소프트웨어 기업 실버포트(Silverfort)의 CISO인 존 폴 커닝햄은 CISO 직책이 지난 수십 년에 걸쳐 기술직에서 기업 리스크 관리 임원 역할로 성장했다고 말했다. 그는 많은 CISO가 더 다양한 역할을 맡을 준비를 하고 있다면서도, 일부 역할을 이 직책에 통합해서는 안 된다고 말했다.
예를 들어, 그는 데이터 프라이버시 책임자(DPO)가 독립적인 역할이여야 한다고 강조했다. CISO가 DPO 또는 CDO 역할까지 맡으려면 두 영역 모두에 경험이 있는 사람이어야 한다는 설명이다. 커닝햄은 “이런 사람이 전혀 없는 것은 아니지만, 실제로 두 영역을 모두 잘 다룰 인재는 드물다. 그리고 적절하지 않은 사람에게 이 역할을 맡기면 실패하거나 번아웃될 상황을 만들어주는 것”이라고 지적했다.
커닝햄은 한때 CISO로서 CDO 역할까지 맡아야 하는지에 대해 질문을 받았다면서, “그래서는 안 된다고 꽤 열정적으로 변론했다”라고 언급했다. 대신 그는 외부 이해관계자 및 업계 동료들과 협력하는 보안 에반젤리스트의 역할을 맡았다.
기술 회사 딥 인스팅트(Deep Instinct)의 CIO이자 CISO인 칼 프로겟도 비슷한 견해를 공유했다. 그는 CISO 아래 다른 역할을 통합하는 추세가 리스크와 보안의 일관성을 보장할 수 있다는 점에서는 긍정적이라고 말했다. 그러나 다른 전문가의 견해처럼, CISO에게 얼마나 많은 추가 업무를 맡길지는 개인의 경험과 역량, 조직의 필요에 따라 달라진다고 그는 언급했다.
역할 확장으로 인해 어려워지는 채용
프로겟은 “이미 CISO 직무 수행에 필요한 경험을 충분히 갖춘 사람이 많지 않다”라며, 역할을 너무 확장하면 채용이 더 어려워질 것이라고 지적했다.
그는 또한 CISO가 맡지 말아야 할 업무에 대해서도 언급했다. 그는 “이를 테면 감사 업무가 있다. 감사는 CISO의 결정에 의문을 제기할 수 있는 독립성을 가져야 한다”라고 말했다.
그럼에도 불구하고 프로겟, 커닝햄 등은 CISO의 역할이 계속해서 확장되고 더 광범위한 기술, 경험, 전문 지식이 요구될 것으로 예상했다.
해머는 “조직들은 CISO가 보안 분야에서 달성한 성실성, 투명성, 일관성의 가치를 인식하고 있다. CISO는 또한 자신의 책임과 공급망, 운영 연속성, 제품 보안과 같이 기업에 영향을 미칠 수 있는 인접 리스크 영역 사이의 연결고리를 만들고 있다”라고 말했다.
그는 이어 “CISO는 이런 영역의 리스크를 관리하는 데 더 많이 관여하고 고유한 관점과 경험을 제시해야 한다. 역할의 진화에 있어 긍정적인 발전이라고 생각한다. 적절한 경우 CISO가 비즈니스의 다른 영역에 리스크를 고려한 의사 결정 관행을 심어주는 역할도 할 수 있다”라고 설명했다.
dl-ciokorea@foundryco.com
