PAS 555 - Management de la cyber sécurité
BSI a créé une nouvelle spécification PAS 555 Risque Cyber-sécurité – Gouvernance et management - Spécification pour aider les organisations à manager leur exposition aux risques de la cyber-sécurité.
Selon l’Enquête sur les Violations de la Sécurité de l'Information 2013 réalisée par le Département des Affaires, de l'Innovation et du Savoir-faire, le coût de la pire violation de l'année semble avoir augmenté de façon significative, de £35,000 - £65,000 pour les petites entreprises et £450.000 - £750,000 pour les grandes organisations. Les données de l'enquête démontrent qu'un management robuste de la cyber-sécurité permet de protéger l'entreprise, sa réputation et la ligne de fond.
PAS 555 offre un cadre qui définit les résultats des bonnes pratiques de la cyber-sécurité. Il s'étend au-delà des aspects techniques de la cyber-sécurité pour englober les aspects de sécurité physiques et des personnes aussi. Il peut fonctionner sur une base autonome ou peut être intégré avec des protocoles existants ou des normes.
L'exigence d'une évaluation des risques en matière de cyber sécurité est au centre de cette structure. Cela permet à une organisation de comprendre son exposition aux risques de cyber-sécurité et de développer une approche robuste pour gérer ce risque, en fonction de son contexte d'activité. La création du PAS 555 est née d'un besoin reconnu par l'industrie et également articulé dans la Stratégie de cyber-sécurité du gouvernement en 2011. Le PAS est parrainé et soutenu conjointement par Cisco, Control Risks, G4S, PA Consulting Group et Symantec, avec d'autres acteurs clés impliqués dans le développement. La spécification est destinée à la direction opérationnelle, aux membres du conseil d'administration et la haute direction, et est applicable aux organisations de toutes tailles.
Anne Hayes, Responsable du Développement des Marchés pour le Risque chez BSI, a déclaré : « Beaucoup d'organisations ne sont aujourd'hui toujours pas au courant des cyber-menaces potentielles pour leur entreprise. L'approche axée sur les résultats offerts par cette spécification aide à identifier les menaces et aborder la question du management de la cyber-sécurité de manière efficace. »
Ed Savage, Experte de la cyber-sécurité chez PA Consulting Group, a déclaré: « À ce jour, les meilleures pratiques en matière de cyber-sécurité ont presque exclusivement porté sur les méthodes et les contrôles. PAS 555 met plutôt l'accent sur les résultats – les objectifs et les impacts des processus de sécurité – et aide les organisations à identifier les domaines de leur activité qui doivent être le plus protégés. »