ISMSとかではとにかくマニュアル作れって言ってるんだけど、コンサルとかで見ていると、マニュアルが合ってる会社や業務は確かに有るけど、一方で昨日の日記のコメントでの議論みたくマニュアルだけではカバーしきれない部分が存在するのも事実なんだよなあ。そういうところにもベースにマニュアルは必要なんだろうけど、ソーシャルエンジニアリングとかに完全に対処しきれるマニュアルは無理だしねえ。
ソーシャルエンジニアリングってそういうやり方が有るかどうか、を知ってるだけでも違うので、一次的に外からのコンタクトを受けるところ(営業、クレーム部署)がそういう感覚を磨くことも必要なのかなあ。知識教育を含めてトレーニングしたりして。
実際に怒っている人が電話してきたらどうするか、ということは、あらかじめオーソライズされていないとそれこそサービスレベルとしてもまずくなってしまうので、ベーシックなマニュアルは必要でしょうね。そのマニュアルの中にどれだけセキュリティチェックを入れることができるかが鍵なんだろうけど、まあトラブルに発生するようなケースっていうのは、そこにセキュリティチェックという思想が入らないんだろうなあ。あちきがこれまでいろんなところで見てきた幸せな事例(笑)ってのは、そういう要素を入れてマニュアル化してたということも理由の一つなんだろうけどねえ。
とはいえ、なかなかお客様が神様な日本ではそういう要素を入れて、どこかでチェックかますというのは難しいかも知れないすね。そしてソーシャルでヤラレ続けてしまうヽ(´ー`)ノ
どんなセキュリティもそういうところあるんだけど、ヤラレ続けていても、その被害が経営上無視できないほど甚大にならないと動かないすからねえ。
