セキュリティ担当者は、運用の回復力を高めるために不可欠な機能に貢献しています。しかし、カジノサイト 財団が木曜日に発表した新しい分析によると、ほとんどのセキュリティ チームは広範な復元計画に十分に統合されていません。

報告書、運用上の復元力: 運用上の復元力に対するセキュリティの重要な貢献Res Orgs との提携により制作されました。著者、トレイシー・ハットン、監督。ジョアン・スティーブンソン、校長兼コンサルタント。 Res Orgs 全体のディレクターであるエリカ セビリアは文献分析を実施し、運用上の復元力の状態とその中でのセキュリティの役割について世界中の 20 人の実践者にインタビューしました。

「セキュリティを運用上の復元力の考え方に統合する必要性が広く認識されていることは、実際の組織間の統合と優先順位付けが依然として限られているという多くの人が経験している現実とは顕著に対照的でした」と、ニュージーランドに拠点を置くハットン氏は、自身と共著者を代表して次の電子メールに書いています。セキュリティ管理。

著者らは、回復力の概念を 3 つの主要な要素に分類しました:

1. 運用上の回復力:中断中でも重要なサービスを維持する組織の能力
   
   
2. 戦略的回復力:不確実な世界で成功を維持する組織の能力
   
   
3. 組織の回復力:危機を乗り越え、不確実な世界で繁栄する組織の能力

研究者が特定した 7 つの推進要因により、組織は業務の回復力の向上にますます注力しています。顧客と利害関係者の要求、規制の推進、複雑で相互接続されたシステム、増大する脅威、財務上の影響、競争力、過去の失敗からの学習です。新型コロナウイルス感染症(COVID-19)のパンデミック。

しかし、あまり明らかになっていないのは、組織の運用上の回復力へのセキュリティの実際的な役割と統合です。研究者らは、既存の環境内でセキュリティが調整されていない可能性があることを発見しました。回復力フレームワーク、「インシデント対応の調整におけるギャップ、脆弱な脅威インテリジェンスの共有、一貫性のないリスク軽減戦略」につながると報告書は述べています。

既存のフレームワークには、セキュリティを運用上の回復力に統合するための実践的な手順を提供するガイダンスも欠如しています。

「組織が特定の分野の規範や国の規範に基づいて誰が何を行うかを整理する方法は数多くあります」とハットン氏は言います。 「企業が 20 社あれば、セキュリティ責任者の役割には 20 の異なる職務内容があり、20 の異なる報告および連携ラインがある可能性があります。それを考えると、実装が行われる具体的なコンテキストを理解せずに、高レベルの原則を超えて実際の実装に至ることは非常に困難です。」

セキュリティ担当者は、組織の運用上の回復力において重要な役割を果たすことができます。報告書では、セキュリティは、新たな脅威の継続的な監視、インシデント対応、資産保護対策、プロアクティブなリスク検出と情報収集など、「多くの重要な運用上の回復力の概念を通じて織り込まれている」と説明しています。

セキュリティ担当者が運用回復力にもたらす価値を実証するために、レポートでは 4 つの R フレームワークを強調しました。

1. 削減:中断が発生する前にリスクを事前に検出、評価、軽減する
   
   
2. Readiness:ストレスを吸収し効果的に対応するためのシステム、人材、プロセスの準備
   
   
3. 応答:影響を抑えるために混乱中に調整された行動を実施する
   
   
4. 回復:機能を許容可能なパフォーマンス レベルまで迅速に復元

 

組織は、レポートで「共有レジリエンス マップの基本方向」と名付けた 4 つの R フレームワークを使用して、内部関係者向けの共通言語を作成し、セキュリティが運用上のレジリエンス機能とどのように統合されるかを明確にすることができます。

「リスクとは潜在的な脅威を特定して管理することですが、運用の回復力とは、それらのリスクによって引き起こされる中断に対して組織が確実に業務を継続できるようにすることです」と報告書は説明しています。 「…オペレーショナル リスク管理フレームワークは、オペレーショナル レジリエンスの重要な基盤を提供します。なぜなら、オペレーショナル リスク管理フレームワークは、重要な業務を中断する可能性のあるリスクを特定、評価、管理するのに役立ち、より的を絞った効果的なレジリエンス計画を可能にするからです。」

