TOPセキュリティ > 座学はもう古い、セキュリティトレーニングの重要性(中)

セキュリティ

座学はもう古い、セキュリティトレーニングの重要性(中)

2016/02/17

Doug Drinkwater CSO

 企業の幹部が情報セキュリティについてどのように認識し、どのように取り組んでいるかは、その会社のセキュリティ意識向上トレーニングを見ればさまざまな面が分かる。

前回から続く)

経営陣の賛同は不可欠

 実効性があるトレーニングプログラムを確立するためには、当然のことながら、まずは経営陣の賛同を得る必要がある。

 セキュリティの文化を確立して的確なトレーニングを実施するうえでは、経営陣の賛同は不可欠だとWood氏は言う。一方、独立系コンサルタントとして侵入テストやソーシャルエンジニアリングを専門とするRichard De Vere氏は、さらに直接的なアプローチが必要だと話す。「経営陣を関与させ、大声でとことん呼びかけることだ。CISOはその仕事で給料をもらっているのだから」

 Sjouwerman氏も同じ意見だ。「CEOとCOOが主導し、トップダウンで進める必要がある」と同氏は言う。

 中には大胆な策に打って出る人もいる。ある企業のCISOは、模擬的な攻撃メールを経営陣に送ったうえで、その話題についてのプレゼンテーションを行った。メールを受け取った幹部の中には、そこに書かれたリンクをクリックした人も何人かいた。このCISOは、こうした幹部の承認を取り付けたうえで、同様のメールを社員宛てにも送り、必要に応じてフォローアップのトレーニングを実施した。

 一方で、そこまで積極的ではない人たちもいる。これは、CEOとCISOの間のコミュニケーションの重要性という部分に帰結する。

↑ページ先頭へ