W私たち全員が一緒にいます。それはコロナウイルスのパンデミックを受けて世界中を席巻したテーマでした。 CEOのアジャイ・バンガ氏が金融機関のコミュニティに書簡を発表し、この前例のない時期に顧客、従業員、そして社会全体にサービスを提供するという同社の決意を改めて表明した後、マスターカードでもこの感情が改めて表明された。

「マスターカードでは、よりつながった世界の構築を支援することに常に重点を置いてきましたが、今日の環境ではこれがこれまで以上に重要になっています」とバンガ氏は書いています。 「私たちはその大義に引き続きコミットし、人間の安全と、現在の持続可能性と将来の回復に向けた世界的な取り組みをサポートする方法で前進しています。私たちは皆さん一人一人と長期的に協力しており、基本的な人間の良識を守り続ける限り、私たちはこの状況から抜け出し、想像もしていなかった新しい強みと成長を見つけることができると確信しています。」

この危機対応の中核となる要素は、マスターカードの従業員の安全を確保し、安全に仕事を継続できるようにすることである、とバンガ氏は付け加えた。

「この不確実な時期に、私たちはすべての従業員に、2020年に新型コロナウイルス感染症危機に関連した解雇を行わないことを誓約しました」と彼は書いた。 「そして、地方当局、国際保健機関、および従業員自身の懸念や快適さのレベルからのガイダンスに従って、在宅勤務、分割勤務スケジュール、旅行の制限または延期など、いくつかの一時的な政策を開始しました。」

このアプローチは、安全性とセキュリティはセキュリティ部門だけの責任ではなく、組織の資産を保護する上で貴重な役割を果たすすべての従業員の責任であるという、Mastercard の哲学をモデル化したものだと、Mastercard の最高セキュリティ責任者である Ron Green 氏は述べています。

「以前であれば、組織はセキュリティ チームがそれを処理してくれると感じていたでしょう。私たちは他にやるべきことがあります」と Green 氏は説明します。 「今日、セキュリティは Mastercard で私たち全員がやらなければならないことです。」

セキュリティ哲学

企業のセキュリティ リーダーは、物理セキュリティ チームとサイバーセキュリティ チームを統合するというアイデアを 10 年以上にわたって議論してきました。 カジノサイト 国際財団の調査によると、世界の特定地域の組織の約 25 パーセントが、場合によっては事業継続も含めてその措置を講じています。米国、ヨーロッパ、インドにおけるセキュリティ コンバージェンスの状況.

報告書によると、このアプローチの利点には、セキュリティ戦略を企業目標に合わせる能力の向上、コミュニケーションと協力の強化、セキュリティ運用の効率化、取締役会や経営幹部への可視性と影響力の向上が含まれます。

Mastercard は、金融機関が直面する脅威にさらに適切に対処するために、物理チームとサイバーセキュリティ チームを統合しました。

「私たちの敵は、そのように考えていません。サイバーと物理的なものは別のものです。彼らはただ攻撃しているだけです。」とグリーン氏は言うセキュリティ管理。「彼らには、彼らを拘束したり遅らせたりするための人工的な境界線がありません。彼らは気にしません。私たちは結合しているので、安全についてだけ考えています。」

他の組織も、特に不正防止に関しては同様の結論に達しています。たとえば、米国秘密情報部は最近、電子犯罪対策本部と金融犯罪対策本部をサイバー詐欺対策本部として知られる単一のネットワークに統合しました。

「オンライン決済と銀行取引は今や世界的に普及しており、クレジットカード番号や個人情報はインターネットやダークウェブ上で違法に販売されており、暗号通貨は犯罪者が違法な利益を洗浄する主な手段の一つとなっている」とシークレットサービスはプレスリリースで述べた。 「捜査官は金融とインターネットの両方の分野、さらには各業界を支えるテクノロジーと組織の両方を理解しなければ、金融やサイバー犯罪の捜査を効果的に進めることはもはやできません。」

