より肯定的なIT セキュリティの視点は、より良い結果につながる可能性があります。セキュリティ意思決定者が早期に手放すべきマインドセットについてご覧ください。
写真:Paul Craft – shutterstock.com
サイバーセキュリティ分野の仕事が高いバーンアウトのリスクを持つことは、もはや秘密ではありません。セキュリティ専門家の環境は、何よりも(感じられている)プレッシャーと、日々増加する要求に対応する必要性によって特徴付けられています。これにはさまざまな理由がありますが、最大の原因はセキュリティについての考え方です。良いニュースは、有害なマインドセットを特定できれば、それを変えることができ、自分自身とチーム両方をより良い成功のために位置付けられるということです。
サイバーセキュリティは非常に技術的な分野であり、ある意味では厳密な科学です。しかし一方で、心理学と倫理の要素により強く影響を受けています。IT セキュリティの最終的な有効性は、この分野の専門家と意思決定者のマインドセットと信念にも左右されます。
次の6つのマインドセットのいずれかを示している場合は、より健全なセキュリティ環境が成長するために改善が必要です。
1.「セキュリティは目標である」
特に危険なセキュリティマインドセットは、それが開始点と終点を持つ旅であるという確信です。この信念に(願わくば)意識的に到達することはありません。プロは、それが継続的なタスクであることを理解しています。しかし無意識のうちに、特定のタスクが完了したときに、一時的な停止が発生する可能性があります。
しかし、これはチーム内のすべての人に不要なストレスをもたらすだけです。終わりを示唆する人は誰でも、もっと多くのことをする必要があることが明らかになると、微妙な失望または失敗の感覚を生み出します。あなたとあなたのチームが落ち着きを得るのは、セキュリティが継続的なプロセスであることを受け入れたときです。
2.「IT セキュリティはプロのためだけのものである」
セキュリティが専門家だけの手にあるという見方は、2つの不幸な結果につながります:
-
他のすべての従業員は、少なくともそう感じます、責任から免除されます。
-
セキュリティ専門家は、微妙な方法で単独の戦闘員の役割に追い詰められます。
ソフトウェア開発者は、納品時に対処するのではなく、ライフサイクルのあらゆる段階でセキュリティを念頭に置くべきです。しかし、これは企業内のすべての他の従業員にも当てはまります:認識がある場合のみ、サイバー攻撃の危険を最小化できます。
もちろん、セキュリティ専門家はこれに関して主導的な役割を果たします。しかし最終的には、すべての従業員は一般的な企業セキュリティに貢献できるという力を感じるべきです。共同の課題はまた、チーム精神を強化します。
3.「セキュリティはますます難しくなるばかりだ」
古典的なシジフォスのタスクほど落胆させるものはほとんどありません。しかし、セキュリティに関しては、この印象は簡単に生じる可能性があります。サイバー犯罪者はますます巧妙になり、より高度なツールを使用しますが、保護する必要があるデジタルインフラストラクチャはますます大規模で、複雑で、相互に接続されています。
実際には、ホワイトハットとブラックハット間の戦いは継続的な与え合いです。ランサムウェア現象は良い例です。一時期、暗号化トロイの木馬は疫病のような開発のように見えました。現在、セキュリティ業界は相応に進化し、測定可能に対抗しています。
IT セキュリティの循環的性質を受け入れることで、リラックスと警戒の間の適切なバランスを見つける姿勢を取ることができます。精神的な均衡は長期的な(セキュリティ)の成功の鍵です。
IT セキュリティに関する他の興味深い記事を読みたいですか?当社の無料ニュースレターは、セキュリティの意思決定者と専門家が知る必要があるすべての情報をあなたのインボックスに直接配信します。
4.「セキュリティは製品である」
IT セキュリティはしばしば、基礎となるインフラストラクチャに「かぶせる」スタンドアロン機能またはアドオン製品、または完成して配信する必要がある具体的な「もの」と見なされます。これは、かつて全体的な品質に対する視点に少し似ています。独立した、個別のコンポーネントとして。アリストテレスの言葉で言えば:「品質は行為ではなく、習慣である」。
一方、セキュリティは、品質のように完成した製品ではなく、(すでに述べたように)継続的な規律です。セキュリティを継続的に改善される必要がある実践と見なすことで、必要なエネルギーが放出されます。継続的な成長の余地と、あなたのスキルを完全に発揮する機会を提供する分野で働いていることを祝福と見なすべきです。このマインドセットを内面化したら、それを組織全体と共有する価値があります。
セキュリティを製品として配信してはいけません。それは付随的なものや補助手段ではないためです。むしろ、それは文化と意識的な行動の原動力であるべきです。つまり、IT セキュリティは個人および組織レベルでの日常業務の一部であるべきです。
5.「犯罪者がセキュリティを推し進めている」
継続的に火を消すことに従事しているセキュリティ専門家は、サイバー犯罪者がゲームをコントロールしているという確信を持つようになる可能性があります。IT セキュリティに対するこの受動的なアプローチは、フラストレーションと無力感の感覚をもたらします。
実際には、企業は舵輪を握っています。結局のところ、犯罪者にとって魅力的な標的を表しているのはそれらの資産です。攻撃者はほとんどの場合、過小評価されるべきではありません。しかし、セキュリティを推し進めるのはビジネスなのです。
6.「100%で十分である」
良好なセキュリティには測定可能な要因が必要です。「検出までの平均時間」(MTTD)などのメトリクスを使用すると、状況を監視し、プログラムの有効性を測定できます。この領域で問題になるのは、すべてのインジケーターが常に肯定的な方向に、さらに悪いことに「完璧な」領域で動く必要があるという考えに陥った場合です。この非現実的な期待は、歪んだ測定値への入口です。
代わりに、メトリクスを目的地に到達できるガイドポストと見なすべきです。しかし、重要なのは、物事を正しい方向に向けるために必要な手順を実行し、対策を講じることです。これにより、測定値に正直に向き合うことが不可欠になります。(fm)
