オーストラリア:政府サイトからの個人データ漏洩の原因は,政府職員に対するセキュリティ教育のひどさにある?
下記の記事が出ている。
Australian Government Data Breach Linked to Poor Security Training
eSecurity Planet: November 20, 2014
http://www.esecurityplanet.com/network-security/australian-government-data-breach-linked-to-poor-security-training.html
セキュリティ教育や組織内研修等を完全に実施しても対応できない問題が多数ある。また,教育や研修が原理的に全く無意味または機能しない事柄もある。更に,個人の資質の問題として,教育や研修が機能しない場合や逆効果の場合もある。
このようなことを考えると,教育や研修等の必要性や重要性は否定しないけれども,ただ,教育や研修等を形式的に実施することだけで自己満足するような姿勢がいかに危険なことであるかを理解することができる。教育や研修等の必要のない者や逆効果の者に対しては実施しないほうがベターな選択だ。
複数の異なる構成要素を組み合わせた総合的な対策が求められる。
明治大学ではそのように教えているのだけれども,敏感に反応して理解できる学生の数は必ずしも多いとは言えない。更に改善の余地があると反省しつつ日々研究・・・
(追記)
以前にも書いたことだが,研修担当者の適格性は(いかなる場合においても)全く保証されていないので,そもそもその効果を測定することが不可能な問題の部類に入るということも忘れてはならない。
私は,組織内に適切な能力を有する者が複数存在する場合には,それらの能力を柔軟に組み合わせ,オンジョブによる測定と随時修正を継続的に行うことが最も効果的だと考える。
しかし,たいていの場合,組織のトップが劣悪である場合,そのようなトップは何が必要であるのかを理解しようとせず,ISMS等の形式的な意味での「型」のようなものにこだわる傾向がある。だから解決できないし,内部統制もうまくいかない。
ここでもまた,組織のトップが劣悪である場合には何も解決できないという問題が存在している。
加えて,劣悪なトップであればあるほど,自分が劣悪であることの自覚が全くなく,現在の地位や名誉にしがみつく一般的傾向がある。そのような組織については,組織が滅ぶまでまつか,または,外部からの力によりトップを排除するか,または,組織をまるごと破壊してしまうか,そのいずれかしか対応策がないように思うのだが,現実にはそのようにはならない。ぐじぐじと腐敗し続ける。世間とはそのようなものだ。
| 固定リンク
コメント