세계적 수준의 CISO가 2023년에 더 많은 예산과 이사회 신뢰를 얻는 방법
이 기사는 에 처음 게재되었습니다. SC 매거진.여기에 업데이트 및 신디케이트되었습니다.
CISO는 점점 더 어려운 상황에 처해 있습니다. 즉, 더 많은 자산을 보호하고, 더 많은 코드를 배포하고, 더 큰 공격 대상을 줄이고, 급격히 줄어드는 재정 자원으로 이를 처리해야 합니다.사이버 보안이 비용 센터로 간주되고 있다는 것은 피할 수 없는 사실입니다. 조직의 보안 프로그램이 위협 행위자를 가로막아 내일의 끔찍한 헤드라인이 되고 있음에도 불구하고 보안 리더는 경영진이 이해할 수 있는 언어로 해당 부서의 전반적인 비즈니스 가치를 판매하고 입증하기 위해 더 많은 노력을 기울여야 합니다.
세계적 수준의 CISO는 이러한 상황에 대응하여 고객 신뢰와 브랜드 평판을 높이고 사용 가능한 모든 도구를 활용하여 부인할 수 없는 가치를 창출하는 포괄적인 보안 프로그램을 주도하고 있습니다.보안 우수성을 유지하기 위한 시간, 자원 또는 인력이 충분하지 않다는 사고방식을 버리고 일반적인 보안 위험에 대한 전략적이고 예방적인 접근 방식으로 시작됩니다.
이사회실에서 토론을 변경하세요.
현재의 경제 상황에서 지출하는 비용, 고용 규모, 비즈니스 목표에 미치는 전략적 영향에 대한 조사를 피하는 기업과 부서는 거의 없습니다.현대 기업에 광범위한 사이버 보안 프로그램이 필요하다는 것은 당연한 일처럼 보일 수 있지만, 이는 조직에 상당한 비용을 초래하므로 투자 수익률 (ROI) 측면에서 정당화하기란 쉽지 않습니다.
최고 경영진 및 이사회 이해관계자들은 투자 사이버 보안 이니셔티브의 예상 성과를 스프레드시트의 수치와는 차원이 다른 용어로 명확하게 이해해야 합니다.CISO는 기술 지식과 이해 수준이 서로 다르므로 CISO는 접근 가능한 메시지로 자신의 사례를 제시하기 위해 노력해야 합니다.동급 최고의 사례를 제시하기 위해 프로그램의 규모, 보호가 필요한 사항, 활성화해야 할 대상을 설명하십시오.공격이 증가하고 있습니다. 하지만 예산이 이를 따라가지 못하고 있습니다.그리고 선한 싸움에 맞서 싸우는 것은 그 장점을 정당화하기 위한 구두 캠페인에서 시작됩니다.
업종을 불문하고 모든 회사가 빠르게 기술 회사로 변모하고 있다고 오랫동안 말해왔습니다.대부분의 조직에서 디지털 우선 접근 방식이 일반적이기 때문에, 이는 당시에 제공할 수 있는 최상의 보호가 필요한 대규모 공격 대상 영역입니다.보안 리더는 여러 가지 역할을 담당하지만 (너무 늦기 전까지는) 간과되고 있는 것은 이들이 본질적으로 고객 신뢰의 수호자라는 사실입니다.이는 가치 제안으로서 아무리 강조해도 지나치지 않으며 영업 및 마케팅 목표 못지않게 중요합니다.
보안에 대한 예방적 접근 방식의 가치를 입증하십시오.
최신 사이버 보안 통계 머리를 기르는 사람이야하지만 FUD를 이용하고 겁을 주는 것은 일반적으로 더 많은 예산을 확보하는 데 있어 쓸데없는 전술입니다.기업 경영진 중 사이버 보안이 우선 순위가 아니라고 주장하는 사람은 거의 없을 것입니다. 하지만 더 나은 결과를 위해 기존 리소스를 활용하는 진취적인 전략이 제시된다면 예산 증액을 수용할 가능성이 훨씬 더 높습니다.
노이스타 국제 안전 보장 이사회의 최근 연구에 따르면 기업의 50% 에 불과합니다. 알려진 사이버 보안 문제를 해결하기에 충분한 예산이 있다고 생각합니다.그리고 글로벌 사이버 공격과 함께 38% 증가했습니다. 2021년에서 2022년 사이에 이는 일반 CISO에게 훨씬 더 어려운 여정이 될 것입니다.하지만 진정한 세계적 수준의 보안 리더는 이러한 문제를 극복하고 역경을 헤쳐나갈 수 있는 역량을 갖추고 있습니다.
