カジノサイト
ESRM プログラムはどの程度成熟していますか?
エンタープライズ セキュリティ リスク管理 (ESRM) の哲学は、規模の大小、公立か私立を問わず、あらゆる組織に適用できます。しかし、最初の導入からまでの道筋を描くのは難しい場合があります。成熟した実装。ありがたいことに、カジノサイト ESRM 運営委員会のメンバーは、現在の取り組みを測定し、セキュリティ担当者が組織を次のレベルのリスク管理に導くことができるようにするための ESRM 成熟度モデルの構築に 2 年を費やしました。
成熟度モデルの自己評価、つまり無料で利用可能では、組織が ESRM 関連の目標と手順をどのように達成できるかをユーザーに説明します。CPP、PSP、ESRM 運営委員会のメンバーであり、成熟度モデル委員会の委員長である Jacob Maenner 氏は次のように述べています。
「基本的に、組織が改善していることを示すために必要です」とメーナー氏は言います。 「私たちはあらゆる種類のことを行うことができますが、その有効性を測定しなければ、『時間を無駄にしただろうか? これは良い投資だろうか?』と疑問に思うことになります。そこで私たちは、組織が目標をどの程度達成しているかを判断するのに役立つツールとしてこれを提供したいと本気で考えました。」
ESRM 成熟度モデル内の 5 つの要素は、文化、背景、利害関係者、リスク管理、ESRM ガバナンスです。実装には、初期、反復可能、定義、管理、最適化の 5 つのレベルがあります。
ステージ 1 (初期、最低レベルの成熟度) は通常、ESRM 概念のその場限りの実装である、と Maenner 氏は言います。一部の組織はレベル 1 に到達するために努力する必要がありますが、「それについて考えているのであれば、おそらく正しいことをしているでしょう」と彼は言います。最初の 3 つのレベルは ESRM を基本的な認識から積極的な取り組みに導き、最終的には組織全体にわたるリスク管理に関する反復可能で一貫したプロセスと手順の段階に到達します。「つまり、ある資産所有者がこちらでそれを行うと、最終的には向こうの他の資産所有者と同じか同様の結果が得られます。リスクを平等な競争の場に置くのです」と彼は付け加えます。
レベル 4 (管理対象) では、資産所有者とセキュリティ マネージャーが積極的に協力して、これらのプロセスが実施されていることを確認してくださいレベル 5 (最適化) までに、主要な相乗効果が活用され、セキュリティがリスク管理アドバイザーとして最大限に活用されています。
各要素が同じ成熟度レベルである必要はない、とメーナー氏は言いますが、文化がすべてを支えています。少なくともその要素の成熟度が定義されていないと、他の取り組みはおそらく持続不可能です。
文化で舞台を整える
ESRM 成熟度モデルの文化的要素は、セキュリティが資産所有者と提携し、ESRM に合わせたポリシーを提案するという基本から始まり、トレーニングと教育、資産所有者とのパートナーシップ契約、ポリシーと手順の開発、積極的な参加を通じて進歩します。
この測定は、組織全体の多くの利害関係者がセキュリティとリスク管理の決定に参加する直接的なインセンティブを持っている ESRM 内では特に不可欠です。 ESRM の哲学では、資産所有者がリスク所有者であるため、製品開発ディレクターは、部門のリスク選好と管理の必要性に基づいて、自分の部門がリスクに関して何を行うか、または実装するかについて決定を下すことができます。セキュリティ専門家はコンサルティング機能を果たし、どのようなリスクが存在するか、どのような軽減策が可能か、さまざまなリスク管理の決定の長所と短所は何かについて資産所有者にアドバイスします。
コミュニケーションラインがオープンで、プロセスが目的主導型であれば、このダイアログはサイロを打破し、脆弱性を発見し、セキュリティの統合を可能にするのに役立ちます、とメーナー氏は言います。
すべてが地獄に陥った場合、セキュリティリーダーとしての私に起こる唯一の悪いことは、私が解雇されることです。文字通りビジネスを運営できなくなります。それは大きな違いです。
セキュリティ専門家にとって、セキュリティ実装の決定に対する管理を緩めることは困難な場合があると、アライド ユニバーサルの統合セキュリティ ソリューション担当バイスプレジデントであり、カジノサイト 北米地域取締役会のメンバーでもあるレイチェル ローイヤー氏は述べています。また、セキュリティ資産の所有者ではない人にとって、これらの決定がなぜ自分の責任なのかを理解するのは同様に困難な場合があります。
「これは彼らにとって大きな変化です。なぜなら彼らは、『まあ、セキュリティはセキュリティが面倒を見てくれる』と言うのに慣れているからです」とロイヤー氏は言う。 「それは本当です。セキュリティはそれを行う機能ですが、すべてが地獄に陥った場合、セキュリティリーダーとしての私に起こる唯一の悪いことは、私が解雇されることです。文字通り、ビジネスを運営できなくなることです。それは大きな違いです。」
この切断は主にこれは、多くの組織が ESRM 原則を導入する際に直面する大きな落とし穴の 1 つであると、Setracon Enterprise Security Risk Management Services の社長である CPP、PSP の Jeffrey Slotnick 氏は述べています。 には 3 つの主要なバケットがあります。変更管理、彼は次のように共有しています:
変化に向けた環境を作りましょう。これには、危機感を醸成すること、あなたの決定を支持する同盟を結成すること、そして簡単かつ説得力をもって共有できる変化のビジョンを作成することが含まれます。
組織に関与して有効化します。ビジョンを策定したら、組織内外の主要な関係者にそれを伝え始めます。人々が行動を起こすことができるようにし、すぐに成功を収めて勢いと熱意を高めます。
変化を実行し、維持する。これらの簡単な勝利で始められますが、そこで終わりではありません。実装した変更を継続して構築し、ビジョンと結果を定期的に強化して、変更を定着させてください。
「ESRM は素晴らしい概念ですが、ESRM プログラムを前進させるためのビジネス洞察力がなければ、取り組みは行き詰まるでしょう」とスロットニック氏は語るセキュリティ管理メール経由。
文脈は何ですか?
