内部統制、セキュリティ・・・・なんだかだんだん窮屈になっていくねぇ
なんでもダメ・ダメ・・・・、べからず集ばかりが増えていく・・・・。だんだんやる気がなくなってくるな・・・。
セキュリティが仕事の足を引っ張ってない?
ビジネスを守るためのセキュリティ?、それともISMSをとるためのセキュリティ?
そもそもベストプラクティスってなによ!
リスクアセスメントっていうけど、画一的なやりかたなんてないよねぇ・・・。モデルを決めて、その会社で長期間運用しないと、リスクを定量的にとらえるのは難しいんじゃない?。
そもそも、ISO27001の Appendix A なんてものが存在するからいかん。それを何も考えずにそのまま実装しちゃう奴らがいるからなおいかん。!!!
コンサルの言うなりにやれば取れるISMS、でも会社は窮屈になっちゃうねぇ・・・。
しょうがないよ、自分たちでわからないからコンサル雇うんでしょ。
そりゃね、セキュリティ責任者が法務出身とかじゃねぇ・・・・
コンサルも楽じゃないっす。わかってない人たちを相手にするんだから。
もっと、よくわかってるセキュリティ技術者ががんばるべきなんじゃない?
いや、実は一番わかってないのはセキュリティ技術者かも。DVD1枚に、書類にしていったいどれくらいの量が入る?。技術知らない人が聞いたらビビるほど入るのに、それを平然と鞄に入れて持ち歩いてるのが技術者じゃない?
経営層とコアな技術者の間に、両方の言葉を喋る専門家(ジェネラリスト)が必要なのかも・・・・
いや、単にジェネラリストをおいても、ちゃんとセキュリティを経営陣が理解できる評価尺度を用意しないと難しいんじゃない?
とりあえず、コンプライアンスだけやってればいいって風潮が怖いね。ある種、会社が思考停止に陥って、セキュリティ技術者もダメになる。
もっともっと技術で解決していける問題は多いと思う。技術者がもっと頭を使っていいんじゃない・・・・
セキュリティの専門家と言われる人たちの本音・・・・です。(笑) こんな話をする場がもっとあったら、世の中、ずいぶんマシになるんじゃないかな・・・・と思った次第。
コメントする