세계적 수준의 CISO가 2023년에 더 많은 예산과 이사회 신뢰를 얻는 방법
이 기사는 에 처음 게재되었습니다. SC 매거진.여기에 업데이트 및 신디케이트되었습니다.
CISO는 점점 더 어려운 상황에 처해 있습니다. 즉, 더 많은 자산을 보호하고, 더 많은 코드를 배포하고, 더 큰 공격 대상을 줄이고, 급격히 줄어드는 재정 자원으로 이를 처리해야 합니다.사이버 보안이 비용 센터로 간주되고 있다는 것은 피할 수 없는 사실입니다. 조직의 보안 프로그램이 위협 행위자를 가로막아 내일의 끔찍한 헤드라인이 되고 있음에도 불구하고 보안 리더는 경영진이 이해할 수 있는 언어로 해당 부서의 전반적인 비즈니스 가치를 판매하고 입증하기 위해 더 많은 노력을 기울여야 합니다.
세계적 수준의 CISO는 이러한 상황에 대응하여 고객 신뢰와 브랜드 평판을 높이고 사용 가능한 모든 도구를 활용하여 부인할 수 없는 가치를 창출하는 포괄적인 보안 프로그램을 주도하고 있습니다.보안 우수성을 유지하기 위한 시간, 자원 또는 인력이 충분하지 않다는 사고방식을 버리고 일반적인 보안 위험에 대한 전략적이고 예방적인 접근 방식으로 시작됩니다.
이사회실에서 토론을 변경하세요.
현재의 경제 상황에서 지출하는 비용, 고용 규모, 비즈니스 목표에 미치는 전략적 영향에 대한 조사를 피하는 기업과 부서는 거의 없습니다.현대 기업에 광범위한 사이버 보안 프로그램이 필요하다는 것은 당연한 일처럼 보일 수 있지만, 이는 조직에 상당한 비용을 초래하므로 투자 수익률 (ROI) 측면에서 정당화하기란 쉽지 않습니다.
최고 경영진 및 이사회 이해관계자들은 투자 사이버 보안 이니셔티브의 예상 성과를 스프레드시트의 수치와는 차원이 다른 용어로 명확하게 이해해야 합니다.CISO는 기술 지식과 이해 수준이 서로 다르므로 CISO는 접근 가능한 메시지로 자신의 사례를 제시하기 위해 노력해야 합니다.동급 최고의 사례를 제시하기 위해 프로그램의 규모, 보호가 필요한 사항, 활성화해야 할 대상을 설명하십시오.공격이 증가하고 있습니다. 하지만 예산이 이를 따라가지 못하고 있습니다.그리고 선한 싸움에 맞서 싸우는 것은 그 장점을 정당화하기 위한 구두 캠페인에서 시작됩니다.
업종을 불문하고 모든 회사가 빠르게 기술 회사로 변모하고 있다고 오랫동안 말해왔습니다.대부분의 조직에서 디지털 우선 접근 방식이 일반적이기 때문에, 이는 당시에 제공할 수 있는 최상의 보호가 필요한 대규모 공격 대상 영역입니다.보안 리더는 여러 가지 역할을 담당하지만 (너무 늦기 전까지는) 간과되고 있는 것은 이들이 본질적으로 고객 신뢰의 수호자라는 사실입니다.이는 가치 제안으로서 아무리 강조해도 지나치지 않으며 영업 및 마케팅 목표 못지않게 중요합니다.
보안에 대한 예방적 접근 방식의 가치를 입증하십시오.
최신 사이버 보안 통계 머리를 기르는 사람이야하지만 FUD를 이용하고 겁을 주는 것은 일반적으로 더 많은 예산을 확보하는 데 있어 쓸데없는 전술입니다.기업 경영진 중 사이버 보안이 우선 순위가 아니라고 주장하는 사람은 거의 없을 것입니다. 하지만 더 나은 결과를 위해 기존 리소스를 활용하는 진취적인 전략이 제시된다면 예산 증액을 수용할 가능성이 훨씬 더 높습니다.
노이스타 국제 안전 보장 이사회의 최근 연구에 따르면 기업의 50% 에 불과합니다. 알려진 사이버 보안 문제를 해결하기에 충분한 예산이 있다고 생각합니다.그리고 글로벌 사이버 공격과 함께 38% 증가했습니다. 2021년에서 2022년 사이에 이는 일반 CISO에게 훨씬 더 어려운 여정이 될 것입니다.하지만 진정한 세계적 수준의 보안 리더는 이러한 문제를 극복하고 역경을 헤쳐나갈 수 있는 역량을 갖추고 있습니다.