대부분의 시나리오에서 예방은 치료보다 쉽고 간단하며 사이버 보안도 다르지 않습니다.총체적 보안 프로그램은 사후 대응 조치를 뛰어넘어 취약성 관리까지 확장해야 합니다. 많은 CISO가 가장 우려하는 세 가지 문제 중 하나개발자가 이러한 움직임에 없어서는 안될 부분이라는 것은 당연합니다.일반적인 보안 버그를 정면으로 해결하려면 실습 교육이 필요합니다. 이를 통해 이러한 문제를 근원적으로 제거하고 애초에 프로덕션 환경에 진입하지 못하게 할 수 있습니다.지금은 품질이 낮고 안전하지 않은 코드를 계속 용서할 수 없는 시점에 이르렀습니다. 개발 집단의 숙련도를 높이는 것이 코드 수준의 취약점을 해결하는 가장 비용 효율적이고 강력한 해결책입니다.
CISO는 기존 예산을 유지하기 위해 고군분투하는 것이 중요하며, 특히 개발자를 위한 역할 기반 보안 업스킬링의 이점을 자세히 설명하는 것이 다루기 힘든 보안 기술 스택에 다음 “은총알”을 추가하는 것보다 더 빠른 승리입니다.
보안은 브랜드 기본 사항의 일부가 되어야 합니다.
대부분의 CISO는 마케팅에 대한 열정을 발휘하기 위해 자신의 역할을 맡지는 않았지만, 적어도 돈줄을 쥐고 있는 사람들에게 사례를 제시할 때는 이 부분을 담당할 수 있는 영역 중 하나입니다.
사이버 보안 프로그램이 고객 신뢰와 브랜드 충성도에 미치는 영향은 아무리 강조해도 지나치지 않습니다. 대규모 보안 침해로 인해 성경에 나오는 내용이 크게 유출될 수 있습니다.이와 반대로, 엄격한 보안 관행을 핵심 브랜드 가치와 연계하면 데이터 프라이버시 및 보호가 단순히 최우선이 아니라 고객이 신뢰할 수 있는 대상이라는 분명한 메시지를 전달할 수 있습니다.
현대의 CISO는 지속적인 긍정적인 고객 감정 및 신뢰와 관련된 보안 전략 및 정책의 경쟁 우위를 강조하는 데 시간을 할애하는 것이 중요합니다. 사후 보안만으로는 동일한 영향을 미치지 않으며, 사용 가능한 모든 리소스로 특권 자산을 보호하는 데 초점을 맞춘 균형 잡힌 접근 방식이 궁극적인 차별화 요소가 될 수 있습니다.
더 이상 변명의 여지가 없지만, CISO가 진정으로 혁신적인 보안 전략을 위한 적절한 자금 조달을 모색하면서 강조할 수 있는 설득력 있는 이유는 많습니다.
CISO는 점점 더 어려운 상황에 처해 있습니다. 즉, 더 많은 자산을 보호하고, 더 많은 코드를 배포하고, 더 큰 공격 대상을 줄이고, 급격히 줄어드는 재정 자원으로 이를 처리해야 합니다.사이버 보안이 비용 센터로 간주되고 있다는 것은 피할 수 없는 사실입니다. 조직의 보안 프로그램이 위협 행위자를 가로막아 내일의 끔찍한 헤드라인이 되고 있음에도 불구하고 보안 리더는 경영진이 이해할 수 있는 언어로 해당 부서의 전반적인 비즈니스 가치를 판매하고 입증하기 위해 더 많은 노력을 기울여야 합니다.
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
デモ予約
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
이 기사는 에 처음 게재되었습니다. SC 매거진.여기에 업데이트 및 신디케이트되었습니다.
CISO는 점점 더 어려운 상황에 처해 있습니다. 즉, 더 많은 자산을 보호하고, 더 많은 코드를 배포하고, 더 큰 공격 대상을 줄이고, 급격히 줄어드는 재정 자원으로 이를 처리해야 합니다.사이버 보안이 비용 센터로 간주되고 있다는 것은 피할 수 없는 사실입니다. 조직의 보안 프로그램이 위협 행위자를 가로막아 내일의 끔찍한 헤드라인이 되고 있음에도 불구하고 보안 리더는 경영진이 이해할 수 있는 언어로 해당 부서의 전반적인 비즈니스 가치를 판매하고 입증하기 위해 더 많은 노력을 기울여야 합니다.
