Comment transformer les contrôles en une efficacité accrue ?
- Créez le processus et les procédures les plus simples que votre équipe peut et veut suivre.
- Identifier les indicateurs pertinents pour mesurer la production et la qualité
Identifier et évaluer les possibilités d’automatiser les procédures manuelles stables :
- L’investissement dans les outils d’automatisation permettra-t-il d’augmenter la production ou la qualité ? (idéalement les deux)
- Les outils identifiés sont-ils déjà utilisés ailleurs dans l’organisation ? L’expérience peut aider à identifier les obstacles et les limites potentiels.
- Qui est concerné par l’automatisation ?
- Auront-ils besoin d’une formation pour s’adapter à l’automatisation ou pour effectuer de nouvelles activités ?
- Tenez compte des coûts d’entretien courants
- Contrats de maintenance pour vous assurer l’accès aux mises à jour de sécurité et aux nouvelles versions
- Une personne devra assurer la maintenance de la technologie d’automatisation
Les procédures ne sont pas la fin de la créativité et de l’adaptabilité. Une procédure est la version professionnelle d’une habitude. Pensez à votre routine matinale :
- Eteignez l’alam
- Sortez du lit
- Aller aux toilettes
- Brossez-vous les dents, etc.
Vous ne pensez pas vraiment à ce que vous faites, et c’est une bonne chose. Votre esprit se prépare pour la journée à venir, et c’est là que votre énergie doit être concentrée.
Pensez maintenant à la façon dont vous pourriez commencer votre journée de travail au bureau :
- Entrez dans le bâtiment
- Passez votre badge
- Prenez un café, saluez vos collègues
- Marcher jusqu’à votre lieu de travail ou votre bureau
- Connectez-vous à votre ordinateur
- Ouvrez votre courrier électronique, votre navigateur, etc.
Une procédure simple ne signifie pas qu’elle comporte moins de 10 étapes. Cela signifie qu’une personne ayant des connaissances de base sur le travail peut exécuter les tâches avec succès.
Exemple : Demandes de réinitialisation de mot de passe
Situation actuelle : Le personnel peut appeler le service d’assistance, envoyer une demande à partir de son adresse électronique personnelle, utiliser WhatsApp pour contacter son administrateur préféré, etc.
Nouvelle procédure :
- Le personnel DOIT contacter le service d’assistance en utilisant le numéro, l’adresse électronique ou le formulaire de contact prévu à cet effet. Toutes les autres demandes doivent être redirigées.
- Le service d’assistance :
- Crée une demande liée à la personne.
- Confirme l’identité de la personne :
- Avoir accès aux informations fournies par chaque personne, sauvegardées dans un endroit central et sécurisé. Il ne doit pas s’agir d’informations personnelles, mais d’informations confidentielles que la personne a partagées dans le seul but de s’identifier. Par exemple, une série de questions et de réponses de leur choix.
- NOTE : Si l’identification échoue, la demande est transformée en incident de sécurité.
- Choisit un nouveau mot de passe aléatoire, généré par random.org
- Le demandeur confirme qu’il peut accéder au site, au système ou à l’application.
Mesures :
- Nombre de réinitialisations de mot de passe par période
- Nombre d’incidents de sécurité générés par des demandes de réinitialisation de mot de passe
- Nombre de fois où le demandeur a échoué dans l’utilisation du nouveau mot de passe
Bien que cette procédure soit fonctionnelle, il peut devenir fastidieux, au fur et à mesure que l’organisation se développe, d’avoir un nombre sans cesse croissant de demandes de réinitialisation de mot de passe. Cependant, le service d’assistance et de cybersécurité devrait surveiller les paramètres (entre autres) pour voir s’il y a des possibilités d’amélioration, comme par exemple :
- Portails de gestion des comptes en libre-service
- Passkeys pour remplacer complètement le mot de passe
Le processus décrit ci-dessus serait acceptable pour une attestation SOC 2, et les améliorations devraient être conformes à tous les cadres et règlements, pour autant que je sache.
Ai-je oublié quelque chose ?