似合わしい
非業務執行取締役

エミリー・ウェアマス: こんにちは、Security Visionaries Podcast では、サイバーセキュリティのリーダーを招待し、興味深いことについてお話しします。 そして今日は、NEDまたは非常勤取締役の役割について議論しています。 ホストのエミリー・ウェアマスですので、ゲストをご紹介しましょう。 リチャード・スターンズは、シックス・ディグリーズのCISOであり、ロンドンのサイバー・レジリエンス・センターの非常勤取締役であり、サイバー・ガバナーズ・スキームの一環としてケント州のレナム・スクールのスクール・ガバナーも務めています。 彼はアメリカとイギリスの両方で働いた経験があり、法執行機関の役職も務めたゲストのエリートクラブに参加しており、私はいつもポッドキャストに参加するのが好きです。 彼はISC2 CEO賞を受賞し、情報セキュリティの専門家トップ50に選ばれています。

リチャード・スターンズ: ありがとうございました。

エミリー・ウェアマウス: 2 人目のゲストはホマイラ・アクバリさんです。彼女は世界的なコンサルティング会社である AKnowledge Partners の社長兼 CEO であり、Microsoft や Thales など、数多くの大企業で上級管理職を務めてきました。 しかし、本日、彼女を招待したのは、彼女が6つの上場企業と15の非公開企業の取締役会で取締役会のリーダーシップを発揮した豊富な経験を持っているからです。 現在、サンタンデール銀行の非常勤取締役であり、ランドスター・システムでも同じ役割を担っています。 さらに、国際ジャーナルに50以上の科学論文を執筆しています。 彼女は2つの特許と素粒子物理学の博士号を持っていますが、これは実に素晴らしいので、今日は参加できて本当にうれしいです。 ここにいてくれてありがとう、ホマイラ。

ホマイラ・アクバリ: まあ、ありがとう、エミリー。

エミリー・ウェアマス: それで、私は明白な質問に飛び込むつもりです、そして私はあなたにこれを尋ねることから始めるつもりです、リチャード。 非業務執行取締役とは何ですか?

リチャード・スターンズ:英語のフレーズで、紐の長さはどのくらいかという質問に似ていますが、これは社外取締役の職に就いている業界や規模、その他さまざまな要因によって大きく異なります。 ですから、状況によります。

エミリー・ウェアマス: (笑い)ホマイラ、手伝ってくれませんか? 少し磨いてもらえますか? 非常勤取締役の役割の一般的な特徴にはどのようなものがありますか?

ホマイラ・アクバリ:はい、非公開か公開かにかかわらず、すべての企業にガバナンスが必要です。ガバナンスとはどういう意味ですか? これは、責任と受託者、具体的には受託者責任と細則から、ビジネスのリズムから、戦略の目的から、その会社のすべての原則を管理する注意義務を負う取締役会と呼ばれる人々のグループを意味し、実際に規制やコンプライアンスに対してもチェックアンドバランスを持っています。

ホマイラ・アクバリ: それが取締役会です。 そして、取締役会の中には、例えば、会社の最高経営責任者(CEO)が通常、会社の取締役になるような人たちがいますが、彼らは明らかに経営者です。 英国では、CFO、最高財務責任者(CFO)が取締役を兼ねることがよくありますが、米国や他の多くの国では、実際にはそのような傾向や慣行は廃止されています。 通常、CEOのみが役員であり、取締役会に参加している元役員がいる場合があります。 しかし、会社から独立している人、過去に会社で働いたことがない人、過去に会社に助言したことがない人、または少なくとも最近、場合によっては5年、時には5年程度の監査人、主要な監査法人のパートナーがいる場合、その人を非業務執行取締役と呼ぶことになります。

エミリー・ウェアマス: リチャード、経営陣からの距離、独立性が高いということは、彼らが給料をもらっていないことを暗示しているのでしょうか? これはまだ商業的な関係ですか? まだ何かしらの雇用なのでしょうか?