세계적 수준의 CISO는 이러한 상황에 대응하여 고객 신뢰와 브랜드 평판을 높이고 사용 가능한 모든 도구를 활용하여 부인할 수 없는 가치를 창출하는 포괄적인 보안 프로그램을 주도하고 있습니다.보안 우수성을 유지하기 위한 시간, 자원 또는 인력이 충분하지 않다는 사고방식을 버리고 일반적인 보안 위험에 대한 전략적이고 예방적인 접근 방식으로 시작됩니다.
이사회실에서 토론을 변경하세요.
현재의 경제 상황에서 지출하는 비용, 고용 규모, 비즈니스 목표에 미치는 전략적 영향에 대한 조사를 피하는 기업과 부서는 거의 없습니다.현대 기업에 광범위한 사이버 보안 프로그램이 필요하다는 것은 당연한 일처럼 보일 수 있지만, 이는 조직에 상당한 비용을 초래하므로 투자 수익률 (ROI) 측면에서 정당화하기란 쉽지 않습니다.
최고 경영진 및 이사회 이해관계자들은 투자 사이버 보안 이니셔티브의 예상 성과를 스프레드시트의 수치와는 차원이 다른 용어로 명확하게 이해해야 합니다.CISO는 기술 지식과 이해 수준이 서로 다르므로 CISO는 접근 가능한 메시지로 자신의 사례를 제시하기 위해 노력해야 합니다.동급 최고의 사례를 제시하기 위해 프로그램의 규모, 보호가 필요한 사항, 활성화해야 할 대상을 설명하십시오.공격이 증가하고 있습니다. 하지만 예산이 이를 따라가지 못하고 있습니다.그리고 선한 싸움에 맞서 싸우는 것은 그 장점을 정당화하기 위한 구두 캠페인에서 시작됩니다.
업종을 불문하고 모든 회사가 빠르게 기술 회사로 변모하고 있다고 오랫동안 말해왔습니다.대부분의 조직에서 디지털 우선 접근 방식이 일반적이기 때문에, 이는 당시에 제공할 수 있는 최상의 보호가 필요한 대규모 공격 대상 영역입니다.보안 리더는 여러 가지 역할을 담당하지만 (너무 늦기 전까지는) 간과되고 있는 것은 이들이 본질적으로 고객 신뢰의 수호자라는 사실입니다.이는 가치 제안으로서 아무리 강조해도 지나치지 않으며 영업 및 마케팅 목표 못지않게 중요합니다.
보안에 대한 예방적 접근 방식의 가치를 입증하십시오.
최신 사이버 보안 통계 머리를 기르는 사람이야하지만 FUD를 이용하고 겁을 주는 것은 일반적으로 더 많은 예산을 확보하는 데 있어 쓸데없는 전술입니다.기업 경영진 중 사이버 보안이 우선 순위가 아니라고 주장하는 사람은 거의 없을 것입니다. 하지만 더 나은 결과를 위해 기존 리소스를 활용하는 진취적인 전략이 제시된다면 예산 증액을 수용할 가능성이 훨씬 더 높습니다.
노이스타 국제 안전 보장 이사회의 최근 연구에 따르면 기업의 50% 에 불과합니다. 알려진 사이버 보안 문제를 해결하기에 충분한 예산이 있다고 생각합니다.그리고 글로벌 사이버 공격과 함께 38% 증가했습니다. 2021년에서 2022년 사이에 이는 일반 CISO에게 훨씬 더 어려운 여정이 될 것입니다.하지만 진정한 세계적 수준의 보안 리더는 이러한 문제를 극복하고 역경을 헤쳐나갈 수 있는 역량을 갖추고 있습니다.
