KnowBe4 ブログ

    企業がサイバー攻撃を受けるリスク要因の1つに、経営幹部がセキュリティア意識(アウェアネス)の必要性を認識していないことがあるのか?

    英国バークシャーに本拠を置くサイバーセキュリティコンサルタント会社であるSavantiが公開したレポートは、サイバーセキュリティリスクに関する経営幹部のセキュリティ意識(アウェアネス)に問題があり、企業に重要な影響をもたらしていることを指摘しています。

    画像2-Sep-26-2023-01-55-41-0725-AM このレポートでは、多くの企業の経営幹部がセキュリティ意識(アウェアネス)のレベルが十分ではなく、サイバー脅威に対する理解度が不足していることが、企業が攻撃の標的にされるリスクを高めていると警告しています。

     サイバー攻撃への備えは何故重要なのか - 効果的なマネジメントはビジネスの成長につながる

    このレポートは、、サイバー攻撃に効果的に備えることはビジネスの成功を促進する上で重要であることを強調しています。これを裏付ける所見として、サイバー攻撃への備えを強化している企業は、収益成長率、企業価値評価、純利益率が高い傾向があることを指摘しています。
    これは、サイバーセキュリティが単なる技術的な問題ではなく、ビジネス戦略と企業業績にとっても重要であることを示唆しています。

     サイバー攻撃を監視する規制当局に加えて、証券取引所などの公的機関や投資家集団は、企業が取り組んでいるサイバーセキュリティ対策により厳しい目を注いでいます。規制要件はさらに厳格化しており、経営幹部はサイバーリスクを効果的に管理する責任を問われるようになってきています。例えば、米国証券取引委員会は、上場企業に対し、重大なサイバーインシデントを4日以内に開示するように求めています。

     サイバー攻撃がビジネスへ与える影響を考える

    サイバー攻撃が企業に与える影響は広範囲にわたります。サイバー攻撃を受けると、何が起こるかを考えてほしい。事業の中断、保険料の増加、知的財産の盗難、風評被害、規制措置への対応、訴訟、生産性の低下などなど。多くの側面で無視することができない影響を招くことが考えられます。さらには、企業の財務の健全性と安定性に重大な悪影響を及ぼす可能性を生み出します。

     マネジメント間の意思疎通が問題なのか - 経営幹部とCISOの連携は取れているか

    このレポートで強調されている重要な課題の1つは、経営幹部とCISOとのコミュニケーションギャップです。多くの経営幹部は、サイバーセキュリティをITの問題と捉え、サイバーセキュリティに関する議論や方針に異議を唱えたり、課題を完全に理解したりすることが難しいと感じています。
     同時に、多くの企業で、CISOも経営幹部に対してサイバーリスクとその影響を分かりやすく伝えることに苦闘しています。このようなコミュニケーションの壁は、強固なサイバーセキュリティ戦略を策定し、プロアクティブにリスクを管理するときの妨げとなります。

     Savanti社は、効果的なサイバーセキュリティガバナンスを確保するために、以下の5つのステップを実行することを推奨しています。 

    1. 取締役会としての独自の役割を理解すること。第一に、取締役会は、自社が許容できるリスクレベルを設定する責任を認識し、サイバーインシデントが発生した時には、問題を解決する役割を積極的に果たすための準備をしなければなりません。次に、自社が受け入れるべきリスクを理解し、十分な情報を得た上で決断を下すことも必要となります。
    2. テクノロジー、データ、サイバーセキュリティについて適切な情報を継続的に取得し、周知徹底すること。取締役会は、サイバーリスクを効果的に評価して軽減するために必要となる適切な情報を得ることができるように、サイバーセキュリティに関する専門知識を有するメンバーを少なくとも1名採用することを検討する必要があります。
    3. サイバーセキュリティを取締役会の議題にすること。サイバーセキュリティは、取締役会で定期的に議論すべきテーマです。セキュリティ対策が優先される経営課題として常に認識され、十分な情報に基づいた意思決定と監視を実現することが可能になります。
    4. 取締役会および経営幹部が、ベンダーの影響を受けないサイバーセキュリティの専門家から助言を得ることができるようにすること。ベンダーの影響を受けない独立したサイバーセキュリティアドバイザーが参加すると、経営幹部のサイバーリスクに関する知識が高まり、CISOは取締役会レベルにおける意思疎通と関係強化を向上できるようになります。このようなアドバイザーは、意思決定に貴重な見識と指針を提供することができます。
    5. 規制当局、公的機関、投資家に対応すること。Savantid社は、取締役会にセキュリティ対策について「スマートかつ集中的に対応する」新たな要件を課すことも推奨しています。これらの要件には、サイバーセキュリティに関する自社のリスク管理体制を報告することも含まれています。さらに、投資家などのステークホルダーへの提言として、サイバーセキュリティリスクを解消するために積極的な行動をとるように企業に圧力をかける必要があることを挙げています。

    KnowBe4では、日本語ホワイトペーパー「セキュリティ意識向上 トレーニングプログラムの実施に向けて、経営陣の全面的なサポートを獲得するには」を用意しています。是非。このホワイトペーパーも参照してください。

     また、KnowBe4では経営幹部向けのレポートを作成する新機能を追加しています。このレポートを活用することで、セキュリティアウェアネストレーニングROIを経営幹部に的確に伝えることができます。

    原典:Stu Sjouwerman著 2023年9月15日発信https://blog.knowbe4.com/lack-security-awareness-businesses-risk-cyber-attacks-savanti-report

    Topics: KnowBe4 SATブログ, セキュリティアウェアネス

     

    KnowBe4ブログに戻る

    Get the latest about social engineering

    Subscribe to CyberheistNews