CISO or CSO? Which Role Defines Today’s
Security Leaders Best?(CISO 또는 CSO? 오늘날의 보안 리더를 가장 잘 정의하는 역할은?)
NBN Co. Australia CSO인 Darren Kane과의 대화
호주 National Broadband Network의 Chief Security Officer인 Darren Kane과의 대화를 듣고 CISO와 CSO의 역할상 차이점과 왜 이제 보안 리더가 CISO가 아닌 CSO가 되어야 하는지 알아보세요.
이 보안 리더 인터뷰에서는 AWS Enterprise Strategy 담당 이사인 Clarke Rodgers가 Darren과 함께 CISO 및 CSO와 관련된 질문을 비롯하여 그가 지닌 관점을 들어봅니다. 위의 동영상을 시청하거나 아래에서 이들의 대화를 자세히 살펴보고 이사회에 보안을 ‘영업’하고, 다양성을 위해 채택하고, 지속 가능성을 지원하고, 보안의 미래를 계획하는 데 필요한 Darren의 리더십 팁에 대해 알아보세요.
NBN Co. Australia CSO인 Darren Kane을 만나보세요
Clarke Rodgers (00:08):
Darren, 오늘 함께 해주셔서 정말 감사합니다
Darren Kane (00:10):
Clarke 이번 기회를 주셔서 감사합니다
Clarke Rodgers (00:11):
천만에요 괜찮으시다면 본인 자신과 배경, NBN에서의 역할에 대해 조금 말씀해 주세요
Darren Kane (00:18):
좋습니다 저는 네 아이의 아버지이고 한 명의 남편입니다 현재 National Broadband Network에서 최고 보안 책임자로 일하고 있는데요, 이 네트워크는 정부 전액 출자 기관으로 호주 전역에 있는 약 860만 개 건물에 대규모 광대역 서비스를 제공하며 1,100만 개 이상의 건물에 연결할 수 있습니다
그 역할을 맡은 지 이제 약 8년 정도 되었습니다 이전에는 Telstra에서 일종의 기업 보안 담당 업무를 포함하여 보안 직책을 맡으며 11년 반 동안 근무했습니다 그 전에는 정부, 증권거래위원회, 호주 증권투자위원회에서 6년 반 동안 근무했습니다 그 전에는 호주 연방 경찰에서 13년 정도 근무했습니다 제 경력은 주로 법 집행과 보안 분야이고 여기에서 일한 지 거의 40년이 되었습니다
Clarke Rodgers (01:05):
대단하군요 저는 많은 고객 CISO를 만났고 시간이 지남에 따라 CISO의 역할이 진화하는 것을 보았으며 지난 10~15년 동안 보안 부서가 우리에게 꼭 필요한 존재로 꾸준히 발전해 왔다고 해도 과언이 아닙니다 지하실에 두었다가 꼭 필요할 때만 데리고 나오면 된다는 농담도 있죠 현재 CISO는 정기적으로 이사회에 보고하고 있습니다 그들은 최고 경영진의 일원이며 비즈니스 전반의 진정한 일원입니다 경험상으로 그러한 역할이 어떻게 발전했는지, 특히 호주에서 어떻게 발전했는지 말씀해 주실 수 있나요?
CISO 또는 CSO의 차이점은 무엇입니까?
