カジノサイト
セキュリティ管理における強力なガバナンスの基準を設定
今日の企業は、利益とマージンを最大化することをはるかに超えた責任を負っています。これは、2019 年 8 月 19 日、米国企業の CEO 181 名で構成されるビジネス ラウンドテーブル (BRT) が次のように成文化しました。顧客に価値を提供し、従業員に投資し、サプライヤーと公正かつ倫理的に取引し、地域社会をサポートし、株主に長期的な価値を生み出すこと。 BRTですその後、267 人の CEO の署名が含まれるように拡張されました。私の組織の CEO が最初の署名者でした。
不適切な統治に対する罰則はかつてないほど大きいため、良いタイミングです。次の 3 つのケースは、最近の注目を集めた例の 1 つです:
- 2019 年 12 月 17 日、カリフォルニア公共事業カリフォルニア北部のキャンプファイア山火事に関連した2つの和解案で245億ドルの支払いを命じられた。
- 2022 年 11 月 18 日、バイオテクノロジー企業の創設者、エリザベス ホームズ技術が不正であることが明らかになり倒産した血液検査会社での役割を巡り、11年以上の懲役刑と50万ドルの支払いを命じられた。
- この記事の執筆時点では、連邦捜査官が暗号通貨交換を調査中詐欺疑惑については、21世紀初頭のエンロン事件やマドフ事件と規模が似ているのではないかと多くの人が考えている。
しかし、健全な企業統治は取締役会や上級幹部だけの責任ではありません。現在では、より広範なステークホルダーの関与として見なされており、組織のすべてのメンバーがこの責任を共有しており、従業員が現在最も重要な役割を果たしていると多くの人が信じています。機関投資家は分散投資が多いため、企業が倒産しても損失は最小限に抑えられます。一方、労働者は職を失い、場合によっては 401ks、IRA、その他の投資商品の形での投資を失う可能性があります。
では、今日の企業セキュリティ部門にとって健全なガバナンスとはどのようなものでしょうか?健全で賢明なリーダーシップを促進するために組織を導くために使用される基本的なセキュリティ ガバナンス製品は何ですか?何も存在しない場合、どこから始めればよいでしょうか?
企業のセキュリティ ガバナンス プログラムを構築および管理するための基礎的な要素を作成すると、多くの利点があります。高度に規制された産業、経済、国では、これは単なる規制要件である可能性があります。標準化は、より明確な将来のビジョンとそれに到達するための道筋を提供し、従業員の士気を高め、リソースを最大化し、曖昧さを制限し、競争上の優位性を生み出すことができます。また、規模の経済性の向上にもつながり、組織が製品やサービスの世界的な価格設定についてより適切に交渉できるようになり、ANSI、ISO、NIST、カジノサイト などの国際的に受け入れられた標準と連携することで、部門標準に信頼性がもたらされ、責任のリスクが軽減されます。
「標準はあらゆるセキュリティ プログラムの基礎の一部です」と、法律、規制、および契約上のコンプライアンス要件を持つクライアントをサポートする認定女性企業および女性所有中小企業コンサルタント会社である Radian Compliance のマネージング パートナー兼オーナーである Lisa DuBrock 氏は言います。 「企業がグローバル企業であろうと中小企業であろうと、標準はビジネスの規模や種類に偏らないように設計されています。標準を採用することで、あらゆる組織が堅牢なセキュリティ プログラムをサポートするために必要な制御とプロセスを設計できるようになります。」
ガバナンス製品を作成しない一般的な言い訳は、「現場は企業から仕事の進め方について聞きたがらない」または「当社は大きすぎる。これほど多くの企業(事業単位、国、施設など)に指針を与えるのは非現実的だ」といったものに似ています。協力的で実践的なアプローチを取ると、その逆が真実であることがわかりました。私たちのチームは正しいことをしたいと考えており、そのための私たちの指導に感謝しています。
グローバル ガバナンス プログラムの枠組みは重要ですが、この枠組み内の柔軟性は組織の規模と規模に見合ったものでなければなりません。たとえば、テロや犯罪が多い国での訪問者管理の規範的な手順が世界中に適用される可能性は低いです。
