組織が業務、従業員、世界経済における新型コロナウイルス感染症のパンデミックの余震を乗り越える中、回復力とセキュリティについての議論を活性化して再構築する時期が来たのかもしれません企業セキュリティ リスク管理 (ESRM)レンズ。

ESRM は、既知と未知のリスクを管理するためにセキュリティ リソースを組織戦略に合わせてセキュリティ プログラムを強化できる管理アプローチです。 ESRM 戦略を採用することで、セキュリティ専門家は組織全体の資産所有者と緊密に連携して、組織の使命をサポートする総合的なセキュリティ プログラムに向けて資産とリスクを特定し、優先順位を付けます。

パンデミックの間中では、セキュリティの専門家が、レジリエンス、サプライ チェーンのストレス要因、リモート従業員管理に関するビジネスクリティカルな議論に参加するよう求められています。他の部門とのこうした緊急パートナーシップにより、長期的な調整とセキュリティの主要なビジネス機能への統合への扉が開かれました。

セキュリティ専門家が 1 年以上の危機管理を終えて一息つく中、カジノサイト インターナショナル ESRM コミュニティ運営委員会の 2 人のメンバー、デロイトのサイバーおよび戦略的リスク実務におけるリスクおよび財務アドバイザリー マネージャーである CPP のデビッド フィーニー氏と、G4S の統合セキュリティ ソリューション担当副社長のレイチェル ローイヤー氏が考えを共有しました。セキュリティ管理.

わかりやすく簡潔にするためにインタビューは編集され、要約されています。

危機管理アプローチを構築する上で ESRM がどのような役割を果たすことができるのか、大まかに説明してもらえますか? ESRM に基づいたプランは、従来のセキュリティに基づいたサイロ化されたプランとどのように異なりますか?

DF。 エンタープライズ セキュリティ リスク管理 (ESRM) サイクルはリスクの管理方法を決定しますが、ESRM の背景と基盤はアプローチを特徴づけ、危機管理計画を含むセキュリティ組織の活動すべてに浸透します。そのため、ESRM は、危機管理計画が組織の使命とビジョンをサポートするだけでなく、組織の中核的価値観と一致していることを確認するのに役立ちます。最も重要なことは、計画は関係者と協力して作成され、セキュリティ計画へのより多くの情報を反映できるようにすることです。

RL。 危機管理および回復力プログラムを適切に実行している組織は、ESRM アプローチを活用する上で大きな利点があります。これは、回復力計画のために構築された発見、理解、社内パートナー関係が、完全ではないにしても、ESRM に必要なものと非常に重複しているためです。

---

「危機管理はチームの努力であり、単独で行うことはできません。」

---

そうは言っても、それは逆の方向にも作用します。組織に既に ESRM を導入し、選択したセキュリティ戦術とプログラムに対してリスク ライフサイクル アプローチを採用しているセキュリティ部門がある場合、同じ基盤に危機管理プログラムを構築するということは、回復力プログラムの開始の大部分がすでに完了していることを意味します。重要な資産と機能を理解し、リスクを調査しました。そうした関係がすでに確立されているため、危機管理チームに加わる必要がある可能性のある人物についてもより明確に理解できるようになります。 

通常の業務運営の外として扱われるサイロ化されたセキュリティ組織は、その部門が単独で「危機管理」もできると考えている場合、不利な立場に置かれることになります。  簡単に言えば、危機管理はチームの努力であり、単独で行うことはできません。

ESRM は準備と事業継続にどのような影響を与えますか?

