企業のサイバーリスクが進化するにつれて、あなたも進化しなければなりません。ここでは、ビジネスを保護し、従業員にとって有意義なサイバーセキュリティ文化を構築するための5つのヒントを紹介します。
サイバーセキュリティの文化を創造することは、常に組織のサイバーセキュリティ戦略の重要な要素であった。しかし、COVID-19によって誘発されたリモートワークへの大規模なシフトと、それに続くハイブリッドワークプレイスの増加は、脅威の状況を根本的に変えました。
過去のサイバーセキュリティ政策、そしてパンデミックの初期に制定された政策でさえも、新たなサイバーセキュリティの課題に直面して再評価する必要がある。新たなリスクを特定し、明確にし、ビジネス戦略との整合性を確保しなければならない。
なぜなら、リスクプロファイルが変化するにつれて、組織のサイバーセキュリティ文化も変化しなければならないからです。そして、進化するセキュリティリスクに対処するために必要な行動や考え方、つまり企業のサイバーセキュリティ文化は、組織全体に広がっていなければなりません。
サイバーセキュリティの文化とは何か、なぜそれが重要なのか。
サイバーセキュリティ文化とは、誰もがサイバーセキュリティに関心を持ち、それを向上させようとする意欲を持ち、サイバーセキュリティがなぜ重要なのかを理解し、自分自身がその解決策の一部であると考える職場環境であると考えるべきである。
また、サイバーセキュリティの文化を醸成することで、従業員がどのようなリスクがあるのか、またはその可能性があるのかを認識し、その対応方法や報告方法を理解するようになる。このような意識は、サイバー攻撃や潜在的なデータ侵害に対する強固な防衛ラインを構築することで、組織をよりよく守ることにつながる。
課題
セキュリティに対する十分な予算の不足は、どの組織にとっても主要な課題の一つである。もう一つは、企業幹部の支援なしにサイバーセキュリティ文化を構築することである。
セキュリティは評判が悪い。セキュリティ・ブランド」は、サイバーセキュリティ文化を形成する上で重要な要素である。セキュリティ・ブランドが必ずしも尊敬されたり理解されたりしていないことは、セキュリティ・チームがセキュリティに対する人々の態度を変える努力をすることによって克服しなければならない障害である。
組織の最高セキュリティ責任者(CIO)は、この課題に立ち向かわなければならない。サイバーセキュリティの文化をリードし、構築し、それを優先させることができる変革的なCISOを見つけることは、多くの企業にとって挑戦である。
文化を創造するための5つのベストプラクティス
ここでは、情報セキュリティの専門家が組織全体にサイバーセキュリティの文化を醸成するための5つの重要なベストプラクティスを紹介する。
1.適切なセキュリティ・ツールに投資する。
セキュリティ・ツールは多層防御の不可欠な要素であるが、サイバー攻撃に対する万能薬ではない。サイバーセキュリティの「人間的側面」を補強することができるサイバーセキュリティツールを、よく考えて補完することが望ましい。
例えば、機械学習技術を使用するSIEMソリューションに投資することで、セキュリティ・オペレーション・センターのスタッフが検知・対応能力を高め、S/N比を改善し、セキュリティ・アナリストが重要な脅威に集中できるようになります。
しかし、テクノロジーの進化やサイバー攻撃の増加に伴い、サイバーセキュリティのスキル不足は深刻化する一方であることを忘れてはならない。時代を先取りするためには、幅広い経歴を持つサイバー人材を採用し、訓練し、維持することが不可欠である。
2.セキュリティを利用しやすくする
セキュリティ管理者は、上級管理職と協働することから始める必要がある。セキュリティの専門家は、ビジネス戦略を理解し、その戦略と整合させ、その戦略に関連するリスクを特定し、ビジネス用語で適切に伝えなければならない。
リスクとは何か、何を求められているのかを理解しやすい言葉で理解すれば、マネジャーは前進することができる。
3.エンドツーエンドでサイバーハイジーンを推進する。
真のインパクトを与えるには、優れたサイバーセキュリティの実践が C レベルから生まれ、組織全体に浸透していく必要があります。最高経営責任者(CEO)が積極的なサイバーセキュリティの実践を示し、社内の他のメンバーに良い模範を示せば、他のチームもそれに続く可能性が高くなります。
サイバーセキュリティは最優先事項であり、会社の他の部分の基調となるものでなければならない。
- 幹部社員にサイバーセキュリティ・トレーニングコースへの参加を奨励する。
- 階層レベルに関係なく、セキュリティポリシーとプロセスを全面的に適用する。
- 政策立案者と協力し、理事会メンバーにとってどのように機能するかに応じて手続きを適応させる:理事会メンバーにとって政策が機能していないのであれば、おそらく組織の下層レベルにとっても機能していない。
- 企業文化が進化するには時間と労力がかかる。
4.人間に焦点を当てる
セキュリティチームはしばしば、「人間中心」のセキュリティ・プログラムを策定することと、全従業員が受講しなければならないセキュリティ意識向上トレーニングを実施することを同一視して誤解している。
まずは人から始めなければならない。つまり、ステークホルダーを分析し、彼らの行動と課題を理解し、何を変える必要があるのか、そしてその変化をどのように実行に移すのかを見極めるのだ。そして、それに基づいて、利害関係者のコミュニティごとに安全文化のイニシアチブを構築するのです。
5.ゼロ・トラスト戦略に取り組む
多要素認証(MFA)やゼロ・トラストなどのセキュリティ戦略は、アクセス制御を強化する方法としてサイバーセキュリティ界でよく議論されるが、ゼロ・トラストは急速に人気を集めており、現在多くの組織がこの考え方を採用しようとしている。
企業のサイバーセキュリティにおけるゼロ・トラスト戦略とは、特定の企業システムやデータへのアクセスを許可する前に、すべてのユーザーを継続的に認証、認可、検証することを要求する枠組みである。これには、社内ネットワーク内のユーザーと社外ネットワークのユーザーの両方が含まれる。
全社的にこのモデルを導入することは、社内の全員が同じセキュリティ対策に直面することを意味し、ビジネスを犠牲にしかねないミスの余地はほとんどない。
結論
セキュリティ文化の重要性を強調する組織はあまりに少なく、その結果、不十分な教育による意思決定、システムの危殆化、サイバー侵害につながる可能性がある。
サイバーセキュリティの文化を発展させることは継続的なプロセスであり、組織のあらゆるレベルの関与が必要である。
職場で優れたサイバーセキュリティの実践を行うことで、長期にわたってセキュリティ文化を構築できるだけでなく、サイバー脅威から組織をよりよく守ることができる。
