Risques et responsabilité
C'est le responsable du traitement des données qui doit déterminer qui peut avoir accès aux données. Il doit aussi fixer à quelles conditions et quand cet accès est autorisé (confidentialité des données), déterminer de quelle manière les données sont collectées et qui est autorisé à les traiter (intégrité des données). C'est aussi lui qui fixe le délai pendant lequel les données sont accessibles et leur méthode de disponibilité (disponibilité des données) et enfin, c'est encore lui qui fixe les preuves à confectionner (qui a eu accès, à quelles données et quand).
Précédemment, la sécurité de l'information était une tâche surtout dévolue aux informaticiens et il suffisait pour s'en assurer, qu'ils prennent une série de mesures techniques pour sécuriser le système informatique de l'entreprise ou de l'organisation.
Aujourd'hui, les choses ont changé et les innombrables nouvelles possibilités et applications en matière de sécurité de l'information demandent une approche globale. Bien que l'initiative à ce niveau doive émaner de la direction, toute personne susceptible d'influer sur l'un ou l'autre élément du système informatique est investie de responsabilités par rapport à cette sécurité.
Bref, la sécurité de l'information dépend de tous ceux ou presque qui font partie de l'entreprise ou de l'organisation. Il est de la plus haute importance que chacun, chaque jour, collabore activement à assurer cette sécurité.
Cette responsabilité ressortit à la direction qui doit élaborer une politique de sécurité et de veiller à la bonne mise en œuvre des mesures qui y sont préconisées. Elle ressortit aussi au personnel chargé de mettre ces mesures en œuvre, par exemple, veiller à ne pas divulguer d'informations, à bien fermer la porte du local où sont stockées les informations confidentielles, à ne pas communiquer à autrui son code personnel d'accès à une base de données,…
La direction doit élaborer, pour elle-même et pour son personnel, un code de bonne conduite en matière de sécurité de l'information et y sensibiliser son personnel. Tous les membres du personnel doivent être convaincus de l'importance de respecter les règles de sécurité. Ils doivent être pleinement conscients des conséquences qui peuvent être liées à leur éventuel non-respect des règles en matière d'utilisation des informations. Chaque membre de l'entreprise ou de l'organisation doit arriver à respecter ces règles naturellement parce qu'elles font partie intégrante de sa culture d'entreprise. Toute politique de sécurité efficace repose sur cet axiome.