カジノサイト
意識が高まっているにもかかわらず、サイバーとビジネスのリーダーはコミュニケーションに苦労している
簡単に言えば、私たちが抱えているのはコミュニケーションの失敗です。ビジネス リーダーは、組織が直面しているサイバー リスクに対する認識をますます高めていますが、サイバー リーダーは、取引先が完全に理解し、対応できる言葉でリスクを伝えることに引き続き苦労しています。
調査結果は世界経済フォーラムから得られたものです洞察レポート。32 か国のサイバーおよび最高戦略責任者 117 名を対象とした調査。スイスのダボスで開催されたフォーラムの年次総会中に今週発表されました。
回答者らは、自社のサイバーおよびビジネスのリーダーと取締役会がサイバーセキュリティについて話し合うために頻繁に会合しているものの、会話では互いにすれ違い続けていることを確認しました。
「サイバーインシデントに関するニュースは、それらのインシデントが経営陣の組織にとってなぜ重要なのか、また企業がサイバーリーダーの対応管理をどのように正確に支援できるのかについての議論よりも、しばしば会話の大半を占めている」と報告書は述べている。 「多くの組織では、最新のサイバー ニュースに関する質問により、サイバー リスクを有意義に軽減するために必要な最も重要な取り組みや投資に関する会話がかき消され続けています。」
このつながりと理解の欠如は、これらの脅威に対処するための対策が実施されていないことを意味している可能性があります。たとえば、最近の連邦政府の IT システムと重要インフラのセキュリティを強化するために、2010 年以来 335 件の公的勧告を行ってきたことを強調しました。しかし、これらの勧告の 60% 近くは、ホワイトハウスの国家サイバー戦略および実施計画に含まれていないこともあり、まだ施行されていません。
接続ポイント
ビジネスリーダーとサイバーリーダーがうまくコミュニケーションをとっているように見える領域が 1 つあります。それは、地政学的不安定に関連する潜在的なサイバーリスクです。サイバー リーダー (93 パーセント) とビジネス リーダー (86 パーセント) は、地政学的不安定が 2025 年までに壊滅的なサイバー イベントを引き起こす可能性が「中程度にある」または「非常に高い」と考えています。
「ビジネスリーダーは多くの場合、組織を新しい政治的現実に適応させることに熟達している」と報告書は説明している。 「これにより、地政学的リスクは、サイバー脅威がどのように変化しているか、またサイバー リスクが組織の事業継続計画にどのような影響を与える可能性があるかについて、セキュリティ リーダーとビジネス リーダーの間で広範な会話を行うための入り口となります。」
これらの会話により、直接接続された第三者と関わるためのポリシーや慣行の強化など、ビジネス慣行の変化が生じました。管理の強化企業データを処理する第三者向け、および組織が取引する国を再評価するため。
「から生じる地政学ロシアとウクライナの戦争46106_46504
「現在、12 か月前と比べて、脅威の状況を積極的に監視するためにより多くのリソースを使用しています」と回答者は続けました。 「私たちは戦術的な計画と短期(3 か月)の計画に重点を置いており、環境が非常に不安定であるため、3 ~ 12 か月の計画についてはあまり詳細になりません。」
効果的に対処できるようにサイバーセキュリティ リスクを明確に表現できていないにもかかわらず、企業取締役会はサイバー レジリエンスをより重視している: 企業経営者の 95% が回答サイバー回復力は企業のリスク管理戦略に統合されています。また、サイバーセキュリティのリーダーが取締役会に説明を行う機会も増やしており(56%は毎月またはそれ以上の頻度で会議を開催)、最高情報セキュリティ責任者がより定期的にCEOに直接報告するようになっている。
「より頻繁なコミュニケーションは、サイバーセキュリティの優先順位を調整する機会が増えることを意味します」と報告書は説明しています。 「おそらく当然の結果として、頻繁に会う組織のリーダーは、あまり頻繁に会わないリーダーよりも組織のサイバー回復力に自信を持っています。」
問題点への対処
経営陣とサイバーセキュリティについて話し合うときに通信障害が定期的に発生する理由を調査した際、報告書の著者らは、サイバー脅威を運用リスクに変換することの難しさと、コストを「平均的な条件」で表現するパターンを強調しました。
報告書の著者は、サイバーリーダーに対し、ビジネスの上級リーダーと連絡を取ること、およびビジネスリーダーとコミュニケーションをとる際には「専門用語をあまり使わない」ことを推奨しました。逆に言えば、ビジネス リーダーは、サイバー リスクから保護するために優先順位を付ける必要がある資産とプロセスについて明確にする必要があります。
「組織のすべての部分を常に効果的に防御するのにサイバーセキュリティのリソースが十分であることはほとんどないため、取締役会はこれらの優先事項を設定したら、自ら責任を負う必要がある。」
これが実際に行われている例としては、ある回答者の組織がサイバーセキュリティ管理の例外を検討するための執行委員会を設立し、例外が企業全体のリスク体制にどのような影響を与えるかをより深く理解することが挙げられます。
「例外が必要な場合は、CTO、CIO、および CISO の前に出て自分の訴訟を弁護する必要があります…[企業] はすぐには緩和管理と前進への準備が整っていないかもしれませんが、今は考え方の転換を求めています。」と回答者は説明しました。 「3 人の幹部の前に立つ必要がある場合、準備はまったく異なるものでなければなりません。セキュリティに対する文化的変化を促進するには、これが必要です。」
最後に、このレポートは、組織やパートナーシップがサイバーセキュリティ人材、特に過小評価されているグループの人材を増やすためにさらに努力することを推奨しました。多様な背景。
「ダイバーシティは、サイバースキル プログラムに『あったらいいな』というものではありませんが、プログラムの成功に影響を与え、組織のサイバー回復力を最大限に強化する可能性が高いものです」と報告書は述べています。 「多様な意見、背景、経験、アイデンティティを持つさまざまな人々を雇用することで、より強力な成果が得られ、サイバーセキュリティを含むあらゆる環境においてより優れた洞察が得られます。」
