最高情報セキュリティ責任者 (CISO) になるための必須要件は、利害関係者の管理です。多くの組織では、セキュリティは依然としてサポート機能と見なされています。つまり、受け取った予算の一部は、他の部門から嫉妬の対象となる可能性があります。独自のやり方で設定された組織に変化をもたらすことは、困難な場合があります (たとえそれを行うために雇われたとしても)。しかし、あなたがデジタル トランスフォーメーションを開始するか、組織をコンプライアンスに移行させるかを問わず、プログラムで協力することが最善の利益になることを全員に理解してもらう必要があります。
私は、マイクロソフトに入社する前に 20 年以上にわたってさまざまな組織で CISO として働いてきた同僚の Abbas Kudrati と、CISO ストレスバスターのヒントについて話し合うために腰を下ろしました。サイバーセキュリティの嵐を乗り切るために重要であると私たちが特定したいくつかのことと、アッバス自身の言葉を以下に示します。
Microsoft のチーフ サイバーセキュリティ アドバイザーである Abbas Kudrati は、本日の CISO Stressbuster の投稿で、ストレスを軽減するためのアドバイスを共有しています。
1. ビジネスエンゲージメントが違いを生む
私の情熱は、ものを構築または修正することです。これらの分野での私の評判は、私が新しいプロジェクトに取り組んだり、既存のシステムに変更を加えたりすることに頻繁に従事していることを意味します.私はさまざまな業界で働くゼネラリストの CISO ですが、引き受けたすべての役割で、何かユニークなことを成し遂げ、賞を受賞することもよくありました。私の仕事は、コンプライアンスの向上から、インシデント対応計画の改善、またはCREST UKやCOBIT 5などの国際基準への準拠まで、多岐にわたります。
私の焦点は、違いを生み出すために必要な変更を実装し、大規模で複雑な環境の維持と運用を引き継ぐ優れた後継者を見つけることです.私の CISO としての通常の在職期間は 2 ~ 3 年でしたが、何人かの CISO を知っています。特に、マイニング組織などの大規模で複雑な環境では、6 ~ 8 年間その役割を果たし、実行されています。彼らは経営陣と良好な関係を築いています。 CISO はサポートされていると感じ、代わりにビジネスをサポートすることができます。この 2 つのこと、つまり経営陣への関与と組織の相互サポートは、CISO として成功するために不可欠です。
2. 達成したいことを知る
組織に入ってからでないと、組織の状態を把握するのは難しい場合がよくあります。役割を開始すると、それがいかに悪いことであるかに気づき、「私は何に夢中になったのだろうか」と考えることがあります。わずか 6 か月の滞在で履歴書を台無しにしたくはありません。だから、あなたはそれを突き出そうとします。しかし、サポートとコミュニケーションがなければ、2 年以上滞在するストレスに見合う価値はありません。これは、多くの CISO が退職する一般的な理由です。
目標を超えると、別のフラストレーションが発生する可能性があります。 3 年以内に目標とする結果を出すように言われましたが、18 か月から 2 年以内にそれを達成することができたという例があります。その後、第 2 段階では、同社はそれを実行し続ける余裕があると述べています。それは私が望むものではありません。私は違いを生み、それを中心に計画を立てたいと思っています。そのため、次に進むことを選択できます。
3. 適切な人材を採用して育成する
特に私が働いた国での最後の課題は、適切な人材を採用することです。アジア太平洋地域では、熟練した個人をめぐる非常に競争の激しい市場があります。場合によっては、学問的なつながりを利用して、新鮮な頭脳を採用し、育成しようとしました。必要なスキルを身につけるだけでなく、私たちの職業の発展をサポートしています。これを達成するのは簡単なことではありませんが、私はこの方法で最も情熱的な従業員を何人か育ててきました。
4.メンターとアドバイザーを見つける
CISO であることは孤独な場合があります。あなたの仕事を理解してくれる人は多くなく、必要な内部サポートを得られないこともよくあります。メンターを見つけるのに役立ちます。私は常に、より高度な方法でセキュリティに取り組んでいる CISO の役割を担うメンターを探してきました。これをすぐ近くで見つけるだけに限定しないでください。あらゆる業界や地域で適切なメンターを見つけてください。今日、その人は世界中のどこにでもいる可能性があります。オーストラリアでは、経営幹部レベルの CISO を持つのに十分な規模の組織には、ほんの一握りの人しかいません。その国際的なつながりを見つけることは、私にとってかけがえのないものでした.