대부분의 시나리오에서 예방은 치료보다 쉽고 간단하며 사이버 보안도 다르지 않습니다.총체적 보안 프로그램은 사후 대응 조치를 뛰어넘어 취약성 관리까지 확장해야 합니다. 많은 CISO가 가장 우려하는 세 가지 문제 중 하나개발자가 이러한 움직임에 없어서는 안될 부분이라는 것은 당연합니다.일반적인 보안 버그를 정면으로 해결하려면 실습 교육이 필요합니다. 이를 통해 이러한 문제를 근원적으로 제거하고 애초에 프로덕션 환경에 진입하지 못하게 할 수 있습니다.지금은 품질이 낮고 안전하지 않은 코드를 계속 용서할 수 없는 시점에 이르렀습니다. 개발 집단의 숙련도를 높이는 것이 코드 수준의 취약점을 해결하는 가장 비용 효율적이고 강력한 해결책입니다.
CISO는 기존 예산을 유지하기 위해 고군분투하는 것이 중요하며, 특히 개발자를 위한 역할 기반 보안 업스킬링의 이점을 자세히 설명하는 것이 다루기 힘든 보안 기술 스택에 다음 “은총알”을 추가하는 것보다 더 빠른 승리입니다.
보안은 브랜드 기본 사항의 일부가 되어야 합니다.
대부분의 CISO는 마케팅에 대한 열정을 발휘하기 위해 자신의 역할을 맡지는 않았지만, 적어도 돈줄을 쥐고 있는 사람들에게 사례를 제시할 때는 이 부분을 담당할 수 있는 영역 중 하나입니다.
사이버 보안 프로그램이 고객 신뢰와 브랜드 충성도에 미치는 영향은 아무리 강조해도 지나치지 않습니다. 대규모 보안 침해로 인해 성경에 나오는 내용이 크게 유출될 수 있습니다.이와 반대로, 엄격한 보안 관행을 핵심 브랜드 가치와 연계하면 데이터 프라이버시 및 보호가 단순히 최우선이 아니라 고객이 신뢰할 수 있는 대상이라는 분명한 메시지를 전달할 수 있습니다.
현대의 CISO는 지속적인 긍정적인 고객 감정 및 신뢰와 관련된 보안 전략 및 정책의 경쟁 우위를 강조하는 데 시간을 할애하는 것이 중요합니다. 사후 보안만으로는 동일한 영향을 미치지 않으며, 사용 가능한 모든 리소스로 특권 자산을 보호하는 데 초점을 맞춘 균형 잡힌 접근 방식이 궁극적인 차별화 요소가 될 수 있습니다.
더 이상 변명의 여지가 없지만, CISO가 진정으로 혁신적인 보안 전략을 위한 적절한 자금 조달을 모색하면서 강조할 수 있는 설득력 있는 이유는 많습니다.
이 기사는 에 처음 게재되었습니다. SC 매거진.여기에 업데이트 및 신디케이트되었습니다.
CISO는 점점 더 어려운 상황에 처해 있습니다. 즉, 더 많은 자산을 보호하고, 더 많은 코드를 배포하고, 더 큰 공격 대상을 줄이고, 급격히 줄어드는 재정 자원으로 이를 처리해야 합니다.사이버 보안이 비용 센터로 간주되고 있다는 것은 피할 수 없는 사실입니다. 조직의 보안 프로그램이 위협 행위자를 가로막아 내일의 끔찍한 헤드라인이 되고 있음에도 불구하고 보안 리더는 경영진이 이해할 수 있는 언어로 해당 부서의 전반적인 비즈니스 가치를 판매하고 입증하기 위해 더 많은 노력을 기울여야 합니다.
세계적 수준의 CISO는 이러한 상황에 대응하여 고객 신뢰와 브랜드 평판을 높이고 사용 가능한 모든 도구를 활용하여 부인할 수 없는 가치를 창출하는 포괄적인 보안 프로그램을 주도하고 있습니다.보안 우수성을 유지하기 위한 시간, 자원 또는 인력이 충분하지 않다는 사고방식을 버리고 일반적인 보안 위험에 대한 전략적이고 예방적인 접근 방식으로 시작됩니다.
이사회실에서 토론을 변경하세요.
현재의 경제 상황에서 지출하는 비용, 고용 규모, 비즈니스 목표에 미치는 전략적 영향에 대한 조사를 피하는 기업과 부서는 거의 없습니다.현대 기업에 광범위한 사이버 보안 프로그램이 필요하다는 것은 당연한 일처럼 보일 수 있지만, 이는 조직에 상당한 비용을 초래하므로 투자 수익률 (ROI) 측면에서 정당화하기란 쉽지 않습니다.
