壁ではなく建物の橋：セキュリティリーダーがサイロ全体でコラボレーションを促進する方法| Wale Adedeji | 2025年4月

正直に言って、サイバーセキュリティ部門は常に組織内で最高の評判を得ているわけではありません。歴史的に、私たちはしばしば「NOの部門」、ゲートキーパー、不可解な頭字語で話すチームであり、最後の瞬間に突入して、予期せぬリスクのためにエキサイティングな新しいプロジェクトにブレーキをかけました。おそらく必要な壁を構築しますが、それでも壁は壁です。

組織の保護は最重要ですが、今日の相互接続されたペースの速いビジネス環境で、要塞の壁の背後からセキュリティを導くことは負け戦略です。真のサイバー回復力は達成されていません にもかかわらず 残りのビジネス。それは達成されています と それ。現代のサイバーセキュリティリーダーは、防御だけでなく、 橋 – 組織の他のすべての側面にセキュリティを接続する強力で共同リンク。

サイロメンタリティが失敗する理由

セキュリティサイロで動作すると、多くの問題が生じます。

1. 後付けとしてのセキュリティ： セキュリティが早期に関与しない場合、コントロールはプロセスの後半にボルトで固定され、遅延、摩擦、およびしばしば効果的なセキュリティを引き起こします。
2. 回避策が出現します： セキュリティポリシーが過度に負担がかかる、またはビジネスの現実から切断されていると認識されている場合、従業員や部門全体でさえ、それらの周りに方法を見つけ、影と隠れたリスクを生み出します。
3. 逃したコンテキスト： ビジネス目標、開発パイプライン、または運用上の圧力を理解しないと、セキュリティチームは、生産性を不注意に妨害したり、最も関連性の高いリスクに対処できないコントロールを実装する場合があります。
4. バイインの欠如： 協議や説明なしで孤立したセキュリティ部門から引き継がれたポリシーは、しばしば抵抗または無関心に満たされます。
5. 「私たち対それら」のメンタリティ： サイロスは不信感と誤解を生み出し、組織を完全に確保するために必要な集団的努力を妨げます。

リーダーの役割：チーフブリッジアーキテクト

これらのサイロを壊すことは簡単ではありません。意図的な努力と戦略的リーダーシップが必要です。 CISOまたはセキュリティリーダーは、積極的に擁護し、コラボレーションを促進する必要があります。方法は次のとおりです。

1. 彼らの言語を話します（オタクをビジネスに翻訳します）： 他の部門と話すとき、深い技術用語を捨てます。彼らが理解しているという点でのフレームセキュリティ：ビジネスリスク、運用効率、顧客の信頼、収益保護、規制コンプライアンス。関連するセキュリティリクエストの背後にある「なぜ」を説明してください 彼らの 目標と全体的なビジネス戦略。
2. 彼らの世界を理解する（共感が重要だ）： 他の部門の優先順位、圧力、ワークフローについて時間をかけて学びます。開発者の締め切りは何ですか？マーケティングチームのキャンペーン目標は何ですか？ Legalのコンプライアンスの懸念とは何ですか？彼らのコンテキストを理解することで、機能するセキュリティソリューションを調整することができます と 彼らは、彼らに反対ではありません。
3. 早期かつ頻繁にセキュリティを埋め込みました： からのセキュリティへの関与を擁護します 始まり 最後にではなく、プロジェクトの。 DevSecopsの原則を促進して、セキュリティをソフトウェア開発ライフサイクルに統合します。セキュリティは、調達、ベンダーの選択、および新しいテクノロジーの採用における考慮事項であることを確認してください。
4. 個人的な関係を構築する： 正式な会議を超えてください。エンジニアリングの頭と一緒にコーヒーを飲んでください。弁護士とチャットします。 IT運用が直面する課題を理解してください。個人レベルで信頼と信頼関係を構築することで、困難な会話がはるかに簡単になります。
5. 共有の目標とメトリックを確立します。 複数の部門に利益をもたらす方法で成功を定義します。セキュリティの改善が安全な製品の発売（開発とセキュリティの勝利）を加速するのにどのように役立ったかを示すメトリックを作成できますか？または、合理化されたアクセス制御により、ユーザーエクスペリエンスがどのように改善されましたか（IT OPSとセキュリティの勝利）？
6. 権限を与え、警察だけではありません： 「いいえ」と言う代わりに、リスクと仕事を説明する と 安全な代替品を見つけるチーム。他の部門が安全な決定を自分で行うことを可能にするトレーニング、ツール、およびガイドラインを提供します（「ガードレール」だけでなく、「ガードレール」）。他のチーム内で「セキュリティチャンピオン」プログラムを確立することを検討してください。
7. フィードバックループを作成します： セキュリティポリシーとプロセスに関する他の部門からのフィードバックを積極的に求めます。彼らは実用的ですか？彼らは過度の摩擦を引き起こしていますか？喜んで耳を傾け、調整してください。
8. 共同勝利を祝う： 部門間のコラボレーションがセキュリティ結果の成功につながる場合（たとえば、時間通りに安全な新機能を起動し、小さなインシデントにスムーズに応答します）、その共同の成功を公に認め、祝います。

ペイオフ：パートナーシップによる回復力

これらの橋の構築には、時間、労力、純粋に技術的な考え方から、影響力、コミュニケーション、パートナーシップに焦点を当てたものへの大きな変化が必要です。リーダーは、ファイアウォールの後ろから出て、ビジネスに直接関与する必要があります。

しかし、報酬は計り知れません。セキュリティが統合され、協力的な場合：

• リスクが特定され、以前に軽減されます。
• セキュリティ制御はより効果的であり、バイパスされる可能性が低くなります。
• イノベーションはより速く進むことができます そして もっと安全に。
• 部門間の摩擦は減少します。
• 組織全体にわたって、より強く、より回復力のあるセキュリティカルチャーが発展します。

サイバーセキュリティは、今日の複雑な脅威の状況で孤立した機能として成功することはできません。リーダーは、セキュリティを他のビジネスから分離する壁を積極的に解体し、コミュニケーション、理解、コラボレーションの堅牢な橋を構築する必要があります。サイバーセキュリティリーダーは、チーフブリッジアーキテクトになることで、チームを知覚された障害物から必須パートナーに変え、真の組織の回復力に不可欠な共有責任の基盤を構築します。