Offcanvas

CSO / 리더십|조직관리 / 보안 / 비즈니스|경제

빠르게 변하는 사이버 보안 세계, ‘차세대 CISO’의 5가지 조건

2022.12.01 Steve Durbin  |  CSO
사이버 보안 세계는 빠르게 변화한다. 차세대 CISO로서 역량을 발휘하려면 다음 단계로 나아갈 수 있는 스킬과 관계를 구축 및 유지하기 위한 5가지 지침을 고려하라. 

랜섬웨어와 데이터 유출은 기업에 막대한 위험을 초래한다. 이를테면 고객의 신뢰 및 주주 가치 하락, 평판 훼손, 막대한 벌금 등의 피해를 입을 수 있어서다. 사이버 위험은 미국 기업 이사회의 가장 큰 관심사이며, 이에 최고정보보안책임자(CISO)의 역할이 더욱더 중요해지고 있다. CISO의 절반 이상(61%)이 이사회에 보고하고, 이사회 구성원은 CISO가 말하는 내용에 점점 더 관심을 가지고 있다. 하지만 오늘날의 CISO는 기술적 스킬만으론 충분하지 않다. 
 
ⓒGetty Images Bank

1. 전략적 목표를 제시하라
차세대 CISO는 ‘가시성’으로 구분된다. 차세대 CISO는 기술적 또는 전술적 관점이 아닌, 비즈니스 관점에서 문제의 틀을 잡는다. 또한 자신을 ‘비상시에만 활약하는 소방관’이 아니라 ‘선견지명 있는 리더’로 내세운다. 아울러 사이버 보안 그리고 진화하는 위협 벡터 및 규제 명령에 광범위한 전략적 비전을 가지고 있으며, 비즈니스가 이해하는 언어로 말하고, 사이버 보안 개념을 비즈니스 목표 및 전략에 정렬하는 강력한 커뮤니케이터다. 

2. 기회와 위험의 균형을 유지하라
모든 위험이 나쁘거나 해로운 건 아니지만 ‘관리되지 않는 위험’은 확실히 그럴 수 있다. 만약 CISO가 모든 위험이 나쁘고 반드시 제거해야 한다고 주장한다면 동료의 지지를 받는 데 실패하고, (따라서) 계획에 차질을 빚을 수 있다. 차세대 CISO는 블로커가 아니라 인에이블러가 돼야 한다. 

즉, 경영진이 기회와 위험의 균형을 맞출 수 있도록 지원해야 한다. 허용할 수 있는 (위험) 수준은 어느 정도인가? 비즈니스 부문이 넘지 말아야 할 선은? 이는 CISO가 도움을 줘야 하는 질문이다. 위험은 비즈니스 결정이지 보안 결정이 아니다. 위험과 보상에 관한 논의를 시작하는 건 CISO지만 위험을 수용할지 아니면 이에 조치를 취할지 결정하는 건 비즈니스다. 

3. 리더십 경험으로 빛을 발하라 
차세대 CISO는 (소속) 기업과 보안 업계 전반에서 카리스마 있고, 혁신적이며, 잘 연결돼 있고, 존경받는 개인이어야 한다. 차세대 CISO는 정보보안이 비즈니스에 제공하는 가치를 보여줄 기회를 절대 놓치지 않는다. IT 외부에서 보고 구조를 만들어 독립성을 강조하는 사례가 늘고 있다. 아울러 차세대 CISO는 업계 행사에 정기적으로 참여하며 방송 및 인쇄 매체뿐만 아니라 소셜 미디어에서 자신의 경험을 공유해 평판과 영향력을 높인다. 

4. 비즈니스 부문을 이해하고, 공감하며, 신뢰를 얻는다
차세대 CISO는 직원들이 부딪히는 일상적인 문제 이면의 비즈니스 맥락을 이해해야 한다. 그래야 직원들이 적절한 보안 결정을 내릴 수 있다. 또 정기적인 참여와 협업을 통해 직원, 고객, 파트너, 비즈니스 이해관계자와 신뢰를 구축해야 한다. CISO는 상아탑 방식의 사고 체계를 버리고, 정보보안에 비판적인 부서 및 관리자와도 협력해야 한다. CISO가 하려는 일의 의미와 파급 효과, 그리고 이것이 마찰을 일으킬지도 신중하게 고려해야 한다. 그렇다면 모든 중요한 이해관계자의 신뢰를 얻을 수 있을 것이다. 

5. 모두가 이해할 수 있는 언어로 말하라
차세대 CISO는 고위 경영진, 이사회 구성원, 비상임 이사에게 기술을 전파할 준비가 돼 있어야 한다. 사전에 이사회 구성원을 방문하여 우선순위를 파악하고, 요구사항을 적절하게 수용할 방법을 결정해야 한다. 최고 경영진은 정보를 요구하기 때문에 새 이니셔티브나 전략 변경은 엄격한 통계와 측정 기준을 통해 뒷받침돼야 한다. 

아울러 낮은 수준에서 CISO는 IT 비전문가도 이해할 수 있는 언어로 말해야 한다. 유추, 스토리텔링, 교육 등을 활용해 보안 모범 사례의 중요성에 관해 직원들을 가르쳐야 한다. 또 직원들에게 위험이 어떤 영향을 미칠 수 있는지, 더 나아가 데이터 프라이버시, 동료, 회사에 어떤 부정적인 영향을 줄지 인지하도록 해야 한다. 

개념으로써 ‘보안’은 신뢰에 깊이 뿌리를 두고 있으며, 신뢰는 차세대 CISO를 일반적인 CISO와 구분하는 핵심 요소다. 사이버 보안 전문가이자 선구자로서 차세대 CISO는 기업의 회복탄력성을 유지하는 조언자이자 안내자다. ciokr@idg.co.kr
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.