2025年11月25日、SECは報告した国内証券会社がサイバーセキュリティ上の失敗に関する告発を解決し、約8,500人の個人情報が流出したことを。その組織は適切なセキュリティ方針と管理が不足していることが判明し、多くの支店が多要素認証やインシデント対応計画などの重要な対策の実装に失敗していました。その結果、企業は譴責され、325,000ドルの罰金を支払いました。
是正措置は違反そのものだけでなく、企業の不十分なガバナンスと不十分なサイバーリスク管理に焦点を当てており、規制当局がサイバーリスクをどのように監督しているかを厳しく検査していることを強調しています。
このケースは、デジタル化と相互接続された業務が負債リスクを増加させることを示しており、AIがより重要になるにつれて、企業はすべてのビジネス機能にわたるサイバーリスクに対処する必要があります。
経営陣にとって、このシフトはサイバーセキュリティを技術的なチェックリストから中核的なリスク管理分野に引き上げます。現代的企業を保護することは、経営層の説明責任、明確なガバナンス、および組織全体のレジリエンスを強化する測定可能な戦略を必要とします。
サイバーリスクが組織全体にどのように影響するか
サイバーインシデントは、単一部門内に留まることはめったにありません。侵害されたログインから始まる違反は、迅速に外部に波及し、業務を混乱させ、生産を遅延させ、顧客とのコミュニケーションと規制対応に関する困難な決定を強制します。そのリーチのため、サイバーリスクはデジタル変革プロジェクトから新しいパートナーシップや拡張計画まで、主要なビジネスイニシアチブを形作ります。
多くの組織にとって、リスク環境はITシステムをはるかに超えて拡大しています。ベンダーエコシステム、サードパーティプラットフォーム、および相互接続されたサプライチェーンは、テクノロジーチーム単独では完全に監督できない危険をもたらします。これらのリスクを管理するには、ビジネス全体の調整と経営陣からの明確なリーダーシップが必要です。
インシデントが発生すると、対応も技術的な修復を超えて移動します。法務チームは規制上の義務に対処し、コミュニケーション担当者はステークホルダーのメッセージング管理を行い、運用チームは継続性の維持に焦点を当てます。したがって、効果的な対応は、IT内だけでなく、組織全体の準備に依存します。
サイバーリスクにおける経営陣の説明責任
サイバーインシデントは組織の複数の部分を混乱させる可能性があるため、多くのビジネスリーダーはサイバーリスクへのアプローチ方法を再考しています。単一のイベントは評判を損傷し、顧客サービスを混乱させ、ビジネス全体に影響する法的および財務上の責任を生じさせる可能性があります。
「サイバーセキュリティに固有の課題の1つは、対応に必要なスピードです」とリカルド・レアティ、チューリッヒの企業であるSpearTipのサイバーヘッドは述べています。「そのダイナミクスは他の企業リスクと異なります。組織のバリューチェーン全体のすべての人が、プロセスを理解し、その瞬間に彼らが何をしなければならないかを正確に知る必要があります。インシデント対応は全体的である必要があり、効果的であるために複数のビジネスユニットを関与させる必要があります。」
今日のシフトはサイバーセキュリティをITの技術チェックリストではなく、中核的なC-スイートレベルの分野として識別しています。変化は起こっていますが、それは遅いです。「多くはまだサイバーセキュリティをITの問題と考えています。もし投資するなら、ITにお金を入れたら、管理を設定して枠組みに準拠したら、完了だと思います」とレアティは説明します。
2つの課題が多くのサイバーセキュリティプログラムの有効性を制限しています。第一に、単にテクノロジーへの投資を増やすことは自動的にリスクを低減しません。組織は統合、可視性、または全体的なレジリエンスを改善することなく、ツールを蓄積することができます。第二に、コンプライアンス要件を満たすことは、静的なフレームワークが適応できるよりも多くの場合は急速に移動する進化する脅威から保護することを保証しません。
