日本よりはるかに機能していると思われる海外CISO(最高情報セキュリティ責任者)でも取締役会でのセキュリティ予算獲得には苦労している様ですが、日本でも経営幹部(CISO)への予算上申時に以下の記事の内容は参考となりそうです。
www.darkreading.com
CISO主導のエンタープライズセキュリティプログラムは、セキュリティ違反から保護することを目的としています。経営幹部には、容認できない影響からビジネスを保護する義務がありますが、特定のセキュリティ侵害の結果(および関連する影響)の制御を特定の予算にリンクする、定量化可能でデータ主導のセキュリティ戦略およびアクションプランが提示されることはめったにありません。
(DarkReading記事より引用)※機械翻訳
キタきつねの所感
セキュリティの重要性はDXが進むにつれて益々重要となってきますが、経営層の理解が必ずしも同じであるとは言えない企業も多いかと思います。
経営層には数字で語れ、とは良く言われる事ですが、DXの光の部分ばかりに目が行き、影の部分には行き届かない状況の中で、セキュリティ予算を通そうとする場合、海外CISOが求める事を把握して資料を準備すると「成功率」が高くなるかも知れません。
※個人の感想です。失敗しても保障できませんので悪しからず
海外の経営幹部(CISO)の置かれている現状は概ね日本と同じかと思いますが、記事では以下の様に書かれています。
企業のサイバーリスクへのエクスポージャーに関して、投資家、保険会社、反対の法律顧問、規制当局、顧客などの外部の挑戦者に経営幹部がさらされます。しかし、これらだけが挑戦者ではありません。内部的には、CISOは機会費用戦争で他のビジネスと限られた資金を求めて競争し、はるかに明白な投資収益率を提供する機能と戦っています。
(DarkReading記事より引用)※機械翻訳
サイバーリスクの責任を負いつつも、投資効果を明確に数字で語れる営業・販促部門との闘いに日々晒されているのが(御社の)経営幹部(CISO)である。この前提の上で、予算上申の戦略を考えるべきだというのは、なるほど、その通りだなと思います。
経営幹部(CISO)説得の為に、記事では「セキュリティ経済アプローチ」として投資に対する良いリターン(ポジティブな結果)を元に考えるべきだとし、以下の観点でチェック(資料を準備)する事を推奨しています。
CISOが経営幹部に期待を寄せるには、次の質問に答えるセキュリティ経済的アプローチを採用する必要があります。
・私たちは何に保護を集中していますか—そしてこれは正当化されますか?
・どのようなレベルと種類の保護をどのようなコストで提供できますか?
・保護レベルを開発するための現実的な計画はありますか?
・コスト効率を確保するために、開発と運用を管理および追跡できますか?
・結果を個別に検証できますか?
(DarkReading記事より引用)※機械翻訳
CISO(セキュリティ部門)に対する説明では、検出された脆弱性、フレームワークやセキュリティ機器リプレイスの合理性、リスク分析等を使って説明すれば「会話は成立する」と思います。
しかし、CISOが経営会議で他の幹部と闘いながら「セキュリティ予算を獲得する」際には、「会話が成立せず(=他の経営幹部に説明内容が理解されず)」に、声の大きな営業系役員に予算獲得で負けてしまう可能性もあるのです。
CISOには経営会議で他の幹部に対して説得がしやすい材料(ストーリー)を渡す、定量的な(予想)数字を元にした「セキュリティ経済的アプローチ」は、日本でも有効な気がします。
資料を作る側としては慣れないと大変そうですが、数字やデータベースの、投資のバランスが取れた説明をCISOが経営会議で出来れば、セキュリティ支出の曖昧さが解消され、他の幹部の同意を得やすくなる=セキュリティ予算は通りやすくなるのではないでしょうか。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
