アカウント名:
パスワード:
経営陣も実務に関わるような零細企業は別として、いちいち個別の案件を報告したりしないでしょう。
>深刻なセキュリティーリスクが判明した場合にのみ知らせる
これが一般的かつ妥当な判断。
経営「深刻なセキュリティリスクとは何かね?」ぼく「お前ら」
普通は直属の上司に報告しますよね。
それに、少なくともインシデント管理は経営陣の仕事ではなく、それなりの規模であれば兼任か専任かはともかくインシデント管理のチームを組んでるでしょう。
一円も生み出さない対策話は嫌がられるしなリスクを伝えるのは大変だし
どうせ保守なんておざなりにされるので、リスクは上に伝えるけれど、対策するしないは判断しないことにしている。何かあったときは、判断した人の責任。
「相談したじゃないですか」「なんでそこまで深刻だと言わなかったんだ」
こうですか?
それはよくある基本形。日本でよくある展開形は次の通り。
IT「深刻だといったじゃないですか」社長「全く読み取れなかった」
報告書:「要旨: 弊社のネットワークシステムのベースデザインに問題が発見されました。このままでは弊社の最も重要な資料にまで容易にアクセスされる危険性があります。対策費用は 3億円、実施時間は4ヶ月かかります。」
IT「これですよ?!」社長「見た覚えがない」IT「しかしちゃんと社長の閲覧印が押してあります」社長「押した覚えはない」秘書「社長の命令で代わりに押しましたが何か?」
ディルバートとかでよく見るので日本だけじゃないかも
対策による損失予測とか、対策しなかったときの損失予測とかも同時に提示しないの?重要な資料はパスワードを書けて保存しましょうですんでしまうとか、松竹梅の各コースを提示しないの?
対策しなかった場合の損失予測はさすがにIT部門が持っているデータだけでは推測不能でしょう。
「深刻だって言ったじゃないですか」「何でもっと大きな声で言わなかったんだ」
ほぼ実話。リスクについて具体的に説明済みでした。チャレンジだのリスクを取るだの格好いいことを言ってて、いざ起きるとこうでした。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
計算機科学者とは、壊れていないものを修理する人々のことである
そりゃそうでしょ (スコア:0)
経営陣も実務に関わるような零細企業は別として、いちいち個別の案件を報告したりしないでしょう。
>深刻なセキュリティーリスクが判明した場合にのみ知らせる
これが一般的かつ妥当な判断。
Re:そりゃそうでしょ (スコア:3)
現場の判断は信用ならん!ということになって
どんなことでも見つけたら報告!という方針になる
経営陣および本部機構に特に判断能力があるわけでないので、結局原則的な対応
現場の業務が回らんくなる(管理業務、チェック業務がやたらに増える)
経営「では」 (スコア:1)
経営「深刻なセキュリティリスクとは何かね?」
ぼく「お前ら」
Re: (スコア:0)
普通は直属の上司に報告しますよね。
それに、少なくともインシデント管理は経営陣の仕事ではなく、
それなりの規模であれば兼任か専任かはともかくインシデント管理のチームを組んでるでしょう。
Re: (スコア:0)
一円も生み出さない対策話は嫌がられるしな
リスクを伝えるのは大変だし
Re: (スコア:0)
どうせ保守なんておざなりにされるので、
リスクは上に伝えるけれど、対策するしないは判断しないことにしている。
何かあったときは、判断した人の責任。
Re:そりゃそうでしょ (スコア:1)
「リスクの深刻さを経営陣に正しく伝えていなかった」と詰め腹を切らされる未来が見えるぞ・・・・
Re: (スコア:0)
「相談したじゃないですか」
「なんでそこまで深刻だと言わなかったんだ」
こうですか?
Re:そりゃそうでしょ (スコア:3, おもしろおかしい)
それはよくある基本形。日本でよくある展開形は次の通り。
IT「深刻だといったじゃないですか」
社長「全く読み取れなかった」
報告書:
「要旨: 弊社のネットワークシステムのベースデザインに問題が発見されました。
このままでは弊社の最も重要な資料にまで容易にアクセスされる危険性があります。
対策費用は 3億円、実施時間は4ヶ月かかります。」
IT「これですよ?!」
社長「見た覚えがない」
IT「しかしちゃんと社長の閲覧印が押してあります」
社長「押した覚えはない」
秘書「社長の命令で代わりに押しましたが何か?」
fjの教祖様
Re: (スコア:0)
ディルバートとかでよく見るので日本だけじゃないかも
Re: (スコア:0)
対策による損失予測とか、対策しなかったときの損失予測とかも同時に提示しないの?
重要な資料はパスワードを書けて保存しましょうですんでしまうとか、松竹梅の各コースを提示しないの?
Re:そりゃそうでしょ (スコア:1)
対策しなかった場合の損失予測はさすがにIT部門が持っているデータだけでは推測不能でしょう。
fjの教祖様
Re:そりゃそうでしょ (スコア:1)
「深刻だって言ったじゃないですか」
「何でもっと大きな声で言わなかったんだ」
ほぼ実話。リスクについて具体的に説明済みでした。
チャレンジだのリスクを取るだの格好いいことを言ってて、いざ起きるとこうでした。