Les contrôles de sécurité sont des mesures qu’une organisation peut prendre pour accroître la sécurité de ses systèmes de technologie de l’information. Celles-ci incluent des activités liées au personnel ainsi que des étapes telles que la sécurisation physique des ordinateurs, l’utilisation de logiciels agressifs pour identifier et supprimer les menaces et la protection de l’intégrité des données. Les organisations qui traitent des données sensibles ont un devoir de diligence envers leurs clients et actionnaires pour les protéger en utilisant de tels contrôles. Ceux-ci peuvent également être nécessaires sur les systèmes informatiques des agences gouvernementales, où la divulgation d’informations pourrait compromettre la sécurité nationale.
Un certain nombre d’activités sont soumises à des contrôles de sécurité. L’un est le contrôle des membres du personnel. Les entreprises peuvent utiliser des vérifications d’antécédents pour déterminer qui devrait avoir accès à l’information et peuvent restreindre l’information au besoin de savoir. Le personnel n’a pas besoin d’accéder aux données d’autres sections d’une entreprise, par exemple, et pourrait poser un risque de sécurité s’il pouvait accéder aux informations stockées par d’autres départements. Les entreprises peuvent également limiter l’accès administratif pour empêcher les employés de modifier les paramètres susceptibles de compromettre la sécurité.
Les systèmes informatiques peuvent être sécurisés physiquement et technologiquement. Les systèmes sensibles peuvent être conservés dans des installations verrouillées, et le personnel qui transporte des ordinateurs portables, des tablettes et d’autres appareils portables peut avoir besoin de prendre des précautions pour empêcher tout accès non autorisé à leur équipement. Les contrôles de sécurité techniques peuvent inclure des pare-feu, l’utilisation d’un logiciel antivirus et d’autres mesures pour limiter l’accès à un ordinateur et empêcher la propagation de menaces de sécurité potentielles.
Un réseau dans son ensemble doit également être sécurisé. Les ordinateurs individuels peuvent être des maillons faibles de la chaîne, tout comme le réseau lui-même. Le personnel chargé des contrôles de sécurité maintient un réseau sécurisé et identifie les points faibles le plus rapidement possible. Ils équilibrent le besoin entre un contrôle strict et l’accès des utilisateurs. Certains contrôles pourraient être très bénéfiques du point de vue de la sécurité, mais seraient difficiles à mettre en œuvre car ils gêneraient les utilisateurs.
Certaines organisations peuvent suivre des normes et des pratiques généralement acceptées en matière de contrôles de sécurité. Ils comptent sur leur personnel pour assurer la sécurité et la conformité de leurs systèmes informatiques, le cas échéant. Les agences qui détiennent des informations financières, par exemple, ont besoin de bases de données et de réseaux sécurisés et peuvent être passibles de sanctions légales si leurs systèmes ne sont pas conformes aux normes. D’autres organisations peuvent développer des protocoles personnalisés pour répondre à des besoins spécifiques. Un consultant en sécurité peut aider au processus de développement d’un programme de sécurité approprié pour une entreprise.