CISO의 플레이북: 보안 위험을 비즈니스 지표로 만들어야 하는 이유

CISO의 플레이북은 업계 최고 사이버 보안 경영진의 전략적 인사이트를 제공하는 지속적인 시리즈입니다. 이 게시물은 월드 와이드 테크놀로지(WWT)의 현장 CISO인 브라이언 리버트가 작성했습니다.

CISO의 역할은 빠르게 변화하고 있습니다.

이사회는 증거를 원합니다. 보험사는 데이터를 원합니다. 카리스마, 직감, 경험만으로는 더 이상 충분하지 않습니다.

이제 CISO는 자신의 지혜와 경험을 과학과 냉철한 사실과 결합해야 할 때입니다. 보안 의사 결정이 어떻게 위험을 완화하고 수익을 보호하며 비즈니스 목표에 부합하는지 실제 데이터를 사용하여 입증해야 합니다.

좋은 소식은 여러분은 혼자가 아니라는 것입니다. 월드 와이드 테크놀로지(WWT)의 현장 CISO인 브라이언 리버트는 네트워크의 보안 및 위험 수준에 대한 데이터를 확보하는 것이 가능하다고 말합니다.  

증명하거나 잃거나

최근 새 집을 지을 때 리베르트는 주택 검사 절차의 변화에 놀랐습니다.

"과거에는 검사관이 자신의 경험, 직감, 건설 지식에 의존하여 새 건물을 승인했습니다."라고 그는 설명합니다.

하지만 더 이상 그런 방식이 아닙니다.

"오늘날의 검사관들은 여전히 공사가 제대로 이루어졌는지 알 수 있습니다."라고 그는 말했습니다. "하지만 그들은 이를 증명하기 위해 엔지니어의 편지를 원합니다."

엔지니어링 서한은 검사관이 주택에 합격 등급을 부여하는 결정을 뒷받침하는 데 필요한 문서와 데이터를 제공합니다.

그 변화는 브라이언에게 고착되었습니다. 전직 CISO이자 현재 CISO 고문인 그는 사이버 보안에서도 동일한 변화가 일어나고 있음을 목격하고 있습니다. 직감과 수년간의 경험만으로는 충분하지 않습니다.

이사회와 보험사는 단순히 의견을 구하는 것이 아니라, CISO의 지혜와 경험, 리더십을 통해 그들의 권고 사항을 입증할 수 있는 프레임워크를 보강하기를 원합니다. 그들은 자신만의 엔지니어링 편지를 원합니다.

Bryan은 조직이 이사회실, 보험 제공자 및 비즈니스 목표를 연결할 수 있는 데이터 기반 접근 방식을 통해 WWT의 고객이 주도권을 잡을 수 있도록 지원하고 있습니다.

그는 일루미오와 같은 파트너와 협력하여 CISO가 사이버 스토리텔러에서 의사 결정 과학자로 전환할 수 있도록 돕고 있습니다.

더 나은, 더 공정한 사례 구축

브라이언이 보기에 CISO의 업무는 보호에 관한 것만큼이나 의사 결정자에게 영향을 미칠 수 있는 CISO의 능력에 관한 것이 되었습니다.  

"의사결정권자들이 전략에 투자하도록 설득하는 데 너무 많은 시간을 할애하고 있습니다."라고 그는 말합니다. "기업 리스크를 측정하는 방어 가능한 모델이 없으면 보안 지출에 대한 이사회의 지지를 얻기 위해 카리스마에 의존해야 하는 경우가 많습니다."

브라이언은 이러한 접근 방식이 더 이상 지속 가능하지 않다고 생각합니다.

그래서 그는 다른 길에 열정을 쏟고 있습니다: 바로 정보 위험의 요인 분석(FAIR)입니다. 이는 정보 리스크를 측정 가능하고 반복 가능한 용어로 변환하는 FAIR 연구소가 개척한 정량적 리스크 관리 프레임워크입니다.

"위험의 전통적인 가능성과 영향을 과학적으로 계산할 수 있는 방법을 제공합니다."라고 Bryan은 설명합니다. "실제로 사이버 보험사들은 현재 보험 적용 범위를 평가하는 데 이 기술을 사용하고 있습니다."

FAIR의 목표는 CISO가 자신감을 가지고 이사회에 참석하여 이 모델을 기반으로 전략을 수립할 수 있도록 권한을 부여하는 것입니다.

"그냥 믿어주세요"에서 "여기 계산이 있습니다"로의 전환

브라이언은 현대의 CISO에게는 기술 보안 목표를 이사회가 이해할 수 있는 비즈니스 목표로 전환하는 방법, 즉 의사 결정 엔진이 필요하다고 믿습니다.

즉, 사이버 보안을 비즈니스의 다른 부분과 마찬가지로 측정하고, 우선순위를 정하고, 최적화할 수 있는 것으로 전환해야 합니다.

