セキュリティ運用チームの進化

Fortune 500企業において、セキュリティ運用チームの構造が近年大きく進化しています。特に、10社のうち4社が、専任の副最高情報セキュリティ責任者（Deputy CISO）または同等のリーダーシップ職を設置していることが、IANS ResearchとArtico Searchが発表したレポートで明らかになりました。

Deputy CISOの役割と重要性

レポートによると、Deputy CISOはCISOが不在の際にその役割を代行し、企業のリスク管理階層においてCISOの最終的な後継者と見なされています。IANS Researchのシニアリサーチディレクターであるニック・カコロウスキー氏は、Cybersecurity Diveに対し、「実務的には、Deputy CISOは機能部門の責任者としての二重の役割を担い、追加の経営幹部としての責任を負うか、CISOが委任する必要のあるCISOのような責任も引き受けるチーフ・オブ・スタッフとして機能することが多い」と述べています。

専門家による多層的なチーム構造

Fortune 500企業のセキュリティチーム構造は、少なくとも4つの専門家層に拡大しています。これらのチームは通常、以下の分野のリーダーを含んでいます。

• セキュリティ運用
• IDおよびアクセス管理
• リスクおよびコンプライアンス問題の管理
• セキュリティアーキテクチャおよびエンジニアリング

CISOの役割拡大と取締役会との連携

CISOは、企業ガバナンス問題への対応や、規制事項に関して取締役会メンバーやC-suite幹部との連携を深めるよう、ますます求められています。これにより、CISOは中核的なセキュリティ機能を監督するために、追加の専門家を必要としています。

現在、Fortune 500企業では、約95%のCISOが取締役会と直接連携しており、これは標準的な慣行となっています。CISOの約3分の1が取締役会全体と直接連携し、3分の2がリスクまたは監査委員会と会合を持っています。

調査の背景

このレポートは、1,500人のCISOおよびその他のセキュリティ専門家を対象とした大規模な調査の速報版です。

元記事: https://www.cybersecuritydive.com/news/fortune-500-specialist-security-operationa/803117/