“情報セキュリティは、その価値を守るためにあります。だから見るべきなのは、部門を分けたかどうかではなく、守る価値、下げるリスク、失う価値、残るリスクを言語化できているかです。”
『セキュリティしかやらないやつはクソ』は過激だけど、可用性無視して業務止めるセキュリティ部門はマジで害悪
“セキュリティわかる人が業務するのが理想”これは本当にそう
う~ん。どっちかというと組織内のセキュリティ部門は「責任回避のための組織」という気がする。本当にセキュリティが分かっているなら「可用性と利用者体験をセキュリティの外に」置く事はしない。
「経営という裁判官が不在になっている」これがすべてじゃないの?
行き着くところは紙運用に戻す、かな
経営者「安心!安全!」
うちの業務PCは、ブルートゥースのイヤホンを一旦切断すると、オーディオ周りを巻き込んで死にます。プロファイルの復帰に関わる権限問題のようです。
可用性がセキュリティ部門のKPIのひとつになってないケース
これはこれで極端だよな(・ω・)
「過ぎたるは猶及ばざるが如し」という言葉あるぐらいだから、この問題は2500年ぐらい続いているようだな。
「無条件に独立させるべきなのは、(セキュリティ)運用ではなく監査です。」
企業がAI使うのもメリットがリスクを上回るから。
他人のツイートの引用から始まる文章って言いたいことが分かりにくく読みにくいな
「セキュリティの問題が発生したら、セキュリティ部門の責任でしょ?(セキュリティのこと分からんし)」とかほざくシステム担当は全員辞めるべき
セキュリティはそもそも領域横断の概念であり、セキュリティ単体で領域形成すべきものでない。薄く広くになる。セキュリティのコンサルや専門家ってふわっとしたバズワード多め強めの残念な人が多い印象
よいですね
情報システムの価値を壊すセキュリティは悪である|情シスとセキュリティ部門は分けるべきなのか | CloudNative BLOGs
“情報セキュリティは、その価値を守るためにあります。だから見るべきなのは、部門を分けたかどうかではなく、守る価値、下げるリスク、失う価値、残るリスクを言語化できているかです。”
『セキュリティしかやらないやつはクソ』は過激だけど、可用性無視して業務止めるセキュリティ部門はマジで害悪
“セキュリティわかる人が業務するのが理想”これは本当にそう
う~ん。どっちかというと組織内のセキュリティ部門は「責任回避のための組織」という気がする。本当にセキュリティが分かっているなら「可用性と利用者体験をセキュリティの外に」置く事はしない。
「経営という裁判官が不在になっている」これがすべてじゃないの?
行き着くところは紙運用に戻す、かな
経営者「安心!安全!」
うちの業務PCは、ブルートゥースのイヤホンを一旦切断すると、オーディオ周りを巻き込んで死にます。プロファイルの復帰に関わる権限問題のようです。
可用性がセキュリティ部門のKPIのひとつになってないケース
これはこれで極端だよな(・ω・)
「過ぎたるは猶及ばざるが如し」という言葉あるぐらいだから、この問題は2500年ぐらい続いているようだな。
「無条件に独立させるべきなのは、(セキュリティ)運用ではなく監査です。」
企業がAI使うのもメリットがリスクを上回るから。
他人のツイートの引用から始まる文章って言いたいことが分かりにくく読みにくいな
「セキュリティの問題が発生したら、セキュリティ部門の責任でしょ?(セキュリティのこと分からんし)」とかほざくシステム担当は全員辞めるべき
セキュリティはそもそも領域横断の概念であり、セキュリティ単体で領域形成すべきものでない。薄く広くになる。セキュリティのコンサルや専門家ってふわっとしたバズワード多め強めの残念な人が多い印象
よいですね