2023년에 세계적 수준의 CISO가 더 많은 예산과 이사회의 신뢰를 얻는 방법

게시일: 2023년 10월 13일
작성자: 마티아스 마두, Ph.
사례 연구

2023년에 세계적 수준의 CISO가 더 많은 예산과 이사회의 신뢰를 얻는 방법

게시일: 2023년 10월 13일
작성자: 마티아스 마두, Ph.
리소스 보기
리소스 보기
흑백의 세련된 회의실
흑백의 세련된 회의실

이 기사는 에 처음 게재되었습니다. SC 매거진. 여기에서 업데이트 및 동기화되었습니다.


CISO는 점점 더 곤란한 상황에 처해 있습니다: 더 많은 자산을 보호하고, 더 많은 코드를 배포하고, 더 큰 공격 표면을 줄여야 하며, 급격히 줄어드는 재정 자원으로 이를 수행해야 합니다. 사이버 보안이 비용 센터로 간주되는 것은 피할 수 없는 사실이며, 조직의 보안 프로그램이 위협 행위자가 미래의 재앙적인 헤드라인을 장식하는 데 방해가 될 수 있음에도 불구하고 보안 리더는 경영진이 이해할 수 있는 언어로 부서의 전반적인 비즈니스 가치를 설득하고 증명하기 위해 더 많은 노력을 기울여야 합니다.

세계적인 수준의 CISO들은 고객의 신뢰와 브랜드 평판을 높이고, 사용 가능한 모든 도구를 활용하여 부인할 수 없는 가치를 창출하는 총체적인 보안 프로그램을 주도하고 있습니다. 이는 일반적인 보안 함정에 대한 전략적이고 예방적인 접근 방식에서 시작되며, 보안 우수성을 유지하기 위한 시간, 리소스, 인력이 충분하지 않다는 사고방식을 버리는 것에서 출발합니다.

게시판에서 토론을 변경합니다.

현재와 같은 경제 환경에서는 지출, 채용, 비즈니스 목표에 대한 전략적 영향에 대해 면밀한 조사를 피할 수 있는 기업과 부서는 거의 없습니다. 현대 기업에게 광범위한 사이버 보안 프로그램이 필요하다는 것은 당연한 것처럼 보일 수 있지만, 이는 투자 수익률 측면에서 정당화하기 쉽지 않은 조직에 상당한 비용을 초래합니다.

최고 경영진과 이사회 이해관계자는 사이버 보안 이니셔티브에 대한 투자로 예상되는 결과를 스프레드시트의 숫자가 아닌 이해하기 쉬운 용어로 명확하게 이해해야 합니다. 이들은 서로 다른 수준의 기술 지식과 이해도를 가지고 있을 것이므로 CISO는 이해하기 쉬운 메시지로 사례를 제시하기 위해 노력해야 합니다. 프로그램의 규모, 보호가 필요한 대상, 사용자를 설명하여 동급 최고의 모범 사례를 제공해야 합니다. 공격은 증가하고 있지만 예산은 이를 따라가지 못하고 있으며, 선한 싸움은 그 장점을 정당화하기 위한 구두 캠페인에서 시작됩니다.

업종에 관계없이 모든 기업이 빠르게 기술 기업으로 변모하고 있다는 말은 오래전부터 있어 왔습니다. 대부분의 조직에서 디지털 우선 접근 방식이 표준으로 자리 잡았기 때문에 현재 가능한 최상의 보호가 필요한 공격 표면이 엄청나게 커졌습니다. 보안 리더는 많은 모자를 쓰고 있지만, (너무 늦을 때까지) 간과되는 것 중 하나는 보안 리더가 본질적으로 고객 신뢰의 관리자라는 점입니다. 이는 아무리 강조해도 지나치지 않은 가치 제안이며 영업 및 마케팅 목표만큼이나 중요합니다. 

보안에 대한 예방적 접근 방식의 가치를 증명하세요.

