サイバーセキュリティに関して、リーダーは組織を守る上で従業員が果たす役割を見過ごすわけにはいかない。多くの場合、従業員は主に問題の一部と見なされがちである—特にフィッシング、ランサムウェア、内部脅威がますます巧妙化する中で。しかし、適切なトレーニング、ツール、企業文化があれば、従業員は企業のサイバーリスクに対する最も効果的な防御の一つになり得る。
ビジネスのあらゆるレベルで意識と責任感を育むことで、リーダーはチームメンバーを、脅威をより早く特定し、より効果的に対応し、機密情報保護において中心的役割を果たす積極的な参加者に変えることができる。以下では、Forbes Technology Councilのメンバーが、従業員をサイバーセキュリティの積極的なパートナーに変えるための実践的な戦略を概説する。
1. シャドーITを監査し、安全なアクセスを簡素化する
非難せずにシャドーITを監査し、それを引き起こす摩擦を取り除く。安全な方法が最もシンプルであれば(シングルサインオン、合理的な多要素認証、事前承認されたツール、明確なガードレール)、人々はそれを選ぶだろう。簡便さと短時間のマイクロトレーニング、フィードバックループを組み合わせれば、従業員は回避策ではなく味方になる。- Tayfun Bilsel, Clinked
2. 現実的なセキュリティシミュレーションを実施する
セキュリティトレーニングを講義ではなく実世界のシミュレーションとして実施する。従業員が安全な環境でフィッシング攻撃を体験し、自分の選択の影響を目の当たりにすると、彼らは受動的なルール遵守者から能動的な防衛者へと変わる—「最も弱い環」を最前線の防衛ラインに変えるのだ。- Ro'ee Margalit, Rotate
Forbes Technology Councilは、一流のCIO、CTO、テクノロジーエグゼクティブのための招待制コミュニティです。参加資格を確認する
3. あらゆるレベルにセキュリティ文化を浸透させる
従業員が最も弱い環であるというのは本質的に真実ではない。多くの場合、彼らは不明確なプロトコルや共有責任の欠如など、セキュリティ文化の欠落部分を反映している。彼らを真のパートナーにするには、サイバーセキュリティがミッションの一部でなければならない—業務に組み込まれ、経営幹部から最前線まで強化され、あらゆるレベルでモデル化される文化を作り出すのだ。- Grayson Milbourne, OpenText
4. パスワードレスツールと自動認証情報ローテーションを活用する
従業員の能力強化は、安全なアクセスの簡素化から始まる。パスワードレス認証や自動認証情報ローテーションなどのツールは、認知負荷と摩擦を減らし、バーンアウトを防ぎながらセキュリティを強化する。従業員が扱いにくいアクセスプロセスに圧倒されなければ、より集中し、生産性が高まり、脅威が広がる前に発見する能力も向上する。- Fran Rosch, Imprivata
5. 「セキュリティストーリーテリングサークル」を実施する
従業員が定期的にチーム内で個人的または観察したサイバーセキュリティインシデントと学んだ教訓を共有する「セキュリティストーリーテリングサークル」を立ち上げる。これによりリスクが人間化され、共感が構築され、抽象的な脅威を関連性のある実行可能なプラクティスに変える仲間主導の意識が生まれる。人々がセキュリティを集合的な物語として捉えると、彼らは当事者意識を持ち、積極的なパートナーになる。- Jagadish Gokavarapu, Wissen Infotech
6. 単発的なトレーニングから継続的な関与へ移行する
セキュリティとは、害を防ぎながら業務パフォーマンスを可能にすることである。最も実践的な戦略は、単発的な「チェックボックス」トレーニングから継続的な関与へと移行することだ:ライブシミュレーション、定期的な脅威ブリーフィング、報酬システムでチームメンバーをサイバー防衛の中心に置く。これにより従業員はサイバーセキュリティを自分のミッションと捉える積極的なパートナーになる。そこで初めて真の成果が得られる。- Shane O'Donnell, Centric Consulting
7. 役割に特化したマイクロラーニングを組み込み、積極的な報告を奨励する
私の意見では、権限を与えられた従業員は受動的なリスクから積極的なサイバーセキュリティの味方に変わる。GRCとSaaS業界での私の経験に基づくと、役割に特化したジャストインタイムのマイクロラーニングを組み込み、積極的な報告を奨励することで、共有責任の文化が構築される。学習を超えて、サイバーセキュリティを取り巻く文化は非難からパートナーシップへと移行しなければならない。- Ramachander Rao Thallada, Manulife
8. 多層防御アプローチでヒューマンエラーの影響を軽減する
一般的な意見に反して、人間は常に最も弱い環であり続ける。なぜなら間違いは避けられないからだ。我々は人間であり、エラーなしに機能するよう設定することはできない。重要なのは、補完的な制御を通じて影響を軽減し、真の多層防御アプローチを構築することで、人的ミスが完全な侵害になるのを防ぐことだ。人的ミスを排除することはできないが、それを考慮した設計は可能だ。- Zach Fuller, Silent Sector
9. ターゲットオーディエンスに関連するサイバーセキュリティを提供する
サイバーセキュリティは他のすべての機能やビジネスユニットとマインドシェアを争っている。人事、財務、マーケティングなど、すべてのチームがメッセージを共有し、支持する目的がある。最も効果的な戦略は、サイバーセキュリティをターゲットオーディエンスにとって現実的で関連性のあるものにすることだ。ニュースレターで最新のゼロデイ脆弱性を伝えるよりも、対面で実際の事例を共有する方がはるかに効果的である。- Craig Burland, Inversion6
