2012.03.20

CISO는 누구한테 보고해야 하나?

John Kirkwood | CSO

간단한 질문처럼 보일 수도 있다. 다른 C레벨 임원들의 보고체계에 대한 논쟁으로 보일 수도 있다. 그동안 최고 개인정보보호 책임자, 최고 규제준수 책임자 같은 C레벨 경영진들의 보고체계에 대한 논쟁이 있어왔지만, 최근 몇 년에 비할 바는 아니다.

이는 CISO 직책과 기능을 받아들이는 기업들이 늘어나고 있다는 증거다.  프라이스워터하우스쿠퍼스(PricewaterhouseCoopers)가 7,000여 기업들을 대상으로 실시한 정보 보안 설문조사에서 CISO나 이와 유사한 직책을 두고 있다고 답한 기업은 전체의 22%에 불과했다. 몇 년 전 일이다. 그러다 2011년의 조사에서는 이 수치가 80%로 증가했다.

그러나 CISO의 보고체계에 대해서는 아직 합의된 의견이 없다. CISO가 CIO에게 보고하도록 해서는 안 된다는 의견이 우세할 뿐이다. 이 문제를 다룬 많은 사람들이 CISO가 IT 부서에 속하면 책임 업무가 부적절하게 분리가 될 수 있다고 지적하고 있다. 그러나 산업에 따라 다르기는 하지만 40~60%의 CISO들이 CIO나 IT 부문의 책임자에게 보고하도록 조직이 구성돼 있다. 특히 일부 산업에서는 이런 식의 조직 구성이 뚜렷하게 관찰되고 있다.

CISO가 직계 부하로 CIO에게 보고하도록 해서는 안 된다는 의견에 동의한다 할지라도, 이것이 앞의 질문에 답이 되진 않는다. 세계적인 수준의 7개 기업에 CISO의 보고 체계에 대해 묻는다면 7개의 답이 나올 것이다. 그리고 각 회사들은 그 이유를 나름의 논리를 들어 강하게 제시할 것이다.

한발 물러나 다른 관점에서 이 질문을 생각해보자. 소개받은 의사에게 "당신은 어떤 의사입니까?"라는 질문을 했다고 가정해보자. 자신의 전공 분야나 기술, 졸업한 학교, 이력 등을 소개할 것이다. 변호사나 회계사에게도 이런 질문을 던질 수 있다.

그러나 CISO에게 이런 질문을 할 수 없다. 여러 형태의 CISO가 있다는 사실을 생각할 수 없기 때문이다. 대신 "누구에게 보고하도록 돼 있습니까?"라고 묻곤 한다. 이런 질문을 하는 이유는 보고체계를 알면 해당 CISO가 어떤 역할과 책임을 맡고 있는지 파악할 수 있기 때문이다. 예를 들어, 법무 담당 부서나 규제 준수(Compliance) 담당 부서에 편성된 CISO들은 보안 운영에 대한 책임을 맡지 않는다. 그러나 네트워크 운영이나 기반 책임자에게 보고하도록 조직이 구성된 기업의 CISO들은 전자와 달리 보안 운영에 대한 책임을 맡는다.

CISO들의 업무를 다양한 방식으로 설명할 수 있다는 것은 기업들이 이 직책에서 요구하고 있는 역량들 또한 다양하다는 증거가 된다. CISO의 보고체계에 영향을 주는 몇 가지 요소로는 기업 전략, 문화, 기업 내에서 그 동안의 CISO 역할, 보안 사고 경험, 규제 요건 등을 들 수 있다.

필자는 기업마다 이런 점들을 고려해 여러 형태의 CISO를 찾게 된다고 생각한다. 물론 환경이 바뀌면 CISO의 보고체계도 바뀔 수 있다.

3가지 형태의 CISO
CISO는 크게 3가지 형태로 분류할 수 있다. 물론 대부분은 어느 한 가지 형태의 CISO 역할만을 요구한다고 보기는 어렵다. 그러나 CISO의 보고체계를 이해하는데 도움을 줄 수 있는 기준들이다.

1. 최고 기술 정보 보안 책임자(TISO: Technical Information Security Officer)

TISO는 기술 보안과 관련된 문제, 운영 및 감시 등에 특화된 역할을 맡고 있다. 방화벽 관리, 침입 감지 처리, 침입 예방 시스템 구축 등이 주된 업무다. 또 기술 정책, 관리 및 평가와 관련된 업무를 조율하고 관리한다. CIO나 CTO, 또는 다른 IT 책임자에게 보고하도록 돼 있다.




