サイロ化したサイバー、オペレーション、戦略チームはリスク管理を損なう。統一された文化とガバナンスは、断片化されたリスクを回復力に変える。
リスク管理について誰も教えてくれないことがある。それはあなたのサイバーチームはクリンゴン語を話し、オペレーション部門はエルフ語を話し、戦略部門は古代ギリシア語を話しているということだ。そして、彼らがすべて同じ城を守ることを期待している。
私たちはこれが何度も起きるのを見てきた。CISOはランサムウェアの脅威について警告する。オペレーションは供給チェーンの崩壊を心配する。取締役会は市場の混乱に執着する。彼らはみなリスクについて話しているが、別の惑星にいるも同然だ。危機が襲来するとき(そして必ず襲来する)、皆が自分たちの方向に散り散りになり、場所は焼け落ちる。
これらのチームは彼らが行うことに優れている。問題は、リスクが感謝祭の七面鳥のように分割されてしまっていることだ。各部門が自分たちの好きなピースを主張する。サイバーは脚肉を手に入れ、オペレーションは胸肉を取る、戦略は翼をつかむ。誰も全体の鳥を見ていない。
この断片化は企業を殺す。エンロンが崩壊したのは賢い人材や洗練されたフレームワークが不足していたからではない。情報が消毒され、変更されたり、その他の方法で鎖の上側に移動する際に修正されたために死んだ。経営陣は一つのストーリーを伝え、帳簿は別のストーリーを示し、場合によっては現場のオペレーターは実際に何が起きているのか全く知らなかった。真実が最終的に明らかになったとき、信頼は一夜にして蒸発した。数十億ドルが消えた。当時の米国史上最大の破産だ。
それがリスクがサイロに住むときに起きることだ。
3つの言語問題
任意の組織に入れば、3つの異なるリスク方言が聞こえるだろう。
サイバーセキュリティチームは脆弱性、脅威アクター、ゼロデイの観点で話す。彼らは攻撃が防御より速く進化し、1つの誤設定されたサーバーが数百万のレコードを露出させる可能性がある世界に住んでいる。彼らのリスク言語は技術的で、即座で、しばしば恐ろしい。
オペレーションはプロセス障害、人為的エラー、ビジネス継続性について話す。彼らは実際に企業を破壊する平凡なことを心配する。一夜にして破産する供給業者、間違ったリンクをクリックする従業員、生産を数週間停止させる倉庫火災だ。彼らのリスク言語は実践的で、今日何が起こるかについての現実に基づいている。
戦略は市場シフト、競合の脅威、ビジネスモデルの陳腐化について考える。他の誰もがチェッカーをしている間、彼らはチェスをしている。到着する前に破壊を発見しようとしている。彼らのリスク言語は抽象的で、長期的で、恐ろしく不確実だ。
彼らの誰も間違っていない。しかし、彼らの誰も完全でもない。
NetflixがBlockbusterの競争サービスからの潜在的な消滅に直面した2000年代初期に、彼らは単にテクノロジーを修正し、オペレーションを微調整し、または戦略を修正しなかった。3つすべてを調整した。経営陣は戦略的にストリーミングへのピボットをするための大胆な決定を下した。オペレーションは配信モデル全体を変換した。テクノロジーはサポート機能ではなく基盤となった。彼らはすべてのドメイン間で1つの言語を話した。
Blockbusterはドメインを別に保った。戦略は運用上の制約を理解せずに決定を下した。オペレーションは十分に速く適応できなかった。テクノロジーは市場の需要から遅れた。私たちはその物語がどのように終わったかを知っている。
3つの言語から1つの文化を構築する
組織リスク文化標準(ORCS)は、ほとんどのフレームワークが見落とすものを提供する。文化を基盤として扱い、事後思考ではない。既存のプロセスに文化をボルトで固定して、完了と言うことはできない。文化は、誰も見ていないときにリスクについて人々が実際にどう考えるかだ。リスク判定を導く共有信念だ。
