당신은 보다 나은 그 무엇을 꿈꾸는 IT 보안 전문가 입니까? 당신의 승진 경력 계발은 한계가 있습니까?
CISO(최고 정보 보안 책임자)란 무엇일까요?
과거에는, 기업의 사장이나 이사회에 보고를 담당하고 있는 관리 이사 휘하에 소속된 작은 부서였으며, (너무) 전문가에만 초점을 맞추는 듯이 보여 졌습니다. 하지만, 오늘날의 비즈니스 환경은 다른 행보를 보이고 있습니다. 정보 보안 책임자는 특정 분야의 전문가인 동시에 전반적인 회사의 사업 개발 전략을 이해 해야 합니다. 이것이 바로 많은 조직이 최고 정보 보안 책임자를 두게 되는 계기가 되었습니다.
CISO (최고 정보 보안 책임자)는 조직 내부의 정보 자산 및 기술을 보호 하고 IT 위험을 줄이는 과정을 수립하고 유지해야 할 책임이 있습니다. 지난 10년 동안, CISO (최고 정보 보안 책임자) 의 존재는 비즈니스, 정부 및 비영리 부분에서 표준화 되었습니다. 오늘날의 진화된 사이버 위협과 타깃 사이버 공격으로 인하여 전 세계 기업들은CISO (최고 정보 보안 책임자)에 대한 높은 필요성을 느끼게 되었으며 동시에, 국제적인 기업의 보안 침해에 대한 언론의 관심 또한 높아지고 있습니다. 이것은 단순히 재정적인 손실뿐만이 아니라 더 나아가 기업의 명예를 훼손하는 결과를 초래할 수 있습니다.
사이버 위협 환경으로 인하여, 새로운 레벨로의 역할 향상과, CISO (최고 정보 보안 책임자)에 대한 중요성이 강조되고 있습니다. 현재 많은 조직들이 이사회에 CISO (최고 정보 보안 책임자)를 포함시키고 있으며, 그들에게 중요한 의사결정을 내릴 수 있는 권한을 부여하고 있습니다.
CISO (최고 정보 보안 책임자)가 직면한 과제
경영진의 일원으로서의 CISO (최고 정보 보안 책임자) 는 크게 두 가지 어려움에 직면하게 됩니다: 첫 번째는, CISO (최고 정보 보안 책임자)와 이사회 사이에서 발생하는 전문 용어 이해 차이에 따른 ‘의사소통의 어려움’ 이라고 할 수 있습니다. 기술직에 종사하는 사람들은 기본적으로 기술적인 사고 방식을 가지고 있으므로 그들은 자신의 전문화된 업무와 프로세스에 초점을 맞추게 됩니다. 이사회로 승진 되기 전에, 보안이 아닌 일반적인 IT 업무에 대한 경험이 있는 이들도 비즈니스 참여의 기회가 부족했습니다. 그렇지만, CISO (최고 정보 보안 책임자)의 역할은 기업에 대한 이해와 비즈니스 통찰력 그리고 기술 지식에 대한 강한 균형을 필요로 합니다.
CISO (최고 정보 보안 책임자)는 비교적 새로운 역할로서 아직까지 상세 역할에 대한 전문적인 기준은 없습니다. 오늘날 그들은 보안 전략, IT 위험 관리, 위협 관리, ID및 액세스 관리, 보안 성능 관리, IT 규정 준수 관리, 보안 제품 및 아키텍처 관리와 같은 넓은 범위를 관리하고 있습니다.
두 번째 도전과제는 이 분야를 관리 할 수 있는 적합한 솔루션 공급업체를 찾아내는 것입니다. 시장은 보안 공급업체, 솔루션 및 전문가로 넘쳐나지만, 비즈니스 요구를 정확히 충족 시킬 수 있는 만족스러운 조건을 찾아내기란 쉬운 일이 아닙니다. 여기서 우리는 보안 솔루션의 통합성 및 복잡한 기업의 인프라 스트럭처를 보호할 수 있는 능력에 주목하는 것이 중요합니다. 단순히 안티 멀웨어를 가지고 있다는 것만으로는 충분하지 않으며, 유연한 중앙 집중식 제어가 가능한 다계층 보호가 필요합니다. 보호는 애플리케이션 제어 및 데이터 암호화와 같이 안티 멀웨어 그 이상의 추가적인 보안 수단을 제공할 준비가 되어 있어야 합니다. 다양한 기업의 IT 인프라 스트럭처를 감안할 때, 모바일 및 가상화 엔드포인트에도 보호가 필요합니다. 기업의 IT 보안에 있어 전문적인 서비스와 지원 역시 매우 중요한 부분이라고 할 수 있습니다. 작업의 복잡성을 감안할 때, 더 많은 공급업체와 솔루션이 관련될수록, CISO (최고 정보 보안 책임자)가 진정으로 신뢰할 만한 IT 전략을 실행하고 개발하는데 어려움을 겪을 수 있습니다.
