세계적 수준의 CISO가 2023년에 더 많은 예산과 이사회 신뢰를 얻는 방법
이 기사는 에 처음 게재되었습니다. SC 매거진.여기에 업데이트 및 신디케이트되었습니다.
CISO는 점점 더 어려운 상황에 처해 있습니다. 즉, 더 많은 자산을 보호하고, 더 많은 코드를 배포하고, 더 큰 공격 대상을 줄이고, 급격히 줄어드는 재정 자원으로 이를 처리해야 합니다.사이버 보안이 비용 센터로 간주되고 있다는 것은 피할 수 없는 사실입니다. 조직의 보안 프로그램이 위협 행위자를 가로막아 내일의 끔찍한 헤드라인이 되고 있음에도 불구하고 보안 리더는 경영진이 이해할 수 있는 언어로 해당 부서의 전반적인 비즈니스 가치를 판매하고 입증하기 위해 더 많은 노력을 기울여야 합니다.
세계적 수준의 CISO는 이러한 상황에 대응하여 고객 신뢰와 브랜드 평판을 높이고 사용 가능한 모든 도구를 활용하여 부인할 수 없는 가치를 창출하는 포괄적인 보안 프로그램을 주도하고 있습니다.보안 우수성을 유지하기 위한 시간, 자원 또는 인력이 충분하지 않다는 사고방식을 버리고 일반적인 보안 위험에 대한 전략적이고 예방적인 접근 방식으로 시작됩니다.
이사회실에서 토론을 변경하세요.
현재의 경제 상황에서 지출하는 비용, 고용 규모, 비즈니스 목표에 미치는 전략적 영향에 대한 조사를 피하는 기업과 부서는 거의 없습니다.현대 기업에 광범위한 사이버 보안 프로그램이 필요하다는 것은 당연한 일처럼 보일 수 있지만, 이는 조직에 상당한 비용을 초래하므로 투자 수익률 (ROI) 측면에서 정당화하기란 쉽지 않습니다.
최고 경영진 및 이사회 이해관계자들은 투자 사이버 보안 이니셔티브의 예상 성과를 스프레드시트의 수치와는 차원이 다른 용어로 명확하게 이해해야 합니다.CISO는 기술 지식과 이해 수준이 서로 다르므로 CISO는 접근 가능한 메시지로 자신의 사례를 제시하기 위해 노력해야 합니다.동급 최고의 사례를 제시하기 위해 프로그램의 규모, 보호가 필요한 사항, 활성화해야 할 대상을 설명하십시오.공격이 증가하고 있습니다. 하지만 예산이 이를 따라가지 못하고 있습니다.그리고 선한 싸움에 맞서 싸우는 것은 그 장점을 정당화하기 위한 구두 캠페인에서 시작됩니다.
업종을 불문하고 모든 회사가 빠르게 기술 회사로 변모하고 있다고 오랫동안 말해왔습니다.대부분의 조직에서 디지털 우선 접근 방식이 일반적이기 때문에, 이는 당시에 제공할 수 있는 최상의 보호가 필요한 대규모 공격 대상 영역입니다.보안 리더는 여러 가지 역할을 담당하지만 (너무 늦기 전까지는) 간과되고 있는 것은 이들이 본질적으로 고객 신뢰의 수호자라는 사실입니다.이는 가치 제안으로서 아무리 강조해도 지나치지 않으며 영업 및 마케팅 목표 못지않게 중요합니다.
보안에 대한 예방적 접근 방식의 가치를 입증하십시오.
최신 사이버 보안 통계 머리를 기르는 사람이야하지만 FUD를 이용하고 겁을 주는 것은 일반적으로 더 많은 예산을 확보하는 데 있어 쓸데없는 전술입니다.기업 경영진 중 사이버 보안이 우선 순위가 아니라고 주장하는 사람은 거의 없을 것입니다. 하지만 더 나은 결과를 위해 기존 리소스를 활용하는 진취적인 전략이 제시된다면 예산 증액을 수용할 가능성이 훨씬 더 높습니다.
