企業の意思決定においてサイバーセキュリティがますます重要な考慮事項になるにつれて、最高情報セキュリティ責任者 (CISO) の役割を経営階層のより高い位置に引き上げる動きが見られます。 その理由は、「サイバーが重要であるなら、CISO が重要でなければならない」ということのようです。 しかし、CISO の役割を昇格させると、IT、エンジニアリング、または製品の日常的な意思決定者とのつながりがほとんどなく、砂漠で「セキュリティ」を叫ぶ孤独な声になることになります。
これは、Facebook の幹部が、会社のセキュリティ対策が適切であると考えたなど、いくつかの望ましくない結果をもたらしました。 数時間の遅延を引き起こした 4 年 2021 月 XNUMX 日のサービス停止への対応、または Uber の幹部 ハッカーに報われた 侵害を認めるのではなく、自分のシステムを侵害した多くの CISO や、最初に不適切な選択をしたことを認めるのではなく、「追加のセキュリティ層」に投資した多数の CISO です。 これらのすべてのケースで、CISO が機能的なビジネス ユニットから隔離されていることが、これらの決定が反映されていると考えるトンネルにおいて、間違いなく役割を果たしました。
組織への影響
おそらく、CISO の役割を再考する時が来ているのでしょう。 おそらく、CISO の重要性は、組織のステータスではなく、組織への影響に反映されていると考えたほうがよいでしょう。 セキュリティを機能単位に組み込むことで、セキュリティが向上する可能性があります。
CISO が IT 組織のエコシステムの一部であると想像してください。 彼らはインフラストラクチャに関するすべての決定に関与し、セキュリティ上の懸念は、事後に追加されるのではなく、それらの決定に不可欠です. これにより、外部グループによってインフラストラクチャに挿入された特別なセキュリティ機能ではなく、ネットワークの構造と管理方法に基づいた一連の「セキュリティ」ソリューションが可能になります。
ソフトウェア開発組織に組み込まれたセキュリティの専門家を想像してみてください。 彼らは開発プロセスを改良して、開発者にとって異質なプロセスで開発者を悩ませることなく、セキュリティを考慮してコードが作成およびテストされるようにし、それによって会社のコードの脆弱性を減らすことができます。 製品ラインに組み込まれたセキュリティの専門家を想像してみてください。 彼らは、企業のインフラストラクチャが IP を保護し、開発プロセスが製品の脆弱性を軽減していることを確認できます。
これらすべての場合において、セキュリティは、企業運営の現実に基づいた企業の意思決定の要因になります。 CISO の技術的専門知識は、日常業務に課せられる制約ではなく、日常業務に不可欠なものになります。 同様に、セキュリティとコンプライアンスは、金融システムとパートナーやベンダーとの通信が安全に保たれるようにシームレスに機能する必要があります。 これは、通信システムやその他のハードウェアにまで及びます。
危険因子
これは、セキュリティの技術的側面を会社の実行において強力な声にするための、より影響力のある方法のように思えます。 しかし、これが政策の側面を縮小し、個々の機能単位の特別な利益に対処するためにそれを分断するのではないかと疑問に思う人もいるかもしれません。 この懸念は、最高リスク責任者の役割を拡大して、現在 CISO によって実行されているセキュリティ ポリシー機能を含めることで対処できます。
これには、セキュリティ ポリシーを C レベルに保ち、必要な注意を払うという利点があります。 これには、他のリスク (可用性に対するリスク、評判に対するリスク、上記のケースに対処するためのリスク) との関連でサイバーセキュリティ リスクを考慮するというさらなる利点があります。 セキュリティはもはやそれ自体が目的ではなく、ビジネスを行う上での一面です。 これは、セキュリティが他の問題と戦い、組織のセキュリティ体制を危うくする調整を行う必要があるという意味ではありません。 むしろ、すべての要件を満たすことを求める考え方と引き換えに、どちらか一方の考え方を採用する環境を設定します。
自社の担当者を締め出さずに Facebook を効果的に保護できるアクセス制御技術は数多くあります。 セキュリティ リスクを可用性リスクと併せて考慮すると、より現実的な解決策が浮かび上がります。
