サイバーセキュリティ戦略における重要な人間的要素

相互接続可能なデジタルデバイスの数が増えるにつれて、サイバーセキュリティの複雑さは飛躍的に増大しました。今日、相互に依存するコンピュータインフラストラクチャはほぼすべての組織をサポートしているため、デジタルデータの保護が重要になっています。

調査対象のCEOの37％は、重大なリスクは拡張されたビジネスパートナーと主要なエンタープライズパートナーにあると述べています。そして、予防策だけではもはや十分ではありません。新しい環境では、注意深い監視と創造的な革新が必要です。すべての利害関係者の参加が必要です。

人的要素が鍵となります。従業員をどれだけ精査し、訓練し、装備するかによって、サイバーセキュリティシステム、顧客やパートナーに対する評判、そしておそらくあなたのビジネス自体が成功または失敗します。

Cスイートの89％は、従業員が責任を持って情報を保護すると考えていますが、22％は、従業員がオフサイトのデータポリシーに気付いていないと述べています。最も危険にさらされているデバイスは、会社の携帯電話（50％）、会社のラップトップ（45％）、およびUSBストレージデバイス（41％）です。

C-Suiteからの2018年の視聴回数に関するレポート 、 で。 Kearneyは、昨年、85％の企業がセキュリティ侵害を経験したことを発見しました。それに応じてサイバーセキュリティ戦略を設計および実装したのはわずか40％でした。

従業員に焦点を当てるだけでなく、サプライチェーン全体を参加させることが重要です。企業のリーダーは、実行可能なサイバーセキュリティを確保するための4つの主要な戦術を挙げています。

• 包括的な情報セキュリティ対策
• 高度なスキルを持つITプロフェッショナルを採用する
• サイバーセキュリティ行動分析、および
• 従業員トレーニングプログラム。

サイバーセキュリティの新しいパラダイムは、関与し、説得し、教育し、転換し、報酬を与えることです。エンドユーザーは、非協力的で、コントロールを嫌い、行動を変えたがらないという不当な固定観念を持っていることがよくあります。同時に、それらはサイバーセキュリティの最も弱いリンクです。深い技術専門家でさえ、訓練を受けておらず、準備が整っていない通常のユーザーと同じくらい脆弱である可能性があります。

実際の例：数年前、南米の無線事業者のCISOとして、私はデータ漏洩の増加を減らすという任務を負っていました。上級管理職は、セキュリティポリシーの厳格な施行を推奨しました。エンドユーザーは、セキュリティについてコミットしておらず、内部統制を改善するためのキャンペーンに反応していなかったと彼は言いました。

私は逆張りの姿勢を取ることにしました。経験から、実行可能なソリューションを作成するには、会議室に座っている人だけでなく、すべての利害関係者（ポリシー、テクノロジー、決定の影響を受ける各個人）を関与させる必要があると確信していました。

エンドユーザーを罰し、統制の実施のみに焦点を当てるのではなく、ベストプラクティスを共有し、問題点を特定し、セキュリティツールを適切に使用する方法について段階的なガイダンスを提供するために、従業員との一連の会議を開催しました。

一連の合併により、多くのセキュリティポリシーが古くなっていることが判明しました。さらに、ユーザーは、ポストイットにアクセスコードを書き込むことで、面倒な30日間のパスワード有効期限の慣習に対処していました。これにより、悪意のある人々が不正アクセスを取得していました。

従業員からのフィードバックに基づいて、ポリシーを更新し、手順と基準を書き直して、関連性があり明確になるようにしました。スコアカードは進捗状況を追跡するために使用され、報酬システムが導入されました。データ漏洩は減少し、プログラムの関連性を維持するために、ユーザーとセキュリティ部門の間にフィードバックループが確立されました。エンドユーザーは、潜在的な問題を見つけるための教育ループとともに、プロセスに参加しました。

この経験から、利害関係者と人間中心の設計プロセスが、罰せられるのではなく、関与、教育、転換、報奨に依存することで、最も包括的で持続可能なサイバーセキュリティソリューションが生み出されることが再確認されました。

J。 Eduardo Camposは、Embedded-KnowledgeInc。のコンサルティング会社を率いています。