企業のセキュリティ リスク管理の実践の基礎 (ESRM) は資産を特定して優先順位を付け、それらの資産に影響を与える可能性のあるリスクを特定して優先順位を付けています。新型コロナウイルス感染症のパンデミックによる前例のない範囲の社会的混乱は、信じられないほどの混乱を評価し緩和することで、人的資産を含む資産を可能な限り保護することを目的とした緊急計画を実行する組織に大きなプレッシャーを与えています。

パンデミックによって引き起こされた非常に破壊的な行動には、おそらく数か月間にわたる施設の閉鎖、営業を続ける施設に対する新たなスクリーニングまたはワークフロー手順、全従業員の数週間または数か月にわたる突然の在宅勤務、出張のほぼ完全な閉鎖、一時帰休と一時解雇、大規模な世界的な経済的困窮などが含まれます。このリストは数え切れないほどあります。

企業が感じた最初の影響のいくつかは、サプライ チェーンにかかるストレスでした。

「中国からのサプライ チェーンに大きく依存しているクライアントに対して、私たちは早い段階からこの取り組みを始めました」と、Guidepost Solutions のセキュリティおよびテクノロジー コンサルティング業務を率いる John Torres 氏は言います。 「そこで私たちは1月にクライアントと協力して、サプライチェーンをここ米国、ラテンアメリカ、ヨーロッパなど他の場所に再構築できるように調整し、方向転換することに取り組みました。そして、ウイルスの蔓延を見てきたので、アプローチは適応し続ける必要があります。」

一方で、英国に拠点を置くセキュリティ リスク コンサルタントである HawkSight Security Risk Management のマネージング ディレクターであるポール マーサー氏は、世界的なパンデミックとその後の経済的困窮が広範な社会不安と犯罪の顕著な増加を引き起こす可能性を含め、監視する必要がある新たな脅威が数多く存在すると述べています。

「このパンデミックに関連する明確な健康関連リスクを私たちは理解し始めていますが、一方で、私たちが焦点を当て始めるべき新たな脅威もあります。たとえば、社会不安です」とマーサー氏は言います。 「アラブの春の経験は、極端な例ではありますが、不満の出発点が平和的抗議活動から暴力的抗議活動、そして法と秩序の完全な崩壊に移行する可能性があることを実証しました。特に世界の一部、医療が不足し、既存の紛争に苦しんでおり、リーダーシップが信頼できない地域では、これが連続的に起こっており、このパンデミックのような前例のない緊急事態が潜在的に引き起こす可能性のある出来事の種類を認識する必要があります。」

セキュリティに対する総合的なアプローチの重要性

組織がパンデミック対応の一環として対処しているリスク要因の数、変動性、複雑さは、ESRM アプローチがなぜそれほど重要であるかを示しています。デロイトのサイバーリスクマネージャーである CPP のデビッド フィーニー氏が、この記事を作成した委員会の委員長を務めました。カジノサイト ESRM ガイドラインそして彼は、セキュリティ リスクの全体的な性質を説明するために、多くの注目を集めた例を挙げています。

従業員がオフィスビルに一斉に集まるのをやめ、ホームオフィスで働き始めたとき、サイバー犯罪者はチャンスを嗅ぎつけ、暴走しました。巧妙に設計されたフィッシング スキームとマルウェアは、不慣れな状況を利用してネットワークに侵入したり、システムの身代金を要求したりすることを目的としていました。

「セキュリティ専門家として、私たちはセキュリティを物理的セキュリティやサイバーセキュリティなどの限定条件でサイロ化する傾向があります。脅威はそのようには機能しません」とフィーニー氏は言います。 「脅威は、それ自体を分類することを考慮せずに脅威です。リモート ワーカーの影響を考えてください。リモート ワーカーは会社のラップトップを使用しますか、それとも自分のコンピュータを使用しますか? これにより攻撃対象領域はどのように変化しますか? 新しい脆弱性は存在しますか? 追加の制御が必要ですか? これらのサイバーセキュリティに関する考慮事項はすべて、伝統的に物理的なものとみなされている脅威、つまりパンデミックに起因します。」

ESRM の規律と、組織に対する個別のサービス提供機能としてセキュリティを実践するのではなく、総合的かつ組織的なアプローチとしてセキュリティ リスクを理解することは、実際に危機時にその組織にどのように役立ちますか?この質問に答えるには、ESRM の基本を理解する必要があります。以下の抜粋は、カジノサイト ESRM ガイドライン:

エンタープライズ セキュリティ リスク管理 (ESRM) は、世界的に確立され受け入れられているリスク管理原則を使用して、組織のセキュリティ実践を全体的な戦略に結び付けるセキュリティ管理への戦略的アプローチです。 ESRM では、セキュリティ専門家と資産所有者がセキュリティ責任を共有しますが、セキュリティに関する最終的な決定はすべて資産所有者の責任となります。

ESRM アプローチは、物理的セキュリティ、サイバーセキュリティ、情報セキュリティ、損失防止、組織の回復力、ブランド保護、渡航リスク、サプライ チェーン セキュリティ、事業継続性、危機管理、脅威管理、詐欺リスク軽減、職場暴力防止など、セキュリティ リスク軽減慣行の全範囲に対応します。 ESRM は、セキュリティへの取り組みのすべての重要な要素を、保護を必要とする組織の資産と結び付けます。

…ESRM の目的は、組織がその全体的な使命を推進できるようにする保護活動を優先して、組織に対するセキュリティ リスクの可能性や影響を特定、評価、軽減することです。セキュリティ専門家は ESRM を利用して、セキュリティ リスクを積極的に管理し、経営陣や資産所有者に伝達することで、組織の使命を推進します。 ESRM はセキュリティ活動を状況に応じて把握し、経営トップが保護の優先順位を設定し、リソースを割り当てるのを支援します。この関与により当事者意識が醸成され、トップマネジメントのプログラムへのコミットメントが確立されます。

ESRM の核心は、組織がその資産を保護するための戦略的アプローチであり、組織の資産には、人材、施設、物理的財産などの有形資産から、サプライ チェーンやブランドの評判などのより概念的な資産まで、あらゆるものが含まれます。

「全体的なアプローチは、十分な層を積み重ねると穴が整列せず、リスクを通過できないという古いスイスチーズモデルをサポートしています」とマーサー氏は言います。 「サイロ化されたプログラム管理タイプのアプローチとは対照的に、より戦略的なセキュリティ管理アプローチを採用することは、はるかにコスト効果が高く、潜在的な脅威を軽減することに成功します。ESRMガイドラインには、これの最初の戦略は、会社レベルと会社が置かれている経営環境の両方で達成しようとしていることのコンテキストを確立することであると明確に記載されています。現在、蔓延しているパンデミックの脅威に焦点を当てているのは明らかですが、私たちはまた、新たな脅威環境とその方法にも焦点を当てなければなりません。それは現在および将来の特定の企業に影響を与える可能性があります。」

ESRM は、インシデント発生時に組織に迅速かつ自信を持って行動を起こす自信を与えます。 「即座にインシデント対応を設定できる必要があります。それを可能にする唯一の方法は、テストすることです」とトーレス氏は言います。 「トレーニングや対応の練習がなければ、危機が起こっているときに問題をテストして実行しなければならないことに気づき、それはより困難な問題です。建物への訪問者のアクセスを制限するというアイデアをテストするつもりで、ポリシーを導入する前にそれが組織の資産にどのような影響を与えるかを判断するのに 1 週間かかるとしたら、それは従業員を病気にさらす可能性のある 1 週間です。」

フィーニー氏は、「ESRM はセキュリティ リスクを管理するためのアプローチであり、インシデントが発生する前に影響を与えることを意味します。」と述べています。資産とリスクは、セキュリティ専門家の指導を受けて資産所有者によって特定され、優先順位が付けられます。

「資産所有者は資産に関する専門知識を持っているため、この段階では意思決定者です。」と彼は付け加えました。

組織のすべての資産所有者によるセキュリティ リスク管理の決定は、セキュリティ マネージャーによって管理および実行されるセキュリティ計画に文書化されます。インシデントによって組織のリスクが表面化する前に、セキュリティ マネージャーは、さまざまな資産所有者によるリスク管理の決定が相互にどのように影響するかを理解するよう努めます。セキュリティ マネージャーは計画を分析し、組織が取るべき訓練やその他の準備措置を指揮します。

「ESRM を利用している組織と、ESRM を利用していない組織を比較すると、パンデミックのリスクを軽減するために、在宅勤務、臨時休業、営業時間短縮など、実際にはどちらも同じ措置を講じることになる可能性があります」とフィーニー氏は言います。 「しかし、違いはそこに到達する方法にあり、その結果、2 つの組織は同じ一連のコントロールからさまざまな程度の効果を経験する可能性があります。」