マスターカードは、コンバージェンスの哲学を支持する CEO のおかげで恩恵を受けている、とグリーン氏は言います。バンガ氏は CEO であると同時に、Cyber​​ Readiness Institute の共同創設者でもあり、バラク・オバマ米国大統領の国家サイバーセキュリティ強化委員会の委員を務め、セキュリティ問題に関するビジネスラウンドテーブルでの議論を主導しました。セキュリティに対するバンガの関心、そしてそれをマスターカードの使命の中核要素とすることは、グリーンと彼のチームがその仕事に対して他の幹部から賛同を得るのに役立っています。

グリーンは経営幹部チームにセキュリティの脅威について説明し、リスクに関するデータを特定のチームに提供します。

「チームの感受性のステータスを報告する機能。これにより、幹部はデータを入手してチームと対話できるようになります」とグリーン氏は言います。 「経営幹部の関与を引きつけたければ、経営幹部に知識を与え、どのように役立つかを提供する必要があります。」

これらの行動は、セキュリティはセキュリティ チームの領域だけでなく、Mastercard 全員の責任であるという考え方も奨励しました。ソーシャル エンジニアリングとフィッシングが、悪意のある攻撃者が組織に侵入してネットワークを侵害するための主要な攻撃方法の一部となっているため、これは近年特に重要になってきています。 (「」を参照パトロールの問題,”セキュリティ管理、2020 年 8 月。)

「全員の責任として、私たちがセキュリティに重点を置く主な理由の 1 つは、脅威の推移を見ると、今日の侵害の多くは、フィッシングやソーシャル エンジニアリングによって意図的ではない内部関係者に不正行為を行わせることから始まっているからです」と Green 氏は言います。 「その後、企業が侵害され、データが盗まれたり改ざんされたりします。しかし、それは人々がセキュリティに注目していないことから始まります。」

意識を高める

誰もがセキュリティの専門家というわけではありません。しかし、すべての従業員は企業ネットワークや機密データにある程度のアクセス権を持っており、侵害されると組織が危険にさらされる可能性があります。 Green 氏によれば、すべての従業員は基本的なセキュリティ知識を持ち、リスクを軽減するためのトレーニングを受ける必要があります。

一般従業員の教育を支援するために、Mastercard は毎月 1 つのトピックに焦点を当てた Secure It 啓発プログラムを作成しました。包括的なテーマとプログラムは社内で開発されていますが、マスターカードはビデオ会社と協力してスケッチを制作し、そのスケッチは同社の Secure It TV 番組を通じて共有されます。

「コーヒー ショップでの Wi-Fi への接続やパスワードの管理など、人々がセキュリティ問題の処理に慣れ親しんでいる通常の文字が多数登場します」とグリーン氏は言います。

Secure It には、15 歳から 21 歳で当局に逮捕されるまで詐欺師として活動し、その物語が映画で脚色されたフランク・アバグネイルなど、外部からの講演者も参加しますできれば捕まえてください。その後、米国連邦政府に勤務し、現在は FBI アカデミーや民間団体のセキュリティ コンサルタントを務めています。

これらの講演者は、注目を集めるセキュリティのトピックだけでなく、専門家のように自宅の Wi-Fi ネットワークを保護する方法など、従業員の日常生活に影響を与えるセキュリティ リスクに関する情報を共有します。

「私たちはそれを家に持ち帰るために多くの努力をしています」とグリーンは言います。 「誰かがあなたを騙して情報を提供させたり、ネットワークに侵入させようとしたりすると、あなたとあなたの個人情報が危険にさらされることになります。私たちは人々が日常の家庭生活の中でセキュリティについて考えるよう促します。」

セキュリティ チームは人事やコミュニケーションとも連携して、非技術者向けに技術的な概念を明確にして説明できるよう支援しました、とマスターカードのビジネス セキュリティ責任者、従業員のデジタル エクスペリエンス、そして カジノサイト 国際若手専門家評議会のメンバーであるニール パーカー氏は述べています。

