한국어 
English
Français
Deutsch
Español
Italiano
Português
日本語
Русский
CISO 및 사이버 보안 임원이 이사회를 준비하는 방법
최고 정보 보안 책임자는 일반적으로 사이버 보안 및 IT 팀 구성원과 협력하여 조직의 컴퓨터, 웹 사이트 및 애플리케이션의 보안을 강화하기 위해 노력합니다. CISO의 역할은 사이버 위협에 대한 보호를 전담하는 임원이 대부분 전술적인 역할을 했지만, 오늘날의 역할은 전체 조직이 집단적으로 위협을 적절하게 예방할 수 있도록 전략 계획을 수행하고 조정하는 것에 더 가깝습니다.
비록 상장 기업들이 이사회에 사이버 전문가를 추가하려는 움직임을 보이고 있지는 않지만 CISO가 이사회 이사직에서 실제로 탁월할 것이라는 증거가 있습니다. 이번 달 IANS Research, Artico Search 및 The CAP Group은 Russell 1000 Index(R1000)에서 CISO의 자격을 평가하는 보고서를 발표하여 신뢰할 수 있는 후보자의 주요 특성을 나열했습니다.
결과에 따르면 R1000 CISO의 14%(대략 7명 중 1명)가 이사회 직책에 필요한 특성을 보유하고 있는 것으로 나타났습니다. 이 보고서는 증권거래위원회(SEC)가 사이버 전문성과 투명성에 관한 새로운 규정을 마무리하기 위해 노력하고 있는 가운데 나온 것입니다.
물론 SEC와 다른 기관이 이사회에 더 많은 CISO를 요구하는 이유 중 하나는 바로 이사회에서 자신의 고유한 도메인 경험을 더 폭넓은 비즈니스 논의에 적용할 수 있기 때문입니다. 그러나 연구 결과를 보면 최고의 후보자가 다른 기술을 발휘할 수 있다는 것도 분명합니다.
The CAP Group의 CEO이자 사이버 이사회 고문인 Brian Walker는 보도 자료에서 "기술과 사이버 보안 전문 지식만으로는 이사회 이사직에 불충분합니다"라고 말했습니다. "이사회 이사는 전략적 수준에서 운영되며 대부분의 이사회에서는 모든 복잡한 전문 분야에 대해 새로운 이사를 추가하는 것이 확장 가능하지 않기 때문에 '원 트릭 포니'를 위한 여지가 없습니다."
CISO가 이사회에서 성공하기 위해 갖춰야 할 몇 가지 주요 기준에는 정보 보안 재직 기간, 다기능 전문성, 확장 능력, 고급 교육 등이 포함됩니다.
정보 보안 재직 기간을 갖는다는 것은 보고서에 명시된 대로 해당 개인이 CISO로서 약 5년의 "심층적인 도메인 전문 지식"과 정보 보안 분야에서 10년 이상의 경험을 자랑한다는 것을 의미합니다. 이러한 노하우를 보유하면 올바른 질문을 하고 확고한 가정에 도전하는 데 도움이 됩니다.
이와 관련하여, 더 폭넓은 비즈니스 경험이 추가적인 핵심 요구 사항입니다. 보고서에 따르면 회사 창립자, 전략 컨설팅 등 비사이버 기능적 역할에 경험이 있는 CISO는 기술이 광범위하므로 이사회 자리에 유력한 후보자입니다.
이는 곧바로 다음 전제조건인 규모 확보로 이어집니다. CISO가 대규모 글로벌 조직에서 정보 보안 책임자로 근무한 경험이 있다고 가정해 보겠습니다. 이를 통해 CISO는 포괄적이고 포용적인 관점을 갖고 있으며 다양한 이해관계자를 다룰 수 있음을 보여줄 수 있습니다.
보고서에 따르면 CISO는 이사회 자리에서 성공하기 위해 고급 교육도 필요합니다. 보고서에 따르면 이 요소는 "외부 이해관계자에 대한 이사회의 신뢰도를 높이고" "비판적 사고 및 분석 기술을 나타냅니다". 확실히 이사회의 개인을 돕습니다.
다양성은 CISO가 이사회에 합류하기를 원할 때 갖춰야 할 또 다른 특성이자 아마도 가장 중요한 특성입니다.
Artico Search의 사이버 업무 파트너이자 채용 담당자인 Steve Martano는 보고서에서 다음과 같이 말했습니다. "추가 이사회 구성원으로 활동하려면 도메인 전문 지식과 전략적 거버넌스의 고유한 조합은 물론 이사회 구성의 명성과 다양성."
실제로 보고서에 명시된 바와 같이 다양성 기준의 이론적 근거는 각 이사회 구성원이 자신의 다르거나 새로운 관점을 테이블에 제시하여 그룹이 사각지대를 식별하고 잠재적인 함정을 피하는 데 도움이 된다는 것입니다. 새로운 이사회 구성원의 다양성은 그들이 여성, 유색인종 또는 기타 과소대표된 집단에 속한다는 것을 의미할 수 있습니다(그리고 이는 SEC 규칙 5605(f)에 부합합니다). Martano는 "오늘날 이사회는 경험과 사고의 다양성을 추구하고, 소수 집단에 이사회 기회를 확대하고 있습니다."라고 덧붙였습니다.