世界クラスのCISOが2023年に予算と取締役会の信頼をどのように獲得しているか

この記事は最初に掲載されました SC マガジン。ここで更新され、シンジケートされました。


CISOは、より多くの資産を保護し、より多くのコードを発送し、より大きな攻撃対象領域を減らし、それを急速に減少する財源で行うという、ますます困難な状況に陥っています。サイバーセキュリティはコストセンターと見なされていることは避けられない事実です。組織のセキュリティプログラムは、脅威アクターが明日の悲惨な見出しで取り上げるのを妨げるものですが、セキュリティリーダーは、執行機関にとって意味のある言葉で、部門全体のビジネス価値を売り込み、証明するためにより多くのことをしなければなりません。

世界トップクラスのCISOは、顧客の信頼とブランドの評判を高め、利用可能なあらゆるツールを活用して否定できない価値を創造する総合的なセキュリティプログラムを主導しています。まずは、一般的なセキュリティ上の落とし穴に対する戦略的かつ予防的なアプローチから始め、優れたセキュリティを維持するには時間、リソース、人材が足りないという考え方は捨て去ります。

役員室での議論を変えましょう。

現在の経済情勢では、支出額、雇用、およびビジネス目標への戦略的影響について精査を免れている企業や部門はほとんどありません。現代の企業が広範なサイバーセキュリティプログラムを必要とすることは当たり前のように思えるかもしれませんが、それは組織にとって多大なコストであり、投資収益率の観点から正当化するのは簡単ではありません。

経営幹部のリーダーや取締役会の利害関係者は、投資サイバーセキュリティイニシアチブから予測される成果を、スプレッドシートの数字以外にも意味のある言葉で明確に理解する必要があります。CISOは技術的な知識と理解のレベルが異なるため、CISOはわかりやすいメッセージで自分の主張を伝える努力をしなければなりません。クラス最高の例を示すには、プログラムの規模、保護が必要なもの、有効化する必要があるのは誰なのかを説明してください。攻撃は増加傾向にあり、 しかし、予算が追いつかないそして、善戦を戦うには、そのメリットを正当化するための口頭でのキャンペーンが始まります。

業種に関係なく、どの企業も急速にテクノロジー企業になりつつあると長い間言われてきました。ほとんどの組織ではデジタルファーストのアプローチが当たり前となっていますが、これは攻撃対象領域が非常に大きく、その時点で可能な限りの保護を必要としています。セキュリティリーダーは多くの役割を担っていますが、（手遅れになるまで）見過ごされがちなのは、本質的に顧客の信頼を守る側であるということです。これは価値提案としていくら強調してもしすぎることはなく、営業やマーケティングの目標と同じくらい重要です。

セキュリティに対する予防的アプローチの価値を証明してください。

現在のサイバーセキュリティ統計 育毛しているただし、FUDでプレイしてスケアモンガーを行うことは、より多くの予算を獲得することになると、通常は無駄な戦術です。企業の経営陣の中で、サイバーセキュリティは優先事項ではないと主張する人はほとんどいませんが、より良い成果を得るために既存のリソースを活用する進取的な戦略が提唱されれば、予算増額を受け入れる傾向がはるかに高くなります。

ニュースター国際安全保障理事会の最近の調査によると、 わずか 50% の企業 既知のサイバーセキュリティ問題に取り組むのに十分な予算があると感じています。そして、グローバルなサイバー攻撃では 38% 増加しています 2021年から2022年の間に、これは平均的なCISOにとってさらに困難な道のりとなる可能性があります。しかし、真の意味で世界トップクラスのセキュリティリーダーは、こうした課題を乗り越え、逆境を乗り越えてイノベーションを起こすことができます。

多くのシナリオでは、予防は治療よりも簡単でわかりやすく、サイバーセキュリティも例外ではありません。総合的なセキュリティ・プログラムは、事後対応型の対策や脆弱性管理をはるかに超えるものでなければなりません。 多くの CISO が懸念する上位 3 つに、開発者がその運動の不可欠な部分であることは理にかなっています。一般的なセキュリティバグに正面から取り組むための実践的な教育が必要です。そうすることで、これらの問題を根本から排除し、そもそも本番環境に移行できないようにすることができます。私たちは今、低品質で安全でないコードの言い訳を続けるわけにはいきません。開発コホートのスキルアップは、コードレベルの脆弱性に対する最も費用対効果が高く強力な救済策です。

CISOが既存の予算を維持するために戦うことは極めて重要であり、特に開発者にとって、役割ベースのセキュリティスキル向上のメリットを詳しく説明することは、扱いにくいセキュリティ技術スタックに次の「特効薬」を追加するよりも早い成果です。

セキュリティはブランドの基本の一部であるべきです。

ほとんどのCISOは、マーケティングに情熱を傾けるためにその役割を果たしたわけではありませんが、少なくとも財源を持っている人に自分の主張を伝える際には、この分野に取り組むべき分野の1つです。

サイバーセキュリティプログラムが顧客の信頼とブランドロイヤルティに与える影響は、いくら強調してもしすぎることはありません。また、大規模なセキュリティ侵害は、聖書のような規模の大量流出を招きかねません。これとは対照的に、厳格なセキュリティ慣行をコアブランドバリューと整合させることで、データのプライバシーと保護は単に最優先事項ではなく、顧客が信頼できるものであるという明確なメッセージを送ることができます。

現代のCISOが時間をかけてセキュリティ戦略とポリシーの競争上の優位性を強調することは、顧客からの好意的な感情と信頼の継続につながるため、極めて重要です。事後対応型のセキュリティだけでは同じ効果が得られず、利用可能なあらゆるリソースで特権資産を保護することに焦点を当てたバランスの取れたアプローチが究極の差別化要因となり得ます。

これ以上言い訳の余地はありませんが、CISOが真に変革をもたらすセキュリティ戦略のための十分な資金調達を求める際に、説得力のある理由はたくさんあります。