最近の大規模なCDKランサムウェア攻撃(2024年6月末に米国の自動車ディーラーを閉鎖)のような出来事は、もはや一般の関心を引かなくなっています。
それでも、ビジネスとそのリーダーは正当に神経質です。すべてのCISO(最高情報セキュリティ責任者)は、サイバーセキュリティが経営陣や取締役会にとってますます重要なトピックであ
ることを知っています。そして避けられないCISO/取締役会のブリーフィングが訪れるとき、皆が答えを求めます:攻撃から守られていますか?進捗していますか?私たちにも(あなたを夜中に目を覚ましているCVEやインシデントの名前を挿入します)が起こる可能性がありますか?
これらはすべて正当な懸念です。
問題は、これらの質問にどう答えるかです。企業の取締役会は、ビジネス目標に結びついた明確で簡潔な情報を要求します。修正や攻撃手法の技術的な詳細ではなく。CISOと取締役会の間のコミュニケーションのギャップは、誤解、増加したリスク、そして潜在的に壊滅的なサイバー攻撃につながる可能性があります。そしてこれが今日のCISOにとって最大の課題の1つである理由です:取締役会が理解し、情報に基づいた意思決定を行うための方法。
サイバーセキュリティ戦略 XM Cyberの新しいeBook、「CISOの取締役会へのリスク報告ガイド」をご覧ください。この本には、リスクに関する取締役会の質問に自信を持って正確に答えるための戦略とヒントが詰まっています。明確なコミュニケーションと計測可能な進捗の計画を確立することで、CISOはついに取締役会の信頼を築き、サイバーリスクを効果的に管理するためのリソースを確保できます。
数字が示すもの# この明確で緊急なコミュニケーションの必要性にもかかわらず、Heidrick and Strugglesによる最近の調査によると、CISOとCEOの間に深刻な乖離があることが明らかになりました。CISOのみ5%がCEOに直接報告しており、高いレベルでの影響力の欠如を示しています。CISOの2/3がCEOから2つのレベル下に位置しています。
これは、サイバーセキュリティリーダーの大多数が組織の意思決定から数段階離れていることを意味します。Ponemon Instituteの研究では、組織の37%しかCISOの専門知識を効果的に活用していないと報告しています。Gartnerの調査も同様の傾向を示しており、現在10%の取締役会が専任のサイバーセキュリティ委員会を持ち、その管理は取締役会のメンバーによって行われています。
これらの数字は、組織がどのように報告を構築し、取締役会がブリーフィングを受ける方法についての重要な弱点を明らかにしています。CISOによるより直接的な役割にも関わらず、リスクを明確なビジネス用語に翻訳するという課題は依然として続いています。
質問# CISOとして、以下の5つの重要な質問に自問することで、取締役会や執行部とのコミュニケーションのギャップを埋め、サイバーセキュリティのポジションを明確にし、リスク管理に必要なサポートを得ることができます。
- サイバーセキュリティ予算を正当化するにはどうすればよいですか?
- リスクレポートの作成のコツは何ですか?
- セキュリティの達成をどう祝うべきですか?
- 他のチームとの協力をどう改善すればよいですか?
- 最も重要なことに集中するためにはどうすればよいですか?
サイバーセキュリティ戦略 ギャップを埋める:CISOのための効果的なコミュニケーション# サイバー攻撃の増加は、CISOと取締役会の間で明確なコミュニケーションを要求しています。このギャップを埋め、重要な支援を得るために、CISOは効果的なリスクコミュニケーションを優先すべきです。技術用語を捨て、複雑な脅威をビジネス用語に変換します。サイバーアタックの財務影響、潜在的な評判への損害、および主要業務の中断を強調することで、サイバーセキュリティをビジネスの課題としてフレーム化し、取締役会から重要なセキュリティ投資の承認を得ることができます。
