CISO 3인이 말하는 새로운 상사와 신뢰를 만드는 3단계 전략

고위 경영진과 신뢰 관계를 형성하는 것은 가장 좋은 시기에도 쉽지 않은 일이다. 그런데도 긴 목록의 희망 사항과 제약 사항, 한정된 예산, 다양한 수준의 리더십 지원에 대해 CISO는 기업의 최고 경영진과 관계를 구축할 책임이 있다.

문제는 새로운 상사가 부임했을 때다. 기존에 어렵게 구축한 관계를 새로 정립하는 것은 물론 전임자의 보안 전략을 새 상사에 납득시켜야 하는 상황이다. 이럴 때 어떻게 대처하는 것이 좋을까? 여기 보안 리더 3명이 공유한 최고 경영진과의 관계에 대한 조언을 모았다.
 

기반 구축

이번에 인터뷰한 보안 리더들은 새롭거나 변화하는 경영진과의 이니셔티브를 발전시키고 보존하는 가장 중요한 요소로 빈번하고 열린 소통을 꼽았다. 기업의 다양한 역할과 분야에서 강력한 관계를 개발하는데 충분한 시간과 노력을 들이면, 새로운 상사에 계획을 제시할 때 지원과 검증 관련된 확보할 수 있다는 것이다.

매케슨 코퍼레이션(McKesson Corporation)의 선임 부사장이자 글로벌 CISO 마이클 맥닐은 사내 관계 구축에 대한 포괄적인 접근 방식을 취한다. CEO와 CFO는 물론 일반적인 고문에서 특히 법률 고문과 HR에 이르기까지 경영진의 각 구성원과 심층적인 대화를 나눈다. 대화의 목표는 이들의 관심사와 우선순위를 이해하는 것이다. 그는 “기업 전체에 걸쳐 적절한 관계와 이해를 구축하려면, 실제로 최상위에서 시작해야 한다”라고 말했다. 이후 맥닐은 사업부 리더와 외부 고객, 공급 업체를 인터뷰하고, 이들의 모든 피드백을 그가 새로운, 혹은 기존 경영진에 제시하는 전체 계획에 반영한다.

 

맥닐과 마찬가지로 트위터의 부사장 겸 CISO인 린키 세티도 신뢰 기반 구축을 위해 효과적인 소통에 의존한다. 그는 “CISO의 성공과 신속한 실행 능력은 강력한 관계와 신뢰에 달려있다. 새로운 기업에 들어가거나 새로운 상사를 상대할 때, 사람들을 알아가고, 이들의 우선순위와 미래에 대한 비전을 이해하는 시간을 가져야 한다”라고 말했다.

세티는 CISO의 가장 중요한 책임 중 하나가 변경 또는 전환이 필요한지 여부와 관계없이 보안 위협과 현재 추세, 동종 업계의 모범 사례에 대해 기업을 지속해서 교육하는 것이라고 믿는다. 정보 공유에 대한 사전 예방적인 접근방식을 통해, 그는 CISO 역할에 대한 의문과 의심을 해소하고 강력한 기준이 이미 수립돼있음을 새로운 경영진에게 보여줄 수 있다.
 

입지 강화

이해 관계자를 교육하고 인사이트와 우려 사항, 해법을 일상적으로 논의하면 기업 전체에서 CISO의 이니셔티브와 목표에 대한 신뢰도와 수용도가 높아진다. 그러나 보안 전략에 대해서는 여전히 입증해야 한다.

맥닐은 “성공 관점에서 볼 때 기업 전체가 이니셔티브와 프로그램의 중요성을 이해하는 것이 매우 중요하다. 이는 리더십 전환 중에 실행의 지속 가능성에 도움이 되기 때문이다. 새로운 리더십을 위해 가치 제안과 ROI를 바꾸지 않고 현재의 우선순위를 고집하라는 것은 아니다. 그러나 이런 작업에서 CISO는 혼자가 아니다. 이미 시간을 들여 관계를 육성하고 주요 이해 관계자를 교육한 덕분에 기업 전반에 걸쳐 이들의 지원을 받아 자신의 주장을 입증할 수 있다"라고 말했다.

 

세티는 CISO가 업계 및 동종 업체 데이터를 사용해 입지를 강화할 것을 권장한다. 새로운 경영진에게 발표할 때 CISO는 그들의 이니셔티브와 목표에 영향을 준 위험 기반 및 데이터 기반 인사이트를 근거로 제시할 수 있는 준비가 돼 있어야 한다는 것이다. 이를 통해 제안된 이니셔티브의 배경을 설명하고 이해를 촉진할 뿐만 아니라 신속한 동의를 얻을 수 있다.

