スポンサーサイト




上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

コメントの投稿

秘密にする

企業を危うくするセキュリティ -- 10の「やってはいけないこと」




長々と書いてありました。
眠いので、うつらうつらと読みました。



NG1:ささいな技術的慣行が情報漏洩のきっかけに
NG2:情報入力を促すサイトに何ら疑問を持たない従業員
NG3:ビジネス・パートナーを信頼しきってしまう
NG4:セキュリティ・フィルタをバイパスするWebアプリが情報漏洩の“窓口”に

NG5:必要のないデータを理由もなしに残す
NG6:“特効薬”は真の脅威を隠し、企業はそれに気づかない
NG7:どのITシステムにも同レベルのセキュリティ・リソースを投入する

NG8:情報漏洩がいずれ起きるとわかっていても、対策は後手
NG9:漏洩の詳細を把握する必要があるのに、だれもその役を引き受けない
NG10:漏洩情報が不必要に広まり、原因究明などが困難に



整理すると、
1~4は、従業員のミス・甘さに起因して生じる問題点。
5~7は、システム的な問題点。
8~10は、事後における、拡散や原因追究での問題点。
となるでしょうか。

1は、従業員の、アプリケーションなどの使い方ミスによって生じる問題。
2は、従業員の、アカウント・パスワードなど、重要度の高い情報の管理ミスによる問題。
3は、従業員の、アウトソーシング・パートナーなど外部への提供情報管理の問題。
4は、従業員の、外部持ち出しへの意識の欠如から生じて起こりうる問題。

5は、企業全体の、情報管理の水準の甘さの問題。
6は、企業全体のセキュリティ管理が、客観的に充足していることで満足して生じる問題。
7は、企業全体のセキュリティ管理が、内部で最適化されていないために生じる問題。

8は、事後に、情報不足から後手に回って生じる問題。
9は、事後に、専門的に問題に向かう機能が不備であるため生じる問題。
10は、事後に、拡散する因子を特定できないことにより生じる問題。

このような感じでしょうか。


加えて、最後にセキュリティ・ポリシー条文についての記述もありましたが、
ぶっちゃけ守っていてはまっとうに仕事が出来ないことも多いのではないでしょうか。
現場を見ずに作っているセキュリティ・ポリシーがどれだけ多いのかが気になります。
ですが、これら全てをきちんと注意する体制が整っていることが大事というのは尤もです。

ただし日本の現状では難しそうです。ある会社では・・・
外部へのファイル持ち出しを制限するため、業務PCに特殊なソフトを入れることになりました。
持ち出しファイルを特殊な形式で圧縮し、パスワードをかける方式です。
そのソフトを導入したための弊害で、業務用のPCではCD/DVDドライブで書き込みが出来なくなりました。
結局業務に使うPCでは、客先で送付する企画書や報告書をCDに焼くことも出来ず、
社内LANで、そのソフトの導入対象ではなかったサーバー用のPCへとファイルを移動させ、
そのPCで焼くという手間が生まれました。

現場を考慮に入れた検討もせず一元的に導入すると、無駄が生じます。
NG7の、「軽いところまで重くする」というニュアンスの弊害でしょうか。

セキュリティ強化・コンプライアンスというのは、企業(特に法務総務など)の永遠の悩みでしょう。
ですが、自分達の現状(特に現場)に合ったレベルでの検討が欠けているように思えます。


あとセキュリティーポリシー似関連して、プライバシーポリシーというものもありますが、
実際のところ、きっちり守っている・知っている従業員は殆どいないのではないでしょうか。
理解は出来ていても、照らし合わせて仕事をしているなんて無理でしょうし。

結局のところは、甘くなりそうな部分なり欠けている部分なりを分析検討して、
達成できる範囲内で継続的に導入したほうが、コスト効果が高いのでは
ないでしょうかね。


とりあえず経験から感じたことは、
PマークやISO9000を取得しているからといって、全面的に信用するのは危険ですね。


記事:http://www.computerworld.jp/topics/vs/109289.html
スポンサーサイト

コメントの投稿

秘密にする
HOME

スポンサードリンク

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。