저는 NCR Voyix의 사이버 보안을 총괄하는 기업 부사장 겸 부 CISO로서 소매업체, 레스토랑, 금융기관에서 사용하는 1위 디지털 커머스 플랫폼, 15,000명의 직원의 업무, 140년 전통의 신뢰받는 브랜드를 보호하는 일을 담당하고 있습니다. 저는 30년의 경력 동안 제가 배운(때로는 어려운 방법으로) 가장 큰 교훈을 공유하고 싶었습니다. 무엇을 하는지도 중요하지만, 어떻게 하는지가 더 중요합니다.
사이버 보안 전문가에게는 필수 교육과 인증이 필요합니다. 그러나 섬기는 리더라는 사고방식은 더 많은 가치를 제공하고 사이버 보안 팀을 넘어 영향력을 키우는 데 도움이 됩니다. 예를 들어, 최근 Gartner 설문조사에 따르면 최고 성과를 내는 CISO의 2/3 이상(65%)이 주로 프로젝트 맥락 밖에서 고위 의사결정권자와 관계를 구축하는 것으로 나타났습니다. 또한 성과가 뛰어난 CISO는 IT 이해관계자에 비해 3배 더 많은 비-IT 이해관계자(예: 영업/마케팅, 사업부서장)와 정기적으로 회의를 합니다.
제 경우, 사이버 보안과 비즈니스 성과를 성공적으로 조율하는 것은 인간 중심 접근 방식에서 시작됩니다. 다음은 보안 리더가 서비스 사고방식을 발전시킬 수 있는 실용적인 방법 다섯 가지입니다.
1. 자기 본위에서 벗어나세요. 당사의 디지털 뱅킹 제품 관리 전무 이사는 최근 은행과 신용 조합에서 소비자 충성도를 높이려고 디지털 경험에 '더 많은 공감과 개인화를 통합하는 방법'을 점점 더 우선시하는 방법을 공유했습니다. 디지털 경험을 구축하려면 인간 경험의 각 단계에 집중해야 하는 것처럼, 이러한 경험을 보장하려면 사람들에 대한 공감대를 형성해야 합니다.
저는 사이버 보안 업계에서 25년 동안 근무했으며, 시스템 엔지니어링, 아키텍처, 컨설팅 분야에서 더 오랜 기간 재직했습니다. 하지만 그보다 훨씬 이전에 저는 호텔에서 벨보이에서 시작하여 관리자로 승진하기까지 재직하면서 고객의 말을 잘 경청하고 문제를 침착하게 해결하며 세부 사항에 대한 관심이 중요하다는 것을 배웠습니다. 다재다능하고 서비스 지향적인 경험이 더 효과적인 보안 리더가 되는 데 도움이 되었습니다.
아직 시도하지 않았다면, 보안 영역을 넘어 자신의 지식을 넓혀보세요. 비즈니스 파악하기: 고객 서비스 현장이나 지원 부서에서 근무하는 사람들로부터 배울 수 있습니다. '함께 어울리기' 또는 직무 순환을 경험하면서 그들의 과제와 업무 압박을 이해하고 공감해 보세요. 더 폭넓은 관점을 갖추면 궁극적으로 사이버 보안이 많은 이해 관계자에게 그처럼 중요한 이유를 더 효과적으로 파악하고 전달하는 데 도움이 됩니다.
공격자는 기존의 틀에 얽매이지 않고 생각합니다. 여러분도 그렇게 해야 합니다. 최근에 타이어 매장을 경영했던 사람이 훌륭한 보안 분석가가 될 수 있을까요? 제 경험에 비추어 보면 될 수 있습니다! 적절한 교육과 멘토링을 통해 스트레스가 높은 고객 상황을 침착하게 해결하는 능력을 갖추면 정교한 공격에도 완벽하게 대응할 수 있습니다.
다양한 교육 배경을 수용하면 인재 유지 및 사이버 보안팀 의 성과도 개선될 수 있습니다. 기존의 채용 방식을 넘어서서 4년제 대학 과정에서 벗어나 진로를 택했거나, 다른 진로를 선택했거나, 경력 변경을 원하거나, 휴직했다가 다시 시작하려는 사람들을 고려해보세요. 학습 의욕이 넘치고, 문제 해결 기술이 뛰어나며, 성공하고자 하는 의지를 가진 사람들을 찾을 수 있습니다.
2. 항상 사람을 과업보다 우선합니다. 할 일은 언제나 많습니다. 하지만 과업에 초점을 맞춘다면, 인간 관계가 거래에 의존하고 인간적이지 않게 됩니다. 모든 관계에서 신뢰를 구축하려면 진심으로 임하고 진심을 보이는 것이 중요합니다. 팀과 동료와 이해관계자의 의견에 적극적으로 귀를 기울이세요. 시간을 내어 다른 사람의 관점을 이해하려고 노력하세요. 다른 사람에 대한 호기심을 가지세요.
포용적인 팀을 만들고 멘토링하는 것은 그 자체로 보상이 있습니다. 왜냐하면 저도 팀원들만큼 많이 배우고 더 효과적인 리더가 되는 데 도움이 되는 것처럼 보이기 때문입니다.
'이기는 조직 연결하기'의 공동 저자인 Steven Spear가 공유한 바와 같이, 올바른 조직적 사고방식이 없는 직원에게는 문제를 해결할 기회가 주어지지 않습니다. 속도가 빠른 조직에서는 "개인적으로, 그리고 집단적이고 창의적 인 협업을 통해" 사람들의 마음을 자유롭게 하여 매우 어려운 문제를 해결할 수 있는 관리 시스템을 갖추고 있습니다.