최고 경영진 및 이사회 이해관계자들은 투자 사이버 보안 이니셔티브의 예상 성과를 스프레드시트의 수치와는 차원이 다른 용어로 명확하게 이해해야 합니다.CISO는 기술 지식과 이해 수준이 서로 다르므로 CISO는 접근 가능한 메시지로 자신의 사례를 제시하기 위해 노력해야 합니다.동급 최고의 사례를 제시하기 위해 프로그램의 규모, 보호가 필요한 사항, 활성화해야 할 대상을 설명하십시오.공격이 증가하고 있습니다. 하지만 예산이 이를 따라가지 못하고 있습니다.그리고 선한 싸움에 맞서 싸우는 것은 그 장점을 정당화하기 위한 구두 캠페인에서 시작됩니다.
업종을 불문하고 모든 회사가 빠르게 기술 회사로 변모하고 있다고 오랫동안 말해왔습니다.대부분의 조직에서 디지털 우선 접근 방식이 일반적이기 때문에, 이는 당시에 제공할 수 있는 최상의 보호가 필요한 대규모 공격 대상 영역입니다.보안 리더는 여러 가지 역할을 담당하지만 (너무 늦기 전까지는) 간과되고 있는 것은 이들이 본질적으로 고객 신뢰의 수호자라는 사실입니다.이는 가치 제안으로서 아무리 강조해도 지나치지 않으며 영업 및 마케팅 목표 못지않게 중요합니다.
보안에 대한 예방적 접근 방식의 가치를 입증하십시오.
최신 사이버 보안 통계 머리를 기르는 사람이야하지만 FUD를 이용하고 겁을 주는 것은 일반적으로 더 많은 예산을 확보하는 데 있어 쓸데없는 전술입니다.기업 경영진 중 사이버 보안이 우선 순위가 아니라고 주장하는 사람은 거의 없을 것입니다. 하지만 더 나은 결과를 위해 기존 리소스를 활용하는 진취적인 전략이 제시된다면 예산 증액을 수용할 가능성이 훨씬 더 높습니다.
노이스타 국제 안전 보장 이사회의 최근 연구에 따르면 기업의 50% 에 불과합니다. 알려진 사이버 보안 문제를 해결하기에 충분한 예산이 있다고 생각합니다.그리고 글로벌 사이버 공격과 함께 38% 증가했습니다. 2021년에서 2022년 사이에 이는 일반 CISO에게 훨씬 더 어려운 여정이 될 것입니다.하지만 진정한 세계적 수준의 보안 리더는 이러한 문제를 극복하고 역경을 헤쳐나갈 수 있는 역량을 갖추고 있습니다.
대부분의 시나리오에서 예방은 치료보다 쉽고 간단하며 사이버 보안도 다르지 않습니다.총체적 보안 프로그램은 사후 대응 조치를 뛰어넘어 취약성 관리까지 확장해야 합니다. 많은 CISO가 가장 우려하는 세 가지 문제 중 하나개발자가 이러한 움직임에 없어서는 안될 부분이라는 것은 당연합니다.일반적인 보안 버그를 정면으로 해결하려면 실습 교육이 필요합니다. 이를 통해 이러한 문제를 근원적으로 제거하고 애초에 프로덕션 환경에 진입하지 못하게 할 수 있습니다.지금은 품질이 낮고 안전하지 않은 코드를 계속 용서할 수 없는 시점에 이르렀습니다. 개발 집단의 숙련도를 높이는 것이 코드 수준의 취약점을 해결하는 가장 비용 효율적이고 강력한 해결책입니다.
CISO는 기존 예산을 유지하기 위해 고군분투하는 것이 중요하며, 특히 개발자를 위한 역할 기반 보안 업스킬링의 이점을 자세히 설명하는 것이 다루기 힘든 보안 기술 스택에 다음 “은총알”을 추가하는 것보다 더 빠른 승리입니다.
보안은 브랜드 기본 사항의 일부가 되어야 합니다.
대부분의 CISO는 마케팅에 대한 열정을 발휘하기 위해 자신의 역할을 맡지는 않았지만, 적어도 돈줄을 쥐고 있는 사람들에게 사례를 제시할 때는 이 부분을 담당할 수 있는 영역 중 하나입니다.
