lundi 4 novembre 2013

CIO, CRO: Votre expertise nous intéresse !

Auto-évaluation FINMA (circulaire 2008/21) disponible le 15 janvier prochain

La révision partielle de la circulaire sur les risques opérationnels est achevée et les éléments essentiels sont désormais connus. Pour avoir planché sur le sujet depuis plusieurs mois, (cf également les articles précédents) et évoqué ce thème avec de nombreuses relations d'affaires, je constate que les exigences de la finma pourraient caricaturalement se résumer ainsi:


UDITIS propose une démarche pragmatique, efficace et rapide sous la forme d'un questionnaire d'auto-évaluation spécifiquement adapté et permettant d'évaluer la maturité de l'établissement par rapport aux neuf principes exigés.

Forts de notre expérience en matière de protection des données sensibles, nous avons définis une cinquantaine de questions réparties en quatre domaines : Gouvernance / Processus / Technologie / Personnes. Pour chaque domaine, chaque question est évaluée  (de 1  non existant à 5 optimal) en fonction de l’état actuel de la banque et l’état futur souhaité. L'objectif est d'obtenir un tableau de bord permettant d'identifier les forces et faiblesses de l'établissement concerné et ainsi déterminer les axes à privilégier avant toute acquisition technologique ou restructuration des processus organisationnels.



Cadeau bonus, en communiquant les scores attribués par domaine, vous obtenez en retour une évaluation de votre situation par rapport à celle de vos pairs. Un benchmark rendu possible par la confiance tissée au fil des projets réalisés en matière de protection de l'information. A noter évidemment que les données transmises restent confidentielles et ne servent qu'à déterminer une moyenne basée sur les domaines (le scoring individuel de chaque question reste bien évidemment connu de votre seul établissement.)

Experts recherchés !

Bien entendu, toute la valeur de la démarche réside dans la pertinence des questions proposées. Nous n'avons pas cherché à réécrire ISO27001 ni à énumérer tous les scénarii de fuites possibles en matière de données confidentielles. Notre idée s'appuie sur nos expériences du terrain afin de permettre:
  • aux établissements n'ayant pas encore entrepris de démarche concrète en matière d’identification et de protection des données sensibles: de savoir par où commencer et ainsi ne pas investir aveuglément dans un projet aux objectifs mal cernés.
  • aux banques en cours de réflexion / d'implémentation d'un projet de protection des données, de valider leur démarche et obtenir un benchmark par rapport à leurs pairs
Vous avec de l'expérience à partager sur le sujet ? - Si vous acceptez de participer à la révision des questions d'évaluation jusqu'au 15 janvier 2014, vous recevrez gratuitement le canevas d'évaluation.

Contact par email à stephane.droxler@uditis.ch ou via un commentaire sur ce blog (les commentaires ne sont pas publiés)



Aucun commentaire:

La stratégie de sécurité de votre entreprise prévoit-elle le renseignement des données ?