NCR Voyix社のサイバーセキュリティ担当コーポレートバイスプレジデント兼CISO代理として、私は、小売店、レストラン、金融機関が利用するナンバーワンのデジタル商取引プラットフォーム、15,000名の従業員の仕事、そして当社の140年前から信頼されているブランドを守ることを託されています。30年間のキャリアを通じて私が(時に苦難の末に)学んだ最大の教訓を共有したいと思います。何をするかは重要ですが、どのようにするかはさらに重要です。
サイバーセキュリティの専門家にはトレーニングと認定が必須です。しかし、サーバントリーダーシップのマインドセットは、より多くの価値を提供し、サイバーセキュリティチーム以外にも影響力を高めるのに役立ちます。例えば、Gartner社が最近行った調査によると、有能なCISOの3分の2以上(65%)は、主としてプロジェクトの文脈の外で上級意思決定者との関係を構築しています。また、有能なCISOは、ITステークホルダーに比べ、IT以外のステークホルダー(販売/マーケティング、ビジネスユニットリーダーなど)と定期的にミーティングを行う機会も3倍多いです。
私にとって、サイバーセキュリティをビジネス成果とうまく整合させるには、人間中心のアプローチが必要です。セキュリティリーダーがサービスマインドセットを高める際の5つの実践方法について、以下に紹介します。
1. エゴをやめましょう。最近、当社のデジタルバンキング製品管理担当エグゼクティブディレクターは、消費者ロイヤルティの醸成に貢献するために、デジタルエクスペリエンスに「より多くの共感とパーソナライゼーションを組み込む方法」を優先する銀行や信用組合がますます増えていることを紹介しました。デジタルエクスペリエンスの構築にはヒューマンエクスペリエンスの各ステップに焦点を当てる必要があるように、デジタルエクスペリエンスを保護するためには、ビジネス相手への共感が必要です。
私は25年間にわたってサイバーセキュリティに携わり、システムエンジニアリング、アーキテクチャ、コンサルティングの役割も長く務めてきました。しかし、そのはるか前、私はホテルでベルサービスからマネージャーまでを経験しました。ホテル時代には、相手の話に耳を傾ける方法、冷静に問題を解決する方法、そして細部への注意が重要であることを学びました。充実したサービス指向の経験のおかげで、私はより有能なセキュリティリーダーとして能力を発揮することができました。
セキュリティドメインしか知らない場合、それ以外の知識を蓄えてください。自分の業務を理解し、カスタマーサービスの最前線やバックオフィスで働く人たちから学びましょう。「ライドアロング(一緒に行動する)」や、ジョブローテーションを行うことで、彼らの課題や仕事上のプレッシャーを理解して共感することができます。より広い視野を持つことで、最終的に、サイバーセキュリティが多くのステークホルダーにとってなぜ重要なのかをより効果的に策定し、伝えることができるようになります。
攻撃者は既成概念にとらわれないので、防御側も既成概念を排除すべきです。最近までタイヤショップを経営していた人が優れたセキュリティアナリストに成長できるでしょうか?私の経験上、イエスです!適切なトレーニングとメンタリングを受ければ、顧客のストレスが増大する状況を穏やかに解決する能力が身に付き、高度な攻撃との戦いにも動じることはありません。
多様な教育背景を歓迎することは、人材の定着とサイバーセキュリティチームのパフォーマンスの向上にもつながります。従来の採用方法の枠組みを超え、4年制大学を中退した人、別のキャリアパスを選んだ人、キャリアを変えたいと希望する人、休職からの復帰を望んでいる人などを考慮しましょう。学習意欲が極めて高く、問題解決能力に定評があり、成功するための気概を持つ人材が見つかります。
2. 常にタスクより人を優先しましょう。タスクは常にたくさんあります。しかし、タスクに焦点を絞り込むと、人間関係は事務的で血が通わないものになります。誠実で嘘偽りのない態度は、どのような関係においても信頼を築く上で不可欠です。チーム、同僚、ステークホルダーの声に積極的に耳を傾けてください。時間をかけて相手の意見を理解し、相手に興味を持ってください。
インク ルーシブなチームを構築してメンタリングを行うことは、それ自体が報いになります。たいていの場合、私もチームメンバーと同じくらい多くを学ぶ機会が多いため、より有能なリーダーとして能力を高めることができるからです。
『Wiring the Winning Organization』の共同著者であるSteven Spear氏は、「適切な組織的マインドセットがなければ、従業員は問題解決の機会に恵まれません」と語っています。フットワークの軽い企業には、「個別に、そして全体的かつ創造的なコラボレーションを通じて」極めて難しい問題に取り組むことで、社員の心を解放するマネジメントシステムがあります。
