Only 39% of IT Security Decision-Makers See it As Business Enabler
2023/05/09 InfoSecurity — ITセ キュリティの意思決定者 2000人以上を対象とした最近の調査で、ビジネスの成功におけるサイバー・セキュリティの役割を、自社のリーダーが的確に把握していると考えている人が、39% に過ぎないことが判明した。PAM (Privileged Access Management) ソリューション・プロバイダーの Delinea が発表したレポートでは、コンプライアンスや規制上の要求の観点からのみ、サイバー・セキュリティが重視されていると、回答者の 36% が捉えていることも示唆されている。
さらに、この調査では、回答者の 89% の組織が、サイバー・セキュリティへの取り組みにより悪影響を受けたと報告しており、26% の組織が、自社に対するサイバー攻撃の成功率が上がったと主張している。
Delinea の CISO である Joseph Carson は、「サイバー・セキュリティとビジネス目標の整合性は、成功のためには不可欠である。ビジネス機能の間での、共通の合意を確保することが重要であり、セキュリティ活動を測定するだけではなく、ビジネス成果への影響を実証する指標に、真の価値がある」と述べている。
それと同時に Delinea は、セキュリティ・チームの 62% が、ビジネス担当者と定期的に最高レベルの会合を開いていることも強調している。しかし、そのうちの 31% は、取締役会や C-suite に対してビジネス・ケースを説明することが、自分たちのスキルセットのギャップであると考えている。その結果として、調査参加者の 30% が、コミュニケーション・スキルを改善すべき領域だと認識しているという。
Joseph Carson は、「コミュニケーションは重要である。強力な技術的スキルは依然として重要だが、セキュリティ・リーダーに求められるのは、コミュニケーション能力/影響力に加えて、ビジネス成果にもたらす価値を提示する能力となる。このようなスキルを兼ね備え、ビジネスと同期したゴールを見据えているセキュリティ・リーダーが、侮れない存在となる」と指摘している。
Carson は、「しかし、サイバー・セキュリティにはビジネスを大きく発展させる可能性がある一方で、今回の調査は、役員レベルで考え方を変えるために、依然として行うべきことが山積していることを示している。エグゼクティブ・リーダーは、サイバー・セキュリティを、コンプライアンスへの対応や会社の保護という観点からだけでなく、より戦略的なレベルで提供できる価値という観点で、考える必要がある」と述べている。
サイバー・セキュリティに対する消極的なアプローチから、企業が脱却する方法についての詳細は、EY の UK&I Government and Public Sector Cybersecurity Lead である、Rick Hemsley の分析で確認できる。
社長さんたちに理解してもらうのは、ほんとうに難しいことだと思います。文中には、「セキュリティ・リーダーに求められるのは、コミュニケーション能力/影響力に加えて、ビジネス成果にもたらす価値を提示する能力」と指摘されていますが、そのとおりですね。よろしければ、カテゴリ Human も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.