대부분의 시나리오에서 예방은 치료보다 쉽고 간단하며 사이버 보안도 다르지 않습니다.총체적 보안 프로그램은 사후 대응 조치를 뛰어넘어 취약성 관리까지 확장해야 합니다. 많은 CISO가 가장 우려하는 세 가지 문제 중 하나개발자가 이러한 움직임에 없어서는 안될 부분이라는 것은 당연합니다.일반적인 보안 버그를 정면으로 해결하려면 실습 교육이 필요합니다. 이를 통해 이러한 문제를 근원적으로 제거하고 애초에 프로덕션 환경에 진입하지 못하게 할 수 있습니다.지금은 품질이 낮고 안전하지 않은 코드를 계속 용서할 수 없는 시점에 이르렀습니다. 개발 집단의 숙련도를 높이는 것이 코드 수준의 취약점을 해결하는 가장 비용 효율적이고 강력한 해결책입니다.
CISO는 기존 예산을 유지하기 위해 고군분투하는 것이 중요하며, 특히 개발자를 위한 역할 기반 보안 업스킬링의 이점을 자세히 설명하는 것이 다루기 힘든 보안 기술 스택에 다음 “은총알”을 추가하는 것보다 더 빠른 승리입니다.
보안은 브랜드 기본 사항의 일부가 되어야 합니다.
대부분의 CISO는 마케팅에 대한 열정을 발휘하기 위해 자신의 역할을 맡지는 않았지만, 적어도 돈줄을 쥐고 있는 사람들에게 사례를 제시할 때는 이 부분을 담당할 수 있는 영역 중 하나입니다.
사이버 보안 프로그램이 고객 신뢰와 브랜드 충성도에 미치는 영향은 아무리 강조해도 지나치지 않습니다. 대규모 보안 침해로 인해 성경에 나오는 내용이 크게 유출될 수 있습니다.이와 반대로, 엄격한 보안 관행을 핵심 브랜드 가치와 연계하면 데이터 프라이버시 및 보호가 단순히 최우선이 아니라 고객이 신뢰할 수 있는 대상이라는 분명한 메시지를 전달할 수 있습니다.
현대의 CISO는 지속적인 긍정적인 고객 감정 및 신뢰와 관련된 보안 전략 및 정책의 경쟁 우위를 강조하는 데 시간을 할애하는 것이 중요합니다. 사후 보안만으로는 동일한 영향을 미치지 않으며, 사용 가능한 모든 리소스로 특권 자산을 보호하는 데 초점을 맞춘 균형 잡힌 접근 방식이 궁극적인 차별화 요소가 될 수 있습니다.
더 이상 변명의 여지가 없지만, CISO가 진정으로 혁신적인 보안 전략을 위한 적절한 자금 조달을 모색하면서 강조할 수 있는 설득력 있는 이유는 많습니다.
CISO는 점점 더 어려운 상황에 처해 있습니다. 즉, 더 많은 자산을 보호하고, 더 많은 코드를 배포하고, 더 큰 공격 대상을 줄이고, 급격히 줄어드는 재정 자원으로 이를 처리해야 합니다.사이버 보안이 비용 센터로 간주되고 있다는 것은 피할 수 없는 사실입니다. 조직의 보안 프로그램이 위협 행위자를 가로막아 내일의 끔찍한 헤드라인이 되고 있음에도 불구하고 보안 리더는 경영진이 이해할 수 있는 언어로 해당 부서의 전반적인 비즈니스 가치를 판매하고 입증하기 위해 더 많은 노력을 기울여야 합니다.
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
이 기사는 에 처음 게재되었습니다. SC 매거진.여기에 업데이트 및 신디케이트되었습니다.
CISO는 점점 더 어려운 상황에 처해 있습니다. 즉, 더 많은 자산을 보호하고, 더 많은 코드를 배포하고, 더 큰 공격 대상을 줄이고, 급격히 줄어드는 재정 자원으로 이를 처리해야 합니다.사이버 보안이 비용 센터로 간주되고 있다는 것은 피할 수 없는 사실입니다. 조직의 보안 프로그램이 위협 행위자를 가로막아 내일의 끔찍한 헤드라인이 되고 있음에도 불구하고 보안 리더는 경영진이 이해할 수 있는 언어로 해당 부서의 전반적인 비즈니스 가치를 판매하고 입증하기 위해 더 많은 노력을 기울여야 합니다.
