カジノサイト 少ないほど豊か: ESRM への KISS アプローチ

エンタープライズ セキュリティ リスク管理 (ESRM) は、ここ数年セキュリティ管理者にとって関心が高まっているトピックであり、カジノサイト International はこれを戦略的焦点として特定しています。しかし、ESRM に関する 2010 年の CSO 円卓会議の文書から始まる文献のレビューでは、実装を困難にする可能性のある 2 つの問題が提起されています。

まず、ESRM に関する最初の論文は、財務リスクと市場リスクのみに重点を置くことが多かった従来のエンタープライズ リスク管理 (ERM) システムによって残されたギャップをセキュリティで埋めることを奨励しているように見えました。効果的な ERM システムにはすべてのリスクが組み込まれている必要がありますが、ESRM システムを介してセキュリティでこれらのギャップを埋めると、すぐに最高セキュリティ責任者 (CSO) が圧倒されてしまいます。

役職名に「リスク管理責任者」を付けることは魅力的かもしれませんが、「忙しくありません」という言葉は、セキュリティ管理者の間ではよく使われる言葉ではありません。多くの組織では、すべてのセキュリティ機能 (物理、サイバー、情報) にわたるリスクを管理することはすでに膨大な作業となっているため、運用リスクと風評リスクは別の場所に残るはずです。
リスクに対するすべての責任はセキュリティにあるべきだという考えは、ESRM に関する最初の数本の論文以来、いくぶん先細りしているようですが、ESRM がタイトルの「S」であるセキュリティに焦点を当てていることを保証すれば、セキュリティ管理者は依然としてより良いサービスを受けることができます。

第二に、ESRM システムでは、単純さがより適切な場合に、複雑さと粒度が高まる傾向があります。リスク管理は、すぐに詳細に行き詰まってしまいがちな分野であり、より多くの、より優れたデータを求める傾向がプロセスを妨げる可能性があります。 ISO のリスク定義を「目標に対する不確実性の影響」(ISO 73) と考えると、ますます具体的になろうとすることは、組み込まれた不確実性の性質を見落とすことになります。

さらに、セキュリティ問題でよくあることですが、質の高いデータが利用できない場合、より詳細なレベルでリスクを分析しようとすると、評価の精度が低くなる可能性があります。ビッグ データ システムでは細分性と大量の情報を使用できますが、ほとんどの組織はその種の分析に十分なセキュリティ固有のデータを生成していません。大量のデータがある場合でも、それでも問題が発生する可能性があります。一例として、2008 年に米国モーゲージ債市場のリスクを評価する際にミクロ レベルで調整を行ったところ、マクロ レベルではすべての危険信号が目に見えていた（しかしほとんど無視されていた）にもかかわらず、事態は大丈夫であるという印象を与えました。

KISS アプローチによる ESRM への移行

純粋にセキュリティ中心のアプローチよりも複雑ではありますが、リスク主導のアプローチはセキュリティにアプローチする効果的な方法です。これにより、セキュリティ活動が組織全体の目的や目標に直接リンクされ、セキュリティ リスクが組織全体の ERM システムに統合されます。このアプローチは、緊急時対応計画、事業継続管理、危機管理とのギャップを埋めるのにも役立ち、対応と事後回復が大幅に向上します。さらに、ESRM は、セキュリティ機能内の要素をより効果的に調整するのに役立ちます。

最後に、堅牢で効果的なリスク管理システムにより、計画と意思決定から主観性が大幅に排除され、組織の効率が向上します。さまざまな意味で、リスクはビジネスの共通言語であり、全員がその言語を共有するのが早ければ早いほど、より効果的になります。 ESRM システムに時間と労力を投資し、リスク主導のアプローチに移行することは、長期的には有益です。

ESRM システムの導入には実際のメリットがありますが、これら 2 つの問題、つまりセキュリティがより広範なリスク管理の役割を担うようになることと、複雑化する傾向があるため、実装は不可能な作業であるかのように思われ、多くの CSO が困難に感じ、このコースを受講することを思いとどまる可能性があります。ただし、ESRM システムは過度に複雑である必要はなく、日常業務に支障をきたすようなものである必要もありません。実際、ほとんどのセキュリティ管理者にとって、KISS アプローチ (セキュリティ担当者よ、シンプルにしてください) が ESRM に取り組む最良の方法です。これは、ESRM システムの実装に問題がないこと、または追加の作業や変更が必要ないことを示唆するものではありません。しかし、KISS アプローチは実装を容易にし、ESRM システムをより効果的にします。

しかし、物事をシンプルに保つにはどうすればよいでしょうか?

