出典: NicoElNino via Shutterstock
最高情報セキュリティ責任者(CISO)はこれまで以上に高い報酬を受け、経営陣の一員であるか、または経営陣に直接報告する可能性が高く、責任も拡大しています。しかし、厳しいセキュリティ予算は依然として大きな課題です。
全体として、大企業のトップサイバーセキュリティ専門家は良好な状況にあり、その価値を証明していますが、コストではなくビジネスの機会にセキュリティを結びつけるために常に努力しなければならないと、今週発表された2つの調査によれば述べられています。
IANS Researchが5月29日に発表したサイバーセキュリティコンサルタントの調査データによると、米国の大企業(収益が10億ドル以上)における平均CISOの現在の報酬は、基本給、ボーナス、株式利益を含めて532,000ドルです。高い給与には増加する責任が伴い、CISOは現在、ビジネスリスクの評価、製品セキュリティ、デジタル戦略を担当することが多くなっています。
全体として、この役割は急速に進化していると、IANSのシニアリサーチディレクターであるNick Kakolowskiは述べています。
「組織によって評価されるという点では、CISOは比較的良好ですが、CISOの役割の境界が実際には何であるか、そしてその仕事が何を含み何を含まないかについて、市場にはまだ多くの不確実性があり、大きな変動が見られ、それが業界全体の満足度の問題を引き起こしています」と彼は言います。「そして予算面では、私たちがますます聞いているのは、支出がビジネスの成長イニシアチブに直接結びついている場合、一般的に承認を得られるということです。」
関連記事:ZscalerのRed Canary買収が示すテレメトリーの価値
ビジネスコンサルティングの大手Ernst & Youngが今週発表した第2の調査によると、セキュリティ支出を価値あるビジネス機能の実現に結びつけることが、CISOにとって重要な戦略となっています。ほとんどのサイバーセキュリティチームは、国際取引のセキュリティと信頼性の向上や、イノベーションのための安全な開発環境の構築などの活動を通じてビジネスに価値を追加していますが、EYの調査によれば、58%のCISOとサイバーセキュリティの責任者がリスクの軽減を超えてその価値を伝えることに苦労しています。
CISOのピークは過ぎたのか?
COVID-19パンデミックの間、サイバーセキュリティの専門家は報酬で大きな進展を遂げました。ソフトウェアとセキュリティの専門家への需要が急増し、両グループの労働者は大幅な給与増加を達成しました。
その傾向は大部分で衰退していると、IANSのKakolowskiは述べています。「CISOの給与は徐々に上昇し続けていますが、市場は非常に遅く、[仕事の]動きが大きくないため、大幅な上昇は見られません」と彼は言います。
約6割のCISOは主要なビジネス戦略の決定において相談されていません。出典: EY
しかし、大企業のCISOが進展を遂げた一方で、それが予算に反映されていません。EYの報告によれば、サイバーセキュリティ予算は過去2年間で年収の1.1%から0.6%に減少しました。IANSの調査では、調査対象企業のセキュリティ予算は収益の0.35%とさらに低くなっています。スタッフは予算の約3分の1を占め、ソフトウェアも同様に3分の1を占め、残りの3分の1がアウトソーシング、プロジェクト、ハードウェア、トレーニングに充てられています。
多くのCISOにとって、出発点は他の経営者やビジネスリーダーとの内部ネットワーキングであると、IANSのKakolowskiは述べています。現在、大企業のCISOの3分の1が経営者の肩書きを持ち、約40%が副社長で、4分の1がディレクターレベルであると、IANSの調査は示しています。
「多くのCISOにとって、ビジネス成長の会話に引き込まれるのは、方向性に影響を与え、セキュリティをそのプロセスに組み込むのがほぼ遅すぎる段階まで待たなければなりません」と彼は言います。「だからこそ、人々がブレインストーミングを行い、前進する方法を探り、新製品のリリースや新しいビジネス拡大の機会が議論される裏部屋の会話に参加し、そこで何かを提供できる人物として認識されることが、本当に最初のステップです。」
EYの調査によれば、59%のCISOが緊急の戦略的会話の際に相談されないか、相談が遅すぎると述べています。
EYは、サイバーセキュリティの責任者が関与し、企業価値創造を提供できる6つの重要な分野を強調しました:
-
技術の採用と構築
-
ブランドの信頼と評判の強化
-
顧客体験の向上
-
ビジネス全体の変革と革新
-
新しい製品とサービスの開発
このモデルを使用して、コンサルタントはサイバーセキュリティチームを含むイニシアチブが、調査対象のすべての組織で中央値で3600万ドルの価値創造をもたらしたと計算しました。
必要: より多くの最適化と自動化
予算に苦しむCISOは、簡素化と自動化の2つのアプローチに焦点を当てるべきだとEYは主張しました。サイバーセキュリティツールセットを簡素化することで、企業は重複とコストを削減し、攻撃面を最小限に抑えることができます。EYの報告によれば、企業は中央値で35種類のサイバーツールを使用しています。
「AIの展開、技術革新、スケールでの意思決定において競合他社を上回る位置にあるほとんどの組織は、統一された技術プラットフォームアプローチを採用しています」と、EYのグローバルおよび米国のサイバー最高技術責任者であるDan Mellenは報告で述べています。
企業は、プロアクティブで迅速にAIを採用し、ビジネス戦略と一致したCISOの役割を受け入れるべきであり、企業にとってより価値を創造するために、セキュリティチームは他のビジネスユニットと協力し、イノベーションに焦点を当てるべきであるとコンサルタントは述べています。
「サイバーセキュリティを企業全体の成長と変革のイニシアチブに結びつけ、その貢献を定量化することで、防御的な立場から戦略的な立場に移行し、組織の価値創造アジェンダのより大きく、より説得力のある部分を解き放つ可能性があります」とEYの報告は述べています。
最後に、セキュリティグループはAIの採用を主導し、その運用をより効率的にするだけでなく、他のグループが技術を展開しようとする前にセキュリティと安全性の問題に取り組み、より良いサイバーセキュリティポリシーの道を開くべきです。
翻訳元: https://www.darkreading.com/cybersecurity-operations/ciso-stature-rises-budgets-tight