ガートナーによるサイバーセキュリティ・リーダーのためのサポート

CIOと同様に、CISO (最高情報セキュリティ責任者) も、経営幹部のデジタル・スキル向上に伴い、その役割の進化が求められます。

トレンド：

• 社員や他のビジネスリーダーに「実践的な」サイバーセキュリティ業務やリスク軽減を委任し、戦略的な監視と情報リスク・セキュリティ計画の実施に重点を置く
• CISOとCIOのデジタル対応能力が高まることで、サイバーセキュリティの専門家は、分散型デジタル・イニシアティブの統括に役割を移行させる

課題： 

• 情報リスクとセキュリティのリーダーシップは、ITマネジメントだけでなく、分散した経営幹部の責任になりつつある。このため、IT部門以外のシニアリーダーは、デジタル・ビジネスのアイデアを検証し、拡大するために、独自のテクノロジ人材を採用し、デジタル戦略を積極的に形成するようになってきている
• 横断的なプラットフォーム、インテグレーション、人材コーディネーションなど、デジタル基盤の管理を行う。意思決定の分散化が進む中、最高情報セキュリティ責任者やCIOは、横断的なプラットフォーム（開発環境、顧客体験、分析、統合機能など）の構築と管理に注力し、分散した融合チーム間で共通の作業方法を育成する必要がある 
  

多くの重要なビジネス要素についても同様ですが、サイバーセキュリティの専門家は、IT以外のステークホルダーとも強い関係を保つ必要があります。最高情報セキュリティ責任者 (CISO) の影響力を理解し、尊重し、遵守する必要があるため、セキュリティ・リスクのための意思決定や戦略を実行する経営者や幹部との信頼関係を築いていくことが重要です。

現在の職務、および業界における経験、業界における規制への知識など、これらはCISOが生み出す成果を伴う鍵となりますが、CISOが組織にとって重要となる理由は、以下の4つの事項に対して実行および成果を出せるかどうかで判断されます。

1. 組織を機能的に動かすリーダーシップ： 情報セキュリティに関するリーダーとして、CISOが発揮するリーダーシップは、セキュリティにおけるビジネス目標を達成するために不可欠である。

2. 情報セキュリティに関するサービスを提供： ビジネスの機能はテクノロジによって実現されているため、CISOは組織を保護するだけでなく、ビジネスの目標を支援する質の高いサービスを提供する必要があります。

3. スケーラブルなガバナンス：組織内で分散された意思決定が行われるため、サイバーセキュリティのリスクに関する専門家がサポートする必要のある意思決定の量と種類が拡大しています。そのため、CISOは、需要に応じてガバナンスを拡張し、情報セキュリティの勧告との協力を強化する必要があります。

4. 企業としての対応力：CISOは、ガバナンスの確保に加え、意思決定者が情報セキュリティを理解し、かつ関心を持ち続けてもらうために、意思決定におけるセキュリティの影響を考慮する環境を醸成する必要があります。CISOは、情報リスクとサイバーセキュリティの重要性を効果的に訴求しなければなりません。

CIOやCISOといったセキュリティ・リーダーは、組織のデジタル・トランスフォーメーション(DX)を導く役割も担っていますが、重要なのは、そのプロセスを通じてビジネスの価値を提供することです。ビジネスの価値を提供するために、以下のような事項が重要です。

• ビジネスリーダー、エグゼクティブ、IT部門以外の意思決定者との協働による、組織のリスク許容度の特定と定義

• 進化するデジタル環境に関するビジネスディスカッションを継続的に推進し、潜在的な脅威を予測

• ビジネス上の意思決定者が、組織に対する現在および将来の潜在的なセキュリティリスクを認識していることを確認

• 先進テクノロジの調達、実装、拡張に対する積極的な取り組み

• 戦略的サクセッションプランの設計と実施

• タクティカルな活動はスタッフや他のステークホルダーに委ね、自身は戦略的なプランニングを実施