LogRhythm CSO、ジェームズ・カーダー
重要な資金を獲得するためには、今日のCISOは、組織の取締役会にとって最も重要なビジネス目標と目的に合致した形で、セキュリティ戦略のROIを実証できなければなりません。これは、組織のリスク管理体制とセキュリティプログラムの有効性を明確に示すだけでなく、そのアプローチがビジネスの収益をどのように保護するかを説明することで、取締役会メンバーにセキュリティプログラムのビジネス価値を啓蒙することを意味します。
聴衆を理解する
セキュリティチームと戦略への支持を得るための最初の重要なステップは、対象者が何を気にかけ、どのような目標を持っているかを考えることです。取締役会メンバーにとって、最優先事項は株主利益の最大化と、組織を効果的に運営する方法をより深く理解することでしょう。そのため、議論の多くはコスト効率と収益創出に集中するのが一般的です。最終的には、専門用語にこだわるのではなく、セキュリティ計画のROIを明確かつ簡潔に提示することで、CISOは組織のリスク軽減方法と、セキュリティプログラムがビジネスにもたらす価値について共通の理解を築くことができます。
準備しておく
あらゆるプレゼンテーションにおいて、事前の調査と準備は不可欠です。つまり、各取締役の人物像を理解し、信頼関係を築き、彼らの目標、懸念事項、共通の関心事を把握することが大切です。可能であれば、主要な取締役と1対1で面談を行うことは、この目標達成に非常に効果的です。CISOは、各取締役の心に響くプレゼンテーションを作成し、事例や背景情報を提供することで相互理解を深めることができます。そして、CISOは取締役をセキュリティの推進者へと変革し、四半期ごとの会議に留まらないコミュニケーションルートを構築することができます。
ビジネスを知る
今日のCISOは複数の役割を担う必要があり、企業の文化、顧客、ビジネスモデル、推進要因、そして企業の目標や目的など、ビジネスを隅々まで理解することが求められています。セキュリティはCISOの最優先事項ですが、まずビジネスにとって何が重要かを理解し、その目標に沿ってセキュリティ戦略を階層化していく必要があります。
組織の今後の会計年度または5カ年計画に合わせて計画をカスタマイズすることで、コアビジネスへの深い理解、セキュリティが全体戦略にどのように適合しているか、そしてセキュリティが戦略の成功をどのように確保するかを示すことができます。また、現在の業界動向と関連する組織リスクに焦点を当てることで、変革期においてセキュリティビジョンが企業にどのようなメリットをもたらすかを示すことができます。
FUD戦略を避ける
恐怖、不確実性、疑念(FUD)は、特定の状況では効果を発揮するかもしれませんが、取締役会との関係を阻害する可能性が高くなります。データ侵害やインフラ漏洩に関しては、確かに不安や心配は生じますが、CISOの役割は、そうした不安を和らげ、具体的な対策がいかに企業の安全と繁栄につながるかを強調することです。ネガティブな状況や「もし~だったら」というシナリオに焦点を当てると、恐怖をあおる印象を与え、なかなか払拭できない可能性があります。
会議室の主なセキュリティ専門家として、関連する統計、ソース資料、ケーススタディを取り入れることは、取締役の教育と信頼性の構築に役立ちます。
「なぜ」を明確に伝える
コミュニケーションの途絶は絶対に避けてください。これらの担当者はセキュリティに関する知識や経験が限られている可能性が高いため、混乱を避けるために、できるだけシンプルかつ明確に説明することが重要です。
これを実現する一つの方法は、プレゼンテーションと連動する主要な課題の要約を含めることです。スコア、指標、グラフ、図表を用いることで、現状と提案された方向性をより明確に示すことができます。
勝利を実証する
取締役会が最近、セキュリティプログラムに資金を投入したとしましょう。CISOは、投資がビジネスパフォーマンスにどのような影響を与えたかを強調し、議論の中心を企業全体に置く必要があります。これは、タイムライン、主要な成果、進捗状況、そしてリスク削減プロジェクトの予算に対する進捗状況を確認する絶好の機会です。
コンプライアンスを考慮する
ほとんどの企業は、事業を展開する業界に応じて独自の規制要件に直面しているため、セキュリティプログラムの策定においては、これらの要件を考慮することが重要です。組織の観点から見ると、これらは多くの場合、企業全体の標準的な慣行を形作る厳格な規制です。統治機関、法律、基準、規制を深く理解することは、過失やコンプライアンス違反を回避するのに役立ちます。これは取締役会への訴求力を高め、部門がコンプライアンス確保のために業界要件に厳密に従っていることを強調することにもつながります。
CISOが取締役会の価値観とより一致しているほど、取締役会メンバーの支持を得て、セキュリティプログラムを成功に導く可能性が高まります。CISOは取締役会メンバーの立場を考慮し、セキュリティモデルがどのようにして安全にリスクとコストを削減し、ROIを向上させ、最終的には収益を向上させるかという点に焦点を当てて議論を進める必要があります。
