カジノサイト の調査は、セキュリティの進化するビジネス上の役割を測定することを目的
カジノサイト インターナショナルESRM アプローチは、セキュリティの役割を委任者からパートナーに移行しようとしていると述べています。
「代理人の役割において、セキュリティ専門家は、資産所有者の指示に従ってセキュリティ サービスを実装するための特定の手順を実行するタスク マネージャーです。」とガイドラインによると。 「パートナーの役割において、セキュリティ専門家は、より全体的な視点を備えた組織の戦略的リソースであり、資産所有者や利害関係者が資産の優先順位を付け、リスクを評価し、緩和戦略を選択するのに役立つ情報を提供します。」
カジノサイト セキュリティ問題研究プロジェクト、進化するセキュリティの役割を理解する: 2025 年のセキュリティ トレンド40670_41144
カジノサイト は 2024 年末に研究プロジェクト調査を実施し、主に カジノサイト メンバーと顧客に宣伝しました。全体としては 728 名の参加者がありました。人口統計学的に、これらの参加者はと非常に似ていましたカジノサイト が実施したその他の研究プロジェクトカジノサイト 会員の人口統計と似ています。ただし、この調査は主に カジノサイト メンバーを対象に宣伝されているため、メンバーは非メンバーのセキュリティ専門家に比べて認定資格を取得し、知識やネットワークを通じて専門性の向上を追求する可能性が高いため、バイアスが生じる可能性があることに注意してください。
組織においてセキュリティがビジネスを可能にするものであるか、それともコストセンターであるかを尋ねたところ、セキュリティ専門家の 61% が、セキュリティが主に、またはほとんどが重要なビジネスを可能にするものであると回答しました。セキュリティが主に、またはほぼコスト センターであると回答したのは 10% のみで、残りはその中間であると回答しました。
過去 2 年間でどのように変化したかを尋ねると、55% がビジネスを可能にするものへの移行がわずかまたは大幅にあったと答え、37% はあまり変化がなく、8% はコストセンターへの移行があったと回答しました。
同じセキュリティ専門家に、ビジネス イネーブラーとコスト センターの問題について組織の幹部がどのような認識を持っているかを評価するよう依頼しました。この数字は若干減少しましたが、依然として 49% が、経営幹部はセキュリティを主に、または主にビジネスを可能にする重要な要素と考えていると述べています。 25% は、経営陣はセキュリティを主に、または主にコスト センターとして考えていると回答し、残りの 25% は、経営陣はセキュリティは必要であるが、ビジネスの中心ではないと考えていると回答しました。
セキュリティ専門家自身がセキュリティをどのように見ているかの傾向と同様に、経営幹部はセキュリティを主要なビジネス実現要因とみなす傾向にあると述べています。54% は、経営幹部がセキュリティをビジネス実現要因とみなす方向に、過去 2 年間でわずかまたは大幅な変化があったと述べました。
ドミンゴ・イバラは、テキサス州サンアントニオ地域に安全で手頃な価格の住宅を提供することに専念する組織であるオポチュニティ・ホーム・サンアントニオのセキュリティディレクターです。この組織は 600 人のスタッフを擁し、74 の公営住宅コミュニティを管理し、62,500 人以上に住宅支援を提供しています。
「テーブルに着くことが私にとって最大の困難です」と、組織の最高執行責任者直属のイバラ氏は言います。 「セキュリティとは実際何なのかについての理解が不足していました。彼らは確かに私たちをコストセンターとみなしており、中にはセキュリティを必要悪と呼ぶ人もいました。」
しかし、彼は組織内のセキュリティに対する認識を変えることができ、組織が戦略的パートナーとしての機能を認識できるようになりました。
「信頼を築き、維持することから始まります」と彼は言います。
イバラが他の事業部門や組織の幹部とどのように信頼を築いたかについて挙げた一例は、と呼ばれる組織に関与していることです。。彼は、Opportunity Home San Antonio の指導者たちがその協会を支援しており、Opportunity Home がいかにこの分野のセキュリティのベスト プラクティスのリーダーであるかを紹介する記事を NAHRO に書いたと述べています。
カジノサイト は、認識について直接質問するだけでは飽き足らず、組織内でのセキュリティの位置づけがより戦略的になってきているという仮説を裏付ける結果となるかどうかを確認するために、他の特性についても調査対象者に質問しました。
そのような質問の 1 つは、セキュリティ専門家に、セキュリティ リスク評価における 10 の異なる要素の重要性を評価するよう求めました。 10 の要素には、「知的財産の紛失または盗難」や「資産 (有形または無形) の紛失、盗難、侵害のコスト」など、非常に伝統的なセキュリティ要素がいくつか含まれています。すべての要素がかなり高く評価されていますが、トップの要素は「組織の評判やイメージの低下」で 77% でした。
