カジノサイト
アメとムチ: 監査の成功を維持する方法
「これは、システムを保護するために必要なリソースを入手するために必要な最後のツールかもしれません。」これは、私がかつて働いていた会社の IT 部門責任者が、インフラストラクチャの劣化状態を必死に説明したときの言葉でした。 「私たちは、最も基本的なニーズに資金を提供するためにあらゆる角度から試みましたが、失敗に終わりました。ですから、今回の監査によって、私たちがどれほど支援を必要としているかを上級指導部に示してほしいと願っています」と彼は続けた。私は彼の痛みを感じました。私たちの部門も同様の戦いを戦い、その多くを失いました。私たちが何度欠陥を特定し、解決策を提案しても、仕事を完了するための資金が得られることはほとんどないようでした。
これは企業セキュリティにおける一般的なシナリオです。景気が低迷しているときは、予算が削減されるか、よくても横ばいのままであることがよくあります。景気が良い場合には、会計年度の初めにリソースが利用可能になる場合もありますが、年度が進むにつれて、セキュリティのための資金が他のプロジェクトに転用されることがよくあります。その結果、かつて稼働していたシステムは年々劣化し、最終的には通常最悪のタイミングで障害が発生し、重大な脆弱性とリスクが生じます。
セキュリティ監査プログラムを確立することは、プログラムの状態を評価するのに役立つだけでなく、プログラムを回復するための「万歳」の試みになる可能性があります。ただし、セキュリティ監査プログラムを立ち上げて成功させたい場合は、この取り組みの前にいくつかの非常に重要な手順を実行する必要があります。
これは、セキュリティ ガバナンスに関するシリーズの 5 番目で最後の記事です。最初の記事、「セキュリティ管理における強力なガバナンスの基準を設定する」組織のセキュリティ部門内でガバナンス プログラムを確立することを主張します。 2番目の記事、「効果的なガバナンスのためには、その理由を述べてください。」そもそもセキュリティ プログラムが必要な理由を自問するよう促し、その理由を組織の他のメンバーにどのように伝えるかについて、プログラム標準の概要を示します。 3番目の記事、「セキュリティ ガバナンスの方法: 手順がサポートを提供する」サイトで最も一般的なタスクを完了するための戦術レベルのガイダンスと 4 番目の記事を主張します。「両刃の剣の先: 技術標準は保護し、防御します。」技術標準を作成するためのフレームワークを提供します。
プログラムをブランド化する
部門標準、運用手順、および技術標準は、セキュリティ プログラムの最も基本的な構成要素を表します。標準は重要ですが、それを施行する準備ができていなければ、単なる良いアイデアにすぎません。したがって、組織の利害関係者に対するプログラムの有効性を判断する方法である正式なレビューが必要になります。これは監査として知られることが多いですが、運用レビューやコンプライアンス チェックとも呼ばれます。
選択する用語は、組織の文化に依存する可能性があります。たとえば、内部統制がほとんどなく、監査の実施歴もほとんどない規制のない業界では、業務レビューという用語の使用の方が魅力的である一方、規制がより厳しい業界では監査という用語の方が一般的である可能性があります。採用される可能性が最も高い用語でプロセスをブランディングし、サポートを獲得します。今の会社では監査という言葉を使っていますが、前の会社ではセキュリティ管理運用レビューという言葉を使っていました。組織内で一般的な用語を使用してください。
社交、社交、社交
どの用語を使用するかに関係なく、監査プログラムの前に基準を徹底的に理解することが重要です。私の現在の会社では、最終標準製品の発売から丸 1 年かかりました—当社の技術基準—クライアントが判断の対象となる製品をよく知っていることを確認するため。あらゆる機会に宣伝してください。
標準製品が完成するとすぐに、当社のグローバル セキュリティ Web サイトにアップロードし、そのことを知らせる電子メール通知が現場に送信されました。サイトへのロードショーの一環として、私たちは常にサイトのセキュリティ リーダーと時間をかけて、Web サイトへのアクセス方法を確実に把握するようにしています。また、少し緊急性を持たせるために、今後のセキュリティ監査について注意を促しています。ポリシーや手順に関する問い合わせを受け取った場合、私たちは常にクライアントに当社の基準を参照するよう指示します。当社の Web サイトへのリンクは私の電子メールの署名に記載されており、当社の社内 Web サイトを使用して簡単に見つけることができます。
