2016.06.15

미국 이사진 59% '보안 사고 보고 안 한 CISO, 퇴출'

Maria Korolov | CSO
CISO가 보안 사고에 대해 이사회에 정확히 보고하지 않거나 정보를 공유하지 않으면, 퇴출당할 수 있는 것으로 조사됐다. 

베이다이나믹스(Bay Dynamics)의 최근 조사
에 따르면, 이같이 생각하는 이사진들이 59%나 되는 것으로 집계됐다. 베이다이나믹스의 공동 창업자 겸 CTO인 라이언 스톨테는 "CISO가 어느 정도는 이사회 마음에 들어야지 그렇지 않으면, 이러한 조치를 취할 것이다"고 말했다.

이는 이사회가 사이버보안을 어떻게 바라보는지에 관한 변곡점을 나타낸다고 그는 말을 이었다.

스톨테는 “과거 이사회는 데이터 침해 사고를 단순히 자연재해나 신의 영역으로 간주했다. 또는 CISO가 막을 수 있는 데이터 침해가 아니라 해도 CISO를 해고했다”고 밝혔다.

스톨테는 "이제 이사회가 데이터 침해를 위험 관리 문제로 취급하고 있다"며 "이는 생각이 변화하과 있다는 증거다"고 말했다.

CISO는 적재적소에 맞는 보안 프로세스가 있고 듀 딜리전스를 실시하며, 기본적인 사항을 관리할 것 기대를 받고 있다. 최근 버라이즌 보고서에 따르면, 데이터 침해의 63%는 도난당한 크레덴셜과 관련돼 있으며 이는 기업이 여전히 이중 인증을 유효하게 활용하지 않기 때문으로 파악됐다.

스톨테는 "버라이즌 보고서를 보면, 사람들이 오랫동안 알고 있는 것으로 데이터 침해를 당했음을 알게 된다"고 말했다.

그에 따르면, 침해 사고가 발생하면 CISO들은 효과적인 작업을 수행하고 있고 업계의 모범 사례를 따르고 있음을 보여줘야 한다.

"공격을 받으면, 어떻게 대응하나? 어떻게 준비하나? 사이버 침해가 있을 수 있고, 지금까지 배를 잘 피해왔던 것처럼 오랫동안 자리를 보존할 수 있을까? 이사회가 훌륭한 거버넌스에 좀더 관심을 기울이고 비용을 지불한다면, 이는 자연히 우리에게 실제로 정말 좋은 거버넌스를 할 수 있게 할지도 모른다. 우리는 여전히 침해를 겪지만, 이겨내려면 좋은 처방전이 있어야 한다. 그런 다음에는 문제 발생 가능성이 작아질 것이다."

사이버 공격이 늘어나고 언론의 관련 보도가 증가한 결과, 산업단체, 규제 당국, 이사회는 사이버보안에 관해 더 많은 교육을 받게 됐다. 그리고 이들은 CISO가 이사회에 충분한 정보를 꾸준히 제공할 것으로 기대하고 있다.

스톨테는 "CFO가 이사회에 참석해 잘못된 숫자를 보고한다면, 아마도 해고될 것이다"고 이야기했다.


현재 이사회는 CFO와 같은 수준으로 CISO의 보고를 면밀하게 검토하고 있다.

그는 "이사회가 매우 진지하게 CISO의 보고를 검토하고 이에 대해 높은 기대치를 보인다"고 말했다.

이 보고서의 조사를 실제 진행했던 오스터먼 리서치(Osterman Research)에 따르면, 현재 사이버 위험은 이사진들에게 최우선 순위에 있고 여기에는 재무 위험, 규제 위험, 경쟁 위험, 법적 위험이 포함돼 있다.

하지만 이사회는 보안 보고서에 자신들의 의사결정에 필요한 정보가 들어있기를 기대하고 있다. 보안 보고서에는 사이버 위험 계획 수립에 투자해야 하는 정보와 비용, 예산 견적, 직접비와 자세한 투자 정보가 들어 있어야 한다.
 
