カジノサイト

Q&A: 全体的なセキュリティを実現するための変更管理

物理、サイバー、復元力の統合は、セキュリティ業界のベスト プラクティスとして長い間宣伝されてきましたが、セキュリティ チームを統合している組織は 15% のみであり、他のほとんどの組織では考慮されていません。

代わりに、Clarity Factory からの最近の研究,総合的なセキュリティ モデルを通じて組織間のパートナーシップとリソースの共有を追求することを推奨します。これらのパートナーシップにより、特に物理チームとサイバー チームの間でますます絡み合うリスクに関して、セキュリティの成果を向上させることができます。さらに、総合的なアプローチにより、運用の回復力が強化され、投資家と規制当局の信頼が高まり、効率が向上します。

パートナーシップや組織再編を進める際には、変更管理の原則が大いに役立ちます、とクラリティ ファクトリー CEO、OBE のレイチェル ブリッグス氏は言います。セキュリティ管理総合的なセキュリティ モデルとそれを実現するための実践的な手順について詳しく知るために、電子メールでブリッグス氏と連絡を取りました。

明確さと長さのために会話は軽く編集されています。

セキュリティ管理(SM)。総合的なセキュリティ モデルはどのように運用上の復元力を高めるのでしょうか? 

レイチェル・ブリッグス。グローバル企業にとっての脅威とリスク環境の総合的な性質を認識している規制当局や投資家から、業務の回復力に対する関心が高まっています。その結果、ビジネス リーダーは、リスク リーダー (セキュリティを含む) に対するリスクの統一されたビューをますます要求し、サイロ化がビジネスに悪影響を与えることを認識しています。

物理セキュリティとサイバーセキュリティは、運用回復力の 3 つの重要なプロセスを担当します。事業継続性 (CSO の 50% が責任を負い、残りの 50% が関与します)、危機管理 (ほぼすべての CSO が責任を負います)、および災害復旧 (通常、サイバーセキュリティ、またはサイバーが所属する広範な IT チームまたはテクノロジ チームの責任です)。

運用上の真の回復力を実現するには、これら 3 つのプロセスを 3 つの別々のストランドではなく、強力なロープのように一緒に編む必要があります。そうして初めて、運用上の復元力全体が、その部分の合計よりも価値のあるものになるのです。

総合的なセキュリティによる最大の成果は運用上の復元力であり、完全に成熟した企業は運用上の復元力のプロセスを組み上げています。

SM。総合的なセキュリティを支えるパートナーシップを形成するには誰がテーブルに着く必要があるでしょうか?

ブリッグス。CSO と CISO は、総合的なセキュリティを実現するための重要なパートナーです。CSO と CISO は、自分自身を第一にリスク リーダー、次に機能責任者、狭いチームの利益よりも会社を優先できる人材であると考えるリーダーであるかどうかにかかっています。多くの CSO や CISO は、良好な人間関係を機能上の強力なパートナーシップと誤解しています。これは確かに役立ちますが、それだけでは多層的なコラボレーションを実現できず、離職に非常に敏感です。

最も成熟した企業は、両方のセキュリティ リーダー チームをテーブルに招いて連携を深め、コラボレーションへのインセンティブを提供し、すべてのチーム メンバーに動きを台本化して、状況がどのように変化する必要があるのか、新しい働き方を実現するために何をする必要があるのかを全員が理解できるようにしています。重大な変化をもたらそうとする場合、介入しない管理やリーダーシップは機能しません。

多くの CSO や CISO は、良好な人間関係を機能上の強力なパートナーシップと誤解しています。これは確かに役立ちますが、それだけでは多層的なコラボレーションを実現できません。

SM。これらのサイロを打破する上で最も価値のある変更管理原則はどれですか。 より一貫性のあるセキュリティと組織の回復力のアプローチを開発していますか?

ブリッグス。変更管理プロセスにおける最も重要な成功要因は文化です。 IBMの元最高経営責任者（CEO）、ルイス・ガースナー氏は、最も成功し、重要な企業再建を主導した後、こう述べた。「IBMに在籍していた頃、文化は単なるゲームの一側面ではなく、ゲームそのものだということが分かるようになった。」 

私たちがインタビューした CSO と CISO (総合的なセキュリティレポート) もこれを認識しており、CSO の 3 分の 1 が文化をサイバーセキュリティとのパートナーシップに対する最大の障害としてランク付けしました。基本的な現実は、物理的な同僚とサイバーセキュリティの同僚は異なる言語を話し、異なる視点と時間枠を持っており、お互いが何をしているのかを理解していないということです。統合チームの CSO でさえ、人々を同じ部屋に集めてもパートナーにはならないことを認めています。彼らは従来の働き方に戻ってしまいます。

だからこそ、総合的なセキュリティ成熟度モデルでは文化が最優先され、このモデルが機敏で柔軟になるように設計されているのです。セキュリティ チームには異なる文化があり、基本原則を理解し、それを自分たちとその組織にとって最適な方法で適用する必要があることを私たちは認識しているからです。

SM。これらを変更するときに、最初に参加者の感情的なニーズについて話し合う必要があるのはなぜですか モデルと行動?

