Sécurité de l’information et efficacité
Rappelons-nous tout d’abord que la sécurité c’est l’assurance raisonnable d’être à l’abri des risques inacceptables.
Le risque se mesure en termes de vraisemblance et d’impact. Nous reviendrons bientôt sur ce sujet.
Mais on ne peut tout éviter et il y aura toujours des évènements qui se produiront. S’ils ont un effet sur vos informations de valeur ou sur vos enjeux, ces évènements deviennent des incidents. Nous y reviendrons également.
Ceci étant dit, venons-en à notre sujet d’aujourd’hui.
Qu’est-ce qui est important ?
Ce qui est important, c’est ce qui a de la valeur. Le niveau de classification que nous avons donné aux informations et, ensuite, à ce qui les contient ou les traite, nous indique clairement ce qui est important.
Ce qui peut arriver à ce qui est classifié à un niveau bas ne devrait pas nous inquiéter.
Ce qui est important, c’est également ce qui, dans l’estimation du risque, est caractérisé par le niveau d’impact.
Ce qui est important, c’est ce que vous considérez comme des enjeux.
Qu’est-ce qui est urgent ?
Ce qui est urgent, c’est ce qui obtient un niveau de risque élevé. En effet, si le risque – estimé ou évalué – est acceptable (voire faible), pourquoi se faire du mouron ?
Il y a également le niveau que nous avons accordé à la caractéristique de vraisemblance dans l’estimation du risque. Ce qui peut se produire fréquemment, avec une bonne probabilité ou sans compétence et moyens particuliers doit attirer notre attention.
Mais encore ?
Il faut maintenant faire la part des choses… et c’est ici que les outils d’efficacité professionnelle et personnelle entrent en jeu… par le biais d’un général américain bien connu : Eisenhower.
Il avait imaginé une matrice qu’il employait tout le temps pour localiser les actions à faire.
Cette matrice comporte 4 secteurs :
Important et Urgent :
A résoudre immédiatement de sorte de s’en débarrasser au plus vite. Notons que ‘au plus vite’ n’a rien de SMART et qu’il nous faudrait déterminer un temps maximum ou une date butoir pour la réalisation.
C’est la zone de danger mortel, là où se trouvent les risques inacceptables et les incidents de sécurité qui se produisent.
Important et non urgent :
C’est la zone du travail quotidien à prioriser :
- gérer les informations et les solutions de sécurité ;
- régler les faiblesses ;
- superviser les activités pour s’assurer que tout se passe comme prévu, etc.
C’est également la zone des choses à faire mais qui dépassent notre autorité ou notre compétence. Dans ce cas, il ne faut pas hésiter à déléguer vers qui de droit.
Non important et urgent :
Comme ce n’est pas important, pourquoi s’en inquiéter alors que notre temps est si précieux ? Nous le délèguerons donc à ceux dont c’est le métier ou le rôle.
Nous devrons bien définir ce qui doit être fait et quels objectifs doivent être atteints, et être à même de vérifier et contrôler que nos attentes ont été satisfaites.
Non important et non urgent :
A ignorer (donc ne pas s’en occuper).
Donc, plaçons tout d’abord dans votre agenda ce qui est important et urgent, ensuite ce qui est important et non urgent. S’il nous reste de la place, introduisons ce qui est moins important. Notre vie et notre sécurité sera plus légère et plus efficace.
Maintenant, les cinq niveaux d’objectifs sont déterminés et que nous savons à quoi nous occuper pour atteindre réellement les buts que nous nous sommes fixés. Nous sommes fins prêts pour le succès.
Encore des questions, des inquiétudes ? N’hésitez pas à m’interroger en introduisant un commentaire ci-dessous. J’y répondrai volontiers.
A bientôt, plus en sécurité avec vos informations…
Jean-Luc
Google+