Skip to content
Tiatra, LLCTiatra, LLC
Tiatra, LLC
Information Technology Solutions for Washington, DC Government Agencies
  • Home
  • About Us
  • Services
    • IT Engineering and Support
    • Software Development
    • Information Assurance and Testing
    • Project and Program Management
  • Clients & Partners
  • Careers
  • News
  • Contact
 
  • Home
  • About Us
  • Services
    • IT Engineering and Support
    • Software Development
    • Information Assurance and Testing
    • Project and Program Management
  • Clients & Partners
  • Careers
  • News
  • Contact

칼럼 | 사이버 보안의 두 축 ‘CISO와 이사회’가 서로에게 진정으로 원하는 것

최근 기업 이사회에서는 사이버 위협에 대한 우려가 급격히 커지고 있다. 이에 따라 규제 기관의 관심도 높아졌으며, 특히 이사회 차원의 사이버 보안 관여 강화를 요구하는 규제가 강화되고 있다. 이러한 흐름 속에서 이사회는 보안 책임자에게 점점 더 많은 질문을 던지고 있다.

2023년 11월, 뉴욕 금융서비스국(NYDFS)은 ‘23 NYCRR 파트 500’ 개정안을 확정했다. 이 법안은 필요한 사이버보안 통제 조치를 매우 구체적으로 명시한 점에서 주목받았으며, 초안에서는 이사회에 적절한 사이버보안 전문성을 갖춘 구성원이 포함돼야 한다는 내용도 담겼다.

유사한 움직임은 호주에서도 나타났다. 호주기업이사회(AICD)는 최근 ‘사이버 거버넌스 원칙’을 개정했다. 이는 지난해 호주 의회를 통과한 ‘사이버보안 법안’과 맞물려 진행됐다.

그 결과, 모든 기업의 리스크 위원회에서 사이버보안 실태에 대한 논의가 활발해지고 있으며, CISO는 이 논의의 중심에 서 있다.

그러나 CISO는 이미 어려운 역할을 수행하고 있다. 심층적인 전문성과 경험이 요구되는 직책이며, 점점 더 복잡한 환경에서 운영되고 있다. 이러한 상황에서 이사회는 CISO에게 요구하는 사항뿐만 아니라, CISO가 성공적으로 임무를 수행할 수 있도록 지원해야 한다.

이사회가 CISO에게 기대하는 것

이사회는 CISO에게 효과적인 리스크 관리와 원활한 커뮤니케이션을 기대한다. 가장 중요한 것은 투명성과 신뢰다. 이를 위해 CISO는 복잡한 사이버보안 리스크를 명확한 비즈니스 언어로 변환해 설명해야 하며, 이사회가 이를 이해하고 실행할 수 있도록 도와야 한다.

명확하고 간결한 리스크 커뮤니케이션은 필수적이다. 이사회는 조직의 보안 상태, 주요 위협 요소, 비즈니스 목표에 영향을 미칠 수 있는 취약점에 대한 정기적인 보고를 원한다. 또한, 기술 용어를 최소화하고, 실행 가능한 형태로 정보를 제공해야 한다.

이사회 구성원은 기업의 보안 전략이 비즈니스 목표와 정렬되어 있는지 확인해야 하는 책임이 있다. 따라서 장기적인 보안 전략을 수립하고, 이를 측정할 수 있는 지표와 비용 효율적인 자원 배분이 필요하다. CISO는 이러한 점을 염두에 두고 이사회와 소통해야 한다.

또한, 규제 준수와 거버넌스도 이사회의 주요 관심사다. 이사회는 기업이 규제를 준수하고 있는지, 보안 통제가 효과적으로 운영되고 있는지, 감사 결과와 이에 따른 조치가 제대로 이뤄지고 있는지를 확인하려 한다. 일부 규제 기관은 감사 결과를 직접 이사회에 보고하며, 이사회 회의록을 검토하기도 한다.

