2015.11.23

'보안 위험을 최고경영진에 보고할 때' CISO가 기억해야 할 5가지

Stacy Collett | CSO

정직이 최선책일 수 있다. 하지만 CISO가 경영 회의에서 보안 상황에 대해 사실을 보고할 때 몇 가지 주의사항이 있다.


이미지 출처 : Tim Green

한 대형 제조기업의 CISO가 지난해 이사회에 참석해 보안 문제에 관한 프레젠테이션을 진행했다. 그리고 그날 이후 며칠 동안 그는 “이제 회사를 그만둬야 하나?”라는 걱정에 많은 밤 잠을 설쳐야 했다.

당시 그는 CISO 직을 맡은 지 1년 여가 지난 시점이었고, 이사회 회의 참석 전까진 자신의 행동이 적절한 것이라 생각했다. 그가 진행한 프레젠테이션의 내용은, 자사 정보보안 활동의 문제들을 정말 솔직하게 설명하는 것이었다.

그는 “그들이 내게 원하는 것은 ‘걱정 마세요. 제가 다 해결할 수 있습니다’라는 확신이었던 것 같다. 우리 기업은 보안에 관심도, 관련 자원도 별로 없는 그리 성숙하지 못한 곳이었다”라고 당시를 회상했다.

교훈 1. 솔직함과 더불어 요령도 필요하다
그가 저지른 두 번째 실수는(지금은 그 자신도 그것이 실수였음을 잘 알고 있지만) 상황 판단에 이어 곧바로 “하지만 제겐 이 문제를 해결할 계획이 있습니다”라는 말을 덧붙이며 계획을 설명한 것이었다. 이후 실제로 문제는 해결됐지만, 이사회가 기대한 것만큼 신속하게는 아니었다. 그는 “이사회가 내게 만족하지 않았다는 것을 직감으로 알 수 있었다”고 말했다. 그리고 그의 예상대로 그는 같은 해 9월 해임 조치됐다.

교훈 2. 언제나 해결책을 준비해둬야 한다
이사회와의 긴장 속에서 CISO가 배울 수 있는 교훈은 이 뿐만이 아니다. 타깃, 소니, JP 모건 체이스 등 주요 기업들의 보안 유출 사고가 보도된 이후 연방 규제 당국의 압박 수준도 한 층 강화됐고, 이는 사고 발생 시 실질적인 책임자의 위치에 놓이는 의사결정권자들에겐 견디기 힘든 부담으로 작용하고 있다.

이번 달 발간된 뉴욕증권거래소 거버넌스 서비스(NYSE Governance Services)와 베라코드(Veracode)의 공동 보고서에 따르면, 기업의 임원급 가운데 90% 가량이 사이버 유출 사고 발생 시 규제 당국(연방 거래 위원회 등)이 비즈니스에 책임을 묻는 것이 정당하다는데 동의하고 있었다. 규제 당국의 관여뿐 아니라 브랜드 가치 훼손 및 주가 하락 등의 시장 평판 역시 임원 및 관리진들에게 부담을 주는 요소였다. 포레스터 리서치의 조사에서도 보안 사고는 기업의 평판을 해치는 두 번째 요인(1위는 윤리적 이슈)으로 꼽힌 바 있다.
 


가트너의 관리 부문 F. 크리스찬 번스는 “CISO들은 이사회와의 커뮤니케이션 방법을 조금 더 고민해 볼 필요가 있다. 보안은 더 이상 IT만이 관여하는 백 오피스 업무가 아닌, 비즈니스의 핵심 이슈로 자리 잡았다. 그러한 인식 변화에 맞춰 CISO들 역시 태도와 지향을 새로이 해야 할 것이다”라고 조언했다.

NYSE의 설문조사에 따르면, 오늘날 보안은 비즈니스 전체의 문제로 인식되고 있고 따라서 관련 문제가 발생할 경우 그 책임은 임원급 전체에게 전달되는 경우가 일반적이다. 그럼에도 CISO의 역할과 책임은 지속적으로 커져가고 있으며, 그 역할은 다른 누구도 대체하기 어려운 것이 현실이다.

(상당수 익명을 요구한) 보안 전문가들은 이사회와의 만남에서 자신들이 겪었던 일과 거기에서 배운 것들에 대한 이야기를 전해 주고 있다.

