ワールドツアー:
Menloのセキュアエンタープライズブラウザがどのように攻撃者に先んじるかをライブで見てみましょう
Icon Rounded Closed - BRIX Templates

あれではなく、これを:CISOが30-60-90日計画にどのように取り組むべきか

Devin Ertel
|
May 31, 2022
linkedin logotwitter/x logofacebook logoSocial share icon via eMail
__wf_リザーブド_デコラティブ

最高情報セキュリティ責任者(CISO)として夢の仕事に就くことは、成功の一部にすぎません。

職位、給与、会社、約束がどんなに魅力的であっても、CISOが新しい仕事への扉をくぐると、本当の仕事が始まります。ある組織がまったく新しいスタートアップ企業でない限り、ほとんどの CISO は、良くも悪くも、他人のセキュリティ戦略、運用、チーム、管理履歴を他人のセキュリティ戦略、運用、チーム、管理履歴を受け継いでいます。そして一般的には、その両方が混在しています。

素晴らしい計画を始めたいと思う人は、侵入して既存のセキュリティ機構を覆したいという衝動を抑えたいと思うかもしれません。逆に、よく運営されているように見える店に介入なしで現在の軌道を維持させたいという誘惑に抵抗したいと思うかもしれません。代わりに、30~60日~90日プランを作成しましょう。これは、目標と戦略を定め、新入社員が最初の90日間を仕事に導くリーダーシップツールです。

新しいCISOにとって、このような計画は特に役立ちます。なぜなら、組織のセキュリティ文化と運用についてより深く理解し、何が機能し、何が機能しないかについての事実と貴重な評価に基づいて「成功する」ことができるようになるからです。

セキュリティには万能のソリューションはありませんが、新しいCISOのリーダーとしての戦略と有効性を左右する要素があります。30-60-90 日の計画には、必ず以下のステップが含まれるようにしてください。

キックオフ — 最初の 30 日間

現在のセキュリティ運用を理解する。 CISOは、自分がセキュリティについてすべて知っていて、自分の専門知識が平等に当てはまると信じ込んではいけません。むしろ、危機が起きていない限り、新任のCISOは、より慎重なアプローチを採用し、時間をかけて組織のセキュリティがどのように機能しているか、またその理由を理解するべきです。

歴史の学生になりましょう。 新しいものを取り入れ、古いものを取り出す... それほど速くはありません。新任のCISOがどんなに熱心に取り組み、自分の足跡を残そうとしても、それまでに何が起こったのかを完全に理解しないのは間違いです。実践的にも管理スタイルの観点からも。セキュリティ環境全体を見て、何が従業員や組織の共感を呼んだか、何がうまくいったか、何がうまくいかなかったかを評価し、慎重に検討してください。平凡な元CISOであっても、通常、新入社員が理由だけですべてを台無しにするつもりはないと確信させる必要がある忠実な部下がいます。

従業員の話を聞いてください。 従業員は通常、新しいリーダーシップがどのようなものになるのか、そしてこれからどのような変化が起こるのかについて、いくらか不安を抱いて待っています。新任のCISOが考えや視点を説明することは重要ですが、労働者に意見を聞く機会を与えることはさらに重要です。さもなければ、新任CISOは大量流出、あるいは少なくとも相当な抵抗に直面するかもしれない。もちろん、従業員に苦情を申し立てさせることも重要ですが、会話をよりポジティブな方向に導き、具体的な計画を立てるようにしてください。

従業員の習熟度を測定します。 従業員の話を聞くことは重要ですが、従業員の能力を理解することも同様に重要です。彼らの技術的なスキルだけに集中しないでください。従業員のソフトスキルと、セキュリティチームで果たしている役割をよく見て、それが資産なのか課題なのかを評価してください。

