Government Approaches to Cybersecurity - What are your tips?

Handler's diary、2009年11月23日の記事です。

冒頭で、米国標準技術局(NIST)がアメリカ政府機関のネッ
トワークをどのように保護するかを論じた新しいガイドライン
を出したという話題から、組織内のシステムを適切に保護
するための対策を売り込むにはどうすればいいか？といっ
た内容に展開しています。

NISTのガイドライン自体は88ページにも及ぶ内容で、ざっく
りと目を通してみた程度ですが、RISK MANAGEMENT FRA
MEWORK(RMF)なるものは興味深いです。

他にも、記事の中にある他リンクから辿ることができるSAN
Sによる管理職へセキュリティ対策を売り込むためのTipsも
面白く、だいたいこんな構成になっています。

・コミュニケーション理論
・対象となる役職者の責任や潜在的影響力の簡単な説明
・ドラフト作成時の注意事項
・発表時間を考慮した編集
・内容の見直し
・練習
・技術的プレゼンの落とし穴

ドラフト作成時の注意事項では、組織内のテンプレートが
あるならば是非それを使うこと、もしそういったものがない
場合に備えたフォントなどの指定まで至れり尽くせりです。

中でも、Lenny Laskowski が考えたという、"AUDIENCE" と
いう頭字語を使ったプレゼン対象者の分析手法はユニーク
です。


Analysis
Who are they? How many will there be?
（分析：彼らはどのような人たちで、何人くらいか？）

Understanding
What is their knowledge of the subject?
（理解：彼らは、この件に関して知識を持っているか？）

Demographics
What is their age, sex, educational background?
（対象となる層：彼らの年齢、性別、学歴は？）

Interest
Why are they there? Who asked them to be there?
（関心：彼らはなぜそこにいるのか？誰がそうするように頼んだか？）

Environment
Where will I stand? Can they all see and hear me?
（環境：私はどこに立つのか？彼らは私を見たり声を聞く事ができるか？）

Needs
What are their needs? What are your needs as the speaker?
（必要性：彼らはどの程度ニーズがあるか？講演者としての私はどの程度
　ニーズがあるのか？）

Customized
What specific needs do you need to address?
（特別事項：何か特定のニーズを記述する必要があるか？）

Expectations
What do they expect to learn or hear from you?
（期待：彼らは、私から何を学ぶか、または聞くことを期待しているか？）


続きの記事で、政府機関にセキュリティを売り込むTipsに
対する読者の答えからベストなものを載せるそうなので、
楽しみにしています。


■関連リンク
The Intelligence Cycle for a Vulnerability Intelligence program on-the-cheap
Handler's Diary
Published: 2006-05-29,
Last Updated: 2006-05-30 14:36:48 UTC
by Kevin Liston (Version: 1)

Tip of the Day: Standards
Handler's Diary
Published: 2006-08-27,
Last Updated: 2006-08-28 16:48:35 UTC
by Swa Frantzen (Version: 3)

SWOT matrix for describing security posture
Handler's Diary
Published: 2008-08-29,
Last Updated: 2008-08-29 16:49:00 UTC
by Lenny Zeltser (Version: 1)

Day 28 - Avoiding Finger Pointing and the Blame Game
Handler's Diary
Published: 2008-10-28,
Last Updated: 2008-10-31 02:06:20 UTC
by Jason Lam (Version: 1)

Proving Security ROI in Tough Economic Times
Handler's Diary
Published: 2008-12-21,
Last Updated: 2008-12-22 16:13:48 UTC
by Mari Nichols (Version: 2)

Top 10 Mistakes When Crafting a Security RFP
Handler's Diary
Published: 2009-01-09,
Last Updated: 2009-01-24 02:22:15 UTC
by Lenny Zeltser (Version: 1)

How to Suck at Information Security
Handler's Diary
Published: 2009-01-09,
Last Updated: 2009-01-19 14:49:25 UTC
by Lenny Zeltser (Version: 3)

Cyber Security Act of 2009
Handler's Diary
Published: 2009-04-03,
Last Updated: 2009-04-06 18:33:01 UTC
by Johannes Ullrich (Version: 1)

How to be Heard? 10 Tips.
Handler's Diary
Published: 2009-04-06,
Last Updated: 2009-04-06 03:49:19 UTC
by Lenny Zeltser (Version: 1)

Northrop, colleges form cybersecurity group
SecurityFocus
Published: 2009-12-02