最高情報セキュリティ責任者、どんなスキル？

多くのサイバーセキュリティ専門家にとって、最終的なキャリア目標は、次の役割を担うことです。 最高情報セキュリティ責任者 (CISO)。 CISO は、サイバー リスクの管理と運用を担当する経営幹部レベルの役職です。

ご存知のとおり、サイバーセキュリティは変化しており、今日、優れた CISO には強力なコミュニケーション スキルとビジネスへの深い理解も必要です。 このような役割を果たすことができるようにするには、それがどのように進化しているのか、そして卓越するために必要なスキルを理解する必要があります。

企業組織がサービスの利用などを通じたデジタル化の道を進む中、 、テクノロジーを効果的に活用する能力は、成功の不可欠な部分となっています。 しかし、このプロセスはサイバー犯罪者にとってより多くの機会を生み出しました。

近年、あらゆる規模の企業が風評被害に遭い、攻撃からの回復に多大なリソースを費やしたり、プライバシー法違反で罰金の支払いを余儀なくされたりしています。

優れた CISO は、サイバー インシデントは単なるサイバー リスクではなく、主にビジネス リスクであることを認識する必要があります。 意思決定を行う際、取締役会や経営陣は、データ侵害の可能性と財務上の損失や運用上のリスクを比較検討できる必要があります。 優れた CISO は、それを支援します。

Deloitte の調査によると、CISO が備え、育成しなければならない役割または側面は XNUMX つあります。 技術者、 法定後見人、 戦略家 と コンサルタント.
CISO の役割を志す人の多くは、テクノロジストとメンターの特性をすでによく知っているでしょう。

なので 技術者、CISO はセキュリティ技術と標準の推進、導入、管理を担当します。

の役割で 法定後見人、安全性を継続的に向上させるためにプログラムと制御を監視および規制します。 ただし、工学的な管理や標準によってサイバー攻撃のリスクが完全に排除されるわけではなく、CISO は侵害の可能性を高める可能性のあるすべての状況を制御できるわけではないことを決して忘れてはなりません。 だからこそ、ストラテジストとコンサルタントの役割がますます重要になっています。

なので 戦略家、CISO はセキュリティを企業戦略と調整して、セキュリティへの投資が組織にどのように価値をもたらすかを決定する必要があります。

その中で コンサルタント、CISO は、経営陣がサイバーセキュリティのリスクを理解し、受け取った情報に基づいて正しい意思決定ができ​​るように支援します。

これらの役割で優れた能力を発揮するには、優れたビジネス知識を持ち、リスク管理を理解し、コミュニケーション スキルを向上させることが重要です。
前に述べたように、すでに IT セキュリティ分野で働いており、CISO の役割に成長することに興味がある場合は、おそらく技術者と保護者の役割に関連する側面をすでに知っているでしょう。

脅威分析、脅威ハンティング、コンプライアンス、倫理的ハッキング、システム監査の意味を理解するなど、さまざまな分野での経験や認定を取得することで、技術スキルを向上させることができますが、それだけではありません。 実際、リーダーシップスキルを磨く時間を見つける必要があります。

• ビジネスを理解することは、経営幹部レベルの役割に備える上で最も重要なステップです、ビジネスマンのように考えることを学ぶ必要があります。 あなたの顧客は誰ですか? あなたの業界における大きなチャンスと課題は何ですか? あなたの会社のユニークな点は何ですか? その弱点は何ですか? どのようなビジネス戦略が組織を推進しているのでしょうか? 会社のコミュニケーションや年次報告書に注意を払って、会社の取締役会がどのような優先事項を持っているか、特定の決定が下された理由を確認し、業界に関連する記事を読んで、ビジネス環境と会社が市場にどのように参入するかについてより広い視野を得ることが重要です。 。 この調査は、会社の資産を保護するために限られたリソースをどのように割り当てるかについて、より適切な決定を下すのに役立ちます。 また、企業があなたが提案したいことに耳を傾けるように、自分の議論を組み立てるのにも役立ちます。 たとえば、ファイアウォールを更新するよう組織を説得したい場合、セキュリティ インシデントと会社と顧客や投資家との関係の関係を説明できれば、意思決定者を説得するのが容易になります。
• リスク管理を学ぶ：先進的な企業は、目標を達成したり、新製品を発売したり、市場での製品をより魅力的にする競合他社を買収したりする機会をつかむために、定期的に戦略的リスクを負います。 これらの決定が間違っていると、破産や巨額の損失につながる可能性があります。 リスク管理は、行動のプラス面とマイナス面を理解し、可能な限りリスクを排除または軽減することを目指す規律です。 ベンチャーが成功した場合の投資収益率や失敗した場合の潜在的な損失など、さまざまな選択肢の可能性を比較することで、マネージャーはより適切な意思決定を行うことができます。 CISO は、財務リスクや運用リスクと並行して考慮すべきサイバーセキュリティ リスクの特定と定量化を支援します。
• コミュニケーションスキルを向上させる: 優れたコンサルタントや戦略家になるには、さまざまな経験や背景を持つ人々と効果的にコミュニケーションをとる必要があります。 ある日、あなたはチームの非常に技術的なメンバーと議論しているかもしれませんし、次の日には経営陣レベルのビジネス上の決定に参加する必要があるかもしれませんし、取締役会に出席するように招待されることさえあるかもしれません。 あ コミュニケーションプラン さまざまな対話者に伝えなければならないメッセージを完璧にするのに役立ちます。

これらの特性を伸ばし始めるには、定期的に話す人の目標を理解するように努めてください。 彼らのニーズは何でしょうか？ これらの課題を克服できるような観点から安全コミュニケーションを組み立てることは可能でしょうか? 会議の前、廊下での会話の前、メールやチャットを交換する前に、時間をかけて相手の立場に立って考えてみる必要があります。 それは本当に違いを生むことができます!

良いもの コミュニケーションプラン 対象を絞った安全メッセージを提供します (表を参照)。

近年、セキュリティに関する戦略的なアドバイスを得るために、CISO の役割が企業の取締役会に組み込まれるようになりました。
リスク管理やコミュニケーションなどのリーダーシップ スキルを構築することは、この役割にますます重要な役割を担うのに役立ちます。