「重要決定の事後報告」でCISOとの関係が悪化 “しくじりCIO”の実践的回避策：CIOとCISOの関係を改善する5つの方法【後編】

CIO（最高技術責任者）とCISO（最高情報セキュリティ責任者）が信頼関係を築くには、実務上のプロセスだけでなく、インフォーマルな交流も重視するとよい。具体的にどうすべきか。

[Johna Till Johnson，TechTarget]

　中編「CIOがCISOと『対等に議論』するためのヒント」は、CIO（最高技術責任者）とCISO（最高情報セキュリティ責任者）が良好な関係を構築するために必要な5つの方法のうち、2つを紹介した。後編は、残る3つの方法「重要な決定にCISOやセキュリティチームを関与させる」「『形式張らない関わり方』と『形式的な関わり方』の両方を取り入れる」「一貫した事業計画を作成する」を紹介する。

方法3．重要な決定にCISOやセキュリティチームを関与させる

併せて読みたいお薦め記事

セキュリティ関連の注目記事

• 「サイバーセキュリティ予算」を率先して投じるべき4分野とは？
• ROIを高める「サイバーセキュリティ予算」の使い方“3大ステップ”
• 重要システムを1日で復旧させた敏腕CIOが明かす「ランサムウェア対策のヒント」

　これは当たり前に聞こえるかもしれないが、CIOや技術チームはCISOに何も知らせずに大きな決断を下してしまうケースがしばしばある。

　CIOと技術チームは、ビジネスに関わる決定をする前やIT製品の導入を決定する前、つまり検討段階からCISOとそのチームを関与させるよう努力しよう。これによって下流工程で抜本的な軌道修正が必要な場面を発生させないようにし、IT戦略とサイバーセキュリティ戦略の一貫性を持たせることができる。

方法4．「形式張らない関わり方」と「形式的な関わり方」の両方を取り入れる

　ここまで読んだ人は、「CISOチームと定期ブリーフィングの予定を立て、われわれの取り組みに対する評価を続けてもらう」といったタスクをToDoリストにメモしているかもしれない。まさしくそれをやるべきだ。正式にスケジュールを立てることは、ものごとを確実に実行するための方法として優れている。

　形式張らない、くだけた交流が及ぼす影響も無視してはならない。筆者の友人の一人であるカナダ人のCISOは「ティムビッツの火曜日」と称するイベントをよく開催していた。ティムビッツはカナダの飲食チェーン企業Restaurant Brands Internationalが展開するコーヒーショップ「Tim Horton's」で買える小さなドーナツだ。友人はティムビッツ数袋とホットコーヒーを持ち込み、決まった議題のない集まりを火曜日の朝に開いている。これは、その週で最も価値のある会議になることが多かったそうだ。

　テレワークでティムビッツの火曜日はうまく機能しないかもしれない。しかしビデオ通話を使ってくだけた雰囲気を再現する方法は数多くある。例えばITチームのいろいろなメンバーに、パーティー用のかぶり物をかぶってもらって関心のあるトピックについて話してもらう。つながりを深めることはチームのストレス軽減に役立つ重要な方法でもある。

方法5．一貫した事業計画を作成する

　CIOとCISOが、技術投資に対するそれぞれの戦略を考慮した事業計画を協力して作成する。CIOとしてERP（統合業務）製品の大規模更新を提案しようとしているのであれば、その更新を安全に保つための技術導入に向けた資金調達を含め、その技術への投資がなぜ重要かについて正当な理由をCISOに説明すべきだ。一方でCISOが「ソフトウェア定義の境界」（SDP：Software Defined Perimeter）のような新しい技術を導入するならば、トラブルチケットの減少、従業員の満足度向上といった、導入後の効果を追跡調査する必要がある。

　言い換えるとCIOとCISOは、報告体制における上下関係があるかどうかにかかわらず、事業計画における技術投資のコストとメリットについて、一貫性のある説明ができるように協力する必要がある。

TechTarget発　世界のインサイト＆ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。