Darren Kane (01:44):
먼저 CISO의 역할, 즉 최고 정보 보안 책임자의 역할은 매우 중요합니다 기업이 기술 플랫폼을 기반으로 디지털 시대에 접어들면서 효율성과 효과가 향상됨에 따라 해당 분야의 보안 위험을 관리하는 CISO의 역할이 기하급수적으로 증가했습니다 하지만 이러한 기술 플랫폼에 있는 모든 것도 마찬가지입니다
따라서 정보 보안에만 집중하는 CISO의 역할은 사실상 거의 불필요해졌습니다 이제 그들은 개인정보 보호, 사고 대응, 비즈니스 연속성, 특히 운영 기술과 관련된 문제에 실제로 집중해야 한다는 요청을 받고 있습니다 액세스 포인트 구축을 위한 액세스 제어 시스템이 있고 디지털 포렌식 조사 요구 사항 등이 있으며 정보 보안 이외의 문제를 제기하기 위해 CISO의 역할이 지속적으로 성장했다는 것을 알 수 있습니다
저는 ‘I를 빼고 생각하세요’라고 말합니다 오늘날 대기업 역할 중 CISO가 필요하다면 CSO가 있어야 한다고 생각합니다 제가 말씀드린 모든 책임 영역은 오늘날 매우 중요합니다 신뢰할 수 있는 내부 프로그램, 개인정보 보호 및 개인정보 침해, 사고 대응 등은 엄청난 책임입니다 신뢰할 수 있는 내부 프로그램, 개인정보 보호 및 개인정보 침해, 사고 대응 등은 엄청난 책임입니다 이제 그 사람이 CSO입니다
또한 현대 기업이나 현대 조직에서 CISO와 CSO 모두가 매우 중요해졌다는 점도 덧붙이고 싶습니다 이사회, 최고 경영진, 특히 정부는 이제 보안이 야기하는 위험을 이해하고 있습니다 그러므로 그러한 임무를 담당하는 사람은 더 중요한 역할을 하고 있으며, 표현하고 소통할 수 있을 뿐만 아니라 관리하고 이끄는 능력을 갖춰야 합니다
Clarke Rodgers (03:57):
우선 저는 ‘I’를 뺀 역할이 좋습니다 어딘가의 티셔츠에는 그게 필요하겠지만 말이죠 다시 한 번 말씀드리자면 당신은 조직의 전반적인 위험 관리에 대해 말씀하셨습니다 최고 보안 책임자 또는 그 문제와 관련된 최고 정보 보안 책임자(CIO) 역할을 맡을 때, 비즈니스 관점에서의 조직 혁신 및 성공에 대한 요구와 보안 위험, 규정 준수, 개인정보 보호 관점에서 수행해야 하는 모든 작업 사이에서 어떻게 균형을 잡고 있습니까? 고객을 위한 혁신은 계속하면서 비즈니스 리더에게는 보안을 ‘영업’하려면 어떻게 해야 할까요?
위험을 지나치게 강조하지 않으면서이사회에 보안을 ‘영업’하려면 어떻게 해야 할까요?
Darren Kane (04:40):
그것은 어려운 일입니다 의심의 여지가 없습니다 과거에는 저를 포함하여 우리 모두가 죄를 지은 것 같은 느낌을 가졌습니다 저는 실제로 우리가 책임지고 있거나 책임져야 하는 위험을 이해하고 인식하도록 비즈니스에 계속 도전을 걸고 있죠 그렇게 함으로써 우리는 종종 위험을 타파하고 추가 리소싱 지원 또는 실제 자금 지원을 통해 위험을 해결하도록 요구합니다 리소싱이란 분명히 인력을 의미합니다
또한 우리가 관리한 위험에 대한 인식이기도 합니다 저희가 위험을 이해하고 인식하도록 하기 위해 온갖 노력을 기울이는 동안에는 효과가 있었다고 생각합니다 하지만 최근 들어 대부분의 유능한 이사회와 최고 경영진은 이제 보안 위험에 대해 믿을 수 없을 정도로 잘 이해하고 있습니다 문제는 우리가 그것을 통제하기 위해 무엇을 하고 있으며, 목표에 부합하도록 어떻게 관리할 수 있느냐는 것입니다
이것이 바로 요점이며 여러분이 계속해서 위험을 재앙으로 여기기만 한다면 그것은 지겨운 메시지가 될 것입니다 제가 이 문제에 접근하는 방식은 지지하고 있는 최고 경영진과 이해하고 있는 이사회와 협력하여 그들이 올바른 보안 성숙도, 확고한 태도, 보안 위생의 중요성을 이해하도록 돕는 것입니다 이를 통해 얻을 수 있는 장점과 기회는 무엇일까요? 우리가 리스크를 관리해서 목표에 맞출 수 있다는 안도감이 든다면 우리한테서 자금을 빼앗아 회사의 다른 곳, 아마도 회복력과 관련된 분야에 투자할 수 있을까요?
