우리 모두는 CISO (최고 정보 보안 책임자)가 멀리서 무엇을하는지 알고 있습니다. CISO는 IS 업무, IT 보안 부서 및 관련 직원의 운영을 감독하여 조직의 전반적인 보안을 유지합니다. 이러한 역량에서 CISO가되는 사람들 은 빠르게 진화하는 위협 환경에서 비즈니스를 가능하게하는 관련 책임을 수행하기 때문에 정보 보안 분야 에서 가장 높은 보수를받는 직업을 갖게 됩니다.
하지만이 직업에 대한 설명보다 더 많은 것이 있습니까?
이를 확인하기 위해 The State of Security 는 여러 CISO에게 연락하여 작업이 실제로 무엇을 수반하는지 논의했습니다. 또한 현대 CISO가 성공하기 위해 필요한 중요한 자질을 파악하도록 요청했습니다. 그들의 응답은 CISO로 일하는 현실과이 직책이 어떻게 바뀌 었는지 조명하는 데 도움이됩니다.CISO는 궁극적으로 이러한 프로젝트와 기타 프로젝트를 관리 할 책임이 있습니다. 그러나 기술 전문 지식만으로는 작업을 완료 할 수 없습니다. 반대로 조직의 보안 노력에 대해 모든 사람을 단결시키기 위해서는 강력한 리더십 기술을 발휘해야합니다.
Pinsent Masons LLP의 CISO 인 Christian Toon 은 이러한 리더십 자질이“CISO”라는 제목 자체보다 더 많은 관심을 받아야한다고 생각합니다.
"CISO는 제목으로서 때때로 과대 평가됩니다."라고 그는 설명했습니다. “일부 조직에는이를 가지고 있습니다. 다른 사람들은 그렇지 않습니다. 다른 사람들은 동일한 책임을 가진 다른 역할을 가지고 있습니다. 일반적으로 CISO에 초점을 맞추면 커뮤니티의 상당 부분이 소외됩니다. 저는 '보안 리더'라는 용어를 선호합니다. 우리는 업계의 모든 수준에 존재하며 현재와 미래의 리더는 커뮤니케이션, 조직 구조를 가로 지르는 능력, CEO에서 접수 원에 이르기까지 모든 사람과 대화하는 능력에 집중해야합니다. 겸손, 정보 보안은 사람들이 모일 때 보안이 가장 잘 작동하는 팀 스포츠라는 인식; 및 위험 관리, 조직의 보안 위험에 대한 이해 및이 지식을 적용하여 '충분한'보안을 파악합니다.기술적 문제를 이해하는 것이 중요하지만 CISO는이를 이해하기 쉬운 커뮤니케이션으로 변환해야합니다. (반대로, 비 기술적 CISO는 메시지를 이해할 수 있도록 번역을 수행 할 수있는 사람이 있어야합니다.) CISO는 "에 관한 진정한 업무 관계를 조성하기 위해 비즈니스 측에 더 자주 연락해야합니다. 사업." 예를 들어, 랜섬웨어를 처리 할 수있는 것은 비즈니스가 관리 가능한 방식으로 이러한 싸움을 처리하고 혼란을 피할 준비가되어 있어야하기 때문에 매우 중요합니다. "팀"으로 함께 더 많은 데스크톱 연습을 위해 함께 작업하십시오. 일부 CISO는 보안을 제대로 반영하지 못하기 때문에 좋지 않은 "참조"모드에 있습니다.CISO는 조직의 보안 태세를 강화하는 책임을 맡을 수 있도록 가시화되어야합니다. 그렇지 않으면 상황이 어떻게 변하는 지 볼 수 없습니다. 이러한 과실은 조직의 진화하는 요구 사항을 가장 잘 충족 할 수있는 능력을 제한합니다.
Klubenspies는“CISO는 점점 더 보안 실무자, 비즈니스 인 에이 블러 및 거버넌스 전도사가 혼합되어 있습니다. “동시에 Cyber, Legal 및 Privacy를 구분하는 데 사용 된 경계가 모호해지기 시작했습니다. 사이버 보안 문제를 효과적으로 해결하려면이 세 가지 영역이 협력해야합니다. 많은 CISO가 사이버 또는 거버넌스 및 규정 준수를 통해 '승인'했습니다. 따라서 어떤 경우에는 기술적이고, 어떤 경우에는 그다지 많지 않습니다. 가장 중요한 것은 자신의 경험이나 지식의 공백을 메우는 팀을 구성하는 것입니다. 그런 일이 발생한다면, 당신이 기술적이든 아니든 상관없이 문제가되지 않습니다. 어떤 일이 있어도 효과를 얻으려면 개념을 이해하고 지능적으로 말할 수 있어야합니다.”
Toon은 강력한 팀을 구축하는 것이 자신의 이해의 공백을 메우는 것 이상이라고 생각합니다. 그는 또한 CISO가 팀원의 전반적인 복지에 관심을 가져야한다고 생각합니다. 이것은 특히 COVID-19 동안에 해당됩니다.