組織にとって、サイバーセキュリティのチームに不満が無い状態を維持することは難しいことです。人材は不足しており、離職率やバーンアウトしてしまう率も高くなっています。そのため、会社は、既にあるチームが専門的に活動し、最新の脅威や防御策を把握しておけるようにする必要があります。
この実現のためには、すべての組織が、重要な資産のセキュリティを担当する従業員に向けた、標準的で正式なサイバーセキュリティのトレーニングと教育プログラムが必要であることを意味します。
トレーニングプログラムの主な構成要素は何でしょう?組織がどのような状況にあっても、トレーニングを行う際には3つの主要な考え方が必要です。
誰がトレーニングを行うべきでしょう?
企業内研修の多くは、人事部が主導しています。しかし、サイバーセキュリティは非常に専門的で変化が大きい分野であり、専門家主導の集中的なアプローチが必要です。人事部がトレーニングを担当している場合、サイバーセキュリティまたはITのリーダーは、そのニーズに対応したカリキュラムを作成する責任を負うことで、サイバーセキュリティのトレーニングに関与し続けなければなりません。
人事部とサイバーセキュリティ/ITチームは、どのような分野のトレーニングや評価が必要か、また、どのサイバーセキュリティチームのメンバーが、在職中のどの時点で、どのような適用可能なスキルやドメインに対してトレーニングや認証を受けるべきかを一緒に決めるべきです。
カリキュラムはどうあるべきでしょう?
サイバーセキュリティ教育のカリキュラムを作成する際には、組織がまだ認識していないニーズを明らかにするために、徹底的な評価から始める必要があります。
評価には、どのようなシステム、プラットフォーム、アプリケーションが導入されているか、どのような変更、更新、アップグレードが計画されているか、どのようなデータや資産を保護する必要があるか、既存のセキュリティに関する知識やスキルのギャップはどこにあるか、などの要素が含まれます。
トレーニングのニーズを評価する際には、計画者は組織のニーズ(即時的、長期的)に焦点を当て、関係のない分野に引きずられないように注意しなければなりません。組織の緊急性の高いニーズを特定し、それに応じてトレーニングカリキュラムを計画します。
評価とカリキュラム計画に関するさらなるガイダンスは、米国標準技術局(NIST)の800-50フレームワークから入手できます。また、英国のNational Cyber Security Centre(NCSC)および欧州連合のENISAからもガイダンスが提供されています。
4月13日に開催されたISC2ウェビナー「Protecting the Enterprise: 5 Components Needed for Cybersecurity Training」では、このような疑問に対する答えや洞察を得ることができます。
トレーニングへの取り組み方
第三者機関によるトレーニングは、一般的に、認証や証明書プログラム、専門的なセキュリティスキルの開発を中心に構築されています。業界標準のトレーニングは、ベンダー固有のもの、ペネトレーションテストやフォレンジック調査などの特殊なスキル、ベンダーニュートラルな認証の3つの主要なカテゴリーに分類されます。それぞれが、プログラムの中で適切な位置を占めています。
包括的なサイバーセキュリティのカリキュラムには、社内教育の要素も含まれるべきです。第三者機関のプログラムで得た知識に加えて、サイバーセキュリティとITセキュリティの専門家は、組織の特定の環境や慣行に精通している同僚やシニアチームのメンバーから学ぶ機会を持つべきです。
サイバーセキュリティの専門家は、先輩チームメンバーからのオン・ザ・ジョブ・ラーニング、メンタリングプログラムや1対1のセッション、教室での指導など、さまざまな方法で学ぶことができます。これらは、トレーニングの方法のほんの一例です。
経験豊富なチームメンバーも、知識を共有し、仲間の前で発表することに挑戦してみてはいかがでしょうか。これにより、知識の共有が促進されるだけでなく、チーム内のコミュニケーションスキルが向上します。
企業向けサイバーセキュリティ研修プログラムの作成方法については、無料のeBook「The Enterprise Guide to Establishing Cybersecurity Training Program」をお読みください。
原文記事: https://blog.isc2.org/isc2_blog/2021/03/how-to-get-it-right-with-cybersecurity-training.html
|
|
|
フォローする