リチャード・スターンズ: 雇用というのは面白い区別だと思いますが、給料をもらっているものもあれば、給料をもらっていないものもあります。 それはボード自体に依存します。 小規模な非営利団体や小規模な専門委員会の場合、それらは通常、ホマイラのレベルでは無給になります。 正直に言うと、ホマイラさんの紹介を聞いた後、私はここで少しインポスター症候群を感じています。

エミリー・ウェアマス: すごいですね。

リチャード・スターンズ: とても印象的です。 いったい私はここで何をしているのだろう? しかし、そのようなポジションには当然報酬が支払われます。

ホマイラ・アクバリ: まず、リチャードさん、どうもありがとうございました。 そして、この電話であなたと一緒にいられることをとても嬉しく思います。 そして、バックグランドが違うので、とても興味深いと思います。 しかし、あなたはエミリー、コマーシャルについて言及しました。 NEDの間には実際には商業的関係はありませんし、実際には、非営利であっても、すべての株主に対して受託者責任を負っているため、あるべきではありません。 私も、リチャードが言ったように、非営利団体では、報酬が支払われないだけでなく、実際に支払います。 それは非営利であり、彼らは資金を必要とするので、あなたは支払わなければなりません。 しかし、いずれにせよ、非営利であろうと営利であろうと、会社の他の株主や他の参加者、またはメンバーに対して事実上受託者責任を負っています。

ホマイラ・アクバリ: ですから、コマーシャルという言葉が出たとき、商業的な関係があると思います。 しかし、はい、営利企業の取締役会は一般的に支払われます。 その理由は、そのためにかなりの作業が伴うからです。 そして、繰り返しになりますが、あなたには注意義務があり、受託者責任があります。 そして、これらの受託者責任を果たさない場合、株主による法的措置の対象となります。 したがって、一般的には報酬が支払われます。 ほとんどのボードはあなたに適切な報酬を支払いますが、あなたが望むならそれは有益ではありません。

エミリー・ウェアマス: 最近、あるイベントに行ったのですが、何人かのNEDがおしゃべりをしているのを聞いたのですが、2人とも、お金のために参加する人はいないという意見で一致していました。 あなたがそれに夢中になる理由はたくさんあります。 そして、補償はありますが、誰もお金のためにそこにいるわけではありません。 でも、結構興味深かったですし、二人とも同時に複数の役割を担っていらっしゃるんですね。 では、平均的な時間のコミットメントとはどのようなものなのでしょうか? 平均はありますか、それとも異なりますか?

ホマイラ・アクバリ: はい。 ボードによって異なります。 しかし、平均して、公開取締役会について言えば、時価総額100億の中型株の取締役会と、欧州の会社、中型株の取締役会は、通常、年に5回開催され、そのうち年に4回は実際には取締役会です。 そして、1年に1回は戦略です。 ですから、彼らはボードをやるのではなく、戦略を立てるのです。 彼らは子会社を訪問し、事業所を訪問します。 そして、その5回は、もしよろしければ、どこから来たかにもよりますが、会議を含めて2〜3日かけて旅行することになるでしょう。 つまり、15〜17日ほど直接会って取締役会と関わり、その後、おそらく10〜15日間、バーチャルな会議や会議の準備のために、年間を通してバーチャルに散らばっていると言えます。 したがって、1 つのボードの場合、年間 25 日から 30 日の間を検討すると、多いですが、多くはありません。

エミリー・ウェアマス: 右。 たくさんあります。 はい。 はい。 確かにフルタイムの仕事ではありませんが、何人かの人が座っているボードの数を考えると、おそらく私が考えていたよりも多いと思いますが、かなり時間がかかるようです。 リチャード、あなたの経験はどうですか? 私はこのサイバーガバナープログラムに非常に興味があるので、これについては後ほど詳しくお話ししますが、小規模な組織、おそらく非営利団体、あるいは学校などでこれらの役割に携わることを検討している場合、どの程度の時間的コミットメントが必要ですか?