세계적 수준의 CISO는 이러한 상황에 대응하여 고객 신뢰와 브랜드 평판을 높이고 사용 가능한 모든 도구를 활용하여 부인할 수 없는 가치를 창출하는 포괄적인 보안 프로그램을 주도하고 있습니다.보안 우수성을 유지하기 위한 시간, 자원 또는 인력이 충분하지 않다는 사고방식을 버리고 일반적인 보안 위험에 대한 전략적이고 예방적인 접근 방식으로 시작됩니다.
이사회실에서 토론을 변경하세요.
현재의 경제 상황에서 지출하는 비용, 고용 규모, 비즈니스 목표에 미치는 전략적 영향에 대한 조사를 피하는 기업과 부서는 거의 없습니다.현대 기업에 광범위한 사이버 보안 프로그램이 필요하다는 것은 당연한 일처럼 보일 수 있지만, 이는 조직에 상당한 비용을 초래하므로 투자 수익률 (ROI) 측면에서 정당화하기란 쉽지 않습니다.
최고 경영진 및 이사회 이해관계자들은 투자 사이버 보안 이니셔티브의 예상 성과를 스프레드시트의 수치와는 차원이 다른 용어로 명확하게 이해해야 합니다.CISO는 기술 지식과 이해 수준이 서로 다르므로 CISO는 접근 가능한 메시지로 자신의 사례를 제시하기 위해 노력해야 합니다.동급 최고의 사례를 제시하기 위해 프로그램의 규모, 보호가 필요한 사항, 활성화해야 할 대상을 설명하십시오.공격이 증가하고 있습니다. 하지만 예산이 이를 따라가지 못하고 있습니다.그리고 선한 싸움에 맞서 싸우는 것은 그 장점을 정당화하기 위한 구두 캠페인에서 시작됩니다.
업종을 불문하고 모든 회사가 빠르게 기술 회사로 변모하고 있다고 오랫동안 말해왔습니다.대부분의 조직에서 디지털 우선 접근 방식이 일반적이기 때문에, 이는 당시에 제공할 수 있는 최상의 보호가 필요한 대규모 공격 대상 영역입니다.보안 리더는 여러 가지 역할을 담당하지만 (너무 늦기 전까지는) 간과되고 있는 것은 이들이 본질적으로 고객 신뢰의 수호자라는 사실입니다.이는 가치 제안으로서 아무리 강조해도 지나치지 않으며 영업 및 마케팅 목표 못지않게 중요합니다.
보안에 대한 예방적 접근 방식의 가치를 입증하십시오.
최신 사이버 보안 통계 머리를 기르는 사람이야하지만 FUD를 이용하고 겁을 주는 것은 일반적으로 더 많은 예산을 확보하는 데 있어 쓸데없는 전술입니다.기업 경영진 중 사이버 보안이 우선 순위가 아니라고 주장하는 사람은 거의 없을 것입니다. 하지만 더 나은 결과를 위해 기존 리소스를 활용하는 진취적인 전략이 제시된다면 예산 증액을 수용할 가능성이 훨씬 더 높습니다.
노이스타 국제 안전 보장 이사회의 최근 연구에 따르면 기업의 50% 에 불과합니다. 알려진 사이버 보안 문제를 해결하기에 충분한 예산이 있다고 생각합니다.그리고 글로벌 사이버 공격과 함께 38% 증가했습니다. 2021년에서 2022년 사이에 이는 일반 CISO에게 훨씬 더 어려운 여정이 될 것입니다.하지만 진정한 세계적 수준의 보안 리더는 이러한 문제를 극복하고 역경을 헤쳐나갈 수 있는 역량을 갖추고 있습니다.
