ビジネスのセキュリティ文化を評価して改善する方法

セキュリティ コミュニティは、サイバー脅威に対して世界をより適切に配置するために、継続的に変化し、成長し、互いに学び合っています。最新の Voice of the Community ブログ シリーズの投稿では、マイクロソフト セキュリティプロダクト マーケティング マネージャーのナタリア ゴディラが、 Cygenta の共同創設者兼共同最高経営責任であるジェシカ バーカー博士(『Confident Cyber Security: How to Get Started in Cyber Security』の著者) と対談しています。および Futureproof Your Career」および「Cybersecurity ABCs: Delivering awareness, behaviors and culture change」の共著者。このブログ投稿で、Jessica はセキュリティ文化を構築する方法について語っています。

ナタリア: ほとんどの組織はどのようにやっていますか?サイバーセキュリティ文化の現状は?

Jessica:それはさまざまです。その多くは、リソースの調達と、リーダーシップ レベルからのセキュリティの重視に帰着します。また、セキュリティ インシデントやニアミスに関して、セキュリティ チーム、セキュリティ リーダー、および組織の経験に帰着することもあります。近年、多くの改善が見られますが、それは主に、 セキュリティ文化が重要であるというリーダーの間での認識が高まっているためです。ほんの 5 年前、特に 10 年前は、文化やセキュリティ文化に関する議論はほとんどありませんでした。

毎年、情報セキュリティの上級専門家とセキュリティ リーダーの非公開グループである ClubCISO に、セキュリティについて質問しています。過去 3 年間、今後 1 年間で最もホットなトピックはセキュリティ カルチャーであると述べています。彼らは2021年3月にクラウドと結び付けてそれを言った. クラウドがあった 1 年と、多くの組織が経験した強制的なデジタル トランスフォーメーションについて考えると、セキュリティ カルチャーがクラウドへの安全な移行と同じくらい重要であることがよくわかります。

ナタリア: サイバーセキュリティ文化の評価には何が必要ですか?

Jessica:サイバーセキュリティ文化の評価では、組織とそこで働く人々に耳を傾け、セキュリティの仮定を理解します。私がセキュリティ文化について人々と話すとき、それは人々の行動に関するものであり、たとえばフィッシングに関する指標を収集すれば、セキュリティ文化について教えてくれるという考えがよくあります。しかし、それは表面的なことを教えてくれます。それは人々がなぜそれをしているのかではなく、何をしているのかを教えてくれます。

「なぜ」を理解することは絶対に重要です。なぜなら、それは行動を変えるためのあなたの影響力だからです。 「理由」は、根本的な仮定を理解し、セキュリティ チームが望んでいることと人々が行っていることの間にギャップがある場合に何ができるかを判断するのに役立ちます。

最初の段階は、組織の文化、使命、価値観を理解し、ブランディング、トレーニング、メッセージなど、組織の文化的シンボルを確認することです。次に、調査、フォーカス グループ、1 対 1 のインタビューを実施して、会話を促し、議論を促進し、日常的に何が起こっているか、そして最も重要なのはその理由を理解します。

ナタリア: 企業がサイバーセキュリティ文化の評価を必要とする指標は何ですか?

Jessica:私たちのクライアントのほとんどは、人的リスクを管理するためにもっと多くのことをする必要があると感じていますが、何をすべきかわからないということです。インシデントやニアミスが発生する可能性があります。フィッシングや、人々がパスワードをどのように管理しているかについての兆候があるかもしれません。行動指標が存在する可能性があります。組織内の人々に求めていることは、現実と一致していません。もう 1 つの重要なプロンプトは、現在の文化が自分の望むように発展していない理由を理解していないことです。多くの場合、組織は意識向上を通じて何らかの方法でこれに対処しようとしますが、人々に何をすべきかを伝えているにもかかわらず、まだそれを実行していないため、不満があります.ある程度の成熟度が必要であり、多くの場合、組織が人中心であることを熱望し、従業員がよりセキュリティを意識できるようにする必要があります。

私たちは、多くの定性データを収集してセキュリティ文化を測定し、人々が何をしているのかを理解しています。それは古典的な「理由から始める」に戻り、調査からの数字を処理します。根拠のある理論を使用して、返されるデータを修飾します。私たちはそのデータに没頭し、パターンを特定します。また、ワークショップ、フォーカス グループ、1 対 1 のインタビューからの匿名の引用、コメント、キーワードを使用して、そのストーリーに命を吹き込みます。

ナタリア: ポジティブなセキュリティ文化を確立するための典型的な課題は何ですか?