DF。 ESRM は、資産所有者が自分の資産を知っており、セキュリティ担当者がセキュリティを知っていることを認めています。 ESRM 環境では、資産所有者は、組織の使命に対する潜在的な影響に基づいて、資産に対するリスクに関する意思決定を行います。セキュリティ専門家は信頼できるアドバイザーとして機能し、セキュリティの専門知識を活用して、このリスク管理の意思決定プロセスを通じて資産所有者をガイドします。これらの役割のパートナーシップは、目標復旧時点 (RPO) や目標復旧時間 (RTO) などの計画要素を決定する際に最も効果的であり、組織の準備と復旧能力を高めるのに役立ちます。

RL。 準備の多くは、実際の計画やチェックリスト、復旧手順に関するものではありません。 「よく練られた計画」など...しかし、発見という行為、組織、動く部分や部分、プレーヤー、重要な活動を真に理解するという行為は、私たちが一貫して教えていることすべてが ESRM の基礎であり、実際に組織の回復力を高めるものです。計画にない出来事、誰も予想していなかった出来事に、人々が団結して対応できるようにすることが、備えと回復力をより可能にする ESRM の基礎となります。  そして、優れた危機管理プログラムは、単に電話番号のリストや発電機の電源を入れる方法の説明だけではなく、これらすべてを活用するものです。

ESRM アプローチを採用しなかったチームと比較して、ESRM は組織が新型コロナウイルス感染症の影響を乗り切るのにどのように役立ったか?

DF。 ESRM 環境における資産所有者とセキュリティ担当者の役割と責任により、迅速な復旧をサポートしながら効果的な計画と対応が可能になります。資産所有者は、資産の損失が組織の使命遂行能力に影響を与えることを理解しています。そのため、どの程度のダウンタイムやデータ損失に耐えられるかなどについて、セキュリティ専門家の指導を受けながら意思決定を行うのに最適です。

RL。 計画とは本質的に組織の準備を整える行為です。新型コロナウイルス感染症以前に、パンデミックが及ぼす影響を実際に考慮したパンデミック計画を立てていた企業は 10% もなかったのではないかと思います。私たちは皆、経済全体が閉鎖するのではなく、従業員の 25 パーセントが罹患するという「通常の」パンデミック・インフルエンザを計画していました。しかし、計画を立てていた組織、つまり、たとえトレーニングであっても、チームが集まって難しい決断を下すことに慣れており、チームメンバーがどのような対応についてどのようなことを考えるべきかを知っていた組織は、まさに、ゲームの先を行っていました。 ESRM は、より大きな視点、チーム アプローチに関するものです。 

危機に関するプログラムや計画は、その違いを生みます。リスクベースのアプローチでは、さまざまなことが自分に起こる可能性があることがわかっているため、本質的に対応力が高まります。 ESRM は単にその考え方を奨励するだけです。これを実現するのは思考、チームワーク、哲学、そして人々であり、ESRM という魔法のラベルではありません。 ESRM は、私たちが持ち運べる考え方です。 

特に新型コロナウイルス感染症パンデミックの初期には、膨大な量の情報があったため、情報をふるいにかけ、関連するデータや指標を見つけることが困難になりました。 ESRM アプローチは、セキュリティ リーダーおよびビジネス リーダーとしての焦点を磨き、経営幹部により効果的にデータを提供できるようにするのにどのように役立ちますか?

DF。 すべての利害関係者と同様、ESRM はセキュリティ専門家と経営陣との強力な関係を促進します。そのパートナーシップの重要な要素は、セキュリティ専門家が経営幹部の優先事項を理解し、セキュリティ担当者がデータと調査結果をできるだけ明確かつ効率的に経営陣の前に提示できるようにすることです。

RL。 会社の主な推進力を知り、彼らが何をしなければならないかを知り、保護の重要な点が何であるかを知ることが役に立ちます。

例—組織の使命を遂行するために「人」に大きく依存していることがわかっている場合、まず、人をサポートし保護するのに役立つものを探すことになります。  サプライチェーンが主な障害点である場合は、そこに注目することができます。しかし実際には、ESRM は焦点を磨きます。これは特効薬ではありません。研究は依然として急速に進んでおり、データは毎日変化しており、それを分類するには十分な機敏さが必要ですが、最優先事項についての知識があれば、少なくとも出発点は与えられます。 

---

「セキュリティ インシデントは予測不可能であり、他のインシデントが発生しているからといって止まることはありません。」

---

新型コロナウイルス感染症 (COVID-19) からサプライチェーンの混乱、社会不安に至るまで、2020 年の出来事は貴社のリスク管理アプローチにどのような変化や調整をもたらしましたか?リスクや報告の見方は変わりますか?