대부분의 시나리오에서 예방은 치료보다 쉽고 간단하며 사이버 보안도 다르지 않습니다.총체적 보안 프로그램은 사후 대응 조치를 뛰어넘어 취약성 관리까지 확장해야 합니다. 많은 CISO가 가장 우려하는 세 가지 문제 중 하나개발자가 이러한 움직임에 없어서는 안될 부분이라는 것은 당연합니다.일반적인 보안 버그를 정면으로 해결하려면 실습 교육이 필요합니다. 이를 통해 이러한 문제를 근원적으로 제거하고 애초에 프로덕션 환경에 진입하지 못하게 할 수 있습니다.지금은 품질이 낮고 안전하지 않은 코드를 계속 용서할 수 없는 시점에 이르렀습니다. 개발 집단의 숙련도를 높이는 것이 코드 수준의 취약점을 해결하는 가장 비용 효율적이고 강력한 해결책입니다.
CISO는 기존 예산을 유지하기 위해 고군분투하는 것이 중요하며, 특히 개발자를 위한 역할 기반 보안 업스킬링의 이점을 자세히 설명하는 것이 다루기 힘든 보안 기술 스택에 다음 “은총알”을 추가하는 것보다 더 빠른 승리입니다.
보안은 브랜드 기본 사항의 일부가 되어야 합니다.
대부분의 CISO는 마케팅에 대한 열정을 발휘하기 위해 자신의 역할을 맡지는 않았지만, 적어도 돈줄을 쥐고 있는 사람들에게 사례를 제시할 때는 이 부분을 담당할 수 있는 영역 중 하나입니다.
사이버 보안 프로그램이 고객 신뢰와 브랜드 충성도에 미치는 영향은 아무리 강조해도 지나치지 않습니다. 대규모 보안 침해로 인해 성경에 나오는 내용이 크게 유출될 수 있습니다.이와 반대로, 엄격한 보안 관행을 핵심 브랜드 가치와 연계하면 데이터 프라이버시 및 보호가 단순히 최우선이 아니라 고객이 신뢰할 수 있는 대상이라는 분명한 메시지를 전달할 수 있습니다.
현대의 CISO는 지속적인 긍정적인 고객 감정 및 신뢰와 관련된 보안 전략 및 정책의 경쟁 우위를 강조하는 데 시간을 할애하는 것이 중요합니다. 사후 보안만으로는 동일한 영향을 미치지 않으며, 사용 가능한 모든 리소스로 특권 자산을 보호하는 데 초점을 맞춘 균형 잡힌 접근 방식이 궁극적인 차별화 요소가 될 수 있습니다.
더 이상 변명의 여지가 없지만, CISO가 진정으로 혁신적인 보안 전략을 위한 적절한 자금 조달을 모색하면서 강조할 수 있는 설득력 있는 이유는 많습니다.
이 기사는 에 처음 게재되었습니다. SC 매거진.여기에 업데이트 및 신디케이트되었습니다.
CISO는 점점 더 어려운 상황에 처해 있습니다. 즉, 더 많은 자산을 보호하고, 더 많은 코드를 배포하고, 더 큰 공격 대상을 줄이고, 급격히 줄어드는 재정 자원으로 이를 처리해야 합니다.사이버 보안이 비용 센터로 간주되고 있다는 것은 피할 수 없는 사실입니다. 조직의 보안 프로그램이 위협 행위자를 가로막아 내일의 끔찍한 헤드라인이 되고 있음에도 불구하고 보안 리더는 경영진이 이해할 수 있는 언어로 해당 부서의 전반적인 비즈니스 가치를 판매하고 입증하기 위해 더 많은 노력을 기울여야 합니다.
세계적 수준의 CISO는 이러한 상황에 대응하여 고객 신뢰와 브랜드 평판을 높이고 사용 가능한 모든 도구를 활용하여 부인할 수 없는 가치를 창출하는 포괄적인 보안 프로그램을 주도하고 있습니다.보안 우수성을 유지하기 위한 시간, 자원 또는 인력이 충분하지 않다는 사고방식을 버리고 일반적인 보안 위험에 대한 전략적이고 예방적인 접근 방식으로 시작됩니다.
이사회실에서 토론을 변경하세요.
현재의 경제 상황에서 지출하는 비용, 고용 규모, 비즈니스 목표에 미치는 전략적 영향에 대한 조사를 피하는 기업과 부서는 거의 없습니다.현대 기업에 광범위한 사이버 보안 프로그램이 필요하다는 것은 당연한 일처럼 보일 수 있지만, 이는 조직에 상당한 비용을 초래하므로 투자 수익률 (ROI) 측면에서 정당화하기란 쉽지 않습니다.