「これは、伝統的なセキュリティ部門が関与する伝統的な会話ではないため、興味深いと思います」と、カジノサイト の危機管理および事業継続コミュニティ運営委員会の委員長であるブレンダン モナハンは言います。 「これが示唆しているのは、当社のセキュリティ リーダーやマネージャーの一部が新たな領域を泳いでいるということです。これは、おそらく調査や物理的なセキュリティに焦点を当てた従来のセキュリティ機能よりも広い視野です。」
同氏は、同様に高得点となった他の要因、すなわち規制や基準の不遵守に対する罰金や出廷、業務効率への影響にも言及し、これらの分野を「ビジネス実現の機会」と呼んでいます。…最も重要なのは、ビジネスを理解し、戦略を知らなければならないということです」とモナハン氏は言います。 「私たちには独立した評価を行い、客観的な調査結果を提示する義務がありますが、企業が達成しようとしているものは何であれ、それらを結び付ける必要があります。」
カジノサイト はセキュリティ機能の投資収益率 (ROI) についても質問しました。調査対象となったセキュリティ専門家の半数以上 (53%) は、セキュリティの ROI を測定したと回答しました。このうち、ROI について定量的な尺度を使用していると回答したのはわずか 3 分の 1 (34 パーセント) であり、62 パーセントは ROI の定性的な説明を使用していると回答しました。
ROI は経営陣や取締役会が組織のプロジェクトや機能の価値を検討する一般的な方法であるため、これは重要な質問です。この調査結果は、セキュリティ専門家の半数以上が、他のビジネス部門と同等の方法でセキュリティの価値を伝えようとしていることを示しています。
「ビジネス部門では、ビジョンに向かって取り組んでいますが、それは実際にはお金と結びついています」と、オーランド マジックのセキュリティ担当副社長ラリー トンプソンは言います。 「付加価値が誰もが求めているものであることはすぐにわかります。課題は、セキュリティには価値があることをどのように人々に理解してもらうかです。
トンプソンは副大統領として、セキュリティの専門家としてテーブルに着いていることを幸運に思っています。しかし、彼はその席に自分がふさわしいことを示さなければなりません。
「事業計画を提出することが求められています」と彼は言います。 「必ずしも、[セキュリティ] が組織に利益をもたらす方法であることを特定するためではありません。しかし、セキュリティは非常に多くのさまざまな分野で私たちにとって重要であり、[セキュリティ] を正しい方法で行わなければ、ビジネスに悪影響が及び、運営さえできなくなる可能性があることを人々に理解してもらうためです。」
この計画で、トンプソンはセキュリティを他のビジネス機能に関連付け、セキュリティによってそれらの機能が繁栄できる環境を実現できることを示しています。
セキュリティを戦略的なビジネス資産にする上で、リスクのレンズを通してセキュリティ機能を検討するというアイデアほど重要なアイデアはおそらくありません。セキュリティとは常に、潜在的な脅威を特定し、それらの脅威から保護するための戦略を実装することです。これは今後もセキュリティの中核機能であり続けます。しかし、それらの脅威がもたらす影響を調査して理解するという次のステップに進み、セキュリティをリスクの分野に取り入れます。実際、成熟したセキュリティ リスクの実践は、その結果を理解することから始まります。ビジネス資産に起こり得る最悪の事態は何ですか?そしてそこから逆算して、どのような脅威がそのような事態を引き起こす可能性があるかを分析し、組織がそれらの脅威を最も効果的に無力化または軽減する方法を追跡します。
これは、 に接続します。ESRM ガイドライン: リスクは、セキュリティの組織価値を理解し構築するために不可欠です。 ROI と同様、リスクは他のビジネス機能が使用する概念です。
上記のビジネス実現に関する質問と同様に、この調査では、機能としてのセキュリティがセキュリティ リスク管理の導入において大幅に進歩したことが示されています。
セキュリティ専門家の 3 分の 1 は、組織が ESRM の実践に努めているか、セキュリティ リスクが組織全体のリスク管理機能に完全に統合されていると述べています。それが高尚に聞こえるかもしれませんが、おそらくその通りです。前に説明した偏見を思い出してください。調査に回答した人たちは、セキュリティの戦略的価値についてより高度な見解を持ち、それに向けて取り組んでいたと考えられます。
