디지털 혁신 이니셔티브의 증가부터 원격 근무의 증가에 이르기까지 조직은 지난 2년 동안 많은 변화를 겪었습니다. CISO (Chief Information Security Officer) 는 조직이 데이터와 애플리케이션을 클라우드로 마이그레이션할 때 현대 인력을 보호하기 위한 기술을 구현하면서 이러한 변화의 최전선에 서 있었습니다.하지만 우리가 일하는 장소와 방식이 최근에 바뀐 것은 CISO에게 축복이자 저주였습니다.
한편으로 대부분의 조직은 보안 전략을 조정하기 위해 CISO가 필요하다는 것을 잘 알고 있습니다.한편, CISO의 역할이 커진 것과 같은 업무 변화도 공격 표면을 확대하고 있습니다. 이에 악의적인 공격자들이 이를 악용하고 있습니다. 이에 따르면 조직의 85% 가 작년에 한 번 이상 성공적인 사이버 공격을 당했는데, 이는 사상 최고치입니다. 2022년 사이버 위협 방어 보고서.CISO는 침착하고 침착한 태도를 유지하면서 보안 침해를 처리하는 전문가일 수 있지만, 다른 누구와도 마찬가지로 스트레스에 취약하다는 점을 기억하는 것이 중요합니다.많은 수의 활성 보안 침해를 완화하는 동시에 향후 보안 침해가 어떻게 발생할 수 있을지 고민하는 일 사이에서 CISO의 역할은 분명 스트레스가 많은 일입니다.
멘로 시큐리티 (Menlo Security) 의 CISO인 데빈 어텔 (Devin Ertel) 은 “다음 사건이 언제 일어날지 궁금해서 항상 머릿속에 떠오른다”고 말했다.“항상 고민하고 계실 거예요.정말 많아요.”
스트레스 요인으로부터 회복할 수 있는 적절한 시간과 공간 없이 너무 많은 스트레스를 받으면 가장 노련한 CISO도 지칠 수 있습니다.
번아웃의 정의 및 예측 변수에 대한 연구의 선구자이자 번아웃 측정에 가장 널리 사용되는 도구인 마슬라흐 번아웃 인벤토리를 만든 크리스티나 마슬라흐 박사는 “마라톤이 되면 스프린트를 달리고 있는 것입니다.” 라고 말했습니다.“그걸 따라갈 수는 없죠.인간의 정신은 만성 스트레스를 회복하지 않고 극복하도록 설계되지 않았어요.”
만성적인 직무 스트레스 요인을 제대로 관리하지 않고 극복하려고 하면 소진의 첫 단계인 피로 상태에 빠지기 쉽습니다. 마슬라흐 박사에 따르면다음은 냉소주의입니다. 냉소주의는 자신의 직업에 대한 비인격화와 혐오감을 특징으로 합니다.이 번아웃 단계에 있는 직원들은 최소한의 노력만 기울여 해고되지 않을 만큼만 열심히 일합니다.마침내 직원은 자신의 업무뿐만 아니라 자신에 대해서도 부정적으로 느끼기 시작합니다.번아웃은 직장이 마음에 들지 않는 것보다 훨씬 더 심각하며, 심장 질환과 우울증, 불안과 같은 정신 건강 장애에 걸릴 위험이 더 커질 수 있습니다.
Maslach 박사에 따르면 이러한 상황을 피하려면 업무량, 자율성, 보상, 직장 커뮤니티, 공정성, 의미, 업무가 얼마나 가치 있다고 생각하는지 등 6가지 핵심 영역에서 직무에 부합하는지 확인하는 것이 중요합니다.그렇다면 CISO는 지치지 않기 위해 이러한 영역을 어떻게 해결할 수 있을까요?다음은 몇 가지 실용적인 전략을 제시하고 있지 않습니다.
