訓練実施を組織戦略として捉える
標的型攻撃メール対策訓練の実施というと、「セキュリティ教育」の一環としてのみ捉えられている感があり、セキュリティ教育なら何も訓練なんて実施しなくても、eラーニングとかで十分じゃないの。と思われている方も多いのではないかと思います。
しかし、実際に訓練を実施された方は実感されていると思うのですが、実際にやってみると、色々と見えてくることがあります。
例えば、訓練の企画段階で関係者を集めて協議を行えば、セキュリティに関する知識や意識にだいぶ違いがあることがわかったり、また、訓練を実施したら実施したで、各組織の対応がバラバラだったりと、eラーニングをやっただけでは絶対に見えてこないようなことが幾つも出てきます。
会社の中で、全社イベントとして実施できることというのはあまり多くありません。昔なら運動会とか社員旅行といったものがありましたが、今時はさすがに流行りません。
全社イベントがなくなってくると各部の交流も少なくなるので、風通しが悪くなってきます。各部署がそれぞれの想い・考えで物事を進めるようになるので、一つの方向を見て進んでいくということができなくなります。これは組織が進むべき方向として良い方向でないとは誰しも思うものの、各個人ではどうしようもないこと。とも思うはずです。
訓練実施の直接の目的は「標的型攻撃に備えること」ですが、全社イベントとして組織横断で実施ができる機会というのはなかなかないだけに、こういった機会を組織間の連携を強化する良い機会として、また、各組織においては「報連相」がスムーズに行われる体制をメンテナンスする良い機会と捉えれば、訓練を通して何をやるべきか?を考える視点も変わってくるはずです。
訓練を実施する理由を役員にどう説明したら良いか?と聞かれることがありますが、もし、そういった理由を考えるのに困っているようでしたら、訓練実施を組織戦略として捉え直していただき、訓練を実施する過程の中で得られることに目を向けてみて下さい。
組織内における効用だけでなく、外に目を向けた時の効用についても考えてみると、また、色々考えられるかと思います。例えば「訓練実施によって常にセキュリティ意識の強化を図り、企業としての信用維持に努めています」と謳えば、ブランド構築やリクルート対策にも役立つのではないでしょうか?
→次の記事へ( セキュリティ対策はシステムでやれば十分?それとも不十分? )