2021.02.09

기고 | 이사회의 눈높이에 맞춰 ‘보안’을 이야기하는 3가지 방법

크리스 디미트리아디스 | CSO
보안 책임자들과 이사회의 사이가 절망적으로 단절되어 있던 시기는 끝났다. 적어도 건전한 위험 태세를 갖춘 기업들에게는 그렇다. 
 
Jason Rosewell (CC0)

디지털에 능수능란하든 그렇지 않든 이사진이 인정하고 있다. 사이버보안 위험이 기업 위험과 어떻게 겹치는지, 그리고 이사회의 통제 관리 책임이 얼마나 중요한지 등을 말이다. 적어도 사이버 보안이 조직의 재무, 평판, 법무, 운영 등의 측면에서 어떻게 영향을 미칠 수 있는지를 알고 있어야 한다는 점을 숙지하고 있다. 

실제로 회사의 디지털화가 진행되면 진행될수록 사이버보안은 해결해야 할 실체적 문제로 부상한다. 기업의 경쟁력, 연속성, 안정성, 그리고 전체적인 신뢰성에 영향을 미치기 때문이다.

세간에 이목을 끈 데이터 유출 사건, 랜섬웨어 공격 등 최근 발생한 실체적인 위기들의 여파로 기업 보안이 IT팀이 져야 할 부담이라는 철 지난 개념은 무너졌다. 사이버보안이 이사회 차원에서 다뤄야 할 문제라는 사실이 인정되었다. 

그러나, 2017년 ISACA 기술 통제 관리 설문조사에 따르면 고위 임원급 전문가와 이사진 중 87%가 소속 회사의 사이버보안 역량에 자신감이 부족하다고 밝혔다. 즉, 사이버 보안에 관한 책임은 대부분의 기업 이사회에서 인식하게 되었지만, 사이버 위험 관련 통찰력을 이사진에게 보다 소화하기 쉽게, 따라서 보다 유용하게 만들려면 아직 일정 수준의 번역이 필요하다는 것을 의미한다.

이사회에 사이버 위험 관련 내용을 전달하는 3가지 요령을 소개한다.

이사회의 책임을 이해할 것
사이버 보안과 관련된 내용을 이사회에게 효과적으로 전달하려면 CISO들이 이사회의 능력 범위와 수탁 책임을 각 업무의 맥락에서 이해해야 하며 기술이 전체 업무 생태계를 가능하게 하는 방식도 파악해야 한다. 

이와 관련해 보안 책임자는 가능하면 기업 위험 관리 전문가들의 지원을 받는 것이 좋다. 기업 위험 관리 전문가들은 사이버 위험으로 인한 운영상의 위험과 전략적 위험을 이사진에게 설명하는 능력이 가장 뛰어난 경우가 많기 때문이다.

익숙한 형식으로 자료를 제시할 것
위험을 정량화하여 대시보드를 통해 제시하면 유용하다. 데이터 손실, 데이터 신뢰성, 시스템 신뢰성, 사기 등과 같은 범주에서 핵심성과지표, 핵심통제지표, 핵심위험지표 등과 같은 지표를 보여주는 것이다. 

이러한 종류의 데이터는 이사회가 보안 예산, 신규 기술 배치와 같은 고려 사항에 대한 의사 결정을 내릴 때 조직의 위험 성향의 맥락에서 의사결정을 내릴 수 있게 해 준다.

해당 주제에 대한 최근 ISACA 백서는 다음과 같이 기술하고 있다.
 

“이사회를 대상으로 위험 시나리오 전체를 제시하는 것은 유익하지 않다. 이러한 방식이 유익하려면 먼저 임원들에게 익숙한 형태의 정량적 측정치로 해당 시나리오를 정리하고 우선순위를 설정해야 한다. 이사진은 재무 측정치 관리에 능숙하다. 위기 관리 측정치의 생김새가 이사회에서 흔히 보는 재무제표 및 손익 예상치와 비슷하면 비슷할수록 이사진이 사이버보안 위험을 관리하기가 더욱 수월해진다.”


기준점을 파악할 것
사이버 위험 관련 내용을 이사회의 눈높이에 맞춰 전달할 수 있는 중요한 방법이 또 한 가지 있다. 논의의 중심점을 업계 또래 업체들에 비해 얼마나 잘 하고 있는지에 맞추는 것이다. 

업계 경쟁업체에 타격을 줄 수 있는 새로운 주요 해킹 사례를 강조하는 것은 물론 이사회의 주의를 끄는 데는 쓸모가 있겠지만 이 대화는 그런 수준을 넘어서야 한다. 구체적으로는 해당 조직의 통제 대책의 성숙도가 비슷한 조직과 비교했을 때 어떠하며 부족한 부분이 있다면 간극을 메울 수 있는 대책은 무엇인지를 중심으로 실질적인 대화가 이루어져야 한다. 

다행스러운 것은 이사회에게 기업 사이버 위험 감독의 중요성을 설득시켜야 하는 관문은 대체로 통과했다는 것이다. 오늘날 보안 및 위험 팀이 직면한 과제는 이사회와 공유할 적정 분량의 세부 정보를 찾아내어 이사진이 예리하고 실행 가능하다고 여길 만한 방식으로 제시하는 것에 보다 중점을 두고 있다. 

만일 보안 팀이 지도부의 승인을 얻는 것이 어렵다고 느끼고 있거나 필요한 큰 그림 지침을 받지 못하고 있다면 보안 팀이 이사회에게 사이버 위험 관련 내용을 전달하는 방식을 재정비할 때가 된 것일 수도 있다.
 
