Wie erstklassige CISOs 2023 mehr Budget und Vertrauen in den Vorstand gewinnen
この記事の初出は SCマガジン.
CISOはますます危うい立場に立たされている:より多くの資産を保護し、より多くのコードを出荷し、より大きな攻撃対象領域を減らし、そして急速に減少する財源でそれを行う。サイバーセキュリティがコストセンターと見なされていることは避けられない事実であり、組織のセキュリティ・プログラムが、脅威行為者が明日の悲惨な見出しをつけるのを阻止するものであるにもかかわらず、セキュリティ・リーダーは、経営幹部が納得できるような言葉で、部門の全体的なビジネス価値を売り込み、証明するためにもっと努力しなければならない。
世界トップクラスのCISOは、顧客の信頼やブランドの評判を高め、利用可能なあらゆるツールを活用して紛れもない価値を創造する、総合的なセキュリティ・プログラムを主導しています。それは、一般的なセキュリティの落とし穴に対する戦略的かつ予防的なアプローチと、卓越したセキュリティを維持するための時間やリソース、人材は決して十分ではないという考え方を捨てることから始まる。
役員室での議論を変える
現在の経済情勢では、企業や部門が支出する資金、雇用、および事業目標に対する戦略的影響に対する監視の目を免れることはほとんどありません。現代の企業に大規模なサイバーセキュリティ・プログラムが必要なのは当然のことのように思えるかもしれないが、それは組織にとって大きなコストであり、投資対効果という観点から正当化するのは容易ではない。
C-Suite リーダーと取締役会の利害関係者は、スプレッドシートの数字以外の意味でも、サイバーセキュリティの取り組みから予測される成果を明確に理解する必要があります。技術的な知識や理解のレベルはそれぞれ異なるため、CISO は分かりやすいメッセージングでケースを提示する努力をしなければならない。プログラムの規模、何を守る必要があるのか、誰を有効にする必要があるのかを説明し、クラス最高の事例を提供する。攻撃は増加の一途をたどっているが、予算は追いついていない。
業種を問わず、あらゆる企業が急速にテクノロジー企業になりつつあると言われて久しい。ほとんどの組織ではデジタル・ファーストのアプローチが主流であり、これは膨大な攻撃対象領域を意味するため、その時点で可能な最高の保護が必要となる。セキュリティ・リーダーは多くの帽子をかぶっているが、(手遅れになるまで)見過ごされているのが、本質的に顧客の信頼の管理者であるということだ。これは、価値提案として誇張しすぎることはなく、セールスやマーケティングの目標と同じくらい重要である。
セキュリティに対する予防的アプローチの価値を証明する。
現在のサイバーセキュリティに関する統計は目を覆いたくなるようなものだが、FUD や恐怖を煽ることに乗っかっても、予算増を勝ち取るためには通常、無駄な戦術となる。サイバーセキュリティの優先順位が低いと主張する企業のリーダーはほとんどいないが、既存のリソースを活用してより良い成果を上げるような進取の気性に富んだ戦略が提示されれば、予算の増額を受け入れる可能性ははるかに高くなる。
Neustar International Security Councilの最近の調査によると、既知のサイバーセキュリティ問題に取り組むために十分な予算があると感じている企業はわずか50%に過ぎない。また、2021年から2022年にかけて世界的なサイバー攻撃は38%増加しているため、平均的なCISOにとってはさらに困難な前途となりそうだ。しかし、真に世界トップクラスのセキュリティ・リーダーは、このような苦境を乗り越え、逆境を乗り越えてイノベーションを起こすことができる。
多くのシナリオにおいて、予防は治療よりも簡単で単純であり、サイバーセキュリティも同様である。全体論的なセキュリティ・プログラムは、事後的な対策にとどまらず、多くのCISOが懸念しているトップ3に脆弱性管理が入っているように、開発者がこの動きに不可欠な要素であることは理にかなっている。開発者には、一般的なセキュリティ・バグに正面から取り組むための実践的な教育が必要である。私たちは今、低品質で安全でないコードを言い訳にし続けることはできない段階にきており、開発者集団のスキルアップは、コードレベルの脆弱性に対する最も費用対効果の高い強力な救済策である。
