ブログ

役員にセキュリティとリスクを提示する

エグゼクティブサマリー

取締役会の時間、そして注意力には限りがあります。 しかし、会社の安全性、評判、財務の健全性はすべて、取締役会のメンバーが会社が直面しているビジネスリスクをどれだけ理解しているか、またそのリスクをどのように軽減する予定であるかによって決まります。 短く、そして重要なものにしてください。 この記事では、IT とセキュリティの予算を検討し、リスク セキュリティ プロファイルとのバランスをとる方法について説明します。

F5 サムネイル
F5
2017年1月20日公開

5分 読む

その時が来ました。 企業のセキュリティの状態を取締役会に報告する必要があります。 プレゼンテーションは非常に重要です。会社の安全性、評判、財務の健全性はすべてあなたにかかっています。 取締役会のメンバーは、企業が直面しているビジネスリスクと、そのリスクを軽減する計画を理解する必要があります。 しかし、彼らの時間と注意力は限られています。 短く、そして重要なものにしてください。

目標を達成するには、次の 6 つの手順に従ってください。

1. サイバー脅威は現実です。事実に忠実に

彼らは数字を聞いたことがある。 5,750億ドル サイバー犯罪により毎年失われている。 データ侵害による損害は4億ドルを超える可能性があります。 このような情報は無視されます。 取締役は麻痺している。 しかし、オンラインでビジネスを行うことの一般的なリスク(これは蔓延しています)と、業界、特に自社が直面している脅威を比較して理解する必要があります。 組織の最大のリスクが管理の欠如や不適切なプロセスに関連している場合、そのことを認識する必要があります。 最も重要なのは、あなたがそれに対して何をしているのかを彼らが知る必要があるということです。 解決策が見つからない問題を委員会に持ち込まないでください。

必要なサポートが得られない場合は、自分の評判とキャリアについて考えてみましょう。

できればあなたの業界におけるセキュリティ侵害についての説得力のあるストーリーを伝えてください。 自社の例を挙げてください。 重要な情報資産(知的財産、機密性の高い顧客データなど)を特定し、それらが侵害された場合に何が起こるか、またどのようなコストがかかるかを説明します。

2. 納得できる指標を提供する

セキュリティ管理にギャップがあり、それを修正するためのリソースの確保に苦労している場合は、継続的に攻撃を受けており、ネットワークが常に調査されていることを証明する証拠を提示してください。 遅かれ早かれ、悪者が成功することを明確にします。 彼らを教育してください。 彼らを驚かせてください。

  • 過去1年間に73%の企業が少なくとも1回のセキュリティ侵害を受けた
  • フィッシングの標的となった従業員の約3分の1が詐欺メールを開く
  • 10人に1人以上が餌に引っかかる。
  • ハッカーが送信ボタンを押してからシステムが侵害されるまでに2分もかかりません
  • ハッカーは、発見されるまでに平均して少なくとも4か月間は組織内に潜んでいる
  • ウェブアプリは侵入の第一の入り口である

3. セキュリティ文化の導入に協力を得る

サイバー侵害の58% は人為的ミスによるものです。 安全なビジネスとは、全員が脅威について教育を受け、リスクを軽減するために各自の役割を果たすビジネスです。 これは、厳格で反復的なトレーニングから始まり、場合によってはISO 27001のような標準への準拠も含まれます。

4. インシデント対応の支援が必要であることを説得する

取締役会に事実を直視するよう促してください。今日、すべての組織は侵害を受けるという非常に現実的な可能性に直面しています。 どれだけの被害を受けるかは、どれだけ迅速かつ効果的に対応するかによって決まります。備えておいてはいかがでしょうか? ほとんどの企業には、効果的なインシデント対応 (IR) のスキルがありません。 トラウマを乗り越えるには、技術的、法医学的、法的、広報的なサポートが必要です。 最善の策は、専門知識を持つ第三者に依頼することです。 優れたIR会社があなたをサポートします。

5. サイバー保険について話し合う

サイバー保険はセキュリティ戦略に不可欠です。 しかし、サイバー保険に加入している企業はわずか19%です。 そして、ほとんどの企業は保険が著しく不足しており、一般的な侵害の総費用のわずか 12 パーセントしかカバーされていません。 サイバー保険は世界で最も急速に成長している保険であり、年間保険料は現在の25億ドルから2020年までに300パーセント増加すると予測されています。 ボードの計算を行ってください。 財務上の大惨事を招くことなく、侵害から企業がどれだけの損失を吸収できるかを計算します。 自分が納得できるリスクレベルを選択し、残りを保険でカバーします。

6. 予算承認が得られなかった取り組みを彼らに推進してもらう

あなたは宿題をこなし、すでにいくつかの取り組みのための資金を確保しています。 対処が必要なリスク領域があり、それに対処するための予算がない場合は、取締役がそのことを把握し、リスクを受け入れるか、解決策を推進する必要があります。 何かを達成するには、「取締役会が」それを実行するよう要求したと言うことより良い方法はありません。

結論は

この練習をするときは、少し自分勝手になってください。 実存的脅威から身を守るために必要なサポートが得られないのであれば、自分の評判とキャリアについて考えてみましょう。 取締役会が理解しない場合は、選択肢を検討する時期かもしれません。

それはとても重要なのです。

73%

過去 1 年間に 73% の企業が少なくとも 1 件のセキュリティ侵害を経験しました。


ライアン・カーニーは、2016 年 10 月に F5 Networks の製品開発担当エグゼクティブ バイスプレジデント兼最高技術責任者に任命されました。 彼は、同社の技術ロードマップを監督し、F5 のエンジニアリング チームを率いる責任を負っています。 カーニーは 1998 年に当社に入社し、2004 年 5 月に製品開発担当副社長に任命され、2012 年 1 月に製品開発担当上級副社長に任命されました。 彼はワシントン大学で電気工学の学士号を取得しています。