CISO의 시간은 중요하며, 초대를 받은 모든 회의에 참석하는 것은 지속가능하지 않습니다.Maslach 박사가 지적한 것처럼 “우리는 회의를 추가하는 경향이 있지만 불필요한 회의를 빼지는 않습니다.”어떤 회의를 다른 곳에서 일하는 것이 더 나은지 결정하는 것이 중요합니다.특정 시점에 회의에 너무 많은 시간을 할애하면 생산성뿐 아니라 정신 건강에도 해로울 수 있습니다.회의를 하느라 하루를 허비하지 말고 업무는 밤을 위해 아껴두세요.
대신 Ertel은 캘린더를 “매처럼” 보면서 작업량과 자율성을 직접 챙길 것을 제안합니다.그는 업무가 필요한 시간을 캘린더에서 차단해 팀원들에게 자신이 바쁘다는 것을 알릴 수 있도록 합니다.Ertel은 휴일과 업무가 중단되는 동안 업무를 완전히 끊습니다. 왜냐하면 Ertel은 “다음 보안 침해가 언제 일어날지 모르기 때문에 쉬지 않고 일해야 하기 때문입니다.”시간을 두고 경계를 정하고 그 경계를 존중하는 것이 중요합니다.
캘린더를 보호하는 것은 정신 건강을 최상으로 강화하는 방식으로 시간을 보내는 데 있어 해결책의 절반에 불과합니다.활력을 되찾고 직장과의 연결을 끊는 데 도움이 되는 활동을 게을리하지 마세요.
원격 근무의 증가로 가정과 직장의 경계가 모호해지면서 이러한 활동을 하는 것이 더욱 어려워졌습니다. 이제 자기 관리를 위해 신중한 조치를 취하는 것이 그 어느 때보다 중요해졌습니다.에르텔은 이러한 조치를 취하기 위해 하루에 한 시간씩 운동을 중단하고 그 시간에는 업무 이메일을 받지 않도록 합니다.그 외에도 Ertel은 명상과 일반적인 자기 관리에 시간을 할애하는 것을 좋아합니다.요점은 특정한 활동을 하는 것이 아니라 긴장을 풀고 스트레스를 해소하고 공간을 만들기 위해 노력하는 것입니다.
효과적인 CISO는 필요할 때 스트레스를 극복할 수 있지만, 이를 극복할 수 있는 기간은 한정되어 있습니다.Maslach 박사는 항상 존재하는 작은 스트레스 요인, 즉 “신발 속의 조약돌”이 눈치채지 못한 채 누적되어 압도적으로 느껴진다고 설명합니다.이러한 스트레스 요인을 너무 늦을 때까지 방치하는 것은 쉽게 지칠 수 있는 방법입니다.
그렇기 때문에 스스로 체크인하는 것이 중요합니다.세인트루이스 워싱턴 대학교의 제시 골드 (Jessi Gold) 박사는 “엄격한 일정이나 특정한 형태를 취할 필요는 없지만 정기적으로 시간을 내서 신체적으로나 정신적으로 기분이 어떤지 스스로에게 물어보는 것은 CISO 역할의 만성 스트레스 요인을 완화하는 데 큰 도움이 된다”고 말했다.자신의 정신 상태를 자연스럽게 인지하고 있다고 가정하는 것만으로는 충분하지 않습니다.
시간이 지나면서 작은 스트레스 요인이 쌓여 피로에 빠지는 것과 마찬가지로 회복력을 키우고 정신 건강을 강화하는 데에도 작은 단계만 거치면 됩니다.이러한 작은 단계 중 하나는 편안하다고 느끼는 동료와 우정을 쌓아 일에 대한 느낌을 솔직하게 이야기할 수 있도록 하는 것입니다.그런 감정에 대해서는 혼자서 감당해서는 안 됩니다.
골드 박사는 “우리는 종종 일에 앞장서고, 그렇지 않을 때까지는 모든 것이 괜찮은 것처럼 행동한다”고 설명했다.회사나 동료를 비하하지 않고 자신의 역할의 부정적인 면에 대해 직장 친구와 솔직하게 대화를 나누면 그런 생각으로는 할 수 없는 방식으로 현실로 나아갈 수 있습니다. 골드 박사는 이렇게 말했다. “인생 이야기를 통째로 다루지 않아도 돼요.“'이봐, 나 피곤해. '라고 말하는 것만큼 간단합니다.어떻게 지내세요?”