CISOが既存の予算を維持するために戦うことは極めて重要であり、特に開発者にとっては、扱いにくいセキュリティ技術スタックに次の「銀の弾丸」を追加するよりも、役割ベースのセキュリティスキルアップの利点を詳しく説明する方が、勝利への近道となる。
セキュリティはブランドの基本であるべきだ。
ほとんどのCISOは、マーケティングへの情熱を発揮するためにその職務に就いたわけではないが、少なくとも財布の紐を握る人たちに自分のケースを提示する際には、この分野に取り組むことができるだろう。
サイバーセキュリティ・プログラムが顧客の信頼とブランド・ロイヤルティに与える影響は、いくら強調してもし過ぎることはありません。対照的に、厳格なセキュリティ慣行を中核的なブランド価値と一致させることで、データプライバシーと保護が単に念頭にあるだけでなく、顧客が信頼できるものであるという明確なメッセージを送ることができます。
現代のCISOは、セキュリティ戦略とポリシーの競争上の優位性を、継続的な顧客の好意的な感情と信頼に関連して強調するために時間をかけることが重要である。消極的なセキュリティだけでは同じインパクトは得られず、利用可能なあらゆるリソースを使用して特権資産を保護することに焦点を当てたバランスの取れたアプローチが、究極の差別化要因となり得る。
言い訳の余地はもうないが、真に変革的なセキュリティ戦略のための十分な資金を求める上で、CISOが強調できる説得力のある理由はたくさんある。
CISOs befinden sich in einer zunehmend angespannten Lage: Schützen Sie mehr Ressourcen, versenden mehr Code, reduzieren eine größere Angriffsfläche und das mit schnell abnehmenden finanziellen Ressourcen. Es ist eine unausweichliche Tatsache, dass Cybersicherheit als Kostenstelle angesehen wird, und obwohl das Sicherheitsprogramm eines Unternehmens das ist, was einem Bedrohungsakteur im Weg steht, ihn zur katastrophalen Schlagzeile von morgen zu machen, müssen Sicherheitsverantwortliche mehr tun, um den allgemeinen Geschäftswert der Abteilung zu verkaufen und zu beweisen, und zwar in einer Sprache, die für die Exekutive sinnvoll ist.
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
デモを予約する
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung in der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und verfügt über mehr als 10 Patente. Wenn er nicht an seinem Schreibtisch ist, war Matias als Ausbilder für fortgeschrittene Schulungen zur Anwendungssicherheit tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat an der Universität Gent in Computertechnik promoviert, wo er Anwendungssicherheit durch Programmverschleierung studierte, um das Innenleben einer Anwendung zu verbergen.
この記事の初出は SCマガジン.
