「賢者とは、すべての答えを知っている者ではなく、何を問うべきかを知っている者である。
これは単なる記事ではなく、CISOとそのチームのための会話のきっかけとなるものです。情報セキュリティ部門が対処しなければならない重要な質問のリストに対して、あなたはどのような答えをお持ちですか?
もちろん、他にも多くの質問がありますが、これらはセキュリティ・プログラムの基礎に過ぎません。
これらの質問には順番があり、最初の質問に対する答えを持たずに最後の質問に答えることは困難です。
- 情報セキュリティチームの顧客は誰なのか?
- セキュリティを推進する要因は何か?
(これには、ビジネス面、技術面、コンプライアンス面が含まれる) - ビジネス上の重要なセキュリティ目標は何か。これらは、情報セキュリティチームの顧客と合意していますか?
- あなたの組織とそれに依存するシステムをどのようにモデル化していますか?
- 情報を交換する第三者はどこか?
- 保護する必要のある資産の一覧は何か?それらの資産は誰が所有していますか?誰がそれらを管理していますか?
- 脅威やリスクは何ですか?
- あなたが導入しているセキュリティ管理またはプロセスのリストは何ですか?それぞれの成功基準は何ですか?それらが有効であるだけでなく成功していることを、どれくらいの頻度でチェックしていますか?
- 是正が必要なコンプライアンス違反のリストは何ですか?
- あなたのコンプライアンスレベルはどの程度ですか?
- 改善する必要がある脆弱性のリストは何ですか?
- セキュリティ(またはリスク)レベルはどの程度ですか?
- 知識ベースはどのように維持されていますか?
- セキュリティの成熟度はどの程度ですか?
(これは、あなたのセキュリティではなく、セキュリティを維持・向上させる能力を測定するものです) - 情報セキュリティチームの活動をどのように報告していますか?
- 顧客にセキュリティの価値をどのように報告しますか?
- あなたのセキュリティレベルを第三者にどのように証明しますか?
- セキュリティレベルを向上させる(あるいはリスクを低減させる)ために、何を計画していますか?
あなたやあなたのチームが答えを出すのは簡単でしたか、難しかったですか?
もし、これらの質問が簡単すぎると感じたなら、あなたは本当に素晴らしいCISOか、深刻なダンニング・クルーガー症候群に罹っているかのどちらかです。どちらに当てはまるかは、読者の皆さんにお任せします。