企業幹部は、組織の戦略レベルにおいて潜在的影響が大きい、あるいはより懸念度が高いリスクを優先します。これは、セキュリティ専門家が、より広範かつ戦略レベルに影響を与えると考えられる分野よりも、企業のより広範な意思決定において影響力が小さいことを意味します。そのため、セキュリティは組織およびリスク階層において、他のリスク懸念分野よりも下位に位置付けられます。リスクメッセージにおいてセキュリティの重要性を高めるには、セキュリティ事象が組織の戦略目標にどのような影響を与えるかを明確に伝える必要があります。
本研究の目的は、効果的な影響力の発揮を妨げる専門職上の障壁を特定し、企業の意思決定者に助言する際にセキュリティ専門職がより強いリスク影響力を実現するのに役立つ提言を明らかにすることでした。研究者らは、参加者がリスク管理の意思決定に影響を与えようとした際に直面した最初の障壁と、それらを克服して強固な影響力を獲得した経緯を語るナラティブを提供することを期待していました。複数のセキュリティ専門職者がそのような話を共有しましたが、研究から浮かび上がったのは、セキュリティが義務化されている環境以外では、企業のセキュリティには影響力が乏しいという明確なストーリーでした。法令でセキュリティが義務づけられている状況では、セキュリティは価値ある事業のリスク低減の推進役というよりも、コンプライアンス重視の実務として運用されていました。本研究は、セキュリティ・リスク・マネジメントの企業リスクに対する影響範囲が技術中心で狭いことを見いだしました。研究者らはこの限定的な影響力を9つの主要な所見に要約し、セキュリティ専門職がその影響力と価値を拡大するための4つの方法を提言しています。
0 件のコメント:
コメントを投稿