TOP > セキュリティ > 座学はもう古い、セキュリティトレーニングの重要性(中)
関連カテゴリー: マネジメント
座学はもう古い、セキュリティトレーニングの重要性(中)
2016/02/17
企業の幹部が情報セキュリティについてどのように認識し、どのように取り組んでいるかは、その会社のセキュリティ意識向上トレーニングを見ればさまざまな面が分かる。
(前回から続く)
経営陣の賛同は不可欠
実効性があるトレーニングプログラムを確立するためには、当然のことながら、まずは経営陣の賛同を得る必要がある。
セキュリティの文化を確立して的確なトレーニングを実施するうえでは、経営陣の賛同は不可欠だとWood氏は言う。一方、独立系コンサルタントとして侵入テストやソーシャルエンジニアリングを専門とするRichard De Vere氏は、さらに直接的なアプローチが必要だと話す。「経営陣を関与させ、大声でとことん呼びかけることだ。CISOはその仕事で給料をもらっているのだから」
Sjouwerman氏も同じ意見だ。「CEOとCOOが主導し、トップダウンで進める必要がある」と同氏は言う。
中には大胆な策に打って出る人もいる。ある企業のCISOは、模擬的な攻撃メールを経営陣に送ったうえで、その話題についてのプレゼンテーションを行った。メールを受け取った幹部の中には、そこに書かれたリンクをクリックした人も何人かいた。このCISOは、こうした幹部の承認を取り付けたうえで、同様のメールを社員宛てにも送り、必要に応じてフォローアップのトレーニングを実施した。
一方で、そこまで積極的ではない人たちもいる。これは、CEOとCISOの間のコミュニケーションの重要性という部分に帰結する。