新型コロナウイルス感染症のパンデミックが発生する前から、オフィスはすでにリモートワークに移行していました。によるとヴォックス2019 年の記事によると、リモート ワークは 2020 年代初頭に大幅に増加し、2025 年までに米国の従業員の 70% が月に少なくとも 5 日リモートで働くと推定されています。

しかし、パンデミックとそれに伴うロックダウンによりリモートワークの採用が加速し、2020 年 4 月にはアメリカの労働者の半数以上がリモートで働いています。.

Twitter や他の大手テクノロジー企業数社は、企業キャンパスを再開したにもかかわらず、無期限の在宅勤務ポリシーを採用しており、一部のチームはリモートで、他のチームは対面で働くというハイブリッドな労働力の新たな混合により、新たなリスクが生じています。シスコによると、回答者の 85% が、サイバーセキュリティは非常に重要であるか、新型コロナウイルス感染症以前よりも重要であると回答しました。

しかし、ほとんどの職場ではフルタイムのリモートワークがまだ浸透していません。 2020年10月現在、従業員の全員またはほぼ全員 (46 パーセント) または一部 (20 パーセント) が職場に戻ったとのこと。また、物理的なワークスペースやオフィスに戻るかどうかの決定は複雑で、生産性やリスク管理だけでなく、組織リーダーの個人的な信念やワークスタイルにも左右されることが多いですが、セキュリティ専門家は、職場復帰計画に関する会話に影響を与える上で重要な役割を果たすことができます。

セキュリティ管理サイバーおよび戦略的リスク業務のデロイト リスクおよび財務アドバイザリー マネージャーである CPP の David Feeney に話を聞き、エンタープライズ セキュリティ リスク管理 (ESRM) のレンズを職場復帰戦略やその他の将来計画に適用する方法について詳しく学びました。フィーニーも カジノサイト のメンバーです運営委員会。

わかりやすくするために、議論は軽く編集されています。

セキュリティ管理:新型コロナウイルス感染症により、企業内でのセキュリティ専門家の役割はどのように変化しましたか?

フィーニー。重大な危機が発生すると、組織内のセキュリティ機能の可視性と優先順位が高まる傾向があります。パンデミックは確かにそれを実現し、危機シナリオの計画における関係者の関与を高めました。

セキュリティ専門家は、組織の使命のサポートについて、より多くの会話に参加するようになりました。基本的な例として、組織は現在、セキュリティからの重大な介入なしに従業員が職場に戻ることを許可できないことを認識しています。

ESRM アプローチにより、セキュリティ専門家が混乱を利用してビジネスとの連携を強化し、サイロを打破するにはどうすればよいでしょうか? ESRM の大部分は、ステークホルダーとビジネスの中核的価値観を理解することです。パンデミック中にそれらの価値観はどのように変化したのでしょうか?また、セキュリティ専門家は危機後に企業に対する以前の理解をどのように再評価して、組織を確実に理解しているかを確認できるでしょうか?

フィーニー。新型コロナウイルス感染症のパンデミックにより、セキュリティの重要性についての意識が高まり、多くの組織の中核となる価値観が永久に変わってしまった可能性があります。

将来危機が発生した場合、以前はその発生の可能性について懐疑的だったかもしれない指導者たちが、今後は安全保障リスク管理により一層緊密に取り組むようになるだろうと私は予想しています。この追加の関与は、セキュリティ専門家にとって、利害関係者の優先事項、懸念事項、核となる価値観についての理解を改善し、それらとの調整を行う機会となります。

長期間のリモートワークを終えてオフィスや施設に戻るとき、セキュリティ専門家はどうすれば関係者と関わり、以前よりもうまくコミュニケーションできるでしょうか?

フィーニー。多くの組織では、セキュリティ専門家が職場の再開プロセスに全力で取り組んでいます。実際、上級管理者はセキュリティ チームに、職場復帰の取り組みに関するコミュニケーションの管理を依頼し、組織の意識を高め、セキュリティ プログラムの優先順位付けを支援する場合があります。

新型コロナウイルス感染症は、リスク計画に関する認識を揺るがしましたか?以前の計画をすべて捨てたわけではないかもしれませんが、パンデミックは、以前よりも多くの関係者を巻き込んで企業のリスク計画プロセスを完全に見直し、全面的に見直す必要があるほど破壊的なものでしたか?