リチャード・スターンズ: 時間のコミットメントは、ボードごとに15〜20日実行される傾向があると思います。 コミットメントほど重くはありませんが、ホマイラが話していたことの1つは、私が言うところの普通の状況です。 さまざまなタイプの監督について、私が話したい注意点があります。 監督の中には、自分がやるべきことの方向性を見失い、監督であることから外れ、監督であることに迷い始める人もいます。 私は、役員、または会社や取締役会の運営面に必要以上に積極的であることだと思います。 これは一種の注意点ですが、自分が何をしているのか、なぜそれをしているのかを覚えておく必要があると思います。

エミリー・ウェアマス: その点、これはサイバーセキュリティのリーダーである人々が聴いているポッドキャストです。 そして、私たちがこの会話をしている理由は、多くの人がキャリアを積むにつれて、キャリアのはしごを上るにつれて、履歴書やLinkedInのプロフィールに非常勤取締役の役割が追加されるのを見てきたからです。 そして、なぜそうなるのか、あなたの見解を知りたかったのです。 サイバーセキュリティの上級職に就く際に、これらの役割を引き受ける魅力は何ですか? リチャード、何があなたを惹きつけたのですか?

リチャード・スターンズ: 私にとっては...私は自分のキャリアの最後尾に立ち始めており、恩返しをすることをますます意識しています。 私はキャリアを通じて恩返しをしてきましたが、私のキャリアと人生のこの時点で、職業とコミュニティにもっと恩返しをし始めることが私の義務だと思っています。 だからこそ、私はこの2つのボードに座っていたのです。

エミリー・ウェアマス: 利他的に聞こえるかもしれませんが、履歴書にこれらの名前を載せることには、ある種のキャリア上のメリットもあるのは確かです。 ホマイラ、どう思いますか? どのような経緯でこのような役割に就くことになったのですか?

ホマイラ・アクバリ: まあ、リチャードが説明したことは絶対に正しいと思います。 一般的に、そして歴史的にこれは行われてきました...主にキャリアの後半または後半に入ると、キャリアの3番目の部分のようなものですが、経験が必要であり、それが非常に重要であるため、ガバナンスの経験、またはエグゼクティブの経験、またはCEOであり、会社を経営し、P&Lのオーナーシップを持っている場合、取締役会で務めます。 なぜなら、乗船しているときは、ある種のバランスの取れた経験をしなければならないからです。 そうは言っても、15年ほど前、あるいは15年から20年ほど前から、ヨーロッパ、特にノルウェーでトレンドが始まり、取締役会のすべてではないにしても、多くの取締役会が男性で占められており、ジェンダーの多様化を望んでいることに気づきました。

ホマイラ・アクバリ: その結果、すべての取締役会の30%から40%が女性でなければならないという法律が制定されました。 その結果、多くの取締役会は、ルールが施行される前に多様化し始め、女性取締役はおそらく初めてであり、多くの場合、年齢の若い側にあり、必ずしもキャリアの後半または3番目の部分に向かっていませんでした。 ですから、今日、ボードを見ると、ボードは性別だけでなく、人種だけでなく、年齢によっても劇的に多様化しています。 だからあなたは持っています... 先ほどもサイバーの話が出ましたが、デジタル化が現実のものとなり、誰もがデジタルトランスフォーメーションをしなければならないことに気づいたとき、それはさらに顕著になりました。 なんでしょうね。 デジタルトランスフォーメーションの方法を知っている人の大半は、年齢層の中では若い方でした。 例えば、30年前を遡れば、平均年齢はそれよりもはるかに高く、おそらく50年代後半から60年代くらいだったでしょう。 今日、平均年齢は毎年少しずつ下がっています。

ホマイラ・アクバリ: しかし、私は、ボード上にはすべてが必要だと信じています。 年齢、技術、経験、バックグランド、性別、人種などあらゆる面での多様化が必要です。 そして、それを成し遂げた理事会、大多数の公的な理事会は、本当にその恩恵を受けていると思います。