사고 대응 역량도 중요한 요소다. 이사회는 조직이 위협을 효과적으로 탐지하고 대응할 수 있는 능력을 갖추고 있는지 확인해야 하며, 명확한 대응 계획과 보안 사고 발생 시의 커뮤니케이션 프로세스를 원한다. 특히, 이사회 구성원도 보안 사고 발생 시 자신의 역할을 명확히 이해하고 있어야 한다. 일부 기업에서는 사이버보안 대응 매뉴얼을 이사회와 함께 검토하는 사례도 있다.

기업 성장에 기여하는 보안 전략도 중요하다. 이사회는 보안이 비즈니스 성장을 저해하지 않기를 바라며, 보안 통제와 운영 효율성 사이에서 균형을 맞추고 디지털 혁신을 지원하는 전략을 원한다.

무엇보다도, 무엇보다도 이사회는 CISO가 보다 근본적인 질문에 답해주기를 원한다. ‘우리의 위험 허용 수준에 맞게 적절한 보안 체계를 갖추고 있는가? 그렇지 않다면, 어떤 조치를 취해야 하는가?’라는 질문이다. 이는 간단해 보이지만, 일반인이 이해할 수 있는 언어로 답변하는 것은 결코 쉬운 일이 아니다.

CISO가 이사회에 기대하는 것

이제 시선을 바꿔, CISO의 관점에서 이사회가 어떻게 더 효과적으로 지원할 수 있는지 살펴보자.

CISO가 조직을 사이버 위협으로부터 보호하려면 이사회의 지속적이고 구체적인 지원이 필요하다. CISO와 이사회 간의 강한 협력 관계는 효과적인 사이버보안 체계를 구축하는 데 필수적이다. 필자가 알고 있는 한 CISO “이사회는 ‘레드(위험 요소)’를 지원하고, ‘그린(안전하다고 평가되는 요소)’을 검증해야 한다”라고 강조한 바 있다. 이는 CISO가 필요로 하는 핵심적인 지원 방식이다.

이사회는 조직의 리스크 수준에 맞는 전략적 방향을 설정해야 한다. 이사회가 제공하는 이 같은 고수준의 방향성이 있어야 CISO가 보안 프로그램을 개발하고 실행할 수 있다. 또한, 사이버 리스크 문화를 조성하는 것은 CISO의 역할이지만, 이를 조직 전반에 확산시키는 것은 이사회의 책임이다. 이사회는 최상위 리더십 차원에서 보안 준수를 강조하고, 모든 관리 및 사업 부문에서 이를 우선순위로 삼도록 해야 한다. 그러나 일부 이사회는 비즈니스 운영과 기술 전략의 통합을 이해하는 데 어려움을 겪고 있다.

CISO가 효과적으로 역할을 수행하려면 명확한 권한과 책임이 필요하다. 조직을 보호하기 위해 신속한 결정을 내릴 수 있어야 하며, 불필요한 간섭 없이 사이버보안 전략을 실행할 수 있어야 한다.

또한, 이사회는 ‘사이버 리스크 완화(cyber risk buydown)’ 개념을 이해해야 한다. 모든 리스크가 동일한 수준의 위협을 가지는 것은 아니며, 가장 중요한 리스크에 집중하는 것이 중요하다. 이사회는 CISO가 우선순위를 정할 수 있도록 지원해야 한다.

CISO가 효과적인 사이버 전략을 실행하려면 적절한 예산과 자원이 필요하다. 그러나 현실적으로, CISO는 책임을 지지만, 예산과 자원 확보에 대한 최종 결정권을 갖지 못하는 경우가 많다. 이사회는 이러한 점을 고려해 필요한 지원을 제공해야 한다.

이러한 지원은 단기적인 해결책이 아니다. 지속적인 관심과 중장기적인 노력이 필요하다. 많은 기업이 현재 리스크 대응 수준을 개선해야 하며, 이사회도 현재 상태를 그대로 유지해서는 안 된다는 점을 인식하고 있다.

