10. 人事異動を予測する

内容 (What)

情報セキュリティ人材の分野はこの十年間で大きな変化を遂げています。テクノロジへの依存度が高まったことで、多くの業界で情報セキュリティスキルが不可欠となり、情報セキュリティ人材に対する需要が高まり、多くの雇用機会が生まれています。このような高い需要と豊富な求人が従業員の離職率に大きな影響を与えており、企業は情報セキュリティ人材を維持することが困難になっています。そのため、組織やセキュリティチャンピオンプログラムにおけるこのような人事異動はさけられないものであるため、組織はそれを予期しておく必要があります。

理由 (Why)

セキュリティチャンピオンとして限られた数の個人に過度な要求を課すと、特定の重要な個人が組織を離れたり、組織内の役割を変更する際に、セキュリティチャンピオンプログラムが失敗するリスクが高まります。組織は人員が離職することを認識する必要があり、それによってセキュリティチャンピオンプログラムの継続性が危険にさらされないようにします。

方法 (How)

セキュリティチャンピオンの一貫性と継続性を確保するために、以下のような補完的な推奨事項を行うことができます。

• 開発者に対してチャンピオンの割合を適切にします (たとえば、大規模な組織では、開発者 25 人あたりチャンピオン 1 人)。

• DevOps エンジニアに T 字型モデルを導入します。これは、人員が開発と運用の両方で強固な基盤を備えていると同時に、セキュリティ (または自動化、テストなど) のような他の分野にも貢献できる能力も持つことを意味します。人員の「追加」スキルに対して金銭的な報奨を与えます。これは原則 8 と 9 で特に注目しています。

• 組織内で正式に認められたポジションであることを確保し、人事部門と連携してセキュリティチャンピオンの雇用に向けた採用と選考を調整します。

• セキュリティチャンピオン向けの継続的なトレーニングおよび教育プログラムを実施することで、新人がセキュリティチャンピオンの役割に成長できるようになります。

• 1 チャンピオン 1 チームモデルを採用せず、専門分野やテクノロジの種類に応じてチャンピオンをグループ化します。たとえば、コンテナセキュリティや API セキュリティに関する専門知識を有するセキュリティチャンピオンを集め、彼らを特定のトピックの連絡役や知識ベースとして活用します。知識が積極的に移転されるように、共同作業グループを作成します。セキュリティチャンピオンの一人が組織を離れても、グループの他のメンバーがその人の離職による「打撃を吸収」できます。