中小規模企業へのアドバイス
不確かな市場動向と厳しい予算にもかかわらず、多くの企業がリモートワークとクラウドコンピューティングを採用して、生産性の向上とコスト削減を実現しています。こうした企業は、顧客の需要に応じて容量をスケールアップ、スケールダウンできる価値を認識しており、自前のデータセンターを持たずに、従量制のサービスを利用しています。また、スタッフを支援し、信頼することが、彼らの適切な対応という成果につながっています。
スタッフとともに働いて、メディアが頻繁に取り上げる出来事を攻撃者がどのように悪用し、詐取や詐欺を行っているのかを説明してください。相手に合わせたたとえを使い、仕事以外の話にも結び付けましょう。
@le_rond | LinkedIn
データプライバシーとデータ保護の両方に配慮した対応には、特に緊張感を覚えます(この 2 つは相反関係にあると誤解されることがあります)。プロの犯罪者や日和見主義の犯罪者が、大規模なリモートエンドポイント資産と医療技術を狙うなど、脅威の状況が根本的に変化していますが、私たちはこうした状況にも対処しています。その上、少ないコストで多くを実行しなければならないという、経済的な重圧も感じています。
リモートワークを検討するときには、そのソリューションと管理を取り巻く状況をレビューします。この時期、多くのベンダーに次々と変化が見られました。それについては、同僚が非常に多くの経験を話してくれるでしょう。その情報を活用してください。同僚、IT 運用部門、スタッフのフィードバックを利用して、建設的かつ恒久的な変更に向けた戦略を策定しましょう。
それとは別に、透明性と信頼性は、あらゆるものの要となります。私たちは皆そう考えています。
@TrialByTruth | LinkedIn
クラウドの生産性向上ツールを導入したおかげで、技術的にはリモートワークへの移行を完了できました。
私たちに足りなかったものは、多くの組織と同じように、安全なリモートワークをチームに説明するための包括的なトレーニングでした。そこで、当社のツールを使用する新しいコースを設けて、関連するトピックを網羅しました。たとえば、仕事で使う個人のデバイスを最新の状態に維持する必要性、自宅の Wi-Fi を保護するためのガイダンス、ディスカッション、ドキュメントを自宅で印刷しても問題ないかどうかの確認などです。特に重要なのは、トレーニングが、一般的なヒントやベストプラクティスではなく、当社のポリシーや標準に固有の対応を学ぶものであったことです。
@davidshipley | LinkedIn
チームリーダーの 1 人が、月曜日から金曜日まで毎日開くリモート会議を設けて、それを「身だしなみを整える理由」と面白おかしく表現しました。その会議では、お互いを批判したりせずにのんびりと会話します。
また、相手の顔を見ながら、話に耳を傾ける必要があります。リモートワークでも以前と同じように結束しなければならず、パンデミックへの対応では、場当たり的な社内会議だけでなく、目的のある計画的な会議も開く必要がありました。
@rossamoore | LinkedIn
正直に言うと、セキュリティ意識向上プログラムは退屈で、参加意欲が失われるものでした。そう感じなくなったのは、その分野で、ゲーミフィケーションを採用したトレーニングやプログラムが見られるようになってからです。
長期的に見ると、セキュリティ意識向上の分野で大きく変わるのは、コミュニティベースのプログラムだと予測しています。特にリモートワーカーが増加すると、こうした変化が見られるでしょう。そう予測したのは、共通の目標を目指しているコミュニティにいれば、プログラムの本来の目的だけでなく、広い目で見たときに、自分の行動が与える影響を深く理解できるからです。
コミュニティベースのアプローチとは、単にスキルをチェックしたり、スキル習得を楽しいものにしたりすることではありません。人々の生活でサイバーセキュリティが果たす役割を積極的に変えていくことです。
@CyberFareedah | LinkedIn
私たちは、これまでとは違う時代に対応していますが、セキュリティ対策の導入は簡単に終わるものではないと認識することが重要です。今後の取り組みに最善を尽くすには、セキュリティを常に念頭に置く必要があります。
私がお勧めするのは、創造的になり、従業員がセキュリティを重視してくれる仮想イベントや活動の運営方法を考えることです。コロナ禍を悪用したフィッシングメールの増加を考えると、自分が置かれている状況に適応し、進歩することが重要です。サイバー犯罪者に付け入られる隙を見せないようにしましょう。
@drjessicabarker | LinkedIn
