보안운영센터(SOC)와 최고 경영진(C-suite)의 사이버 보안 관련 의견 일치가 중요한 이유

적절한 정보 보안 솔루션을 도입하고 이를 효과적으로 사용하는 방법을 이해하는 IT 직원을 확보하는 것은 악의적인 해커와 사이버 공격으로부터 조직을 보호하는 데 매우 중요합니다. 하지만 첨단 도구만으로는 충분하지 않습니다. 보안 운영 센터(SOC)와 최고 경영진 간의 소통 단절은 사이버 보안 노력을 심각하게 저해할 수 있기 때문입니다.

예를 들어, 최종 사용자 교육은 포괄적인 정보 보안 계획의 중요한 부분입니다. 직원들은 BYOD 환경에서 민감한 회사 정보를 보호하는 방법이나 이메일에서 스피어 피싱 공격을 식별하는 방법과 같은 주제에 대해 교육을 받아야 합니다. 정보 보안 전문가가 교육 활동을 성공적으로 수행하려면 조직 전체의 지지가 필요하며, 이는 최고 경영진의 적극적인 참여와 지지에서 시작하여 모든 계층으로 확산되어야 합니다. 최고운영책임자(COO)와 최고경영자(CEO)가 사이버 보안을 우선순위로 강조하지 않는다면, 대부분의 일반 직원들도 그렇게 생각하지 않을 가능성이 높기 때문입니다.

안타깝게도 CIO, CISO 및 기타 고위 보안 담당자들에게는 문화적 차이가 존재합니다. 사회 최고 경영진의 참여 부족은 너무나 흔한 문제입니다. 예를 들어, 방위산업체 레이시온이 CIO, CISO 및 기타 기술 임원 1,006명을 대상으로 의뢰한 최근 설문조사에서 78%가 지난 12개월 동안 이사회에 조직의 사이버 보안 전략에 대한 브리핑을 단 한 번도 받지 못했다고 답했습니다. 또한, PwC 설문조사에서는 응답자의 42%만이 이사회가 전반적인 보안 전략에 적극적으로 참여한다고 답했고, 25%만이 이사회가 조직의 개인정보보호 위험을 검토하는 데 참여한다고 답했습니다.

회사 최고 경영진이 사이버 보안에 마땅한 관심을 기울이도록 설득하는 데 어려움을 겪고 있다면 다음과 같은 전략을 사용하여 보다 적극적인 접근 방식을 취할 때일 수 있습니다.

• 구체적인 재무 데이터 제시경영진의 관심을 사로잡는 데는 재무 정보만큼 효과적인 것이 없습니다. 그러니 다음에 기회가 된다면, 인텔 CEO 브라이언 크르자니치의 말을 인용해 기업의 평균 보안 침해 비용이 14억 1,160만 달러에 달한다는 사실처럼 설득력 있는 정보를 공유해 보세요. 이처럼 놀라운 수치는 최고 경영진 모두가 강력한 정보 보안 전략을 수립하는 데 깊은 관심을 갖고 있음을 분명히 보여줍니다.

• 월간 브리핑 일정을 잡으세요회사 임원진과 매달 정기 회의를 갖도록 요청하고, 그 자리에서 회사 정책에 대한 개요를 설명하고 관련 정보를 제시하십시오. 보안 지표 그리고 가능한 전략적 조정 방안을 제안할 수 있습니다. 이 시간을 활용하여 업계 뉴스를 논의함으로써 관심을 유도할 수도 있습니다. 진행 상황 보고서를 제공하면 경영진이 정보 보안 프로세스에 지속적으로 참여하게 되고, 이러한 참여는 회사 전체로 확산될 것입니다.

• 최신 보안 동향 및 솔루션에 대한 정보를 제공합니다.앞서 언급한 회의 일정을 잡을 수 있다면, 사이버 범죄자들이 사용하는 최신 전술과 자동화된 사고 대응 또는 소프트웨어 정의 보안과 같은 대응 가능한 사이버 보안 조치에 대해 자세히 설명하는 시간을 갖는 것을 고려해 보세요. 최고 경영진에게 정보 보안의 최신 동향을 알리는 것은 임원들이 정책 및 구매 논의에 더욱 의미 있게 참여할 수 있도록 해주며, 이는 CISO 또는 CIO의 업무 부담을 줄여줍니다.

여느 중요한 프로젝트와 마찬가지로, 최고 경영진의 사이버 보안 승인을 얻는 데에는 상당한 시간 투자가 필요합니다. 하지만 모든 가치 있는 투자와 마찬가지로, 최종 결과는 그 노력 이상의 가치를 가져다줄 것입니다.