ジェシカ:私は、非常に前向きな組織文化を持ち、その価値観に従って生きている金融サービスのクライアントと仕事をしています。しかし、急速なデジタル トランスフォーメーションや成長など、さまざまな理由から、この組織のセキュリティ文化には課題がありました。セキュリティ文化が組織にとって何を意味するかを理解するのに、彼らは今年までかかりました。

そこで働く人々は、組織に忠誠を感じていたので、安全な方法で行動したいと考えていました。彼らはその重要性を理解していましたが、特定のセキュリティ制御が実施されている理由についてのコミュニケーションの欠如など、阻害要因がありました。迅速に行動する起業家組織であるため、生産性を優先しながら安全性の低い方法で行動することを人々に奨励する文化的影響が根底にありました.私たちは、セキュリティ チームが「理由」をより適切に伝えるためのプログラムに着手しており、組織はそれを受け入れています。

また、セキュリティ リーダーまたは組織のリーダーシップ チームが参加していない場合、行動を変えることは非常に困難です。もう1つの考慮事項は、公正な文化の認識です。誰かが悪意のあるリンクをクリックしたり、間違いを犯したりした場合、過度に非難されることなく、手を挙げて報告できると思いますか?文化が報復と「責任追及」に関するものであると人々が認識している場合、それはセキュリティ文化に損害を与えています。

ナタリア: セキュリティ文化を構築し、育成しようとする際に、組織が犯す最大の過ちは何ですか?

Jessica:ビジネス文化と一致しないセキュリティ文化を構築しようとすることです。私が数年前に一緒に働いた組織の 1 つは、非常に前向きで人中心の医療組織でした。彼らは常に、より広い組織文化の人々に「はい」と言うことを求めていましたが、セキュリティ チームは「いいえ」と言うセキュリティ文化を推し進めており、多くのセキュリティ チームと同様に「いいえの部門」として認識されていました。 .組織文化が常に勝つため、これは非常に一般的な問題です。より広い組織に対抗するセキュリティ文化を強化しようとしても、うまくいきません。

多くの場合、企業の組織文化は前向きなサイバーセキュリティ文化を構築する準備ができておらず、変化には忍耐が必要です。ゆっくりとした旅です。この種のクライアントは、セキュリティ文化評価の準備ができていないため、セキュリティ文化の重要性を示すために上級管理職に影響を与えることに焦点を当てています。組織がセキュリティ カルチャの評価を必要とする場合、その時点で準備が整います。

ナタリア: セキュリティ チームの心理的幸福は、セキュリティ カルチャーにどのような影響を与えますか?

Jessica:ある組織では、セキュリティに関するコミュニケーションが不足していました。セキュリティ チームは非常にストレスを感じ、燃え尽き、忙しく、過労していたため、他の業務で同僚とやり取りする時間がありませんでした。セキュリティ チームが友好的でなく、親しみにくいという印象を与え、積極的なセキュリティ文化への障壁を生み出しました。セキュリティ機能の安全性を確保することは基本です。

チームの福利をすぐに改善するために、マネージャーは問題について話すことができます。自信がある場合は、自分のメンタルヘルスについて話したり、燃え尽き症候群や詐欺師症候群を認めたりすることもできます。これらは業界の現実の問題であり、人々が一人ではないと聞いて、この安全な場所があると安心することができます. 「ねえ、メンタルヘルスのために休みが必要だ」と言うと、誰もがより快適になります。メンタルヘルスデーは組織にとって非常に重要ですが、リーダーシップはそれが優先事項であることを示さなければなりません。

ナタリア: アセスメント以外に、セキュリティ チームは人間のリスクに対する理解を深めるにはどうすればよいですか?

ジェシカ:行動経済学、神経科学、心理学はすべて、セキュリティとセキュリティ文化の人間的側面について教えてくれる分野です。 「Nudge」、「Thinking Fast and Slow」などの本や、神経科学者である Tali Sharot の研究をお勧めします。Tali Sharot は、楽観主義バイアスに関する研究でセキュリティに非常に関連しています。また、学術界では、セキュリティ文化に関する多くの優れた取り組みが行われています。論文や研究は、この分野を前進させています。今年、Verizon がデータ侵害調査レポートで初めてセキュリティ文化を強調したことも興味深いことでした。セキュリティ文化はより主流になりつつあり、現在、セキュリティ専門家の議題の上位にあります。

もっと詳しく知る

Microsoft セキュリティ ソリューションの詳細については、 当社の Web サイト を参照してくださいセキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。

参照: https://www.microsoft.com/en-us/security/blog/2021/11/11/how-to-assess-and-improve-the-security-culture-of-your-business/

コメント

タイトルとURLをコピーしました