Aのテクノロジーは 20 世紀に進歩し、進化し、成長分野は日常生活に組み込まれました。テレビが家庭に入り、CCTV が企業の標準となり、デジタル通信が商習慣の変化を促しました。この緩やかな変化は、新世紀に入って最初の大規模かつ影響力のあるサイバーセキュリティイベントによって中断され、「2000 年」または「Y2K」問題に対する不安を引き起こしたことで悪名高い。

問題は、2000 年から始まる新しい千年紀を指すカレンダー情報や日付の書式設定に関連するコンピューターのバグのグループでした。いくつかのコンピューター プログラムは、下 2 桁までの年を識別していました。したがって、ソフトウェアは 1900 年と 2000 年を区別できません。コンピューターが 2000 年を 1900 年と間違えると、正しい暦日の登録または表示に根本的なエラーが発生するのではないかと多くの人が心配していました。

これらの予想されるエラーによる影響の懸念は、金融市場の大規模な混乱から、機内ナビゲーション システムや操縦士の制御装置が機能しなくなったことによる航空機の空からの急落にまで及びました。公益事業業界内では、2000年問題が最終的に重要なインフラの故障につながるのではないかという懸念もあった。サイバーセキュリティ時代の到来を告げる「新千年紀」コンピューター システムの購入と設置を通じて、2000 年への準備に数百万ドルが費やされました。

Y2K パニックを通じて、公益事業のセキュリティ専門家は、「世界がどうなるか」についてあまり心配する必要がなく、セキュリティ チームが機敏で知識が豊富で、世界的な傾向の変化に対応できるほど適応力があるかどうかにもっと注意を払う必要があることを学びました。将来の傾向とセキュリティ管理者に課せられる要求を考慮すると、何らかの重大な変化を達成したい場合、公益事業セキュリティ業界にとって優先すべき重点分野が 4 つあります。

優先順位を付けて集中する

組織構造はすべてのセクターにわたるセキュリティ サービスの提供に影響を与えるため、リストの一番上にあるのは組織内での公益事業の構造です。サイバーセキュリティはすべての公益事業にとって最重要事項の 1 つとなっていますが、セキュリティ計画の優先順位付けと適用方法は環境によって異なります。

石油および天然ガス業界のセキュリティ管理に関するカナダ規格協会のガイドによると、セキュリティ管理プログラムでは、効果的なガバナンス、リスク管理、サイバーセキュリティ管理 (情報技術および運用技術 - IT および OT)、物理的セキュリティ プログラム、情報セキュリティ プログラム、人的セキュリティ プログラム、セキュリティ インシデント管理、適切なプログラム管理コントロールなど、セキュリティを実現するための主要な領域を特定する必要があります。これらは、あらゆる組織のセキュリティ管理に関する標準です。しかし、不確実な将来を考慮すると、プログラムの健全性、活力、集中力を維持するために、プログラムの一部にはより重点を置き、注意を払う必要があるかもしれません。

たとえば、通信会社には物理的および人的セキュリティの適用を必要とする施設がありますが、組織の最優先事項はおそらくサイバーセキュリティと、最適な稼働時間を維持して利益を生み出すためのテクノロジーインフラストラクチャの保護です。同様に、発電所のような電力会社は、発電施設資産、送電線、その他のインフラストラクチャに数十億ドルを投資しているため、物理的なセキュリティと人の管理に対する高い要件があります。しかし、サイバーセキュリティもセキュリティ計画の主要な部分となっており、その重要性は高まり続けています。セキュリティ プログラムを開発するための万能の方法はありません。代わりに、最終的にはコンテキストによってセキュリティ プランの適用が決まります。

プログラムとその必須要件を特定の企業の状況に合わせて調整することで、セキュリティ管理の関連性を維持し、リーダーが変化する傾向を特定して対処するのに役立ちます。同様に重要なことは、電力会社が市場動向、新しいテクノロジー、社会的圧力に適応する際に、有能なセキュリティ チームが機敏で組織と歩調を合わせ、チームが予算の枠を超えていることを証明できることです。代わりに、組織的で効率的なセキュリティ チームが変更管理とリスク管理の主要な役割を果たします。

教育して磨く

過去 40 ～ 50 年にわたり、専門セキュリティ業界の発展と差別化により、専門的な専門資格の検討がますます求められてきました。職業としてではなく職業としてのセキュリティを実現するには、教育、認定、資格の開発が必要です。

将来の成功するセキュリティ管理者は、単なるセキュリティの専門家以上のものになるでしょう。経営幹部または経営幹部レベルでリスクについて効果的に議論し議論するには、セキュリティ マネージャーは物理的セキュリティ、サイバーセキュリティ、ビジネス管理に加えて、企業の組織構造とビジネス推進力についての知識を持っている必要があります。

特にサイバーセキュリティと物理的セキュリティの継続的な進化に伴い、高度で専門的な教育の必要性が明らかになってきています。相互に依存しながらも別々の 2 つのセクター間のこの関係は、磨かれた特定の専門スキルの必要性を促進しているだけでなく、将来のセキュリティ リーダーに対する中核的な教育要件を形成しています。

