個人ブランドを確立することには多くのメリットがありますが、リスクも同様です。セキュリティのプロフェッショナルとして個人ブランドを立ち上げ、育成するソーシャル メディアなどの公開チャンネルでは、自分自身に注目を集めることができます。セキュリティの注目度を高めることは必ずしも悪いことではありませんが、リスクと課題を理解することが不可欠です。

第 3 弾では、カジノサイト CSO センター リーダーシップ シリーズ、Resolver 主催の「It's Your Personal Brand: What Could Possibly Go Wrong?」では、Counterintelligence Institute の創設者 Peter Warmka が、セキュリティ担当幹部の公開プロフィールがその人の物理的およびサイバー リスクのレベル、および組織の風評リスクにどのような影響を与える可能性があるかを議論します。

注意すべき 2 つの主な領域は、機密データまたは知的財産の損失と風評被害です、と彼は言います。

「データの漏洩や盗難、組織全体のアプローチにとって重要な機密情報の時期尚早な公開、知的財産の盗難はすべて、多大な損失をもたらし、さらには会社の崩壊を引き起こす可能性があります」とワームカ氏は語るセキュリティ管理。 「このような事件は、必ずしも高度な攻撃の結果であるとは限りません。多くの状況で、人々はソーシャル エンジニアリングに対して非常に脆弱です。」

誰かが LinkedIn で接続リクエストを送信したとき、それが本物かどうかはどうやってわかりますか?

— セキュリティ管理 (@SecMgmtMag)

ソーシャル エンジニアリング攻撃では、攻撃者は LinkedIn などのソーシャル メディア サイトを使用して組織の主要な内部関係者を特定し、その内部関係者のプロフィールと投稿を分析して、攻撃者が内部関係者に対して利用できる潜在的な動機や脆弱性を特定します。たとえば、悪意のある攻撃者は、スキーへの愛情やサイバーセキュリティ スキルの学習への関心に関する CSO の投稿を利用して、偽の共通点を形成する可能性があります。

「人間のハッカーは、スピア フィッシング、スミッシング、ビッシング、対面でのやり取りを利用してターゲットに近づくことができます」とワームカ氏は言います。 「ソーシャル メディア プラットフォームは、スピア フィッシング キャンペーンを成功させる最も効果的な手段としてメールに取って代わりつつあります。攻撃者は、ターゲットとの共通点を組み込んだ偽のプロフィールを作成できます。ターゲットは、接続の招待リクエストを信頼して受け入れる可能性が高くなります。

「ソーシャル メディア メッセージング機能は、接続すると、悪意のあるリンクをクリックしたり、悪意のある添付ファイルを開いたりする可能性があります。」

悪意のある攻撃者は、公開ソーシャル メディア ページを使用して個人や企業になりすまし、偽のサイトやプロフィールを作成して虚偽の情報を広めたり、人を操作するパスワードや個人情報を引き渡す可能性があります。これらの脅威は、従業員とその連絡先、または顧客を危険にさらし、内部ネットワークとアカウントを脅かします。

「接続リクエストを受信したとき、セキュリティ専門家はロジック、フロー、適切な文法についてプロファイルを注意深く分析する必要があります」と Warmka 氏は推奨します。 「プロフィール写真の逆画像検索を実行して、その写真が別の身元に起因する可能性があるかどうかを判断します。このプロフィールで提供された情報について Google 検索を実行します。身元を確認できない人とは決して連絡を取らないでください。」

上級幹部や従業員向けのトレーニングも有益です。ウォームカ氏は、企業がソーシャル エンジニアリングの試みを認識して対応する方法に関する演習など、既存のスタッフと新入社員に対して必要なトレーニングを頻繁に維持することを推奨しています。個人的な経験、ケーススタディ、ロールプレイング、訓練、ビデオはすべて優れたトレーニング リソースであり、セキュリティは定期的な模擬ソーシャル エンジニアリング テストやレッド チーム演習を通じて指導ポイントを強化できます。ビジネスポリシーは、従業員の日常業務に関連した実際の例や参考資料を使用し、理解しやすくする必要があります。従業員の生活に影響を与えないような長くて専門的な内容は避けてください。

「ソーシャル エンジニアリングを定期的な話題として取り上げてください」とワームカ氏は言います。 「たとえ勤務中でなくても、企業データの保護が仕事の一部であることを従業員に理解してもらいます。ソーシャル メディア、電話、対面での情報提供はすべて安全に行う必要があります。」

彼は続けます、「従業員が、電子メール、ソーシャル メディア メッセージ、テキスト メッセージ、電話、対面でのやり取りなど、知らない人からアプローチを受けた場合には、質問、健全な判断、そしてかなりの懐疑心を奨励します。『検証してから信頼する』という概念を従業員全体に浸透させてください。」

