実際、情報セキュリティ・チームと彼らがサービスを提供する組織との関係は、それよりもはるかに複雑であり、企業の非セキュリティ担当役員は、セキュリティ・チームの役割は、企業、その知的財産、およびブランドを保護することであることを少なくとも理解する必要があります。そして、それを守る最も効果的な方法は、会社のビジネスを制限しないセキュリティ・ポリシーを策定することです。
あらゆる組織が、情報セキュリティ管理に関して、より多くのことを、より迅速に行わなければならなくなりました。ビジネスリーダーは、CISOが提供する恣意的に認識された障壁に苛立ち、しばしば独自の解決策を見つけようとしがちです。クラウド・コンピューティング、SaaS、BYODなどの新しいトレンドは、従来のITおよびセキュリティ・プロセスを回避することを容易にしています。
各CISOは、セキュリティが当初から保証されるように、組織内のテクノロジーとビジネスプロセスの変更を管理しなければなりません。しかし、技術の安全性を確保することはCISOの責任であり、新しい技術を禁止することではありません。この記事では、ビジネス・マネジャーやその他の利害関係者が納得し、最終的にビジネス・プロセスをより安全でセキュアなものにすることができるセキュリティ戦略について検討します。
初期コンセプト
過去のコラムで述べたように、CISOが常に理解しておく必要がある重要な概念がいくつかあります。セキュリティ・チームがこれらのコンセプトを実践し、顧客がそれを理解すれば、組織の全員がセキュリティの重要性を信じ、セキュリティ・チームを敬遠するのではなく、サポートすることが容易になります。
ビジネスを理解する: CISO とセキュリティ担当者は、ビジネスを理解する必要があります。これにより、セキュリティ・チームは、クラウド・コンピューティングや BYOD などのテクノロジを安全に使用するためのソリューションの一翼を担うことができ、セキュリティ・チームとビジネス・チームのコラボレーションが促進され、新興のシステムをより安全にする方法についてより良いアイデアが生まれることがよくあります。ビジネス・マネジャーに特定のセキュリティ対策を実施しなければならない理由を説明する際、セキュリティ・チームは、「私がそう思うから」という説得力のない説明ではなく、事実に基づいた洞察力のある理論を提供することができます。
ビジネスセキュリティの検討は、早い段階から頻繁に行うまた、セキュリティチームは、プロジェクトが始まったらすぐにビジネスセキュリティ戦略を頭の中で構想する必要があります。CISOとそのチームがプロジェクトのコンセプト、アーキテクチャ、実装の形成に関与していない場合、ビジネスセキュリティの側面が失敗する可能性が高くなり、さらに悪いことに、後の段階でセキュリティの問題が発生した場合、通常、解決に高額な資金を必要とする危機につながります。そのため、セキュリティチームが最初からプロジェクトの議論に参加し、ビジネスチームを支援してプロジェクトを円滑に進め、セキュリティリスクをマネジャーの手の届く範囲に抑えることが重要です。ビジネスリーダーは、セキュリティチームを新規プロジェクトの解決策の一部と見なす必要があります。
進め方
このような状況で成功を収めるには、議論に解決策を持ち込むことが最も重要です。組織の利害関係者から提起されたセキュリティ関連の問題に焦点を当てるのではなく、安全な使用を促進するポリシーの策定から始めるべきです。たとえば、BYOD ポリシーを導入している組織では、デバイスの紛失や盗難が発生した場合は直ちに IT 部門に連絡するなどの特定のビジネス・ルールが必要になる場合があります。セキュリティ・ポリシーは、企業データの保護に関して組織が必要な措置を講じるのに役立つだけでなく、従業員が業務を中断するような状況に遭遇する可能性を低くするのにも役立ちます。
CSA(クラウド・セキュリティ・アライアンス)は、セキュリティのアイデアを得るためのリソースをプールするための優れたプラットフォームであり、ビジネス・リーダーたちはその価値を認めています。CSAには、クラウド・セキュリティやBYODに特化したものを含め、さまざまな出版物があります。CSA には、クラウド・セキュリティや BYOD に特化したものなど、さまざまな出版物があります。CISO としては、新しいプロジェクトが構成され、展開される会議のテーブルにこれらの標準や文書を持ち込んで、全員が理解し、議論できるようにすることを検討すべきです。
会議の席で優れたセキュリティ戦略という形で解決策を提示することで、ビジネスチームはあなたを抑止者ではなく貢献者として位置づけることができます。外部のリソースを引用することで、新技術の変化についていっていることを示し、信頼性を高めることができます。
また、NIST(米国国立標準技術研究所)やENISA(欧州ネットワーク・情報セキュリティ機関)のさまざまな出版物など、世界的に吟味する必要がある優れたセキュリティポリシーガイドラインや技術ガイダンスもあります。
これらのガイドラインは、セキュリティチームに国内外の標準について教育するのに有効であるだけでなく、CISOが不在の場合、FUD(恐怖、不確実性、疑念)の提供者と見なされがちなビジネスリーダーや技術導入者を教育するのにも役立ちます。実行可能なアイデアを持ち込んで実施することで、新しいテクノロジー・システムをよりセキュアにすることができ、その結果、新しいテクノロジーをサポートするセキュリティ・ポリシーと手順が「外部からの支援」を与えることになり、新しいテクノロジーにとってより良い、より信頼できる基盤を提供することができます。
はんけつをくだす
CISOは、ビジネスリーダーやエンドユーザーから提示されたアイデアに対して、簡単に「ノー!」とは言えません。.その代わりに、CISO は、ビジネス部門と協力して、ビジネスに対するリスクを低減するセキュリティ技術の開発、導入、維持を支援するセキュリティチームに頼るべきです。そして、管理職や従業員は、セキュリティの脅威にどのように向き合うか、なぜセキュリティの側面が企業や個人にとって重要なのかについて教育を受け、新しいプロジェクトを成功させる必要があります。
