情報セキュリティをビジネスリスクとして管理することがなぜ重要なのか、パート2：評判の失墜

パート2：評判の失墜

で パート1 このシリーズでは、サイバーセキュリティ危機が企業に及ぼす直接的な経済的影響（例えば、eコマースサイトにおける甚大なウェブサイトダウンタイムや、窃盗など）について取り上げました。攻撃を受けた組織にとって、最も明白な影響は即時の収益損失ですが、それだけではありません。セキュリティ侵害は、組織の社会的評判を著しく損なうだけでなく、CISOやCIOの社内における地位も損なう可能性があります。.

まず、情報セキュリティインシデントがブランドに対する消費者の信頼をどのように損なうのかを検証してみましょう。例えば、2013年のホリデーシーズンに発覚したターゲットのデータ侵害では、1億1000万人の顧客個人情報が流出し、報道から数週間後、この小売大手は売上低迷に見舞われました。2014年初頭、ターゲットが2013年第4四半期の決算発表を行った際、この侵害の影響は明らかになりました。同社の利益は減少したのです。 46パーセント 前年比で増加しました。数か月後、同社のCEOは辞任しました。セキュリティ侵害後の信頼回復に苦戦しているのは、Targetだけではありません。; 36パーセント 最近の調査によると、侵害があった後はその企業を利用する頻度が減ると答えた顧客の割合が 100% に達しています。.

残念ながら、情報セキュリティ問題が発生した場合、CIOとCISOは、それが公平かどうかに関わらず、最も大きな責任を負わされることになります。おそらく、それが理由の一つでしょう。, 半分以上 CIOの70%が、セキュリティ脅威を今日の最大の懸念事項として挙げています。しかも、これらのITリーダーは偏執的ではありません。; 最近の白書 Silverton Consulting Group の調査では、CIO が職を失う主な理由としてセキュリティ侵害が挙げられています。.

たとえCISOやCIOが侵害後に解雇されなかったとしても、以前の同僚からの信頼を取り戻すのは容易ではないでしょう。その結果、ITセキュリティ専門家にとって以下のことが難しくなる可能性があります。

• サイバーセキュリティについて他の経営幹部と有意義で生産的な対話を行う
• 予算や採用の決定に影響力を持つ
• 将来の攻撃を防ぐ

セキュリティ専門家や企業の評判を落とすことを避ける鍵の一つは、CIOとCISOが 会話を始める リスクを軽減する方法について 前に 重大な侵害が発生した場合、関係者が重要な採用決定やプロジェクトへの重要なリソース割り当てを行う前に戦略を練るのと同様に、セキュリティ運用管理の専門家やIT部門以外のビジネスリーダーは、情報セキュリティに関するリスク評価を実施する必要があります。こうした対話を通じて、企業は自社にとって最も重要な情報と機能を特定し、多層的な計画を策定することができます。これには、 高度なセキュリティソリューション, 、エンドユーザー教育、インシデント対応のプロトコルなど、これらの資産を保護するためのさまざまな手段を講じます。.

実のところ、経営幹部は多忙を極めることが多いため、組織内の情報セキュリティを重視する積極的なアプローチはCIOまたはCISOの責任です。この戦略は波及効果を発揮し、他のステークホルダーにもセキュリティへの注力を促すとともに、セキュリティを最優先事項とし、ITセキュリティ担当者が社内のリーダーとして認識される雰囲気を作り出します。そうなれば、企業全体の賛同を得ることがはるかに容易になります。実際、情報セキュリティへの積極的なアプローチは不可欠です。なぜなら、今日の攻撃のスピードと複雑さを考えると、侵害が発生する前にセキュリティツールやプロトコルのアップグレードを実装しなければ、企業は不利な立場に立たされるからです。.

このシリーズの第 3 回目、最終回では、情報セキュリティをビジネス リスクとして扱うことが、知的財産の損失の防止にどのように役立つかについて取り上げます。近日中に公開予定です。.