CISOが体験した「CEOを遠ざけてしまう10の失敗」

2010年4月26日(月)Security for Business Innovation Council

リスト

EMCの情報セキュリティ部門であるRSAセキュリティ。同社が主催するセキュリティに関する協議会「Security for Business Innovation Council」がまとめた、2010年度のセキュリティレポ―トの内容を公開する。世界の大企業のエグゼクティブたちの考え方が凝縮されたその内容は、2010年度のセキュリティ戦略立案に当たって大いに参考になるだろう。[編集部]

　情報セキュリティは企業において比較的新しい業務だ。「Chief Information Security Officer（CISO：最高情報セキュリティ責任者）」という役職が生まれたのもここ数年のこと。米Price Waterhouse Coopersが実施した調査「Global State of Information Security 2010」によると、CISOという役職を設けているのは企業の44％にすぎない。だが前年は29％だったことを考えると大幅に増加しているのは確かだ。

　新しい分野だけに、「自分たちは戦略的業務の実行者だ」と考えて間違いを犯す情報セキュリティの専門家も出てきやすい。CEOに良い印象を与える機会を少なくしないためにも、情報セキュリティの専門家がしてはいけないことを確認しておくことは重要だ。

　次に挙げるのは、CEOやほかの経営陣を確実に遠ざけてしまう10の失敗だ。これらを実行してしまった場合、企業の戦略アドバイザーの地位につくチャンスを逃すだけでなく、新しい仕事を探す必要が出てくるかもしれない。このリストは、協議会メンバーによる過去数年間における観察結果や、新米CISOとしてつまずきながらも理解を深めていった経験を持つCEOの意見に基づいて作成したものだ。

1. CEOの時間を無駄にする

　CEOやそのほかの最高経営幹部、取締役会に報告する際は、彼ら/彼女らの時間を無断にしてはいけない。たとえば検出されたウィルスの数やファイヤウォール・ヒット数といった、CEOたちにとっては意味のない詳細な事項を取り上げる、といったことだ。CEOたちにとっては、15分間でも貴重。CEOに接するチャンスを得たら、問題点を厳選して報告する。大きな影響をあたえるリスクやCEOの決済を必要とする事態を中心に、優先順位を慎重に設定する。それほど重要でない問題ばかり取り上げると、単なる雑音と受け取られてしまいかねない。

この記事の続きをお読みいただくには、
会員登録（無料）が必要です