TOPセキュリティ > 座学はもう古い、セキュリティトレーニングの重要性(下)

セキュリティ

座学はもう古い、セキュリティトレーニングの重要性(下)

2016/02/19

Doug Drinkwater CSO

社員へのインセンティブ

 Wood氏は、セキュリティプログラムを継続し、年間を通して実施することが最大の難関だと認め、それには時間と費用がかかると話す。理想論で言えば、すべての企業にセキュリティエバンジェリストがいるのが望ましいと同氏は言う。脅威の最新動向を常に把握し、トレーニングの進め方について創造的に考える立場の役職だ。

 メディアの報道も、セキュリティに対する関心の維持に使える。特に、自社の拠点がある地域や同じ業界でセキュリティ侵害が起きた場合だ。

 また専門家らは、トレーニングに関して社員にインセンティブを与える手もあると話す。例えば、フィッシングの報告ツールや、社員のセキュリティ意識を判断できる何らかの手段を導入したうえで、優れた成果を残した社員には、会社の集まりで記念品を贈呈するといったものだ。この方法なら、前向きな形で功をねぎらい、行動を促進できる。

 Sjouwerman氏は、「アメ」と「ムチ」のどちらにもメリットがあると考えているが、プライベートでのセキュリティ強化にも役立つという点をCISOが社員に啓蒙するよう勧めている。

 米健康保険会社Kentucky Health CooperativeのCISO、Richard Starnes氏も同じ考えだ。「当社のセキュリティ意識向上プログラムでは、スキルを細分化し、社員が自宅で自らのセキュリティ保護のために行う対策と関連付けた」と同氏は話す。

 「自宅でネットを利用する際にわが子の安全を守るにはどうすればよいかを社員に説明すれば、そのスキルは、職場で会社の安全を高める方法にも簡単に適用できる」

 Starnes氏は、トレーニングの効果を立証するためのKPI(重要業績評価指標)をCISOが確立するよう力説したうえで、次のように指摘する。「責任を押し付ける気風があってはならない。社員自らがミスを犯したことを自発的に認めて、セキュリティ担当部門に通知してもらう方がよい。社員が処罰を受けることを心配してセキュリティ担当部門に通知しないとなると、その会社のセキュリティ意識向上プログラムは、最悪のタイミングで破綻することになる」

(了)

翻訳:内山卓則=ニューズフロント
記事原文(英語)はこちら

↑ページ先頭へ