情報漏洩を見つけちゃった場合

前回の水漏れに引き続き・・・

データ漏洩=水漏れと同じ、だったら防げるはずだ。

見つけちゃった場合の対応は、水漏れと同じ。例えばマンションなどで水漏れしちゃったとすると

まずは漏れの

  • 応急的な対応(水漏れ箇所を発見し塞ぐ)
  • その後の恒久対応(漏れた原因を探し再び発生しないように対策)

これは、漏らしちゃった側の最低限やるべき事。

一方で被害をうけちゃった側に対して、

  • 直接被害の対応(水漏れで受けた被害)
  • 二次的な対応(水漏れが起因した問題探究)

まずは、こんな感じになる。実はもっとあるのだが、最低限これだけはしなければならない。

これらは謝り方の角度などじゃない。漏れちゃったものは仕方ない。後は真摯に対応と対策するしかないのである。

本当は事前対策さえしておけば、万一発生しても最低限の状態で抑えられる。

しかしそれがあってもなくとも、発生するときは発生する。

よくある、漏れちゃったんだから仕方ない!って逆ギレのような事もあるが、逆ギレする前にやることはたくさんある。何を中心に考えるかでスタンスは決まってくる。

これは愚直なほどに実行しなければならない。

何度もしつこく言うが、水漏れなど見えるものと、情報のように見えないものとは若干状況は変わってくる。何も見えていない訳ではないが、当事者にとっては情報は常に見ているものなので、漏れたかどうかは相当後にならないとわからないのだ。

東照宮の猿ではないが、見ざる聞かざる言わざる。見てない・聞いてないから言えない。

ならば良いのだが、この逆が起きたらどうなるだろうか?立場の両極から見ないと対応も対策もできないのだ。

決して見て見ぬふりだけはしないで、関係者全員のためにも早急な対応が必要な事は言うまでもない。

現状の情報セキュリティ教育研修をそのまま続けて大丈夫ですか?

ほとんどの企業において、情報セキュリティ教育のコンテンツは一巡しています。新たに知るべく脅威などもありますが、ほぼ新しいコンテンツはありません。

技術者の方々は、常に最新の動向を知る必要があります。しかし、一般社員の方々が知るべくことは技術者の方々とは内容が違います。

一般社員の方々に向けた「情報セキュリティ」に必要なことは、ほぼ伝えきられたと考えます。
現在行われているのは、二巡、三巡の繰り返しです。同じことを反復練習していても情報漏洩事故は減少していません。