成熟度モデルのコンテキスト要素は、説明が必要な規制機能をカバーするだけでなく、内部および外部のコンテキストそれはリスク管理に影響を及ぼします、とメーナー氏は言います。これには、組織の価値観、ビジネス プロセス、規制、利害関係者の責任、運用環境について、利害関係者全体で共通の理解を確立することが含まれます。
しかし、ESRM アプローチが成熟するにつれ、コンテキストの問題は主にセキュリティ専門家が進行中の会話をガイドすることになります。
たとえば、成熟度の第 2 レベル (反復可能) までに、セキュリティ リーダーは ESRM がすべてのビジネス機能をどのようにサポートできるかを明確に説明できる必要があり、レベル 3 (定義済み) では、セキュリティ機能が資産所有者によるセキュリティ リスクの管理にどのように役立つかを実証できる必要があります。このコミュニケーションには、ESRM をさまざまな資産所有者、利害関係者、経営幹部と明確に関係する方法で結びつける、十分に培われ、維持されたソフト スキルが必要です。
Aエンタープライズ セキュリティ リスク管理 (ESRM) に関する会議前のワークショップは、セキュリティ担当者にこのアプローチを使用して経営幹部とのつながりや影響力を生み出す方法を学ぶ機会を提供しました。
— セキュリティ管理 (@SecMgmtMag)
私の聴衆は誰ですか?
利害関係者とソフトスキルというテーマに関して言えば、ESRM は関係管理とパートナーシップに大きく依存しています。恐怖、不確実性、疑惑 (FUD) を利用して、賛同を生み出す逆効果になる可能性があり、ビジネスを可能にする別の方法の方が効果的だとロイヤー氏は言います。
「FUD は、私が最も嫌いな方法論です。なぜなら、『組織を運営するには何が必要ですか。それを現実的に維持するにはどうすればよいでしょうか?』という会話に参加させるのがとても簡単だからです。これは特に重要であり、それが私が好んで行う理由です。データ主導型分析」と彼女は言います。
たとえば、関係者がニュースで見た内容に基づいてテロの脅威を持ち出すかもしれません。コンサルティング志向で知識豊富なセキュリティ専門家であれば、テロは恐ろしく、影響力が大きく、可能性が低い脅威ではあるものの、総合的なセキュリティ管理計画の中ですでに対処されていると指摘し、よりビジネス中心の方法で会話を進めることができるでしょう。代わりに、特にサプライ チェーンや評判管理に焦点を当てている関係者と話す場合は、会社の保有車両で過去 1 年間に何台のトラックが破壊されたのか、再塗装にどれだけの費用がかかったのか、車両駐車場の周りに簡単なフェンスを設置することでその影響をどのように軽減できるのかについて話し合いを始めましょう。
「私にとって、それが会話です。それは誰かに影響を与え、影響力が大きく、可能性が低い旗を振ることではありません。それでは長期的な信頼は構築されません」とロイヤー氏は言います。 「恐怖に基づいて何かを販売することは絶対にあり得ます。そして、1 年後、そのようなことが起こらなかったときに、信頼を失うことになります。一部の人々は非常に注目されており、そのようなプロフィールを持っているため、そのような種類のリスクをより認識する必要がありますが、ほとんどの場合、ほとんどの組織は盗難、破壊行為、およびそのようなものの方がはるかに多くを失っています。
「セキュリティの良いところは、アクセス制御システムや警備員などが広範囲の脆弱性をカバーしてくれることです。」と彼女は続けます。 「盗難から身を守るためにこれらの対策を講じれば、それほど可能性が高くない他のものからも身を守るという二重の役割を果たすことになります。」
会話が進むにつれて、あなたの関係者も個人的に変化する可能性があります。 ESRM の一環として、資産所有者にリスク、脆弱性、緩和策、および運用に影響を与えるためにセキュリティ パートナーができることについて教育します。セキュリティを「私に X、Y、Z を強要する迷惑な人々、『ああ、あなたは本当に私のすべての製品が玄関から出ないようにするためにここにいるだけです。私にはこの製品が必要です。これなしでは仕事ができません』という見方ではなく、大きな変化です」とロイヤー氏は説明します。 「これは、パートナーシップを進めていく中で、反対側に現れる変化だと思います。」
リスク管理の測定
これらのパートナーシップを支援するには、測定と指標が不可欠です。
