CISO には何が必要ですか? 今日の脅威の状況において、最高情報セキュリティ責任者には重大な責任があります。 CISO の役割をそのまま引き受けるのは得策ではありません。
彼らは会社に大きな影響力を持っており、定期的に自分の価値と能力を証明する必要があります。 サイバーセキュリティの分野でキャリアアップしたい場合は、十分な準備をしておく必要があるため、ただ偶然 CISO の役割に就くことは最良の選択肢ではありません。 このガイドは、企業にとって適切な価値を達成し、潜在能力を最大限に発揮するために、需要の高い CISO になるための自分の道を明確に定義するのに役立つ情報を提供します。
CISO: 定義とタスク
最高情報セキュリティ責任者は上級管理職であり、多くの場合、上級管理職のメンバーです。 彼は、組織の人材、プロセス、テクノロジーを保護する情報セキュリティ プログラムの開発と実装を担当しています。 彼の主な役割は、組織のサイバー セキュリティ アジェンダを推進することです。 最高サイバーセキュリティ責任者としての役割において、CISO は組織の既存のセキュリティ課題を理解し、新たな問題を特定し、対処する必要があるものを認識し、取り組みに優先順位を付け、戦略的ロードマップを作成する必要があります。 彼は、業界規制と現地法の両方に準拠したサイバーセキュリティ ポリシーを策定し、サイバーセキュリティ コミュニケーションを管理し、サイバーセキュリティ担当者と協力し、セキュリティ問題に関するハイレベルの会議に出席する必要があります。
サイバーセキュリティインシデントが発生した場合、CISO はチームと協力してリスクを特定、分析、評価する必要があります。 さらに、CISO はインシデントのコストを分析し、インシデントの全体的な影響を評価できる必要があります。 彼は、インシデントに対応するための適切な計画を予防的に作成し、インシデントの詳細なレポートを作成し、インシデントに関連する安全に関する推奨事項を作成する必要があります。 脅威管理に対する積極的なアプローチにより、CISO に確固たる評判を簡単に与えることができ、それがリーダーとしての評価と組織全体の安全性の向上につながります。
CISOになるには
CISO には確かな実績が必要です。 評判を高め、専門知識を実証するには、意欲的な CISO は次のことを行う必要があります。
教育がすべてです。 トレーニングが公式か非公式かに関係なく、ほとんどの組織は、CISO の職務を遂行する個人の能力を証明する特定の資格を期待しています。 一部の企業では、応募者に学士号に加えて医学分野の大学院学位の取得を期待しています。 サイバーセキュリティのデモンストレーション、例えばB. サイバーセキュリティ科学修士号 (MSCS)。
関連する技術的な経験。 CISO の役割に応募する前に、サイバーセキュリティ組織を安全かつ成功裏に運営するために必要な実践経験があることを証明することが重要です。 技術知識は最新のものであり、特定の業界の特定の脅威に関連している必要があります。 後者は、新しい CISO にとって特に重要です。 ほとんどの CISO ポジションには、少なくとも XNUMX 年のサイバーセキュリティ経験が必要です。
リーダーシップの経験を積む。 他の管理職と同様に、CISO も管理タスクです。 そのため、意欲的な CISO は、強力なサイバーセキュリティ チームを構築する方法と、全体的な戦略に貢献する必要なスキルセットを提供できるようにチーム メンバーを効果的に導く方法を知る必要があります。 通常、CISO 職には管理経験が必要です。 少なくとも 7 ~ 10 年の管理経験が必要な場合もあります。
リーダーシップスキルを開発します。 CISO は、管理経験とスキルに加えて、「グラビタス」(態度を通じてにじみ出る個性と自信)としても知られる、一定レベルのリーダーとしての存在感ももたらす必要があります。 これには、さまざまなコミュニケーションスキル、個人的な態度、ストレスの多い状況でも冷静さを保つ能力が含まれます。 リーダーシップの存在の正確な定義はありませんが、リーダーシップの可能性を示す指標です。
資格を拡大します。 意欲的な CISO は、Check Point Mind CISO Academy など、世界的に認められた質の高いトレーニング プログラムに参加することで、視野とリーダーシップ スキルを広げることができます。
戦略的ビジョンを策定します。 CISO の採用を検討している企業は、会社を将来に導く人材を求めています。 CISO 候補者は、個人の能力開発に関心を示し、才能と探究心と献身的なチームの成長と発展をサポートする能力を証明する必要があります。
多くの道は CISO に通じています
