朱に染まれば赤くなる。セキュリティ意識の底上げを楽に推進する方法
セキュリティ意識の底上げを図りたい。そう考える経営者、セキュリティ担当者は少なくないと思います。
それゆえに、講師を呼んで研修を実施したり、e-ラーニングで学んでもらうなど、様々な取り組みをしているかと思いますが、研修などを実施しても、当の社員は面倒くさがって流し聞きしたりして、肝心のセキュリティ意識はちっとも向上しない。なんていうこともあるかもしれませんね。
あなたの組織がもし、このような状況にあるなら、試してみる価値がある方法が一つあります。
進学校に通う子供は、何故、ハイクラスの大学に入れるのか?
世間で進学校と呼ばれる学校に通う子供は、そのほとんどがハイクラスの大学に進学することはご存じの通りです。
それ故に、親は子供に「お受験」をさせてでもハイクラスの学校に通わせたいと考えるわけですが、進学校に通う子供たちが、何故、ハイクラスの学校に進めるのか?と言えば、先生のレベルが高いとか、塾に通わせているからとか、その理由は色々あるでしょうが、最も大きな要因は、
ハイレベルの勉強をすることがあたり前の生活をしているから。
でしょう。習慣としてそれがあたりまえになっているから、あたりまえのこととしてそれを行う。
そして、それを行うから、それがあたりまえのこととなっていく。そういうものです。
これは何も勉強だけに限ったことではありません。スポーツだって何だってそうです。ブラジルが何故サッカー王国と呼ばれるのか?を考えてもらえば、合点がいくと思います。
しかし、逆も真なりです。
習慣としてそれがあたりまえになれば、それがあたりまえのこととして行われる。これを悪い方向に転用すると、例えば、犯罪者集団に混じって日々暮らしているような子供は、犯罪を犯すことに何の罪悪も感じなくなり、自身も犯罪者となる。というのは、よくある話です。
良くも悪くも、習慣としてあたりまえになったことは、その習慣の中で暮らす人々の「知識」も「意識」も「行動」も変えてしまう。というわけです。
冒頭に述べた「試してみる価値のある方法」とは、まさにこの真理の応用で、
従業員全体のセキュリティ意識を高めたいのであれば、セキュリティ意識が高まるような環境に身を置くようにしてしまえばいい。ということで、逆に言えば、セキュリティを意識しないような環境に浸りきってしまうことを許すべきではないということになります。
セキュリティに関する情報や体験に触れることをあたりまえにしてしまいましょう
セキュリティ研修というと、年に1度だけとか、たまにそういった情報に触れさせるというやり方をしている組織もあるかもしれませんが、これを年に1度とかではなく、毎日のように触れる機会を提供し、情報セキュリティについて見聞きすることをあたりまえのこととしてしまうのは、効果の見込める方法です。
覚えようとしなくても、毎日聞かされていたら、イヤでも覚えてしまう。そういうものだからです。
組織の中で、それがあたりまえのこととなってしまえば、それは自然と組織の文化になります。組織全体がそうなっていれば、新しい人が組織に入ってきても、周りがそうなので、自ずと周りと同じ習慣が身についてしまいます。
この善循環が出来上がると、経営者やセキュリティ担当者が苦労してセキュリティ意識の底上げを図ろうとしなくても、組織全体のセキュリティ意識が勝手に高まっていくようになります。
あなたが楽にセキュリティ意識の底上げを図りたいと思うのなら、組織にそうなるエンジン(善循環の仕組み、いわゆる習慣)を組み込んでしまえばいいのです。
そのためにあなたがやるべきことは、そう難しいことではありません。とにかく、情報セキュリティに関することに、毎日のように触れさせることです。標的型メールを体験させることも、その一つの方法です。
あなたの組織では、「これって標的型メールじゃない?」といった会話が、社員同士で普通に交わされるようなシーンを想像できるでしょうか?
「標的型メール?何それ?」そんな会話になってしまうようなシーンしか想像できないようなら、あなたがやれることはきっと沢山あると思います。
→次の記事へ( 模擬のマルウェアを開いてしまった人と、座学による教育研修の相関は・・・ )