可用性と機密性のバランス
今やっている「ほぼ一人情シス」の業務の中に情報セキュリティ対策もある。
セキュリティポリシーや監査は担当ではないので、専ら作業が担当だ。
情報セキュリティの3要素、可用性、機密性、完全性の中で、可用性と機密性は相反するから、どこでバランスさせなくてはならない。
絶対的な正解は無くてどこでバランスさせるかはその組織ごとに異なる。
ところが、判断基準が明確でない組織や個人は、場合により正でもあり誤でもある判断は気持ち悪いから、思考を単純化するようだ。
ついには、判断が0or100になってしまう。
重要なことは、組織の目的に照らしてバランスさせることだ。
一般的にIT部門は可用性を重視しがち、総務監査部門は機密性を重視しがちだ。
以前働いていた職場はIT部門が情報セキュリティも担当していた(監査も)。
すると、機密性を主張する声が大きくなり、バランスを欠いて機密性原理主義のようになっていた。
反対に「ほぼ一人情シス」をやっている今の職場は、可用性を主張する声が大きい。
放っておくと、可用性原理主義になりそうだったので、問題提起しておいた。
バランスが取れるといいな。
IT部門・担当とセキュリティ部門・担当は別の方が良い。
最近の投稿
【Yoshiのよしなしごと】【Yoshiのブログ】【よしなしごと】【ほぼ1人情シス】
« 「タダでやってよ」オジサンがやってきた | トップページ | 陽性証明と病気休暇 »
「よしなしごと」カテゴリの記事
- 生成AIは賢くなったのか <教科書は読めるようになっている>(2024.07.22)
- 不格好経営(2024.08.01)
- 続・技術者への転職のススメ(2024.07.19)
- 情シス担当者のための相談所(2024.07.07)
「ほぼ1人情シス」カテゴリの記事
- システムの保守運用 <年寄りは若い人に何を伝えるのか>(2024.08.04)
- 続・技術者への転職のススメ(2024.07.19)
- 抽象化と具体化(2024.04.16)
- 思考法 <仮説を立てて検証する>(2024.03.02)
- 表計算「作った本人が退職」会社で起きる大混乱(2024.02.19)
コメント