2022年 ISC2 Blog 和訳

2022年4月14日

CISOからのヒント: セキュリティプログラムの作り方(和訳)

Marco Túlio Moraes, CISSP, Director of Information Security, CISO, OITI.

Marcoは、テクノロジー、リスク、インフォセックの分野でエグゼクティブとして20年以上の経験があり、内10年は国際的な仕事に携わりました。また、金融、ハイテク、医療、小売/マーケットプレイス、スタートアップ、公共事業など多業種にわたるバックグラウンドを持つ。ブラジルで1つ目のサイバーセキュリティプログラムを開発し、キャリアメンター、講演者、セキュリティエバンジェリスト、取締役会顧問として活動しています。

セキュリティプログラムの開発は、時に3,000ピースのジグソーパズルを解いているような感覚に陥ることがあります。さらに難しいのは、あなたが可視化しようとしている全体像が常に進化していることです。

CISOに共通して求められることは、専門知識の応用にとどまらず、リーダーシップ、戦略、コミュニケーションスキルを応用して、組織文化を導き、ビジネスの繁栄を促進することです。ビジネスを理解し、ステークホルダーからの期待に沿いながら全社的なリスク意識を統一することは、CISOが取り組むべき課題のほんの一例です。SME(Subject Matter Expert)の役割として、通常は、リスク評価とギャップ分析から始め、その後、正式なサイバーセキュリティプログラムプランを策定します。

どんなに苦労して計画を作っても、可視化した全体像がビジネスに価値をもたらさなくなったことに気づく瞬間が必ずあります。合併や買収、新しい競争相手、技術の新しい応用、社内のビジネス戦略の変更などがビジネス状況を混乱させるため、計画には適応性と持続性が求められます。ビジネス環境の変化に加え、新たなサイバーインシデントやハイリスク、新規制の期限、あるいはCOVID-19のような世界的な感染症流行により、セキュリティプログラムは変化していきます。

持続可能で適応性のあるセキュリティプログラムを開発するには?

まず、基礎となる柱を正しく立てることです。CISOのエコシステムには変化がつきものであることが分かっていますので、それをゲームプランの一部として考え、できるだけ早く検知し対応する戦略を立てるべきです。私は、セキュリティ企業の経営者が、いくつかの具体的な視点に立った戦略を立てることを提案します。

1.ビジネスアウェアネス

ビジネスを理解することは、一過性の活動ではなく、CISOの仕事において不変のものであるべきです。ビジネスの目標、製品、サービス、課題、戦略を理解することで、セキュリティチームが従来の業務を遂行しながら、ビジネスの目標をサポートすることができます。しかし、CISOが自らをビジネスの一部と位置づけ、組織がリスクを評価し、ビジネスとサイバーセキュリティの状況に基づいた賢明な意思決定を行えるようにしなければならないのも事実です。

2.戦略的なポジショニング

情報セキュリティ対策がビジネスにどのような価値をもたらすかを理解することは、対策への賛同と支持を得るために不可欠です。デジタルビジネス変革の動きを受けて、サイバーセキュリティと情報セキュリティは今やビジネスに不可欠な要素と見なされ始めており、CISOはその維持と保護の役割をはるかに超えて、ビジネスの開発者と実現者の役割を果たすことができるようになっています。この成熟度を達成するためには、CISOが戦略的な思考を維持することが必要です。

3.エンゲージメント

セキュリティプログラムは、一人だけの課題であってはなりません。セキュリティ部門は、組織全体にセキュリティ文化を普及させるために貢献できるすべての人を巻き込む必要があります。主要なステークホルダーと共に戦略を定義し、ビジネスをこれらのイニシアチブのいくつかに導くことは、リスクの所有権と説明責任の文化を組み立てるだけでなく、賛同とプログラムの有効性を生み出すのに役立ちます。

4.強いチームの構築

挑戦的で情熱的で熟練したチームを持つことは、ステークホルダーと組織全体を見直しされた戦略に導き、組織が対処すべき技術的な変更を推進するのに役立ちます。ガイダンス、自律性、および絶え間ないフィードバックを備えたチームは、テクニカルな専門知識及び会社の変革を主導、影響、提案することの両方において、セキュリティプログラムの成功に不可欠な柱となるのです。また、強力なチームは、組織がより良いリスク管理を行うために必要な技術的なノウハウも有しています。

5.コミュニケーション

セキュリティプログラムを主導することは、特定の目標を達成するために適切なツール、プロセス、およびガバナンスを定義することよりもはるかに重要です。セキュリティの側面から組織文化を牽引するものです。多くの場合、企業のマインドセットを変革し、組織改革をリードします。コミュニケーションとは、正しいメッセージを伝えることと、相手の話に耳を傾けることを結びつける重要なものです。変化には時間がかかり、持続可能なものにするためには、継続的な交流が必要です。

情報セキュリティの分野を純粋に技術的な観点だけでなく、ビジネスの一部とするためには、CISOが複数の役割を果たすことが必要です。つまり、リスクを軽減することだけが唯一の選択肢ではなく、セキュリティ部門は会社の守護神としてではなく、変化に対応できる重要なビジネス部門として機能する必要があるのです。そうすれば、ビジネスやリスク環境に何が起ころうとも、セキュリティはビジネスを可能にする役割を果たし続けることができるのです。

原文記事:https://blog.isc2.org/isc2_blog/2022/03/how-to-create-a-security-program.html