セキュリティ意識マネージャーの役割を理解する
この記事では、企業のセキュリティ意識マネージャーが直面する課題について考察します。
― 1 分で読む
目次
セキュリティ意識が多くの企業で重要な焦点になってきてるね。組織は、従業員がサイバー脅威から自分自身や会社をどう守るかを知るために何十億も使ってる。この焦点は、セキュリティがユーザーの視点から考えられてることを示してる。ただ、これらのセキュリティプログラムを管理してる人たちの目標や方法があんまり明確じゃないんだ。この記事では、セキュリティ意識マネージャーの仕事、そのモチベーション、そして課題に焦点を当てるよ。
セキュリティ意識って何?
セキュリティ意識は、従業員にサイバー脅威から自分と組織を守る方法を教育すること。強いパスワードの作成やフィッシングメールの見分け方みたいなトピックが含まれる。何年も経つにつれてセキュリティ意識の理解は進化してるけど、まだ明確に定義するのは難しい。トレーニングとコミュニケーションの組み合わせだと見なす人もいれば、行動の変化にもっと焦点を当てるべきだと思う人もいる。
セキュリティ意識マネージャーの役割
セキュリティ意識マネージャー(SAM)は、組織内でセキュリティ意識プログラムを運営する責任がある人たち。彼らのタスクは幅広く異なる。トレーニング資料の作成と管理に多くの時間を使う人もいれば、キャンペーンを組織したりコミュニケーションを担当する人もいる。通常、SAMはこの役割だけに専念してるわけじゃなくて、いくつもの役割をこなしてるんだ。
セキュリティ意識マネージャーへのインタビュー
SAMの日々の仕事をよりよく理解するために、ヨーロッパのセキュリティ意識マネージャーにインタビューを行ったよ。これらの会話では、彼らの活動、目標、役割における成功の定義について探った。結果にはいくつかの重要なポイントが浮かび上がった。
目標と成功の測定
ほとんどのSAMが同意するのは、彼らの仕事の主な目標は従業員をセキュリティに関与させることだってこと。ただ、これは必ずしも行動を変えてより安全にすることを意味するわけじゃない。むしろ、多くのSAMは、より多くの従業員がトレーニングセッションに参加したり、セキュリティコンテンツと関わったりすることを成功と見なしてる。従業員からのポジティブなフィードバックも、重要な成功の測定基準なんだ。
一般的な意識向上活動
SAMはセキュリティ意識を高めるために、さまざまな活動を行うよ:
- トレーニングセッション:多くのSAMは、オンラインでのトレーニングや対面のセッションを利用して従業員を教育する。
- フィッシングシミュレーション:従業員が偽のフィッシングメールにどう反応するかをテストするための一般的なツール。
- コミュニケーション:ニュースレターやメール、社内ウェブサイトを通じて定期的にセキュリティトピックを従業員に届ける。
- イベント:一部のSAMは、従業員がセキュリティプラクティスに参加できるように、ライブイベントやワークショップを組織する。
エンゲージメントの重要性
従業員とのエンゲージメントはSAMにとって非常に重要だ。従業員が関与して興味を持っていれば、セキュリティ問題にもっと注意を払うようになると信じてる。SAMは、トレーニングの出席率やセキュリティコンテンツのクリック数などの指標を追跡してエンゲージメントを測ることが多い。ただ、このエンゲージメントへの焦点が、実際の行動の変化につながらないことも懸念されてる。
セキュリティ意識マネージャーが直面する課題
SAMはセキュリティ意識を高めようと意欲的だけど、いくつかの課題に直面してる。一部は以下の通り:
- リソースの不足:多くのSAMは、包括的なプログラムを作成する時間や予算がない。外部のベンダーに頼ることが多い。
- 規制:異なるルールや規制がSAMがプログラムに含めなければならないことを左右する。規制はセキュリティの向上を目指してるけど、SAMが効果的だと見なすことと必ずしも一致しない。
- 技術的制約:SAMは効果的なトレーニングコンテンツを作成するための技術的な専門知識がないことが多く、IT部門に頼らざるを得ない。
SAMと従業員の間のミスマッチ
SAMが従業員に必要だと思ってることと、従業員が実際に欲しいことの間にはしばしばギャップがある。SAMは特定のセキュリティ脅威を対象にしたトレーニングを開発することがあるけど、従業員は日常の仕事に関連する実践的なアドバイスにもっと興味があるかもしれない。このミスマッチがセキュリティ意識向上イニシアティブの効果を妨げることがある。
適切な期待値の設定
SAMが自分たちのプログラムが何を達成できるかについて現実的な期待を設定することが重要だ。意識の向上がより良いセキュリティプラクティスにつながることはあるけど、行動の変化を保証するわけではない。多くのSAMは、自分たちのプログラムの効果を実際の言葉で測れないことにフラストレーションを感じてる。
セキュリティ意識におけるベンダーの役割
多くのSAMは、トレーニング資料、フィッシングシミュレーションプラットフォーム、その他のリソースを外部のベンダーに頼ることが多い。これにより時間と労力を節約できるけど、これらのプロバイダーに依存する状況を生むこともある。ベンダーに対する感情は様々で、必要なサポートを提供してると感じるSAMもいれば、効果や資料の質について懸念する人もいる。
インタビューからのインサイト
SAMへのインタビューは、セキュリティ意識の実践に関するいくつかの重要な洞察を浮き彫りにしたよ:
- 多様な定義:セキュリティ意識の定義はマネージャーによって大きく異なる。
- エンゲージメントへの焦点:多くのSAMが実際に行動を変えるよりも、従業員の関与を優先してる。
- 明確な目標の必要性:セキュリティ意識活動における成功がどうあるべきかに関する合意が欠けている。
- 従業員の相互作用:SAMは従業員との関係を向上させたいと考えてるけど、大規模にそれを実現するのは難しい。
- フィードバックメカニズム:SAMはプログラムの効果を理解するために、従業員からのフィードバックを集めるためのより良い方法が必要だ。
