2015.05.29

미 기업 이사회 80%, 사이버보안을 안건으로 상정

Maria Korolov | CSO
사이버보안이 대다수의 미국 기업에서 이사회 안건으로 채택된 것으로 조사됐다.


이미지 출처 : Thinkstock

뉴욕증권거래소 거버넌스 서비스(NYSE Governance Services)와 보안 업체인 베라코드(Veracode)가 200명의 기업 이사회 소속 이사들을 대상으로 조사한 결과, 사이버보안을 이사회에서 논의한다고 답한 이사진들이 무려 80%가 넘는 것으로 집계됐다.

특히 응답자 35%는 이사회가 열릴 때마다 사이버보안에 대해 논의한다고 말했으며 46%는 대부분의 회의에서 이 안건에 대해 논의한다고 답했다. 자신들의 회사나 이 회사가 속한 산업에서 사고가 발생한 후에 사이버보안에 대해 논의한다고 답한 이사진들은 10%였으며 이사회에서 사이버보안을 한번도 논의한 적 없다고 답한 이사진들은 1%에 불과했다.

“사이버보안은 매우 심각한 문제가 됐다”라고 베라코드의 공동창업자 겸 CTO인 크리스 위소팔은 지적했다. 이어서 위소팔은 “사이버보안은 IT만의 문제도, 정책만의 문제도, 규제 준수만의 문제도 아니다. 이것은 기업의 리스크 문제다”라고 강조했다.

이 조사에 따르면, 이사회는 사이버보안에 대해 CEO가 책임져야 하며 그 다음에 책임질 임원으로 CIO를 지목했다.

일례로 지난해 타깃이 데이터 유출 사고 이후 이 회사의 CEO와 CIO가 사임한 일이 있었다. 이는 기업 보안 책임을 보여주는 한 예라고 위소팔은 전했다.

"이 사건은 보안에 더 많은 예산을 배정하고 훨씬 더 중요하게 다뤄지며 IT부서나 CISO만이 아니라 회사 전체가 이 문제를 해결하려고 나서게 됨을 의미한다"라고 그는 덧붙였다.

그러나 이사회 구성원의 66%는 사이버공격에서 자기 자신을 보호할 수 있는 회사의 역량에 대해 확신하지 않는 것으로 나타났다. ‘매우 확신한다’고 평가하는 이사진들은 4%에 불과했다.

그리고 이사회가 확신하지 못하는데도, 보안은 새로운 제품이나 서비스 개발 우선순위를 보면 뒤에서 두번째를 차지했다.

"진짜 위험과 그 위험을 완화시키기 위해 했던 것들이 확실히 이어지지 않는다"라고 위소팔는 말했다.

가장 큰 보안 문제
조사에 응한 이사진들은 사이버보안에 대해 가장 크게 우려하는 것으로 브랜드 이미지 추락, 데이터 유출 비용, 지적 자산 도난을 꼽았다.

하지만, 이사진들은 보안을 어떻게 구현할 지에 대한 구체적인 것에는 그다지 관심을 보이지 않았다.

대신, 33%는 높은 수준의 보안 전략 설명 형태로 기업의 사이버 보안 활동에 대해 배우는 것을 선호했으며, 31%는 리스크 메트릭스를 배우고 싶다고 밝혔다.

동종업계의 보안 현황과 비교해 보거나 특정 보안 기술에 대한 설명을 듣고 싶다고 답한 이사진들은 11%였으며 기업의 감사와 규제 준수 여부에 대해 알고 싶다는 응답자는 9%였다.

이사진들이 CISO에게 가장 기대하는 것은 기술적인 역량과 경험이었으며, 그 외에는 비즈니스 통찰력, 강력한 커뮤니케이션 능력, 위기 대응 능력, 위기 상황 전달에 대한 전문성 등이 지목됐다.

