カジノサイト
効果的なガバナンスを実現するには、「理由」から始めましょう

エリック・アントンズ、CPP、PSP 著

2023 年 2 月 23 日

これは、セキュリティガバナンスに関する 4 部構成のシリーズの 2 番目です。最初の記事を読んでください。「セキュリティ管理における強力なガバナンスの基準を設定する」はこちら.

2009 年の画期的な TED トークで、作家でありインスピレーションを与える講演者であるサイモンシネックは世界に次のことを紹介しました、人々はあなたの行動を支持しないという前提。彼らはあなたがそれをする理由を買います。この記事の執筆時点では、これは TED トーク史上 3 番目に多く視聴されています。彼の同じタイトルで何百万部も売れています。

両方の文で、シネック氏は、地球上のすべての個人と組織が自分たちが何をしているのかを知っており、一部の人はどのようにそれを行うのかを知っていますが、なぜ自分たちがそのことをしているのかを知っている人はほとんどいないと述べています。「なぜ」という言葉で、彼はこう尋ねます。「あなたの目的は何ですか?」あなたの原因は何ですか？あなたの信念は何ですか？なぜ誰も気にする必要があるのでしょうか？あなたのチーム、グループ、組織はなぜ存在するのでしょうか?シネクは、人は最も明確な事柄 (何をするか) から最も曖昧な事柄 (なぜそれを行うのか) へと進むと主張します。対照的に、インスピレーションを受けたリーダーや組織は、その規模や業界に関係なく、すべて内側から外側まで考え、行動し、コミュニケーションします。

As physical security risk managers, we私たちが何をしているのかを非常に明確にする傾向があります私たちは毎日、人、財産、プロセス、情報を保護しています。私たちのほとんどは、私たちがどのようにそれを行っているかを知っています。私たちは、ニアミスや紛失の事態を軽減するために、実用的でリスク主導型の価値の高い管理を実装しています。でも、最後になぜそうするのか自問したのはいつですか?

単純な質問ですね。あまりに単純なので、時間をかけて質問したことがないかもしれません。あなたがこれに答えるのに苦労しているのなら、同僚や上級リーダーがあなた、あなたの部門、そしてあなたの組織内でのその部門の立場について同じ疑問を抱いているとしても不思議ではありません。

数年前、ある地域のビジネスリーダーと会っていたとき、「セキュリティ標準とガバナンスプログラムを開発したのに、なぜあなたやあなたの部門が必要なのですか？」と尋ねられたとき、私は疑問を感じました。私は唖然としたと同時に、少し屈辱を感じました。彼の目的が感情を刺激し、私の不快感を明らかにすることだったとしたら、彼はほぼ成功したと言えます。しかし、私は珍しく知恵と率直さを発揮して、「法務、人事、財務部門についても同じことを尋ねることができます。これらの責任をアウトソーシングする選択肢はたくさんあるのに、あなたはそうしません。なぜでしょうか？なぜなら、組織、戦略、製品、人材に投資し、理解している、ゲーム肌で信頼できる社内アドバイザーに勝るものはないからです。」彼はその答えに満足したようで、私はなんとか地雷原に足を踏み入れることを避けました。

これは彼が提起すべき問題ではなく、私が答えるのが難しい問題でもありませんでした。もし彼が純粋に好奇心を持っていたとしたら、そして私がタップダンスを踊る様子を見るのは単なる安っぽいスリルではなかったのですが、私には対処しなければならないギャップがありました。私たちの部門が存在する必要がある理由を十分に明確にする必要がありました。

「企業セキュリティの墓場には、役割が定義されておらず、用語も確立されておらず、成功を測定する方法も開示されておらず、失敗したセキュリティプログラムの死体が散乱しています」とカジノサイト International の元社長、CPP の Ray O'Hara 氏は言います。「これを早期に、明確に、そして頻繁に定義しないと、良くても誤解され、最悪の場合無視されてしまいます。成功には社内顧客との調整が不可欠です。」

すべての部門が最初に確立すべき最も基本的なガバナンス製品は、プログラム標準です。これが「なぜ」の文書です。大まかに言うと、信頼性と信頼を確立し、「組織内にセキュリティ部門が必要な理由」、「私たちの責任は何ですか」、「成功をどのように達成するつもりですか?」という質問に答えます。これは、あなたの管轄区域を確立し、組織があなたに期待できることを伝える影響力のある文書です。

部門の標準とはどのようなものでしょうか?これは決して包括的なリストではありませんが、その理由は次の要素内で体系化される可能性があります。

はじめに

セキュリティプログラムとセキュリティガバナンス製品の重要性を概説するハイレベルのリーダーシップステートメント。カジュアルな読者に、その部門が存在する理由と、組織があなたに何を期待できるかを説明します。
文書の申請。このドキュメントが組織のエコシステム内のどこに適用されるのか、適用されないのか、または他のガバナンス製品と競合する可能性があるのかを説明します。また、他のガイダンスが矛盾する場合に何をすべきかを決定するプロセスについても説明します。
部門内のメンバーの役職を定義する用語と、定期的に使用される業界用語。
部門のメンバーの役割、責任、メンバーは何ですか?
あなたの部門はどのように構成されていますか?
サイバーセキュリティ、安全性、リスク管理などの同様の機能を担当するのは誰ですか?それはあなたの部門ではない可能性があります。一般の読者にとっては最初の質問の 1 つである可能性があるため、早い段階で明確にしておいてください。

セキュリティ標準管理

基準と手順の作成と更新の責任者は誰ですか?
これらのガバナンス製品はどのくらいの頻度で更新されますか?
ガバナンス製品はいつ、どのように配布されますか?
貴社のガバナンス製品はグローバルを目的としていますか?もしそうなら、地域、エリア、サイトのチームは何を期待していますか?これらの製品にはどのような制限がありますか?
設計レビュー、トレーニング、幹部保護、調査、監査、技術的セキュリティ、危機管理、職場暴力、特別イベントなどの主要カテゴリに対する部門の責任は何ですか?
これらを裏付ける他の文書はありますか?もしそうなら、それらは何ですか?またどこで見つけることができますか?

