'CISO'에 해당되는 글 2건

  1. 2015.10.12 정보보안 업계에 볕이 들고 있다는 증거 5가지
  2. 2015.09.23 CISO가 공개석상에서 보안을 논할 때 갖춰야 할 덕목
2015.10.12 18:41

정보보안 업계에 볕이 들고 있다는 증거 5가지

늘 한직 취급받던 정보보안, 어느 덧 메이저의 위치에 올라

http://www.boannews.com/media/view.asp?idx=48100&skind=O





최근 조지아 기술 정보 센터(Georgia Tech Information Security Center, GTISC)와 포브스가 후원하고 파이낸셜 서비스 라운드테이블(Financial Services Roundtable, FSR)과 팔로알토 네트웍스(Palo Alto Networks)가 기업들의 최고운영진들을 대상으로 7년에 걸쳐 네 차례에 걸쳐 실시한 연구결과가 ‘사이버 보안의 거버넌스 : 2015년 보고서(Governance of Cybersecurity : 2015 Report)’라는 이름으로 세상에 나왔다. 그리고 결과부터 말해 정보보안의 미래는 가히 희망적이라고 할 수 있다. 드디어 업계에서 보안을 진지하게 받아들이기 시작한 징후들이 포착된 것. 그 징후들이란 다음과 같다.

1. 운영진들의 우선순위 1위가 보안
불과 3년전만 해도 운영회의 때 보안이 높은 우선순위를 가진 안건이라고 답한 응답자는 1/3에 그쳤다. 지금은 63%가 ‘보안이 최고 우선순위’라고 답하고 있으며 컴퓨터 및 정보보안에 많은 신경을 쓰고 있다. 

2. 최고 경영회의에서 리스크를 평가한다
그뿐이 아니다. 실존하는 리스크를 진지하게 평가하고 이에 대해 격론을 벌이고 있다. 무려 응답자의 93%가 리스크 평가에 관한 보고서를 주기적으로 요청하고 꼼꼼하게 읽는다고 답했다. 그것도 모자라 외부 전문가의 도움을 받는 경우도 상당수였다.

3. 독립적인 리스크 위원회 운영
2008년 당시 자체 감사단 외에 ‘리스크 위원회’를 따로 마련해 운영하고 있는 기업은 8%에 불과했다. 그 수가 지금은 크게 늘어 53%나 되어 있다. 또한 이 ‘리스크 위원회’는 CEO나 최고운영진들의 입김에 의해 좌지우지 되는 게 아니라 독립적으로 운영되는 게 대다수라는 소식도 희망적이다. 최근까지는 보안 관련 부서가 철저히 IT 및 CEO에 종속되어 있었다.

4. 새로운 경험자 요구하는 최고 경영자들
사이버 보안에 대한 인식이 높아지고 있다는 또 다른 증거로 최고 경영자들이 ‘많은 경험이 있는 보안 인재 모시기’에 발 벗고 나섰다는 것이다. 여태까지 이런 ‘모시기’의 대상이 되었던 건 금융 전문가, 관리 전문가, 법률 전문가 등이었다. 그런데 이번 설문에서 응답자의 64%가 보안 전문가를 드디어 찾기 시작했다고 답한 것. 그러나 필요한 인재를 찾았다고 답한 응답자는 1/4에 그쳤다. 

5. 풀타임 CISO의 급증

처음 설문을 시작했을 때만 하더라도 풀타임 CISO를 고용한 기업은 1/3도 되지 않았다. 지금은 이 수가 역전되어 오히려 CISO가 없는 기업이 1/3 수준도 되지 않는다. 73%가 풀타임 CISO를 고용해 기업 보안을 담당하게 하고 있다는 것. CISO는 아니지만 풀타임 CSO를 고용했다는 기업이 나머지의 절반 정도를 차지했다.




출처 : 보안뉴스


Trackback 0 Comment 0
2015.09.23 21:57

CISO가 공개석상에서 보안을 논할 때 갖춰야 할 덕목

보안에 대한 구구절절한 상황 설명은 오히려 독이다

자신이 보유한 기술 등에 대한 보안이 필요한 CISO

http://www.boannews.com/media/view.asp?idx=47945


CISO가 보안을 논할 때 가장 중요한 것은 일단 겸손한 자세다. 절대 자신의 능력을 과시하려고 해서는 안 된다는 것. 그렇지 않은 해커들도 있지만 대부분의 해커들이 다소 유치한 성향이 있기 때문에 자신들의 보안력에 대해 떵떵거리는 이들을 보면 정복 욕구가 생기는 경우가 많다. 또한 자신이 보유하고 있는 보안기술 및 방법에 대해서도 너무 노출시키면 안 된다. 그 대상이 언론이든, 투자가들 앞에서든 관계없이 공개된 자리는 모두 포함이다. 해커들이 금방 이를 악용할 수 있다는 가능성을 배제하지 말고 보안정보에 대한 보안이 필요하다는 것. 하지만 과연 그러한 설명 없이 어떻게 보안에 대한 자신의 능력 어필이 가능할까? 가능하다.


첫 번째로 CISO는 무슨 일이든 반드시 침착하면서 꼼꼼하게 실행해야 한다. 보안절차를 규정에 맞게 차근차근 지키는 것이 중요하다.


“우리가 보유하고 있는 방화벽은 모든 인바운드와 아웃바운드의 트래픽을 스캔할 수 있다.” 좀 더 메시지를 강하게 전달하고 싶다면 “우리는 트래픽 오딧(Audit)이 가능한 방화벽을 갖추고 있다.” 이 때 주의할 점은 앞서 강조했듯이 모든 과정을 자세하게 설명하면 안 된다는 것이다.


“우리는 가능한 모든 방법을 동원하여 주기적으로 내·외부의 매개변수들을 테스팅 하고 있다.” 이는 매우 현명한 발언이다. 여기서 그쳐야지 이를 증명하기 위한 자세한 설명을 추가 제공해서는 안 된다. 가령 위험한 발언은 이런 유형이다. “우리는 주기적으로 내·외부에서 발생할 수 있는 서비스 거부 및 포트 스캔을 테스팅 한다.” 이는 형편없는 답변이다. 안 그래도 이미 해커들은 다른 공격 벡터들을 파악하고 또 다른 먹잇감에 굶주려 있는데 여기에 불을 지피는 정보가 될 수 있기 때문이다.


실제로 위협 및 보안 상황이 발생했을 때, CISO는 전략과 기술에 대한 대응은 물론 이에 대해 대중에게 알리는 것도 CISO의 주요 역할 중에 하나다. 절대 각각의 위협 및 보안 요소에 대한 언급은 피하고 침착하고 강력하게 안심시킬 수 있는 메시지를 전해야 한다.

글 : 앤디 니에토(Andy Nieto)



출처 : 보안뉴스


Trackback 0 Comment 0