この調査は、2018年初頭に実施された。175人の回答者は、従業員1000人以上の北米の企業に勤務するITセキュリティの専門家とGRCの専門家である。
その調査結果によると、回答者の7割がセキュリティ侵害を経験していた。また、66%の回答者が検知されるまで数カ月にわたり侵害発生に気付いていなかったという。回答企業・組織の82%は、セキュリティ侵害を単なるITリスクではなく、ビジネスリスクとみなしており、経営陣はセキュリティ侵害の防止検知、対応への取り組みに協力的であると回答している。
セキュリティ侵害が認められた場合、セキュリティチームでは原因究明、リスク管理チームでは事業継続に向けて活動を開始する。しかし、両者は必ずしも歩調を合わせて協調的に活動していないことが明らかになった。回答者の73%が、両者は円滑なコミュニケーションが取れていない場合もあり、連携することが難しいと指摘している。
RSAの調査レポートでは、両者が協力関係を構築するための課題を指摘する。最も指摘が多かったのは、使用するツールと技術の違いだった(46%)。インフラに重きを置くセキュリティチームはセキュリティ対策製品や外部情報を使用する。それに対して、リスク管理チームはリスクを特定し、ガイドラインに従って管理策を実行し、ビジネスリスク管理ツール、GRCツール、チェックシートなどを駆使する。
次に、用語の違いが多く指摘された。セキュリティチームはブロック、アラート、違反など実用的な言葉で表し、リスク管理チームは可能性、潜在的、影響など、推論に基づいた用語を多用する傾向があるという。
チーム間の関係を改善する方法としては、リスク管理チームよりもセキュリティチームの方がギャップを埋めてビジネスリスクを検討するための措置を講じることに興味を持っていることが分かった。
以上のことから、RSAでは「セキュリティチームとリスク管理チームは、同じ組織に所属しているにもかかわらず一枚岩ではなく、組織の成り立ちや業務に端を発した文化の違いがあることが分かった」と説明する。しかし、それぞれの殻を破り、組織全体によるデジタルリスク管理を支援するという共通の目標に向かって、より緊密に協力し始めている傾向があることも分かったとまとめている。