2019.05.17

사이버보안 전문가가 가장 스트레스를 받는 업무 5가지

Jon Oltsik | CSO
사이버보안 전문가가 가장 스트레스를 받는 일은 새로운 IT 이니셔티브에 대한 보안 필요성과 함께 IT 부서에 대한 교육, 사용자 교육, 그리고 현업과의 협력이다. 
 
ⓒ Getty Images Bank 

사이버보안 전문가와 대화를 하다 보면, 그가 직면한 문제에 대해 고민하는 것을 들을 수 있다. 이들이 가장 고민하는 것은 무엇일까. 새로운 IT 이니셔티브에 대한 보안 필요성과 함께 많이 거론되는 것들이 있다. 

ESG와 ISSA(Information Systems Security Association)는 최근 제 3회 연례 연구 보고서인 사이버보안 전문가의 삶과 시간(The Life and Times of Cybersecurity Professionals)을 발표했다. 이 보고서의 상세 내용을 요약하면 다음과 같다. 

응답자의 40%는 사이버보안 업무 가운데 스트레스가 심한 부분은 새로운 IT 이니셔티브의 보안 요구 사항을 따라잡는 것이라고 말했다. IT 팀은 새로운 비즈니스 이니셔티브에 힘 입어 워크로드를 클라우드로 이전하거나 IoT 장치를 배포하거나 새로운 모바일 애플리케이션을 만들고 있다. 사이버보안 팀은 비즈니스 프로세스 변경과 관련한 위험성을 이해해야 하는데, 불행히도 이를 뒷받침할 적절한 보안기술 지식이 부족하다. 이는 위험한 상황이다. 

응답자의 39%조직 내 다른 팀이 보안 감시없이 시작한 IT 이니셔티브/프로젝트를 찾는 일이라고 말했다. 현업에서는 IT 이니셔티브를 따라잡기 위해 기존 프로세스를 따르지 않고 기습적으로 과제를 던진다. 마케팅 임원이 "우리는 민감한 고객 데이터를 고객 프로파일링 및 분석을 전문으로 하는 서드파티와 공유하기로 결정했다. 이미 3개월 전부터 이 프로젝트를 진행하고 있었다"고 발표한다. 이제 CISO는 이 데이터를 보호하는 방법을 찾아야 한다. 이는 엄청난 스트레스가 된다. 

응답자의 38%최종 사용자가 사이버보안의 위험을 이해하고 이에 따라 행동을 변화하도록 교육하는 것이라고 말했다. 대부분의 대규모 조직에서는 보안 인식 교육을 실시하지만 사실상 체크박스 연습만으로 끝난다. 사람은 보안 사슬에서 가장 약한 고리임에도 불구하고 대부분의 조직은 사이버보안 교육을 충분히 추진하지 않는다. 이로 인해 사이버보안 전문가의 근무 환경은 스트레스가 많으며, 기업에게는 큰 사이버보안 문제를 야기한다. 

응답자의 37%현업에게 사이버 위험을 이해시키기 위해 노력하는 것이라고 말했다. 이에 대해 좋은 소식과 나쁜 소식이 있다. 좋은 소식은 사이버 위험을 실시간으로 모니터링하고 보고할 수 있는 새로운 위험 관리 도구들을 케나 시큐리티(Kenna Security), 레피드7(Rapid7), 리스크렌즈(RiskLens), 리스크센스(RiskSense), 테너블 네트워크(Tenable Network)와 같은 공급업체로부터 제공받을 수 있다는 사실이다. 이 기술은 CISO와 비즈니스 임원이 데이터를 기반으로 적시에 위험 완화 결정을 내리는 데 도움을 준다. 
나쁜 소식은 너무 많은 기업이 여전히 사이버보안을 필요악으로 간주하고 사이버 위험을 좀더 이해하지 못하고 있다는 것이다. 이런 기업에 종사하는 사이버보안 전문가는 지속적으로 직무 스트레스를 받는다. 

응답자의 36%증가하는 작업 부하를 따라잡는 것이라고 말했다. 여기에서 보안 기술의 부족이 또다시 드러난다. 물론 여기에는 기술 통합, 프로세스 자동화, 매니지드 서비스 등으로 해소할 수 있는 것들이 있다. 하지만 이는 공공, 민간 영역에서 공동으로 다뤄야 하는 사회적 문제다.
 
