カジノサイト
効果的な変更管理によるサイバーセキュリティの強化: CIA で学んだ教訓
組織の変更管理は本質的に不安を引き起こします。変更管理の取り組みをサイバーセキュリティに集中させると、ストレスの多い複雑なタスクがさらに困難なものになります。 内のレイヤーその 70 パーセント全部のうち変更プログラムが失敗するそれはまったく不可能に思えるかもしれません。しかし、変更管理はそれほど厳しいものである必要はありません。
典型的な罠を回避し、連携を構築し、信念と一貫性を持って行動すれば、成功は可能です。 2020年代初頭に米国中央情報局(CIA)で私が遭遇したのはまさにそのような状況だった。これらは、その気の遠くなるような、しかし最終的には成功した取り組みから得られた教訓です。
構造変化が不可欠な場合
2010 年代、世界が 9/11 の余波から立ち直るにつれ、CIA は、正当な理由からテロリズムに焦点を当てていることが、世界を変革するデジタル革命に影を落としていることを認識しました。 「The Agency」は半世紀にわたって新しい部門を導入していませんでしたが、2015 年にデジタル変革に対する激しい需要に対応するためにデジタル イノベーション部門 (DDI) が発足しました。この歴史的な再編中に、デジタル部門の大部分が新しい部門に移動しましたが、1 つの大きな例外がありました。サイバーセキュリティはサポート部門の管轄下に残りました。
5 年ほど早送りすると、サイバーセキュリティを DDI の外に留めておくと、運用上重大な課題が生じることが明らかでした。サイバー防御は、任務の構成要素にとって作戦の足かせとなることがよくありました。チームには才能のある献身的な専門家が揃っていましたが、彼らの努力は IT の提供やデータ管理の取り組みと同期していないことがありました。さらに、サイバーセキュリティ チームを CIA の残りのデジタル専門家から分離することは、共通の理解と共同の使命感を構築する人材の相互受粉にとって、意図せぬ障壁となっていました。デジタル化が進む CIA の DNA にサイバーセキュリティを完全に統合するために、サイバーセキュリティを DDI に移行する時期が来たというコンセンサスが高まりました。
DDI の上級役員として、私は他の任務分野でデジタル変革と変更管理にある程度の経験がありました。すべての局の CIA 指導者は、そのキャリアを通じて、変化を管理する方法について正式な訓練を受けています。新しい最高情報セキュリティ責任者 (CISO) としての引き継ぎを初めて依頼されたとき、そのトレーニングと経験にどれほど感謝するか、私はほとんど知りませんでした。
サイバーセキュリティはどこに属しますか?
サイバーセキュリティに対する要求が進化するにつれて、より広範な組織内でチームをどのように位置づけるかという問題が大きな注目を集めています。多くの組織では、ビジネス リーダーはサイバーセキュリティが生産性の足かせになっていると感じており、サイバーセキュリティの専門家はビジネス リーダーが「それを理解していない」と考えています。このようにする必要はありません。リーダーがサイバーセキュリティと組織の使命との整合性を達成するのに役立つ原則があります。
連携の指針となる基本原則は、サイバーセキュリティ リスクとオペレーショナル リスクは不可分であるということです。この原則に違反すると、調整は不可能になります。
CISO の役割を強化するにつれて、ミッション リーダーがサイバー リスクが自分たちのミッションに直接影響する範囲を十分に理解していないことが明らかになりました。私は、何十年にもわたってこれらのリーダーたちと一緒に働いてきたことから、彼らがいかに賢く、有能で、プロフェッショナルであるかを知っていました。このズレは構造的なものに違いありません。これらのリーダーとそのチームは、国家にとって正しいことをしようと毎日朝起きています。彼らの頭の中でサイバーセキュリティがそのイメージの大きな部分を占めているとしたら、彼らはそれを真剣に受け止めるだろうと私は疑いませんでした。
変化を主張する
サイバーセキュリティ チームを DDI のもとに移動させるための論理的議論は明確でした。それは、エンジニアリング、データ、IT、人工知能 (AI) 機能全体にわたってセキュリティをより緊密に統合し、CIA のデジタル チームがより効率的かつ効果的に中核任務をサポートできるようにすることです。私たちの目標は、セキュリティを障害物としての見方から、真のミッションを可能にするものへと移行することでした。しかし、変更管理は決して簡単ではありません。
私たちは、全員が責任を負えるように、すべての職能領域にわたるワークフロー内にリスク所有権を組み込む方法を見つけ出す必要がありました。理想的な状態では、サイバーセキュリティはワークフローに深く組み込まれているため、ギャップは自動的に修正されます。脆弱性が「部外者」によって特定され、修正が上から押し付けられるのではなく、最前線からのプル戦略になります。
サイバーセキュリティ チームを DDI に移行するための根拠を構築し、それがどのように機能するかを正確に定義することは、これらすべてを考慮した体系的で研究された取り組みでした。
