멘로의 CFO (최고재무책임자) 로서 지난 몇 년 동안 CISO (최고정보보안책임자) 의 역할에 대한 기대치가 크게 높아졌습니다. 위협 행위자들이 하이브리드 작업으로의 전환을 활용하기 위해 전술을 점점 더 발전시키고 공격을 강화함에 따라 말입니다.위협이 계속 진화함에 따라 CISO의 도구도 진화해야 합니다.하지만 CISO는 조직의 CFO로부터 동의를 받지 못하면 업무 수행에 필요한 모든 도구를 얻을 수 없습니다. 간단히 말해, 오늘날의 위협 환경을 고려할 때 CISO에게는 예산이 매우 중요합니다.
예산 과정에서 CISO는 전략적으로 요청을 처리해야 합니다. 위협의 잠재력이 무한해 보일 수 있지만 예산은 그렇지 않습니다. 그렇기 때문에 CISO는 CFO와 탄탄한 관계를 구축하기 위한 조치를 취해야 합니다. 그래야 두 역할 모두 상대방의 상황을 더 잘 이해할 수 있습니다.
CFO의 귀를 기울이는 것은 보안 전략의 성공에 매우 중요합니다.그들의 언어를 구사할 줄 아는 것이 가장 좋습니다.CISO가 CFO와 어떻게 소통해야 하는지에 대한 업계 표준은 없지만, 다음은 원활한 대화를 위한 몇 가지 팁입니다.
CFO는 내년 이전에 예산을 잘 계획해야 합니다.예산 사이클을 놓치지 말고 조직의 보안을 유지하는 데 필요한 모든 도구를 확보할 기회를 놓치지 마세요.
내년에 이루어진 많은 예측은 9월에 종합되므로 CISO는 7월 또는 8월까지 예산 증액에 대해 논의하는 것을 목표로 삼아야 합니다.이를 통해 CISO는 대화를 원활히 하고 예산 요청으로 인한 충격적인 충격을 완화할 수 있습니다.하지만 예산에 대해 논의하는 것만으로는 충분하지 않습니다. CISO는 예산 항목에 대해 가능한 한 구체적으로 설명해야 합니다. 그래야 CFO의 관점에서 볼 때 “있으면 좋은 것”에서 “꼭 필요한 것”으로 바꿀 수 있습니다.
너무 자세히 설명하는 것을 두려워하지 말고 대화를 지나치게 단순화하지 마세요.CFO는 보안 작동 방식의 기술적 측면에 대해 CISO만큼 잘 알지 못할 수도 있지만, 예산이 더 필요한 이유에 대해 가능한 한 많은 정보를 포함하면 CFO의 이해를 높일 수 있습니다.CFO는 필요할 경우 언제든지 프레젠테이션을 진행하거나 불필요한 세부 사항은 무시할 수 있습니다.
기술적 세부 사항을 포함하면 CFO가 기술적 측면의 작동 방식에 대한 모든 것을 이해하지 못하더라도 CFO가 자본의 용도를 더 명확하게 파악할 수 있습니다.정보는 여전히 신뢰를 심어주는 데 도움이 되며 CFO가 조금 더 깊이 파고들어 궁극적으로 여러분과 동일한 이해를 바탕으로 사이버 보안 전략에 동의할 수 있도록 합니다.
CFO와 커뮤니케이션할 때는 실존적 위협으로부터 보호하기 위해 대규모 보안 투자가 얼마나 필요한지에 대한 최후의 심판 이야기를 하지 마십시오. CFO가 예산을 책정해야 하는 다른 모든 부서를 고려하지 않은 채 말입니다.CFO의 업무를 놓치지 마세요.
CFO는 트레이드 오프 게임을 플레이하며 각 투자는 그 가치를 정당화해야 합니다.CFO는 한 해 예산 편성의 일환으로 각 부서의 효율성에 대한 벤치마킹 데이터를 기반으로 예산을 배분하는 연간 운영 계획을 세웁니다.이 과정에서 파트너가 되어 “이를 통해 무엇을 얻을 수 있을까요?” 라는 질문에 명확하게 답해야 합니다.CFO의 업무가 훨씬 수월해집니다.
추가 예산을 요구할 때 가장 하고 싶은 일은 사전에 주제에 대해 논의하지 않고 회의에 참석하여 엄청난 숫자로 CFO의 눈을 멀게 하는 것입니다.더 나쁜 것은 예산 요청서를 설명하지 않고 제출하고 CFO가 탐정 역할을 해줄 것이라고 기대하는 것입니다.수십 개의 다른 이름 없는 혐의에 비하면 이는 하나의 이름 없는 혐의이며, CFO에게 이를 승인할 만큼 충분히 알려주지도 않습니다.
대신 하루 전에 미리 슬라이드나 진행하려는 내용에 대한 설명을 보내고 숫자를 명확하게 기록해 두십시오.PowerPoint를 통해 전송하면 다음 날 대화가 단방향 대화에서 양방향 대화로 전환되므로 처음에 충격을 받을 수 있는 예산 요청으로 CFO가 놀라는 것을 방지할 수 있습니다.
CFO의 솔루션 구매 결정은 결코 완전하지 않습니다.매년 해당 제품은 그 가치를 입증하는 작업에 투입되며, 갱신 시 예산을 삭감할 수 있습니다.백그라운드에서 조용히 작업하지 말고 갱신 시기가 오면 CFO가 여러분을 잊어버리도록 하십시오.
CISO는 겉으로는 모든 것이 좋아 보이더라도 뒤에서 전쟁을 벌이는 경우가 많습니다.CFO에게 여러분의 승리에 대해 알려주세요.솔루션이 차단한 공격 건수, 악성 링크를 클릭한 사용자 수 등 잠재적 손실을 방지하는 통계를 포함하는 보고서를 전송하면 보안 솔루션의 투자 수익을 수치화하여 궁극적으로 선택한 제품의 가치를 입증할 수 있습니다.
이러한 팁이 CFO와 더 강력한 파트너십을 구축하는 데 도움이 될 수 있지만 원하는 모든 보안 도구를 얻을 수 있을 것으로 기대하지는 마십시오.예산이 무한하지 않으며 모든 위협 요소를 완전히 차단할 수는 없습니다.CISO는 CFO와 비슷한 우선순위 지정 프로세스를 거쳐야 합니다.
그렇기 때문에 CISO는 예산을 늘리고 특정 벡터 전반에서 위협을 완전히 방지하도록 설계된 보안 솔루션에 집중하는 것이 중요합니다.이러한 유형의 솔루션을 제시하면 CFO에게 귀사가 과제를 완수했고 궁극적으로는 동일한 이해를 바탕으로 하고 있다는 것을 알 수 있습니다.CFO는 CISO를 이해하고 조율하기 위해 노력하는 CISO에게 훌륭한 동맹이 될 수 있습니다.
