Smartbrain.ioの創設者兼CEOであり、シリアルアントレプレナーであり、リモートワークとリモートチームの熱心な推進者であるヴァシリー・ヴォロパエフが、自身の経験をForbes.comの資料で語った。
リンク先で原文を読むことができる。
適切なサイバー衛生を実践し、進化するサイバー脅威の最新情報を入手することは、組織内の全員の責任である。とはいえ、組織のデジタル資産を保護することに関しては、その専門性から、通常は技術リーダーが指揮を執ることになる。実際、専門的な知識とリーダーレベルの決断が必要な戦略もある。
それでも、全体的なセキュリティ・プロトコルには、技術的なソリューション、教育、チーム・メンバーのスマートな習慣が含まれる。フォーブス・テクノロジー・カウンシルの業界エキスパートが、すべての技術系リーダーが組織内で確立すべきプロトコルを1つずつ紹介します。
1.データ監査の実施
リーダーは、その存在を知らないものを守ることはできない。データ監査を実施し、保持しているデータの量と場所を確認することは、デジタル資産を保護するための第一歩である。自社のビジネス資産だけでなく、顧客やパートナーの個人情報も守ることになる。 – グラウンドラボ スティーブン・ケイビー
2.デジタル資産を重要度に応じて分類する
セキュリティ・プロトコルは悪意から保護するのに役立ちますが、デジタル資産に関しては、感受性のズレは致命的な問題です。重要度に基づいてプロパティを分類することは、インシデントを回避するのに役立つだけでなく、チームメンバーがデジタル資産を扱う際に細心の注意を払うよう促すため、どの企業にとっても重要なステップです。 – サヤンデブ・バネルジー、 TheMathCompany
3.ゼロ・トラストの採用
より多くの企業がクラウドに移行し、リモートワークを採用する中、多くの企業が確立されたセキュリティ戦略を超えた新たな脅威にさらされている。ゼロトラストは、アクセス認証のために物理的な場所を必要とせず、リモートで高レベルのセキュリティを提供する。これは特定の技術ではなく、むしろ、厳格かつ継続的な本人確認とクラウド上のデータの制御により、トラスト・ゾーンを最小化する戦略である。 – アレックス・クレスウェル、 タレス・グループ
4.デバイス管理ロールの作成
従業員のデバイスにインストールされているすべてのソフトウェア、API、アクセスに責任を持つスタッフを任命する。この担当者は、従業員が絶対に使用できない禁止ソースやプログラムのリストを作成する。次に、各メンバーに対して明確なセキュリティ・オンボーディングを実施し、月1回のチェックインを実施して、従業員が安全な接続を使用し、許可されたデバイスとフラッシュドライブのみを使用していることを確認する。
5.サイバーセキュリティの変化の調査に時間を割く
デジタル時代はペースが速く、新たなハッキングが電光石火の速さで出現する。そのため、効果的なだけでなく、常に進化し続けるソリューションが求められている。そのために不可欠なのが、複雑な問題を理解し、さらに解決するために定期的に時間を割くことである。そのためには、自己啓発に多大な努力を払い、サイバースペースにおける最新のイノベーションを常に把握する必要がある。 – アバランス・グローバル・ソリューションズ、 マナン・シャー
6.初日からサイバーセキュリティについて従業員を教育する
企業は最初から、セキュリティ・トレーニングを確立し、サイバーセキュリティの重要性を強調する文化を醸成しなければならない。CompTIAの 調査によると、セキュリティ侵害の52%は人為的ミスが根源となっている。全従業員に初日から継続的なセキュリティ・トレーニングを提供することは、企業がセキュリティ侵害のリスクを低減するのに役立つだろう。 – ルーク・ハン、 Kyligence Inc.