이 조사는 베라코드와 NYSE 거버넌스 서비스가 최초로 실시한 것이기 때문에 시계열로 비교할 만한 데이터는 없는 것으로 알려졌다. ciokr@idg.co.kr



2015.05.29

미 기업 이사회 80%, 사이버보안을 안건으로 상정

Maria Korolov | CSO
사이버보안이 대다수의 미국 기업에서 이사회 안건으로 채택된 것으로 조사됐다.


이미지 출처 : Thinkstock

뉴욕증권거래소 거버넌스 서비스(NYSE Governance Services)와 보안 업체인 베라코드(Veracode)가 200명의 기업 이사회 소속 이사들을 대상으로 조사한 결과, 사이버보안을 이사회에서 논의한다고 답한 이사진들이 무려 80%가 넘는 것으로 집계됐다.

특히 응답자 35%는 이사회가 열릴 때마다 사이버보안에 대해 논의한다고 말했으며 46%는 대부분의 회의에서 이 안건에 대해 논의한다고 답했다. 자신들의 회사나 이 회사가 속한 산업에서 사고가 발생한 후에 사이버보안에 대해 논의한다고 답한 이사진들은 10%였으며 이사회에서 사이버보안을 한번도 논의한 적 없다고 답한 이사진들은 1%에 불과했다.

“사이버보안은 매우 심각한 문제가 됐다”라고 베라코드의 공동창업자 겸 CTO인 크리스 위소팔은 지적했다. 이어서 위소팔은 “사이버보안은 IT만의 문제도, 정책만의 문제도, 규제 준수만의 문제도 아니다. 이것은 기업의 리스크 문제다”라고 강조했다.

이 조사에 따르면, 이사회는 사이버보안에 대해 CEO가 책임져야 하며 그 다음에 책임질 임원으로 CIO를 지목했다.

일례로 지난해 타깃이 데이터 유출 사고 이후 이 회사의 CEO와 CIO가 사임한 일이 있었다. 이는 기업 보안 책임을 보여주는 한 예라고 위소팔은 전했다.

"이 사건은 보안에 더 많은 예산을 배정하고 훨씬 더 중요하게 다뤄지며 IT부서나 CISO만이 아니라 회사 전체가 이 문제를 해결하려고 나서게 됨을 의미한다"라고 그는 덧붙였다.

그러나 이사회 구성원의 66%는 사이버공격에서 자기 자신을 보호할 수 있는 회사의 역량에 대해 확신하지 않는 것으로 나타났다. ‘매우 확신한다’고 평가하는 이사진들은 4%에 불과했다.

그리고 이사회가 확신하지 못하는데도, 보안은 새로운 제품이나 서비스 개발 우선순위를 보면 뒤에서 두번째를 차지했다.

"진짜 위험과 그 위험을 완화시키기 위해 했던 것들이 확실히 이어지지 않는다"라고 위소팔는 말했다.

가장 큰 보안 문제
조사에 응한 이사진들은 사이버보안에 대해 가장 크게 우려하는 것으로 브랜드 이미지 추락, 데이터 유출 비용, 지적 자산 도난을 꼽았다.

하지만, 이사진들은 보안을 어떻게 구현할 지에 대한 구체적인 것에는 그다지 관심을 보이지 않았다.

대신, 33%는 높은 수준의 보안 전략 설명 형태로 기업의 사이버 보안 활동에 대해 배우는 것을 선호했으며, 31%는 리스크 메트릭스를 배우고 싶다고 밝혔다.

동종업계의 보안 현황과 비교해 보거나 특정 보안 기술에 대한 설명을 듣고 싶다고 답한 이사진들은 11%였으며 기업의 감사와 규제 준수 여부에 대해 알고 싶다는 응답자는 9%였다.

이사진들이 CISO에게 가장 기대하는 것은 기술적인 역량과 경험이었으며, 그 외에는 비즈니스 통찰력, 강력한 커뮤니케이션 능력, 위기 대응 능력, 위기 상황 전달에 대한 전문성 등이 지목됐다.

이 조사는 베라코드와 NYSE 거버넌스 서비스가 최초로 실시한 것이기 때문에 시계열로 비교할 만한 데이터는 없는 것으로 알려졌다. ciokr@idg.co.kr

X