上級管理職または取締役会にサイバーセキュリティを提示する際に犯した最大の過ちとその修正方法

サイバー セキュリティのトピックを上級管理職や取締役会に伝える目的は、優先順位を確立し、必要なリソースを割り当てることができるように、サイバー セキュリティに関する最大の懸念事項、ビジネスへの影響、考えられる軽減策を理解できるようにすることです。このように重大な結果をもたらしたのに、出席者のほとんどがこの目標を達成できないのはなぜでしょうか?

それはあなたではなく、彼らについてです

上級管理職や取締役会メンバーに対するほとんどのサイバー セキュリティ プレゼンテーションは、IT セキュリティ運用担当者のみに関連し、他の誰にも関連しないテクノロジと関連性の低いデータ ポイントに引き続き焦点を当てています。

テクノロジーはセキュリティ担当者にとって非常に重要ですが、それは彼らがすべての作業活動の焦点を当てているため、取締役会の焦点ではありません.エグゼクティブは、IT 部門の作業を容易にするスピードやフィードに関心を持たないでしょう。リーダーが関心を持っていることに関係しない限り、何かがうまくいかないときは悪夢のようなものです。

直し方

  1. 経営陣にプレゼンテーションを行う前に、質問をして助けを求めてください。シニア リーダーシップ チームを知り、コミュニケーションを調整して、意思決定に必要な情報に焦点を当てます。共有されている情報がそれぞれにとって重要かどうかを質問します。
  2. 具体的には、シニア リーダーが決して見たくない状況のトップ 5 を提示する前に質問し、それらに対処します。いくつかの例として、「CEO の電子メールを競合他社に読まれたくない」、「当社の専門製品の IP を公開したくない」、「攻撃者がビジネス パートナーのネットワーク接続を使用して、私たちの環境にアクセスしてください。」お客様の最大の懸念事項を理解し、既存のセキュリティ ソリューションによってどのように対処されているか、または現在緩和されていない場合にどのように対処する必要があるかを強調します。
  3. 経営陣が現在最も関心を持っているビジネス上の問題と、来年に向けてどのようなイニシアチブを計画しているかを理解します。特定のビジネス活動、新製品の発売、合併、買収、パートナーシップ、または進行中のその他の重要な活動や懸念事項はありますか?これらのイニシアチブと、サイバーセキュリティが目標をより迅速または効率的に達成するのにどのように役立つか、またはそれがどのように新しい機会を開くことができるかを理解してください。これにより、彼らと過ごす時間がより価値のあるものになります。
  4. 彼らのそれぞれの性格、彼らが尋ねる典型的な質問、彼らが知りたいこと、そして彼らがこの情報をどのように消費したいかを理解してください.消費者が簡単に利用して理解しやすく、情報に基づいた意思決定ができるようにコンテンツを配置することで、時間を尊重したプレゼンテーションを作成します。その後、彼らのニーズが満たされているかどうか、次回のために何を提示または変更してほしいかを尋ねます。
  5. 戦術的になり、非常に厳格で厳格な編集者になりましょう。何かが関連性がなく、それを提示すべき強い理由がない場合は、それを削除してください。

結論:プレゼンテーションを成功させるための鍵は、聴衆にプレゼンテーションを行うときは、あなたではなく聴衆についてであることを覚えておくことです。

テクノバブルを落とす

私たちの日常生活のあらゆる面でテクノロジーが絶え間なく侵入しているにもかかわらず、スマートフォンの操作や 2 要素認証の使用に精通しているだけでは、サイバー リスクの技術的側面やその背後にあるニュアンスや微妙な点を理解することにはほど遠いという現実が残っています。特定のセキュリティの問題。

これらのサイバー セキュリティ プレゼンテーションの出席者のほとんどは、サイバー リスクのビジネス、法律、および運用上の影響を理解しているため、議論にもっと参加したいと考えています。ただし、プレゼンターがテクノ専門用語を使いすぎているため、多くの人はできません。

