少し前まで、最高情報セキュリティ責任者の役割は、組織がサイバーセキュリティの課題を克服するのを支援するために設計された、純粋に技術的な役職でした。 しかし、今日、 CISO の役割は進化した — 会社内での責任と地位の両方において成長する。 CISO は現在、経営陣の重要なメンバーであり、サイバーセキュリティだけでなく、全体的なリスク管理を会社のビジネス戦略と運用に結び付ける責任があります。
現代の CISO たとえば、サイバー機能と防御がアクティブであり、現在の脅威とともに進化していることを取締役会、クライアント、および投資家に保証しながら、ビジネスがデジタルトランスフォーメーションを安全に受け入れるようにするなど、戦略的意思決定に関与しています。 また、組織が包括的なビジネス目標を安全に達成できるように、人、プロセス、テクノロジーを活用する責任があります。
責任のこのような進化を考えると、CISO の最初の 90 日間の仕事は、数年前とは大きく異なるはずです。
最初の90日
多くの CISO は、初日から大きなアイデアやプロジェクトに飛び込んですぐに価値を実証したいと考えていますが、最初に時間をかけて会社の使命、価値、ビジネスを理解することで、より長期的な影響を与えることができます。目的。 また、主要な活動、製品、サービス、研究開発、知的財産、および合併と買収の計画についても把握する必要があります。 また、潜在的な問題、以前の違反、規制または外部の義務、および既存の技術的負債をすべて理解する必要があります。
これを念頭に置いて、CISO が職務に就いて最初の 90 日間に何を重視すべきかについて、いくつかの推奨事項を以下に示します。
組織のより大きな使命と文化を理解する
初日から、ビジネス、その目的、および優先順位を理解することを目標に、一連のインタビューと尋問の手法を展開し始めます。 従業員、中間レベルのビジネス リーダー、および顧客にインタビューして、すべての主要な利害関係者、最初の問題点、およびサイバーセキュリティ文化が組織内でどの程度成熟しているかを把握します。 最後に、パートナー、サプライヤー、およびベンダーに慎重に質問して、販売しているのは誰で、信頼できるアドバイザーは誰かを判断します。 このプロセスを経ることで、コミュニケーション ラインが開かれ、課題が明らかになり、90 日間のアクション プランとロード マップの作成に役立ちます。
王冠の宝石を特定する
企業の戦略的使命とコア コンピテンシーを支え、知的財産を表し、企業を競合他社と差別化し、主要な顧客セグメントや収益ラインをサポートするデータとシステムを決定します。 これらの王冠は、攻撃者の標的になる可能性が最も高いデジタル資産であるため、サイバー衛生への取り組みを加速させる必要があります。 経営陣と取締役会がこれらの重要な領域を理解している場合、彼らはあなたに彼らのリスク選好を伝えることができ、それに応じてセキュリティ戦略を実装することができます.
会社の現在の IT およびビジネスの状況に基づいて計画を策定する
資産を特定して優先順位を付けたら、成果物、構造、主要な社内外の利害関係者間のコミュニケーションのチェックリストを含む書面によるリスク管理計画を作成します。 この後者の点では、CISO は常に情報仲介者として、またすべての主要な組織の意思決定者のパートナーとして行動する必要があります。 これを行う効果的な方法の XNUMX つは、組織が戦略的に前進できるように、これらの役割と公式および非公式のコミュニケーションを確立することです。
基本をマスターする
現代の企業を保護するために必要なテクノロジは多数ありますが、まだ実装していない場合は、すぐに実装する必要があるものもいくつかあります。 これらは、エンドポイントの脆弱性管理とマルウェア対策防御を含むベースライン コントロールと、多要素認証、機密データの暗号化、アプリケーションのホワイトリスト登録、24 時間年中無休のセキュリティ監視、ファイル整合性監視、特権アクセス管理、ネットワーク セグメンテーションなどの交渉不可能なコントロールです。 、データ損失防止、および脆弱性とパッチ適用戦略に関連する厳格な評価と監査機能。
ベンチマークの実装
セキュリティ計画、プロセス、テクノロジーの価値を経営幹部、ビジネス ユニットの幹部、取締役会に証明する ベンチマークと成熟度評価の実装 同社が競合他社にどのように対抗しているか、セキュリティ戦略が業界のベスト プラクティスやフレームワークにどのように対抗しているか、セキュリティ イニシアチブが安全な運用でビジネスをどのように実現しているかを示しています。
常にセキュリティをビジネス上の問題として扱う
セキュリティ インシデントは、ビジネスに無数の結果をもたらす可能性があります。逆に、強力なセキュリティは、ビジネスが安全な方法で成功するのに役立ちます。 これが、IT チームとセキュリティ チームが常に組織のビジネス側との統合を維持することが非常に重要である理由です。 その一環として、エグゼクティブ リーダー、取締役会、セキュリティ リーダーの間で継続的なコミュニケーションとコラボレーションを確保します。 経営陣がサイバーセキュリティの脅威によってもたらされるビジネス リスクを理解すると、セキュリティへの取り組みに注意を払い、参加する傾向が強まります。
最初の 90 日の終わりに、CISO は次のような質問に答えることができるはずです。組織はどの程度保護されているか? 業界標準のフレームワークに対する当社の能力の成熟度は? 最も重大な脆弱性とサイバー リスクのシナリオは何ですか? 組織にとって最も重要なデータは何ですか? 組織に最も重大な悪影響を与える可能性のあるデータ リスクは何ですか? また、組織のセキュリティ体制を改善するには何が必要で、ロードマップはありますか?
これを XNUMX か月で解決するのは大変なことのように思えるかもしれませんが、これらの XNUMX つのステップに従うことで、短期的および長期的なセキュリティとビジネスの成功に向けた準備を整えることができます。
