Oligur

• ニュース

ITのコンシューマライゼーションとBYODのトレンドに対応する上で、多くの企業にとって最大の課題となるのは、多くの場合、文化的な側面です。IT部門は、デバイス、アプリの選択、そして従業員や経営陣が実際に企業データにアクセスする場所や時間に関する管理権限を委譲する必要があります。これはIT部門にとっての文化的な変化です。iPhone、iPad、その他のデバイスとそこに保存されているビジネスデータのセキュリティ確保に少なくとも部分的に責任を負う必要があるユーザーや経営陣についても、同様の文化的な変化が必要です。

そのためには、ユーザー教育と、ユーザーとIT部門間の緊密なコミュニケーションが不可欠です。セキュリティポリシーを真に効果的に機能させるには、経営幹部による承認と、その導入と理解が組織全体に浸透していく必要があります。

残念ながら、多くの企業ではそうではありません。実際、こうしたポリシーを無視したり違反したりする可能性が高いのは、経営幹部、取締役、そしてIT部門です。

これは、スウェーデンに拠点を置くエンタープライズセキュリティ企業Cryptzoneが最近行った調査（PDFリンク）で明らかになった事実です。この調査では、300人のセキュリティ専門家に組織内のセキュリティに関するいくつかの質問を尋ねたところ、最も機密性の高い情報にアクセスできる人物は、一般従業員には適用されるが自分には適用されないと考えているセキュリティポリシーを最も無視する傾向があることが分かりました。

調査から得られたお金に関する2つの大きな質問は次のとおりです。

• 取締役はITポリシーが自分たちには適用されないと考えていると思いますか？ – 56%が「はい」、42%が「いいえ」、2%が「わからない」
• 取締役や上級管理職は、セキュリティポリシーや手順を無視したり、軽視したりしていますか？ – 42%が「はい」、53%が「いいえ」、5%が「わからない」

Cryptzone はさらに深く調査し、IT 部門がセキュリティ情報を経営陣や従業員にどのように伝えているかを調査しました。

• 組織内の全員に同じ量のITセキュリティトレーニングを提供していますか？65%が「はい」、31%が「いいえ」、4%が「わからない」
• ITセキュリティ研修が差別化されている場合、研修は何に基づいていますか？ 16% リスク、64% 職務機能、8% コンプライアンス、10% 新入社員、1% 侵害またはセキュリティインシデント

取締役会や取締役に戻ると、IT セキュリティ専門家の 52% が、取締役会のメンバーは最も機密性の高い情報にアクセスできるにもかかわらず、セキュリティ問題についての理解が最も低いという点に同意しました。43% はこれに反対し、5% はわからないと回答しました。

調査の最後の質問は、企業内でセキュリティポリシーや手順を遵守する可能性が最も低いグループを尋ねたものです。半数近く（43%）が、何らかの形で上級管理職（CEO 17%、CTO 6%、上級管理職 20%）にセキュリティニーズを満たしていないと回答し、IT担当者の5人に1人（20%）が、自分の部門がセキュリティニーズを満たしていない可能性が最も高いと回答しました。

この調査は、IT部門がこれまで課題としてきた問題を浮き彫りにしています。IT部門がテクノロジーの裁定者や購買者ではなく、推進者となるにつれ、ユーザーエンゲージメント、効果的なコミュニケーション、他部門との個人的な関係構築といった、いわゆるソフトスキルが中核的なニーズとなっています。こうしたスキルを企業の最高レベルにまで浸透させることは非常に困難な課題ですが、セキュリティプロセスが軽視され、侵害やその他のインシデントが発生した場合、代替策が非難される可能性があります。

出典: クリプトゾーン

画像: クリプトゾーン