このHelp Net Securityのインタビューで、ZoomのCISO Sandra McLeodは彼女の役職での最初の1年を振り返ります。彼女は反応的な問題解決からビジネス戦略へのシフト、および彼女の最初の数ヶ月間にエンジニア、取締役会、顧客から聞いたことについて語っています。
McLeodは、インシデント管理にどのように備えたか、危機を処理し、その後それを説明する二重の役割、およびZoomでの技術的リーダーシップにおける女性としての彼女の経験について述べています。彼女は、セキュリティ分野の女性がリーダーシップの役割を追求すべきかどうかを検討している場合に向けた正直なアドバイスで締めくくります。
CISOの役割には2つのバージョンがあります。本質的には技術的な消火活動を行う者と、脅威ベクトルを理解している経営戦略家です。あなたが始めたときはどちらに該当し、今はどこにいますか?
CISOの役割に最初に就いたとき、私は技術的な消火活動のスペクトラムの方により近いところにいたと言えるでしょう。私の最初の焦点は、現在のセキュリティ体制をより深く、より広く理解する中で、おそらくより多くの即座の対応と反応的措置に向けられていました。その基盤は、より前向きで先見的な焦点へシフトする前に非常に重要でした。
現在、1年が経過し、経営戦略家の役割へと移行することができました。セキュリティランドスケープがより明確に見え、優先事項が確立されているため、戦略的イニシアティブにより多くの時間を費やしています。セキュリティプログラムに成熟度を組み込み、セキュリティ投資をビジネス目標と整合させ、より前向きで先見的なアプローチを採用しています。これは「理解と安定化」から「予測と実現」への意図的な進化であり、この方向での進捗に満足しています。
執行役員の役割での最初の90日間には、膨大な量のリスニングが伴います。エンジニア、取締役会、顧客から聞いたことで、あなたを驚かせたものは何ですか?
私が最も驚いたのは、3つのグループすべてで聞いたことの一貫性でした。エンジニア、取締役会メンバー、顧客はすべて同じものを求めていました:信頼です。Zoomを保護する責任を管理できるという信頼だけでなく、セキュリティの要件とビジネスニーズおよび優先事項のバランスを取る方法を理解しているという信頼です。
エンジニアリングチームから聞いたのは、方向性、優先順位付け、そして率直に言って権限化への欲求でした。彼らはセキュリティがイノベーションや成長の阻害要因ではなく、むしろ実現者であることを保証してもらいたいと考えていました。技術的な現実と制約の理解に基づいてセキュリティ上の決定がなされ、リーダーシップが効果的に優先順位を付け、必要に応じてトレードオフを行うことができることを知る必要がありました。
取締役会の視点はガバナンスの観点からこのテーマを強化しました。彼らはコンプライアンスチェックボックスや監査スコアだけに関心があるのではなく、私のセキュリティ戦略がZoomへのリスクの実質的で具体的な削減をもたらし、同時にビジネス戦略と密接に統合されることを保証してもらいたいと考えていました。セキュリティ投資がインパクトに焦点を当て、リスクを削減し、会社の評判と顧客の信頼を保護し、イノベーションと新製品導入の能力を妨げずにサポートしていることを知る必要がありました。
顧客からは、セキュリティを製品とプラットフォームに組み込むことに専念していること、また彼らのデータとプライバシーが保護されていることを保証するよう一貫して求められています。同時に、顧客はセキュリティがネイティブでシームレスに統合され、セキュリティ決定の所有権を行使でき、かつシームレスな体験を提供する方法を期待していることも理解しています。顧客はZoomのセキュリティリーダーが彼らのニーズを理解し、またそれを実現するために何が必要かも理解していることに信頼を持ちたいのです。
セキュリティは顧客との信頼を構築し、取締役会にリスク態勢への信頼を与え、エンジニアが安全に優れた製品を構築することを支援する実現者である必要があります。その明確性は初日から私のアプローチを形成するのに役立ちました。セキュリティに対する私のアプローチは厳密性と勤勉さを確保しなければなりませんが、同時に実用的であり、ビジネスが達成しようとしていることに整合している必要があります。
セキュリティインシデントが発生したとき、CISOは危機を管理する人であり、その後それを説明するよう求められる人です。その二面性に備えるために、避けられない瞬間が到着する前に、心理的かつ実際的にどのように準備しましたか?
インシデント管理の側面は私にとってまったく新しいものではありませんでした。以前、製品セキュリティインシデント対応を主導していたため、リアルタイムで危機を管理する運用的なリズムに精通していました。CISO役で異なるのは、エスカレーションに関する判断です。どの問題がC経営陣の注目が必要で、そのレベルでどのように効果的に伝えるかを決定することです。もう1つの変化は説明責任にありました。
私は現在、インシデントが発生したときに単にそれを管理するだけでなく、根本原因を完全に理解し、積極的に再発を防止するための措置を実施することに責任があります。戦術的対応から、セキュリティ回復力の戦略的所有へと移行しました。時間が経つにつれて、これらの並列責任を補完的な要求として見るようになりました。効果的な運用対応は信頼できる透明なインシデント後の説明責任のための基盤を築き、その考え方がセキュリティ回復力の取り組みをリードする方法の中心となっています。
技術的リーダーシップにおける女性が資格について質問される場合があり、男性の同僚はそのようにはされていません。このダイナミクスに対して対応を開発しましたか。それとも毎回エネルギーを消費していますか?
Zoomでそのようなダイナミクスを経験していません。Zoomにはリーダーシップの女性の強い代表がいますし、私は決してその方法で資格を証明する必要があると感じさせたことのないピアと機能横断的なパートナーと協力できることを幸いに思います。CISO役に就く前に4年間セキュリティ組織の一部であったことも役に立ちました。私は、機能横断的なパートナーとすでに構築された確立された信頼と信頼性を持って、このポジションに就きました。その基盤は非常に価値があります。
セキュリティエンジニア、GRCアナリスト、またはSOCリーダーである女性がこれを読んでいて、リーダーシップが自分に向いているかどうかを検討しているなら、彼女が直面することについて、あなたが彼女に言える最も正直なことは何ですか?
リーダーシップへの転職を考えている誰もが、まず自分がなぜ主導したいのか、どのようなリーダーになりたいのかを自問することをお勧めします。あなたが働いてきたリーダーを振り返ってください。インスピレーションを与えてくれた人たちと、そうでなかった人たちです。何が違いを生みましたか?その明確さは、職務記述書よりもあなたをより良く導きます。
リーダーシップに本当に興味があるなら、試してみることをお勧めします。プロジェクトを主導する、他の人をメンタリングする、または機能横断的なイニシアティブを推進する機会を探してください。他の人の成功を実現することに充実感を感じ、曖昧性をナビゲートし、競合する優先事項のバランスを取る決定を下すことができるかどうかを見てください。リーダーシップは単なる昇進ではなく、貢献の根本的に異なる方法です。これらの経験があなたと共鳴するのであれば、はい、このパスは確実に追求する価値があります。
翻訳元: https://www.helpnetsecurity.com/2026/04/23/sandra-mcleod-zoom-ciso-leadership/
