組織が 2023 年から 2024 年に移行するにつれて、新たなリスクが引き続き出現しており、セキュリティ チームは人、業務、資産に対する潜在的な脅威に対応し、軽減する準備を整える必要があります。
米国の組織は、西部の山火事、中西部の竜巻、大西洋盆地のハリケーンなどの自然災害によるリスクの増大に今後も直面することになる。
自然災害による損失の増加は、リスクが発生しやすい地域の開発や気候変動など、多くの要因に起因する可能性があります。組織は、冗長性の確保、障害点の制限、運用の変更の可能性など、自然リスクを軽減し対応する準備をしておく必要があります。
さらに、組織は、活発な脅威、企業スパイ活動、サイバー攻撃、テロリズム、インフラストラクチャ障害などの人的および技術的リスクの増大に備える必要があります。
多くの組織では、企業や政府の業務をサポートする重要なインフラストラクチャに対する攻撃が引き続き増加しています。リスクを適切に特定し、潜在的な損失を最小限に抑えるために適切な緩和策が講じられるように、継続的な努力を行う必要があります。
多層防御の態勢では、人材、プロセス、テクノロジーを組み合わせたセキュリティへの多層的なアプローチを導入して資産を保護します。企業や政府機関は、人的および技術的リスクを検出、阻止し、対応するために、多層的なセキュリティ アプローチを開発する必要があります。
カスタマイズされたリスク評価の実施
多くの産業は地理的な理由から同じ自然災害に直面していますが、技術的および人的リスクは業種や施設の用途によって大きく異なる可能性があります。
潜在的な脅威にはさまざまなものがあるため、セキュリティ担当者とリスク規制当局は評価の実施方法を変更する必要があります。ビジネス運営や業界固有の脅威を考慮に入れていない画一的な評価では、潜在的な脆弱性を適切に軽減するために顧客が必要とする結果が得られない可能性があります。
代わりに、評価は評価対象の組織のシステムと業務に合わせて調整し、あらゆる危険を考慮したアプローチを取る必要があります。
業務に影響を与える可能性のある脅威の包括的なリストを作成することは、企業のリスクを評価するための最初のステップです。
脅威が最初に特定されたら、場所を評価するためのレビュー範囲を確立すると、運用エリア内の潜在的な人的および技術的リスクを調整するのに役立ちます。
次のステップには、評価されたサイトの人口統計とオペレーティング環境をオープンソースおよび独自のデータと照らし合わせてレビューし、すべての潜在的な脅威が適切に特定されていることを確認することが含まれます。
ソース データが正しいことを確認するために、収集した情報を検証するフォローアップのオンサイト レビューを常にお勧めします。
多くの場合、組織によって特定された潜在的な脅威の最初のリストには、定義された運用上のレビュー範囲内での運用による人的リスクが含まれていませんでした。
たとえば、施設運営者が同じ地理的空間内で稼働する重要インフラ(パイプライン、変電所、鉄道など)や危険物施設(化学メーカー、石油貯蔵施設など)を特定できなかった場合、施設への潜在的な影響が生じる可能性があります。その場に避難するか避難する必要があります。
全体的な脅威の状況を理解することで、セキュリティ チームは軽減戦略を適切に開発して、運用への影響を最小限に抑え、運用を復元する能力を向上させることができます。
レビューコントロール
評価者が脅威を適切に特定したら、次のステップは、施設と資産を保護するために組織が導入している管理をレビューすることです。
このステップには、ターゲットを強化するための対策、潜在的な脅威を検出して遅延させるために導入される手段、脅威に適切に対応するための運用プロセスの検討が含まれます。ほとんどの組織の標準的な軽減策には、施設への影響の可能性を最小限に抑え、占有者がインシデントに適切に対応できるようにするための物理的障壁、セキュリティ テクノロジー、セキュリティ ポリシーと手順が含まれます。
このレビューでは、セキュリティを損なうことなく意図した操作を確実に維持できるようにバランスのとれたアプローチを採用しています。
学校や礼拝堂などの公共または半公共の空間における物理的なセキュリティ管理は、データセンターや発電所などのアクセス制御された施設におけるセキュリティ管理とは非常に異なるアプローチをとります。
リスク評価を行うセキュリティ専門家は、既存の制御 (または提案された制御) が正常に機能することを保証するために、評価対象の施設がどのように使用されるかを検討する必要があります。したがって、施設の使用の種類と対象者を考慮した評価テンプレートを作成することが重要です。
セキュリティ専門家は、施設のリスク評価を行う前に、バランスの取れたアプローチをとり、適切な調査を実施する必要があります。施設の使用の種類ごとに独自の評価を作成すると、組織にとって最良の結果が得られます。あらゆる潜在的な危険を考慮することで、施設が直面する可能性のある潜在的な脅威が決まります。
施設の完全な情報と現場でのレビューにより包括的な結果が得られ、施設運営者はリスク環境の全体像を把握して、損失を最小限に抑えるための適切な軽減戦略を策定できます。