2021.01.26

보안이 이사회 문제로 대두되지 못한 4가지 이유

Jon Oltsik | CSO
새로운 연구에 따르면, 기업 경영진과 이사진은 사이버보안을 비즈니스 관심사가 아닌 기술 영역으로 보고 있다. 
 
ⓒ Getty Images Bank

2015년, 보안 업계는 ‘사이버보안은 이사회의 문제’라는 새로운 의제를 채택됐다. 이 성명서는 많은 연구보고서, 비즈니스 언론 기사, 웨비나, 지역 행사, 심지어 RSA와 블랙햇(Black Hat) 세션에서 CISO와 비즈니스 임원 및 기업 이사회 간의 관계가 급성장하고 있다는 사실을 입증했다. 


그 이후, 달라진 것은 

이후 달라진 것이 있는가? 이를 알아보기 위해 ESG는 북미(미국, 캐나다), 서유럽(영국, 프랑스, 독일)의 대기업 및 중견 기업에 종사하는 고위급 경영인, 사이버보안 및 IT 전문가 365명을 대상으로 설문조사를 실시했다.
 
설문조사 결과에는 좋은 소식과 나쁜 소식이 있다. 좋은 소식은 사이버보안이 실제로 이사회 수준의 문제라는 것이다. 그런데 나쁜 소식은 있어야 할 곳에 없다는 것이다.

사이버보안은 여전히 기술 문제로 인식되고 있다.
응답자의 28%는 사이버보안이 전적으로 기술 영역이라 생각하고, 41%는 사이버보안이 대부분 비즈니스 측면을 강조하는 기술 영역이라고 답했다. 놀랍게도, 11%는 여전히 사이버보안을 규정준수 영역으로만 생각하고 있다. 이는 사이버보안에 대한 이사회 수준의 논의가 고객 커뮤니케이션을 보호하거나 직원을 유지하면서, 중요한 애플리케이션 및 비즈니스 프로세스에 사이버탄력성(cyber-resilience) 구축하는 것보다는 개방형 소프트웨어의 취약점과 탐지된 사고수와 같은 것에 치중하고 있음을 의미한다. 

CISO는 기술자로 간주된다.
전체 기업의 절반 이상이 CISO를 비즈니스 임원으로 간주하지만, 나머지 절반은 여전히 IT 역할로만 인식한다. 일부 기업에서는 CISO를 값비싼 방화벽 관리자에 불과하다고 생각한다. 기업 내 CISO는 임원이나 이사회와 거의 대면하지 않는다. 대면하는 경우에도, 사전 예방적인 의견을 제시하기보다는 질문에 답하는 것이 일반적이다. 

사이버보안은 여전히 기업 문화와는 정반대다.
절반 이하의 기업(44%)이 사이버보안에 대한 직원들의 헌신과 참여에 대해 ‘매우 우수하다’고 답했다. 나머지 56%는 적절하거나 공평하거나 혹은 나쁘다고 답했다. 따라서 CISO는 ‘사이버보안은 모든 사람이 할 일이다’라고 선언하지만 대부분의 기업은 직원의 순위를 매기고 평가하는데, 이 의제를 적용하지는 않는다.  

비즈니스 관리자는 사이버보안 책임이 거의 또는 전혀 없다.
마찬가지로 29%의 기업만이 비기술적 관리자가 민감한 데이터 분류, 직원 역할과 접근 정책과의 연계, 사이버보안 관리자와 비즈니스 계획 수립 등과 같이 사이버보안 책임이 있다고 응답했다. 기업 임원은 이런 것을 가능한 빨리 수행해야 할 체크박스 연습 같은 것으로 생각하는 경향이 있다.  

이 보고서와 다른 데이터는 사이버보안에 대한 이분법적 사고를 보여준다. 이사회와 경영진은 사이버보안에 더 많이 관여하고 있지만, ‘우리와 그들’이라는 사고방식을 유지하고 있다. 비즈니스 임원과 이사회는 비즈니스 의사 결정을 주도하며, CISO는 기술적인 보안 제어를 강화하고 발생하는 문제를 정리하는 업무를 담당한다. 

2015년 사이버보안이 이사회 문제라고 선언했을 때, 이 선언은 틀린 것이 아니다. ESG 연구에 따르면, 수년간의 방치 끝에 이사회와 경영진은 5년 전부터 마침내 사이버보안에 관심을 가지기 시작한 것으로 보인다. 그 이후, 사이버보안 업계는 점진적인 진전을 위해 스스로를 격려하기 바빴다. 
 
의사가 20kg을 감량해야 한다고 경고했는데, 실제로 2Kg만 빼고서 승리를 선언하지 않을 것이다. 불행하게도 이사회와 최고 경영진의 사이버보안은 이런 일이 벌어지고 있다. 대부분의 기업에서는 앞으로 많은 노력이 필요하다. 

하지만 이번 설문조사에서는 기본 이상으로 보안을 잘 이행한 기업이 있음을 보여주고 있다. 이 기업은 비즈니스 임무, 문화, 전략의 필수 구성요소로 사이버보안과 관련해 상당한 진전을 이뤘다. 또한 일부 기업은 보안 효율성, 사이버보안 투자에 대한 ROI 향상, 비즈니스 유연성 향상과 같은 이점을 얻었다. editor@itworld.co.kr 


2021.01.26

보안이 이사회 문제로 대두되지 못한 4가지 이유

Jon Oltsik | CSO
새로운 연구에 따르면, 기업 경영진과 이사진은 사이버보안을 비즈니스 관심사가 아닌 기술 영역으로 보고 있다. 
 
