受容性と適応性のあるセキュリティ文化を創り出す

AWS では、AWS のお客様や AWS 自身のセキュリティチームがどのようなときに最も成功するかを熟知しています。それは、セキュリティチームが自社のビジネスやデベロッパーにとって協力的なイネーブラーとなり、すべてのステークホルダーが協力して向上を重ね、俊敏で応答性の高いセキュリティ体制を維持する文化を育てたときです。このホワイトペーパーでは、組織のセキュリティ文化の向上は対象としていませんが、セキュリティチームの受容性が高いことが他のチームに伝われば、外部から適切な情報を得ることができます。セキュリティチームがオープンで近づきやすければ、リーダーからのサポートを受けて、セキュリティイベントに関する追加の通知、協力、対応を適時に得られる可能性が高くなります。

組織によっては、セキュリティ上の問題を報告すると、報復を受けるのではないかとスタッフが恐れる場合があります。問題を報告する方法を単に知らないという場合もあります。また、時間を無駄にしたくない、セキュリティインシデントとして報告したことが後で何でもなかったことがわかると恥ずかしいという場合もあります。リーダーシップチームから末端に至るまで、受容の文化を促進し、組織のセキュリティに誰もが貢献できるようにすることが重要です。潜在的なリスクや脅威があると思ったら、いつでも誰もが高重要度のチケットを開くことができる明確なチャネルを提供します。これらの通知を広い心で熱心に歓迎します。さらに重要なのは、セキュリティ担当以外のスタッフに対して、これらの通知を歓迎することを明確に伝えることです。潜在的な問題について通知をまったく受け取らないよりも、通知を過剰に受けることを希望していることを強調してください。研究者から公の記事で問題を指摘されるよりは、デベロッパー自身が自分の間違いを申告する方がはるかに増しです。

これらの通知は、ストレス下での迅速な調査を練習する貴重な機会となります。これらを重要なフィードバックループとして、対応手順の策定に活かすことができます。