適切なセキュリティトレーニングは、人為エラーが原因で起こるセキュリティ違反を多く防ぐことを可能とする。質の良いセキュリティトレーニングを提供するは、IT業界で働こうと考えている学生に必要なスキルを身につけさせる一手段といえる。
人為エラーによる違反が減少する一方で、「トレーニング不足」が2004年、2005年と比較し顕著に、セキュリティ違反の原因として挙がっている。人為エラーに関連した違反の半数以上が、「スタッフのセキュリティ手続きの不履行」が原因とされている。
スタッフを適切に育成した企業は、多額のコストを抑えることができる。認定資格を持つスタッフがいる企業と、認定資格を持つスタッフはいないがITセキュリティトレーニングを行う企業のコストを比較したところ、前者が80%以上のコストを抑えられていることがわかった。(節約されたコストは、前者が$352000であるのに対して、後者が$656000)
節約されたコストの平均額は、前者が$25000に対して後者が$14000であった。
Colorado Springs Chapter of the Information Systems Security
Associationのトレーニング&認定資格ディレクターであるTim Hoffman氏はセキュリティトレーニングの重要性について賛同している。
”私が強く支持するセキュリティ認定資格は二つありますが、その一つにCompTIA Security+があります。私ももちろん取得済みですがSecurity+試験の、経験からいいますが、簡単に取得できる試験ではない点をとても高く評価しています。つまり、単に本を読んで受験をすれば合格する、という仕組みにはなっていません。”Hoffman氏はいう。
調査回答者もまた、セキュリティトレーニングと認定資格の支持を示した。このことは、調査に参加した3分の2以上の回答者が、「昨年比から上回るセキュリティトレーニングまた認定資格の予算を当てる」と答えたことからも証明される。そのようなトレーニングや認定資格に対する企業のIT予算は、2005年の8%から、現在の12%に移行している。また、回答者の約半数が、テクノロジー関連を含むすべてのセキュリティ分野の支出を増加する予定であると回答している。また、将来的な支出も増えるであろう、と回答者の3分の1が答えている。
ワイヤレステクノロジーは大きな懸念事項であるなか、トレーニングによりその懸念を緩和ことを可能とする。回答者の4分の3が、リモート/モバイルからのデータアクセスを許可する中、それを実行するスタッフにセキュリティ認識を実施したのはわずか32%で、2007年にその実施を行うと回答したのはわずか10%であった。しかし、回答者の72%が、移動メディアデバイスによるセキュリティ脅威から、保護するためのプランがあるとしている。トレーニングを実施した企業の多く(88%)は、リモート/モバイルスタッフにセキュリティ認識トレーニングを実施後、大きなセキュリティ違反は減少していると回答した。
キャリアにおけるセキュリティ知識の重要性(一部抜粋)
CompTIAセキュリティ調査報告「情報セキュリティ:ITセキュリティとその人材に関するCompTIA分析」では、マネージャはセキュリティに最も関心を示していることがわかった。
調査に参加した企業のうち、4分の3以上が「セキュリティ」を最優先事項として認識していて、コンピュータセキュリティに多くの資金を投じている−予算支出の割合は上昇を示す。2006年では20%の増加
(2005年では15%増)
人々がより多くの情報にアクセスできるようになればなるほど、セキュリティの重要性は高まる。また、ITセキュリティのトレーニング不足がセキュリティ違反の原因、とする回答者も、2004、2005年と比較して顕著に増えている。違反の半分以上が、人為的エラーが原因で社員が正しいセキュリティ手順を追わなかったことが理由であった。
この理由から、新入社員やすでに勤務している社員にITセキュリティ認定資格を取得させる企業が増えているのかもしれない。回答企業の4分の1以上が、IT社員にセキュリティ認定資格の取得を必須としていて、84%が認定資格によりITセキュリティが改善したと回答している。
