최근의 대규모 CDK 랜섬웨어 공격(2024년 6월 말 미국 전역의 자동차 딜러십을 폐쇄)과 같은 사건은 더 이상 대중의 이목을 끌지 못했습니다.
그러나 기업과 기업을 이끄는 사람들은 당연히 불안해합니다. 모든 CISO는 사이버 보안이 임원과 이사회 구성원 모두에게 점점 더 화제가 되고 있다는 것을 알고 있습니다. 그리고 피할 수 없는 CISO/이사회 브리핑이 돌아오면 모두가 답을 원합니다. 우리는 공격으로부터 안전한가요? 우리는 진전을 이루고 있나요? 우리에게도 이런 일이 일어날까?
이는 모두 타당한 우려입니다.
문제는, 우리가 어떻게 가장 잘 대답할 수 있을까 하는 것입니다. 회사 이사회는 수정이나 공격 방법에 대한 기술적 세부 정보가 아닌 비즈니스 목표와 관련된 명확하고 간결한 정보를 받을 자격이 있습니다. CISO와 이사회 간의 의사소통 격차는 오해, 위험 증가, 잠재적으로 파괴적인 사이버 공격으로 이어질 수 있습니다. 이것이 오늘날 CISO에게 가장 큰 과제 중 하나가 남아 있는 이유입니다. 이사회가 이해하고 활용하여 정보에 입각한 결정을 내릴 수 있는 방식으로 위험을 제시하는 방법은 무엇일까요?
XM Cyber의 새로운 eBook, 이사회에 위험을 보고하는 CISO 가이드를 확인하세요. 이 책에는 이사회의 위험에 대한 질문에 자신감과 정확성을 가지고 답할 수 있도록 돕는 전략과 팁이 가득 담겨 있습니다. 명확한 커뮤니케이션과 측정 가능한 진행 상황을 위한 계획을 수립함으로써 CISO는 마침내 이사회의 신뢰를 구축하고 사이버 위험을 효과적으로 관리하는 데 필요한 리소스를 확보할 수 있습니다.
숫자가 말해준다
이러한 명확하고 시급한 의사소통의 필요성에도 불구하고, 선도적인 임원 검색 및 기업 문화 컨설팅 서비스인 Heidrick and Struggles의 최근 조사에 따르면 CISO와 CEO 사이에 우려스러운 단절이 드러났습니다. CISO의 5%만이 CEO에게 직접 보고하며, 이는 고위급 영향력이 부족할 수 있음을 나타내며, CISO의 2/3는 보고 구조에서 CEO보다 두 단계 아래에 있습니다.
이는 대부분의 사이버 보안 리더가 조직적 의사 결정에서 몇 단계나 떨어져 있다는 것을 의미합니다. Ponemon Institute 연구에 따르면 조직의 37%만이 CISO의 전문 지식을 효과적으로 활용한다고 생각합니다. Gartner의 연구에서도 비슷한 추세가 나타났습니다. 이사회의 10%만이 현재 이사회 구성원이 감독하는 전담 사이버 보안 위원회를 두고 있습니다.
이러한 수치는 조직이 보고를 구성하는 방식과 이사회가 브리핑을 받는 방식에 상당한 약점이 있음을 보여줍니다. CISO의 역할이 더 직접적임에도 불구하고 위험을 명확한 비즈니스 용어로 변환하는 과제는 여전히 남아 있습니다.
질문들
CISO로서 이러한 5가지 핵심 질문을 스스로에게 묻는 것은 이사회/임원 간 의사소통 격차를 메우고, 사이버 보안 태세에 대한 명확한 그림을 제시하고, 효과적으로 위험을 관리하는 데 필요한 지원을 얻는 데 도움이 될 수 있습니다.
1. 사이버보안 예산을 어떻게 정당화할 수 있나요?
CISO는 강력한 사이버 보안에는 지속적인 투자가 필요하다는 것을 알고 있습니다. 명확한 근거가 없으면 예산 요청이 감소하거나 완전히 거부될 위험이 있습니다. 따라서 사이버 보안에 대한 투자 수익을 보여줌으로써 목표가 달성 가능할 뿐만 아니라 가치가 있음을 증명하세요. 비판자들에게 중요한 데이터와 인프라를 보호하기 위한 리소스를 확보함으로써 궁극적으로 조직의 재정 건강을 보호하고 있다는 것을 보여주세요.
2. 위험 보고 기술을 어떻게 습득할 수 있나요?
