なぜCISOは攻めに出る必要があるのか――そのためにはどうするか:Gartner Insights Pickup(244)
セキュリティおよびリスク管理戦略を効果的に進める3つの方法を紹介する。
ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。
セキュリティおよびリスク管理のリーダーは、セキュリティのカバー範囲を拡大するために追加予算を要求しても拒否されることが多い。一部のリーダーは、やむなく手持ちのリソースで最善を尽くすことに同意するが、違うやり方もある。それは攻めに出ることだ。
あるCIO(最高情報責任者)は上司から、「取締役会に予算の追加を要求しないように」と、はっきりくぎを刺された。だが、引き下がらなかった。現在の予算でまかなえることをリスト化するとともに、追加予算がないと実現できない具体的なセキュリティプロジェクトについても詳細に説明した。
その結果、これらの重要プロジェクトのうち2つについて、追加予算の獲得に成功した。
「リーダーは、攻めに出られなければならない」。2021年11月に開催された「Gartner Security & Risk Management Summit 2021」のオープニング基調講演で、Gartnerのアナリストでディスティングイッシュト バイスプレジデント兼Gartnerフェローのティナ・ヌノ(Tina Nunno)氏はそう語った。「セキュリティおよびリスク管理のリーダーは、企業を守るだけでなく、企業が多種多様な新しい機会を活用できるように攻勢に出なければならない」
取締役会がランサムウェア攻撃や侵害のようなセキュリティインシデントの影響を認識するようになったことで、セキュリティおよびリスク管理のリーダーは、経営幹部やリーダーにその防止策や緩和策を指南することもできるようになった。つまり、「ヘッドコーチ」としてルールを設定し、ガイダンスを提供し、プレイヤーを束ね、助言や専門ノウハウ、ビジョンの提供が可能な信頼できるアドバイザーとしての役割を果たすことが可能だ。
自分をブランド化する
組織が自分をどう見るかは、守りから攻めに転じる上で重要な要素だ。守りの姿勢にあるCISO(情報セキュリティ最高責任者)は、「私は良い仕事をして、自分の評価は他人に委ねるようにしている。『責任感があり、協力的で親しみやすい』と思われている」と語る。本質的にはこれで問題ないが、どのように見られたいかと聞かれると、多くの場合、CISOは「革新的」「戦略的」「効果的」といった言葉を使う。
攻めに出るには:他人からブランドを与えられるのを待つのではなく、自分から積極的にアピールする。革新的だと言われたいなら「自分がやっていることの中で何が新しく、何がこれまでと違うのか」を自問し、それをアピールする。戦略的だと思われたいのであれば「ビジネスの中でどのような違いを生み出しているのか」を自問し、それをアピールする。結局、自分に冠されるブランドは裏付けのある確かなものでなければならないが、同時に、自分が知られたい、聞かれたいと考えている仕事に注目してもらえるものでなければならない。
成功をストーリーとして伝える
IT担当の経営幹部は完全主義者が多いため、うまくいかなかったことに目を向けがちだ。幹部がダッシュボードを使って毎週行うプレゼンテーションでは、最初の4枚のスライドで良いニュースが報告されるのではなく、うまくいかなかったことや、やらなければならないことばかり提示されるのは珍しくない。
攻めに出るには:客観的であることよりも、適切なストーリーを伝えることの方が重要だ。激変する厳しい環境の中で、セキュリティチームが限られたリソースで、いかに組織を守ったかに焦点を当てるようにする。小さなことがうまくいかなかったのは認めても、メインストーリーの一部として取り上げるべきではない。
他のビジネスリーダーと連携する
多くの場合、セキュリティプロジェクトは、ビジネスリーダーがCISOに特定の取り組みを最優先事項として持ちかけることから始まる。CISOはこれを受けて、必要な時間、リソース、マイルストーンの試算、ベンダーやコンサルタントの選定、ロジスティクスの管理をする必要がある。IT関連プロジェクトが失敗する最大の理由は、ビジネス部門の関与不足だ。つまり、それはチームワークやパートナーシップの失敗だ。
攻めに出るには:まず、ビジネスリーダーに「セキュリティプロジェクトはパートナーシップの産物であり、セキュリティチームも責任を負うが、ビジネスリーダーも関与する必要がある」ことを理解してもらう。「Xが欲しければ、代価としてYを支払わなければならない」というアプローチだ。これにより成果が上がり失敗も少なくなる。このパートナーシップで何を達成できるかに基づいて、セキュリティおよびリスク管理上のリスクを慎重に選択し、チームワークを推進し、成功を共に分かち合うことを目指すとよい。
企業のリスク管理コーチとなり、守りから攻めに転じることで、自分の価値や貢献度を高められる。そして何よりも、企業全体が成功できる可能性を高められる。
出典:Why CISOs Need to Go on the Offensive‐And How to Do It(Gartner)
筆者 Kasey Panetta
Brand Content Manager at Gartner
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。