カジノサイト チャンスを逃さない

格言の通り、何も起こらなければセキュリティ プロセスは適切に機能していますが、経営幹部の賛同を求めていたセキュリティ マネージャーにとっては非常に残念なことです。しかし、組織で何か問題が発生した場合、その間違いは企業のリスク プロファイルまたは緩和手順の実装のいずれかにあります。

リスク管理原則を使用してリスク プロファイルを作成し、それらのリスクを軽減するための手順を実装すれば、インシデントが発生するためのグレーゾーンは残らないはずだと、BC Hydro のセキュリティ プロジェクト マネージャーである CPP、PSP の Doug Powell 氏は述べています。セキュリティ管理2017 年にロイ N. ボルデス評議会議員優秀賞を受賞したパウエル氏と対談し、セキュリティ インシデント後にのみ強化される軽減プログラムの作成方法について話し合いました。

リスクを検討してください…

リスク管理原則の基本理念は、徹底的なリスク評価を実施することで、組織がどのようなリスクに直面しているかを理解することです。 「私にとって、リスク管理演習を完了するまでは、保護原則に関する重要な決定を下すという点で、セキュリティ プログラムで何も起こるべきではありません。リスク管理演習により、2 つのことが行われます。1 つはどこにギャップや弱点があるのか、そしてそれらに対処するための優先順位は何なのかを教えてくれるということです。」とパウエル氏は言います。

銅の盗難など、確率が高く影響が小さいリスクと、テロ攻撃など、確率が低く影響が大きいリスクを探し、主にそれらに対処する保護計画を立てるとパウエル氏は言います。

「その優先順位を利用して資金を獲得します」と彼は説明します。 「私は人々に、考慮しなければならないリスクには広範囲に渡って存在すると言っていますが、私が取締役会レベルのリスクと呼んでいる 2 つのリスクに注目してください。それらは会社を崩壊させる可能性があるため、取締役会が関心を持っているリスクです。」

…そしてそれらを使用して戦略を構築する

これらのリスク カテゴリを確立することは、経営幹部の同意を得るのに役立つだけでなく、会社のセキュリティ戦略を組み立てるのに役立ちます。

「『銅の損失は非常に小さいので、これにはまったく対処するつもりはない』などということは決して言ってはなりません。テロリストに攻撃される可能性は決してないので心配しないようにしましょう、などとは言わないのと同じです」とパウエル氏は言う。 「これを導入すれば、効果的な緩和戦略を検討できるはずです。」

ベースラインを具体化…

同意を得るには、リスクが事業運営に及ぼす影響を強調する必要があるかもしれませんが、セキュリティ チームはリスク自体を包括的に理解する必要があります。パウエル氏は、抗議活動参加者が重要なインフラにどのような影響を与えるかを例に挙げて、その違いを説明している。

「抗議活動参加者によって作業が中断されたり、パイプラインが使用不能になったりするリスクがあると言うのは別の話ですが、抗議活動参加者が誰なのかという文脈でそれを言うのは全く別の話です。」とパウエル氏は言う。

「あるレベルの抗議活動参加者は単に環境を懸念している人々ですが、彼らが実際にしているのは政府に手紙を書き、懸念を表明するために現れてピケ看板を掲げているだけです。より過激なグループとは、爆発物を持ってきたり、労働者に物理的に対峙したり、機械を封鎖したりするグループです」とパウエル氏は説明します。

これら 2 つのグループの人々はどちらも抗議活動参加者のカテゴリーに分類されますが、彼らがもたらすリスクとそれに対処する方法は大きく異なります。

「リスクの深刻さを適切に計画する前に、敵の特徴を理解する必要があります」とパウエル氏は説明する。 「私たちのパイプラインが爆破されたら大変なことになるでしょうか？きっとそうなるでしょう。しかし、誰がそんなことをする能力を持っているのでしょうか？彼らは私たちのレーダーに映っているでしょうか？そして、私たちが彼らと交流する可能性はどれくらいでしょうか?それが起こったら悪いことだと言うだけではありません。」

…常に最新情報を入手してください

事件をきっかけに新たなリスク評価を実施しないでください。ガバナンス モデルを作成すると、リスク評価とその実施方法の定期的なレビューが容易になります。

「ヘッドエンドでうまくやっているのであれば、それらの基準を緩和する必要があります」とパウエル氏は言います。 「リスクは 1 年に 1 度発生するものではありません。ベースラインを確立し、ベースラインまで緩和し、環境の監視を開始して、世界は流動的であるため真剣に受け止めるべき何か悪いことが起こっていないかどうかを確認する継続的なプロセスです。」

