2. 意思決定権限を見直す
IT系の従業員は恐らく、アップデートの必要性を把握していたものの、上層部の指示に従って実行しなかったのだろう。問題は、この上層部による意思決定の基準だ。
もちろん何万台ものコンピューターをアップデートすればコストがかかるが、しなくてもコストはかかる。あるいは、時間が問題だったのかもしれない。全コンピューターが同時にアップデートしないよう、時刻をずらしてスケジュールを組むのはもっともな判断だ。
重要なのは、混乱を機に意思決定基準を見直し、次に備えること。意思決定基準を理解すれば、部下に自主性を持たせて、事業を前進させる決定を任せることができる。そうすればあなたには時間の余裕が生まれ、自分ができること、そして自分しかできないことに集中できる。
3. 学習プロセスを評価する
サイバー攻撃を受けた後、自社の文化やコミュニケーションプロセス、全レベルのリーダーシップを見直し、学習プロセスの評価を行うこと。多くの企業が継続的に学ぶ組織を自負しながらも、フィードバックループやアフター・アクション・レビュー(AAR、行動後の振り返り)、週次従業員業績評価といった継続的な学習の仕組みを採用している企業は、ほとんどない。
これら3つの仕組みはいずれも、インプットとアウトプットの差をできる限り埋めるための意識を醸成するプロセスだ。この差が小さいほど、自分たちが今何をしているのか、そして何を改善する必要があるのかに早く気付くことができる。
4. 自社の文化を見直す
米ヤフーが、サイバー攻撃による情報流出を2年間にわたり隠し、主力事業の一部を売却しようとしていたときでさえも公表しなかったことを思い出してほしい。これは、同社の気風をはっきり示す例だ。自社の企業文化とオペレーション方法を評価する際は、そこに存在する信頼の度合いを正直に考慮すること。信頼なくして関係は築けず、関係なくしてビジネスはない。シンプルな話だ。
人間が関わっている以上、ヒューマンエラーは必ず起こる。そのため、サイバーセキュリティーは技術的な問題のみならず、人的な問題でもあるのだ。最善の解決策は、学ぼうとしないというヒューマンエラーを修正することだ。
