なぜセキュリティトレーニングが重要なのか?
英国での情報漏えいは、組織1回あたり平均290万ポンドのコストをかけました。
違反の82%は人的要因に関係しています。
これらの事実だけでも、通常、サイバーセキュリティ意識向上トレーニングがデータ保護にとって重要であることを人々に納得させるのに十分です。
2020年にサイバーセキュリティトレーニングまたはセキュリティ意識向上プログラムを非サイバー従業員に提供した企業は9社に1社(11%)でした。
これは、デジタル文化メディアスポーツ省の最近のサイバーセキュリティスキルレポートによるものです。
トレーニングが行われる場合、通常は必須として、従業員全てが受けるべきです。
しかし、民間企業の30%では、必須とはなっていないようです。
つまり、サイバーセキュリティ意識向上トレーニングが情報セキュリティにもたらすメリットについては、まだ多くの人が理解していないとも言えます。
サイバーセキュリティに対するトレーニングが必要とされる理由は次の7つのとおりです。
1. データ侵害とフィッシング攻撃を防ぐため
最も明白な情報セキュリティ意識向上トレーニングの効果は、侵害を防ぐのに役立つということです。
もちろん、セキュリティ意識向上トレーニングプログラムが防止する違反の数を定量化することは困難です。
理想的なサイバーセキュリティの世界では、トレーニングを受けた人と受けなかった人を比較を実施することができます。
しかし、それはほとんどの組織にとって難しいことかもしれません。
できることは、セキュリティ認識ソフトウェアの投資収益率(ROI)を実証することです。
どのように実証すればよいのでしょうか?
サイバーセキュリティ意識向上活動前後のインシデント数を比較することが挙げられます。
結果のメトリックは、ROIの指標を収集するために使用できます。
ただし、セキュリティ意識向上トレーニングは比較的安価であるのに対し、データ侵害には数百万ドルの費用がかかる可能性があることを計算する必要はありません。
2.セキュリティの文化を構築する
セキュリティの文化を発展させることは、最高情報セキュリティ責任者(CISO)の目標の一つとして長い間、考えられてきました。
しかし、その目標を達成するのは非常に難しいことです。
セキュリティ意識向上トレーニングの助けを借りて、より多くの組織が正しい方向に向かっています。
セキュリティの文化を構築することは、セキュリティの価値をビジネスの構造に組み込むことを意味します。
状況認識(なぜ誰かが危険にさらされる可能性があるのか)に加えて、仕事と家庭生活の利益を守るるトレーニングは、人々を積極的にさせる良い方法です。
高度なトレーニングプラットフォームは、セキュリティの文化を監視および開発するのに役立ち、ソーシャルエンジニアリング攻撃に対する最初の防衛線になります。
3.サイバー脅威に対する技術的防御をより強固にするため
技術的防御は、侵害を防ぐための貴重な武器です。
しかし、技術的防御には人々からのインプットが必要です。
ファイアウォールをオンにする必要があります。
セキュリティ警告を確認する必要があります。
ソフトウェアを更新する必要があります。
今日、技術的な防御なしで事業を行うことを夢見ている企業はほとんどありません。
それでも、セキュリティ意識向上トレーニングとサイバーセキュリティ教育がなければ、技術的防御はその潜在能力を発揮できません。
今日の攻撃者は、技術的な手段だけでビジネスを攻撃しようとすることはめったにありません。
今日の攻撃者は、保護されたネットワークへの簡単な方法と見なされているため、通常、人々を標的にします。
4.顧客から信頼を得るため
消費者はますますサイバー脅威に気づいています。
そして、お客様として、安心・安全を求めています。
つまり、サイバーセキュリティを向上させるための対策を講じる企業は、消費者の信頼を生み出すことを意味します。
そして、信頼できるビジネスが顧客のロイヤリティを育むことは誰もが知っています。
これは推測ではありません。
Arcserveによる最近の調査によると、消費者の70%は、企業がサイバーセキュリティを確保するのに十分なことをしていないと考えています。
また、消費者の3人に2人は、過去1年間にサイバー攻撃を受けた企業との取引を避ける可能性があります。
たとえば、エンドポイントセキュリティの侵害、フィッシング攻撃、ソーシャルエンジニアリング、データ侵害は、消費者の心に危険信号をもたらす可能性のある一般的なセキュリティインシデントです。
明らかに、顧客はセキュリティクレデンシャルに注意を払っています。
セキュリティ意識向上トレーニングを導入すると、顧客はあなたをより責任があると見なし、それはあなたのビジネスにのみ利益をもたらすことができます。
5.コンプライアンスのために
明確にするために、コンプライアンスだけではセキュリティ意識向上トレーニングを導入する理由にはなりません。
規制に準拠するためだけにトレーニングを導入する場合は、おそらく最低限のことをしていることにすぎません。
それでも、ますます多くの規制当局が特定の業界にセキュリティ意識向上トレーニングの実施を要求しています。
「あらゆる規模の企業は、取締役会からすべての従業員に至るまで、「セキュリティ文化」を発展させる必要があります。
サイバーセキュリティは共通の責任であり、私たちはこの重要な問題について国内外の政府や他の規制当局と協力して、この脅威に対処するために協力的なアプローチを取ります。
コンプライアンスは、セキュリティ意識向上トレーニングの副産物となる可能性があります。
適切なトレーニングコンテンツを導入することで、組織はより安全になり、多くの業界で規制要件を満たします。
6.企業として社会的責任を果たすこと
WannaCryとNotPetyaが2017年に実証したように、サイバー攻撃は急速に広がる可能性があります。
感染するネットワークが多いほど、他のネットワークのリスクが高まります。
そして、あるネットワークの弱点は、他のネットワークに対する全体的な脅威を増大させます。
つまり、ある組織にセキュリティ意識のトレーニングがないため、他の組織は脆弱になります。
隣人の家の鍵を預かっている家のドアのロックを解除したままにしておくのと少し似ています。
セキュリティ意識向上トレーニングは、あなたに利益をもたらすだけではありません。
それはあなたの顧客、あなたの供給者そしてあなたのネットワークと相互に関連している他のすべての人に利益をもたらします。
7.従業員の福利を改善するため
幸せな人は生産的な人であることが十分に文書化されています。
したがって、セキュリティ意識向上トレーニングは、人々の安全を確保するだけではないことを覚えておく価値があります。
また、サイバーセキュリティの脅威、フィッシング、ソーシャルエンジニアリングから個人的な生活を守ることができます。
サイバーセキュリティ意識向上トレーニングが脅威防止で行うはずのことを実行する場合、それは雇用主の利益だけではないことを忘れないでください。
従業員の福利厚生とも考えることができるのです。
セキュリティトレーニングは、こちら
セキュリティコンサルティングは、こちら