「技術担当者は、考え方を変えるような方法でそれを明確に説明しようとは決してしません。ここは人事、コミュニケーション、運営、その他の支援が必要なところです。」と彼は付け加えました。

さらに、Mastercard は定期的にフィッシング トレーニングとテスト キャンペーンを実施しています。マスターカードは以前、これらのキャンペーンを年に 2 回しか実施していませんでしたが、最近では CEO と直属の部下を含む全従業員を対象に毎月実施するようになりました。

「許容される行動に関する基準を確立しており、テストに不合格になった場合にはトレーニングがあります」とグリーン氏は言います。 「当社の従業員には自らの行動に対する責任があるため、それに伴う結果も生じます。当社には『3 回ストライキをするとアウト』というポリシーがあります。」

CEO および上級幹部との月例ブリーフィングで、グリーンは以前のフィッシング活動の結果を共有し、そのデータをチームに持ち帰れるようにする予定です。

「これらの経営幹部は、マスターカードを保護する上で注意を払い、適切な衛生状態を保つことの重要性についてチームに話しています」とグリーン氏は言います。

多くのマスターカード従業員がコロナウイルスのパンデミック中に完全リモート勤務に移行したため、これは特に重要になりました。マスターカードは3月と4月に従業員に対するフィッシング検査を一時停止した。また、従業員向けの説明会や情報を強化し、新しいホームオフィスのスペースを確保し、Mastercard へのリスクを軽減できるようにしました。

「全員を自宅に戻すことを軸に、脅威の状況変わりました」とグリーンは言います。

Secure It チャレンジを通じて、Mastercard はホーム ルーターの安全性、Alexa または Google Home システムを使用する際の考慮事項などに関するビデオを提供しました。このチャレンジに参加した従業員はその努力に対してピンを受け取り、自主的なプログラムが広まったとグリーン氏は言います。

「私たちにとって移行は簡単だったと思います」とパーカー氏は言います。 「私たちは壁の中のセキュリティだけを考えたくはありませんでした。セキュリティとは生活そのものです。私たちは従業員がどこからでも仕事に接続できるようにします。通常の生活様式として、どこにいてもセキュリティについて考える必要があります。」

Secure It のようなプログラムにより、従業員はセキュリティ チームを組織の警察ではなくビジネスを実現するものとして認識することができたとパーカー氏は付け加えました。

「レガシーと従業員の賛同を得る方法に目を向けると、企業セキュリティに対する大きな変化は、組織を取り締まることではないと考えられています。」と彼は説明します。 「私たちはサイバー チームと物理的なチームを組み合わせることで、この取り組みを先導することに貢献しました。これにより、私たちは警察からパートナーおよびビジネス イネーブラーに変わり、賛同を促進することができました。」

これらのプログラムは、Mastercard の保護に違いをもたらすのに役立ちました。 Banga はセキュリティ チームに、フィッシング攻撃のクリックスルー率を組織全体で平均 1% に下げるという野心的な目標を課しました。ほぼ毎月テストを行っているパーカー氏は、マスターカードはテストの難易度が上がっているにもかかわらず、その目標の達成に非常に近づいていると述べています。

マスターカードは、自社ほど堅牢なセキュリティ装置を購入する余裕がない中小企業にもベスト プラクティスを共有しています。

「私たちは Global Cyber Alliance と提携し、中小企業にベスト プラクティスを提供するために Cyber Readiness Institute を設立しました。」と Green 氏は言います。

Mastercard は、小規模組織が資産管理、マルウェア対策、ネットワーク スキャンなどのコア セキュリティ コンポーネントについて検討できるよう支援するツールも提供しています。

「なぜそれを行う必要があるのか​​を説明し、資産を管理できるようにビデオと無料ツールも提供します」と Green 氏は説明します。 「私たちはあなたにゲームを有利に進め、自分自身を守る能力を与えます。」

ミーガン・ゲイツはセキュリティ管理部門の上級編集者です。 経由で彼女とつながりましょうまたは[email protected]。 Twitter で彼女をフォローしてください:
.