階段の上の闇—CISOのリーダーシップ
組織全体に重要なパッチを適用する必要があるとしましょう。このパッチには再起動が必要です。重要なパッチを適用するために再起動を強制することは重要ですが、それは顧客にまで影響を及ぼすビジネスの中断を引き起こします。いずれ、組織内の誰かが不満を言い、あなたは防御的な立場に立たされるでしょう。さらに、強制的な再起動を隠すことはできませんので、なぜ一人でやろうとするのでしょうか?
その代わりに、影響を受ける関係者だけでなく、リーダーシップにもあなたの決定を伝えましょう。再起動の理由と、組織が長期的にどのように利益を得るかを含めることを忘れないでください。また、再起動の課題とリスクを伝えることも重要です。パッチにはそれ自体の問題があり、時にはうまく機能しないこともあり、まれにですが重要な問題を悪化させることもあります。
リーダーシップは適切な評価を行うために知っておく必要があります。リーダーシップに必要性を伝えれば、彼らはあなたをサポートしてくれるでしょう。しかし、リーダーシップがパッチを適用しないと決定する可能性もあることを覚悟しておくべきです。最終的には、組織に影響を与える問題について、彼らが正しいか間違っているかを決定します。
「サイバーセキュリティの問題をビジネスを運営する人々に伝えないと、組織に害を及ぼします。」
既知または予想されるリスクをリーダーシップに伝えないことは、階段の上で彼らを暗闇に置いておくようなものです。あなたやあなたのチームに悪影響を及ぼすかもしれない懸念を持つリーダーシップの目からリスクを隠したいという自然な傾向があるかもしれませんが、その誘惑に抵抗しなければなりません。
サイバーセキュリティの問題を、組織の失敗を含めて、ビジネスを運営する人々に伝えないと、組織に害を及ぼします。
CISOとして、サイバーセキュリティミッションの進捗を知る必要がある人に基づいてのみ伝えるべきであり、リーダーシップが常に知る必要があるわけではないと主張するかもしれません。定期的な更新を提供しているので、問題が発生したときには、時間と注意が許す限り記録し報告すると言うかもしれません。通常、技術的または敏感すぎてリーダーシップが理解または評価できる方法で表現することが難しいため、「サイクル外」でのコミュニケーションはほとんど行わないかもしれません。課題やリスクについてのみ話すと、失敗と見なされることを恐れるかもしれません。
逆に、声を上げないと失敗です。声を上げるべき時に声を上げなかったCISOを知っていますが、その中にはもうCISOではない人もいます。彼らは失敗したのは、間違いのためではなく、むしろ沈黙のためです。
課題に直面したとき、上級リーダーは助けを求める理想的な人々です。解決できない脆弱性やプログラムの成功を妨げる職場の問題がある場合、リーダーシップは貴重な提案や指示を提供するかもしれません。
「侵害が明るみに出るかどうかの確率を計算しようとしないでください。あなたはCISOであり、倫理的な行動がすべてです。」
CISOとして、あなたはもはや技術者ではなく、組織のサイバーセキュリティ機能のリーダーです。あなたはリーダーシップチームの一員です。成功するリーダーは、良いニュースでも悪いニュースでも、コミュニケーションが重要であることを認識しています。要するに、賭けが高いときに驚きを好む人はいません。
CISOが直面しそうな3つのシナリオを見てみましょう。これらを上級リーダーシップに伝えますか?
