Uber の最高情報セキュリティ責任者 (CISO) である Joe Sullivan が、同社の 2016 年のデータ侵害を報告しなかったとして最近有罪判決を受けたことは、一部の人にとっては歓迎されない驚きであり、他の人にとっては Sullivan 氏の行動の正当な結果でした。
30 年以上にわたって CISO および情報セキュリティ リーダーを務めてきた私は、サリバンの輝かしいキャリアを尊重すると同時に、サリバンを全面的にサポートします。 評決. Sullivan 氏は、ほとんどの CISO が遅かれ早かれ直面する倫理的ジレンマに陥っていることに気付きました。 CISO がそのジレンマにどのように対処するかによって、キャリアの成否が決まります。
CISO の責任とは?
CISO の役割と責任は常に進化しており、Uber で見られたような大規模な侵害に関する報道が増えているおかげで、さらに精査されています。
これらの最近の出来事が彼らにとって何を意味するかを検討している CISO にとって、XNUMX つの重要な質問をするのに適切な時期です。
1) データ侵害が発生した場合、CISOとしての私の責任は何ですか?
Uber の裁判によって CISO の役割が明確になったかもしれませんが、CISO の役割に関連する責任や責務が変わるとは思いません。 違反が発生した場合、CISO の責任は明確です。透明性を保ち、必要なすべての開示を提供することです。 これらの開示は、規制機関によって義務付けられている場合もあれば、企業が関係者に対して責任ある開示と見なしているだけの場合もあります。
Sullivan の最初の反応が、正しい行動を取り、法律で義務付けられている違反を報告することであったかどうかはわかりません。 彼の長いキャリアを考えると、そうであったことを願っています。 とはいえ、企業内の報告体制によっては、企業が違反を開示するかどうかについて、多くの CISO が最終決定権を持たない場合があります。 よくあることですが、CISO は却下され、侵害を侵害以外のものとして再構成する方法を見つけるよう圧力をかけられる場合があります。 このリフレーミングは、規制上の罰金、是正費用 (影響を受ける顧客への信用監視サービスの提供など)、顧客の信頼と企業の評判への影響など、潜在的なマイナスの結果を回避するのに役立ちます。
侵害は、侵害されたデータを保護する企業の失敗と見なすのが正しいです。 また、最終的には CISO の失敗と見なすこともできます。 これは古くからの疑問を提起します: お金はどこで止まりますか? そして、違反の最終的な責任を負うのは誰ですか? とにかく、企業が認めたり開示したりするのは簡単なことではありません。
CISO の倫理的ジレンマは次のとおりです。 それとも、自分の会社がその結果を負担しないように、インシデントを再構築しようとしますか?
もし私がサリバンの立場だったら、自分の役割の誠実さと、率直に言って有権者の信頼を裏切るのではなく、喜んで辞任すると思います。 米国大統領ハリー S. トルーマンの言葉を借りれば、「サイバーセキュリティの負担は CISO にとどまる」のです。
2) 侵害された場合 (場合ではなく) に対する私の会社の計画は何ですか?
セキュリティ ベンダーの CISO として、私は悪意のある人物や国家の動機と決意をよく知っています。 また、組織が攻撃の犠牲になる確率についても理解しています — 組織は侵害されると想定する必要があります. そんな時、あなたはどうしますか?
最悪のシナリオに対処し、違反が発生する前に緊急時対応計画を策定することで、違反が発生した場合の財務上および運用上の影響を最小限に抑えることができます。 攻撃者がカスタマー サポートやサプライ チェーンの運用をオフラインにした場合のダウンタイムのコストは? システムが最も脆弱な場所はどこですか? どのようにダメージを食い止め、どれくらい早く回復できますか? 従業員、顧客、取締役会に何が起こったのかをどのように伝えますか?
CEO およびその他の会社の役員は、CISO と積極的に協力してこれらの問題に対処し、侵害が発生した場合に備えた包括的な計画を策定する必要があります。 迅速な行動と誠実さが重要 何よりも。 しかし、そのような計画は、十分に事前に作成され、精査され、リハーサルされた場合にのみ成功します.
3) 取締役会での私の役割は何ですか?
最も レジリエントな企業はトップのセキュリティにコミットします そしてそれを組織のあらゆるレベルに押し下げます。 これは、取締役会だけでなく、従業員とともに強力なサイバーセキュリティ文化を確立することを意味します。 多くの CISO は、「そんなことは決して起こらないだろう」または「いずれにせよ起こるだろうから、なぜサイバーセキュリティに投資する必要があるのか」という取締役会の偏見と戦わなければならないかもしれません。
CISO との関係をビジネス関係のように管理する
CISO が取締役会との関係を強化する XNUMX つの方法は、テクノロジーとビジネスの間の架け橋としての役割を果たすことです。 サイバーセキュリティをビジネスリスクとして管理し、組織のパフォーマンス、成長、およびその他のビジネス目標に沿っていることを取締役会に示す必要があります。 技術的な頭字語や概念だけでなく、ビジネス用語や成果を必ず使用してください。 「なぜこれを気にする必要があるのですか?」という質問に答えてください。 また、取締役会からリソースの付与に成功した場合は、要求したリソースをその後の業績や結果に結び付けるレポートをフォローアップすることが重要です。
私自身の経験では、最も効果的であるためには、CISO が定期的に予定されている会議の外で取締役会メンバーとの関係を育むことが重要です。 これにより、取締役会メンバーが CISO に何を期待しているかをよりよく理解し、同様に取締役会の教育を開始する機会が得られます。 結局のところ、サイバーセキュリティの実践はリスクを管理することですが、実際には、リスクを完全に排除することはできません。 毎日の侵害の見出しは、すべての CISO をホット シートに置きます。 CISO には困難な仕事があります。組織の日常的な防御を管理すると同時に、避けられない将来の攻撃に対するアクション プランを作成する必要があります。 CISO が今日、この挑戦的で重要な役割を首尾よくリードし、成功するには、誠実さと正直さが必要です。
