企業が生産性を向上させ、コラボレーションを強化し、支出を最小限に抑えるために最新のテクノロジーを採用すると、新たなリスクと課題に直面することになります。脅威のランドスケープが変化・拡大しているため、事業全体のリスクが高まっています。サイバー犯罪者もこれらの技術を駆使して悪質な行動を起こしており、これまで以上に巧妙化し、検出が困難になっています。世界経済フォーラムは、毎年恒例のグローバルリスク報告書(*3)の中で、サイバー関連リスクを環境リスクに次ぐトップ10のビジネスリスクの1つに位置づけています。
企業がこれらのリスクの低減と管理に失敗すると、企業に深刻な影響を与え、ビジネスを混乱させるセキュリティインシデントに発展します。データの損失は、顧客の信頼を失うことで、金銭的なペナルティ、信頼の低下、さらには収益の損失につながります。企業が倒産することもあるほどの被害が出るかもしれません。
セキュリティチームと人事部が協働することで、サイバー攻撃に対してビジネスを強化することができます。彼らは組織における「兵士」です。兵士のいない軍隊は軍隊ではありません。熟練していない兵士がいる軍隊は、どんな戦いにも負けてしまいます。サイバーセキュリティはビジネスの戦場です。脅威を低減し、脆弱性が悪用されるのを防ぎ、悪意のある行為者を特定するなど、企業は日々戦いに勝利する必要があります。そして、これらの戦いに勝つためには、熟練したセキュリティの専門家が必要です。
人事担当者は、従業員のスキルをサイバーセキュリティを網羅したものに更新する必要があります。GDPRやCCPAを考慮してデータ保護対策を強化することで、すでにほとんどの人が最初の一歩を踏み出していますが、データに焦点が当てられていることがほとんどです。組織は、サイバーセキュリティに対する全体的なアプローチに従う必要があります。
効果的な情報セキュリティを実現するためには、情報セキュリティが標準的なビジネス慣行であることを強調し、組織全体を十分に統合し、関連性があり、魅力的で新鮮な状態を維持する継続的なセキュリティプログラムを実行する必要があります。
すべてのスタッフに義務付けられている強固なセキュリティ意識向上プログラムを維持することで、従業員が権限を与えられ、非常に重要な機能に関与していると感じられるようになります。
サイバースセキュリティの専門家は、通常、セキュリティに関連した様々な問題について、多くの課題に直面しています。これらは、強固なサイバーセキュリティポスチャーを維持するために重要ですが、コミュニケーションも同様に重要です。巧妙なフィッシングメールの被害に遭う恐れがある中で仕事を遂行しようとしている労働者のモチベーションを維持し、セキュリティについての警戒心を保つためには、どのようにして新しい革新的な方法を見つけることができるのでしょうか?
ここが人事の重要なところです。企業のDNAに組み込まれた意識の向上と企業全体のサイバーセキュリティ文化の構築は、怠ってはならない機能の一つであり、経営陣はサイバーに強い組織を構築するための全体的な取り組みの一環として、チームトレーニングを推進しなければなりません。
また、エグゼクティブには従業員や顧客のデータを保護する法的責任があり、規制当局はサイバーセキュリティがボードレベルの問題であることを明確にしており、取締役は違反があった場合に責任を問われることになっています。英国の国立サイバーセキュリティセンターは、サイバーセキュリティは経営者のスキルセット(*4)の一部であるべきだとしており、そのガイダンスでは、「経営者は、財務状況と同様に、IT資産内の主要な脆弱性についても認識しておくべきである」と述べています。
認定されたセキュリティ実務者を採用するだけでなく、組織のセキュリティチームを育成することで、企業のセキュリティポスチャーを向上させることができます。サイバーセキュリティの専門家が不足している今の状況において、認定とトレーニングを優先させている組織は、重要なスタッフが魅力的に感じ、人材の流出を防ぐことができると考えられます。
幅広いセキュリティ知識を持つ熟練したプロフェッショナルが、組織にとって最も価値のある資産となりえます。セキュリティに対する理解が深まれば、変化する脅威と技術環境に基づいて正確かつタイムリーな影響評価を行うことができ、ボードが適切な対策を実施するために必要なリソースを配分できるようになり、サイバーに強い組織を実現することができます。全体的なビジネス目標に沿ったセキュリティ対策を実施することで、セキュリティの専門家は、セキュリティリスクを最小限に抑え、組織にさまざまな形で利益をもたらし、顧客やパートナーとの信頼関係の確立を支援することができます。
チームトレーニングは、予算や独自のサイバーセキュリティ要件に合わせて行うことができるため、組織にとって非常に有益なものとなります。そのため、チームトレーニングは、チームのサイバーセキュリティスキルをシャープに保ち、パートナーやクライアントに信頼性を証明し、トレーニング投資を最大化するのに役立ちます。
さらに、社内セキュリティトレーニングは、大きなROI(投資対効果)を持つ投資です。人員を多く雇って毎月の支出を増やすよりも、セキュリティのプロフェッショナルを雇って社内研修を行う方がスマートです。あなたが費やすお金は、複雑なセキュリティ問題に対処するための自信を構築するのに役立ち、セキュリティに関する人材の基礎的で汎用性の高いスキルセットを強化するために賢く投資されます。高度な知識を持つセキュリティ専門家の「軍隊」を構築することで、脅威を低減し、侵入される可能性を減らし、莫大な罰則、負債、信頼の低下による収益の損失に直面する可能性を減らすことができます。1回のデータ侵害のコストは、社内チームのトレーニングのコストをはるかに上回っています。
ISC2は、世界中の企業に認められているセキュリティ認証のリーダー的存在です。ISC2は、正しい道筋を発見し、計画を作成し、セキュリティチーム全体の標準を確保するためのお手伝いをします。そして、セキュリティに重点を置いたチームを構築するための最良の方法は、ISC2 Systems Security Certified Practitioner (SSCP)認定資格(*7)を取得することです。
SSCPは、組織の重要な資産の運用セキュリティを実践的に担当するIT管理者、管理職、部門長、ネットワークセキュリティの専門家に最適です。認定は、セキュリティのベストプラクティス、ポリシー、およびプロシージャを使用してITインフラストラクチャを実装、監視、および管理するための高度な技術的スキルと知識を持っていることを示しています。ISC2は、SSCP認証のための社内トレーニングを提供しており、セキュリティ実務家がビジネスの安全を守るために知っておくべきことをすべて網羅しています。
貴社のビジネスにどのようなメリットがあるかについては、新しいホワイトペーパー(*8)にアクセスするか、エンタープライズ・トレーニング・ソリューション(*9)をご覧ください。
*1:https://www.ibm.com/security/data-breach
*2:https://www.gov.uk/government/statistics/cyber-security-breaches-survey-2019
*3:https://www.weforum.org/reports/the-global-risks-report-2020
*4:https://www.ncsc.gov.uk/guidance/vulnerability-management
*5:https://cybersecurityventures.com/jobs/
*6:https://www.youtube.com/watch?v=4nRxVdA5wr8&feature=youtu.be
*7:https://www.isc2.org/Certifications/SSCP
*8:https://www.isc2.org/Landing/sscp-hr-managers
*9:https://www.isc2.org/Training/Enterprise-Solutions
原文記事: https://blog.isc2.org/isc2_blog/2020/09/how-hr-can-improve-corporate-cybersecurity.html
|
|
|
フォローする