シナリオ #1
あなたの取締役会は、組織の成功を導くことができる重要な要素や、失敗や弱点に対処することに焦点を当てています。ほとんどの取締役会にとって最も重要なのは、組織の評判、倫理と誠実性、規制コンプライアンスの焦点領域です。すべての取締役会は、定義上、戦略的です。つまり、彼らは大局に焦点を当てています。彼らは組織の将来を計画しています。彼らは、組織がビジネス目標を達成するために実行しているかどうかを気にしています。彼らは、組織がそのパフォーマンスを測定し、重要で有用な測定が組織戦略にどのように情報を提供できるかを理解しているかどうかを気にしています。
取締役会はまた、あなたの組織のパフォーマンスと優先事項が類似の組織とどれだけ比較されるかを気にしています。ベンチマークはCISOにとって常に有用な活動であり、取締役会はしばしば組織の計画とパフォーマンスを測定する方法としてベンチマークに頼ります。
「声を上げるべき時に声を上げなかったCISOを知っていますが、その中にはもうCISOではない人もいます。」
シナリオ #2
より複雑で本質的に難しい状況を考えてみましょう:インサイダーリスクです。あなたは、重大な犯罪を犯したかもしれない従業員の活動を調査しています。まだ誰にも何も伝えるほどの情報を持っていないので、自然な本能として黙っていることを選びます。私たちは皆、無罪が証明されるまで無罪であるという論理で決定を正当化し、上級リーダーシップに警告するのに十分な証拠がないと考えます。人事部から「プライベート」な問題であるため、コミュニケーションを控えるように助言されたかもしれません。
その活動が実際の企業リスクを表している場合、リーダーシップはそれを知る必要があります。彼らの仕事は、組織のリスクプロファイルを管理し、適切なリスク許容度とリスク受容度を割り当て、各リスクを評価し、それを受け入れるか軽減するかを決定することです。
この調査を伝えることへのためらいは自然です。情報が漏れた場合、無実かもしれない人の評判が組織内外で汚される可能性があります。確かに、どんなコミュニケーションにも固有のリスクがあります。リーダーシップが秘密を守る能力を信頼してください。実際、リーダーシップチームは、あなたが決して知ることのない組織について多くのことを知っています。機密性は上級リーダーシップの重要な特性です。
それを個別に伝えることができます。電話ではなく会議を設定し、メールでこの問題を議論しないでください。しかし、コミュニケーションを怠らないでください。組織内の誰かが組織に潜在的なリスクをもたらす場合、リーダーシップには知る権利があります。
「成功するリーダーは、良いニュースでも悪いニュースでも、コミュニケーションが重要であることを認識しています。要するに、賭けが高いときに驚きを好む人はいません。」
シナリオ #3
まだ迷っている場合、この単純な例を考えてみてください:サイバーインシデントです。国家攻撃や金融詐欺の問題を伝えることは確実ですが、確立された手順に従わなかったことによる過失から生じたPIIデータ侵害についてはどうでしょうか?
あなたは、オフィスにいる従業員が涙を流しているという監督者から連絡を受けます。その従業員は、組織の福利厚生提供者のジョニー・ジョーンズにスプレッドシートを送信するつもりでしたが、別のジョニー・ジョーンズに送信してしまいました。スプレッドシートには、EUに居住する従業員を含む人事記録が含まれており、GDPRに関連しています。
このインシデントを監督者と従業員の間で留めておくのが自然な傾向かもしれません。結局、これは悪意のある行為ではなく、単なるミスです。間違ったジョニー・ジョーンズがメールを受け取ったら削除してくれることを願うことができます。「これも過ぎ去るだろう」や「忘れちゃえ」といった格言で、頭を砂に埋めることを正当化します。
しかし、小さな偶発的な露出に見えるものは、完全な大火災に発展する可能性のある火種です。個人データのプライバシーは重要です。GDPRは重要です。確かに、年間収益の4%の潜在的な罰金は重要です。CISOとして、私たちはそれを知っており、規制当局は私たちにそれを思い出させ続けています。
侵害が明るみに出るかどうかの確率を計算しようとしないでください。あなたはCISOであり、倫理的な行動がすべてです。最悪の事態を想定しつつ、最善を願ってください。侵害についての事実を収集し、知っている限りの情報をリーダーシップに報告してください。間違ったジョニー・ジョーンズがあなたの代わりにそれをする前に、迅速に行動してください。
リーダーシップに伝えることは、単に正しいことをするだけではありません。CISOにとって、それは唯一の選択肢です。階段の上にいる人々に、少しでも懸念があるサイバーセキュリティの問題を提起してください。声を上げるだけでなく、しっかりと声を上げてください。