会社のセキュリティは大丈夫 ?
ビジネス整合的なセキュリティ責任者でなければ自信を持って答えられない質問
事業責任者は、サイバーセキュリティの対策と管理体制の明確な提示を求めます。「会社のセキュリティとリスク度は大丈夫か?」と問いかけられたとき、即答できない、または内容を正確に伝達できないセキュリティ責任者が多いのはなぜでしょう。Tenable はその答えと解決方法を探るために、Forrester Consulting に世界規模の独立調査を委託しました。
レポートをダウンロードするセキュリティ責任者 10 人中 4 人しか自信を持って答えられない質問「会社のセキュリティとリスク度は大丈夫 ?」
レポートのダウンロードはこちらから
Tenable が Forrester Consulting に委託して実施した、世界各国の 800 人以上の事業およびサイバーセキュリティ責任者の調査結果から次の実態が浮き彫りになりました。
事業戦略とサイバーセキュリティ戦略の歩調がまず合っていない
サイバーセキュリティ戦略の構築にあたって、事業責任者と積極的に話し合っていると回答した人は全体の半数にも及びません。COVID-19 対応方針のように各部門が正式に協力している状況でさえこのような断絶状態が続いています。
セキュリティ責任者は、アタックサーフェスの詳細を完全に把握していない
業務が分散され、クラウド、モバイル、IoT デバイスの導入が進む中、セキュリティ部門は伝統的な IT の領域の外にあるサイバーリスクを包括的に評価できる、新しいツールとプロセスを必要としています。
サイバーセキュリティのメトリクスに事業リスクのコンテキストが欠けている
脅威の測定にビジネスリスクが考慮されていない場合がほとんどです。サイバーセキュリティプログラムに事業目標と業界のベンチマークを関連付けできる、新しいレポーティングプラクティスの採用が急務となっています。
現代のデジタルビジネスは、現在のリスク状況の理解と事業の最大脅威の予測の両視点に着目した新しいセキュリティアプローチを必要としています。
まるで外国語を話しているようです。事業責任者は「何が原因で、何が最も重要で、リスクは何か」を知りたい。 [ビジネスリーダーとセキュリティリーダーの間の]言葉の壁ほど深い溝はありません。出典: Financial Services、Business Information Security Officer
将来を担うのは、ビジネス整合的なセキュリティリーダー
明日のセキュリティリーダーは、今日、実行を開始する人たちです。即ち、古い、事後対応型でサイロ思考の「検知、保護、防御」アプローチから、企業の全領域に影響する危機的な脅威を緩和できる、新しい「計測、予測、実行」戦略へと進化することです。
セキュリティとビジネスが整合されると、重要な結果が生み出されます。 ビジネス整合的なサイバーセキュリティ責任者の特徴は、他者と比較すると次のようになります。
自社のアタックサーフェス全体を総体的に理解して評価している可能性があります。
何もかも見ている
資産の重要度と脅威インテリジェンスを組み合わせて修正作業の優先順位を設定している可能性があります。
重点項目を予測している
確実な自信を持って「会社のセキュリティとリスク度は大丈夫?」に回答できる可能性があります。
リスク削減のために行動する
セキュリティと事業目標の整合のために CISO その他のセキュリティリーダーに必要なのは、テクノロジー、データ、プロセス、人材の適切な組み合わせです。4 拍子揃って初めて事業リスクを見据えて予測し、削減できる力を得ることができます。
レポートでは、ビジネス整合的なサイバーセキュリティリーダーになる方法を説明しています。ご一読ください。
出典: このページにあるすべてのデータは、2020 年 4 月に Tenable の委託の元に Forrester Consulting が実行した世界の 416 人のセキュリティ責任者と 425 人の事業責任者対象の調査結果から得られたものです。