誰もが間違いを犯すものであり、時にはそれが習慣になってしまっていることもあります。完璧な人間は存在しません。とは言え、情報セキュリティの世界では、誤った習慣によって会社が損失を被り、不要なトラブルに発展する可能性もあります。TechRepublic が最近の記事で、サイバーセキュリティのプロが改めるべき 10 の習慣をまとめ、業界の専門家による、それを改めるための方法に関する助言を紹介しています。この記事には、ウォッチガードの CTO、Corey Nachreiner による、次のような誤った習慣に対する提案も紹介されています。

ユーザを軽視している：

「多くのセキュリティ専門家が、ユーザが最大の弱点であることを知っていますが、セキュリティ対策におけるユーザの重要性を軽視し、有効な解決策はないと考えています。実際には、ユーザ教育を優先事項と考え、積極的に取り組むようにすれば、セキュリティ戦略において大きな成果を上げることができます。従業員の行動が少し変わるだけでも、セキュリティが強化されます」

ビジネスの重要性を考慮していない：

「サイバーセキュリティは、IPS、GAV、XSS、SQLi といった略語だらけの世界です。業界の専門家仲間と話すときには、こういった略語が便利ですが、ビジネス部門の責任者にとっては、こういった略語は馴染みのないものであることを理解しておく必要があります。話す相手のことをよく知り、セキュリティという同じテーマであっても、相手が部門の最高責任者であれば、IT管理者とまったく違う方法で話を進める必要があります」

もう 1 つのよくある間違いは、セキュリティの専門家は、完璧なセキュリティを目指すことが最大の使命だと考えてしまう点にあります。多くのセキュリティ専門家が、セキュリティだけを最重要課題と考え、「象牙の塔」のセキュリティ対策を採用しようとします。しかしながら、どのような会社においても最も重要なのは、本業のビジネスです。ビジネスの安全な遂行には IT が不可欠ではありますが、セキュリティに関する意思決定においては、ビジネスの実状を十分に考慮する必要があります。時には、ビジネスにとっての利益を考え、許容可能な範囲でリスクを覚悟しなければならない場合もあるでしょう。経験豊富なセキュリティ専門家は、優れたセキュリティとは「完璧なセキュリティ」の追求ではなく、十分なリスク管理であることを知っています」

詳細はTechRepublic の記事全文（英文）をお読みください。