カジノサイト
リスクは動的であるため、物理的リスク評価は継続的に行う必要があります
ほとんどの企業は物理的なセキュリティを毎年評価していますが、それだけでは十分ではありません。すべてのサイトでリスク評価を毎日実行したらどうなるでしょうか?
首を振って不可能だと言うなら、もう一度考えてください。実際、毎日の評価はすべての組織にとってベスト プラクティスであるはずです。これらは、リスクと修復策をリアルタイムに把握するための鍵であり、可能であるだけでなく、実際に簡単に行うことができます。
サイバーセキュリティは継続的に評価されます。なぜ物理的なセキュリティを使用しないのですか?
毎日の物理的リスク評価は困難に思えますが、継続的にリスクを評価することは可能であることを私たちは知っています。、デジタル脅威を毎日評価しています。ただし、現在、物理的リスクは毎年分析されています。
サイバー リスクの継続的評価の背後にある考え方は、サイバーセキュリティ リスクは一般的により深刻であるということです。物理的セキュリティの分野で働いたことがある人なら、おそらく反対するでしょう。サイバー脅威と物理的脅威はどちらも確かに高額な費用がかかる可能性があり、どちらも人命の損失を引き起こす可能性があります。では、このような重大なシナリオに対処しているときに、なぜ私たちは物理的なリスクを毎日評価しないのでしょうか?
サイバーセキュリティにおける継続的な評価の背後にあるもう 1 つの理由は、デジタル脅威が急速に進化することです。これは、物理的なセキュリティと自然リスクにも当てはまります。リスクは動的です。気象パターンは変化し、犯罪者は互いに学び合い、世界情勢の変化はさまざまな業界が直面する脅威に影響を与えます。毎年のリスク評価だけでは、こうした変化を捉えるのに十分ではないことがよくあります。
年次セキュリティ監査を再考する
毎日の物理的リスク評価に対する一般的な 2 つの障壁は、それにかかるコストと時間です。
伝統的に、セキュリティ監査は高給取りのセキュリティ専門家によって行われる主観的な評価です。そのような評価は完全に、監査を実施する専門家の観察、過去の経験、価値観に基づいています。従来の評価にも長い時間がかかります。セキュリティ専門家が検査を行うごとに、報告書の作成に 4 ~ 6 時間かかると考えられます。
セキュリティ専門家は、セキュリティ専門家でなくても取得できる単純なデータを収集するよりも、修復のための戦略を考えることに時間を費やした方が有効です。
評価を実施し、毎日実施するより良い方法は、セキュリティ担当者、メンテナンス担当者、施設のその他の連絡窓口など、すでに施設内を歩き回っている人たちを利用することです。
毎日の評価の鍵となるのは自社の人材です
物理セキュリティ業界は、リスク評価に関して少数の人員に大きく依存していますが、実際のところ、どの職場にも継続的にリスクを評価できる人材がたくさんいます。
セキュリティ チームはすでにサイトを巡回しています。タブレットを装備することで、警察官はチェックリスト、メモ、写真を使用して、巡回中に見つけた脆弱性を文書化できます。
組織にセキュリティ担当者がいない場合でも、従業員は外部の専門家よりもサイトのことをよく知っています。彼らはすでにセキュリティのギャップを知っています。どのドアが定期的に開けっ放しになっているのか、どの照明が点灯しなくなっているのか、そして侵入者がどこに侵入できるのかを知っています。
安全上のリスクを報告するのと同じように、報酬を提供するプログラムを作成して、リスクと脆弱性がどこにあるのかを知らせるよう従業員に奨励してください。成功したプログラムの多くは、賞金や休暇などのボーナスを提供しています。
自分のリスクをすべて知っている場合、責任はありますか?
企業からよく尋ねられるのは、。現場にカメラが壊れていて誰も通報しなかった場合、その建物内で暴行が発生し、警備員が死角を理由に対応しなかった場合、企業は責任を負うでしょうか?これは優れたセキュリティとは言えませんし、責任がどのように機能するかを十分に理解していることを示すものでもありません。
ガーズマークの元法務顧問ギャレス・レビトン氏は、明白なリスクまたは容易に発見できるリスクを無視すると述べている組織を保護することはありません責任から。
「法律上、リーダーには注意義務があります」と彼は言う。 「会社に対する彼らの義務は、発見される可能性のあるリスク、また発見されるべきリスクを特定するためにデューデリジェンスを行うことです。会社のリーダーには責任リスクを特定し軽減するという株主に対する受託者責任があります。」
実際、脆弱性を故意に無視し続けると、次のようなことになる可能性があります過失。
「セキュリティ監査を受けているのに、迅速な是正措置を講じない場合、それは潜在的な過失です」と Leviton 氏は言います。 「ただし、適切なセキュリティ監査の実施を怠り、修正する必要がある潜在的な脆弱性を故意に発見できなかった場合、それは同様に過失である可能性があります。企業は単に頭を埋めるだけでは潜在的な責任を回避することはできません。」
レビトンは、セキュリティ監査の実施の失敗を、痛みがあるにもかかわらず、悪い知らせを聞くことを恐れて医師の診察を拒否する患者に例えています。たとえ適切に診断されなかったとしても、患者は病気であることに変わりはありません。実際、治療計画が確立されていないため、患者の状況はさらに悪化しています。
「責任の観点からすると、一度にすべてを修正することはできなくても、監査を行って欠陥の修正を開始した方が良いでしょう」とレビトン氏は言います。
年次評価は重要ですが、それだけでは十分ではありません
年次評価は依然として重要ですが、それは規制された業界で必要だからという理由だけではありません。アン年次セキュリティ監査は、毎日のギャップ分析の情報を提供するために使用できる重要なベースラインです。
完全なセキュリティ評価は年に一度実施する必要があり、トップのセキュリティ専門家を活用して評価結果を分析し、修復策を推奨する必要があります。毎日の評価は年次監査に基づいて行われ、修復の進捗状況を追跡し、新たなリスクが発生したときに文書化できます。
ベースライン評価を使用してセキュリティを監査できます同様に。竜巻に対する備えはどの程度できていますか?火事?荷物の盗難についてはどうですか?ベースライン スコアを使用して、チームは各高リスク シナリオに対する各サイトの準備状況を評価できます。
毎日のセキュリティ評価で今すぐあなたのリスクがわかります
多くの場合、組織は脅威と物理的リスクに関して混乱します。サイバー攻撃、銃撃、気象現象など、ニュースで取り上げられる最新の脅威に気を取られがちです。これらは懸念事項ではありますが、組織にとって最大のリスクではない可能性があります。
多くの場合、最大のリスクは、鍵がかかっていないドアや肩車を許可する警備員など、最小の脆弱性によって引き起こされます。
毎日の評価により、すべてのサイトの動的なリスクを把握できるようになり、どの脆弱性をリアルタイムで優先する必要があるか、どの脅威、危険、または規制が実際に組織に最大のリスクをもたらすかを示します。
ダニエル R. ヤング、MBA、MS は、Circadian Risk Inc. の創設者兼最高イノベーション責任者です。
マイケル J. マーティン (MBA) は、Circadian Risk Inc. の CEO 兼創設者です。
