6.2.1.2 Gestion efficace
de la sécurité de l'information
Le responsable Security de Ecobank CI ne pourra travailler
tout seul sur les méthodeset mesures de gestion de la
sécurité de l'information commandées par la maison
mère pour les adapter au sein de la banque. C'est aussi la raison pour
laquelle il est important d'avoir un comité de pilotage de la
sécurité de l'information. Le responsable Security pourra
s'appuyer sur ce comité pour être mis au courant des risques
éventuels actuels liésàla sécurité de
l'information pour chaque métier. Il sera également en mesure
d'adapter correctement les politiques et procédures de
sécuritéà chaque direction concernée afin que
chacun prenne part à l'implémentation et l'amélioration du
SMSI de la banque.
Ce que nous recommandons en plus, c'est une position
hiérarchiqueélevée pour permettre au responsable Security
d'être plus proche des autres directeurs mais aussi de la direction
générale. Cela concoure à renforcer la collaboration et
permet une gestion efficace et efficiente de la sécurité de
l'information.
6.2.1.3Communication /
formation régulière du personnel
Il est important de communiquer ses politiques et
procédures afin de mettre au courant le personnel sur la conduite
à tenir pour maintenir l'image et la crédibilité de la
banque. Les politiques notamment celle du risque (appétence pour le
risque) devront leur êtrecommuniqué par divers moyens afin que les
opérationnels sachent l'importance de leurs actions et la
finalité sur le système et les objectifs de l'entreprise.
Ne dit-on pas que le maillon faible de l'entreprise c'est
l'homme. Ainsi plus le personnel prend conscience des objectifs de
sécurité de l'entreprise, moins le taux d'erreurs est
élevé. Par cette considération, la banque rencontrera la
motivation et l'implication des agents dans l'amélioration continue du
SMSI.
Aussi concernant la périodicité des formations
trop longue, nous recommandons des formations régulières (au
moins 5 à 6 fois dans l'année) pour les agents de Ecobank CI soit
en atelier, sous forme de conférence ou en ligne. Les formations
permettent au personnel d'avoir une mise à jour sur les dernières
technologies de l'information, les risques liés aà leurs
activités, la gestion de la sécuritéà tous les
niveaux.Ces formations doivent être pratiques suivis de test d'aptitudes
obligatoires. Des ateliers pourront être organisés dans les
différentes directions pour faire participer le personnel à
l'actualisation des procédures, à la bonne gouvernance des
technologies de l'information et l'apport de solutions favorables au maintien
et à l'amélioration de la gestion de la sécurité de
l'information.
La direction du contrôle interne ou de l'audit interne
pourra faire une enquête régulière d'évaluation des
connaissances pour s'assurer que les agents ont bien assimilé les
formations et en comprennent désormais les enjeux.Notons que, lorsque
les employés sont actifs et participent à l'amélioration
d'un système, ils se sentent plus impliqués et plus
respectés au sein de la structure. Ainsi ils sont dévoués
et s'attèlent à travailler dans l'intérêt de
l'entreprise.
|