CIO / 보안

글로벌 칼럼 | CISO가 비즈니스 학생이 되어야 하는 이유

Mark Weatherford, Henry Praw | CSO 2020.10.27
CISO가 되기까지 기술 관련 전문 지식이 도움이 되었겠지만, 이제 경영진과 함께 임원 자리에 앉으려면 비즈니스를 이해해야 한다.   
 
ⓒ Getty Images Bank

비네트는 오늘날 CISO가 보안 전문가가 되는 것만큼 비즈니스 리더가 되는 것이 왜 중요한지에 대해 여러 저자들과 대화를 나눴다. 보안 전문가가 되어 채용되는 것이 목적이었다면, 비즈니스 전문가가 되는 것은 CISO가 경영진의 일원으로 인정받기 위해 적극적으로 배워야 하는 사항이다. 

바네트는 "내 인생에서 가장 창피했던 순간 가운데 하나는 CISO 동료가 이사회에 사이버 인텔리전스 브리핑을 해달라고 나를 초대했을 때였다. 프레젠테이션 후 동료는 분기별 보안 업데이트를 이사회에 전달했다. 발표 후 그는 몇 가지 질문을 받았는데, 솔직히 답변을 너무 못했다. 그는 질문들이 특히 보안 영역을 벗어나 비즈니스에 근접했을 때 당황하기 시작했다. 마침내 회장이 그에게 ‘우리가 어떻게 수익을 창출하는지 이해하고 있는가?’라고 물었을 때, 그는 말문이 막혔다. 다행히 대화는 빨리 다른 주제로 넘어갔지만, 방에 있던 모든 사람에게는 끔찍한 경험이었다. 하지만, 최고 보안 책임자가 왜 비즈니스를 배워야 하는지, 회사가 어떻게 돈을 버는지 이해해야 하는 이유의 중요성에 대해 지금까지 본 최고의 교훈 가운데 하나였다"라고 설명했다. 

보안 경력을 쌓는 동안 수백 명의 사람들과 이야기를 나눴고, 그들 기업의 실제 비즈니스에 정통한 CISO가 거의 없다는 사실에 놀랐다. 보안 관련 컨퍼런스에서 대부분의 대화는 기술, 인증 및 정책에 초점을 맞추고 있다. 보안 담당자가 비즈니스 수익에 기여하는 여러 요소에 대해 세부적으로 이야기하는 경우는 드물었다.

 
임원 테이블에 앉는다는 것은 

대부분의 사람은 위험, 보안 기술에 대한 지식과 회사가 직면한 보안 위협에 대한 이해를 통해 CISO와 고위 보안 직책을 맡게 되지만, 그렇다고 임원 자리에 앉지 못한다. 좋든, 싫든 보안은 대부분의 회사에서 수익을 창출하는 기본이 아니기 때문에 경영진과 가시성을 놓고 자리를 경쟁한다. 경영진들은 CISO가 여전히 기술 전문가로 인식할 뿐, 비즈니스 대화에 참여할 수 있다고 생각하지 않는다. 

지난 20년 동안 CISO는 경영진 리더십 팀의 일원이 될 자격이 있다고 주장해왔지만, 대부분의 보안 전문가는 이 기회를 활용하기 위해 숙제를 하지 않았다. 대부분의 CISO가 상당히 잘 알고 있는 보안 위험, 즉 GDPR(General Data Protection Regulation), HIPPA(Health Insurance Portability and Accountability Act), 또는 PCI(Payment Card Industry)에 대해서는 많이 이야기한다. 그러나 이 같은 규제 위험 이외의 경쟁 위험, 인플레이션 위험, 시장 위험, 정치적 위험, 운영 위험, 또다른 규제 위험과 같은 다른 비즈니스 위험에 대해서는 어떠한가? 이런 위험은 비즈니스 리더가 매일 생각하는 위험이며, CISO는 반드시 전문가가 될 필요는 없지만, 최소한 이런 논의를 잘 알고 있어야 한다는 것이다. 

보안 책임자는 회사에 적합한 보안 프로그램을 적절하게 평가하기 위해 회사에서 수익을 창출하는 방법의 기본 사항을 잘 알고 있어야 하며, 회사가 돈을 버는 방법과 가치를 창출하는 프로세스를 모두 이해해야 한다.

 
비즈니스 모델과 가치의 이해 

대부분의 비즈니스 모델은 매우 간단하다. 제품을 만들거나, 서비스를 제공하는 데 드는 비용보다 더 많이 제품이 서비스를 판매하는 것이다. 예를 들어, 온라인 소매 업체가 공급업체로부터 컴퓨터를 구입한 다음, 구입 비용보다 높은 가격으로 컴퓨터를 소비자에게 재판매한다. 성공적인 소매 업체는 이런 판매의 작동 방식을 이해하고, 재고 입/출고 모델과 해당 판매의 지리적, 인구통계학적 상황에 대해 잘 알고 있다. 석유 회사나 전기 회사의 경우, 총 생산 비용보다 더 많은 석유와 전기를 판매해야 하는데, 이를 위해서는 생산에 들어가는 유무형의 모든 요소를 고려해야 한다.  

가치는 조금 더 복잡하다. 스케이트 보드를 제조하는 회사에서 일하는 경우, 단순히 나무 또는 유리섬유 조각을 가져다가 4개의 바퀴를 추가하는 것보다 훨씬 더 많은 비즈니스 대화가 이뤄진다. 
 
  • 경쟁업체보다 더 나은 스케이트 보드를 만드는 방법은 무엇인가?
  • 보호해야 할 지적 재산은 있는가? 
  • 인구 통계학적으로 어떤 그룹이 스케이트 보드를 구입하고 어떻게 마케팅하는가? 
  • 스케이트 보드를 포장하고 공장에서 출고하기 전에 따라야 하는 법률, 환경 및 세금 관련 규정은 무엇인가?

CISO가 모든 비밀 요소를 더 잘 이해할수록 이를 보호하기 위한 보안 프로그램을 더 잘 구축할 수 있다. 위험은 산업 분야마다 다르며, CISO는 경영진과 이사회가 이해할 수 있는 방식으로 보안 위험을 적절하게 평가하기 위해 가치를 이해해야 한다. 


보안과 비즈니스의 조정 사례 

비전을 가진 보안 임원이 비즈니스를 진정으로 이해한다면 보안 프로그램은 회사에서 가장 중요한 사항에 맞춰 조정될 것이다. 비즈니스가 어떻게 진행되고 있는지, 모니터링하고 시장 변화에 대응할 수 있을만큼 민첩한 보안 프로그램을 갖추면 진실하고 적절한 위험 완화 효과를 얻을 수 있다. 

비즈니스를 이해하면 보안 프로그램이 경영진에게 의미가 있으며, 비즈니스와의 연계가 분명하기 때문에 경영진은 보안을 더 중요하게 생각하고 존중할 것이다. 이것이 CISO가 임원 테이블에 앉는 방법이다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.