この記事はReplay.fm Advent Calendarの23日目の記事です。
今日紹介する記事はcuonさんの『ボードメンバーにとってのサイバーセキュリティ』です。
ボードメンバー、つまるところ経営レイヤにおけるセキュリティの扱い方に関する記事で、かなり自分の考え方に近いものでした。
すごく雑にまとめると、
セキュリティは特別なリスクではない
経営の言語への翻訳が難しい領域ではある
FAIRを使うとうまく翻訳できるのではないか
ERMにおいてはセキュリティも他のリスクと同じ構造で扱うべき
という話でした。
FAIRについてはわたしは知らなかったのでなるほどなーと思ったのと、一方でこの経営の言語というのはたぶん会社によって異なるので、経営が何を共通言語として会話しているかを観察するのが大事なのかな、とも思いました。(そんな話をポッドキャストでもしたはず)
これは、10Xでいうとまた違う言語があるな、と実際に感じているからこその感想で、組織のフェーズや事業のフェーズ、もっというと経営陣のものの考え方みたいなところでも変わってくるはずなので、過度に型化せずに根っこの考え方をちゃんと自分のものにするのが大事な話かな、と考えています。
私:「この脆弱性を放置すると、年間期待値で8,000万くらいの損失リスクがあります」
経営企画:「なるほど。BCP関連のリスクと同程度か。優先度は?」
私:「顧客影響の出方が違うので、こちらを優先すべきです」
この辺とかはすごくわかりやすい例でよかったです。ただ経営陣がこの解像度で社内の事象を見る会社は一定以上の規模がありそうなので、スタートアップにはスタートアップのロジックがありそう。
ERMの話については、個人的にはセキュリティの延長線上にERMが必ず存在すると思っているので、切り離せない領域ではあると思いつつ、CISOがERMもやればいいじゃん、みたいなのは違うよね、という指摘には完全に同意で、あくまで別物です。一方でリスクマネジメントの専門家としてのセキュリティの人間がERMにジョブチェンジするというのは全然ありだよなーとも思うので、このへんは防止の被り分けが大事なんだろうなーと思いました。
なんかそんな感じで、けっこう日頃思っていることがそのまま言語化されていてとてもいい記事だったので、皆さんもぜひ読んでみてください。