最近ワインバーグの「コンサルタントの秘密（ASIN:4320025377)」を読んでいるのだけどすげー面白い。で、これを読んでいて思ったのだけど、組織にセキュリティ文化を根付かせるにはどうすればいいのだろう？ってことだったり。
ISMSとかBS7799の解説書ではトップダウンでやれと言ってるんだよねぇ。でも、これってホントにできる？トップは実務の詳細をわかっていないことが多いから全てをトップダウンで行うことは非常に難しいと思うんですよ。かといって、下が勝手にあれこれやるとこれまたコストがかかりすぎたり、穴が出来たり、ちぐはぐなものが出来てしまうんじゃないかなぁ。
なんとなくな感覚だけど、トップがやるべきことはセキュリティ戦略を立てて、それにのっとった戦術の承認・責任者等の任命なのかなぁと思ったりする。で、下は自分達の業務を行うことを優先しつつ、その中でセキュリティ戦略に沿ったセキュリティ対策(を行うことをうまく取り入れることという戦術)を考えるのがいいのかなぁ。で、その対策もちっちゃな取るに足らないことを徐々に取り入れていく(例えば、挨拶の励行とか。挨拶を毎回やることで不審人物を見つけやすくできるだろうし)のがいいのかなと思う。
って、こういうのISMSでも要求してるんだっけ？確かここまで要求してないよねぇ。
うまくトップダウンとボトムアップをうまく組み合わせて行かないとセキュリティ文化というのは根付かないかなぁと思う。
つまり、上は細かいところを把握できないし、下は全体を見通した戦略というのがわからない。うまく根付かせるにはそれぞれ得意とするところ（上は戦略を、下は戦術を考え実行する)を行うのがいいのかなぁということだったりする(当然、戦術上戦略を実現するのが無理な場合は上に戦略を再検討してもらう必要はあるけど)。要は適材適所ということで。