TOPセキュリティ > セキュリティ責任者と経営陣との意思疎通を強化する4つの方法(...

セキュリティ

セキュリティ責任者と経営陣との意思疎通を強化する4つの方法(前)

2021/03/30

Stacy Collett CSO

経営陣が利用するモデルやフレームワークを議論に生かす

 取締役らに通じる言葉でセキュリティについて伝えるために必要なこととして、SANSのセキュリティアウエアネス担当ディレクター、Lance Spitzner氏は、「戦略的な話し方」を挙げる。そのためのビジネスツールがあると同氏は言う。SANSでは、CISOなどのセキュリティリーダーがビジネスモデルやフレームワークについて学ぶことができる5日間の講座を実施している。リスクの測定や戦略の策定の際に経営陣や取締役らが使っているビジネスモデルやフレームワークを学べる講座で、PESTモデル、SWOT分析、バランスト・スコアカードなどの知識が得られるほか、能力成熟度モデル統合(CMMI)のモデルとNIST Cybersecurity Frameworkを組み合わせて、セキュリティに関する戦略的イニシアチブの成熟度を取締役らに伝える方法を学べる。

 CISOは、こうしたモデルを必ずしもすべて知らなくても、自社の取締役らにとって重要なものだけを押さえておけばよいとSpitzner氏は言う。「取締役会でどのようなモデルを使っているか、何人かの取締役に聞いてみればよい」

 業界固有のセキュリティフレームワークも、取締役会での議論に役立つ場合がある。Abacus Insightsは最近、医療業界のセキュリティ認定フレームワークとして広く使われているHITRUSTの認定を取得した。機密性の高い医療情報を扱う機関では、HITRUSTが要件として求められることも多い。こうした認定を取り入れれば、取締役らへの情報伝達に関する要件をはじめ、セキュリティ活動を体系化できるとBrown氏は言う。例えば、資産の保護に関して経営陣やビジネスパートナーがCISOと同等の責任のもとで果たすべき役割について、経営陣に定期的に説明できる。

 サイバーセキュリティのデータに基づいて、ビジネスへの影響を効果的に伝えるには、データ視覚化ツールも役立つ。AbacusのBrown氏は、同社の取締役らに向けて、ヒートマップを四半期ごとに作成した。このヒートマップは、表のデータ値を色分けして示したもので、確率も影響も低い問題は緑、確率も影響も高い問題は赤となっている。データ値からは、Brown氏が割り出した潜在的リスクと、それぞれがAbacusで発生する可能性、およびその場合の影響を知ることができる。影響に関しては、同社のビジネスに対して顧客が抱くイメージに与える影響や、ベンダーやパートナーとの関係に及ぼす影響も扱っている。Brown氏のチームは、このデータの確認と更新を定期的に行っている。

 「取締役らは、ヒートマップが前の四半期からどう変わったかに注目している。可能性や影響が大きい項目がある場合には、それらを抑えるためにセキュリティチームが行っている対応を説明できる」

翻訳:内山卓則=ニューズフロント

↑ページ先頭へ