「フロントとセンター」: 「強化された景観」が CISO の役割を高めるのにどのように役立ったか

1713575392
2024-04-18 16:07:38

ニコラス・ジャンナス、ウィットキーファー校長

CISO の役割は近年大きく進歩していると言うのは、控えめに言っても過言ではありません。サイバーセキュリティ侵害やランサムウェア事件が増加する中、同部門は「包括的なセキュリティプログラムの構築を支援するミッションクリティカルなポジションになっている」とウィットキーファー社プリンシパルのニック・ジャンナス氏は述べた。

デジタル技術が医療提供の形を形成し続けるにつれ、特に「サイバーセキュリティ情勢の激化」を考慮すると、この立場は「ますます顕著になる」だろうと同氏は考えている。

によると HIPAA ジャーナル, 2023年には、データ侵害の報告件数がなんと725件と過去最高となり、1億3,300万件の記録が暴露または不適切に開示され、前年の記録の中で最も多く侵害されました。さらに憂慮すべきは、これらの侵害のうち 26 件には 100 万件以上のレコードが関係していたという事実です。そのうち 4 件は 800 万レコードを超えました。

これらの数字を考慮すると、サイバーセキュリティのリーダーの役割が「ほぼバックオフィス機能」から「ほぼ最前線かつ中心的な役割」に変わった理由が明らかになりつつある、とITプラクティスのコンサルタント、ザカリー・ダースト氏は述べた。 2024年に報告 — Healthcare CISO: A Deep Dive into Talent & Leadership Trends — このエグゼクティブサーチおよびリーダーシップ顧問会社は、「今日のヘルスケア CISO とその役割の包括的な全体像」を提供するために、50 人以上の個人を調査しました。

今日の CISO

最近のインタビューで彼らは、出発点として最適なのは、背景の観点から CISO の 3 つの異なる表現型を特定することであると述べました。

ハイブリッド (約 55%): テクノロジー、金融サービス、IT コンサルティングなどの他のセクターで経験を積み、ヘルスケアに移行した情報セキュリティの専門家。
最近の医療「移植」（約 30 パーセント）: 他の業界、ほとんどがテクノロジーから直接移行したリーダー。
ヘルスケア出身者 (約 15%): キャリアの非常に早い段階でヘルスケアに入社し、ヘルスケア組織の IT 部門で専門知識を培った人々。

ダースト氏は、特にヘルスケアは情報を保護するために必要な「専門知識の深さ」において他の業界に遅れをとっており、ヘルスケアネイティブがごく一部であるという事実は驚くべきことではない、と述べた。「需要は高いが、供給レベルは低い」ため、金融など他の「高度に規制された」業界に目を向ける必要がある。

ジアナスは次のように述べています。医療システムはこの役割の人材を引き続き募集しています。」

他の業界も同様です。この競争市場の結果、離職率が激増していると同氏は指摘し、CISOの42％が過去3年以内に現在の役割に任命されたと付け加えた。半数以上が以前に経営幹部レベルの役職に就いていたことから、経営陣や取締役会が組織に課せられた情報セキュリティの重要性の高まりを認識し、「経験豊富な責任者」を雇用することで対応したことを示唆していると報告書は述べている。

社内開発

このアプローチは、セキュリティ慣行の強化に役立つため、短期的には理にかなっていますが、組織が社内人材の育成と社内後継者のベンチの構築に重点を置いていない場合、長期的には害を及ぼす可能性があります。「長期的な組織的知識は、情報セキュリティのリーダーにとって極めて重要です。それにより、組織固有の状況、文化、テクノロジーの状況に沿った情報に基づいた意思決定が可能になるからです」と報告書は述べています。「この深い理解により、効果的なセキュリティ戦略の開発と実装が促進され、主要な関係者との強力な関係が促進されます。リーダーは、組織の知識と、情報セキュリティの動的な性質に対処するために適応し、機敏に行動し、進化する意欲を兼ね備えた個人の育成を優先する必要があります。」

Zachary Durst、コンサルタント、IT プラクティス、WittKieffer

多くの場合、新しいサイバーセキュリティ人材の獲得に大きな焦点が当てられますが、その中で忘れてはいけないのは、「現在のチームメンバーに能力開発の機会を創出する」必要性であるとジアナス氏は述べています。「それは本当に重要なことだよ。」これには、地元の大学とのインターンシッププログラムの確立から、セキュリティに親近感のある個人を特定するためにインフラストラクチャ部門やアプリケーション部門に連絡を取ることまで、あらゆる意味が含まれます。「創造的になる意欲を持たなければなりません。」

リモートの機会

ジアナス氏は、特にトップ候補者へのアクセスを望む場合、リーダーはリモートワークモデルを積極的に検討する必要があると述べた。「データを見ると、圧倒的多数がリモートまたはハイブリッドの配置を望んでいます。」実際、これは潜在的な候補者から受ける最初の質問であることがよくあります。

「要するに、誰もがリモートを望んでいるようです」とダースト氏は言う。指導者にとって、それは「市場が望んでいることと医療システムが伝統的に行ってきたことの絶え間ないバランス」であり、一夜にして解決されるものではありません。「押したり引いたりの繰り返しです。」

研究のもう 1 つの焦点は、レポートの構造でした。ほとんどの回答者 (70%) は CIO に直属していますが、業務、コンプライアンス、法務、さらには CEO にまで線が引かれることがより一般的になりつつあります。「変わるかもしれないが、それはまだ分からない。」

“ソフトスキル”

Giannas 氏によれば、確実に変化しているのは、CISO の役割で成功するために必要なスキルセットです。セキュリティとテクノロジーの専門知識に加えて、採用担当者は「ソフトスキル」、主にビジネス用語でリスクとセキュリティを伝える能力を持つ人材も求めています。「その洞察力を持つことが非常に重要です」と彼は言いました。

ダースト氏もこれに同意し、現在の環境では多くの CISO が CIO と同じくらい多くの時間を取締役会の前で過ごしており、さらに幅広い利害関係者がいると指摘しました。「このような多様な人々に対して広範なリスクを変換できる能力は非常に重要です」と彼は言う。「これは、打撃を受けるかどうかではなく、いつ打撃を受けるかが問題であるという理事会の認識が部分的に影響している。」

そして、デジタル変革が意思決定を促進し続けるにつれて、その専門知識の価値はさらに高まるでしょう。「プラスの影響を与えるチャンスはたくさんあります」とジアナス氏は語った。ただし、アクセスポイントの数が増えると、セキュリティリスクも高くなります。「悪い俳優は一度参加するだけで十分です。」したがって、「プログラムは進化し、成長するだけでなく、進歩し続ける必要があります。それが現実なのです。」