최고 보안 임원에게 자율권을 제공하라
IT와 보안을 더욱 긴밀하게 한다고 해서 보안 임원의 권한을 빼앗아서는 안 된다. 사실, 전략적 측면에서 볼 때 오히려 더 많은 권한을 제공해야 한다.
스토리지, 서버, 네트워킹 하드웨어를 위한 유지보수 서비스를 제공하는 PPT(Park Place Technologies)에서 IT 전략 및 IT 보안 전략은 긴밀히 통합되어 있으며 사이버 보안 책임자들이 핵심적인 역할을 담당한다고 회사의 CIO 마이클 칸터가 말했다.
그는 "우리의 정보 보안 책임자는 연례 예산 사이클을 포함하여 모든 전략적 논의에 참여한다. 그는 5개년 보안 로드맵을 수립했고 여기에는 해당 년도 중 기대하는 진행상황을 달성하기 위해 각 보안 기능에 대한 목표가 포함되어 있다"라고 전했다.
예를 들어, PPT의 보안 책임자가 보유한 목표 중 하나는 회사가 더 낮은 비용으로 더욱 자주 스캔할 수 있도록 취약성 스캔에 대한 내부적인 역량을 높이는 것이다. 특히, 이 목표는 인프라 측면의 2019년 목표에 통합되어 있다. 그리고 이것은 해당 기술을 이용해 더욱 자주 스캔하는 것에 초점을 둔 내부적인 스캔 기술과 프로젝트의 이행으로 이어진다고 칸터가 전했다.
보안 부문은 조직 내 적절한 위치를 가져야 하며, CEO는 아니더라도 최소한 CIO에게 보고해야 한다고 칸터는 덧붙였다. 그는 "인프라 등 다른 IT 기능 내부에서 억압받지 않고 보안의 목소리를 내기 위해서는 독립성이 필요하다"라고 말했다.
통합에 대한 고위 임원의 후원이 필요
고위직의 지원이 없어 방향을 잃은 계획들은 무수히 많다. IT와 보안의 통합 역시 같은 운명에 처할 수 있다.
글로벌 가구 설계 및 제조 기업 하워스(Haworth)의 프라이버시 책임자 조 카다몬은 "이사회, 임원진, 리더십팀의 지원을 확보하라. 인터넷상에 정보 보안 아키텍처 및 전략의 조기 통합의 이점에 대한 많은 정보가 존재한다"라고 말했다.
카다몬은 혜택을 입증하고 리더십의 승인과 지원을 획득하면 장벽을 무너뜨리는데 도움이 된다고 설명하며, 고위 임원이 보안의 가치를 이해하는 경우 IT와 보안 통합의 가치를 알아볼 가능성이 높다고 전했다.
그는 "정보 보안이 워크플로의 또 다른 장애물이 아니라 비즈니스에 어떻게 도움이 될 수 있는지 보여주라"라고 말했다.
IT와 보안이 각각 고위 임원에 대한 직접적인 접촉점을 가지고 있다면 더욱 좋다. 전기 도급기업 RE(Rosendin Electric)에서는 이런 직접적인 관계이 반드시 필요하다고 사이버 보안 및 준수성 고위 책임자 제임스 맥기브니가 말했다.
그는 "다행히도 우리의 사이버 보안 그룹은 IT 조직 내에 속해 있고 CIO와 CEO에게 직접 보고한다. 그들은 모든 임원들과 함께 진행 중인 IT 및 보안 프로젝트를 적극 지원하고 있다"라고 말했다.