「セキュリティは全員の仕事である」は業界では一般的な自明の理かもしれませんが、この哲学が自社で実践されていると正直に言えるセキュリティ管理者がどれだけいるでしょうか?一部の組織では、従業員がセキュリティの規則や規制を単に無視するという事件が定期的に発生しています。場合によっては、会社のリーダーでさえ、権利意識からセキュリティと安全のルールに従わないことがあります。これらのルールは従業員のためのものであり、経営者のためのものではありません。

こうした失効は高くつく可能性があります。企業が真のセキュリティ文化を維持していると信頼性を持って主張できるのは、企業に関係する全員がセキュリティのルールと実践を日常的に遵守し、実行している場合のみです。    

企業が効果的なセキュリティ文化を奨励しているかどうかを判断するには、企業のリーダーはまず、適切なベスト プラクティスを遵守しているかどうかを判断する必要があります。セキュリティ部門は、セキュリティのルール、慣行、手順を開発し、従業員、請負業者、訪問者、ベンダーに伝達する必要があります。経営者は模範を示し、すべてのセキュリティ慣行と手順に従わなければなりません。従業員は、見知らぬ人に礼儀正しくするために単に外周のドアを開けたままにするのではなく、作業スペースやコンピューターを施錠したり、安全な作業エリアにいる人のバッジを見せてもらうなど、職場でのセキュリティ上の責任を果たさなければなりません。   

組織がこれらの手順のほとんどに従えば、堅牢なセキュリティ文化を維持できます。そうでない場合は、セキュリティ リーダーが社内のセキュリティ意識を強化し、セキュリティの文化を発展させるために、以下に記載するベスト プラクティスのアドバイスと解決策を使用できます。 

評価

セキュリティの文化は、強固な基盤の上にのみ構築できます。そしてその基盤が効果的なセキュリティ プログラムです。 

しかし、セキュリティ プログラムが一貫性がなかったり、専門的でないとみなされれば、それを中心にセキュリティの文化を構築する取り組みは最初から失敗することになります。したがって、セキュリティ プログラムの初期評価を実施して、過去のセキュリティ実践と現在のセキュリティ運用を評価することが不可欠です。 

評価には次の方法論を含める必要がありますが、これに限定されるものではありません:

• セキュリティ スタッフとの面談を実施して、過去の慣行を確認し、評価プロセスに参加してもらいます。
• 過去の警備任務に関する既存の文書を確認し、評価します。
• セキュリティ スタッフの職務内容を確認し、評価します。
• セキュリティに関する現在の手順、プロセス、ガイドラインを確認し、評価します。 
• セキュリティ予算を見直して評価し、それが任務に沿っていること、および資金提供されたプログラムが時代遅れになっていないことを確認します。
• すべての警備スタッフと直接協力して、日常業務に関する直接の知識を得るために時間を費やしてください。人々を知りましょう。
• セキュリティに割り当てられたコンプライアンス タスクを確認し、評価します。
• セキュリティ要件をレビュー、評価し、部門の責任者とセキュリティ部門を超えて調整します。セキュリティに関する意見について、他の部門長やスタッフと協力して会議を実施します。
• セキュリティのビジョンについて経営陣から意見を得る。
• 会社固有のセキュリティ ミッションを定義して文書化します。
• これらのミッション内のセキュリティ要件を確認し、潜在的なミッションクリープについて分析してください。
  

設計図

過去と現在のセキュリティ運用を評価したら、組織のリーダーは、すでに完了した事実分析に基づいて改善および改良することで、将来の計画を立てることができます。

青写真プロセスの最初の部分は、ミッションと目標を作成することです。これには、経営陣に指示と関与を求めること、セキュリティ目標を設定し、それを達成する方法でセキュリティ チームのメンバーを関与させることが含まれます。プロセスのこの部分には、セキュリティ ミッション ステートメントの文書化と各ミッション ステートメントへのリーダーの割り当ても含まれます。これらのリーダーは有能で意欲的でなければなりません。

青写真プロセスの 2 番目の部分は、操作を標準化し、これらの手順を操作マニュアルに文書化することです。このマニュアルは、会社全体の中核となる義務と責任をカバーするセキュリティ標準の運用手順とプロセスの中央リポジトリとして機能します。 

