2013.04.23

CFO에게 '통'하는 보안 예산 설득법 10선

Dominic Nessi | CSO
미 LA 공항 CIO 도미닉 네시는 보안에 필요한 재원을 확보하기 위해 이사회와 재무팀을 설득하는 10가지 팁을 소개했다.

사이버 보안 전문가들에게 가장 큰 도전이 뭔지 물어보기 바란다. 네트워크 보안 강화, 내부 위협 관리, 사이버 스파이 방지 등 다양한 대답들을 할 것이다. 그러나 더 자세히 조사하면 사이버 보안 담당자들은 하나 같이 자신들이 직면하는 가장 큰 도전은 보안 프로그램 이행에 필요한 재원을 확보하는 것이라고 대답할 것이다. 매일 계속되는 위협에 대처하는 방법을 소개한 자원과 기술 지원 정보는 넘쳐난다. 보안에 대한 베스트 프랙티스를 배울 기회도 많다. 그러나 탄탄한 보안 역량을 유지하기 위해 재원이 필요할 때, 예산 관련 회의를 준비하는데 필요한 정보는 극히 제한적이다.

필자는 미국 국립공원청(U.S. National Park Service)와 LA 국제공항에 사이버 보안 프로그램을 도입하면서 여러 재무 부서 사람들과 많은 대화를 나눈 경험이 있다. 탄탄한 보안 프로그램을 수립해 이행하는데 필요한 재원을 마련하는데 가장 중요한 성공 요소는 바로 '소통(Communication)'이다.

대부분의 예산 요청에서 빠지지 않는 것이 투자수익(ROI) 분석이다. 재무 부서 사람들이 가장 편안하게 이해하는 개념이 이 ROI이다. ROI는 투자에 따른 손실과 이익을 가감해 구한다. 그러나 사이버 보안 예산은 정량화가 어렵다는 특징이 있다. 보안 관련 ROI는 보안 투자 금액과 보안 침해 사고가 일어났을 때 책임을 추정해 산출하게 된다. 건물이나 장비 같은 재산 보험과 관련해 금전적 이익을 산출할 때와 유사하다.

예산 관련 논의를 시작하기 위해서는 이익보다는 비용 회피를 강조해야 한다. 또 기업에 미치는 영향과 관련 비용을 설명하는 증거를 제시해야 한다. 흥미롭게도, 재무 부서 담당자들은 보안 부서에는 아주 중요한 위험의 성격에는 큰 관심을 두지 않는다. 이들은 기업에 미치는 재무적 파급에 주안점을 둔다. 즉 경영진이 사이버 보안 프로그램에 필요한 재원을 제공하도록 하는 최선의 방법은 ROI를 사용해 지출에 대한 정보를 제공하는 것이다.


그러나 아무리 준비가 잘 됐어도 ROI만 가지고는 설득을 할 수 없다. 경영진과 재무 부서에 재원을 요청할 때 고려해야 할 사항들은 이 밖에도 많다.

1. 보안 관련 재원을 요구하기 앞서 탄탄한 관계를 구축해 유지한다
재무 부서의 의사 결정권자와 좋은 관계를 구축하지 않다면 이미 뒤쳐진 상태라는 사실을 명심해야 한다. 예산을 요청하기 앞서 관계를 구축해 두는 것이 유리하다는 의미다. 처음 만나는 사이인데 예산을 요구하면 성공률이 크게 낮아진다.

2. '겁을 주는 전략'은 지양한다
처음에는 효과가 있을 수 있다. 그러나 기업을 안전하게 지키는 순간 '역풍'이 분다. 재무 부서 담당자들은 재원을 제공했는데 아무런 일도 일어나지 않았다고 생각을 하기 때문이다.




2013.04.23

CFO에게 '통'하는 보안 예산 설득법 10선

Dominic Nessi | CSO
미 LA 공항 CIO 도미닉 네시는 보안에 필요한 재원을 확보하기 위해 이사회와 재무팀을 설득하는 10가지 팁을 소개했다.

사이버 보안 전문가들에게 가장 큰 도전이 뭔지 물어보기 바란다. 네트워크 보안 강화, 내부 위협 관리, 사이버 스파이 방지 등 다양한 대답들을 할 것이다. 그러나 더 자세히 조사하면 사이버 보안 담당자들은 하나 같이 자신들이 직면하는 가장 큰 도전은 보안 프로그램 이행에 필요한 재원을 확보하는 것이라고 대답할 것이다. 매일 계속되는 위협에 대처하는 방법을 소개한 자원과 기술 지원 정보는 넘쳐난다. 보안에 대한 베스트 프랙티스를 배울 기회도 많다. 그러나 탄탄한 보안 역량을 유지하기 위해 재원이 필요할 때, 예산 관련 회의를 준비하는데 필요한 정보는 극히 제한적이다.

필자는 미국 국립공원청(U.S. National Park Service)와 LA 국제공항에 사이버 보안 프로그램을 도입하면서 여러 재무 부서 사람들과 많은 대화를 나눈 경험이 있다. 탄탄한 보안 프로그램을 수립해 이행하는데 필요한 재원을 마련하는데 가장 중요한 성공 요소는 바로 '소통(Communication)'이다.

대부분의 예산 요청에서 빠지지 않는 것이 투자수익(ROI) 분석이다. 재무 부서 사람들이 가장 편안하게 이해하는 개념이 이 ROI이다. ROI는 투자에 따른 손실과 이익을 가감해 구한다. 그러나 사이버 보안 예산은 정량화가 어렵다는 특징이 있다. 보안 관련 ROI는 보안 투자 금액과 보안 침해 사고가 일어났을 때 책임을 추정해 산출하게 된다. 건물이나 장비 같은 재산 보험과 관련해 금전적 이익을 산출할 때와 유사하다.

예산 관련 논의를 시작하기 위해서는 이익보다는 비용 회피를 강조해야 한다. 또 기업에 미치는 영향과 관련 비용을 설명하는 증거를 제시해야 한다. 흥미롭게도, 재무 부서 담당자들은 보안 부서에는 아주 중요한 위험의 성격에는 큰 관심을 두지 않는다. 이들은 기업에 미치는 재무적 파급에 주안점을 둔다. 즉 경영진이 사이버 보안 프로그램에 필요한 재원을 제공하도록 하는 최선의 방법은 ROI를 사용해 지출에 대한 정보를 제공하는 것이다.


그러나 아무리 준비가 잘 됐어도 ROI만 가지고는 설득을 할 수 없다. 경영진과 재무 부서에 재원을 요청할 때 고려해야 할 사항들은 이 밖에도 많다.

1. 보안 관련 재원을 요구하기 앞서 탄탄한 관계를 구축해 유지한다
재무 부서의 의사 결정권자와 좋은 관계를 구축하지 않다면 이미 뒤쳐진 상태라는 사실을 명심해야 한다. 예산을 요청하기 앞서 관계를 구축해 두는 것이 유리하다는 의미다. 처음 만나는 사이인데 예산을 요구하면 성공률이 크게 낮아진다.

2. '겁을 주는 전략'은 지양한다
처음에는 효과가 있을 수 있다. 그러나 기업을 안전하게 지키는 순간 '역풍'이 분다. 재무 부서 담당자들은 재원을 제공했는데 아무런 일도 일어나지 않았다고 생각을 하기 때문이다.


X