세계적 수준의 최고 정보 보안 책임자(CISO)는 기업이 경쟁 우위를 제공하면서도 안전한 방식으로 혁신적인 프로세스를 수행할 수 있는 창의적인 방법을 찾는 비즈니스 지원자이다.

사이버 보안 사건이 계속 증가함에 따라 조직은 보안 계획을 최적화하고 전술적 위치에서 보다 전략적인 위치로 전환하기 위해 노력하고 있다. 그러나 경영진은 종종 이 이니셔티브를 이끌 CISO 또는 고위 보안 리더를 채용하거나 개발하는 데 어려움을 겪고 있다. 반대로, 보안 실무자는 자신의 기술을  업그레이드하고 개발을 위한 적절한 시작점을 결정하는 것이 마찬가지로 어렵다는 것을 알고 있다.

글로벌 정보기술 및 자문 기업 인포테크 리서치 그룹(Info-Tech Research Group)이 조직이 미래의 보안 리더를 개발하기 위한 계획을 수립할 수 있는 ‘세계적 수준의 CISO의 채용과 개발’ 연구 보고서를 발표했다.

보고서는 세계적 수준의 CISO 고용 또는 개발 청사진은 조직이 전략적이고 보안에 중점을 둔 챔피언을 찾기 위해 따를 수 있는 4단계 접근 방식을 강조한다.

사용자가 기술 또는 조직 이니셔티브를 완료할 수 있도록 지원하는 회사의 고유한 단계별 방법론인 이번 보고서는 조직이 올바른 CISO를 찾기 어려울 수 있으며, 규모가 작을수록 CISO 또는 동등한 지위를 가질 가능성이 낮다고 설명한다.

게다가, 숙련된 지원자의 부족으로 인해 자격을 갖춘 CISO는 종종 높은 급여를 요구할 수 있으며, 이는 더 많은 자원을 사용할 수 있기 때문에 대기업이 최고의 인재를 더 쉽게 유치할 수 있게 하지만, 다른 곳에서는 많은 일자리가 채워지지 않고 있다. 이러한 문제로 인해 조직은 외부 CISO 후보를 고용하는 것보다 내부 CISO 후보를 개발하는 것이 더 쉬울 수 있다.

보고서는 세계 수준의 CISO는 조정, 활성화, 관리 등 세 가지 면에서 탁월하다고 한다. 뛰어난 CISO는 ▲ 비즈니스 요구사항에 맞게 보안 기능 조정 ▲위험 관리 문화를 활성화 ▲인재 및 변화 관리를 통해 비즈니스와 연계된 보안 문화를 구현하고 비즈니스 프로세스를 보다 신속하게 유지 관리할 수 있다는 것이다.

보고서는 조직이 세계적 수준의 CISO를 개발하거나 고용할 때 따라야 할 4단계 방법론을 제시한다.

① 조직의 요구사항 이해: 핵심 역량을 이해하고 현재 조직의 요구에 맞는 보안 리더의 원하는 자질을 파악한다.

② 후보자 평가 : 내부 또는 외부 CISO 후보자의 핵심 역량을 평가하고 어떤 이해 관계자 관계를 육성해야 하는지 결정한다.

③ 개선 계획: CISO의 역량 격차를 줄이기 위한 리소스를 식별하고 이해관계자 관계를 개선하기 위한 접근 방식을 계획한다.

④ 개발 실행: 다음 조치를 결정하고 CISO가 앞으로 나아가도록 지원한다. 개발 및 진행 상황을 측정하기 위해 정기적으로 재평가한다.

보고서는 자격을 갖춘 CISO 또는 보안 리더를 보유해 조직이 보안과 비즈니스 목표 간의 일치를 높이고 노력과 자원 낭비를 줄일 수 있다고 조언한다.

카메론 스미스(Cameron Smith) 인포테크 리서치 그룹 자문 책임자는 "보안 책임자가 책상에 앉아 경계를 감시할 수 있는 시대는 끝났다. 기술과 공격자의 고도화가 빠르게 진행됨에 따라 환경이 변화하여 성공적인 정보 보안 프로그램은 탄력적이고 민첩하며 조직의 특정 요구에 맞게 조정되어야 한다."라며, "CISO는 이 현대적인 보안 프로그램을 이끄는 역할을 맡고 있으며, 이 직원은 비즈니스 및 보안 프로세스의 펄스를 동시에 파악하는 진정한 최고 책임자여야 한다. 현대적이고 전략적인 CISO는 모든 거래의 달인이어야 한다."고 강조한다.