IoTの世界で最高のCISOを採用するための4つのステップ

デジタルトランスフォーメーションの次の波を形作るすべての新しいテクノロジープロセスの中で、おそらくモノのインターネット（IoT）ほど目立つものはありません。 Syniverse の上級副社長兼最高セキュリティおよびリスク責任者であるPhilCelestiniとして レポートによると、このテクノロジーは、相互接続されたネットワークとデータトランザクションの新しいエコシステムを生み出し、急速に拡大し、ビジネスのやり方を再定義しています。

しかし、見過ごされがちなのは、IoTが共有サービスとデータのインターネットでもあるということです。この事実は、ビジネスをIoTと統合し、同時に攻撃ベクトルとそれに関連するリスクに確実に対処しようとしている企業にとって最大の課題の1つです。これらの防御には、最高情報セキュリティ責任者（CISO）が率いるさまざまなスキルセットとチームが関与します。

実際、リスクの観点から、パブリックインターネットは安全な環境になるように設計されたことはありません。これは、データへのアクセスを保護するのではなく、学者や研究者がデータを共有するための冗長性が組み込まれたネットワークとして考案されました。したがって、トランザクションの機密性、整合性、および可用性を確保するために必要なクラス最高のネットワークよりも、ベストエフォート型のネットワークです。 IoTの前提は接続性に基づいて構築されているため、この接続性を損なう悪意のある攻撃は、前例のない大混乱を引き起こす可能性があります。このような大混乱からの防御において情報セキュリティチームの成功を推進するための適切なリーダーシップを持つことが重要です。

このことを念頭に置いて、企業は、IoTのような進歩を活用するために、安全を維持することとイノベーションを活用することの間で適切なバランスをとる必要があります。これの重要な部分は、最高のCISOを選択することから始まります。これは、私が数か月前に行って大成功を収めたものです。リスクの高い業務での35年以上の経験と、企業、FBI、諜報機関、軍隊のセキュリティのさまざまな側面の監督に基づいて、CISOポジションの候補者を評価する際に、私が考慮した4つの要素を次に示します。

CISOを採用するための4つの要素

• セキュリティはタイトルに含まれていますが、唯一の仕事ではありません： セキュリティは、ビジネス内でビジネスとして運用する必要があるサービスとして扱う必要があります。つまり、CISOは、真に価値を提供するために、自社の戦略、ビジネス目標、およびリスクを理解する必要があります。さらに、情報技術とデータをどのように保護するかを規定するベンチマーク、ベストプラクティス、および規制があります。この点で、CISOはセキュリティと市場に関する洞察を提供し、営業チームとマーケティングチームがセキュリティ体制に関する強力な企業ストーリーを作成して、企業を競合他社から際立たせることができます。
• CISOはCスイートとオープンにコミュニケーションをとる必要があります： セキュリティの文化は、組織がどのように調整されているか、レポートがどのように構成されているかなどの要因によってサポートされています。エンタープライズリスクに関しては、CISOはCスイートに可能な限り直接報告する必要があります。組織の規模と成熟度によって違いはありますが、CEOへのアクセスが近いほど、「フィルタリングされた」重要な会話は少なくなります。 CISOがCスイートに昇格する必要があるリスクベースの決定は、他の利害関係者に影響を及ぼし、空白で行われることはめったにないため、上級リーダーに伝えるのが難しい場合があります。
• 「セキュリティ」が拡大しました： 20年前は、「セキュリティ」とはIT部門の誰かがファイアウォールを管理することを意味する組織で働くのが一般的でした。しかし、それ以来、市場のダイナミクスと消費者の需要は、企業の運営方法に影響を与え、専門的な情報セキュリティスタッフの必要性を高めてきました。今日、規制、法的要件、顧客の要求などの外部要因により、ビジネスを継続するためだけに堅牢なセキュリティが必要になっています。 CISOは、この知識と適切な予算を備えて、ビジネスの財務と目的の現実的なコンテキストでセキュリティ戦略を定義できるようにする必要があります。
• 最高のCISOは最高の学生です： CISOは、技術的に熟練した強力なリーダーであり、鋭敏なビジネスマネージャーである必要があります。 CISOの役割は旅であり、優れたCISOは生涯学習者である必要があります。業界はテクノロジーとともに進化を止めることはありません。つまり、データプライバシー法や、CISOの役割に関する他の多くの外部の「影響力者」と同様に、脅威ベクトルはさらに複雑になります。これにより、健全なリスク管理慣行を順守するために、知識を維持および更新する必要が常に生じます。

パブリックインターネットに依存するIoTデバイスとアプリケーションの急速な成長は、接続性と脆弱性の新時代を切り開いています。企業がこの時代のチャンスをつかむと、商用データやシステムをその目的を意図したものではないパブリックインターネットにさらしたままにするリスクがあります。

最終的に、確実にビジネスを行い、データを転送し、セキュリティとプライバシーを確​​保したい企業は、パブリックインターネットから業務を保護するためのセキュリティ戦略を立てる必要があります。この戦略の重要な部分には、適切なCISOを見つけることが含まれます。ここでの4つの要素は、このプロセスに情報を提供するための有用な基盤を提供します。

作者について

著者は、Syniverseの上級副社長兼最高セキュリティおよびリスク責任者であるPhilCelestiniです。