3min. read

많은 최고 정보 보안 책임자(CISO)에게 이사회에 보고하는 일은 매우 필요한 일이지만 반동적인 업무로 취급됩니다. 결국, 기업 조직 체계의 상위권은 이사회로 이루어져 있기 때문에 보안 전문가는 이들에게 계속해서 정보를 제공해야 합니다. 하지만 CISO가 이사회와 소통하는 유일한 안건이Log4j 취약점과 같은 보안 인시던트(예: 규제 요건에 따라 요청 처리하거나 같은 산업 내에서 발생한 위반에 관한 질문에 답변)에 관한 것이면 안 됩니다.

반대로 보안 전문가는 이사회와 정기적으로 소통하여 정보와 이사회에 정보와 교육을 제공하고 상호 신뢰를 구축해야 합니다. 궁극적으로, 이사회와의 협력은 더 나은 보안 태세를 갖추는 데 도움이 되며 이는 언제나 필요한 일입니다.

4차 방어선으로서 이사회의 역할

이사회는 보안 리더가 보고해야 하는 또 다른 그룹으로 인식되긴 하지만 실제로 이 거버넌스 그룹은 그 이상일 수 있습니다.

이사회는 엔터프라이즈 보안을 위한 4차 방어선으로 생각할 수 있으며, 그렇게 생각해야 합니다. 1차 방어선은 인시던스를 분류하는 현장의 운영 직원이 관리하는 일상적인 보안 작업과 기능입니다. 2차 방어선은 사이버 거버넌스 기능이고, 3차 방어선은 내부 감사 및 보고 기능입니다. 따라서 4차 방어선은 실제로 이사회입니다. 4가지 모든 방어선이 효율적으로 소통하면서 간극을 없애고 일관된 사이버보안을 운영해 나아가는 것이 중요합니다.

이사회와 사전 예방적으로 신뢰를 구축하는 방법

이사회를 보안 파트너 겸 효과적인 4차 방어선으로 만들려면 양측이 서로를 신뢰해야 합니다. 따라서 보안 전문가는 다음 세 가지 요소 측면에서 이사회에 중요한 것이 무엇인지 살펴봐야 합니다.

브랜드 보호. .기업의 브랜드는 지적 재산, 영업 비밀 및 평판 관점에서 보호되어야 합니다.

수익성. 회사의 수익성을 보장하기 위한 올바른 보안 컨트롤이 마련되어 있어야 합니다.

리스크 관리. 사이버보안 위협이 비즈니스에 어떤 영향을 미칠 수 있는지 실제로 공감할 수 있는 내용을 이사회에 보고해야 한다는 점을 알고 있어야 합니다.

ROSI(Return on Security Investment) 전망

이사회와 소통할 때 같은 언어를 사용하는 것이 중요합니다. 일반적으로 이사회 구성원이 사이버보안 전문가가 아니라는 점은 공공연한 사실입니다. 따라서 CISO는 종종 어떤 수준의 기술 언어를 사용해야 할지 고심하고, 때로는 기술에 문외한인 사람들과 소통하는 방법을 모르기 때문에 특정 기술적 정보를 공유하지 못할 때도 있습니다.

저 역시 기술적인 요소는 엄청나게 강조하는데 이사회가 이해할 수 있는 비즈니스 관점에서 리스크를 전달하는 데 능숙하지 못한 CISO를 종종 보곤 합니다. 이사회와 소통할 때 가장 좋은 점은 겁을 주지 않아도 상대의 참여를 계속해서 끌어내고 리스크에 관해 효율적으로 전달할 수 있다는 점입니다.

Unit 42 내에서 우리는 보안에 대한 ROI를 효과적으로 전달하기 위해 ROSI(Return on Security Investment)라는 용어를 사용합니다. CISO는 보호할 자산과 보호 방법의