セキュリティチームは、「ノー」と言うことから脱却し、セキュリティの取り組みをビジネス目標に整合させ、ビジネスリーダーが理解できる方法で指標を報告する必要があります。
セキュリティのROIを実証するには?
セキュリティプログラムのROIを実証する際、セキュリティチームが行うべきことは3つあります。
1つ目は、セキュリティの役割を "NOのオフィス "とする認識を改めることです。セキュリティ・プログラムの役割は、リスクを排除することではなく、ビジネスがリスクを取れるようにすることであることを受け入れる必要があります。例えば、ある企業がリスクの高い国、リスクの高いサイバー法、リスクの高いオペレーターのいる国で事業を立ち上げる必要がある場合、ほとんどのセキュリティ・チームは、すぐに「ノー」と言うでしょう。しかし、実際には、サイバーセキュリティの脅威を特定、検出、対応することができる健全なセキュリティ・プログラムを構築することによって、企業がリスクを負うことを可能にすることが、セキュリティ・チームの仕事なのです。企業のリーダーは、セキュリティ・チームが自分たちのビジネス目標の達成を支援しようとしていることを知れば、強力なサイバーセキュリティ・プログラムの価値をより理解することができるようになるのです。
同様に、サイバーセキュリティ・チームは、自社のビジネス目標を理解し、それに基づいてセキュリティ対策を行う必要があります。多くのセキュリティチームが、自分たちのセキュリティ対策をビジネスの優先事項として押し付けようとしていますが、実際には、その対策がビジネスにとってマイナスになる可能性もあります。例えば、使用済みオペレーティング・ソフトウェアが稼働しているラインの生産性を向上させることがビジネス目標だとします。セキュリティ専門家の中には、攻撃によるダウンタイムを防ぐために、セキュリティ管理を強化しようとする人もいます。しかし、このアプローチは生産性を向上させるものではなく、むしろ逆効果で製造効率を低下させる可能性があります。
むしろ、セキュリティ・チームは一歩下がって、製造ラインの生産性を向上させるためのセキュリティ戦略をどのように導入できるかを評価する必要があるのです。よりビジネスに重点を置いたアプローチとしては、ビジネスの回復力目標をサポートするために、より優れた識別と対応策を構築し、製造環境を隔離するデバイスへのアラートの忠実度を高め、サイバー攻撃に備えるためにインシデント対応や危機対応演習をより頻繁に行うことなどが挙げられます。CEO と CFO が最大のビジネス推進要因として認識しているものを理解し、サイバーセキュリティ戦略をそれらの推進要因に合わせることは、最終的にサイバーが収益性の高いビジネス目標に結びついているという認識と関連し、サイバー支出に対する ROI を増加させることに繋がります。
最後に、サイバーチームは、ビジネスリーダーが理解できるような方法で、自分たちの指標を報告する方法を考えなければなりません。例えば、セキュリティ・チームが、ビジネスを行っているリスクの高い国に起因するサイバー攻撃を何件受けたかについて報告することが挙げられます。ビジネスが利益を上げている場合、経営陣は、報告されている何千ものサイバー攻撃の可能性に直ちに影響を与えるとは考えないかもしれません。しかし、セキュリティ・チームが測定基準を少し進化させて、その特定の地域でフィッシングの対応にどれだけの時間がかかったか、USB マルウェアのために毎月どれだけのノートPCを初期化しなければならなかったか、または耐用年数の切れたOSのために生産ラインがどれだけのダウンタイムを経験したかを示すと、リスクの高い状況でこれらのサイバーセキュリティ問題を直接収益の喪失に結びつけることができるようになるのです。そして、この知識こそが、ビジネス・リーダーがセキュリティ・リスクとそれがビジネスに与える潜在的な影響、そして組織の安全を守るセキュリティの役割をよりよく理解するために必要なものなのです。