脅威を一貫して監視することで、弱点が発見され悪用される前に緩和戦略を調整できます。

「監視の側面は非常に重要です。インシデントの後、緩和計画が失敗したのは単に環境を十分に監視していなかったために、拾うべき新たなリスク指標があったことに気づくだけだと言うかもしれません。」とパウエル氏は言います。 「リスク管理プロセスは動的であり、止まることはなく、継続的に進化しています。再評価を引き起こす何かが起こったとしても、それが通常の行為であるため再評価するとしても、それは起こらなければなりません。」

プロセスを確立…

リスク管理を通じて、リスク評価が正確でなかったり、軽減プロセスが適切に実行されなかったりすると、セキュリティ インシデントが発生します。インシデントが発生した後、セキュリティ管理者は決して盲目になってはならず、プロセスの欠点を特定する必要があります。

「何か重大なことが起こったとき、最初にすることは、自分のリスクプロファイルに戻り、いくつかの重要な質問を自分自身に問いかけることです」とパウエル氏はアドバイスする。 「私たちは正しく対処できましたか? 何かを見落としていましたか? 実際にリスク プロファイルが正しかった場合、このインシデントはどのようにして発生しましたか? それとも、私たちの緩和計画が開発したリスク プロファイルとうまく一致しませんでしたか? これを低リスクとして評価していても、いずれにしても起こった場合は、何か間違っていた可能性があります。リスクが高く、とにかく起こった場合、原因は何でしょうか?」

セキュリティ プログラムがリスク プロファイルに一致していてもインシデントが発生した場合は、組織がベースラインを変更する時期が来ています。

「我々は敵を理解できたでしょうか？」パウエル氏は尋ねる。 「それは私たちが予想していた人物だったのでしょうか、それとも私たちが予想していなかった人物だったのでしょうか？もしそれが私たちが予想していた人物だったとしたら、私たちがそれを止めることも、彼らがやろうとしていることさえ理解することもできずに、どうして彼らはこのようなことをするようになったのでしょうか？私たちは適切なセキュリティを導入していますか、そもそも敵対グループに対して適切な分析を行っていますか？私たちは何を見逃していたのでしょうか？街に新しいプレイヤーはいますか？私たちが気づかなかった、または私たちに影響を与えると思わなかったために無視した何かが他国で起こっていますか？私たちの世界のここにいるの？」

また、適切なガバナンスとメンテナンスにもかかわらず、リスク プロファイルが不正確であることが判明した場合は、単に更新するだけでなく、なぜ間違っていたのかを理解してください。 「諜報プログラムやソーシャルメディアの監視が十分に堅牢かどうかを確認してください」とパウエル氏は提案します。

「月に 10 件または 100 件の金属盗難事件があったとしたら、過去に戻って、なぜこのようなことが続いているのかを問いたくなるでしょう」とパウエル氏は指摘する。 「私たちはすでにそれをリスクとして評価し、その軽減に努めています。私にとって、この 2 つは本質的に関連しています。リスク管理を適切に実行している場合、緩和プログラムはその評価を反映する必要があります。そうでない場合は問題があり、それがこのレビュー プロセスの目的であり、問題に巻き込まれます。」

…そして一貫して使用してください

銅の盗難であろうとテロ攻撃であろうと、インシデント管理プロセスは同じ方法で実行されるべきです。

「これは、あらゆる種類のイベントに対する典型的なインシデント管理プロセスであるべきです」とパウエル氏は言います。 「変化するのは入力ですが、方法論は同一でなければなりません。金属の盗難であれば、それは非常に単純です。何人かの泥棒がいて、彼らは変電所に侵入し、アース線を取り外し、その結果、このようなことが起こりました。将来、他の変電所で起こることを軽減するにはどうすればよいでしょうか?

それがテロ攻撃であれば、当然、より多くの人が関与することになり、非常に難しい質問をすることになるでしょう。損害や結果の価値がはるかに高くなる可能性があるため、プロセスはより複雑になりますが、方法論は常に同じでなければなりません。」

「全体として、ケーブルを露出させて悪者がケーブルを切断できたことが原因でセキュリティ侵害が発生したのか、あるいは、それがあなたが気づかなかった新たなより危険なグループがあなたに襲いかかってきたのか、あるいはあなたがリスクを適切に特定することを怠ったために起こったのか、これらすべては、何かが起こった後にその評価プロセスに入る必要があります」とパウエル氏は言う。 「その後、ベースラインを再確立する必要があるため、リスク分析に戻り、その新しいベースラインに従ってリスクを軽減する必要があります。何か悪いことが起こったら、それがあなたがすることです。ベースラインに戻って何が問題だったのかを発見し、それがわかったら、それを新しいベースラインまで軽減しようとします。」