意欲的な CISO が取るべき単一の道はありません。 むしろ、さまざまなサイバーセキュリティ認定資格、探究心、強力な同僚ネットワークが、この役割に備えるのに役立ちます。 以下のコンピテンシーは、CISO になるための重要なマイルストーンです。
- 技術的なスキル s必須です。 CISO は、ネットワーク セキュリティ、クラウド セキュリティ、ID アクセス管理、インフラストラクチャの導入と適応、さらに企業内のデータの保護、整合性、可用性を確保するツールとテクノロジーについてすべてを知っている必要があります。
- 安全技術者CISO になりたい人は、問題を見つけることに重点を置くことがよくあります。 CISO は、問題を発見するだけでなく、環境にとって明らかではない問題や脆弱性を特定できる必要もあります。 正しい質問をし、型にはまらない方法で問題を捉える方法を学ぶには、時間と練習が必要です。
- CISO には CISO レベルの知識が必要です サイバーセキュリティを考えるときは、常にアップデートしてください。 オンプレミスでのサイバーセキュリティの実装に必要なものは、クラウドに必要なものとは異なります。 自動化や AI ベースのツールがますます登場するにつれ、知識も常に適応させる必要があります。
- 多くの意欲的な CISO は、 彼らの技術スキルを潜在的な雇用主に伝えます。 繰り返しになりますが、これらはこの職業にとって重要な特性です。ソリューション指向の姿勢、勝ち負けを認識すること、サイバーセキュリティを (コスト センターではなく) ビジネス イネーブラーとして使用することに重点を置くことです。 雇用主または雇用主となる可能性のある人の離職率を高める方法を見つけ、それを示すことができる人は、大きな付加価値を提供し、それも評価されるでしょう。
成功への道
ビジネス リーダーは、サイバーセキュリティをゼロサム ゲームとして扱い、CISO の失敗に備えることがよくあります。 「自分の会社にサイバー攻撃が一度もあってはならない」という考え方がよくあります。 この考え方では、CISO はセキュリティ インシデントが発生した場合に失敗すると考えられます。 その後、彼または彼女は解雇されると脅されます。 戦略的思考を持つ CISO は、上級レベルの関係者と協力して成功基準案 (攻撃の 98% を防ぐなど) と現実的な KPI を策定することで成功に備えることができることを知っています。
CISO 対 CIO
長い間、企業はすでに CIO がいる場合は CISO を雇用する必要性を認識していませんでした。 企業は、なぜ最高情報責任者のようなジェネラリストがサイバーセキュリティに対処できないのか疑問に思っていました。
しかし、サイバー脅威が増大し、セキュリティ侵害が発覚するにつれ、より一層の説明責任とセキュリティ監視が不可欠になりました。 CIO は組織全体の IT 計画を作成できますが、CISO はサイバー脅威を防止し、対応する責任があります。 CIO と CISO が連携すると、組織は最大限の効率とデジタル セキュリティを備えて運営できます。
Fazit
IT セキュリティの専門家にとって、CISO の役割は究極の専門的な役割のように思えるかもしれません。 ただし、同様の地位、給与、責任レベルを提供する同様の役割があります。 たとえば、最高データ責任者 (CDO) の役割に興味がある人もいれば、ビジネス情報セキュリティ責任者 (BISO) の役割に興味のある人もいるかもしれません。
ただし、CISO の役割を引き受けることを決めた場合、理想的には、専門的なキャリアのできるだけ早い段階でその方向性を設定する必要があります。 確かに、このレベルの責任を任された役割は、急いで任されるものではありません。 ただし、ここで説明したヒントに注意し、サイバー脅威に関する最新情報を常に入手し、問題と脆弱性を特定して修正し、IT チームを指導して調整すれば、CISO のポジションに自信を持って推薦できる適切なツールを手に入れることができます。
詳細は Checkpoint.com をご覧ください
チェックポイントについて Check Point Software Technologies GmbH (www.checkpoint.com/de) は、世界中の行政機関や企業にサイバー セキュリティ ソリューションを提供する大手プロバイダーです。 このソリューションは、業界をリードするマルウェア、ランサムウェア、およびその他の種類の攻撃の検出率で、サイバー攻撃から顧客を保護します。 チェック・ポイントは、クラウド、ネットワーク、モバイル デバイス全体で企業情報を保護する多層セキュリティ アーキテクチャと、最も包括的で直感的な「ワンポイント コントロール」セキュリティ管理システムを提供します。 チェック・ポイントは、あらゆる規模の 100.000 以上の企業を保護しています。