カジノサイト
指標とベンチマークを活用して経営陣の賛同を生み出す方法
ほとんどのセキュリティ担当者は、プログラムの価値を経営幹部チームに伝えるのに苦労していることを認識しています。これらのプログラムにアドバイスしているセキュリティ コンサルタントとして、私たちが最も頻繁に耳にする苦情の 1 つは、リーダーが「私たちが何をしているのか、そして私たちがもたらす価値を理解していない」というものです。他の部門は企業の運営と収益創出に不可欠であると考えられるかもしれませんが、セキュリティ チームは組織を保護するために重要と考える大規模な設備投資はおろか、既存の予算を正当化する逆風に頻繁に直面します。
ツールボックス内のすべてのツールの中で、データドリブンの指標は、リーダーのこの認識を変える最良の方法の 1 つですが、セキュリティ プログラムは、この情報を取得して意思決定者に伝達する点で他の機能分野に後れを取ることがよくあります。では、セキュリティ チームは組織のリーダーの共感を呼ぶ指標やベンチマークをどのようにして活用できるのでしょうか?
ベンチマークと KPI
まず、ベンチマークと主要業績評価指標 (KPI) を区別することが重要です。この用語は、しばしば同じ意味で使用されます。ベンチマークは、企業間で物事を比較するための標準的な基準点です。彼らは多くの場合、相互参照が容易で、さまざまな部門内ですぐに利用できるデータに依存しています。しかし、ベンチマークは誤って使用すると、間違ったデータに焦点を当てたり、リーダーシップに関する調査結果や推奨事項を歪める無関係な比較を行ったりする可能性があります。
KPI は組織に基づいて独自に開発され、その使命と目標に合わせてカスタマイズされます。これらの戦略的なデータ ポイントは、価値を示し、進捗状況を追跡し、リスクの指標を明らかにし、部門内のさまざまな取り組みを推進するのに役立ちます。適切に設計された KPI は、価値を実証し、経営陣の同意を得るのに非常に役立ちます。 KPI は、他の組織に対するベンチマークを行うためのデータとして使用できますが、スタンドアロンの KPI は、リーダーとの会話に不可欠なベースラインとして機能する必要があります。
KPI の使用の改善
セキュリティはコスト重視であるという認識により、経営陣の同意プロセスがより困難になっています。業界は通常、業務、サプライ チェーン、販売、その他の損益機能とは異なる KPI によって管理されており、これらの KPI は品質、収益、コストで簡単に測定できます。成功を明確にするには、少しの創造性と併せて、より断固とした努力が必要です。なぜなら、発生を防止した悪いことの核心を示すデータを収集して提示することになるからです。
このプロセスは、リーダーと協力して KPI を開発することから始まります。セキュリティ チームはこれまで指標を提供してこなかった可能性があるため、リーダーが指標を求めていない可能性は十分にあり、多くの場合その可能性が高くなります。アイデアとロードマップを持ってこうした会話に積極的に取り組み、これらの KPI を経営陣と継続的に検証することが重要です。これにより、最終的に KPI が意味のあるものとなり、組織の目標や目的と一致することが保証されます。 KPI をシンプルかつ視覚的にすることは、経営幹部が競合する優先事項の中でトレンドラインを理解するのにも役立ちます。ダッシュボードの開発はセキュリティ チームにとってますます一般的になっており、部門横断的なポートフォリオを持つリーダーに指標を伝達する際に他の部門の成功を模倣しています。
セキュリティ組織は、適切なデータを収集する能力を評価する必要もあります。一般に、セキュリティ チームはこの点で成熟度が低く、利用可能なものは何でも利用してしまうことがよくあります。損失防止、ビジネスへの影響、および復旧時間の目標に焦点を当てた KPI は、これらの機能が簡単に定量化でき、ビジネスのコスト削減を示すため、始めるのに最適な方法です。インシデント、調査、損失の可能性を下げる定量的なリスク軽減の取り組みに関する傾向は、セキュリティがもたらす価値をさらに示しています。
しかし、これらのデータ ポイントはキャプチャされた場合にのみ利用可能であり、キャプチャすることは必ずしも容易ではありません。こうした収集活動を可能にするインフラストラクチャとプロセスの整備を開始する努力が必要です。
セキュリティ リーダーは収集と分析を経て、幹部への普及という重要なステップに移ります。適切なロードマップの 1 つは、リーダーとの月次または四半期ごとの会議の議題に指標ダッシュボードを組み込むことを含む可能性があります。そこでは、チーム メンバーがコンテキスト要素を説明し、質問の時間を設けることができます。セキュリティは、これらの KPI を改善するために進行中の取り組みを明確にし、時間の経過とともにトレンドラインを示すことができます。
これをすべてまとめた理論上の使用例を 1 つ考えてみましょう。あるセキュリティリーダーは、一連の工場での職場暴力事件が前年比で大幅に増加していることを指標を使って説明しています。これにより、社内の調査リソースが根本原因分析を実施するように指示され、さまざまな対策への投資を増やすための資金承認が促進され、経営陣を活用してセキュリティと人事の部門を超えたトップダウンのコラボレーションが合理化されます。これは、利用可能なデータを経営陣の支援のためのツールに変換して、関係者をチームの成果に導き、指標をより実用的なものにする簡単な例です。
ベンチマークの役割
KPI を確立して取得したら、セキュリティ組織はベンチマークの価値について実際に考えることができます。
有用なデータの多くは機密性の高いものであるため、ベンチマークは多くの場合、同様の業界の CSO 間で非公式に実施し、協力して問題のニュアンスや何がうまく機能したかを理解するときに最も効果的です。セキュリティは公共財であり、ほとんどの CSO はベスト プラクティスや課題を同僚と透過的に共有する傾向があります。
委託された大規模なベンチマーク演習は、業界全体の認識を理解するのに役立つかもしれませんが、個々のセキュリティ チームに実際の有用性を提供したり、担当するセキュリティ プログラムを取り巻く経営幹部に重要な成果を提供したりするのは難しいでしょう。
現在および将来の取り組みに対するサポートを生み出す
セキュリティ リーダーとして、私たちはチームがビジネスにもたらす価値を本質的に知っています。セキュリティ プログラムは、収益を生み出す活動のリスクを軽減し、セキュリティ関連のインシデントのコストを削減し、実際の損失の回収を増やすことにより、直接的および間接的に製品およびサービス企業の収益性を高めます。この付加価値を時間をかけて明確に表現する、リーダーシップに関する理解しやすい物語を開発するという課題は依然として残っています。 KPI を特定、把握、伝達することは、これを達成するための最も効果的な方法の 1 つであり、経営幹部がセキュリティ チームの使命を理解し、継続的に改善し、進化するリスク環境に適応する取り組みを支援するようにします。
Brogan Ingstad は Teneo Risk Advisory の副社長で、フォーチュン 500 の顧客にリスク管理、企業セキュリティ、ビジネスの回復力についてアドバイスしています。
