都市を背景に、ロックを持つ手のイラストと、回路基板とネットワーク回線

サイバーセキュリティとプライバシーに責任があるのは誰でしょうか?

#KingstonCognateがBill Mewを紹介

Bill Mewの画像

Bill Mewはキーオピニオンリーダー、デジタル倫理キャンペーンマネージャー、起業家の経歴を兼ね備えています。

オピニオンリーダーとして、Billは「実質的な保護」と社会経済的価値最適化のバランスをとることを重視しています。実質的な保護の分野で同氏はデータプライバシーのグローバルインフルエンサーに指定されており、「社会経済的バリューの最適化」においても、サイバーセキュリティやデジタルトランスフォーメーションからGovTechやスマートシティにいたるまで、トップインフルエンサーとして貢献しています。Billはこうしたトピックの専門家として毎週テレビやラジオ (BBC、RT、その他) に出演しており、放送時間数では、英国のテクノロジストの中でトップを座を維持しています。

起業家としてはCrisisTeam.co.ukのCEOを務め、有事対応、サイバー法、風評管理、ソーシャルインフルエンスなどの分野で専門のエリートチーム組み、サイバー攻撃からの影響を極小化するサービスを顧客に提供しています。

個人として、そして全体として、私たち皆に責任があります

多くの組織では、サイバーセキュリティとは CISCO だけで実施するものだ、またはプライバシーとはコンプライアンス部門だけがするものだという態度の人が大半です。サイバーセキュリティとプライバシーの両方に、もっと全体で責任を持たない限り、私たちのデータの安全は守られず、何かうまくいかない場合、私たち皆が個人責任と全体責任の両方を問われます。

そのような組織では、上級管理職がいまだにサイバーセキュリティやデータプライバシーについて、真剣に捉えていません。これらを CISCO またはデータ保護責任者(DPO)に委任できる作業と考えていることがよくあります。上級管理職が物事をそのように考え続けている場合、この種の態度が組織やあらゆる階層のスタッフに浸透し、彼らもこれらの問題を真剣に捉えていなくても驚くには当りません。

組織で考えるべき事項は3つあります。

倒れそうな1枚のドミノに手を伸ばして止める手と、崩れ落ちる残りのピース

1.調達責任者が非暗号化デバイスを選択する場合

価格だけを基準に、安全性やハードウェア暗号化の有無を考慮せずに、非暗号化 USB メモリ、SSD または IOT デバイスを調達する決定する場合、非暗号化デバイスによってサイバー脆弱性が生じます。これにより、組織全体がデータ漏洩の危険にさらされます。

2.スタッフがパスワードを再利用するか、セキュリティ対策をスキップするショートカットを使用する場合

スタッフが基本的なサイバーセキュリティ規則に従わず、パスワードやメール添付ファイルへの注意を怠る場合、組織全体のセキュリティを危険にさらします。サイバー犯罪者は弱いか既知のパスワードを積極的に標的にし、被害者のセキュリティを侵害するためにフィッシング戦術を使用します。サイバーインシデントで特に共通する攻撃ベクトルは、次のとおりです。

3.最高マーケティング責任者(CMO)が個人情報を試しに使用してみる場合

GDPR では、表明された目的に同意のあった場合のみ、個人データを収集できると規定しています。不法にデータを取得または共有すると、多額の罰金や訴訟のリスクに皆をさらすことになります。

チームが手を合わせている場面のクローズアップ

これが起きた場合、誰に責任がありますか? 組織と私たちです!

私たちは皆、サイバーセキュリティとデータプライバシーについて真剣に捉えるべきです

自分の組織で非暗号化 USB メモリ、SSD または安全でない IoT デバイスが使用されていることを知った場合、声を上げる必要があります。同僚がサイバー衛生を守っていないことに気付いた場合、声を上げる必要があります。マーケティング部門の誰かが、顧客データを不適切に使用しているところを目撃した場合は、声を上げる必要があります。

組織文化を変えることが重要

組織内で、トップダウンで態度を変えさせ、皆がサイバーセキュリティとデータプライバシーを真剣に捉えるようにするには、組織文化のマインドセットを変える必要があります。

組織がそうするためのイニシアティブはたくさんあります。顧客は、自分たちのデータに注意を払うと思われる組織と喜んで取引しようとし、注意を払わない組織との取引には気乗りしないという明確な証拠があります。顧客の信頼を維持し、顧客の信頼を失いかねないような、あらゆる種類のサイバーセキュリティインシデントを回避することは、私たち皆が第一に考えるべきです。

FINE という文字が書かれた木のブロックと木槌のクローズアップ

さらに、データ保護を真剣に捉える組織を作るには、多くの抵抗があります。まず、GDPR では、各インシデントに対する罰金の最大額を 2000 万ユーロまたは年間グローバル売上の 4% のうち大きい方と規定しています。インシデントを修正するコストは、何百万ユーロにも達することがあり、さらにランサムウェア攻撃の場合は、サイバー犯罪者が何百万ユーロもの身代金を要求することがあります。データを侵害された人々から訴訟を起こされることもあります。

組織に対するこのような制裁が十分ではないかのように、個人に対しても制裁が発生します。最近の米国で、取締役と CISCO が被告となった事例が、サイバーインシデント事件の先例となりました。アナリスト会社、ガートナーのレポートでは、CEO がまもなくサイバー攻撃に対する個人責任を問われると予測していました。

私たちは市民として、および顧客として、組織にデータを保護してほしいと考えており、他の人のデータに責任を持つ場合、標準は同じように高くする必要があります。私たちは、皆が責任を問われる可能性があることについて、組織全体で、また個人それぞれで、懸念を持つべきです。しかし同様に、データ保護は正しい行為ですので、それを重視する動機も持つべきです。

#KingstonIsWithYou

専門家に照会する

Kingstonは、現在使用している、または使用を計画している構成が組織に適切かどうかについて第三者の意見を得る機会を提供することができます。

自己暗号化SSD

SSDが特定のストレージ環境にもたらすメリットは何か、外出先でモバイルワーカーに安全に作業するのに最も適したSSDはどれか、についてアドバイスを提供いたします。

SSDの専門家に照会する

暗号化USBドライブ

暗号化USBドライブを使用すると、どんなメリットが組織にもたらされるのか、お客様のビジネスのニーズに最適なドライブはどれか、についてアドバイスを提供いたします。

USBの専門家に照会する

Kingstonが扱う暗号化ストレージソリューションを紹介します。

関連記事