Clarke Rodgers (06:21):
맞습니다
Darren Kane (06:21):
밤에 좀 더 편안하게 잠을 자고 인력 관리와 같은 다른 문제에 집중할 수 있을까요? 이에 대한 저의 접근 방식은 보안을 “아니요”라고 말하거나 차단하는 것이 아니라 조력자로 간주하는 것입니다 한 가지 좋은 비유를 들자면, 어떤 기업을 고성능 자동차라고 했을 때 CEO가 운전자, 보안 그룹이 자동차의 브레이크로서 자동차를 멈추기 위한 기능을 갖는다는 것입니다 이것이 보안 그룹에 대한 가장 일반적인 인식과 이해입니다
저는 그러한 관점에 동의하지 않습니다 제 생각에는 브레이크가 있기 때문에 차량 운전자인 CEO가 차량을 한계까지 끌어올릴 수 있다고 생각합니다
Clarke Rodgers (07:06):
말하자면 속도를 높일 수 있는 것이죠
Darren Kane (07:07):
필요한 경우 브레이크를 밟아서 멈출 수 있다는 자신감과 지식을 바탕으로 성능의 최첨단까지 도달할 수 있습니다 실제 보안 그룹을 통해 비즈니스는 성능 역량의 선두에 설 수 있습니다
Clarke Rodgers (07:22):
좋아요 좋아요 그럼 이사회에 직접 보고하십니까?
Darren Kane (07:25):
저는 종종 회사 조례 제정 위원회를 거친 후 임시로 이사회에 참석하지만 필수적으로 1년에 두 번은 꼭 참석해야 합니다 물론 저는 최고 경영진에게 직접 보고하고 필요할 때마다 자주 보고합니다
Clarke Rodgers (07:40):
구체적인 내용까지는 아니라도 어떤 종류의 정보를 보고합니까? 요즘 이사회나 최고 경영진은 어떤 정보에 관심을 가집니까? 지난 몇 년 동안 보고 내용은 “이렇게 많은 시스템에 패치를 설치했습니다 취약점이 이렇게 많았기 때문입니다 이러한 취약점을 해결하기 위해 이 새로운 보안 소프트웨어를 도입했습니다”와 같았거든요 여전히 비트와 바이트의 종류에 관심이 있습니까, 아니면 다른 방식으로 위험을 전달하고 있습니까?
Darren Kane (08:10):
다른 방식으로 위험을 전달하고 있는 것 같습니다 방금 묘사하신 내용은 매우 세분화되어 있으며 경영진이 이사회 보다는 경영위원회에 보고하는 내용에 더 가깝습니다 하지만 저는 CSO, 즉 최고 보안 책임자이기 때문에 860만 개의 건물에 대한 대규모 액세스를 포함하여 NBN 전반의 보안 위험 전반에 대한 책임을 지고 있습니다 호주에 있는 모든 데이터의 85%에서 86%가 저희 네트워크를 통해 전송됩니다
Clarke Rodgers (08:39):
대단하군요
CSO는 이사회에 보고할 때 어떤 지표와 언어를 사용하고 있습니까?
Darren Kane (08:40):
저는 이사회와 최고 경영진에게 브리핑을 할 때 매우 종합적인 접근 방식을 취합니다 타겟팅해달라는 요청을 받으면 더 세분화된 데이터를 제공합니다 하지만 오늘날의 환경에서는 지정학적 문제, 위협 환경, 우크라이나 문제, 인도-태평양 문제, 공급망 문제 등이 매우 중요합니다 분명히 사이버 위험, 국가, 사이버 범죄는 전 세계 모든 곳에서 중요한 문제입니다
따라서 제가 보고할 수 있는 문제는 정말 광범위합니다 특히 사이버 보안을 목표로 삼고 질문을 받는다면 이에 대한 세부 정보와 이를 관리하기 위한 통제 수단을 어떻게 관리하고 있는지 설명할 수 있습니다 하지만 가끔은 제가 보고하는 내용을 좀 더 폭넓고 종합적인 시각으로 보려고 노력합니다
Clarke Rodgers (09:36):
그리고 일반적으로 수익과 자금 측면에서 위험을 정량화하나요? 제가 궁금한 것은 이사회 멤버는 어떤 언어를 구사하길 원합니까? 그리고 그러한 언어에 맞게 대화를 어떻게 조정하십니까?
