中編「CIOがCISOと『対等に議論』するためのヒント」は、CIO(最高技術責任者)とCISO(最高情報セキュリティ責任者)が良好な関係を構築するために必要な5つの方法のうち、2つを紹介した。後編は、残る3つの方法「重要な決定にCISOやセキュリティチームを関与させる」「『形式張らない関わり方』と『形式的な関わり方』の両方を取り入れる」「一貫した事業計画を作成する」を紹介する。
これは当たり前に聞こえるかもしれないが、CIOや技術チームはCISOに何も知らせずに大きな決断を下してしまうケースがしばしばある。
CIOと技術チームは、ビジネスに関わる決定をする前やIT製品の導入を決定する前、つまり検討段階からCISOとそのチームを関与させるよう努力しよう。これによって下流工程で抜本的な軌道修正が必要な場面を発生させないようにし、IT戦略とサイバーセキュリティ戦略の一貫性を持たせることができる。
ここまで読んだ人は、「CISOチームと定期ブリーフィングの予定を立て、われわれの取り組みに対する評価を続けてもらう」といったタスクをToDoリストにメモしているかもしれない。まさしくそれをやるべきだ。正式にスケジュールを立てることは、ものごとを確実に実行するための方法として優れている。
形式張らない、くだけた交流が及ぼす影響も無視してはならない。筆者の友人の一人であるカナダ人のCISOは「ティムビッツの火曜日」と称するイベントをよく開催していた。ティムビッツはカナダの飲食チェーン企業Restaurant Brands Internationalが展開するコーヒーショップ「Tim Horton's」で買える小さなドーナツだ。友人はティムビッツ数袋とホットコーヒーを持ち込み、決まった議題のない集まりを火曜日の朝に開いている。これは、その週で最も価値のある会議になることが多かったそうだ。
テレワークでティムビッツの火曜日はうまく機能しないかもしれない。しかしビデオ通話を使ってくだけた雰囲気を再現する方法は数多くある。例えばITチームのいろいろなメンバーに、パーティー用のかぶり物をかぶってもらって関心のあるトピックについて話してもらう。つながりを深めることはチームのストレス軽減に役立つ重要な方法でもある。
CIOとCISOが、技術投資に対するそれぞれの戦略を考慮した事業計画を協力して作成する。CIOとしてERP(統合業務)製品の大規模更新を提案しようとしているのであれば、その更新を安全に保つための技術導入に向けた資金調達を含め、その技術への投資がなぜ重要かについて正当な理由をCISOに説明すべきだ。一方でCISOが「ソフトウェア定義の境界」(SDP:Software Defined Perimeter)のような新しい技術を導入するならば、トラブルチケットの減少、従業員の満足度向上といった、導入後の効果を追跡調査する必要がある。
言い換えるとCIOとCISOは、報告体制における上下関係があるかどうかにかかわらず、事業計画における技術投資のコストとメリットについて、一貫性のある説明ができるように協力する必要がある。
米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
「パーソナライゼーションエンジン」 売れ筋TOP10(2022年5月)
今週は、パーソナライゼーション製品の国内売れ筋TOP10を紹介します。
2022年の「値上げ」に対する消費者の意識と行動――日本インフォメーション調査
消費者はどのような商品・サービスに値上げを実感し、どう対策しようとしているのでしょ...
TikTokのとてつもない稼ぎ力 急成長の秘密は?
TikTokの広告収入はTwitterとSnapchatのそれを足し合わせても追い付かず、近い将来はYouT...
ITmediaはアイティメディア株式会社の登録商標です。
