による報告 戦略国際研究センター 組織内のサイバー セキュリティに悪影響を及ぼす、不一致なインセンティブには 3 つのレベルがあることが明らかになりました。
- 組織の企業構造と犯罪組織の自由な流れ: 攻撃者のインセンティブは分散化された流動的な市場によって形成され、一方で硬直した官僚機構は防御側の企業とトップダウンの意思決定システムを制約します。
- 戦略と実装の不一致: 90%以上の組織がセキュリティプランを策定しています。しかし、これらのポリシーを実際に実装している組織は半数にも満たないのが現状です。
- 上級管理職と実装担当者: 戦略を設計し、成功を測定する上級管理職が使用するパラメータは、サイバーセキュリティを実装するチームのパラメータとは異なります。
企業は何ができるでしょうか?
サイバーセキュリティを戦略実行に組み込むための万能ソリューションは存在しません。あらゆる企業に有効な単一のソリューションも存在しません。組織の文化や環境に応じて、適切な手法は異なります。しかし、大まかに言えば、サイバーセキュリティに関するビジネスアラインメントを実現するために重要な組織領域はいくつかあります。
文化: 組織全体にわたって、日常業務にセキュリティ対策を浸透させる文化を育むことは、セキュリティ目標を達成するための最善の解決策と言えるでしょう。経営陣がセキュリティポリシーを策定しても、全員がそれに従わなければ、その目的は達成できません。たとえ企業にとって多少のコスト増になったとしても、トップからボトムまで全員が妥協することなく、日常業務の一環としてセキュリティポリシーを遵守すれば、成功の可能性は高まります。管理者、ユーザー、ITプロフェッショナル、そしてその他すべての関係者は、情報リスクに関して、ポリシーに基づいた賢明な意思決定を行えるべきです。
計画: 組織全体にわたるセキュリティの戦略的・戦術的計画は、個々のセキュリティプロジェクトをビジネス要件に適合させる絶好の機会となります。セキュリティプロセスの計画においては、エンタープライズ・アーキテクチャの原則を活用することが最善です。サイバーセキュリティをエンタープライズ・アーキテクチャに適切に組み込むことで、あらゆるプロジェクトに導入・遵守される可能性が高まります。
プロセス: ISO 27001で規定されている情報セキュリティマネジメントシステム(ISMS)などの業界標準システムを導入することで、組織の必要に応じてセキュリティソリューションを評価、開発、導入できるようになります。これらのプロセスは、 組織のセキュリティ要件 セキュリティ実装の単一インスタンスではなく、継続的なプロセス。
コミュニケーション: インシデント、解決策、その他のセキュリティ関連のアクティビティに関するコミュニケーションは、サービス レベル メトリックとして定義し、IT 組織、ユーザー、パートナー間のサービス レベル契約に組み込む必要があります。
コンピテンシー: サイバーセキュリティの専門家には、技術的なスキルが求められます。しかし、ビジネスとの連携を図るためには、ビジネスアーキテクチャの理解、個人的なコミュニケーション、マーケティング(専門家と同等、上位、下位の組織内におけるセキュリティアイデアのマーケティング)といったビジネススキルも必要です。
テクノロジー: 要件を満たす市場で入手可能な最高のツールを導入するだけでは不十分です。組織は、テクノロジーに関連する最善のプロセスとプラクティスを確立する必要があります。ITIL (V3) などの標準に基づくプロセスを導入することで、ITサービスとセキュリティ管理の技術的な統合を確実に実現できます。
の関係: あらゆる部門とビジネスの連携は、意思決定者やステークホルダーの協力と支援にかかっています。セキュリティも例外ではありません。サイバーセキュリティ部門は、ビジネスの状況を可視化し、業務を遂行するために必要な適切なリソースを確保するために、主要人物との連携を維持する必要があります。
サイバーセキュリティのビジネスアライメントは、画一的なアプローチでは対応できません。セキュリティをビジネスプラクティスと組織のビジネスモデルに統合し、組み込むには、時間、リソース、そして包括的な戦略が必要です。
セクライト 企業のITセキュリティを簡素化し、ビジネスパフォーマンスを最大化します。当社の製品とサービスの詳細については、 当社のウェブサイトを訪問.