Darren Kane (09:52):
좋은 질문이네요 지금까지 말씀드렸듯이 이는 어려운 지표입니다 하지만 미래는 정량적 분석과 비즈니스 언어로 위험을 식별하는 능력에 있다고 생각합니다 기업은 실제로 달러와 센스를 사용하고 있으며 철자가 S-E-N-S-E인 센스 말이죠 저는 보고위원회나 경영위원회 등에서 “공격 표면”과 같은 언어, “내부자 위협” 또는 “악의적인 행위자”와 같은 언어를 사용하는 것은 적절하지 않다고 생각합니다 우리 업계의 가장 최근 사례이자 트렌드인 “제로 트러스트”라는 말도 사용하기 적절치 않죠
Clarke Rodgers (10:32):
맞습니다
Darren Kane (10:33):
이사회 그리고 저와 함께 일하는 모든 사람들로부터 신뢰를 받으려고 노력하고 있습니다 이런 상황에서 제가 하려는 일이 무엇인지 알릴 때 이들에게 터부에 가까운 단어를 사용한다면 아주 나쁜 방법이겠죠 정량적 분석과 자본을 사용하여 위험을 총체적 비용 대비 통제 비용 그리고 그 이후의 잔존 위험을 파악하는 것이 아마도 가장 좋은 방법이라고 생각합니다 아직 완성하지는 못했지만 확실히 제가 하려는 일입니다
Clarke Rodgers (11:02):
대단하군요 주제를 조금 바꿔서 인력 충원에 대해 얘기해보겠습니다 저는 근무하고 있는 보안 인력의 수에 대해 “충분하다”며 만족하는 CISO나 CSO를 만나본 적이 아직 없습니다 인력이 더 많을수록 좋을 것입니다 보안 배지를 단 담당자를 추가로 고용하지 않고도 조직 전체로 보안 팀을 확장하는 방법에 대해 서로 다른 생각을 가진 여러 사람들과도 이야기를 나누어 보았습니다 보안 직원이 제한되어 있을 때 모든 사람들에게 그리고 비즈니스 전반에 걸쳐 보안을 보장하기 위해 NBN에서는 무엇을 하고 계십니까?
보안 프로그램에 적합한 인재를 채용하고 유지하기 위해 어떻게 하고 계십니까?
Darren Kane (11:46):
유지보다는 갱신을 중요하게 생각합니다 사실 어떤 면에서는 갱신에 초점을 맞추고 있습니다 제가 유지하겠다고 제안할 수 있는 금액은 한정되어 있습니다 유지할 수 있는 성장, 개발 및 기타 기회는 한정되어 있습니다
결국 업계에는 인재가 필요합니다 보유하던 인재가 이직하게 되면 전 그저 행운을 빌어주면 됩니다 제 임무는 승계 및 인재 관리를 통해 남은 자원이 무엇인지, 그리고 실제로 누구를 조직에 끌어들이는지 확인하여 그 허점을 메울 수 있도록 하는 것입니다 따라서 대학원 프로그램과 최근의 인턴십에 집중하고 있으며, 정말 자랑스럽게 생각합니다 5초 정도 시간이 남으시면 간단히 설명해 드리겠습니다
Clarke Rodgers (12:35):
말씀해 주세요
Darren Kane (12:37):
우리는 졸업생과 인턴 과정에서 좀 더 다양성이 필요하다는 것을 깨달았습니다 따라서 SLT와 보안 그룹의 고위급 구성원들은 Box Hill TAFE를 목표로 삼았으며 바로 여러분의 커뮤니티 칼리지입니다. 빅토리아주 멜버른에 있는 Box Hill TAFE 칼리지에 다니는 학생들 중 사이버 보안 분야에서 경력을 쌓으려는 사람들에게 인턴십을 제안했습니다 부차적 경력이나 직장 복귀를 원하는 사람들을 대상으로 하였고, 우연히 다른 문제 또는 육아 등으로 일을 쉰 후 직장에 복귀하고 싶은 다섯 명의 훌륭한 여성을 채용했는 데 이들은 전통적으로 사이버 보안에 대한 경험이 전혀 없었던 사람들입니다.
