CISO의 역할이 변화하고 있습니다. CISO가 스스로 따라잡을 수 있을까?

CISO의 역할이 변화하고 있습니다. CISO가 스스로 따라잡을 수 있을까?

타임 스탬프 : 11 년 2024 월 5 일 오후 34:XNUMX

지난 10년 동안 급속한 디지털 혁신으로 인해 CISO(최고정보보안책임자)의 역할이 확대되었습니다. 이제 CISO는 훨씬 더 비즈니스 지향적이어야 하고, 더 많은 역할을 수행해야 하며, 이사회 구성원, 직원, 고객 모두와 효과적으로 소통해야 합니다. 그렇지 않으면 심각한 보안 실패의 위험이 있습니다.

라스베거스에서 열린 CPX 2024의 광범위한 언론 Q&A에서 CISO 패널과 국제 조직의 부사장(VP)이 디지털 혁신, 수익성 압박, 보안 인식 부족으로 인해 어떻게 비즈니스 성격이 바뀌었는지에 대해 논의했습니다. 기술적인 것부터 사업적인 것까지, 그리고 고도로 사회적인 것까지 그들의 위치는 광범위합니다.

오늘날 그들은 효과적인 CISO와 더 나아가 조직의 효과적인 보안 문화 사이의 차이점은 취약점을 완화하고 정책을 정의하는 것만큼 부드러운 의사소통 기술에 달려 있다고 제안했습니다. 실제로 후자를 통해 성공하지만 전자가 부족한 보안 리더는 결국 조직을 심각한 침해에 노출시키게 됩니다.

“결과에 대해 물으셨나요?” Allegiant Travel Company의 CISO인 Dan Creed는 Dark Reading의 질문에 대해 수사적으로 질문했습니다. “SolarWinds에게 결과가 무엇인지 물어보세요. 비밀번호 정책이 있었는데 인턴이 비밀번호 정책을 따르지 않았습니다. 결과를 살펴보세요.”

디지털 혁신이 CISO를 어떻게 변화시켰는가

IDC의 사이버 보안 제품 부문 프로그램 부사장인 프랭크 딕슨(Frank Dickson)은 10월 6일 별도의 CPX 기자 회견에서 "CISO의 역할은 지난 XNUMX년 동안 바뀌었고 우리는 이를 결코 멈추지 않았습니다."라고 말했습니다.

몇 년 전, 이 직위는 오늘날에도 여전히 연관되어 있는 상대적으로 좁은 범위의 사이버 위험에 초점을 맞춰 만들어졌습니다. 그러나 기업의 공격 표면이 넓어지면서 공격 범위가 확장되었습니다. Target, Ashley Madison 등 기업 리소스의 취약점을 요구하는 데 사용되는 일반적인 침해입니다. 요즘은 특히 코로나 이후로 직원의 이메일, 전화 및 기타 장치 오히려 조직에 가장 큰 위험을 나타냅니다. 정보 보안에 대한 책임이 공동의 책임이 되면서 CISO는 사일로에서 벗어나게 되었습니다.

IDC의 새로운 보고서에 대해 언론에 브리핑하는 Frank Dickson

IDC의 새로운 보고서에 대해 언론에 브리핑하는 Frank Dickson; 출처: CPX

디지털 혁신은 또한 IT를 사일로화된 구석에서 비즈니스 라인으로 바로 이동시켰습니다. Dickson이 지적했듯이, “내년 [Global] 40 전체 수익의 약 2000%가 디지털 제품과 서비스에서 창출될 것입니다. 따라서 이는 IT의 성격을 비용 설정자에서 수익 창출 경로로 바꾸는 것입니다. 그리고 그것이 무엇을 하는지 생각해 보면 CISO의 역할이 근본적으로 바뀌게 됩니다.” 오늘날 기업이 IT를 비즈니스 동인으로 인식할수록 사이버 위험을 예방하고 완화하는 것뿐만 아니라 비즈니스 결정에 대해 이사회에 조언하고 개발자, 영업사원 및 고객과의 만남에 더 많은 CISO가 통합되어야 합니다.

점점 늘어나는 비즈니스 관련 CISO의 책임은 CPX에서 공개된 IDC 설문 조사에 반영되었습니다. 설문 조사에 참여한 847명의 사이버 보안 리더 중 10%는 CISO의 가장 중요한 업무가 리더십과 팀 구축 기술이라고 믿고 있으며, 8%는 비즈니스 관리 기술이라고 생각했습니다. 실제 사이버 보안 인식 및 이해, IT 아키텍처 및 엔지니어링 기술은 각각 12%로 거의 더 많은 표를 얻었습니다.

CISO가 직원을 통해 더 나은 성과를 낼 수 있는 방법

CISO만이 아니다. 영상을 사업가로서의 두 배 – 그들은 필요합니다. “그러한 관계를 확립하지 못한 결과로 회사에서는 '글쎄, 그건 내 책임이 아니야'라는 문화를 갖게 되었습니다. SolarWinds 및 MGM과 같습니다. 보안 인식 부족으로 인한 결과를 이해하거나 인식하지 못하더라도 헬프 데스크에 전화하여 MFA를 재설정합니다.”라고 Creed는 설명했습니다.

