判明したリスクと実際のリスク対策までのリードタイム|セキュリティ|ブログ|Computerworld

読者の皆様

お待たせしました。
虎ノ門のセミの声で夏を感じた蔵本です。

本日の一枚は、「野菜屋めい」さんの大根カツです。
これは食べとくべきです。食べた瞬間「へぇー！」となるでしょう。

さて、最近、色んな環境にて手付かずのリスク低減策を非常に多く見てしまったので、表題の件についてお話します。

リスクは、認識されていても、しばらく顕在化しない事で、顕在化しない事に甘えてしまいます。
これは、インパクトが大きく、また、顕在化する確率がかなり高いと判断されているリスクについても同様です。

先日の震災においても、同様の事が言われています。他人の動きを見ていると何とでも言えるのですが、いざ、自社を見た時には如何でしょうか。

結構おざなりになっている部分も多いのではないでしょうか。

ビジネス環境においてこの状況を避けるには、リスクマネジメント担当者に対して説明責任を負わせ、対策までのロードマップを定量的に策定し、定期的に進捗を報告させる事が有効に機能します。

対策をしない、つまりリスクを受容するのであれば、リスクを受容する理由を明確にさせておきましょう。

また、この際、以前に推進体制にてお話した通り、リスクマネジメントの最終承認者は経営層にしておく事が重要です。

大体問題になってしまうのは、リスクを受容した場合か、リスク低減策の実施が決まっているのにそちらに着手できない場合です。

リスクマネジメント的には、受容したリスクが顕在化してしまった場合は、判断をしているだけまだマシで、リスク低減策の実施が決まっているのに先延ばしになっている場合が、最悪と言えます。

ただ、何かあった場合は、受容したリスクが顕在化した場合の方が叩かれてしまう傾向にあるのは皆さんご存知かと思いますが……。

また、リスク低減策を実施すると決めたと言うことは、発生頻度やインパクトから考えて低減策が必要と認識されるレベルのリスクであると認識されていることから、やはり、リスク低減策の実施が決まってから実際に低減策を実装するまでをなるべく素早く動く必要がある事が分かります。

対策未実施の状態をどこまで許容できるかをはっきりさせた上で、ここをしっかりと、定量的に線引きして実装していきましょう！

組織的なセキュリティ対策のポイントの一つはスケジュールをはっきりさせると言うことです。
当たり前のようですが、非常に重要ですので、お忘れのないよう！

それでは次回をお楽しみに！