"유능한 CISO의 5가지 행동 특성"...가트너, CISO는 끊임없는 기술 습득과 폭넓은 교류 필요

"CISO 역할이 계속해서 빠르게 진화함에 따라 보안 및 리스크 리더가 전문성 개발을 위한 시간을 확보하는 것이 더욱 중요해졌다. 역할 변화에 따라 새로운 기술과 지식을 개발하는 것은 비즈니스에 대한 전략적 조언자 역할을 효과적으로 수행하기 위해 필수적이며, 이는 새로운 CISO 패러다임이다."

가트너가 2020년부터 2023년까지 227명의 CISO를 대상으로 실시한 설문 조사 결과를 발표했다. 설문에 참여한 CISO들은 효율적인 업무 주요 업무 영역에 대한 평가를 받았으며, 그중에서 상위 1/3에 해당하는 점수를 획득한 CISO를 최고 성과자로 분류했다. 이를 통해 성과가 우수한 CISO와 그렇지 않은 CISO 사이에는 이들을 구분하는 5가지 주요 행동이 있는 것으로 나타났다.

>

좋은 성과를 내는 CISO들은 그렇지 않은 CISO들과 5가지 행동 영역에서 크게 구별되는 특징을 가지고 있는 것으로 나타났다. (자료 : Gartner)

첫째, '위협에 앞서 대응하기 위해 진화하는 규범에 대한 논의 시작'이라는 항목에 대해 최고의 성과를 내는 77%가 그렇게 하고 있는 것으로 나타났다. 해킹이나 다양한 보안 위협으로부터 국내 및 국제 보안 규범에 관해 기업 안에서 대화를 시작하며 미리 대비하고 준비한다는 것이다. 반면 최하위 성과를 낸 CISO는 50%만이 그렇다고 답변했다.

둘째, '신기술 확보에 적극적으로 참여한다'는 질문에 최고 성과를 낸 CISO는 63%가 그렇다고 응답했다. 최고 성과를 내는 CISO는 이머전트 AI, 퍼베이시브 클라우드, 인과관계 AI, 연합 기계 학습, 그래프 데이터 과학 등 새롭게 부상하고 있는 신흥 기술에 대해 적극적으로 관심을 가지고 관련 정보를 모으고 습득하는 것이다. 성과가 저조한 CISO는 38%만이 그렇다고 답변했다.

셋째, '정기적으로 전문 개발 활동을 위한 고정 시간'을 내고 있는지에 대한 질문에 대해 최고 성과를 내는 CISO는 69%가 그렇다고 대답했다. 끊임없이 공부하고 새로운 기술을 익혀야 한다는 뻔하고 당연한 말을 실제로 실천한다는 것이다. 반면, 낮은 성과를 내는 CISO는 36%만이 그렇게 하는 것으로 조사됐다.

넷째, '주로 프로젝트 맥락 밖에서 고위 비즈니스 의사 결정자와 관계를 구축한다'는 항목은 최고 성과를 내는 CISO의 65%가 그렇게 하고 있다고 답변했고, 성과가 저조한 CISO는 37%가 그렇게 하고 있다고 응답했다. 좋은 성과를 내는 CISO일수록 비즈니스 전반에 관련된 의사 결정자와 적극적으로 소통한다는 것이다.

다섯째, '고위 비즈니스 의사결정권자와의 협력을 통해 위험 성향 정의' 역시 상위 그룹에 속한 CISO는 67%가 그렇게 하고 있다고 답변했고, 하위 그룹의 CISO는 28%만이 그렇게 하고 있는 것으로 나타났다. 좋은 성과를 내는 CISO일수록 영업 책임자, 마케팅 책임자, 사업부 리더 등 IT와 관련 없는 의사결정권자들을 더욱 많이 만나면서 폭넓고 효율적인 소통을 이어가고 있는 것이다.

가트너의 리서치 담당 수석 책임자인 키라아 지라디(Chiara Girardi)는 "IT가 아닌 부서는 IT 외부에서 기술 및 사이버 보안 결정을 내릴 수 있는 핵심 파트너다. CISO는 기업 전체의 고위 비즈니스 의사 결정자와 관계를 구축하는 데 전념하는 시간을 확보함으로써, 의사 결정자가 사이버 보안을 이해하고 관심을 가질 뿐만 아니라 의사 결정에서 사이버 보안의 영향을 고려할 수 있는 환경을 조성할 수 있다"고 CISO의 폭넓은 교류의 중요성을 강조했다.

 

⧉ Syndicated to WWW.CIOKOREA.COM