誰しも経験があると思いますが、新しい仕事を始めると、次々とオンボーディングプレゼンテーションを受けることになり、その多くは日々の職務とは関係がありません。しばらくすると飽きてしまい、ノイズに埋もれて重要な情報がわからなくなってしまいます。
中でもセキュリティ意識向上のトレーニングは特にこのような問題を抱えており、従来の方法では効果的に実施することが極めて困難です。まれにしか行われないセッションは画一的な方法で行われ、セキュリティチームは従業員が資料をどの程度理解したかを測定する方法がありません。同時に、セッションが終了した後、従業員にはその資料へのアクセス方法がわからないことがあります。
要するに、従来のセキュリティ教育は破綻しているのです。また、フィッシングやランサムウェア攻撃による脅威がかつてないほど明確になっている現在、企業はより良い対応を迫られています。幸いなことに、従業員のセキュリティトレーニング体験や知識の定着を根本的に最適化するためのツールは存在します。そのソリューションは、適切なデジタルアダプション戦略から始まります。
1. 適切なタイミング、適切な場所で
チームのセキュリティ意識向上トレーニングを最適化するための最初のステップは、その方法を根本から再考することです。学習教材やガイドを置く場所として、従業員に習熟してもらいたいプログラムの中ほど最適な場所はありません。そのことを念頭におくと、セキュリティチームは、トレーニングをSlackチャンネルに固定されたZoom録画やドキュメントから、トレーニングしたいアプリ自体の中に移行する必要があります。アプリ内のセキュリティガイダンスを正しく利用することで、従業員は機能やベストプラクティスを直接、簡単に調べることができ、同時にセキュリティチームは、新しい情報が利用可能になったり、新しい手法が適用されたりすると、すぐにそのトレーニングに修正を加えることができるようになります。
2. 理解しやすいコンテンツにする
セキュリティトレーニングをアプリ内に移動すれば、従業員が内容を理解するのも簡単になります。Zoomセッションに参加したり、ビデオを見たりするために1時間を確保する必要はなく、アプリ内のガイドに数分目を通すだけで新しいソフトウェアを使いこなすための新しい情報を得ることができるのです。これにより、従業員は無駄な時間がなくなり、重要な情報が隅に押しやられることもなくなります。
3. リアルタイムに脅威を無効化するダイナミックなアップデートを提供する
セキュリティを維持するということは、脅威を特定し、できるだけ早くチームに警告することを意味します。情報セキュリティ最高責任者(CISO)が最も避けたいことは、フィッシング詐欺が見過ごされることです。フィッシングのメールがフラグなしで従業員の受信トレイに届くたびに、疑いを持たないチームメンバーがメールを開いてしまう可能性が高くなり、災難につながる可能性があります。
メールやSlackで送信された警告は、受信トレイや通知に埋もれてしまう危険性があります。しかし、アプリ内ガイダンスを利用することで、セキュリティチームはフィッシング詐欺やその他の不審な行動についてリアルタイムで警告を発信することができます。その際、問題のメールがどのようなものかを示すスクリーンショットを添付することで、脅威に対して注意を喚起することができます。また、アプリ内メッセージは、このような悪意のある行為を報告する最良の方法を知らないユーザーに対して、即座にヘルプを提供し、次のステップを説明することができます。
4. 個人に合わせてトレーニングをカスタマイズする
With each role in a team comes different security risks. It makes little sense for a software engineer and a sales representative to go through the exact same security training. People working in different areas will have different levels of familiarity with information security and will be exposed to different types of threats. CISOs should bear these differences in mind in their approach to training, and can do so by using a digital adoption platform to segment users within a given app based on role and provide them a tailored training experience. Digital adoption platforms such as Pendo also allow for security teams to segment out users who may be delinquent on completing a training in order to send them reminders, or target users who have had trouble recognizing email threats in the past in order to provide extra guidance.
5. 効果を測定する
Ultimately, security training is only as effective as its implementation. Without having a means to gauge how well employees are abiding by guidelines, information security teams will find themselves in the dark about how good a job they’re doing. With a tool like Pendo’s digital adoption platform, they will be able to not only solicit feedback on clarity of guidance, but also test employees’ continued security competency through mini quizzes and other in-app assessments.
セキュリティの脅威と、それらに対する従業員の習熟度は常に変化しています。チームを最新かつ安全な状態に保つ最善の方法は、デジタルアダプションツールを活用して新たな脅威が出現したときに対処し、最も重要な時に重要な場所で従業員とコミュニケーションを取ることです。
