3. 経営陣の支援を確保する
Last updated
Last updated
セキュリティチャンピオンプログラムが組織内で目的を定めた正式なプログラムとして認識されるようにします。これはプログラムに対する経営陣の支援を確保することで実現します。
セキュリティチャンピオンプログラムを成功させることはセキュリティの比類ない恩恵があります。セキュリティの考え方とセキュリティ組織を IT 部門にまで拡大します。セキュリティチャンピオンとは、IT エンジニアがセキュリティを代弁することを意味します。そのためには IT 部門やその他の関連部門が時間、労力、予算を費やして、セキュリティチャンピオンを生み出し、育て、有能にする必要があります。そして、この優先事項は他の IT やビジネスの優先事項と競合します。経験上、優先事項が競合する場合、形式化された優先事項が勝利することを知っています。最も情熱を注ぐセキュリティチャンピオンであっても、期待されるワークロードよりもセキュリティを優先するのは難しいでしょう。これはセキュリティチャンピオンが不満を募らせ、セキュリティチャンピオンプログラムに悪影響を及ぼすことになるかもしれません。
そのため、セキュリティチャンピオンプログラムに対する経営陣の支援を確保することを強くお勧めします。こうすることで、IT 部門ひいてはセキュリティチャンピオンにとってこのプログラムが正式な優先事項となります。セキュリティチャンピオンは、IT リーダー、プロダクトオーナー、中間管理職にセキュリティ活動に時間を費やす理由を絶えず説明することに煩わされることなく、セキュリティ向上に必要な時間を費やすことができます。
セキュリティチャンピオンプログラムをセットアップするには、プログラムの承認と支援を得るために利害関係者を徹底的に分析する必要があります。セキュリティチャンピオンが報告を受ける IT 責任者は主要な利害関係者です。これはアプリケーション開発を行う IT 部門となることも、インフラストラクチャ開発を行う IT 部門となることも、その両方となることもあります。IT 責任者のほかに、セキュリティ部門または CISO 部門がある場合には、その部門の管理者もセキュリティとセキュリティ組織の方向性を決定する利害関係者となります。セキュリティチャンピオンはセキュリティ組織の延長であるという見方もあります。したがって、セキュリティ組織のマネージャはセキュリティチャンピオンプログラムの経営陣の支援を確保する上での重要な利害関係者となります。考慮すべきもう一つの側面は、セキュリティチャンピオンプログラムのビジョンで、セキュリティチャンピオンであることが IT エンジニアの職務内容に含めるべきであるとしている場合です。その場合は人事部を利害関係者として特定することをお勧めします。
適切な利害関係者を特定したら、その利害関係者にとって何が不可欠かを理解し、それらを中心にセキュリティチャンピオンプログラムのケースを構築することをお勧めします。IT 責任者にとって、これは IT リソースを最適に活用し、適切なセキュリティ/リスクレベルで IT を迅速に提供するという方向になるでしょう。セキュリティ組織 (CISO) にとっては、セキュリティプロセス、期待、ガバナンスがチャンピオンのモデルに組み込まれており、既存の組織の上にそのようなセキュリティチャンピオンプログラムを導入する利点を明確に表現されていることが、魅力になります。利害関係者ごとに、目的に対して利害関係者が考える潜在的なリスクに対処することを含め、利点を明確に表現する必要があります。
最後に、プログラムの提案は特定された各利害関係者によって承認され、そのプログラムが正式なプログラムとなる必要があります。
ある金融機関 (銀行) がセキュリティチャンピオンプログラムを正式化するケースを構築するために使用した こちらの成果物 をご覧ください。
(追記 含まれる成果物には、組織のコンテキストと、ユーザーの組織にモデルをコピー&ペーストする際に再検討が必要な理由についての明確な免責事項が含まれています。)
