최고 정보 보안 책임자 (CISO) 로서 꿈에 그리던 직업을 갖게 된 것은 성공의 일부에 불과합니다.
아무리 매력적인 직책, 급여, 회사, 약속이 있더라도 CISO가 새 직장으로 들어서면 진정한 업무가 시작됩니다.신생 기업이 아닌 이상 대부분의 CISO는 좋든 나쁘든 다른 사람의 보안 전략, 운영, 팀 및 관리 기록을 물려받고 있습니다.그리고 일반적으로 이 두 가지가 혼합되어 있습니다.
훌륭한 계획을 세우는 데 열성적인 사람들은 침입하여 기존 보안 장치를 뒤엎고 싶은 충동을 억제하고 싶을 수도 있습니다. 반대로 잘 운영되는 것처럼 보이는 상점을 개입 없이 현재의 궤도로 유지하도록 내버려 두고 싶은 유혹을 물리치고 싶을 수도 있습니다.대신, 목표와 전략을 제시하여 신입 사원이 첫 90일 동안 입사할 수 있도록 안내하는 리더십 도구인 30~60-90일 계획을 세우세요.
신입 CISO에게는 이러한 계획이 특히 유용할 수 있습니다. 조직의 보안 문화와 운영을 더 깊이 이해하여 효과적인 것과 그렇지 않은 것에 대한 사실과 가치 있는 평가를 기반으로 “성과를 남길” 수 있기 때문입니다.
보안을 위한 획일적인 솔루션은 없지만, 특정 요소가 새로운 CISO의 전략과 리더로서의 효율성을 좌우할 수 있습니다.30~60~90일 계획에는 다음 단계가 포함되어야 합니다.
현재 보안 운영을 이해하십시오. CISO는 자신이 보안에 관한 모든 것을 알고 있으며 자신의 전문 지식이 균등하게 적용될 것이라고 믿어서는 안 됩니다.대신, 새로운 CISO는 위기가 닥치지 않는 한 좀 더 신중한 접근 방식을 구현하여 시간을 들여 조직의 보안이 어떻게 작동하고 있는지, 그 이유를 이해해야 합니다.
역사를 공부하는 학생이 되세요. 새 것으로, 오래된 것을 버리고... 그렇게 빠르지는 않습니다.신입 CISO가 아무리 열심히 시작하고 성과를 내더라도, 실제적으로나 관리 스타일 측면에서 이전 상황을 완전히 이해하지 못하는 것은 실수입니다.보안 환경 전체를 살펴보고 직원과 조직이 공감하는 부분과 효과가 있었던 점과 그렇지 않은 점을 평가한 다음 신중하게 살펴보십시오. 평범했던 전직 CISO라도 일반적으로 충실한 직원이 있기 때문에 새로 온 직원이 모든 것을 뜯어고치는 것은 아니라는 점을 확신해야 합니다.
직원들의 말에 귀를 기울이세요. 직원들은 일반적으로 새로운 리더십이 어떤 모습일지, 어떤 변화가 올지 불안감을 안고 기다립니다.신입 CISO가 생각과 관점을 설명하는 것도 중요하지만, 직원들에게 의견을 제시할 기회를 주는 것이 훨씬 더 중요합니다.그렇지 않으면 새 CISO가 대량 탈출, 적어도 상당한 저항에 직면할 수도 있습니다.물론 직원들이 불만을 토로할 수 있도록 하는 것도 중요하지만 대화를 좀 더 긍정적인 방향으로 이끌고 구체적인 계획을 세우도록 노력하세요.
직원 숙련도 측정. 직원의 의견을 경청하는 것만큼이나 직원이 얼마나 유능한지 이해하는 것도 마찬가지로 중요합니다.직원의 기술에만 집중하지 마십시오.이들이 보유한 소프트 스킬과 이들이 보안 팀에서 어떤 역할을 수행하는지 자세히 살펴보고 이들이 자산인지 문제인지 평가하세요.
제3자 감사를 요청하세요. 새로 합류한 CISO는 독립된 환경에서 운영한다고 해서 새로운 회사의 보안에 대한 완전하고 정확한 관점을 얻을 수 없습니다.중요하지만 근시안적일 수도 있는 내부 세력에만 귀를 기울이지 마십시오.가능한 한 빨리 제3자를 초빙하면 전문가의 가치 있는 외부 관점을 제시하고 사각 지대를 찾아낼 수 있을 뿐만 아니라 CISO가 팀, 고위 경영진, 이사회에 적용할 수 있는 일종의 점수를 산출하여 모든 당사자가 조직의 강점과 보안 노력이 부족한 부분을 이해하는 데 도움을 줄 수 있습니다.추가 혜택으로, 제3자를 통해 CISO는 다른 작업을 수행할 수 있습니다.
