Compétences pour les professionnels de la sécurité

La planification et mise en œuvre de processus et procédures au niveau de l’organisation pour la gestion du risque à la réussite ou l’intégrité de l’entreprise, en particulier ceux découlant de l’utilisation de technologies informatiques, de réduction ou non-disponibilité de l’alimentation en énergie ou l’élimination inappropriée de matières, matériel ou données.

La sélection, conception, justification, mise en œuvre et exploitation des stratégies de commandes et de gestion pour maintenir la sécurité, la confidentialité, l’intégrité, la disponibilité, la responsabilisation et la conformité des systèmes d’information avec la législation, la réglementation et les normes pertinentes.

La protection de l’intégrité, disponibilité, authenticité, non-répudiation et confidentialité de l’information et des données en stockage et en transit. La gestion des risques de manière pragmatique et économique pour assurer la confiance des parties prenantes.

La gouvernance globale sur l’utilisation de tous les types d’informations, structurées ou non, qu’elles soient produites en interne ou en externe, pour soutenir la prise de décisions, les processus opérationnels et les services numériques. Englobe le développement et la promotion de la stratégie et des politiques portant sur la conception de structures d’information et des taxonomies, le réglage des politiques pour l’approvisionnement et l’entretien des données et l’élaboration des politiques, procédures, pratiques de travail et formation pour promouvoir le respect de la législation régissant tous les aspects de l’exploitation, utilisation et divulgation des données.

L’évaluation indépendante de conformité de n’importe quel activité, processus, livrable, produit ou service à des critères normatifs précis, meilleures pratiques ou autres exigence documentée. Peut concerner, par exemple, la gestion des actifs, les outils de sécurité réseau, les pare-feus et sécurité internet, pérennité, systèmes en temps réel, conception d’applications et des certifications spécifiques.

La collecte, traitement, conservation, analyse et présentation de preuves fondées sur l’ensemble des résultats, y compris preuves informatiques à l’appui de la réduction de vulnérabilité de sécurité et/ou d’enquêtes criminelles, de fraude, contre-espionnage, ou d’imposition légale.

L’évaluation de vulnérabilités organisationnelles par le biais de conception et exécution de tests de pénétration qui démontrent comment un adversaire peut soit subvertir les objectifs de sécurité de l’organisation ou atteindre des objectifs spécifiques de manière néfaste. Les tests de pénétration peuvent être une activité autonome ou un aspect de tests d’acceptation avant d’obtenir une autorisation d’exploitation. L’identification d’un aperçu plus approfondi des risques commerciaux de diverses vulnérabilités.

La fourniture des services de gestion et d’administration de la sécurité opérationnelle. Comprend généralement l’autorisation et la surveillance de l’accès aux installations ou infrastructures informatiques, l’enquête d’accès non-autorisés et la conformité à la législation pertinente.

Le développement et l’exploitation de l’expertise dans n’importe quel domaine spécifique de technologie de communication ou d’information, travail numérique, techniques spécifiques, méthodes, produits ou domaines d’application, afin de fournir des conseils spécialisés.

La fourniture de planification et facilitation de la continuité de service, dans le cadre de (ou en étroite collaboration avec) la fonction qui planifie la continuité d’activité pour toute l’organisation. L’identification des systèmes d’information qui soutiennent les processus métiers critiques. L’évaluation des risques à la disponibilité, l’intégrité et la confidentialité des systèmes critiques. La coordination de la planification, la conception, les procédures d’essai et de mise à jour et plans de contingence pour gérer les risques et maintenir des niveaux de continuité acceptables.

Le traitement et la coordination des réponses appropriées et opportunes aux incidents rapportés, y compris l’acheminement des demandes d’assistance aux fonctions appropriées pour résolution, surveillance de l’activité de résolution en gardant les clients informés de l’état d’avancement de la restauration du service.

La création systématique de connaissances nouvelles par collecte de données, innovation, expérimentation, évaluation et diffusion. La détermination des objectifs de recherche et la méthode par laquelle la recherche sera effectuée. La participation active à une communauté de chercheurs ; communiquer de manière formelle in informelle par le biais de médias numériques, conférences, revues, livres et séminaires.

Le développement et l’exploitation d’une capacité de mesure à l’appui des besoins d’information organisationnelle convenus. La planification, mise en œuvre et contrôle des activités pour mesurer les attributs de processus, produits et services afin d’évaluer le rendement, l’avancement et fournir des indications et des aperçus de problèmes, questions et risques réels ou potentiels. L’identification des besoins, le chois des mesures et des échelles de mesure, établissant les méthodes de collecte et d’analyse de données, définissant des valeurs cibles et des seuils. Les mesures peut être appliquée à des organisations, projets, processus et produits de travail.

L’alignement des objectifs de performance et activités de fournisseurs de l’organisation avec les stratégies et plans de sourçage, l’équilibrage des coûts, l’efficacité et la qualité de service. L’établissement de relations de travail basées sur la collaboration, la confiance et la communication ouverte afin d’encourager la co-innovation et l’amélioration des services avec les fournisseurs. L’engagement proactif des fournisseurs pour des avantages mutuels et résolution des incidents opérationnels, problèmes, mauvaises performances et autres sources de conflit. L’utilisation de procédures d’escalade claires pour communiquer et résoudre les problèmes. La gestion de la performance et des risques pour de multiples fournisseurs (internes et externes) par l’utilisation d’un ensemble de mesures concertées.

La gestion systématique des connaissances essentielles pour créer de la valeur pour l’organisation par la capture, le partage, le développement et l’exploitation de la connaissance collective de l’organisation avec comme objectif d’améliorer les performances, la prise de décisions et d’atténuer les risques. Le développement d’une culture de support et de collaboration dans le partage des connaissances pour conduire à l’adoption de solutions technologiques pour la gestion des connaissances. Donne accès aux connaissances informelles, tacite, autant qu’aux connaissances formelles, documentées et explicite en facilitant les communications et la collaboration interne et externe.

Le transfert de compétences et de connaissances commerciales ou techniques, et la promotion d’attitudes professionnelles afin de faciliter la formation et le développement. Utilise une gamme de techniques, ressources et médias (qui peuvent inclure l’e-Learning, des environnements virtuels en ligne, l’auto-évaluation, la formation par les pairs, la simulation et autres méthodes actuelles).

L’identification, analyse, gestion, suivi et amélioration systématique des relations avec les parties concernées afin de cibler et améliorer les résultats mutuellement avantageux. Engagement à l’action par le biais de consultation et analyse des impacts. Conception de l’approche à prendre pour la gestion des relations ; y compris les rôles et responsabilités, la gouvernance, politiques, processus et outils et mécanismes de soutien. Combine de façon créative les canaux de communication formels et informels afin d’atteindre le résultat souhaité.