2012.05.07

성공하는 CISO의 3가지 공통점

Thor Olavsrud | CIO

최근 연구에서 IBM은 성공적인 보안 조직에는 CSO가 전략적인 비전을 가지고 현업 임원들에 귀 기울인다는 공통점이 있다고 결론 내렸다.

보안 위협에 대처할 수 있도록 준비한 기업들에는, 그렇지 않은 기업들과 차별되는 몇 가지 공통점이 있다. IBM 센터 포 어플라이드 인사이츠(IBM Center for Applied Insights)는 보안 책임자들의 전략과 접근방식을 더욱 심도 있게 파악하기 위해 최근 CISO(Chief Information Security Officer)와 기업에서 정보 보안을 책임지는 IT 및 영업부문 경영진 등 138명을 대상으로 인터뷰를 실시한 결과 이런 사실을 발견했다.

IBM 시큐리티 시스템즈(IBM Security Systems)의 전략 부사장 마크 반 자델로프는 이 연구 덕분에 IBM이 보안 책임자들을 조직의 성숙도와 침입 대비도에 기반해 3가지 범주로 분류할 수 있게 됐다고 말한다.

가장 낮은 단계의 분류는 ‘대응자(Responders)’로 응답자의 28%가 여기에 속했다. 대응자들의 특징은 대응 모드에서 빠져 나오지 못한다는 점이다. 반 자델로프에 따르면, 이들은 기업을 보호하고 규정과 표준을 준수하기 위해서 노력하지만, 이들이 전략적 진행속도를 설정하기 위해서 고군분투하고 있으며 상당한 수준의 변화를 이끌어낼 수 있는 자원이나 비즈니스적 영향력을 가지고 있지 못할 수도 있다.

중간 단계의 분류는 ‘보호자(Protectors)’로 응답자의 47%가 속해 있었다. 반 자델로프는 “보호자들은 보안이 전략적 우선순위라는 사실을 인지하고 있다. 하지만 기업의 보안 접근방식을 변화시키기 위한 메트릭스적(Metrics) 관점과 예산이 없는 상태다”라고 말했다.

가장 앞선 사고방식을 가진 보안 책임자들은 영향력을 행사하는 사람(Influencers)들로 응답자의 25%가 속해있었다. 영향력을 행사하는 사람들은 기업 내에서 비즈니스적 영향력과 통제권을 수반하는 전략적 목소리를 가지고 있다.

IBM은 보안 전담 조직과 관리, 전사적인 보안의 영향력, 정량적인 효과 측정 등 보안 프로파일을 구축하면서 이 3가지 범주를 탐구했다.

체계적인 보안 조직과 관리
영향력을 행사하는 CSIO와 보호자에 속하는 CISO가 대응자와 구분되는 가장 큰 특징은 전략적이며 기업 전반적인 시야를 가진 보안관 역할을 위한 보안전담 책임자가 존재한다는 점이다. 영향력을 행사하는 CSIO가 있는 기업은 이들을 공식적으로 임명할 가능성이 높다. 왜냐하면 고위 관리직들이 조직화된 접근방식의 필요성을 인식하기 때문이라고 반 자델로프는 설명했다.




2012.05.07

성공하는 CISO의 3가지 공통점

Thor Olavsrud | CIO

최근 연구에서 IBM은 성공적인 보안 조직에는 CSO가 전략적인 비전을 가지고 현업 임원들에 귀 기울인다는 공통점이 있다고 결론 내렸다.

보안 위협에 대처할 수 있도록 준비한 기업들에는, 그렇지 않은 기업들과 차별되는 몇 가지 공통점이 있다. IBM 센터 포 어플라이드 인사이츠(IBM Center for Applied Insights)는 보안 책임자들의 전략과 접근방식을 더욱 심도 있게 파악하기 위해 최근 CISO(Chief Information Security Officer)와 기업에서 정보 보안을 책임지는 IT 및 영업부문 경영진 등 138명을 대상으로 인터뷰를 실시한 결과 이런 사실을 발견했다.

IBM 시큐리티 시스템즈(IBM Security Systems)의 전략 부사장 마크 반 자델로프는 이 연구 덕분에 IBM이 보안 책임자들을 조직의 성숙도와 침입 대비도에 기반해 3가지 범주로 분류할 수 있게 됐다고 말한다.

가장 낮은 단계의 분류는 ‘대응자(Responders)’로 응답자의 28%가 여기에 속했다. 대응자들의 특징은 대응 모드에서 빠져 나오지 못한다는 점이다. 반 자델로프에 따르면, 이들은 기업을 보호하고 규정과 표준을 준수하기 위해서 노력하지만, 이들이 전략적 진행속도를 설정하기 위해서 고군분투하고 있으며 상당한 수준의 변화를 이끌어낼 수 있는 자원이나 비즈니스적 영향력을 가지고 있지 못할 수도 있다.

중간 단계의 분류는 ‘보호자(Protectors)’로 응답자의 47%가 속해 있었다. 반 자델로프는 “보호자들은 보안이 전략적 우선순위라는 사실을 인지하고 있다. 하지만 기업의 보안 접근방식을 변화시키기 위한 메트릭스적(Metrics) 관점과 예산이 없는 상태다”라고 말했다.

가장 앞선 사고방식을 가진 보안 책임자들은 영향력을 행사하는 사람(Influencers)들로 응답자의 25%가 속해있었다. 영향력을 행사하는 사람들은 기업 내에서 비즈니스적 영향력과 통제권을 수반하는 전략적 목소리를 가지고 있다.

IBM은 보안 전담 조직과 관리, 전사적인 보안의 영향력, 정량적인 효과 측정 등 보안 프로파일을 구축하면서 이 3가지 범주를 탐구했다.

체계적인 보안 조직과 관리
영향력을 행사하는 CSIO와 보호자에 속하는 CISO가 대응자와 구분되는 가장 큰 특징은 전략적이며 기업 전반적인 시야를 가진 보안관 역할을 위한 보안전담 책임자가 존재한다는 점이다. 영향력을 행사하는 CSIO가 있는 기업은 이들을 공식적으로 임명할 가능성이 높다. 왜냐하면 고위 관리직들이 조직화된 접근방식의 필요성을 인식하기 때문이라고 반 자델로프는 설명했다.


X