최근 연구를 통하여 CISO (최고 정보 보안 책임자)의 근무기간이 평균 18개월 밖에 되지 않는 이유에 대한 명백한 근거를 확인하실 수 있습니다. 이는 IT 솔루션 구입과 구현 프로세스 사이클을 완성하는 기간과 일치하며, CISO (최고 정보 보안 책임자)의 전략적인 결정이 옳았는지에 대한 판단 여부는 그 결과를 통하여 증명이 가능합니다. 따라서, 올바른 파트너를 선택하는 것이야 말로 CISO (최고 정보 보안 책임자)의 생존여부에 중요한 영향을 미친다고 할 수 있습니다.
CISO (최고 정보 보안 책임자)를 위한 몇 가지 조언
만약 당신이 CISO (최고 정보 보안 책임자)를 꿈꾸고 있다면, 아래의 단계를 참고 하는 것이 많은 도움이 될 것 입니다.
• 보안 관련 예산에 대한 협상을 하는 것을 잊지 마십시오. 보안 솔루션 구매는 단순히 비용에 의해 결정되지 않으며, 기업의 요구사항에 대한 질적인 분석과, 규제 준수, 사이버 공격 환경과 IT 관련 위험성이 고려되어야 합니다.
• 회사로부터 신뢰받을 수 있는 조언자가 되십시오. 회사 데이터에 대한 보안 위험을 인식하고, 업계 동향을 파악하고 따라가야 합니다. 전략적인 의사 결정을 내리십시오. 몇 가지 문제를 해결하는 것만이 능사는 아닙니다. 동시에 날카로운 안목으로 모든 문제점을 파악할 수 있어야 합니다. 또한, 단순히 제품을 판매하는 것이 아닌 솔루션을 제공하여 줄 수 있는 적절한 IT 공급업체를 선정하는 능력도 필요 합니다.
• 회사 조직이 타깃이 될 수 있다는 점을 명심하시기 바랍니다. 단순히 가능성이 있다거나, 있음직한 일이라고 치부하는 것이 아니라, 공격 받을 수 있는 대상이라는 것을 인지 하셔야 합니다. 회사 조직을 위한 포괄적인 보안 전략이 필요합니다. 이는 조직 내부 전체 인프라 스트럭처를 포함해야 하며, 해당 인프라 스프럭처에 필요한 변화를 예측하고, 효과적인 방어를 제공할 수 있도록 전문 보안 인텔리전스를 활용해야 합니다.
• 이사회 구성원들과의 공통분모를 찾아 보십시오. IT 위험성과 그것이 비즈니스에 미치는 영향, 더 큰 그림과 비즈니스의 전략적인 방향성을 고려하여 효과적인 의사소통이 가능할 수 있도록 해야 합니다. 열린 마음과 상호 기능적 지식 및 기술을 습득하십시오. 더 이상 이사회와 기술 관련 전문 용어를 사용하는 의사소통을 중지하시고 비즈니스 언어를 사용하시기 바랍니다.
• 인간적인 사람이 되십시오. 조직 내부 관계를 구축하고 신뢰를 얻으셔야 합니다. 안전한 미래를 위하여 당신의 동료를 이끌어 주십시오. 기술이란 업무에 적합한 인재 없이는 이루어 질 수 없음으로, 변화를 만들고 새로운 과정을 구현하는 데에 당신과 함께 헤쳐나갈 수 있는 동료와 함께하는 것이 매우 중요 합니다. 만약 회사 동료의 저항이 있는 경우, 회사 규정에 대한 교육을 실시한 후, 업무 전선에 배치 하시기 바랍니다. 가장 중요한 것은, 보안 강화로 인해 직원들이 부정적인 영향을 받아서는 안되며, 그들의 효율적인 업무 환경과, 어려움에 관심을 기울이고 적절한 도움을 제공할 수 있는 프로세스를 구현해야 한다는 것입니다.
출처:
* May 2013 State of Software Security Report by Veracode
[ 카스퍼스키 ]
