非営利団体がサイバーセキュリティ業界に教えていること

サイバーセキュリティをコンプライアンスのチェックボックスや危機対応としてではなく、奉仕の行為として取り組んだらどうなるでしょうか?  

これは、 The Segmentの最新エピソードでSightline Securityの創設者兼CEOであるKelley Misata博士との会話の後、私が繰り返し考えた質問でした。  

ミサタのサイバーセキュリティへの道は典型的なものではありませんでした。それは個人的なことでした。匿名化技術を使用する人物に何年もストーカー行為された後、彼女はデジタルツールがどのように保護され、危害を加えることができるかを理解するために、情報セキュリティの博士号を取得しました。  

その経験が、彼女の共感第一のアプローチと、すべての人のセキュリティをわかりやすくするという信念を形作りました。

非営利団体のサイバーギャップ

ミサタ氏の仕事は 、サイバーセキュリティ と非営利の世界が交差する場所にあり、ミッション主導の組織は、非常にわずかな利益率と限られた技術サポートで運営されていることがよくあります。  

しかし、彼女が明らかにしたように、それは彼らが洗練さや目的に欠けているという意味ではありません。実際、その逆がしばしば真実です。

家庭内暴力シェルターであれ、フードバンクであれ、自殺予防非営利団体であれ、利害関係は金銭的なものだけでなく、人間にかかっています。つまり、サイバーセキュリティに対する従来のアプローチが必ずしも通用するとは限りません。  

「資産インベントリ」や「管理フレームワーク」などの言葉は、人々が単に他の人がその日を生き延びるのを助けようとする環境では、抽象的でさえ疎外感を感じることがあります。

ケリーが共有した力強い話は、意図的にオープンフォーラムを運営している自殺支援団体に関するものでした。ケリー氏が潜在的なリスクを提起したとき、創設者は、彼らのコミュニティは参加する前に観察し、安全を感じる場所が必要だと説明しました。

「『これが私たちのコミュニティが必要としているものです』」と創設者はミサタに語った。

その瞬間、彼女の セキュリティリスク の見方が変わり、根絶すべきものではなく、慎重に取り組むべきものとして捉えました。

日常の行動にセキュリティを組み込む

ミサタ氏は、サイバーセキュリティをサイロ化されたIT部門に追いやるのではなく、日常の行動に組み込む考え方の転換を提唱しています。

「私の夢は、一歩下がって『ああ、もう一度考えたほうがいいかもしれない』と言うことです」と彼女は語った。「だから、『ああ、セキュリティチームに相談しに行かなければならない』というような感じではなく、ほとんど一時停止しているのです。」

そのような文化の変化には時間がかかります。「セキュリティ分野の人々は、それに関してはせっかちだと思います」と彼女は言いました。「そして、会話に少しでも忍耐力を持って『大丈夫だ』と言えることを願っています。私たちは進歩を遂げました。ただ続けましょう』と言いました。」

最初に聞き、次に安全に

この考え方は、Misata 氏と彼女のチームがセキュリティ フレームワークを非営利団体にとって意味のある言語に翻訳する Sightline Security での仕事を反映しています。彼らは物事を馬鹿にすることによってではなく、最初に耳を傾けることによってこれを行います。

「サイバーセキュリティは知っているかもしれませんが、あなたの使命はわかりません。それでは、そこから始めましょう」と彼女は非営利団体に語ります。

しかし、彼女は急いで答えをしないように警告した。

「スーパーヒーローのように入らないでください」と彼女は言いました。「謙虚に入りなさい。彼らがどのように運営されているかを尋ねてください。彼らは何を気にしているのでしょうか?それが進歩する方法です。」

また、特に費用対効果の高いソリューションが不可欠な非営利環境において、オープンソースソフトウェアの役割が増大していることについても議論しました。  

ミサタのアドバイス: オープンソース プロジェクトをサードパーティ ベンダーのように扱う。質問。ガバナンスを理解する。誰がコードを管理しているかを把握します。

ゼロトラストの世界でサイバーセキュリティの信頼を構築する

ゼロトラストについては、ユーザーの検証、ネットワークのセグメント化、暗黙の信頼の排除など、アーキテクチャの観点からよく話されます。  

しかし、ミサタ氏の研究は、ゼロトラストが文化的な姿勢でもあることを思い出させてくれます。それは、人について、テクノロジーについて、「優れたセキュリティ」がどのようなものであるかについて、思い込みをしないことです。

代わりに、それは好奇心に関するものです。それは、組織がいる場所で会い、あなたのコンテキストで安全を確保するために何が必要かを尋ねることです。

ミサタのメッセージは、スピードとコントロールを重視する世界において、さわやかに人間的です。セキュリティとは、その場で最も賢い人になることではありません。それは、耳を傾け、学び、適応するなど、最も存在感のある存在になることです。

彼女の話は、真の サイバーレジリエンスは 完璧なツールや気密な境界から生まれるものではないことを思い出させてくれます。それは、人々の恐怖、使命、現実など、人々を深く理解することから生まれます。

それが重要な仕事です。そして、それは言うのではなく、 尋ねることから始まります。

The Segment: A Zero Trust Leadership Podcast を聴き、購読し、レビューする

ケリー・ミサタ博士との私の議論の全文を聞きたいですか?今週のエピソードは、 Apple Podcasts、 Spotify、またはポッドキャストを入手できる場所ならどこでもお聴きください。エピソードの 全文 も読むことができます。