情報セキュリティのリーダーは、システムとデータを保護するための戦略の一環として、ビジネスへの影響と使命を考慮することがますます期待されています。 これは、多くの組織が、CISO と協力して働くビジネス情報セキュリティ責任者を指名するという決定に貢献しています。
しかし、InfoSec World 2022 Conference の基調講演で浮かび上がった 1 つの疑問は、ビジネスの優先事項の詳細をセキュリティ チームにどれだけプッシュする必要があるかということです。
NFL の CISO である Tomás Maldonado 氏は、セキュリティ チームの透明性は、テーブルに着くために戦ったセキュリティ リーダーの責任であると考えているため、次のように述べています。ビジネス上の意思決定のために。
「私のチームには、組織の仲間グループ内で仲間と会うことをお勧めします。 そして、私がピアと言うとき、私は IT と言っているのではありません。 いいえ—ビジネスに参加してください」と彼は続けました。「それらの関係を確立します。 ビジネスの利害関係者と話すことで、新しいイニシアチブに参加する理由を理解してください。 最終的には、電話を取り、そのパートナーに電話して、「ねえ、見て、これが起こっていることだ」と言うことができる必要があります. そして、これがあなたのビジネスへの影響であると私は信じています。 そのような協力的な文化は非常に重要です。」
Salesforce は、この認識の概念を「タスクへの戦略」と呼んでいます。これは、5 月にセキュリティ製品およびプログラム管理担当上級副社長として Salesforce に入社した CIA の元 CISO である William MacMillan によって提唱された哲学です。 ステップ 1: 警備員をテーブルに座らせます。 ステップ 2: さまざまな分野のチームがミッションを理解できるようにする。
「アプリの開発を考えているなら、私たちはそこにいる必要があります。 他のテクノロジーや企業の買収を考えている場合は、社内業務に影響を与えるため、それについて話します。 これらは、セキュリティ チームが理解する必要があることです」と、Salesforce のビジネス情報セキュリティ責任者である Maggie Amato 氏は述べています。 その理解の代わりに、セキュリティ チームは、Amato が「グラウンドホッグ デー」と表現する事態に直面しています。 特定の取り組みの目的は何か。 それは生産的でも力を与えるものでもありません。
「私たちがどこに向かっているのか、誰もが理解する必要があります」と彼女は続けました。 「セールスフォースとは? 大きくなったら何になりたい? 私たちは巨大な会社です。 しかし、北極星とは何ですか? すべてのビジネスはどのように連携していますか?」
真空状態で戦略を実行すると、企業、特に複雑な組織構造を持つ企業に独自の一連のリスクが生じます。 たとえば、Salesforce では、ソフトウェア会社の新規買収はすべて「クラウド」と呼ばれ、各クラウドには独自のビジネス情報セキュリティ責任者がいます。 同社には、情報セキュリティだけでなく、データガバナンスとリスクのすべてを統括する最高信頼責任者もいます。 具体的には、Amato は、Salesforce 社内のすべての従業員と 80,000 人の従業員の BISO であり、最高信頼責任者に報告し、ビジネス パートナーとして CIO に報告します。
それをNFLと比較してください。 Maldonado は物理的なセキュリティ チームに報告し、次に彼の上司は法務顧問に報告します。 セキュリティ チーム内には、Maldonado に報告する 4 人のリーダーがおり、ガバナンスとコンプライアンス、リスク管理、セキュリティ、アーキテクチャ、およびエンジニアリングを担当しています。 約40人がそれらの個人に巻き上げられます。 それを超えて、NFL まで運営されている 32 のクラブがあります。 セキュリティ環境を直接指揮・統制することはできないため、Maldonado はリーグのより壮大なビジョンと優先事項の認識に依存して、セキュリティの取り組みを推進しています。
「トマスがそうしなければならないと言っているから、あるいはジョー・ビジネスがそうしなければならないと言っているからだけではありません」と彼は言いました。 「代わりに、木曜の夜にテレビをつけてフットボールのストリーミングを見ると、翻訳された価値が見られるからです。」
このようなトップダウンのビジネスの透明性は、ビジネスのマイルストーンの全体像を超えて、生産的なパートナーシップを妨げる可能性のあるチーム間のより微妙な断絶にまで及びます。 アマート氏は、リーダーは「政治的なニュアンスを伝える必要がある」と考えています。 どの地雷を避けるべきか。」
「私が最初に Salesforce に入社したとき、信頼の組織と IT の間にはいくつかの不和がありました。それは、信頼チームがこれを言うなら、あなたがそれをしなければならないという考え方のせいでした」と彼女は言いました。 「それはビジネスに勝つための方法ではありません。」
逆に、Amato は、特定のビジネス チームが、障害物を投げる「無文化」に同意した「以前のセキュリティ チームによって傷つけられた」と感じたときにフラグを立てました。 それもまた、ビジネスに勝つ方法ではありません。
現在、Amato では、CIO と最高信頼責任者、およびその直属の部下が 2 週間ごとに座って、断絶について話し合い、共通点を見つけています。
「繰り返しになりますが、それは信頼の文化です」と彼女は言いました。 「私には、セキュリティ チームにノーと言う権限があり、ビジネスにノーと言う権限があります。 でもそれは、私が人々を結びつけ、お互いを理解するために働いているからです。