セキュリティのリーダーは、外部の脅威に適応するために自らを教育し続けると同時に、ユーティリティに対するセキュリティの貢献について他の人を教育する必要があります。セキュリティ管理者は、ビジネス管理者としても十分に関与する必要があります。関連する市場の動向を常に把握して、ビジネス上の意思決定に影響を与える要因と、望ましい結果を達成するためにセキュリティ慣行をどのように適応させるかを理解する必要があります。ビジネスの考え方を持ってエンタープライズ セキュリティ リスク管理 (ESRM) に焦点を当てることは、セキュリティ グループと組織の他の部分との間の同等性を維持するために不可欠です。同様に重要なのは、セキュリティの優先事項がビジネスの推進力としてどのように機能するかを効果的に伝達し、適切なコンテキストと優先順位で描写し、その ROI を経営層および取締役会レベルで理解することです。

セキュリティ チームの運営方法を伝えることは、組織が市場や社会の変化にどのように適応するかを検討する際に影響を与える可能性があります。セキュリティ部門は、どの公益事業内でも独立した業務ではありません。組織内のビジネス グループとして機能するセキュリティ チームは、計画的かつ継続的に上級管理者および従業員と健全な双方向の対話を行います。この対話は、セキュリティ管理者がチーム、マネージャー、および組織の幹部層と行う通常の日常的な対話に加えて、リスク報告の形式や、より緊急の情報共有の形式を取ることができます。

セキュリティ管理者は、ビジネスを理解し、ビジネスがセキュリティ オプションにどのような影響を与えるかを理解し、これが財務要件、リスクの優先順位付け、緊急時対応計画としてどのような影響を与えるかを理解する必要があります。これは重要な継続的な責任であり、機能するためにはコラボレーションとユーティリティに関する有用な知識が必要です。

脅威の発生源や範囲に関係なく、セキュリティ グループは目の前の優先事項に集中するよう求められます。効果的なチームは、適切なスキルセットを適切なタイミングで適用し、社内外の対象分野の専門家の強力なネットワークを持ち、機知に富むことでこれを実現します。これらすべてにより、流動的な状況にうまく適応できます。

結束して協力する

セキュリティ専門家は、ビジネスの拡大とセキュリティに関する洞察力への投資により、完全に統合されたセキュリティ リスク管理モデルを推進することがよくあります。これはテクノロジーと規制が進化するにつれてより基本的なものとなり、電力会社の上級管理者の考え方が変化し、企業全体で費用対効果の高いアプローチを求めるようになるでしょう。

リスク管理を完全かつ包括的に統合するESRM今ではモデルが最重要です。統合された物理セキュリティ モデルとサイバーセキュリティ モデルの下で運用されているセキュリティ チームは、個々の対象分野の専門家が日々のセキュリティの提供において調整および協力しており、傾向に気づき、それを意思決定者に効果的に伝達すると同時に、優先順位の高いソリューション セットを提供する可能性が高くなります。電力会社がテクノロジーの利用を拡大するにつれて、サイバーセキュリティ チームと物理セキュリティ チームがそれぞれの得意分野に集中することが必要になります。それぞれの側面が複雑すぎて、1 人の専門家がすべてを管理するには無理があります。

たとえば、過去数十年間で、ユーティリティ機能は自動化に向けてますます移行してきました。しかし、運用テクノロジーの使用により、電力会社にとって重大なサイバーセキュリティ問題が生じています。残念ながら、産業用制御システムなどの運用テクノロジーを主流の情報テクノロジー ネットワークに持ち込むことは、問題を悪化させるだけでした。

専門化が不可欠である一方、サイバーセキュリティ部門と物理セキュリティ部門は互いのビジネス、ストレス、運用上の価値を理解できないことがよくあります。これによってこの取り組みが無効になるわけではありませんが、改善することは可能です。

ビデオ監視、アクセス制御、無人航空機 (ドローン)、検出システム、ロボット工学、分析、ビッグデータ、統合プラットフォーム、生体認証など、さまざまなセキュリティ技術の進歩もあり、サイバー機能と絡み合った物理的セキュリティ ツールのリストは増え続けるばかりです。これらのツールはもはや単なる物理的なものではありません。テクノロジーとツールの進化により、セキュリティに特化した統合型モデルの必要性が強調されています。さらに、そのようなモデルはすべての物理セキュリティの専門分野やすべてのサイバーセキュリティの専門分野を否定するものではないことを認識することが重要です。むしろ、サイバーと物理の専門家が協力してサポートし、両方の世界で同時に活動できるセキュリティ部門が必要です。

適応と革新

セキュリティ管理者は、きっかけが何であれ変化が健全である文化を育み、よりスリムで機敏なチームを作る必要があります。公益事業のセキュリティリーダーが考慮すべき 4 番目の重点領域は、適応性です。

