CISO のプレイブック: 信頼がセキュリティをビジネス成長の原動力にする方法

‍The CISO’s Playbook is an ongoing series featuring strategic insight from the industry’s top cybersecurity executives. This post features Erik Bloch, vice president of information security at Illumio.

今日の顧客は、単に機能する製品を求めているのではありません。彼らはその背後にある企業を信頼したいのです。

Illumio の情報セキュリティ担当副社長 Erik Bloch 氏にとって、まさにそこにサイバーセキュリティが関係してくるのです。

Erik のリーダーシップの下、セキュリティは Illumio における最前線のビジネス推進要因となりました。これは、Illumio が信頼を獲得し、取引を成立させ、永続的な顧客関係を構築するための重要な要素です。セキュリティはビジネスを保護するだけではありません。それはビジネスの成長に役立ちます。

CISO のプレイブック シリーズの今回の新しい記事では、セキュリティ リーダーがビジネスの成長、規模、組織に対する顧客の信頼をサポートするために戦略を再構築する方法を理解するために Erik と話し合いました。

信頼は新たなセキュリティ境界

成長中の企業でセキュリティ チームを運営しているなら、セキュリティが売上の成否を左右するということをすでにご存知でしょう。

Erik 氏は、「SOC 2、ISO 27001、PCI がなければ、つまり顧客の質問にすべて答えることができなければ、ビジネスを行うことはできません」と述べています。

認定とセキュリティ体制は、コンプライアンスだけの問題ではありません。それらは成長のための必須条件です。

そしてそれらは、RFP や法務レビューからオンボーディング アンケートまで、あらゆる場所に現れます。

「成立するほぼすべての取引において、セキュリティは販売サイクルの一部となっています」とエリック氏は言います。

このような環境では、セキュリティは成長機能になります。それが収益への道を切り開くのです。「私たちは、企業が事業を継続できるよう、そうした扉を開けています」とエリックは説明した。

セキュリティリーダーがビジネスの言語を話す必要がある理由

Erik 氏がセキュリティ リーダーに与える最も重要なアドバイスは、セキュリティとビジネス目標の間をスムーズに行き来できるようにすることです。

「もし私が CEO に『先月、当社の SOC は 2,000 件のアラートを処理しました』と言ったら、彼は『なぜ私にそれを言うのですか』と言うでしょう」と Erik 氏は説明しました。「しかし、『次の四半期には、パイプラインにある取引の半分をオンボードできないリスクがあります』と言えば、彼の注意を引くことができます。」

セキュリティの観点からビジネスへの影響に焦点を当てることが重要です。

経営幹部はツール名や戦術的な指標を望んでいません。彼らは明確さを求めています。彼らは、私たちが目標を達成できるかどうかを知りたいのです。そうでない場合、何が邪魔になっているのでしょうか?

「次の質問をしたり、次の決断を下したりするために十分な情報を彼らに提供することが重要なのです」とエリックは言います。「もし相手が混乱したり、戻ってもう一度説明を求めたりしたら、私は仕事をしていないことになります。」

内側から信頼を築く

Erik のチームは、Illumioとその製品の内部環境のセキュリティ保護を担当しています。これらの努力は互いに強化し合います。

彼のチームの一部は、日々の業務、アラート、インシデントに重点を置いています。もう 1 つは、安全なコードを確保し、リリース前に新機能を確認し、製品の決定を導くためのエンジニアリングが組み込まれています。

「我々は早い段階から関わっています」とエリックは言った。「『二度測り、一度切る』という古い格言通りです」事前に確保しておけば、後から問題が起きる可能性も少なくなります。」

社内でもIllumio製品を使用しています。Erik のチームは、製品チームにフィードバックを提供し、顧客に安心感を与えることができます。

「『自社製品は使っていません』なんて言うわけにはいきません」とエリックは言った。「そんなのは信頼を失わせるだけです」

エリックの信頼中心のセキュリティ戦略の3つの柱

Erik は、信頼の構築という 1 つの目標にすべて結びついた 3 つの柱を中心に戦略を立てています。

1. ビジネスを安全にする。強力な日常的なセキュリティ慣行を維持し、基本的なコンプライアンス要件を満たします。‍
2. 販売と規模拡大をサポートします。会社が成長してもセキュリティ チームがボトルネックにならないようにします。「新規顧客のオンボーディングが負担になるべきではありません」とエリックは言います。「ビジネスの成長ペースに追いつかなければなりません。」‍
3. 売っているものを使用してください。Illumio を社内に導入し、その経験を顧客と共有します。「私たちは製品を検証し、現場チームがその価値を説明できるよう支援しています」と彼は語った。

これらの取り組みは相互に強化し合っています。

「基礎を学んでいなければ、資格は取得できませんでした。資格を持っていなかったら、取引を成立させることはできません。「私たちの製品が使われていなかったら、顧客の信頼を得ることはできませんでした」とエリックは説明した。

まずシンプルに、次に自動化する ― アクションを促す可視性を実現

信頼を拡大するには、実際に何が起こっているかを把握することから始まります。Erik にとって、それはネットワークの可視性をさらに集中化していくことを常に意味します。

ここで、 Illumio Insights が登場します。

Insights は、セキュリティ データが流入し、アラートが優先順位付けされ、ノイズのない明確なアクションが実行される中心的な場所を提供します。

「Insightsのおかげで、生産性をさらに向上させることができました」とエリック氏は語ります。「15種類ものコンソールを使い分けるのは嫌ですからね。優先順位をつけて対処できる問題がほしいし、すべてを 1 か所にまとめておきたいのです。」

彼は一人じゃない。世界中のセキュリティ チームは、アラートや接続されていないツールに圧倒されています。複雑になるほど、信頼を獲得したり、影響を証明したりすることが難しくなります。  

Insights のようなソリューションは、リアルタイムの可視性、リスクのコンテキスト、実用的な推奨事項を単一のプラットフォームから提供することで、この状況を変えています。

「私と私のチームが影響度を測定し、より早く、より良い意思決定をするのに役立っています」と彼は語った。

なぜ信頼はこれまで以上に重要なのか

今日の脅威の状況では、すべての企業はより迅速に行動し、新しいテクノロジーを導入し、運用を拡大するというプレッシャーにさらされています。これらはすべて、厳しくなる予算と、顧客、取締役会、規制当局からの高まる期待に対処しながら行われます。

このような環境では、セキュリティ リーダーはサイロ内で業務を遂行したり、ビジネスとは異なる言語を話したりすることはできません。

必要なのは、信頼を獲得し、明確にコミュニケーションし、運用を簡素化し、ビジネス成果を加速するセキュリティ プログラムです。

「私たちがすることすべては信頼に基づいています」とエリックは言います。「セキュリティとは信頼です。」

信頼をもってリーダーシップを発揮する CISO は、今後数年間にわたって組織の成長と繁栄に貢献することになります。

リスクを軽減し、意思決定を簡素化し、ビジネスを成長させる信頼を構築したいですか?始めましょう イルミオインサイトの無料トライアル 今日。