1/4 PAGES
2/4 PAGES
しかも、「大丈夫です」と答えた翌月にインシデントが起きれば、「大丈夫だと言ったのに」と責任を問われかねません。
かといって「大丈夫ではありません」と答えれば、「じゃあ何をやっているんだ。大丈夫なようにしろ」と詰められる。どちらに転んでも損をする質問に、担当者が身構えるのは当然でしょう。
「聞いただけ」で終わるコミュニケーションの代償
このすれ違いの根本にあるのは、経営層とセキュリティ担当者で「見えている景色」がまるで違うことです。
経営層にとって、セキュリティは「事故が起きなければうまくいっている」ように見える分野です。売り上げのように数字で把握できるものではなく、日常的に触れる機会も限られます。だからこそ、漠然と「大丈夫か?」と確認したくなるわけです。
セキュリティ担当者の日常はまるで違います。外部からの攻撃の兆候を監視し、社内のルール違反を見つけ、パッチ(修正プログラム)の適用に追われるのが日常で、「大丈夫」な瞬間など一瞬もないというのが現場の肌感覚です。
CISOという「経営と現場の翻訳者」がいない組織では、とくにこのギャップを埋めづらくなります。
現場は脅威を肌で感じているのに、経営層の優先順位には反映されない。この構造が、「大丈夫か?」と「イヤな顔」の繰り返しを生んでいます。
「大丈夫か?」と聞くこと自体が悪いわけではありません。問題は、聞いた後に経営層が何もアクションを起こさないことです。
3/4 PAGES
4/4 PAGES
