コンテンツにスキップ

画像提供: iStock; セキュリティ管理

カジノサイト

高等教育のセキュリティにおける課題: ポートフォリオ管理

モハメド・アティフ・シェザド著
2021 年 8 月 20 日

オンライン限定品

高等教育におけるセキュリティ資産管理は、セキュリティ業界の中でもさらに厳しい課題のいくつかに直面しています。大学のセキュリティ システムは、多様でダイナミックな人々のために、オープンでアクセス可能な建物内で数千の ID とデバイスを管理しています。

技術ポートフォリオには、アクセス制御、ビデオ管理、インターコムおよび侵入検知システム、通信および一斉通知プラットフォームが含まれます。また、認証、POS、駐車場などの複数のサードパーティ アプリケーションと統合する可能性もあります。ポートフォリオの管理は、日常的な管理やメンテナンスから、長期的な計画やライフサイクル管理まで多岐にわたります。

これらの多面的な要件により、管理者向けのプロジェクト ポートフォリオの作成は大規模で構築にコストがかかり、管理が複雑で、維持が困難になります。したがって、ポートフォリオはレガシー システム、非効率なプロセス、高い所有コストにさらされるリスクがある可能性があります。

高等教育におけるアイデンティティ管理に関する管理上の課題は、管理が特に複雑です。データ ソースは、レガシー、分散型、またはセキュリティの管轄下にないものにすることができます。学生および職員の ID バッジは、駐車場、食事券、販売時点管理、住居の割り当てなど、下流の複数の用途にもよく使用されます。そのため、データの整合性が不可欠となり、バッジのセキュリティが不可欠になります。問題が発生すると、不正なアクセスや承認、処理の非効率性や遅延、または管理オーバーヘッドが発生する可能性があります。

多面的な要件により、管理者向けのプロジェクト ポートフォリオの作成は大規模で構築にコストがかかり、管理が複雑で、維持が困難になります。

デバイスのライフサイクル管理、つまり詳細な在庫とデバイスの健全性と保守計画は、もう 1 つの重要な管理ニーズですが、その実装には業界全体で深刻な隔たりがあります。ほとんどのソリューションは、ネットワークに接続されたアドレス指定可能なデバイスの健全性またはステータスに焦点を当てています。ただし、すべてのデバイスとプロセスに利用できる真のライフサイクル管理ソリューションはありません。その結果、多くの場合、スプレッドシートを介した手動追跡が必要になったり、データとテクノロジー ポートフォリオの健全性を不完全に把握したりすることになります。これはセキュリティ部門の資金需要に影響を及ぼし、重要なデバイスの突然の故障にさらされ、壊れたシステムや機能不全のシステムを管理するための業務時間が長くなる危険性があります。

セキュリティ部門はツールとプロセスを使用して、これらの管理上の課題を管理できます。まず、組織の現在の資産目録を認識することが優先事項です。セキュリティ部門は、特に施設管理において、既存の資産管理ソリューションについて問い合わせて活用できます。これらのソリューションは、多くの場合、デバイスとライセンスのカタログ化、コストの集計、手順の文書化など、ポートフォリオのライフサイクルの作成に役立ちます。このプロセスは、セキュリティ部門に組織的なロードマップを提供し、継続的なメンテナンス、将来の展開、アップグレード、統合を積極的に計画します。これは、ライフサイクル全体を通じて効率的な所有コストを維持しながら、ポートフォリオを管理および拡張するための効果的なツールとなります。

セキュリティ運用とデータ フローを部門横断的に理解することは、プロセスの合理化に役立ちます。多くの場合、各部門は互いのプログラムの取り組みを認識しておらず、取り組みが重複したり、冗長なアプリケーションを構築したりする可能性があります。セキュリティがアイデンティティ管理を求めており、IT サービスでアイデンティティ ガバナンス プログラムが進行中の場合、この機能横断的な認識により、セキュリティは取り組みを重複させるのではなく、進行中の取り組みの一部を活用できるようになります。同様に、セキュリティ部門は IT 部門と連携して、既存のデータ レイクやデータ ストアを活用して一元的なデータ管理に協力する必要があります。最新のアクセス制御システムは、基本的な ID およびアクセス管理機能も提供します。これにより、より多くの大学人口に資格情報のプロビジョニング手段が提供され、将来のソリューションと統合するためのロードマップにセキュリティが設定される可能性があります。

セキュリティに関する最大かつ最も長期にわたるポートフォリオの課題は、テクノロジーやデータではなく、トレーニング、教育、歴史的知識です。サイロ化された管理者はお互いの業務を認識していないことが多く、データベース管理者は変更管理に合わせて規律を守ることができません。個人の異動や退職により、知識のギャップが残る可能性があります。トレーニングが不足していると、余分なオーバーヘッドが生じ、サービスが遅延し、インシデント管理が非効率になる可能性があります。

継続的な教育により、関係者は大学のテクノロジー、システム、運営について同じ認識を保つことができます。

継続的な教育により、関係者は大学のテクノロジー、システム、運営について同じ認識を保つことができます。システムとテクノロジーに関するトレーニング、運用に関する部門横断的なディスカッション、管理リソースのバックアップは、セキュリティ運用における回復力とビジネス継続性の構築に役立ちます。病気やパンデミックなどの大規模な危機の際の人員不足は、より簡単に緩和されます。トレーニングは、ソリューションを標準化し、目標を調整するのにも役立ちます。

管理上の課題には、一貫したプロセス、コラボレーション、認識ツールのセットが必要です。ポートフォリオの認識を高め、部門横断的なリソースを活用し、スタッフをトレーニングすることで、ポートフォリオに対処し、高等教育セキュリティ ポートフォリオの長期的で戦略的な技術ロードマップを構築するための効果的なスタートを切ることができます。

 

モハメド・アティフ・シェザドはの創設者兼マネージング・ディレクターです、フルサービスのセキュリティ コンサルティング会社。彼は、プログラム開発、戦略的マスター プランニング、およびエグゼクティブ レベルのプログラム スポンサーシップにおいて幅広い経歴を持っています。シェザド氏は、いくつかの大学でのプログラム開発と管理の取り組みも監督しています。

arrow_upward