カジノサイト
ESRM 実装の簡単なガイド
「私は懸念を表明しましたが、誰も耳を傾けませんでした。」「問題があることはわかっていましたが、誰に伝えればよいのかわかりませんでした。」「そのようなリスクは評価していません。」「私たちは事後対応モードでした。」「資産所有者に問い合わせる必要があります。」
これらの発言は、インシデント後にセキュリティ担当者が「何が問題だったのか?」と尋ねられたときにどのように答えるかを示す一般的な例です。
しかし、組織がエンタープライズ セキュリティ リスク管理 (ESRM) 戦略的アプローチを採用すると、インシデントが発生する前にこれらの声明の原因となる懸念に対処できるため、そもそもインシデントが発生する可能性が低くなります。
ESRM は、リスクベースの意思決定と資産所有者とのパートナーシップに焦点を当てたセキュリティ管理へのアプローチであり、全体的なセキュリティ リスクを総合的に把握する必要があります。 ESRM はますます人気が高まっていますが、業界での特定の役割によっては、まだ新しいものとして残っている人もいます。しかし、カジノサイト インターナショナルにとっては新しいことではありません。
2017 年に遡り、カジノサイト はメンバーの利益のために ESRM を正式化する第一歩として ESRM 委員会を設立しました。 2018 年と 2019 年に、協会は、ESRM ガイドラインそして成熟度モデル。 ESRM ガイドラインは、世界中の数十人の ESRM 専門家の協力の成果であり、この文書はすべての追加の ESRM コンテンツのフレームワークとなります。
スタッフとボランティアによる数か月にわたる熱心な作業の後、ESRM ガイドラインは9 月に完成し、成熟度モデルは カジノサイト Web サイトで入手できるようになりました。 GSX は豊富な ESRM プログラミングを特徴としており、1 週間を通して十数のセッションが行われました。
さらに、カジノサイト は、ユーザーが ESRM プログラムの成熟度を評価するのに役立つ調査を実施しました。完全な ESRM プログラムを持たないセキュリティ専門家でも、すでに導入されている可能性のある側面を特定できます。 カジノサイト は、この調査のデータを使用して必要な分野を特定し、ユーザーがプログラムの成熟度を高めるのに役立つ教材を作成します。
ESRM アプローチの詳細は何ですか?組織はどのようにして ESRM を実装できるのでしょうか?そうすることでどのようなメリットがあるのでしょうか?これらはすべてよくある質問であり、この記事ではこれに対処することを目的としています。
ESRM の仕組み
カジノサイト 国際 ESRM ガイドラインでは、ESRM を「世界的に確立され受け入れられているリスク管理原則を使用して、組織のセキュリティ実践を全体的な戦略に結び付けるセキュリティ管理への戦略的アプローチ」と定義しています。
ESRM は、資産所有者とともにセキュリティ リスク管理の意思決定を行う責任を負っています。言い換えれば、資産を所有する人がリスクを負うことになります。セキュリティ専門家 (ここでは、セキュリティ リスク管理プロセスにおけるセキュリティ担当者を表す一般的な称号) は、セキュリティ リスク管理の意思決定プロセスを通じて資産所有者をサポートし、指導します。 ESRM は、物理的、人的、サイバー、情報などのあらゆるセキュリティ リスクをシームレスな総合的な方法で考慮します。
ESRM の文脈では、セキュリティ専門家は執行者ではなくアドバイザーの役割を果たします。セキュリティ専門家はセキュリティ リスクの決定を組織全体の戦略に結び付けるため、これは戦略的な役割でもあります。したがって、セキュリティはビジネスの実現要因として、また組織の使命達成を支援するツールとして機能します。
補完的なアプローチ
