コンテンツにスキップ

イラスト:セキュリティ管理

カジノサイト

急速に進化するリスク環境における機敏な意思決定の実現

2021 年 5 月 20 日

オンライン限定品

私たちは世界的なリスク環境の大きな変化の時期にいます。これらの変化には、信号データの急激な増加、市民活動や政治活動における企業の役割への注目の高まり、社会不安、地域の出来事の急速なグローバル化などが含まれており、セキュリティリーダーはリスク分析プロセスをそれに応じて適応させる必要があります。多くのセキュリティ リーダーは、変化のスピードとリアルタイム リスク分析に対する需要の増大により、5 年前に有効であった組織能力が今日の環境ではもはや十分ではなくなっていることに気づきました。

リーダーがリスクに関して情報に基づいた意思決定をタイムリーに行うには、状況の変化に対してより機敏に対応できなければなりません。効果的に対応できるかどうかは、適切な情報を適切なタイミングで入手できるかどうかにかかっており、機敏な意思決定には、ビジネス リーダーが組織にリスクを登録し、プロアクティブなチームを構築し、データとテクノロジーを効果的に活用することでリスク分析をサポートする必要があります。

準備: リスクの登録

効果的なリスク分析を実行するには、リーダーはまず組織に影響を与える可能性のあるリスクを文書化し、その確率と可能性を判断し、次にどのリスクを軽減し、どのリスクを管理するかを決定する必要があります。

リスクを登録するプロセスは、将来の協力を確保し、個人的および組織的な偏見を制限するために、可能な限り幅広い関係者と実施する必要があります。少なくとも、この利害関係者グループには、企業セキュリティ、情報セキュリティ、顧客サービス運営、人的資本、および複数の地域の事業運営リーダーの代表者が含まれている必要があります。セキュリティリーダーは、利害関係者のグループや個人の間でリスク許容度がどこに異なるのかを理解するよう努める必要があります。一部のリスクは机上では同等に見えるかもしれませんが、組織の歴史や経営陣の好みによって、直観に反する対応を指示するリスク許容度の高低が示される場合があります。

利害関係者間のリスク許容度の不一致には、創造的な対応と柔軟性が必要です。

テクノロジー部門に共通するこの一例は、アクセス制御の問題です。セキュリティ責任者や情報セキュリティ責任者は、業界のベスト プラクティスとして企業施設へのアクセスにバッジの使用を推進する傾向があります。しかし、急成長を遂げているテクノロジー企業では、バッジ要件は、これまでの企業の成功の核となってきたコラボレーションと信頼という貴重な文化を損なうものとみなされる可能性があります。

同様に、個人のプライバシーの保護を非常に懸念している CEO は、保護サービスの受け入れを拒否する可能性がありますが、これは企業のセキュリティ チームの期待に反します。別の対応策としては、24 時間 365 日の保護チームを割り当てる代わりに、デジタル ジャーニー管理プログラムを確立することが考えられます。

いずれにせよ、利害関係者間のリスク許容度の不一致には、創造的な対応と柔軟性が必要です。

組織全体でリスクが特定されたら、各リスクを一連のリスク定義と指標に結び付けて、次のことを確保する必要があります。各リスクの性質についての共通理解、特定のリスクの重大度または可能性が変化したかどうかを示す指標、推奨されるリスク管理、行動と上級リーダーへのエスカレーションの適切なトリガーです。リスクが文書化され、対応計画に組み込まれたら、セキュリティ リーダーは定期的に関係者と連絡を取り、リスク登録、リスク指標、リスク エスカレーション トリガーが適切なままであることを確認する必要があります。今日の環境では、以前よりも頻繁にリスクを見直す必要があり、リーダーは予期せぬ事態に備えて計画を立てる必要があります。

対応力と回復力の構築: 人的資本への投資

効果的なリスクベースの意思決定を確立する上で最も重要な要素の 1 つは、リスクを評価して対応する責任を持つ人材への投資です。トレーニング、演習、その他の能力開発を通じてチームの人的資本に投資することは、リスク管理にとって不可欠です。

セキュリティ リーダーは、サポートするマネージャーがリスク管理原則の訓練を受け、組織へのリスクについての情報を受け取り、主要な関係者とつながり、行動する権限を与えられていることを確認する必要があります。

トレーニング、演習、その他の能力開発を通じてチームの人的資本に投資することは、リスク管理に不可欠です。

たとえば、危機計画の策定とテストにできるだけ多くのチームメンバーを参加させたり、チームメンバーに社内パートナーや利害関係者との関係を築くよう奨励したりすると、チーム全体の回復力とコミュニケーションが向上します。他のビジネス グループに影を落としたり、従業員リソース グループに参加したりする機会を作ることで、組織の知識が深まり、チーム メンバーが組織が直面するリスクの性質と影響を真に理解できるようになります。

組織に関する知識が深まることで、チームメンバーは組織リスクの監視と対応においてより大きな価値を付加できるようになります。こうした人的資本への投資には時間とお金がかかりますが、将来的には必ず報われます。

データとテクノロジーによる意思決定

世界のデータ量は前例のない速度で拡大しています。によると、2017 年、人間は 1 日あたり推定 2.5 京バイトのデータを生成しました。。リモートワークの導入率と世界中のテクノロジーの成長により、その数はおそらく増加していると考えられます。データを活用し、生の信号をリスクに関する意思決定をサポートするインテリジェンスに変換するには、テクノロジーが必要です。

潜在的なデータのプールには、経済指標、ソーシャルメディアでの言及、気候情報から、従業員の活動や地域の交通パターンに関する社内データまで、あらゆるものが含まれます。この驚異的な量の情報は機械でのみ処理できますが、リスク分析にテクノロジーを効果的に使用できるかどうかは、企業にとってどのリスクが重要であり、その理由について人間が微妙に理解できるかどうかにかかっています。

テクノロジーを使用して生データを取得し、それを効果的なリスク警告メカニズムに変えるには、リーダーは確立されたリスク登録とリスクを評価する方法論から始める必要があります。そこから、リーダーは、求められる特定のリスクに関する意思決定と対応をサポートするデータ、テクノロジー、ツールの具体的な組み合わせを特定する必要があります。また、データ内のギャップ、つまり、いつでもリスクを正確に描写することを妨げる潜在的な盲点を特定し、欠けているものを取得する必要もあります。

正しいデータが収集されたら、リスク環境の重大な変化を人間に警告するだけでなく、リスク事象の傾向とパターンを可視化する計算フレームワークにデータを組み込む必要があります。このように、データとテクノロジーは、各組織の固有の要件に基づいてリスクの受け入れまたはリスク管理に関する意思決定をサポートし、利害関係者が共通の動的なリスクの全体像に基づいて意思決定を行えるようにします。

リスクを避けることはできませんが、成長と成功にはリスクが必要です。リスク分析を意思決定サイクルに動的な方法で統合するセキュリティ リーダーは、組織全体に多大な価値をもたらします。そうすることが、今日の複雑な環境でうまく運営するための鍵となります。

Lianne Kennedy-Boudali は、世界的なリスク専門コンサルティング会社である Control Risks のプリンシパルです。 Kennedy-Boudali は、サンフランシスコのベイエリアを拠点に、企業のセキュリティ リスク管理、セキュリティ プログラムの開発、実装に関連する問題について、Control Risks の世界中のクライアントにアドバイスを行っています。リスクと政治的暴力の専門家として知られる彼女は、セキュリティ、リスク管理、脅威インテリジェンスに関する深い専門知識をもたらします。

arrow_upward