CISOがボードロールを獲得するために必要なこと

サイバーセキュリティリーダーはしばしばボードとの複雑な関係を持っています。多くのボードはサイバーの専門知識を欠いており、CISOはその結果、ボード承認を得ることに関して障害に直面することができます。他のセキュリティリーダーはボードへの直接的な連絡先を持たないかもしれません、または彼らは必要なサポートを得るには技術的すぎると見られるかもしれません。

その関係を改善するための1つの方法は、いくつかのCISOがボードメンバー自身になることにより、何が重要であるか、そしてボードメンバーにどのように伝えるかをよりよく理解することです。他の者はプロフィールを上げるため、将来のツールを形作るのを助けるため、またはコミュニティの知識を広げるのに貢献するためにボード職を求めるかもしれません。

後者の場合はジェイミー・ノートン、ISACAボードの副会長に当てはまります。「長期メンバーとして、私は自分の時間管理において柔軟性がある段階に達し、業界に貢献したいと考えていました。ISACAでグローバルスケールでこれを達成できることは完璧なフィットでした」とノートンはCSOに語っています。

ミトラ・ミナイ、アクセンチュアのグローバルサイバーヘルスリーダーにとって、それは高圧の瞬間にだけボードと関わるのではなく、解決策の一部になることについてでした。

「ボードのサイバーおよびデジタルリスクの理解が組織の成果に直接影響することを私は直に目撃しました。特に医療ではサイバーインシデントが患者の安全とケアの継続性に影響を与える可能性があります」と、オーストラリア情報セキュリティ協会（AISA）のボードメンバー、オーストラリアサイバーセキュリティセンターの業界アドバイザリメンバー、およびUniting AgeWellのデジタルガバナンス委員会メンバーであるミナイは言っています。

「ガバナンスレベルに関わることで、より早期かつ戦略的に貢献することができ、危機が発生する前にボードがリスク選好、投資優先事項、およびレジリエンスを形作るのを支援します」と彼女は付け加えています。「また、ボードが技術、信頼、規制、および組織目的の交差点の増加をナビゲートするのを支援する機会も提供します。」

医療と同様に、サイバーインシデントは他の重要インフラストラクチャサービスで壊滅的な影響を与える可能性があります。違いを生み出したいと考えているCISOの場合、ベンダーアドバイザリボードは別のオプションです。

ネイサン・モレッリ、SA Power NetworksのサイバーセキュリティおよびIT復旧の責任者は、ベンダーアドバイザリボードに参加する彼の動機は、重要なサービスを保護するグローバルな製品ロードマップに影響を与えるための意識的な決定だったと言っています。

「重要インフラストラクチャでは、サイバーインシデントの影響は重大であり、使用しているツールが実際に目的に適していることを確認したかったのです。これらのボードに参加することで、単にそれに対応するのではなく、明日の技術を形作ることができるテーブルに座る座席を得ます。それは1つの組織の境界線を超えて、セクター全体のレジリエンスに影響を与えることについてです」と、Cyera、CrowdStrike、Proofpoint、およびSailPointのアドバイザリボードのメンバーであるモレッリは言っています。

ボードロールを獲得することは簡単な道のりではありません

しかし、CISOは、ボード職が獲得するのが難しい場合があることを認識する必要があります。多くの年間ISACAのカンベラチャプターに関わっているにもかかわらず、ノートンはボード職を獲得する前にいくつかの試みを経験しました。彼は一度申請し、失敗しました。翌年、彼は再び試みましたが、またもやうまくいきませんでした。そのような拒否を個人的に受け止めないのは難しい場合があります。彼は、彼は素晴らしいフィードバックを受け取り、再度申請するよう勧められたことを付け加えています。

「このプロセスについて多くの熟考がありました、そして結果が専門知識、経験、またはボードが必要とするスキルとの課題である場合、それが成果を促進していたかどうか」と彼は言っています。「必要なスキルはすぐにその後私の専門知識と一致するようになり、私は成功しました。それ以来素晴らしい旅でした。」

それはまた重要なコミットメントです。ノートンは付け加えています。「ボード関連の仕事と会議に毎週多くの時間を費やし、そのその多くはオーストラリア時間の午前12時から午前2時の間の早朝に実施されています。」