ESRM はフレームワークや方法論ではなく、セキュリティ リスクを管理するためのアプローチであることを理解することが重要です。フレームワークとは異なり、ESRM は物事を行う方法を説明し、何を行うべきかの概要を示します。しかし、ESRM は、物事の実行方法を説明する際に、方法論のようにタスクを完了する方法についての規範的または厳密な詳細には踏み込みません。これらの違いを考慮すると、ESRM はフレームワークや方法論と併用することも、正式なフレームワークや方法論が導入されていない運用においても採用することができます。
たとえば、大手バイオテクノロジー企業のサイバーセキュリティ グループを考えてみましょう。このグループは以前、米国国立標準技術研究所 (NIST) のサイバーセキュリティ フレームワークを採用しており、セキュリティ管理に成熟した方法論も採用しています。このフレームワークと方法論に加えて、グループは ESRM を採用することを決定しました。
そうすることで、セキュリティ グループはその役割を再発明しました。これには、成熟した方法論と NIST フレームワークの使用を妨げることなく、セキュリティをミッションに結び付け、利害関係者と連携し、リスクを総合的に管理するという ESRM の概念が組み込まれています。
同様に、ESRM はエンタープライズ リスク管理 (ERM) と補完的に使用できます。 ERM は、あらゆるリスクのより広範なプールを考慮したリスク管理へのアプローチです。これにはセキュリティ リスクが含まれますが、戦略的リスク、テクノロジー リスク、信用リスク、市場リスク、その他あらゆる種類のリスクも含まれる場合があります。 ERM は一般的なビジネス機能です。たとえば、法人銀行には ERM 部門または機能があることがよくあります。
ESRM は対照的に、セキュリティ リスクとそのさまざまな領域 (物理的セキュリティ リスク、サイバーセキュリティ リスク、情報セキュリティ リスク、人員セキュリティ リスク、その他のセキュリティ リスク規律) に焦点を当てています。 ESRM は、ERM の導入の有無にかかわらず導入できます。ただし、組織内で成熟した効果的な ERM プログラムがあれば、その組織は ESRM を導入しやすくなります。 2 つのアプローチは、利害関係者のパートナーシップや総合的なリスク管理などの共通の概念を共有しているため、ERM を導入している組織は、ESRM を導入する潜在的な利点をすでに理解している可能性があります。
最後に、ESRM はセキュリティ コンバージェンスと併用することもできます。これには、セキュリティ規律 (サイバー セキュリティと物理セキュリティなど) を単一のセキュリティ機能に統合して、有効性を高め、コストを削減することが含まれます。コンバージェンスは主に、組織構造と、従業員がどのように共存し、相互作用し、運営すべきかに焦点を当てています。
実際、統合セキュリティ組織には、セキュリティ リスク管理アプローチとして ESRM を使用するさらに多くの理由があるかもしれません。これは、リスクの範囲がより大きく、サイロフリーのセキュリティ規律の概念がすでに導入されているためです。
採用の理由
ESRM の導入を検討している組織の場合、組織、関係者、セキュリティ専門家にとって、このアプローチには潜在的な利点がいくつかあります。
組織。ESRM は、特定されたセキュリティ リスクを経営トップに昇格させるメカニズムを提供します。これにより、組織のセキュリティ プログラムを改善できます。
さらに、組織の使命への影響に基づいて資産とリスクに優先順位を付けることで、セキュリティ リスクをより効果的かつ効率的に管理できる可能性があります。セキュリティ専門家と関係者間のコミュニケーションを増やすことも、リスクの優先順位を確認するのに役立ちます。また、組織のあらゆるレベルでセキュリティへの取り組みを強化することで、部門が組織の文化や組織にさらに統合されるようになります。
たとえば、最近中小企業を買収する前に ESRM の採用を決定した大企業を考えてみましょう。組織にとっての価値を最大化するために、この大企業のセキュリティ グループは買収した組織の利害関係者にインタビューし、ESRM アプローチを使用して自らを信頼できるアドバイザーおよび代弁者として位置づけ、彼らの優先事項、懸念事項、運用、戦略について学びました。この情報は最終的に、買収後の統合計画の成功に組み込まれました。
