セキュリティの重要性は解っていても、実際どうすれば。。。という企業はたくさんあります。一番重要なのは、従業員への教育です。では、従業員への教育はどのようにすればいいのでしょうか?
よくあるパターンでは、決められた教材を読み上げるだけのつまらない教育です。会社としては帳面消しとはなるものの、実質的な意味がありません。
セキュリティでは、1人十分な知識を持たない者がいるだけで、そこが重大なリスクになり得るからです。では、どのような研修をすればいいのでしょうか?
①関心を引くプログラム
これが一番重要です。自分の利益にならない研修というのは、つまらない研修になります。セキュリティというのは自分への足かせにもなりかねます。そのため、基本的には従業員はマイナスのイメージを持っています。
そこで重要なのは、興味を引くことです。一方的に押しつけるのではなく、従業員の立場に立って話をします。また、実際の自分が経験したインシデントを離すのもいいと思います。
②最新の情報の提供
セキュリティ研修でよくあるのは、資料の使い回しです。新たな情報が無いと、人は話を聞かなくなります。最新の情報を提供することにより、興味を持ってくれる可能性もあります。
③伝え方
セキュリティ研修と言いますが、研修という形式をとる必要はありません。例えば、ランチの時に「○○っていう事案があったらしいよ。気をつけようね。」という一言だけで、セキュリティに対する意識が変わります。
④効果の測定
実際にセキュリティ研修を行ったとしても、実際どの程度身についているか解らない場合もあります。研修後に筆記試験で確認する場合もありますが、試験となると、正しいと思う答えを人は書きます。重要なのは、実際に発生した際にどうするかと言うことです。例えば、架空のフィッシング攻撃を実施したりします。場合によっては、取引先に協力してもらうこともあります。
まとめ
セキュリティ研修はコストと思われていますが、行わなければリスクを低減することができません。しかもそのリスクは会社経営を傾ける虞があるものです。自社で実施できないというときは、セキュリティの専門家に協力してもらうということも重要です。
ライトハウスコンサルタントでは、依頼があれば情報処理安全確保支援士というサイバーセキュリティの専門家がセキュリティ教育を行います。相談は無料ですので、「お問い合わせ」からお気軽にご相談ください。