カジノサイト
サイバーセキュリティは CEO にとって深刻なスキルギャップです
セキュリティ管理は と提携しています 職場の主要なトピックと戦略に関する関連記事をお届けします。
CEO は、戦略計画、財務、マーケティング、交渉、コミュニケーションなどの分野における専門知識の広さと深さによってその地位に昇進します。
しかし、最近の調査によると、CEO の広範なスキルセットには、組織を危険にさらす厄介なギャップがあることが示唆されています。それは、ますます脅威となるサイバー犯罪の問題にどのように備え、対応するかということです。
サイバー犯罪は、あらゆる業界の企業の継続的な健全性と収益性に対する大きな脅威として浮上しています。世界経済フォーラムでは、今後 10 年間に組織にとって最も深刻な世界的リスクのトップ 10 のリストにも選ばれました。
サイバー犯罪が引き起こす大惨事の最新例の 1 つとして、ラスベガスに本拠を置くカジノ会社 MGM リゾーツは、データをサイバー攻撃から守るために 9 月に 10 日間コンピューターをシャットダウンしました。。同月初め、ネバダ州リノに本拠を置くカジノ運営会社シーザーズ エンターテインメント1,500万ドルの身代金を支払ったシステムを混乱させたサイバーグループに対して、複数の報道機関が報じた。
調査グループ Cybersecurity Ventures は、世界的なサイバー犯罪による経済的影響は次のとおりであると報告しています2025 年までの年間の影響額は、2015 年の 3 兆ドルの 3 倍以上になります。また、NCC グループの最新の報告書によると、今年の最初の 6 か月でランサムウェアの件数が 2022 年の同時期と比較して 67% 増加しました.
あらゆる種類の組織が、ますます高度化して執拗なサイバー攻撃に直面しています。ランサムウェア、フィッシング、ビジネスメールの侵害, 暗号犯罪などの戦術は、数百万ドルの費用がかかり、長期間にわたって業務が中断されるだけでなく、一部の企業を廃業に追い込む可能性もあります。一流の IT セキュリティ チームによって導入された対策は、常に一歩先を行くサイバー犯罪者によって定期的に無効化されています。
この急増する問題との闘いを余儀なくされている CEO は、教育に大きなギャップがあり、サイバー犯罪に対処する最善の方法について誤った認識を持っていることが多いと、オックスフォード大学サイード ビジネス スクールおよびシンガポールに本拠を置くサイバーセキュリティ会社 Istari 出身。
この調査では、CEO がレジリエンスの構築を犠牲にしてサイバー攻撃の防止に注力すること、または攻撃が発生した場合に迅速に対応して回復する方法の計画に時間とリソースを注ぎ込むことが多すぎることがわかりました。今日のテクノロジーに依存したビジネス環境におけるサイバー攻撃の成功は避けられず、CEO とそのセキュリティ チームは、被害が発生した後の被害を制限する方法にもっと重点を置く必要があることが調査で判明しました。
「これは、コンピュータ システムとデータの可用性、完全性、機密性を常に保護することが達成可能であることを意味するため、これは今日のサイバー リスク状況の非常に狭い枠組みです。」,CEO レポートの著者はこう書いています。 「それは単に事実ではありません。また、サイバー不安の問題に対する考えられる解決策は、本質的に純粋に技術的なものであることも意味します。」
この調査では、CEO がサイバーセキュリティに関する意思決定を行う際に、ビジネスの他のほとんどの分野よりも不快感を感じていることが判明しました。調査回答者の約 72% が、サイバーセキュリティの分野で意思決定を行うことに不安を感じているかとの質問に「ノー」と回答しました。その主な理由は、技術的な複雑性が認識されているためです。
しかし、多くの CEO も問題があると述べました信頼する最高情報セキュリティ責任者 (CISO) や IT セキュリティ チームを含む周囲の人々は、サイバー犯罪の防止や攻撃発生後の効果的な対応について適切な決定を下すことができます。
サイバーセキュリティの専門家らは、外部からのサイバー攻撃を防ぐために人工知能などの最先端の手法やツールを使用することが依然として重要である一方で、対応計画を犠牲にして攻撃を阻止することに予算や経営陣の注意を過剰に割り当てるのはビジネス戦略として疑わしいと述べています。
10.5 兆ドル
Cybersecurity Ventures の調査によると、2015 年の 3 兆ドルと比較した、2025 年の世界的なサイバー犯罪の推定コスト。
「サイバー犯罪者がシステムに侵入することは避けられません」と、カリフォルニア州サンタクララに本拠を置く世界的なサイバーセキュリティ企業パロアルトネットワークスのユニット 42 マネージングパートナー、クリス スコット氏は言います。 「そこには何百万行ものコードがあり、それらにはすべていくつかの脆弱性があります。CEO は、悪意のある者が組織システムの穴を見つけるのは時間の問題であることを理解する必要があります。」
