最高情報セキュリティ責任者 (CISO) 就任後100日間のロードマップ

CISOの役割はますます重要になってきており、採用にも多大なコストがかかっている場合が多いため、新任のCISOは自らの価値を素早く証明する必要があります。

成功を収めるCISOは第一に、テクノロジストではなく、リーダー、マネージャー、コミュニケーターであるべきです。早期の成功は、以下の能力にかかっています。

1. 信頼とリーダーシップというパーソナル・ブランドを構築する
2. ディフェンシブル (重要なステークホルダーに対して正当化できる) なセキュリティ・プログラムの基盤を構築する

ガートナーでは、CISO就任後の100日間を5つのフェーズに分けており、各フェーズには目指すべき重要な成果、アクション、検討すべきアイデアがあります。

就任まで待つことなく、動き始めましょう。まず、企業について理解し、主なステークホルダーを特定します。LinkedInでステークホルダーとつながるとともに、最初の挨拶回りに備えて簡潔な経歴、質問、話題を用意しておきます。

このフェーズでは、意思決定ではなく、傾聴と学習に焦点を絞ります。CISOに就任してからの最初の数週間は、大々的な発表や意思決定を行わないようにしましょう。

目標は、自身の役割に対する共通理解を深め、ステークホルダーにセキュリティに関する一連の期待を持たせ、リーダー層やスタッフとのミーティングに向けて基本的なエンゲージメント計画を立てることです。

次に、セキュリティ機能の現在の成熟度とパフォーマンスを把握する必要があります。何が機能していて、何が機能していないのか、そして最初の3～6カ月間に何を優先すべきなのかを判断します。

企業文化についての洞察を与えてくれる、幹部クラスのメンターを探します。資金、人員、テクノロジなど、利用可能なリソースを確認します。その後、正式な成熟度評価、チームでの話し合い、ステークホルダーの関与を生かして、セキュリティ・プログラムのギャップを明らかにします。こうしたギャップを解決するために、戦略的な優先事項の上位3～5項目のリストを作成します。

学んだ内容を生かして、アクションの青写真を作成します。チーム、ライン・マネージャー、ビジネス・ステークホルダーと、セキュリティ・プログラムのビジョンを共有します。これは、新しいセキュリティ組織を設計し、改良する好機となります。

このフェーズが終わるまでに、以下を実行します。

1. 就任後の100日間に優先させる2～3つのセキュリティ・イニシアティブを示す、セキュリティ戦略プランのドキュメントと、最初の1年間の大まかなロードマップ。
2. 優先事項を達成するための十分なリソースを確保するセキュリティ予算。リソースが不足している場合は、戦略プランを適宜調整し、達成可能なものにする。

これは、目に見える成果を示す初めての機会です。

就任後の100日間のアクションでは、自らの信頼を構築し、企業内におけるセキュリティの地位を向上させる、具体的な成果に注力します。最初の成功によって多くの賛同を確保でき、その賛同がさらなる成功を後押しするという、自身とそのチームにとって改善と達成のサイクルが生じます。

自らの影響力を示す証拠の提供に着手します。セキュリティ評価指標のポートフォリオを定義し、経営幹部への報告プロセスを構築して、周囲が自分に何を期待しているのかを把握します。

早期の成功や課題は、発生と同時に明らかにします。測定とコミュニケーションは、成功しているCISOが重視していることであり、在任期間全体を通じて多くの労力を投じる必要があります。