사이버 보안이 기업 의사 결정에서 점점 더 중요한 고려 사항이 됨에 따라 최고 정보 보안 책임자(CISO)의 역할을 경영진 계층에서 더 높은 지점으로 승격하려는 움직임이 있었습니다. “사이버가 중요하다면 CISO도 중요해야 한다”는 논리인 것 같다. 그러나 역할을 높이면 CISO는 IT, 엔지니어링 또는 제품의 일상적인 의사 결정자와 거의 관련이 없는 사막에서 "보안"을 외치는 외로운 목소리가 됩니다.
이로 인해 회사의 보안 조치가 괜찮다고 생각한 Facebook 임원과 같은 일부 바람직하지 않은 결과가 발생했습니다. 몇 시간 동안 지연 발생 4년 2021월 XNUMX일 정전에 대응하여 돈을 지불한 해커 침해 사실을 인정하기보다 자신의 시스템을 침해한 사람, 또는 초기에 잘못된 선택을 했음을 인정하기보다 "추가 보안 계층"에 투자한 수많은 CISO. 이 모든 경우에서 CISO가 기능적 사업부로부터 고립된 것이 의심할 여지 없이 이러한 결정이 반영된 터널 사고에서 역할을 했습니다.
조직적 영향
아마도 CISO의 역할을 재정의해야 할 때일 것입니다. 아마도 CISO의 중요성은 조직의 상태보다는 조직의 영향에 반영되는 것이 더 나을 것입니다. 기능 단위에 보안을 내장하면 보안이 향상될 수 있습니다.
CISO를 IT 조직 에코시스템의 일부로 상상해 보십시오. 그들은 인프라에 대한 모든 결정에 관여할 것이며 보안 문제는 사실 이후에 추가되는 것이 아니라 그러한 결정에 통합될 것입니다. 이렇게 하면 외부 그룹이 인프라에 삽입한 특수 보안 기능이 아니라 네트워크가 구성되고 관리되는 방식을 기반으로 일련의 "보안" 솔루션을 사용할 수 있습니다.
소프트웨어 개발 조직에 포함된 보안 전문가를 상상해 보십시오. 개발 프로세스를 개선하여 개발자에게 생소한 프로세스로 부담을 주지 않고 보안을 염두에 두고 코드를 작성하고 테스트하여 회사 코드의 취약성을 줄일 수 있습니다. 제품 라인에 내장된 보안 전문가를 상상해 보십시오. 기업 인프라가 IP를 보호하고 개발 프로세스가 제품의 취약성을 줄이는지 확인할 수 있습니다.
이 모든 경우에 보안은 기업 운영의 현실에 근거한 기업 의사 결정의 요소가 됩니다. CISO의 전문 기술은 제약이 아니라 일상 업무에 필수적입니다. 마찬가지로 금융 시스템과 파트너 및 공급업체와의 통신이 안전하게 유지되도록 보안 및 규정 준수가 원활하게 작동해야 합니다. 이는 통신 시스템 및 기타 하드웨어로 확장됩니다.
위험 요소
이것은 보안의 기술적 차원을 기업 실행에서 강력한 목소리로 만드는 보다 영향력 있는 방법인 것 같습니다. 그러나 이것이 개별 기능 단위의 특별한 이익을 다루기 위해 정책 차원을 분리하여 정책 차원을 축소시킬 것인지 궁금할 수 있습니다. 이러한 우려는 현재 CISO가 수행하는 보안 정책 기능을 포함하도록 최고 위험 책임자의 역할을 확장하여 해결할 수 있습니다.
이는 필요한 주의를 기울이는 C 수준에서 보안 정책을 유지하는 이점이 있습니다. 다른 위험의 맥락에서 사이버 보안 위험을 고려하는 추가 이점이 있습니다(위의 사례를 해결하기 위해 가용성에 대한 위험, 평판에 대한 위험). 보안은 더 이상 그 자체로 목적이 아니라 비즈니스를 수행하는 차원입니다. 이것은 보안이 다른 문제와 싸워야 하고 조직의 보안 태세를 손상시키는 편의를 제공해야 한다는 것을 의미하지 않습니다. 오히려 그것은 모든 요구 사항을 충족시키려는 것과 양자택일의 사고방식을 교환하는 환경을 설정합니다.
직원을 잠그지 않고도 Facebook을 효과적으로 보호할 수 있는 수많은 액세스 제어 기술이 있습니다. 가용성 위험과 함께 보안 위험을 고려할 때 보다 실용적인 솔루션이 나타납니다.
