글로벌 PAM(Privileged Access Management) 솔루션 공급 기업 델리나(Delinea)는 2000명이 넘는 IT 보안 의사 결정자(ITDM)를 대상으로 실시한 글로벌 설문 조사 결과와 사이버 보안 기능과 더 광범위한 비즈니스 간의 불일치가 미치는 영향을 발표했다.

조직 전반에 걸친 사이버 보안에 대한 경영진과 C 레밸의 이해도를 묻는 질문에 응답자의 39%만이 회사의 리더십이 비즈니스 조력자로서의 사이버 보안의 역할을 제대로 이해하고 있다고 생각하고 있었다. 3분의 1 이상(36%)이 보안 솔루션이 규정 준수 및 규제 요구 측면에서만 중요하다고 생각하는 반면, 17%는 보안 솔루션이 비즈니스 우선순위로 고려되지 않는다고 답했다.

비즈니스와 보안 목표 간의 단절은 응답자 조직의 89%에 적어도 한 가지 부정적인 결과를 초래한 것으로 보이며, 1/4 이상(26%)도 이로 인해 회사에서 성공적인 사이버 공격이 증가했다고 보고했다.

잘못된 목표가 사이버 보안에 미치는 영향은 투자 지연(35%), 전략적 의사 결정 지연(34%), 불필요한 지출 증가(27%)에 기여했기 때문에 광범위했다.

개인에게도 영향을 미쳤는데, 응답자의 31%가 스트레스 측면에서 전체 보안 팀에 영향을 미쳤다고 보고했다. 또한 글로벌 경제 불확실성으로 인해 조사 대상의 절반(48%)이 사이버 보안과 더 광범위한 비즈니스 목표를 일치시키는 것이 그 결과 달성하기 더 어려워지고 있다고 말하면서 상황을 악화시켰다.

측정 기준 및 프로세스가 비즈니스 결과에 초점을 맞추지 않음

구조적 프로세스는 목표를 조정하는 데 핵심이며, 설문 조사에서 대부분의 보안 팀(62%)이 최고 수준의 비즈니스 담당자와 정기적으로 만나는 것으로 나타났다. 또한 기업의 54%는 비즈니스 기능에 보안 팀 구성원을 포함시켰다.

그러나 조직의 절반 미만(48%)이 조정을 용이하게 하기 위한 정책 및 절차를 문서화하고 있으며 전체 응답자의 추가적인 3분의 1(33%)은 조정이 임시적이며 '필요할 때만 수행된다'고 보고했기 때문에 아직 개선의 여지가 있는 것으로 나타났다

보고서는 또한 사이버 보안이 제공하는 가치를 측정하고 입증하는 데 사용되는 지표가 여전히 기술 또는 활동 기반 수치와 엄격하게 연결되어 있음을 밝혔다. 예를 들어, 예방된 공격의 수(31%)가 성공의 가장 중요한 측정 기준으로 언급되었으며, 준수 목표 충족(29%) 및 보안 사고 비용 절감(29%)이 그 뒤를 이었다.

조셉 칼슨(Joseph Carson) 델리나의 최고 보안 과학자 겸 자문 CISO는 "사이버 보안은 거대한 비즈니스 원동력이 될 수 있지만, 이 연구는 변화하는 사고 방식에 있어 이사회 수준에서 여전히 해야 할 일이 있음을 반영한다. 경영진은 사이버 보안을 규정 준수 또는 회사 보호 측면에서 뿐만 아니라 사이버 보안이 보다 전략적인 수준에서 제공할 수 있는 가치 측면에서도 생각해야 한다."라고 말했다.

스킬셋의 격차 및 보고 라인 변경

비즈니스 기술을 구축하는 것은 더 나은 조정을 위한 길을 제공할 수 있지만, 응답자들은 기술 기술을 사이버 보안 리더가 보유할 수 있는 가장 가치 있는 것으로 꼽았다. 이들은 의사소통, 협업, 비즈니스 통찰력 및 인력 관리와 같은 기술을 위에서 평가한다.

거의 3분의 1(31%)이 자신의 이사회 및 C레벨에 비즈니스 사례를 제출하는 것이 자신의 스킬 설정에 차이가 있다고 생각한 반면, 응답자의 30%는 커뮤니케이션 스킬을 개선해야 하는 영역으로 인식했다.

또한 목표를 조정하려면 보고 라인과 CEO 수준의 가시성을 검토해야 한다. 그러나 델리나 설문 조사에 따르면 CISO 또는 최고 사이버 보안 책임자 중 27%만이 CEO에게 보고하여 사이버 보안을 비즈니스의 전반적인 목표에 가장 적합하게 조정해야 한다고 생각하기 때문에 보고 구조를 변경할 의사가 거의 없는 것으로 나타났다.

조셉 칼슨(Joseph Carson)은 "사이버 보안과 비즈니스 목표 간의 조정은 성공을 위해 필수적이다. 이 연구는 팀의 목표가 완전히 일치하지 않을 때 부정적인 결과를 분명히 강조한다. 비즈니스 기능 전반에 걸쳐 공통적인 합의를 보장하는 것은 필수적이며 보안 활동을 측정할 뿐만 아니라 비즈니스 결과에 미치는 영향을 보여주는 실질적인 가치가 있다."라며, "커뮤니케이션이 핵심이며 강력한 기술력도 여전히 중요하지만, 보안 리더는 비즈니스 결과에 추가하는 가치를 그 어느 때보다 자주 커뮤니케이션하고 영향력을 행사하며 제시할 수 있는 능력이 필요한다. 이러한 다양한 기술을 보여주고 비즈니스와 동일한 최종 목표를 가진 보안 리더는 무시할 수 없는 존재이다."고 말했다.