ESRM を使用している組織では、資産所有者の承認がプロセスに組み込まれており、インシデント対応がよりスムーズで成功したものになります。 「資産所有者は管理と対策の価値を理解しており、それによって生じる可能性のある不都合をより受け入れています」とフィーニー氏は言います。

ESRM を実践していない組織では、セキュリティ管理者が独自にセキュリティに関する決定 (または推奨) を行いますが、その決定の影響を受ける人々が積極的に反対したり、その決定が組織の使命に対する資産の影響をしっかりと理解した上で行われなかったりする可能性があります。 ESRM が回避しようとしているのは、まさにこのタイプの不一致と不協和音です。

「事業継続の一環として、従業員の健康と安全だけでなく、会社の健康と安全も確保し、存続を継続できるようにすることが重要です」とトーレス氏は言います。 「数カ月後、この状況から抜け出すたびに、あらゆる種類のセキュリティ違反、訴訟、または危険な立場に陥ることは望ましくありません。総合的に考慮すべきことがたくさんあります。それは、訪問者のアクセス制御や物理的なセキュリティ対策の枠をはるかに超えています。」

ESRM とインシデントの管理

インシデントが発生すると、リスクに対する責任を負う資産所有者から、セキュリティ制御と対策を実装および管理するセキュリティ管理者へと状況が移り変わります。 ESRM が開発したセキュリティ計画により、セキュリティ管理者は危機に応じて自信と決断力を持って行動できる広範な組織的状況が得られます。

「インシデントの検出から復旧までの計画の実行は、セキュリティ専門家のゴールデンタイムです」とフィーニー氏は言います。 「セキュリティ専門家は、セキュリティ インシデント対応に関する専門知識を持っているため、この段階での意思決定者であり、実際に対応全体を管理します。」

これを効果的に行うには、ESRM ガイドラインセキュリティ管理者が行動しなければならない状況を説明します。組織の資産所有者や上級幹部と協力することで、インシデント発生時に彼らがとった行動が組織の使命やビジョン、核となる価値観、運営環境、利害関係者にどのような影響を与える可能性があるかを明確に把握する必要があります。

マーサー氏は、効果的な危機管理に最初に必要なのは、何が起こっているのかについての共通理解を発展させて伝達する手段であり、これは技術的解決策を示す要件であると述べています。

「たとえばパンデミックの場合、大量のデータが飛び交いますが、そのほとんどは健康上の懸念に焦点を当てています。起こっていないのは、新たなセキュリティ脅威データのオーバーレイがないことです」とマーサー氏は言います。彼は、人々の印象や状況分析に依存せず、信頼できるデータに基づいて現状の共通理解を構築するデータ視覚化を提示するために、地理情報システム (GIS) の強力な支持者です。

「インシデント対応中のセキュリティチームは、軍や警察、諜報機関で使用されているような、慣れ親しんだ方法で通信する場合があります」と彼は言います。 「多くの場合、ビジネス リーダーは言語や推進要因を理解していないため、これは共感を呼びません。これらのデータ視覚化は、リーダーが理解できる方法でデータを提示できます。セキュリティ専門家がこれを行うには、組織の本質に入り込み、組織が何を行うのか、どのように行うのか、なぜそのようにするのか、文化が何なのかを理解する必要があります。ESRM では、保護を開始する前に、リーダーのやり方と同じように企業全体を理解する必要があると効果的に主張しています。それ。」

より広い意味で、マーサーは危機管理の 3 つの要素について説明しています。戦術的な対応が最前線です。前述のリスク アプローチのいくつかを見ると、戦術的な対応は、従業員が在宅勤務に移行するか、シフトをスケジュールして一度に施設にいる従業員の数を減らすために、IT 部門がネットワーク セキュリティの保護に取り組むことになります。 2 番目の要素は戦術的対応へのサポートです。たとえば、人事部は在宅勤務に関するヒントを開発したり、特定の人事ポリシーを緩和したりする場合があります。そして最後に企業の対応があり、財務上の影響、ブランドへの影響、パートナーや他の利害関係者との相互作用などの全体像に目を向けます。これらの各対応コンポーネントで作業を行う人は、インシデント管理の一環としてこれらの役割を引き受けます。そこで ESRM が登場します。

「これらのチームを最も効果的にトレーニングするには、リスク分析に立ち返る、ある種のシナリオベースのトレーニングが必要です」とマーサー氏は言います。 「これらの緊急対応チームは、会社と優先資産に対する信頼できるリスクについて訓練される必要があります。このリスク主導のアプローチがなければ、彼らはまったく訓練されていないか、組織に関連性のない架空のシナリオで訓練されていることになります。」

