サイバーセキュリティとプライバシーに責任があるのは誰でしょうか？

個人として、そして全体として、私たち皆に責任があります

多くの組織では、サイバーセキュリティとは CISCO だけで実施するものだ、またはプライバシーとはコンプライアンス部門だけがするものだという態度の人が大半です。サイバーセキュリティとプライバシーの両方に、もっと全体で責任を持たない限り、私たちのデータの安全は守られず、何かうまくいかない場合、私たち皆が個人責任と全体責任の両方を問われます。

そのような組織では、上級管理職がいまだにサイバーセキュリティやデータプライバシーについて、真剣に捉えていません。これらを CISCO またはデータ保護責任者（DPO）に委任できる作業と考えていることがよくあります。上級管理職が物事をそのように考え続けている場合、この種の態度が組織やあらゆる階層のスタッフに浸透し、彼らもこれらの問題を真剣に捉えていなくても驚くには当りません。

組織で考えるべき事項は３つあります。

1.調達責任者が非暗号化デバイスを選択する場合

価格だけを基準に、安全性やハードウェア暗号化の有無を考慮せずに、非暗号化 USB メモリ、SSD または IOT デバイスを調達する決定する場合、非暗号化デバイスによってサイバー脆弱性が生じます。これにより、組織全体がデータ漏洩の危険にさらされます。

2.スタッフがパスワードを再利用するか、セキュリティ対策をスキップするショートカットを使用する場合

スタッフが基本的なサイバーセキュリティ規則に従わず、パスワードやメール添付ファイルへの注意を怠る場合、組織全体のセキュリティを危険にさらします。サイバー犯罪者は弱いか既知のパスワードを積極的に標的にし、被害者のセキュリティを侵害するためにフィッシング戦術を使用します。サイバーインシデントで特に共通する攻撃ベクトルは、次のとおりです。

3.最高マーケティング責任者（CMO）が個人情報を試しに使用してみる場合

GDPR では、表明された目的に同意のあった場合のみ、個人データを収集できると規定しています。不法にデータを取得または共有すると、多額の罰金や訴訟のリスクに皆をさらすことになります。

私たちは皆、サイバーセキュリティとデータプライバシーについて真剣に捉えるべきです

自分の組織で非暗号化 USB メモリ、SSD または安全でない IoT デバイスが使用されていることを知った場合、声を上げる必要があります。同僚がサイバー衛生を守っていないことに気付いた場合、声を上げる必要があります。マーケティング部門の誰かが、顧客データを不適切に使用しているところを目撃した場合は、声を上げる必要があります。

組織文化を変えることが重要

組織内で、トップダウンで態度を変えさせ、皆がサイバーセキュリティとデータプライバシーを真剣に捉えるようにするには、組織文化のマインドセットを変える必要があります。

組織がそうするためのイニシアティブはたくさんあります。顧客は、自分たちのデータに注意を払うと思われる組織と喜んで取引しようとし、注意を払わない組織との取引には気乗りしないという明確な証拠があります。顧客の信頼を維持し、顧客の信頼を失いかねないような、あらゆる種類のサイバーセキュリティインシデントを回避することは、私たち皆が第一に考えるべきです。

さらに、データ保護を真剣に捉える組織を作るには、多くの抵抗があります。まず、GDPR では、各インシデントに対する罰金の最大額を 2000 万ユーロまたは年間グローバル売上の 4% のうち大きい方と規定しています。インシデントを修正するコストは、何百万ユーロにも達することがあり、さらにランサムウェア攻撃の場合は、サイバー犯罪者が何百万ユーロもの身代金を要求することがあります。データを侵害された人々から訴訟を起こされることもあります。

組織に対するこのような制裁が十分ではないかのように、個人に対しても制裁が発生します。最近の米国で、取締役と CISCO が被告となった事例が、サイバーインシデント事件の先例となりました。アナリスト会社、ガートナーのレポートでは、CEO がまもなくサイバー攻撃に対する個人責任を問われると予測していました。

私たちは市民として、および顧客として、組織にデータを保護してほしいと考えており、他の人のデータに責任を持つ場合、標準は同じように高くする必要があります。私たちは、皆が責任を問われる可能性があることについて、組織全体で、また個人それぞれで、懸念を持つべきです。しかし同様に、データ保護は正しい行為ですので、それを重視する動機も持つべきです。

#KingstonIsWithYou