「予測は、特に将来に関するものである場合には困難です。」この声明は、アメリカの作家マーク・トウェインまたはドイツのコメディアン、カール・バレンティンによるものとされており、サイバーセキュリティにも簡単に適用できます。
私たちの業界では、30 か月どころか、次の XNUMX 秒間に何が起こるかを予測することさえ困難な場合があります。私も同僚も、新しい考え方を生み出すためには、(多かれ少なかれ曖昧な)予測をやめて、代わりに(難しくて不快な)質問をする方がより生産的であると信じています。
IT 業界の予測の多くは「何を」「どのように」のみを記述しており、「いつ、どこで、なぜ、誰が」を扱う予測はわずかです。しかし、これらはまさに本当に重要な質問なのです。アルバート・アインシュタインは、「問題を解決するのに 55 時間あれば、XNUMX 分は問題について考え、XNUMX 分は解決策について考えるでしょう。」と言いました。なぜなら、適切な問題を知っていれば、短時間で問題を解決できるからです。これはサイバーセキュリティにも当てはまると思われる発見です。現在、企業や当局の責任者は、急速に進化する脅威の状況を考慮して、大きな課題に直面しています。この結果、すべての管理レベルで尋ねるべき XNUMX つの中心的な質問が生まれます。
正しい質問は良い答えにつながります
- 1. リスクを正しく評価するために必要な知識を持っていますか? 「助けを呼ぶよりも溺れることを好む人もいます。」これはドイツの詩人ヴィルヘルム・ブッシュの有名な言葉の一つです。残念なことに、組織の責任者はサイバーセキュリティの分野で(あまりにも)経験が浅く、また多くの人が防御システムの品質と有効性を過大評価していることが何度も明らかになりました。だからこそ、人生のいくつかのことにおいては一般的に謙虚さを保ち、特に専門家に助けを求めることが重要です。理想的には、恐ろしい緊急事態がすでに発生するまでは。
- 2. 従業員が賄賂を受け取ることはできますか? Microsoft によれば、ハッキング グループ Lapsus$ はまさにそれを実行しました。Microsoft によると、「ログイン資格情報にアクセスして多要素認証を許可するために、標的となった企業の従業員、サプライヤー、ビジネス パートナーにお金を支払うなど、さまざまな方法で最初のアクセス」を得たとのことです。言い換えれば、場合によっては、フランスの劇作家モリエールの「1 つのドアが閉まると、別のドアが開く」という言葉よりも簡単な場合もあります。なぜなら、ドアから中に入るだけなら、侵入する必要すらないからです。この潜在的なギャップを埋めるために、必須プログラムには IT セキュリティとコンプライアンスに関する継続的な従業員トレーニングを含める必要があります。
- 3. ハッカーが私たちのデータにアクセスできる最もクレイジーな方法は何ですか? 「枠の外で考える」というフレーズの背後にあるアイデアは、ドイツ語で「枠を超えて見る」に相当しますが、ノーマン マイヤーから来ています。このアメリカの心理学者は、70 年代と 80 年代に多くの経営コンサルタントによって使用されたこの言葉の背後にある概念を 1930 年に定義しました。彼は、この能力を持つ学生は XNUMX パーセント未満であることを発見しました。彼らは考え方が非常に限られていたため、木を見て森を見ないと言う諺がありませんでした。したがって、チームが既成概念にとらわれずに考えることができるように、イノベーションを促進する環境を構築する必要があります。
- 4. 私たちは最も重要な脅威に対処しているのでしょうか、それとも最も緊急性の高い脅威にだけ対処しているのでしょうか? 元米国大統領にちなんで名付けられたアイゼンハワー原則は、緊急性と重要性に応じてタスクを分類する方法です。「問題には 2 つのタイプがあります。緊急性と重要性です。緊急なことは重要ではありませんし、重要なことは決して緊急ではありません。」彼の意思決定の原則はシンプルで、緊急かつ重要なことだけが彼にとって優先されました。セキュリティ チームはこれに従う必要があります。たとえば、IT および OT におけるセキュリティ リスクに優先順位を付ける場合です。
センチネルワンについて
SentinelOne は、AI セキュリティの世界的リーダーです。 Singularity プラットフォームは、マシンの速度でサイバー攻撃を検出、防止し、対応することで、組織がエンドポイント、クラウド ワークロード、コンテナ、デジタル ID、モバイルおよびネットワーク接続デバイスを迅速、正確、簡単に保護できるようにします。
トピックに関連する記事