会社を脆弱性だらけにしないための「セキュリティ後継者育成計画」の作り方
インシデントが絶えない中で、セキュリティ人材をいかに辞めさせず確保するかが重要な課題となる。それには、管理職を含めメンバー全員に昇進、昇格の道を示すことが重要だ。
国土安全保障省がサイバーセキュリティ人材管理の一環として給与体系を見直したことを受け、民間企業も競争力を維持するためにセキュリティ人材の給与体系の見直している。セキュリティ人材が減少傾向にある要因は報酬だけではない。その他の要因として、コロナ禍に起因する燃え尽き症候群や職場環境、昇進の道が不透明であることなどが挙げられる。
同時に、企業が懸念するのは退職した人材のポジションを埋めることだけではない。セキュリティ人材の欠員が長期化すると、企業は攻撃に対して脆弱(ぜいじゃく)になる。Forresterの調査によると、セキュリティの最大の課題として「人員不足」を挙げた回答者の40%が、過去12カ月間に脅威の侵入が2〜5件あったと報告した。
後継者の育成計画は、エンゲージメントやリテンション、レジリエンスを促進させる。優秀なセキュリティ人材の減少や、人材欠員に伴って脆弱性対策が手薄にならないためにも、セキュリティおよび技術部門のリーダーは管理職だけでなくメンバー全員に昇進の道を明確化する必要がある。
後継者育成プログラムを組織全体で考える
後継者育成計画プログラムは潜在能力を持った人材の特定に役立ち、後継者育成計画とそのプロセスにおいて議論することは、昇進の道筋を明確化する。また、従業員のエンゲージメントを高めると同時に、欠員が発生した場合に備えて人材のパイプラインを構築することで重要なセキュリティ人材の長期化リスクを低減できる。
セキュリティリーダーや上級管理職、取締役会の全員が後継者育成をビジネスの回復力として認識する必要がある。
セキュリティリーダー、後継者育成のための6つのステップ
組織の規模にもよるが、経営幹部やトップマネジメントのポジションに関しては、後継者育成プログラムがあるが、それに必要なツールやプロセスがない。以下の6つのステップに沿って後継者育成プログラムを考える必要がある。
1.現状を把握する
自分自身または客観的な第三者を通して、プログラムの成熟度を評価する。そして、その結果を現在の組織構造や構成、組織目標、目的、リスクと照らし合わせる。その上で、欠員が許されないポジションをマネジャーと決定する。
2.範囲と成果を明確にする
後継者育成計画プログラムに含めるべき重要なポジションを特定し、各ポジションに求めることを定義、そして職務記述書を作成する。重要な役割を担うポジションは責任と専門性を定義するのに時間を要する。期待値が市場と一致しているかどうかを確認する。また、自社と似ている他社にも目を向け、経験やスキル、知識、活動をベンチマークする。そして、上司や人事部のと協力し、成果に基づく成功の指標を作成する。
3.プログラム参加者を特定する
企業の人材プールに目を向け、重要な役割を任せる人材を探す。人材の審査と選定には人事パートナーを活用するといいだろう。選定した人材がどんなスキルを持っているか、役割を果たすために何が必要か、昇進の見込み時期などについてマネージャーと話し合う。
4.次のステップを伝え、聞く
プログラム参加者に、マネジャーなどとのミーティングを通じて後継者プログラムに参加するかどうかを伝える。後継者育成プログラムの参加者の声に耳を傾け、フィードバックを受ける。参加者のモチベーションを保ち、管理職への道だけでなく年功か報酬かなど昇給のタイミングを示す。
5.状況に応じたプランを開発する
話し合った後、上司やチーム外の管理職はプログラム参加者一人一人に合わせた育成プランを作成する。キャリアパスと希望に基づいて、チームメンバーのスキルアップを図る学習管理システムに投資し、参加者が通常の勤務時間内に十分なトレーニング時間を受けられるようにする。さらに、ジョブローテーションや現職従業員の仕事ぶりを観察し、職務に触れるようにする。
6.年に一度は計画を見直す
後継者育成を行わなければ、従業員は期待を持てず離職する可能性がある。後継者育成プログラムを維持するには定期的な見直しとアップデートが必要だ。
セキュリティリーダーは、今後何をすべきか
後継者育成プログラムの構築には、マネジャーも関って熱意を維持することが不可欠だ。マネジャーはキャリアの浅いチームメンバーに指導する時間をつくり、シニア世代にはメンターとしての役割を担い、彼らが蓄積してきた組織的な知識を共有することが必要だ。そして、雇用市場など関係なく後継者育成プログラムを実施し続けることが重要だ。
景気後退の初期段階に入ると、従業員は今勤めている会社にとどまろうとする傾向が強まるだろう。しかし、昇進や昇格の道を示さなければ、彼らは景気が好転したとたんに去っていくだろう。
出典:Succession planning takes center stage in the fight to retain security talent(Cybersecurity Dive)
© Industry Dive. All rights reserved.
関連記事
デジタル人材育成の指針として期待される 「Di-Lite」って何?
社会と個人生活の隅々にまでデジタルが浸透する一方で、デジタル人材の不足が深刻化する。産業界でデジタル人材に必要とされる「デジタルリテラシー」を定義しようと「デジタルリテラシー協議会」が誕生した。同協議会が推進する「Di-Lite」の意味するところとは。
“初心者”のセキュリティ人材を採用すべき理由 判断基準と即戦力化のコツは?
サイバーセキュリティ関連職の需要はこの12カ月間で43%も増加し、多くの企業がサイバーセキュリティの採用ポストを埋められないでいる。その解決策は、エントリーレベルの人材の採用や社内異動にある。その判断基準や即戦力化のコツとは。
アラート地獄で過酷でもセキュリティ人材を目指す人が多い理由
大規模なサイバー攻撃や情報漏えいが世間を賑わせていることでセキュリティ分野に注目が当たり、好奇心旺盛な求職者が増えているという。