 




2015.11.23

'보안 위험을 최고경영진에 보고할 때' CISO가 기억해야 할 5가지

Stacy Collett | CSO

정직이 최선책일 수 있다. 하지만 CISO가 경영 회의에서 보안 상황에 대해 사실을 보고할 때 몇 가지 주의사항이 있다.


이미지 출처 : Tim Green

한 대형 제조기업의 CISO가 지난해 이사회에 참석해 보안 문제에 관한 프레젠테이션을 진행했다. 그리고 그날 이후 며칠 동안 그는 “이제 회사를 그만둬야 하나?”라는 걱정에 많은 밤 잠을 설쳐야 했다.

당시 그는 CISO 직을 맡은 지 1년 여가 지난 시점이었고, 이사회 회의 참석 전까진 자신의 행동이 적절한 것이라 생각했다. 그가 진행한 프레젠테이션의 내용은, 자사 정보보안 활동의 문제들을 정말 솔직하게 설명하는 것이었다.

그는 “그들이 내게 원하는 것은 ‘걱정 마세요. 제가 다 해결할 수 있습니다’라는 확신이었던 것 같다. 우리 기업은 보안에 관심도, 관련 자원도 별로 없는 그리 성숙하지 못한 곳이었다”라고 당시를 회상했다.

교훈 1. 솔직함과 더불어 요령도 필요하다
그가 저지른 두 번째 실수는(지금은 그 자신도 그것이 실수였음을 잘 알고 있지만) 상황 판단에 이어 곧바로 “하지만 제겐 이 문제를 해결할 계획이 있습니다”라는 말을 덧붙이며 계획을 설명한 것이었다. 이후 실제로 문제는 해결됐지만, 이사회가 기대한 것만큼 신속하게는 아니었다. 그는 “이사회가 내게 만족하지 않았다는 것을 직감으로 알 수 있었다”고 말했다. 그리고 그의 예상대로 그는 같은 해 9월 해임 조치됐다.

교훈 2. 언제나 해결책을 준비해둬야 한다
이사회와의 긴장 속에서 CISO가 배울 수 있는 교훈은 이 뿐만이 아니다. 타깃, 소니, JP 모건 체이스 등 주요 기업들의 보안 유출 사고가 보도된 이후 연방 규제 당국의 압박 수준도 한 층 강화됐고, 이는 사고 발생 시 실질적인 책임자의 위치에 놓이는 의사결정권자들에겐 견디기 힘든 부담으로 작용하고 있다.

이번 달 발간된 뉴욕증권거래소 거버넌스 서비스(NYSE Governance Services)와 베라코드(Veracode)의 공동 보고서에 따르면, 기업의 임원급 가운데 90% 가량이 사이버 유출 사고 발생 시 규제 당국(연방 거래 위원회 등)이 비즈니스에 책임을 묻는 것이 정당하다는데 동의하고 있었다. 규제 당국의 관여뿐 아니라 브랜드 가치 훼손 및 주가 하락 등의 시장 평판 역시 임원 및 관리진들에게 부담을 주는 요소였다. 포레스터 리서치의 조사에서도 보안 사고는 기업의 평판을 해치는 두 번째 요인(1위는 윤리적 이슈)으로 꼽힌 바 있다.
 


가트너의 관리 부문 F. 크리스찬 번스는 “CISO들은 이사회와의 커뮤니케이션 방법을 조금 더 고민해 볼 필요가 있다. 보안은 더 이상 IT만이 관여하는 백 오피스 업무가 아닌, 비즈니스의 핵심 이슈로 자리 잡았다. 그러한 인식 변화에 맞춰 CISO들 역시 태도와 지향을 새로이 해야 할 것이다”라고 조언했다.

NYSE의 설문조사에 따르면, 오늘날 보안은 비즈니스 전체의 문제로 인식되고 있고 따라서 관련 문제가 발생할 경우 그 책임은 임원급 전체에게 전달되는 경우가 일반적이다. 그럼에도 CISO의 역할과 책임은 지속적으로 커져가고 있으며, 그 역할은 다른 누구도 대체하기 어려운 것이 현실이다.

(상당수 익명을 요구한) 보안 전문가들은 이사회와의 만남에서 자신들이 겪었던 일과 거기에서 배운 것들에 대한 이야기를 전해 주고 있다.

 


X