2019.10.17

"CEO와 CISO, 서로 다른 보안 세상에서 산다"

Byron Connolly | CIO Australia
호주 CEO 중 상당수가 자사에 대한 사이버 보안 위협에 대해 무지하거나 혹은 의도적으로 외면하고 있다는 조사 결과가 나왔다.
 
ⓒ Getty Images Bank

유니시스(Unisys)가 직원 수 200명 이하의 공공기관과 민간 기업의 CEO 88명과 CISO 54명을 설문 조사한 결과, CEO의 6%만이 지난 1년 새 데이터 유출로 어려움을 겪었다고 답했다. 같은 질문에 63%라고 답한 CISO와 비교해 큰 차이가 있었다. 또한, CEO의 44%는 자신의 기업이 사이버 위협에 실시간으로 대응할 수 있다고 답한 반면, 같은 질문에 대한 CISO의 응답은 26%에 그쳤다.

자사의 데이터 수집 정책에 대해서도 비슷했다. CEO의 절반인 51%는 고객과 사용자에게 명확하게 설명했다고 느끼는 반면, CISO는 26%에 불과했다. 데이터 수집에 대한 호주 프라이버시 법을 준수하고 있다는 응답도 CEO는 14%였지만 CISO는 절반인 7%에 그쳤다.

이번 조사 결과는 기업 내 핵심 임원인 CEO와 CISO 사이에 심각한 소통의 부족이 있음을 잘 보여준다. 유니시스 호주/뉴질랜드의 사이버 보안 담당 저가나 키야코보는 "일반적으로 CISO는 CIO와 CRO(chief revenue officer) 또는 CFO에 보고한다. 그리고 CEO는 다른 이해당사자로부터 정보를 받는 사람이다. 하지만 이번 조사 결과를 보면 이러한 관계가 단절된 것으로 보인다"라고 말했다.

실제로 조사 결과를 보면 사업 계획에 있어서도 거대한 단절이 존재하는 것을 알 수 있다. CEO의 27%가 사이버 보안이 사업계획에 포함돼 있다고 답했다. 반면 CISO는 69%였다. 키야코보는 "조사 결과만 보면 CEO와 CISO가 서로 이야기를 하지 않는 것처럼 보인다. 최소한 둘 간에 의사소통이 부족한 것은 분명하다. 이번 설문에 응답한 CEO의 1/3은 사이버 보안이 IT 혹은 운영 이슈라고 생각하는 것으로 나타났다. 따라서 비즈니스 우선순위가 높은 문제로 생각하지 않고, 결국 사업 계획의 일부로 포함하지 않는다"라고 말했다.

CEO와 CISO는 사이버 정보 유출의 정의에 대해서도 인식의 차이를 드러냈다. 키야코보는 "CISO는 메타 데이터 탈취 역시 데이터 유출의 일종으로 볼 수 있다고 답한 반면 CEO는 그렇지 않았다. 이를 개선하려면 효율적인 의사소통과 데이터 유출에 대한 정의의 공유가 필요하다. 이는 정확한 의사소통을 통해서 가능하다"라고 말했다.

키야코보는 사이버 보안 프로그램 관련해서 CEO에 가장 필요한 것으로, 향후 10년 동안은 계속 유지해야 할 '단호함'이라고 말했다. 점점 더 많은 CEO가 기술 전문성을 갖게 될 것이고 이사회 전반에서도 같은 현상이 나타날 것이기 때문이다. 그는 "AICD(Australian Institute o 유니시스는 워크숍을 통해 기업 이사회 구성원을 대상으로 사이버 보안에 대해 교육하고 있다. 이것은 절차의 문제로, 계속 진행해야 하는 일종의 '여정'이다. 그들의 기업 어젠더에서 명확하게 사이버 보안의 우선순위를 높이는 의사결정을 해야 한다"라고 말했다.

