出典: Kjetil Kolbjørnsrud via Alamy Stock Photo
コメント
長い間、最高情報セキュリティ責任者(CISO)は、セキュリティチームが価値を創造するのではなくコストセンターと見なされていたため、経営陣の席を得るのに苦労していました。その時代は、選択ではなく必要性によって終わりました。今日の脅威は目まぐるしい速さで進化し、CISOを戦略的な役割に押し上げています。セキュリティだけでなく、ビジネスのレジリエンスに焦点を当てています。サイバー攻撃の増加、規制の要求、AI導入のようなデジタル化の取り組みが相まって、サイバーセキュリティが存在に関わる重要なビジネスの必須事項であるという事実と向き合わざるを得なくなっています。
これは、近年のCISOの影響力の変化に反映されています。 最近のCISO調査では、83%のCISOが 取締役会の会議に参加している と答え、82%がCEOと交流していると報告しました。CISOの報告ラインは多くの組織で依然として議論の的ですが、CEOへの直接報告の関係が増えていることも影響力の増大を示しています。最近の調査では、2023年にはわずか 3%がそうしていたとされ、別の調査では2024年には 20%がそうしていたとされています。CISOは、企業の運営を容易に混乱させる脅威に対する独自の洞察を持ち、サイバー攻撃やコンプライアンス違反による財務的コスト、ブランドの評判や収益に大きな影響を与える可能性があるため、このデータは役割の戦略的重要性と組織内での位置付けの間に大きなギャップがあることを示しています。
関連:CISOの地位は上がるが、セキュリティ予算は厳しいまま
トップエグゼクティブとの関与は、CISOが危険なデジタル環境を安全に通過するために会社を導くために重要です。CISOは、複雑な脅威をビジネス言語に翻訳し、会社が生き残り、競争優位性をもたらすコースを描くために最も資格のあるリーダーです。
ゲートキーパーからリスクナビゲーターへ
この分野に入った当初、セキュリティは技術的な専門分野であり、広範なビジネス戦略から孤立していました。CISOは壁を築き、コントロールを実施し、邪魔にならないようにすることが期待されていました。年次評価を行い、コンプライアンス報告書を作成し、主に問題が発生したときに呼ばれることがほとんどでした。正直なところ、ほとんどのCEOはCISOからの電話を恐れていました。それは通常、問題があることを意味していたからです。しかし、今日のCISOは、組織が適応するよりも速く進化するリスクのあるビジネス環境をナビゲートしなければならず、CEO(および取締役会)は不意を突かれています。
この課題は、ますます相互接続された世界によって複雑化しています。かつて「サイバーセキュリティ」と単純に分類されていたものは、ITのレジリエンス、ビジネス継続性、リスク管理を含むはるかに広範なスペクトルを包含しています。CrowdStrikeの顧客に影響を与え、 2024年に世界中のコンピュータをクラッシュさせた バグのあるセキュリティアップデートは、医療、輸送、金融サービスを含む重要な産業で850万以上のシステムに影響を与え、この拡大したリスクの厳しい警告です。
関連:ZscalerのRed Canary買収が示すテレメトリーの価値
それ以来、サプライチェーンのセキュリティに関する懸念は増加しています。AIの出現はリスクの表面積を拡大します。企業はAI導入による意図しないデータ漏洩のリスクにさらされるだけでなく、AIモデルはデータ汚染、リバースエンジニアリング、モデルに不適切な情報を開示させるための技術など、敵対的な攻撃に対して脆弱です。従業員を代表して行動する自律的なAIエージェントが職場に入ると、リスクは指数関数的に増加します。このAIの脆弱性の新しいフロンティアは、CISOが組織とそのデータを危険にさらす可能性のあるまったく新しい攻撃ベクトルを理解し、軽減する必要があることを意味します。
それにもかかわらず、多くのリーダーシップチームは、イノベーションの遅延、予算の制約、セキュリティが直接収益を生み出さないという認識を理由に、CISOの役割を高めることに抵抗しています。この時代遅れの考え方は、適切に行われたセキュリティが実際には野心的で収益を生み出すイニシアチブに必要な信頼を構築することを認識していません。
成功への道を切り開く
脅威の増加だけではCISOを取締役会に入れることはできません。彼らはCEOと取締役会の信頼と自信を得る必要があります。ここでは、彼らが意味のあるセキュリティ成果を提供し、エグゼクティブスイートでの影響力を高めるのに役立つ5つの戦略を紹介します:
-
技術を活用してスマートに働く: 先進的なCISOは、リスクを定期的ではなく継続的に監視するために、新しく革新的な方法で技術を活用しています。彼らは、セキュリティコントロールと投資の効果を示すデータを手に入れています。また、ビジネス条件が進化するにつれてリスクプロファイルの変化を測定し、多様な環境でのコントロールのパフォーマンスを追跡する高度な監視システムを実装しています。
-
チーム間のコラボレーションを構築する: 企業は歴史的にリスクをサイロで対処してきましたが、リスクは相互に関連しています。ビジネスのある領域で発生したインシデントや損害は、他の領域にも影響を与えます。孤立して運営するのではなく、効果的なセキュリティリーダーは他の部門やリスク、監査チームと密接に協力しています。彼らは最大のリスクがある領域を指摘し、評価、証拠、発見を共有してカバレッジの範囲を拡大しています。
-
戦略的に優先順位を付ける: 限られたリソースで、成功するCISOは、より大きな企業リスクの状況を理解し、最も優先度の高い領域に実行を集中することで、より良い優先順位を付けています。これらのリーダーは、ビジネスユニットと定期的に関与し、どのリスクが重要な運営を本当に脅かすのか、どのリスクがイノベーションを追求する上で許容できるトレードオフを表すのかを特定しています。
-
エグゼクティブパートナーシップを育む: 最も効果的なCISOは、技術的な概念をビジネス言語に翻訳し、リスクを財務的に定量化し、セキュリティを戦略的目標と一致させます。技術的な専門家ではなくビジネスアドバイザーとしての立場を取ることで、戦略的計画の初期段階にセキュリティの考慮を組み込み、リスク管理を競争上の差別化要因にすることができます。
-
将来のリスクを予測する: 先見の明のあるCISOは、リスクが現実化する前に予測する能力を開発しています。彼らは技術のトレンド、規制の発展、ビジネスモデルの変化を監視し、リスクの状況がどのように進化するかを予測しています。潜在的な混乱に対するシナリオ計画と組織のレジリエンスのテストは、明日の脅威から保護するのに役立ちます。
今後の道のり
高性能航空機の熟練した副操縦士のように、現代のCISOは旅全体をコントロールするわけではありません。それはCEOの役割ですが、彼らの専門知識が企業が目的地に無事に到達するか、途中で墜落するかを決定します。
もしあなたのCISOがCEOと影響力を持ち、トップリーダーが明確にフライトパスを見通せるようにしていないなら、あなたの会社は危険にさらされています。これは技術の問題ではなく、あなたのビジネスの未来に関する問題です。
今こそ問うべきです:あなたのCISOは会社の未来をナビゲートするのを助けていますか?もしそうでないなら、そうすべきです。