ジェフ・バーテル氏は、マイアミに本社を置く民間投資・戦略アドバイザリー企業、ハンプトンズ・グループの会長兼マネージングディレクターである。
強固なセキュリティ上の優位性を構築することに関して、多くの取締役会は依然としてその利点を認識できていない。しかし、多数の企業がサイバーセキュリティを、組織に影響を及ぼす基本的な事業リスクとして認識し始めている。
エクイファックスやソーラーウィンズなどで最近発生したセキュリティ上の不備は、市場価値の下落や規制当局による調査のリスクが、現在ではるかに大きくなっていることを示している。その一方で、強固なセキュリティ戦略を重視する企業は、競争力の向上、より大きな業務上の柔軟性、株主価値の成長を実現できることが多い。
私の企業の戦略アドバイザリー部門は、取締役会がサイバーリスク監視を規律あるガバナンスに転換することを支援してきた。あるグローバルサービス企業に対しては、取締役会レベルのサイバー憲章を設計し、最高情報セキュリティ責任者(CISO)と取締役の間で定例ブリーフィングを確立し、財務、法務、業務への影響に関連した四半期ごとの机上演習を実施した。重要性の閾値と4日間の報告基準に沿ったインシデント開示プレイブックを構築し、第三者リスクスコアリングを監査レビューに統合し、サイバーKPI(主要業績評価指標)を役員報酬に連動させた。その結果、意思決定サイクルの迅速化、明確なエスカレーション経路、保険会社とのより強固な関係、信頼性の高い投資家向けコミュニケーションが実現した。サイバーをIT支出ではなく企業リスクとして扱うことで、議論は恐怖から戦略へと移行した。
取締役会の優先事項としてのサイバーセキュリティ
EUのGDPR(一般データ保護規則)は、セキュリティ対策の不備により、ブリティッシュ・エアウェイズとマリオットに数百万ユーロの罰金を科した。米国では、上場企業は現在、重大なサイバーインシデントを米証券取引委員会(SEC)に4営業日以内に報告しなければならず、重要インフラ価値の高い分野では定期的なセキュリティ状況報告、技術的課題、サイバーリスクコンプライアンス計画の提供が必要である。
現在の技術状況では、取締役会が監視義務をIT部門に完全に移管することはできない。取締役は、防御システムを検証し、サイバーインシデントの財務的・法的側面を把握するのに十分な技術的知識を持つ必要がある。ランサムウェア攻撃は業務上の問題を引き起こし、株主価値を損ない、財務報告の不正確さと同程度の法的影響をもたらす。
サイバーセキュリティの戦略的重要性
企業は、優れたサイバーセキュリティ戦略が、防御コストではなく、信頼構築と企業評判全体の保護において提供する価値を認識し始めている。私とチームが協力する企業は、セキュリティシステムを開発プロセスに組み込み、より安全に立ち上がるデジタル製品の新市場に参入することで、しばしば利益を見出している。さらに、M&A(合併・買収)のバリュエーション(企業価値評価)の観点では、適切に設計されたシステムは、サイバー侵害の脅威から保護することで投資取引を改善できる。
私はサイバーセキュリティを成長促進要因と見なしている。最近のクライアントに対して、私のチームは、セキュア・バイ・デザイン開発、ゼロトラストセグメンテーション、プライバシー・バイ・デフォルト管理を製品ロードマップとクラウド移行に組み込んだ。さらに、企業レベルでデータ保護基準を実装し、公的信頼を示すための透明性と説明責任の枠組みを構築し、同社を業界のトップに位置づけた。
質の高いサイバーセキュリティ計画のその他の戦略的利点、特にリモートワーク企業にとっては、クラウドサービスの採用とリモートワークフォースの育成に影響を与える可能性のある評判リスクに対する保護の強化が含まれる。例えば、マイクロソフトは、AzureとOffice 365プラットフォームにおいて信頼を構築することができ、同社のクラウド成長を可能にし、加速させている。
これは、サイバーセキュリティ計画を費用ではなく資産として位置づけることができる企業が、市場でより良いパフォーマンスを発揮できることを示している。
取締役会とITの協働
CISO業務と取締役会監視の距離的分離は、組織的インセンティブの対立と長期化したセキュリティ対応時間、さらには隠蔽されたセキュリティ脅威につながる。
複数のクライアントとの会話で発見したように、多くの企業取締役会メンバーは、サイバーセキュリティリスクについて大きな誤解を抱いている。これを防ぐため、取締役会はサイバーセキュリティチームと緊密に協力し、コミュニケーション計画を策定する必要がある。標準的なリスク議論に加えて、両グループ間の定例会議は、ソフトウェア規制、検知問題、データ侵害発生時の戦略的計画について、双方を最新の状態に保つためにも使用できる。
一部の組織は、専任の取締役会サイバー委員会を設立することでさらに前進している。KBRインクはサイバーセキュリティ委員会を設立しており、同委員会は、ITシステムとエスカレーション手順、およびサイバーリスク管理戦略を評価することを求める憲章に従っている。これにより、監督と実行の間に構造化された連携が生まれ、リーダーシップ内でのセキュリティと説明責任の必要性も示される。
市場優位性としての信頼
組織は、投資家向け資料やESG報告書、競争的提案書へのサイバーセキュリティ情報の組み込みを通じて、サイバーセキュリティの立場を市場優位性の獲得に活用できる。セールスフォースのトラストセンターは、顧客に信頼フレームワークとシステムステータスへの即時アクセスを提供し、セキュリティと透明性を顧客価値提案の基本要素としている。サービスナウとオクタは、SOC 2認証とゼロトラスト戦略をESG開示とRFPプロセスで使用し、潜在的購入者のリスク懸念を最小化することでビジネスを獲得している。
フォーチュン500企業は、詳細なセキュリティ投資報告書とゼロトラストアーキテクチャの採用を通じて、サイバー透明性を活用して市場優位性を獲得している。
取締役会におけるサイバーセキュリティの見方を変える
サイバーセキュリティを、競争上の利点に加えて防衛線として理解することが重要である。これは、現在の企業資産を保護するだけでなく、追加市場や新たなリソースへの道を提供する可能性を持っている。サイバーセキュリティチームを他のリーダーシップと適切に連携させるよう取り組む取締役会は、この分野で成功する最大の機会を持つ。
サイバーレジリエンスを、事業継続性とイノベーションのための信頼構築要素として捉える組織は、混乱を乗り越え、市場とサイバー脅威におけるリーダーシップを達成することを可能にする。この移行に成功する取締役会は、課題をビジネス機会に転換し、投資家のための永続的価値を確立する。
