CISO의 보고 체계를 둘러싼 논란은 타깃이 GM의 CISO였던 브래드 마이오리노를 영입하기 전부터 있었다.
지난해 가을 대규모 고객 유출 사태를 겪었던 미국 대형 할인매장인 타깃이 최근 이 문제를 구원투수로 브래드 마이오리노를 영입했다. 그러나 타깃의 CISO가 CIO에게 업무를 보고해야 한다는 사실이 알려지자, CISO가 전반적인 보안을 더 잘 수행하는데 가장 효과적인 보고 체계가 무엇인지에 대한 논쟁이 다시 시작됐다.
지난 주 SANS 뉴스바이츠(Newsbites)의 뉴스레터에서 스티븐 노스컷, 숀 헨리, 존 페스카토레는 이 보고 체계에 대해 논의했는데, 여기서 노스컷과 헨리는 CISO의 효과를 감소시킨다고 주장했다. 그러나, 페스카토레는 "CISO가 CIO에게 보고할 때 보안이 향상되거나 떨어진다는 상관관계는 없다”고 반박했다. CISO-상사와의 관계가 CISO의 성공에 매우 중요하다는 존에 의견에 필자도 동의한다. 하지만, 다운타임이나 재정적 손실에 대하여 측정하면 CISO가 CIO이외의 임원에게 보고할 경우 조직의 보안이 향상된다는 주장을 뒷받침하는 데이터가 존재한다는 점을 지적해야 했다.
이러한 데이터는 2014년 글로벌 정보 보안 조사 현황에서 발견됐다. 이 조사는 PwC, CSO, CIO매거진이 10년 이상 매년 실시하고 있다. 필자는 과거에 이 데이터를 불러오지 않았다. 왜냐면 결론을 이미 정해 놓았다고 생각했기 때문이다. 분명 필자가 틀렸다. 다음과 같은 이유 때문이다.
•이 조사는 전세계에서 9,000명 이상의 응답자가 참여했으며, CIO에게 보고하는 CISO가 있는 조직이 CEO에게 보고하는 조직보다 사이버 보안 사고로 인한 다운타임을 14% 더 많이 경험한 것으로 나타났다.
•그리고 CISO가 CIO에게 보고하는 조직이 CEO에게 보고하는 조직보다 경제적 손실이 14%더 많았다. 사실, CIO이외의 다른 경영진(이사회, CFO 등)에게 보고하는 CISO의 경우 사이버 보안 사고에서 고위 관리의 거의 모든 위치에 CISO 보고서를 가진 사이버 사고의 재정 손실이 적은 것으로 조사됐다.
필자는 2013년 조사에서도 유사한 결과를 발견했다. CEO와 이사회가 아닌 CIO에게 보고하는 CISO가 있는 조직은 사이버 보안 사고로 인한 다운타임으로 경제적 손실을 더 크게 입은 것으로 나타났다.
필자는 항상 모든 조직이 똑같지 않으며 모든 상황에 동일하게 적용되는 모델은 존재하지 않는다고 믿었다. 그러나 IT보안 담당 임원이 조직내 CIO가 아닌 CEO에게 보고하느냐에 대해서는 할 말이 많다. CIO의 목표와 CISO의 목표간의 상충되는 이해를 줄이려면 CEO에게 문제를 직접 전달하는 능력뿐 아니라 기업 임원들에게 영향을 끼칠 보안을 제공할 기획도 필요하다. CSIO와 CIO가 보안을 비즈니스 목적 및 조직의 리스크 선호도에 맞춰 조율해 공통의 목표를 위해 협업해야 하는 것이 중요하다. CISO와 CIO가 대등한 관계일 때만이 회의 석상에서 똑 같은 목소리를 낼 수 있으며 그 모습이 가장 바람직할 것이다.