2020.03.16

중요한 6가지, 버려야 할 4가지··· '보안 지표'에 대한 전문가들의 제안

Mary K. Pratt | CSO
CISO에게 있어서 가장 어려운 경영 과제가 있다면, 아마 사이버 보안 기능의 성공과 가치를 정량화하는 것일 터다. 

그동안 보안 조직은 다양한 지표를 사용해왔다. 그럼에도 불구하고 많은 임원과 이사회 구성원들이 이런 조치가 보안 부서의 성과, 개선 수준, 부족한 점 등에 대한 적절한 통찰 또는 이해를 제공하지 못한다고 불평하고 있다.

보안기업 스피어팁(SpearTip)의 사장 겸 CEO 자렛 콜토프는 “보안 전문가들이 아직도 현업 임원과 이사회에 너무 많은 기술 용어를 제시하고 있다. CISO들은 여전히 이사회에 치명적인 취약점과 패치의 수에 관해 이야기하고 있지만 이사회는 적절한 맥락이 제공되지 않기 때문에 그걸 이해하지 못한다”라고 말했다.

그리고 그는 “이런 수치가 CISO에게는 의미 있을 수 있지만 CISO는 이사회가 위험과 필요한 보안 투자 수준을 이해할 수 있도록 맥락을 제공하는 [지표를 개발하기 위해] 노력해야 한다”라고 덧붙였다.

콜토프를 포함한 사이버 보안 전문가들에 따르면 보안 노력이 얼마나 성과를 내고 있으며 시간이 지남에 따라 개선되고 있는지 여부를 입증할 수 있는 단일 지표는 없다. 하지만 다른 것들보다 유용한 지표 또는 적절한 조치와 설명의 조합이 있다.
 
출처 : https://pixabay.com/photos/dashboard-speedometer-gauge-dial-3300706


기업에 중요한 보안 지표
기술 기업 아르미스(Armis)의 CISO이자 전 시스코 푸드(Sysco Foods)의 CISO 커티스 심슨은 보안이 중요해지고 이사회의 의제로 부상하는 현실을 고려할 때 지표가 그 어느 때보다도 중요하다고 생각한다.

하지만 다른 사람들과 마찬가지로 심슨은 적절한 지표를 확보하는 것이 중요하다고 말했다. 그는 “나는 기업이 실제로 관심을 갖는 지표를 선호한다”라고 말했다. 그런 의미에서 그는 기업이 목표를 달성하는데 보안이 얼마나 도움이 되는지 설명하는 조치를 추구한다.

시스코에서 그가 사용했던 지표도 이를 감안해 설정됐다. 그는 “나는 위험이 높으면 목표의 결과에 어떤 영향을 미치는지 설명하는 이야기를 해야 했다”라고 설명했다.

공격의 수에 대해 보고하는 대신에 그는, 이런 공격이 생산성과 운영 등의 영역에 미치는 영향을 측정하고 어떤 개선을 얼마의 비용으로 제공할 수 있으며 그것이 어떻게 위험을 낮추고 궁극적으로 비즈니스 영향에 대한 지표를 개선하는지 입증하고자 했다. 이 모든 것이 회사의 궁극적인 목표였던 상시 고객 지원을 위한 것이었다.

심슨은 “기업이 달성하고자 하는 것에 관해 이야기하기 때문에 매번 이목이 집중되었다”라고 말했다.

심슨은 자신이 사용한 지표가 다른 CISO에게는 효과가 없을 수 있다고 인정했다. 그는 보안 관련 비즈니스 영향, 주요 목표에 대한 위험, 시간에 따른 완화 성공을 측정하는데 도움이 될 수 있는 지표를 찾으라고 조언했다.

다른 전문가들은 그런 조치가 비즈니스 스토리를 얼마나 강조하며 CISO가 문제 그리고 나아가 비즈니스 목표를 해결하기 위해 무엇을 하고 있는지 보여주는 방식도 중요하다는데 동의했다.

IT-하비스트의 수석 조사 분석가 겸 2020년 보안연감(Security Yearbook 2020)의 저자 리차드 스티에논은 위협을 추적하고 그것들을 낮은 수준부터 범주화하며 이에 대해 비즈니스 경쟁력으로 삼았던 기업과 일했던 경험을 공유했다. 

설명에 따르면 해당 기업은 무의미한 경우가 많은 ‘위협 수’를 대신해 다른 임원들과 이사회 구성원들이 이해하고 활용하여 보안 개선 투자에 대한 유의미한 의사를 결정할 수 있는 맥락을 제공했다고 말했다.

스티에논은 “여기에서 얻은 교훈은 수치를 넘어 모두에게 중요한 용어에 집중하라는 것이다”라고 덧붙였다.  

