最高情報セキュリティ責任者(CISO)の役割は、今日ほど挑戦的で重要なものとなったことはありません。 サイバー脅威の指数関数的な増加により、組織の評判、信頼、資産に取り返しのつかない損害を与える可能性があるため、CISOはますます複雑でダイナミックな状況に対応できる準備を整える必要があります。
2024年にブラジルではサイバー攻撃の増加が著しく見られました。 第1四半期には、2023年の同じ期間と比べて38%の増加があり、ブラジルの組織は平均して週に1,770回の攻撃を受けました。 第2四半期には、前年と比較してさらに顕著な増加が見られ、67%に達し、組織ごとの平均週次攻撃数は2,754件となった。 第3四半期において、ブラジルの組織別平均週攻撃件数は2,766件に達し、2023年の同期間と比較して95%の増加を示しました。 最も標的にされたセクターは金融、医療、政府、エネルギーであり、主な攻撃の種類はランサムウェア、フィッシング、DDoS、APT(高度な持続的脅威)でした。
CISO は、前例のないサイバー攻撃のこの新しい時代に適応する必要があります。多くの場合、同時に複数の役割を遂行し、ブラジルの場合は、コスト抑制とサイバーセキュリティへの投資のシナリオを管理する必要があります。
現代のCISOの役割
CISOの役職は比較的新しいものです。 財務ディレクターや執行役員とは異なり、情報セキュリティ責任者の役割は1990年代半ばまで正式には存在していませんでした。
さらに、CISOの役割は組織内で絶えず変化しています。 Splunkの2023年CISOレポートによると、回答者の90%が、その役割は始めたときと比べて「まったく異なる仕事」になったと信じていました。
最初、CISOはポリシーの策定、安全ガバナンス、より基本的なセキュリティコントロールの実施を担当しており、この専門家は管理よりも技術的な視点を持っていましたが、現在、その職務範囲は大幅に拡大しています。 例えば、その一つは役職の政治的役割です:CISOはCEO、CFO、法務部門と密接な関係を築く必要があります。 セキュリティ部門の予算は、今日存在する無数の脅威に対処するための不可欠な条件です。
それは依然として世界中の企業にとって問題であり、特にブラジルではそうです。 この状況の複雑さは、一方で、世界で最も高い攻撃率の一つを持つ国をもたらしています。 一方、経済的不確実性やドルの変動(ほとんどのソリューションが外国通貨で販売されているため)が、CISOが利用可能なリソースで企業の保護を確保するためにバランスを取らなければならない状況を生み出しています。
コミュニケーション能力に優れている
過去には技術者という固定観念が強く根付いていたイメージとは反対に、今日の CISO はリーダーシップを発揮し、優れたコミュニケーターとして、企業内で強固なサイバーセキュリティ文化の構築を主導する必要があります。
もう一つ重要な点は、CISOは情報セキュリティの管理において一人で行動できないということです。 彼らは、サプライヤー、顧客、パートナー、規制当局、業界団体、セキュリティコミュニティを含む外部エコシステムの支援と協力を得る必要があります。 これらの役者は、情報、リソース、解決策、そして良い実践を提供し、経営者が組織のセキュリティを向上させ、強化するのに役立ちます。 だからこそ、マーケットとのコミュニケーションと関係性も重要です。
セキュリティは総合的な視点から始める必要がある
孤立的で反応的なセキュリティツールやプロセスだけでは不十分です。 CISOは、文化や従業員の意識向上からガバナンスやビジネス目標との整合性までを含む、包括的で統合されたセキュリティのビジョンを持つ必要があります。
安全は、コストや障壁ではなく、組織の継続と成長のための横断的かつ不可欠な要素として見なされるべきです。 そのために、CISOは他の部門や経営層を巻き込み、セキュリティの価値とリターンを示し、明確で測定可能な方針と指標を設定する必要があります。
脅威を予測するには緊急感が不可欠
サイバー脅威は絶えず進化し洗練されており、規模や業種に関係なく、どの組織にも影響を与える可能性があります。 そのため、常に市場の動向や脆弱性に注意を払い、最新情報を把握することが重要です。そして、脅威やリスクに先んじて対応できるソリューションや方法論に投資することが必要です。
これを行う方法の一つは、設計段階から組織の製品やサービスの提供まで安全性を組み込むセキュリティ・バイ・デザインのアプローチを採用することです。 もう一つの方法は、システムやセキュリティプロセスの有効性と回復力を評価し、改善と緩和の機会を特定するために、定期的なテストとシミュレーションを実施することです。
CISOの役割はまだ変革の途中にありますが、この専門家はデジタル時代における組織の保護と革新のための重要な要素です。 CISOは、前例のないレベルの脅威に対処できるよう準備している必要があります。これらの脅威には、積極的、戦略的、協力的な情報セキュリティ管理が求められます。
最後に、CISOは情報セキュリティが単なる技術的な問題ではなく、競争力や顧客にとっての価値の要素であることを念頭に置く必要があります。 安全をビジネスの目標やステークホルダーの期待と調和させ、その利点と課題を明確かつ説得力のある方法で伝えることができる者は、組織内に強く持続可能なセキュリティ文化を築き、デジタル環境における成功と成長に貢献することができる。
