Infosecurity EuropeのCISOパネルによると、セキュリティリーダーは、同僚が単にルールに従うだけにとどまらない文化を育む必要がある。
セキュリティ文化の醸成は、社内の人々にインシデントを報告するよう促すことだけではない(それも依然として重要ではあるが)。CISOは、事業部門がセキュリティチームと積極的に協働しようとする環境を作ることも目指すべきだ。ひいては、セキュリティがどのようにして社内の誰もが目標を達成する助けになるのかを説明することを意味する。
「私たちの目標は、人々が『言われたから』ではなく、『理解していること』に基づいて、特定の行動を取るようになることです」と、法律事務所DentonsのCISOであるToks Oladuti氏は述べた。「なぜそうするのかを理解すれば、人はより行動を変えやすくなります」
Dentonsでは、Oladuti氏がフィッシング攻撃などの脅威について、定期的にライブで実践的なデモンストレーションを行っている。これらは好評で、攻撃がいかに簡単か――そして同時に、それに対抗することもいかに容易になり得るか――を目の当たりにした同僚は、助言を思い出して実行に移す可能性が高い。
Aston Martin LagondaのCISOであるRobin Smith氏は、より良いセキュリティの鍵は協働にあると述べた。セキュリティを孤立した集団として捉えるのではなく、プロジェクトのより早い段階で事業部門が自分のところに相談に来てほしいという。
Smith氏はフィードバックも積極的に求めており、そのフィードバックによって変更が生じた場合は、提供してくれた個人やチームに知らせるという。また、同僚がオンラインで自分自身を守るといったスキルを伸ばせる「デジタル・ガレージ」プロジェクトも実施している。「私たちは、セキュリティが組織の意識の一部になるようにしています」と同氏は語った。
Dentonsでは、弁護士は、それがクライアントに直接的な利益をもたらすこと(新規案件の獲得など)や、自分自身に利益があることが分かると、最もセキュリティに関与しやすいとOladuti氏は感じている。
「弁護士として、あるいは一人の人間として自分にとっての価値が見えなければ、抵抗が生まれます」と同氏は認めた。「クライアント業務、事業の成長、あるいは本人や家族の個人セキュリティに役立つものでなければなりません」
さらに、どのようなプログラムも短く、関連性がある必要がある。
Aston Martin LagondaのSmith氏は、デザインとイノベーションに強く注力する企業では、AIのような新技術や新たな動向に対して、すでに関心があると付け加えた。
「私たちは、サイバーがデザインプロセスにどのように価値を付加できるかという幅広いアジェンダを推進しています。私たちがこれまでそうしてきたように……AIを本当にうまく採用できれば、競合より先んじることができます。ビジネスに価値をもたらすのであれば、適応的であり、リスクに対して寛容である必要があります」とSmith氏は説明した。
Infosecurity Europeの関連記事を読む:#Infosec2024:専門家が共有する「唯一の定数」である変化をCISOがどう管理できるか
それでも、安全な文化を金銭的な指標やその他の指標と照らして価値づけるのは容易ではない。
「測定するのは非常に難しいです」とOladuti氏は述べた。「私は自分がしていることの価値を理解したいのですが、文化は測りにくい。とても定性的で――多くは、どれだけ関与が得られているか、そしてより多くの人が私たちに[インシデントを]報告してくれるようになっているか、といった点に関わっています」
両CISOは、処罰を恐れることなく同僚がセキュリティインシデントを報告できる文化が、セキュリティを維持し改善するうえで不可欠だという点で一致した。
翻訳元: https://www.infosecurity-magazine.com/news/infosec2024-collaboration-security/