노이스타 국제 안전 보장 이사회의 최근 연구에 따르면 기업의 50% 에 불과합니다. 알려진 사이버 보안 문제를 해결하기에 충분한 예산이 있다고 생각합니다.그리고 글로벌 사이버 공격과 함께 38% 증가했습니다. 2021년에서 2022년 사이에 이는 일반 CISO에게 훨씬 더 어려운 여정이 될 것입니다.하지만 진정한 세계적 수준의 보안 리더는 이러한 문제를 극복하고 역경을 헤쳐나갈 수 있는 역량을 갖추고 있습니다.
대부분의 시나리오에서 예방은 치료보다 쉽고 간단하며 사이버 보안도 다르지 않습니다.총체적 보안 프로그램은 사후 대응 조치를 뛰어넘어 취약성 관리까지 확장해야 합니다. 많은 CISO가 가장 우려하는 세 가지 문제 중 하나개발자가 이러한 움직임에 없어서는 안될 부분이라는 것은 당연합니다.일반적인 보안 버그를 정면으로 해결하려면 실습 교육이 필요합니다. 이를 통해 이러한 문제를 근원적으로 제거하고 애초에 프로덕션 환경에 진입하지 못하게 할 수 있습니다.지금은 품질이 낮고 안전하지 않은 코드를 계속 용서할 수 없는 시점에 이르렀습니다. 개발 집단의 숙련도를 높이는 것이 코드 수준의 취약점을 해결하는 가장 비용 효율적이고 강력한 해결책입니다.
CISO는 기존 예산을 유지하기 위해 고군분투하는 것이 중요하며, 특히 개발자를 위한 역할 기반 보안 업스킬링의 이점을 자세히 설명하는 것이 다루기 힘든 보안 기술 스택에 다음 “은총알”을 추가하는 것보다 더 빠른 승리입니다.
보안은 브랜드 기본 사항의 일부가 되어야 합니다.
대부분의 CISO는 마케팅에 대한 열정을 발휘하기 위해 자신의 역할을 맡지는 않았지만, 적어도 돈줄을 쥐고 있는 사람들에게 사례를 제시할 때는 이 부분을 담당할 수 있는 영역 중 하나입니다.
사이버 보안 프로그램이 고객 신뢰와 브랜드 충성도에 미치는 영향은 아무리 강조해도 지나치지 않습니다. 대규모 보안 침해로 인해 성경에 나오는 내용이 크게 유출될 수 있습니다.이와 반대로, 엄격한 보안 관행을 핵심 브랜드 가치와 연계하면 데이터 프라이버시 및 보호가 단순히 최우선이 아니라 고객이 신뢰할 수 있는 대상이라는 분명한 메시지를 전달할 수 있습니다.
현대의 CISO는 지속적인 긍정적인 고객 감정 및 신뢰와 관련된 보안 전략 및 정책의 경쟁 우위를 강조하는 데 시간을 할애하는 것이 중요합니다. 사후 보안만으로는 동일한 영향을 미치지 않으며, 사용 가능한 모든 리소스로 특권 자산을 보호하는 데 초점을 맞춘 균형 잡힌 접근 방식이 궁극적인 차별화 요소가 될 수 있습니다.
더 이상 변명의 여지가 없지만, CISO가 진정으로 혁신적인 보안 전략을 위한 적절한 자금 조달을 모색하면서 강조할 수 있는 설득력 있는 이유는 많습니다.
CISO는 점점 더 어려운 상황에 처해 있습니다. 즉, 더 많은 자산을 보호하고, 더 많은 코드를 배포하고, 더 큰 공격 대상을 줄이고, 급격히 줄어드는 재정 자원으로 이를 처리해야 합니다.사이버 보안이 비용 센터로 간주되고 있다는 것은 피할 수 없는 사실입니다. 조직의 보안 프로그램이 위협 행위자를 가로막아 내일의 끔찍한 헤드라인이 되고 있음에도 불구하고 보안 리더는 경영진이 이해할 수 있는 언어로 해당 부서의 전반적인 비즈니스 가치를 판매하고 입증하기 위해 더 많은 노력을 기울여야 합니다.
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并帮助组织建立将网络安全置于首位的文化。无论您是应用安全管理员、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能协助您的组织降低与不安全代码相关的风险。
预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
이 기사는 에 처음 게재되었습니다. SC 매거진.여기에 업데이트 및 신디케이트되었습니다.
