Galvanize
ほとんどの組織は、サイバーセキュリティ リスクマネジメントが非常に重要であることを認識するようになりました。
平均では、データ違反の副次的な影響に対処するためのコストは 386 万ドルです。さらに、違反を特定して封じ込めるには、平均 280 日もかかります。 大規模な企業組織では、このコストがさらに増大する可能性があります。 たとえば、キャピタル・ワンは、2019 年時点で、データ違反に起因する損失が 1 億 5,000 万ドルにもなると推計しています。
実際の違反による損失が生じなくても、データおよびプライバシー保護に関連する厳しい業界規制に適合するための時間とコストは発生します。 また、欧州連合内で事業を展開する組織は、EU の一般データ保護規則(GDPR)が適用されます。この規則は、最大 2,000 万ユーロ(約 2,400 万ドル)または年間グローバル売上高の 4% の罰則金が科せられます。
実際の違反のリスクと、規制違反に対する罰則金の危険を考慮し、多くの組織はリスクマネジメント プログラムの主要な問題としてサイバーセキュリティを優先してきました。一般的に、これは最高情報セキュリティ責任者(CISO)の管轄です。 しかし、サイバーセキュリティ リスクマネジメント プログラムの目標は異なっている場合があります。一部のプログラムはコンプライアンス目標を満たすことだけに集中し、別のプログラムは実際のサイバーセキュリティ リスクを軽減することに注力しているということがあります。
コンプライアンスしか重視していない組織では、重大なリスク要因が見落とされています。 正しい防御姿勢を確立することで、多数の未知の脅威を軽減できますが、変化を続ける脅威の状況を見通すことができないため、発生しうるさまざまなシナリオに備えていない可能性があるとも言えます。 たとえば、新型コロナウイルスのパンデミックの場合には、非常に多くの組織が完全に不意を突かれ、適切なインフラストラクチャや準備がないままリモートワークに移行したときに、不正行為やデータ違反のリスクに組織をさらし、セキュリティの危殆化に気付くことになりました。 2020 年の第 1 四半期には、前四半期と比較して、大規模なデータ違反が 約 300% のペースで発生しました。
変化するリスク シナリオに対して十分に備えるには、コンプライアンスだけではなく、リスク評価と管理に集中したサイバーセキュリティ アプローチを構築することが重要です。 次に、取り組みを始めるためのベストプラクティスをいくつか説明します。
- ステアリング コミッティを導入する
部門横断的なステアリング コミッティを構築し、組織全体のリスクを報告し、協力して対応の優先度が最も高いリスクを判断できるようにします。 - 理想と現実のバランスが取れた目標を設定する
計画を実行するときには、決して達成されることのない「絵に描いた餅」ではない目標に集中します。 経験則で言うと、2 年間で導入できる計画を検討することです。 - 組織に猶予期間を与える
新しいポリシーと技術はすぐに導入できません。選択肢を調査し、導入と教育への集中を保証するための時間を組織に与えます。 - 基幹系のシステムおよびデータ資産に集中する
トリアージを実施します。影響度評価を使用して、優先するリスクを決定する際にビジネスの視点から影響を受ける各システムまたは資産の重要度を評価します。 - GRC 製品を評価して、プロセスを合理化する
GRC の取り組みで適切な技術スタックを選択すると、サイバーリスク プロセスを半自動化し、戦略上重要なタスクに対する従業員の割り当てを最大化できます。 - ビジネスで検討し、サイバーリスク アプローチの確立を支援する
明確で特化した計画を関係者と共有し、目標投資、迅速な成功、ベストプラクティスなど、ビジネスのサイバーセキュリティに対する姿勢を改善します。 - 段階的なアプローチを確立する
すべてを一度に実行して実現不可能なことをしないようにします。 優先度が高い取り組みから始め、そこからプログラムを拡大します。 - リスクの洞察をセキュリティ プログラムの他の領域にも取り入れる
リスクマネジメント プログラムが導入された後は、ポリシーの更新と全社レベルの意識・教育プログラムを通してメッセージを示します。 - 顧客やパートナー企業に対してもアプローチを推進する
サイバーセキュリティに対する戦略的アプローチを示すことで、企業としての競争上のポジショニングを高めることができます。
ビジネス リスク評価プロセスで、次の手順を実行します。
- プロファイルを作成する: まず、リスク一覧を使用して、ビジネス プロファイルを設定します。
- ビジネスの影響を決定する: 各リスクはどのような財務的な影響または評判上の影響をビジネスに及ぼすのか。
- 脅威を評価する: 履歴データおよび業界データに基づと、各脅威の発生確率はどの程度か。
- 脆弱性を評価する: 現在組織にはどのような弱点が存在するのか。
- リスクを決定する: 優先度が最も高いリスクを評価します。
- リスクを処理する: コストと潜在的な影響度に基づくと、各リスクを軽減、回避、移転、または許容すべきかどうか。
サイバーリスクは分離して考えないでください。 一般的に、他の部署は、サイバーセキュリティの懸案事項に対処するためのトレーニングや教育を必要としています。 たとえば、人事部はインサイダー攻撃を回避するためのポリシーを導入し、意識・企業教育チームはソーシャルエンジニアリング攻撃の防止に関するセミナーを開発します。また、サプライヤー契約では、適切な言語と最低限の標準を使用して、サードパーティの違反のリスクを低減します。
サイバーセキュリティ リスク分析のベストプラクティスと一致する包括的なプログラムを構築したことを確認すると、組織全体の合意を生み出し、リスクマネジメント チームの作業の重要性に対する意識を向上させることができます。
コンプライアンスからリスク中心へのサイバーセキュリティの転換の詳細については、eBook をダウンロードしてください。
eBook:
サイバーセキュリティの転換:コンプラインス中心からリスク中心へ
CISO は、コンプライアンスにのみ集中するのではなく、リスクに基づくアプローチを取り始める必要があります。 この eBook では以下のことを取り上げています。
- サイバーリスクマネジメントの推奨事項
- ビジネス リスク評価プロセスの 6 つのステップ
- サイバーリスクマネジメントにおける自動化の重要な役割