이사회와 CISO 간의 상호 이해를 구축하는 것은 효과적인 사이버보안 대응을 위한 핵심 요소다. 이 상호 협력이 탄탄한 기업일수록 사이버보안 문제를 성공적으로 해결할 수 있다.
[email protected]


Read More from This Article: 칼럼 | 사이버 보안의 두 축 ‘CISO와 이사회’가 서로에게 진정으로 원하는 것
Source: News

Category: NewsMarch 7, 2025
Tags: art

Post navigation

PreviousPrevious post:Vueling apuesta por la formación inmersiva de sus tripulantes de cabinaNextNext post:“PDF 속 복잡한 차트·표 분석 가능”··· 미스트랄, 문서 분석 특화 OCR AI 기술 공개

Related posts

SAS supercharges Viya platform with AI agents, copilots, and synthetic data tools
May 8, 2025
IBM aims to set industry standard for enterprise AI with ITBench SaaS launch
May 8, 2025
Consejos para abordar la deuda técnica
May 8, 2025
Training data: The key to successful AI models
May 8, 2025
Bankinter acelera la integración de la IA en sus operaciones
May 8, 2025
The gen AI at Siemens Mobility making IT more accessible
May 8, 2025
Recent Posts
  • SAS supercharges Viya platform with AI agents, copilots, and synthetic data tools
  • IBM aims to set industry standard for enterprise AI with ITBench SaaS launch
  • Consejos para abordar la deuda técnica
  • Training data: The key to successful AI models
  • Bankinter acelera la integración de la IA en sus operaciones
Recent Comments
    Archives
    • May 2025
    • April 2025
    • March 2025
    • February 2025
    • January 2025
    • December 2024
    • November 2024
    • October 2024
    • September 2024
    • August 2024
    • July 2024
    • June 2024
    • May 2024
    • April 2024
    • March 2024
    • February 2024
    • January 2024
    • December 2023
    • November 2023
    • October 2023
    • September 2023
    • August 2023
    • July 2023
    • June 2023
    • May 2023
    • April 2023
    • March 2023
    • February 2023
    • January 2023
    • December 2022
    • November 2022
    • October 2022
    • September 2022
    • August 2022
    • July 2022
    • June 2022
    • May 2022
    • April 2022
    • March 2022
    • February 2022
    • January 2022
    • December 2021
    • November 2021
    • October 2021
    • September 2021
    • August 2021
    • July 2021
    • June 2021
    • May 2021
    • April 2021
    • March 2021
    • February 2021
    • January 2021
    • December 2020
    • November 2020
    • October 2020
    • September 2020
    • August 2020
    • July 2020
    • June 2020
    • May 2020
    • April 2020
    • January 2020
    • December 2019
    • November 2019
    • October 2019
    • September 2019
    • August 2019
    • July 2019
    • June 2019
    • May 2019
    • April 2019
    • March 2019
    • February 2019
    • January 2019
    • December 2018
    • November 2018
    • October 2018
    • September 2018
    • August 2018
    • July 2018
    • June 2018
    • May 2018
    • April 2018
    • March 2018
    • February 2018
    • January 2018
    • December 2017
    • November 2017
    • October 2017
    • September 2017
    • August 2017
    • July 2017
    • June 2017
    • May 2017
    • April 2017
    • March 2017
    • February 2017
    • January 2017
    Categories
    • News
    Meta
    • Log in
    • Entries feed
    • Comments feed
    • WordPress.org
    Tiatra LLC.

    Tiatra, LLC, based in the Washington, DC metropolitan area, proudly serves federal government agencies, organizations that work with the government and other commercial businesses and organizations. Tiatra specializes in a broad range of information technology (IT) development and management services incorporating solid engineering, attention to client needs, and meeting or exceeding any security parameters required. Our small yet innovative company is structured with a full complement of the necessary technical experts, working with hands-on management, to provide a high level of service and competitive pricing for your systems and engineering requirements.

    Find us on:

    FacebookTwitterLinkedin

    Submitclear

    Tiatra, LLC
    Copyright 2016. All rights reserved.