調査により、CISO と取締役会の両者がアプローチを変える必要があることが示されています。
AI駆動型のサイバー攻撃の時代において、サイバーセキュリティは企業の取締役会の議題に定期的に上がるべき項目です。しかし、CISO と取締役会がどのように相互作用し、その議論の深さはどうかというと、依然として短く、表面的なままです。
IANS、Artico Search、The CAP Groupの新しいレポートによると、CISO・取締役会のやり取りは短時間のままで(通常、四半期ごとに30分)、特に AI や他の新興技術がもたらす脅威についての深さが不足しており、積極的な参加よりも「聴く」ことに重点が置かれています。
「業界はまだ成熟の途上であり、『良い』は移動する標的です」と、IANS のシニア・ディレクター for CISO リサーチの Nick Kakolowski 氏は述べています。「CISO と取締役会は、サイバー問題のビジネス上の長期的な含意を文脈化し、理解するための共通の言語を開発しています。」
CISO が会議で『十分な発言時間』を得られていない
調査によると、取締役会の30% だけが CISO との関係を『強力で協調的』と説明し、35% は『適切で機能的』と呼んでおり、24% は改善が必要だと述べています。
これは、深い信頼とパートナーシップが『不均等で普遍的ではない』ままであることを示していると、レポートは述べています。
調査対象の650人以上のCISO の大多数(95%)は、少なくとも四半期単位で定期的に取締役会に報告していると述べています。そのうち60% は取締役会全体と関わり、35% は少なくとも1つの取締役会委員会と関わっています。しかし、セキュリティリーダーの4分の3は、これらの議論は通常30分間だけ続くと述べています。
「更新は頻繁に厳しく時間制限され、全取締役会に向けられるのではなく、委員会を通じてルーティングされています」とレポートは述べています。
公開上場している金融サービス企業のある匿名のCISO は、「提示するレポートには関心がありますが、フォローアップはほぼありません。取締役会はサイバーセキュリティを経験したり調査したりするものではなく、説明を受けるものとして扱っています」と述べています。
一方、30分以上の『十分な発言時間』を持つ25% のCISO は、サイバーセキュリティが単なるチェックボックスやステータスの議論ではなく、より戦略的なトピックとして扱われていると述べています。これらのケースでは、レポートによると、取締役会はメトリクスだけではなく『トレードオフ、リスク許容度、意思決定』に関わることができます。
「取締役会は最近『常に情報を得ている』ですが、多くの企業はサイバーレポートを戦略的な意思決定に変換するのに苦労しています」と Kakolowski 氏は述べています。特に AI が脅威の景観とエンタープライズリスクを変える中で、取締役は今後何が起こるかについてのより明確な洞察を求めています。
その結果、CISO は企業内の関係と知識を強化して、適切な問題を取締役会に提示し、『有意義なリスク対話』の機会を作る必要があります。たとえそれが舞台裏または小委員会レベルで起こっていたとしてもです。
IANS の教員である Steve Martano 氏は、最高のセキュリティプレゼンテーションはサイバーリスクとビジネスリスクに関する『全体的な議論』であることに同意しています。これらは『簡潔でデータ駆動のナラティブ』を形成し、ROI の文脈でのリスク許容度、リスク戦略、サイバーおよび技術リスクに関する議論とブレーンストーミングを促進するCISO によって駆動されています。
取締役会はより将来を見据えた洞察を求めています
レポートはまた、取締役会・CISO のコミュニケーションが、ますます洗練された AI 駆動型のサイバー攻撃の時代において、詳細にまで深く掘り下げていないことを示唆しています。
取締役会のディレクターの大多数(82%)は、セキュリティリーダーの規制トレンドに関するレポートが満足のいくものまたは優れたものであると述べており、プログラムの取り組み、現在のリスク、およびリソースのニーズへの強い可視性を持っていると述べています。しかし、約半数は、特に AI や他の新興ツールからの脅威など、他の領域でのセキュリティリーダーのレポートが改善を必要としていると述べています。
これは、取締役会がハイレベルな会話を超えて、より将来を見据えた洞察に移行することを求めていることを示唆しているようです。AI は現在サイバーリスクの主要な推進力であり、より洗練された攻撃を可能にしています。同時に、AI モデルが悪用または損傷される可能性のある高価値資産となるため、損失の新しい領域を導入しています。と、The CAP Group の CEO である Brian Walker 氏は述べています。
「AI とサイバーセキュリティは不可分に関連しており、取締役会は両方のビジネスリスクを理解する必要があります」と彼は述べています。
同様に、取締役会は定期的にダッシュボードとフレームワークと対話しますが、その半分未満(41%)がテーブルトップ演習、危機シミュレーション、インシデント昇格プロトコル、またはその他の教育とトレーニングに参加しています。
「言い換えると」とレポートは述べており、「取締役会は紙の上では十分な情報を得ていますが、サイバーリスクを経験することはしばしば不十分であり、積極的ではなくより受動的な監督を示唆しています。」これは、CISO が取締役会を今日の脅威景観の「速く動くリスクダイナミクス」の先に進むのに役立てていないことを示唆しています。
最終的に、レポートは強調しており、これはなじみのあるパターンを強化しています:更新は現在の状態を効果的に説明しますが、次に来るものに向けてディレクターを準備するのに効果的ではありません。
取締役会の関与はサイバーセキュリティにとって重要です
データとデジタル機能がビジネス戦略の不可欠なコンポーネントであるため、取締役会の同意を得ることは重要です。新興技術とデータの使用方法によって作成されたリスクは、その結果として「組織の健全性に対してより影響を与えるようになっています」と、Kakolowski 氏は述べています。
最も強力なセキュリティ第一の組織では、CISO はビジネスにとって最も重要なリスクを「深く認識」しており、サイバー問題をそれらのリスクに文脈化することができます。と彼は述べています。「彼らは取締役会をサイバー問題に追い付かせようとしているのではなく、取締役会にとって重要なリスク、そして暗黙的には、より広い組織にとって重要なリスクの周りにサイバーアジェンダを形成しています。」
「CISO へのポイント:セキュリティの知識を使用して、組織のリスク許容度を決定し、それに応じてリスクを管理します。簡潔に言えば、取締役会との強い関係を構築するには、『侵害を防止しようとするセキュリティリーダーであることから、経営陣とパートナーシップを結ぶビジネスリーダーであることへの』マインドセットの転換が必要です」と Kakolowski 氏は述べています。