ⓒ Getty Images Bank

2015년, 보안 업계는 ‘사이버보안은 이사회의 문제’라는 새로운 의제를 채택됐다. 이 성명서는 많은 연구보고서, 비즈니스 언론 기사, 웨비나, 지역 행사, 심지어 RSA와 블랙햇(Black Hat) 세션에서 CISO와 비즈니스 임원 및 기업 이사회 간의 관계가 급성장하고 있다는 사실을 입증했다. 


그 이후, 달라진 것은 

이후 달라진 것이 있는가? 이를 알아보기 위해 ESG는 북미(미국, 캐나다), 서유럽(영국, 프랑스, 독일)의 대기업 및 중견 기업에 종사하는 고위급 경영인, 사이버보안 및 IT 전문가 365명을 대상으로 설문조사를 실시했다.
 
설문조사 결과에는 좋은 소식과 나쁜 소식이 있다. 좋은 소식은 사이버보안이 실제로 이사회 수준의 문제라는 것이다. 그런데 나쁜 소식은 있어야 할 곳에 없다는 것이다.

사이버보안은 여전히 기술 문제로 인식되고 있다.
응답자의 28%는 사이버보안이 전적으로 기술 영역이라 생각하고, 41%는 사이버보안이 대부분 비즈니스 측면을 강조하는 기술 영역이라고 답했다. 놀랍게도, 11%는 여전히 사이버보안을 규정준수 영역으로만 생각하고 있다. 이는 사이버보안에 대한 이사회 수준의 논의가 고객 커뮤니케이션을 보호하거나 직원을 유지하면서, 중요한 애플리케이션 및 비즈니스 프로세스에 사이버탄력성(cyber-resilience) 구축하는 것보다는 개방형 소프트웨어의 취약점과 탐지된 사고수와 같은 것에 치중하고 있음을 의미한다. 

CISO는 기술자로 간주된다.
전체 기업의 절반 이상이 CISO를 비즈니스 임원으로 간주하지만, 나머지 절반은 여전히 IT 역할로만 인식한다. 일부 기업에서는 CISO를 값비싼 방화벽 관리자에 불과하다고 생각한다. 기업 내 CISO는 임원이나 이사회와 거의 대면하지 않는다. 대면하는 경우에도, 사전 예방적인 의견을 제시하기보다는 질문에 답하는 것이 일반적이다. 

사이버보안은 여전히 기업 문화와는 정반대다.
절반 이하의 기업(44%)이 사이버보안에 대한 직원들의 헌신과 참여에 대해 ‘매우 우수하다’고 답했다. 나머지 56%는 적절하거나 공평하거나 혹은 나쁘다고 답했다. 따라서 CISO는 ‘사이버보안은 모든 사람이 할 일이다’라고 선언하지만 대부분의 기업은 직원의 순위를 매기고 평가하는데, 이 의제를 적용하지는 않는다.  

비즈니스 관리자는 사이버보안 책임이 거의 또는 전혀 없다.
마찬가지로 29%의 기업만이 비기술적 관리자가 민감한 데이터 분류, 직원 역할과 접근 정책과의 연계, 사이버보안 관리자와 비즈니스 계획 수립 등과 같이 사이버보안 책임이 있다고 응답했다. 기업 임원은 이런 것을 가능한 빨리 수행해야 할 체크박스 연습 같은 것으로 생각하는 경향이 있다.  

이 보고서와 다른 데이터는 사이버보안에 대한 이분법적 사고를 보여준다. 이사회와 경영진은 사이버보안에 더 많이 관여하고 있지만, ‘우리와 그들’이라는 사고방식을 유지하고 있다. 비즈니스 임원과 이사회는 비즈니스 의사 결정을 주도하며, CISO는 기술적인 보안 제어를 강화하고 발생하는 문제를 정리하는 업무를 담당한다. 

2015년 사이버보안이 이사회 문제라고 선언했을 때, 이 선언은 틀린 것이 아니다. ESG 연구에 따르면, 수년간의 방치 끝에 이사회와 경영진은 5년 전부터 마침내 사이버보안에 관심을 가지기 시작한 것으로 보인다. 그 이후, 사이버보안 업계는 점진적인 진전을 위해 스스로를 격려하기 바빴다. 
 
의사가 20kg을 감량해야 한다고 경고했는데, 실제로 2Kg만 빼고서 승리를 선언하지 않을 것이다. 불행하게도 이사회와 최고 경영진의 사이버보안은 이런 일이 벌어지고 있다. 대부분의 기업에서는 앞으로 많은 노력이 필요하다. 

하지만 이번 설문조사에서는 기본 이상으로 보안을 잘 이행한 기업이 있음을 보여주고 있다. 이 기업은 비즈니스 임무, 문화, 전략의 필수 구성요소로 사이버보안과 관련해 상당한 진전을 이뤘다. 또한 일부 기업은 보안 효율성, 사이버보안 투자에 대한 ROI 향상, 비즈니스 유연성 향상과 같은 이점을 얻었다. editor@itworld.co.kr 


X