ニューヨーク市に本拠を置く顧問会社シーガルのテクノロジーコンサルティング業務の上級コンサルタント、ジェイ・プレオール氏も、攻撃後の計画を軽視する一方で、予防に重点を置きすぎるCEOやCISOが問題を引き起こしていることに同意する。
「あらゆるサイバー攻撃を防ぐのに十分な専門知識や資金を持っている組織はありません」と Preall 氏は言います。 「CEO には、ニュートンの第 3 法則のように考えることをお勧めします。『あらゆる行動に対して、反対の平等な反応が存在する』。IT セキュリティ チームが特定の種類のサイバー攻撃を阻止する方法を見つけるたびに、ハッカーからは『よし、新しい形式の攻撃を発明しよう』という点で、平等で反対の反応が起こります。」
プレオール氏はまた、サイバー攻撃が定期的にニュースになっているにもかかわらず、多くの CEO が問題の真の重大性を理解できていないと考えています。
「多くの CEO が気づいていないのは、これらの攻撃が現在自動化され、容赦なく行われているということです」と彼は言います。 「これらのハッカーは、キーボードを叩いているだけの一匹狼のハッカーではありません。自動化されたスクリプトを実行する高度な犯罪者です。彼らは常にインターネットをスキャンして脆弱性を探しています。これらのハッカーのほとんどが裁かれ、サイバー攻撃が止まるという考えは現実ではありません。」
回復力を高める
サイバー攻撃の成功による財務と広報への被害を抑えるために、CEOは組織の重要なテクノロジーインフラがそのような攻撃からどのように保護されるかについて知識を深めるだけでなく、専門家らは述べています。また、準備戦略の作成とリハーサルにおいて、より積極的かつ積極的に参加する必要があります。
それは、CISO、IT 部門、そしてを信頼することを学ぶことから始まります。サプライ チェーン チーム新しい方法で。また、セキュリティ慣行の仕組みについて謙虚に質問することも意味しますが、事業運営に関する熟練レベルの知識以外のものを示すことに慣れていない CEO にとって、これは難しい場合があります。サイバー犯罪の技術的な性質により、この種の危機は CEO にとってより困難なものとなっています。CEO は財務、運営、マーケティングに関連する問題解決に高いレベルの安心感を持っている場合が多いのです。CEO レポート 見つかりました。
「CEO は、脅威の状況の変化がどのように組織にリスクをもたらすかについて、IT およびセキュリティのリーダーシップにさらに多くの質問をする必要があります」と、コネチカット州スタンフォードに本拠を置く調査および助言会社 Gartner の副社長アナリストである Paul Furtado 氏は述べています。 「CEO は、『生成 AI や量子コンピューティングなどの新興テクノロジーがセキュリティ環境にどのような影響を与える可能性があるかについて何を聞いていますか?』と問いかけてチームに挑戦する必要があります。」
準備計画または「インシデント対応」計画は、サイバー攻撃が発生した場合に CEO が企業幹部間の役割分担を検討するのに役立つはずだと、専門家は述べています。
CEO は、悪意のある者が組織システムの穴を見つけるのは時間の問題であることを理解する必要があります。
「CEO は、危機の際に自分でどのような決定を下す必要があるか、チームにどれだけの権限を委任するかを知っておくべきです」とスコット氏は言います。 「状況を理解するために CISO からどのような情報が必要になるかを知る必要があります。これにより、CEO は必要に応じて社外に集中し、状況に関するメディアやアナリストからのリクエストなどに対応できるようになります。」
CEO はまた、組織が深刻なサイバー攻撃に遭遇した場合に備えて、経営、財務、法律、評判の観点からビジネス リスクを十分に理解する必要がある、と専門家は述べています。
「サイバーセキュリティはビジネスの問題であり、IT の問題ではありません」と Furtado 氏は言います。 「しかし、それを IT のみの問題として扱っている CEO や組織は依然として多く存在します。」
ビジネスに対する脅威を理解するには、CEO がサイバー攻撃時に組織の表の顔以上の役割を果たす必要があります。また、机上演習などの活動を通じて即時対応計画をリハーサルする積極的かつ継続的な役割も必要だとサイバーセキュリティ専門家は言います。
「運用の観点から見ると、たとえば、給与計算、会計、顧客サービスが停止したらどうなるでしょうか?」プレオール氏は言う。 「私たちが知っているある企業は大規模なサイバー攻撃に遭い、そのカスタマー サービス コールセンターが心配して怒っている顧客からの電話に 1 日あたり数百件から 1,000 件の電話に対応するようになりました。あなたの会社はそれに対応する準備ができていますか? 重要なテクノロジーのための適切な手動バックアップ システムを作成しましたか? 計画すべき不測の事態はたくさんあります。」
優れたインシデント対応計画は、単に堅実な戦略を作成するだけではありません。