さらに 26% のセキュリティ専門家は、セキュリティ リスクは組織のリスク アプローチに完全には統合されていないかもしれないが、それでも経営幹部がリスクベースの意思決定に考慮するいくつかのリスク要因の 1 つであると述べています。その結果、41 パーセントは、セキュリティ リスクは一般にセキュリティ上の懸念事項にすぎないか、または自分の組織がセキュリティ リスク管理に取り組んでいないかのいずれかであると回答しています。
「私にとって、セキュリティ専門家の目標は、ビジネスをセキュリティ リスクの意思決定プロセスに導くことです」と、独立系セキュリティ コンサルタントである CPP の Gigi Agassini 氏は言います。 「そのためには、戦術的なものから戦略的なものに移行する必要があり、それは考え方の完全な変化です。戦術的なタスクに焦点を当てている場合、彼らは単なるタスク マネージャーですが、リスク マネージャーになる必要があります。そして、そのためには、ビジネスを深いレベルで理解する必要があります。…重要なアプリケーション、重要なプロセスとは何か、それらの領域に誰が関与しているのかを理解する必要があります。これが ESRM の基礎です。」
「リスクをコントロールすることと、リスクを取ることには違いがあります。それは、リスク許容度とリスク選好です」と、組織で ESRM の実践に努めているイバラ氏は言います。 「そして、私たち全員が同じ用語を使用すると、信頼が築かれる立場になります。私はいつも言ってきましたが、変化は信頼のスピードで起こります。」
他の安全保障指導者も同意する。
「セキュリティ リーダーの多くは、自分たちの仕事はリスクを回避することだと考えていると思いますが、実際はそうではありません」と Macquarie Group CSO の Wayne Hendricks 氏は a研究結果について話し合う。 「私たちの組織は、リスクを理解し、どのリスクを回避したいのか、どのリスクを受け入れたいのかを効率的な方法で知ることでお金を稼いでいます。そこで摩擦が起こり、お金を稼ぐことができる良い摩擦が発生します。私たちの仕事は、さまざまな組織や業界におけるリスク選好の文脈でそのリスクを明確にし、企業がリスクを受け入れるか、費用対効果のような形で「ノー」と言いやすくなるような方法でそれを定量化できるようにすることです。今、私たちはそうなりつつあります。ビジネスマン、そして私たちは真のイネーブラーになり始めています。」
ESRM は多くの組織では達成不可能な目標である可能性があります。正直に言うと、セキュリティ責任者だけでは ESRM を組織の実践に一方的に組み込むことはできません。資産所有者がセキュリティリスクを含む資産に関連するすべてのリスクに責任を負うという考えは、多くの組織にとって非常に斬新な考えである可能性があり、抵抗に直面する可能性があります。しかし、41% がセキュリティ リスク管理を採用していないか、組織のセキュリティ以外の領域には影響を与えていないと回答しており、経営陣や他の事業部門と連携する方法としてリスクを利用してセキュリティを継続的に戦略的に成長させる余地が十分にあることを示しています。
全体として、この調査は、セキュリティ専門家が組織内でセキュリティを戦略的資産にする必要性を理解しており、そこに到達することにある程度の成功を収めていることを示しています。
「私が提案したいのは、コストセンター、『門、警備員、そして銃』モデルであるということです。時々、私たちがそのように認識されているのです。私の希望は、私たちセキュリティ専門家が自らをビジネスイネーブラーであると表現することです」と、カジノサイト CEO であり、複数の組織の元上級セキュリティ リーダーである William Tenney 氏は、調査に関するウェビナーで述べました。 「私は民間部門で職務に就いていたので、コストセンターになることには興味がありませんでした。それは組織の使命をサポートするものではありません。専門職の進歩にとって、そして専門家としての私たちにとって、ビジネスイネーブラーアプローチを取ることが重要です。
「私が見てきた[セキュリティ]チームの効果的な取り組みは、企業の戦略を活用し、企業が直面するリスクとインシデントを[特定]し、それを利用してセキュリティがどのようにそれを可能にするかについて話し合うことです。」とテニー氏は続けました。 「現実の世界には、企業やその戦略に侵入し、混乱させる醜い方法があります。そのときこそ、セキュリティが介入して、どのようにして企業が組織の成功を達成し、売上を伸ばし、ビジネスを推進できるかを説明する絶好の機会となります。」
調査結果に関する完全な報告書、進化するセキュリティの役割を理解する: 2025 年のセキュリティ トレンド, Resolver がスポンサーとなり、カジノサイト ウェブサイトで入手可能です。
Scott Briscoe は、カジノサイト International のコンテンツ開発ディレクターです。彼はセキュリティ トレンド調査プロジェクトを主導しました。