シンプルで効果的な ESRM プログラムの導入には 4 つの基本原則が役立ちます。標準的なアプローチを使用する、リスクを冒して話し始める、目標主導になる、不確実性を受け入れるというものです。

リスク管理には、セキュリティ固有のアプローチではなく、標準的なアプローチを使用します。

各ビジネスや部門は、そのニーズに合わせたソリューションを必要としますが、これは部門を超えた環境で作業する場合に非効率を引き起こします。すべての部門が独自の会計プロセスを使用した場合に何が起こるかを少し想像してください。大混乱が発生し、おそらく訴訟が発生するでしょう。この問題は、サイバーセキュリティがリスク管理に対して 1 つのアプローチを使用しようとし、資産保護が別のアプローチを使用しようとした場合、セキュリティ機能自体の内部でも発生する可能性があります。

堅牢で包括的なリスク管理システムにより、組織全体で使用できる標準的なアプローチを適用しながら、機能レベルでの調整の余地が可能になります。したがって、セキュリティ固有のリスクの定義や部門に合わせたプロセスを見つけるのではなく、リスク管理の基本的なアプローチから始めてください。理想的には、これは、セキュリティ チームのニーズに合わせて適応できる組織の既存のシステムとプロセスを採用することを意味します。場合によっては、最初から始める必要があるかもしれません。その場合は、将来の ERM システムと統合するためにスケールアップできる、基本的な最初の原則に戻ることをお勧めします。

リスクについて話すことを学びましょう。

リスクは、部門や機能を超えて適用できる共通の言語と考え方を組織に提供し、議論や意思決定を支援します。セキュリティ機能自体の中でも、サイバー、情報、物理的なセキュリティ チームが共通の言語を使用することで、CSO の作業が容易になります。 「リスクを話す」ということは、用語がさまざまに適用される可能性があり、リスクの認識方法に影響を与えるいくつかの複雑な影響があるため、一見したよりも複雑になる可能性があります。まず、正しい使用法が一般的になるまで、用語がどのように使用されているかを定期的に明確にする必要があります。既存の資料を新しい用語集に合わせて調整するのにも時間がかかりますが、ERM システムは重要な用語と概念を定義する必要があり、これらは ESRM プロセスのできるだけ早い段階で採用される必要があります。

資産を重視するのではなく、目標を重視するようにしましょう。

リスクに関する語彙を使用することは、議論に役立つだけでなく、考え方や視点を変えることにも役立ちます。 ISO の定義に似たもの (そのリスクは「目標に対する不確実性の影響」) が使用される場合、目標に焦点を当てることが自然になるはずであり、これには複数の利点があります。これにより、個人とチームが米軍の言うところの規律ある自発性を実践できるようになります。あらゆるレベルのリーダーが指揮官 (この場合は組織) の全体的な意図を理解し、段階的な指示なしでそれを支援するために自分たちの活動を形作ることができます。

目標主導型になることで、事後的な考え方から積極的な考え方に移行します。組織は、「x が発生したので、y を行う必要がある」と考えるのではなく、「x が目標にどのような影響を与える可能性があるか?」を検討できます。そしてそれに応じて行動してください。

組織の最上位目標を念頭に置いて緩和策と緊急時対応計画を策定すると、セキュリティは組織をより適切にサポートできます。このことは、リスクの高い国の安全について話し合った際に大使館の地域警備担当官が言った言葉に最もよく要約されている。「ここにいる全員の安全を守る最善の方法は、彼らを（大使館の）中に閉じ込めることだ。しかし、それは私の仕事ではない。私の仕事は、彼らが外に出てできる限り安全に仕事ができるよう手助けすることだ。」

目標主導型になることは、日常の「平時」にのみ適用できるわけではありません。これは、イベントへの対応において非常に重要であり、積極的で目標主導の姿勢が組織の生存の可能性を大幅に向上させることになります。