セキュリティ意識を前進させるために
セキュリティ意識の実践を改善するために、いくつかの推奨が出てきた:
- 明確な目標を定義する:SAMは組織の目標に沿ったプログラムの明確な目的を確立することに取り組むべき。
- コミュニケーションの向上:SAMが従業員とのコミュニケーションを改善すると、理解とエンゲージメントが高まる。
- 影響の測定:意識向上プログラムの真の影響を評価するためのより良い指標を開発することが重要。
- 従業員のフィードバックを活用する:SAMは、セキュリティトレーニングや情報に関するフィードバックを従業員から定期的に得る機会を作るべき。
結論
セキュリティ意識は、強固なサイバーセキュリティ防御を維持するための重要な要素だ。意識向上プログラムには多くの資源が投資されてるけど、目標の明確さ、従業員のニーズとの調和、成功の測定の改善が求められてる。SAMがこれらの課題を乗り越えていく中で、より強固なセキュリティプラクティスを支持する役割は、組織全体のセキュリティ姿勢にとって不可欠だ。
より良いコミュニケーションを促進し、エンゲージメントに焦点を当て、実践的な手段を用いることで、組織はセキュリティ意識のイニシアティブを強化し、最終的に全従業員にとってより安全な職場環境を作れるようになるよ。
タイトル: "What Keeps People Secure is That They Met The Security Team": Deconstructing Drivers And Goals of Organizational Security Awareness
概要: Security awareness campaigns in organizations now collectively cost billions of dollars annually. There is increasing focus on ensuring certain security behaviors among employees. On the surface, this would imply a user-centered view of security in organizations. Despite this, the basis of what security awareness managers do and what decides this are unclear. We conducted n=15 semi-structured interviews with full-time security awareness managers, with experience across various national and international companies in European countries, with thousands of employees. Through thematic analysis, we identify that success in awareness management is fragile while having the potential to improve; there are a range of restrictions, and mismatched drivers and goals for security awareness, affecting how it is structured, delivered, measured, and improved. We find that security awareness as a practice is underspecified, and split between messaging around secure behaviors and connecting to employees, with a lack of recognition for the measures that awareness managers regard as important. We discuss ways forward, including alternative indicators of success, and security usability advocacy for employees.
著者: Jonas Hielscher, Simon Parkin
最終更新: 2024-04-28 00:00:00
言語: English
ソースURL: https://arxiv.org/abs/2404.18365
ソースPDF: https://arxiv.org/pdf/2404.18365
ライセンス: https://creativecommons.org/licenses/by/4.0/
変更点: この要約はAIの助けを借りて作成されており、不正確な場合があります。正確な情報については、ここにリンクされている元のソース文書を参照してください。
オープンアクセスの相互運用性を利用させていただいた arxiv に感謝します。
参照リンク
- https://www.sans.org/blog/security-awareness-maturity-model-promoting-change/
- https://akademie.tuv.com/weiterbildungen/security-awareness-koordinator-tuev-473465
- https://openai.com/research/whisper
- https://doi.org/10.4121/9dc01aa6-8274-43f4-b137-6d185e7008d1
- https://csrc.nist.gov/News/2023/nist-releases-draft-sp-800-50-rev-1