直し方

  1. シニア リーダーや取締役会にプレゼンテーションを行うときは、テクノロジーに関する詳細な言及はすべて削除してください。情報が要求された場合に備えて、これらのトピックについて説明しているバックアップ スライドをいくつか用意しておくと役立つ場合がありますが、特定の要求でない限り使用しないでください。
  2. 技術的な詳細を、ビジネス、運用、および法的影響に焦点を当てた理解しやすい概念に抽象化することにメッセージを集中させます。特定のサイバー リスクからサーバー X へのテクノロジ フィード、速度、アップタイム、ダウンタイムに注目するのではなく、特定のビジネス プロセスに問題を引き起こす可能性があるワークロードの影響に抽象化します。繰り返しますが、テクノロジー プロセスへの影響ではなく、ビジネス プロセスへの影響に注目してください。この焦点の変更は重要です。
  3. プレゼンターは、聴衆が簡単に理解できる用語を使用して、自分が行うことの価値に焦点を当てる必要があります。アナロジー、簡略化されたチャート、およびダッシュボードが役立ちます。ストーリーを使用してメッセージを伝え、それらのストーリーを簡潔に保ちます。これは難しい場合があります。プレゼンターは、「理解してもらいたい問題は何ですか? また、それがどのような影響を与えるでしょうか?」と質問する必要があります。そのストーリーラインの重要な要素に焦点を当てます。そうすることで、聴衆との信頼関係を築き、メッセージをより受け入れやすくなります。

結論:幹部や取締役会に関連するためには、セキュリティ担当者だけに関連するテクノバブルの使用をやめてください。

The Sky is Falling…Again!

恐怖、不確実性、疑念を使ってすべてのサイバー リスク シナリオを説明することは、シニア リーダーや取締役会にサイバー セキュリティ リスクを提示する際に最も多用される手法でした。単純な現実は、その影響が完全に失われたということです。同じ見出しを何度も何度も聞いて、最終的に耳をすますことができますか?同じことは、シニアリーダーや取締役会にも当てはまります。彼らはサイバーセキュリティのプレゼンテーションで常に恐れるように言われていますが、今ではほとんどの人がそれを無視しています.

最善の保護を行ったとしても、何かが起こる可能性があることは事実です。家は、難燃性材料を使用して厳格な建築基準法に従って建てることができ、火災警報器と消火システムを備えていますが、それでも火災が発生して家を全焼させる可能性があります.しかし、それは家を建ててはいけない、あるいは家に住めないほどセキュリティ対策を行き過ぎてはいけないという意味ではありません。

サイバー リスクは私たちの周りに存在します。では、どのようにバランスを取り、効果的に伝達するのでしょうか?

直し方

  1. 恐怖、不確実性、疑念を利用して、シニア リーダーや取締役会に行動を起こすよう圧力をかけるのはやめましょう。これらの戦術は機能せず、怠惰と関心のある問題の理解の欠如を示すだけです。
  2. 潜在的な理論上の脅威ではなく、組織に影響を与える実際のリスクについて話し合います。合理的になり、誇張を避けます。特定のリスクが大幅に低い、または非常にありそうにない理由をリーダーが理解できるようにします。理論上は多くの可能性がありますが、現在の環境に関連するのはそのサブセットのみです。何が導入されているか、およびリスクを軽減するための将来の更新またはアップグレードの計画を幹部が理解できるようにします。

結論:空が落ちてくると信じ込ませてみんなを怖がらせるのはやめましょう…また。

脅威が多すぎる

組織を常にあらゆるものから守る完璧なセキュリティ体制はありません。どこかに、何らかの脆弱性や露出が常に存在します。最大のサイバー セキュリティ予算と最先端のテクノロジを導入している最も成熟した組織でさえ、問題に直面します。ただし、現在のセキュリティ上の懸念が同等の優先度であるとしてそれらすべてを強調することは非生産的です。