アドバイザリおよび委員会職は特定の認定資格を必要としませんが、ガバナンス能力と信頼性はボードレベルで効果的であるために不可欠です。とミナイは言っています。彼女はより広い非執行役員職への意図的な進展の一部として、今後12〜18ヶ月以内に正式なオーストラリア企業取締役協会（AICD）のガバナンス教育を完了する計画を立てています。

ボード職を目指すCISOのためのヒント

グローバルベンダーボードに貢献することに関心のあるCISOの場合、モレッリは単なる顧客ではなくパートナーになることに焦点を当てるようアドバイスしています。これには、製品の進化がセクター全体のリスク環境にどのように影響するかを明確に述べることができることが必要です。

非業界または公開ボードの場合、CISOは損益計算書、ESGレポート、または現代奴隷制度声明に関する議論に貢献するのに快適である必要があります。あなたは組織全体の戦略と持続可能性の監視を提供するためにここにいます。

ここはミナイ、モレッリ、およびノートンからの他のトップヒントです：

• タイトルではなくガバナンスから始めましょう。委員会、非営利ボード、および業界協会は実際のガバナンス経験を提供します。
• ガバナンスを実行/管理から分離します。ボード効果には、運用上の問題解決ではなく監視と判断が必要です。
• ボードの言語を学びましょう。ボードはコントロールとツールだけでなく、リスク選好、トレードオフ、成果、および価値創造に焦点を当てています。
• 正式なガバナンス教育に投資しましょう。経験豊富な管理職でさえ、ボード職に移行する際に構造化されたガバナンストレーニングから恩恵を受けます。
• 慎重に選択してください。あなたの専門知識が本当に重要であるボード、およびあなたの価値観と一致している会社にゼロイン。
• ボランティアを検討してください。あなたの最初のボード職の位置として非営利慈善団体を対象にすることは、あなたが貴重な最初のボード経験を獲得するのを支援することができます。
• ネットワークを活用してください。ボードの機会はしばしば既存の関係から生じます。 
• 認定を取得してください。NACD取締役認定資格または同様の認定資格への投資を検討してください。

あなたのCISO職と同様に、ブランディングとナラティブは重要です。財務、法律、ガバナンス、リスク、危機管理、規制ナビゲーション、および戦略的ガバナンスなどの主要なスキルと経験を強調するボード経歴を研究して開発してください。

別の側からボードを経験することの利点

CISOはボードメンバーになることから多くの利益を得ます。これらの中で最も重要なのは、ノートンが言うように、取締役の考え方のより大きな理解です。

「重要な懸念を表すもの、ボードメンバーが報告に求める適切な詳細のレベル、およびリスク選好と企業戦略への貢献を理解することは貴重でした」と彼は言っています。「私の日中のCISOとして、これはボードメッセージングのバランスを取り、議論を正しい方法でフレーミングする方法を理解するのに大幅に役立ちます。」

ミナイの経験は彼女がどのように考え、リーダーとして振る舞うかを形作ってきました。彼女が経験した利点のいくつかには、機能的な最適化を超えた長期的で企業全体の観点を開発することが含まれます。ボードがリスク、投資、文化、ステークホルダーの期待をどのようにバランスしているかについてのより深い理解。不完全な情報での不確実性のもとでの意思決定への露出。そして技術とサイバーリスクを戦略的および財務的影響に変換する能力を強化。

「これらの役割はまた、高齢者ケア、学術、政府、および非営利セクター全体の私の露出を広げました。これは、シニアエグゼクティブとしての私の判断と影響を強化しました」とミナイは言っています。

モレッリにとって、それは業界がどこに向かっているのかを18〜24ヶ月で見ることができることについてです。

「ネットワークのかなりの複合効果もあります。世界のトップCISOとビジネスリーダーと一緒に部屋に座ることは、どのブリーフィングノートも複製できないレベルの戦略的インテリジェンスを提供します。あなたはグローバルスケールで運用するピアから常に挑戦されているため、リーダーとして成長することを強いられます」と彼は言っています。

サイバーセキュリティリーダーがますますボードルームに招待されているとしても、招待だけは効果を保証しません。ガバナンス職で成功するCISOは、サイバーセキュリティを単なる技術的防御ではなく、信頼、レジリエンス、および組織的管理の問題として再構成できる者です。ミナイは言っています。

「ボードはもう1人のセキュリティオペレーターを探していません。彼らは複雑さの下で明確な思考、冷静な判断、および戦略的洞察を探しています」と彼女は言っています。「それは経験豊富なCISOが独自かつ永続的な貢献をすることができる場所です。」