in

CISO의 역할 변화

최근 Ponemon Institute re-A 최근 Ponemon Institute 보고서는 C-Suite가 현재 그 어느 때보다도 심각한 보안 사고나 데이터 침해로 인해 브랜드에 대한 영향과 개선 비용, 벌금 및 법적 수수료 및 고객 손실 때문에 회사의 성장과 수익성을 저해할 수 있다는 것을 이해하고 있다고 지적했다. 그 결과, 기업의 사명과 목표를 지원하는 전사적 IT 보안 전략을 수립해야 하는 필요성과 마찬가지로, 최고 정보보안 책임자(CISO)의 역할이 중요해지고 있다.

이 모든 것이 물리적 기업 보안에 중요한 이유는 무엇인가?

BlackBerry의 부사장 겸 CISO인 John McClurg는 두 가지 이유로 말한다. McClug는 기업 보안 임원으로서, Honeywell International과 Lucent/Bell Laboratories는 물론 Dell에서 CSO 역할을 진척시켰다.

첫째로, 물리적 보안 세계와 사이버 보안 세계 사이의 상호의존성이 증대함에 따라 사이버 및 물리적 보안 책임을 모두 가진 CSO 하에서 융합적 조직 구조를 고려하게 된다.

매클루그는 “루센트에서의 내 역할과의 융합을 처음 보았다”고 말했다. “물리적 보안과 논리적 보안을 분리하는 오래된 관점은 기업에서 변화하고 있으며, 현재 기업 보안과 IT 보안 세계가 융합된 기업들을 찾는 것이 상당히 보편화되고 있다. 두 배역 모두 매일 인정을 받지는 않지만, 그것이 잘못되면 분명히 비난을 받게 된다.”

이와 같이 뚜렷한 두 가지 학문들을 한데 모으는 것은 쉽지 않다. 기업 및 사이버 보안 책임자의 성격 유형은 단순히 채우기 위해 고용된 역할에 따라 매우 다를 수 있다. 그러나 맥클루그는 “해결책을 실행하기 위해서는 어느 쪽도 놀라지 않도록 손과 글러브를 함께 조정하고 협력해야 한다. 그러기 위해서는 회사 네트워크를 소유하는 IT 쪽과의 협력이 필요하다.”

또 다른 이유는 물리적 보안 프로그램과 IT 보안 프로그램 모두 CEO든 CFO든 동일한 보고 구조를 갖고 있기 때문이라고 McClug는 말한다.

“나는 내 경력에 있어서 많은 CFO들에게 보고했고, 달러를 가진 사람에게 보고하는 것에 호소하는 것이 있다”고 맥클루그는 말한다. “최고 경영자에게 보고하는 것은 경영진의 관리 원칙에서 발생할 수 있는데, 경영자는 다수의 직접 보고서를 처리할 수 없을 수도 있다. 그것은 그들을 덜 잘 섬기는 위험을 초래할 수 있다.”

통합 조직의 한 가지 어려움은 많은 중소기업들이 CISO 직책을 가지고 있지 않다는 것이라고 맥클루그는 말한다. “여기서 우리는 부동산 세계의 시간 공유처럼, 시간제일 수도 있는 개인인 가상의 CISO를 고려할 수도 있다. 그들은 그들의 전문지식을 단기간 또는 장기간에 걸쳐 중요한 결정을 내리게 할 수도 있고, 아니면 잠시 동안 몇 가지를 미세조정할 수도 있다. 그것이 CISO의 역할이 진화하는 또 다른 방법이다.”

게다가, CISO는 그들 자신의 것이 아닌 조직의 이사회에 임명되고 있다고 McClurg는 말한다. 그는 “이것은 그 역할에 근거한 중요성에 대한 IASB의 인식을 보여주는 것이다”라고 지적한다. “우리의 전문성과 통찰력이 필요하고 우리의 기술이 인정받고 있다. 이사회는 이제 자신들이 수탁 책임을 지고 있는 자신들의 상황에 대한 이해가 회사의 보안이 어떻게 작동하고 있는지에 대한 인식을 기울일 수 있는 어떠한 편견으로부터 자유롭고 명확하다는 추가 보장을 원하고 있다.

테이블의 좌석
“CSO와 CISO 모두 회사 이사회의 자리를 가져야 한다”고 조지 피니 남부 감리교 대학 보안과장은 덧붙였다. “최고 경영자들은 사이버 보안을 이해하지 못했기 때문에 해고된다, 그렇지? 그것은 두 배역이 모두 거기에 있을 수 있는 진정한 기회다.”

“내 관점에서는, 오랫동안 사이버 보안에 있어, 여러분은 물리적 보안이 없이는 사이버 보안을 진화시킬 수 없다,”고 그는 덧붙였다. “물리적 보안을 제대로 갖추지 못하면 조직의 사이버 보안을 보장할 수 없다. 그리고 그 반대도 사실이다. 두 사람은 손을 맞잡고 간다. 그것이 범죄를 예방하는 방법이다. 그렇게 함으로써 공동체의 안전을 보장할 수 있는 겁니다.”

피니는 해커들이 카메라를 넘겨받았기 때문에 모든 지점의 보안 카메라를 교체해야 했던 은행의 이야기를 공유한다. 하지만 해커들은 물리 보안 시스템에 너무 깊이 박혀 있어서 결국 은행은 전체 보안 시스템을 교체하게 되었다. “그것은 엄청난 실패였고, 그래서 이 두 배역이 손을 잡고 일해야만 하는 것입니다,”라고 그는 말한다.

피니는 이 두 역할이 서로 맞지 않을 때 사이버 보안 전문가들이 “우리의 카드를 조끼에 가깝게 플레이하는 것을 좋아하기 때문”이라고 말한다. 우리는 서로 나누는 것을 좋아하지 않는다. 왜냐하면 위반을 인정하는 것은 창피하기 때문이다. 하지만 안전을 위해서는 모두 정보를 공유할 필요가 있다고 말했다.

또한, 산업으로서도, 피니는 두려움에 이끌리는 보안 판매업자들이 그렇게 해서는 안 된다고 제안한다.

Written by adminmhe

Leave a Reply

Your email address will not be published. Required fields are marked *

방위사업청으로부터 사이버보안 인증을 요구하는 DoD

BlackBerry CTO가 자신의 역할인 Cylance에 대해 논의하고 변화하는 보안 요구 사항 충족