그런 의미에서 CISO에게 이러한 지휘권의 부재는 단순한 문제가 아니라 근본적인 결함이다. CISO 역할의 현실은 ‘최고’라는 지위에도 불구하고 조직의 보안 태세에 영향을 미치는 일방적인 결정을 내릴 수 있는 권한이 부족하다는 것이다. 예산을 승인하고, 중요한 완화 조치를 배포하고, 정책 변경을 시행할 수 있는 권한이 다른 경영진에게 분산되어 있는 경우가 많다.
사이버 보안 투자, 정책, 심지어 인력 배치에 대한 결정은 종종 CFO, CIO 또는 CEO 권한에 속한다. CISO에게 이러한 역학 관계는 병력에 대한 지휘권 없이 성을 지키라는 임무를 받는 것처럼 느껴질 수 있다. 위험을 식별하고, 해결책을 제안하고, 전략 계획을 수립하지만 실행은 다른 사람들의 승인, 일정, 우선순위에 달려 있는 셈이다.
보안의 중요성을 상사에게 ‘세일즈’하는 데 어려움을 겪는 CISO
지휘권의 부재는 사이버 보안 의사 결정을 지루하고 종종 좌절스러운 과정으로 만든다. 그들은 보안 문제가 현실화되기 전에 빠르게 움직여 문제를 예측하고 해결해야 한다. 그러나 지휘권이 없으면 보안 투자의 중요성을 ‘판매’하고 승인을 기다리며 다른 사람에게 투자 우선순위를 결정하는 사이클에 갇히게 된다.