ベンダーやパートナーも、良い相談相手やアドバイスの源になることができます。 Cisco のアカウント チームとは良好な関係を築いており、彼らは私に CISO を紹介してくれました。CISO は私に多くの貴重な洞察を与えてくれました。これは、私がマイクロソフトでの役割に取り入れてきたことです。私は、以前の役割で受けてよかったのと同じ種類の洞察と外部の視点をお客様に提供しています。顧客は、あなたが提供できる洞察を高く評価し、難しい決定を下して戦略を進化させるのに役立ちます。
5. 燃え尽き症候群は現実のものであり、キャリアアップは困難な場合があります
CISO になるのは簡単な仕事ではありません。あなたはセキュリティ インシデントの最前線にいます。通常の 9 時から 5 時までのスケジュールはほとんど不可能です。アジア・パシフィック地域では、キャリア開発のために行ける場所にも制限があります。国によっては、CISO を必要とする十分な成熟した組織を持てるほど大きくない国もあります。たとえば、マレーシアやインドネシアに存在する CISO の役割の数には制限があります。オーストラリアの方が少し大きいです。シンガポールにはさらに多くの機会がありますが、それでも世界の他の地域の国々と同じ規模ではありません.
CISO は、多くの場合、アドバイザー、コンサルタント、または早期退職に移行します。 CISO が退職し、企業の取締役会の非常勤取締役になることはよくあることです。そこでは、CISO の経験は非常に貴重です。バーチャル CISO になると、専門知識やサポートを共有したり、特定のプロジェクト (チームの雇用など) に取り組んだり、専門知識を共有したり、正社員に縛られることなく組織を教育したりできます。転職する際、CISO は、ストレスの軽減と家族との時間を取り戻すことと引き換えに、給与の削減を受け入れることがよくあります。
私にとって、マイクロソフトのアジア太平洋地域のチーフ セキュリティ アドバイザーに就任したことは、論理的で充実したステップでした。 CISO としてベンダーから受けたサポートを顧客に支払うことができます。私の経験と専門知識は、組織がデジタル トランスフォーメーションを成功させるために必要な変化をよりよく検討するのに役立ちます。
6. 規律と人とのつながりが不可欠
CISO の業務には多くの混乱があります。仕事と同じくらい、身体的および精神的な幸福に集中することが重要です。定期的に休憩を取ってください。外に出て新鮮な空気を吸いましょう。瞑想や運動で精神的な健康のために時間を取りましょう。 COVID-19 は、家族とつながることがいかに重要であるかを強調しています。危機によって休暇や週末が中断される可能性があるため、それらの時間をリラックスすることに当てにしないでください。
社内外で味方ネットワークを構築することは、バランス感覚、視点、サポートを維持するために不可欠です。マイクロソフトがさまざまなグループ、バックグラウンド、環境を超えて育んでいる仲間の概念がとても気に入っています。私たちは皆、お互いをサポートするためにそこにいる必要があります。全世界がつながった今、私たちもつながることができます。人々の様子を確認し、サポートすることは、グループのストレスを管理するための中核であり、パンデミック中ほど重要になったことはありません.時間をかけて接続してください。
7. 覚えておくべき真実
これは、CISO の採用を検討している組織や、単に組織図のポジションを埋めようとしている組織に対する警鐘です。ビジネス エグゼクティブとリーダーシップ チームは、適切なリソースを提供し、CISO にリスクを管理してビジネスの成功を支援する能力を与える必要があります。採用時には、次のヒントを念頭に置いてください。
- CISO はセキュリティ インシデントを所有していません。 彼らはそれらを管理します。
- CISO は、成功のためにすべてのビジネス ユニットにアクセスする必要があります。
- CISO は、ビジネスが効果的であることを理解する必要があります。彼らを指導してください。
- CISO は同僚と協力する必要があります。だから、彼らを隔離しないでください。
- CISO は、リスクを管理するためにすべてのテクノロジに関する決定に関与する必要があります。
CISO になることは、私を含む多くのサイバーセキュリティの専門家にとって夢の仕事です。仕事はストレスがたまる。ただし、多くの CISO は、変化をもたらしていると感じているため、この課題を受け入れています。その目的意識を持ち、特定の目標に向かってチームを導くことを楽しんでいました。その焦点、およびリーダーシップ チームの一員となる機会は、今日の現代のセキュリティ エグゼクティブの要件になりつつあります。これを念頭に置いて、CISO の成功のために業務をどのように最適化しますか?
Microsoft セキュリティ ソリューションの詳細については、当社の Web サイトをご覧ください。 セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
Comments