물론 아직은 갈 길이 멀어 보인다. 이번 조사에서 기업의 25%는 사이버보안에 대해 이사회 구성원에게 정기적으로 보고하지 않는다고 답했다. ciokr@idg.co.kr



2019.10.17

"CEO와 CISO, 서로 다른 보안 세상에서 산다"

Byron Connolly | CIO Australia
호주 CEO 중 상당수가 자사에 대한 사이버 보안 위협에 대해 무지하거나 혹은 의도적으로 외면하고 있다는 조사 결과가 나왔다.
 
ⓒ Getty Images Bank

유니시스(Unisys)가 직원 수 200명 이하의 공공기관과 민간 기업의 CEO 88명과 CISO 54명을 설문 조사한 결과, CEO의 6%만이 지난 1년 새 데이터 유출로 어려움을 겪었다고 답했다. 같은 질문에 63%라고 답한 CISO와 비교해 큰 차이가 있었다. 또한, CEO의 44%는 자신의 기업이 사이버 위협에 실시간으로 대응할 수 있다고 답한 반면, 같은 질문에 대한 CISO의 응답은 26%에 그쳤다.

자사의 데이터 수집 정책에 대해서도 비슷했다. CEO의 절반인 51%는 고객과 사용자에게 명확하게 설명했다고 느끼는 반면, CISO는 26%에 불과했다. 데이터 수집에 대한 호주 프라이버시 법을 준수하고 있다는 응답도 CEO는 14%였지만 CISO는 절반인 7%에 그쳤다.

이번 조사 결과는 기업 내 핵심 임원인 CEO와 CISO 사이에 심각한 소통의 부족이 있음을 잘 보여준다. 유니시스 호주/뉴질랜드의 사이버 보안 담당 저가나 키야코보는 "일반적으로 CISO는 CIO와 CRO(chief revenue officer) 또는 CFO에 보고한다. 그리고 CEO는 다른 이해당사자로부터 정보를 받는 사람이다. 하지만 이번 조사 결과를 보면 이러한 관계가 단절된 것으로 보인다"라고 말했다.

실제로 조사 결과를 보면 사업 계획에 있어서도 거대한 단절이 존재하는 것을 알 수 있다. CEO의 27%가 사이버 보안이 사업계획에 포함돼 있다고 답했다. 반면 CISO는 69%였다. 키야코보는 "조사 결과만 보면 CEO와 CISO가 서로 이야기를 하지 않는 것처럼 보인다. 최소한 둘 간에 의사소통이 부족한 것은 분명하다. 이번 설문에 응답한 CEO의 1/3은 사이버 보안이 IT 혹은 운영 이슈라고 생각하는 것으로 나타났다. 따라서 비즈니스 우선순위가 높은 문제로 생각하지 않고, 결국 사업 계획의 일부로 포함하지 않는다"라고 말했다.

CEO와 CISO는 사이버 정보 유출의 정의에 대해서도 인식의 차이를 드러냈다. 키야코보는 "CISO는 메타 데이터 탈취 역시 데이터 유출의 일종으로 볼 수 있다고 답한 반면 CEO는 그렇지 않았다. 이를 개선하려면 효율적인 의사소통과 데이터 유출에 대한 정의의 공유가 필요하다. 이는 정확한 의사소통을 통해서 가능하다"라고 말했다.

키야코보는 사이버 보안 프로그램 관련해서 CEO에 가장 필요한 것으로, 향후 10년 동안은 계속 유지해야 할 '단호함'이라고 말했다. 점점 더 많은 CEO가 기술 전문성을 갖게 될 것이고 이사회 전반에서도 같은 현상이 나타날 것이기 때문이다. 그는 "AICD(Australian Institute o 유니시스는 워크숍을 통해 기업 이사회 구성원을 대상으로 사이버 보안에 대해 교육하고 있다. 이것은 절차의 문제로, 계속 진행해야 하는 일종의 '여정'이다. 그들의 기업 어젠더에서 명확하게 사이버 보안의 우선순위를 높이는 의사결정을 해야 한다"라고 말했다.

물론 아직은 갈 길이 멀어 보인다. 이번 조사에서 기업의 25%는 사이버보안에 대해 이사회 구성원에게 정기적으로 보고하지 않는다고 답했다. ciokr@idg.co.kr

X