システムセキュリティ担当からサイバーセキュリティに関する調査で各システム利用者に質問リストが送付され、私のところにも届きました。その質問リストを眺めると、実施しているかどうかの質問が半数ぐらいあって、そのほとんどが当時実施することになっていないタスクについてでした。どうも当社事情を良く知らない外部に委託して作成したもののように見えました。一般的にはやるべきことをやるのスタンスだと思うから、やるべき項目に入っていなければやりません。それゆえ正直に実施していないものについては「実施していない」と書きました。次にIT部門のレビューに移って「実施している」と回答が変わりました。後でIT部門に聞いたら「本当にそう?」と疑いたくなるようなレベルの説明でした。なお、この調査結果は本部長に報告するそうです
当時の勤務先では「やっていない」と報告すると評価が落ちると思っている人が多い印象でした。それは伸びない企業の社員が考えることだと思います。伸びる企業の社員は現状を適正に把握し、もし必要レベルに至っていないときは「現状を出発点としてどうやって目標に近づけるか」と考えます
元々やることになっていないのだから「やってません」報告はごく普通の反応。それを「やってます」と報告すると「十分機能している」ので「人や予算の追加は不要」との評価結果になります
地震と同じで、いつインシデント発生するか分かりません。もし、本当に狙われて、いとも簡単に業務停止に陥ったとしたら「不安材料は無かったはずなのに、これはいったいどういうことだ」となります。報告側の言い分は「まさか本当に狙われるとは思っていなかった」なのでしょうか
報告側と、判断側は別の役割だから報告側は判断側に正直に正確に伝えればいい。これ基本
ここまでお読み頂きありがとうございました <(_ _)> VVV-Victory目指しましょう
コメント