エミリー・ウェアマス: マッキンゼーの調査を見たことがありますが、 具体的には100枚のボードを調べたところ、多様性に富んだチームの方が収益パフォーマンスが優れているとのことです。 ですから、取締役会が進むべき方向は間違いなく正しいと思われます。

リチャード・スターンズ: 絶対に、あなたとこれ以上同意することはできませんでした。 ロンドン・サイバー・レジリエンシー・センターの諮問委員会を招集し、私が委員長を務めましたが、ロンドンの人口統計を非常に具体的に調査し、ロンドンの人口統計が理事会の人口統計と一致するようにしました。 そして、私たちはその恩恵を大いに受けていると思います。 アドバイザリーボードの40%は女性です。

エミリー・ウェアマス: それは本当にうれしいことです。

ホマイラ・アクバリ: 素晴らしい。 万丈。

エミリー・ウェアマウス：では、デジタル変革が取締役会の多様性と若年化を促進する原動力であるとすれば、組織が現在直面している課題のいくつかを検討してみてはどうでしょうか。その課題の 1 つとして、私が最も懸念しているのは、急速に進化する脅威の状況です。 つまり、サイバー経験を持つ人物が、10年前よりもはるかに魅力的なスキルセットを取締役会にもたらし、その結果、サイバーセキュリティの専門家が取締役会のポジションに就くことが増える可能性があるということでしょうか?

ホマイラ・アクバリ: 答えはイエスでもありノーでもあります。 (笑い)ある意味では、サイバーセキュリティの知識があり、必要に応じて、サイバーセキュリティの専門家と見なされる可能性があることは明らかです。 それはポジティブなことですが、それだけでは十分ではありません。

エミリー・ウェアマス: 右。

ホマイラ・アクバリ: それはあなたの立候補に途方もなく追加されますが、それだけでは十分ではありません。 ボード上では、ボードはさまざまで、サイズは7から15くらいまでさまざまで、ボード上の誰もが重要だからです。 また、先ほどお話ししたように、例えば取締役会が12人の場合、3〜4人は役員または元役員です。 ですから、今は7、8人のメンバーしか選べませんが、その7人、8人全員で、例えば、ブラジルや中国に拠点を持つ国際企業であれば、その地域からの代表がとても重要になるので、その地域からの代表が欲しいのです。 だから、ブラジル人だからといって誰かを選ぶわけにはいかず、ブラジルのビジネスパーソンだったので、ブラジル出身の人が必要です。 あなたがする必要があるのは、誰もがテーブルに持ち込むいくつかのものを持っている必要があるということです。

エミリー・ウェアマス: 右。

ホマイラ・アクバリ: 適性は1つではないため、サイバーセキュリティだけでは不十分です。 私が見てきたこと、そして多くのCISOにアドバイスしていることは、彼らの多くが実際に取締役会の一員になることに興味を持っていますが、知識ベースとキャリアを拡大し、生涯にわたって最高情報セキュリティ責任者になるだけでなく、他のことを行うことです。 そして、実際にそれを成功させているCISOを見てきました。 また、サンタンデール銀行では、7年間在籍したCISOがP&Lのオーナーとなり、小売および商業の変革責任者に就任したという非常に強力な例があります。

ホマイラ・アクバリ: そして、これらの例は非常に肯定的です。 それらは稀で、あまりにも少ないですが、起こり始めています。 ちなみに、これは CIO やその他の役職にも同じことが当てはまります。たとえば、最高 AI 責任者や最高データ責任者で、取締役になりたいという野心がある場合、自分自身を多様化し、キャリアを多様化し、バランスの取れた人間になる必要があることを認識する必要があります。 なぜなら、それこそが取締役会が必要としているものだからです。 現在、すべてのボードでスケールマトリクスを作成していますが、スケールマトリクスでは、ボードに必要なものは何か、どのものをテーブルに持ち込むのか、と言います。 また、15 点満点中 2 点にチェックを入れるだけでは不十分です。

エミリー・ウェアマス: リチャード、あなたが奉仕する取締役会により多くの価値を提供するために、あなたの経験と資格から意識的に取り組み、拡大したことはありますか?

