年初に見直したい｢形骸化したセキュリティ目標｣ 《行動を生まないスローガンはむしろ危険！》本当に｢意味がある｣目標を立てるための3ルール

・目標と経営課題を一言で結びつける

セキュリティ目標を掲げる目的は事業停止の回避なのか、顧客からの信頼を守るためなのか、あるいは社員自身を守るためなのかなど、どのような経営課題に直結しているか――経営層自身が説明できるようにしておくことが重要です。経営層が説明できない目標は社内にも浸透しません。

・目標の評価、失敗を前提に目標を設計する

セキュリティ事故が発生してもしなくても、目標の評価をしましょう。また、「うまくいかなければ見直す」という失敗を許容する認識を共有しておくことで、自然と振り返りや改善につながります。

失敗を許さない目標はミスの隠蔽につながったり、見えないリスクを生み出したりしてしまうため、このような姿勢が実効性を高めます。

目標は組織の行動を映す鏡

過去に立てた目標を疑い、問い直すことは自分たちがやってきたことを疑う行為ではありません。それは、会社を本気で守ろうとする立派な経営判断です。

26年は形だけのセキュリティ目標から一歩踏み出す年にしましょう。その小さな変化が組織の行動と文化を確実に変えていくはずです。

東洋経済Tech×サイバーセキュリティでは、サイバー攻撃、セキュリティの最新動向、事業継続を可能にするために必要な情報をお届けしています。

著者フォローすると、伊藤 秀明さんの最新記事をメールでお知らせします。