セキュリティにおける本当のパワームーブは、より大きな予算ではなく、混乱を減らし、実際にリスクを軽減するものを証明することであることが判明した。
数年間、私は幸いにも長年を過ごし、サイバーセキュリティプログラムをデプロイするのに十分な予算を得ました。私は同じプレイブックに従いました:リスク評価を実施し、いくつかのクイックウィンを示し、ビジネスケースを構築すると、予算がついてくるのです。努力が必要でしたが、何サイクル後には、プロセスはほぼ予測可能に感じられました。
最近の経験がすべてを変えました。シニアVPである新しいボスが私のところに来て、役割に着任したときに「私たちは財政的に効率的である必要があります。現在年度の支出を10%削減し、来年のインフレを吸収し、来年度の支出で実現するであろう効率を5%獲得する必要があり、新しいイニシアチブに自己資金を提供する効率を生み出す方法でそれを行う必要があります」と言いました。
Gartner、IDCおよび他の企業からの業界レポートをすべて思い出しました。これらはサイバーセキュリティ支出の前年比増加を一貫して指摘しており、多くの場合、一桁から二桁の高さです。その後、成長ではなく削減するように言われました。最初は反発しました。その後、別のことをする可能性があることに気づきました。数字と戦う代わりに、より少ない予算でチームをより効果的にする方法を探し始めました。その転換により、以前は考えたこともない新しい選択肢が開かれました。
セキュリティについて話すとき、通常、コントロール、コスト、またはチームを削減することを考えていないため、「リスク軽減ミッション」に直接関連していないものはすべて気を散らすものと見なしています。私たちは追加することを訓練されており、減算することではありません。お金が豊富にあるときは、ツールを積み重ね、チームを成長させ、すべての新しいリスクを追いかけます。しかし豊富さは無駄を隠します。誰も使用しないコントロール、誰も確認しないベンダー、ほこりを集めるダッシュボード、重複するチームを見てきました。予算が締まるその瞬間、すべてその混乱が目立ちます。その時が、本当に重要なものが何であるか、そして管理職がその価値を証明するときです。
リーダーシップ言語としての効率性
財政的制約の下では、CISOの使命は獲得から資本配分へシフトし、中心的な問題は、どのアクションが実質的にリスク露出を低減し、財務規律を考慮しながら彼が仕事をどの程度効率的に行っているかになります。
セキュリティロードマップは投資ポートフォリオとして管理する必要があり、各コントロールはそのコスト、効率、および損失回避について評価されます。明確性を向上させ、意思決定を支援するために、コントロールを単純なコスト対効果マトリックスにマッピングすることを検討してください。各要素のサイズはコントロールが全体的なポートフォリオから除去するリスクを示します。このビジュアライゼーションは、ドルあたりの有意義なリスク削減をもたらす投資と、限定的な影響でリソースを消費する投資がどれであるかを強調します。
信頼性は、すべてのコントロールを守ることによってではなく、情報に基づいた選択を行い、測定可能なリスク削減をもたらすものを優先することによって確立されます。低影響のイニシアチブからより高いリスク削減を持つイニシアチブへのリソースの方向付けは、管理者の行為です。単に追加の資金を要求する者よりも、金融用語で取引をはっきりと述べ、損失露出とキャッシュフローへの影響を示すことで、より迅速に信頼を得ることができます。
より少ないもので、より多くを行う方法
1. 契約をレビューし、再交渉するか、操作を新しいパートナーに変更する
スコープ、サービスレベルアグリーメント、およびパフォーマンスメトリックスは、多くの契約が異なるリスク、緊急性、および価格設定条件下で確立されたため、再検討する必要があります。アクティビティではなく成果に焦点を当てるように契約を最新化し、競争が存在する価格とサービスの仮定を再検証し、スコープを測定可能なパフォーマンスと交換することは、構造的な削減を生み出すことができます。価格と依存性のリスクが有利な場合にマルチ年期限をロック、または市場レバレッジが存在する場合に短いリニューアルを使用することで、効率性の向上をさらにサポートします。
チームと一緒に座って、大きなサイバーイベント直後に署名された契約を見たことを覚えています。数年の間に、11の修正で太くなりました。それぞれが最新の緊急事態に対する迅速な修正です。最初に戻りました。私たちが心に留めていたリスクをチェックし、サービスが実際にどのように使用されたか、そして本当に何を得ているかをチェックしました。私たちは必要以上にはるかに多く支払っていることが判明しました。詳細を通じて一緒に進むことで、新世代のSIEMプラットフォームへのアップグレードに資金を供給しながら、より良いレベルの保護を得ることができることを発見しました。他の場合には、単に契約をレビューし、スコープ変更を伴う同じパートナーを保持しました。
2. ルーチンを自動化する
