지난 몇 년간 CISO는 이사회 의석과 의석을 차지했습니다.악의적인 공격자들이 미묘한 방식으로든 그다지 교묘하지 않은 방법으로든 공격을 강화하고 이사회가 사이버 보안과 그것이 비즈니스에 미치는 영향에 대해 더 능숙해짐에 따라 CISO의 중요성은 계속될 가능성이 높습니다.
따라서 CISO가 이 순간을 활용하여 이사회와 시너지 효과를 창출하고 유지하는 것이 그 어느 때보다 중요합니다.
특히 팬데믹 이후 CISO의 역할이 테이블 자리를 더욱 확보했기 때문에 타이밍이 유리합니다.갑작스럽게 재택근무 (WFH) 모델로 전환한 것이 이사회의 관심을 끌었고, 팬데믹이 멈춘 시점부터 쇠약해진 랜섬웨어 공격과 지정학적 사건이 다시 시작됐습니다.미국 정부는 심지어 보드에 직접 연락했습니다 사이버 위협에 대해이사회 구성원 중 88% 가 사이버 보안이 비즈니스에 미치는 영향을 이해하게 되었습니다. 이사회 구성원 중 88% 가 사이버 보안이 기업에 미치는 영향 가트너 설문조사 사이버 보안을 비즈니스 위험으로 인식
이사회와 소통할 때 오늘날의 CISO는 무엇을, 어떻게, 언제 말해야 하는지를 알아야 합니다.그렇다면 CISO는 어떻게 이사회에서 가시성을 확보하고 유지할 수 있을까요?보안 리더는 다음과 같은 해야 할 일과 하지 말아야 할 일을 염두에 두어야 합니다.
답을 가지고 오세요.
CISO가 일 년에 한 번 이사회 앞에 서서 청중으로부터 귀뚜라미 소리만 나오던 시대는 이제 지났습니다.현재 많은 이사회에서 보안에 대한 전문 지식을 어느 정도 갖춘 구성원을 고용하거나 조직이 직면한 위협과 이를 줄이거나 제거하는 방법을 더 잘 이해하기 위해 별도의 보안 위원회 (Security Committee) 를 만들었기 때문에, 그들 앞에 서 있는 CISO에게 질문을 던질 가능성이 높습니다.
현대의 CISO는 점쟁이가 아니지만 이사회에서 가장 중요한 부분이 무엇인지 예측하는 것이 중요합니다.최근의 헤드라인을 사로잡는 위협, 새로운 기술 구현, 전체 인력에 영향을 미치는 정책 등 해당 영역과 관련된 모든 보안 질문에 답할 준비가 되어 있어야 합니다.
슬라이드를 의미 있게 만드세요.
요즘 이사회는 CISO의 의견에 더 많은 관심을 갖고 있지만, 공간을 채우거나 프레젠테이션을 멋지게 꾸밀 수 있도록 디자인된 슬라이드로 이사회 또는 여러분의 시간을 낭비하지 마세요.이사회에 참석하기까지 시간이 제한되어 있으므로 구성원들이 알아야 할 사항을 신중하게 고려하세요.어떤 내용을 제시하든 사실과 예를 들어 주장을 뒷받침하는 것을 잊지 마세요.정보를 공유할 때는 단순하고 직접적이며 정확한 정보를 전달하세요.
B기술 용어와 비즈니스 용어의 균형을 맞출 수 있습니다.
보드는 그 어느 때보다 기술에 정통할 수 있지만 비트와 바이트만으로는 보드가 흔들리지 않습니다.사실 기술적 세부 사항이 너무 많으면 CISO가 그리려는 그림이 흐려질 수 있습니다.기술적인 이야기를 완전히 피하지는 마세요. 하지만 기술이 대화를 지배하도록 내버려두지도 마세요.기술 포인트를 사용하여 비즈니스 주장과 목표를 강조하면 메시지를 강화하는 데 큰 도움이 될 수 있습니다.
자신의 일을 마음껏 뽐내세요.
CISO는 회사를 보호하기 위해 어떤 노력을 기울였는지, 위협을 막아낸 성공에 대해 설명할 때 부끄러워하지 말아야 합니다.물론, 자만하지 마세요.대신 자신감을 보여주세요.이사회는 스스로 성공을 거둔 사람들로 가득 차 있으며, 대체로 같은 일을 해낸 사람들에게 끌립니다.그들이 있는 곳에서 만나 침착하고 냉정한 태도를 취하며 자신감과 역량을 발산하세요.팀이 무엇을 하고 있는지, 보안 조치가 효과가 있다는 것을 어떻게 증명할 것인지에 대해 이야기하세요.“우리는 안전한가요?” 라는 질문에 답할 준비를 하세요.
외부 보안 사고를 해결합니다.
이사회 프레젠테이션 중 모든 대화가 내부 문제에 집중되는 버블에 갇히지 마십시오.이사회 임원들은 콜로니얼 파이프라인 (Colonial Pipeline) 랜섬웨어 공격이나 Kaseya VSA 랜섬웨어 공격과 같은 사건을 잘 알고 있습니다. 다른 이유가 없더라도 그 영향은 극적이고 해당 기업에 놀라운 영향을 미쳤습니다.프레젠테이션에 전 세계, 특히 조직 업계에서 벌어지고 있는 상황과 보안 팀이 내부적으로 잠재적 영향을 해결하는 방법을 설명하는 업계 슬라이드를 포함시키십시오.뉴스에 나오는 어떤 일에 대해 이사회가 던질 질문을 미리 하는 것이 항상 현명합니다.
