サイバーセキュリティは成熟度が必要であり、チェックリストではない

Overearth – shutterstock.com

サイバーセキュリティはしばしばゲームとして扱われます。企業は急速な成功を求め、コンプライアンスチェックリストをチェックするか、単一の成功した監査の後に自分たちを褒めます。紙の上では生産的に見えるかもしれませんが、実際には虚偽のセキュリティ感をもたらします。この画像では CISO がクォーターバックを表し、すべての責任が彼の上に置かれます。

しかし、サイバーセキュリティはゲームではありません。それは成熟したリーダーシップ、長期的思考、明確な責任を必要とします。その他のすべては企業を不必要なリスクにさらします。CISO はこの状況を理解していますが、組織内でそれについて何度も話題にする必要があります。

多くのセキュリティチームは、進歩のように見え、そのように提示されるが、リスクを実質的に減らさない活動に依存しています。時折のシミュレートされたフィッシング試験、目立つ新しいセキュリティツール、または基本的なコンプライアンス要件の充足などのものは、安心の感覚をもたらすことができます。問題は、これらの活動がしばしば症状のみと闘い、原因とは闘わないということです。

これの一般的な例は以下の通りです：

• コンプライアンスを出発点ではなく達成として見ること。
• 事件をシステム上の問題の指標ではなく、独立した出来事として扱うこと。
• 見栄えは良いが、実際の耐性を測らないメトリクスを追跡すること。
• 技術が弱いガバナンスまたは不明確なプロセスによって生じたギャップを埋めることができると信じること。

これはすべて見かけだけのセキュリティです。それは可視性を作成しますが、本当の保護ではありません。CISO はリスクを現実的で存在するものとして扱うべきです。彼らは変化する脅威、人員の流動性、経験不足のチームに耐えられるセキュリティプログラムを開発する必要があります。強いリーダーシップは反応的ではありません。代わりに意識的で情報に基づいています。

成功した CISO は以下に焦点を当てています：

• 人員とプロセスを優先し、技術的なツールより優先すること
• 文化的期待と責任
• 明確な責任
• サイバーリスクとそのデータ分析に基づいた意思決定
• 短期的な成功ではなく長期的な回復力

これは実際に機能するセキュリティプログラムと単にチェックリストをチェックするプログラムの違いです。

ゲームから実際のプログラムへの転換

反応的なアプローチから成熟したセキュリティプログラムへの移行は、思考方法の変化から始まります。CISO は「ゲームモード」から抜け出すことを選択する必要があります。これまでの目標は、さらに別のクォーター間の潜在的な問題を回避することでした。代わりに、彼らは本当の脅威に対抗できるプログラムを開発することに取り組む必要があります。

そのようなプログラムの主な原則は以下の通りです：

• コンプライアンスは最終目標ではなく、最小要件です。
• セキュリティメトリクスは、検出と対応までの時間など、実際の結果を測定する必要があります。
• 各インシデントはプログラムを改善する洞察をもたらすべきです。
• 障害回復計画は予防と同じくらい重要であるべきです。
• 責任は共有され、可視的で測定可能であるべきです。

これらは成熟したセキュリティプログラムの基礎です。なぜなら、必要性は毎日明らかになり、脅威の状況は各チェックリストアプローチを超える速度で進化し続けているからです。高度にプロ化した攻撃者は目的を持って行動します。彼らは協力し、自動化し、革新します。彼らはゲームをしていない、チェックリストに依存していない。

企業が安全保障を戦略的な学問ではなく、一連のタスクとして扱い続けるならば、彼らは遅れるでしょう。セキュリティインシデントは偶然ではありません。それらは成熟していないリーダーシップの予測可能な結果です。

CISO はしたがって、このタスクが必要とする真摯さを示す必要があります。セキュリティはゲームではありません。タイムアウトもシンプルな再起動もありません。企業が今日構築するものは、明日の脅威に耐えられるかどうかを決定します。適切な成熟度を持つリーダーシップが、見かけだけのセキュリティと実際のセキュリティの違いを作ります。(jm)