현재 사이버 보안 통계는 놀랍지만, 더 많은 예산을 확보하기 위해 FUD와 겁을 주는 것은 일반적으로 쓸데없는 전술입니다. 회사 경영진 중 사이버 보안이 우선순위가 아니라고 주장하는 사람은 거의 없지만, 기존 리소스를 활용하여 더 나은 결과를 얻을 수 있는 진취적인 전략을 제시하면 예산 증액을 받아들일 가능성이 훨씬 더 높습니다. 

Neustar 국제 보안 위원회의 최근 조사에 따르면, 알려진 사이버 보안 문제를 해결하기 위한 예산이 충분하다고 생각하는 기업은 50%에 불과했습니다. 2021년과 2022년 사이에 전 세계 사이버 공격이 38% 증가할 것으로 예상되는 만큼, 일반 CISO에게는 더욱 어려운 여정이 될 것으로 보입니다. 하지만 진정한 세계적 수준의 보안 리더는 이러한 어려움을 극복하고 역경을 통해 혁신을 이룰 수 있습니다.

많은 시나리오에서 예방이 치료보다 쉽고 간단하며 사이버 보안도 다르지 않습니다. 전체적인 보안 프로그램은 사후 대응 조치를 훨씬 뛰어넘어야 하며, 취약성 관리가 많은 CISO의 3대 관심사 중 하나이므로 개발자가 이러한 움직임의 필수적인 부분이라는 것은 당연한 일입니다. 개발자는 일반적인 보안 버그를 정면으로 다루기 위한 실습 교육이 필요하며, 이를 통해 이러한 문제를 원천적으로 제거하고 애초에 프로덕션에 영향을 미치지 않도록 할 수 있습니다. 이제 더 이상 품질이 낮고 안전하지 않은 코드를 변명할 수 없는 시점에 이르렀으며, 코드 수준의 취약성에 대한 가장 비용 효율적이고 강력한 해결책은 개발 집단의 숙련도 향상입니다. 

CISO는 기존 예산을 유지하기 위해 노력해야 하며, 특히 개발자를 위한 역할 기반 보안 숙련도의 이점을 자세히 설명하는 것이 다루기 힘든 보안 기술 스택에 다음 '은탄'을 추가하는 것보다 더 빠른 승리입니다.

보안은 브랜드 기본 요소의 일부가 되어야 합니다.

대부분의 CISO가 마케팅에 대한 열정을 발휘하기 위해 이 직책을 맡은 것은 아니지만, 적어도 지갑을 쥐고 있는 사람들에게 자신의 사례를 발표할 때 이 분야는 노력할 수 있는 분야 중 하나입니다. 

사이버 보안 프로그램이 고객 신뢰와 브랜드 충성도에 미치는 영향은 아무리 강조해도 지나치지 않으며, 대규모 보안 침해가 발생하면 엄청난 규모의 고객 이탈이 발생할 수 있습니다. 반대로 엄격한 보안 관행을 핵심 브랜드 가치와 연계하면 데이터 프라이버시 및 보호가 단순히 겉으로 드러나는 것이 아니라 고객이 신뢰할 수 있는 것이라는 분명한 메시지를 전달할 수 있습니다. 

현대의 CISO는 지속적인 긍정적인 고객 정서 및 신뢰와 관련된 보안 전략 및 정책의 경쟁 우위를 강조하는 데 시간을 할애하는 것이 중요합니다. 사후 대응적인 보안만으로는 동일한 영향을 미치지 못하며, 모든 가용 리소스를 사용하여 권한 있는 자산을 보호하는 데 중점을 둔 균형 잡힌 접근 방식이 궁극적인 차별화 요소가 될 수 있기 때문입니다. 

더 이상 변명할 여지는 없지만, 진정으로 혁신적인 보안 전략을 위한 적절한 자금을 확보하기 위해 CISO가 강조할 수 있는 설득력 있는 이유가 많이 있습니다.

리소스 보기
리소스 보기

저자

마티아스 마두, Ph.

Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.

마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.

더 알고 싶으신가요?

블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.

Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.

블로그 보기
더 알고 싶으신가요?

