ブログの検索

インフォノミクスベースのモデルがデータの財務リスクを評価して、データセキュリティに正しく投資する方法をCISOに提唱

私が考えるサイバーセキュリティの最大の矛盾点は、金銭的損失と評判の失墜が大きいセキュリティインシデントには、必ずと言っていいほど、膨大な数のデータベースレコードの窃盗が関与しています。にもかかわらず、データセキュリティはセキュリティ予算で最も小さい行項目の1つです。

セキュリティの総支出が2019年には1240億に達すると予想されていることを考慮してください。総予算に占めるデータセキュリティの割合は3パーセント未満です。データセキュリティへの投資は、IDアクセス管理(3倍大きい)から、ネットワークセキュリティ装置(4倍大きい)、セキュリティサービス(18倍大きい!)に至るまで、他のほとんどのセクターより少なくなっています。

 データは、大きいか小さいかに限らず、現代のデジタルビジネスの活力源であり、サイバー犯罪者にとって最も魅力的な標的です。では、なぜ企業はそれを保護する予算を切り詰めるのでしょう? ネットワークペリメーター(境界)の背後で安全だからなどと言わないでください。クラウド、モバイル、IoTデバイスが利用され、悪質な従業員や、不注意な従業員、危険な従業員(例:フィッシング)など、インサイダー脅威が根強く蔓延る今日、ペリメーターはあまりにも流動的で壊れやすく、十分な防御ができなくなっています。

セキュリティエキスパートは、我々はポストペリメーターの世界で暮らしており、ここでは城壁を高くしてもバーチャルゲートを補強しても、ほとんど効果がないと口をそろえて指摘します。にもかかわらず、CISOとその組織はデータをそのソースで保護するのではなく、壁や門にはるかに大きな投資をしています。

 明らかに、企業は自社のデータに価値があることや、それが紛失や盗難に遭った場合の財務リスクと業務リスクの大きさを認識しています。しかし、そのセキュリティリスクを実際の金額に換算して、データセキュリティのどこにどのくらい投資すべきかを知らせることは困難です。

私たちに必要なものはフレームワークとモデルです。Gartnerのアナリスト、Douglas B. Laney氏は著書『Infonomics(インフォノミクス)』でその一部を説明しています。「インフォノミクスは企業や政府が情報の価値を測定し、それを管理して、実際の資産のように扱うために必要なフレームワークを提供する」と同氏は書いています。

 Laney氏によると、インフォノミクスによって組織は「情報収集に長けた組織を構築する方法も含め、あらゆる形態の情報を資産として管理する際の課題やベストプラクティスに取り組む」ことができます。このモデルは非常に有用で、企業のテータの扱い方が大きく変わる前兆だと思います。Gartnerは「データ管理の向上と収益化に向けて組織のデータ資産の価値を正式に測定するため、2022年までには、最高データ責任者(CDO)の30%が最高財務責任者(CFO)と連携しているだろう」と予想しています。私は、企業の多くがインフォノミクスに記載されているテクニックとモデルを使用すると見ています。

同様のトピックを扱うGartnerのレポート『Develop a Financial Risk Assessment for Data Using Infonomics(インフォノミクスを使用してデータの財務リスクアセスメントを実施する)』を一読することをお勧めします。Laney氏ほか2人のGartnerアナリスト、Brian Lowans氏とRichard Hunter氏の共著者が、財務投資の機会とデータに関連する事業リスクとのバランスをとる手段がセキュリティおよびリスク管理の責任者に欠けている現状を検証し、インフォノミクスベースのモデルがセキュリティ、コンプライアンス、またはインシデントの処理に起因する財務リスクの洗い出しにどう役立つかを説明しています。これは、『Financial Risk Prioritization Matrix(財務リスクの優先付けマトリクス)』のレポートから特に役立つと思った数字です(なんとクアドラントです!)。

 データ資産の価値を測定し、それを保護するための正当な予算計画や投資計画の作成に使用する実用的な手法を探しているセキュリティ専門家に最適なレポートがこれだと思います。こちらで無料のコピーをダウンロードできます。報告書は英語版のみです。