Offcanvas

CSO / How To / 보안 / 소프트스킬

블로그 | ‘이야기의 힘!’ CISO에게 전하는 보안 내러티브 구축 경험담

2021.12.10 Wayne Anderson  |  CSO
직원들이 보안 수칙을 지키도록 하려면, 그들을 납득시키는 것이 우선이다. 이를 위한 탁월한 수단이 ‘훌륭한 이야기’다. 

보안 분야에서 영원한 논의 주제 중 하나가 있다면, 기술, 프로세스 또는 사람이 정보 보안의 요소로서 각각 어느 정도의 비중을 차지하는 지다. 대부분의 보안 리더들은 사람의 중요성을 소홀히 하지 않을 것이다. 사람들이 적절한 보안 관행을 준수하도록 만들기란 무척 어렵다. 새로운 습관과 동기를 필요로 한다. 
 
Image Credit : Getty Images Bank

훈련과 소통이 행동을 바꾸지 않을 때 
보안 관행과 씨름하는 사람들 중 일부는 내러티브를 사용한다. 필자는 몇 년 전 컨설팅 조직의 리더로서 데이터 보호와 관련한 끝없는 도전에 직면했던 바 있다. 바로 영업이었다. 우리의 정책은 계정 정보를 처리하는 확실한 방법을 명시하고 있었다. 즉, 어디에 저장할 것인지, 비즈니스 연락처를 얼마나 오랫동안 보관할 지, 표준이 제공하는 장소 등을 명시했다. 

많은 툴과 이메일 및 교육이 있었다. 하지만 동일하게 위험한 행동의 징후가 나타났다. 이유가 무엇이었을까?

우리 팀은 변화의 동기를 제공하지 못했다. 사람이라는 변인에 대해 크게 생각하지 못했다. 그들은 우리가 원하는 방향으로 나아가기 시작해야 하는 이유를 이해하지 못했다. 즉 그들을 움직이게 하는 넛지(nudge)가 부족했다.

간단히 말해서, 우리는 내러티브를 추진해야 했다. 훌륭한 변화의 이야기에는 시작, 움직여야 할 이유, 반대 세력에도 불구하고 계속 움직여야 할 동기(말미에 다시 언급할 것이다)가 있다. 당신의 팀은 이야기를 들려줄 수 있는가? 사람들에게 역할, 부서, 고객 또는 결과에 대한 이야기를 들려준 적이 있는가?

변화에는 자신감, 능력과 역량이 필요하다. 오랜 시간 직원들이 믿을 수 있는 내러티브를 이끌어 감으로써 그러한 것들을 구축하기 시작하라.


Wayne Anderson

설득 미끄럼틀
많은 CISO가 내러티브를 구축하기를 원한다. 그러나 소통 지원을 받거나 특정 팀에 내러티브 구축을 맡기는 것이 어려울 수 있다. 모든 사람이 이야기하는 방법을 아는 것은 아니다.

하지만 거의 모든 사람들이 미끄럼틀과 같은 간단한 놀이터 기구를 사용하는 방법을 알고 있다. 로저 둘리는 2013년 뉴로마케팅 블로그에서 ‘설득 미끄럼틀’을 소개했다. 그것은 사람들이 아이디어나 목표에 동의하는 과정에 대한 비유다.

놀이터에서 어린이는 사다리에 다가가서 기구 꼭대기로 기어올라 자리를 잡는다. 그리고 몸을 앞으로 내민다. 직선이나 곡선의 하강을 즐기고 다시 사다리로 달려가 처음부터 다시 하곤 한다.

물리학도의 눈에는 같은 운동이 더 복잡해 보인다. 이 기본적인 레크리에이션의 과정에는 여러 다른 힘들이 움직이고 있다. 미끄럼틀에서 내려가는 첫 번째 단계에서 넛지가 필요하다. 즉, 기구 상단에서 약간의 전진 운동을 발생시키기 위해 기구를 밀치는 것이다. 넛지가 없으면 기구를 타고자 하는 사람은 그곳에 계속 앉아 있을 것이고 하강 운동은 발생하지 않는다. 

이야기에서, 넛지는 움직이게 만드는 이유다. 무엇이 사람들로 하여금 여행을 떠나도록 동기부여를 하고, 그 움직임의 시작은 어떻게 보이는가? 구체적으로 생각해보자. 무엇이 여행을 시작하게 하는가?

놀이에서 두 번째 요소는 중력인데, 그것은 여행 내내 미끄럼틀을 타는 것을 도와준다. 그러나 직장에서는 보안 주제에 대해 중력이 항상 바람직한 향하는 것은 아니다. 변화를 만드는 데 유리할 수 있지만, 반대로 작동하는 경우가 더 흔하다. 중력이 과거의 경험, 편견, 걱정, 흥분 또는 다른 요소들을 포함할 때 특히 그렇다.