パンデミックの経験から得た教訓

ESRM は、何年も、おそらくは数十年もの間、何らかの形で存在してきた概念です。のようなものESRM ガイドラインは昨年発行されたばかりで、その名前が示すように、組織のガイドとして使用できる共通の構造とフレームワークを提供します。

実際には、A 社が ESRM 企業であり、B 社が ESRM 企業ではないことを明確に定義する境界線はありません。むしろ、これは、一方ではセキュリティを、セキュリティ上の利益とプロトコルに基づいてポリシーと手順を規定する個別の機能とみなす組織があり、もう一方には、セキュリティのあらゆる側面を統合し、組織の残りの部分のパートナーとして機能し、利害関係者が重要な資産の安全性とセキュリティに基づいてより適切な意思決定を行えるようにするセキュリティ部門がある連続体です。

すべての組織はその連続体のどこかに当てはまります。問題は、地球上のほぼすべての組織がコロナウイルスのパンデミックの影響を受けており、中にはかなり深刻な影響を受けている組織もあるということです。組織を継続体の ESRM 側に移行させるために、セキュリティ管理者が気をつけるべきことはありますか?

「新型コロナウイルス感染症のパンデミックとそれに伴うリスクが明らかになった場合、学んだ教訓を整理し、どのような制御が成功したのか、何を改善できるのか、何が効果的に機能しなかったのか、そしてその理由について議論することが重要です」とマーサー氏は言う。 「これらの教訓と将来の計画は関連する関係者と共有され、次回のこのようなイベント、またはこのイベントのさらなる段階で使用できるように準備しておく必要があります。」

このプロセスは、これらの教訓を明らかにする上で主導的な役割を果たすことから始まります。マーサー氏は、自然調査員として、セキュリティ管理者にはこの役割を果たす準備が整っていると指摘しています。イベントの進行中、セキュリティ管理者は、コミュニケーションの欠如や、データ分析だけでなく直感に基づいて意思決定が行われているように見える時間帯に注意する必要があります。より適切な行動を取るため、またはよりタイムリーな意思決定を行うために、どの時点でデータが有益であったでしょうか?そして、組織がインシデントの反対側に立つと、セキュリティ マネージャーは、インシデントがビジネスにどのような影響を与えたのかを積極的に学習することで、この役割を果たすことになります。

「組織のさまざまな部門すべてと、そして現場の最前線から監督者、上層部に至るまで、さまざまなレベルで話をする必要があります」と彼は言います。 「さまざまな部門がインシデントをどのように経験したか、また社内のさまざまなレベルがインシデントをどのように異なるように感じたかを分析することは、会社に多くの価値をもたらし、将来のインシデントでどのようなリスクがどのように資産を脅かす可能性があるかをよりよく理解するためのコンテキストを作成することができます。」

組織はまだこの緊急事態に対処する途中ですが、全体像を見ることが重要です。そして、組織がパンデミックの危機からサバイバルモードで立ち上がるか、日和見モードで立ち上がるかにかかわらず、この事件自体から多くのことが学べることは明らかです。

「これは、私たちがこれまでの人生で学ぶ機会がなかった数え切れないほどの教訓を学ぶ機会です」とフィーニー氏は言います。 「それらの教訓の多くは、資産に対する理解が思ったほど包括的ではなかったということ、またはリスクに対する理解が思ったほど包括的ではなかったという2つのテーマのいずれかに従うことになります。資産所有者や利害関係者がプロセスに十分に関与していない場合、またはこれらの資産に対する限られた理解に基づいてセキュリティによって最終決定が行われている場合に、どちらかが発生する可能性があります。あるいは、ミッションへの潜在的な影響以外の基準に基づいてリスクの優先順位が付けられていない可能性があります。おそらく、リスクが全体的に検討されていなかったか、組織の透明性やガバナンスが十分でなかったのかもしれません」これらの要素はすべて ESRM プロセスによって直接対処されるため、まだ ESRM を導入していない組織に ESRM を導入する正当な理由となります。」

関連記事「」を参照してください。パンデミックに基づくリスク軽減」では、セキュリティ リスク コンサルタントのポール マーサー氏が新型コロナウイルス感染症のパンデミックから集めたリスク軽減策を特集しており、セキュリティ管理者が将来の計画に組み込むことができます。

さらに、カジノサイト International のパンデミック報道のすべてにアクセスできます。病気の発生: セキュリティ リソースページ。