カジノサイト
あなたの影響力が ESRM の成熟にどのように役立つか、または妨げるか
セキュリティはビジネスを実現するものとはみなされていないため、複数の分野にわたって勤務するゼネラルマネージャーに比べて、セキュリティ専門家の組織内での影響力には限界があります。この厳しい愛は、2023 年の カジノサイト 財団レポートの背後にある研究者によってもたらされました.
「組織のコンテキストは、機能がどの程度の影響力を持つかに影響を与えます。これは、コンプライアンス指向の規制環境内でセキュリティのリソース確保と実装が義務付けられている場合に顕著です。」と報告書は述べています。 「例えば、職員の安全検査は法制化され監査されているため、一般的に受け入れられている標準的な慣行です。重要性について義務付けられた労働協約があるため、安全性は重大な影響力を持っています。」
「この調査では、セキュリティ リスク管理が規制フレームワークの一部として義務付けられていない場合 (通常はこれに当てはまります)、セキュリティ管理者はコンプライアンス主導のアクションを優先し、セキュリティ リスク管理を重視しないことが多いことがわかりました。これにより、組織のリスク管理プロセスにおけるセキュリティの影響がさらに軽減されます。」
しかし、エンタープライズ セキュリティ リスク管理 (ESRM) アプローチでは、リスクを軽減または受け入れる方法に関する運用上の決定を資産所有者の手に委ね、セキュリティ リーダーを、資産所有者のニーズを満たしてビジネスを可能にする決定を導くことができる内部コンサルタントのような位置づけにすることで、そのシナリオを反転させます。
ESRM にはキャッチ 22 があります。ESRM は組織内でのセキュリティの影響力を高めますが、リスク管理に対する ESRM アプローチを提唱するにはセキュリティ リーダーが影響力を必要とします。
「財団の報告書は、現在、セキュリティが意思決定者と関わっているとは考えられていないことを非常に明確にしました」と、アライド ユニバーサルの統合セキュリティ ソリューション担当バイスプレジデントであり、カジノサイト 北米地域理事会のメンバーでもあるレイチェル ローイヤー氏は述べています。 「それは非常に運用可能であると見なされており、一種の技術的な活動です。セキュリティが法務部門などで得られるような専門的レベルの敬意を実際に得るのを妨げる障壁が設けられています。セキュリティは法務、会計、リスクチームと同じくらいリスク管理に関わるものであるため、これは残念です。同じレポートで、リスク管理作業をより広範な組織リスクに合わせて調整することについて述べています。リスクモデルについて述べ、ビジネス言語への関与について述べており、それが ESRM です。」
ESRM は、セキュリティ リーダーが資産所有者と連携してリスクを管理できるよう、関係構築に重点を置いています。 カジノサイトのセクションコンテキストには、使命とビジョン、核となる価値観、運用環境、ステークホルダーが含まれており、これらを考慮した ESRM に合わせたセキュリティ プログラムにより、セキュリティ専門家の目標とより広範な組織の目標をより適切に整合させることができると、デロイトのサイバーおよび戦略リスク実務担当のリスクおよび財務アドバイザリーのシニア マネージャーであり、カジノサイト ESRM コミュニティの運営委員会のメンバーである CPP、PSP の David Feeney 氏は述べています。
「その調整により、組織内のセキュリティの影響力が高まりますが、多くの場合、その影響力の性質が前向きに変化します。」と彼は説明します。
「ESRM はセキュリティ部門をビジネスの戦略的アドバイザーとして位置づけています」とフィーニー氏は言います。 「セキュリティ専門家は、資産所有者やその他の関係者と協力するために、より相談的なアプローチを採用する可能性があります。また、セキュリティ リーダーは、ESRM の導入と併せて、より戦略的なアプローチを採用することで恩恵を受ける可能性があります。経営幹部、経営幹部、または取締役会レベルでの勤務経験は、これらのスキルセットの開発と洗練に役立ちます。」
重要なスキルの 1 つはコミュニケーションであり、人間関係の管理に不可欠です。セキュリティへの影響に関するレポートでは、セキュリティ リスク メッセージを伝達する際の言語が重大な問題であると特定しました。重要な用語が同じ意味で使用され、その意味が曖昧になるだけでなく、専門用語が使用されたり、ビジネス概念とのつながりが欠如したりすると、セキュリティ チームとビジネス全体の対応者との間の理解に障壁が生じる可能性があります。
セキュリティを理解するのは取締役会の役割ではなく、取締役会と効果的にコミュニケーションをとるのがセキュリティの役割です。
