미래 보호: 사이버 보안 준비 태세 보고서
9장: 보안 문화 개선하기
위협에 대처하려면 올바른 사이버 보안 솔루션을 구현하는 것이 중요하다는 데는 의심의 여지가 없습니다. 하지만 많은 조직에서는 회사 문화의 변화도 필요로 합니다. 더 강력한 사이버 보안 문화를 개발하면 늘어나는 위협에 대응하는 동시에 예산 제약, 인재 부족, 우선순위 상충 문제를 상쇄할 수 있습니다.
어떤 종류의 문화 변화가 필요할까요? 보안 리더는 먼저 이해와 인식을 높여야 합니다. 직원은 공격이 어떻게 발생하는지 이해��해야 합니다. 피싱 사기와 도난당한 자격 증명은 물론 비즈니스를 중단시킬 수 있는 웹 공격, 분산 서비스 거부(DDoS) 공격, zero-day 익스플로잇에 대해 교육받아야 합니다. 공격을 식별하는 방법과 보안 팀에 공격을 가장 잘 보고하는 방법에 대해 교육을 받아야 합니다.
동시에 사이버 공격 방지의 중요성을 이해해야 합니다. 공격이 성공하면 브랜드 평판 손상, 고객 이탈, 막대한 재정적 손실 등의 광범위한 결과가 초래될 수 있다는 점을 알아야 합니다.
직원은 스스로 새로운 앱을 설치하거나 보안 정책을 우회하는 방법을 찾아서는 안 되는 이유를 이해해야 합니다. 기술에 능숙한 일부 직원은 사소해 보이는 기술적 문제를 스스로 해결하는 것이 더 간단하고 빠르다고 생각할 수 있습니다. 그러나 이들은 섀도우 IT에 참여하여 조직을 심각한 위험에 빠뜨릴 수 있습니다.
보안팀에서는 직원을 교육할 때 회사 보안이 공동의 책임이라는 점을 분명히 해야 합니다. 직원은 위협에 대한 첫 번째 방어선인 경우가 많습니다. 직원에게 사고를 식별하고 보고하도록 권한을 부여하면 유출을 방지하는 데 있어 핵심적인 역할을 할 수 있습니다.
기업 보안에 대한 책임을 성공적으로 분담하면 궁극적으로 많은 조직에서 직면하는 예산과 인력 문제를 일부 완화할 수 있습니다. 예를 들어, 직원이 피싱 시도를 더 잘 식별할 수 있으면 직원이 이러한 사기에 속아 범죄자에게 노출되는 자격 증명을 의도치 않게 제공할 가능성이 줄어듭니다. 또한 성공적인 피싱 시도가 줄어들면 보안팀에서 해결해야 하는 유출 건수도 줄어듭니다.
인식을 개선하고 이해도를 높이는 일이 경영진 및 이사회 회의실까지 확장되어야 합니다. 보안 리더가 공격의 확산과 해당 공격으로 인한 엄청난 피해에 대해 다른 경영진과 이사회 구성원을 교육할 수 있는 경우, 보안에 중점을 둔 프로그램과 정책에 대한 지원을 얻을 수 있고, 더 많은 보안 예산에 대한 승인을 얻을 수 있습니다.
경영진의 인식이 개선되면 회사 전반의 태도와 행동의 변화를 주창하는 영향력 있는 리더인 챔피언을 배출하는 데 도움이 될 수 있습니다. 챔피언은 직원이 보안 가치를 내면화하고 중요한 정책을 채택하도록 영감을 줄 수 있습니다.
회사에 강력한 보안 문화가 있으면 CISO는 더 적극적으로 행동할 수 있습니다. 사고가 발생할 것을 기다릴 필요 없이 보안 이니셔티브를 진행하고 준비 태세를 강화할 수 있습니다.
강력한 사이버 보안 문화를 구축하면 사이버 보안에 실질적이고 가시적인 이점이 있을 수 있습니다. Forrester의 최신 연구에서 응답자의 약 60%가 기업 문화의 개선으로 지난 1년 동안 팀에서 사고에 더 빠르게 대응할 수 있게 되었다고 답했습니다. 많은 조직에서 다음 공격에 대한 대비를 강화하는 데 어려움을 겪고 있으므로, 직원들의 인식과 이해를 높이는 것이 최선의 투자가 될 수 있습니다.
이 글은 오늘날의 기술 의사 결정자에게 영향�을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
핵심 사항
이 글을 읽고 나면 다음을 이해할 수 있습니다.
4,000여 명의 사이버 보안 전문가가 참여한 설문조사 결과
보안 사고, 준비 태세, 결과에 대한 새로운 조사 결과
조직의 미래를 보호하고 더 나은 성과를 달성하기 위한 CISO의 고려 사항