効果的な変更管理の構成要素
CIA の元同僚と同じように、私も長年にわたって素晴らしい訓練を受けてきました。ジョン P. コッターによって開発されました。彼の方法論は長い間北極星でした。大規模な変更管理の取り組みを開始する必要がある場合は、無理に取り組んだり、車輪の再作成を試みたりしないでください。見習うべき優れたモデルがあります。実証済みのプラクティスに基づいて構築すると、さらに速く進むことができます。
戦術的な詳細を超えて、これらは CIA でのこの重要な組織変更の実施の成功に不可欠であると私が感じた 6 つのことです。
魅力的なストーリーを作成します。変化を広めるには、並外れた量の深い傾聴、総合、ストーリーテリングが必要です。技術的な考え方を超えて、あらゆるレベルの人々を積極的に巻き込む必要があります。
変更管理は接触スポーツです。もちろん、これは比喩的な意味で言っていますが、重要なのは、変革の取り組みの 70% は何らかの理由で失敗するということです。それは、「組織の変革は疲れる!」という理由です。人々を巻き込んで、自分が提唱している変化が彼らやより広範な組織にとってなぜ重要なのかを彼らが理解できるように支援することで、抵抗を克服します。サイバーセキュリティの重要性を高め、人々をこの計画に参加させるには、管理しなければならない集合的なリスクを全員が明確に理解できるようにする必要がありました。彼らが自らの責任の重さを感じ、それを日々の業務に組み込んでいない限り、自己修正システムを構築することはできません。]
これを達成するために、私のチームと私は、1 対 1 の会議から従業員間のコミュニケーション、「CISO に聞く」フォーラムまで、あらゆる機会を利用して人々の前に出るようにしました。人々はあなたのアクセシビリティに注目します。彼らはあなたの情熱を感じています。あなたが語るストーリーは、論理的レベルと感情的レベルの両方で共感を呼ぶものでなければなりません。
早めに味方を見つけてください。変更管理はチームスポーツです。純粋な意志の力で組織に変化をもたらすことができると考えているなら、あなたは大きな驚きに直面することになります。私の場合、最も必要な味方は明らかでした。それは最高情報責任者 (CIO) でした。彼女は私がこれまで会った中で最も信頼でき、才能があり、インスピレーションに満ちたリーダーの一人であり、政府機関全体で幅広い支持を受けていました。私にとって幸運なことに、彼女はサイバーセキュリティを非常に真剣に受け止めており、リーダーたちにはサイバーセキュリティを「主要なもの」として、IT を「副次的要素」として見る必要があるとさえ言いました。これは、膨大な憲章を持つ CIO が言うべきことであり、私たちが一緒に開発し洗練させてきた変化への要求を強化するのに役立ちました。
CIO と私は、CIA の幹部指導チームへのアクセスと支援を得ることができたことに深く感謝しています。副COO、COO、副長官、そして長官自身は、CIAの使命にとってサイバーセキュリティの中心的な重要性について完全に一致していた。広範な組織規模で変化を推進しようとしている場合、上司に自分の話を補強してもらう以外に手段はありません。
変化によって何かを失う可能性がある関係者は、敬意と特別な配慮に値します。勝者と敗者の観点から考えることは、組織変革に取り組むのに良い方法ではありませんが、実際には、人々はリソース、使命、影響力を譲渡することを好みません。サイバーセキュリティ チームの異動に関しては、サイバーセキュリティ チームを失うことを覚悟していたサポート副部長が、個人的なエゴが決して介入しない、使命と人々を第一に考えるリーダーだったという点で、私たちには大きな利点がありました。
提案された変更が正しいことであると確信すると、彼女とデジタル イノベーション担当副部長は協力して、この数か月にわたる変更の取り組みを支える多くの詳細が迅速かつ効果的に処理されるように努めました。彼らの無私のアプローチは、ステークホルダーの連携が強ければ何が達成できるかを示す感動的な例でした。
抵抗に備えてください。かどうか抵抗現状への満足感が根付いているか、変化に対する文化的抗体が組織全体に循環しているため、さまざまな利害関係者が変化を掘り起こして闘う準備を整えてください。組織の過去の変革への取り組みを研究して、地雷がどこに隠されているかを把握してください。多くの組織には、利用できる公式の歴史家機能があります。あるいは、組織内の事実上の歴史家を特定し、彼らに教育を依頼する必要があるかもしれません。これらは、文脈を埋め、抵抗のパターンを確認し、根深い皮肉をより深く理解するのに役立ちます。変化は失敗する運命にあると何度も言われても、立ち直ってください。熱心に勉強し、そのプロセスを信頼してください。
関係者を調整します。これは魅力を攻撃するものではありません。変更管理とは、実際の懸念を理解し、既存のインセンティブを明らかにし、将来のインセンティブが組織の望ましい最終状態と一致するようにすることです。いつでも聞いてメモを取る準備をしてください。これは、あなたが継続的に磨きをかけている魅力的なストーリーの主題です。
