‘이상적인 CISO’ 위한 4가지 유형의 자가진단 체크리스트 관심
[보안뉴스 권 준 기자] 지난 2014년 초 카드3사와 통신사 등의 대규모 개인정보 유출 사태 이후 사업자에 대한 규제와 처벌이 크게 강화된 정보통신망법 개정안이 2014년 5월 28일 공포되면서 정보통신 서비스를 제공하는 대다수 기업에서 CISO(정보보호최고책임자) 지정이 의무화됐다.
▲ 우리 회사의 CISO는 4가지 유형 중에 어디?
이에 따라 소규모 온라인 쇼핑몰을 비롯한 대부분의 회사가 CISO 지정이 의무화되면서 우리 회사의 CISO가 어떤 유형인지에 대한 관심도 높아지고 있다. 이러한 가운데 미래창조과학부와 한국인터넷진흥원이 발간한 ‘정보보호최고책임자(CISO) 모범 사례집’ 요약본에서 기업 CISO의 4가지 유형을 제시하고, 이를 위한 CISO들의 자가진단 체크리스트를 소개해 관심이 모아지고 있다.
이러한 유형은 CISO 본인뿐만 아니라 기업의 보안담당자들, 더 나아가 전체 임직원들의 큰 관심사라고 할 수 있다. CISO의 유형에 따라 해당 회사의 보안정책과 지침 등이 달라질 수밖에 없기 때문이다.
미국 ISACA의 발표자료를 참고해 만든 4가지 CISO 유형을 중심으로 우리 회사의 CISO는 어떤 유형인지 살펴보도록 한다.
1. Tech CISO
기술중시형 CISO로 기술로 보안문제에 접근할 줄 알아야 한다고 생각하는 CISO 유형이라 할 수 있다. 우리 회사 CISO가 엔지니어 출신이거나 IT 기술 분야 출신에 준할 만큼 기술에 관심이 많으며, 기계 속이나 소스코드를 들여다보는 걸 즐겨하는 CISO라면 이 유형에 해당될 수 있다. 특히, CISO의 가장 기본바탕이 되는 덕목은 기술이라 생각하고, 솔루션 가격이 예산을 넘어서면 대안책을 기술적으로 마련할 수 있다면 ‘Tech CISO’라고 할 수 있다.
2. Compliance CISO
보안은 법을 잘 지키는 것부터 출발한다는 생각을 가진 법률중시형 CISO로 법학과 출신이거나 그에 준하는 법적 학습 및 실무경험이 있는 경우가 많다. 우리 회사가 속한 산업군 내 정보보안 관련 표준을 대부분 숙지하고 있는 CISO라면 이 유형에 해당될 확률이 높다. 특히, 보안교육을 진행할 때 법적인 부분을 제일 많이 강조하고, 가장 기본적인 리스크 관리는 법의 준수라고 생각한다면 ‘Compliance CISO’ 유형이라고 할 수 있다.
3. Relationship CISO
우리 회사 CISO가 보안도 다 사람의 문제라며 평소 관계를 중요시한다면 관계중시형 CISO라고 할 수 있다. 보안 분야의 참여 유도를 위해서라도 평소 직원들과 좋은 관계를 유지하는 것이 가장 중요하고, CISO의 기본바탕이 되는 덕목을 ‘의사소통’이라고 생각한다면 이 유형에 해당된다. 특히, 정보를 공유하는 게 초연결시대 보안의 첫 걸음이라고 믿고 있고, 사람들을 만나서 CISO로서 내가 아는 정보를 나눠주는 데에 거리낌이 없다면 ‘Relationship CISO’ 유형에 속한다고 할 수 있다.
4. Sales CISO
보안도 결국 비즈니스를 활성화시키는 역할을 한다는 ‘Business Enabler’라는 개념을 좋아하고, CISO는 최대한 보안과 관련된 법의 테두리 안에서 조직 전체가 이윤 활동 등을 향유하도록 도와야 한다고 생각한다면 영업중시형 CISO라고 할 수 있다. 우리 회사 CISO가 마케팅 및 사업 진행에 관한 감각이 중요하다고 강조하거나 회사에서 진행되는 모든 사업 내용에 대해 홍보담당자 수준으로 알고 있다면 이 유형에 속할 확률이 높다. 특히, 기업이 속한 산업의 시장상황에 관심이 많고, 솔루션을 구입할 때 가격 흥정을 적극적으로 한다면 ‘Sales CISO’ 유형에 가깝다고 볼 수 있다.
