セキュリティの専門家である私たちは、平気でいられることで知られているわけではありません。確かに、私たちはしばしば、組織や自分のキャリアの見通しに深刻な影響を及ぼす可能性のある重大事件の消火活動をしている。しかし、私たちと他者との関係は通常、関与や支援よりもむしろ、取り締まりや強制によって特徴付けられる。
これを変える必要がある。そしてそれはCISOから始めなければならない。
世界は変わった
多くの従業員がサイバーセキュリティ部門の同僚を嫌うのはなぜだろうか。なぜなら、セキュリティと接する最初の、そして多くの場合唯一の経験は、何か間違ったことをしていると言われ、それを解決するには余分な作業が必要だと言われることだからだ。これでは、生産的な仕事関係の基礎にはなりません。
問題の一因は、セキュリティが組織の他の部分より遅れているという事実にある。CISOはインフラやネットワークの専門家に引き寄せられることが多いが、その専門家も実際の現場からは遠く離れている。このため、セキュリティは後手に回り、取り締まり機能としての評判が強まってしまう。CISOがそのようなスタンスに立つと、誤ったプロセスに過度に依存する傾向がある。
実際のところ、現代の組織はアジャイル、機能、製品主導である。物事はより速く起こる。迅速な開発と配備をサポートする直感的なツールを使って、より多くの部隊が関与している。これは、セキュリティが依存しているのと同じプロセスでは制御できない世界である。
パーティーへ行こう
CISOはこの緊張をどのように解消すればいいのだろうか?まず、これらのプロセスが変化したこと、DevOpsが登場し、彼らを取り巻くITの世界が根本的に変わったことを認識することだ。一枚岩のプロジェクトがセキュリティの前に立ちはだかり、サインオフを求められる時代は終わりつつある。プロジェクトはより多く、流動的になっている。そのため、セキュリティリーダーは、チームがどのように構築し、どのように出荷するかについて、より日常的に関与する必要がある。かつては、CISO の組織内の専門的な関係のリストはかなり短いものであったが、それらの関係は深いものであった。今日の IT の仕組みでは、プラットフォーム・チームやサイトの信頼性エンジニアなど、より広範な人間関係が必要になる。
このような新しい関係においては、私たちは門番ではなく、貢献者にならなければなりません。セキュリティチームは、「安全でセキュア」であること以上に、ビジネスが達成しようとしていることに対して、セキュリティがどのように積極的に貢献できるかを理解することに努める。セキュリティチームは、エンジニアリングプロセスを十分に理解し、適切なツールを適切なタイミングで適切な人々に提供できるようになる。実際、監査員というよりも、社内の営業担当者やセキュリティの伝道師のような存在になるだろう。
これには明らかに、多くのCISOとそのチームが困難を感じるであろう、態度の大きな転換が必要である。しかし、変わらなければならない。それは、相互信頼に基づいた強い関係を構築し、笑顔で現れることだ。音楽が流れているのだから、隅で突っ立っていないで、パーティーに来なさい。
このブログはThe Registerに掲載されたものです。