다른 사람들도 유사한 조언을 제공했다. MSS(Murray Security Services)의 사장 겸 CEO이자 ISSA의 COO인 숀 P. 머레이는 “지표를 조직 내의 핵심 비즈니스 기능과 일치시키는 것이 이사회에는 정말로 중요하다. CISO가 사업부들과 협력하여 기업의 성공을 위해 어떤 주요 프로세스를 유지해야 하는지 이해하는 것이 중요하다. 우리는 적절한 것을 측정하는 방법을 사용한다”라고 말했다.

그는 CISO가 자산과 목표에 걸맞은 정보 분류에 따라 핵심 위험 지표를 수립해야 한다고 조언했다.

가령 조직의 보안 목표가 중단 최소화인 경우라면 이와 관련된 측정 및 추적이 가능한 목표를 세워야 한다. 조직이 기술 배치에 따른 보안 개선을 원하는 경우 CISO는 보안팀이 기술 관련 조달에 참여하는 방법, 시긴, 장소와 이런 것들이 시간이 지남에 따라 어떻게 개선되는지를 보여주는 측정값을 생성하고 추적할 수 있다.

사용자 만족도도 고려해야 할 지표라고 30년 경력의 IT 사이버 보안 책임자이자 현 시큐어오스(SecureAuth)의 CISO 빌 하머가 말했다. “보안의 핵심은 언제나 그랬듯이 사용성과 보안의 균형이며 앞으로도 그럴 것이다”라고 그는 말하면서, 사용성 문제가 의도한 보안 이점을 무력화시키는 우회책으로 치닫게 만드는 경우가 많다고 지적했다.

CISO가 실제로 정량화 가능한 정보를 산출하고 실제로 데이터를 획득하여 이런 측정값을 일관되게 생성할 수 있다. 다음으로 중요한 것은 비즈니스 목표와 관련하여 보안의 효과성을 측정하는 영역을 찾는 것이다. 

머레이는 “CISO의 포트폴리오의 모든 기능은 기업의 니즈와 일치해야 하며 CISO는 그 일치도를 이해해야 한다. 일치도를 이해하고 나면 CISO는 조직 전체의 전략이 적절히 정리되며 기업이 기대했던 수준의 성공을 제공하도록 하기 위해 그의 목표의 성과를 측정하는 적절한 지표를 수립할 수 있다”라고 덧붙였다.

여전히 중요한 6가지 전통적인 지표
비즈니스 목표와 관련하여 보안을 평가하는 지표가 더 많이 활용되고 있기는 하지만, 베테랑 CISO 및 보안 관리 자문가들은 역사적으로 보안팀이 활용했던 많은 지표가 여전히 가치 있다고 말했다.




2020.03.16

중요한 6가지, 버려야 할 4가지··· '보안 지표'에 대한 전문가들의 제안

Mary K. Pratt | CSO
CISO에게 있어서 가장 어려운 경영 과제가 있다면, 아마 사이버 보안 기능의 성공과 가치를 정량화하는 것일 터다. 

그동안 보안 조직은 다양한 지표를 사용해왔다. 그럼에도 불구하고 많은 임원과 이사회 구성원들이 이런 조치가 보안 부서의 성과, 개선 수준, 부족한 점 등에 대한 적절한 통찰 또는 이해를 제공하지 못한다고 불평하고 있다.

보안기업 스피어팁(SpearTip)의 사장 겸 CEO 자렛 콜토프는 “보안 전문가들이 아직도 현업 임원과 이사회에 너무 많은 기술 용어를 제시하고 있다. CISO들은 여전히 이사회에 치명적인 취약점과 패치의 수에 관해 이야기하고 있지만 이사회는 적절한 맥락이 제공되지 않기 때문에 그걸 이해하지 못한다”라고 말했다.

그리고 그는 “이런 수치가 CISO에게는 의미 있을 수 있지만 CISO는 이사회가 위험과 필요한 보안 투자 수준을 이해할 수 있도록 맥락을 제공하는 [지표를 개발하기 위해] 노력해야 한다”라고 덧붙였다.

콜토프를 포함한 사이버 보안 전문가들에 따르면 보안 노력이 얼마나 성과를 내고 있으며 시간이 지남에 따라 개선되고 있는지 여부를 입증할 수 있는 단일 지표는 없다. 하지만 다른 것들보다 유용한 지표 또는 적절한 조치와 설명의 조합이 있다.
 
출처 : https://pixabay.com/photos/dashboard-speedometer-gauge-dial-3300706


기업에 중요한 보안 지표
기술 기업 아르미스(Armis)의 CISO이자 전 시스코 푸드(Sysco Foods)의 CISO 커티스 심슨은 보안이 중요해지고 이사회의 의제로 부상하는 현실을 고려할 때 지표가 그 어느 때보다도 중요하다고 생각한다.

하지만 다른 사람들과 마찬가지로 심슨은 적절한 지표를 확보하는 것이 중요하다고 말했다. 그는 “나는 기업이 실제로 관심을 갖는 지표를 선호한다”라고 말했다. 그런 의미에서 그는 기업이 목표를 달성하는데 보안이 얼마나 도움이 되는지 설명하는 조치를 추구한다.