「セキュリティ リスクの運用上の性質と、同等の戦略的ビジネスへの影響との関連性を伝える能力は、影響力を獲得する最も効果的な手段である」と カジノサイト 財団の報告書は述べています。 「セキュリティ専門家は、上級意思決定者や取締役会向けのビジネス指標を使用して、セキュリティ リスクをビジネス言語に翻訳することで、より良い影響力を発揮できます。調査参加者は、セキュリティを理解するのは取締役会の役割ではなく、取締役会に効果的に伝えることがセキュリティの役割であると指摘しました。」
セキュリティには企業としての影響力がほぼ欠けているが、個人は個人のリーダーシップを通じて高いレベルの影響力を発揮できると報告書は述べている。
「この場合、影響力のレベルは個人の教育と経験、コミュニケーションスキルを含む人格面、そして彼らが活動する組織のリスク状況に依存する連続体である」と研究者らは書いている。
Loyear 氏は、ESRM を念頭に置いて経営陣のプレゼンスを向上させるための 4 つの重要な分野について概説します。
言語。これはよくある落とし穴です。ローイヤーさんも陥っていると認めていますが、それはセキュリティ用語の使用です。 「私は安全保障用語を話しますが、視聴者がいる場所で会うことが非常に重要です」と彼女は言います。理解できない用語や概念が満載のわかりにくいプレゼンテーションを聞き手は不快に感じる可能性があり、成功を目指しているというあなたのメッセージが損なわれてしまいます。
ビジネス スキル。これらはしばしば賭け金となる、とロイヤー氏は言う。 a の読み方を理解する必要があります。。自分のリクエストやプログラムが組織の財政にどのような影響を与えるかを理解する必要があります。 「あなたはお金を要求していますが、財務の全体像を理解していれば、何らかの形でお返しすることもできます」とロイヤー氏は言います。
信頼してください。「ビジネス スキルが必要ですが、セキュリティは依然として人間関係のビジネスです」と彼女は言います。 「彼らはあなたを信頼できると感じなければなりません。私たちは ESRM でこれについてよく話します。つまり、ステークホルダーのことを知りましょう。彼らに何かを言いに行くのではなく、彼らが何をしているのかを尋ねてください。彼らのニーズは何なのか、彼らにとって何が重要なのかを尋ねてください。そうすれば、あなたがサポートを求めなければならない段階になったときに、あなたが彼らを利用したり怖がらせるためだけにそこにいると彼らが思わないようにすることができます。」
ブランディングと評判管理の専門家であるリダ・シトロエンが、での2日間の集中ワークショップに参加しますCSO が微妙なコミュニケーション スキルを構築し、経営幹部の中で本物で効果的な人物像を作り上げられるよう支援します。
— セキュリティ管理 (@SecMgmtMag)
セキュリティ担当者が実際に答えを持っている状況であっても、資産所有者を待って話を聞き、最初に解決策を試してから、より良い選択肢に導くことで、長期にわたる関係を構築し、予期せぬ機会や選択肢を発見することができます。
「ESRM 環境では、資産所有者がリスク所有者となり、資産に対する説明責任と資産に対するリスクに対する説明責任が一致します」とフィーニー氏は言います。 「意思決定の権限が、それらの決定に責任のある当事者に割り当てられることが重要です。セキュリティ専門家は、その意思決定権限を資産所有者に与えることをためらうこともありますが、これは ESRM 導入の重要な成功要因です。資産所有者はセキュリティ専門家との協議関係をより重視する傾向にあるため、組織はこの戦略の変更で利益を得ることができます。」
エグゼクティブプレゼンテーション。次のような組織への参加を検討してくださいプレゼンテーション スキルを向上させるには、別の講演団体に参加することもできます。ローイヤー氏は、少なくとも、少しは見てくださいと言います複雑な情報を簡潔に表現する方法についてのヒントを収集します。
幹部には「時間も集中力もほとんどありません」と彼女は言います。 「焦点を絞って、幹部レベルで重要な点だけを話すことを学ばなければなりません。」
GSX などのセキュリティやビジネスのカンファレンスに参加して、プレゼンテーション スキルを練習することを検討してください。加えて、ボランティアのリーダーシップセキュリティ専門家に、さまざまなタイプの組織のリーダーと話し、複数の聴衆とつながる方法でコミュニケーションする方法を学ぶ機会を提供すると、ロイヤー氏は付け加えました。
ESRM について詳しくは、こちらの カジノサイト トピック ページをご覧ください:ESRM (asisonline.org)
ESRM 成熟度モデル自己評価を使用して、組織の現状を確認することを検討してください:ESRM 成熟度モデル自己評価 (asisonline.org)
クレア・メイヤーはの編集長ですセキュリティ管理。 LinkedIn または電子メールで彼女とつながりましょう。[email protected].