CISOはますます危うい立場に立たされている:より多くの資産を保護し、より多くのコードを出荷し、より大きな攻撃対象領域を減らし、そして急速に減少する財源でそれを行う。サイバーセキュリティがコストセンターと見なされていることは避けられない事実であり、組織のセキュリティ・プログラムが、脅威行為者が明日の悲惨な見出しをつけるのを阻止するものであるにもかかわらず、セキュリティ・リーダーは、経営幹部が納得できるような言葉で、部門の全体的なビジネス価値を売り込み、証明するためにもっと努力しなければならない。
世界トップクラスのCISOは、顧客の信頼やブランドの評判を高め、利用可能なあらゆるツールを活用して紛れもない価値を創造する、総合的なセキュリティ・プログラムを主導しています。それは、一般的なセキュリティの落とし穴に対する戦略的かつ予防的なアプローチと、卓越したセキュリティを維持するための時間やリソース、人材は決して十分ではないという考え方を捨てることから始まる。
役員室での議論を変える
現在の経済情勢では、企業や部門が支出する資金、雇用、および事業目標に対する戦略的影響に対する監視の目を免れることはほとんどありません。現代の企業に大規模なサイバーセキュリティ・プログラムが必要なのは当然のことのように思えるかもしれないが、それは組織にとって大きなコストであり、投資対効果という観点から正当化するのは容易ではない。
C-Suite リーダーと取締役会の利害関係者は、スプレッドシートの数字以外の意味でも、サイバーセキュリティの取り組みから予測される成果を明確に理解する必要があります。技術的な知識や理解のレベルはそれぞれ異なるため、CISO は分かりやすいメッセージングでケースを提示する努力をしなければならない。プログラムの規模、何を守る必要があるのか、誰を有効にする必要があるのかを説明し、クラス最高の事例を提供する。攻撃は増加の一途をたどっているが、予算は追いついていない。
業種を問わず、あらゆる企業が急速にテクノロジー企業になりつつあると言われて久しい。ほとんどの組織ではデジタル・ファーストのアプローチが主流であり、これは膨大な攻撃対象領域を意味するため、その時点で可能な最高の保護が必要となる。セキュリティ・リーダーは多くの帽子をかぶっているが、(手遅れになるまで)見過ごされているのが、本質的に顧客の信頼の管理者であるということだ。これは、価値提案として誇張しすぎることはなく、セールスやマーケティングの目標と同じくらい重要である。
セキュリティに対する予防的アプローチの価値を証明する。
現在のサイバーセキュリティに関する統計は目を覆いたくなるようなものだが、FUD や恐怖を煽ることに乗っかっても、予算増を勝ち取るためには通常、無駄な戦術となる。サイバーセキュリティの優先順位が低いと主張する企業のリーダーはほとんどいないが、既存のリソースを活用してより良い成果を上げるような進取の気性に富んだ戦略が提示されれば、予算の増額を受け入れる可能性ははるかに高くなる。
Neustar International Security Councilの最近の調査によると、既知のサイバーセキュリティ問題に取り組むために十分な予算があると感じている企業はわずか50%に過ぎない。また、2021年から2022年にかけて世界的なサイバー攻撃は38%増加しているため、平均的なCISOにとってはさらに困難な前途となりそうだ。しかし、真に世界トップクラスのセキュリティ・リーダーは、このような苦境を乗り越え、逆境を乗り越えてイノベーションを起こすことができる。
多くのシナリオにおいて、予防は治療よりも簡単で単純であり、サイバーセキュリティも同様である。全体論的なセキュリティ・プログラムは、事後的な対策にとどまらず、多くのCISOが懸念しているトップ3に脆弱性管理が入っているように、開発者がこの動きに不可欠な要素であることは理にかなっている。開発者には、一般的なセキュリティ・バグに正面から取り組むための実践的な教育が必要である。私たちは今、低品質で安全でないコードを言い訳にし続けることはできない段階にきており、開発者集団のスキルアップは、コードレベルの脆弱性に対する最も費用対効果の高い強力な救済策である。
CISOが既存の予算を維持するために戦うことは極めて重要であり、特に開発者にとっては、扱いにくいセキュリティ技術スタックに次の「銀の弾丸」を追加するよりも、役割ベースのセキュリティスキルアップの利点を詳しく説明する方が、勝利への近道となる。
セキュリティはブランドの基本であるべきだ。
ほとんどのCISOは、マーケティングへの情熱を発揮するためにその職務に就いたわけではないが、少なくとも財布の紐を握る人たちに自分のケースを提示する際には、この分野に取り組むことができるだろう。
サイバーセキュリティ・プログラムが顧客の信頼とブランド・ロイヤルティに与える影響は、いくら強調してもし過ぎることはありません。対照的に、厳格なセキュリティ慣行を中核的なブランド価値と一致させることで、データプライバシーと保護が単に念頭にあるだけでなく、顧客が信頼できるものであるという明確なメッセージを送ることができます。
現代のCISOは、セキュリティ戦略とポリシーの競争上の優位性を、継続的な顧客の好意的な感情と信頼に関連して強調するために時間をかけることが重要である。消極的なセキュリティだけでは同じインパクトは得られず、利用可能なあらゆるリソースを使用して特権資産を保護することに焦点を当てたバランスの取れたアプローチが、究極の差別化要因となり得る。
言い訳の余地はもうないが、真に変革的なセキュリティ戦略のための十分な資金を求める上で、CISOが強調できる説得力のある理由はたくさんある。
この記事の初出は SCマガジン.
