Infosecurity Europe 2024で登壇した専門家によると、組織は意識向上トレーニングに先立って、セキュリティ行動の変化に焦点を当てる必要がある。
KnowBe4のリード・セキュリティ・アドボケイトであるJavvad Malik氏は、知識不足が理由で人為的ミスがサイバーセキュリティ侵害の主要因であり続けているわけではないと説明した。
例えば、ほとんどの従業員は強固なパスワードを採用する必要があると告げられている。しかし、年1回のセキュリティ意識向上のチェックボックス式トレーニングコースで、やるべきことをただ伝えるだけでは、必要な文化的変化は起こらない。
SoSafeのCSOであるAndrew Rose氏はInfosecurityに対し、次のように語った。「人々に何をすべきかを伝えさえすれば、あとは彼らがそれを実行してくれると考えている組織が、いまだにあまりにも多いと思います。行動を変えるには、はるかに多くの仕掛けを作る必要があります。」
行動変容のためのインセンティブを作る
従業員は、自社を守るプロセスに適切に関与していると感じる必要がある――しかし多くの組織はそれがあまり得意ではない。
例えばMalik氏は、多くの組織がフィッシング・シミュレーションに正しい方法で取り組んでいないと述べた。演習の目的や、なぜそれが重要なのかを説明するのではなく、人を引っかけるためのものだと受け取られてしまうことがある。
Rose氏は、意識向上トレーニングを実践しないことの結果を内在化させることが有効なアプローチだと考えている。
「マルウェアをクリックすることで組織の評判が危険にさらされ、それが自分たちのボーナスに影響したり、プロジェクトが中止になったりし得ることを理解する必要があります」と彼は指摘した。
従業員を安全な行動に巻き込むもう一つの有効な方法は、フィッシング・シミュレーションのような演習をゲーミフィケーションすることだ。
Fleet Mortgagesのセキュリティ/テクノロジー担当ディレクターであるErhan Temurkan氏はInfosecurityに対し、フィッシング・シミュレーションなどのセキュリティ活動に最も積極的に関与しているチームや個人を示すリーダーボードを使い、その情報を事業側へフィードバックしていると語った。
「それによって従業員は、事業を安全にするという道のりの一部になれたと感じられるのです」と彼は説明した。
Malik氏はまた、従業員にとって強固なセキュリティを“摩擦のない”ものにする重要性――つまり、良い行動を取ることが時間のかかるプロセスにならないようにすること――を強調した。
これには、適切なタイミングで自動的にセキュリティメッセージを提示するプロセスの整備が含まれる。例えば、ノートPCに接続したデバイスのセキュリティスキャンを実行するかどうかを尋ねる、といったものだ。
「必要なときにだけトレーニングを提供することです」とMalik氏は述べた。
同調圧力を通じて文化的変化を推進する
セキュリティ文化の変化は組織のトップから推進されなければならない。しかし同時に、中間管理職に牽引され、同僚からのローカルなレベルで従業員へセキュリティメッセージが発信されることも重要だ。
Rose氏は、周囲の人々がその行動を実践しているのを目にすると、自分のセキュリティ行動もはるかに変わりやすくなり、それが自己持続的な文化を生み出すと述べた。
セキュリティ・チャンピオン――サイバーセキュリティに情熱を持ち、チーム内でメッセージを増幅させる一般の従業員――は、同調圧力を確立するための重要な手段である。
こうした人々は、特定のチームの文脈で結果について語ることもできる。例えば、マルウェアファイルをクリックすることが、そのチームの業務にどのような損害を与え得るか、といった点だ。
Rose氏はまた、セキュリティ・チャンピオンがセキュリティチームにとって有用なフィードバックループにもなり、部門ごとにセキュリティ方針やプロセスを適応させる助けになると指摘した。
「自分のチームでポリシーが機能していない場合、それがなぜなのかを持ち帰って伝えることができます」と彼は説明した。
翻訳元: https://www.infosecurity-magazine.com/news/change-security-behaviors-training/
