情報セキュリティ担当者は、情報セキュリティがいかに重要であるかを理解している。だがほとんどの企業では、セキュリティが最大の目的ではない。多くの企業では、従業員の大半が情報セキュリティのリスクを十分に理解していないのが実情だ。セキュリティの重要性を従業員に認識させるには、それが彼らの利益につながることをアピールする必要がある。例えば、自社がフィッシング攻撃にさらされる危険性を減らすには、従業員の銀行口座などの個人情報を盗み出すのにフィッシングが利用されることを従業員に教えればいいのだ。事あるごとに、セキュリティの脅威を分かりやすい言葉で説明し、セキュリティコントロールは従業員と会社を守るためのものであることを説明することが大切だ。
多くの従業員は自分の“本来の仕事”の妨げになるような面倒なセキュリティコントロールを嫌い、これを避けようとするということを、情報セキュリティ担当者は理解する必要がある。情報セキュリティ担当者は高度な技術スキルを備えているが故に、技術に詳しくないユーザーの視点や彼らの仕事の実際の状況を理解するのが難しいかもしれない。エンドユーザーおよび彼らをサポートするチームと定期的に会合を持つことが、適切かつ合理的なセキュリティコントロールの策定および導入に役立つ。
情報セキュリティ担当者は毎日、自社に影響する可能性のある脅威や脆弱性の膨大なリストに向き合っている。そこで大切なことは、自社が重視すべきリスクと法的要件を理解し、その解決に役立つセキュリティコントロールの実現に向けて戦うことである。四六時中、危険性を騒ぎ立てている「セキュリティの悲観論者」や、ユーザーのあらゆる要求を拒否する「ダメ出し屋」になってはならない。そんなことをしていると、いずれ従業員に無視されたり、避けられたりされるようになり、経営幹部の支持も失うことになるだろう。
「必須」のセキュリティコントロールと「あればよい」程度のコントロールとを区別しなければならない。そしてセキュリティコントロールやセキュリティプロジェクトの推進に向けて戦うときがきたら、丹念な調査に基づく事実と費用便益分析を提示して意見を主張すればいい。
情報セキュリティ担当者にとって、ソフトスキルの開発は当初、煩わしく思えるかもしれない。だが情報セキュリティの境界線は次第にぼやけつつあり、情報セキュリティ担当者がセキュリティプロジェクトと自身のキャリアで成功するためには、ソフトスキルの重要性を理解し、それを開発して活用することが不可欠なのだ。
Copyright © ITmedia, Inc. All Rights Reserved.
トランプ氏勝利で追い風 ところでTwitter買収時のマスク氏の計画はどこへ?――2025年のSNS大予測(X編)
2024年の米大統領選挙は共和党のドナルド・トランプ氏の勝利に終わった。トランプ氏を支...
AI導入の効果は効率化だけじゃない もう一つの大事な視点とは?
生成AIの導入で期待できる効果は効率化だけではありません。マーケティング革新を実現す...
ハロウィーンの口コミ数はエイプリルフールやバレンタインを超える マーケ視点で押さえておくべきことは?
ホットリンクは、SNSの投稿データから、ハロウィーンに関する口コミを調査した。
ITmediaはアイティメディア株式会社の登録商標です。