買収された組織が、「これが現状であり、これが私たちがあなたに求めていることです。」のような、より権威ある強制執行のメッセージをどのように受け取ったかを考えてみましょう。このようなアプローチは、最初からこれらの重要な関係を悪化させ、結果として新しい組織のセキュリティを著しく損なう可能性がありました。
関係者。ESRM はセキュリティ専門家との連携を強化し、関係者がセキュリティ機能の役割について一貫したより正確な理解を深められるようにします。
セキュリティ専門家とのコミュニケーションを増やすことで、関係者の優先事項がより効果的に伝えられ、理解されるようになります。セキュリティ専門家を権威主義的な執行者ではなく信頼できるアドバイザーとして位置づけることで、関係者は洞察や優先事項を共有する傾向が強まります。
これにより、多くの場合、セキュリティ リスク管理プロセスへの参加が増加し、利害関係者がセキュリティ プログラムに対する当事者意識と誇りを育むようになります。最終的に、これらの肯定的な結果により、セキュリティ プログラムの全体的な有効性が向上し、その結果、関係者の安全性が向上します。
セキュリティ管理者。最初に時間をかけて ESRM のコンテキストを理解することで、多くのセキュリティ専門家が組織とその全体的な戦略をより広く深く理解できるようになるでしょう。
また、セキュリティ専門家は、利害関係者との実質的な関係をより多く築くことで、利害関係者の意見の増加から恩恵を受けることができ、通常、セキュリティ リスクの範囲についてより広範囲かつより深い理解が得られます。
ESRM アプローチではセキュリティ専門家が信頼できるアドバイザーとして位置付けられるため、セキュリティ マネージャーは組織内でより高度な戦略的な役割に移る可能性があります。
ESRM の実装: コンポーネント
そのESRM のコンポーネントカジノサイト 国際 ESRM ガイドラインに記載されているように、セキュリティ リスク管理プロセスとして ESRM を採用し採用するためにどのような具体的な措置を講じるべきかを伝えるのに役立ちます。このガイドラインでは、ESRM のコンテキスト、ESRM サイクル、ESRM の基礎という構成要素について説明します。
コンテキスト。ESRM を採用する前に、セキュリティ専門家はセキュリティ プログラムのコンテキストを理解する必要があります。これは、ほとんどの場合、セキュリティが運用される組織およびより広範な環境を意味します。
何よりもまず、組織の使命とビジョンを理解してください。これには、組織の主な目的 (何をするために組織が存在するのか)、短期的な目標と目的、長期的な願望が含まれます。セキュリティの専門家は、組織がこれらの要件を満たすのにセキュリティがどのように役立つかを検討する必要があります。これにより、セキュリティが必要悪からビジネスを可能にするものに変わります。
核となる価値観も、文脈を理解する上で非常に重要です。セキュリティ専門家は、どのような文化的中心的価値観が組織に浸透しているのか (明示的に述べられているかどうかに関係なく) を学び、次のことを尋ねる必要があります。これらの価値観は ESRM の導入をどのようにサポートまたは妨げるのでしょうか?こうした価値観にどっぷり浸かっている利害関係者は、組織のセキュリティに対して当事者意識を持つ傾向があるのでしょうか?
動作環境は、コンテキストのもう 1 つの主要な構成要素です。セキュリティ専門家は、組織の内部および外部の運用環境の重要な側面と、それがセキュリティにどのような影響を与える可能性があるかを学ぶ必要があります。地理的位置、戦略計画、脅威インテリジェンス、デジタル フットプリントなどの物理的、非物理的、論理的要素を考慮します。
最後に、セキュリティ専門家は、主要な利害関係者が誰であり、彼らにとって何が重要であるかを学び、次に、利害関係者の関与を促進するために、利害関係者の優先順位をセキュリティ リスク管理にどのように組み込むことができるのかを尋ねる必要があります。セキュリティはどのようにして利害関係者に価値を提供できるのでしょうか?