내부 보안 사고에 대해 솔직하게 말하세요.
최선의 계획에도 불구하고 기업은 여전히 보안 침해나 기타 보안 사고를 경험할 수 있습니다.이사회와 관련된 문제를 회피하거나 최소화하려고 하지 마세요.대신 무슨 일이 있었는지 설명하고, 마련된 보안 조치가 어떻게 영향을 줄였는지 설명하고, 이 기회를 잡아서 향후 그러한 사고를 예방할 수 있는 보안 투자에 대해 이야기하세요.
긍정적인 부분을 강조하세요.
어려운 시기가 닥치거나 시스템을 잠그고 데이터를 보호하는 데 더 많은 자금이 필요할 때는 조직의 심각한 보안 상태를 과시하고 싶은 마음이 들 것입니다.그런 유혹을 물리치세요.물론 진실을 과장하는 것은 피하세요. 하지만 최후의 심판을 받아들이고 나쁜 점만 강조하는 것도 피하세요.그 대신 문제를 강조하고, 무엇이 옳았는지, 그리고 이를 토대로 어떻게 발전시켜야 하는지에 대해 이사회에 몇 가지 정보를 제공하세요.부정적인 부분에 대처하고 좀 더 능동적으로 대처하기 위한 계획을 제시하세요.
제3자 감사를 받으십시오.
기업은 CISO의 전문성과 역량을 신뢰해야 하지만, 고독한 목소리로는 설득력이 없을 수 있습니다. 때로는, 특히 CISO가 새로 합류한 경우 컨설턴트를 고용하여 회사의 보안 상태를 평가하면 이사회에서 CISO의 주장을 강화하는 데 큰 도움이 될 수 있습니다.CISO의 평가를 뒷받침하는 저명한 인사만으로도 충분히 이사회를 흔들 수 있습니다.하지만 CISO는 제3자가 자유롭게 제어할 수 있게 하기보다는 자신이 원하는 지표로 이끌도록 해야 합니다.
점수 유지.
프레젠테이션을 복잡하게 만들거나 이사회 구성원을 괴롭히거나 혼란스럽게 하는 단어 샐러드를 내놓기는 쉽습니다. 하지만 NIST CSF와 같은 인기 있는 프레임워크를 사용하여 점수 (순위, 성적 또는 색상으로 구분된 시스템) 의 형태로 정보를 제시하면 이사회의 관심을 끌고 구성원이 쉽게 이해할 수 있는 방식으로 정보를 제공할 수 있습니다.A부터 F까지의 등급이나 신호등의 빨간색, 노란색, 녹색 표시등과 같은 등급을 생각하면 조직의 사이버 보안 진행 상황을 표시하고 취약한 부분을 식별할 수 있습니다.잘 알려진 프레임워크를 선택하고 점수를 자주 업데이트하기만 하면 됩니다.
정찰 좀 해.
이사회 앞에 가서 보고서를 읽거나 이사회 구성원의 약력을 읽는 것만으로는 충분하지 않습니다.개개인의 우선순위, 선호도, 스타일을 이해하기 위한 심층 조사를 통해 이사회에 대해 알아보세요.그런 다음 프레젠테이션 중에 이러한 우선 순위에 대해 이야기하세요.
아군을 육성하세요.
모든 이사회 구성원이 비슷하거나 동일한 방식으로 정보를 받아들이고 처리할 것이라고 가정하지 마십시오.이사회 앞에서 연설할 때 CISO는 회의실을 읽고 누가 주의를 기울이고 있는지, 누가 질문을 빨리 처리하는지, 제시된 정보에 잘 공감하는 사람이 누구인지 파악해야 합니다.이사회 내부 및 외부에서 활동하는 사람들과 관계를 형성하고 이를 활용하여 프레젠테이션을 구성하고 다른 이사회 구성원들과 관계를 형성하는 방법을 파악하세요.
정기적으로 소통하세요.
이사회와의 회의를 하나의 회의로 간주하여 끝내서는 안 됩니다.연례 회의를 위한 멋진 프레젠테이션을 만드는 데 몰두하다 보면 이사회의 감독과 참여가 지속적인 과정이라는 사실을 잊기 쉽습니다.CISO는 정기적인 업데이트나 뉴스레터를 발송하는 등 연중 내내 이사회에 연락할 수 있는 방법을 찾아야 합니다.하지만 상사의 머리를 넘겨 원치 않는 접촉이나 프로토콜 위반으로 이사회를 도배하지 않도록 조심하세요.
최고의 CISO는 동료를 활용하여 기술 자문을 구하고 전쟁 이야기를 교환하는 데 능숙합니다.같은 동료들은 이사회가 무엇을 찾고 있는지, 이사회와 더 잘 협력할 수 있는 방법을 이해하는 데도 귀중한 자료가 될 수 있습니다.이사회와 시너지 효과를 내는 데에는 시간과 노력이 필요하겠지만, 그만한 가치가 있습니다.CISO와 이사회는 기업에 날로 늘어나는 사이버 위협에 맞서 강력한 동맹이 될 수 있습니다.