リチャード・スターンズ: 私は実際にCISOとして取締役会に参加したことはありません。 私は一歩下がって、あなたの最初の質問に答えるつもりです。 CISOの間では、CISOは取締役会に座るべきかという言い回しが悪いと思うことがあります。 そして、私の一般的な答えはノーです。 その理由は、あなたが行う特定の機能のために取締役会に座ることができないからです。 あなたはあなたが何をするかにおいてはるかに多様でなければなりません、そしてあなたの経験は一つのことです。 もう 1 つは、CISO は取締役会に報告すべきかどうかです。 それがケースであるべきだと私は信じています。 そして、レポートと言うとき、彼らは自分が何をしているのかについてレポートできるはずです。 そうでない場合は、取締役会は、取締役会メンバーが参加するリスク委員会またはセキュリティ委員会を設置するような構造になります。 そして、彼らは確かにその一員であるべきです。 しかし、CISOだからといってCISOになるわけではありません。

エミリー・ウェアマス: はい。 そして、ある程度は自分の宿題に印をつけるという領域に入るのではないでしょうか? あなたがCISOであると同時に、CISOの業務をチェックする取締役会でもあるのであれば、いずれにせよ、そこには若干の対立が生じる可能性があります。

リチャード・スターンズ: 私は一般的に、取締役会がCISO以外のサイバーセキュリティやサイバーセキュリティリスクの専門知識を持っていることを推奨しています。

エミリー・ウェアマス: はい。 それは理にかなっているように聞こえます。 Homaira さん、これはあなたの個人的な経験でも、あなたが役員を務める役員会に異動してきた人々でも構いませんが、特定のサイバーセキュリティ バックグランド出身の人はいますか? おそらく、彼らが参加を希望している取締役会とはまったく異なる組織である可能性があります。 また、その会社の取締役会の席を正当化するために、サイバーセキュリティの資格にどのようなスキルを追加したかについて、何か考えはありますか? 例えば、彼らは資金を使い果たして金融スキルを見つけるべきでしょうか?

ホマイラ・アクバリ: はい。 言わざるを得ないのですが、その人のキャリアの中で最も重要だったのは、サイバーセキュリティ エコシステムの一員になることだったというケースもありました。 しかし、繰り返しになりますが、前にも言いましたが、彼らはそれよりもはるかに広いです。 ちなみに、取締役になりたい人でも、取締役になるためのスキルセットを確立したい場合は、小規模な取締役会、特に非公開の取締役会、非公開の取締役会、ベンチャー支援の取締役会から始めることができます。 そして、これらの取締役会では、例えば、ベンチャー企業の支援を受け、サイバー企業であれば、CISOであっても取締役会に参加する機会があります。

ホマイラ・アクバリ: そして、それはあなたに、そのスタートはあなたに味と機能、高い機能を与え、あなたは学習を経る。 ですから、私は間違いなくそれをお勧めします。 しかし、もう一度言いますが、上場企業の場合、競争が激しくなっており、15 のスキル マトリックスとバックグランド、必要なバックグランドと経験を備えている必要があります。 おそらく、その公開会社に所属するために、マーク10から12にチェックを入れる必要があります。 そして、時には人種、性別、多様性の経験やバックグランド以外でも、CEOを務めたことがありますか？ 損益計算書を担当したことはありますか? そして、あなたはそれを持っているか、持っていないかのどちらかです。 お持ちでない場合は、それらにチェックマークを付けることはできません。 ですから、そこには答えなければならない難しい質問がいくつかあり、そこにたどり着くまでに時間がかかるので、もともと、あるいは数年前までは、取締役会メンバーの大半は、キャリアを通じてさまざまなことをしてきたばかりで、それらの責任やスキルマトリックスにチェックマークを付けることができたので、はるかに年配の人々でした。

