コンテンツにスキップ

イラスト提供: iStock

カジノサイト

サイバーセキュリティにとって最大のリスクは依然として人間

サラ・モスケダ著
2022 年 6 月 30 日

今日の安全保障

SANS セキュリティ意識の最新レポートによると、おそらくこれまで以上に、組織のサイバーセキュリティにとって最大の脅威となっているのはセキュリティの人的要素です。

すべてのデータ侵害の 82% 以上は、フィッシング、ビジネスメール侵害 (BEC) などの人的リスクによって引き起こされています。ランサムウェア、によると2022 年ベライゾン データ侵害インシデント レポート, 6 月上旬にリリースされました。  

によると、人的リスクの増加には明らかに 2 つの主な理由があるようです。.

1 つ目は、組織が十分に多様なセキュリティ意識を持つ人材を採用できていないということです。トレーニング、コミュニケーション、人事、またはその他の必要なスキルの背景を持つセキュリティ意識向上専門家の数セキュリティ意識向上トレーニングは 25% 未満です。 「これは、なぜこれほど多くの啓発プログラムが従業員の参加に苦労しているのかを説明するのに役立つ可能性がある」と報告書は述べています。

技術的またはセキュリティに関する強力な背景は組織の防御を強化するのに役立ちますが、多様性に欠けたチームにはいくつかの欠点があります。

「…『技術的すぎる』背景を持つ人は、そのリスクを効果的に伝えたり、従業員に有意義に関与したりするスキルが欠けていることを意味する場合もあります」と報告書は述べています。

2 番目の理由は、攻撃者が人的リスクがもたらす巨大さと機会を理解しているため、ますます洗練された攻撃を作成しているためです。 「世界中のサイバー攻撃者にとって、人々は主な攻撃媒体となっています」と、SANS セキュリティ意識向上ディレクターでありレポートの共著者であるランス スピッツナー氏は述べています。

「今年のレポートは、過去 3 年間に私たちが見てきたことを改めて明らかにしました。最も成熟したセキュリティ意識向上プログラムとは、その管理とサポートに専念する人員が最も多くいるプログラムであるということです。」とレポートは述べています。 SANS Institute の一部である SANS Security Affairs は、1,000 人を超えるセキュリティ意識の専門家からのデータを分析しました。

報告書では、最も成熟したセキュリティ意識向上プログラムは、「ほとんどの人がその管理とサポートに専念している」プログラムであると述べています。より成熟したプログラムを使用することで、組織は人的リスクをより適切に管理できるようになります。

「最も成熟したセキュリティ意識向上プログラムは、従業員の行動や文化を変えるだけでなく、指標フレームワークを通じてリーダーシップに対する価値を測定し、実証します。」とスピッツナー氏は述べました。

これは行くという意味です年次基礎訓練を超えて参加者にコンプライアンスのチェックボックスをオンにすることのみを求める要件。リーダーシップにさらなる必要性を示すと、主要なサポートが違法になる可能性があります。

組織は、リーダーからのサポートを得て意識向上チームの人数を増やすことに加えて、従業員向けのトレーニングの頻度を増やすことで、意識向上プログラムをさらに成熟させることができます。これは、過度に複雑または高価である必要はありません。ランサムウェアに関する Web キャストや、ゲスト スピーカーが次の情報を提供するのと同じくらい簡単です。個人情報の盗難、法執行機関のメンバーなど。

レポートから得られたもう 1 つの発見は、セキュリティ意識向上の取り組みに専念するフルタイムの従業員とパートタイムの従業員との間に、2 年連続で大幅な賃金格差があるということでした。

「セキュリティ意識向上に専念するパートタイムの人は、フルタイムで働く人よりも年間 30,000 ドルも多く支払われている」と報告書は述べています。

格差の多くは認識の問題から生じています。フルタイムのセキュリティ意識向上の役割に就いている人は、セキュリティ意識向上チームのポジションに応じて特別に報酬を受けますが、このチームでパートタイムで働くスタッフは、セキュリティや情報技術などの別のチームにすでに所属している可能性があります。

「彼らの給与の高さは、他のセキュリティや技術スキルに対する報酬を反映している可能性がある」と報告書は述べている。 「意識向上にフルタイムで従事する人は、通信などの非技術的な背景を持っていることが多く、特にセキュリティ意識向上の役割に対して報酬を与えられますが、その役割は他のほとんどのセキュリティ役割ほど評価されないことがよくあります。」

そして、前例のない数の従業員がリモートまたはハイブリッド ワークに参加しているため、攻撃者は組織のシステムへの侵入点としての従業員、新型コロナウイルス感染症のパンデミック、およびその他の最近の出来事に焦点を当て続けています。疲労従業員の間でセキュリティ意識を向上させることが、おそらくこれまで以上に重要になっています。

arrow_upward