업무를 수행하는 데 필요한 것을 얻을 수 있도록 누가 도와줄 수 있는지 확실하지 마십시오.불확실성은 스트레스를 유발하며 업무에 대한 자율성을 침해할 수 있습니다.리소스가 필요할 때 누구에게 문의해야 할지 모른다면 필요한 도구를 모두 모을 수 없기 때문에 보안 전략에 대한 주도권을 가질 수 있습니다.
Ertel은 조직도를 커뮤니케이션의 한 부분으로 여기며 경영진 지원을 강화하는 것이 중요하다고 강조합니다. 보고하는 경영진 및 귀사에 보고하는 팀 구성원과 좋은 관계를 유지하는 것은 워크플로를 간소화하고 프로젝트를 진행하는 데 있어 가장 중요합니다.깔끔하게 에스컬레이션하거나 옵션이 부족한 후에야 문제를 보고 구조로 에스컬레이션하는 것은 경영진에게 추가 업무를 맡기지 않도록 하는 데 있어 매우 중요합니다.위와 아래 모두에서 탄탄한 커뮤니케이션을 유지하면 SOC 팀에서 수집한 복잡한 기술을 CEO에게 설명하려고 할 때 발생하는 헤드 스피닝 효과 (Ertel은 이를 “번지 점프”라고 함) 를 줄이는 데 큰 도움이 됩니다.
보안 침해를 극복하기 위해 자신의 경험에만 의존하지 마십시오.그렇다고 해결되는 것은 아닙니다. 피할 수 없는 공격에 대처하기 위한 탄탄한 게임 계획이 필요합니다.그렇다고 해서 집착할 정도로 과하게 준비해야 한다는 뜻은 아닙니다.
골드 박사는 이렇게 설명했다. “최고의 실력을 갖춘 많은 사람들은 아무 일도 일어나지 않을 거라고 상상하는 걸 좋아해요.“실패가 불가피하다는 건 괜찮아야 해요.”완벽주의적 사고방식에 맞서는 가장 좋은 방법은 실패가 일어날 수 있다는 사실을 인정하고, 실패가 필연적으로 일어날 때 어떻게 대처할 것인지 생각하는 것입니다.이는 사이버 위협에 대응하기 위한 전략뿐만 아니라 자신의 정신 건강을 관리하는 데에도 적용됩니다.스트레스가 많은 상황을 겪은 후 긴장을 풀고 정신을 되찾을 수 있는 계획이 필요합니다.
“실패의 불가피성에 대해서는 괜찮아야 합니다.”
닥터 골드
보안 침해를 세상의 종말로 보지 마십시오. 보안 침해에 대처하는 것도 직무 설명의 일부입니다.CISO는 좋은 사건을 그냥 내버려둘 필요는 없습니다.
Ertel은 커리어 초기에 SOC 팀의 한 구성원이 “여기가 우리의 슈퍼볼이고, 이것이 우리가 사는 이유야!” 라고 외쳤을 때 특히 스트레스를 많이 받았던 사건을 회상했습니다.그 간단한 한 마디가 방 전체의 분위기를 바꾸어 놓았습니다. 스트레스와 공포에서 자신감, 심지어는 열망까지 말이죠.Ertel은 동료가 옳았다는 것을 깨달았고, 그 이후로 Ertel은 사건을 배움의 기회로 삼으려고 노력했습니다.
“이게 우리의 슈퍼볼이고, 우리가 사는 이유야!”
이러한 전략은 간단하지만 모든 상황에 맞는 것은 아니라는 점을 기억하는 것이 중요합니다. 정신 건강 관리는 사람마다 다르게 보입니다.전투를 선택하고 작고 목적이 분명한 조치를 취하기만 하면 자신의 직업이 정신 건강에 영향을 미치지 않도록 할 수 있습니다.