"이사회는 기술적인 부분에는 관심이 없습니다."라고 브라이언은 말합니다. "그들은 비즈니스에 대한 리스크를 걱정합니다. '이 시스템이 손상될 경우 재정적 영향은 다음과 같습니다'라는 가정 분석을 보여줄 수 있다면 고객의 언어로 말하고 있는 것입니다."

초기 바이인만 중요한 것이 아닙니다. Bryan은 CISO가 보안 투자를 통해 수익성 있는 비즈니스 목표와 관련된 위험을 크게 줄인 방법을 입증하는 측정 가능한 통계를 가지고 돌아오기를 원합니다.  

브라이언은 "지금이 바로 엔지니어링 레터의 순간입니다."라고 말합니다. "위험을 줄였다는 말만으로는 부족합니다. 수학을 보여주세요."

이사회는 기술적인 것에는 관심이 없습니다. 비즈니스에 대한 리스크를 염려합니다. '이 시스템이 손상될 경우 재정적 영향은 다음과 같습니다'라는 '가정' 분석을 보여줄 수 있다면 고객의 언어로 말하고 있는 것입니다.

사이버 보험이 판도를 바꾸는 방법

사이버 보험도 이러한 새로운 변화에서 중요한 역할을 합니다. 과거에는 단순히 체크박스에 불과했을지 모르지만, 이제는 CISO가 가치를 증명하는 방식이 바뀌고 있습니다.

브라이언은 "사이버 보험이 처음 등장했을 때는 위험을 정량화할 수 있는 개방형 모델이 없었습니다."라고 말합니다. "이제 그들은 실제 증거를 요구하고 있습니다. 그리고 방어 가능한 공식을 제시할 수 있다면 할인을 받을 수 있습니다."

이러한 종류의 인센티브는 CISO가 프로그램을 추진하는 데 필요한 것입니다.

"더 이상 예산만 요구하는 것이 아닙니다."라고 브라이언은 말합니다. "귀사의 보안 태세가 회사의 비즈니스 목표를 보호할 수 있음을 입증하고 있습니다. 이사회가 중요하게 생각하는 ROI는 바로 이런 것입니다."

단순한 기술자가 아닌 번역가로서의 CISO

오늘날 브라이언이 보고 있는 가장 큰 문제 중 하나는 대부분의 사이버 프로그램이 여전히 비즈니스와 보조를 맞추기보다는 비즈니스와 동떨어진 이야기를 하고 있다는 점입니다.

이는 특히 사이버 보안이 아닌 연구, 학생의 성공 또는 환자 치료가 이사회 주요 목표인 고등 교육이나 의료 분야에서 문제가 될 수 있습니다.  

사이버 보안은 기업의 책임에 필수적인 부분이지만, 학생이 없는 대학이나 환자가 없는 병원과는 무관합니다.

"여러분의 임무는 학생들의 성공과 환자의 행복에 기여하는 시스템을 보호하고 가동 시간을 유지하는 데 사이버 보안이 어떤 역할을 하는지 보여주는 것입니다."라고 Bryan은 설명합니다. "개인정보가 보호되고 안전하고 안심할 수 있으며 모든 시스템에서 좋은 경험을 할 수 있었다고 느꼈기 때문에 다시 방문하여 서비스를 추천하고 싶을 것입니다."

이러한 이유로 Illumio와 같은 공급업체와 WWT와 같은 파트너가 필요합니다.

일루미오와 WWT가 위험을 현실로 만드는 방법

브라이언에게 파트너십의 힘은 한 가지로 요약할 수 있습니다.

브라이언은 "우리는 조직을 WWT의 고급 기술 센터(ATC) 로 데려와서 이 기술이 하는 일과 이 공식이 위험을 줄이는 방법을 나란히 보여 줍니다."라고 말합니다. "이제 거의 모든 사이버 보안 제품 및 전략에 통합되고 있는 최신 AI 기술을 AI 프루빙 그라운드에서 실제로 확인할 수 있습니다."

또한 브라이언은 일루미오와 같은 사이버 보안 공급업체들이 보안 수학을 진지하게 받아들이고 있다고 언급했습니다. 일루미오 인사이트와 같은 도구를 통해 보안팀은 추측이 아닌 데이터를 기반으로 위험을 보고, 이해하고, 우선순위를 정할 수 있습니다.

CISO는 WWT 및 Illumio와 같은 파트너를 통해 가치를 입증하고, 위험의 우선순위를 정하고, 데이터로 모든 의사 결정을 지원하는 데 필요한 도구와 리소스를 확보할 수 있습니다.

일루미오 인사이트가 네트워크에서 어떤 데이터를 발견할 수 있는지 알고 싶으신가요? 시작하기 무료 평가판 오늘.