ITセキュリティ専門家とビジネスリスク部門とのギャップは埋められるか?

ITセキュリティの専門チームとビジネスリスク管理チームは相互に連携し一気通貫でリスク対応体制を構築できているか? RSAではこの疑問を明らかにするために調査を行い、両チーム間に存在する隔たりとその理由を明らかにした。


この調査は、2018年初頭に実施された。175人の回答者は、従業員1000人以上の北米の企業に勤務するITセキュリティの専門家とGRCの専門家である。

その調査結果によると、回答者の7割がセキュリティ侵害を経験していた。また、66%の回答者が検知されるまで数カ月にわたり侵害発生に気付いていなかったという。回答企業・組織の82%は、セキュリティ侵害を単なるITリスクではなく、ビジネスリスクとみなしており、経営陣はセキュリティ侵害の防止検知、対応への取り組みに協力的であると回答している。

セキュリティ侵害が認められた場合、セキュリティチームでは原因究明、リスク管理チームでは事業継続に向けて活動を開始する。しかし、両者は必ずしも歩調を合わせて協調的に活動していないことが明らかになった。回答者の73%が、両者は円滑なコミュニケーションが取れていない場合もあり、連携することが難しいと指摘している。

RSAの調査レポートでは、両者が協力関係を構築するための課題を指摘する。最も指摘が多かったのは、使用するツールと技術の違いだった(46%)。インフラに重きを置くセキュリティチームはセキュリティ対策製品や外部情報を使用する。それに対して、リスク管理チームはリスクを特定し、ガイドラインに従って管理策を実行し、ビジネスリスク管理ツール、GRCツール、チェックシートなどを駆使する。

次に、用語の違いが多く指摘された。セキュリティチームはブロック、アラート、違反など実用的な言葉で表し、リスク管理チームは可能性、潜在的、影響など、推論に基づいた用語を多用する傾向があるという。

チーム間の関係を改善する方法としては、リスク管理チームよりもセキュリティチームの方がギャップを埋めてビジネスリスクを検討するための措置を講じることに興味を持っていることが分かった。

以上のことから、RSAでは「セキュリティチームとリスク管理チームは、同じ組織に所属しているにもかかわらず一枚岩ではなく、組織の成り立ちや業務に端を発した文化の違いがあることが分かった」と説明する。しかし、それぞれの殻を破り、組織全体によるデジタルリスク管理を支援するという共通の目標に向かって、より緊密に協力し始めている傾向があることも分かったとまとめている。

ITセキュリティ専門家とビジネスリスク部門とのギャップは埋められるか?

カテゴリー: 情報通信 , セキュリティ   

大島 純一郎

大島 純一郎Author

証券系システムエンジニアやIT系資格対策問題集の編集、IT系Webメディアの編集記者などの経歴を生かして、企業向けIT関連の記事制作に携わる。専門は、IT、金融、医療分野。医療情報システムの企画/構築、運用に関する知識を有する専門者としての資格、医療情報技師、情報セキュリティアドミニストレータの保有者。

Pickup

高級クロコダイルレザー仕様製品を抽選で各3名様へプレゼント
高級クロコダイルレザー仕様のbp-Aオリジナルキーホルダーとシューホーンを抽選で各3名様へプレゼントいたします。  続きを読む

関連記事