今回は、組織の情報セキュリティについて、お話をしてみます。
さんぶらが考える、ざっくりした感じなんで、賢い先生はスルーしてね♪♪
あと、IT業界の方々は、日々精神すり減らして頑張ってるので、まじリスペクトです。
皆さんは、情報セキュリティっていうと、パスワード管理とかウイルス対策とか、そんなことを思い浮かべると思います。
もちろん、それも情報漏洩を防ぐ為の対策手法の一種ですが~
今回のお話は、もうちょっと大枠の部分のお話です。
企業や組織は、様々の情報を保有しています。
例えば、商品の設計図、顧客リスト情報などなど、
それらを、第三者の手に渡らないように、情報を守っていかなければなりません。
情報が漏れてしまうと、自社のノウハウが漏洩してしまったり、顧客の個人情報が漏れて、多大なご迷惑がかかってしまいます。
企業や組織が情報セキュリティ対策を進める前に、先ずやらなければならないことは、組織のトップや首脳陣がこの課題について本気で考えることにあります。
情報系の問題だから、システム部門に任せたよ!!
では、いけません。
なぜならば、末端の人間が本気にならないからです。
トップダウンで下ろさないと、
馴れ合いや、真剣見が無くなり、そこから情報漏洩が起こりやすいです。
・漏洩したら、会社やべぇぞ!
・倒産しちゃうぞ!顧客離れちゃうから、本気でルール守れよ!!!!って感じです。
対策を進めていくために、
先ずは、情報セキュリティ対策進める為に、組織のポリシーを掲げましょう!!
情報セキュリティポリシーの中で、組織が進めていく、対策の基本方針を掲げましょう。
基本方針の内容は、ネットに色々転がってると思うので、探して下さい…
そして、次に対策基準を作成していきます。ルールみたいな感じですね。
これも、国の偉い方が作成した例文がネットに転がってると思うので、探して下さい。
そして、ここで何が重要かというと、
先ず、組織の守りたい情報は、どんな情報があって、どこに、どんな風に保管されているのか?
ざっくりとでもいいので、洗い出して見てください。
・商品の設計図
・顧客情報
・従業員の個人情報
・人事関係資料
・自社HPの記事 などなど
そして、それらの情報は、どのくらい重要なのかを評価して下さい。
重要度→高→中→低 みたいな、A→B→Cでも、何でもいいです。
A→絶対漏れちゃだめ!倒産しちゃう!
B→漏れちゃだめ!詫びなきゃ詫びなきゃ!
C→公開情報やしな…まぁ一応守るか…
そして、それらの情報がどこに、どのような状態で保管されているのか、洗い出してみて下さい。
会社のサーバー?
従業員のパソコン中?
紙→キャビネット?
みたいな、
そして、それらを、漏洩から守る為に、必要になる対策基準を定めていって下さい。
・サーバーのアクセス権限厳しくしろよ!
・会社のパソコンで、エロサイト見るんじゃねえぞ!!
・家持って帰るなよ!どうせ無くすっしょ?おまえ!!
・キャビネットちゃんと鍵閉めろよ!!
泥棒入るっしょ?
みたいな、
そして、組織としての大枠を決めたら、
次に、各システムとか各部署とかの、グループ別に、実施手順書ってのを作る。
各部署とか各システムで、勝手違うっしょ?
なんで、末端の従業員でもわかるように、各部署用に、落としこんだ対策基準を作るんだ。
けど、ベースは、組織全体のルールの引用でいいよ。大変だし。。
けどけど、使ってるシステムも守る情報の形体も部署別に変わるから、各部署とか各システム単位の読み替えをしてあげるんだ~
これない組織多いよね~(笑)
だって、各部署の情報とか知らんし、各担当で勝手に作れよ!!→→
担当→作り方知らんし!!まぁ、また今度な‼
この状態多いよね。まあ、そうなるわな(笑)
なんで、ちょっと時間かかるけど、社内で何人かチーム作って、各部署担当と膝付き合わせて一緒に作った方がいいと思う。
んで、出来たルールを元に、運用して、その運用状態をチェックしたり、監査を受けたりするんだ~
監査人は、ヒアリングしたり、現場視察したりして、ルールの遵守状況を評価するんだ。
そこで、現状課題について助言もらったりして、またルールを見直したりして、改善して行くんだよね♪
PDCAサイクルとか言うよね♪
↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓
ここまで、大変だよね!!!!!
普通は、本業忙しいし、そこに人件費、カネ、時間割けないよね♪
ってのが本音で、儲かってて、余裕ある組織以外は、おざなりなるのが顛末。
なんで、当然ポリシー作ったりして、利害関係者に、やってますのよアピールは、必要と思いますが、
末端従業員の情報漏洩リスクの部分は、技術的に、縛ってしまうほうが、早いし楽と思う。
ITリテラシーとか低い方々が多いので、そもそもなぜリスクなのかが、わからない人は多いと思いますよ。
当然、情報システムの利便性を損なう縛りはあり得ないですけど。
そんで、それらの情報システムの大元サーバーとか基幹の部分に対して、運用面含めチェックを進めて、
けど、ヒューマンエラーにかかるリスクには、周知、教育を徹底してね。
情報システムとかって、所謂計算機の運用なんで、
計算機って、人間がやったら時間かかる計算を速く答え出してくれる機械じゃないですか?
シンプルな話し、そろばん弾くのめんどいから、計算機に計算させて答えだすんですよね?
人間が楽をする手段ですよね?
情報守る為に、人間(システム利用者)に手間と時間がかかるのは、本末転倒かなと…
まぁある程度は必要やと思いますけど。
そもそも、情報システムの導入とかも、
ITのメリットて、記憶・計算・距離の問題を考えることで、業務のどこに問題抱えてるかだいたい課題わかると思います。
→いっぱいメモリーさせて呼び出して
→計算させて答えだして
→遠くの人と共有して
だいたいこんな感じの繰り返しかと…
まぁ、話しはそれましたが、
結論、セキュリティ対策がうまくいく組織ってどんな組織?
→従業員皆が、その組織を愛している
そのコミュニティを無くしたくない!!!
と思い、トップダウンで本気出せば、人は動き、情報は守られる。
昨今は、縦割りで、それぞれが主張し、
いがみ合い良くない方向に進んでいる組織が多い。
お互い様の精神で、いっちょやってみましょう♪
皆さん、頑張って情報守って下さい♪
byさんぶら
