2014.05.09

현직 CIO·CISO가 말하는 '이사회에서 보안 문제 논의하는 방법'

Hamish Barwick | CIO Australia
이사회에서 보안 문제를 거론할 때 CIO와 CSO는 IT약어들을 사용하지 말고 파워포인트를 활용해 스토리 텔링 기법으로 이야기해야 한다고 현직 CIO들이 몇 가지 팁을 공유했다.


ANZ 뱅킹 그룹의 글로벌 기술 리스크 및 정보 보안 총괄인 데이비드 피셔(왼쪽), GPT 그룹 CIO 그렉 버스터(가운데), 호주 우체국 CISO 트로이 브라반(오른쪽)
사진 : 하노버 페어의 넬 던칸


세빗 호주 컨퍼런스의 부대행사로 열린 패널 토의에서 현직 CIO와 CISO가 패널로 참여해 현업 부문에서만 경력을 쌓은 이사진들 앞에서 보안 문제를 어떻게 정리해서 발표했는지에 각자의 경험담을 이야기했다.

패널 중 한 사람인 GPT 그룹 CIO 그렉 버스터는 "사이버 보안 규모에서 회사가 어디에 있는지 평가해 단순하고 정확하게 지적한다”고 이야기를 시작했다. "대체로 나는 IT약어를 사용하지 않는다. 그러고 가능한 보안을 시각화해서 보여줄수록 좋다"라고 그는 덧붙였다.

버스터는 CIO에게 기술 용어로 이야기하기보다는 사이버보안 개념을 단순화하고 나누기 위해 파워포인트 장표를 사용할 것을 권했다.

"재무적인 숫자로 설명하는 것도 좋다. 보안 개선하는 비용 대비 위험 비용을 비교해 설명하는 것도 투자를 정당화 하는 좋은 방법이다"고 버스터는 말했다.

이밖에, 2014년 4월 주류 언론사를 공격했던 하트블리드 버그 같은 사건도 이사진들과 이야기를 나누는데 도움이 됐다고 그는 덧붙였다.

시드니 모닝 헤럴드는 마이어 비자 카드, 마이어 카드 포털 및 콜스 마스터카드 등 GE 자본으로 운영되는 금융 웹 사이트들이 하트블리드 보안 버그에 취약하다고 밝힌 바 있는데 버스터는 이 정보를 이용해 이사진들과 자연스럽게 대화를 나눴다고 전했다.

"우리는 규제 준수만 집중하는 게 아니라 앞으로 닥칠 많은 보안에 대해 선제적으로 대응할 것이다"라고 버스터는 강조했다.

2년 전 디지털/온라인 서비스가 사이버 범죄자의 위협을 받고 있을 수 있다는 인식해 호주 우체국은 트로이 브라반을 CISO로 임명했다.

그는 정기적으로 이사회에 출석하고 이사진들에게 매월 사이버 보안 보고서를 제출하고 있다고 밝혔다.

"우리가 사이버 보안 문제와 위험을 어떻게 관리할 지 논의하는 다양한 포럼들이 있다"라고 브라반은 말했다.

브라반은 CISO가 사이버 보안에 관해 ‘두려움, 불확실성’ 의심[FUD]’이라는 카드를 써서는 안된다고 주장했다.

"이사회는 비즈니스 전략과 그 안에서 보안의 역할에 관심이 있기 때문에 CIO는 비즈니스를 구현하는 방법에 초점을 맞춰야 한다"라고 그는 강조했다.

그 역시 하트블리드 같은 실제 보안 사례로 이사진들과 이야기한다는 버스터의 의견에 동의했다.

은행 온라인 사이트를 공격하는 사이버 범죄자의 증가는 ANZ 뱅킹 그룹의 이사회가 사이버 보안에 대해 심각하게 인식한다는 것을 뜻한다고 ANZ 뱅킹 그룹의 글로벌 기술 리스크 및 정보 보안 총괄인 데이비드 피셔는 말했다.

"우리는 온라인 뱅킹 같은 여러 서비스를 디지털화 하고 있으며 이는 가장 큰 위협을 가진 기술이기도 하다"고 피셔는 전했다.

피셔 역시 이사회에서 발표할 때 보안 전문가들이 기술적인 대화를 피해야 한다는 버스터와 브라반의 의견에 합의했다.

“기술적인 주제에 대해 말할 때 어떤 것을 시각화해서 보여주는 게 훨씬 더 쉽다. 스토리 텔링은 더 좋다. 그리고  적절한 비유도 잘 통할 것이다. 사람들에게 딱 맞는, 개인적인 관심을 갖는 것에 비유하면 더 좋다"라고 피셔는 설명했다.