「文書化は準備と同じではありません」と Preall 氏は言います。 「十分に文書化された即時対応計画が策定されているかもしれませんが、それをテストしたり実践したりしなければ、実際の対応はそれほど効果的ではありません。このような状況で何をすべきかを直感的に理解できるように、人々は練習する必要があります。ランサムウェア攻撃のようなイベントが発生した場合、一分一秒遅れると、さらに深い穴に陥る可能性があります。」
CEO は、サイバー攻撃の初期段階ではしばしば「盲目的に対処」することになることを理解する必要がある、と専門家は言う。
「危機が始まると、CEO は多くの未知の部分を抱えて行動する期間が生じるでしょう」とスコット氏は言います。 「彼らは、不完全な情報や完璧な答えがない状態で多くの意思決定を下さなければなりません。意思決定を下す前に、フォレンジックなどの作業を行ったり、コンピューターのログを掘り下げたり、サイバー攻撃中に実際に何が起こったのかを理解するのに時間がかかります。」
準備と保護
効果的な対応戦略を立てるには、CEO が組織に機敏かつ断固とした方法で対応できるように権限を与えるかどうかにもかかっています。たとえば、特定の行動を実行するために従業員に指揮系統の上層部の承認を求めることは、コストのかかる遅延につながり、サイバー攻撃の影響を悪化させる可能性があります。
「良い例は、マネージャーのラップトップ上のエンドポイントで何か不審なことが起こっていることを誰かが検出した場合、CEO は CISO またはそのセキュリティ チームにそのエンドポイントを隔離し、何が起こったのかを迅速に把握できる権限を与えるでしょうか?」スコットは言います。 「それとも、ラップトップを直ちに隔離することをポリシーが許可していないため、遅れが生じ、攻撃者がより広範な企業環境に侵入してさらなる問題を引き起こす可能性がありますか? サイバー攻撃における最大の被害の一部は、企業がそのように迅速に対応しないときに発生します。」
文書は準備とは異なります。
スコット氏は、組織はそのようなシナリオでは「誤検知」が存在する可能性を受け入れる必要があると述べています。
「それは、しばしば引き受けなければならないリスクです」と彼は言います。 「従業員が、場合によっては間違った判断を下すことを承知の上で、攻撃を早期に阻止するために許容される影響のレベルはどれくらいですか? このようなシナリオで適切なバランスを見つけるのは、CEO のリーダーシップによってもたらされます。」
専門家らは、サイバー攻撃の影響を制限するために、CEOは組織が適切なレベルのサイバー保険に加入していることを確認する必要があると述べています。また、サイバー攻撃の数と深刻度の増加により、近年、多くの業界で保険料が高騰しているため、より多くの保険料を支払う準備をする必要があります。
によると、1 件のデータ侵害による世界平均コストは 2023 年に 445 万ドルに達し、過去 3 年間で 15% 増加しました
「これらの攻撃は莫大な費用がかかる可能性があります」と、サイバー犯罪の有形無形の両方の費用についてプレオール氏は述べています。 「CEO は、企業がサイバー攻撃によって被る莫大なコストについてのメディア報道を読んでも、それを信じないことがよくあります。しかし、そのコストはすぐに膨らみます。調査や訴訟費用、従業員の残業代、規制上の罰金、コンサルタント料、テクノロジーや機器の交換の必要性など、さまざまな費用がかかります。サイバー保険は、それらのコストの一部を相殺するのに役立ちます。」
逸らさないでください
ファータド氏は、自分の会社がサイバー攻撃に成功したために職を失うCEOはほとんどいないと述べていますが、これらの経営者が避けられない攻撃に耐え、対応するために組織をどのように準備するかによって、取締役会による措置に対してより脆弱になる可能性があります。
「攻撃を受けたためではなく、サイバー イベントへの対応が原因で職を失う CEO や IT リーダーの数が増えています。」と彼は言います。
フルタド氏は、2017年に事件後の圧力を受けて退任した元エクイファックスCEOリチャード・F・スミス氏のケースを指摘する。大規模なデータ侵害約 1 億 5,000 万人のアメリカ人の個人情報を暴露した信用調査会社。
スミス氏は当初、違反後すぐに退職しましたが、エクイファックス取締役会は「侵害による被害を反映する異例の措置を講じた」と述べ、遡及的にスミス氏を理由のある解雇として分類する可能性があると述べた。サイバー攻撃の後、スミス氏はサイバー攻撃について議会で証言することになった際、「侵害の原因となった問題の深刻さを軽視し、危機への同社の対応を擁護し、経済的被害を受けた消費者への補償にエクイファックスがどこまで対応するかについての質問をかわそうとした」と述べた。
「世論裁判所は、いかなる事業運営においてもセキュリティの考え方を優先しない経営陣をもはや容認しません」とフルタド氏は言います。 「それは CISO にとどまりません。それは直接 CEO にまで及びます。」
デイブ ジエリンスキーは、ミネソタ州ミネアポリス在住のフリーのビジネス ジャーナリストです。
