規制への懸念が高まる中、取締役会の関与を強化するため、4割の企業が副CISO職を新設しています。
フォーチュン500企業では、近年セキュリティ運用チームの構造が進化しており、10社中4社が専任の副最高情報セキュリティ責任者(副CISO)または同等のリーダー職を配置していると、報告書がIANSリサーチとArtico Searchから木曜日に発表されました。
研究者によると、副CISOはCISOが不在の場合にその役割を担い、企業のリスク管理階層におけるCISOの後継者と見なされています。
「実務的には、副CISOはしばしば部門長としての役割と経営幹部としての追加責任を兼務するか、またはチーフ・オブ・スタッフとしてCISOが委任する必要のあるCISO的な責任も担うことが多い」とIANSリサーチのシニアリサーチディレクター、ニック・カコロウスキー氏はCybersecurity Diveにメールで語っています。
IANS-Articoの報告書によると、フォーチュン500企業のセキュリティチームの構造は、少なくとも4つの専門分野に拡大しています。これらのチームには通常、セキュリティ運用、IDとアクセス管理、リスクおよびコンプライアンス管理、セキュリティアーキテクチャとエンジニアリングのリーダーが含まれます。
CISOは、経営陣と連携してコーポレートガバナンスの課題に対応し、規制事項について取締役会やC-suite幹部と関与することが求められるようになっており、コアなセキュリティ機能を監督するために追加の専門家が必要とされています。
取締役会やC-suiteとの連携は、現在フォーチュン500企業では標準的な実践となっており、約95%のCISOが取締役会と直接やり取りしています。CISOの約3分の1は取締役会全体と直接関与し、3分の2はリスクまたは監査委員会と面会しています。
この報告書は、1,500人のCISOおよび他のセキュリティ専門家を対象とした大規模な調査のスナップショットプレビューです。
翻訳元: https://www.cybersecuritydive.com/news/fortune-500-specialist-security-operationa/803117/
