つらつらかいてみよう。

まず、大前提として経営戦略は難しい。

セキュリティも難しい。

単純に"維持する"ことは難しい。

10年間黒字であり続けて従業員に十分な給与を払い続けることと同様に

10年間情報セキュリティインシデントを起こさないことは難しい。

経営戦略で言うとリスクマネジメント。

1特定・把握して、2分析・評価して、3対策する。

当たり前ですが、

当たり前にことを実践し続けるのって難しいと思うんですよ。

今回は1

特定・把握にのみ絞って考えてみます。

そもそもどうやってリスクを特定把握するのか？ですが。

一つの案としてルール化するというのがあるかと思います。

セキュリティ脆弱性検知とか。

しかし、ルール化は諸刃の剣でルール史上主義だとルールから漏れたリスクを特定・把握できなくなります。

ルール外のリスクを特定把握する方法としてはTBM/KYとかインシデントレポート、ヒヤリハットがあるとおもいます。

TBM/KYやヒヤリハットは専門家、属人化します。

ルール化をすすめすぎるとヒヤリハットの未然事象の報告文化が養成されず

ヒヤリハットに頼りすぎると、属人化するため測定ができない。

ジレンマがあるとおもいます。

また書こう