人と技術情報セキュリティ担当者は取締役会で何を伝えるべきか

Executive Summary

あなたは、セキュリティと同じくらいプレゼンテーションを行うのが得意ですか?委員会で与えられた限られた時間を最大限有効に使って、リスクとニーズ、そしてこのリスクとニーズにどう対処すべきかについて説明します。

Executive Summary

あなたは、セキュリティと同じくらいプレゼンテーションを行うのが得意ですか?委員会で与えられた限られた時間を最大限有効に使って、リスクとニーズ、そしてこのリスクとニーズにどう対処すべきかについて説明します。

Related

顧客がアプリを見捨てる9つの理由

もしあなたが、最高情報セキュリティ責任者(CISO)であるならば、企業セキュリティの状態について取締役会に報告するのは、あなたの仕事です。取締役会での説明は、非常に重要であり、企業のセキュリティ、評判、経営状態について正確に伝えられるかどうかはすべてあなたの手腕にかかっています。現在直面しているビジネスリスクとその緩和策について、取締役に知ってもらう必要があります。しかし、取締役員時間――そして集中力――は限られています。要領を得て説明をする必要があります。

以下の6つのステップに従うことで、あなたが目標とするプレゼンを行うことができます。

1. サイバー脅威の実態――事実に即した説明を行う

サイバー犯罪による損失額はグローバルで年間5,750億ドルに上り、データ漏えいによって4億ドルを超える額が失われています。取締役はこれらの数字を耳にしてはいるものの、決して真剣には聞いていません。感覚が麻痺してしまっているのです。オンラインで事業を展開する場合に遭遇する一般的なリスク――このような事業形態に特有のリスク――と、業界そして御社が直面している脅威との間にどのような違いがあるのかを、理解してもらう必要があります。仮に自社の最大のリスクが管理不足や不適切なプロセスにまつわるものであれば、そのことを知ってもらわなければなりません。何より重要なのは、リスクに対してどのような対策を講じているかを知ってもらうことです。解決策が見つからないままに、問題を取締役会に示すようなことがあってはなりません。

支持が得られないようであれば、自身の評判やキャリアのことを考え、存亡の危機から身を守る必要がある。

セキュリティ侵害について取締役に説明します。相手が納得するような内容を選び、できれば、自社が属する業界にまつわる話をするようにしましょう。社内の例を示し、知的財産や顧客の機密データなどの重要な情報資産をあげ、それらが侵害された場合、どのような事態が生じ、どういった損失を被ることになるかを説明します。

2. 説得力のある指標を示す

セキュリティ管理にギャップが生じ、それらを埋めるためのリソースの確保が難しいといった場合、自社が絶えず攻撃にさらされ、常にネットワークを探られていることを証明する証拠を示すようにします。遅かれ早かれ、攻撃が成し遂げられるであろうことをはっきりと伝え、取締役に真実を知ってもらうことが重要です。

  • 73%の企業が、昨年中に少なくとも1度、セキュリティ侵害の被害に遭っている。
  • フィッシング詐欺のターゲットとなった従業員の約1/3が、不正なEメールを開封。
  • うっかりわなにひっかかる人の割合は10人に1人を超える――1度で被害が生じることに。
  • ハッカーが攻撃をしかけてからシステムが感染するまでの時間は2分未満。
  • ハッカーが組織内に侵入して発見されるまでの時間は平均で最低4カ月。
  • 侵害の入り口としてもっとも多く用いられるのはWebアプリ。

3. セキュリティ文化を根付かせるための支持を得る

サイバー侵害の原因の58%を人的エラーが占めています。セキュアな企業とは、全員が脅威について把握し、リスクを軽減するための役割を果たしている企業のことです。それにはまず、厳格――かつ反復的な――トレーニングを実施し、さらにはISO 27001のような規格にコミットすることが必要です。

4. インシデント対応の支援が必要なことを理解してもらう

取締役に現実を直視してもらうようにしましょう。今日、あらゆる組織がセキュリティ侵害の危機に直面しています。被害をどの程度抑えられるかは、いかにすばやく効果的な対応をとれるかにかかっており、準備を整えておくことが重要になってきます。しかし、ほとんどの企業が効果的なインシデント対応(IR)のスキルを有していないのが現状です。苦難を乗り切るには、技術、フォレンジック、法律、パブリック・リレーションズに関するサポートが必要です。一番確実なのは、専門知識を持つ第三者機関を利用することです。優れたIR企業は心強い味方となります。

5. サイバー保険について話し合う

サイバー保険はセキュリティ戦略に欠かせないものです。しかし、実際にサイバー保険に加入している企業はわずか19%にすぎません。しかも、内容が十分でない場合がほとんどであり、補償額は一般的な侵害によって生じる全損失額の12%にとどまっています。サイバー保険は世界でもっとも急速に成長している保険分野であり、年間の保険料金支払額は現在の25億ドルから、2020年には300%増加すると見られています。取締役会に示すために試算を行ってみましょう。財務破綻に陥らない範囲内で、どの程度セキュリティ侵害の被害を緩和できるかを計算します。許容できるリスクのレベルを見極め、それを超えるものに対し保険をかけるようにします。

73%

昨年、少なくとも1度のセキュリティ侵害の被害に遭った企業は73%。

6. 予算が承認されなかった取り組みに対する支持を取りつける

一部の取り組みについてはすでに準備が整い、予算の確保できていることでしょう。対応が必要であるにもかかわらず、まだ予算を確保できていないリスク領域がある場合は、取締役にそのことを知らせ、リスクを容認するのか、もしくはソリューションを支持するのか、対応を決めてもらう必要があります。何かを成し遂げたいのであれば、「取締役会が承諾している」という言葉ほど効果を発揮するものはありません。

まとめ

プレゼンに臨むにあたって、少しだけ自己中心的になるようにしましょう。支持が得られないようであれば、自身の評判やキャリアのことを考え、存亡の危機から身を守る必要があります。取締役会の理解を得られないのであれば、自身の選択肢について考えるべきときかもしれません。

それほど重要なプレゼンなのです。

You Might Also Like

クラウド · 5分で読める

ビジネスニーズに応えるクラウドアーキテクチャの構築方法

プライベートクラウドにより業務の加速化を図りたいのであれば、人が関与することによる遅延を可能なかぎりプロセスから取り除くことが不可欠です。テスラ社CEO イーロン・マスク氏は次のように言っています。「生産ラインに人を配置すべきではありません。人がそのスピードを落としてしまうからです」 インフラを再利用可能なリソースプールとして取り扱い、セルフサービスやインテリジェントな自動化のメリットを、最大限活用することが重要です。

事業戦略 · 5分で読める

クラウド移行の費用対効果:収支はバランスとれているか

パブリッククラウドでのSasSの導入率はすでに90%と高い値となっています。一方、77%近くの企業がプライベートクラウド・プラットフォームを、またハイブリッドクラウドを利用している企業も71%あります。オンプレミス機器を使用した場合と比べて、業務の効率化、コスト削減、リーチの拡大といった効果が得られていることを示す証拠を、どの企業もまだつかんではいないのです。この記事では、指標の構築、比較モデルの作成、ステイクホルダーが理解できるようにデータを分析する方法を考察します。