10月は通常、サイバーセキュリティの意識向上プログラムに集中する時期として、私やあなたのような組織に予約されていますが、この重要な仕事はもちろん、年間を通じた取り組みです。 べきである である!しかし、私たちが現実の世界で経験する多くの困難と同じように、雑音を打ち破ってスタッフに届くようにするのはとても難しいことだ。
そして、2022年の終わりに近づいている、 ノイズは増える一方だ現在進行中の公衆衛生上の危機から、あなたの組織や市場に直接的・間接的に影響を及ぼす可能性のある地政学的な出来事、そして、真新しい攻撃手法や、(おそらくもっと危険な)過去に繰り返し効果が証明されてきた常套的な攻撃手法まで。
私たちが組織の安全確保と保護について考えるとき、 あなたやあなたの従業員が住んでいる場所を反映した、次の3つの視点(ビュー)について考えてみましょう。世界観、ビジネス観、そして家庭観。
世界観
今日、見出しを飾るニュースには事欠かない。欧州での陸戦に関連したサイバー攻撃活動の可能性を懸念する必要がある組織もあるが、それはサイバー兵器の配備ではなく、むしろ、サイバー兵器の配備である。 サイバー・ヘッドラインを活用した配備 それは、ほとんどの組織に向けられた脅威として現れる可能性がはるかに高い。
脅威の主体は、私たちと同じニュースを読んでいる。そして、グローバルな危機の時も、ローカルな危機の時も、 非常に一般的なフィッシング・テクニック その「新しい」情報が緊急であったり、タイムリーであったりする場合はなおさらだ。独占的な」ビデオ・コンテンツにつながると称する(悪質な)リンクや、本物の寄付を求める(偽の)慈善団体につながるメッセージは、特に多く見られる。
ヨーロッパで進行中の事態は、食品から石油、その他の重要な原材料に至るまで、サプライチェーンがいかに相互に関連し、依存しているかを理解していなかった世界中の企業にとって、目からウロコの出来事だった。
セキュリティ意識」は、個人にも組織全体にも適用されることを忘れてはならない。"状況認識「は、情報セキュリティ意識と密接に結びついている。組織がグローバルなエコシステムにおける自社の位置づけをどれだけ(あるいはほとんど)理解しているかをテストする方法の1つは、卓上演習、すなわち迅速かつ協調的な対応を必要とする模擬シナリオによる練習セッションを実施することである。このような演習には、通常、インシデント・レスポンス(IR)機能という形で、サイバーセキュリティの要素が含まれています。
ビジネスの視点
これにこだわろう サプライチェーンコンセプト 私たちは、ビジネスへの影響を正面から見つめるように視点を変えている。
結局のところ、企業は株主と顧客の両方に価値を生み出すために存在する。予期せぬシナリオに対して企業がどのように反応し、対応するかは、企業の経営能力に直接影響する。個人と同じように、企業組織の行動も、経済的影響やインセンティブ(規制やその他)によって左右されることが多い。そして、製品やサービスを提供するために複数の構成要素に依存しているビジネス(それらの構成要素がハードウェア、ソフトウェア、および/または知的財産である場合)は、その運営方法の複雑さが生来オペレーショナル・リスクをもたらすことに気づくことがある。
A 具体例もし今、あなたの組織が台湾経済とどのようにつながっているのか知らないのであれば、今こそ卓上演習を行い、どこに盲点があるのかを明らかにすべき時である。情報セキュリティの観点からは、もしチップやその他の技術が利用できなくなったために、基礎となる物理コンポーネントのアップグレードが計画通りに行えなくなった場合、データセンター(自社所有のものであれ、クラウドベンダーが提供するものであれ)のセキュリティはどのような影響を受けるだろうか?
世界のその地域での軍事活動は、政府、企業、個人に影響を与えるように設計された偽情報キャンペーンを伴うと考えるのは、それほど遠い話ではない。貴社の情報セキュリティ意識向上プログラムには、偽情報の概念とその見分け方を直接取り上げたトレーニングが含まれていますか?
