セキュリティ予算獲得のためにすべき事
How to Boost Executive Buy-In for Security Investments
セキュリティ予算と侵害対策の成果を結びつけることで、経営陣はリスクに対する支出のバランスを取り、CISOがより高い評価を受けるようになります。
ほとんどの最高情報セキュリティ責任者(CISO)とその経営陣や取締役会との間には微妙な関係があることは周知の事実です。CISOは、岩場(原因)と困難な場所(効果)の間に挟まれています。
CISO が主導する企業のセキュリティプログラムは、セキュリティ侵害から保護することを目的としている。経営者には、ビジネスを許容できない影響から守る義務がありますが、具体的なセキュリティ侵害の結果とそれに伴う影響の管理を具体的な予算に結びつけた、定量化可能でデータに基づいたセキュリティ戦略と行動計画が提示されることは、ほとんどありません(あったとしても)。
これにより、経営者は、投資家、保険会社、反対する法律顧問、規制当局、顧客など、企業のサイバーリスクにさらされている外部からの挑戦者にさらされることになります。しかし、外部からの挑戦者はこれらだけではない。内部的には、CISO は限られた資金で他の事業部門と機会とコストの戦いを繰り広げており、投資対効果がより明確な機能との戦いになっている。
サイバーリスクに対する期待値の設定
これらの課題をより適切に処理するために、セキュリティ計画では、与えられた予算あたりのサイバーリスクの結果のレベルを想定しておく必要があります。これにより、特定の予算に対する期待値を設定するだけでなく、ビジネスが予算を削減したり増やしたりした場合に、CISOはその結果として生じるサイバーリスクの暴露の変化を実証することができます。
セキュリティプログラムの目的は、セキュリティ侵害からの保護にある程度の信頼性を持つことである。経営者は、(国家のような)高度な脅威による侵害からビジネスを保護すべきだと考えているというよりも、むしろ、(膨大な数の)洗練されていない脅威が侵害して許容できない影響を与える可能性があるかどうかを知るための信頼できる情報を持っていないのである。セキュリティプログラムは、サイバーリスクにさらされるレベルを保証できるものでなければなりません。
リスク低減の経済学を正当化する
一般的に、オペレーションリーダー(マーケティング、セールス、ITなどのトップなど)は、企業全体の能力を開発する機会を正当化することが求められています。彼らは、リターンを示すことができれば良いのですが、強いリターンを示すことができれば素晴らしいのです。これらは、どんなビジネスリーダーも逃れることができない、あるいは逃れるべきではない基本的なビジネス経済学である。
CISO は、経営者のドクトリンとうまく調和しない戦略原則という点で、事実上、ビジネスから自己分離している。歴史的に見ても、セキュリティ戦略は、主に脆弱性チェイサー、脅威検出器、フレームワークフォロワー、さらに最近ではリスク計算機を介して推進されてきました。これらは、大部分が近視眼的であったり、抽象的すぎて経営者には結びつかないものでした。
安全保障経済学的アプローチ
CISOは(良い言葉ではないが)セキュリティ経済の時代に移行できるのか?ビジネスのすべてはスライダーに乗っている。コスト対報酬のスライダーである。通常、投資に対してより良いリターンを示せば、経営者の満足度は上昇する。肯定的な結果は、多くの場合、最初から期待値がどれだけ適切に設定されているかによって決まる。CISOが結果に対する期待値を設定していない場合、どのようにしてエグゼクティブに満足してもらうことができるのでしょうか?ほとんどのCISOは、予算の量でコントロールできる違反の影響結果よりも、自分たちが何をするか(または何をしたいか)に固執しすぎているのが現状です。
CISO が経営陣に期待を寄せているのであれば、これらの疑問に答えるセキュリティ経済的なアプローチをとる必要があります。
- 何に重点を置いて保護を行うのか - そして、これは正当化されているのか?
- どのようなレベルと種類の保護を、どのようなコストで提供できるのか?
- 保護レベルを開発するための現実的な計画があるか。
- 費用対効果を確保するために、開発と運営を管理し、追跡することができるか。
- 私たちの結果は、独立して検証することができるか?
このようにセキュリティをフレーム化することで、リスク選好度は、潜在的なリスクの結果に対して支出のバランスを取ろうとする意思に基づいて、最も有意義な方法で明確になる。このフレームワークでは、支出やセキュリティ態勢に関連する選択肢と同様に、リスクが前面に出てくる。セキュリティ支出に関する曖昧さはなくなり、ビジネスの専門家とリスク選好度に関する最終的な決定は、エグゼクティブスイートであるべきところで行われるようになります。
生活の中で多くのものを購入するときには、サイズと品質のオプションに直面しています。セキュリティプログラムも同様です。規模とは、管理下にある資産の数(保護)であり、品質とは、その保護のレベル(どのレベルの脅威の巧妙さが許容できない影響を引き起こす可能性があるか、どのレベルの脅威が許容できるか)です。
経営者のプランにサイズや品質の異なるスライダーを提供することで、選択肢を提供することができます。これらの選択肢は、様々なレベルの保護を受けるために、あるいは逆にサイバーリスクにさらされている場合に、どの程度の予算を割り当てるべきかを示すものである。彼らが資金を提供しないオプションは、CISOは責任を負いません。
このような計画を立て、それを実現するCISOは、他のビジネスリーダーと一線を画しており、そのレベルのリーダーと見なすことができます。CISOが十分な尊敬を得られていない、あるいは聞き入れてもらえていないと考えるならば、それはリスク/報酬に基づいた分析をCスイートの仲間たちに合わせて提示していないからかもしれません。
今こそ、CISO は、岩と岩の間から、現代のセキュリティ経済的な CISO になるために、自分自身を再配置する時である。これにより、CISOは役員会や取締役会のテーブルに座ることができるようになります。