企業幹部が深く考えずにソーシャル メディアや公共の場にアクセスすると、機密データへの脅威に加えて、評判も危険にさらされます。

「ソーシャルメディアでは、世間の意見がすぐに広まる可能性があります」とワームカ氏は言う。 「悪い評判やコメントは、拡散する可能性が非常に高くなります。そのため、企業や個人は、インターネット上での自分のイメージについて細心の注意を払う必要があります。評判に対する自らの損害には、攻撃的な投稿や発言、不正確な製品やサービスの主張、非倫理的なオンライン行為が含まれる可能性があります。オンラインでの存在感に注意を払わなかったり、否定的な批判に反応しなかったりすると、ソーシャルメディア上での好ましくないPRは重大な結果を招く可能性があります。ソーシャルメディアの影響により、一度の悪い出来事が何年もの実績を消し去る可能性があります。」個人のブランドの成長とすべてのポジティブな感情を一瞬で実現します。」

Civis Analytics によると、2020 年には米国で 2,300 万人以上が何らかの抗議活動に参加しました。おそらく多くの人が会社員だろう。企業の大小を問わず、従業員の活動活動による影響を経験してきました。チェーン店の銃販売に抗議するため仮想通貨会社が企業の使命に関係のない対話を抑圧しようとした後。

新型コロナウイルス感染症のパンデミック以前と比較して、スタッフは企業に対し、政治的または社会的問題に対して立場や行動を取るようますます圧力をかけています。

マイケル・センターとダイアナ・コンキャノンがaで書いたように2021 年 7 月の記事セキュリティ管理、「風評被害と人材の喪失は、従業員の活動によってもたらされる 2 つの顕著な脅威です。しかし、それらを軽減する戦略は、敵意を生むことなく意見の多様性を受け入れるという課題に取り組み、安全に関する組織文化を強化する機会を覆い隠してはなりません。セキュリティの専門家は、対立や混乱を最小限に抑える方法で従業員の活動を管理するために経営陣を積極的に支援する重要な役割を果たす立場にあります。」

従業員が互いに気分を害する可能性に備えることは、特に超二極化の進行を考慮すると論理的な現代のリスク管理戦略です。

— セキュリティ管理 (@SecMgmtMag)

ウォームカは次のように述べています:「従業員の活動を管理することは新たな困難ですが、これは古いタイプの難題です。簡単には対処できない邪悪な状況にどうやって対処し、解決するのではなく保持しなければならないより深い対立を表しているのかということです。問題には多くのあいまいさがあり、行動の最終的な結果は予測できない可能性があります。必然的に、ある人は自分が得たものと同じくらい多くのものを失ったと信じるでしょう。また、ある人はそうするでしょう」グループの行動が不十分だと信じている人もいるが、犯した行為に愕然とする人もいるだろう。

「リーダーとして、全員が意見を聞いてもらっていると感じ、意思決定がどのように、なぜ行われるのかを理解できるように全力を尽くすのがあなたの責任です。また、直面するジレンマもあります。選択は必要ですが、スタッフはあなたが心を開いていることを認識しなければなりません。リーダーは、話を聞き、行動し、説明することができなければなりません。そして、そのプロセスを繰り返す必要があります。

「労働者の活動家を無視するということは、経営陣があらかじめ決められた議題に矛盾することを何も聞くことができないということを示しているのかもしれない。違いを聞き、興味を持つことは、創造性と機敏性、そして意見を期待する新世代の才能を引き付け維持するために不可欠である。」

極端な信念を放置すると、団結と生産性が脅かされるだけでなく、安全が損なわれ、破壊的な行動、さらには暴力のリスクが高まる可能性があります。

— セキュリティ管理 (@SecMgmtMag)

ネットワークや企業資産に対する脅威を超えて、風評リスクが物理的なセキュリティ リスクに波及する可能性もあります。 Ontic Center for Protective Intelligence の調査によると、物理セキュリティおよび IT リーダーの 24% が、2021 年上半期に、インテリジェンスの失敗の結果、私邸で勤務しているときや旅行中に CEO やその家族が脅迫を受けたり、危害を加えられたりしたと回答しました。

「保護情報センターの調査への全回答者の半数以上が、人種問題や政治問題についての立場を表明したこと（58 パーセント）または表明しなかったこと（40 パーセント）の両方の結果として、CEO が身体的脅迫を受けたことがあると回答しました。」フレッド・バートンを書きました、オンティック保護情報センター事務局長、セキュリティ管理.

ソーシャル メディアや他の公共媒体の両方で経営幹部がさらに注目を集めるようになると、彼らのリスク プロファイルはさらに高まる可能性があります。

「誰かが私たちが共有している内容が気に入らない場合、または私たちからお金や情報を強要しようとしている場合、私たちは標的になる可能性があります」とワームカ氏は言います。 「このため、デジタル アカウントを可能な限り安全に保つことが重要です。オンライン アカウントと電話アプリでは厳格なプライバシー設定を使用する必要があります。私たちは、投稿している内容と、私たちにとって脅威となる可能性のある人々にどのような情報を提供しているかに留意する必要があります。」

「誰かが私たちに対する身体的攻撃を計画している場合、私たちの生活パターンや将来の旅行計画に関する情報をソーシャルメディアで提供すると、私たちはより予測可能になり、脆弱になる可能性があります。」と彼は付け加えた。

個人のブランディング活動に伴うリスクについて詳しくは、CSO センター リーダーシップ シリーズ—登録は CSO センター メンバーに限定されています。