会社の経営幹部が持つサイバーセキュリティに関する知識と、テクノロジー/ セキュリティのご担当者が持つ知識や経験の間に大きな格差があるのは当然であり、驚くにはあたりません。 両者はそれぞれ抱える責任範囲が違いますが、攻撃を受け機密情報の流失に繋がった場合、責任問題等、双方に多大な影響があります。

企業の経営幹部は、収益、利益、資産、在庫、および計測可能なその他の多くの分野に関して直接責任を負っています。テクノロジー/ セキュリティのご担当者は、サイバー攻撃を受けた結果が、悪いニュースの見出しにとどまらず、信用失墜、顧客への補償など、会社のビジネスにどのような悪影響をもたらすかを、経営幹部に説明をしておく必要があります。

会社の機密情報・顧客情報の流出は、顧客の損失、ブランドの評判における損失、訴訟費用の高騰、不履行罰則、雇用の損失をもたらし、最終的には企業の総決算に直接的な影響を与えます。これらはいずれも、経営幹部が非常に高い関心を持つ分野です。

しかし多くの経営幹部の方が、セキュリティの世界で何が起こっていて、自社のビジネスや業績に関してどんな影響が出るかを理解することなしに、セキュリティ対策に関する投資や意思決定を求められています。 正しい判断を下すことが困難なため、新規投資の意思決定は先送りされてしまいます。

残念なことに、多くのテクノロジー/ セキュリティのご担当者は、セキュリティ対策を経営幹部に説明する際に、技術的な専門用語で幹部をうんざりさせてしまいがちであり、経営幹部が興味のある分野への影響を分かり易く説明できていない、というケースが多々あります。経営幹部や取締役会のメンバーに対しては、ファイアウォール、SIEM、インシデント対応、マルウェアなどの専門用語ではなく、利益、予算やリスク管理などの用語を使って説明するべきです。

ほどんどの日本企業では、成長の促進、新しい市場の獲得、新製品の開発とロールアウト、新市場への進出などのさまざまなプロジェクトが走っています。今後ますます、様々なプロジェクトで外部組織(ベンダー、請負業者、代理店など)との提携が必要となるほか、多くの場合、ビジネスプロセス、知的財産、会社固有のデータに対する共有アクセスも必要となります。 

テクノロジー/ セキュリティのご担当者は、それぞれのプロジェクトがセキュリティ上どのようなリスクを持っているのか、これらのリスクが収益や資産など、経営幹部に関心のある分野にどのように影響するか、そしてこれらのリスクをどうやって軽減するかについて、経営幹部に説明をしておく必要があります。さもなくば、情報流出の際に責任を問われかねません。

社内政治の観点から言えば、テクノロジー/ セキュリティのご担当者は、財務担当役員、人事担当役員、マーケティング担当役員という3つの経営幹部とテクノロジー部門の協力体制の必要性を強調すべきでしょう。これらの経営幹部は、サイバー犯罪者が最も欲しがっているデータ(それぞれ財務データ、従業員データ、顧客データ)に関する監督責任を負っているからです。

セキュリティ対策の問題や提案に関して経営幹部にアプローチする場合、それぞれの企業幹部が責任のあるビジネス分野に対するリスクや影響という文脈で説明を行うと、それぞれの役員より新規投資に対するサポートを得られ易くなります。貴方の前向きな対応が、会社と取引先、そして従業員のセキュリティを守ることにつながります。

 
#サイバーセキュリティ #セキュリティ対策 #IT #経営幹部