* 크리스 디미트리아디스 박사는 CISA, CISM, CIRSC 이사회 일원이자, ISACA 이사회 의장을 역임했다. ciokr@idg.co.kr



2021.02.09

기고 | 이사회의 눈높이에 맞춰 ‘보안’을 이야기하는 3가지 방법

크리스 디미트리아디스 | CSO
보안 책임자들과 이사회의 사이가 절망적으로 단절되어 있던 시기는 끝났다. 적어도 건전한 위험 태세를 갖춘 기업들에게는 그렇다. 
 
Jason Rosewell (CC0)

디지털에 능수능란하든 그렇지 않든 이사진이 인정하고 있다. 사이버보안 위험이 기업 위험과 어떻게 겹치는지, 그리고 이사회의 통제 관리 책임이 얼마나 중요한지 등을 말이다. 적어도 사이버 보안이 조직의 재무, 평판, 법무, 운영 등의 측면에서 어떻게 영향을 미칠 수 있는지를 알고 있어야 한다는 점을 숙지하고 있다. 

실제로 회사의 디지털화가 진행되면 진행될수록 사이버보안은 해결해야 할 실체적 문제로 부상한다. 기업의 경쟁력, 연속성, 안정성, 그리고 전체적인 신뢰성에 영향을 미치기 때문이다.

세간에 이목을 끈 데이터 유출 사건, 랜섬웨어 공격 등 최근 발생한 실체적인 위기들의 여파로 기업 보안이 IT팀이 져야 할 부담이라는 철 지난 개념은 무너졌다. 사이버보안이 이사회 차원에서 다뤄야 할 문제라는 사실이 인정되었다. 

그러나, 2017년 ISACA 기술 통제 관리 설문조사에 따르면 고위 임원급 전문가와 이사진 중 87%가 소속 회사의 사이버보안 역량에 자신감이 부족하다고 밝혔다. 즉, 사이버 보안에 관한 책임은 대부분의 기업 이사회에서 인식하게 되었지만, 사이버 위험 관련 통찰력을 이사진에게 보다 소화하기 쉽게, 따라서 보다 유용하게 만들려면 아직 일정 수준의 번역이 필요하다는 것을 의미한다.

이사회에 사이버 위험 관련 내용을 전달하는 3가지 요령을 소개한다.

이사회의 책임을 이해할 것
사이버 보안과 관련된 내용을 이사회에게 효과적으로 전달하려면 CISO들이 이사회의 능력 범위와 수탁 책임을 각 업무의 맥락에서 이해해야 하며 기술이 전체 업무 생태계를 가능하게 하는 방식도 파악해야 한다. 

이와 관련해 보안 책임자는 가능하면 기업 위험 관리 전문가들의 지원을 받는 것이 좋다. 기업 위험 관리 전문가들은 사이버 위험으로 인한 운영상의 위험과 전략적 위험을 이사진에게 설명하는 능력이 가장 뛰어난 경우가 많기 때문이다.

익숙한 형식으로 자료를 제시할 것
위험을 정량화하여 대시보드를 통해 제시하면 유용하다. 데이터 손실, 데이터 신뢰성, 시스템 신뢰성, 사기 등과 같은 범주에서 핵심성과지표, 핵심통제지표, 핵심위험지표 등과 같은 지표를 보여주는 것이다. 

이러한 종류의 데이터는 이사회가 보안 예산, 신규 기술 배치와 같은 고려 사항에 대한 의사 결정을 내릴 때 조직의 위험 성향의 맥락에서 의사결정을 내릴 수 있게 해 준다.

해당 주제에 대한 최근 ISACA 백서는 다음과 같이 기술하고 있다.
 

“이사회를 대상으로 위험 시나리오 전체를 제시하는 것은 유익하지 않다. 이러한 방식이 유익하려면 먼저 임원들에게 익숙한 형태의 정량적 측정치로 해당 시나리오를 정리하고 우선순위를 설정해야 한다. 이사진은 재무 측정치 관리에 능숙하다. 위기 관리 측정치의 생김새가 이사회에서 흔히 보는 재무제표 및 손익 예상치와 비슷하면 비슷할수록 이사진이 사이버보안 위험을 관리하기가 더욱 수월해진다.”


기준점을 파악할 것
사이버 위험 관련 내용을 이사회의 눈높이에 맞춰 전달할 수 있는 중요한 방법이 또 한 가지 있다. 논의의 중심점을 업계 또래 업체들에 비해 얼마나 잘 하고 있는지에 맞추는 것이다. 

업계 경쟁업체에 타격을 줄 수 있는 새로운 주요 해킹 사례를 강조하는 것은 물론 이사회의 주의를 끄는 데는 쓸모가 있겠지만 이 대화는 그런 수준을 넘어서야 한다. 구체적으로는 해당 조직의 통제 대책의 성숙도가 비슷한 조직과 비교했을 때 어떠하며 부족한 부분이 있다면 간극을 메울 수 있는 대책은 무엇인지를 중심으로 실질적인 대화가 이루어져야 한다. 

다행스러운 것은 이사회에게 기업 사이버 위험 감독의 중요성을 설득시켜야 하는 관문은 대체로 통과했다는 것이다. 오늘날 보안 및 위험 팀이 직면한 과제는 이사회와 공유할 적정 분량의 세부 정보를 찾아내어 이사진이 예리하고 실행 가능하다고 여길 만한 방식으로 제시하는 것에 보다 중점을 두고 있다. 

만일 보안 팀이 지도부의 승인을 얻는 것이 어렵다고 느끼고 있거나 필요한 큰 그림 지침을 받지 못하고 있다면 보안 팀이 이사회에게 사이버 위험 관련 내용을 전달하는 방식을 재정비할 때가 된 것일 수도 있다.
 
* 크리스 디미트리아디스 박사는 CISA, CISM, CIRSC 이사회 일원이자, ISACA 이사회 의장을 역임했다. ciokr@idg.co.kr

X