5장. 위험 기반 전략 및 실행

( )을 통해 위험 소유자, 보안 전문가 및 기타 이해관계자를 공식적이고 체계적인 프로세스로 모아 임시방편적인 사고 기반 접근 방식을 대체하는 사이버 위험 관리 프로그램(CRMP)의 필요성을 강조한 바 있습니다. 이는 기업 전체가 빠르게 변화하는 위험 환경의 문제를 해결하고 책임으로부터 스스로를 보호할 수 있는 유일한 방법입니다. 하지만 기업의 특정 요구사항을 충족하는 프로그램을 개발하고 구현하는 것은 결코 간단한 일이 아닙니다. 명확하게 정의된 전략과 그 전략에 따른 일관된 실행이 필요하며, 이 장의 초점은 바로 여기에 있습니다. 위험 기반 전략 및 실행의 6가지 핵심 원칙을 자세히 설명하고, 이에 영향을 미치는 규제 프레임워크와 업계 프로토콜에 대해 설명합니다. 또한 지속적인 개선을 위한 고도의 협업 프로세스에서 주요 이해관계자, 특히 CISO와 보안 조직의 나머지 구성원, 내부 및 외부 감사자의 역할을 파악할 것입니다. 그리고 기업 리스크 환경과 전략적 리스크 관리 요구가 얼마나 급격하고 빠르게 변화할 수 있는지를 보여주는 최근의 놀라운 사례인 생성형 인공지능(AI)의 갑작스러운 대중적 도입이라는 렌즈를 통해 이 모든 것을 살펴볼 것입니다.

디지털 세상에서 위험과 보상의 균형을 맞추는 기술인 사이버 위험 관리는 그 어느 때보다 어려운 과제입니다. 리스크는 점점 더 높아지고 있으며 비즈니스 환경과 리스크 환경 모두 끊임없이 변화하고 있습니다. 하지만 현실은 대부분의 기업이 오늘날과 같이 변동성이 큰 리스크 환경에서 시급히 요구되는 체계적인 방식으로 사이버 리스크 관리에 접근하지 못하고 있다는 것입니다. 이로 인해 승인되지 않은 수준의 위험에 노출될 뿐만 아니라 감수해야 할 위험을 회피하게 될 수도 있습니다. 이로 인해 기업은 거의 항상 위험 예산과 기타 리소스를 잘못 할당하고, 필요 이상으로 지출하거나 잘못된 곳에 지출하고, 비즈니스에 정의된 방향 없이 지출하는 경우가 많습니다. 따라서 공식적인 CRMP는 필수적입니다.

대부분의 기업은 최소한 일부 위험 관리 관행이나 프로세스를 갖추고 있으며, 많은 기업이 이를 지원하는 기술도 구현하고 있습니다. 그러나 이 책에서 요구하는 공식화되고 체계적인 전사적 접근 방식과 법률 및 규제 당국이 점점 더 요구하는 방식으로 위험 관리에 접근하는 기업은 거의 없습니다. 보안 조직, 위험 관리 팀, 위험 소유자 및 기타 중요한 이해관계자들이 가끔씩만 소통하고 협업은 더욱 줄어들면서 위험 관리 노력이 사일로화되는 경향이 있습니다. 보안은 종종 규정 준수 연습이나 해로운 위험 이벤트가 발생한 후 임시방편으로 대응하는 것처럼 느껴질 수 있습니다. 이는 기업이 위험에 기반한 사전 예방적 의사 결정을 내리지 않을 가능성이 높으며, 수용 가능한 위험 수준과 해당 수준에 도달하는 데 드는 비용을 고려하는 위험 기반 전략에 따라 실행하지 않을 가능성이 ...