人、プロセス、テクノロジーが一緒に踊らなければならない動的システムとして考えてみてください。人はリスクを判断し行動する操作者だ。プロセスは基準を提供し、危機時に即興する必要がないようにする。テクノロジーはパターンを検出し、脅威を監視し、人間の反射神経より速く対応するツールを提供する。
しかし、ここにはキャッチがある。これら3つの要素は、3つのリスクドメインすべてにわたって調整する必要がある。サイバーセキュリティチームはオペレーションにどのように影響するかを理解する必要がある。オペレーションチームは戦略的な意味を理解する必要がある。戦略担当者はサイバーと運用上のリスクを他の誰かの問題として扱うのをやめる必要がある。
この整列は実際に意味のある4つの柱を通じて起きる。
ドメイン間で統合する
まず、経営陣とガバナンスはドメイン間で統合する必要がある。CISOがCIOに報告し、一方でCOOが彼ら自身のことを行い、一方で取締役会が四半期ごとのアップデートを取得し、企業のリスクチームがサイバーに見えない状態ではなく。
真の統合は、サイバー、オペレーション、リスク、戦略の人がまとめて座り、同じ言語を話し、1つのユニットとして決定を下すクロスファンクショナルな委員会を意味する。彼らが見たい行動をモデルにするリーダーであり、重大な承認前に相互ドメインの影響について尋ねるリーダーを意味する。
統一されたリスク インテリジェンスのシステムを確立する
第二に、統一されたリスクインテリジェンスが必要だ。サイバー脅威インテリジェンスはバブルの中に住むことはできない。セキュリティチームが業界を標的とするフィッシングキャンペーンを発見した場合、人に影響を与えるため、オペレーションは知る必要がある。競合知的収集を示唆しているため、戦略は知る必要がある。リスクインテリジェンスは境界を越えて流れるか、それはただのノイズだ。
これはORCS標準の適応的な弾力性の概念を適用する必要がある。サバイブする組織は厳密ではない。彼らは曲がる。彼らは再検討する。条件が変化するとき、彼らはリスク喜好度と寛容度をリアルタイムで調整する。彼らは年間戦略レビューを待つ必要がなく、世界が6ヶ月前に変わったことを実現する。
リスク喜好度を統一し、それを伝える
第三に、統一されたリスク喜好度と統一された通信フレームワークを確立する。ほとんどの組織は部門ごとに大きく異なる暗黙のリスク喜好度を持つ。サイバーはリスク回避的であることができ、戦略は大きなスイングを取り、オペレーションは差の分割する。それは戦略ではない。それは予算付きのカオスだ。
明確なリスク喜好度とは、誰もが追求するリスクと触れないリスクを知っていることを意味する。リスク寛容度は境界を設定する。あなたがそれらを越えるとき、アラームが鳴り、人々はエスカレートする。推測なし。フリーランスなし。サプライズなし。
コミュニケーションはこれを現実にする。ドメイン間での透明な情報共有。人々が頭を噛まれることなく懸念を提起できるように心理的安全。Red Lobsterの無限エビプロモーションがほぼ破産したとき、新しいCEOはPRスピンの後ろに隠れなかった。彼は直接ソーシャルメディアに行き、責任を取り、顧客と直接参加した。その透明性はマーケティングキャンペーンができる以上に速く信頼を再構築した。
継続学習を追加する
第四に、文化に継続学習を組み込む。リスク管理は終了日を持つプロジェクトではない。進化する実践だ。現在の状態を評価し、改善を設計し、変更を実装し、結果を測定する。その後、また行う。そしてまた行う。
ORCS標準は5レベルの成熟度モデルを提供する。ほとんどの組織はレベル1から始まり、リスク管理は反応的で断片化されている。人は即興する。ポリシーは紙に存在するが、誰も従わない。危機は誰もが不意を突かれる。
レベル3は事が興味深くなるところだ。正式なフレームワーク、一貫したプロセス、適度な統合がある。リスク管理は強制されたときにやることではなく、働き方の一部になる。
レベル5はリスクが競争上の優位性になるところだ。混乱が起きる前に予測する。脅威を機会に変える。ステークホルダーは一貫した倫理的行動を通じて獲得したため、あなたを信頼する。