최고 경영진 및 이사회 이해관계자들은 투자 사이버 보안 이니셔티브의 예상 성과를 스프레드시트의 수치와는 차원이 다른 용어로 명확하게 이해해야 합니다.CISO는 기술 지식과 이해 수준이 서로 다르므로 CISO는 접근 가능한 메시지로 자신의 사례를 제시하기 위해 노력해야 합니다.동급 최고의 사례를 제시하기 위해 프로그램의 규모, 보호가 필요한 사항, 활성화해야 할 대상을 설명하십시오.공격이 증가하고 있습니다. 하지만 예산이 이를 따라가지 못하고 있습니다.그리고 선한 싸움에 맞서 싸우는 것은 그 장점을 정당화하기 위한 구두 캠페인에서 시작됩니다.
업종을 불문하고 모든 회사가 빠르게 기술 회사로 변모하고 있다고 오랫동안 말해왔습니다.대부분의 조직에서 디지털 우선 접근 방식이 일반적이기 때문에, 이는 당시에 제공할 수 있는 최상의 보호가 필요한 대규모 공격 대상 영역입니다.보안 리더는 여러 가지 역할을 담당하지만 (너무 늦기 전까지는) 간과되고 있는 것은 이들이 본질적으로 고객 신뢰의 수호자라는 사실입니다.이는 가치 제안으로서 아무리 강조해도 지나치지 않으며 영업 및 마케팅 목표 못지않게 중요합니다.
보안에 대한 예방적 접근 방식의 가치를 입증하십시오.
최신 사이버 보안 통계 머리를 기르는 사람이야하지만 FUD를 이용하고 겁을 주는 것은 일반적으로 더 많은 예산을 확보하는 데 있어 쓸데없는 전술입니다.기업 경영진 중 사이버 보안이 우선 순위가 아니라고 주장하는 사람은 거의 없을 것입니다. 하지만 더 나은 결과를 위해 기존 리소스를 활용하는 진취적인 전략이 제시된다면 예산 증액을 수용할 가능성이 훨씬 더 높습니다.
노이스타 국제 안전 보장 이사회의 최근 연구에 따르면 기업의 50% 에 불과합니다. 알려진 사이버 보안 문제를 해결하기에 충분한 예산이 있다고 생각합니다.그리고 글로벌 사이버 공격과 함께 38% 증가했습니다. 2021년에서 2022년 사이에 이는 일반 CISO에게 훨씬 더 어려운 여정이 될 것입니다.하지만 진정한 세계적 수준의 보안 리더는 이러한 문제를 극복하고 역경을 헤쳐나갈 수 있는 역량을 갖추고 있습니다.
대부분의 시나리오에서 예방은 치료보다 쉽고 간단하며 사이버 보안도 다르지 않습니다.총체적 보안 프로그램은 사후 대응 조치를 뛰어넘어 취약성 관리까지 확장해야 합니다. 많은 CISO가 가장 우려하는 세 가지 문제 중 하나개발자가 이러한 움직임에 없어서는 안될 부분이라는 것은 당연합니다.일반적인 보안 버그를 정면으로 해결하려면 실습 교육이 필요합니다. 이를 통해 이러한 문제를 근원적으로 제거하고 애초에 프로덕션 환경에 진입하지 못하게 할 수 있습니다.지금은 품질이 낮고 안전하지 않은 코드를 계속 용서할 수 없는 시점에 이르렀습니다. 개발 집단의 숙련도를 높이는 것이 코드 수준의 취약점을 해결하는 가장 비용 효율적이고 강력한 해결책입니다.
CISO는 기존 예산을 유지하기 위해 고군분투하는 것이 중요하며, 특히 개발자를 위한 역할 기반 보안 업스킬링의 이점을 자세히 설명하는 것이 다루기 힘든 보안 기술 스택에 다음 “은총알”을 추가하는 것보다 더 빠른 승리입니다.
보안은 브랜드 기본 사항의 일부가 되어야 합니다.
대부분의 CISO는 마케팅에 대한 열정을 발휘하기 위해 자신의 역할을 맡지는 않았지만, 적어도 돈줄을 쥐고 있는 사람들에게 사례를 제시할 때는 이 부분을 담당할 수 있는 영역 중 하나입니다.