CISOはますます危うい立場に立たされている:より多くの資産を保護し、より多くのコードを出荷し、より大きな攻撃対象領域を減らし、そして急速に減少する財源でそれを行う。サイバーセキュリティがコストセンターと見なされていることは避けられない事実であり、組織のセキュリティ・プログラムが、脅威行為者が明日の悲惨な見出しをつけるのを阻止するものであるにもかかわらず、セキュリティ・リーダーは、経営幹部が納得できるような言葉で、部門の全体的なビジネス価値を売り込み、証明するためにもっと努力しなければならない。
世界トップクラスのCISOは、顧客の信頼やブランドの評判を高め、利用可能なあらゆるツールを活用して紛れもない価値を創造する、総合的なセキュリティ・プログラムを主導しています。それは、一般的なセキュリティの落とし穴に対する戦略的かつ予防的なアプローチと、卓越したセキュリティを維持するための時間やリソース、人材は決して十分ではないという考え方を捨てることから始まる。
役員室での議論を変える
現在の経済情勢では、企業や部門が支出する資金、雇用、および事業目標に対する戦略的影響に対する監視の目を免れることはほとんどありません。現代の企業に大規模なサイバーセキュリティ・プログラムが必要なのは当然のことのように思えるかもしれないが、それは組織にとって大きなコストであり、投資対効果という観点から正当化するのは容易ではない。
C-Suite リーダーと取締役会の利害関係者は、スプレッドシートの数字以外の意味でも、サイバーセキュリティの取り組みから予測される成果を明確に理解する必要があります。技術的な知識や理解のレベルはそれぞれ異なるため、CISO は分かりやすいメッセージングでケースを提示する努力をしなければならない。プログラムの規模、何を守る必要があるのか、誰を有効にする必要があるのかを説明し、クラス最高の事例を提供する。攻撃は増加の一途をたどっているが、予算は追いついていない。
業種を問わず、あらゆる企業が急速にテクノロジー企業になりつつあると言われて久しい。ほとんどの組織ではデジタル・ファーストのアプローチが主流であり、これは膨大な攻撃対象領域を意味するため、その時点で可能な最高の保護が必要となる。セキュリティ・リーダーは多くの帽子をかぶっているが、(手遅れになるまで)見過ごされているのが、本質的に顧客の信頼の管理者であるということだ。これは、価値提案として誇張しすぎることはなく、セールスやマーケティングの目標と同じくらい重要である。
セキュリティに対する予防的アプローチの価値を証明する。
現在のサイバーセキュリティに関する統計は目を覆いたくなるようなものだが、FUD や恐怖を煽ることに乗っかっても、予算増を勝ち取るためには通常、無駄な戦術となる。サイバーセキュリティの優先順位が低いと主張する企業のリーダーはほとんどいないが、既存のリソースを活用してより良い成果を上げるような進取の気性に富んだ戦略が提示されれば、予算の増額を受け入れる可能性ははるかに高くなる。
Neustar International Security Councilの最近の調査によると、既知のサイバーセキュリティ問題に取り組むために十分な予算があると感じている企業はわずか50%に過ぎない。また、2021年から2022年にかけて世界的なサイバー攻撃は38%増加しているため、平均的なCISOにとってはさらに困難な前途となりそうだ。しかし、真に世界トップクラスのセキュリティ・リーダーは、このような苦境を乗り越え、逆境を乗り越えてイノベーションを起こすことができる。
多くのシナリオにおいて、予防は治療よりも簡単で単純であり、サイバーセキュリティも同様である。全体論的なセキュリティ・プログラムは、事後的な対策にとどまらず、多くのCISOが懸念しているトップ3に脆弱性管理が入っているように、開発者がこの動きに不可欠な要素であることは理にかなっている。開発者には、一般的なセキュリティ・バグに正面から取り組むための実践的な教育が必要である。私たちは今、低品質で安全でないコードを言い訳にし続けることはできない段階にきており、開発者集団のスキルアップは、コードレベルの脆弱性に対する最も費用対効果の高い強力な救済策である。
CISOが既存の予算を維持するために戦うことは極めて重要であり、特に開発者にとっては、扱いにくいセキュリティ技術スタックに次の「銀の弾丸」を追加するよりも、役割ベースのセキュリティスキルアップの利点を詳しく説明する方が、勝利への近道となる。