これらの状況要因を説明するために、小規模な IT 新興企業と確立された世界的な製造会社という 2 つの企業の比較例を考えてみましょう。両社とも ESRM の実装に関心を持っています。
この新興企業のビジョンには、積極的な成長の達成、ブランドの確立、市場での地位の獲得に重点を置くことが含まれています。正式な、または明確に定義された核となる価値観はありません。その文化はもともとペースが速く、販売に重点が置かれており、文化を構築するための意図的な努力にはあまり重点が置かれていません。
この新興企業の経営環境は、(主にデフォルトで)売上と収益に重点が置かれています。しかし、荒れた海に浮かぶ小さな船のように、スタートアップ企業は外部環境の変化に対してより脆弱です。利害関係者は関与が少ないことを好みます。周囲のコミュニティは関与を解除されることに満足しています。
対照的に、この世界的企業の使命は、確立されたブランドと市場での存在感を維持し、市場シェアを獲得し、リスクを管理することに重点を置いています。重要な人事リソースを活用して、基本的な価値観が従業員マニュアルに明確に記載されており、人事と経営陣は前向きな職場文化を維持するために慎重な措置を講じています。
同様に、この世界的企業の内部運営環境は明確に理解されており、積極的に管理されています。このプロアクティブな管理により、外部動作環境の変化による影響を、内部環境が混乱する前に軽減できます。利害関係者は、大企業ほど大きなリスクを抱えていると認識する可能性があります。したがって、利害関係者の数と関与はより多くなる可能性があります。
サイクル。コンテキストと環境を理解したら、組織に対するセキュリティ リスクの管理を開始します。 ESRM は、セキュリティ リスクを管理するための 4 段階のプロセスを規定しています。
最初のステップは、資産を特定して優先順位を付けることです。 ESRM は、組織の資産 (資産が何であるか、どこにあるのか、なぜ組織にとって重要なのか) を理解することから始まります。資産の優先順位付けは、各資産が組織の使命を遂行する能力に与える影響に基づいています。このフェーズの結果、優先順位が付けられた資産のリストが作成されます。
第 2 ステップは、リスクを特定して優先順位を付けることです。資産を理解すると、セキュリティ専門家はリスク、つまり懸念される可能性のある領域は何か、それが組織の資産にどのような影響を与える可能性があるかに注目できるようになります。優先順位付けは、リスクが組織の使命遂行能力にどのような影響を与えるかに基づいて行われます。このフェーズの結果、優先順位を付けたリスクのリストが作成されます。
第 3 のステップは、これらの優先リスクを軽減することです。このフェーズでは、セキュリティの専門家が、優先順位の高い資産に影響を与える可能性がある、優先順位の高いリスクに対する軽減戦略を特定します。前のフェーズの資産とリスクのリストをマトリックスに結合すると、より明確になる可能性があります。
第 4 のステップは、継続的な改善です。 ESRM には、組織のセキュリティ プログラムを継続的に改善するためのメカニズムが組み込まれています。インシデント対応や調査などのさまざまな運用タスクは、セキュリティ プログラムの継続的な改善を促進するという付随的な利点を提供します。 ESRM は、セキュリティ専門家がこの利点を活用することを推奨しています。
財団。ESRM を利用する組織の場合、セキュリティ リスク管理運用の全範囲は、次の 4 つの柱を基盤とする必要があります。
1 つ目は総合的なリスク管理です。 ESRM はあらゆる種類のセキュリティ リスクを考慮する必要があります。
2 つ目は、利害関係者とのパートナーシップです。 ESRM は、セキュリティ専門家を、セキュリティ ポリシーを一方的に定義して強制する権威主義者ではなく、資産所有者にアドバイスする信頼できるパートナーとして位置づけています。これは多くの組織にとって文化的な変化であり、ESRM の導入と並行して起こる可能性があります。