そのため、主要な組織はサイバーセキュリティを測定可能なビジネスリスクとして扱っています。効果的なリスク管理は、現在の露出を理解し、潜在的な影響を定量化し、最大の脆弱性の領域にコントロールを調整することから始まります。このアプローチは、より明確な意思決定、より強いガバナンス、およびより弾力的なビジネス継続性計画をサポートします。
ビジネスリーダーにとってこれが意味すること
ほとんどのビジネスリーダーは従来的なリスク管理を理解しています。しかし、サイバーセキュリティは、露出を評価し優先順位を付けることを難しくする複雑さのレベルをもたらします。明確な可視性がなければ、組織は意思決定を下す際にピアベンチマークまたは外部比較に頼るかもしれません。
「私たちはサイバーを経営陣レベルで議論し始め、最初からコントロールを組み込み、主要な戦略的決定の中でサイバーを早期に要因として考える必要があります。私は多くの会話が既に経営委員会に進んでいることを見ていますが、これはこの方向への前向きなステップです」とリカルド・レアティは言います。
リーダーがサイバーレジリエンスを強化するための5つの方法
ビジネスリーダーシップの観点からリスクを管理し始める準備はできていますか?ここはC-スイートの意思決定者にための有用な提案です:
- サイバーセキュリティをビジネス戦略に統合する:サイバーセキュリティとビジネス戦略は、セキュリティがビジネス継続性計画に対して強い立場を保つすべての領域に等しく調整される必要があります。リーダーシップは、チェックボックスをチェックするための事後的ではなく、早期にビジネス戦略とプロセスにサイバーセキュリティを注入する必要があります。
- リスク管理への定量化可能なアプローチを採用する:効果的なリスク管理は、既存のリスクを明確に理解するための定量化から始まります。主要指標を定義し、主要なパフォーマンス指標を監視して、プログラムの有効性を測定することを忘れないでください。
- 重要な質問をする:リスク定量化は、リーダーシップが重要な質問をすることから始まります。最大のリスク脆弱性の領域はどこですか?現在の管理の影響は何ですか?回復という点でどの程度レジリエントですか?シャットダウンにはどのくらいの費用がかかりますか?
- 堅牢なサイバーセキュリティトレーニングに投資する:レポートは提案している違反の60%は人的エラーを伴うため、高品質のサイバーセキュリティトレーニングプログラムの選択は今日のあらゆる組織の優先事項である必要があります。
- セキュリティを認識する、企業全体の準備文化を作成する:セキュリティはビジネス資産と見なされるべき領域であり、従業員は責任を共有し、問題を報告することに安全を感じます。文化は統一された準備を強調する必要があり、サイバーインシデント時に全員が自分の責任に気付いています。
組織がサイバーリスク専門家に向く理由
サイバーリスクが中核的なリーダーシップ責任になるにつれて、多くの組織は能力を強化するために専門的なアドバイザーとパートナーシップを結んでいます。これらの専門家はリスク管理の専門知識、データ駆動型のインサイト、および定量化と計画への構造化されたアプローチをもたらします。進化する脅威と増加する説明責任を乗り切っているリーダーにとって、外部協力はガバナンスを強化し、知らされた決定をサポートし、組織のレジリエンスを改善するのに役立ちます。
「多くの企業は内部リスクを管理するための適切なスタッフを備えていますが、サードパーティやM&Aリスクなどの新しい新興サイバーリスクの能力サポートが必要です」とレアティは言います。「新興リスクの管理には大きな焦点が必要であり、内部リソースを歪めることができます。」
この増加する複雑さは、より多くの組織が内部チームを補完し、全体的なリスク管理戦略を強化する外部専門知識を求めるよう推進しています。
SpearTipは、リスク諮問、インシデント対応、およびセキュリティ運用能力を通じて、サイバーレジリエンスを強化するのを支援しています。あなたの組織がサイバーリスク管理へのより戦略的なアプローチをとることができる方法を学んでください。
翻訳元: https://www.cybersecuritydive.com/spons/beyond-it-cybersecurity-is-a-strategic-business-risk/817163/