2012.03.20

CISO는 누구한테 보고해야 하나?

John Kirkwood | CSO

간단한 질문처럼 보일 수도 있다. 다른 C레벨 임원들의 보고체계에 대한 논쟁으로 보일 수도 있다. 그동안 최고 개인정보보호 책임자, 최고 규제준수 책임자 같은 C레벨 경영진들의 보고체계에 대한 논쟁이 있어왔지만, 최근 몇 년에 비할 바는 아니다.

이는 CISO 직책과 기능을 받아들이는 기업들이 늘어나고 있다는 증거다.  프라이스워터하우스쿠퍼스(PricewaterhouseCoopers)가 7,000여 기업들을 대상으로 실시한 정보 보안 설문조사에서 CISO나 이와 유사한 직책을 두고 있다고 답한 기업은 전체의 22%에 불과했다. 몇 년 전 일이다. 그러다 2011년의 조사에서는 이 수치가 80%로 증가했다.

그러나 CISO의 보고체계에 대해서는 아직 합의된 의견이 없다. CISO가 CIO에게 보고하도록 해서는 안 된다는 의견이 우세할 뿐이다. 이 문제를 다룬 많은 사람들이 CISO가 IT 부서에 속하면 책임 업무가 부적절하게 분리가 될 수 있다고 지적하고 있다. 그러나 산업에 따라 다르기는 하지만 40~60%의 CISO들이 CIO나 IT 부문의 책임자에게 보고하도록 조직이 구성돼 있다. 특히 일부 산업에서는 이런 식의 조직 구성이 뚜렷하게 관찰되고 있다.

CISO가 직계 부하로 CIO에게 보고하도록 해서는 안 된다는 의견에 동의한다 할지라도, 이것이 앞의 질문에 답이 되진 않는다. 세계적인 수준의 7개 기업에 CISO의 보고 체계에 대해 묻는다면 7개의 답이 나올 것이다. 그리고 각 회사들은 그 이유를 나름의 논리를 들어 강하게 제시할 것이다.

한발 물러나 다른 관점에서 이 질문을 생각해보자. 소개받은 의사에게 "당신은 어떤 의사입니까?"라는 질문을 했다고 가정해보자. 자신의 전공 분야나 기술, 졸업한 학교, 이력 등을 소개할 것이다. 변호사나 회계사에게도 이런 질문을 던질 수 있다.

그러나 CISO에게 이런 질문을 할 수 없다. 여러 형태의 CISO가 있다는 사실을 생각할 수 없기 때문이다. 대신 "누구에게 보고하도록 돼 있습니까?"라고 묻곤 한다. 이런 질문을 하는 이유는 보고체계를 알면 해당 CISO가 어떤 역할과 책임을 맡고 있는지 파악할 수 있기 때문이다. 예를 들어, 법무 담당 부서나 규제 준수(Compliance) 담당 부서에 편성된 CISO들은 보안 운영에 대한 책임을 맡지 않는다. 그러나 네트워크 운영이나 기반 책임자에게 보고하도록 조직이 구성된 기업의 CISO들은 전자와 달리 보안 운영에 대한 책임을 맡는다.

CISO들의 업무를 다양한 방식으로 설명할 수 있다는 것은 기업들이 이 직책에서 요구하고 있는 역량들 또한 다양하다는 증거가 된다. CISO의 보고체계에 영향을 주는 몇 가지 요소로는 기업 전략, 문화, 기업 내에서 그 동안의 CISO 역할, 보안 사고 경험, 규제 요건 등을 들 수 있다.

필자는 기업마다 이런 점들을 고려해 여러 형태의 CISO를 찾게 된다고 생각한다. 물론 환경이 바뀌면 CISO의 보고체계도 바뀔 수 있다.

3가지 형태의 CISO
CISO는 크게 3가지 형태로 분류할 수 있다. 물론 대부분은 어느 한 가지 형태의 CISO 역할만을 요구한다고 보기는 어렵다. 그러나 CISO의 보고체계를 이해하는데 도움을 줄 수 있는 기준들이다.

1. 최고 기술 정보 보안 책임자(TISO: Technical Information Security Officer)

TISO는 기술 보안과 관련된 문제, 운영 및 감시 등에 특화된 역할을 맡고 있다. 방화벽 관리, 침입 감지 처리, 침입 예방 시스템 구축 등이 주된 업무다. 또 기술 정책, 관리 및 평가와 관련된 업무를 조율하고 관리한다. CIO나 CTO, 또는 다른 IT 책임자에게 보고하도록 돼 있다.


X