Clarke Rodgers (13:18):
대단하군요
Darren Kane (13:19):
처음에는 그들에게 6개월 동안 인턴십을 제안했는데 기간을 연장하고 싶었습니다 우리의 목표는 그들을 고용할 기회가 생기면 그렇게 하는 것이었습니다 하지만 그렇게 할 수 없다면 12개월의 업계 경력을 제공함으로써 외부 직장 또는 비즈니스 전반에 걸쳐 지원할 때 이력서에 그 내용을 기재하도록 하였습니다 최근에 그 중 한 명이 상위 4위 컨설팅 회사에 채용되어서 정말 기쁩니다
Clarke Rodgers (13:46):
멋지군요
Darren Kane (13:47):
우리는 다른 사람들도 현장에 배치하기 위해 최선을 다하고 있습니다 이러한 인턴들, 이러한 여성들과 이야기를 나누었을 때 정말 발전할 기회를 찾고 있던 믿을 수 없을 정도로 유능한 사람들임을 알 수 있습니다 이것이 바로 세계 어디 곳이든 우리 업계에서 받아들여야 할 좋은 사례라고 생각합니다, 즉 비즈니스에서 고용해야 할 대부분의 사람들은 호기심이 많고 훌륭한 태도를 가져야 한다는 것입니다 이들은 반드시 고난도 기술을 보유해야 할 필요가 없습니다, 애당초 바람직한 태도를 보고 고용한 것이고 기술은 훈련시키면 되니까요
간단히 질문에 답하자면 유지보다는 갱신에 초점을 맞추고 있습니다 그리고 보안 그룹 졸업생들이 정말 자랑스럽습니다 현재 멜버른에는 약 8~9명의 CISO가 NBN에 통해 들어오고 있습니다
Clarke Rodgers (14:37):
좋습니다
Darren Kane (14:38):
예 제 관점에서는 우리는 NBN을 구축하는 것만큼이나 업계를 강화하기 위해 노력하고 있습니다.
다양성은 보안팀에 어떤 이점을 가져다 줄까요?
Clarke Rodgers (14:47):
인턴 프로그램에 대한 이야기는 환상적입니다 저는 많은 CISO들과 이야기를 나누는데 그들은 팀의 다양성, 의견의 다양성, 배경의 다양성, 경험의 다양성에 대해 이야기합니다 당신의 팀과 관련하여 이러한 다양성에 대해 조금 말씀해 주시겠어요? 아마 모든 사람이 컴퓨터 과학을 전공한 것도 아니고, 모두가 하드코어 보안 연구자도 아니였을 것입니다 HR 담당자였을 수도 있고, 재무적 배경을 가진 사람이 나중에 훌륭한 보안 전문가가 되었을 수도 있을 것입니다
Darren Kane (15:19):
당신의 질문은 제 생각과 딱 맞는 것 같아요 저는 마을을 보호하려면 각계각층의 마을 사람들이 필요하다는 사실을 믿습니다 여기에 멋진 스토리가 있어요 한 친구가 저에게 연락했습니다 그는 팬데믹 기간과 봉쇄 기간 동안 국영 항공사 중 한 곳에서 일하고 있었습니다 아주 고위급 직원이자 에어버스에서 다른 기장들을 훈련시킨 캡틴이었습니다 그리고 그는 퇴사하게 되었습니다 그 후에 그는 Box Hill TAFE라는 커뮤니티 칼리지에 다녔고 LinkedIn을 통해 저에게 연락했습니다 재미있는 이야기입니다
저는 “관심이 있어요”라고 답하고 “어떤 직장을 원하세요?”라고 물었죠 저는 모르고 있었지만 그는 나중에 NBN에 지원했고 우리는 그를 계약직으로 고용했습니다
Clarke Rodgers (16:08):
맞습니다
Darren Kane (16:09):
비행에 대한 열정을 추구하기 전에 그는 서호주의 법집행기관에서 일했습니다 그래서 약간의 공통점이 있었습니다
Clarke Rodgers (16:19):
그렇게 연결되는군요
Darren Kane (16:20): 예, 연결점이 있죠 우리는 그에게 12개월 계약을 제안했고, 그가 가진 것은 Box Hill TAFE에서 12개월 동안 수료증 과정을 받은 것뿐이었습니다. 분명히 리더이자 인력 관리자로서 뛰어난 역량도 있고 에어버스와 보잉사 비행에 대한 어려운 기술도 구비하고 있었습니다