원탁회의 다른 사람들이 반향한 Creed 주장의 미묘함은 중요합니다. 직원의 보안 실수를 예방하는 것은 단순히 인식을 확산시키는 문제가 아니라고 강조합니다. 왜냐하면 지식이 풍부한 직원이라도 보안 팀과의 관계가 건강하지 않거나 위생이 너무 힘들면 보안을 무시하기 때문입니다.

“[그들은] 보안을 숨겨야 한다고 말합니다. 나는 한 단계 더 나아갑니다. 보안은 비즈니스를 원활하게 하고 속도를 높여야 합니다.”라고 Check Point의 Field CISO인 Pete Nicoletti는 현대 CISO의 진화된 철학을 반영했습니다. 그는 제한적이고 구식인 CISO가 전통적으로 비즈니스를 둔화시키는 사례로 VPN을 제시합니다. “내 이메일이 얼마나 오래 보관되나요? 10초인가요, 아니면 22초인가요? VPN에 가입하는 데 시간이 얼마나 걸리나요? 인증하는데 XNUMX초가 걸리기 때문에 [직원]이 해결하려고 합니까? [그것은] 가능한 한 투명하고 사용하기 쉽게 만들려고 노력하는 것입니다. 실제로 프로세스 속도를 높여 경쟁 우위를 확보할 수 있는 도구를 선택하세요.”

Creed는 “제가 추진하고 있는 초기 계획 중 일부가 바로 그것입니다.”라고 말했습니다. “VPN에서 벗어나 랩톱을 사용하여 전원을 켜고 네트워크에 연결되어 보안 스택을 다시 통과하는 상시 접속 환경으로 전환해 보겠습니다. 다음 목표는 이제 비밀번호 없는 환경으로 전환할 수 있는 기반을 마련하는 것입니다.”

직원과 대화하고 보안을 더 쉽게 만드는 것만으로는 충분하지 않다면 CISO는 대체 인센티브를 실험해 볼 수도 있습니다. “실제로 우리는 보안 문화에 관한 KPI 지표를 가지고 있습니다. 그리고 우리는 실제로 보너스 풀에 영향을 미치기 시작하여 부서가 더 나아지면 보너스 풀이 표준 이상으로 증가하는 지점까지 준비하고 있습니다. . .] 그렇지 않으면 보너스를 받게 됩니다.”라고 Creed는 설명했습니다.

CISO가 동료 경영진과 더 효과적으로 협업할 수 있는 방법

그 다음은 보드입니다.

설문조사에서 IDC는 CISO와 동료 CIO에게 CISO가 실제로 무엇을 하는지(예: 전략적 아키텍처에 중점을 두는지, 아니면 업무가 본질적으로 전술적인지) 물었고 응답에서 큰 차이를 발견하지 못했습니다. ' 가장 가까운 C 레벨 파트너는 완전히 같은 페이지에 있지 않습니다.

Creed는 최근 “우리는 새로운 737을 주문했습니다. 그리고 이것은 우리의 최초의 전자 연결 항공기입니다. [이사회]는 이전 대화에 저를 포함시키지 않았고 모든 새로운 e-connected 항공기에는 사이버 보안 요구 사항이 있다는 소방 훈련이 되었습니다. 실제로 승인 및 승인된 네트워크 보안 계획이 없으면 파일에 FAA가 있으면 해당 항공기에 대한 감항 인증을 잃게 됩니다. 이사회가 처음으로 '우리는 함대를 확장할 것입니다'라는 길을 걷기 시작했을 때 보안에 영향을 미칠 수 있다고 생각했다고 생각하시나요?”

“따라서 그들을 교육하고 설명해야 합니다. 이것이 바로 우리가 테이블에 앉을 자리가 필요한 이유입니다. 비즈니스를 위해 내려지는 모든 전략적 결정에는 위험이 수반됩니다. [. . .] 당신이 많을수록 우리도 저 테이블에 앉혀줘, 우리가 비즈니스를 보호하고 위험이 일단 화재가 된 것보다 시작되는 위치에 무게를 둘 수 있는 것이 더 좋습니다.”라고 그는 말했습니다.

이를 위해 Denver Broncos의 정보 기술 담당 수석 부사장인 Russ Trainor는 Dark Reading과의 인터뷰에서 다음과 같은 간단한 팁을 제시했습니다.

“가끔 침해 소식을 CFO에게 전달합니다. 유출된 데이터의 양은 다음과 같습니다. 여기에 우리가 생각하는 비용이 얼마인지 나와 있습니다.”라고 그는 말합니다. "그런 것들은 집에 닿는 경향이 있습니다."

타임 스탬프 :

더보기 어두운 독서