それを現実にする
実装が実務でどのように見えるか、コンサルタント用語を除いて。
現在の状態を10の次元にわたって評価することから始める:リーダーシップ、リスクインテリジェンス、倫理、意思決定、リスク喜好度、通信、テクノロジー統合、人材開発、フレームワーク整列、変更管理だ。ドメイン間のギャップを探している。情報がどこで立ち往生するか。決定はどこで分離されているか。人はどこで異なる言語を話すか。
その後、統合を設計する。全員が同じ用語を使用できるように共通のリスク分類法を作成する。クロスドメインの協調を強制するガバナンス構造を構築する。すべての3つのドメイン、サイロだけではなく重要なメトリクスを定義する。
実装は小さく始まる。高い影響のあるクロスドメインリスク1つを選ぶ。ランサムウェアはすべてに触れるため、よく機能する:サイバー防御、運用継続性、戦略的評判。統合された応答をそこに構築する。機能することを示す。その後スケール。
ドットをつなぐテクノロジーが必要になる。全員に同じビューを与えるリスク管理プラットフォーム。ドメイン間のパターンを発見する実時間監視。経営幹部が実際に理解できるダッシュボード。
しかし、テクノロジーは単なる有効化器だ。実際の作業は文化的だ。ドメインを超えて考えるように人を訓練する。縄張り保護に対する協力を報いるインセンティブを作成する。教訓が1つの領域から組織全体に広がるようにフィードバックループを構築する。
Patagoniaは「このジャケットを購入しないでください」と読むフルページ広告を実行することでこれを達成した。彼らは自身のベストセラー製品の環境コストを認めた。危険?全くそうだ。しかし、彼らは運用上の変更で支援した:修復サービス、リサイクルプログラム、転売プラットフォーム。彼らは倫理、オペレーション、戦略を調整した。その翌年、売上は30%跳ね上がった。顧客は彼らを信頼していたからだ。
見返り
あなたがこれを正しく得たとき、利益は複合する。
あなたはより早くリスクを見る。あなた全体の絵を見ているため、単にあなたのスライスだけでなく。サイバー脅威インテリジェンスは供給チェーンの脆弱性を明らかにする。運用上の混乱は市場の戦略的な転換を示唆する。サイロ化されたチームが見落とすドットを接続する。
全員が計画を知っているため、より速く対応する。問題は誰のか、誰がレスポンスをリードすべきかについて議論する時間は無駄にならない。ガバナンス構造は既に役割を定義している。通信チャネルは既に存在する。実行する。
より良い決定を下す。すべてのドメイン間でリスクと機会のバランスを取っている。戦略で無分別になり、サイバーで偏執病になっていない。動的リスク均衡を維持している。目標をサポートする計算されたリスクを取り、重要なものを保護する境界内に留まる。
最も重要な、信頼を構築する。従業員は、行動中の一貫した価値を見ているため、リーダーシップを信頼する。顧客は、物事が悪くなるときに透明性を持っているため、あなたを信頼する。投資家は回復力を示しているため、あなたを信頼する。規制当局は、ISO 31000およびCOSO ERMなどのフレームワークに整列しているため、あなたを信頼する。
リスク管理を止めることを止め、何かを使用することになる。すべての組織がそこに着くわけではない。ほとんどは彼らのサイロに立ち往生し、彼らの別言語を話し、彼らが何度も不意を突かれ続ける理由を不思議に思う。
それが3つの言語から1つの文化を構築し、混乱を利点に変える方法だ。そしてほこりが決着したときも立ったままでいる者である。
この記事はFoundry Expert Contributor Networkの一部として公開されている。
参加しませんか?
翻訳元: https://www.csoonline.com/article/4132307/finding-a-common-language-around-risk.html