リチャード・スターンズ: イギリスには知事がいます。 米国の教育委員会と似ている点もありますが、すべてではありません。 ガバナーズ・プログラムやガバナーズ・ボードと呼ばれることもありますが、非執行役員型の役職です。 そして、これは、取締役会がどのように機能するかを学び、しばらくの間そこにいる取締役会メンバーを特定し、彼らからある程度のインプットと個別指導を得て、それらのプロセス全体がどのように機能するか、ガバナンスがどのように機能するかをまだ知らず、そのような種類の貢献をしていない場合に学ぶのに適した場所です。 Cyber Governors Programは、特に英国内のサイバーセキュリティにおいて、いくつかの課題を抱えています。 そして、サイバーセキュリティの経験とITの経験を持つ人々をこれらの委員会に連れてきて、学校がそれらに対処するのを助けようとしています。 しかし、それは、あなたが取締役会の経験を積み、取締役会がITの立場から経験を積み、同時に何かを得て何かを還元するという観点から、何かを得るための良い方法です。

エミリー・ウェアマス: これは、ホマイラが話したいくつかの項目にチェックを入れ、特定の種類の幅広い役割の経験があることを示すための素晴らしい方法のように聞こえます。 しかし、このような役割をどうやって見つけるのか、ということも見てみたかったのです。 私の注意は、数週間前に、求人掲示板のようなものですが、非業務執行取締役の役割のためのウェブサイトに引き寄せられました。 そして、私はそこをざっと見ていましたが、いくつかの魅力的なものがリストされています。 これは取締役会が新しい社外取締役を見つける主な方法ですか、それとも知り合いから静かに肩をたたくような感じですか? 実際には、これらの役割はどのように候補者を特定し、候補者は役割を見つけていますか?

ホマイラ・アクバリ: もちろん。 いくつかの可能性があります。 たとえば、BoardProspects というものがあります。 続けられるのは boardprospects.com だと思います... そこには... 私は、すべて女性のネットワークであるいくつかのネットワークを知っています。 これらのネットワークに参加するには、すでに取締役会に参加している必要がある場合があります。 どの国にもディレクター・インスティテュートはあると思います。 たとえば、米国では、National Association for Corporate Directorsです。 また、企業の取締役でなくても会員になり、企業のイベントに行ったり、人と会ったりすることができます。 ですから、このような状況はいくつもあります。

ホマイラ・アクバリ: サイバーセキュリティにも、参加できるネットワークが多数あります。 先ほど申し上げたように、民間企業、小さな民間企業の役員になることも学びの1つです。 つまり、ベンチャーキャピタリストやプライベートエクイティとの関係があれば、それを利用して活用することができます。 しかし、ネットワーキングをしなければならないことは間違いありません。 ただそこに座って、現場に行って応募できると思っているなら、就職先を探すよりも少し難しいと思います。

リチャード・スターンズ: もう一つ考慮しなければならないのは、これは就職活動と変わらない点もあります。 ボードにあなたがいるからといって、あなたはそのボードに参加したいことを確認する必要があります。 特に、初めてアプローチする場合は、「聞かれたので、はい」とは言えません。 仕事と同じように、自分に合っているかどうかを確認する必要があります。 そして、それは会社が何をしているか、特にガバナンスにおける会社の成熟度がどの程度かという観点からのものです。 そして、それらも絶対に考慮しなければならないことです。

エミリー・ウェアマス: さて、少し話を変えてみたいと思います。 ここまで、サイバーセキュリティのリーダーが取締役会の役割にもたらすことができるものについてお話ししてきました。 さて、少し見てみましょう。以前、お二人が、サイバーセキュリティのバックグランド出身ではない幅広い役員の間で、サイバーセキュリティの知識がすでに存在しているかどうかについての意見を話しているのを聞いたことがあります。 まず、非常に二者択一的な質問をすると、取締役会に関するサイバーセキュリティの知識は一般的に十分ですか?