不確実性を受け入れ、過剰な仕様を避けてください。

私たちは、大量のデータ、電子メール警告、警告で溢れかえっている。それはすぐに分析麻痺につながる可能性があります。ある状況に対して考えられるすべての順列、可能性、結果が提示された場合、次に何をすべきかを効果的に決定するにはどうすればよいでしょうか? ESRM の観点から見ると、この麻痺を回避するには 2 つのことが必要です。

まず、システムは不確実性を受け入れ、具体的になりすぎないようにする必要があります。結局のところ、リスク管理はリスクを比較順序に並べるのに役立つ意思決定ツールですが、リスクそのものを測定するものではありません。小数点以下 1 桁または 2 桁までリスクを測定しようとすることは、十分に文書化され、非常に規則的な技術システムを除いて、非常に困難です。考えてみれば、1 ドル単位で損失を与える資産評価は、小銭を考慮に入れるべきです。しかし、日常のセキュリティ管理にはそのような安定性もデータもなく、そのような精度を実現するには変数が多すぎます。 ESRM システムは、CSO が最初に慣れているよりも広範囲に機能する必要がありますが、これにより不確実性の一部が取り除かれ、評価と報告のプロセスが簡素化され、同時に使用可能な結果が得られます。

第二に、情報過多は私たちが経験できるものであるだけでなく、私たちが貢献できるものでもあります。したがって、セキュリティでは、ERM システム全体が多すぎるデータで埋もれるのを避ける必要があります。各部門からの情報が多すぎると、ERM システムが圧倒され、組織レベルでの麻痺が引き起こされます。リスク管理システムは、部門のリスクが組織のリスクになるほど深刻で、レベルを上げる必要がある場所を指定する必要があり、これを ESRM システムに反映する必要があります。繰り返しますが、大まかな表現を使用すると、考えられるあらゆるセキュリティ上の懸念事項で上級幹部を圧倒することなく、どのリスクが優先事項であるかについて要点を理解するのに役立ちます。

どちらの場合も、テクノロジーによって作業は効率化できますが、技術的なソリューションを設計するときに注意を怠ると、リスク管理システムの管理自体が大きなタスクになる可能性があります。前述したように、セキュリティ管理者は自分の時間を埋めるためにこれ以上の仕事を求めているわけではないため、使用するシステムはいずれも堅牢で、シンプルで、効果的である必要があります。 IT化が進んでも、KISSは依然として重要です。

概要

ESRM は、セキュリティ管理をより徹底的に組織に組み込み、意思決定に待望の客観性を加え、回復力を向上させる歓迎すべき取り組みです。ただし、ESRM を専門化しすぎたり、CSO にリスク活動全体を主導させすぎたりする傾向は、逆効果になる可能性があります。ただし、KISS アプローチを採用すると、これらの落とし穴を回避しながら、より広範な ERM フレームワークにセキュリティを統合するという全体的な目標を達成するのに役立ちます。セキュリティ機能自体の中でも、リスク主導のアプローチは、CSO とそのチームに共通言語を与えるため、セキュリティ機能間で切望されている調整を提供します。非常に複雑で粒度の細かいシステムは魅力的に見えるかもしれませんが、CSO とそのチームがすでに能力に近いレベルで作業している場合には、KISS アプローチを採用する方がより簡単に実装できるでしょう。基本的な ESRM システムが整ったら、調整を開始できます。

具体的なアプローチがどのようなものであっても、上で概説した 4 つの原則 (標準的なアプローチを使用する、リスクについて話し始める、目標主導になる、不確実性を受け入れる) を順守することは、組織がセキュリティ リスクをより深く理解し、リスクをより広範な ERM プログラムに統合し、セキュリティ チームが確実にリスク主導のアプローチを取れるようにする ESRM システムの実装に役立ちます。

アンドリュー・シーブスは、数年間軍に勤務した後、15年以上、リスク、危機、安全保障のコンサルタントを務めています。どちらのキャリアも、彼に KISS アプローチのほうが通常は優れているという難しい方法を知る機会を与えてくれました。彼はリスク コンサルティング会社 Tarjuman LLC を経営し、オンライン トレーニング スクール Riskademy を運営しています。このスクールには、上で概説した概念やアイデアの多くに関する追加情報が含まれており、リスク管理に関する無料の入門コースが提供されています。彼はカジノサイトのメンバーです。