[권 준 기자(editor@boannews.com)]
[보안뉴스 권 준 기자] 지난 2014년 초 카드3사와 통신사 등의 대규모 개인정보 유출 사태 이후 사업자에 대한 규제와 처벌이 크게 강화된 정보통신망법 개정안이 2014년 5월 28일 공포되면서 정보통신 서비스를 제공하는 대다수 기업에서 CISO(정보보호최고책임자) 지정이 의무화됐다.
▲ 우리 회사의 CISO는 4가지 유형 중에 어디?
이에 따라 소규모 온라인 쇼핑몰을 비롯한 대부분의 회사가 CISO 지정이 의무화되면서 우리 회사의 CISO가 어떤 유형인지에 대한 관심도 높아지고 있다. 이러한 가운데 미래창조과학부와 한국인터넷진흥원이 발간한 ‘정보보호최고책임자(CISO) 모범 사례집’ 요약본에서 기업 CISO의 4가지 유형을 제시하고, 이를 위한 CISO들의 자가진단 체크리스트를 소개해 관심이 모아지고 있다.
이러한 유형은 CISO 본인뿐만 아니라 기업의 보안담당자들, 더 나아가 전체 임직원들의 큰 관심사라고 할 수 있다. CISO의 유형에 따라 해당 회사의 보안정책과 지침 등이 달라질 수밖에 없기 때문이다.
미국 ISACA의 발표자료를 참고해 만든 4가지 CISO 유형을 중심으로 우리 회사의 CISO는 어떤 유형인지 살펴보도록 한다.
1. Tech CISO
기술중시형 CISO로 기술로 보안문제에 접근할 줄 알아야 한다고 생각하는 CISO 유형이라 할 수 있다. 우리 회사 CISO가 엔지니어 출신이거나 IT 기술 분야 출신에 준할 만큼 기술에 관심이 많으며, 기계 속이나 소스코드를 들여다보는 걸 즐겨하는 CISO라면 이 유형에 해당될 수 있다. 특히, CISO의 가장 기본바탕이 되는 덕목은 기술이라 생각하고, 솔루션 가격이 예산을 넘어서면 대안책을 기술적으로 마련할 수 있다면 ‘Tech CISO’라고 할 수 있다.
2. Compliance CISO
보안은 법을 잘 지키는 것부터 출발한다는 생각을 가진 법률중시형 CISO로 법학과 출신이거나 그에 준하는 법적 학습 및 실무경험이 있는 경우가 많다. 우리 회사가 속한 산업군 내 정보보안 관련 표준을 대부분 숙지하고 있는 CISO라면 이 유형에 해당될 확률이 높다. 특히, 보안교육을 진행할 때 법적인 부분을 제일 많이 강조하고, 가장 기본적인 리스크 관리는 법의 준수라고 생각한다면 ‘Compliance CISO’ 유형이라고 할 수 있다.
3. Relationship CISO
우리 회사 CISO가 보안도 다 사람의 문제라며 평소 관계를 중요시한다면 관계중시형 CISO라고 할 수 있다. 보안 분야의 참여 유도를 위해서라도 평소 직원들과 좋은 관계를 유지하는 것이 가장 중요하고, CISO의 기본바탕이 되는 덕목을 ‘의사소통’이라고 생각한다면 이 유형에 해당된다. 특히, 정보를 공유하는 게 초연결시대 보안의 첫 걸음이라고 믿고 있고, 사람들을 만나서 CISO로서 내가 아는 정보를 나눠주는 데에 거리낌이 없다면 ‘Relationship CISO’ 유형에 속한다고 할 수 있다.
4. Sales CISO
보안도 결국 비즈니스를 활성화시키는 역할을 한다는 ‘Business Enabler’라는 개념을 좋아하고, CISO는 최대한 보안과 관련된 법의 테두리 안에서 조직 전체가 이윤 활동 등을 향유하도록 도와야 한다고 생각한다면 영업중시형 CISO라고 할 수 있다. 우리 회사 CISO가 마케팅 및 사업 진행에 관한 감각이 중요하다고 강조하거나 회사에서 진행되는 모든 사업 내용에 대해 홍보담당자 수준으로 알고 있다면 이 유형에 속할 확률이 높다. 특히, 기업이 속한 산업의 시장상황에 관심이 많고, 솔루션을 구입할 때 가격 흥정을 적극적으로 한다면 ‘Sales CISO’ 유형에 가깝다고 볼 수 있다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png){kind=spacer}
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
