情報セキュリティ・プロジェクトに日々取り組まなければならないITエンジニアの管理者を、私はまったく羨ましく思っていません。技術者でありながら、日常的に情報セキュリティに囲まれているのは大変なことです。ましてや、突然出てくる違いやアップデート、課題もあります。プロジェクト管理者として、十分な背景知識がないまま、ノンストップの毎日をどうこなしたらいいのか、考えるとぞっとします。
関連するプロジェクトで、情報セキュリティの概念についてもっと知る必要があるが、何から始めればよいのかわからないと言われた経験があります。セキュリティの専門家である必要はないかもしれませんが、エンジニアやクライアントとコミュニケーションを取ったり、レポートを読んだり、エンジニアリングのフィードバックを提出したりするのに十分な専門知識と知識は必要です。以下に挙げる分野は、主に情報セキュリティ・エンジニアリングに関連するものです。
情報セキュリティプログラムの基本用語を学びます。脅威、脆弱性、リスクのある脅威の3つの主要分野で解釈します。
- TCP/IPや、OSIモデルなどのネットワークの概念を理解していること。
- 基本的な技術的セキュリティ管理を学びます。マルウェア対策、データ損失防止、侵入防止などのトピックを検討します。
- プログラミング言語とプラットフォームについて学びましょう。大学でプログラミングの基礎を学んだとしても、JavaやC#など、さまざまな言語やプラットフォームについて学ぶ必要があります。
- モバイルデバイス管理やフルディスク暗号化など、モバイルセキュリティの概念とテクニックを理解します。組織内で検出されなかったり見過ごされている基本的なセキュリティリスクを理解します。
- ネットワーク、コンピュータ、人をハックする方法を学びます。
- 企業のコンプライアンスを理解していること。これには、HIPAA、HITECH法、GLBA、PCI DSSなどの大局的な規制が含まれます。基本的なセキュリティのベストプラクティスを理解します。
知っておくべき最も重要なことは、情報セキュリティ・プログラムを管理する際の状況はすべて異なるということです。これは、セキュリティ研究者やアナリストが世間で主張していることや、セキュリティ・ベンダーが押し付けてくることとは何の関係もありません。セキュリティのニーズについて同じ情報を持っている組織は2つとありません。リスク、リスク許容度、文化、政治、そして資金です。
情報セキュリティに関わるプロジェクトを管理するのであれば、自分の関連スキルを学び、アップグレードすることで、仕事がやりやすくなります。時間をかけて自分自身を豊かにすることで、大きな報酬を得ることができます。
