TOPNetwork > サイバーセキュリティ対策の効果測定、あるべき姿は(後)

Network

サイバーセキュリティ対策の効果測定、あるべき姿は(後)

2017/09/28

Thor Olavsrud CIO

 自社のサイバーセキュリティ対策について、その取り組みの価値と効果をきちんと測定しているだろうか。セキュリティの評価指標に関する最近の調査によると、大半の企業はその測定ができていない。適切な測定指標を確立していないのであれば、セキュリティ対策にやみくもに取り組んでいることになる。

前回から続く)

KPIとKRIを確立する4つのフェーズ

 情報セキュリティ部門とビジネス部門が足並みをそろえられるよう、ISFは、KPIとKRIの確立に関して、4つのフェーズから成る実践的なアプローチを策定した。セキュリティ部門がビジネス部門のニーズに率先して対応するうえで、このアプローチは有益だとDurbin氏は話す。適切な相手と適切な意思疎通をしておくことが鍵だという。

 ISFのアプローチは、企業内のすべての層に適用することを意図したものだ。全体は以下の4つのフェーズから成り、いずれもエンゲージメント(関わり合い)が核となる。

  • フェーズA:妥当性の確立。ビジネスコンテキストの理解、共通の利益の特定、KPI/KRIの組合せなどが含まれる。

  • フェーズB:インサイト(洞察)の創出。KPI/KRIのペアの算出、測定、解釈などを行う。

  • フェーズC:インパクトの創出。共通の利益に関連する推奨、次のステップに関する決定など。

  • フェーズD:学習と改善。学習計画と改善計画を定める。

 ISFのアプローチの核心はエンゲージメントという考え方だ。エンゲージメントが、関係の構築や理解の向上につながり、その結果、セキュリティ部門がビジネス部門のニーズに的確に対応できることになる。

Twitterもチェック

↑ページ先頭へ