이 오디오는 자동으로 생성됩니다. 의견이 있으면 알려주시기 바랍니다.
미국 증권거래위원회(SEC)는 9월 5일 중요한 사이버 보안 사고를 공개하기 위한 새로운 요구 사항을 도입하여 조직이 강력한 보고 메커니즘을 채택하도록 새로운 압력을 가했습니다.
최고 경영진이 미치는 영향은 분명합니다. 회사 리더십은 이벤트가 중요한지 여부를 신속하게 결정할 수 있어야 합니다. 이 시점에서 영업일 기준 4일 시계가 움직이기 시작하며, 상장 기업은 SEC에 앞서 해당 사건을 공개해야 하는 기간이 됩니다.
이러한 변화로 인해 CIO는 행동에 나서야 하며 관련 시스템과 플랫폼이 CIO의 권한에 속하는 경우가 많으므로 사이버 보안 전문 지식이 전면에 부각될 것입니다. 경영진은 서로 다른 이해관계자와 기능을 신속하게 연결하는 조직 촉진자 역할을 해야 합니다.
SEC 규칙에서도 보안 역할이 강조되는 CISO는 CIO 사무실에 자주 보고하므로 규정 준수 프로세스의 중요한 부분이 됩니다.
Forrester의 부사장 겸 수석 분석가인 Jeff Pollard는 보고 기간에 따라 IT와 CIO가 사건 세부 정보가 나오면 정보를 수집하고 전달해야 한다고 말했습니다.
Pollard는 “기술 조직, 주로 사이버 보안 조직이 답변을 찾으려고 노력하는 동안 답변을 제공하도록 강요할 것입니다.”라고 말했습니다. “조사에 시간이 걸리기 때문에 그곳은 믿을 수 없을 정도로 불편한 곳입니다.”
보다 엄격한 사이버 보안 요구 사항을 해결하기 위해 CIO는 기존 도구 세트와 기술 전략을 활용할 수 있습니다. iCIMS의 CIO Keyur Ajmera에 따르면 필요한 제3자 지원을 확보하는 것도 중요합니다.
“모든 것에 딱 맞는 사이즈는 없습니다. [strategy,] 특정 보안 위반이나 사고에는 고유한 미묘한 차이가 있기 때문입니다.”라고 Ajmera는 말했습니다. “핵심은 사용할 수 있는 다양한 도구와 기능이 있어야 한다는 것입니다.”
CIO 기술 세트
SEC 규칙 업데이트는 조직에서 사이버 보안 역량을 강화한 CIO를 모집하기 위해 수년 동안 노력한 끝에 나온 것입니다.
임원 채용 회사인 헬러 서치 어소시에이츠(Heller Search Associates)의 CEO 마사 헬러에 따르면, CIO가 사이버 보안 정보를 이사회에 신속하게 제시해야 한다는 기대가 커지면서 이러한 추세가 높아지고 있다고 합니다.
Heller는 “이사회는 과거보다 보안에 더 많은 관심을 갖고 있습니다.”라고 말했습니다. “이런 이유로 CEO들은 CIO에게 ‘당신의 보안은 얼마나 좋은가요?’라고 묻고 있습니다. 대답이 ‘좋지 않다’면 그 사람을 떠나 새로운 사람을 영입해야 할 때일 수 있습니다.”
Info-Tech Research Group의 기술 상담사인 Erik Avakian에 따르면 규칙이 발효되면 훌륭한 의사소통자이자 협력자로서 CIO의 역할이 강조될 것이라고 합니다.
CIO는 사이버 보안 위험을 잘 이해해야 하지만 보안과 HR, 법무, 커뮤니케이션 부서를 포함한 나머지 비즈니스 부서 간의 격차를 해소할 수도 있어야 합니다.
이전에 펜실베이니아 연방에서 CISO로 근무했던 Avakian은 “이 새로운 요구 사항을 적용하려면 CIO가 모든 영역에 정통해야 합니다.”라고 말했습니다.
Cloud Security Alliance의 최고 전략 책임자인 Troy Leach에 따르면, SEC 규정은 다양한 기술의 필요성 외에도 IT 자산에 대해 즉시 이용 가능한 최신 통찰력의 중요성을 강조합니다.
“가장 중요한 전략 중 하나는 상황을 명확하게 이해하는 것입니다. [service level agreement] 리치는 이메일을 통해 모든 제3자 클라우드 서비스 제공업체에 대한 정보와 데이터가 손상될 경우 공급업체가 제공할 수 있는 지원 수준에 대해 설명했습니다.
끊임없이 진화하는 사이버 위험 환경 속에서 조직은 CIO, 보안 담당자, 기타 임원을 포함하는 최신 비상 계획을 준비해야 합니다.
“결과적으로 조직은 비상 계획에 대한 모의 훈련과 문서화를 더욱 심각하게 받아들여야 합니다”라고 Leach는 말했습니다. “훈련에는 기술적인 문제에 정통하지 않은 법률, 홍보 및 기타 부서의 광범위한 대표 그룹이 포함되어야 합니다.”
