3min. read

많은 최고 정보 보안 책임자(CISO)에게 이사회에 보고하는 일은 매우 필요한 일이지만 반동적인 업무로 취급됩니다. 결국, 기업 조직 체계의 상위권은 이사회로 이루어져 있기 때문에 보안 전문가는 이들에게 계속해서 정보를 제공해야 합니다. 하지만 CISO가 이사회와 소통하는 유일한 안건이Log4j 취약점과 같은 보안 인시던트(예: 규제 요건에 따라 요청 처리하거나 같은 산업 내에서 발생한 위반에 관한 질문에 답변)에 관한 것이면 안 됩니다.

반대로 보안 전문가는 이사회와 정기적으로 소통하여 정보와 이사회에 정보와 교육을 제공하고 상호 신뢰를 구축해야 합니다. 궁극적으로, 이사회와의 협력은 더 나은 보안 태세를 갖추는 데 도움이 되며 이는 언제나 필요한 일입니다.

4차 방어선으로서 이사회의 역할

이사회는 보안 리더가 보고해야 하는 또 다른 그룹으로 인식되긴 하지만 실제로 이 거버넌스 그룹은 그 이상일 수 있습니다.

이사회는 엔터프라이즈 보안을 위한 4차 방어선으로 생각할 수 있으며, 그렇게 생각해야 합니다. 1차 방어선은 인시던스를 분류하는 현장의 운영 직원이 관리하는 일상적인 보안 작업과 기능입니다. 2차 방어선은 사이버 거버넌스 기능이고, 3차 방어선은 내부 감사 및 보고 기능입니다. 따라서 4차 방어선은 실제로 이사회입니다. 4가지 모든 방어선이 효율적으로 소통하면서 간극을 없애고 일관된 사이버보안을 운영해 나아가는 것이 중요합니다.

이사회와 사전 예방적으로 신뢰를 구축하는 방법

이사회를 보안 파트너 겸 효과적인 4차 방어선으로 만들려면 양측이 서로를 신뢰해야 합니다. 따라서 보안 전문가는 다음 세 가지 요소 측면에서 이사회에 중요한 것이 무엇인지 살펴봐야 합니다.

브랜드 보호. .기업의 브랜드는 지적 재산, 영업 비밀 및 평판 관점에서 보호되어야 합니다.

수익성. 회사의 수익성을 보장하기 위한 올바른 보안 컨트롤이 마련되어 있어야 합니다.

리스크 관리. 사이버보안 위협이 비즈니스에 어떤 영향을 미칠 수 있는지 실제로 공감할 수 있는 내용을 이사회에 보고해야 한다는 점을 알고 있어야 합니다.

ROSI(Return on Security Investment) 전망

이사회와 소통할 때 같은 언어를 사용하는 것이 중요합니다. 일반적으로 이사회 구성원이 사이버보안 전문가가 아니라는 점은 공공연한 사실입니다. 따라서 CISO는 종종 어떤 수준의 기술 언어를 사용해야 할지 고심하고, 때로는 기술에 문외한인 사람들과 소통하는 방법을 모르기 때문에 특정 기술적 정보를 공유하지 못할 때도 있습니다.

저 역시 기술적인 요소는 엄청나게 강조하는데 이사회가 이해할 수 있는 비즈니스 관점에서 리스크를 전달하는 데 능숙하지 못한 CISO를 종종 보곤 합니다. 이사회와 소통할 때 가장 좋은 점은 겁을 주지 않아도 상대의 참여를 계속해서 끌어내고 리스크에 관해 효율적으로 전달할 수 있다는 점입니다.

Unit 42 내에서 우리는 보안에 대한 ROI를 효과적으로 전달하기 위해 ROSI(Return on Security Investment)라는 용어를 사용합니다. CISO는 보호할 자산과 보호 방법의 측면에서 ROSI에 중요한 특정 보안 투자의 필요성을 수익 관점에서 재정적으로 설명할 수 있어야 합니다. 또한 ROSI는 기업의 입장에서 주관적인 성숙도가 아니라 객관적인 보안 성숙도에 대한 순이익이 무엇인지 설명해야 합니다.

