情報セキュリティにリスク管理の原則を適用することは難しい。しかし、その原因の多くは、業務部門の誤った認識にある。それが、News Internationalで最高情報セキュリティ責任者(CISO)を務めるアマール・サイ氏の意見だ。
「リスク管理の話をするとき、業務部門の人間のほとんどは、スプレッドシート形式のリスク登録簿に何かリスクを記入することだと考える」とサイ氏は指摘する。
本記事は、プレミアムコンテンツ「Computer Weekly日本語版 2013年6月26日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。
なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。
サイ氏は現在、News Internationalに「ステマ的な手法で」リスク管理を導入することで、この誤った認識を乗り越えるべく奮闘している。
サイ氏は、IT担当者だけでなく、営業部門のマネジャー全員とビジネスのあらゆる状況におけるリスクについて話をすることで、彼らが希望するリスク管理についての専門知識とサポートを提供している。
「管理者を巻き込むことで、リスク管理フレームワークの概念を伝える機会が得られ、リスク管理を日常業務の一部に組み込めるようになる」とサイ氏は話す。
この方法は、組織全体にリスク管理フレームワークを導入する大掛かりなプロジェクトを始めるよりも有効だとサイ氏は考えている。
また、関係者にリスクと機会をセットにして考えてもらうようにすることも重要だとする。例えば、アプリケーションのリスク緩和と、セキュアなソフトウェア開発プロセスの導入機会とをセットで考える。
サイ氏は、関係者全員にリスクと機会を意識してもらうことで、業務部門の人間との連携を深めている。
「“機会”が語られるときは、(リスク管理に対する)理解も得られやすくなる。問題を特定するのが目的でなく、これから取り組むことは自分に関係のあることだと感じられるからだ」とサイ氏は指摘する。
必要なフレームワークを提供するために、リスク管理のポリシーとプロセスの手引きを用意することは必要だが、それを起点にすべきではないと、サイ氏は言う。
サイ氏によると、リスクベースドアプローチの主な利点の1つは、予算策定時に投資のビジネス上のメリットをアピールしやすくなることだ。
「ソフトウェアのセキュリティ対策予算を引き出すことは難しい。だが、お粗末なソフトウェアセキュリティ対策のために、200万ポンドのツケを払うことになるリスクを緩和または取り除くためのテクノロジーであれば、予算を確保することは比較的簡単だ」とサイ氏。「リスクベースドアプローチならITセキュリティ担当者が、営業部門が理解しやすい言葉で、投資の必要性を明確に伝えることができる」
現在、情報テクノロジーは、事業活動に含まれるほぼあらゆる業務を支えている。そのおかげで、社内の全員を巻き込み、支持を得る機会も得られるとサイ氏は話す。
トップからの支持を取り付けることも不可欠だ。「CEOからの大号令があれば、CEO以下全員が耳を貸し、リスクベースで行動する可能性が大幅に高くなる」
もう1つ重要なポイントは、サイ氏がNews Internationalで行っているように、重要業績評価指標を開発することだ。「これは、大規模プロジェクトの妥当性を示したり、セキュリティによって最終損益にどれだけの違いが出るかを、技術的な話を交えずに、具体的に説明する上で役立つ」(サイ氏)
最終的な目標はリスクを管理することであり、スプレッドシートにリスクを記入することではない。サイ氏は、「包括的にリスクに対応できる適切なフレームワークを用意する必要がある」と話している。
面白い広告は記憶に残るが、ユーモアを活用できている企業は少ない――Oracle調査
ユーモアを取り入れたブランドは支持され、ロイヤルティーが高まり、顧客は再び購入した...
マクドナルドvsバーガーキング ネット戦略がウマいのはどっち?
「ITmedia マーケティング」では、気になるマーケティングトレンドをeBookにまとめて不定...
マーケターなら知っておきたい「Googleが次に可能にすること」 Google I/O 2022で発表の新機能まとめ
「検索」「地図」「ショッピング」他、Googleが年次開発者会議「Google I/O 2022」で紹介...