시스코에서 그가 사용했던 지표도 이를 감안해 설정됐다. 그는 “나는 위험이 높으면 목표의 결과에 어떤 영향을 미치는지 설명하는 이야기를 해야 했다”라고 설명했다.

공격의 수에 대해 보고하는 대신에 그는, 이런 공격이 생산성과 운영 등의 영역에 미치는 영향을 측정하고 어떤 개선을 얼마의 비용으로 제공할 수 있으며 그것이 어떻게 위험을 낮추고 궁극적으로 비즈니스 영향에 대한 지표를 개선하는지 입증하고자 했다. 이 모든 것이 회사의 궁극적인 목표였던 상시 고객 지원을 위한 것이었다.

심슨은 “기업이 달성하고자 하는 것에 관해 이야기하기 때문에 매번 이목이 집중되었다”라고 말했다.

심슨은 자신이 사용한 지표가 다른 CISO에게는 효과가 없을 수 있다고 인정했다. 그는 보안 관련 비즈니스 영향, 주요 목표에 대한 위험, 시간에 따른 완화 성공을 측정하는데 도움이 될 수 있는 지표를 찾으라고 조언했다.

다른 전문가들은 그런 조치가 비즈니스 스토리를 얼마나 강조하며 CISO가 문제 그리고 나아가 비즈니스 목표를 해결하기 위해 무엇을 하고 있는지 보여주는 방식도 중요하다는데 동의했다.

IT-하비스트의 수석 조사 분석가 겸 2020년 보안연감(Security Yearbook 2020)의 저자 리차드 스티에논은 위협을 추적하고 그것들을 낮은 수준부터 범주화하며 이에 대해 비즈니스 경쟁력으로 삼았던 기업과 일했던 경험을 공유했다. 

설명에 따르면 해당 기업은 무의미한 경우가 많은 ‘위협 수’를 대신해 다른 임원들과 이사회 구성원들이 이해하고 활용하여 보안 개선 투자에 대한 유의미한 의사를 결정할 수 있는 맥락을 제공했다고 말했다.

스티에논은 “여기에서 얻은 교훈은 수치를 넘어 모두에게 중요한 용어에 집중하라는 것이다”라고 덧붙였다.  

다른 사람들도 유사한 조언을 제공했다. MSS(Murray Security Services)의 사장 겸 CEO이자 ISSA의 COO인 숀 P. 머레이는 “지표를 조직 내의 핵심 비즈니스 기능과 일치시키는 것이 이사회에는 정말로 중요하다. CISO가 사업부들과 협력하여 기업의 성공을 위해 어떤 주요 프로세스를 유지해야 하는지 이해하는 것이 중요하다. 우리는 적절한 것을 측정하는 방법을 사용한다”라고 말했다.

그는 CISO가 자산과 목표에 걸맞은 정보 분류에 따라 핵심 위험 지표를 수립해야 한다고 조언했다.

가령 조직의 보안 목표가 중단 최소화인 경우라면 이와 관련된 측정 및 추적이 가능한 목표를 세워야 한다. 조직이 기술 배치에 따른 보안 개선을 원하는 경우 CISO는 보안팀이 기술 관련 조달에 참여하는 방법, 시긴, 장소와 이런 것들이 시간이 지남에 따라 어떻게 개선되는지를 보여주는 측정값을 생성하고 추적할 수 있다.

사용자 만족도도 고려해야 할 지표라고 30년 경력의 IT 사이버 보안 책임자이자 현 시큐어오스(SecureAuth)의 CISO 빌 하머가 말했다. “보안의 핵심은 언제나 그랬듯이 사용성과 보안의 균형이며 앞으로도 그럴 것이다”라고 그는 말하면서, 사용성 문제가 의도한 보안 이점을 무력화시키는 우회책으로 치닫게 만드는 경우가 많다고 지적했다.

CISO가 실제로 정량화 가능한 정보를 산출하고 실제로 데이터를 획득하여 이런 측정값을 일관되게 생성할 수 있다. 다음으로 중요한 것은 비즈니스 목표와 관련하여 보안의 효과성을 측정하는 영역을 찾는 것이다. 

머레이는 “CISO의 포트폴리오의 모든 기능은 기업의 니즈와 일치해야 하며 CISO는 그 일치도를 이해해야 한다. 일치도를 이해하고 나면 CISO는 조직 전체의 전략이 적절히 정리되며 기업이 기대했던 수준의 성공을 제공하도록 하기 위해 그의 목표의 성과를 측정하는 적절한 지표를 수립할 수 있다”라고 덧붙였다.

여전히 중요한 6가지 전통적인 지표
비즈니스 목표와 관련하여 보안을 평가하는 지표가 더 많이 활용되고 있기는 하지만, 베테랑 CISO 및 보안 관리 자문가들은 역사적으로 보안팀이 활용했던 많은 지표가 여전히 가치 있다고 말했다.


X