미래 보호: 사이버 보안 준비 태세 보고서
9장: 보안 문화 개선하기
위협에 대처하려면 올바른 사이버 보안 솔루션을 구현하는 것이 중요하다는 데는 의심의 여지가 없습니다. 하지만 많은 조직에서는 회사 문화의 변화도 필요로 합니다. 더 강력한 사이버 보안 문화를 개발하면 늘어나는 위협에 대응하는 동시에 예산 제약, 인재 부족, 우선순위 상충 문제를 상쇄할 수 있습니다.
어떤 종류의 문화 변화가 필요할까요? 보안 리더는 먼저 이해와 인식을 높여야 합니다. 직원은 공격이 어떻게 발생하는지 이해��해야 합니다. 피싱 사기와 도난당한 자격 증명은 물론 비즈니스를 중단시킬 수 있는 웹 공격, 분산 서비스 거부(DDoS) 공격, zero-day 익스플로잇에 대해 교육받아야 합니다. 공격을 식별하는 방법과 보안 팀에 공격을 가장 잘 보고하는 방법에 대해 교육을 받아야 합니다.
동시에 사이버 공격 방지의 중요성을 이해해야 합니다. 공격이 성공하면 브랜드 평판 손상, 고객 이탈, 막대한 재정적 손실 등의 광범위한 결과가 초래될 수 있다는 점을 알아야 합니다.
직원은 스스로 새로운 애플리케이션을 설치하거나 보안 정책을 우회하는 방법을 찾아서는 안 되는 이유를 이해해야 합니다. 기술에 능숙한 일부 직원은 사소해 보이는 기술적 문제를 스스로 해결하는 것이 더 간단하고 빠르다고 생각할 수 있습니다. 그러나 이들은 섀도우 IT에 개입되면서 조직을 심각한 위험에 빠뜨릴 수 있습니다.
보안팀에서는 직원을 교육할 때 회사 보안이 공동의 책임이라는 점을 분명히 해야 합니다. 직원은 위협에 대한 첫 번째 방어선인 경우가 많습니다. 직원에게 사고를 식별하고 보고하도록 권한을 부여하면 유출을 방지하는 데 있어 핵심적인 역할을 할 수 있습니다.
기업 보안에 대한 책임을 성공적으로 분담하면 궁극적으로 많은 조직에서 직면하는 예산과 인력 문제를 일부 완화할 수 있습니다. 예를 들어, 직원이 피싱 시도를 더 잘 식별할 수 있으면 직원이 이러한 사기에 속아 범죄자에게 노출되는 자격 증명을 의도치 않게 제공할 가능성이 줄어듭니다. 또한 성공적인 피싱 시도가 줄어들�면 보안팀에서 해결해야 하는 유출 건수도 줄어듭니다.
인식을 개선하고 이해도를 높이는 일이 경영진 및 이사회 회의실까지 확장되어야 합니다. 보안 리더가 공격의 확산과 해당 공격으로 인한 엄청난 피해에 대해 다른 경영진과 이사회 구성원을 교육할 수 있는 경우, 보안에 중점을 둔 프로그램과 정책에 대한 지원을 얻을 수 있고, 더 많은 보안 예산에 대한 승인을 얻을 수 있습니다.
경영진의 인식이 개선되면 회사 전반의 태도와 행동의 변화를 주창하는 영향력 있는 리더인 챔피언을 배출하는 데 도움이 될 수 있습니다. 챔피언은 직원이 보안 가치를 내면화하고 중요한 정책을 채택하도록 영감을 줄 수 있습니다.
회사에 강력한 보안 문화가 있으면 CISO는 더 적극적으로 행동할 수 있습니다. 사고가 발생할 것을 기다릴 필요 없이 보안 이니셔티브를 진행하고 준비 태세를 강화할 수 있습니다.
강력한 사이버 보안 문화를 구축하면 사이버 보안에 실질적이고 가시적인 이점이 있을 수 있습니다. Forrester의 최신 연구에서 응답자의 약 60%가 기업 문화의 개선으로 지난 1년 동안 팀에서 사고에 더 빠르게 대응할 수 있게 되었다고 답했습니다. 많은 조직에서 다음 공격에 대한 대비를 강화하는 데 어려움을 겪고 있으므로, 직원들의 인식과 이해를 높이는 것이 최선의 투자가 될 수 있습니다.
이 글은 오늘날의 기술 의사 결정자에게 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
핵심 사항
이 글을 읽고 나면 다음을 이해할 수 있습니다.
4,000여 명의 사이버 보안 전문가가 참여한 설문조사 결과
보안 사고, 준비 태세, 결과에 대한 새로운 조사 결과
조직의 미래를 보호하고 더 나은 성과를 달성하기 위한 CISO의 고려 사항