사이버 보안 프로그램이 고객 신뢰와 브랜드 충성도에 미치는 영향은 아무리 강조해도 지나치지 않습니다. 대규모 보안 침해로 인해 성경에 나오는 내용이 크게 유출될 수 있습니다.이와 반대로, 엄격한 보안 관행을 핵심 브랜드 가치와 연계하면 데이터 프라이버시 및 보호가 단순히 최우선이 아니라 고객이 신뢰할 수 있는 대상이라는 분명한 메시지를 전달할 수 있습니다.
현대의 CISO는 지속적인 긍정적인 고객 감정 및 신뢰와 관련된 보안 전략 및 정책의 경쟁 우위를 강조하는 데 시간을 할애하는 것이 중요합니다. 사후 보안만으로는 동일한 영향을 미치지 않으며, 사용 가능한 모든 리소스로 특권 자산을 보호하는 데 초점을 맞춘 균형 잡힌 접근 방식이 궁극적인 차별화 요소가 될 수 있습니다.
더 이상 변명의 여지가 없지만, CISO가 진정으로 혁신적인 보안 전략을 위한 적절한 자금 조달을 모색하면서 강조할 수 있는 설득력 있는 이유는 많습니다.
以下のリンクをクリックし、このリソースのPDFをダウンロードしてください。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
レポートを見るデモ予約
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
이 기사는 에 처음 게재되었습니다. SC 매거진.여기에 업데이트 및 신디케이트되었습니다.
CISO는 점점 더 어려운 상황에 처해 있습니다. 즉, 더 많은 자산을 보호하고, 더 많은 코드를 배포하고, 더 큰 공격 대상을 줄이고, 급격히 줄어드는 재정 자원으로 이를 처리해야 합니다.사이버 보안이 비용 센터로 간주되고 있다는 것은 피할 수 없는 사실입니다. 조직의 보안 프로그램이 위협 행위자를 가로막아 내일의 끔찍한 헤드라인이 되고 있음에도 불구하고 보안 리더는 경영진이 이해할 수 있는 언어로 해당 부서의 전반적인 비즈니스 가치를 판매하고 입증하기 위해 더 많은 노력을 기울여야 합니다.
세계적 수준의 CISO는 이러한 상황에 대응하여 고객 신뢰와 브랜드 평판을 높이고 사용 가능한 모든 도구를 활용하여 부인할 수 없는 가치를 창출하는 포괄적인 보안 프로그램을 주도하고 있습니다.보안 우수성을 유지하기 위한 시간, 자원 또는 인력이 충분하지 않다는 사고방식을 버리고 일반적인 보안 위험에 대한 전략적이고 예방적인 접근 방식으로 시작됩니다.
이사회실에서 토론을 변경하세요.
현재의 경제 상황에서 지출하는 비용, 고용 규모, 비즈니스 목표에 미치는 전략적 영향에 대한 조사를 피하는 기업과 부서는 거의 없습니다.현대 기업에 광범위한 사이버 보안 프로그램이 필요하다는 것은 당연한 일처럼 보일 수 있지만, 이는 조직에 상당한 비용을 초래하므로 투자 수익률 (ROI) 측면에서 정당화하기란 쉽지 않습니다.
최고 경영진 및 이사회 이해관계자들은 투자 사이버 보안 이니셔티브의 예상 성과를 스프레드시트의 수치와는 차원이 다른 용어로 명확하게 이해해야 합니다.CISO는 기술 지식과 이해 수준이 서로 다르므로 CISO는 접근 가능한 메시지로 자신의 사례를 제시하기 위해 노력해야 합니다.동급 최고의 사례를 제시하기 위해 프로그램의 규모, 보호가 필요한 사항, 활성화해야 할 대상을 설명하십시오.공격이 증가하고 있습니다. 하지만 예산이 이를 따라가지 못하고 있습니다.그리고 선한 싸움에 맞서 싸우는 것은 그 장점을 정당화하기 위한 구두 캠페인에서 시작됩니다.
업종을 불문하고 모든 회사가 빠르게 기술 회사로 변모하고 있다고 오랫동안 말해왔습니다.대부분의 조직에서 디지털 우선 접근 방식이 일반적이기 때문에, 이는 당시에 제공할 수 있는 최상의 보호가 필요한 대규모 공격 대상 영역입니다.보안 리더는 여러 가지 역할을 담당하지만 (너무 늦기 전까지는) 간과되고 있는 것은 이들이 본질적으로 고객 신뢰의 수호자라는 사실입니다.이는 가치 제안으로서 아무리 강조해도 지나치지 않으며 영업 및 마케팅 목표 못지않게 중요합니다.
