最近まで、セキュリティは職業とみなされ、専門家は自分たちが守る組織内で適切な地位を得るために戦っていました。しかし、業界は現在岐路に立たされています。

我々の前には2つの道がある。 1つは現状維持です。私たちはこの道を滑り続けるかもしれませんが、それは自分で決めた道ではありません。セキュリティの役割を明確に定義していないため、これが選択されました。このように自己定義ができないため、セキュリティは従来、情報セキュリティ、調査、物理的セキュリティ、幹部の保護など、セキュリティが実行するタスクによって他人によって定義されてきました。このタイプの定義では、セキュリティ機能の価値が減少します。私たちの役割は、割り当てられたタスクだけではありません。

第二の道は自己決定と機会の道です。それは業界にとって、貿易から完全に尊敬される専門職に進むチャンスを提供します。この道では、私たちは対話をコントロールし、自分たちの分野を取り巻く会話を形作り、自分たちで前進することができます。 カジノサイト が主導権を握る業界として、セキュリティが専門職とみなされるまで進歩を続けることができます。

この 2 番目の道をどのように進めればよいでしょうか?まず、民間部門におけるセキュリティの役割を明確に定義する必要があります。また、その役割の理解をサポートする核となる知識基盤も必要であり、それは大学生だけでなく、この業界に入社してくる転職担当者や採用担当者にも教えることができます。また、セキュリティの役割とそれに関連する中核的な能力についての知識を実務者が共有するという期待を確立する必要もあります。 

カジノサイト International は、エンタープライズ セキュリティ リスク管理 (ESRM) の概念を通じてこの役割の定義をすでに開始しています。 カジノサイト は、ESRM を採用することで、ESRM を指針として私たちの業界を機会と自己決定の道を歩むよう位置づけています。  

しかし、業界の誰もがこの旅に向けた準備ができているわけではありません。この概念について聞いたことはあっても、まだ漠然としていると感じる人にとっては、疑問が残ります。主に: ESRM とは正確には何ですか?なぜ必要ですか?

ESRM とは何ですか?

ESRM の核心は、リスク原則を使用してセキュリティ プログラムを管理する実践です。これは、セキュリティのあらゆる分野、および物理、サイバー、情報、調査などのセキュリティによって実行されるあらゆるタスクに適用できる管理哲学です。 

ESRM の実践は、長年国際的に確立されてきたリスク管理原則に基づいています。これらの原則は、「資産とは何か?」という基本的な概念で構成されています。リスクは何ですか?そのリスクをどのように軽減すべきでしょうか?リスクが顕在化した場合、どのように対応すべきでしょうか?侵害が発生した場合、イベントから回復するためのプロセスはどのようなものですか?これらの原則は集合的に、リスク管理の思考プロセスを導く思慮深いパラダイムを形成します。

これらの質問を追求すると、貴重な情報が得られ、セキュリティ関連のあらゆるタスクについて質問される可能性があります。たとえば、調査、フォレンジック、危機管理はすべて異なるセキュリティ機能ですが、ESRM フレームワーク内で議論される場合、これらは単に異なるタイプのインシデント対応です。 

同様に、パスワードとアクセス管理、暗号化、CCTV などの物理的および情報セキュリティのあらゆる機能は、単に ESRM パラダイム内の緩和策とみなされます。これらは単なる意味上の違いのように見えるかもしれませんが、重要なニュアンスです。 ESRM パラダイム内でこれらの機能を定義すると、企業全体で果たす役割も定義され始めます。

ESRM は、セキュリティ管理の役割が定義されるレベルを引き上げます。この役割をタスク レベルで定義するのではなく、リスク管理のより上位の包括的なレベルで役割を定義します。  

ESRM はセキュリティの役割のレベルを高めることで、セキュリティを経営幹部に近づけ、経営幹部は個々のタスク以上のことを考慮します。また、リスク原則を通じて役割を定義することで、ビジネスの世界全体の中でセキュリティ機能をより適切に位置付けることができます。あらゆる分野の経営者はリスクを理解しています。彼らは毎日リスクに関する意思決定を行っています。 ESRM 原則を実践の指針として使用することで、ビジネス言語内での当社の地位を確固たるものにすると同時に、ビジネス内で当社が果たす役割も定義します。

たとえば、倉庫とサーバーを備えた会社を考えてみましょう。ウェアハウスではセキュリティがウィジェットを保護し、サーバーではセキュリティがデータを保護します。共通のリスク原則に基づいて、ウィジェットとデータに対するリスクは何なのかを尋ねます。  それらのリスクからどのように保護すればよいでしょうか?ウィジェットの所有者は誰ですか? データの所有者は誰ですか? 