ブリッグス。人間は変化を好みません。それは私たちが暴露されていると感じ、どのように行動すべきか確信が持てなくなるので怖いです。その結果、プレッシャーを受けると、私たちは自分が知っているコンフォートゾーンに戻ってしまう傾向があります。セキュリティ チームが非常に作業していることを考えると、高圧環境、このため、細かく研ぎ澄まされた変更管理慣行を適用することがさらに重要になります。

多くの場合、私たちは構造やプロセスを変更すれば、行動もそれに伴うものだと思い込んでいます。そんなことは起こらない。人間は単に新しいシステムを回避する方法を見つけるだけです。

代わりに、変化プロセスは変化が恐ろしいという事実を認識し、ナビゲートしやすくする方法を設計する必要があります。どの行動を変える必要があるのか​​、どのように変えるべきなのかをミクロレベルまで明確にしてください。現状ではなく変化に報酬を与えるインセンティブを導入します。パートナーシップの行動とセキュリティの成果を測定して、パートナーシップの働きに適応している同僚にスポットライトを当てます。役割と責任を明確にして、何が期待されているか、自分の仕事が周囲の同僚の仕事とどのように関係しているかを全員が理解できるようにします。

これにより、変化の周りにガードレールが設置され、変化がより安全かつ簡単に感じられ、困難を感じている同僚にサポートが提供されます。

SM。あなたのレポートでは、正しい動作を簡単にすることと、間違った従来の動作について言及しています さらに難しい。セキュリティ リーダーは、どうすれば懲罰的、イライラ感を感じずにこれに取り組むことができますか。 参加者にとって紛らわしいですか? 

ブリッグス。明確さは効果的な変更管理の重要な要素です。著名な変更管理の専門家であるチップ・ヒース氏とダン・ヒース氏が、「動きのスクリプト化」の重要性について語ります。どういうことかというと、リーダーとして、物事を一口サイズの塊に分解して、どのように他と違うのか、そして自分たちに何が期待されているのかを全員が理解できるようにする必要があるということです。

チームを細かく管理しているような気がして、不快に感じる人もいるかもしれません。ただし、手を離すことは、通常業務のチームや小規模な調整が必要なチームでは力になりますが、大きな変化が必要な場合は逆効果です。このような状況では、チームは正確に何をどのように変更する必要があるのか​​、タスクレベルに至るまで明確にする必要があります。プレッシャーが高まったときに古いやり方に頼らないように、新しい筋肉の記憶を構築する必要があります。また、何が機能し、何が機能しないのかを把握しながら軌道修正する必要があります。それができるのは、ある程度彼らと一緒に塹壕にいる場合だけです。

今日のリーダーにとって、これは直感に反するように思えます。しかし、成功した変革プロジェクトについて私たちが知っているすべてのことは、それが不可欠であることを示しています。

明確さは効果的な変更管理に不可欠な要素です。

SM。総合的なセキュリティを実現するためのパートナーシップの構築を始めるために、セキュリティ リーダーは今何をすべきでしょうか?

ブリッグス。CSO と CISO には、総合的なセキュリティの構築を開始するために 4 つのステップを踏むようお勧めします。

まず、セキュリティ ピアとの会話を開始します。 The Clarity Factory を使用している数え切れないほどの CSO や CISO から聞いています。成熟度スペクトルのどの位置にいるのか、自分たちにとって適切だと考える成熟度のレベル、パートナーシップを成熟させるために取るべき次のステップについて話し合いを始めるためです。次のステップに進みたい場合は、総合的なセキュリティ自己評価ツールを使用できます。

この議論をするときは、収束をテーブルから外すことを強くお勧めします。収束は防御につながる可能性があるからです。最終的にたどり着くべき場所であるかどうかに関係なく、オープンで好奇心を持って会話を始めてください。

第二に、パートナーシップが双方に利益をもたらす簡単な成果と高収益の機会を 1 つまたは 2 つ特定します。たとえば、これを具体的にします。不可能な旅行や内部関係者のリスクをより適切に処理するには、物理​​的なアクセス制御データとシステムのアクセス制御データをどのように統合すればよいでしょうか?物理的およびサイバーセキュリティの脅威管理チームはデータ ソースをどのように共有できますか?あるいは、サイバーセキュリティと提携して、幹部保護プログラム内のデジタル セキュリティを強化するにはどうすればよいでしょうか?

第三に、あなたが組織にもたらした勝利の具体的な例を交えて、総合的なセキュリティの原則と利点をマネージャーに伝え始めます。どこに報告するかについて決定権はないかもしれませんが、影響を与える機会はあるので、それを活用してください。

第四に、どこかから始めて辛抱強く構築してください。最初のデートで結婚してほしいとは頼みませんし、本格的なパートナーシップが一夜にして実現することも期待できません。時間がかかります。忍耐強く、粘り強く、前向きであり、挫折を失敗の兆候ではなく学習の機会として捉えてください。総合的なセキュリティはビジネスに役立ちます。

クレア・メイヤーはの編集長ですセキュリティ管理。 LinkedIn または電子メールで彼女とつながりましょう。[email protected].