ダイブ・ブリーフ
コンサルティング企業は調査レポートで、組織は物理的セキュリティとサイバーセキュリティを一元化し、両方に十分な準備ができるようにするべきだと述べている。
最初に公開されました
ダイブ・ブリーフ:
- 組織は物理的脅威に対するセキュリティにより多くの資金を配分しているが、その資金はより多くの取締役会の監視を伴っており、物理的セキュリティにおいて誰がリーダーシップを担うべきか、また 物理的セキュリティとサイバーセキュリティをどのように統合するかについての混乱が残っていると、EYの調査が明らかにしている。
- EYフォレンジック&インテグリティパルスによると、ほぼ80%の組織が直近の予算サイクルで物理的セキュリティへの配分を増やしたと答えており、場合によっては50%もの増加が見られた。これは3月のアンケートで250名の経営幹部と取締役会メンバーから得た回答に基づいている。
- 「脅威とリスクが進化する中、指導者たちはクライシスマネジメントと物理的セキュリティの準備性におけるギャップを認識し始めている」とEYは5月5日リリースのレポートで述べている。
ダイブ・インサイト:
多くの組織は物理的セキュリティとサイバーセキュリティの両方を監視するセキュリティチーフを有しているが、EYによると最大27%の組織は責任を最高情報セキュリティ責任者(CISO)の手に委ねているという。
これはセキュリティ予算の大部分をサイバーセキュリティに充てる約3分の1の組織にとっては理にかなっているかもしれないとレポートは述べている。しかし他の組織にとっては、「潜在的に物理的空間が過小投資のままになる可能性がある」と述べている。「CISOはIT およびオペレーショナルテクノロジーセキュリティだけでなく、場合によっては人事および施設管理、製品安全、気象緊急事態のためのクライシスプランニングを含む、より広範なセキュリティ運用をリードするよう求められている。」
組織は、セキュリティをすべての機能全体に統合し、セキュリティの責任者を説明責任を果たすための道筋を作成する必要がある。
「分断された所有権は段階的対応を遅延させ、責任を不明確にし、重要な局面でのクライシス対応を弱める」とレポートは述べている。
一方、組織の取締役会はより関わるようになっている。90%の調査回答者が取締役会がセキュリティへの焦点を高めたと述べている。「ほとんどの回答者は取締役がセキュリティへの投資対効果を理解していると述べている」とレポートは述べている。
ほぼ60%が自社のセキュリティシナリオにストレステストを実施していると述べているが、多くの組織では、テストがサイバーフィジカルインフラストラクチャと、それらを運用するシステムまで拡大していない。例えば、建築システムへの破壊行為のストレステストを実施したのは46%だけであり、9%が建築システムが最も露出した領域だと感じていると述べている。
調査結果に基づいて、組織はセキュリティの機能的所有者を明確にし、ケース管理とコミュニケーションを一元化すべきであるとEYは述べている。その後、脅威インテリジェンスセンターの開発と、トリアージおよび現実的な演習実行のためのプロトコルが続くべきである。
「机上演習とサイバーのみのシナリオを超えて、経営陣の移動、企業イベント、および武装した攻撃者のシナリオを含むシミュレーションを拡大してください」とEYは述べている。「経験豊富なインテリジェンス専門家が配置された整備された脅威インテリジェンスセンターを有することにより、組織は物理的セキュリティの脅威をより早期に特定して対応でき、クライシスの影響を軽減できる。」
翻訳元: https://www.cybersecuritydive.com/news/more-money-physical-security-cisos-oversee/820240/