2020 年は、まさに「ブラックスワン理論」が当てはまる年でした。同じ名前の本で Nassim Nicholas Taleb 氏によって造られたこの用語は、まれではあるがきわめて影響力の大きい、非常に記憶に残る出来事を意味します。IT チームと IT セキュリティチームは、検疫が行われているにもかかわらず、組織としてセキュリティインシデントに適切に対応できるように、たゆみない努力を続けています。こうしたチームは、近い将来同じような対応を求められるでしょう。しかし、「ブラックスワンとは、まれに発生する予測不能なもの」です。
@jwgoerlich | LinkedIn
一般的な脅威に対する防御を強化する一方で、そうした万一の状況に備えた戦略を策定しなければなりません。こうした事態を「ガチョウ」と呼ぶことにしましょう。優れたセキュリティプログラムなら、ブラックスワンであれ、名前のわからないガチョウであれ、どのような鳥に対しても備えることができます。
取り組むべき課題が山積しています。エンドポイントとエッジでの制御を強化しなければなりません。配布したデバイスか BYOD か、オンプレミスインスタンスかクラウドインスタンスかにかかわらず、すべてのデバイスを詳細に可視化する必要もあります。
長期的には、事業継続とインシデント対応の能力を強化する必要があります。柔軟性と対応を重視すれば、現在の課題に対処しながら将来の課題に備えることができます。
セキュリティプログラムへの影響や、それらの変更が生じるという点で小規模企業に影響を与えるのは、コンプライアンス対応の増加です。セキュリティフレームワークの導入によるものであれ、法律によるコンシューマデータ保護に関するものであれ、コンプライアンス対応は今後増加します。
特に有効な小規模企業向けのアドバイスは、サイバーセキュリティのフレームワークと方法論を早い段階で導入することです。長い間ビジネスに携わっているなら、すぐに導入することをお勧めします。遅すぎることはありません。
セキュリティ関連の法律に精通した人がいれば、現在はもちろん、長期的に見ても非常に頼りになります。
@techwithtaz | LinkedIn
小規模企業は、予算やセキュリティガバナンス関連で多くの課題に直面する可能性があります。SMB は、「少ないリソースで多くの成果を実現しようとする」ことが多く、とりわけ、資金を割り当てる際にそうした対応を取ります。サイバーセキュリティと情報セキュリティでは、社内のプログラムに多くの投資を行い、セキュリティイベントやインシデントの防止、検出、監視、アラートを行ったり(当然ながら人的リソースの費用が発生します)、こうした業務をアウトソーシングしたりしています。さまざまな方法を組み合わせることもあるでしょう。最終的には、最も重要な資産(物理、論理、人やプロセスも含む)を特定して、重要度を基に保護の優先付けを行います。その際に非常に役に立つ可能性があるのが、ビジネスインパクト分析(BIA)とリスク評価です。これにより、ROI の向上につながらない対象に、早まって資金とリソースを割り当てなくても済みます。
LinkedIn
お勧めするのは、小さい規模で始めることです。そうした BIA とリスク特定のプロセスにまず着手して、IT とセキュリティに関しては、十分な情報に基づく意思決定を促進します。これを社内で管理、支援する専用リソースを用意して、適切な関係者と連携します。また、分析情報と推奨事項を最新に保ち、ビジネスの目標や目的に沿うように調整します。そうすることで多くの負担を軽減し、誤ったリソース割り当てを削減できます。
従業員がどこででも働ける環境が整い、企業情報や世界中でホストされているデータにアクセスできるようになりました。今後もファイアウォールが重要な役割を果たしますが、セキュリティの基盤となる技術は、ID と接続方法にシフトしています。それを認識することが不可欠です。接続のたびに認証を強制すること(ゼロトラストの導入)はもちろん、適切なアプリケーションとデータに安全に接続できるようにする必要があります。この新しい働き方でセキュリティを確保するには、それがきわめて重要です。
SMB にとって都合が良いのは、配信の仕組みとしてクラウドを活用するサイバーセキュリティ ソリューションが増えていることです。これにより、小規模な組織が適切なソリューションを、手頃な価格の従量制モデルで導入できます。また、社内にエンジニアリングの専門知識がなくても、リソースに制約のある IT チームで、総合的かつプロアクティブな統合セキュリティスタックを構築、管理することが可能です。
@Port53Tech | LinkedIn