7.継続的なトレーニングプログラム
サイバーセキュリティに関する意識向上トレーニングを定期的に実施することが重要です。社内での役割に関係なく、全従業員が最新の侵害事例やその発見方法などについて最新の情報を得る必要があります。また、フィッシング演習も定期的に実施する必要があります。これらの戦略は、従業員の意識を高めるだけでなく、技術チームの効率も高める。 – TACセキュリティ、 トリシュニート・アローラ
8.多要素認証の導入
従業員がデジタル資産に広くアクセスできるようにすることを検討する際、大きな影響を与え、かつ過度に侵入されないプロトコルの1つが多要素認証である。これは、サイバー犯罪者がチームメンバーのデバイスを介して重要なデータにアクセスすることを困難にするステップを組み合わせたものである。多要素認証には、「あなたが知っているもの」(強力なパスワード)、「あなたが持っているもの」(携帯電話のトークン)、そして時には「あなたがいるもの」(生体認証)が必要だ。 – フォーティネット、 レニー・タルン
9.パスワードマネージャーの活用
従業員はお気に入りのパスワードを複数のサイトで使い回すことが多く、そのうちの1つのサイトに侵入されただけで、データが非常に脆弱なものになってしまう。複雑なパスワードを自動生成し、サイト間でパスワードを繰り返すことなく、その使用を管理するパスワード・マネージャーを使用することを強くお勧めします。パスワード・マネージャーを使えば、パスワードを忘れた場合でも簡単にリセットできる。 – スディア・バンダル、 インサイトリー・アナリティクス社
10.知的財産を守るために早めの対策を
多くの人がサイバーセキュリティの内部脅威の問題に注目しています。しかし、私の経験では、大企業も中小企業も、知的財産を創造するプロセスの初期段階で十分に特定できていないことが多い。特許プロセスを開始したり、知的財産に追加的な保護措置を設けたり、その市場価値を評価したりして、知的財産を適切なレベルで尊重するための時間を取っていないのです。 – ジョン・ウォルシュ、 レッド・サミット・グローバル
11.デバイス紛失時のプロトコルの設定
規模の大小にかかわらず、すべての企業は携帯電話を紛失した場合の対応手順を決めておく必要があります。携帯電話には、顧客や他の従業員に影響を与える可能性のある、企業に関する重要な情報が含まれているため、そのデータを保護することは極めて重要です。デバイスの紛失や盗難が報告されたら、企業は直ちにすべてのアカウントをログオフし、すべての機密情報を消去する必要があります。 – オリエント・ソフトウェア開発株式会社 Øyvind Forsbak氏
12.機密情報へのルールベースのアクセスを確立する
会社の資産が安全かつセキュアであることを確認することは、すべての従業員の責任であるべきです。同時に、各従業員は自分の仕事を遂行するのに役立つ情報にアクセスできなければならない。従業員は必要な情報だけにアクセスできるようにすべきである。ルール・ベースのアプローチが可能な解決策である。 – マニッシュ・ミッタル、オープンソース・テクノロジーズ社
13.使用していないコンピューターのログオフとシャットダウン
とても簡単なことですが、あなたの会社を大いに助けることができます:それは、従業員がデスクから離れるときはいつでもコンピュータをロックすることが非常に重要であることを理解させることです。私は、机が空っぽのオフィススペースで、コンピュータが稼働しているのをたくさん見てきました。 – エリック・トラボールド、 Nexkey, Inc.
14.機密データはクラウドのみに保存
シンプルなプロトコルの1つは、貴重な情報を個人のコンピューターやオンプレミスに保管しないことだ。すべての機密情報はパブリック・クラウドに保管すべきである。直感に反すると思われるかもしれないが、クラウドは圧倒的に安全な場所なのだ。最近、パブリッククラウドのハッキングがメディアで注目されているが、このような事件はプライベートクラウドのハッキングよりはるかに少ない。 – パトリック・オスティガイ、 アクセディアン
15.会社の専有情報を明確に特定する
わかりやすい1ページの文書で、会社が「専有」とみなすものの概要を明確に示す。新入社員は長い秘密保持誓約書に署名しますが、会社が何を構築しているのか、どのようにその保護に貢献できるのかを一人ひとりが理解できるよう、平易な表現を開発することが重要です。混乱を切り抜けるのが私たちの仕事です。 – STOPWATCH ミーガン・ボウマン
16.デバイス持ち込みプログラムの廃止
従業員が事業所から支給された機器のみを使用することを許可することは、デジタル資産を保護するためにすべての企業が確立すべき効果的なプロトコルである。こうすることで、会社は従業員のマシンに必要なセキュリティ対策が施されていることを保証できる。また、従業員は最新のフレームワークとアップデートが施された業務用機器を使用するため、責任感もより強くなる。 – ルビー・ラボ、 ロマン・タラノフ