비즈니스 통찰력을 강화하세요. 기술과 보안 문제에만 집중하지 마세요.보안 논의의 큰 부분은 비즈니스 및 관리 목표를 중심으로 이루어져야 합니다.이사회에 앞서 나가는 것 외에도 회사의 경영진 및 비즈니스 리더들과 회의를 진행하면 CISO가 비즈니스에 중요한 사항의 우선 순위를 정하고 견고하고 실행 가능한 보안 조치를 수립하는 데 도움이 되는 귀중한 통찰력을 얻을 수 있습니다.
법을 따르십시오. 보안 환경에서 규정이 수행하는 역할을 과소평가하는 것은 실수입니다.규제가 엄격하지 않은 업계의 조직도 특정 요구 사항을 준수해야 합니다.CISO는 어떤 규정이 핵심인지 바로 파악한 다음 규정 준수를 보장하는 보안 조치를 수립하는 것이 중요합니다.
구체적이고 실용적인 목표를 설정하세요. 비정질, 막연한 계획은 아무에게도 도움이 되지 않습니다.CISO가 조직의 보안 문화와 일상 운영에 익숙해지고 앞으로의 방향을 구상하는 데 필요한 모든 정보를 수집한 후에는 단순히 보고서를 발행하는 것만으로는 문제가 해결되지 않습니다.지금은 새로운 CISO가 과감하게, 운영 및 관리 측면에서 목표를 설정하고, 합리적인 일정에 맞춰 이를 팀과 조직 전체에 명확하게 전달해야 할 때입니다.
복음화. 비트와 바이트, 그리고 보안의 실용성을 중시하는 많은 CISO에게는 폭력적인 강단에서 보안을 판매하는 것이 자연스러운 일이 아닐 수 있습니다.하지만 고위 경영진, 일반 직원, 이사회의 지원 없이는 어떤 계획도 성공하지 못할 것입니다.불편하긴 하지만 CISO의 중요한 업무 중 하나는 밖으로 나가 소식을 퍼뜨리는 것입니다.보안에 대한 열정을 활용하고 이해관계자들에게 이를 가장 잘 전달할 수 있는 방법을 찾아내세요.그 결과 많은 사람들이 찾는 보안 문화가 조성될 것입니다.
진행 상황을 모니터링하고 보고합니다. 일단 계획이 실행되면 가만히 앉아서 실행에 옮기고 싶은 마음이 들 수도 있습니다.하지만 CISO가 계획의 진행 상황을 모니터링하고 모든 이해관계자에게 정기적으로 보고서를 전달하는 것이 중요합니다.이렇게 하면 계획을 순조롭게 진행할 수 있을 뿐만 아니라 이해관계자의 투자도 유지할 수 있습니다.
유연하게 행동하세요. 30~60~90일 계획이 새 CISO 임기의 성공에 매우 중요할 수 있지만, CISO는 이를 엄격하게 채택해서는 안 됩니다.그렇게 부지런히 계획을 세우고 나면 한결같이 그 장점을 밀어붙이고 싶은 유혹이 들기 마련입니다.하지만 계획의 목표를 보안 팀에 적용하면 발생할 임박한 보안 문제를 무시하고 보안 팀을 낙담시킬 수 있습니다.대신 가능하면 계획을 고수하고 조직 문화의 현실과 발생할 수 있는 보안 위협에 대비하여 계획을 조정하세요.
가장 잘 짜여진 계획의 운명에 대한 오래된 관용구는 특히 보안 분야에서 확실히 사실입니다.보안 침해, 랜섬웨어 공격 및 기타 인시던트는 누구도 막을 수 없습니다.그리고 위협 행위자들은 CISO가 공격을 시작하기 전에 상황에 익숙해지거나 계획을 실행에 옮기도록 하는 것으로 알려져 있지 않습니다.새로운 CISO는 낯선 환경에 적응하면서 30~60~90일 계획을 즉석에서 개발하고 있기 때문에 유연하게 대응하는 것이 중요합니다. 즉, 모든 목표가 차질 없이 달성되는 것은 아니라는 점을 이해하고 필요한 경우 전략을 조정하는 것입니다.