直し方

  1. シニア リーダーと取締役会は、考えられるすべてのリスク シナリオから完全に保護することは不可能であることを理解する必要があります。これを説明するのはもっと難しいかもしれませんが、サイバー リスク軽減の決定の背景を提供することは、上級管理職や取締役会のプレゼンテーション中にサイバー セキュリティの役割を果たします。
  2. プレゼンテーションでは、どのサイバー リスク シナリオが優先され、どのサイバー リスク シナリオが優先されないかについて十分な情報に基づいた決定を下すために必要なデータを、シニア リーダーや取締役会に提供する必要があります。完全な保護はなく、いくつかの残存リスクを受け入れる必要があります。しかし、それらの許容可能なリスクは何ですか?これは、考えられるさまざまな影響に基づいたビジネス上の決定である必要があります。いくつかのリスクは他のリスクよりも可能性が高く、影響が大きいものもあれば、緩和策がより複雑なものもあれば、費用がかかるものもあります。意思決定者が理解できる言葉を使用して、選択肢を明確に説明し、それぞれの価値を強調することで、意思決定者を支援します。
  3. 重要なマイルストーンを強調し、テキストではなくグラフィックを使用してメッセージを伝えます。プレゼンテーションのテキストを最小限に抑えます。テキストがある場合は、それをトーク トラックに移動し、代わりに画像またはその他の視覚的表現を使用します。目標はメッセージを伝えることであり、遠くから小さなテキスト行をすばやく読む能力を経営陣にテストすることではありません。

結論:シニア リーダーと取締役会のメンバーが、リスク管理に関して十分な情報に基づいた合理的な意思決定を行えるようにすることが重要です。

長期にわたる一貫性の欠如

ほとんどの上級管理職および取締役会レベルのプレゼンテーションには一貫性がありません。代わりに、プレゼンテーションは独立していて切り離されているように感じられ、その日の主要な問題に焦点を当て、文脈から外れてほとんどの参加者が消費できない技術情報に重点を置いています.これにより、聴衆が議論されている情報を理解し、関連付けることが非常に困難になります。

これらの会議のシニア リーダーがコンテンツを利用する時間は限られており、提供された情報を使用して意思決定と推奨事項を行うよう求められます。彼らがやりたくないことは、プレゼンテーションの要点を理解しようとして貴重な時間を無駄にしたり、以前に聞いたことのない何かが今日非常に重要である理由を理解したりすることです.

直し方

  1. 聴衆が提示される要素、それらが提示される順序、およびそれらが提示される方法に慣れるように、プレゼンテーションに一貫した物語とリズムを確立します。聴衆は、情報がどのように提示されるかに決して驚かされるべきではありません。
  2. プレゼンテーションに含まれる情報を常にダブルチェック、トリプルチェックし、以前のプレゼンテーションと一貫性があることを確認してください。以前のプレゼンテーションで 300 台のサーバーについて言及されていたが、現在別の数が議論されている場合は、誰かがそれを持ち出す前にその違いを説明できるようにしておいてください。矛盾は疑いを生む。
  3. プレゼンテーションは、毎回変化する個別にカプセル化された物語ではなく、時間の経過とともに進化する進行中のディスカッションと考えてください。再度プレゼンテーションを行うときは、リーダーに以前の要求を思い出してもらいます: 「前回、x を理解するために追加の説明を求めました」。組織の全体的なセキュリティ体制、準備状況、および成熟度のコンテキストで、議論中の要素を強調します。
  4. 以前は重要だったものがある場合は、進捗レポートを提供するか、優先度が高くなくなった理由を強調してください。意思決定の背後にあるストーリー アークと、それが組織全体にどのように関連しているかを聴衆が理解できるようにします。
  5. 傾向のあるダッシュボード、時間の経過に伴う変化、およびビジネス プロセスへの影響に注目します。一貫性のある画像と図を使用します。聴衆は 10 秒以内にスライドを簡単に理解できますか、それとも理解できるように説明する必要がありますか?後者の場合は、最初からやり直してください。
  6. 付録セクションに何が含まれているか、なぜそこにあるのか、出席者が追加情報を入手できる場所を強調します。