ホマイラ・アクバリ: いくつかあります。 多くの取締役は、サイバーを知らないだけでなく、その必要もないということを認識する必要があります。特に今日の取締役は、優れたテクノロジー バックグランドを持っていません。なぜなら、彼らはビジネス スクールに通っていたときでさえ、サイバー セキュリティについて教えられていなかったからです。 それはコースではありませんでした。 今日、サイバーセキュリティは教えられ、デジタルトランスフォーメーションはビジネススクールで教えられています。 ですから、彼らにとってはかなり抽象的なトピックのままです。 そして、私たちがよく目にすることの1つは、どれだけお金を費やしても、100%安全ではないという事実の概念を理解していないということです。 ですから、あなたは彼らにそれを説明しなければなりません。 そして、説明しなければならないので、あなたは破られることになります。 したがって、組織は、侵害が発生したとき、侵害されたことをどのように識別するか、侵害を封じ込める方法、侵害に対応する方法、侵害からどのように回復するかについて準備しておく必要があります。

ホマイラ・アクバリ: そして、それは彼らが理解していないことであり、あなたがそれをしなければならない投資も理解していません。 保護、彼らはよりよく理解しています。 大丈夫です。 私は壁を作り、自分を守ります。 サイバーでも同じです。 昨年、私は「Cyber Savvy Boardroom」という本を共同出版しましたが、この本では、取締役会メンバーにメンタルモデルを提供し、サイバーセキュリティの基礎を提供して、知識を内面化できるようにしています。 それがキーワードです。 それが何を意味するのか、サイバーセキュリティとサイバーセキュリティ、そしてどのように身を守るのかを内面化できなければなりません。 専門家である必要はありませんが、概念を理解する必要があります。 ハッカーや悪者があらゆる企業を狙う理由と、ランサムウェアのせいで今日ではあらゆる企業が標的になっているという事実。

ホマイラ・アクバリ： 10年前は、それはケースではありませんでした。 金融業界、医療業界など、特定の業界に属している場合にのみ、標的になります。 しかし、交通手段はそれほど重要ではありませんでした。 興味深いデータはそれほど多くありません。 しかし、今日では、ランサムウェアを実際に使用して、自治体や非営利団体からさえも、その運営を妨害することで資金を得ることができるので、もはや誰も安全ではありません。 これが鍵です。 ですから、それは継続教育だと思います。 重視し続けていると思います。 もちろん、これに終わりはありません。 しかし、リチャードはかなりたくさん持っていると確信しています...このトピックにかなり多くのことを追加することができます。

リチャード・スターンズ: 質問への答えとして、いいえ、そうではありません。 しかし、私の答えは、なぜそうしなければならないのかということです。 彼らは彼ら自身の権利のエグゼクティブであり、彼ら自身の専門分野で非常に優れています。 これに対する私の回答は、一般的にCISOは、取締役会が理解できる言語で取締役会と話すことを学ぶ必要があり、これはビジネスリスクであり、取締役会はそれを非常によく理解しています。 そして、それこそがCISOから行われなければならない翻訳です。 あなたはファイアウォールが何であるかを知らないし、私はあなたが気にしないし、そうすべきでもないので、あなたにファイアウォールを説明するのに15分も時間を費やすつもりはありません。 しかし、ファイアウォールが行うことはここにあります。 それは会社に対するこれらのリスクを軽減し、これが私たちがそれらを持っている理由です。 ですから、CISOコミュニティの中で私たちが行う必要があると思うのは、ビジネス用語で話すことです。

ホマイラ・アクバリ: 私はリチャードに完全に同意します。 私はその言語を... 私はこのイベントに何人かの理事と一緒に参加し、そこで少しスピーチをして、その後討論会になったことを覚えています。 そして、役員の一人が私に「まあ、本当に真剣な人でした」と言いました。 「この人たちの中には英語を話せない人もいると思います。 語学教室に行かせればいいのに」

(笑い) ホマイラ・アクバリ: それで、私は「いいよ」って思った。 それはまさにリチャードが今作ったポイントです。 彼女は、彼らは実際には英語を話さないと言いました。

