情報セキュリティと殺されない環境

情報セキュリティの前提

新入職員向けにITスキル関係の講習をやっています。
第1回は「個人情報と情報セキュリティ」

個人情報は様々な形態で自分の周囲にあるから気をつけて。
パソコンがウィルスを検知したらまずはLANを抜いてまず隔離、その後に侵入経路を特定して対策するぞ。
まぁ、皆さん眠そうでしたがね。

情報セキュリティはインシデント(情報流出やコンピュータウィルス感染とか)が発生する前提で準備や対策をします。
常日頃から「気を付けて!」「発生したら組織にとって重大な信頼損失~」と散々脅します。

一方で、いざ発生したら。
「出ちゃったんだからすぐに報告しなきゃダメだろが!」「ヒヤリハットも報告だ!」
と、出したくないし出したいと言う、アベコベな事を求めている気もします。

でも、このアベコベが本当のところだと思います。

殺されない環境

あまり言われない本音を付け足して書くと、
インシデントを出さないようにみんなで気を付けましょう。
でも出ちゃったら原因と対策を考えるからちゃんと報告してください。(そりゃ怒るけど、殴ったりいじめたりしません)

ここで大事なのは()の部分です。
インシデント発生時は個人にも何かしら原因(後ろめたい事)がある事が多いので、可能なら隠したいと誰でも思うでしょう。
しかし、初期段階での報告がされないと、手の施し用が無い状態になって初めて露見する→新聞沙汰、なんて事になりかねません。
「言っても殺されない環境」が自身の社会人としてのモラルや責任を後押ししてくれると思います。

このように情報セキュリティは、不定期のインシデント発生を毎度真摯に反省し、新しいものにアップグレードされていきます。(いくのが理想)

全員が気を張り続ける限界

でも一方で「言ったら殺されるんじゃないの?と思わせる環境」になってしまう事もあります。

例えば、インシデントが発生しない日が連続で99日続いて、あと1日で100日達成だ!!の時とか。
それを聞いた組織のトップが「この組織はインシデントを全て撲滅した!」とか言い回っている時です。(こんな事言わないと思うけど)

こうなるとフェーズがちょっと変わってて、ネガティブな行動への批判が起こり、変な監視社会になります。

1日や1週間であれば気を張って対応できますが、1ヶ月や半年間ずっと気を張り続けることは人には不可能です。
中には予期せぬ事件(泥棒とか)や事故(天災とか)がインシデントの原因になる確率もあり、未来永劫ゼロが続くことはありえないのです。(それでもやるから尊いんだけど)

未発生が100日とか続いたら、報告されていないだけなんじゃないかとむしろアップグレードする。
このアップグレードは「言っても殺されない環境」になっているかの点検、改善、周知する事になるでしょう。

これら終わらなくて大変だ。

以上、情報セキュリティについて記載しました。

コメントを残す