보안

“효과가 없거나 오래된 보안 전략 되살리기” 보안 리부팅 가이드

John Edwards | CSO 2021.01.20


워크플로우 관리 플랫폼 개발사인 서비스나우(ServiceNow)의 CISO 벤 드 본트는 현재와 미래의 기업 보안 요구사항에 대해 최대한의 인사이트를 확보하기 위해, 모든 직급의 보안 팀원을 대상으로 익명 설문조사를 실시하는 것이 좋다고 말했다. 이를 통해 현재와 미래의 장애물들에 대한 세부 정보를 수집하고, 직원들의 만족도를 평가하고, 개선에 필요한 사항들에 대한 피드백을 수집한다. 본트는 “현업 책임자와 이들의 목표와 의도, 프라이버시 의무 및 규정, 공격 표면 등 보안 요건이 보안 리부팅의 결과로 어떻게 변하는지 커뮤니케이션 하는 것도 중요하다”고 설명했다.

보안 리부팅을 계획하는 사람은 가능한 한 많은 이해관계자로부터 조언과 피드백을 수집해야 한다. YL의 유는 “사이버보안에 특히 중요한 부분이다. 오랜 기간 유지된 가정에 도전을 하는 것이 포함되기 때문이다”고 말했다. 가능한 한 많은 관련 당사자로부터 피드백을 수집하는 것은 수용에도 도움을 준다. 또한, 계획을 수립하는 사람이 자칫 간과될 수도 있는 부분에 전문가의 생각과 관점을 들어 반영하도록 도움을 준다. 전략을 바꾸는 경우, 사람들은 이런 변화가 필요한 이유를 알고 싶어한다. 이해관계를 심층 연구 및 조사하는 것이 좋다. 두려움을 줄이도록 도움을 주고, 계획 지원과 컴플라이언스를 촉진하기 때문이다. 
일그는 운영과 전술, 전략에 부합하도록 보안 리부팅 전략을 수립할 것으로 제안한다. 익르는 “이 여정에 사람들을 동참시켜야 한다. 여러 부서의 사람들로 팀을 구성하면 공식적인 프로젝트 일정과 중간 목표 등 전략 이행에 도움을 받을 수 있다”고 말했다. 특히 보안 리부팅 전략이 필요한 이유와 전략이 지향하는 방향을 설명하는 방법으로 전사적으로 지원을 받을 수 있도록 만들어야 한다. 또 수용을 이끌어내는 방법을 파악하지 못하면, 전략 추진 및 이행에 계속 어려움이 따른다고 덧붙였다.  

이해관계자들에게 보안 리부링 필요성을 설득 

CIA와 미국 공군의 사이버 보안 전문가로 일한 경력을 갖고 있는 루킹글래스 사이버 솔루션(LookingGlass Cyber Solutions)의 CTO 겸 CISO인 제레미 하스에 따르면, 경영진에게 보안 리부팅의 필요성을 설득하기 위해 많이 사용하는 방법 중 하나는 전략이 어떻게 매출이나 새로운 수익 창출 기회가 확대되도록 조직의 포지셔닝을 강화하는지 설명하는 방법이라고 말했다. 강력한 보안을 시장 차별화 방법으로 제시할 경우, 보안은 비용이 아닌 영업 구현 및 강화 요소가 된다. 하스는 “특히 금융과 헬스케어 등 규제를 많이 받는 산업이나, 정부 부문 고객들에게 서비스를 제공하는 조직에서 중요하다”고 지적했다. 

튜힐은 기업 책임자에게 보안 리부팅 전략을 설득하는 가장 좋은 방법은 의미가 있고, 검증이 가능한 데이터로 근거를 뒷받침하는 방법이라고 말했다. 튜힐은 “이사회와 고위 임원들은 설득력 있는 데이터, 증거, 전문가의 권고에 설득이 되는 경향이 있다. 파트너십도 중요하다. 조직 내 다른 고위 경영진을 활용, 새로운 전략을 지원하는 목소리를 내도록 만든다”고 설명했다. 

협업 책임자들이 보안을 솔루션 구현 및 강화 요소로 인식할 때 보안 리부팅 전략이 가장 효과적으로 잘 수용된다. 튜힐은 “보안 프로그램이 어떻게 내부 직원이나 고객 등 최종 사용자를 안심시키고 확신을 주는지 증명하는 것이 좋다. 이는 긍정적인 결과를 만들어낸다”고 강조했다.

일그는 설명을 하고 설득을 할 때 어려운 기술적 설명은 삼가는 것이 좋다고 말했다. 또 “이해할 수 있는 ‘경영 관리’ 용어를 사용해야 한다. 이를 바탕으로 성과와 사명, 비전, 기업과의 관련성을 설명한다”고 덧붙였다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.