私が信頼できるものの 1 つは、CIA の伝説的な使命感でした。 CIA 職員は、使命のために正しいことを行うように組み込まれています。邪魔をするサイバーセキュリティ担当者を避けることが正しいと考えるなら、そうするでしょう。私たちはサイバーセキュリティと連携することが正しいことであることを彼らに示す必要がありました。私たちは、CIA のさまざまなミッション センター (民間部門の事業部門に相当) に合わせたリスクの視覚化を開発し、担当のアシスタントディレクターに、自分の目で確認できるようになったリスクの管理方法を指導しました。サイバーセキュリティのリスクが自分たちの世界にどのような直接的な影響を与えるかを彼らが理解できるようになると、私たちは関係者との調整をより迅速に行うことができるようになりました。これは重要なポイントです。リスクの概念的な概念を単に提示することはできません。影響を与えるには、文脈を考慮する必要があります。
サポートを制度化するには、インセンティブを調整する必要があります。人はどのように評価されるのでしょうか?彼らが達成しなければならない目標や主要業績評価指標は何ですか?賞やボーナスは何らかの形でリスク軽減に結びついているのでしょうか?この場合、私たちはまた、サイバーセキュリティをより統合するとミッションが遅くなるのではないかという最大の懸念にも真正面から取り組む必要がありました。私たちは可能な限りミッションを実際に加速するという目標に取り組んでいます。また、加速が不可能な場合でも、ミッション チームメイトが正しく行うための努力については透明性を保っていました。
早めの勝利を確保。継続的に具体的な成功をストーリーテリングに取り入れ、それらの成功ストーリーに関与した組織全体の多くの人々を強調します。 (CISO の皆様、申し訳ありませんが、この話はあなたに関するものではありません。これは、力を合わせて変化を可能にする人々に関するものです。) 私たちの取り組み中、私たちはしばしば若手社員を経営幹部に取り上げ、彼らがどのようにして政府機関全体で優れたサイバーセキュリティを推進しているかを説明しました。この進行中のプロセスは、変化が可能であることを示すだけでなく、それが伝染性の熱意を生み出すことも示しています。この進歩の感覚をキャンペーンにパッケージ化できれば、さらに良いことになります。
スケジュールをしっかり守ってください。変化を求める声に危機感を吹き込むことは、興奮と勢いを生み出すために重要であるだけでなく、長引く変化プロジェクトに人々がうんざりしてしまうためでもあります。組織の大きな目標やイベントに積極的な期限を結び付けることは、非常に効果的です。人は一般的に失敗することを好みませんし、派手に公の場で失敗することも本当に好みません。タイムラインをどのように設定するかに関係なく、成功がどのようなものであるか、そしてその成功に向けた進捗がどのように測定され伝達されるのかを関係者全員に明確にしてください。また、改訂の必要性についても考慮し、その要素をタイムラインに組み込んでください。たとえ全体的に成功したとしても、変更プロジェクトのすべての側面が正しく行われるとは限らないという現実に備えてください。
結局のところ、私たちは皆人間です
変更管理は気の弱い人には向きません。あなたが変化を訴えれば、人々は反発するでしょう。何が起こっても、明晰さと信念を持って、しかし共感を持って先導してください。すぐに変化を求める声を再検討し、もう一度ストーリーを語り、データを共有し、あらゆるレベルの人々に協力してもらうために時間を割く準備をしておく必要があります。これは、変更管理の失敗統計に寄与することを回避する方法です。
その過程で過度にイライラしたり怒ったりする場合は、方針を変える必要があるかもしれません。本当の障害にぶつかっている場合、つまり、途中で失敗しているように感じられる場合は、懸念事項を完全に理解していない、またはインセンティブを効果的に調整できていない可能性があります。それが個人的なものだと感じ始め、人々が攻撃されているかのように反応している場合は、一歩下がって再評価する時期が来ています。フォローしている変更フレームワーク全体を実行し、見逃している可能性のある手順を探します。
いかなる変化においても、人間の感情が中心的な推進力となります。それを覚えておくことは、おそらくプロセスの最も重要な部分です。 CIA の献身的な専門家が、一か八かの使命のあらゆるプレッシャーと要求にもかかわらず、変更管理の課題を乗り越えることができるのであれば、あなたもそれが可能です。
William MacMillan は Andesite の最高製品責任者であり、Andesite の全体的な製品ビジョンと戦略を設定しています。マクミラン氏はこれまで、Salesforce の情報セキュリティ担当上級副社長、中央情報局 (CIA) の CISO を務め、同局のサイバーセキュリティ戦略と組織の大幅な変革を主導しました。マクミランは、米空軍の戦闘救助および特殊作戦コミュニティでの士官およびパイロットとしての勤務を含むキャリアを通じて、内部関係者の脅威、サプライ チェーンのリスク、およびインシデント対応の問題に焦点を当ててきました。
© 2025、ウィリアム M. マクミラン
