CISO의 플레이북: 보안을 비즈니스 성장과 연계하는 DXC의 방법

CISO의 플레이북은 업계 최고 사이버 보안 경영진의 전략적 인사이트를 제공하는 지속적인 시리즈입니다. 이번 포스팅에서는 DXC테크놀로지의 CISO인 마이크 베이커를 만나보세요.

사이버 복원력은 더 이상 체크박스에 체크하는 것이 아닙니다. 단순히 대응하는 것이 아니라 예측하는 전략으로 리스크를 능가하는 것입니다.

이것이 바로 DXC Technology의 CISO인 마이크 베이커가 추구하는 비전입니다. 13만 명이 넘는 직원과 세계에서 가장 복잡한 기업을 아우르는 고객층을 보유한 Baker는 사이버 보안을 IT 문제로만 취급할 여유가 없습니다. 그에게 있어 비즈니스의 원동력입니다.

"과거에는 방화벽, 안티바이러스, 엔드포인트 도구만 있으면 충분했습니다."라고 Baker는 말합니다. "오늘날에는 이 정도로는 표면을 거의 긁지 못합니다."

현재 베이커는 비즈니스 속도 저하 없이 비즈니스를 보호한다는 한 가지 원칙을 가지고 DXC의 글로벌 보안 전략을 이끌고 있습니다. 이를 위해서는 도구 이상의 것이 필요합니다. 제로 트러스트와 AI를 기반으로 하는 응집력 있고 미래 지향적인 전략이 필요합니다.

제로 트러스트 + AI = 완벽한 조합

최신 위협의 속도와 규모에 대응하기 위해 CISO는 제로 트러스트와 AI를 별개의 투자가 아닌 전략적 조합으로 취급해야 한다고 Baker는 생각합니다.

"제로 트러스트는 프레임워크입니다. AI가 바로 그 역량입니다."라고 설명했습니다. "함께 사용하면 더 나은 의사 결정을 더 빠르게 내릴 수 있습니다."

DXC에서는 이러한 전략이 자체 네트워크에서 매일 실행되고 있습니다. 그리고 이것이 바로 DXC가 고객에게 권장하는 방식입니다.  

DXC 보안팀은 역할 기반 액세스 및 마이크로세그멘테이션을 사용하여 적합한 사람만 적합한 데이터에 액세스할 수 있도록 합니다. AI는 정책 시행을 자동화하고, 이상 징후를 표시하고, 사용자 행동에 따라 액세스를 동적으로 조정하여 이러한 제어 기능을 향상시킵니다.

제로 트러스트는 프레임워크입니다. AI는 역량입니다. 함께 사용하면 더 나은 의사 결정을 더 빠르게 내릴 수 있습니다.

이를 가능하게 하는 핵심은 조직의 보안 데이터에 대한 통합적이고 구조화된 보기를 제공하는 보안 그래프입니다.

"보안 그래프는 새로운 것이 아닙니다."라고 그는 말합니다. "하지만 달라진 점은 플랫폼 전반에서 AI를 구현하는 데 얼마나 중요한 역할을 하는가 하는 점입니다."

이러한 그래프를 통해 조직은 네트워크에서 사용자, 디바이스, 시스템이 상호 작용하는 방식에 대한 모델을 파악할 수 있습니다. 이를 통해 AI는 대규모로 패턴을 감지하고, 위험을 더 빠르게 파악하며, 사람이 점을 연결할 때까지 기다릴 필요 없이 신속한 대응을 실행할 수 있습니다.

"AI와 보안 그래프를 함께 사용하면 탐지 시간을 줄이고 사람들이 더 가치 있는 업무에 집중할 수 있습니다."라고 Baker는 말합니다. "포스 멀티플라이어입니다."

규정 준수를 넘어서

여전히 너무 많은 조직에서 규정 준수를 사이버 보안의 북극성으로 취급하고 있습니다. 베이커에게 이는 위험한 함정입니다.

"규정 준수는 테이블 스테이크입니다."라고 그는 말합니다. "제로 트러스트는 체크박스에 체크하는 것을 넘어 능동적으로 사고할 수 있도록 도와줍니다."

Baker의 팀은 각각의 새로운 규정을 충족하기 위해 제어 기능을 개조하는 대신 규정 준수 요구 사항뿐 아니라 근본적인 네트워크 위험을 해결하는 사전 예방적이고 반복 가능한 프로세스를 구축합니다.

규정 준수는 테이블 스테이크입니다. 제로 트러스트는 체크박스에 체크하는 것을 넘어 능동적으로 사고할 수 있도록 도와줍니다.

이러한 접근 방식은 DXC가 감사에서 앞서 나가고 장기적인 개선을 위한 리소스를 확보하는 데 도움이 됩니다. 또한 보안 팀은 항상 그렇듯이 업무가 변경될 때 더욱 유연하게 대처할 수 있습니다.

