「リスク認識力」は、人によってかなり異なるのは?
人によって情報セキュリティのリスクに対する、認識は異なります。
目の前にリスクがあったとしてもそれをリスクとして認識しない人が少なくありません。
例えば、机の上に書類が置いてあったらどのように思うのでしょうか。
そのような場合、第三者に書類を持って行かれてしまうかもしれませんし、
また、机の下に落ちてゴミとして廃棄されてしまうかもしれません。
あるいは、第三者がのぞき見して書類に記載している内容を、外部に漏らしてしまうかもしれ
ません。
リスクに対する想像力はリスク認識力と言ってもよいかもしれません。
善人ばかりではなく、悪意をもった者もいるかもしれないため、そのままにしておくと、どの
ような事態になるのか、出来心で悪いことをしてしまうかもしれません。
想像力を常に働かせて状況を見極めることが重要です。
情報セキュリティリスクの認識度が人によって異なるのは何故?
情報システムが見えにくいことが、情報セキュリティリスクの認識度が人によって異なる要因
になっています。
一般的な情報セキュリティ対策である、パスワードで保護、あるいはウイルス対策をしていな
くても情報システムを利用することができます。
例えば、交通事故というリスクを考えてみます。
対向車が右折するのではないか、路地から飛び出しがあるのではないか、ということを考えて
認識します。
それが容易に認識できるのは、自動車や道路は現実のものとして見えているからです。
不正アクセスされてシステムに侵入されても気づかなかったり、ウイルスに感染して情報が外
部に流出したりしていても気づかないことが多いのが情報セキュリティリスクです。
情報セキュリティ対策を適切に実施するためには、情報セキュリティリスクを社員に認識させ
る必要があります、そのため、情報セキュリティリスクを経営者や管理者が、最初に率先して
正しく認識ゆく必要があります。
まとめ
情報セキュリティリスクに関する認識力を向上させるためには、日ごろから不正アクセス、サイ
バー攻撃、ウイルス感染、システム障害などの情報を収集することが重要です。
社外のセミナーなどに参加したり、セキュリティベンダから情報を入手したりすることも必要
です。
そして収集した情報を参考にして、「自社では大丈夫だろうか?」
と検討し早めに問題点を解決しておくとよいでしょう。
そして、いくら術的対策の強化をおこなっても前提となるのは人です。
人の意識がかわっていかなければ、組織としてのセキュリティレベルの全体的な向上は見込め
ません。
技術と人の両方のセキュリティレベルを向上させていくことが、サイバー攻撃に対する組織的
対応力の向上につながっていくのです。