倉庫にアクセス制御とアラームを設定するか、データにパスワードと暗号化を適用するかを決定する可能性があります。どちらの場合も、侵入から保護しています。目標は同じで、保護です。調査、災害対応、情報技術など、セキュリティの他の側面でスキル セットが異なるのと同様に、タスクごとにスキル セットも異なります。しかし、リスクのパラダイムはそれぞれ同じです。

なぜそれが必要なのか

セキュリティ管理者とそのチームに割り当てられているタスクを超えて進むには、ESRM が必要です。たとえば、物理的なセキュリティを管理している場合、あなたのチームは物理的なセキュリティ チームになります。調査をすれば、あなたは調査員です。情報セキュリティを管理している場合、あなたのチームは情報セキュリティ チームです。 

しかし、これらのタスクは責任の範囲を定義するだけです。私たちの役割は、割り当てられたタスクよりも広いです。私たちの責任は独立したタスクとしてではなく、セキュリティ リスク マネージャーとしての役割内の関連するコンポーネントとして見なされるべきです。   

明確で一貫した自己定義の役割を持つことは、大きな利点をもたらします。第一に、それは、私たちの価値を適切に捉えて伝えることができない方法で、他の人が私たちの役割を定義することを先取りします。 

第二に、経営幹部内での地位を向上させるのに役立ちます。経営幹部は、セキュリティ マネージャーが何をするのか、どこに連携をとるべきかについて悩むことがよくあります。これは、ことわざのようにテーブルの席が必要であるという私たち自身の会話の中で表明された不満によく反映されています。ある意味では、この除外は正当化されているように見えるかもしれません。もし私たちが自分のタスクを説明する以上に自分の役割を定義できないのであれば、なぜ上層部は私たちにより高いレベルのリーダーシップと戦略を課すのでしょうか?

第三に、これは私たちの業界に指針を提供します。 ESRM をさらに活用することで、一貫した使用条件と成功への明確な期待を伴う、常に成熟する共通の知識ベースが提供されます。  

これは、業界の実務者だけでなく、セキュリティ業務に携わったり、セキュリティ管理者と協力したりする必要がある他のすべての幹部にとっても有益です。これは、セキュリティ マネージャーが会社や業界を変えたとき、またはセキュリティ マネージャーの会社に新しい幹部が入社したときなど、変化の時期に特に役立ちます。

そのような状況では、セキュリティ管理者は、自分のやっていることについて他の人に継続的に教育していると感じることがよくあります。しかし、セキュリティの責任の範囲を超えて、セキュリティの役割が何であるかについて共通の理解があれば、この終わりのない最初からやり直すプロセスは必要ありません。

なぜ今?

この業界全体では、少なくとも過去 10 年間にわたって ESRM について議論されてきました。しかし、このトピックは数年前にも関連性がありましたが、現在はセキュリティ リスクが過去よりもビジネスに大きな破壊的影響を与える可能性があるため、今が ESRM にとって適切な時期です。  

これにはいくつかの理由があります。現在の経済におけるテクノロジーの利用により、企業は業務と実践を一元化できるようになりました。この統合により効率は向上したかもしれませんが、集中化された業務が中断されやすくなりました。運用が地理的に分散すると、脆弱性もさらに広がります。現在、リスクの集中により、ビジネスにさらに深刻な悪影響が及ぶ可能性があります。 

私たちはまた、従来の情報セキュリティとデジタル化されたデータの保護を超えて進んでいます。現在、サイバーセキュリティのリスクは、より大きなビジネス中断の脅威をもたらしています。たとえば、サイバー環境内のモノのインターネット (IoT) に対する脅威は、情報の損失によって過去に企業が被った悪影響と比較して、企業にさらに大きな損害を与える可能性があります。

多くの経営幹部はこれらのリスクの重要性を理解しており、物理的セキュリティと情報セキュリティを別々に追求する、セキュリティに対する典型的なサイロ化されたアプローチを超えた答えを探しています。彼らは、ビジネス運営の集中化の進行と並行して、サイバー リスクの増大により、埋めなければならないセキュリティのギャップが生じていることを認識しています。 

取締役会の関与も高まっています。つまり、上級管理職も関与する必要があり、誰かが介入してそのギャップを埋める必要があります。それは最高リスク責任者、取締役会レベルの委員会、内部監査部門、またはセキュリティかもしれません。できれば後者になることが望ましいですが、ステップアップしてこの課題に対処するには、セキュリティ専門家は単に自分のタスクを定義するだけでなく、自分の役割を一貫して定義できなければなりません。

移行を行う

私たちに必要なのは、専門化に向けたロードマップです。  

カジノサイト は、ESRM を通じてセキュリティの役割を定義する取り組みを主導しています。ダラスで開催される カジノサイト 2017 では、ESRM に関するより多くの会話が聞かれるだけでなく、その会話の成熟度や一貫性もさらに高まるでしょう。  カジノサイト は、業界をリードするセキュリティ管理専門組織として、業界から専門職へのロードマップをガイドするのに最適な立場にあります。 

カジノサイト 理事会は、ESRM をその中心的使命の重要な要素にしました。 ESRM 原則を戦略的ロードマップに組み込み始めました。これは、カジノサイト がこの哲学を運用し始めていることを意味します。これは、このロードマップを構築する上で重要なステップです。他の手順も必要になります。この分野の経験を積んだボランティアも、この分野に慣れていないボランティアも、この専門化への移行を推進するためにはこの移行を受け入れることが不可欠です。

