セキュリティとテクノロジーのリーダーは成功を測定する必要があるが、多くの場合、その測定は成功の有無よりも失敗の有無に重点を置く。あるべきでないことの羅列は、地図とコンパスの代わりにはならない。
幸いなことに、セキュリティ戦略の成功に関しては、失敗がないことを否定的にとらえる必要はありません。セキュリティ戦略の成功は、セキュリティの語彙をリスクの語彙と一致させることさえ厭わなければ、正しい道を歩んでいることを示す指標として肯定的にとらえることができます。
結局のところ、リスクは、ビジネス成果を推進する組織横断的な概念である。セキュリティはそれ自体がリスクの領域であり、セキュリティ投資はリスクの軽減、すなわち予想される損失の確率と影響の低減に影響を与えるというのが最も適切な表現である。組織において、戦術的・運用的セキュリティ部門と戦略的リーダーシップ層との間で、リスク成果に関する垂直的な連携が明確に行われるようになると、セキュリティ投資、その投資に対するリターン、セキュリティの旅路における針の移動距離の間に明確な見通しが立つようになる。
上記を念頭に置いて、ここにいくつかの合理的な目標がある。それは、戦っている戦線を理解すること、勝利とは何かを正しく定義すること、そしてビジネスの成果につながる方法で成功を測定することである。
この戦争が行われる前線の計画を立てる。
第一に、組織のリスクは、この戦争が行われる前線を認識し、明確に計画しなければならない。
必然的に相互につながっている空間を分割するさまざまな方法の中で、一つの方法は、内部、外部、そして技術面を見ることである:
- インターナル・フロントとは、リスクに影響を与える人材やプロセスなど、私たちが直接管理できるも ののことである。このフロントでの成功は、文化的なリスクインセンティブとリスク成果を一致させる。
- 外部戦線 (External Front) とは、われわれのコントロールの及ばない主体や活動がリスクに影響を及ぼす場所である。ここでの成功は、一方では自然災害に対する計画から、他方では意欲的で執拗な敵対者まで多岐にわたる。
- テクノロジー・フロントは、現代ビジネスの基盤であり、内部要因と外部要因の相互作用がしばしば現れる場所である。テクノロジーは決して静的なものではないため、この面での成功を管理することは、内外の力によって破壊されながらも、現在地、あるべき姿、そして旅路に沿った漸進的なステップを認識することである。
このような前線のすべてを計画し、考慮に入れておかないと、そうならないことを願うような形で何かがうまくいかなくなる可能性が高くなる。
組織は、成功とはレジリエンスの促進であると積極的に定義しなければならない。
第二に、成功とは攻撃を防ぐことである、と否定的に定義するのではなく、組織は、成功とはレジリエンスを促進することである、と肯定的に定義しなければならない。
レジリエンスとは何か? それは、うまくいかないことが重大な影響を及ぼす前に対処される状態のことだ。
安全な組織とは、脅威が特定され、混乱が最小化され、復旧が迅速で、損失が重要でない組織である。これらのそれぞれは、リスク軽減のためのより大きな計算のためのインプットとなり、投資 は、その影響に比例するようになる。その範囲は、主としてコモディティ化された防御策から、 検出、レスポンス 、復旧に関して組織が設定する特定のレジリエンス目標にまで及ぶ。
この点での歴史的な失敗は、組織がすべての脅威を防止すること、あるいはコンプライアンスを維持することで厳密に満足することに見当違いの重点を置いたときに起こる。どちらもそれなりに重要ではあるが、前者は達成不可能な (そして率直に言ってあまり重要でない) 目標に固執する文化を作り出し、後者はフロアとしてふさわしくないものから天井を作り出してしまう。
なぜ安全保障が例外でなければならないのか?
第三に、ほぼすべてのビジネス領域において、リスクは、確率と影響という次元で伝達される損失予測として定量化可能である (通貨は選択可能) 。
この最後の目標によって、戦略的意思決定者は、セキュリティリスクをビジネスが直面する他のリスクと比較し、資本とリソースを割り当ててビジネスの成果を最適化し、リスク戦略から得られるROIを理解することができる。
クリティカル」な脆弱性を持つ50台の「イエロー」サーバーと、季節的なハリケーンによる混乱のリスクにさらされるデータセンター。どちらが悪いのだろうか?また、組織は限られたリソースをどのように優先順位付けして行動計画を立てるべきなのだろうか?機密データにアクセスできる過剰な特権を持つリスクのあるユーザーか、新製品の市場投入時期の目標を達成できないか。また、使用済みのランタイム環境にある数台の一般向けウェブサーバーはどうだろうか?それらは組織の優先事項のどこに当てはまるのだろうか?共通の比較言語がなければ、最適な優先順位付けを行うことは非常に難しい。ビジネスにとって、その言語は最終的に損失見込みとROIの文脈で発生する。
どこにどのようなリスクがあるのかを理解し、成功とは予防ではなく影響であることを理解し、その洞察をトップレベルのビジネス利害関係者に響くように伝える。
もし、すでにこれらの目標に向かっているのであれば、あなたは望むところへの道を順調に進んでいることになる。そうでない場合は、成功がないことに目を向けるのをやめて、セキュリティ・マップとコンパスを取り出してみましょう。セキュリティ・コンサルタントに相談したい場合は、デモをご予約ください。