사이버 보안 프로젝트에 대한 동의를 얻기 위한 3가지 실용적인 방법

최근에 새로운 플랫폼을 구현할 준비가 된 대형 금융 기관의 보안 팀과 이야기를 나눈 적이 있습니다. 그들은 탄탄한 비즈니스 사례를 구축하고, 명확한 위험 요인을 파악하고, 이 모든 것을 보안 전략에 매핑했습니다. 준비가 완료되었습니다.

그리고 예상하지 못했던 진짜 문제가 발생했습니다. 팀 역학.  

결국, 그들은 길거리에서 좋은 조언을 모두 듣고 내면화하여 실행에 옮겼습니다. 비즈니스 문제에 집중했습니다. 더 큰 그림을 그리기 위해 만들었습니다. 하지만 네트워킹에 참여하는 동료들이 같은 음악에 맞춰 행진하도록 만들지는 못했습니다.  

네트워킹 담당자의 반발로 시작되었습니다: "다른 플랫폼의 라이선스가 남아 있는데 왜 새로운 도구를 도입해야 하나요?"

재정적인 관점을 도입하는 것은 마치 유노 게임에서 상대 팀이 4번 카드를 뽑는 것과 같습니다. 이제 프로젝트를 시작하려면 예상치 못한 추가 장애물을 통과해야 하므로 목표 달성을 방해할 수 있습니다.  

사이버 보안 프로젝트는 때때로 취약한 기술 때문에 실패하기도 합니다. 하지만 팀원들이 서로 눈을 마주치지 않고, 리더가 참여를 유지하지 않으며, 조직 전체가 애초에 왜 이 모든 것이 중요한지 이해하지 못하기 때문에 시간이 지체되는 경우가 많습니다.

보안 이니셔티브에 대한 동의를 얻으려는 경우, 실제로 어떻게 바늘을 움직일 수 있는지에 대해 이야기해 보겠습니다.

가장 일반적인 사이버 보안 프로젝트 바이인 차단 방법

팀 간 반발은 사이버 보안 이니셔티브의 가장 큰(그리고 가장 실망스러운) 장애물입니다.

조직의 모든 팀에는 고유한 로드맵, 예산, 인센티브가 있습니다. 보안 프로젝트가 아무리 비즈니스에 중요하더라도 다른 사람에게는 우회하는 것처럼 느껴질 수 있습니다.

이미 구매한 도구와 제안 내용이 겹치거나(아무도 사용하지 않더라도), 새로운 시스템이 기존 시스템을 망가뜨릴까 봐 걱정하는 것일 수도 있습니다. 새 프로젝트는 리소스 오버헤드가 추가되며, 다른 팀에서는 현재 준비가 되어 있지 않을 수 있습니다.  

이러한 대화는 기술이 잘못되어서가 아니라 다른 팀의 우선순위, 계획 또는 힘의 역학 관계에 부딪히기 때문에 빠르게 지저분해질 수 있습니다.  

때로는 통제에 관한 문제일 수도 있지만, 타이밍에 관한 문제일 수도 있습니다. 때때로 팀은 자기 보호 모드에 갇힐 수 있습니다. 이러한 사일로화된 사고는 종종 진행 속도를 늦춥니다.  

임원 스폰서십이 특히 중요한 이유

일루미오 영업 담당자나 성공적으로 구현한 고객과 나누는 대부분의 대화에서 공통적으로 나타나는 주제는 경영진의 동의입니다.  

리더십의 지지를 얻는 것은 단순히 정치적 상자에 체크하는 것만이 아닙니다. 조직 전체에 프로젝트의 분위기를 설정합니다.

경영진이 사이버 보안 이니셔티브를 공개적으로 지지하면 추진력이 생깁니다. 이는 조직에 다음과 같은 사실을 알려줍니다:

• 이 프로젝트는 중요합니다.
• 저희는 단기적인 임시방편이 아닌 장기적인 회복탄력성을 중요하게 생각합니다.
• 팀은 장애물을 만드는 것이 아니라 함께 협력해야 합니다.

강력한 하향식 지원은 구현을 위한 로켓 연료와 같습니다. 이 기능이 없으면 다른 팀이 왜 이 기능을 사용해야 하는지에 대한 백업이 없습니다.

사이버 보안 프로젝트에 대한 동의를 얻는 3가지 방법

특히 다른 사람의 우선순위가 여러분의 우선순위와 일치하지 않을 때 어떻게 모든 사람을 같은 페이지로 끌어들일 수 있을까요? 다음은 사용할 수 있는 최고의 전략입니다.

1. 먼저 경청한 후 전략 수립

제 경험에 따르면 대부분의 사이버 보안 프로젝트는 들어본 적이 없거나, 확신이 없거나, 확신이 없는 사람들 때문에 지연되는 경우가 많습니다. 그렇기 때문에 가장 현명한 첫걸음은 경청입니다.

