최고 정보 보안 책임자(CISO)의 역할은 오늘날처럼 도전적이고 중요한 적이 없었습니다. 사이버 위협이 기하급수적으로 증가함에 따라 조직의 명성, 신뢰 및 자산에 돌이킬 수 없는 피해를 줄 수 있으므로, CISO들은 점점 더 복잡하고 역동적인 환경에 대비해야 합니다.
2024년 브라질은 사이버 공격이 크게 증가했습니다. 2023년 1분기에는 같은 기간 대비 38%의 성장이 있었으며, 브라질 조직들은 평균 1,770건의 주간 공격을 받고 있습니다. 2분기에는 증가가 더욱 뚜렷하여 전년 대비 67%에 달했으며, 조직당 주당 평균 2,754건의 공격이 발생했습니다. 3분기에는 브라질에서 조직별 주평균 공격 건수가 2,766건에 달했으며, 이는 2023년 같은 기간에 비해 95% 증가한 수치입니다. 가장 타겟이 된 부문은 금융, 의료, 정부 및 에너지였으며, 주요 공격 유형은 랜섬웨어, 피싱, DDoS 및 지능형 지속 위협(APT)이었다.
CISO들은 전례 없는 사이버 공격의 시대에 적응해야 하며, 종종 여러 역할을 동시에 수행하고, 브라질의 경우 비용 절감과 사이버 보안 투자라는 환경을 관리해야 합니다.
현대 CISO의 역할
CISO 직책은 비교적 새롭습니다. 재무 이사 또는 임원 이사와 달리 정보 보안 책임자의 역할은 1990년대 중반까지 공식적으로 존재하지 않았습니다.
또한, 조직 내에서 CISO의 역할은 지속적으로 변화하고 있습니다. Splunk의 2023년 CISO 보고서에 따르면, 응답자의 90%는 그 역할이 시작했을 때와는 완전히 다른 "완전히 다른 일"이 되었다고 믿고 있었습니다.
처음에 CISO는 정책 수립, 보안 거버넌스 및 더 기본적인 보안 통제의 구현을 담당했으며, 이로 인해 이 전문가는 관리보다는 기술에 더 초점을 맞추는 경향이 있었습니다. 오늘날에는 그 역할이 훨씬 더 확대되었습니다. 그 중 하나는 직책의 정치적 역할입니다: CISO는 CEO, CFO 및 조직의 법무 부서와 긴밀한 업무 관계를 유지해야 합니다. 보안 분야의 예산은 오늘날 존재하는 수많은 위협에 맞서기 위한 필수 조건입니다.
그리고 이것은 전 세계 기업들, 특히 브라질에서 여전히 문제입니다. 복잡한 상황은 한편으로 세계에서 가장 높은 공격률을 기록하는 나라를 가져옵니다. 반면, 경제적 불확실성과 달러의 변동성(대부분의 솔루션이 외화로 판매되기 때문에)이 CISOs가 가용 자원으로 기업의 보호를 보장하기 위해 균형을 맞춰야 하는 이유입니다.
좋은 의사소통자
과거의 기술자 고정관념에 너무 치우친 이미지와 달리 오늘날 CISO는 리더십 역할을 수행하고 뛰어난 의사소통 능력을 갖추어 회사 내에서 견고한 사이버 보안 문화를 구축하는 데 앞장서야 합니다.
또 다른 중요한 점은 CISO들이 정보 보안 관리를 혼자서 할 수 없다는 것입니다. 그들은 공급업체, 고객, 파트너, 규제 기관, 협회 및 보안 커뮤니티를 포함하는 외부 생태계의 지원과 협력을 기대해야 합니다. 이 배우들은 정보, 자원, 해결책 및 모범 사례를 제공하여 경영자가 조직의 보안을 향상시키고 강화하는 데 도움을 줄 수 있습니다. 그래서 커뮤니케이션과 시장과의 관계도 매우 중요합니다.
안전은 전체론적 관점에서 출발해야 한다
격리되고 수동적인 보안 도구와 프로세스만으로는 충분하지 않습니다. CISO들은 문화와 직원 인식에서부터 거버넌스 및 비즈니스 목표와의 정렬에 이르기까지 포괄적이고 통합된 보안 관점을 가져야 합니다.
보안은 조직의 지속성과 성장을 위한 필수적이고 횡단적인 요소로 간주되어야 하며, 비용이나 장애물로 간주해서는 안 됩니다. 이를 위해 CISO는 회사의 다른 부서와 리더십을 참여시켜 보안의 가치와 수익을 보여주고, 명확하고 측정 가능한 정책과 지표를 수립해야 합니다.
긴급성의 감각은 위협에 미리 대비하는 데 필수적이다
사이버 위협은 끊임없이 진화하고 정교해지고 있으며, 규모나 분야에 관계없이 어떤 조직에도 영향을 미칠 수 있습니다. 그러므로 시장의 동향과 취약성에 항상 주의를 기울이고 최신 정보를 유지하는 것이 중요하며, 위협과 위험에 선제적으로 대응할 수 있는 솔루션과 방법론에 투자하는 것이 필요합니다.
이것을 실천하는 방법 중 하나는 설계 단계부터 제품과 서비스의 제공까지 보안을 통합하는 보안 설계 방식을 채택하는 것입니다. 또 다른 방법은 시스템과 보안 프로세스의 효과성과 회복력을 평가하는 정기적인 테스트와 시뮬레이션을 수행하고, 개선 및 완화 기회를 식별하는 것입니다.
비록 CISO의 역할이 아직 변화 중이지만, 이 전문가는 디지털 시대에 조직의 보호와 혁신을 위한 핵심 역할을 합니다. CISOs는 전례 없는 수준의 위협에 대비해야 하며, 이는 적극적이고 전략적이며 협력적인 정보 보안 관리를 요구합니다.
끝으로, CISO들은 정보 보안이 단순한 기술적 문제일 뿐만 아니라 경쟁력과 고객 가치를 위한 요소임을 명심해야 합니다. 보안과 비즈니스 목표 및 이해관계자의 기대를 조화롭게 조율할 수 있고, 보안의 이점과 도전 과제를 명확하고 설득력 있게 전달할 수 있는 사람들은 조직 내에서 강력하고 지속 가능한 보안 문화를 구축하며, 디지털 환경에서 성공과 성장을 위해 기여할 수 있습니다.