私たちは判断されることを恐れる傾向があります。そのため、監査は追加のリソースを求めるために使用できるツールであるだけでなく、既存の資産を維持し、継続的な改善を促進するためにも使用できるツールであることをチームに安心させることも重要です。
監査は侵襲的であり、日常の優先事項を奪うものである可能性があるという事実に注意してください。あなたが現在、組織の戦略レベルで働いているなら、以前は「町外から来た専門家」が監査を実施するためにパラシュートでやって来て、自分の欠陥について威張り散らし、その後町から飛び出し、現場にストレスと不安を残して町から飛び出すのに何週間も準備していたような、戦術レベルや運用レベルを進んでいる可能性が高い。あなたは今、反対側にいます。ゆっくりと、そっと歩き、自分がサポートできないものは作らないでください。監査は、すでに長い管理責任のリストに加えて要求されるもう 1 つのタスクである可能性があります。そのため、このプロセスは企業のセキュリティ チームによって徹底的にサポートされることをチームに安心させてください。あなたは彼らを助けるためにそこにいます。監査は継続的な改善を確実にするためにあなたが作成したツールです。
ほとんどの場合、監査は成功に報いるためのアメとして使用されるべきであり、コンプライアンス違反に対して罰則を与えるためのムチとして使用されるべきではありません。
プロセスを確立する
基準が完成し、利用可能になり、推進されたので、監査プログラムのフレームワークの作成について考えることができます。まず現在の組織の同僚にインタビューして、彼らのプロセスを理解し、用語、タイムライン、報告体制、フォローアップの方法など、同僚から可能な限りの情報を借用することが有益であることがわかりました。現場のチームがすでに内部監査などのグループとレビューを実施している場合。環境、健康、安全 (EHS);規制当局にとっては、同様のプロセスと用語を使用すると理解しやすくなります。たとえば、EHS が自己監査フェーズを採用し、それをレベル 1 監査と呼ぶ場合は、セキュリティ監査でも同じことを行います。
次に、監査の基準を検討します。自社の基準を参考に大分類を選択し、評価項目となるポイントを定めます。各監査ポイントは標準によってサポートされている必要があります。有意義でありながら、関係者のストレスを最小限に抑えるために十分に徹底する必要があります。
私の現在の組織には、147 の監査ポイントをカバーする 13 のセクションがあります。これはたくさんあるように聞こえるかもしれませんが、そうではありません。上級警備員が 4 時間以内に完了できるように意図的に作成しましたが、より短い時間で完了できると多くのサイトで報告されています。現場からのフィードバックによってこれが確認されており、関係者のほぼ全員が、私たちのチェックリストがいかに実用的でシンプルであるかに嬉しい驚きを感じています。
これは包括的なリストではありませんが、カテゴリには以下が含まれる場合があります:
- 施設の詳細。これは、サイト名、住所、種類、従業員規模、フロアの規模、施設のリーダー、監査を完了およびレビューする人の名前、組織 (組織の一部でない場合)、完了日など、サイトの基本的な詳細を収集する機会です。カメラやカード リーダーの合計数などのデータをキャプチャすることもできます。施設の更新された画像をアップロードできるセクションを含めてください。
- 行動計画。これは、欠陥、発見を裏付ける画像、改善計画、および予想される完成日の包括的なリストです。
- スコアシート。カテゴリ別に整理された自動集計スコアカードを利用して、利用可能な最大ポイント、生スコア、スコアのパーセンテージを記録します。
- 管理者。サイトにはセキュリティの責任者がいますか?彼らはあなたのセキュリティリソースに精通していますか?彼らはこれを証明できるでしょうか?ポストオーダーは用意されていますか?定期的に見直されていますか?
- 警備サービス。そのサイトには専用の警備サービスがありますか?運営側は対応してくれるのか?警備員は標準化された事件報告プラットフォームを使用していますか?パトロール情報は収集され、監視されていますか?対応手順は明確に定義され、文書化されていますか?緊急対応手順はテストされましたか?
- アクセス制御。 施設には自動化されたアクセス制御システムがありますか?入退室管理システムは正しく機能していますか?ドアは閉められ、施錠されていますか?システムは企業のオペレーション センターに関連付けられていますか?訪問者はサインインしてバッジを着用する必要がありますか?
