Protect IT グループ
概要
Protect IT グループに属する人々は通常、IT システムにおけるビジネスリスクを最小化する責任を持つ情報セキュリティおよびコンプライアンスのプロフェッショナルです。アプリケーションの変更が安全であることを保証するためのポリシー、プロセス、手順を確立し維持し、定期的に IT システムを評価して脆弱性を識別します。
価値観
リスクを管理し、最小化し、システム、データ、ビジネスをあらゆる場所のサイバー脅威(社内外問わず)から 保護する ことです。
文化
人材、プロセス、テクノロジーは絶え間ないバランス調整が必要です。 目標はそれぞれを十分に確保することです。 100% 安全になることはあり得ませんが、レイヤー化されたセキュリティアプローチが必要です。 セキュリティが摩擦を生むことは事実ですが、目標はビジネスを支援することです。
ペルソナ/職位
セキュリティオペレーション、セキュリティアナリスト、アプリケーションセキュリティ、ペネトレーションテスター、その他
課題
すべてを保護することが期待されていますが、プロジェクトの早い段階や十分な頻度で関与することは滅多にありません。プロジェクトの遅延や手戻りについて頻繁に責められます。多くの場合 SDLC の後期にしか関与せず、孤立したチームとなり、新規要件の策定やテストなどに含まれていません。運用面では、シグナル疲労が現実の問題です。
理想の世界
セキュリティが 100% になることはあり得ないため、理想的には プロアクティブとリアクティブ 両方の能力を持つことが望ましいです。例えば、アプリケーションセキュリティとシフトレフトはプロアクティブな対策であり、開発者向けの セキュア SDLC トレーニングと併用します。リアクティブ側では、プロセスの早期に発見されなかったものを捉える セキュリティオペレーションとレッドチーミング の能力を持ちます。これらすべての能力は ポリシーとプロセス によって駆動・統治される必要があり、成功を保証するための適切なテクノロジーが導入されている必要があります。