1 つのアプローチは、標準および/または手順の形でベースラインの企業レベルの期待を策定することです。大規模な多国籍企業の場合、企業レベルで適用できる十分な特異性が必要ですが、地域、地域、および/または事業単位の違いを許容できるほど広範である必要があります。これらの企業は、それぞれの規制、プロセス、文化、リスクに合わせて、より規範的なガバナンスを構築するよう奨励されるべきですが、企業センターから発行されたより寛大な措置を講じることを思いとどまるべきです。
「世界的な組織は、国際的に採用できる政策を開発するのに常に苦労しています」と DuBrock 氏は付け加えます。 「ポリシーは、その概念の性質上、通常、組織内の最も一般的な要素をサポートするために開発されます。これらのポリシーをローカルレベルで採用する鍵となるのは、リスク環境と文化を徹底的に理解することです。ローカルのプロセスとコントロールを実装して、「方法」をより適切に定義できるようになります。」
これは、健全な基本的なセキュリティ リスク管理ガバナンス プログラムの作成に関する複数部構成のシリーズの第 1 弾です。今後の記事では、企業のセキュリティ ガバナンス プログラムの実装と管理、およびクロール、ウォーク、ランの進化の連続体における成功を測定するプロセスに最も役立つと私が判断した、以下の 3 つの基本的な製品に焦点を当てます。
部門の基準
別名“why」ドキュメントであるこの戦略的製品は、「なぜ組織にセキュリティ プログラムが必要なのか?」という質問に答えることを目指しています。基本的なことのように聞こえますが、同僚や顧客からこの質問にわざわざ答えようとする人がほとんどいないことに驚きました。この文書は、私たちのプログラムと組織内でのその位置付けを成文化し、私たちの使命、構造、用語、責任、成功を測定する方法を定義します。
操作手順
これは「方法」文書です。セキュリティ組織が必要な理由がわかったので、次は「タスクをどのように実行すべきか?」という質問に答えていきます。当社の担当者に求められる最も一般的なタスクを特定した後、これらのタスクの実行方法に関する戦術レベルでの基本的なグローバル ガイダンスを提供します。この文書は、A-to-Z の形式で構成され、部門の標準に準拠しているため、他のどのガバナンス製品よりも参照される可能性が高く、部門内のすべての人にとって厳しいハウツー マニュアルとして機能します。
技術基準
「なぜ」と「どのように」を組み合わせた文書であるこの戦術的かつ運用的な製品は、「なぜ技術的なセキュリティ対策が必要なのか?」という質問に答えます。 「どうやって実装すればいいの?」部門の標準と運用手順に基づいて、ビデオ管理、アクセス制御、侵入検知などの非常に複雑なシステムだけでなく、ドア、ロック、キー、照明、窓ガラス、看板、門、ボラード、その他の一般的な制御などのそれほど複雑ではないシステムの選択と実装もカバーします。
セキュリティ ガバナンス プログラムの進化
基準や手順は素晴らしいものですが、それを施行する準備ができていなければ、単なる良いアイデアに過ぎません。ガバナンス プログラムの展開を成功させるには、事前の計画と現実的な期間が必要です。
私たちは、クロール-ウォーク-ランの進化的連続体モデルを借りて、ガバナンス製品を作成してソーシャル化するための合理的なタイムラインを提案し(クロール)、その後、内部および外部のリソースを活用してマルチレベルの監査プログラムを実装し(ウォーク)、コンプライアンスを確保します。監査中に収集したデータに基づいて、次のレベルである成熟度モデリング (実行) に移行して、成功を定義して実証し、資産の優先順位をより適切に設定し、適切に規制され慎重に管理されるセキュリティ部門を促進する追加のサポート製品を作成できます。
エリック・アントンズ (CPP、PSP) は、Whirlpool Corporation の最高セキュリティ責任者であり、170 か国に 77,000 人以上の従業員を擁する 223 億ドルの企業の物理的セキュリティ リスクおよび危機管理プログラムを指揮しています。以前は、Hyatt Hotels Corporation の副社長兼 CSO、Sempra Energy の国際セキュリティおよびエグゼクティブ サービスのマネージャーを務めていました。アントンズ氏は、米国国務省外交保安局の特別捜査官として安全管理のキャリアをスタートし、多くの場合重大な脅威にさらされる海外の米国人の人々、財産、情報を保護しました。
この記事で表明されているコメントと見解は著者単独のものであり、彼の雇用主の見解を反映していない可能性があります。