ホームビュー
効果的な情報セキュリティ意識向上プログラムの最も強力な指標は、従業員に全体的にアプローチする内容であろう。効果的な意識向上と行動変容は、職場と家庭の両方で個人にアプローチする。
職場環境と家庭環境の間で従業員の行動を根本的に変えるオン/オフのスイッチはない。このことは、多くの組織が在宅勤務モデルへの移行を余儀なくされたここ2、3年でさらに明らかになった。
研修カリキュラムの中に、オフィスの外で顕著になる可能性のあるリスクについて、受講者に実用的なアドバイスを提供する余地はないだろうか? VPNを使わずに公衆無線LANに接続する、ウェブサイト間でパスワードを再利用する、ソーシャルメディアで情報を共有しすぎる、といった行動はすべて、ITチームが所有または管理していないデバイスで勤務時間外に行われたとしても、組織に影響を与えかねない危険な行動です。
これを摂取することには2つの利点がある。 トレーニングの全体像.ユーザーがオンライン上の潜在的な脅威についてよりよく知ることができるため、組織がより安全になるだけでなく、この同じトレーニングが自宅のデバイスやネットワークの安全性をより効果的に高めるのに役立つことを、特に感謝し、感謝している従業員がいるかもしれない。
三つの視点と "可視性"
複数の視点に頼る は、セキュリティ意識向上プログラムだけでなく、はるかに多くのことに関連するモデルである。
可視化について考える最も有望で最も強力な方法の1つは、拡張された検知と対応(XDR)の概念です。このモデルは、セキュリティ情報とイベント管理(SIEM)システムによって収集されるログという、昨日までの可視性の王者と称されるものが、環境全体の包括的な状況認識に必要なすべてを確認するための最良の方法ではなくなっていること、そして、いずれにせよ「最良の方法」ではなかった可能性があることを認めている。
ログは一つの視点に過ぎない。さらにネットワーク・データを追加し、エンドポイント・データをミックスに加えると、環境に関する3つのビューを持つことになる。
これら3つのデータプレーンを統合し、オーケストレーションや自動化、機械学習主導の分析、脅威インテリジェンス・プラットフォームなどの機能と組み合わせることで、真に効果的なXDRが構成される。
多くのフィッシング・キャンペーンの典型的な手法である、ハイパーリンクのテキストとその下にあるハイパーリンクが一致しない場合、XDR ソリューションは電子メールを覗き見して警告を発することができます。XDRソリューションは、調査すべきユーザーの行動(必ずしも脅威が実際に存在するというシグナルではなく、むしろ異常な行動、その時点までのユーザーの行動と比較したときに普通ではない何か)を目撃したときに、それを伝えることができます。XDR ソリューションは、難読化されたリンクを誤ってクリックした可能性のあるユーザに自動的にメールを送信することで、修復ワークフローのペースを速めることができます。
XDRであれ、セキュリティ意識向上プログラムであれ、視点が多ければ多いほど、あなた(そしてあなたの従業員)はより良い情報を得ることができるということを常に忘れないでください。
もっと見る推薦図書
セキュリティ意識向上への取り組みをさらに向上させるためには、これからどうすればよいのだろうか。私は、この分野での会話の最後にはいつも、ペリー・カーペンターの「セキュリティ意識向上への取り組み」を手に取るよう勧めている。 変革するセキュリティ意識:脳科学者、ストーリーテラー、マーケターが教える、安全な行動を促すために必要なこと (a 殿堂入り より サイバーセキュリティ・キヤノン・プロジェクト).本書は、サイバーセキュリティ意識向上プログラムの有効性を高めようとする管理職やリーダーを正面から対象としている。
一見するとセキュリティ意識向上プログラムの取り組みとは関係なさそうな、堅実で関連性のある一握りの本です:ロバート・チャルディーニの 影響力説得の心理学; スイッチ変化が難しいときに物事を変える方法チップ・ヒースとダン・ヒースの兄弟著。 予想どおりに不合理私たちの決断を形作る隠れた力そして 見えないゴリラ:私たちの直感はいかに私たちを欺くか クリストファー・チャブリス、ダニエル・サイモンズ著。
世界観、ビジネス観、家庭観:既存のセキュリティ意識向上への取り組みをどのように構築または改善するかを検討する際には、これら 3 つの視点すべてを念頭に置いてください。
ベン・スミスについて
ベン(@Ben_Smith)はNetWitnessのフィールドCTOです。情報セキュリティ、リスク管理、ネットワーキング、電気通信業界で25年以上の経験を持つ。情報セキュリティ(CCISO、CISSP)、リスク管理(CRISC)、プライバシー(CIPT)の業界認定資格を持ち、NIST SP 1800-1、-3、-7の貢献者として知られ、Cybersecurity Canon Projectの議長を務めています。特許保持者であり、「すべての情報セキュリティ専門家が知っておくべき97のこと」[O'Reilly, 2021]のうち4つを執筆し、以前はNational Cybersecurity Center of Excellence (NCCoE)の企業代表を務めていた。