CIO와 CISO가 새로운 클라우드 시대에 성공을 위해 협력할 수 있는 방법

멀티클라우드 IT 환경의 빠른 채택과 하이브리드 인력으로의 전환은 CIO와 CISO 간의 더욱 긴밀한 제휴라는 최고 경영진의 새로운 다이내믹을 요구합니다. 

CIO와 CISO는 힘을 합쳐 기술 혁신의 속도를 높이는 것과 위험을 완화하는 것 사이에서 건전한 균형을 이룰 수 있습니다. 클라우드로의, 특히 더 복잡한 멀티클라우드 환경으로의 전환을 보다 빠르고 효율적으로 수행할 수 있습니다. DevSecOps 팀은 새로운 소프트웨어 애플리케이션의 온보딩 위험을 줄일 수 있습니다. 더 큰 협력을 통해, CISO와 CIO는 새로운 기술을 도입할 때 운영상의 어려움과 보안 위험을 공동으로 평가할 수 있습니다.

그러나 이 모든 것을 달성하려면 두 임원이 공통 목표의 의제를 채택해야 합니다. 예를 들어, CIO는 당연히 모든 신기술 투자에 보안을 포함시키기를 열망하는 반면, CISO는 위험 회피로 인해 디지털 전환 속도가 느려지게 할 수 없습니다. 많은 조직에서 이것은 까다로운 사안입니다. 그러나 혁신과 보안은 불가분의 관계에 있다는 공통의 이해가 있어야만 해결될 수 있는 사안입니다.

비영리 의료 기관인 LifeBridge Health의 CIO인 Tressa Springmann은 "수많은 지뢰밭을 탐색해야 한다"고 말합니다. LifeBridge의 CISO인 Rick Miller는 이렇게 덧붙입니다. "보통, 중간쯤에서 보안과 운영의 적절한 균형을 이루게 됩니다."

글로벌 통신 서비스 제공자가 Elastic 투자에서 283%의 ROI를 실현한 방법을 알아보세요.

현명한 절충안 찾기

12,000명 이상의 직원을 고용하고 메릴랜드 주 볼티모어 및 그 주변에 6개의 병원을 운영하고 있는 LifeBridge에서는 새로운 정보 기술(전자 의료 기록, 가상 원격 의료 도구 및 게놈 진단 솔루션)에 대한 투자에도 보안 위험이 가중될 수 있습니다. 사이버 공격이 병원 네트워크를 마비시키고 환자 치료에 영향을 미치기 때문에 의료 분야의 사이버 보안은 이미 중요한 문제입니다. 연방 보고서에 따르면, 지난해 데이터 침해로 4천만 명 이상의 환자의 의료 기록이 노출되었습니다. 

최고 기술 리더들은 증가하는 위협에 어떻게 대처하고 있나요?

이러한 위험에도 불구하고, Miller CISO는 "의료 관련 예산은 데이터를 보호하는 데 필요한 아주 비용이 많이 드는 도구에 투자하도록 설계되지는 않았다"고 말합니다. 

이로 인해 어려운 절충을 이루어야만 하는 상황이 발생할 수 있습니다. Miller CISO가 병원 IT 네트워크를 세분화하여 데이터 침해 가능성을 줄이자고 제안했을 때, 이러한 변경에는 비용이 많이 들고 IT 지원이 더 많이 필요하다는 것이 분명해졌습니다. Springmann CIO는 비용을 정당화하기 위해 프로젝트에 대한 더 많은 데이터를 제공할 것을 Miller CISO에게 요구했습니다. Miller CISO는 "CISO와 CIO가 서로 충돌하는 대신 조직의 경제성과 이익을 위해 협력하면 상당한 가치를 실현할 수 있다"고 말합니다.

Springmann CIO와 Miller CISO는 최근 인수한 회사의 IT 시스템을 평가하는 데 협력했습니다. Springmann CIO의 주된 책임은 인수한 회사의 하드웨어와 소프트웨어를 조사하는 것이었고 Miller CISO의 역할은 보안 위험 평가를 수행하는 것이었습니다. 그러나 Miller CISO는 다른 조직에서 흔히 볼 수 있는 적대적 프로세스를 취하는 대신, 두 임원이 협력하여 인수가 진전되고 위험이 완화되도록 했다고 말합니다.

