그러면서도 런스포드는 책임과 권한 사이의 단절과 관련된 더 즉각적인 문제 하나가 있다며, 이 문제는 CISO의 책임이기도 하다고 전했다. 그는 “개인적 책임에 대한 부담으로 인해 CISO는 의사 결정에 있어 더 신중한 태도를 취하게 된다. 많은 CISO로부터 위험 기반 의사결정을 내릴 때 자신과 고위 경영진의 의사결정을 의도적으로 문서화하고 있다는 이야기를 들었다. 일견 긍정적으로 들릴 수 있지만, 이러한 접근법은 의사 결정 속도가 느려지고 관리 부담을 늘릴 수 있다”라고 말했다.
보호책 협상
매스 뮤추얼, CVS, 애트나, KPMG, 아메리칸 익스프레스, JP 모건 체이스에서 CISO급 직책을 역임한 베테랑 보안 리더 짐 루스는 CISO와 예비 CISO에게 주요 계약상 보호 조치를 추진하라고 조언했다. 현재 보안 벤더 사비인트(Saviynt)에서 최고 신뢰 책임자로 일하고 있는 루스는 “조치가 조직 구조적으로 나타나야 한다. CISO에게는 보호가 필요하다”라고 말했다.
그는 이어 다른 요소로는 보험 가입, 독립 변호사 비용에 대한 보장 등이 있다고 전했다. 또한 CISO 계약서에는 면책 조항이 담겨 있어야 하는데, 이는 CISO의 공식 업무와 직접적으로 관련된 모든 판결, 벌금, 과태료 또는 보상금을 기업이 지불한다는 의미라고 루스는 덧붙였다. 실제로 보험 기업 크럼 & 포스터(Crum & Forster)는 지난 11월 CISO를 위해 설계된 전문 책임 보험을 출시한 바 있다.
dl-ciokorea@foundryco.com