評価が完了し、青写真が配置されたら、セキュリティ管理者はプログラムの主要な属性が正常に維持されていることを確認する必要があります。これらの属性には、一貫したプロフェッショナリズム、一流のトレーニングとコミュニケーション、上層部によるプログラムへの取り組み、違反に対処するために設計された手順が含まれます。

プロ意識

プロフェッショナリズムは、強力なセキュリティ文化の重要な要素です。専門のセキュリティスタッフとセキュリティ担当者は、組織の一般住民の模範となるべきです。高い行動基準を設定する必要があります。スタッフと役員は評価されるべきです。そして問題は取り除かれるべきです。最も重要なことは、セキュリティ部門のリーダーがこれらの高い基準を実践し、他の人が従うべき模範を示す必要があることです。 

特定のベスト プラクティスにより、スタッフ メンバーと役員が社内の他の担当者に常に強力なプロフェッショナリズムを示すことができます。その一つが存在感です。制服を着用する場合は、一貫性のあるものでなければなりません。警察官は、施設に入るすべての人にアイコンタクトをとって接する必要があります。警察官は携帯電話でテキストメッセージを送信したり話したり、喫煙したり冗談を言ったりするためにエリアに集まってはなりません。             

警備指導者はまた、「任務のクリープ」、つまり警備員に警備以外の任務を割り当てることを防ぐように注意する必要があります。これにより、セキュリティ担当者の本来の業務から気が散り、組織のセキュリティ文化が損なわれる可能性があります。  

たとえば、ある企業はセキュリティ部門を利用して、セキュリティ トレーニングだけでなく、法的問題、コンプライアンス、倫理に関するトレーニングも実施しました。セキュリティ部門のトレーニング義務には、従業員と非従業員の両方を対象としたすべてのコンプライアンスベースのトレーニングの年間要件の追跡も含まれていました。従業員と非従業員という 2 つのトレーニング手段が部門間で標準化されていませんでした。標準化が欠如しているため、トレーニングの管理、開発、追跡には 2 つのまったく異なる方法がありました。   

この場合、解決策は会社のセキュリティと人事の使命を明確に定義することでした。一度定義されると、人事担当者が会社全体のトレーニング プログラムを管理し、トレーニングの管理を標準化します。セキュリティは、セキュリティ関連のトレーニングの内容についてのみ責任を負いました。

トレーニング

強力なセキュリティ文化には、既存および将来のセキュリティ担当者に対する効果的なトレーニング プログラムが必要です。さらに、このプロセスでは、重要なチームメンバーが不在の場合に対応範囲にギャップが生じる可能性を排除するために、セキュリティ担当者がセキュリティの職務上の責任と任務について相互トレーニングを受けていることを保証する必要があります。 

たとえば、企業のセキュリティ使命が資産保護、コンプライアンス、物理的アクセス制御である場合、業務マニュアルには、それぞれの段階的な手順とガイドラインのセクションが含まれることになります。これにより、資産保護スペシャリストは、アクセス制御スペシャリストの戻りを待つ代わりに、バッジの発行などの特定のタスクを物理的なアクセス制御スペシャリストの代わりに行うことができます。 

さらに、企業は、業務マニュアルに記載されているアクセス権の付与と追跡のプロセスと基準に細心の注意を払う必要があります。企業がアクセスを許可するために手動、煩雑、または時代遅れの方法を使用している場合、これは問題になる可能性があります。多くの企業において、これは取り組む必要がある分野です。物理的なアクセスの許可は、電子形式に自動化される必要があります。

コミュニケーション

コミュニケーションはあらゆるセキュリティ プログラムにおいて成功への重要な鍵の 1 つであり、プログラムのすべてのコンポーネントの一部となります。プログラムの初期評価から青写真計画の実装の最終段階に至るまで、影響を受けるすべての関係者は、セキュリティ プログラムとそれが職場での業務にどのような影響を与えるかについて常に情報を提供され、認識される必要があります。  

ある企業は、経営陣が重要な問題を追跡できるように、セキュリティ インシデントの事実を電子メールで月に 2 回送信するレポートを作成しました。このコミュニケーションにより、プログラムの成功を維持しながら、セキュリティを経営陣の範囲内に留めることも可能になりました。セキュリティが拡大し、新しい取り組みが実施されるにつれて、これらは隔月レポートに含まれています。 