セキュリティはブランドの基本であるべきだ。
ほとんどのCISOは、マーケティングへの情熱を発揮するためにその職務に就いたわけではないが、少なくとも財布の紐を握る人たちに自分のケースを提示する際には、この分野に取り組むことができるだろう。
サイバーセキュリティ・プログラムが顧客の信頼とブランド・ロイヤルティに与える影響は、いくら強調してもし過ぎることはありません。対照的に、厳格なセキュリティ慣行を中核的なブランド価値と一致させることで、データプライバシーと保護が単に念頭にあるだけでなく、顧客が信頼できるものであるという明確なメッセージを送ることができます。
現代のCISOは、セキュリティ戦略とポリシーの競争上の優位性を、継続的な顧客の好意的な感情と信頼に関連して強調するために時間をかけることが重要である。消極的なセキュリティだけでは同じインパクトは得られず、利用可能なあらゆるリソースを使用して特権資産を保護することに焦点を当てたバランスの取れたアプローチが、究極の差別化要因となり得る。
言い訳の余地はもうないが、真に変革的なセキュリティ戦略のための十分な資金を求める上で、CISOが強調できる説得力のある理由はたくさんある。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
レポートを見るデモを予約する
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung in der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und verfügt über mehr als 10 Patente. Wenn er nicht an seinem Schreibtisch ist, war Matias als Ausbilder für fortgeschrittene Schulungen zur Anwendungssicherheit tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat an der Universität Gent in Computertechnik promoviert, wo er Anwendungssicherheit durch Programmverschleierung studierte, um das Innenleben einer Anwendung zu verbergen.
この記事の初出は SCマガジン.
CISOはますます危うい立場に立たされている:より多くの資産を保護し、より多くのコードを出荷し、より大きな攻撃対象領域を減らし、そして急速に減少する財源でそれを行う。サイバーセキュリティがコストセンターと見なされていることは避けられない事実であり、組織のセキュリティ・プログラムが、脅威行為者が明日の悲惨な見出しをつけるのを阻止するものであるにもかかわらず、セキュリティ・リーダーは、経営幹部が納得できるような言葉で、部門の全体的なビジネス価値を売り込み、証明するためにもっと努力しなければならない。
世界トップクラスのCISOは、顧客の信頼やブランドの評判を高め、利用可能なあらゆるツールを活用して紛れもない価値を創造する、総合的なセキュリティ・プログラムを主導しています。それは、一般的なセキュリティの落とし穴に対する戦略的かつ予防的なアプローチと、卓越したセキュリティを維持するための時間やリソース、人材は決して十分ではないという考え方を捨てることから始まる。
役員室での議論を変える
現在の経済情勢では、企業や部門が支出する資金、雇用、および事業目標に対する戦略的影響に対する監視の目を免れることはほとんどありません。現代の企業に大規模なサイバーセキュリティ・プログラムが必要なのは当然のことのように思えるかもしれないが、それは組織にとって大きなコストであり、投資対効果という観点から正当化するのは容易ではない。
C-Suite リーダーと取締役会の利害関係者は、スプレッドシートの数字以外の意味でも、サイバーセキュリティの取り組みから予測される成果を明確に理解する必要があります。技術的な知識や理解のレベルはそれぞれ異なるため、CISO は分かりやすいメッセージングでケースを提示する努力をしなければならない。プログラムの規模、何を守る必要があるのか、誰を有効にする必要があるのかを説明し、クラス最高の事例を提供する。攻撃は増加の一途をたどっているが、予算は追いついていない。