개발자 중심 보안에 대한 최신 연구 보기

광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.

리소스 허브

2023년에 세계적 수준의 CISO가 더 많은 예산과 이사회의 신뢰를 얻는 방법

게시일: 2024년 1월 22일
마티아스 마두, Ph.

이 기사는 에 처음 게재되었습니다. SC 매거진. 여기에서 업데이트 및 동기화되었습니다.


CISO는 점점 더 곤란한 상황에 처해 있습니다: 더 많은 자산을 보호하고, 더 많은 코드를 배포하고, 더 큰 공격 표면을 줄여야 하며, 급격히 줄어드는 재정 자원으로 이를 수행해야 합니다. 사이버 보안이 비용 센터로 간주되는 것은 피할 수 없는 사실이며, 조직의 보안 프로그램이 위협 행위자가 미래의 재앙적인 헤드라인을 장식하는 데 방해가 될 수 있음에도 불구하고 보안 리더는 경영진이 이해할 수 있는 언어로 부서의 전반적인 비즈니스 가치를 설득하고 증명하기 위해 더 많은 노력을 기울여야 합니다.

세계적인 수준의 CISO들은 고객의 신뢰와 브랜드 평판을 높이고, 사용 가능한 모든 도구를 활용하여 부인할 수 없는 가치를 창출하는 총체적인 보안 프로그램을 주도하고 있습니다. 이는 일반적인 보안 함정에 대한 전략적이고 예방적인 접근 방식에서 시작되며, 보안 우수성을 유지하기 위한 시간, 리소스, 인력이 충분하지 않다는 사고방식을 버리는 것에서 출발합니다.

게시판에서 토론을 변경합니다.

현재와 같은 경제 환경에서는 지출, 채용, 비즈니스 목표에 대한 전략적 영향에 대해 면밀한 조사를 피할 수 있는 기업과 부서는 거의 없습니다. 현대 기업에게 광범위한 사이버 보안 프로그램이 필요하다는 것은 당연한 것처럼 보일 수 있지만, 이는 투자 수익률 측면에서 정당화하기 쉽지 않은 조직에 상당한 비용을 초래합니다.

최고 경영진과 이사회 이해관계자는 사이버 보안 이니셔티브에 대한 투자로 예상되는 결과를 스프레드시트의 숫자가 아닌 이해하기 쉬운 용어로 명확하게 이해해야 합니다. 이들은 서로 다른 수준의 기술 지식과 이해도를 가지고 있을 것이므로 CISO는 이해하기 쉬운 메시지로 사례를 제시하기 위해 노력해야 합니다. 프로그램의 규모, 보호가 필요한 대상, 사용자를 설명하여 동급 최고의 모범 사례를 제공해야 합니다. 공격은 증가하고 있지만 예산은 이를 따라가지 못하고 있으며, 선한 싸움은 그 장점을 정당화하기 위한 구두 캠페인에서 시작됩니다.

업종에 관계없이 모든 기업이 빠르게 기술 기업으로 변모하고 있다는 말은 오래전부터 있어 왔습니다. 대부분의 조직에서 디지털 우선 접근 방식이 표준으로 자리 잡았기 때문에 현재 가능한 최상의 보호가 필요한 공격 표면이 엄청나게 커졌습니다. 보안 리더는 많은 모자를 쓰고 있지만, (너무 늦을 때까지) 간과되는 것 중 하나는 보안 리더가 본질적으로 고객 신뢰의 관리자라는 점입니다. 이는 아무리 강조해도 지나치지 않은 가치 제안이며 영업 및 마케팅 목표만큼이나 중요합니다. 

보안에 대한 예방적 접근 방식의 가치를 증명하세요.

현재 사이버 보안 통계는 놀랍지만, 더 많은 예산을 확보하기 위해 FUD와 겁을 주는 것은 일반적으로 쓸데없는 전술입니다. 회사 경영진 중 사이버 보안이 우선순위가 아니라고 주장하는 사람은 거의 없지만, 기존 리소스를 활용하여 더 나은 결과를 얻을 수 있는 진취적인 전략을 제시하면 예산 증액을 받아들일 가능성이 훨씬 더 높습니다. 