이밖에 이사회의 54%는 자신들이 얻는 데이터가 너무 기술적이라고 지적했다. 또 85%는 IT와 보안 간부들이 이사회에 보고하는 방법을 개선할 필요가 있다고 전했다. ciokr@idg.co.kr



2016.06.15

미국 이사진 59% '보안 사고 보고 안 한 CISO, 퇴출'

Maria Korolov | CSO
CISO가 보안 사고에 대해 이사회에 정확히 보고하지 않거나 정보를 공유하지 않으면, 퇴출당할 수 있는 것으로 조사됐다. 

베이다이나믹스(Bay Dynamics)의 최근 조사
에 따르면, 이같이 생각하는 이사진들이 59%나 되는 것으로 집계됐다. 베이다이나믹스의 공동 창업자 겸 CTO인 라이언 스톨테는 "CISO가 어느 정도는 이사회 마음에 들어야지 그렇지 않으면, 이러한 조치를 취할 것이다"고 말했다.

이는 이사회가 사이버보안을 어떻게 바라보는지에 관한 변곡점을 나타낸다고 그는 말을 이었다.

스톨테는 “과거 이사회는 데이터 침해 사고를 단순히 자연재해나 신의 영역으로 간주했다. 또는 CISO가 막을 수 있는 데이터 침해가 아니라 해도 CISO를 해고했다”고 밝혔다.

스톨테는 "이제 이사회가 데이터 침해를 위험 관리 문제로 취급하고 있다"며 "이는 생각이 변화하과 있다는 증거다"고 말했다.

CISO는 적재적소에 맞는 보안 프로세스가 있고 듀 딜리전스를 실시하며, 기본적인 사항을 관리할 것 기대를 받고 있다. 최근 버라이즌 보고서에 따르면, 데이터 침해의 63%는 도난당한 크레덴셜과 관련돼 있으며 이는 기업이 여전히 이중 인증을 유효하게 활용하지 않기 때문으로 파악됐다.

스톨테는 "버라이즌 보고서를 보면, 사람들이 오랫동안 알고 있는 것으로 데이터 침해를 당했음을 알게 된다"고 말했다.

그에 따르면, 침해 사고가 발생하면 CISO들은 효과적인 작업을 수행하고 있고 업계의 모범 사례를 따르고 있음을 보여줘야 한다.

"공격을 받으면, 어떻게 대응하나? 어떻게 준비하나? 사이버 침해가 있을 수 있고, 지금까지 배를 잘 피해왔던 것처럼 오랫동안 자리를 보존할 수 있을까? 이사회가 훌륭한 거버넌스에 좀더 관심을 기울이고 비용을 지불한다면, 이는 자연히 우리에게 실제로 정말 좋은 거버넌스를 할 수 있게 할지도 모른다. 우리는 여전히 침해를 겪지만, 이겨내려면 좋은 처방전이 있어야 한다. 그런 다음에는 문제 발생 가능성이 작아질 것이다."

사이버 공격이 늘어나고 언론의 관련 보도가 증가한 결과, 산업단체, 규제 당국, 이사회는 사이버보안에 관해 더 많은 교육을 받게 됐다. 그리고 이들은 CISO가 이사회에 충분한 정보를 꾸준히 제공할 것으로 기대하고 있다.

스톨테는 "CFO가 이사회에 참석해 잘못된 숫자를 보고한다면, 아마도 해고될 것이다"고 이야기했다.


현재 이사회는 CFO와 같은 수준으로 CISO의 보고를 면밀하게 검토하고 있다.

그는 "이사회가 매우 진지하게 CISO의 보고를 검토하고 이에 대해 높은 기대치를 보인다"고 말했다.

이 보고서의 조사를 실제 진행했던 오스터먼 리서치(Osterman Research)에 따르면, 현재 사이버 위험은 이사진들에게 최우선 순위에 있고 여기에는 재무 위험, 규제 위험, 경쟁 위험, 법적 위험이 포함돼 있다.

하지만 이사회는 보안 보고서에 자신들의 의사결정에 필요한 정보가 들어있기를 기대하고 있다. 보안 보고서에는 사이버 위험 계획 수립에 투자해야 하는 정보와 비용, 예산 견적, 직접비와 자세한 투자 정보가 들어 있어야 한다.
 
이밖에 이사회의 54%는 자신들이 얻는 데이터가 너무 기술적이라고 지적했다. 또 85%는 IT와 보안 간부들이 이사회에 보고하는 방법을 개선할 필요가 있다고 전했다. ciokr@idg.co.kr

X