相手は自分の話が聞いてもらえていると感じた後ではじめて、あなたの話に耳を傾けます。互いのことを知り、信頼し合うチームは、エンゲージメントが高まり、より高い意欲を持ち、最終的には効率性が上がります。
3. 透明性とオーバーコミュニケーションを心掛けましょう。アメリカ国立標準技術研究所(NIST)は、2023年に次のように報告しました。
「コネクテッド製品に関する議論の多くでは、技術的な意味での接続性(プロトコル、アルゴリズムなど)に焦点が当てられています。エコシステム参加者間で信頼関係の構築を促進し、コネクテッド製品の使用に伴うサイバーセキュリティリスクを軽減するためには、開かれた対話と情報共有という異なるタイプのコミュニケーションが必要です」
私のチームでは、情報を共有することは、たとえそれが不快なものであっても真実を言うことを意味します。未熟であろうと熟練者であろうと、特定のセキュリティアプローチが機能しないと思う場合、あなたには一言述べる義務があります。透明性は信頼を築き、それにより潜在的な脅威、インシデント、問題をより迅速に発見し、対処できるようになります。
他の人にフィードバックを求め(それを取り入れ)てください。率直なフィードバックは贈り物です。私の経験上、誰もがミスを犯すものですが、重要なのはそうしたミスに対してあなたがどのように対応し、正常な状態に戻すかです。常に謙虚な態度で、正しいことを行いましょう。
4. まず行動しましょう。NCR Voyixのサイバーセキュリティは大規模かつ複雑で、常に変化しています。しかし、私のチームが泥沼にはまることはありません。組織内でコントロールできることに焦点を当て、それから行動を起こすことが重要です。
問題に対する完璧な解決策が見つかるまで待っていてはなりません。まだ60%や70%しか到達していないかもしれませんが、決断をして始めましょう。不足している情報を組み込み、改善を繰り返してください。個人であろうとチームであろうと、始めたことは常にスケジュール通りに終わらせることが重要です。これにより、個人レベルでもチームレベルでも信頼関係を築くことができます。
「信頼が低いと、意思決定、情報伝達、関係構築など、すべてを遅らせます」-Stephen M.R. Covey著『スピード・オブ・トラスト:「信頼」がスピードを上げ、コストを下げ、組織の影響力を最大化する』
築き上げた信頼をどのようなタイミングで活かす必要があるかは分かりません。例えば、急なセキュリティ問題が発生した場合、迅速に行動し、各方面にタスクを委任する必要があります。各自が常に全力で仕事に取り組むため、チームを構成するメンバーが互いに頼りになると知っている場合、チームの効率性は高まり、ストレスを感じずに優れた成果を達上げることができます。
5. サイバーセキュリティがビジネス成果にどのように貢献するかを忘れず、チームと共有しましょう。CISOが組織内よりもビジネスの方をより重視するようになるにつれ、テクノロジー投資のROIを提示するというプレッシャーが増大していますが、これを証明するのは非常に難しい場合があります。
ただし、ビジネ スの忠実な責任者であることの価値に関する議論の枠組みを変えることはできます。Accentureは、サイバーセキュリティをビジネス目標と整合させる企業の方が、「収益増、市場シェア拡大、顧客満足度上昇、従業員の生産性向上につながる可能性が18%高い」と報告しています。
サイバーセキュリティが重要である「理由」をビジネスステークホルダーと共有し、推進するための理解を得てください。保護されていない攻撃対象領域が原因で、ビジネスの混乱が増大していませんか?悪意のあるボットが顧客の正当な取引を脅かしていませんか?
サイバーセキュリティが解決するビジネス問題を、全員に認識させてください。役割や勤務場所に関係なく、人は価値を提供している存在として認められることを望んでいます。
サービス指向のマインドセットを身に付けると、キャリアを始めたばかりの段階であれ、経験豊富なCISOであれ、効率性を高めることができます。チームが提供するビジネス価値において透明性、包括性、自信を持てば、あなたとあなたのチームが達成できることに制限はありません。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
CloudflareのROI計算ツールを使って、お客様が事業展開するあらゆる場所でセキュリティ強化がもたらす潜在的なメリットを試算してください。
Paul Farley — @allaboutrisk
コーポレートバイスプレジデント兼CISO代理
NCR Voyix
この記事では、以下のことがわかるようになります。
サービス指向のマインドセットがビジネスの安全確保にどのように役立つか
優れたパフォーマンスを持つサイバーセキ ュリティチームを率いるための5つの推奨事項
戦略的なビジネス成果を伝えることの重要性