次のステップ

このレポートは、組織がセキュリティを正式なレジリエンス ガバナンス構造に統合し、委員会や作業グループを通じて部門を超えたコラボレーションを構築することを推奨しています。

「共有リスク フレームワークを開発し、シナリオに基づいた定期的な演習を実施することで、混乱時にすべての機能が効果的に連携し、通常業務中に相互理解を構築できるようになります。」と報告書は述べています。

取締役会のメンバーや幹部が、明確な説明責任、リソース、回復力パフォーマンスの定期的なレビューを作成することで、運用回復力におけるセキュリティの役割を受け入れ、サポートすることも提案しました。

「リーダーは部門間の協力を促進し、明確な役割と責任を確保し、重要なサービスに影響を与える可能性のある新たなリスクの可視性を維持する必要がある。」と報告書は付け加えた。

この報告書は、セキュリティ専門家が社内の戦略的回復力アドバイザーとしての地位を確立することを推奨しています。ビジネスの洞察力を養い、リーダーシップへの貢献を効果的に実証し、単なる脅威の軽減を超えた価値を示すための標準化された指標を作成する必要があります。

ハットン氏は、セキュリティ担当者がこの方法でうまく貢献するには、セキュリティと他のビジネス機能の間の相互依存関係をマッピングする能力、セキュリティに関する決定がビジネス継続性全体にどのような影響を与えるかを理解する能力、セキュリティリスクをビジネスに影響を与える言語に変換する能力、部門を超えたコラボレーションとコミュニケーションスキルなど、いくつかのスキルセットが必要であると付け加えた。

レポートを検討する際、ハットン氏は研究者らがセキュリティ担当者に 4 つの異なる段階で措置を講じることを推奨していると述べています。

自己評価とポジショニングから始めましょう。セキュリティ担当者は、4 つの R フレームワークを使用して、現在のセキュリティ活動をマッピングし、ギャップを特定する必要があります。次に、ベースラインを理解するために、レポートの 19 ～ 21 ページに概要が記載されている成熟度評価を実施する必要があります。次に、セキュリティ管理者は、単なる保護機能ではなく、運用上の復元力を実現する機能としてその機能を再構築する必要があります。

戦略的な関係を構築します。セキュリティ担当者は、報告書の 30 ページにあるガバナンス フレームワークを使用して、経営陣からのスポンサーを得る必要があります。次に、事業継続、IT、危機管理、リスク チームとの部門を超えたコラボレーションを確立します。最後に、実務者は、さまざまな組織機能を結び付ける境界スパナーとして自分自身を位置づける必要があります。

ビジネス中心のコミュニケーションを開発します。セキュリティ担当者は、業務の継続性に対する部門の影響を示す指標を作成する必要があります (付録 C のガイダンスを参照)。次に、 を使用する必要があります。データ主導のストーリーテリングセキュリティへの取り組みがビジネスの成果をどのようにサポートしているかを示すため。物語を防御的な姿勢からビジネスの実現に向けて転換します。

実際的な手順を実行します。セキュリティ担当者は、他の機能とのシナリオベースの演習を実行して、調整をテストする必要があります。次に、既存の事業継続性と危機管理計画にセキュリティを統合し、チーム間で共有するリスク用語と共通理解を構築します。

「このレポートは、運用の回復力はチーム スポーツであることを強調しています。成功するには、サイロを超えて、統合された協力的なアプローチを作成する必要があります。」とハットン氏は説明します。 「セキュリティ管理者は、運用上の回復力を独自に所有しようとするのではなく、このレポートを使用して、共通の目標や相互の依存関係についての会話を開始する必要があります。」

レポート全文、運用上の復元力: 運用上の復元力に対するセキュリティの重要な貢献 は カジノサイト ストアで購入できます。 カジノサイト メンバーはレポートのコピーを無料でダウンロードできます。

 

最も人気のある記事

1. 連鎖する危機: 米国連邦刑務所は数十年にわたる安全でない人員不足に取り組んでいる

2. 小さいながらも大きな問題: 刑務所内の小型携帯電話の追跡

3. 暴力的な攻撃者にとって、AI チャットボットは危険なほど役立つことが判明