"규정 준수를 쫓는 것에서 위험을 예측하는 것으로 전환해야 합니다."라고 Baker는 말합니다. "이를 통해 조직 전체가 규정 준수 의무의 기본 요건을 뛰어넘는 탄력성을 확보할 수 있습니다."

또한 보안을 비용 센터가 아닌 자산으로 인식하고자 하는 비즈니스 리더와 신뢰를 쌓을 수 있습니다.

도구가 아닌 전략으로 사례 만들기

Baker가 커리어에서 경험한 가장 큰 변화 중 하나는 CISO가 이사회와 소통하는 방식입니다. 패치 수와 도구 롤아웃을 보고하던 시대는 지났습니다.

"오늘날의 사이버 보안은 통제 수단을 나열하는 것이 아니라 전체적인 전략을 제시하는 것입니다."라고 Baker는 말합니다. "전체 네트워크에서 시간, 에너지, 투자를 어디에 적용하고 있는지, 그리고 그에 못지않게 중요한 이유는 무엇인지 이사회에 보여줘야 합니다."

제로 트러스트가 바로 여기에 있습니다. 보안 리더는 사용자와 디바이스에서 데이터와 애플리케이션에 이르기까지 조직을 보호하는 방법을 설명할 수 있는 명확하고 비즈니스 친화적인 프레임워크를 제공합니다.

"조직을 보호하는 방법과 투자 우선순위를 명확하게 설명할 수 있는 방법을 제공합니다."라고 그는 말합니다. "이사회는 이를 이해합니다."

다운타임 감소, IP 보호, 고객 신뢰 유지 등 모든 결정을 비즈니스에 미치는 영향과 연결함으로써 CISO는 두려움 기반 지표에서 회복탄력성과 준비성으로 논의를 전환할 수 있습니다.

비즈니스 속도 저하 없이 보안 유지

보안이 생산성에 걸림돌이 되어서는 안 됩니다. Baker는 마찰 없는 보안을 핵심 경쟁 우위로 보고 있습니다.

"사용자가 속도가 느려진다는 느낌을 받아서는 안 됩니다."라고 그는 말합니다. "안전하게 업무를 수행할 수 있다는 것을 보여줘야 합니다."

DXC의 보안 제어는 가능한 한 눈에 보이지 않도록 설계되었습니다. 스마트 기본값, 적응형 액세스, 내장된 AI를 통해 직원들은 새로운 위험을 초래하지 않고 신속하게 움직일 수 있습니다.

이러한 균형은 혁신을 위해 필수적입니다. "신뢰는 성장의 화폐입니다."라고 베이커는 말합니다. "우리 데이터와 고객의 데이터를 보호하지 못하면 성장을 위한 신뢰를 얻을 수 없습니다."

신뢰는 성장의 화폐입니다. 데이터와 고객의 데이터를 보호하지 못하면 성장을 위한 신뢰를 얻을 수 없습니다.

그렇기 때문에 DXC는 고객에게 제로 트러스트를 홍보하는 데 그치지 않고 자체 네트워크 인프라에 제로 트러스트를 적용하고 있습니다. 이것이 바로 베이커가 AI를 새로운 도구가 아닌 기본 역량으로 취급하는 이유이기도 합니다.

"공격자들은 이미 AI를 사용하여 공격을 가속화하고 있습니다."라고 그는 말합니다. "AI를 도입하지 않으면 기회를 놓칠 뿐만 아니라 책임도 져야 합니다."

속도와 규모에 맞는 비즈니스 보호

이사회는 가시성을 원합니다. 고객은 신뢰를 원합니다. 공격자들은 속도를 늦추지 않고 있습니다.

이러한 환경을 주도하기 위해 CISO는 비즈니스 성과에 부합하는 명확하고 일관된 전략이 필요합니다.

그렇기 때문에 Baker는 제로 트러스트와 AI를 두 배로 늘리고 있으며, 일루미오와 같은 파트너와 협력하여 AI 기반 가시성 및 제로 트러스트 제어를 통해 이러한 전략을 실현하고 있습니다.

보안 리더에게 전하는 그의 조언: "진짜 이야기를 들려주세요. 보안 투자가 비즈니스를 어떻게 보호하는지 보여주세요. 제로 트러스트와 같은 프레임워크와 AI와 같은 기능을 사용하여 전략의 타당성을 확보하세요."

결국 오늘날의 CISO는 시스템을 보호하는 것뿐만 아니라 성능 저하 없이 비즈니스의 복원력을 유지해야 합니다.

제로 트러스트 및 AI 전략을 실행에 옮길 준비가 되셨나요? 시작하기 일루미오 인사이트 무료 체험판 오늘.