Meeuwisse氏によれば、多くの企業は社内に十分なスキルを持った人材が不足しているため、クラウドプロバイダーを利用しているが、CIOは外部のパートナーに過度に依存するのをやめる方法を模索する必要があるという。
「後知恵ではなく、契約の段階でコンプライアンスとセキュリティを考慮に入れるべきだ」と同氏は言う。「自社の情報の価値を考えれば、リスクやセキュリティやコンプライアンスをどう扱うべきかは自ずから決まるはずだ。クラウドに置く情報の価値をよく考える必要がある。リスクの観点から見れば、各クラウドプラットフォームは同じではない」
2.サードパーティーの評価体制を構築する
スペインの銀行Banco SabadellのデータオフィスディレクターJavier Sanchez-Ureta氏は、同社に加わった2016年にCIOから最初に受けた指示は、取引先を監督する体制の改善を支援することだったと述べている。それ以降Sanchez-Ureta氏は、同社がベストプラクティスに基づくさまざまなアプローチを確立するのを支援してきた。
金融業界には規制が多く、一部の業務(たとえば信用管理など)はどんな状況下でもアウトソースできない。Sanchez-Ureta氏は、他の業界のCIOも、社外にも出せるのはどの業務で、出せないのはどれかを評価すべきだと述べている。
「何をアウトソースしたいかを分析して、自社の事業の核であるかどうかを確かめる必要がある」と同氏は言う。「自社の環境にあるさまざまな取引先を調査した方がよい。各取引先のリスクを分析して、懸念材料について、関係を築く前に評価する必要がある。わが社では、法律専門家の支援のもと、契約で厳格なルールを定めている」
Banco Sabadellのプロセスとポリシーは厳しいものだが、Sanchez-Ureta氏はどんなベンダーにも同社と協業できるチャンスがあると述べている。同氏のチームは、各取引先をケースバイケースで評価している。重要なのはインシデント対応戦略であり、社内のサイバーインテリジェンスチームが取引先と協力して、新たな課題が検討されるようにしている。
Sanchez-Ureta氏は「わが社は取引先のリスクアシュアランスの部門も設けており、社外のすべての取引先を評価して、その重要性について格付けを行っている。わが社の監査チームは、取引先に対して3種類の監査を行うことができる。遠隔からの評価手法も用意しており、この手法では相手企業にエビデンスを要求する」と話し、取引先のリスク管理を維持する取り組みはまだ発展途上であるとも述べた。
「取引先のことを常に把握し続ける必要があるが、そのために必要なリソースを確保するのは難しい。取締役会はパートナーを持つことのリスクを認識しなければならない。また、懸念材料や結果を取締役会に報告できるよう、取引先の全体像を把握するツールが必要だ」(Sanchez-Ureta氏)