3 番目の柱は透明性です。セキュリティ専門家は、特定されたリスクの性質と、それらを特定し、優先順位を付け、軽減するために使用される ESRM 規定のプロセスについて、関係者に対して透明性を持たなければなりません。
4番目はガバナンスです。組織は、リスク許容度の議論を主導し、トップレベルの決定を下すための統治機関または委員会を設立する必要があります。 ESRM ガバナンスは組織全体のガバナンスと一致する必要があります。
ESRM の基礎となる柱に関して、小規模な IT 新興企業と確立された世界的な製造会社の違いをもう一度考えてみましょう。
小規模な新興企業の典型的な速いペースは、全体的なリスク管理に課題を引き起こす可能性があり、運用変更によってさまざまなコンポーネントが稼働することが多いため、全体的または戦略的にリスクを管理する取り組みが損なわれる可能性があります。
スタートアップ企業の関係者の中には、忙しすぎたり、他のことに集中していてセキュリティに取り組む時間を割けないと考えている人もいるでしょう。 ESRM は、セキュリティ管理者の成功の秘訣は、ステークホルダーの優先事項を特定し、セキュリティ リスク管理がステークホルダーの目標達成にどのように役立つかを説明することであることを教えてくれます。これが、セキュリティ企業が関係者からの支持を得る方法です。
透明性は新興企業にとって特に重要です。透明性が欠如していると、リスク管理のプロセス全体が遅くなる可能性があります。これにより、リスク管理が業務のスピードに追いつけない場合、ペースの速い組織では完全に狂ってしまう可能性があります。また、ステークホルダーとのパートナーシップと同様、小規模企業ではセキュリティ プログラム ガバナンスへの参加を確立するのがより困難になる可能性があります。小規模企業の多くは売上と収益に重点を置いています。
対照的に、確立された世界的企業の典型的な意図的で遅い運営ペースは、全体的なリスク管理をより強力にサポートする、より良い環境を提供する可能性があります。大企業はより大きく、より多様なリスクを抱えていると認識されていることが多いため、ステークホルダーの関与は中小企業に比べて既に大きくなっていると考えられます。これらの取り組みは、セキュリティを含めるように拡張できます (まだセキュリティが含まれていない場合)。多くの場合、利害関係者は中小企業の利害関係者と比較して、より広範囲に焦点を当てることになります。
グローバル企業の利害関係者は、参加するあらゆるプロセスにおいて透明性を要求する可能性が高いため、セキュリティの透明性の基盤がすでに確立されている可能性があります。同様に、グローバル企業の利害関係者が広範な考慮事項を採用し、全体的な組織を重視する傾向も、セキュリティ ガバナンスに参加する動機となる可能性があります。
前進
ESRM があなたの組織に適していると思われる場合は、スムーズな導入プロセスの基礎を築くのに役立ついくつかの開始手順を以下に示します。
組織の全体的な戦略についての知識を深めます。これには、会社の使命とビジョン、核となる価値観、経営環境が含まれる場合があります。
組織のセキュリティへの取り組みにおける関係者を特定し、できるだけ多くの関係者とパートナーシップ指向の関係を構築または強化します。
最後に、組織内でのセキュリティの役割を最も効果的に定義する方法を検討してください。これは、資産所有者と経営陣の両方に対して、より戦略的な助言能力を組み込むことを意味するかもしれません。
最終的に、ESRM の実装が成功すれば、組織、関係者、セキュリティ専門家の両方に利益がもたらされる可能性があり、win-win-win のシナリオになります。
CPP の David R. Feeney は、Deloitte のサイバーおよび物理セキュリティ リスク サービスのアドバイザリー マネージャーです。彼は カジノサイト ESRM ガイドライン技術委員会の委員長を務めており、2018 年には物理セキュリティ評議会の議長を務めました。彼は カジノサイト IT セキュリティおよびセキュリティ サービス評議会のメンバーでもあります。