「ガバナンス、役割、責任が設定され、ESRM への取り組みが開始されたら、リスク管理部分を引き続き実行する必要があります」と、デロイトのリスクおよび財務アドバイザリーのサイバーおよび戦略的リスク実務担当シニア マネージャーであり、カジノサイト ESRM コミュニティの運営委員会のメンバーでもある、CPP、PSP の David Feeney 氏は述べています。 「組織にはが必要ですリスクを特定し優先順位を付ける方法また、これらの優先リスクを軽減します。これはセキュリティ リスク管理の「日常」を構成しており、組織は依然としてリスクを測定、監視し、利害関係者に報告する方法を必要としています。
「固有リスクと残留リスクの概念、および資産所有者と協力したリスクしきい値の設定は、組織内で ESRM をさらに成熟させるプロセスの後半で行われる一般的な手順の一部です。」
セキュリティの専門家はリスク管理の原則を習得していると信じているかもしれませんが、ESRM にはさまざまな参加者の参加が必要です。その多くは概念について曖昧である可能性があります。
Maenner 氏は、ESRM 成熟度モデル自己評価ツールを使用して、組織全体を率直かつ正直に把握することをお勧めします。
組織がリスク管理に関する ESRM のレベル 4 (管理された) に達しているかどうかを判断するために、自己評価ツールに示された質問を検討してください。これは、セキュリティ リーダーがすべてのセキュリティ機能にわたって統一され、戦略の有効性を積極的に監視していることを意味します。
- すべてのセキュリティ部門のセキュリティ リーダーは、経営トップと合意したセキュリティ リスク管理方法論を採用していますか?
- すべてのセキュリティ部門のセキュリティ リーダーは、統合されたセキュリティ リスク管理アプローチの進捗状況を監視していますか?
- すべてのセキュリティ部門のセキュリティ リーダーは、企業のセキュリティ リスク管理アプローチを測定および改善するために、統合されたセキュリティ部門として資産所有者および関係者と連携していますか?
- 全部門のセキュリティ リーダー全員が、統合されたセキュリティ部門として経営トップと連携して、企業全体のセキュリティ リスク管理アプローチの有効性を報告していますか?
自分の立場を甘やかさず、他の利害関係者にも組織のリスク管理の取り組みを評価するよう依頼することを検討してください、とメーナー氏はアドバイスします。他の声に驚かれて、実行する必要のある追加の支援活動が見つかるかもしれません。
まれな場合、またはセキュリティ チームが行き詰まった場合は、評価を実施したり問題点を探したりするためにサードパーティのコンサルタントが派遣されることがあります。
ガバナンスによる指導
ESRM のガバナンス機能は、組織内のアプローチを成文化し、参加を促進し、セキュリティ リスク管理を主要な組織プロセスにリンクし、結果を追跡するための合意された構造を構築します。しかし、ここで重要な要素は報告です。定期的な会議で ESRM の結果について話し合い、組織のリーダーに報告します。これにも、インパクトのあるニュースを伝えるための経営陣またはソフト スキルが必要です。
ESRM のこの側面は、概念の導入以来 10 年間で劇的に変化した、と Loyear 氏は振り返ります。
恐怖に基づいて何でも売ることができますが、1年後にそのようなことが起こらなかったとき、あなたは信頼を失います。
「始めた頃と今では全然違います」と彼女は言います。 「10 年前にこの話をしていたときは、とても学術的な内容でしたが、今はもっと機能的になりました。どうすれば簡単にできるでしょうか? 言葉遣いをすべて変えました。もう資産やリスクについては話しません。何を守らなければならないか、何から守らなければならないかについて話します。それが業界の本当の成長だと思います。ビジネスの一部にならなければならないということを理解するだけです。それが個人的な教訓でした。」
これらの方針に沿って、彼女はセキュリティ責任者が次のような広範なビジネス報告書を常に把握することを推奨しています。気候変動、政情不安、戦争、規制の変更など、CEO の最大の懸念事項を示しています。
「これらすべてのことは、今や CSO が気にしなければならないことでもあります」と Loyear 氏は言います。 「はい、あなたは作りませんでした気候への影響、あなたは戦争を起こしたわけではありませんし、これを起こしたわけでもありませんが、必ずそうなるでしょう会社のサプライチェーンに影響を与えるそれについては、少なくとも検討リストに何らかの解決策を入れておいたほうがよいでしょう。 CSO だからといって CEO の懸念を無視することはできません。それはビジネス上の会話全体の一部でなければなりません。」
クレア・メイヤーはの編集長ですセキュリティ管理。 LinkedIn で彼女とつながるか、次の宛先に直接メールを送信してください。[email protected].
