コンテンツにスキップ

カジノサイト ESRM に関する 5 つの洞察

レイチェル・ロイヤーとブライアン・アレン著、CPP
2017 年 9 月 1 日

印刷問題:2017 年 9 月

エンタープライズ セキュリティ リスク管理 (ESRM) の性質に関する指針を提供する 5 つの全体的な概念があります。これらの概念では、ESRM とは何か、セキュリティ管理者にとって ESRM ができること、セキュリティが経営幹部の承認を得る方法、および企業向けに強力な ESRM プログラムを実装する方法について説明します。 

ESRM は哲学です

ESRM は標準ではなく、従うべき厳格なルールでもありません。 ESRM はセキュリティ管理の哲学です。これは標準的なリスク管理慣行に基づいており、企業が行う他のビジネス上の意思決定の指針となるものと同じです。それには、組織内のビジネス リーダーとのパートナーシップが必要です。

この哲学により、セキュリティ リーダーはセキュリティ リスクを管理できるようになります。この能力は、最新の事件やニュースの恐怖に基づくものでも、守るべき最も重要なものについての単に管理者自身の考えに基づくものでもありません。代わりに、企業がリスク軽減のために何が重要であると考えているか、また企業がさまざまな分野でどのレベルのリスクを受け入れるかについての共通の理解に基づいています。この機能を利用するには、企業がセキュリティ リスク軽減策が導入されている理由と、それらの軽減策を講じない場合にどのような影響があるかを十分に理解していることも必要です。 

ここではビジネスに重点を置いています。 ESRM の哲学では、セキュリティ リスクはセキュリティに属さないと認識しています。これは、他の財務、運営、または規制上のリスクと同様にビジネス リスクであり、そのリスクの管理に関する最終的な決定はビジネス リーダーに属する必要があります。この理解の変化により、セキュリティ プログラムはより高いレベルの成功に向けて設定されます。セキュリティ リーダーはビジネスに必要なものだけを提供し、さらに重要なことに、経営幹部が必要と理解しているものだけを提供するからです。

ESRM はプロセスです

ESRM は単なる学術哲学ではありません。セキュリティ プログラムをセットアップして実行するための一般的なアプローチは、そこから導き出すことができます。このアプローチの下では、実際の ESRM は循環的なプログラムであり、リスク管理のサイクルは進行中です。

1.保護する必要がある組織の資産を特定し、優先順位を付けます。

2.企業とその資産が直面する既存および新たなセキュリティ脅威と、それらの脅威に関連するリスクを特定し、優先順位を付けます。

3.最も深刻なセキュリティ上の脅威とリスクを保護し軽減するために、必要かつ適切かつ現実的な措置を講じてください。

4.インシデントの監視、インシデント対応、インシデント後のレビューを実施し、学んだ教訓を活用してプログラムを推進します。 

ESRM はビジネスと連携します

セキュリティ プログラムをビジネス要件に合わせることが、ESRM 哲学の最も重要な要素です。これは、セキュリティ プログラムが企業からガバナンスと指導を受ける必要があることを意味します。私たちは、この連携を確保するために安全保障理事会の設立を推奨します。 

評議会を実施するにはいくつかの方法があります。これは、必要に応じて意見を提供する緩い非公式のグループである場合もあれば、セキュリティ コンプライアンスを確保するための正式な役割、会議、憲章、および文書化された責任を持つ取締役会レベルの取り組みである場合もあります。この評議会は、セキュリティに関するトピックやリスク管理戦略について話し合う場となり、その過程での紛争の解決の試みを主催することもできます。 

ESRM がすべてのセキュリティをカバーします

ESRM の理念に沿って管理できないセキュリティの側面はありません。  多くのセキュリティ専門家は、すでに ESRM 哲学の多くをそのように考えることなく実践しています。たとえば、施設の物理セキュリティ リスク評価を実行することは、資産とリスクを特定して優先順位を付ける ESRM の手順に相当します。また、危機管理計画の策定は、インシデント対応だけでなく、ESRM リスク軽減の一側面とみなすこともできます。

従来のセキュリティ プログラムの一部としてこれらのアクティビティを実行するプログラムと ESRM プログラムの決定的な違いは、ESRM におけるアプローチの一貫性です。 ESRM では、これらのアクティビティはその場限りで実行されるのではなく、セキュリティ リスクのすべての領域にわたって一貫して実行されます。これらは、組織のある領域に適用され、別の領域には適用されません。そして重要なことに、それらはセキュリティによって、またセキュリティのために単独で実行されるのではなく、すべてのリスク軽減のための意思決定プロセスを推進するビジネス リーダーとの完全なパートナーシップによって実行されます。

ESRM は可能です

ESRM の実装は一夜にして完了できるものではありません。  これは反復的なプロセスであり、セキュリティ プログラムを時間の経過とともに純粋なリスク管理アプローチに進化させることができます。セキュリティ管理者にとって、ESRM の哲学を完全に理解するための最初のステップは、それを企業の経営陣やビジネス リーダーに伝えることです。  

ESRM は、慎重に実装され、一貫して実践されると、あらゆる組織のセキュリティ機能に対する見方を完全に変えることができます。ビジネスリーダーが、ビジネスにとって最も重要な企業の資産と機能が、企業が許容するリスクの正確さに応じて保護されることを保証するパートナーであることをビジネスリーダーが理解するとき、セキュリティに対する「いいえの部門」という古い見方は変わります。  

レイチェル・ロイヤー is G4S の ESRM プログラム マネージャーであり、カジノサイト 犯罪管理および事業継続評議会の議長。 CPP、ブライアン J. アレン氏、 カジノサイト ESRM委員会のメンバーです。 Allen と Loyear は次の共著者です。エンタープライズ セキュリティ リスク管理に関するマネージャー向けガイドそして今後出版される本エンタープライズ セキュリティ リスク管理: 概念と応用。

arrow_upward