時間はサイバーセキュリティで最も制約されたリソースであることが多いです。トリアージ、チケッティング、パッチワークフロー、ギャップ分析、レポート作成、標準的な対応プレイブックなどのルーチンプロセスを自動化することで、インシデントあたりの単価を削減し、熟練した才能をより高い価値の仕事に解放します。自動化は、反復的な手作業を排除し、規模での一貫性を高める意図的な努力である必要があります。
私たちは基本から始めました:常に時間を消費しているように見えるレポート作成と調整作業を自動化します。すべてのレポートを手動で構築する代わりに、Power AutomateやPower BIなどのツールでシンプルなフローを設定しました。突然、数時間かかったレポート生成が数分で完了し、ミスが減少しました。私たちのプレイブックはルーチンのインシデント対応を処理しました。本当の勝利は、アナリストが基本的なタスクから解放されたこと、実際の脅威と判断を必要とする決定に彼らのエネルギーを捧げることができたことを見ることでした。
3. 管理およびコア以外の支出を削減する
効率性はツールとベンダーに限定されません。管理支出、出張、低価値の定期的な活動、重複レポート、および不要なサービスは、静かに蓄積し、コストベースラインを膨らませることができます。四半期ごとのコア以外の支出のレビューを確立し、低価値のアクティビティを中止することを明確に決定することで、組織は即座のコスト削減だけでなく、かなりの累積スループット向上をキャプチャできます。これらの小さなカット、1年以上集計すると、かなりの合計を解放でき、その戦略的重要性を強調します。
明らかな場所(ベンダーとツール)を過ぎて見て、静かに蓄積する小さな定期的なコストを厳しく見つめました。一部のサブスクリプションとサービスは一度は理にかなっていましたが、今ではそこに座っているだけで、ほとんど使用されていません。コードスキャンサービスをレビューしていて、必要以上に多く支払っていることに気づいたことを覚えています。実際に使用したものに合わせてトリミングすることで、リスクを追加することなく、すぐにお金を節約できました。時には、最大の利益は劇的なカットではなく、静かで慎重な家事から生まれることを思い出させてくれました。
4. 価値の周りにチームと外注を再構成する
セキュリティ組織は、技術ドメイン、インシデント、またはベンダーによって形作られた傾向があり、管理するべきリスクではなく、サイロで進化する傾向があります。ターゲットオペレーティングモデルのレビューは、ツールではなく価値ドメインの周りにチームとパートナーを意図的に再編成することを含みます。価値ドメイン、または関連するリスクのクラスタは、技術的なセグメンテーションよりもリスク管理整合を優先します。IT、OT、およびデータ保護全体でインシデント対応、脆弱性管理、脅威インテリジェンスなどの重複する機能を統合することで、ハンドオフを削減し、重複を排除し、実行速度を向上させます。目的は人数削減ではなく、最も実質的なリスクへの容量の解放とまれな専門知識のより良い配置です。
チームを一緒に集めたとき、ヘッドカウントを削減しませんでした。グループがインシデント対応や脆弱性管理のように隔離で動作することを止めただけです。すべての人を同じリスクに焦点を当てることで、対応し、最大の影響を持つ場所に専門家をデプロイするのが簡単になりました。また、外注を厳しく見直し、OT、IT、およびデータ保護のためのSOCとMDRを1つの操作に統合しました。その動きはコストを削減し、効率性を改善し、リスクを低下させました。
5. ツールを統合する
多くの大規模組織は、同じリスクドメインに対処する複数のソリューションを維持しています。ベンダーの統合は、拡張ではなく、ベンダーの重複を削減し、コストを低下させ、操作を合理化します。規律は、より少ないプラットフォームに標準化し、冗長ツーリングを廃止し、残りのスタックが積極的に使用および測定されることを確認することです。
私たちはポートフォリオで見つけるすべての新しいリスクのために新しいツールを購入する傾向があり、多くの場合、見つけるすべての異なるリスクのためにベストオブブリード溶液を探しています。これも効果がない可能性があるため、通常、異なるベンダーからのツールが多く、統合されておらず、管理と十分に運用を保つために大量の作業を生み出しています。
将来は規律あるものに属する
私は、より少ないもので導くことで、すべての選択が重要であることを学びました。何を止めるかを決定することは、何を始めるかと同じくらい重要です。チームを再構成し、契約を再交渉し、ルーチンワークを自動化したとき、機能を失うことなく本当の効率を見つけました。これらの動きはコスト削減ではなく、規律についてのものでした。先を見据えると、支出されたドルあたりのリスク削減を示すことができるリーダーが標準を設定します。効率は現在、リーダーシップの兆候です。
次世代のセキュリティリーダーは、支出額ではなく、意思決定の明確性と影響によって測定されません。 取締役会では、より大きな予算を追求する者ではなく、トレードオフを示し、それに固執する者から信頼が生まれます。これはそれのために切るについてではありません。これは規律を持つ導きについてです。あなたの環境のどこで、今四半期のこれらのすべての移動の1つをテストし、結果を測定できますか?
この記事はFoundryエキスパート貢献者ネットワークの一部として公開されています。
参加しませんか?