10. 「サイバー反射神経」を育成する
最大の侵害はコードではなく、文化にある。チェックボックス式のトレーニングを「サイバー反射神経条件付け」に置き換える:安全な行動が呼吸のように自動的になるまで、業務の流れの中でAIによってパーソナライズされたマイクロドリルを提供する。警戒心が筋肉の記憶になると、人々はリスクではなく、企業のデータを守る盾になる。- Anusha Nerella
11. 魅力的な教育とゲーミフィケーションを活用する
重要な戦略は、継続的な教育とゲーミフィケーションを通じて積極的なセキュリティ文化を育むことだ。これにより、セキュリティは受動的なコンプライアンス作業から積極的で協力的な取り組みに変わる。例えば、短い音声「今週のテク脅威」ポッドキャストで最近のフィッシング戦術を紹介することで、魅力的でアクセスしやすい形式でセキュリティを常に意識させることができる。- Harshal Shah
12. 各部門に「セキュリティチャンピオン」を設置する
各部門からボランティアを募り「セキュリティチャンピオン」を作る。彼らは自分の機能に特化した脅威について毎月トレーニングを受け、その後短いチームハドルをリードし、実例を共有する。ピアツーピアの学習は、IT部門の命令が失敗する場所で信頼を構築する。チャンピオンは罰則ではなく指導を伴うシミュレーションを実施し、心理的安全性を創出する。結果として、従業員は不本意なコンプライアンス遵守者ではなく、誇り高い防衛者になる。- Natasha Bryan, AlphaRidge
13. 安全な行動を追跡し報酬を与える
サイバーセキュリティにおける本当の弱点は人々ではなく、人間の行動と長期的なセキュリティ成果を整合させることに失敗するシステムにある。企業はこれを、安全な行動を追跡し、それをトークン化されたパフォーマンス指標に結びつけるAIを統合することで変えることができる。良い習慣が測定可能な形で報酬を与えられ、組織全体に拡大されると、すべての従業員が積極的な利害関係者になる。- Charles Morey, MobilEyes Inc.
14. 「SCARE」から「CARES」へ移行する
私はSCAREからCARESへの移行を使用している:ストレス、混乱、不安、抵抗、自我から、コミュニケーション、適応、関係性、権限付与、冷静さへの移行だ。この移行は恐怖を当事者意識に変える。人々が情報を得て、サポートされ、権限を与えられていると感じる文化を作り出すと、サイバーセキュリティは共有責任になる。これはツールだけの問題ではなく、マインドセット、信頼、日常的な習慣の問題なのだ。- Saby Waraich, Clackamas Community College
15. トレーニングを実践的で身近なものにする
従業員を強力なサイバーセキュリティパートナーに変える一つの方法は、トレーニングを実践的で身近なものにすることだ。長い講義の代わりに、実際のフィッシングシミュレーションや練習訓練を使用する。人々が攻撃が実際にどのように起こるかを見て、それを発見して阻止する練習をすると、より自信を持ち、積極的に会社を保護するようになる。- Harvendra Singh, Publix Super Markets Inc.
16. ID・アクセスガバナンスを日常業務に統合する
人々は必ずしも最も弱い環である必要はない。実際、人々は最強の防御になり得る。一つの実践的な戦略は、ID・アクセスガバナンスを日常のワークフローに統合することだ。従業員に自分のアクセス権の可視性と、それらとセキュリティ設定を定期的に確認するプロンプトを提供することで、組織は意識、説明責任、共有責任の文化を育む。- Peter Hill, Gathid
17. 行動設計を通じてセキュリティを労力不要にする
行動設計を活用する:ベストプラクティスを自動化し、安全性を優先するデフォルト設定で意思決定を簡素化し、タイムリーでパーソナライズされた促しを提供することで、セキュリティ習慣を日常業務に統合する。これにより警戒心への依存を最小限に抑え、安全な行動を労力不要な標準にし、人々をリスクから回復力のあるセキュリティ資産に変える。- Katerina Axelsson, Tastry
18. 定期的な役割ベースのトレーニングを提供する
人々は生来最も弱い環ではない—企業は定期的な役割ベースのセキュリティトレーニングを通じて彼らに力を与えることができる。一般的なセッションを超えて、カスタマイズされたガイダンスはチームが日常業務における実際のリスクを理解するのに役立つ。これにより意識、自信、脅威の特定と防止に対する積極的なマインドセットが構築される。- Ilakiya Ulaganathan, JPMorganChase
19. 安全な行動を強化するタイムリーなプロンプトを開発する
鍵となるのは、単発のトレーニングから継続的で文脈に即した意識の文化への移行だ。従業員の日常業務の流れにマイクロラーニングの瞬間を組み込む—最も重要な時に安全な行動を強化する簡潔でタイムリーなプロンプトだ。人々がリスクと自分の役割の両方を理解すると、彼らは受動的なターゲットから企業のデータを守る積極的な障壁へと変わる。- Jason Lapp, Beautiful.ai
20. セキュリティ演習への参加を奨励し認識する
サイバーセキュリティにおいて「人々が最も弱い環である」という考えは一般的だ。しかし、適切なアプローチがあれば、人間は組織の最前線の防衛になり得る。セキュリティを従業員の日常業務に統合し、セキュリティ演習への参加を奨励する。貢献した人々を公に認識する。従業員が自分の役割を重要だと認識すると、彼らは積極的で警戒心の高い防衛者になる。- Kaushik Bhattacharjee, CHARTER COMMUNICATIONS INC.
