優秀なCISOが取り組んでいる5つの行動とは? Gartnerが明らかに:227人のCISOを調査
高いパフォーマンスを発揮するCISOは、何に取り組んでいるのか。Gartnerが227人のCISOを対象に調査した結果を明らかにした。
[@IT]
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
Gartnerは2023年8月28日(米国時間)、CISO(最高情報セキュリティ責任者)を対象とした調査結果を発表した。トップパフォーマーであるCISOの69%が、個人の専門能力開発のために時間を確保していた。一方、下位パフォーマーのCISOは36%しか取り組んでいなかった。
Gartnerでリサーチ部門シニアプリンシパルのキアラ・ジラルディ氏は次のように述べている。「CISOの役割が急速に進化する中で、CISO個人が専門能力開発に時間を割くことは、ますます重要になっている。ビジネスの戦略的アドバイザーというCISOの新しいパラダイムを効果的に機能させるためには、役割の変化に応じた新しいスキルや知識の開発が不可欠だ」
同調査は、227人のCISOを対象としたガートナーのベンチマーク調査の一環だ。2020年から2023年にかけて収集されたデータに基づいている。CISOの有能さに関連する主要スコアの上位3分の1を「トップパフォーマー」としてランク付けし、トップパフォーマーが取り組んでいる行動を調査した。
トップパフォーマーのCISOが取っている主な行動 TOP5
Gartnerによると、トップパフォーマーのCISOが取っている行動は次の通り。
- 最新の脅威に対抗できるように、規範を進化させるための議論を組織内で促進する
- 新興技術のセキュリティを積極的に確保する
- 専門能力開発の時間を定期的に確保する
- プロジェクトの枠を超え、高位のビジネス意思決定者との関係を構築する
- 高位のビジネス意思決定者と協働してリスクアペタイト(リスクをどの程度まで許容するか)を定義する
トップパフォーマーのCISOの77%が、ハッキングバック(攻撃者に対する報復行為)や脅威の帰属(サイバー攻撃の背後にいる攻撃者や組織を特定するプロセス)など、国内外のセキュリティ規範の進化に向けて、企業内で対話を開始している。これに対し、下位のCISOはわずか半数にとどまっている。
「どのような組織も、あらゆるサイバー脅威を完全に遮断することはできない。最も有能なCISOとは、既存のリスクや新たなリスクを常に把握し、ビジネスが直面する最も重大な脅威に関する背景情報や関連情報を指導部に提供し、それに応じて投資やリスクの決定に影響を与えることができる存在だ」(ジラルディ氏)
トップパフォーマーのCISOの63%が、人工知能(AI)、機械学習(ML)、ブロックチェーンなどの新興テクノロジーのセキュリティ確保に積極的に取り組んでいるのに対し、業績下位のCISOはわずか38%にとどまっている。
ジラルディ氏は次のように述べている。「AIの導入が急速に進む中、CISOはそのリスクインパクトの評価において既に出遅れている。そのためCISOは、生成AIのような技術がセキュリティに与える影響をより積極的に理解し、そのリスクを上級ビジネスリーダーに伝える必要がある」
トップパフォーマーのCISOは、プロジェクトの枠を超えた関係構築(65%)や、企業のリスクアペタイトを定義するための協力(67%)など、ビジネス全体の上級意思決定者に積極的に関与している。さらに、最も効果的なCISOは、営業責任者、マーケティング責任者、事業部門リーダーなど、IT関係者と比べて3倍の非IT関係者と定期的に会議を開いている。
「非IT部門は、テクノロジーとサイバーセキュリティに関する意思決定をIT部門の外で行うことができる重要なパートナーだ。CISOは、企業全体の上級意思決定者と関係を構築するための時間を確保することで、意思決定者がサイバーセキュリティを理解し、関心を持ち、意思決定においてサイバーセキュリティの影響を考慮する環境を醸成できる」(ジラルディ氏)
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
関連リンク
この記事に関連する製品/サービスを比較(キーマンズネット)