結論:長期にわたる一貫性の欠如ほど信頼性を損なうものはありません。

見返りが得られない

ほとんどの上級管理職と取締役会のプレゼンテーションは、プレゼンターが「何か質問はありますか?」と尋ねることで終わります。これは間違ったアプローチです。この時点で、プレゼンターがこの投稿で提供されているガイダンスに従っていれば、プレゼンターが行っていることに興味を持っている参加者がいるはずです。

この機会を無駄にしないでください。発表者モードから会話モードに移行します。上級管理職および取締役会メンバーは、ビジネス関連のアドバイス、ガイダンス、および洞察の最良の情報源です。これは、彼らに質問をして、これが相互の議論であることを示す絶好の機会です。

直し方

  1. 提示された内容がビジネス リスクに対する見方に影響を与えたかどうかを尋ね、情報の配信がどのように期待に合致しているかを評価し、重要なポイントを理解していることを確認します。この洞察を使用して、将来のプレゼンテーションを改善します。
  2. 次の四半期または来年の最優先事項は何かを尋ね、将来のプレゼンテーションでより関連性を高める機会を特定します。
  3. 彼らの考えや主な懸念事項について理解を深めるのに役立つビジネス リーダーに連絡先を提供したり、紹介したりすることで、彼らの考えを理解するのにどのように役立つかを尋ねてください。
  4. 彼らが他の取締役会に所属しているか、他の場所で指導的立場にあるか、それらの組織で最も懸念されていることは何かを尋ねます。これにより、彼らが何を考えているかについての追加の洞察が得られ、困難な問題を解決するために組織外の他の人とネットワークを形成する機会が提供される可能性があります。
  5. これは、関連する懸念と、リーダーシップがそれらに対処する方法を提案する方法を強調する機会でもあります。資金調達、イニシアチブのサポート、または次の会議での決定に関するガイダンスについて話し合うように要求します。

結論:合理的かつ敬意を持って行動してください。無理をしてはいけませんが、貴重な洞察が提供されていることを忘れないでください。見返りが得られないのは残念です.

結論は

上級幹部や取締役会レベルのプレゼンテーションを成功させる鍵は、次の単純な原則に帰着します。

  • 聴衆にプレゼンテーションをするときは、あなたではなく彼らについてであることを忘れないでください.
  • 上級管理職や取締役会との関連性を高めるには、IT 運用に最も関連性の高いテクノバブルの使用をやめてください。
  • 空が落ちてくるとみんなを怖がらせるのはやめて…またね。
  • リーダーが必要なすべての情報を確実に入手 (および理解) できるようにすることで、リーダーが十分な情報に基づいたリスク管理の決定を下せるようにします。
  • 長期にわたる一貫性の欠如ほど信頼性を損なうものはありません。
  • リーダーには貴重な洞察が提供されますが、発表者も会議から何かを得ることができないわけではありません。

テクノロジーは私たちの安全地帯です。上級管理職や取締役会と効果的に話すには、新しいコミュニケーション スキルの開発が必要です。幸いなことに、最大のミスのそれぞれに対処することができます。時間と一貫した焦点だけが必要です。

ネットワーク、メンター、またはコーチに連絡して、多くの質問をすることを躊躇しないでください。サイバーセキュリティの価値をリーダーシップと取締役会に伝えることは私たち全員に利益をもたらすため、たとえそれが苛立たしいものであっても、フィードバックを受け入れるようにしてください。

参照: https://www.mandiant.com/resources/blog/biggest-mistakes-when-presenting-cyber-security-to-board-and-how-to-fix

Comments

Copied title and URL