2018年10月1日月曜日

CIOの役割変化は、CISOの役割も変わることを意味する

 今では多くのCIO(最高情報責任者)が、主に自社の売り上げ成長やデジタルビジネスの拡大を担うCレベルのビジネス役員として働いている。これに伴い、最高情報セキュリティ責任者(CISO)も、変わることが期待されている。

 「CISOは現在の肩書が何であれ、好むと好まざるとにかかわらず、デジタルCISOとしての働きが求められるようになっている」。Gartnerのマネージングバイスプレジデントを務めるクリスチャン・バーンズ氏は、2018年6月に米国で開催されたGartner Security and Risk Management Summitでそう語った。

 CIOの役割の進化に合わせて、CISOの役割も進化しなければならない。この進化は進んでいきそうだ。Gartnerの「2018 CIO Survey」によると、CIOの95%が、サイバーセキュリティの脅威が増大し、自社に影響を与えると予想しているからだ。「今では、CIOはサイバーセキュリティを二の次にしてはならないことを認識している」(バーンズ氏)

 バーンズ氏は、CISOがこれに対応してCIOの新たな役割をサポートし、それによってもたらされる機会を利用することを勧めた。

 CIOの新たな役割をサポートし、それに伴う機会を利用する上での目標は、社内でセキュリティやリスクが技術的な問題としてではなく、戦略的な優先課題として捉えられるようにすることにある。CISOは、全社最適化を目指して厳密な方法により、ビジネス視点でリスク管理とサイバーセキュリティの取り組みを行い、そのコストと価値を提示しなければならない。そうすれば、CIOは取締役会や経営幹部がリスクベースの考え方を的確に取り入れ、リスクおよびセキュリティ投資の意思決定を改善し、リスク処理文化を進化させられるよう支援できる。

 バーンズ氏は、CISOが取るべきステップとして以下を挙げた。

*適切な説明を行い、経営幹部のリスクやサイバーセキュリティの捉え方が変わるように導く
*リスク管理およびセキュリティプログラムを正式なものにする
*ビジネス部門に提供するリスク管理およびセキュリティサービスのポートフォリオとカタログを用意し、これらをビジネス部門とチェックする
*ビジネス部門向けのリスク管理およびセキュリティサービスの標準コストを決定する
*ビジネス部門が費用対効果と許容可能なリスクレベルに基づいて、サービスレベルを選択できるようにする
*選択されたサービスレベルのサービスとして、リスクおよびセキュリティ予算を管理し、チャージバック(課金)またはショーバック(コストの通知)により、予算とビジネス効果の関連をビジネス部門が理解できるようにする

 リスクのステークホルダーであるIT以外の担当役員に、セキュリティのガバナンスグループや意思決定プロセスへの参加を得る準備をする必要もある。これらの役員は組織とそのニーズをよく把握していることが多い。

 CIOが担うビジネスリーダーシップの比重の増加は、CISOに機会をもたらす。CISOは、必要なリソースを持っていれば、CIOにリーダーシップの役割の一部を任せてほしいと提案することで、より多くの責任を引き受けられる。

 また、CIOが新たな役割を果たすようになったことで、CISOはCIOのビジネス上の重点に沿ってセキュリティ戦略に磨きをかけることも求められる。明確で包括的なビジョンを策定し、ビジネス結果と連動する指標を実装する必要がある。

 さらに、CISOは自社のデジタルビジネスチームと連絡を取り、良好な関係を築かなければならない。一般的に、デジタルビジネスチームは、業績優秀な成熟した組織内に設置される。こうしたチームは迅速に動き、通常、エンタープライズトランスフォーメーションに責任を持っている。そのため、CISOの今後の役割と密接に関わることから、CISOとデジタルビジネスチームの円滑な連携は組織にとってプラスになる。こうしたチームが社内にない場合、CISOは、今後このようなチームが育っていくかどうか見守らなければならない。

 さらにCISOは、CIOがどのような理由で、どのように技術ポートフォリオのリバランスを行うかに注意を払う必要がある。Gartnerの2018 CIO Surveyは、CIOがCISOに直接影響する2つの分野に多額の投資を行っていることを示している。それはクラウドサービスとサイバーセキュリティだ。だが、投資規模の順位は低いものの、人工知能(AI)と機械学習にも注目しなければならない。

 多くの企業がこれまで多大なIT投資を行ってきた。だが、今後はAIや機械学習が鍵を握りそうだ。採用難を克服するのに利用できるからだ。適切に利用すれば、AIはCISOに他の方法では得られない洞察をもたらすと、バーンズ氏は語った。さらに、AIを実装する際の3つの注意点も紹介した。

*ハイプ(誇大宣伝)を無視する
*小さく始める
*戦略的に実装する

 「AIのノウハウを磨く時だ。今後5年間、恩恵をもたらしてくれることだろう」と、バーンズ氏はアドバイスしている。

0 件のコメント:

コメントを投稿