Uber의 최고 정보 보안 책임자(CISO)인 Joe Sullivan이 회사의 2016년 데이터 유출을 보고하지 않은 것에 대해 최근 유죄 판결을 받은 것은 일부 사람들에게는 달갑지 않은 놀라움으로, 다른 사람들에게는 Mr. Sullivan의 행동에 대한 정당한 결과였습니다.
30년 넘게 동료 CISO이자 정보 보안 리더로서 나는 Sullivan의 뛰어난 경력을 존중하는 동시에 판결. Sullivan은 대부분의 CISO가 조만간 직면하게 될 윤리적 딜레마에 빠졌습니다. CISO가 경력을 쌓거나 망칠 수 있는 딜레마를 처리하기로 결정하는 방법.
CISO의 책임은 무엇입니까?
CISO의 역할과 책임은 지속적으로 진화하고 있으며 Uber에서 볼 수 있는 것과 같은 대규모 유출에 대한 홍보가 증가함에 따라 더욱 면밀히 조사되고 있습니다.
이러한 최근 사건이 그들에게 의미하는 바를 고려하는 CISO에게는 세 가지 중요한 질문을 하기에 적절한 시기입니다.
1) CISO로서 데이터 유출이 발생한 경우 내 책임은 무엇입니까?
Uber 재판을 통해 CISO의 역할이 더욱 명확해졌을지 모르지만, CISO의 역할과 관련된 책임이 바뀌지는 않았다고 생각합니다. 위반이 발생하면 CISO의 책임은 분명합니다. 투명하고 필요한 모든 정보를 공개해야 합니다. 때때로 이러한 공개는 규제 기관에 의해 의무화되며 때로는 회사가 구성원에 대한 책임 있는 공개로 간주됩니다.
Sullivan의 첫 번째 반응이 올바른 조치를 취하고 법에서 요구하는 위반 사항을 보고한 것인지 모르겠습니다. 그의 오랜 경력을 고려할 때 확실히 그랬기를 바랍니다. 즉, 회사 내의 보고 구조에 따라 많은 CISO가 회사가 위반 사항을 공개할지 여부에 대한 최종 발언권이 없을 수 있습니다. 종종 그렇듯이 CISO는 위반을 위반이 아닌 다른 것으로 재구성할 방법을 찾도록 기각되고 압력을 받을 수 있습니다. 이러한 재구성은 회사가 규제 벌금, 개선 비용(예: 영향을 받는 고객에게 신용 모니터링 서비스 제공), 고객 신뢰 및 회사 평판에 미치는 영향을 포함하여 잠재적인 부정적인 결과를 방지하는 데 도움이 될 수 있습니다.
위반은 회사가 위반된 데이터를 보호하지 못한 것으로 간주됩니다. 궁극적으로 CISO의 실패라고 볼 수도 있다. 이것은 오래된 질문을 제기합니다. 책임은 어디에서 멈추나요? 위반에 대한 최종 책임은 누구에게 있습니까? 어쨌든 기업이 인정하거나 공개하는 것은 간단한 일이 아니다.
CISO의 윤리적 딜레마는 다음과 같습니다. 나는 내 역할의 무결성을 유지하고 책임을 다합니까? 아니면 우리 회사가 그 결과를 부담하지 않도록 사고를 재구성하려고 합니까?
내가 Sullivan의 입장이라면 내 역할의 진실성과 솔직히 유권자들의 신뢰를 배반하기보다는 내 자리를 기꺼이 사임할 것이라고 생각하고 싶습니다. 해리 S. 트루먼 미국 대통령의 말을 빌리자면 "사이버 보안 책임은 CISO에서 멈춥니다."
2) 침해당했을 때(만일 아닌 경우) 우리 회사의 계획은 무엇입니까?
보안 공급업체의 CISO로서 저는 악의적 행위자와 국가의 동기와 결단력을 너무 잘 알고 있습니다. 또한 조직이 공격의 희생양이 될 가능성도 이해합니다. 조직은 위반될 것이라고 가정해야 합니다.. 그럴 때 어떻게 하시겠습니까?
최악의 시나리오를 해결하고 위반이 발생하기 전에 비상 계획을 마련하면 위반 시 재정적 및 운영상의 손실을 최소화할 수 있습니다. 공격자가 고객 지원 또는 공급망 운영을 오프라인 상태로 만드는 경우 다운타임 비용은 얼마입니까? 시스템이 가장 취약한 곳은 어디입니까? 피해를 어떻게 억제하고 얼마나 빨리 복구할 수 있습니까? 직원, 고객 및 이사회에 일어난 일을 어떻게 전달합니까?
CEO 및 기타 회사 임원은 CISO와 적극적으로 협력하여 이러한 질문을 해결하고 침해 발생 시 대비할 수 있는 포괄적인 계획을 개발해야 합니다. 즉각적인 행동과 정직성 무엇보다도. 그러나 그러한 계획은 사전에 잘 작성되고 심사되고 리허설된 경우에만 성공할 것입니다.
3) 이사회에서 나의 역할은 무엇입니까?
제일 회복력이 있는 기업은 최고 수준의 보안을 약속합니다. 그리고 조직의 모든 수준에 영향을 미칩니다. 이는 이사회 및 직원과 함께 강력한 사이버 보안 문화를 구축하는 것을 의미합니다. 많은 CISO는 "그런 일은 절대 일어나지 않을 것" 또는 "어차피 일어날 일인데 왜 사이버 보안에 투자해야 하는가"라고 말하는 이사회의 편견과 싸워야 할 수도 있습니다.
비즈니스 관계처럼 CISO 관계 관리
CISO가 이사회와 관계를 강화하는 한 가지 방법은 기술과 비즈니스 사이의 다리 역할을 하는 것입니다. 우리는 사이버 보안을 비즈니스 위험으로 관리하고 조직의 성과, 성장 및 기타 비즈니스 목표와 일치한다는 것을 이사회에 보여야 합니다. 기술 약어 및 개념뿐만 아니라 비즈니스 용어 및 결과를 사용해야 합니다. "왜 내가 이것에 관심을 가져야 합니까?"라는 질문에 답하도록 도와주세요. 그리고 이사회에서 리소스를 부여받는 데 성공하면 요청한 리소스를 비즈니스 결과 및 결과에 연결하는 보고서를 후속 조치하는 것이 중요합니다.
내 경험상 가장 효과적이기 위해서는 CISO가 정기적으로 예정된 회의 외에 이사회 구성원과의 관계를 육성하는 것이 중요합니다. 이를 통해 이사회 구성원이 CISO에게 기대하는 바를 더 잘 이해할 수 있고 마찬가지로 이사회 교육을 시작할 수 있습니다. 결국 사이버 보안의 실천은 위험 관리에 관한 것이지만 진실은 우리가 위험을 완전히 제거할 수 없다는 것입니다. 매일 유출되는 헤드라인은 모든 CISO를 뜨거운 자리에 올려놓았습니다. CISO는 벅찬 임무를 수행합니다. 조직의 일상적인 방어를 관리하는 동시에 피할 수 없는 미래의 공격에 대한 행동 계획을 수립해야 합니다. 오늘날 CISO가 이 도전적이고 중요한 역할을 성공적으로 이끌고 성공하려면 청렴성과 정직성이 필요합니다.
