ニュース:
メンロセキュリティがGoogleとの戦略的パートナーシップを発表
ここ数年、CISOは議席を獲得し、取締役会の耳にもなりました。また、攻撃者が攻撃を微妙なものからそれほど微妙ではないものまで増やし、取締役会がサイバーセキュリティとそのビジネスへの影響についてより精通するようになるにつれて、CISOの重要性は今後も続くと思われます。
したがって、CISOがこの瞬間を生かし、取締役会との相乗効果を生み出し、それを維持することが、これまで以上に重要になっています。
特にパンデミック以降、CISOの役割によりこの議席がさらに確保されたため、タイミングは好都合です。在宅勤務(WFH)モデルへの突然の転換が取締役会の注目を集め、パンデミックが中断したところから衰弱させるランサムウェア攻撃や地政学的な出来事が再開されました。米国政府も対策を講じています。 掲示板に直接連絡 サイバー脅威について現在、取締役会のメンバーは、サイバーセキュリティが企業にとってどのような意味を持つのかを理解しています。取締役会の 88% は、サイバーセキュリティが企業にとってどのような意味を持つのかを理解しています。 ガートナー調査 サイバーセキュリティをビジネスリスクとして認識しています。
取締役会とのコミュニケーションに関しては、今日のCISOは何を言うべきか、どのように言うべきか、いつ言うべきかを知っている必要があります。では、CISOはどのようにして取締役会の認知度を高め、維持するのでしょうか。セキュリティリーダーは、以下の推奨事項と禁止事項を念頭に置いておく必要があります。
年に一度、CISOが取締役会の前に立ち、1枚のスライドプレゼンテーションだけで、聴衆からコオロギしか得られない時代は終わりました。今では、多くの取締役会が、組織が直面している脅威とその軽減または排除方法についての理解を深めるために、セキュリティに関するある程度の専門知識を持つメンバーを雇用したり、個別のセキュリティ委員会を設置したりしています。そのため、目の前に立つCISOに質問することが多くなっています。
現代のCISOは占い師ではありませんが、取締役会にとって最も重要な分野は何かを予測することが重要です。最近話題になった脅威、新しいテクノロジーの導入、全従業員に影響を及ぼすポリシーなど、これらの分野に関連するあらゆるセキュリティ上の質問に答える準備をしておいてください。
最近、取締役会はCISOの発言にもっと関心を示していますが、スペースを埋めたり、プレゼンテーションを美しくしたりするように設計されたスライドに取締役会やあなたの時間を無駄にしないでください。取締役会が開かれるまでの時間は限られているため、メンバーが知っておくべきことを慎重に検討してください。何を提示するにしても、事実と例を挙げて主張を裏付けることを忘れないでください。この情報を共有する際は、簡潔で直接的、かつ要点を絞ったものにしてください。
ボードはこれまで以上にテクノロジーに精通しているかもしれませんが、ビットとバイトだけではボードを揺るがすことはありません。実際、技術的な詳細が多すぎると、CISOが描こうとしている全体像が曇ってしまう可能性があります。技術的なことを完全に避けてはいけませんが、会話の主役は技術に任せないでください。技術的なポイントを使ってビジネス上の主張や目標を強調することは、メッセージを強化するのに大いに役立ちます。
CISOは、自社を守るために行ったことや脅威回避の成功事例を説明する際に、恥ずかしがらずに説明すべきではありません。もちろん、傲慢な態度をとってはいけません。代わりに、自信を持って投影しましょう。取締役会には、それ自体で成功を収めた人がたくさんいます。概して、彼らは同じことを成し遂げた人に惹かれます。彼らがいる場所で会い、冷静で冷静な態度をとり、自信と能力を醸し出しましょう。チームが何をしているのか、セキュリティ対策が機能することをどのように証明するのかを話し合ってください。「私たちは安全ですか?」という質問に答える準備をしておいてください。
取締役会のプレゼンテーション中のすべての話が内政問題に集中しているようなバブルに閉じ込められないでください。取締役会の幹部は、Colonial Pipeline ランサムウェア攻撃や Kaseya VSA ランサムウェア攻撃などのインシデントを十分に認識しています。ただし、その影響が企業にとって劇的で驚くべきものであったこと以外に理由はありません。プレゼンテーションには、世界の他の地域、特に組織の業界で何が起こっているのか、またセキュリティチームが潜在的な影響に社内でどのように対処しているのかを説明する業界スライドを必ず含めてください。ニュースで起きていることについて取締役会が尋ねる質問は、常に先取りしておくのが賢明です。
