デジタルリスクの地平線 ― 国際的・業際的企業コミュニティの最前線
CISO、あるいはサイバーセキュリティ責任者として、来週の役員会への出席を求められました。「サイバーリスクトレンド」として割り当てられた時間は、5分間。さて、皆様なら、どのように報告原稿を準備されますか。
セキュリティ対策の重要度が高まるにつれて、企業のリスクを監視する取締役会、あるいは経営会議やリスク委員会などでの説明を求められる方々も増えているようです。そうした会議でメンバーが戦略的な議論をする前に、論点整理のために実務責任者が報告を求められることは、よくあるようです。
サイバーリスクがテーマであっても、少し前までは、それはCIOやIT責任者の役割だったかもしれませんが、昨今のサイバーセキュリティ対策の守備範囲は、ご案内の通り、ITや通信の不具合、あるいは会社の機密データサーバの管理という枠を遥かに超えてしまっています。そこで、経営目線で俯瞰的にサイバーリスクのトレンドを説明し、戦略的な観点から来年フォーカスすべきポイントの整理を行うのは、CISOの役割になってきているようです。もしも、皆様がその立場にあって要請を受けたとしたら、どういう準備をして、原稿を構成されるでしょうか。
報告内容もさることながら、折角の機会ですので、自分には、この役割に相応しい資質があり、また努力をしていることもさりげなくアピールしておきたいところです。どういう心構えで臨めばよいでしょうか。
こういう時に意外に役立つのが、国際的なサイバーセキュリティの最前線にあるISFが提供してくれるブログです。早速、関連しそうな最近のブログを繙(ひもと)いて参考にしつつ、準備を進めていきたいと思います。
(ここから引用)
新しい時代のCISOに必要な5つの資質
Published: November 30, 2022
SOURCE:CSOonline
Steve Durbin, Chief Executive, Information Security Forum
企業にとって、ランサムウェアやデータ漏洩は、顧客の信頼失墜や株主価値の減殺、レピュテーションの喪失、さらには多額の罰金や刑罰に結びつきかねない、尋常ならざる危険と言えます。サイバーリスクは、米国企業の役員室における最大の関心事であり、最高情報セキュリティ責任者(CISO)の役割は急速に注目を集めています。半数以上(61%)のCISOは取締役会に報告する立場にあり、取締役の方もCISOが何を説明してくれるのかに、ますます関心を寄せています。時代が要請するCISOは、ただ単に技術的なスキルを持っていれば十分という訳にはいかないのです。以下では、これからの時代に、最高情報セキュリティ責任者であるとはどういうことなのか、求められる資質を紹介します。
1.戦略的な視点を示せる
これからの時代のCISOに必要な特徴は、その洞察力と自信にあります。優れたCISOであれば、技術や戦術的な視点ではなく、ビジネスの観点から問題群を構造化していきます。また、有事の際にだけ呼ばれる消防士としてではなく、先見性のある船頭役として登場します。そして、広い視野と戦略的なビジョンを備え、サイバーセキュリティの能力、それに対抗して進化する脅威のベクトル、さらには諸規制の要請をも弁(わきま)えています。さらに、話し手としても秀でており、経営者が理解できる言葉を選び、サイバーセキュリティ対策の枠組みを、会社の事業目標や戦略に沿って説明していきます。
2.チャンスとリスクを調和させる
管理の目が届いていないリスクはともかく、リスクはことごとく忌避すべき有害なものばかりであるとは限りません。もしも今CISO が、すべてのリスクは悪いものであり、当然に制圧することを求めたとしたならば、社内で上手く行かなくなり、意気込んで作った計画案も頓挫しかねないでしょう。新時代のCISOであれば、諫言する役ではなく、進言する役を務めなければなりません。経営陣がチャンスとリスクを調和させようとする流れに棹をさすのです。どこまでなら大丈夫なのか? その事業が越えてはならない一線はどこにあるのか? こうした問いに、CISOは答えを求められているのです。リスクはビジネス上の判断の結果なのであって、セキュリティ責任者が取り扱いを判断するのではありません。リスクとリターンの議論の口火を切るのはCISOであっても、そのリスクをそのまま取るか、あるいはそのリスクに対して何か対処するかを決定するのは会社としての意思決定でなければなりません。
3.臆することなくリーダー経験を積んでゆく
新時代のCISO像は、カリスマ性があり、進取の精神に富み、人脈が豊かで、自社やセキュリティ業界で大いに尊敬を集める人物です。情報セキュリティ対策によって会社の事業が救われた時には、すかさずそのメリットに光を当てます。また、IT部門以外の部署にも報告を受け取ってもらえるよう徐々に社内体制も整え、独自性を確保していきます。また、新世代型CISO は、業界のイベントにもよく顔を出したり、自らの経験をソーシャルメディアや放送メディアや紙媒体でも語ったりして、評判や影響力を高めていきます。
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方