기업의 보안 책임자들은 서비스를 제공하고 가치를 창출하는 프로젝트를 유도하기 위해 지원과 재정을 기대한다. 이 때 예산과 재정을 구분하는 것이 중요하다. 예산은 품목별 금액을 사전에 정리한 것이다. 예산 책정 과정은 종종 이해하기 힘든 부분이 있으며, 예산에 따라 최종 결과물이 제약을 받기도 한다.
중요한 것은 재정이다. 대부분의 조직들은 문제를 해결하고 가치를 창출하는 방식으로 투자할 재정을 보유하고 있다. 핵심은 사용할 수 있는 재정을 계획보다 더욱 잘 지출하도록 하여 이미 진행 중인 조치(손실 감소)를 잘 추진하도록 하는 것이다. 그렇지 않으면 아무 것도 하지 않는 것이 낫다.
성공적인 보안 프로그램을 구축하기 위해 필요한 재정과 지원을 확보하는 방법에 대해 알아보도록 하자. (모든 이미지 출처 : Thinkstock) ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
동료의 도움 받기
성공적인 보안 책임자들은 도움을 요청하고 다른 사람들에게 배워야 한다는 사실을 잘 알고 있다. 이는 재정의 정당성을 입증할 때 필수적인 부분이다.
전혀 몰랐던 사실일 수도 있겠지만, CFO부터 시작해 보도록 하자. CFO들은 사실 CIOS(또는 CSO)를 돕고 싶어할 뿐 아니라 기업 내의 재정 상태와 기회에 대해 잘 알고 있다. 또 다양한 기술을 이용해 정당성을 입증하는데 도움을 줄 수 있는 MBA 학위 소지 직원, 경제학에 대한 관심이 높은 구성원 등을 찾을 수도 있다.
핵심은 상호 이익을 위해 협업하는 것이다.
우선순위 정하기
모든 것이 다 중요하다는 말은, 정말 중요한 것은 아무 것도 없다는 뜻이다.
재정의 정당성을 입증할 때는 필요성의 우선순위를 냉정하게 고려해야 한다. 팀/노력의 우선순위를 평가한 후, 시야를 넓혀 조직의 우선순위를 고려한다.
비즈니스 우선순위와 가까울수록 재정의 정당성 확보로 성공적인 결과를 얻을 가능성이 높아진다.
다른 사람들과 비교하여 계획 수립
"동료들과 비교하여 어떤가?"는 공통적이면서 유효한 질문이다. 사실, 이 질문은 반드시 필요하다. 이에 대한 답변을 찾다 보면, 업계에서 문제를 해결하는(또는 해결하지 않는) 방법, 권장하는 행동방침을 추구할 때의 상대적인 위험, 미처 생각하지 못했던 문제 등을 알 수 있다.
타인과 비교하여 자신의 위치를 파악한다면 동기가 부여될 수 있다.
남보다 뒤쳐지고 싶은 사람은 없다. 남들보다 과도하게 앞섰다는 것은 정당성이 충분하지 않은 솔루션을 사용한다는 뜻이기도 하다. 이런 솔루션은(학습곡선 등으로 인해) 비용이 다소 높고 더 큰 위험이 따른다. 대부분의 임원들은 학습곡선에서 주도적인 위치를 차지하고 싶어한다. 일반적으로 다른 사람들을 주도할 때는 투자 위험과 보상이 적절한 조화를 이뤄야 한다.
이 질문에 답하고 이를 활용해 투자 진행의 위험/보상을 파악할 수 있는 능력이 더 정확할수록 성공 가능성도 높아진다.
자신의 상황이 어떻게 향상될 수 있는지 파악
책임자들은 상황을 개선하여 가치를 창출하는데 집중한다. 관리자들은 시간과 자원에 초점을 맞추고 시간을 계산하며 상품을 회수한다. 책임자로 인정 받기 위해서는 (예산이 아니라) 재정이 어떻게 개선을 유도하는 지에 초점을 맞춰야 한다.
ROI의 개념 때문에 보안 인력들이 동요하기는 하지만 투자의 결과물은 반드시 파악해야 한다.
성공적인 보안 팀은 비즈니스를 지원한다. 현업에 보안 투자의 결과를 입증해야 한다. 그렇다고 복잡한 ROI 분석 방법을 배워야 한다는 뜻은 아니다. 대신 그 돈을 투자하면 상황이 어떻게 나아지고 조직에 어떤 가치를 창출할 수 있는지에 관한 기본적인 질문에 대한 설득력 있는 답변을 제시할 수 있어야 한다.
기술에서 기능으로의 변화
대부분의 동료들은 CISO만큼 기술에 능하지 못하다. 다른 동료들이 꼭 그럴 필요는 없다. 책임자들은 기술과 사소한 세부사항에 대해 걱정하지 않는다. 보안 책임자로서의 역할은 관련된 측면을 포착하고 정리하며 해석하는 것이다.
핵심은 CISO가 알고 있는 모든 것이 아니라 듣는 사람이 알고 싶어하는 것을 공유하는 것이다. 비즈니스에 이익이 되는 결과물을 포착하고 입증하기 위해서는 시간과 노력이 필요하지만 적절한 솔루션을 수립할 수 있는 유연성을 얻게 된다.
공유된 경험에 초점을 두고 적절한 보안 사안을 통해 제안한 솔루션이 사람들에게 어떤 영향을 끼치고 문제를 어떻게 해결하며 가치를 어떻게 높이는지 설명하자.
균형 고려
우리가 보안을 추구하는 방식이 점차 나아지고 있다. 우리가 ‘예방에 대한 편견’을 조절하면서 더 많은 조직들이 감지와 대응에 예산(그리고 관심)을 할애하고 있다.
이 모든 영역의 투자를 추적해 할애 비율을 파악하자. 이런 영역에서 투자와 관련된 결과물을 측정하면 무엇이 효과를 발휘하며 어디에 초점을 맞출지에 대한 통찰력을 얻을 수 있다. 시간이 지나면 회사에 가장 적합한 예방, 감지, 대응의 조합을 발견하게 될 것이다.
우선은 재정의 정당성 입증부터 시작
보안 프로그램 개선에 필요한 것이 있다면 정당성을 입증하고 요청하자. 예산에만 목을 매는 것은 어리석은 짓이다. 요청하지 않는 것이 더 큰 문제다.
재정을 제공할 수 있는 의사결정권자들이 자신의 요청을 고려하고 자신의 노력을 지원하기 쉽도록 할 때 더 큰 성공을 거둘 수 있다.
프로세스를 따르고 도움을 요청하며 가치 창출에 대한 확실한 정당성을 입증하자. 그리고 동료들이 기업 환경 안에서 우선순위와 기회를 이해하도록 하는 것도 중요하다.