最善の計画を立てても、企業は依然としてセキュリティ侵害やその他のセキュリティイベントに遭遇する可能性があります。取締役会の問題を回避したり、最小限に抑えようとしないでください。代わりに、何が起こったのかを説明し、実施されているセキュリティ対策がどのように影響を軽減したかを説明し、この機会を利用して、将来このようなインシデントを防ぐことができるセキュリティ投資について話してください。
厳しい時や、システムをロックダウンしてデータを保護するためにより多くの資金が必要なときには、組織のセキュリティの悲惨な状態について大げさに語りたくなるものです。その誘惑に負けないでください。もちろん、真実を覆い隠すことは避けてください。また、終末論的な口調で悪いことだけを強調することも避けてください。その代わり、問題点を強調し、何がうまくいったのか、そしてそれをどのように構築するのかを取締役会にいくつか伝えてください。マイナス面に対処し、より積極的になるための計画を提示してください。
企業はCISOの専門知識と能力を信頼すべきですが、一言だけでは説得力がないかもしれません。特にCISOが初めての場合、企業のセキュリティ体制を評価するためにコンサルタントを雇うことは、取締役会に対するCISOの主張を裏付けるのに大いに役立つことがあります。その調査結果がCISOの評価を裏付ける評判の高い企業であれば、取締役会を揺るがすのに十分かもしれません。しかし、CISOは、自由自在に管理するのではなく、希望する指標に向けて第三者を誘導するようにすべきです。
プレゼンテーションを複雑にしたり、理事会メンバーを困らせたり混乱させたりするようなワードサラダを提供したりするのは簡単です。しかし、NIST CSFのような一般的なフレームワークを使用して、スコア形式(ランキング、グレード、色分けされたシステムなど)で情報を提示すると、理事会の注目を集め、メンバーが簡単に把握できる方法で情報を提供できます。組織のサイバーセキュリティの進捗状況を示し、脆弱な場所を特定するために、AからFまでのグレードや、信号機の赤、黄、緑などのグレードを考えてみてください。ただし、よく知られているフレームワークを選択し、スコアを頻繁に更新するようにしてください。
取締役会の前に出てレポートを読んだり、理事会メンバーの経歴を読んで準備したりするだけでは十分ではありません。個人の優先順位、好み、スタイルを理解するために詳細な調査を行い、取締役会のことを知りましょう。次に、プレゼンテーション中にこれらの優先事項について話してください。
すべての理事会メンバーが似ているとか、同じ方法で情報を取り込んで処理すると思い込まないでください。取締役会の前で話すとき、CISOは会議室を読み、誰が注意を払っているのか、誰が質問に迅速に対応しているのか、提示された情報に誰が共感しているのかを理解する必要があります。役員室の内外を問わず、そうした人々と親密な関係を築き、それを用いてプレゼンテーションを形作り、他の取締役会メンバーと関係を築く方法を判断するようにしてください。
取締役会との会議は、一度だけの会議として扱われるべきではありません。年次総会に向けた素晴らしいプレゼンテーションの作成に追われてしまい、取締役会の監督と参加は継続的なプロセスであることを忘れがちです。CISOは、定期的に最新情報やニュースレターを送信するなど、年間を通じて取締役会に連絡を取る方法を模索する必要があります。しかし、取締役会に望まない連絡を浴びせたり、上司の頭を横切って議定書を破ったりしないように、慎重に踏み込んでください。
優秀なCISOは、同僚に技術的なアドバイスを求めたり、戦争の話を交換したりするのが得意です。同じ仲間は、取締役会が何を求めているのか、どのように彼らとより良いパートナーシップを結ぶのかを理解するための貴重なリソースにもなり得ます。取締役会との相乗的な関係を築くには時間と労力がかかるかもしれませんが、努力する価値は十分にあります。CISOと取締役会は、企業に対するサイバー脅威の高まりに対抗する強力な味方になり得ます。