この遷移はスイッチの切り替えによっては発生しません。私たちが行っていることをどのように認識しているか、ビジネスパートナーに伝える際に使用する言語、そして職務を遂行するためのアプローチについて、私たち自身の概念に挑戦するには、献身的な努力が必要です。  それには、時間と包括的な熟考、そして自分が正しくないことを認識する能力が必要です。私たちも完全に間違っているわけではないかもしれませんが、一貫性を徹底することが重要です。

この ESRM 移行を成功させるには、いくつかの重要な基本要素を整備する必要があります。まず、私たちの業界が取り組むための一貫した知識ベースが必要です。それは、共通の用語集と、私たちが協力する実務者やビジネス担当者が理解しているセキュリティの役割の理解です。 

トップダウンとボトムアップの両方のアプローチも必要です。ビジネスや学術界からこの業界に参入する、または法執行機関や軍隊から移行する新しいセキュリティ実務者は、リスク管理の原則と、リスク パラダイムがセキュリティ管理の思考プロセスをどのように推進するかを包括的に理解する必要があります。セキュリティ分野に参入する際には、これらの基本的なスキルセットが整っていることが期待されるべきです。これらの ESRM の概念は、共通の知識ベースに基づいてセキュリティ管理カリキュラムに組み込まれ、すべてのセキュリティ認定資格で一貫して確立され、あらゆるレベルの職務内容と採用の期待に組み込まれている必要があります。  

また、セキュリティの役割とは何か、またセキュリティが割り当てられたタスクをどのように超えていくのかについて、経営陣、取締役会、採用担当者、ビジネス パートナーの間でトップダウンで期待を構築する必要もあります。セキュリティの役割を明確かつ共通に理解することで、成功と成功に必要なスキルセットの定義が容易になります。 カジノサイト のような組織は、これらのリーダーをサポートする手段の提供を支援します。 

私たちが真のセキュリティ リスク マネージャーである場合、採用を決定する際には、基礎的かつ包括的なリスク スキル セットが期待されるはずです。 カジノサイト、大学との世界的なパートナーシップ、全米企業取締役協会の会議委員会などの経営幹部に影響を与える組織と連携した出版物を通じて、教育の機会が生まれる可能性があります。

学術界も役割を果たす必要があるのは明らかです。このダイナミックな業界への参入に興味のある大学生は、セキュリティ リスク管理の基礎に関する確かな知識ベースでセキュリティ リーダーや企業を支援する準備を整えて参加することになります。そして、厳格な ESRM の知識体系が確立されると、カジノサイト は、カリキュラムの概念を満たす学術機関に認定を提供する影響力、専門知識、立場を獲得し、セキュリティの役割をより一貫して理解できるようになります。

カジノサイト は ESRM を世界的な戦略的優先事項として確立し、この戦略を推進し実行するために ESRM 委員会を設立しました。委員会の最初のステップの 1 つは、入門書と成熟度モデルで構成されるツールキットを開発することです。

カジノサイト メンバーへの特典

私が面接するすべての候補者に尋ねる質問があります。「この業界で挫折したときのことを教えてください。」 

すべての答えは、2 つの問題のいずれかに帰着します。 1 つは、自分たちの役割が分からず、明確に定義できないことです。 2 つ目は、当社のビジネス パートナーが当社の役割を明確に定義できないことです。これらの不満はどちらも対処可能ですが、どちらも明確さを確立できなかった業界としての私たちの責任です。  これにより、当社がどのように認識されるか、また当社の専門家の指導がどの程度受け入れられるかに関して、ビジネス パートナーとの関係が緊張することにつながります。

ESRM を通じて明確に定義されたセキュリティの役割を持つことは、セキュリティ業界でより満足のいくキャリアの基盤を築くのに役立ちます。そうすれば、企業内で適切な立場が得られ、経営陣が理解して支持できる正当な理由でテーブルに着くことができる、より良い立場が得られるでしょう。

実務者にとって、ESRM を通じた一貫したセキュリティ プログラムは、物理的、調査、サイバー、情報、事業継続、ブランド保護などのセキュリティ緩和タスクを 1 つの適切な傘の下にまとめるフレームワークを提供します。 

人材業界はここ 10 年ほどで専門化してきました。私たちはこれを、ビジネス内での彼らの立場、テーブルの席、肩書きと給与のアップグレードを通じて確認します。現在、脅威と潜在的なビジネス破壊者の増加により、私たちの業界にはチャンスが到来しています。ビジネスリーダーや取締役会は答えを探しています。  私たちは必要なスキルセットを備えており、カジノサイト には主導権を握る献身的で協力的な専門家団体がいます。

私たちは岐路に立たされています。  自己決定の道を選択し、この会話を主導し、貿易から職業へ移行する時が来ました。

CPP のブライアン J. アレン氏は、タイム ワーナー ケーブルの元最高セキュリティ責任者であり、カジノサイト 取締役会の元メンバーであり、現在は カジノサイト ESRM 委員会のメンバーです。