사이버 보안 프로그램이 고객 신뢰와 브랜드 충성도에 미치는 영향은 아무리 강조해도 지나치지 않습니다. 대규모 보안 침해로 인해 성경에 나오는 내용이 크게 유출될 수 있습니다.이와 반대로, 엄격한 보안 관행을 핵심 브랜드 가치와 연계하면 데이터 프라이버시 및 보호가 단순히 최우선이 아니라 고객이 신뢰할 수 있는 대상이라는 분명한 메시지를 전달할 수 있습니다.
현대의 CISO는 지속적인 긍정적인 고객 감정 및 신뢰와 관련된 보안 전략 및 정책의 경쟁 우위를 강조하는 데 시간을 할애하는 것이 중요합니다. 사후 보안만으로는 동일한 영향을 미치지 않으며, 사용 가능한 모든 리소스로 특권 자산을 보호하는 데 초점을 맞춘 균형 잡힌 접근 방식이 궁극적인 차별화 요소가 될 수 있습니다.
더 이상 변명의 여지가 없지만, CISO가 진정으로 혁신적인 보안 전략을 위한 적절한 자금 조달을 모색하면서 강조할 수 있는 설득력 있는 이유는 많습니다.
아래 링크를 클릭하고 이 리소스의 PDF를 다운로드하십시오.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
보고서 보기데모 예약
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
이 기사는 에 처음 게재되었습니다. SC 매거진.여기에 업데이트 및 신디케이트되었습니다.
CISO는 점점 더 어려운 상황에 처해 있습니다. 즉, 더 많은 자산을 보호하고, 더 많은 코드를 배포하고, 더 큰 공격 대상을 줄이고, 급격히 줄어드는 재정 자원으로 이를 처리해야 합니다.사이버 보안이 비용 센터로 간주되고 있다는 것은 피할 수 없는 사실입니다. 조직의 보안 프로그램이 위협 행위자를 가로막아 내일의 끔찍한 헤드라인이 되고 있음에도 불구하고 보안 리더는 경영진이 이해할 수 있는 언어로 해당 부서의 전반적인 비즈니스 가치를 판매하고 입증하기 위해 더 많은 노력을 기울여야 합니다.
세계적 수준의 CISO는 이러한 상황에 대응하여 고객 신뢰와 브랜드 평판을 높이고 사용 가능한 모든 도구를 활용하여 부인할 수 없는 가치를 창출하는 포괄적인 보안 프로그램을 주도하고 있습니다.보안 우수성을 유지하기 위한 시간, 자원 또는 인력이 충분하지 않다는 사고방식을 버리고 일반적인 보안 위험에 대한 전략적이고 예방적인 접근 방식으로 시작됩니다.
이사회실에서 토론을 변경하세요.
현재의 경제 상황에서 지출하는 비용, 고용 규모, 비즈니스 목표에 미치는 전략적 영향에 대한 조사를 피하는 기업과 부서는 거의 없습니다.현대 기업에 광범위한 사이버 보안 프로그램이 필요하다는 것은 당연한 일처럼 보일 수 있지만, 이는 조직에 상당한 비용을 초래하므로 투자 수익률 (ROI) 측면에서 정당화하기란 쉽지 않습니다.
최고 경영진 및 이사회 이해관계자들은 투자 사이버 보안 이니셔티브의 예상 성과를 스프레드시트의 수치와는 차원이 다른 용어로 명확하게 이해해야 합니다.CISO는 기술 지식과 이해 수준이 서로 다르므로 CISO는 접근 가능한 메시지로 자신의 사례를 제시하기 위해 노력해야 합니다.동급 최고의 사례를 제시하기 위해 프로그램의 규모, 보호가 필요한 사항, 활성화해야 할 대상을 설명하십시오.공격이 증가하고 있습니다. 하지만 예산이 이를 따라가지 못하고 있습니다.그리고 선한 싸움에 맞서 싸우는 것은 그 장점을 정당화하기 위한 구두 캠페인에서 시작됩니다.
업종을 불문하고 모든 회사가 빠르게 기술 회사로 변모하고 있다고 오랫동안 말해왔습니다.대부분의 조직에서 디지털 우선 접근 방식이 일반적이기 때문에, 이는 당시에 제공할 수 있는 최상의 보호가 필요한 대규모 공격 대상 영역입니다.보안 리더는 여러 가지 역할을 담당하지만 (너무 늦기 전까지는) 간과되고 있는 것은 이들이 본질적으로 고객 신뢰의 수호자라는 사실입니다.이는 가치 제안으로서 아무리 강조해도 지나치지 않으며 영업 및 마케팅 목표 못지않게 중요합니다.