ESG/ISSA 연구 보고서는 여기에서 무료로 다운로드 할 수 있다. editor@itworld.co.kr  


2019.05.17

사이버보안 전문가가 가장 스트레스를 받는 업무 5가지

Jon Oltsik | CSO
사이버보안 전문가가 가장 스트레스를 받는 일은 새로운 IT 이니셔티브에 대한 보안 필요성과 함께 IT 부서에 대한 교육, 사용자 교육, 그리고 현업과의 협력이다. 
 
ⓒ Getty Images Bank 

사이버보안 전문가와 대화를 하다 보면, 그가 직면한 문제에 대해 고민하는 것을 들을 수 있다. 이들이 가장 고민하는 것은 무엇일까. 새로운 IT 이니셔티브에 대한 보안 필요성과 함께 많이 거론되는 것들이 있다. 

ESG와 ISSA(Information Systems Security Association)는 최근 제 3회 연례 연구 보고서인 사이버보안 전문가의 삶과 시간(The Life and Times of Cybersecurity Professionals)을 발표했다. 이 보고서의 상세 내용을 요약하면 다음과 같다. 

응답자의 40%는 사이버보안 업무 가운데 스트레스가 심한 부분은 새로운 IT 이니셔티브의 보안 요구 사항을 따라잡는 것이라고 말했다. IT 팀은 새로운 비즈니스 이니셔티브에 힘 입어 워크로드를 클라우드로 이전하거나 IoT 장치를 배포하거나 새로운 모바일 애플리케이션을 만들고 있다. 사이버보안 팀은 비즈니스 프로세스 변경과 관련한 위험성을 이해해야 하는데, 불행히도 이를 뒷받침할 적절한 보안기술 지식이 부족하다. 이는 위험한 상황이다. 

응답자의 39%조직 내 다른 팀이 보안 감시없이 시작한 IT 이니셔티브/프로젝트를 찾는 일이라고 말했다. 현업에서는 IT 이니셔티브를 따라잡기 위해 기존 프로세스를 따르지 않고 기습적으로 과제를 던진다. 마케팅 임원이 "우리는 민감한 고객 데이터를 고객 프로파일링 및 분석을 전문으로 하는 서드파티와 공유하기로 결정했다. 이미 3개월 전부터 이 프로젝트를 진행하고 있었다"고 발표한다. 이제 CISO는 이 데이터를 보호하는 방법을 찾아야 한다. 이는 엄청난 스트레스가 된다. 

응답자의 38%최종 사용자가 사이버보안의 위험을 이해하고 이에 따라 행동을 변화하도록 교육하는 것이라고 말했다. 대부분의 대규모 조직에서는 보안 인식 교육을 실시하지만 사실상 체크박스 연습만으로 끝난다. 사람은 보안 사슬에서 가장 약한 고리임에도 불구하고 대부분의 조직은 사이버보안 교육을 충분히 추진하지 않는다. 이로 인해 사이버보안 전문가의 근무 환경은 스트레스가 많으며, 기업에게는 큰 사이버보안 문제를 야기한다. 

응답자의 37%현업에게 사이버 위험을 이해시키기 위해 노력하는 것이라고 말했다. 이에 대해 좋은 소식과 나쁜 소식이 있다. 좋은 소식은 사이버 위험을 실시간으로 모니터링하고 보고할 수 있는 새로운 위험 관리 도구들을 케나 시큐리티(Kenna Security), 레피드7(Rapid7), 리스크렌즈(RiskLens), 리스크센스(RiskSense), 테너블 네트워크(Tenable Network)와 같은 공급업체로부터 제공받을 수 있다는 사실이다. 이 기술은 CISO와 비즈니스 임원이 데이터를 기반으로 적시에 위험 완화 결정을 내리는 데 도움을 준다. 
나쁜 소식은 너무 많은 기업이 여전히 사이버보안을 필요악으로 간주하고 사이버 위험을 좀더 이해하지 못하고 있다는 것이다. 이런 기업에 종사하는 사이버보안 전문가는 지속적으로 직무 스트레스를 받는다. 

응답자의 36%증가하는 작업 부하를 따라잡는 것이라고 말했다. 여기에서 보안 기술의 부족이 또다시 드러난다. 물론 여기에는 기술 통합, 프로세스 자동화, 매니지드 서비스 등으로 해소할 수 있는 것들이 있다. 하지만 이는 공공, 민간 영역에서 공동으로 다뤄야 하는 사회적 문제다.
 
ESG/ISSA 연구 보고서는 여기에서 무료로 다운로드 할 수 있다. editor@itworld.co.kr  


X