믿을 수 없을 정도로 성공적이었습니다 손에 낀 장갑처럼 일에 딱 적합한 인재였죠 그를 풀타임으로 채용하고 싶었습니다 팬데믹이 끝나고 우리는 정상적인 생활로 돌아가고 있습니다, 아니죠, 정상적인 생활 방식으로 돌아가려고 노력하죠 우리가 제안한 역할을 막 받아들이려 하는 찰나, 그는 다시 항공사에서 상임 선임 기장직을 제안받았습니다 그리고 그런 경험을 한 그가 항공사로 돌아왔다는 멋진 기사가 있었습니다
Clarke Rodgers (17:14):
와우
Darren Kane (17:15):
예 말씀하신 것을 정확히 보여주는 좋은 사례입니다 경험이나 능력과는 아무런 상관이 없었습니다 의사소통 스킬, 실제로 참여할 수 있는 능력, 배우려는 의지와 관련이 있었습니다 그들이 찾는 것은 기회이며 기회는 그들과 함께 성장할 것이기 때문에 그런 종류의 사람들이나 그런 모든 특성을 가진 사람들을 찾을 수 있다면 성공할 수 있다는 것을 알게 되었습니다
Clarke Rodgers (17:41):
그리고 다양한 관점이 보안 부서의 모든 부분에 큰 도움이 됩니다
Darren Kane (17:46):
물론입니다 언어 능력만큼은 다양하지 않기 때문에 이것은 호주에서 그다지 중요하지 않은 것 중 하나이기는 하지만 점점 더 다양한 출신, 종교의 다양성, 성별의 다양성이 매우 중요해지고 있다는 것을 알게 되었습니다 유능한 리더이자 매니저라면 다양성의 중요성과 다양성이 팀에 가져다주는 영향을 잘 알고 있을 것입니다
호주에서 보안이 지속가능성을 높이고 디지털 격차를 해소하는 방법
Clarke Rodgers (18:13):
그렇다면 NBN의 고객 수가 860만 명에 달하고 모든 데이터 센터가 있으며 기술이 모든 사람의 삶으로 계속 확장되고 있다는 사실을 고려할 때 NBN이 리소스를 관리하고 이에 대해 생각하는 방식에서 지속 가능성은 어떤 역할을 할까요? 그리고 고객에게 어떤 영향을 미칠까요?
Darren Kane (18:34):
NBN에서 제공하는 제품을 생각해 보면 사람들은 어디서든 그리고 집에서도 근무할 수 있습니다 탄소 발자국 문제도 있고 종이가 필요 없는 사무실 문제도 있습니다 기술을 사용하여 실제로 탄소 발자국을 개선하고 있기 때문에 탄소 발자국을 남기지 않는 곳도 있습니다
860만 개의 건물이 연결되어 있고 집에는 여러 사람이 있을 수 있습니다 하지만 이것은 호주의 디지털 격차를 해소하고 필요한 모든 사람에게 액세스 권한을 부여할 수 있는 기회이며 기술을 활용하여 탄소 발자국을 줄일 수 있는 기회라고도 생각합니다
재택근무 기능을 떠올려보면 최근의 코로나19 봉쇄 기간 동안 인프라 관점에서 호주 경제를 구한 것은 도로와 철도가 아니라 연결성 때문이라고 봅니다
Clarke Rodgers (19:33):
예
Darren Kane (19:34):
사람들이 새로운 업무 방식을 배울 수 있는 기회는 그러한 기술을 통해 찾아왔습니다 이를 통해 앞으로 하이브리드 또는 원격 근무, 외딴 호주 시골에 사는 더 많은 사람들을 위해 발전할 수 있는 능력이 분명히 생길 것이며 출근하지 않음으로써 탄소 발자국을 줄일 수 있을 것입니다
저는 기술이 발전하는 것을 보고 있으며 특히 연결성을 통해 기술을 실제로 활용하는 방식이 실제로 탄소 감축과 더 큰 지속 가능성을 제공할 것이라고 생각합니다
Clarke Rodgers (20:09):
천만에요 예언자는 아니시지만 보안 산업에 종사하신 지 거의 40년이 넘었다는 것을 알기에 질문을 드리자면 지금부터 5년 후 보안의 미래는 어떨 것 같습니까?