フィーニー。重大な危機の後、組織がリスク管理と危機準備プログラムを再検討することは重要ですが、たとえ危機中に計画の不備に起因するインシデントがあったとしても、既存の計画を完全に破棄しないことも重要です。

重大な危機は、関連するプロセスや方法論を含め、リスク管理と危機への備えに関する認識を揺るがす可能性があります。通常、リスク管理への関係者の関与は危機発生後に増加するため、セキュリティ専門家が対応し、それらの関係者を計画プロセスに招待できるようにする必要があります。利害関係者の参加が増えることで、プログラムが磨き上げられ、進化し、その結果、セキュリティとビジネスの連携が改善されるはずです。

パンデミック以前には知られていなかったか、あまり重視されていなかったが、今後のリスク計画において重点を置く必要がある問題 (チームの健康やメンタルヘルス、サイバーセキュリティのリスク、サプライ チェーンの脆弱性) はありましたか?

フィーニー。今後はサプライチェーンのリスク管理の優先順位が高まると思います。私たちは昨年、サプライチェーンの大きな混乱を目の当たりにし、長期的な混乱がどれほど重大な影響を及ぼす可能性があるかを思い知らされました。この可能性は、セキュリティ専門家にとっても関係者にとっても同様に最優先事項です。

セキュリティリーダーは、施設を再開する（または再開しない）リスクについて議論する際に、ESRM の視点をどのように適用できますか?

フィーニー。ESRM は、セキュリティ専門家を権威主義者、執行者、さらには意思決定者の役割から解放し、代わりに資産所有者が資産に関するリスク管理の決定を下すのを支援する信頼できるアドバイザーとして位置づけます。企業が警備員に営業を再開すべきかどうか尋ねた場合、警備員は相談に応じる必要があります。

ESRM セキュリティ専門家にとって、質問には質問で答えるのは問題ありません。たとえば、ビジネスを今すぐ再開すべきかどうか尋ねられた場合、ESRM セキュリティの専門家は、再開する前にどのような条件が必要か、再開することでどのような目標を達成したいのか、再開のどのリスクが受け入れられないのかを尋ねる可能性があります。ビジネスの利害関係者は、これらの要件を満たし、これらの目標を達成し、これらのリスクを回避するために何ができるかを尋ねる可能性があります。これに応じて、セキュリティ専門家は潜在的なリスク軽減戦略を提案できます。

セキュリティ リーダーは、施設の再開だけでなく、ハイブリッドやリモートワークなどの新しい運用環境によるセキュリティへの影響を他の部門が理解できるよう、どのように支援できるでしょうか?

フィーニー。セキュリティ専門家は、ビジネス関係者にとって信頼できるアドバイザーの役割を担うべきです。企業が完全なリモートワークまたはハイブリッドリモートワークを希望していると言う場合、セキュリティ専門家はその目標と関連するリスクを理解するよう努める必要があります。 その理解に基づいて、セキュリティ専門家は、リモート モデル、ハイブリッド モデル、さらにはオフィスへの完全復帰によって、ビジネスがこれらの目標や懸念事項をどのように満たすことができるかについてアイデアを得ることができるかもしれません。

まだ ESRM アプローチを採用していない組織にとって、より通常の業務に戻ることは機会となりますか?もしそうなら、セキュリティ リーダーが組織をその方向に導くにはどのような方法があるでしょうか?

フィーニー。今ほど素晴らしい時はありません。セキュリティ専門家がセキュリティ リスク管理についてビジネス関係者と会話すると、すぐに信頼できるアドバイザーの役割を果たし、関係者の優先順位、目標、懸念、要件を理解し始めることができます。それぞれの会話は、セキュリティ リスク管理に対する ESRM アプローチを実践する機会です。実践すればするほど、企業はセキュリティを信頼できる貴重なアドバイザーとして認識する可能性が高くなります。