Neustar 국제 보안 위원회의 최근 조사에 따르면, 알려진 사이버 보안 문제를 해결하기 위한 예산이 충분하다고 생각하는 기업은 50%에 불과했습니다. 2021년과 2022년 사이에 전 세계 사이버 공격이 38% 증가할 것으로 예상되는 만큼, 일반 CISO에게는 더욱 어려운 여정이 될 것으로 보입니다. 하지만 진정한 세계적 수준의 보안 리더는 이러한 어려움을 극복하고 역경을 통해 혁신을 이룰 수 있습니다.

많은 시나리오에서 예방이 치료보다 쉽고 간단하며 사이버 보안도 다르지 않습니다. 전체적인 보안 프로그램은 사후 대응 조치를 훨씬 뛰어넘어야 하며, 취약성 관리가 많은 CISO의 3대 관심사 중 하나이므로 개발자가 이러한 움직임의 필수적인 부분이라는 것은 당연한 일입니다. 개발자는 일반적인 보안 버그를 정면으로 다루기 위한 실습 교육이 필요하며, 이를 통해 이러한 문제를 원천적으로 제거하고 애초에 프로덕션에 영향을 미치지 않도록 할 수 있습니다. 이제 더 이상 품질이 낮고 안전하지 않은 코드를 변명할 수 없는 시점에 이르렀으며, 코드 수준의 취약성에 대한 가장 비용 효율적이고 강력한 해결책은 개발 집단의 숙련도 향상입니다. 

CISO는 기존 예산을 유지하기 위해 노력해야 하며, 특히 개발자를 위한 역할 기반 보안 숙련도의 이점을 자세히 설명하는 것이 다루기 힘든 보안 기술 스택에 다음 '은탄'을 추가하는 것보다 더 빠른 승리입니다.

보안은 브랜드 기본 요소의 일부가 되어야 합니다.

대부분의 CISO가 마케팅에 대한 열정을 발휘하기 위해 이 직책을 맡은 것은 아니지만, 적어도 지갑을 쥐고 있는 사람들에게 자신의 사례를 발표할 때 이 분야는 노력할 수 있는 분야 중 하나입니다. 

사이버 보안 프로그램이 고객 신뢰와 브랜드 충성도에 미치는 영향은 아무리 강조해도 지나치지 않으며, 대규모 보안 침해가 발생하면 엄청난 규모의 고객 이탈이 발생할 수 있습니다. 반대로 엄격한 보안 관행을 핵심 브랜드 가치와 연계하면 데이터 프라이버시 및 보호가 단순히 겉으로 드러나는 것이 아니라 고객이 신뢰할 수 있는 것이라는 분명한 메시지를 전달할 수 있습니다. 

현대의 CISO는 지속적인 긍정적인 고객 정서 및 신뢰와 관련된 보안 전략 및 정책의 경쟁 우위를 강조하는 데 시간을 할애하는 것이 중요합니다. 사후 대응적인 보안만으로는 동일한 영향을 미치지 못하며, 모든 가용 리소스를 사용하여 권한 있는 자산을 보호하는 데 중점을 둔 균형 잡힌 접근 방식이 궁극적인 차별화 요소가 될 수 있기 때문입니다. 

더 이상 변명할 여지는 없지만, 진정으로 혁신적인 보안 전략을 위한 적절한 자금을 확보하기 위해 CISO가 강조할 수 있는 설득력 있는 이유가 많이 있습니다.

우리는 당신에게 우리의 제품 및 / 또는 관련 보안 코딩 주제에 대한 정보를 보낼 수있는 귀하의 허가를 바랍니다. 우리는 항상 최대한의주의를 기울여 귀하의 개인 정보를 취급 할 것이며 마케팅 목적으로 다른 회사에 판매하지 않을 것입니다.

양식을 제출하려면 '분석' 쿠키를 활성화하세요. 완료되면 언제든지 다시 비활성화할 수 있습니다.