보안에 대한 예방적 접근 방식의 가치를 입증하십시오.
최신 사이버 보안 통계 머리를 기르는 사람이야하지만 FUD를 이용하고 겁을 주는 것은 일반적으로 더 많은 예산을 확보하는 데 있어 쓸데없는 전술입니다.기업 경영진 중 사이버 보안이 우선 순위가 아니라고 주장하는 사람은 거의 없을 것입니다. 하지만 더 나은 결과를 위해 기존 리소스를 활용하는 진취적인 전략이 제시된다면 예산 증액을 수용할 가능성이 훨씬 더 높습니다.
노이스타 국제 안전 보장 이사회의 최근 연구에 따르면 기업의 50% 에 불과합니다. 알려진 사이버 보안 문제를 해결하기에 충분한 예산이 있다고 생각합니다.그리고 글로벌 사이버 공격과 함께 38% 증가했습니다. 2021년에서 2022년 사이에 이는 일반 CISO에게 훨씬 더 어려운 여정이 될 것입니다.하지만 진정한 세계적 수준의 보안 리더는 이러한 문제를 극복하고 역경을 헤쳐나갈 수 있는 역량을 갖추고 있습니다.
대부분의 시나리오에서 예방은 치료보다 쉽고 간단하며 사이버 보안도 다르지 않습니다.총체적 보안 프로그램은 사후 대응 조치를 뛰어넘어 취약성 관리까지 확장해야 합니다. 많은 CISO가 가장 우려하는 세 가지 문제 중 하나개발자가 이러한 움직임에 없어서는 안될 부분이라는 것은 당연합니다.일반적인 보안 버그를 정면으로 해결하려면 실습 교육이 필요합니다. 이를 통해 이러한 문제를 근원적으로 제거하고 애초에 프로덕션 환경에 진입하지 못하게 할 수 있습니다.지금은 품질이 낮고 안전하지 않은 코드를 계속 용서할 수 없는 시점에 이르렀습니다. 개발 집단의 숙련도를 높이는 것이 코드 수준의 취약점을 해결하는 가장 비용 효율적이고 강력한 해결책입니다.
CISO는 기존 예산을 유지하기 위해 고군분투하는 것이 중요하며, 특히 개발자를 위한 역할 기반 보안 업스킬링의 이점을 자세히 설명하는 것이 다루기 힘든 보안 기술 스택에 다음 “은총알”을 추가하는 것보다 더 빠른 승리입니다.
보안은 브랜드 기본 사항의 일부가 되어야 합니다.
대부분의 CISO는 마케팅에 대한 열정을 발휘하기 위해 자신의 역할을 맡지는 않았지만, 적어도 돈줄을 쥐고 있는 사람들에게 사례를 제시할 때는 이 부분을 담당할 수 있는 영역 중 하나입니다.
사이버 보안 프로그램이 고객 신뢰와 브랜드 충성도에 미치는 영향은 아무리 강조해도 지나치지 않습니다. 대규모 보안 침해로 인해 성경에 나오는 내용이 크게 유출될 수 있습니다.이와 반대로, 엄격한 보안 관행을 핵심 브랜드 가치와 연계하면 데이터 프라이버시 및 보호가 단순히 최우선이 아니라 고객이 신뢰할 수 있는 대상이라는 분명한 메시지를 전달할 수 있습니다.
현대의 CISO는 지속적인 긍정적인 고객 감정 및 신뢰와 관련된 보안 전략 및 정책의 경쟁 우위를 강조하는 데 시간을 할애하는 것이 중요합니다. 사후 보안만으로는 동일한 영향을 미치지 않으며, 사용 가능한 모든 리소스로 특권 자산을 보호하는 데 초점을 맞춘 균형 잡힌 접근 방식이 궁극적인 차별화 요소가 될 수 있습니다.
더 이상 변명의 여지가 없지만, CISO가 진정으로 혁신적인 보안 전략을 위한 적절한 자금 조달을 모색하면서 강조할 수 있는 설득력 있는 이유는 많습니다.
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
デモ予約ダウンロード
%20(1).avif)
.avif)