(笑い) エミリー・ウェアマス: それは非常に良い点です。 こうした事件が起きると、突如、サイバーセキュリティが取締役会の議題のトップに上がるのではないかと思います。なぜなら、彼らは事件の真っ最中だからです。リチャード、あなたもご存知でしょうが、英国のいくつかの学校がランサムウェア攻撃を受け、身代金を要求されるという事態も実際に起きています。 これらは、政府の資金で賄われている公立学校です。 彼らはお金を持っていませんが、誰もがこれらの犠牲になっています。 こうしたインシデントが発生したり、業界が同業組織でインシデントが発生していることに気付いたりすると、取締役会は一転してサイバーに過度に集中するようになるのでしょうか。それともそうではないのでしょうか。 私は、これらの会話が取締役会の検討の中でどのように浮き沈みするかを想像しようとしています。 インシデントに伴って移動しますか?

ホマイラ・アクバリ: 答えはイエスです。 もし彼らが優れたサイバープログラムを持っておらず、大きな驚きに捕らえられたとしたら、それは多くの例ですが、特に私はこの分野にいたので、指摘したくありません。 しかし、Target、Equifax、SolarWindsはそうするかもしれません。 そして、その影響、これらの侵害、影響は甚大でした。 そして、これらの組織が十分な準備ができておらず、完全なプログラムを持っていなかったとき、状況は非常に混乱します。 そして、私が引用したこれら3社すべてにそうであったように、ある種の大きな結果をもたらし、それは今も続いています。

リチャード・スターンズ: 私はごく最近、まさにこのテーマについて記事を書きましたが、私が笑っているのは、そのためのグラフィックが必要だったからであり、ボードがサイバーインシデントに対処しているときのグラフィックを書いてくれるようにドリーに依頼しました。 そして、テーブルに座っている取締役会が私を惹きつけました。 あちこちに紙が飛び散っていた。 人々が叫び、叫び、赤い画面があちこちに点滅していましたが、私は即座に、インシデント発生時に取締役会がこのような状態になるのであれば、最初にすべきことはCISOを解雇すべきだというものでした。 あなたはこれらのために訓練し、そしてあなたはそれらにどう反応するかを知っているでしょう。 ボードが関与している必要があります。 彼らは、これらのことがどのように機能するかを完全に理解するために、少なくとも年に1つのシナリオを経験する必要があります。

リチャード・スターンズ:ランサムウェアは良いもので、特定の人々にとっては非常に簡単です...私は元法執行官なので、法執行官としての立場から言うと、いや、身代金は払いたくない、これらの人々を刑務所に入れたいのです。 しかし、残念ながら、それはそれほど単純ではありません。 あなたが会社で、お金を稼いだり、会社を維持したりする能力を奪われ、借金を積み上げ、毎分顧客を失っているとき、時には考えられないこと、つまり給料を支払わなければならないことがあります。 それは非常に状況に応じて可能ですが、あなたはすでに精神的にそこにいて、時間を節約するためにこれらの計算のいくつかを行うことができる必要があります。 そして、それはシナリオのようなものを通してもたらされます。

エミリー・ウェアマス: はい。 それは非常に理にかなっているように聞こえます。 彼らは、赤ん坊の口から、真実が湧き出ると言っていました。 そして、今はAIのリクエストの口から、それが餌にしているステレオタイプが何であるかを理解する傾向があると思います。 嬈。 ですから、時間が足りないのはわかります。 そして、ホマイラは会議に行くことになりました。 私は取締役会を想定しています。 だから私はそこでそれをまとめるつもりです。 お二人とも、お時間をいただき、ありがとうございました。 Security Visionaries Podcast を聴取しました。 私はあなたのホスト、エミリー・ウェアマスでした。 ポッドキャストをまだ購読していない場合は、ぜひ購読してください。 共同司会者のマックス・ヘイビーと私は、2週間ごとに新しいエピソードを収録しています。 ですから、私たちはあらゆる種類の興味深いトピックをカバーし、誰にとっても何かがあります。 ホマイラさん、どうもありがとうございました。 リチャードさん、ご参加いただきありがとうございます。 あなたがここにいるのは素晴らしいことです。