コンテンツにスキップ

イラスト:セキュリティ管理;写真提供: iStock

カジノサイト

リモートワーク中にチームを団結させるセキュリティ トレーニング

クレア・マイヤー著
2020 年 9 月 1 日

印刷問題:2020 年 9 月

新型コロナウイルス感染症によりセキュリティ週間が中止になりました。カーニー・アンド・カンパニーのグローバル・セキュリティー担当ディレクター、ジョン・ハンプソン氏はそう考えた。セキュリティ教育とトレーニングの 1 週間のプログラムは 2020 年 4 月に開催される予定であり、ハンプソン氏と彼のチームは数か月間プログラムを開発していました。その後、パンデミックにより大多数の従業員が自宅に戻り、リモートで仕事をするようになりました。

しかし、米国連邦政府と金融サービスを契約しており、セキュリティ問題を含め、最高の教育を受けた従業員を顧客に提供していることに誇りを持っているカーニー・アンド・カンパニーにとって、セキュリティは最優先事項です。さらに、リモートワークによる孤立の影響が迫っていたため、ハンプソン氏と彼のチームは、組織の教育水準を維持し、従業員内での共同体意識を育むために、代わりに仮想セキュリティ週間を推進するよう動機付けられたと彼は言います。

「キャンセル、キャンセル、キャンセル、すべてがキャンセルになっているのを私は見てきました」とハンプソンは言う。 「私たちはこれに多大な労力を費やしてきました。これは私たちの一年で最も重要なイベントです。人々はそれを楽しみにしています...それは関心を生み、人々はそれを愛しています。ワシントン DC 周辺で他のイベントがすべてキャンセルされているのを見て、それで私たちは即興で企画することにしました。」

通常、ハンプソン氏は、従業員が新しい方法でセキュリティに取り組むのを支援するために、ケータリング、外部スピーカー、および実践的なトレーニングを伴う 1 日あたり 2 ~ 3 回のプレゼンテーションを 1 週間計画しています。過去には、賞品、サイン本、セキュリティ K9 によるデモンストレーションが、注目を集め、直接出席し、参加を集めるために使用されてきました。

今年、セキュリティ チームは社内および社外の対象分野の専門家を採用してプレゼンテーションを事前に録画し、選ばれたプレゼンターが一日の終わりにインタラクティブなライブ チャットに参加できるようにしました。これにより、従業員はその日のプレゼンテーションについて質問したり、説明を得ることができます。対面式のセキュリティ意識向上プログラムの一部の側面 (CPR や Stop The Bleed 認定など) は仮想的に再現できませんでしたが、他のトピックは現在の気候と仮想形式に合わせて調整されました。ライブ授業は昼休みに提供され、従業員はいつでもオンデマンドで視聴できました。

700 人を超える対象となるカーニー従業員のうち、500 人以上が少なくとも 1 回のセッションに参加しました。これは、2019 年のセキュリティ ウィークの対面式の参加者数の約 2 倍です。

新型コロナウイルス感染症(COVID-19)の時代においては、何百万人もの従業員がリモートで勤務しており、セキュリティ意識はこれまでと同様に重要であると、Unisys の最高情報セキュリティ責任者、Mathew Newfield 氏は述べています。 「ホーム ネットワークは、地球上で最も敵対的なネットワークの 1 つです」と彼は言います。 「ほとんどの人は、自宅のルーターにログインする方法を知らず、パッチを適用したことがなく、設定方法もわかりません。従業員にこれらの企業資産を自宅に置くことを許可する場合、CIO、IT 責任者、または CISO として、時間をかけて従業員が住んでいる場所の分析を開始し、主なプロバイダーと使用している機器を確認し、[従業員] が個人を守るために自宅でできることについてのガイダンスを提供し始める価値があります。これは、個人の保護につながります。彼らが働いている組織。」

ホーム ネットワークは地球上で最も敵対的なネットワークの一部です.png

Unisys のデータによると、フィッシングやビッシング攻撃が増加しています。ホールを歩くだけですぐに問題にフラグを立て、社内の専門家から意見を得ることができるオフィスで働くことに慣れている従業員は、現在孤立しており、不審なメールについて電子メールやより公式なチャネルで IT 担当者やセキュリティ担当者に警告を送信することに消極的になる可能性がある、とニューフィールド氏は言います。

パンデミック真っ只中のセキュリティ意識の課題をさらに複雑にしているのは、さらなる脅威に対処するための従業員の精神的余裕です。によると,消費者のサイバーリスクは、個人的および経済的リスクの問題よりも後回しになっています。世界の消費者の 3 分の 2 は、家族の健康、自国の経済的安定性、医療インフラについて真剣に懸念していますが、リモート勤務中に詐欺に遭ったり、データ侵害に遭ったりすることを深刻に懸念していると答えたのは 40% 強にすぎません。

「この意味で、消費者は健康や経済的幸福を超えたセキュリティ上の懸念から目を離しており、消費者自身や潜在的に雇用主を危険にさらしているようだ」とユニシスは報告書の中で述べた。

ニューフィールドは、セキュリティ リーダーが従業員の主な懸念事項を調査し、適切なパスワード衛生、パッチ管理、個人情報盗難の警告サインなど、個人のセキュリティに関するガイダンスを提供することを推奨しています。特に多くの企業従業員がリモートで働いている場合、これらの個人的なリスクはビジネスの利益や資産を危険にさらすことにもなるため、このトレーニングの調子はさまざまなレベルで利益を得ることができると彼は付け加えました。

