So-net無料ブログ作成

第4回名古屋情報セキュリティ勉強会 [未分類ワーク]

今回は余裕をもって受付完了(^-^)

地下鉄3番出口に向かって西地区連絡路を上がりそのまま学舎へ、会場が前回と変わってる!?

今日のお題は「情報セキュリティは、どこまで、どれだけやるか?」
講師は河野さん

 

勉強会資料のショートURL
http://goo.gl/AmZFW

ハッシュタグ
http://twitter.com/#!/search/?q=%23nagoyasec&src=hash

河野さん、すごいプレゼンスキルを持った人だ
講師経験があるってことで納得、コンサルだけじゃ身に付かないよね
今はクラウドセキュリティが中心だそうですよ

<<情報セキュリティの社内営業>>

「情報セキュリティは絶対に必要です」か?
→セキュリティの過剰対策が多いですね(エセ情報セキュリティ専門家が多いせい?)

買ってもらうためには、下記が明確に説明できないとね
・購入目的
・費用
・効果
・既得かどうか
・上の説得材料

一番ダメなのは「他社もやってますから御社も」のオネダリ

基本に立ち戻って「情報セキュリティって?」
→情報の保護。ちゃうでしょう、保護は手段で目的ではない!
でもね、保護する対象が判断できないのが現状
人の間違い(判断ミス)を防ぐためにIT化してるんでしょ
安直に「すべてを保護」→最悪。

情報セキュリティは業務遂行のためにある
・業務効率化のためにITがある
・IT導入なのに情報セキュリティは「人が重要」
・システムでできることはシステムで
・ITが推進されないと情報セキュリティも推進されない

あれもダメこれもダメでは、ITは推進されない
安全をクリエイトすることが真の情報セキュリティの専門家

メールシステムを例に
・自社のメールシステムはどれだけの時間止まっても良いですか?
「絶対に止まっちゃダメ」と「半日ぐらいはOK」では費用に雲泥の差がある
ゼロが2桁ぐらいの差。
この金額、メールシステムにかける必要がホントにありますか
この金額、他の新規システムにかけたら利益貢献は?

かけた方が良いか、他に投資した方が良いかは企業によって異なるよね
同じようなことが他のシステムにも言えるのでは?
例えば自社で持つか、アウトソーシング(クラウド)にするか。

「リスク受容レベル」
→どこまでの障害ならば我慢できるか、事業継続に影響がないか
この受容レベルの程度で情報セキュリティを「どこまでやるか」が決まる!

サービス監視が肝心
サービスが停止したことに、いかに早く気付くか。
サービス停止時間は「気付いた」時でなく「止まった」時

「その対策ってほんとに意味あるの?」
資料をみてね(ちょっと手抜き)

USBのホントの脆弱性
・記録内容が削除できない、一般的なOSから表示できなくなるだけ(残存オブジェクト)

「情報セキュリティの目標設定と効果測定」
インシデントではなくイベントで測定。
イベントの要因レベルで考えてみると効果的な対策がでてくる(かもね)
「イベントの連鎖」で訓練してみる

ここまでいくと、効果が測定できる提案ができるかな。
禁止、禁止という前に、こうすればリスクが回避できるのではとクリエイティブに。


コンサルティングセールスの提案書
・安くて良い製品(ソリューション)なら売れるという幻想
「プロダクトセールス」と「ソリューションセールス」は異なる
情報セキュリティはプロダクトではなくソリューション、たとえ製品であっても。


余禄
良いクラウドサービスとは
・こまめなバックアップが可能であること(可能であれば他ベンダーで復旧可能)
・パスワードのオプションがあり、サーバが対応しているところ
(いまのところはこれがベストらしい)

--------
まっちゃさん、スタッフのみなさん、河野さん、参加された皆さん、お疲れさまでした。
懇親会に参加できなくてごめんなさい。

主観的なレポートであることを、ご了承願います。


nice!(0)  コメント(0) 

nice! 0

コメント 0

この広告は前回の更新から一定期間経過したブログに表示されています。更新すると自動で解除されます。

×

この広告は1年以上新しい記事の更新がないブログに表示されております。