그는 “업계 벤치마크 데이터 또는 동종 업체의 모범 사례를 준비해두면, 전략과 목표의 개발과 결실에 도움이 된다. 데이터와 업계 분석력, 내/외부 챔피언은 앞으로 나아갈 때 매우 중요한 자원이 될 수 있다”라고 말했다.

특히 세티는 어떤 위험이 있는지, 이런 위험을 완화하는 옵션은 무엇인지, 이니셔티브를 뒤로 미룰 때의 영향을 명확히 전달하는 것의 중요성을 강조한다. 그는 "현재 사건과 위반, 보고된 대규모 사건, 특히 해당 기업에서 두드러진 위험으로 인해 발생한 사건을 활용하면 큰 관심을 끌 수 있으며, 제안과 이니셔티브에 대한 지원과 동의를 얻는 데 도움이 된다”라고 말했다.

맥닐은 “새로운 리더십으로 신뢰를 쌓기 위해서는 투명성이 중요하다. 기반을 확보하고, 보유한 자산과 사용하는 도구의 유형이 무엇인지, 가장 효과적으로 활용 중인 곳은 어디인지에 대한 이해를 얻어야 한다. 이 투명성을 통해 적절한 로드맵을 구축하고 A 지점에서 B 지점으로 이동하는 방법에 대한 제안을 내놓을 수 있다. 그런 다음 특정 로드맵에 대해 실행을 위한 현실적인 타임라인을 수립하면 된다. 모든 이니셔티브에 대해 시선을 끌고 진행할 수는 없지만, 이해 관계자 및 지도부와 성공적으로 일치하고 합의를 이룬 CISO는 신속하게 승인을 얻는 경우가 많다"라고 말했다.
 

새로운 코스 설정

새로운 역할이든 관계든 상관없이 성장과 변화를 장려하려면 종종 과거의 유산을 극복해야 한다. 아틀라시안(Atlassian) CISO 애드리안 루트비히에게 이는 항상 평가와 개혁의 상태에 있는 것을 의미한다. 그는 “우리는 팀과 제품, 고객의 변화에 지속해서 직면하고 있으므로, 정기적으로 프로세스를 쇄신해야 한다”라고 말했다.

 

루트비히에 따르면, 이렇게 혁신적인 사전 예방적 접근방식을 취하면 새로운 경영진에게 위험 완화 안을 제시할 때 CISO의 안건을 지원하는 데 도움이 된다. 그는 “거의 3년 전에 이러한 접근 방식을 시작한 이래로 매달 최소 2~3명이 우리 팀에 합류했다. 그때마다 각각의 새로운 사람을 만나서 과제를 부여했다"라고 말했다.

예를 들면 맡은 역할에 본인이 가져온 경험과 새로운 관점을 활용해 옳지 않아 보이는 것을 찾고, 이에 대해 가장 잘 아는 사람에게 정중하게 확인하도록 했다. 그 사람에게 현재 우리가 일하는 방식의 이유를 이해하고 싶은데, 나의 전문 지식에 따르면 옳지 않아 보이기 때문이라는 것을 알리는 식이다.

그는 "이렇게 토론을 하는 과정에서 베테랑 직원은 우리가 일하는 방식을 바꿔야 한다는 것을 깨닫게 된다. 설사 그렇지 않다고 해도 신참과 베테랑은 모두 서로에 대한 새로운 관점과 이해를 하고, 현재 프로세스가 최신 상태라는 확신을 얻을 수 있다”라고 말했다.

이런 방식으로 인해 관계자가 프로세스와 이니셔티브에 영향을 미칠 수 있도록 권한을 부여하면, 소유 의식을 갖게 되고 더 강력한 기업 문화로 전환되는 신뢰 기반을 강화할 수 있다. 동시에, 도전을 극복하고 제대로 작동하는 것으로 입증된 기존 프로세스라면 새로운 경영진이 수용하지 않을 이유가 없다.

세티는 “이해 관계자든 경영진이든, 투명성을 우선하고 기업 내에서 신뢰를 구축하는 것은 모든 보안 리더에게 매우 중요하다. 경영진과 이해 관계자가 보안이 목표의 가속화에 어떤 영향을 미치는지 충분한 이해 하면 그는 CISO가 구상한 보안 전략의 든든한 지원자가 된다”라고 말했다. editor@itworld.co.kr