Pages

Tuesday, June 27, 2023

取締役会のサイバーセキュリティに関して誤った議論を行っている ... - DIAMOND ハーバードビジネスレビュー

取締役会のサイバーセキュリティに関して誤った議論を行っている

Helen King/Getty Images

サマリー:サイバーセキュリティの重要度は日々増しており、米国では当局が企業に向けて取り組みの強化をアナウンスし始めている。本稿では、企業がサイバーセキュリティに関する議論を行う際、どのような点に注意すべきかを示... もっと見るす。企業の多くは、取締役会で防御策を共有しているが、それだけでは不十分であり、取締役会がレジリエンスに焦点を当てて議論すべきだと筆者らは指摘する。 閉じる

サイバーリスクへの意識は高まっていても備えは進んでいない

 サイバーセキュリティを監督する役割に苦慮している取締役会は、組織のセキュリティ問題を引き起こしている。取締役会がサイバーセキュリティは優先事項だと言っていても、組織がサイバー攻撃に対してレジリエンスを持てるようにするには、長い道のりを要する。そして、レジリエンスに焦点を当てなければ、取締役会は会社を見捨てることになる。

 筆者らは取締役600人を対象に、サイバーセキュリティに関する考え方や活動について調査を実施した。その結果、時間と費用を投資しているものの、ほとんどの取締役(65%)は、今後12カ月以内に組織が重大なサイバー攻撃を受けるリスクがあると考えており、約半数が標的型攻撃に対処する準備が整っていないと考えていることがわかった。

 しかし、残念ながら、このようにサイバーリスクに対する意識は高まっていても、よりよい備えにつながっていない。本稿では、企業がサイバーセキュリティについてより適切な認識を深める方法を解説する。

取締役会とCISOの交流が不足している

 調査に回答した取締役のうち、最高情報セキュリティ責任者(CISO)と見解が一致しているのはわずか69%だ。CISOと定期的に交流している取締役は半数以下(47%)で、ほぼ3分の1は取締役会のプレゼンの際にCISOと対面するだけだった。
つまり、取締役とセキュリティリーダーは、サイバーセキュリティの優先事項と戦略について有意義な対話をするために、十分な時間をともに過ごしていないのだ。

 さらに、取締役の65%がみずからの組織が重大なサイバー攻撃のリスクにさらされていると考えている一方で、その考えを共有しているCISOは48%だけだった。このコミュニケーションギャップと、取締役会とCISOの連携不足は、サイバーセキュリティの進展を妨げる。

 調査結果から、CISOと取締役会の連携不足は、個人的なレベルで互いを知らない状況を原因に、さらに悪化することが示唆されている。
つまり生産的な方法で、互いの考え方や優先事項を共有するために一緒に過ごす時間が十分ではないのだ。また、CISOにとって技術的な専門用語をリスク、レピュテーション、レジリエンスといったビジネス用語に置き換えるのが難しいことも、それを助長している。

 CISOとの戦略的なパートナーシップを強化するため、取締役会の合い間に取締役らとCISOが関わることで、取締役らはよりよい質問をし、また彼らが受け取った答えをより理解することができるようになる。

取締役会はレジリエンスに焦点を当てるべき時に、保護に焦点を当てる

 高いリスクを認識しているものの、取締役の76%が防御対策、つまりサイバープロテクションに十分な投資を行っていると考えていることが筆者らの調査で明らかになった。さらに、87%は、今後12カ月間にサイバーセキュリティの予算が増加すると予想している。

 しかし、その投資は適切な分野に及んでいない可能性がある。一般的な取締役会において、サイバーセキュリティに関するプレゼンで説明されるのは、脅威と、その脅威から自社を保護するために実施している対策や技術についてだ。たとえば、多くの取締役会では、フィッシングテストの実施頻度や統計結果などが主な議題となる。

 筆者らにしてみれば、これは監督する視点として誤っている。サイバー攻撃を阻止するための技術やプログラムにいくら資金を投入しても、完全に保護することは不可能だ。資産を保護するためにリソースを費やすことは重要だが、保護に限定して議論することは大きな被害をもたらす。

 ここではレジリエンスに焦点を当てた議論が必要だ。計画を立てる上で、何らかのサイバー攻撃を受けることを想定し、組織が損害、コスト、評判への影響を最小限に抑えて対応、復旧できるようしなければならない。たとえば、取締役会では、インシデントに対応するために組織がどのように備えているかについて詳細を議論するのではなく、最大のリスクは何か、そのような状況が起こった場合に被害から迅速に回復するためにどのように準備しているかに焦点を当てるべきだ。

 サイバーセキュリティに関する主要な目標を、レジリエンスの向上に変えるため、取締役は攻撃が発生した時に会社がどのように対応し、回復するかについてのビジョンを作成するよう、事業リーダーに求めることができる。そもそもサイバー攻撃が成功する可能性を最小化することは、2次的な目標であるべきだ。

Adblock test (Why?)


からの記事と詳細 ( 取締役会のサイバーセキュリティに関して誤った議論を行っている ... - DIAMOND ハーバード・ビジネス・レビュー )
https://ift.tt/ZG0KgA2

No comments:

Post a Comment