執筆者
ISC2 Security Congress 2023の登壇者によると、新たなサイバーセキュリティのルールや規制は、セキュリティリーダーが組織内での役割を高め、セキュリティ投資を拡大するための大きな機会を提供している。
開会の挨拶でISC2 CEOのClar Rossoは、今年これまでに各国政府によって可決された法律・規制・政策の「津波」を強調した。これらは世界的な動きであり、EUのサイバー・レジリエンス法(Cyber Resilience Act)や、米国証券取引委員会(SEC)の新たなインシデント報告要件などが含まれる。
新たなサイバー規制は、人材育成、インシデントおよび脆弱性の報告、そしてAIのセキュリティ確保など、幅広い領域に焦点を当てている。
Rossoによれば、これらの取り組みの焦点の一つは、サイバーセキュリティの負担を顧客から開発者へ移すことであり、そこにはデジタル技術から利益を得ている組織も含まれるという。
こうした規制はセキュリティチームに追加の責任を課す一方で、CISOが取締役会レベルでの影響力を高めるための大きな機会も提供する。Rossoは、政府レベルでサイバーセキュリティの重要性が認識されていることは、業界にとっての好機だと考えている。
注目を浴びるビジネスリーダー
このメッセージは、AWSのEnterprise Technologist/CxO CISOであるDr Stephen Kraemerが、SECが導入した最近のインシデント報告ルールの影響を議論するセッションで強調した。
このルールは、上場企業に対し、サイバーインシデントが投資家にとって重要な影響を及ぼす場合、その影響の詳細や、サイバーリスクを管理するためのプロセスを開示するという新たな義務を課す。重要なのは、これらのルールがビジネスリーダーにスポットライトを当てる点であり、組織は、サイバーセキュリティ脅威から生じるリスクに対する取締役会の監督、ならびに重要なリスクの評価・管理における取締役会の役割と専門性を説明する義務を負う。
「大きく考え、創造的になり、これに取り組め。」
この点は、セキュリティリーダーが一歩踏み出し、「取締役会のパートナー」になる機会を提供する。なぜなら、取締役会メンバーは、これらの責務を果たすために会社のCISOに助けを求めることになるからだ、とKraemerは主張した。
彼は、規制に関してCISOが活用すべき3つの機会を示した。
1. CISOの役割を高める
Kraemerは、取締役会に対して自らの重要性を押し出すにあたり、CISOに「大きく、そして大胆に考える」よう促した。「思い切って踏み出せば、何が起きるかに驚くかもしれない」と彼は述べた。
今後数年で、多くの企業が取締役会にサイバーの専門家を置くことを目指すと予想され、「それはあなたかもしれない」という。
自らの重要性を伝えるうえで特に重要な要素は、取締役会の言語で話せるようになることだ。これは、Digital Directors Networkのような団体が提供する研修コースを受けることや、そうしたスキルの開発を支援してくれるメンターやコーチを見つけることで身につけられる。
2. セキュリティ変革を提唱する
新たなSEC要件は、セキュリティが全員の責任であるという、組織における真のセキュリティ文化を推進するためにCISOが働きかける絶好のタイミングだ。さらにKraemerは、ゼロトラストや強化されたクラウドセキュリティアーキテクチャといったアプローチも強く提唱すべきだと付け加えた。
3. 組織内の他部門との関係を構築する
取締役会に加えて、セキュリティリーダーは社内の他部門ともより緊密な関係を築かなければならないとKraemerは述べた。彼は、新たなSECルールが、財務的影響や評判への影響といったインシデントの重要性(マテリアリティ)の確立を求めている点を指摘した。こうした影響の算定には、法務や財務など、セキュリティチームを超えた専門性が必要となる。こうした関係は、組織全体でより強固なセキュリティ文化を育むためにも、さらに活用できる。
結びにKraemerは、CISOに対して「大きく考え、創造的になり、これに取り組め」と助言した。
翻訳元: https://www.infosecurity-magazine.com/news/isos-elevate-role-with-cyber/