계획을 발표하기 전에 시간을 내어 수면 아래에서 어떤 일이 일어나고 있는지 파악하세요:

• 무엇이 이 팀을 밤잠 못 이루게 하나요?
• 이미 접시에는 무엇이 담겨 있나요?
• 과거에 비슷한 프로젝트에서 나쁜 경험을 한 적이 있나요?
• 보이지 않는 압력이나 정치적인 요소가 작용하고 있나요?

표면적인 이의 제기를 수집하는 동시에 방 안의 분위기를 읽고 있습니다.

이러한 적극적인 경청은 위험 등록부에 나타나지 않는 정서적, 물류적, 문화적 장애물을 발견하는 데 도움이 됩니다. 이를 이해하면 이니셔티브를 추진하는 방법과 시기를 보다 전략적으로 결정할 수 있습니다.

경청은 신뢰를 쌓고, 신뢰는 진정한 협업의 문을 열어줍니다.

2. 공통점 찾기  

시장에서 최고의 제품이라고 해서 사이버 보안 프로젝트를 지지하는 사람은 아무도 없습니다. 우선순위에 맞지 않으면 움직이지 않습니다.

경청 투어에서 배운 내용을 바탕으로 모두가 관심을 갖는 공유된 결과에 대해 조율하세요. 여기에는 다음과 같은 것들이 포함될 수 있습니다:  

• 복구 시간  
• 티켓 수량 감소
• 운영 중단 감소
• 예측 가능한 변경 관리 주기

여러분의 프로젝트가 사람들의 목표를 달성하는 데 도움이 될 수 있음을 보여줄 때, 여러분은 방해꾼에서 조력자가 될 수 있습니다. 그렇게 해서 바이 인이 눈덩이처럼 불어나기 시작합니다.

3. 설득력 있는 스토리 전달

사실은 정보를 제공하지만 스토리는 설득력을 갖습니다. 사람들은 영감을 받았을 때 행동하며, 좋은 스토리텔링이 핵심입니다.  

스토리텔링은 추상적인 위협을 실체화합니다. 데이터만으로는 절대 알 수 없는 방식으로 사람들이 결과, 결과 및 이점을 상상할 수 있도록 도와줍니다.

따라서 "우리는 더 강력한 세분화에 투자해야 합니다"와 같이 말하는 것이 정확하지만, 그 대신 스토리를 전달하는 것이 더 효과적일 수 있습니다:

"작년에 저희와 비슷한 회사가 랜섬웨어에 감염된 적이 있습니다. 이 회사의 침해 차단 전략으로 몇 주 동안 가동 중단을 피할 수 있었습니다. 우리도 그렇게 하지 않으면 헤드라인을 장식할 수 있습니다."

유사한 조직과의 비교, 실제 사건의 사례 또는 미니 '가정' 시나리오를 사용하여 요점을 설득력 있게 전달하세요. 위험과 보상을 동시에 실현하세요. 이러한 논의는 긴박함을 맥락에 맞게 전달하고, 여러분의 곡은 더 큰 공감을 얻게 됩니다.  

목표는 컨텍스트입니다. 잘 전달된 스토리는 사람들이 이니셔티브의 내용뿐만 아니라 그 이면에 있는 이유를시각화하는 데 도움이 됩니다.

사이버 보안 프로젝트는 스스로 판매되지 않습니다.

보안팀은 더 많은 일을 하고, ROI를 입증하고, 빠르게 움직여야 한다는 압박이 그 어느 때보다 커졌습니다.

예산은 더 빡빡해지고, 아키텍처는 더 복잡해지고, 위협은 더 똑똑해졌습니다. 그럼에도 불구하고 우리는 비즈니스를 중단시키지 않고 방어해야 합니다.

이는 좋은 기술 그 이상이 필요하다는 뜻입니다. 침해가 발생하기 전에 영향력을 발휘하고, 사람들의 동의를 얻고, 사람들을 하나로 모을 수 있는 능력이 필요합니다.

따라서 다음에 사이버 보안 프로젝트를 시작하려고 할 때는 다음 사항을 기억하세요:

• 도구에서 정렬을 기대하지 마세요. 대신 결과에 따라 정렬하세요. ‍
• 스토리텔링을 활용하세요. 이론이 아닌 현실로 만드세요. ‍
• 그들의 언어로 말하세요. 프로젝트가 어떻게 문제를 해결하는지 보여주세요. ‍
• 경영진의 지원을 조기에 받으세요. 그리고 배달을 통해 고객의 참여를 유지하세요. ‍
• 미션에 집중하세요. 절차보다는 목적에 동의하는 것이 더 쉽습니다.

프로젝트의 동의를 얻는 것은 기술이며, 오늘날의 위협 환경에서는 가장 중요한 기술일 수 있습니다. 기술은 배포되지만, 진보를 실현하는 것은 사람입니다.  

조직이 실제 보안 성과를 통해 의도에서 실행으로 전환하는 데 Illumio가 어떻게 도움이 되는지 알고 싶으신가요? 일루미오 인사이트 체험하기 14일 동안 무료입니다.