[グローバルCISOの提言─ビジネス変革を実現する情報セキュリティ対策]
CISOが体験した「CEOを遠ざけてしまう10の失敗」
2010年4月26日(月)Security for Business Innovation Council
EMCの情報セキュリティ部門であるRSAセキュリティ。同社が主催するセキュリティに関する協議会「Security for Business Innovation Council」がまとめた、2010年度のセキュリティレポ―トの内容を公開する。世界の大企業のエグゼクティブたちの考え方が凝縮されたその内容は、2010年度のセキュリティ戦略立案に当たって大いに参考になるだろう。[編集部]
情報セキュリティは企業において比較的新しい業務だ。「Chief Information Security Officer(CISO:最高情報セキュリティ責任者)」という役職が生まれたのもここ数年のこと。米Price Waterhouse Coopersが実施した調査「Global State of Information Security 2010」によると、CISOという役職を設けているのは企業の44%にすぎない。だが前年は29%だったことを考えると大幅に増加しているのは確かだ。
新しい分野だけに、「自分たちは戦略的業務の実行者だ」と考えて間違いを犯す情報セキュリティの専門家も出てきやすい。CEOに良い印象を与える機会を少なくしないためにも、情報セキュリティの専門家がしてはいけないことを確認しておくことは重要だ。
次に挙げるのは、CEOやほかの経営陣を確実に遠ざけてしまう10の失敗だ。これらを実行してしまった場合、企業の戦略アドバイザーの地位につくチャンスを逃すだけでなく、新しい仕事を探す必要が出てくるかもしれない。このリストは、協議会メンバーによる過去数年間における観察結果や、新米CISOとしてつまずきながらも理解を深めていった経験を持つCEOの意見に基づいて作成したものだ。
1. CEOの時間を無駄にする
CEOやそのほかの最高経営幹部、取締役会に報告する際は、彼ら/彼女らの時間を無断にしてはいけない。たとえば検出されたウィルスの数やファイヤウォール・ヒット数といった、CEOたちにとっては意味のない詳細な事項を取り上げる、といったことだ。CEOたちにとっては、15分間でも貴重。CEOに接するチャンスを得たら、問題点を厳選して報告する。大きな影響をあたえるリスクやCEOの決済を必要とする事態を中心に、優先順位を慎重に設定する。それほど重要でない問題ばかり取り上げると、単なる雑音と受け取られてしまいかねない。
会員登録(無料)が必要です
- 結論―CISO-CEO間の隔たりを埋めるために(2010/04/30)
- CEOが企業にリスクをもたらす10の項目(2010/04/30)
- 「ニューエコノミー」が説得方法をどのように変えるか(2010/04/23)
- セキュリティの意思決定でCEOを説得するための10の項目(2010/04/21)
- 世界のCEOは情報セキュリティをどう見ているか(2010/04/19)