Springmann CIO는 "이를 통해 인수에 대한 매우 종합적인 견해를 가질 수 있었다"고 말합니다. Miller CISO는 이렇게 덧붙입니다. "보안 기능은 LifeBridge Health에서 수행하는 모든 작업에 내장되어 있습니다."

DevSecOps의 공동 절충안 발견

새로운 소프트웨어 애플리케이션을 만들 때 개발, 보안 및 IT 운영 팀 간에 보안에 대한 책임을 공유하는 조직 관행인 DevSecOps를 구현하는 것은 CIO와 CISO가 업무 관계를 강화할 수 있는 논리적 지점입니다. 두 임원에게 있어, 소프트웨어가 사이버 공격에 저항할 수 있도록 보장하는 것은 소프트웨어를 신속하게 시작하고 실행하는 것만큼이나 중요합니다.

S&P Global Market Intelligence의 일부인 451 Research의 설문조사 데이터에 따르면, 2015년에는 개발 팀의 29%만이 애플리케이션 보안 도구를 사용했지만, 2020년에는 48%가 이를 사용했습니다.

Elastic의 Gagan Singh 제품 마케팅 부사장은 이렇게 말합니다. "이러한 팀들과 프로세스가 보다 협력적이었다면 어떤 잠재적인 이점이 있었을지 상상해 보세요. Observability 데이터는 보안 팀이 위협을 신속하게 탐지하고 대응함에 따라 보안 팀에 더 많은 컨텍스트를 추가할 수 있었을 것입니다. 동시에, 보안 기술에 정통한 개발자들은 처음부터 보안을 유지함으로써 개발 과정에서의 마찰을 줄일 수 있었을 것입니다."

클라우드로의 이전

클라우드 마이그레이션은 CIO와 CISO의 긴밀한 협력을 통해 조직이 이익을 얻을 수 있는 또 다른 영역입니다. 클라우드는 조직이 정보를 사용하고 공유하는 방식에서 상당한 비즈니스 가치를 제공하고, 사이버 위험의 성격을 크게 변화시킵니다. 멀티클라우드 환경에서 특히 더욱 그렇습니다. 멀티클라우드 환경은 클라우드에서 발생하는 모든 것을 모니터링하고 여러 제어 및 권한을 추적해야 하는 부담을 가중시키는 반면 일부 위협 수준을 낮출 수 있습니다.

CIO와 CISO 간의 협력 강화로 인해 조직이 이익을 얻더라도, 두 임원은 계속해서 별도의 우선 순위와 책임을 갖습니다. 따라서 두 직책 사이의 정기적인 의사소통의 중요성을 더욱 높아집니다. 예를 들어, Springmann CIO와 Miller CISO는 2주마다 정기적으로 만나며, 거의 매일 문자나 전화로 연락을 취합니다.

“[우리의 파트너십]의 많은 부분이 커뮤니케이션과 개인적인 관계에 관한 것입니다. 이 두 가지를 제대로 다루지 않으면, 일이 잘못될 수 있습니다.” 전 CIO이자 Truth from the Valley의 저자인 Mark Sett은 이렇게 말합니다. "다른 사람들의 문제와 필요를 소통하고 예측하는 데 능한 사람들은 두 그룹 사이에서 발생할 수 있는 대부분의 마찰을 피할 수 있습니다."

최고 정보 책임자(CIO)와 최고 정보 보안 책임자(CISO) 간에 더 큰 최고 경영진 협력은 보안 위험을 줄이면서 기술 혁신을 가속화하고자 하는 기업에 필수적입니다. 두 역할의 경계가 모호해지면서 어려운 점도 있을 수 있지만, 공유된 목표, 커뮤니케이션에 대한 헌신 및 조직 지원을 통해 CIO와 CISO는 기업이 안전하게 디지털 전환을 달성할 수 있도록 지원할 수 있습니다.