リスクの分類

リスクはプログラミングを推進するので、サイトのリスクをどのように判断するかを聴衆に伝えてください。いろいろな情報源を組み合わせたものなのでしょうか？リスクレジストリはありますか?もしそうなら、それはどこで見つかりますか?どれくらいの頻度でレビューされますか?誰がやるの？
リスクは動的です。リスクが一時的に高まった場合、何が予想されるでしょうか?この決定はどのように行われるのでしょうか?通常の動作姿勢への復帰を決定するのは誰ですか?
最善の努力をしても、常にリスクが残ります。それは何でしょうか?

施設/エリア/地域のセキュリティ基準

地域、エリア、サイトのセキュリティチームの責任は何ですか?誰が責任を負い、どのような行為が期待されるのかを概説します。調査、特別なイベント、輸送、訓練、ドローン、医療上の緊急事態、法執行機関の要請、訪問者、要注意人物、貨物検査、移動違反、駐車、護送、遺失物、現金の取り扱い、鍵の管理、照明、窓ガラス、バリア、銃器と武器、身辺保護と裁判所命令、報道要請、強迫警報、職場での暴力、ビデオ管理とアクセス制御システム、警報監視
セキュリティインシデントの報告にはどのようなことが期待されますか?これはどのように行われるのでしょうか?誰がやるの？
記録はどのように維持され、個人情報はどのように保護されますか?

施設/エリア/地域安全部門の人員配置

それはどのように決定されますか?
チームメンバーおよび/またはリーダーの最低限の資格は何ですか?
身元調査はどのように行われますか?
訓練はどのように行われますか?誰がやるの？
パフォーマンスはどのように評価されますか?
チームメンバーの権限は何ですか?
チームメンバーに必要な装備と禁止されている装備は何ですか?誰が提供し、評価するのですか?

運用手順と技術基準

企業、地域、エリア、サイトレベルでの確立と維持の責任者は誰ですか?どのくらいの頻度でレビューされますか?
それらは何に基づいていますか?ベンチマークはどのように行われますか?
それらはどのように適用されますか?

監査

それらは何ですか?なぜ必要ですか?それらはどのように行われますか? 誰がそれらを実行する責任がありますか?
貴社の監査プログラムは、他の種類の監査 (内部監査、外部監査、規制監査、特別目的監査など) をどのように補完し、比較していますか?
何が失敗か成功を決めるのか、そしてそれぞれに何が期待できるのか?
監査結果はどのように検討され、報告されますか?

成熟度モデリング

成熟したプログラムとはどのようなものですか?最終状態は何ですか?
あなたの進化の連続体のカテゴリーは何ですか?リスクにさらされている、基盤がある、パフォーマンスが高い、優れているとはどういう意味ですか?

プログラム標準を作成する際には、協力的なアプローチをとることが重要です。そのため、法務、人事、サイバーセキュリティ、リスク管理、安全などの部門の同僚のサポートを得ることで、賛同と対立解消に役立ちます。また、同様のスタイル、用語、プロセスを借用することもできるかもしれません。結局のところ、私たちの標準、手順、ガバナンス製品が真に独自のものであると主張できる人はほとんどいません。これらは通常、業界、組織、場所、文化に最適な、さまざまな組織の他の製品をブレンドしたものです。 ISO、ANSI、NIST、カジノサイトなどの組織の成文化された標準を参照してください。同業組織とのドラフトのベンチマーク。

さらに、さまざまな部門とリスクを共有することになるため、既存の管轄区域を理解することが重要です。最後に、この文書が何らかのステータスを得るには、上級幹部によってレビューされ、承認される必要があります。あなたの権威に対する挑戦が起こるだろうし、これを防ぐためには支援が必要になるだろう。

これは検討すべきことがたくさんあるように思えますが、これは規範的な「ハウツー」マニュアルではないことを覚えておいてください。これらはセキュリティ手順であり、別個のガバナンス製品です。これは、組織の目的、つまりその理由を世界に伝えることを目的とした、ある種の高レベルのマニフェストであり、セキュリティ以外の同僚や組織内の最も一般的な要素が理解できるように書かれている必要があります。部門の基準は 100 ページ以内で適切に伝えることができることがわかりました。

組織内にセキュリティ部門が必要な理由を確立したら、次の論理的な質問は、「従業員はその責任をどのように果たすべきか?」ということになります。この戦術的および運用上の製品は、おそらく貴社の兵器庫内で最も参照されるガバナンス文書となるでしょう。その確立と内容については、このシリーズの次の記事の主題となります。

しかしまず、その理由から始めましょう。

エリック・アントンズ (CPP、PSP) は、Whirlpool Corporation の最高セキュリティ責任者であり、170 か国に 77,000 人以上の従業員を擁する 223 億ドルの企業の物理的セキュリティリスクおよび危機管理プログラムを指揮しています。以前は、Hyatt Hotels Corporation の副社長兼 CSO、Sempra Energy の国際セキュリティおよびエグゼクティブサービスのマネージャーを務めていました。アントンズ氏は、米国国務省外交保安局の特別捜査官として安全管理のキャリアをスタートし、多くの場合重大な脅威にさらされる海外の米国人の人々、財産、情報を保護しました。

この記事で表明されたコメントと見解は著者単独のものであり、彼の雇用主の見解を反映していない可能性があります。