Unit 42 이사회에 리스크를 전달하기 위한 프레임워크

CISO가 이사회에 대해 갖는 주요 책임 중 하나는 선제적이고 의미 있는 방식으로 리스크를 전달하는 것입니다. Palo Alto Networks Unit 42 에서는 다음 주요 단계 및 항목을 아우르는, 이사회에 리스크를 전달하기 위한 프레임워크를 개발했습니다.

인벤토리 수집. 모르는 것은 보호할 수 없으므로 IT 자산에 대한 적절한 인벤토리가 있어야 합니다.

주요 자산 식별.개별 데이터, 애플리케이션 또는 특정 인프라 중 가장 중요한 자산을 찾아 식별합니다. 비즈니스의 중심에 있는 주요 자산을 파악하는 것이 중요합니다.

보안 도구 평가.기업은 주요 자산을 보호하기 위해 갖춘 보안 도구를 얼마나 잘 사용하고 있는지 파악해야 합니다.

인시던트 대응 역량 평가.인시던트가 주요 자산에 영향을 미치는 경우 기업은 효과적이고 효율적으로 대응할 수 있는 역량이 있어야 합니다.

테스트 및 검증.도구 및 인시던트 대응 역량을 파악합니다. 위협 행위자가 주요 자산을 공격한 경우 이러한 역량이 어떻게 발휘되는지 테스트 및 검증해야 합니다.

이사회에 회복성 요약.프레임워크의 마지막 단계는 이사회에 기업이 잠재적인 리스크에 대해 얼마나 회복성을 지니고 있는지 전달하는 것입니다. 분석의 실행 가능하고 객관적인 결과를 이사회에 전달하고 이를 다시 비즈니스와 연결시키는 방식으로 소통하는 것이 목표입니다.

보고 지표: 후행 지표가 아닌 선행 지표 보고

종종 기업에서는 공격 횟수, 알림, 종결된 인시던트 수 또는 진행 상황을 나타내기 위해 패치되지 않은 운영 체제의 수 등과 같은 보안 운영 센터(SOC) 지표를 보고합니다. 그러나 사실, 이러한 지표로는 사이버 리스크를 느끼기에 충분하지 않습니다. 단언컨대, 이러한 SOC 지표는 대응적인 문제 해결 조치로 이어지는 후행 지표로 간주해야 합니다.

CISO는선제적 보안 이니셔티브를 촉진하는 선행 지표를 제시하는 것이 좋습니다. 선제적 선행 지표의 좋은 예로는 지난 12개월 동안 평가한 타사 또는 공급망 리스크 관리 리소스의 수가 있습니다. 이 지표는 고위험 공급망 리소스가 몇 개이고 해당 타사에 대한 실사를 검증한다는 측면에서 회사의 진행 상황을 보여줍니다.

성공적인 CISO/이사회 통신을 위한 권장 사항

이사회와 성공적인 업무 관계를 구축하는 것은 하나의 프로세스이지만 가장 중요한 것은 관계를 구축하는 것입니다. 이사회를 파악하고, 비즈니스 리스크 측면에서 이사회의 관심을 끌어낼 수 있는 것이 무엇인지 파악해야 합니다. 이사회가 가장 중요시하는 문제가 무엇인지 알아야 비즈니스 자산 및 비즈니스 필요 측면에서 이사회의 최대 이익을 보호하는 방법을 전달할 수 있습니다.

또한 이사회에 전달하는 내용에 대해 데이터 기반 접근 방식을 취해야 합니다. 가능한 모든 곳에서 주관성을 제거하면 단순히 사실만을 전달하게 되므로 더욱 유리한 입장에 설 수 있습니다. 슬라이드에 그저 숫자를 나열하는 것도 효과가 없습니다. 가장 효과적인 것은 바로 스토리텔링입니다. 이사들은 도입, 전개, 클라이맥스 그리고 문제 해결의 순으로 파악하는 것을 선호합니다. 따라서 단순히 데이터를 제시하지 말고 데이터 이면의 이야기를 들려주세요.

기본적으로 명심할 점은 이사회는 솔루션의 일부라는 사실입니다. 이사회는 4차 방어선입니다. 따라서 기업 전체의 여러 리더가 보안이 모든 사람의 책임임을 이해하는 역량 강화 문화를 조성하고 지원해야 합니다.