모든 이사회가 CISO에게 물어봐야 할 6가지 질문

보안을 최우선으로 생각하는 주인의식 문화는 기업의 사이버 리스크를 줄이는 데 핵심적인 역할을 합니다. 조직의 모든 구성원이 보안이 비즈니스에 있어 반드시 필요하다는 점을 명확히 인식하고 있는지 확인하세요. 직무와 직책에 관계없이 모든 직원이 보안에 대한 주인의식을 갖고 있나요? 리더들이 보안 중심의 의사 결정을 통해 보안 문화를 공고히 확립하고 있나요?

이사회 구성원으로서 오늘날의 사이버 보안 위협과 이에 대비하여 기업이 어떠한 준비를 하고 있는지 알고 계신가요? 그렇지 않다면, 지금이 바로 CISO와 긴밀한 관계를 구축해야 할 때일 수 있습니다. CISO가 기업의 사이버 보안 우선순위에 대해 정기적으로 이사회에 보고하고 있지 않다면, 이를 요청하세요. CISO는 기술적 세부 사항보다는 조직의 위험, 회복탄력성, 평판이 중요시되는 비즈니스 측면에서 이러한 우선순위를 논의할 준비가 되어 있어야 합니다.

데이터는 기업의 가장 소중한 리소스입니다. 데이터를 모든 곳에서 항상 적절하게 보호하지 못하면 고객과 직원이 위험에 처할 수 있습니다. 그렇기 때문에 직원이 자신의 역할에 꼭 필요한 데이터에만 접근할 수 있도록 직원의 접근 권한을 모니터링하고 관리하는 것이 매우 중요합니다. 접근 권한을 관리하면 민감한 데이터를 유출시킬 수 있는 사람의 수가 줄어들고, 보안 조직은 접근 권한을 모니터링하여 데이터 유출 상황을 더 빨리, 더 정확하게 탐지할 수 있습니다.

최소 권한 접근 권한 관리는 데이터를 분류하는 방식에 따라 전적으로 달라집니다. 기업은 정기적으로 자산을 평가하여 가장 민감한 데이터를 올바르게 분류하고 가장 높은 보안 권한을 가진 사람만 이에 접근할 수 있도록 제한해야 합니다.

효과적인 보안을 위해서는 여러 보호 계층을 갖춘 다각적인 프로그램이 필요합니다. 기업이 기업의 인프라, 데이터, 애플리케이션, 이메일, 물리적인 건물과 데이터 센터, AI 개발 및 학습 모델 등의 보안을 유지하는 방법을 생각해 보세요. 이러한 모든 보안 계층을 잘 보호하면 기업의 회복탄력성이 향상되고, 그렇지 못하면 회복탄력성이 위태로워질 수 있습니다.

정기적인 인시던트 대응 테스트는 이를 통해 모두가 실제 사건이 발생했을 때의 대응 방법을 숙지하고 있는지 확인할 수 있어 매우 중요합니다. 여러분의 기업은 실제 상황에 대한 대비책이 마련되어 있나요? 인시던트 대응 계획이 이미 마련되어 있나요, 아니면 이제 구축해야 하나요? 직원들이 인시던트 대응 계획을 충분히 연습했나요? 이러한 대응 계획에서 이사회의 역할은 무엇인가요?