) fournit des instructions approfondies sur COBIT, ainsi que des certifications reconnues mondialement, telles que CISA (Certified Information Systems Auditor).
ISO/IEC 27002:2013 (Organisation internationale de normalisation/Commission électrotechnique internationale)
Anciennement connue sous le nom d'ISO/IEC 17799:2005, l'ISO/IEC 27002:2013 contient des instructions détaillées pour les organisations, couvrant les contrôles de sécurité de l'information, tels que ; politiques, conformité, contrôles d'accès, opérations et sécurité RH (Ressources Humaines), cryptographie, gestion des incidents, risques, BC (Business Continuity), actifs, et bien d'autres. Il y a aussi un aperçu du document.
VERIS (Vocabulaire de l'enregistrement d'événements et du partage d'incidents)
Disponible sur GitHub, VERIS est un projet en développement continu, destiné à aider les organisations à collecter des informations utiles liées aux incidents et à les partager de manière anonyme et responsable, en élargissant la VCDB (VERIS Community Database). La coopération des utilisateurs, résultant en une excellente référence pour la gestion des risques, est ensuite traduite dans un rapport annuel, le VDBIR (Verizon Data Breach Investigation Report).
Lignes directrices de l'OCDE (Organisation de coopération et de développement économiques)
L'OCDE, en coopération avec des partenaires du monde entier, promeut les RBC (Responsible Business Conduct) pour les entreprises multinationales, garantissant la confidentialité des individus sur leurs PII (Personally Identifiable Information) et établissant des principes sur la manière dont leurs données doivent être conservées et conservées par les entreprises.
Série NIST SP 800 (publication spéciale de l'Institut national des normes et de la technologie)
Le NIST américain, propose sur son CSRC (Computer Security Resource Center), une collection de publications pour la cybersécurité, couvrant toutes sortes de sujets, y compris les bases de données. Le plus important, du point de vue de la base de données, est le SP 800-53 révision 4.
Conclusion
Atteindre les objectifs SOx est une préoccupation quotidienne pour de nombreuses organisations, même celles qui ne sont pas limitées aux activités comptables. Des cadres contenant des instructions pour l'évaluation des risques et les contrôles internes doivent être en place pour les praticiens de la sécurité de l'entreprise, ainsi que des logiciels pour empêcher la destruction, l'altération et la divulgation de données sensibles.