사이버 보안에 대한 임원의 인식을 바꾸고 싶다면 위험 보고를 마스터하는 것이 중요합니다. 비기술적인 대상은 복잡한 보안 위협에 어려움을 겪습니다. 그렇기 때문에 보고서는 명확하고 데이터 중심적이어야 합니다. 보고서는 비즈니스 용어로 위험을 정량화하고 침해로 인한 잠재적인 재정적 손실을 강조해야 합니다. 이런 식으로 조직의 재정적 안녕을 보호하는 데 보안 투자의 가치를 입증하여 사이버 보안을 비용 센터에서 비즈니스 지원 도구로 전환합니다.
3. 보안 성과를 어떻게 축하하나요?
문제에만 집중하지 마세요. 보안 성과를 축하하는 것은 중요합니다. 팀의 성공을 인정하면 조직의 사기가 높아지고, 보안 인식 문화가 조성되며, 사이버 보안 투자의 가치가 부각됩니다. 방어된 공격에 대한 공개적인 인정은 공격자를 억제하고 이해 관계자에게 조직의 데이터 보호에 대한 의지를 재확인할 수 있습니다.
4. 다른 팀과 더 잘 협업하려면 어떻게 해야 하나요?
효과적인 CISO는 사이버 보안이 단독으로 이루어지는 일이 아니라는 것을 알고 있습니다. 강력한 보안은 회사 전체의 경계 의지에 달려 있습니다. 그렇기 때문에 IT, HR, 법무와 같은 다른 부서와의 협업이 필수적입니다. CISO는 협력을 통해 보안 인식 교육을 직원 온보딩 및 개발 프로그램에 통합할 수 있습니다. 게다가, 협업을 통해 비즈니스 프로세스와 일치하는 더 명확한 보안 정책을 도출할 수 있습니다. 그리고 협업은 사고 대응 프로토콜을 강화하여 보안 침해에 대한 신속하고 조율된 대응을 보장합니다.
5. 가장 중요한 것에 어떻게 집중할 수 있나요?
CISO는 위협과 업무로 폭격을 당합니다. 우선순위 지정이 핵심입니다. 진정으로 중요한 것에 집중하면 리소스가 효과적으로 지시됩니다. 즉, 가장 중요한 보안 위험을 식별하고 조직의 비즈니스 목표에 맞춰 조정하고 전략적으로 해결하는 것을 의미합니다. 방해 요소에 ‘아니오’라고 말하고 영향력이 큰 이니셔티브에 집중함으로써 보안 태세를 최적화하고 조직의 전반적인 회복력을 극대화할 수 있습니다.
격차 해소: CISO를 위한 효과적인 커뮤니케이션
사이버 공격의 급증은 CISO와 이사회 간의 명확한 의사소통을 요구합니다. 이러한 격차를 메우고 중요한 지원을 얻기 위해 CISO는 효과적인 위험 의사소통을 우선시해야 합니다. 기술 전문 용어를 버리고 복잡한 위협을 비즈니스 용어로 번역하세요. 사이버 공격의 재정적 영향, 잠재적인 평판 손상 및 핵심 운영 중단을 강조하세요. 사이버 보안을 비즈니스 문제로 규정함으로써 CISO는 필수적인 보안 투자에 대한 이사회의 지지를 확보할 수 있습니다. (보안 이니셔티브에 대한 임원의 지지를 얻는 방법에 대한 자세한 내용은 이 훌륭한 기사를 확인하세요.)
또한, 의사소통은 단순히 문제를 제시하는 것 이상이라는 점을 기억하세요. CISO는 또한 진행 상황을 입증하고 기본 지표에서 벗어나 보안 투자의 효과를 보여주는 데이터 기반 보고서를 개발해야 합니다. 성공적인 공격 감소나 침해를 식별하고 봉쇄하는 데 걸리는 시간과 같은 주요 지표를 추적해야 합니다. 이러한 입증 가능한 데이터 포인트는 메시지를 전달하는 데 도움이 됩니다.
XM Cyber의 새로운 eBook, 이사회에 위험을 보고하는 CISO 가이드를 확인하세요. 이 책에는 이사회의 위험에 대한 질문에 자신감과 정확성을 가지고 답할 수 있도록 돕는 전략과 팁이 가득 담겨 있습니다. 명확한 커뮤니케이션과 측정 가능한 진행 상황을 위한 계획을 수립함으로써 CISO는 마침내 이사회의 신뢰를 구축하고 사이버 위험을 효과적으로 관리하는 데 필요한 리소스를 확보할 수 있습니다.