보안에 대한 예방적 접근 방식의 가치를 입증하십시오.
최신 사이버 보안 통계 머리를 기르는 사람이야하지만 FUD를 이용하고 겁을 주는 것은 일반적으로 더 많은 예산을 확보하는 데 있어 쓸데없는 전술입니다.기업 경영진 중 사이버 보안이 우선 순위가 아니라고 주장하는 사람은 거의 없을 것입니다. 하지만 더 나은 결과를 위해 기존 리소스를 활용하는 진취적인 전략이 제시된다면 예산 증액을 수용할 가능성이 훨씬 더 높습니다.
노이스타 국제 안전 보장 이사회의 최근 연구에 따르면 기업의 50% 에 불과합니다. 알려진 사이버 보안 문제를 해결하기에 충분한 예산이 있다고 생각합니다.그리고 글로벌 사이버 공격과 함께 38% 증가했습니다. 2021년에서 2022년 사이에 이는 일반 CISO에게 훨씬 더 어려운 여정이 될 것입니다.하지만 진정한 세계적 수준의 보안 리더는 이러한 문제를 극복하고 역경을 헤쳐나갈 수 있는 역량을 갖추고 있습니다.
대부분의 시나리오에서 예방은 치료보다 쉽고 간단하며 사이버 보안도 다르지 않습니다.총체적 보안 프로그램은 사후 대응 조치를 뛰어넘어 취약성 관리까지 확장해야 합니다. 많은 CISO가 가장 우려하는 세 가지 문제 중 하나개발자가 이러한 움직임에 없어서는 안될 부분이라는 것은 당연합니다.일반적인 보안 버그를 정면으로 해결하려면 실습 교육이 필요합니다. 이를 통해 이러한 문제를 근원적으로 제거하고 애초에 프로덕션 환경에 진입하지 못하게 할 수 있습니다.지금은 품질이 낮고 안전하지 않은 코드를 계속 용서할 수 없는 시점에 이르렀습니다. 개발 집단의 숙련도를 높이는 것이 코드 수준의 취약점을 해결하는 가장 비용 효율적이고 강력한 해결책입니다.
CISO는 기존 예산을 유지하기 위해 고군분투하는 것이 중요하며, 특히 개발자를 위한 역할 기반 보안 업스킬링의 이점을 자세히 설명하는 것이 다루기 힘든 보안 기술 스택에 다음 “은총알”을 추가하는 것보다 더 빠른 승리입니다.
보안은 브랜드 기본 사항의 일부가 되어야 합니다.
대부분의 CISO는 마케팅에 대한 열정을 발휘하기 위해 자신의 역할을 맡지는 않았지만, 적어도 돈줄을 쥐고 있는 사람들에게 사례를 제시할 때는 이 부분을 담당할 수 있는 영역 중 하나입니다.
사이버 보안 프로그램이 고객 신뢰와 브랜드 충성도에 미치는 영향은 아무리 강조해도 지나치지 않습니다. 대규모 보안 침해로 인해 성경에 나오는 내용이 크게 유출될 수 있습니다.이와 반대로, 엄격한 보안 관행을 핵심 브랜드 가치와 연계하면 데이터 프라이버시 및 보호가 단순히 최우선이 아니라 고객이 신뢰할 수 있는 대상이라는 분명한 메시지를 전달할 수 있습니다.
현대의 CISO는 지속적인 긍정적인 고객 감정 및 신뢰와 관련된 보안 전략 및 정책의 경쟁 우위를 강조하는 데 시간을 할애하는 것이 중요합니다. 사후 보안만으로는 동일한 영향을 미치지 않으며, 사용 가능한 모든 리소스로 특권 자산을 보호하는 데 초점을 맞춘 균형 잡힌 접근 방식이 궁극적인 차별화 요소가 될 수 있습니다.
더 이상 변명의 여지가 없지만, CISO가 진정으로 혁신적인 보안 전략을 위한 적절한 자금 조달을 모색하면서 강조할 수 있는 설득력 있는 이유는 많습니다.
목차
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약다운로드
%20(1).avif)
.avif)