- ビデオ管理システム。施設は治安部隊を支援するためにビデオ監視を使用していますか?システムは設計どおりに機能していますか?見るのに十分な光はありますか?ロビー、IT サーバー ルーム、正面玄関、駐車場などの重要なスペースを監視するカメラはありますか?
- 侵入検知システム。施設には侵入検知システムがありますか?設計どおりに機能していますか?システムは中央ステーションまたはオペレーション センターによって監視されていますか?
- 照明。照明はすべての施設の道路を適切に照らしていますか?安全な作業環境を提供するのに十分な屋外および屋内照明はありますか?出口には非常灯や照明付きの出口標識がありますか?
- 区域、敷地、標識を撤去してください。施設には境界フェンスの内側と外側に明確なゾーンがありますか?スケーリングの危険性はありますか?私有地や銃器厳禁の標識は定期的に掲示されていますか?
- 車両制御。境界ゾーンに入るときに車両は検査されますか?車両は捜索されていますか?車両ログは保管されていますか?荷物の書類手続きと荷物の完全性についてスポットチェックが行われていますか?集荷または配達に関する事前通知はありますか?
- 緊急対応と危機管理。 施設には緊急時の対応手順が定められていますか?手順には職場での暴力、爆破予告、医療上の緊急事態などが含まれますか?訓練は定期的に行われますか?
- 訓練。 セキュリティ意識、緊急事態および危機管理、応急処置、およびセキュリティ手順のトレーニング プログラムが実施されていますか?必須のトレーニングは文書化されていますか?
商用監査プラットフォームのサブスクリプションは存在しますが、私たちは Google スプレッドシートを使用してサブスクリプションを作成し (Excel を使用しても同じことができます)、埋め込み式を使用してチェックシートを自動集計します。スコアリングは基本的なもので、準拠している場合は 2 ポイント、部分的に準拠している場合は 1 ポイント、非準拠の場合は 0 ポイントです。該当なし、最大スコアの可能性、スコア、施設のコメント、およびレビュー者のコメントの列も存在します。各セクションには、合計可能得点、合計スコア、および正解率がリストされます。各セクションのスコアはスコアシート セクションに自動入力され、非準拠の不備はアクション プラン セクションに自動入力されます。
合格点として何を設定したいですか?基準を 70 パーセントに設定しました。各セクションおよび全体で最低 70 パーセントのスコアが必要です。完了すると、Google データスタジオ (現在は Looker Studio として知られる) を使用して作成した監査ダッシュボードにスコアが自動的に読み込まれます。データはサイト、エリア、地域、カテゴリごとに追跡でき、進捗状況をリアルタイムで監視できます。
監査の範囲と頻度は、業種、部門リソース、既存のプロセス、文化、リスクによって決まります。当社では、既存の内部プロセスとある程度連携した 4 レベルのシステムを採用しています。
- レベル 1。低リスクおよび中リスクのサイトの場合、これは年に一度の自己監査プロセスであり、サイトのリーダーがチェックリストに記入します。その後、企業のセキュリティ チームが調査結果を確認し、質問に答え、必要に応じてスコアを調整します。高リスクおよび重大リスクのサイトの場合、これは 6 か月ごとに行われます。
- レベル 2。これは記録として重要です。これはサイトの企業セキュリティ チームによって実施され、レベル 1 監査の確認であり、サイト訪問とともに行われます。調査結果は徹底的に検討され、改善のための実用的なソリューションを提供することに焦点を当てて議論されます。これらは、トレーニングを実施し、サポートを実証する絶好の機会です。これらは、低リスクおよび中リスクのサイトでは隔年で、高リスクおよび重大リスクのサイトでは毎年発生します。
- レベル 3。ニアミスや紛失事故後の特別監査。これらは、インシデントの一因となった可能性があり、サイト、企業、または外部の監査人によって実施される可能性のある領域にのみ焦点を当てています。
- レベル 4。これらの監査は外部組織によって実施され、規制要件や専門家の関与(政府機関や専門の産業監査人など)の要望によって推進される場合があります。
合理的な導入計画は、1 年目は基準の作成、2 年目は基準の社会化、3 年目はレベル 1 監査の実施、4 年目はレベル 2 監査の実施です。その後数年間は、レベル 1 監査とレベル 2 監査を行ったり来たりすることができます。これが私の現在の会社で採用されているアプローチであり、導入と管理は順調に進んでいます。
