カジノサイト
ISC2 調査はリーダーシップのスキルギャップを浮き彫りにします
サイバーセキュリティの専門家は、脆弱性を検索し、その軽減に努めることに慣れています。彼らは現在、その分析を自分たちのリーダーシップ スキルに適用しています。
回答者は、リーダーシップとビジネス洞察力のスキルギャップを評価する際に特に自覚的であり、コミュニケーションとビジネス戦略における全体的な不足を認識していました。
「調査では、対応したサイバーセキュリティ専門家が非常に自覚的であることが判明しました」と、ISC2 の企業担当執行副社長、アンディ ウールノー氏は述べています。 「これは彼らが知らないことではありません。それは彼らの自然な好奇心と組み合わされたその自己認識です…彼らはギャップや欠陥を客観的に見て、それらを修正しようとする業界の一員です。ここでも彼らは同じことをしています。」
この調査では、259 人のサイバーセキュリティ専門家を対象にアンケートを実施しました。そのうち 48% が正式なリーダーシップの責任 (チームまたは部門を率いる) を持ち、41% が非公式のリーダーシップの責任 (他のチームメンバーを訓練または指導する上級専門家) を持っていました。現在および将来の仕事のため、特にリーダーシップスキルと戦略に関する包括的な正式なトレーニングを受けていると答えたのは回答者の3分の2未満でした。代わりに、彼らは観察を通じて学びます。81 パーセントは主にリーダーを観察することで学ぶと答え、86 パーセントは、優れたリーダーとは何かについての見方が、これまでの上司、マネージャー、幹部との経験によって形作られてきたと述べました。
This style of observation means cybersecurity professionals notice their managers’ shortcomings. ISC2 がリーダーにとって重要だと思う資質を尋ねたところ、全回答者の 85% がコミュニケーションを挙げ、次いで戦略的であると回答したのが 41% でした。
ビジネスの洞察力はかなり低いランクにランクされています(マネージャーで 32 パーセント、チーム メンバーで 13 パーセント)が、それがコミュニケーションやビジネス戦略との効果的な連携などの他の分野におけるサイバーセキュリティ リーダーの課題を裏付けているとウールノー氏は言います。
サイバーセキュリティのリーダーは技術的な専門知識によって昇進することが多いですが、リーダーや管理職に到達すると、人材育成、チームのパフォーマンスの管理方法、実用的なパフォーマンスのレビューの仕方、予算編成、組織のリーダーに対するセキュリティの価値の提唱など、新たな範囲のスキルが必要であることがわかります、とウールノー氏は付け加えます。
「彼らは自分たちの仕事では優れているかもしれませんが…それが常に非常に優れたリーダーになるとは限りません。」と彼は言います。
これは、特に景気後退時に、サイバーセキュリティ部門と組織全体に永続的な影響を与える可能性があります。サイバーセキュリティリーダーが、自分の部門が成長ドライバーをどのように保護しサポートしているかを効果的に伝えられない場合は特にそうです。そのような環境では、組織はコンプライアンス中心と考えられる機能を削減し、その代わりにセールス、マーケティング、イノベーション ラボなどの成長エンジンに投資したいという誘惑に駆られるかもしれません。でも全体的にはサイバー労働力の成長が停滞しているたとえサイバー規制の強化、これは危険な行為になる可能性があります。
ISC2 の年次調査によると、サイバー リスクが増大しているにもかかわらず、世界のアクティブなサイバー労働力は 550 万人で停滞しており、現在必要な労働力には 480 万人のギャップが残っています。
— Security Management (@SecMgmtMag)
「サイバーセキュリティは、その価値を売りにするためにその価値を文脈化する必要があります」とウールノー氏は言います。 「すべてが枯渇し、ビジネスがそれを生かしてくれるものに集中するとき…リーダーとして、『これは依然として重要だ』と言えるスキルが必要です。AI などのまだテストされていないテクノロジーを組織に導入する場合、それはさらに重要です。」
ここで、ISC2 調査回答者が挙げたコミュニケーション スキルのギャップが問題になります。それは、個人間のコミュニケーションというよりは、組織全体の利害関係者に対してサイバーセキュリティを効果的に文脈化できるかどうかが重要です。経営幹部に出席最前線へ。
リーダーシップの間違いに関する自由回答では、調査回答者はコミュニケーション不足について最も多く不満を述べていました。 ISC2は、企業経営者とのコミュニケーションが不十分であり、その結果、サイバーセキュリティが満たさなければならないビジネス要件の不完全な全体像をもたらしているとの回答を求めた。リーダーはまた、インシデント発生時も含めてチームメンバーに優先順位を説明できず、利害関係者に理解してもらうことができませんでした。
組織のリスク選好はサイバーセキュリティ部門の範囲だけではありませんが、サイバーはリスク管理に大きな影響を与えるため、その計算に関与する必要があります。成功したサイバーセキュリティのリーダーは、より広範なリスクの議論に参加し、組織がどこに向かう必要があるかを戦略的に考え、長期的な目標を達成するために人材育成プログラムを構築するだろうとウールノー氏は説明します。
調査結果と併せて、ISC2サイバーセキュリティ リーダーシップ プログラムと協力した、仮想サイバーセキュリティ リーダーシップ ワークショップの新しいシリーズ。このシリーズは、戦略的思考、ビジネス洞察力、コミュニケーション スキルに焦点を当てます。
正式なリーダーシップ研修は、すでに正式なサイバーセキュリティリーダーの間で比較的普及しており、77% が受けたことがあると回答したことが調査で判明した。非公式の指導者のうち、正式な訓練を受けた人はわずか 53 パーセントです。ほとんどのサイバーセキュリティ専門家は、このトレーニングは社内で行われ、雇用主によって提供されると述べましたが、正式なリーダーの 59% は独自に追加のトレーニングを実施しました。
「結果は、より正式な訓練の必要性を示唆している」と ISC2 は結論づけた。 「サイバーセキュリティの専門家が主にリーダーを観察することによって学習できるようにすると、チームメンバーにリーダーの立場で行動すべきではないことを教えるという副次的な利点があるとしても、悪い習慣が永続する可能性があります。包括的な正式なトレーニングを導入すれば、組織はサイバーセキュリティのリスクに対してよりよく備えることができます。
「この分野でのニーズを判断するには、組織はトレーニングの実践を見直し、チームにアンケートを行って、改善が必要な分野を特定する必要があります。」と ISC2 は続けました。 「コミュニケーションや戦略などのスキルに重点を置いた正式なトレーニングは、適切に定義された役割を持つより良い組織構造につながります。最終的には、より堅牢なサイバーセキュリティ体制が構築されます。」
