대기업에 대한 체계적인 리스크를 생각한다면 사이버공격과 데이터 유출 사고는 일반적으로 목록의 상단은 없다. 예측할 수 없는 사고, 자연 재해, 비즈니스 실행 부족, 신용 불안 등의 일들은 일반적으로 이사회의 우선순위에 올라와 있다. 하지만 사이버공격은 이사회 우선순위에 근접해 있으며 확실히 이사회에서 중요성이 커지고 있다. 그렇다고 모든 이사진들이 그렇게 생각하는 것은 아니다. <CSO>의 글로벌 정보보안 현황 조사에 따르면, 대다수의 기업들은 1년에 1번이나 그 이하로 자사 CISO와 만남을 갖는 것으로 나타났다. 이 슬라이드쇼는 이러한 관행을 왜 개선해야 하는지를 보여준다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
사이버사고는 기업 전체에 위험을 일으킨다
데이터 유출, 사이버공격, 위험을 바꾸는 큰 사고는 현업 부서나 특정 한 부서뿐 아니라 기업 전체에 영향을 끼친다. 이러한 위협을 완화하는 데 필요한 의사 결정을 조직의 최고 수준에서 내려야 하는 이유도 바로 여기에 있다.
소송에 대비하고 규제를 준수해야 한다
규제 및 관련 소송으로 인한 위험은 국가별로, 비즈니스 유형별로 다르다. 이사회와 CEO는 기업의 현 위치가 어느 수준이고 어느 방향으로 갈 것인지, 그리고 어떻게 하는 게 위험 관리 의사 결정을 가장 잘 내리는 것인지를 확실히 알아야 하는 자리다.
'이미지 추락'이라는 제목으로 언론에 보도된다
데이터 침해에 대한 기사가 나고 고객, 임직원, 주주, 협력사, 언론 모두가 해당 사고에 대해 질문을 던지면, 조직 전체가 영향을 받는 것이다. 이사회는 기업이 직면한 위험을 인지하고 이를 어떻게 완화시키며 최악의 경우 어떻게 대응할 지에 대해 알고 있어야 한다.
신속하게 기업의 기술 투자 방향을 바꿀 수 있다
종종 기술 전략에 대한 의사결정을 내리는 주체에 C-레벨이 들어가야 한다. 그리고 이는 앞으로 더 중요해질 것이다. 기업은 글로벌 시장의 경쟁자들과 겨루게 됐으며 모바일과 웨어러블 기술 및 앱, 하이브리드 클라우드 아키텍처, IoT 투자를 늘려야 할 것이다.
보안 문화는 최고 의사결정권자에서 시작돼 말단 직원으로 확산될 때 성공한다
너무 많은 CSO들이 오르막길에서 커다란 바위를 밀던 시지프스의 신화처럼 생각하며 바위가 굴러 내려오면 다시 밀어 올리는 일을 반복하고 있다. 시지프스는 이를 영원히 반복해야 했다. 오늘날 많은 기업에서 나타나는 사고 발생 시 대응 방식도 시지프스의 행동과 같아 보인다. 이사회와 CEO는 보안팀이 가장 중요한 문제에 집중하도록 돕고, 그것을 확실히 보장하도록 인력 자원을 제공하며, 전사적인 분위기로 만들 수 있다.
핵심 인프라 산업 대부분은 민간 소유다
화학, 통신, 금융, IT, 제조, 식품, 농업, 의료 등 중요 사회간접자본 산업의 대부분은 민간이 소유해 운영까지 맡고 있다. 위협과 취약점에 대한 데이터 및 정보 공유의 중요성에 관해서 이사회, CEO, 다른 C-레벨 임원들만 어떤 정보를 공유하고 어떤 정보를 공유하지 않을지, 민간 기업, 산업, 국가까지도 안전하게 유지하면서 어떻게 정부와 협력할지에 대해 의사 결정을 내릴 수 있다.