出典: designer491 via Alamy Stock Photo
コメント
サイバーセキュリティは彼らの役割の中心ですが、最高情報セキュリティ責任者(CISO)はビジネスリーダーでもなければなりません。彼らは、セキュリティを単なる後付けではなく、すべてのプロセスの一部にすることで、会社に最も安全な環境を提供し、ビジネスの目標と目的をサポートします。ますます多くの見込み客や既存の顧客が内部のセキュリティ慣行に関する文書を求めているため、CISOの努力はビジネス目標に貢献するか、あるいはそれを損なうかのいずれかです。
しかし、ビジネス全体でのサイバーセキュリティの理解が限られていると、CISOが組織を安全にするための効果的な支援が妨げられる可能性があり、セキュリティとビジネス目標を一致させる計画に他のビジネスリーダーを巻き込むために専門的なアプローチが必要です。この障害を克服し、組織に価値を生み出すために、CISOは成長と革新に焦点を当て続け、サイバーセキュリティの取り組みがビジネスに利益をもたらすことを保証しなければなりません。
脅威の状況に対応する vs. ビジネスに利益をもたらす
CISOは変化する攻撃の状況に適応しなければなりません。脅威が進化し続ける中で、例えば、米国の重要インフラ全体で見られるように、国家主体のグループは、ネットワーク上で深いアクセスを持って潜伏し、偵察を行うことにより多くの時間を費やしており、暗号化されたファイルを悪用したり、会社のネットワークにアクセスした直後に身代金メッセージを送信したりする「大きな音を立てる」行動を取ることは少なくなっています。CISOは、脅威ハンティングの手順が徹底しており、アクティブな活動と潜伏活動の両方を考慮していることを確認しなければなりません。さらに、AIの進歩により、攻撃の検出が困難になる可能性があり、脅威アクターが自律的なツールを活用して、より成功した攻撃を促進するためのターゲットを絞ったエクスプロイトとペイロードの機能/特徴を持つようになります。
関連:インドのセキュリティリーダーが脅威に追いつくのに苦労している
セキュリティへのアジャイルなアプローチは、迅速な対応と組織の調整を可能にするプロセスに依存し、運用にほとんど影響を与えずにセキュリティ対策を統合することを意味します。そこに到達するために、CISOはサイバーセキュリティを維持し強化するために必要な要素(監視ツールやより良いサイバーハイジーンの実践など)を特定し、その積極的な影響が否定的な影響を上回ることを保証しなければなりません。
CISOは単独でセキュリティを行うことはできない — 彼らはイノベーションの中核の一部であり、C-suiteの支持が必要
サイバーセキュリティがチームの努力であることは誰もが知っています。スタンリー・マクリスタル将軍を言い換えれば、攻撃者のネットワークを打ち負かすためには防御者のネットワークが必要です。「良い人たち」が常に勝つ必要があります。しかし、それは組織のシナジーと共有されたビジョンがあるときにのみ実現します。将来のリスクに先んじるためには、アジャイルなサイバーセキュリティインフラストラクチャと防御を達成する必要があります。しかし、それは組織全体の支持なしには実現しません。C-suiteと取締役会からの支持、指揮系統全体に至るまで。
関連:Red CanaryがAIの革新を拡大し、アラートの過負荷を削減
ビジネス全体での共有知識は不可欠です。最近の調査によれば、サイバーリスクガバナンスにおける経営陣と取締役会の関与は、米国では世界平均(調査対象企業の51%対59%)と比較して最も低いことがわかりました。今後数年間で脅威が悪化することを考えると、ビジネスに関与するすべての人がサイバーセキュリティの重要性を理解する必要があります。
CISOにとって、成功するアプローチを開発することは、C-suiteと取締役会との定期的な会議を通じてビジネス目標の「何」と「なぜ」を共同で特定することを意味します。CISOはまた、サイバーセキュリティプロジェクト、プロセス、手順の「何」と「なぜ」を説明しなければなりません。これにより、ビジネスおよび個々の部門の目標と一致するより良いセキュリティと防御の優先順位を開発するのに役立ちます。
イノベーションをCISOのアプローチの一部にすることで、組織の文化を再定義し、サイバーリスクがビジネスリスクであるという概念を植え付けることができます。ダウンタイムから財務損失、盗まれた知的財産まで、適切なセキュリティ対策がないと大きなリスクになります。CISOは、組織の目標に効果的に貢献するために、イノベーションの文化を育成しなければなりません。
関連:新しいトランプのサイバーセキュリティ命令がバイデン、オバマの優先事項を逆転
CISOがビジネスに固有のアプローチを設計する方法
その核心において、アプローチはまずビジネス目標を考慮し、その後にサイバーセキュリティ目標の基盤を築くべきです。それはサイバーインシデントが発生する前に行われることが重要です。成功するアプローチは、組織全体が進行中のセキュリティの取り組み、インシデントが発生した際のプロトコル、意思決定が全体のビジネスを考慮して設計されている方法を理解していることを保証します。また、特定の役割と責任を脅威の前に指定することを含め、すべての手順を1か所にまとめて、すべての領域で適切なカバレッジを確認します。
攻撃面の洞察と保護を持つことは不可欠です。見えないものは保護できないため、攻撃の状況を理解することで認識が向上し、対応者が運用を中断することなくパッチを適用し、緩和できるようになります。真に効果的であるためには、現代のツールと手順は速度を重視する必要があり、レガシーシステムから統合プラットフォームへの移行が必要です。例えば、ネットワーク検出と応答(NDR)は基盤であり、ネットワーク全体を追跡し、境界制御が見逃す可能性のある脅威をキャッチします。ネットワーク検出機能は、従業員のサイバーハイジーンの欠陥から生じる異常な行動を検出し、それが意図せずインサイダー脅威を引き起こす可能性があることを助けます。
次はコンプライアンスです。コンプライアンスだけでは脅威アクターを排除できませんが、コンプライアンスを超えてコミットメントに移行することが重要です。このアプローチは、NISTサイバーセキュリティフレームワーク(CSF)や米国政府と協力する組織向けのFedRAMPなどのフレームワークを通じてすべてのセキュリティプロセスを組み込むべきです。さらに、新しい要件や進化する要件をマッピングすることで、さらなる開発を可能にするツールを特定するのに役立ちます。
最後に、CISOはレッドチーミングと攻撃シミュレーションがますます価値があることを発見しています。シミュレーションプランは、サイバー関連の状況に対処する際の様子や調査にかかる時間を経営陣に示し、インシデント対応やその他の関連プランを実行するメカニズムを提供します。組織の目標に基づいて設計および開発されたシミュレーションは、役割と責任、意思決定のチェーン、コミュニケーションのラインを明確にするのにも役立ちます。
成長とセキュリティが共存する文化を築く
CISOはビジネスの全体的な成功において重要な役割を果たしており、彼らはイネーブラーになる能力を持っていますが、ビジネスの意思決定に統合されると最も効果的です。統合されていない場合、必要なほど安全でも効果的でもない可能性があります。
サイバーセキュリティの目標をビジネス目標と一致させることは、成功するCISOを作り出しますが、ビジネスリーダーシップ全体でこの感情を作り出すことは、組織内でのコミットメントの文化を生み出し、ビジネス目標の達成に大いに貢献します。