業種を問わず、あらゆる企業が急速にテクノロジー企業になりつつあると言われて久しい。ほとんどの組織ではデジタル・ファーストのアプローチが主流であり、これは膨大な攻撃対象領域を意味するため、その時点で可能な最高の保護が必要となる。セキュリティ・リーダーは多くの帽子をかぶっているが、(手遅れになるまで)見過ごされているのが、本質的に顧客の信頼の管理者であるということだ。これは、価値提案として誇張しすぎることはなく、セールスやマーケティングの目標と同じくらい重要である。
セキュリティに対する予防的アプローチの価値を証明する。
現在のサイバーセキュリティに関する統計は目を覆いたくなるようなものだが、FUD や恐怖を煽ることに乗っかっても、予算増を勝ち取るためには通常、無駄な戦術となる。サイバーセキュリティの優先順位が低いと主張する企業のリーダーはほとんどいないが、既存のリソースを活用してより良い成果を上げるような進取の気性に富んだ戦略が提示されれば、予算の増額を受け入れる可能性ははるかに高くなる。
Neustar International Security Councilの最近の調査によると、既知のサイバーセキュリティ問題に取り組むために十分な予算があると感じている企業はわずか50%に過ぎない。また、2021年から2022年にかけて世界的なサイバー攻撃は38%増加しているため、平均的なCISOにとってはさらに困難な前途となりそうだ。しかし、真に世界トップクラスのセキュリティ・リーダーは、このような苦境を乗り越え、逆境を乗り越えてイノベーションを起こすことができる。
多くのシナリオにおいて、予防は治療よりも簡単で単純であり、サイバーセキュリティも同様である。全体論的なセキュリティ・プログラムは、事後的な対策にとどまらず、多くのCISOが懸念しているトップ3に脆弱性管理が入っているように、開発者がこの動きに不可欠な要素であることは理にかなっている。開発者には、一般的なセキュリティ・バグに正面から取り組むための実践的な教育が必要である。私たちは今、低品質で安全でないコードを言い訳にし続けることはできない段階にきており、開発者集団のスキルアップは、コードレベルの脆弱性に対する最も費用対効果の高い強力な救済策である。
CISOが既存の予算を維持するために戦うことは極めて重要であり、特に開発者にとっては、扱いにくいセキュリティ技術スタックに次の「銀の弾丸」を追加するよりも、役割ベースのセキュリティスキルアップの利点を詳しく説明する方が、勝利への近道となる。
セキュリティはブランドの基本であるべきだ。
ほとんどのCISOは、マーケティングへの情熱を発揮するためにその職務に就いたわけではないが、少なくとも財布の紐を握る人たちに自分のケースを提示する際には、この分野に取り組むことができるだろう。
サイバーセキュリティ・プログラムが顧客の信頼とブランド・ロイヤルティに与える影響は、いくら強調してもし過ぎることはありません。対照的に、厳格なセキュリティ慣行を中核的なブランド価値と一致させることで、データプライバシーと保護が単に念頭にあるだけでなく、顧客が信頼できるものであるという明確なメッセージを送ることができます。
現代のCISOは、セキュリティ戦略とポリシーの競争上の優位性を、継続的な顧客の好意的な感情と信頼に関連して強調するために時間をかけることが重要である。消極的なセキュリティだけでは同じインパクトは得られず、利用可能なあらゆるリソースを使用して特権資産を保護することに焦点を当てたバランスの取れたアプローチが、究極の差別化要因となり得る。
言い訳の余地はもうないが、真に変革的なセキュリティ戦略のための十分な資金を求める上で、CISOが強調できる説得力のある理由はたくさんある。
目次
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
デモを予約するダウンロード入門リソース
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText アプリケーションセキュリティのパワー + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
.png)