セキュリティ意識向上プログラムの目標は、リスクを軽減し、セキュリティの文化を促進するために実行できる組織的および個人的な行動を促進することである、と CPP のブライアン リードベター氏は述べています。 Leadbetter は カジノサイト プロフェッショナル標準委員会のメンバーおよびディレクターであり、最近では新しい カジノサイト インターナショナルと (ISC) に取り組んでいます。2 、2020 年 7 月に公開。

どのような組織でも、従業員全体の数はセキュリティ部門の数を大幅に上回ります。つまり、堅牢で魅力的なセキュリティ意識向上プログラムを持つことが、セキュリティの範囲と有効性を高める鍵であることを意味します。

セキュリティ意識向上プログラムは、セキュリティが全員の責任であるという認識を提供します.png

「組織内の文化に注目すると、セキュリティ意識向上プログラムは、セキュリティは全員の責任であるという認識をもたらします」と彼は言います。 「これは、人々がその責任を果たし、組織全体のリスクを集団的に軽減できるよう支援するプログラムです。」

逆に、組織のニーズやリスク環境に合わせて適切に調整されたこのようなセキュリティ意識向上プログラムを導入できなければ、資産や知的財産の不必要な損失、ビジネスの中断、従業員への損害、または重要な規制の不遵守につながる可能性がある、とリードベター氏は言います。

カジノサイト によるとセキュリティ意識標準では、組織はセキュリティ意識向上プログラムを開発する際に、セキュリティ ポリシーや手順など、多くの内部および外部要因を考慮する必要があります。組織の使命と核となる価値観。動作環境。組織の従業員、資産、評判、目標に対するセキュリティリスク。利用可能なリソース。および参加者の役割と責任。

「純粋にコンテンツと配信に基づいたプログラムは失敗することが多い」と規格には記載されています。 「対象者とメッセージの計画と慎重な検討が不可欠です。さらに、組織は、組織の関連性の確保、ポリシーと手順の確立、継続的なコミュニケーションとトレーニングの提供、管理者の関与がプログラムの成功の重要な要素であることを認識する必要があります。」

たとえば、Kearney & Company では、ハンプソン氏と彼のチームは、ハイレベルの会議やさまざまな部門とのセキュリティ意識向上セッションの促進を支援するために、主要なパートナーに協力を求めました。さらに、セキュリティ機能は電子メールでリマインダーを送信し、仮想ポスターを共有し、内部メッセージを活用して仮想プログラムを推進しました。ハンプソン氏によれば、目標は、プロフェッショナルで礼儀正しく、あまり高圧的ではないセキュリティ PR キャンペーンを開始することでした。

セキュリティ意識向上プログラムを成功させるには、双方向のコミュニケーションが必要だとニューフィールド氏は言います。指導を提供するのはリーダーシップの責任であり、質問するのは従業員の責任である、と彼は付け加えた。この相互作用を促進する 1 つの方法は、セキュリティ教育を軽く、懲罰的でなく、魅力的なものにし続けることです。ユーモアのあるビネット ビデオ、ランチと学習、またはコーヒーアワーの教育セッションは、セキュリティに関する会話への優れた入り口となり得ます。

「恐怖、不確実性、疑いだけに焦点を当てないでください。世界にはすでにストレスが多すぎます」とニューフィールド氏は言います。この明るく親しみやすい口調は、特に専門家以外にセキュリティ問題を提示する場合に、絶え間なく押し寄せる新たな脅威情報によって引き起こされるセキュリティ疲労のリスクを軽減するのにも役立ちます。

「これらのさまざまな分野は非常に複雑なので、これらの脅威アクターによる会社、従業員、システム、ラップトップへの攻撃を阻止する方法を説明できなければなりません」とハンプソン氏は言います。 「私たちがしなければならないのは、適切な講師を見つけることです。」

ハンプソンの場合、それは、カジノサイト インターナショナルなどの団体からの最近の出版物や情報を検索し、同僚に推薦を求め、米国国務省のような信頼できるパートナーに頼ることを意味しましたなど。ただし、セキュリティ リーダーは、組織内の対象分野の専門家を無視すべきではありません。社内のセキュリティ担当者は、特にリモートワークの際に、企業のセキュリティ部門内で従業員と同僚の間の個人的なつながりを構築するという専門知識を備えているため、セキュリティ意識向上プログラムの貴重な参加者となり得ます。

ハンプソン社のセキュリティ チームのメンバー数名が 1 週間のプログラム中に発表され、それらの社内の主題専門家が社内の他のメンバーに公開されることで、従業員はセキュリティの問題について誰に質問すればよいかを知ることができ、今後の学習のための人脈を築くことができます。

「これだけのテクノロジーを備えているにもかかわらず、人間的な視点が必要です。従業員とのつながりが必要です」とハンプソン氏は言います。 「私たちは Zoom、Skype、Microsoft Teams、その他すべての接続方法を使用していますが、それは私たちが思っているほど個人的なものではありません。私たちはさらに努力する必要があります。」

実行中の別の啓発計画について知りたいですか?について読むMastercard の統合セキュリティ意識向上プログラム.

arrow_upward