사이버 보안 가치를 입증하기 위해 CISO가 취해야 할 3단계

이사회는 사이버 리스크가 운영 리스크의 핵심 요소라는 것을 알고 있으며, 점점 더 CISO에게 가시적인 보안 성과를 입증할 것을 요구하고 있습니다.  

이러한 압박감을 느끼는 리더에게 성공의 열쇠는 위협에서 가치로 초점을 전환하는 데 있습니다. 이제는 정성적인 보고에서 벗어나 사이버 보안 프로그램이 비즈니스 성과를 지원하는 방식을 입증할 수 있는 보다 정량적인 가치 기반 측정으로 전환해야 할 때입니다.

다음은 보안 리더가 이사회에서 성공하고 진화하는 사이버 위협으로부터 조직을 보호할 수 있는 가치 기반 접근 방식을 수용하기 위해 취할 것을 권장하는 세 가지 단계입니다.

‍1. 비즈니스 목표에서 거꾸로 작업하기

보안팀은 이사회 수준의 보안 우려에 대해 진정으로 이야기하려면 비즈니스 성과에서 역방향으로 작업해야 합니다. 더 이상 보안을 체크박스로만 생각하는 것으로는 충분하지 않습니다. CISO와 그 팀은 효과와 효율성을 입증하는 집중적인 전략을 가지고 있어야 합니다.

보안 목표를 중요한 비즈니스 목표와 연계하면 프로그램과 지출이 비즈니스의 주요 성과에 어떻게 부합하는지 입증하는 동시에 전반적인 조직 복원력을 개선하는 데 기여할 수 있습니다. 이에 따라 사이버 보안의 영향을 입증하기 위해 정성적 보고에서 보다 정량적인 가치 기반 측정으로 전환해야 합니다.

예를 들어, 단순히 인증이 중요한 보안 전략이므로 조직이 인증 개선에 투자해야 한다고 말하지 마세요. 대신 인증을 우선순위에 두고 향상된 인증 솔루션에 투자함으로써 비즈니스의 주요 목표에 어떤 이점이 있는지 설명하세요. 이러한 새로운 사고방식은 비즈니스 목표에 부합하는 가치를 입증할 수 있는 기술에만 투자할 수 있도록 합니다.

2. 보안 ROI를 엄격하게 입증

보안 도구에 대한 막대한 투자에도 불구하고 모든 산업, 지역, 규모의 조직은 여전히 치명적인 사이버 공격을 경험하고 있습니다.

실제로 IBM의 2023년 데이터 유출 비용 보고서에 따르면 지난해 데이터 유출로 인해 기업들은 평균 445만 달러의 비용을 지출한 것으로 나타났습니다. 이는 많은 보안 팀이 보안 기술이 사이버 복원력에 긍정적인 영향을 미친다는 증거 없이 보안 기술을 도입하고 있다는 것을 증명합니다.

이제는 사이버 보안 노력을 가시적이고 측정 가능한 회복탄력성 이점과 연결해야 할 때입니다. 사이버 보안에 투자하는 모든 비용은 보안 태세 또는 측정 가능한 위험 감소에 상당한 이득을 가져와야 합니다.

이사회는 사이버 리스크가 조직의 운영 리스크에서 중요한 역할을 한다는 사실을 인정합니다. 이들은 사이버 보안 리더에게 가시적인 사이버 보안 성과를 보여줄 것을 요구할 것입니다. 보안팀은 투자가 실질적인 이익과 직결된다는 것을 엄격하게 입증해야 합니다.

더 많은 데이터와 증거를 요구하는 이사회는 사이버 문제를 해결하지 않고 방치했을 때의 재정적 위험과 사이버 문제를 해결하는 데 드는 비용을 비교 평가할 것입니다.

3. 비즈니스 측면에서 전략 수립 및 커뮤니케이션

사이버 보안 위험은 비즈니스 위험이며, 이러한 위험을 완화하는 데 도움이 되는 통합 보안 전략으로 보안 전술을 전환하는 것은 CISO의 몫입니다.  

데이터 중심의 사이버 보안이 표준이 되고 있으며, 보안 리더는 사이버 이니셔티브와 도구가 어떻게 위험을 줄이거나 완화하고 복원력을 강화했는지에 대한 정기적인 업데이트를 제공해야 합니다. 이사회는 보안 이니셔티브가 비즈니스 성과를 어떻게 지원하는지 알고 싶어 할 것입니다.

안타깝게도 많은 CISO가 최고 경영진과 충분히 소통하지 못하고 있습니다.

하버드 비즈니스 리뷰의 조사에 따르면, 이사회 구성원 중 47%(% )만이 정기적으로 CISO와 소통한다고 합니다.

심층 방어 또는 제로 트러스트와 같은 원칙을 중심으로 구축된 위험 기반 접근 방식을 채택하는 것이 이상적입니다. 일관된 전략은 의사 결정의 지침이 될 뿐만 아니라 비즈니스 경영진이 위협에 대한 종합적인 방어 체계를 구축하는 방법을 확인할 수 있게 해줍니다.

특히 이사회 수준에서 프로그램에 대해 이야기할 때는 특정 보안 전술이나 위협보다는 조직의 최상위 및 최종 목표와 관련된 대화에 참여하세요. 이러한 전략적 커뮤니케이션 접근 방식은 사이버 보안을 비용 센터로만 보지 않고 비즈니스 성공의 필수적인 부분으로 인식하도록 보장합니다.  

승리할 보안 리더는 자신의 프로그램이 비즈니스에 미치는 영향을 명확하게 설명할 수 있는 사람입니다.

사이버 보안에 대한 가치 기반 접근 방식은 미래입니다.

사이버 보안에서 체크박스 연습, 정성적 데이터, 잘못된 전략의 시대는 끝났습니다. 사이버 보안 리더는 위협 중심 접근 방식에서 가치 중심 접근 방식으로 전환하여 보안 노력을 비즈니스 목표에 맞추는 것이 필수적입니다.

가치 기반 접근 방식을 우선시하는 기업이 장기적으로 승자가 될 것입니다. 다가오는 글로벌 정부의 규정 준수 의무를 포함하여 보안 전반의 진행 상황을 측정하는 방식에 가치 중심 접근 방식이 적용될 미래를 예상해 보세요.  

Illumio가 귀사의 주요 사이버 보안 이니셔티브를 어떻게 지원할 수 있는지 알아보려면 지금 문의하세요.