Offcanvas

리더십|조직관리 / 보안

성공하는 CISO의 3가지 공통점

2012.05.07 Thor Olavsrud   |  CIO

"많은 기업들이 공식적으로 임명된 CISO를 두지 않는다"라고 반 자델로프는 말했다. "조사에 응한 기업들 중 절반 정도가 이런 역할을 담당하는 사람이 없는 것으로 나타났다. 이런 역할을 담당하는 영향력을 행사하는 사람을 확보한 기업은 단순히 대응자를 확보한 기업과는 달리 전담 CISO를 두는 경향이 있다."

또한 보안에 대해 선진적인 기업들일수록 고위 임원이 이끄는 보안 위원회를 보유하는 것으로 조사됐다. CISO가 전체적으로 보안 문제를 평가하고 통합된 기업 전략을 개발하는 역할을 담당하기도 한다. 보안/위험 위원회는 법무, 경영 활동, 재무, 인력 등의 기능을 포괄하는 체계적인 변화를 책임지고 있다. 특히 대응자적 기업들에는 CISO와 보안 위원회가 부재한 경우가 종종 있다.

IBM은 보안 전담 책임자와 보안 위원회가 없는 기업들이 보안에 대해 좀 더 전술적이고 분열된 접근방식을 갖는다고 말했다.

"여기서 우리는 성공하는 CISO와 실패하는 CISO 사이의 많은 차이점을 발견할 수 있다"라고 반 자델로프는 지적했다. "성공하는 CISO들은 보안과 관련 없는 경영진으로부터 지원을 받는다."

또한 영향력을 행사하는 기업들은 보안 예산 전담 항목을 가지고 있다. 기관의 범주에 따라 CIO들은 예산을 관리하지만 보호자와 영향력을 행사하는 사람들은 이런 권한을 현업 임원들에게 이양하기도 한다. 영향력을 행사하는 기업들 중에서 CEO들은 CIO들과 마찬가지로 정보 보안 예산을 조정한다. 반 자델로프는 예산 전담 항목이 없을 경우 보안 기관은 특정 기능이나 사일로에 대한 계획의 범위를 재정적으로 지원하거나 그 범위를 정하기 위해 끊임없이 협상할 수 밖에 없다고 말했다.

전사적인 보안의 영향력
IBM은 가장 발전적인 보안 체계를 갖춘 기업들은 단기적인 주제가 아니라 비즈니스적 논의의 규칙적인 부분으로서 현업 임원과 이사회의 관심을 받고 있다고 밝혔다. 이를 통해 CISO들은 기업 전반의 교육, 협업, 의사소통에 노력을 집중할 수 있게 된다.

사실 전략 지향적인 대응자들이 보안 격차를 줄이기 위해 새로운 보안 기술, 비즈니스 프로세스의 재설계, 새로운 인력 채용 등 기초적인 부분에 초점을 맞추는 반면에, 영향력을 행사하는 기업들은 직원들이 기업을 보호하는데 좀 더 선제적인 역할을 담당할 수 있는 ‘문화 형성’에 초점을 맞추는 것으로 조사됐다.

그리고 IBM은 현업과의 확대된 통합을 통해 새로운 제품과 서비스의 설계에 영향력을 행사할 수 있는 추가적인 능력을 확보할 수 있으며 그 결과 제품과 서비스의 개발 단계부터 보안을 고려하게 된다고 밝혔다.
 

CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.