호주 및 전 세계 보안의 미래를 위한 준비
Darren Kane (20:26):
2025년이면 제가 40세가 됩니다 저는 우리가 현재 직면하고 있는 것과 같은 위협 환경을 경험한 적이 없다고 생각합니다 생성형 AI와 기계 학습이 업계에 기회와 기술 발전을 가져다 줄 것이라는 점과 관련하여 이 산업에 종사하는 우리는 그러한 점에 완전히 동의할 수 없습니다 제 생각엔 위협적인 상황도 한층 더 강화될 것 같으며 따라서 정말 흥미로운 일이라고 생각합니다
데이터와 데이터 볼륨이 기하급수적으로 증가하고 이를 실제로 관리할 수 있는 능력이 관건이 될 것입니다 커뮤니티가 보안 비용을 지불하는 사람들에게 보안 위험을 떠넘기는 것에 대한 온갖 우려가 있는 것 같습니다 그것은 말이 되지 않습니다 제 모토는 이제 보안이 모든 사람의 책임이 될 것이라는 것입니다
Clarke Rodgers (21:34):
흥미롭네요
Darren Kane (21:35):
관련 위험은 해당 분야에 참여하는 모든 사람을 확보함으로써 허용 범위 내에서만 관리할 수 있기 때문에 자신이 최고 보안 책임자라고 말하거나 이제 팀이 위험을 책임지고 있다고 말할 수는 없습니다 지금부터 5년 후 보안의 미래는 어떨 것 같습니까? 링크를 클릭했다는 사실을 이해하지 못하는 게으른 손가락을 가진 바쁜 PA가 되었든 국방 분야의 사이버 보안 전문가 또는 CISO가 되었든 이제 이들 모두는 향후 3~5년 동안 위험 관리를 위한 통제 수단을 마련하는 방법을 인정하고 이해해야 할 책임이 있습니다
그리고 우리가 그들에게 권장해야 하는 것은 그들이 무언가를 보았거나 어떤 일을 했다고 생각할 때 우리가 그것을 관리할 수 있도록 보고하도록 하는 것입니다 피싱 훈련과 기타 학습 경험이 그러한 예입니다 징계 경험을 제공해서는 안 됩니다
Clarke Rodgers (22:37):
그러한 미래 상태가 예상된다면, 보안 외부의 역할이 지닌 정신적 역량을 강화함으로써 그들이 항상 보안에 대해 생각하도록 돕기 위해 보안 문화 관점에서 지금 어떤 일을 하고 계십니까?
Darren Kane (22:54):
무엇보다도, 우리는 위험을 최악의 상황처럼 연출하지 않습니다 제가 시도하고 싶은 것은 좋은 점을 알리고 기회를 만드는 것이지 항상 "위험이 있으니 이 일을 하지 마세요"라고 되풀이 말하는 것은 아닙니다 다시 자동차 비유로 돌아가 보겠습니다 필요한 경우 브레이크를 밟을 수 있지만, 지금은 나가서 인생을 즐겨야 합니다
Clarke Rodgers (23:13):
좋아요 Darren, 나와 주셔서 감사합니다
Darren Kane (23:15):
좋은 기회였습니다 환상적입니다 감사합니다
리더 소개
Darren Kane
NBN Co. Australia Chief Security Officer
Darren Kane은 2015년부터 nbn™에서 최고 보안 책임자로 재직하고 있습니다. 그가 이끌고 있는 nbn 보안 그룹은 물리적 보안과 사이버 보안의 융합된 중심지가 되었으며, 이를 통해 호주 최대의 중요 인프라 기업은 진화하는 위협으로부터 사람과 자산을 보다 잘 보호할 수 있게 되었습니다. nbn에 입사하기 전에 Darren은 호주 연방 경찰과 호주 증권투자위원회 등 19년 이상 연방정부 법 집행 기관에서 근무했습니다. Darren은 2020년에 Deakin 대학교 과학대 정보기술 학부 겸임 교수로 임명되었습니다. Darren은 경영학 석사 및 금융 시장 학위를 취득했으며 호주 기업 이사 협회를 졸업했습니다.
Clarke Rodgers
AWS Enterprise Strategist
AWS 엔터프라이즈 보안 전략가인 Clarke는 경영진이 클라우드를 통해 보안을 혁신할 수 있는 방법을 모색하고 이들과 협력하여 올바른 엔터프라이즈 솔루션을 찾는 데 주력하고 있습니다. Clarke는 2016년에 AWS에 입사했지만 AWS 보안의 이점은 AWS 팀의 일원이 되기 전부터 경험하고 있었습니다. 그는 다국적 생명보험 회사의 CISO로 근무하면서 전략 부서에서 진행하는 AWS 마이그레이션을 감독했습니다.
다음 단계 수행