CISOのプレイブック:セキュリティリスクをビジネス指標にする必要がある理由

CISOのプレイブックは、業界トップのサイバーセキュリティエグゼクティブによる戦略的洞察を特集した継続的なシリーズです。この投稿では、World Wide Technology (WWT) のフィールド CISO である Bryan Liebert 氏を特集しています。

CISOの役割は急速に変化しています。

取締役会は証拠を求めています。保険会社はデータを求めています。カリスマ性、直感、経験だけではもはや十分ではありません。

CISOは、その知恵と経験を科学や冷酷で厳しい事実と組み合わせる時が来ています。セキュリティ上の意思決定が実際のデータを使用して、リスクを軽減し、収益を保護し、ビジネス目標に沿った方法を実証する必要があります。

良いニュースは、あなただけがその中にいるわけではないということです。ワールド・ワイド・テクノロジー(WWT)のフィールドCISOであるブライアン・リーバート氏は、ネットワークのセキュリティとリスクレベルに関するデータを取得することは可能であると述べています。  

証明するか負けるか

リーバートさんは最近新しい家を建てたとき、住宅検査プロセスの変更に驚きました。

「これまで、検査官は経験、直感、建設知識を頼りに新築の承認を行っていました」と彼は説明した。

しかし、それはもうそのようには機能しません。

「今日の検査官は、建設が正しく行われていることをまだ知っているかもしれません」と彼は言いました。「しかし、彼らはそれを証明するためにエンジニアからの手紙を望んでいます。」

エンジニアリングレターは、検査官に、住宅に合格点を与えるという決定を裏付けるために必要な文書とデータを提供します。

その変化はブライアンの心に残りました。元CISOであり、現在のCISOアドバイザーである彼は、サイバーセキュリティでも同じ変革が起こっていると見ています。直感と長年の経験だけでは十分ではありません。

取締役会や保険会社は、単に意見を求めるだけでなく、CISOの知恵、経験、リーダーシップが、彼らの推奨事項を実証するフレームワークによって強化されることを望んでいます。彼らは独自のエンジニアリングレターを望んでいます。

ブライアンは、組織が取締役会、保険会社、ビジネス目標の橋渡しを可能にするデータ駆動型アプローチで、WWT の顧客が先頭に立つのを支援しています。

彼はイルミオのようなパートナーと協力して、CISOがサイバーストーリーテラーから意思決定科学者に移行できるよう支援しています。

より優れた、より公平なケースを構築する

ブライアンの視点から見ると、CISOの仕事は、保護と同じくらい、意思決定者に影響を与えるCISOの能力に関するものになっています。  

「彼らは消火活動に多くの時間を費やし、意思決定者に自分たちの戦略に投資するよう説得しようとしている」と同氏は述べた。「企業のリスクを測定する防御可能なモデルがなければ、セキュリティ支出に対する取締役会のサポートを得るためにカリスマ性に頼らざるを得ないことがよくあります。」

ブライアン氏は、このアプローチはもはや持続可能ではないと考えています。

だからこそ、彼は別の道、 つまり情報リスクの因子分析(FAIR)に情熱を注いでいるのです。これは、FAIR Institute によって開拓された定量的リスク管理フレームワークであり、情報リスクを測定可能で反復可能な用語に変換します。

「これは、リスクの従来の可能性と影響を計算する科学的な方法を提供します」とブライアン氏は説明します。「実際、サイバー保険会社は現在、補償範囲を評価するためにこれを使用しています。」

FAIRの目標は、CISOが自信を持って取締役会に入り、このモデルに基づく戦略を概説できるようにすることです。

「私を信じてください」から「これが計算です」まで

ブライアン氏は、現代のCISOには意思決定エンジン、つまり技術的なセキュリティ目標を取締役会が理解できるビジネス目標に変換する方法が必要だと考えています。

つまり、サイバーセキュリティを、ビジネスの他の部分と同様に、測定、優先順位付け、最適化できるものに変えるということです。

「取締役会は 技術的なことは気にしません」とブライアン氏は語った。「彼らはビジネスへのリスクを気にかけています。『このシステムが侵害された場合、経済的影響はここにあります』という仮定分析を彼らに見せることができれば、あなたは彼らの言葉を話していることになります。」

