CISO Voices: CISO との対話 — パート 5
大きなサイバー事件が起こると、サイバーセキュリティに注目が集まります。しかし、Thales Digital Identity and Security 情報セキュリティ最高責任者 (CISO)、Bridget Kenyon は、サイバーセキュリティがただの緊急サービスではないことを知ってほしい、と言います。
「Human Factor Security」ポッドキャストでの Jenny Radcliffe (People Hacker) との先日の対話で、Bridget はこの点について明らかにしてくれました。また、CISO が取締役会においてどのように自身のポジションを獲得し、これを維持できるかなどについて話しました。彼らの対話のまとめを以下に紹介します。
コロナ禍後の CISO の役割
コロナ禍では、多くの CISO が取締役会に参加しました。すべてを迅速に処理しなければならなかったため、サイバーセキュリティ担当者は、緊急の会議やビジネスに不可欠な議論において中心に立っていました。
これにより、取締役員は、サイバーセキュリティがどのように変化をもたらす要因となっているか明確に理解できたことから、CISO の役割に対する考え方は変わりました。決定が行われた後に CISO が現れ、「これについては考えていただけましたか?」と言うのではなく、会議本番において CISO に対して質問が積極的に投げかけられました。「従業員全体のリモートワークをセキュアに円滑化するには?CISO はどのようにサポートできるか?」といった質問が CISO に投げかけられました。
現在、通常どおりのビジネスのマインドセットに戻りつつある中で、サイバーセキュリティがただの緊急サービスであるといった考えに戻らないことが重要です。問題解決のために求められることは喜ばしいことなのですが、私達はまず、問題の発生を防止するために、サイバーセキュリティが組織にとってどれほど重要であるかを示す必要があります。
人材育成の重要性
人材雇用は現在非常に課題が多く、売り手市場の傾向が強まっています。これを克服するために、企業側は、すべての条件が揃った完璧な人材を雇用するといった考えを捨てなければなりません。
その代わりに、学習意欲があり、育成と能力開発が期待できる適性と熱意をもった人材を雇用することを目指すべきです。もちろん、こうしたことを行えば、このような人材がスキルを得た後、昇格したい、または退職したいと考える可能性も大いにあります。
このような人材の育成にかかる費用を計算するよりも、役割を担当している間にその人が何を提供できるかについて目を向けましょう。誰も一生雇用することはできません。人に初歩的または中間レベルの役割を任せ、留まらせておくことはできません。人は進化し、動きます。旅行したい、休みたいときもあります。それでいいのです。
サイバー セキュリティにおけるソフトスキルの重要性
サイバーセキュリティにおける役割が上級になればなるほど、他の部門の上級管理職層ともコミュニケーションを取るようになります。そのため、専門家というよりは普通の人になることが期待されます。
これを実現するには、人とうまく協調する必要があります。これにより、スムーズに結論や合意にいたります。本質的に、ソーシャルスキルのある人が仕事ができることになります。しかし、それだけではありません。ビジネスを理解し、ビジネスについて効果的に話し合えるようでなければなりません。なぜなら IT、財務、人事といった部門があるように、私達はビジネスという部門にいるからです。
サイバーセキュリティが追加のプロジェクトまたは付加的なものであるといった考えが現在も根強く、通常どおりのビジネス エクスペリエンスがまだ全員には行き渡っていないながらも、私達が会議に参加するようになる以前の状況に戻ることはないでしょう。
CISO 意識調査レポート
プルーフポイントは、世界各地の1,600人のCISOに聞き取り調査をおこない、サイバーセキュリティ リーダーが直面している課題を掘り下げ、結果を Voice of the CISOレポート にまとめました。本レポートでは、CISOが考えている重大なサイバー脅威や、機密情報の漏えいへの対処実績、サイバーセキュリティ インシデントの経営への影響、CISOの燃え尽き症候群などについてまとめています。