Vectra Masked CISOシリーズは、セキュリティリーダーがセキュリティにおける最大の問題を暴露し、その克服方法について同僚に助言する場を提供する。
サイバーセキュリティは、リスクマネジメントのような業界と比較すると新興の業界であり、ロイズ保険が設立されたのは1688年である!CISOという肩書きはさらに新しく、2005年頃に初めて登場した。しかし、その役割が明確に定義されたことはまだなく、CISOの働き方もそれぞれ異なっている。
CISOを雇う人が千差万別である場合、その役割を定義するのは容易ではない。CISOは最高経営責任者(CEO)、最高情報責任者(CIO)、最高技術責任者(CTO)などに報告し、必要とされるスキルはビジネスの性質や報告先によって異なる。CIOやCTOは技術的なアドバイザーを求め、CROはリスク管理の観点から問題に取り組む傾向がある。一方、CROはリスク管理の観点から問題に取り組む傾向がある。
CISOが一般的に大きなプレッシャーにさらされていることは当然のことであり、そのためにセキュリティ部門内では定期的な役割の交代や人員削減が行われている。しかし、CISOにもっと自律性と責任が与えられれば、このような事態を食い止めることができる。
しかし、ほとんどのCISOが依然としてテクニカル・リーダーの直属である場合、戦略的な能力は制限され、価値も希薄になる。CISOの役割が他のテクニカル・リーダーと同等になるためには、CIOやCTOに異議を唱える能力が必要であり、アジャイルなITプロジェクトの要求を満たすためにセキュリティがいじめられ、リスクを受け入れるようにならないようにする必要がある。今日のCISOの役割分担のあり方では、コラボレーションが可能な状況にあることは幸運なことです。しかし、そうでない場合、私たちはリスクに対処するためのツールがないまま、増大するリスクを受け入れざるを得なくなります。
CISOはスキルセットを拡大し、影響力を得る
CISOが幸運にも自分の後任を雇うことができた場合、私たちは職務記述書を作成しますが、当然ながら理想的な後任者も同じようなスキルセットを持つ傾向があります。CISOの影響力を高めるには、セキュリティチームが何をしているかを理解することが不可欠だが、利害関係者とのコミュニケーション、ビジネス・センス、戦略的プランニングなど、ソフト・スキルの開発が欠かせない。そうでなければ、私たちはSOCから抜け出せず、あと20年は役員室から遠ざけられてしまうでしょう。
組織内で最も影響力を持ちたいと考えているCISOは、以下の点に注目してほしい:
- CISOが誤った期待によってインシデント管理に関与しているのを見たことがある。これは幹部にとって健全な立場ではない。
- ビジネス戦略におけるセキュリティの位置付けを理解する - セキュリティはビジネスモデルにとって不可欠な要素なのか、それともその役割は主に技術的なものなのか。火消しに忙殺され、変革を推進できないのではないか。
- レスポンス セキュリティに関する現在のプロセスチェーンを見て、成熟度について質問する。そうすることで、あなたがどこに時間を費やすことになるかが見えてくる。
- 購買管理を徹底する-過密なチームに複数の製品を投入しても、スキル・ギャップを解決することはできない。
成功するCISOは、セキュリティ管理を更新し、古いツールを、手作業を減らし、AIの検知とレスポンスのようなアクションに優先順位をつけるソリューションに置き換えることができなければならない。
このブログはThe Registerに掲載されたものです。