それは最初の賛同だけではありません。ブライアン氏は、CISOがセキュリティへの投資によって収益性の高いビジネス目標に関連するリスクをどのように大幅に軽減したかを示す測定可能な統計を持って戻ってくることを望んでいます。  

「これはエンジニアリングレターの瞬間です」とブライアンは言いました。「リスクが減ったとだけ言っているわけではありません。あなたは彼らに数学を見せてください。」

取締役会は技術的なことは気にしません。彼らはビジネスへのリスクを気にかけています。「このシステムが侵害された場合、財務上の影響はここにあります」という「もしも」分析を彼らに見せることができれば、あなたは彼らの言葉を話していることになります。

サイバー保険がゲームを変える方法

サイバー保険もこの新たな変化に役割を果たしています。以前は単なるチェックボックスだったかもしれませんが、現在ではCISOが価値を証明する方法を再構築しています。

「サイバー保険が最初に登場したとき、リスクを定量化するためのオープンなモデルは誰も持っていませんでした」とブライアン氏は言います。「今、彼らは本当の証拠を求めています。そして、彼らに防御可能な公式を与えることができれば、割引、つまり実際のお金をテーブルに置くことができます。」

このようなインセンティブは、CISOがプログラムを前進させるために必要なものです。

「もう予算だけを求めるわけではありません」とブライアン氏は語った。「あなたは、あなたのセキュリティ体制が会社のビジネス目標を保護できることを証明していることを示しています。それが取締役会が気にするようなROIです。」

単なる技術者ではなく、翻訳者としてのCISO

ブライアン氏が現在見ている最大の課題の1つは、ほとんどのサイバープログラムがビジネスと連携するのではなく、ビジネスを無視して話していることです。

これは、特に高等教育や医療など、理事会の主な目標がサイバーセキュリティではなく、研究、学生の成功、患者ケアである分野では問題です。  

サイバーセキュリティは企業責任の必要な部分ですが、学生のいない大学や患者のいない病院には関係ありません。

「あなたの仕事は、学生の成功と患者の幸せに貢献するシステムの稼働時間を保護および維持する上でサイバーセキュリティが果たす役割を実証することです」とブライアン氏は説明しました。「プライバシーが保護され、安全で安心で、遭遇したすべてのシステムで良い経験をしたと感じたので、戻ってきてサービスを勧めてもらいたいのです。」

そこで、イルミオのようなベンダーやWWTのようなパートナーの出番です。

イルミオとWWTがリスクの実現にどのように役立つか

ブライアンにとって、パートナーシップの力は 1 つのことに帰着します。

「私たちは組織を WWT のアドバンスト テクノロジー センター (ATC) に連れて行き、並べて紹介します。テクノロジーが何をするのか、そしてこの公式がリスクをどのように軽減するかを紹介します」とブライアン氏は言います。「当社の AI試験場 では、現在、事実上すべてのサイバーセキュリティ製品や戦略に組み込まれている最新のAIの進歩が実際に行われているのを見ることができます。」

ブライアン氏はまた、イルミオのようなサイバーセキュリティベンダーがセキュリティ計算を真剣に受け止めていることにも言及した。Illumio Insightsのようなツールを使用すると、セキュリティチームが推測ではなくデータに基づいてリスクを確認し、理解し、優先順位を付けるのに役立ちます。

WWTやIllumioなどのパートナーにより、CISOは価値を実証し、リスクに優先順位を付け、データですべての意思決定をサポートするために必要なツールとリソースを手に入れることができます。

Illumio Insightsがネットワークでどのようなデータを発見できるかを確認したいですか?開始 無料トライアル 今日。