60日目に到達

第三者監査を依頼してください。 新任のCISOが孤立した環境で業務を行うと、新会社のセキュリティを完全かつ正確に把握することはできません。重要なことではあるが近視眼的であるかもしれない内部の力だけに耳を傾けるのはやめましょう。できるだけ早く第三者を招くことで、専門家からの貴重な外部の視点が得られ、盲点を特定できます。また、CISOがチーム、上級管理職、取締役会に提出できるようなスコアを作成して、組織の強みがどこにあるのか、セキュリティへの取り組みが不十分なのかをすべての関係者が理解できるようにすることもできます。さらに、第三者がCISOを他のタスクに回せるようになるという利点もあります。

ビジネス感覚を研ぎ澄ましましょう。 テクノロジーとセキュリティの問題だけに焦点を当てないでください。セキュリティに関する会話の大部分は、ビジネス目標と管理目標を中心に据える必要があります。取締役会の前に出るだけでなく、社内の経営幹部やビジネスリーダーとのミーティングを設定することで、CISOがビジネスにとって重要なことに優先順位を付け、強固で実行可能なセキュリティ対策を策定するのに役立つ貴重な洞察を得ることができます。

法律に従ってください。 セキュリティ環境において規制が果たす役割を過小評価するのは間違いです。厳重に規制されていない業界の組織でも、特定の要件を満たす必要があります。CISOにとって、どの規制が重要かを一から理解し、コンプライアンスを確保するためのセキュリティ対策を講じることが重要です。

具体的で実践的な目標を設定します。 アモルファスあいまいな計画は誰にも利益をもたらさない。CISOが組織のセキュリティ文化と日常業務に精通し、今後の方向性を描くために必要なすべての情報を収集したら、レポートを発行するだけでは十分ではありません。今こそ、新任のCISOが大胆に業務上および管理上の目標を設定し、その目標を妥当なタイムラインとともにチームや組織全体に明確に伝える時です。

90 日間の期限に向けた調子を整える

伝道する。 セキュリティの実用性を少しずつ考えている多くのCISOにとって、いじめっ子の説教壇からセキュリティを売るのは自然なことではないかもしれません。しかし、上級管理職、一般社員、取締役会の支援がなければ、どんな計画も成功しません。CISOの仕事で重要なのは、不快ではあるが、外に出て情報を広めることです。セキュリティへの情熱を活かし、それを利害関係者に伝える最善の方法を見つけましょう。最終的には、人気の高いセキュリティ文化が醸成されるでしょう。

進捗状況を監視して報告します。 いったん計画が実行に移ったら、じっと座ってそれをスピンアウトさせたくなるかもしれません。しかし、CISO が計画の進捗状況を監視し、すべての利害関係者に定期的に報告することが重要です。これにより、計画が順調に進むだけでなく、利害関係者の投資が継続されます。

柔軟に対応してください。 新任CISOの任期を成功させるには、30~60日~90日プランが不可欠ですが、CISOはその採用を厳しくすべきではありません。計画に熱心に取り組んだ後、ひたすらそのメリットを推し進めたくなります。しかし、計画の目標をセキュリティチームに強制的に当てはめてしまうと、差し迫ったセキュリティ問題が起きても無視でき、セキュリティチームの意欲が落ち込む可能性があります。その代わり、可能な限り計画に固執し、組織の文化の現実と、発生する可能性のあるセキュリティ上の脅威を考慮して調整を行うようにしてください。

最もよく練られた計画の運命についての古い慣用句は、特にセキュリティ分野では間違いなく当てはまります。侵害、ランサムウェア攻撃、その他のインシデントは誰にとっても止まりません。また、脅威アクターは、攻撃を開始する前に CISO にその立場に慣れさせたり、計画を実行させたりすることで知られていません。新しいCISOは、なじみのない環境に落ち着きながら、30〜60〜90日の計画をその場で策定しているため、すべての目標が滞りなく達成されるわけではないことを理解し、必要に応じて戦略を調整するなど、柔軟性を保つことが重要です。

Download report: the CISOs report: perspectives, challenges, and plans for 2022 and beyond
ブログカテゴリー
タグ付き
CISO