DF。 リーダーや関係者は以前よりもリスク管理に傾倒していると思います。セキュリティ インシデントは予測不可能であり、他のインシデントが発生しているからといって止まらないものです。そして、ほとんどの組織は、とりわけ、一貫性のないセキュリティ リソース、継続性、士気などに依然として取り組んでいると思います。 

RL。 世界の多くの地域は現在、未知のビジネスと社会の領域で活動しています。生活やビジネスのどの分野であっても、私たちは新型コロナウイルス感染症に関連するリスクに対応するために調整を行う必要があります。ワクチンが開発され、少なくともある程度の「通常業務」が目前に迫っている今、私たち全員がそれらの調整を評価し、どれが永続的である可能性が最も高いかを確認し、近い将来、そして場合によっては長期にわたって変化するリスク環境にどのように対処するかを決定する必要があります。

まだ ESRM を導入していないセキュリティ専門家は、特に危機管理と事業継続性 (いわば「鉄は熱いうちに打つ」) に関してどこから始めればよいでしょうか?

DF。 残念ながら、近道はありません。しかし、特定のものは危機管理プロセスを加速すると同時に、セキュリティ リスク管理のサポートに対する広範な組織の関心を呼び起こす可能性があります。 ESRM の出発点は、組織の使命とビジョン、核となる価値観、運用環境、ステークホルダーを理解するというコンテキストにあります。このことを理解するには、セキュリティ担当者は人間関係と組織についての学習に焦点を当てる必要があります。利害関係者による議論が行われる際には、組織の使命と全体的な戦略を達成するためにセキュリティ リスクの観点から必要なものすべてに焦点を当てる必要があります。

RL。 新型コロナウイルスに関する会話により、人々はレジリエンス全般についての議論に参加できるようになると思います。企業が 1 つの種類の危機について懸念しているのであれば、それは良いことです。保護および緩和活動が 1 か所だけに集中するのではなく、全体的に適用できることを示す機会となるからです。悲劇的な出来事が BCM と危機管理プログラムの改善の主要な原動力であることは残念な事実です。しかし、そうするのは人間の性質であり、レジリエンスに焦点を当てて社内チーム全員が協力して次に何が起こっても備えられる企業は、有利になるでしょう。

とはいえ、難しい必要はありません。その多くは、重要な人材、プロセス、テクノロジーを理解し、どのような状況でも実行を続けるための柔軟性とバックアップを確実に確保できるようにすることに関するものです。

ESRM サイクルの良いところは、誰でもたどることができる道だということです。  始めたい場合は、 を手に取ってください(または、ブライアン・アレンと私が書いた本、よろしければ—) さあ、飛び込んでください。

すでに良いパートナーがいる場合は、そのパートナーから始めてください。ビジネスの 1 つの部分をすでに理解している場合は、その領域だけでサイクルの残りの部分をどのように進めるかを確認してください。重要なことは、透明性、意識、オープン性、パートナーシップといった基本的な要素をセキュリティ哲学に組み込むことです。 ESRM ガイドだけで終わらせないでください。  カジノサイトは危機、リスク評価、事業継続に関するガイド—すべてを見てください。長くないし、読みにくいものでもありません。プログラムに使用できるものを取り出して、試してみてください。一歩踏み出して、次に何が起こるか見てみましょう。

このアドバイスは、「人々が心配している間に ESRM のためにお金をもらいに行く」ということではなく、「人々が予期していなかった新たなリスクを認識している間に、あらゆる種類のリスクに対する調整的かつ透明性のあるアプローチについて会話を始める」というものです。すべてはそこから流れ出ます。