企業の幹部は、コミュニケーション活動に早い段階から関与し、関与する必要があります。セキュリティ担当者は、インシデントの防止や、企業運営への悪影響への対応と最小限化への備えなど、セキュリティ プログラムから企業がどのようなメリットを受けるかを説明する、PowerPoint プレゼンテーションなどの簡潔なプレゼンテーションを提供する必要があります。セキュリティの目標、目的、運用、手順、ミッション ステートメントは、企業全体に効果的に伝達される必要があります。経営陣は自社におけるセキュリティの役割を理解し、セキュリティ プログラムへのサポートを全従業員に伝える必要があります。  

指揮系統の中で、セキュリティ リーダーは、セキュリティ部門が直面している課題や、会社の物理的資産を保護するために現在使用されているプログラムを幹部に常に認識させるためのコミュニケーション システムを開発する必要があります。たとえば、私が働いていたある会社では、セキュリティによりスタッフとの毎月の昼食会が義務付けられていました。

会社の幹部もこれらの会議に招待され、定期的に出席しました。私は、前月からの課題の進捗状況、解決された問題、現在取り組んでいる問題など、各会議を正式なメモとして文書化しました。これらのメモは幹部レビューのために指揮系統に送られました。  

年次セキュリティ意識向上トレーニングも効果的なコミュニケーション ツールです。セキュリティ ルール、ポリシー、および手順に関する正確で最新のシンプルな指示を提供することで、企業は従業員が定期的にセキュリティ標準と日常業務における役割と責任にさらされていることを効果的に保証できます。四半期ごとに更新されるセキュリティ意識向上ポスターも、コミュニケーションの取り組みに役立ちます。   

最後に、口コミの力を過小評価しないでください。どの企業にとっても、セキュリティに関心があり、現在のセキュリティ ポリシー、手順、日常業務について十分な情報を備えた従業員を配置することほど強力なセキュリティ ツールはありません。 

違反

セキュリティの文化が確立されている場合でも、組織のセキュリティ ポリシーの違反は発生します。   

最も安全な環境であっても、漏洩や違反は存在します。中には意図的な行為によって引き起こされるものもあります。不快感や不幸によって意図せずに起こる人もいます。そして、組織で働く人々は組織の最大の資産である一方で、危害を加えようとする場合には最大の脆弱性にもなりえます。彼らは組織がどのように運営されているかを知っており、最も高度なセキュリティ システムを回避することができます。  

民間産業の場合、セキュリティ プログラム ポリシーを施行するには、企業が公正、断固として一貫性を持っていることが求められます。たとえば、すべての訪問者は社内にいる間、訪問者を担当する会社の代表者が付き添わなければならないという明確なセキュリティ ルールを設けている企業を考えてみましょう。訪問者が安全なエリアで一人で歩き回っているのが見つかった場合、訪問者を施設に連れてきた従業員は懲戒処分を受ける必要があります。  

従業員がCEOであろうと管理人であろうと、規律は一貫している必要があります。行動パターンを監視するために、施行を文書化して追跡する必要があります。違反が財産の損失や従業員の安全に影響を与えるほど深刻な場合、その問題を違反者の上司に報告し、評価を求め、さらなる措置を取る必要があります。 

組織全体にルールを一貫して公平に適用することで、セキュリティの文化がさらに強固になります。これは、組織にとってセキュリティが重要であること、およびルールが確実に遵守されるように計画していることを示すことになります。前の例をさらに拡張すると、CEO が自分のアクセス バッジを忘れて、家に帰ってバッジを取りに行くか、一時的なバッジにサインした場合、基準は会社の最高レベルに設定されます。  

企業でセキュリティ文化の発展に成功するということは、最終的には、組織が企業全体にわたって、包括的に評価され、文書化された堅牢なセキュリティ プログラムを確立したことを意味します。経営幹部は有意義に関与しており、全員がプログラムの構成要素について教育を受け、それに従っています。 

--

トーマス トリアーFBI の特別捜査官として 25 年間勤務し、FBI ワシントン現地事務所の情報部門の担当特別捜査官補の地位を獲得しました。トリアー氏は、中西部の送電のみを行う公益事業会社の企業セキュリティのリーダーも務めました。彼は現在、Security Intelligence Consulting L.L.C. を通じてアドバイザリー サービスを提供しています。