중력의 방향을 파악하고, 변화에 결정적이거나 영향을 많이 받을 수 있는 사람들을 조사하는 것이 이야기와 프로그램을 잘 구성하는 핵심이다.

중력 자체를 바꾸기 힘든 경우가 많다. CISO는 대신, 미끄럼틀을 만드는 방법, 즉 당신의 이야기에서 그것을 식별하고, 이해하고, 그 강도를 측정하고, 설명할 수 있다.

미끄럼틀 물리학의 세 번째 요소는 마찰이다. 거친 사포로 만들어진 미끄럼틀 상상할 수 있는가? 넛지와 중력이 조금 움직이게 할 수 있을 지 있겠지만 미끄럼틀이 거칠다면 아프고 멀리 이동하지 못할 것이다.

어떤 변화의 과정에서 마찰은 현실이다. 마찰이 무엇인가? 그것은 얼마나 강한가? 미끄럼틀을 타는 중에 어떤 종류의 활동이나 우려가 마찰을 더 일으키거나 덜 일으키는가? 당신이 알고 있는 마찰에 사람들이 대비하도록 도울 기회가 있는가? 마찰을 줄일 수 있는가?

비즈니스에서 마찰을 완전히 제거할 수 있는 경우는 거의 없다. 그것은 관리, 평가 및 정량화 방법을 찾아야 하는 또 다른 요인이다. 그래야 마찰이 일부 있는 상황에서도 사람들이 이야기의 미끄럼틀에서 내려오는 동작, 즉 변화를 사람들이 계속하도록 도울 수 있다.

미끄럼틀 설계에서 설정한 다른 주요 요소 -마찰 극복 여부를 결정하는 요소-는 미끄럼틀의 각도다. 미끄럼틀 각도를 너무 가파르게 설정하면 미끄럼이 갑작스럽게 진행되어 나중에 충격이 발생할 수 있다. 

미끄럼틀 각도를 너무 낮게 설정하거나 너무 길게 설정하면 마찰이 더 이상 극복되지 않거나 미끄럼이 끝날 때까지 너무 오래 걸릴 수 있다. 보안 이야기 측면에서 이는 중요한 요소다. 왜 이 사람은 보안 여정을 계속하길 원하는가? 그들은 아직도 결과를 이해하고 있는가? 단계는? 당장의 이득은? 의도된 경험은?

미끄럼틀의 4가지 요소, 즉 넛지, 중력, 마찰 및 미끄럼틀 각도는 보안 이야기의 이유, 내용 및 방법을 사람들이 식별하는 데 도움을 주는 방식이다. 

보안 내러티브를 통해 영업에 다시 다가가기 
실패를 인정한 필자의 첫 번째 단계는 경영진과 세일즈 동료들에게 변화의 필요성을 판매하는 것이었다.

● 우리의 고객은 규제 요건을 충족할 수 없는 조직에서는 구매하지 않을 것이기 때문에 우리는 앞으로 나아가는 중이다(넛지). 

● 우리는 우리가 빠르게 움직이고자 한다는 것을 알고 있으며, 과거 보안 프로그램은 옳든 그르든 간에 사람들이 거래와 리뷰에 대한 협업이 느려졌다고 느꼈던 공인된 이유였다(중력).

● 아울러, 그 과정에서 시스템에 데이터가 저장되는 방식을 업데이트하고, 고객 데이터에 액세스하는 빈도에 대한 검토를 추가해야 하며, 이로 인해 영업 시스템에 생각과 비용이 추가될 것이라는 것을 우리는 알고 있다(마찰).

● 우리가 이것을 함께 한다면, 신속하게 보고서를 공개하고, 판매자에게 더 나은 자격 증명을 제공하며, 고객의 제3자 평가를 지원하고, 시간이 지남에 따라 이러한 시스템과 의무에 대한 경험을 쌓을 때 더 많이 그리고 더 빠르게 승리하도록 돕는 여정을 구축하는 것을 지원하기 위한 계획을 우리는 갖게 된다(미끄럼틀 각도).

오늘날의 보안팀은 하이브리드 작업 환경의 직원들에게 보안 및 규정 준수의 필요성을 납득시켜야 하는 상황이다. 그 어느 때보다 내러티브가 필요하다. 이것은 툴과 기술만큼이나 사람들이 관행을 바꾸는 데 절실하다,  변화를 이끌기 위해 자신이 활용할 수 있는 내러티브에 대해 고민해볼 것을 권한다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.