監査に合格するためのプロセスは、次のフローチャートを使用すると最もよく分かります:
レベル 2 の監査で 70% のコンプライアンスが得られなかった場合、欠陥の概要を説明する「アット リスク レポート」が作成されます。最初の障害の場合、レポートはサイト レベルに留まりますが、2 回目の障害が発生した場合は、サイトおよび地域のリーダーに報告されます。 3 度目の失敗が起こらないことを願っていますが、もしあったとしても、企業のリーダーに対する 3 度目のエスカレーションは、主張をするために行われる可能性があります。
成熟度モデリング
成熟度モデルは、組織がどの程度うまくやっているのか、また継続的な改善能力がどの程度あるのかを測定するために使用するツールです。測定は標準に基づいているため、標準を選択することが重要です。セキュリティ業界内に存在する標準は非常に少ないため、おそらく自分自身、つまり自分の標準に対してベンチマークを行うことになるでしょう。そうすることで、スコアは現在の状態、どこに行きたいか、そこに到達するために何が必要かを示すことになります。
当社は現在の成熟度を定義するために 4 つの指定を使用しており、これらはレベル 2 監査の結果に基づいています。
- 危険にさらされています(全体で 70% 未満)。サイトは、人、財産、情報、プロセスを適切に保護するための基本的なセキュリティ レベルを達成していません。このような事態が発生した場合、調査結果は地域の指導者に報告され、直ちに対処されなければなりません。
- 基礎(全体の 70 ~ 79 パーセント)。このサイトは基本的なセキュリティレベルを達成しています。改善の余地がある領域がいくつか存在し、一部のドメインはリスク指定に近い可能性があるため、継続的な監視と改善を実施する必要があります。
- 演奏中(全体で 80 ~ 89 パーセント)。サイトは部門の標準を適切かつ一貫して実装および維持しています。一部のドメインは基礎的なものであるため、サイトの維持と改善を奨励する必要があります。
- 素晴らしい(全体で 90 ~ 100 パーセント)。これはクラス最高のプログラムを表します。チームメンバーとリーダーシップは称賛され、プログラムは促進され、模範として引用されます。
一貫した改善を実証し評価する、意味のある独自の賞を作成してサイトに贈呈することを検討してください。彼らが誇りを持って展示および宣伝できるものを作成し、組織内のセキュリティの文化をさらに促進します。賞の種類とスタイルは、組織の文化によって決まります。楽しんで、安物のフレームに入ったつまらない賞状や、彫刻が施されたアクリル製のトロフィーがまた生まれるのを避けるようにしましょう。たとえば、プロレスのチャンピオンベルトやその他の奇抜なアイテムの作成を検討しました。
すべての概念、プロセス、用語はセキュリティ部門の標準の範囲内で概説される必要があり、標準は定期的に更新される必要があります。私たちは必要に応じて、少なくとも年に一度は見直しを行っています。最後に、プログラムの一部の監査を支援できる他のパートナーを検討してください。通常、定期的な内部監査にはセキュリティに関する主要なカテゴリが含まれており、警備サービスと契約している場合は、警備員の定期的な監査を実施する必要があります。これらはバックストップであり、基準に合わせれば相互に強化されます。
基準を作成し、それを強制する方法と継続的改善のプロセスを確立すると、部門の基本的なガバナンス プログラムが完成します。プログラムが成熟するにつれて、追加の製品がこれらの基本をサポートします。マネージャーとして、戦術レベルや運用レベルでその場限りの問題に対処する現場で過ごす時間が減り、実際に戦略的に指揮し、チームと顧客に創造的なソリューションを提供することに多くの時間を費やすことができます。
エリック・アントンズ (CPP、PSP) は、Whirlpool Corporation の最高セキュリティ責任者であり、170 か国に 61,000 人以上の従業員を擁する 200 億ドル規模の企業の物理的セキュリティ リスクおよび危機管理プログラムを指揮しています。以前は、ハイアット ホテルズ コーポレーションの副社長兼 CSO、国際セキュリティおよびエグゼクティブ サービスのマネージャーを務めていました。センプラ エネルギー付き。アントンズ氏は、米国国務省外交保安局の特別捜査官として安全管理のキャリアをスタートし、多くの場合重大な脅威にさらされる海外の米国人の人々、財産、情報を保護しました。
この記事に記載されているコメントと見解は著者単独のものであり、彼の雇用主の見解を反映していない可能性があります。
