EMCの情報セキュリティ部門であるRSAセキュリティ。同社が主催するセキュリティに関する協議会「Security for Business Innovation Council」がまとめた、2010年度のセキュリティレポ―トの内容を公開する。世界の大企業のエグゼクティブたちの考え方が凝縮されたその内容は、2010年度のセキュリティ戦略立案に当たって大いに参考になるだろう。[編集部]
昨今の厳しい経営環境では、セキュリティをもっと戦略的なものにするようCEOに説得することに二の足を踏む企業もあるだろう。資金を得られない状況で、どうすれば戦略的なセキュリティ業務を実現できるだろうか。だが、ほとんどの情報セキュリティ・プログラムが今も資金調達に成功している。米Price Waterhouse Coopersが世界規模で実施した最近のセキュリティ調査「Global State of Information Security Survey 2010」によると、景気低迷にもかかわらず、セキュリティ予算は今後1年間で増加ないし変化なしだと答えたのは回答者の63%に上った。予算削減に直面している企業の多くは、支出を抑えるか、新規事業を最大で半年間は先送りすると答えている。
だが実行は簡単ではない。事実、セキュリティ・プログラムは「実施」に際して大きなプレッシャーにさらされている。ほとんどの企業はセキュリティ予算をそれほど大幅に削ってはいない。だがリスクは常に増加しており、セキュリティ対策が追いつかなくなる可能性がある。予算は増えない一方、セキュリティ・チームに期待される責任はますます重くなっているのだ。
戦略的情報セキュリティに関する主張方法は経済状況には依存せず、リスクをベースとしたビジネス主導型であるのは変わらない。変わるのは、コスト重視になる点だ。したほうが良いことではなく、しなければならないことに注目し、企業の戦略的重要事項にもっとも関係するリスクに基づき、優先順位を設定する。セキュリティ担当役員は、情報セキュリティ・プログラムのどの部分が遅れるかを事前に把握し、その遅れがリスクにどのような変化をもたらすかを明らかにする必要がある。
経済状況の変化に従い、CEOやほかの経営幹部たちのリスクに対応する意欲は変化することがある。CEOやほかの経営幹部たちがリスク削減よりもコスト削減を優先すると決定した場合、CISOはトレードオフとして受け入れるリスクのレベルをCEOたちに正確に理解させ、リスク増加を容認させなければならない。最終的には、企業が容認できるリスク・レベルに合致するセキュリティを維持するための資金を投入することになる。
会員登録(無料)が必要です
- 結論―CISO-CEO間の隔たりを埋めるために Part8(2010/04/30)
- CEOが企業にリスクをもたらす10の項目―CISO-CEO間の隔たりを埋めるために(2010/04/30)
- CEOを遠ざけてしまう10の失敗―CISO-CEO間の隔たりを埋めるために Part6(2010/04/26)
- CEOを説得するための10の項目―CISO-CEO間の隔たりを埋めるために(2010/04/21)
- 世界のCEOは情報セキュリティをどう見ているか(2010/04/19)