피셔는 기업이 방화벽 및 기타 주변 방어 네트워크에 투자해야 하는 이유를 설명하는 방법으로 무방비 상태의 성에 비유하는 것이 도움이 될 것이라고 덧붙였다. ciokr@idg.co.kr



2014.05.09

현직 CIO·CISO가 말하는 '이사회에서 보안 문제 논의하는 방법'

Hamish Barwick | CIO Australia
이사회에서 보안 문제를 거론할 때 CIO와 CSO는 IT약어들을 사용하지 말고 파워포인트를 활용해 스토리 텔링 기법으로 이야기해야 한다고 현직 CIO들이 몇 가지 팁을 공유했다.


ANZ 뱅킹 그룹의 글로벌 기술 리스크 및 정보 보안 총괄인 데이비드 피셔(왼쪽), GPT 그룹 CIO 그렉 버스터(가운데), 호주 우체국 CISO 트로이 브라반(오른쪽)
사진 : 하노버 페어의 넬 던칸


세빗 호주 컨퍼런스의 부대행사로 열린 패널 토의에서 현직 CIO와 CISO가 패널로 참여해 현업 부문에서만 경력을 쌓은 이사진들 앞에서 보안 문제를 어떻게 정리해서 발표했는지에 각자의 경험담을 이야기했다.

패널 중 한 사람인 GPT 그룹 CIO 그렉 버스터는 "사이버 보안 규모에서 회사가 어디에 있는지 평가해 단순하고 정확하게 지적한다”고 이야기를 시작했다. "대체로 나는 IT약어를 사용하지 않는다. 그러고 가능한 보안을 시각화해서 보여줄수록 좋다"라고 그는 덧붙였다.

버스터는 CIO에게 기술 용어로 이야기하기보다는 사이버보안 개념을 단순화하고 나누기 위해 파워포인트 장표를 사용할 것을 권했다.

"재무적인 숫자로 설명하는 것도 좋다. 보안 개선하는 비용 대비 위험 비용을 비교해 설명하는 것도 투자를 정당화 하는 좋은 방법이다"고 버스터는 말했다.

이밖에, 2014년 4월 주류 언론사를 공격했던 하트블리드 버그 같은 사건도 이사진들과 이야기를 나누는데 도움이 됐다고 그는 덧붙였다.

시드니 모닝 헤럴드는 마이어 비자 카드, 마이어 카드 포털 및 콜스 마스터카드 등 GE 자본으로 운영되는 금융 웹 사이트들이 하트블리드 보안 버그에 취약하다고 밝힌 바 있는데 버스터는 이 정보를 이용해 이사진들과 자연스럽게 대화를 나눴다고 전했다.

"우리는 규제 준수만 집중하는 게 아니라 앞으로 닥칠 많은 보안에 대해 선제적으로 대응할 것이다"라고 버스터는 강조했다.

2년 전 디지털/온라인 서비스가 사이버 범죄자의 위협을 받고 있을 수 있다는 인식해 호주 우체국은 트로이 브라반을 CISO로 임명했다.

그는 정기적으로 이사회에 출석하고 이사진들에게 매월 사이버 보안 보고서를 제출하고 있다고 밝혔다.

"우리가 사이버 보안 문제와 위험을 어떻게 관리할 지 논의하는 다양한 포럼들이 있다"라고 브라반은 말했다.

브라반은 CISO가 사이버 보안에 관해 ‘두려움, 불확실성’ 의심[FUD]’이라는 카드를 써서는 안된다고 주장했다.

"이사회는 비즈니스 전략과 그 안에서 보안의 역할에 관심이 있기 때문에 CIO는 비즈니스를 구현하는 방법에 초점을 맞춰야 한다"라고 그는 강조했다.

그 역시 하트블리드 같은 실제 보안 사례로 이사진들과 이야기한다는 버스터의 의견에 동의했다.

은행 온라인 사이트를 공격하는 사이버 범죄자의 증가는 ANZ 뱅킹 그룹의 이사회가 사이버 보안에 대해 심각하게 인식한다는 것을 뜻한다고 ANZ 뱅킹 그룹의 글로벌 기술 리스크 및 정보 보안 총괄인 데이비드 피셔는 말했다.

"우리는 온라인 뱅킹 같은 여러 서비스를 디지털화 하고 있으며 이는 가장 큰 위협을 가진 기술이기도 하다"고 피셔는 전했다.

피셔 역시 이사회에서 발표할 때 보안 전문가들이 기술적인 대화를 피해야 한다는 버스터와 브라반의 의견에 합의했다.

“기술적인 주제에 대해 말할 때 어떤 것을 시각화해서 보여주는 게 훨씬 더 쉽다. 스토리 텔링은 더 좋다. 그리고  적절한 비유도 잘 통할 것이다. 사람들에게 딱 맞는, 개인적인 관심을 갖는 것에 비유하면 더 좋다"라고 피셔는 설명했다.

피셔는 기업이 방화벽 및 기타 주변 방어 네트워크에 투자해야 하는 이유를 설명하는 방법으로 무방비 상태의 성에 비유하는 것이 도움이 될 것이라고 덧붙였다. ciokr@idg.co.kr

X