世界の変化に合わせてビジネスの健全性と関連性を維持するための全体的な組織戦略を設定するのは最終的には上級リーダーの責任ですが、セキュリティ管理者は組織に影響を与える可能性のある外部の変化を常に認識しておく必要があります。何よりもまず、特定の状況が発生する可能性を予測できれば、計画と変更管理を通じて、変更や脅威が組織に影響を与える前に対応する必要があります。

たとえば、電力使用量に関する情報を電子的に送信し、変動を検出するスマートメーターとスマートグリッドが登場する前は、電力会社のセキュリティは、植物の保護、金属の盗難、人に関連するセキュリティ上の懸念などの物理的な課題に焦点を当てていました。スマート グリッドは公益事業にとって新たな焦点の先駆けとなり、サイバーセキュリティ リスクに大きな注目を集めるようになりました。すでに事業運営のためのテクノロジー プラットフォームを開発しており、スマート グリッド テクノロジー プラットフォームに適応するための知識とリソース ベースを開発していた電力会社は、変化をはるかに先取りしていました。対照的に、準備が整っていなかった電力会社は、学習と実装の急な曲線に直面し、現在もその曲線を登っています。

適応力の大部分は準備にあります。計画、先見の明、事実収集、想像力、認識、10 年後の見通し、その他の認知ツールを活用して、将来のことをより多く認識できればできるほど、脅威が出現したときの備えがより良くなります。より流動的な運用モデルを計画し、3 ～ 5 年を見据えた現実的な緊急事態モデルを構築することが、どのような運用環境においても適切なセキュリティ管理となります。

業界の専門家は、2000 年 1 月 1 日が到来するずっと前に、Y2K が来ると見ていました。すべての組織と同様に、電力会社は、予想される Y2K の日付よりかなり前に問題について学習し、問題に対処することで適応しました。ビジネスの現在および将来のニーズを理解することで、古いコンピューティング システムを最新のコンピューティング システムに置き換えるだけでなく、組織の将来の要件に合わせて新しいシステムを購入および設計することも可能になりました。

セキュリティリーダーは、必要なセキュリティ支出に対して強力なビジネス上の正当性を備えたソリューションを提示する必要があります。しかし、組織が他の企業のニーズに支出することを優先して、ある程度のセキュリティ リスクを受け入れることを選択した場合、セキュリティ チームは、提示された現実を踏まえて効果的に活動できる緊急時対応計画を準備しておく必要があります。変化に適応するということは、多くの場合私たちがコントロールできない状況を受け入れ、限られたリソースで可能な限り最高の結果を達成するために新鮮な考え方を適用することも意味します。

50 年間にわたる潜在的な混乱を予測するのは当てずっぽうの作業のように思えるかもしれませんが、セキュリティ リーダーはこの長期的な視点を机上演習として活用し、何が起こり得るか、そしてセキュリティ専門家がそれらの傾向に対処するためにどのように適応する必要があるかを判断できます。将来が暗い、または単に困難に見える場合は、すぐに教育、情報、ピア ネットワーク、セキュリティ プログラムの変更、および新しいテクノロジのニーズを検討し、プログラムの将来性を保証するためにそれらの変更の実装を開始してください。

セキュリティ リーダーは変更管理を推進する必要があります。セキュリティ管理における最大の変化がセキュリティ業界外の革新者によってもたらされる可能性は十分にありますが、今日のセキュリティ分野における革新的な考え方により、セキュリティ専門家自身が明日のソリューションを開発する可能性が高くなります。

21 世紀のセキュリティ管理は、変化に適応し、イノベーションを推進することです。近年、カジノサイト International やその他の同様の考えを持ったセキュリティ組織内で行われている専門的な議論の中に、明日のセキュリティ リーダーが直面する課題に対処できるようにする火花がすでに存在しています。

明日のエッジ

未来は時に暗く見え、テクノロジーは猛烈なペースで進化していますが、適応力のあるセキュリティ専門家はこれらの課題に前向きに取り組んでいます。情報に基づいた管理アプローチを活用し、専門家の活発なネットワークを維持し、ビジネスとその主な推進力を理解し、イノベーションを戦略的に適用することで、電力会社のセキュリティ リーダーは時代の先を行き、企業に先進的なソリューションを提供できます。

総合的なセキュリティ リスク管理モデルを採用することで、セキュリティ部門が組織の現在および将来のニーズに合わせて調整されていることを最も確実に保証できます。社会の変化、テクノロジーによる革新、変化する世界観への対応、あるいはそれらすべてを管理するための関連スキルセットの育成など、一方の目を現在に向け、もう一方の将来の要件に目を向けることは、最も想像力豊かな脅威に対しても先手を打つ確実な方法です。

Doug Powell、CPP、PSP は、カナダのブリティッシュ コロンビア州にある BC Hydro のセキュリティおよび緊急管理のセキュリティ プロジェクト マネージャーです。彼は公益事業セキュリティにおいて 35 年以上の経験があり、カジノサイト 国際公益事業セキュリティ評議会の副議長を務めています。