사람들은 상대방이 자신의 말을 경청한다고 느끼면 자신도 경청하게 됩니다. 서로를 알고 신뢰하는 팀에서는 참여도가 높아지고 동기가 더 부여되며 궁극적으로 더 효과적이 됩니다.
3. 투명하고 충분하게 소통합니다. 미국 국립표준기술원(NIST)에서는 2023년에 이렇게 발표했습니다.
"연결된 제품에 대한 많은 대화가 기술적인 의미의 연결(프로토콜, 알고리즘 등)에 초점을 맞춥니다. 생태계 참여자 간의 신뢰를 높이고 이러한 제품 사용과 관련된 사이버 보안 위험을 줄이려면 열린 대화와 정보 공유라는 다른 유형의 커뮤니케이션이 필요합니다."
우리 팀에서 정보를 공유한다는 것은 불편한 경우에도 진실을 말하는 것을 의미합니다. 부하 직원이든, 고위 경영진이든, 특정한 보안 접근 방식이 효과가 없을 것으로 생각된다면 발언해야 마땅합니다. 투명성을 갖추면 신뢰를 구축하고 잠재적인 위협, 사고, 문제를 더 빠르게 발견하고 해결할 수 있습니다.
다른 사람에게 피드백을 요청합니다(그리고 피드백을 수용합니다). 솔직한 피드백은 선물입니다. 제 경험에 비추어 볼 때, 모든 사람은 실수를 하지만, 정말 중요한 것은 실수에 대응하고 만회하는 방식입니다. 겸허한 태도를 유지하고 옳은 일을 하세요.
4. 행동에 있어 편향성을 가집니다. NCR Voyix의 사이버 보안은 규모가 크고 복잡하며 지속해서 변화합니다. 하지만 우리 팀은 어려움에 처하지 않습니다. 조직 내에서 통제할 수 있는 것에 집중하고 나서 조치를 취하는 것이 중요합니다.
문제에 대한 완벽한 솔루션을 찾을 때까지 기다리지 마세요. 완벽한 설루션까지는 아직 60%, 70% 진행에 불과할 수도 있지만, 일단 결정하고 시작해 보세요. 누락된 정보를 통합하고 반복해서 개선할 수 있습니다. 개인으로서든, 팀으로서든, 항상 시작한 일을 마무리하고 제시간에 끝내는 것이 중요합니다. 이를 통해 개인과 팀 수준에서 모두 신뢰를 구축할 수 있습니다.
“신뢰가 부족하면 모든 것, 즉 모든 결정, 모든 커뮤니케이션, 모든 관계의 속도가 느려집니다.” -Stephen M.R. Covey, The SPEED of Trust: The One Thing that Changes Everything
언제 그 신뢰를 이용해야 할지 알 수 없습니다. 예를 들어, 보안에 문제가 발생하면 발빠르게 행동하고 모든 면에서 작업을 위임해야 합니다. 팀 구성원들이 지속해서 자신의 약속을 이행하기 때문에 서로 의지할 수 있다는 것을 알게 되면 해당 팀에서는 훨씬 더 효율적이고 스트레스를 덜 받으며 더 나은 결과를 얻을 수 있습니다.
5. 사이버 보안이 비즈니스 결과를 향상하는 방법을 기억합니다(그리고 팀에 상기시킵니다). CISO가 내부보다 비즈니스에 더 중점을 두면서, 기술 투자에 대한 ROI를 입증해야 한다는 압박을 더 많이 받고 있으며, 이를 증명하는 일은 아주 어려울 수 있습니다.
그러나 비즈니스를 잘 관리하는 것의 가치를 중심으로 논의의 틀을 바꿀 수 있습니다. Accenture의 보고에 따르면, 사이버 보안을 비즈니스 목표에 맞추는 조직에서는 "수익 성장을 촉진하고 시장 점유율을 확대하며 고객 만족도와 직원 생산성을 향상할 가능성이 18% 더 높다"고 합니다.
비즈니스 이해관계자에게 사이버 보안이 중요한 '이유'를 설명하여 개선해 나갈 수 있도록 이해관계자를 교육합니다. 공격면이 보호되지 않아 비즈니스 중단이 늘어나고 있나요? 악성 봇 때문에 합법적인 고객 거래가 위협받나요?
사이버 보안으로 해결할 수 있는 비즈니스 문제를 모두에게 상기시킵니다. 여러분의 역할이 무엇이든, 어디에서 근무하든, 사람들은 가치를 전달하는 사람으로 인정받고 싶어합니다.
경력을 시작하는 사람이든, 경 험이 풍부한 CISO이든, 서비스 지향적 사고방식을 갖추면 더 효과적으로 일할 수 있습니다. 여러분이 투명성과 포용성을 갖추고, 팀에서 제공하는 비즈니스 가치에 대한 자신감이 있다면 여러분과 여러분의 팀이 달성할 수 있는 성과에는 제한이 없습니다.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
Cloudflare의 ROI 계산기를 이용하여 비즈니스를 수행하는 모든 곳에서 보안을 강화할 때의 잠재적 이점을 추정해 보세요.
Paul Farley — @allaboutrisk
기업 부사장 및 부 CISO
NCR Voyix
이 글을 읽고 나면 다음을 이해할 수 있습니다.
서비스 지향 사고방식이 비즈니스 보호에 도움이 되는 방법
성과가 높은 사이버 보안팀을 리드하기 위한 5가지 권장 사항
전략적 비즈니스 결과 소통의 중요성