CISO는 점점 더 어려운 상황에 처해 있습니다. 즉, 더 많은 자산을 보호하고, 더 많은 코드를 배포하고, 더 큰 공격 대상을 줄이고, 급격히 줄어드는 재정 자원으로 이를 처리해야 합니다.사이버 보안이 비용 센터로 간주되고 있다는 것은 피할 수 없는 사실입니다. 조직의 보안 프로그램이 위협 행위자를 가로막아 내일의 끔찍한 헤드라인이 되고 있음에도 불구하고 보안 리더는 경영진이 이해할 수 있는 언어로 해당 부서의 전반적인 비즈니스 가치를 판매하고 입증하기 위해 더 많은 노력을 기울여야 합니다.
세계적 수준의 CISO는 이러한 상황에 대응하여 고객 신뢰와 브랜드 평판을 높이고 사용 가능한 모든 도구를 활용하여 부인할 수 없는 가치를 창출하는 포괄적인 보안 프로그램을 주도하고 있습니다.보안 우수성을 유지하기 위한 시간, 자원 또는 인력이 충분하지 않다는 사고방식을 버리고 일반적인 보안 위험에 대한 전략적이고 예방적인 접근 방식으로 시작됩니다.
이사회실에서 토론을 변경하세요.
현재의 경제 상황에서 지출하는 비용, 고용 규모, 비즈니스 목표에 미치는 전략적 영향에 대한 조사를 피하는 기업과 부서는 거의 없습니다.현대 기업에 광범위한 사이버 보안 프로그램이 필요하다는 것은 당연한 일처럼 보일 수 있지만, 이는 조직에 상당한 비용을 초래하므로 투자 수익률 (ROI) 측면에서 정당화하기란 쉽지 않습니다.
최고 경영진 및 이사회 이해관계자들은 투자 사이버 보안 이니셔티브의 예상 성과를 스프레드시트의 수치와는 차원이 다른 용어로 명확하게 이해해야 합니다.CISO는 기술 지식과 이해 수준이 서로 다르므로 CISO는 접근 가능한 메시지로 자신의 사례를 제시하기 위해 노력해야 합니다.동급 최고의 사례를 제시하기 위해 프로그램의 규모, 보호가 필요한 사항, 활성화해야 할 대상을 설명하십시오.공격이 증가하고 있습니다. 하지만 예산이 이를 따라가지 못하고 있습니다.그리고 선한 싸움에 맞서 싸우는 것은 그 장점을 정당화하기 위한 구두 캠페인에서 시작됩니다.
업종을 불문하고 모든 회사가 빠르게 기술 회사로 변모하고 있다고 오랫동안 말해왔습니다.대부분의 조직에서 디지털 우선 접근 방식이 일반적이기 때문에, 이는 당시에 제공할 수 있는 최상의 보호가 필요한 대규모 공격 대상 영역입니다.보안 리더는 여러 가지 역할을 담당하지만 (너무 늦기 전까지는) 간과되고 있는 것은 이들이 본질적으로 고객 신뢰의 수호자라는 사실입니다.이는 가치 제안으로서 아무리 강조해도 지나치지 않으며 영업 및 마케팅 목표 못지않게 중요합니다.
보안에 대한 예방적 접근 방식의 가치를 입증하십시오.
최신 사이버 보안 통계 머리를 기르는 사람이야하지만 FUD를 이용하고 겁을 주는 것은 일반적으로 더 많은 예산을 확보하는 데 있어 쓸데없는 전술입니다.기업 경영진 중 사이버 보안이 우선 순위가 아니라고 주장하는 사람은 거의 없을 것입니다. 하지만 더 나은 결과를 위해 기존 리소스를 활용하는 진취적인 전략이 제시된다면 예산 증액을 수용할 가능성이 훨씬 더 높습니다.
노이스타 국제 안전 보장 이사회의 최근 연구에 따르면 기업의 50% 에 불과합니다. 알려진 사이버 보안 문제를 해결하기에 충분한 예산이 있다고 생각합니다.그리고 글로벌 사이버 공격과 함께 38% 증가했습니다. 2021년에서 2022년 사이에 이는 일반 CISO에게 훨씬 더 어려운 여정이 될 것입니다.하지만 진정한 세계적 수준의 보안 리더는 이러한 문제를 극복하고 역경을 헤쳐나갈 수 있는 역량을 갖추고 있습니다.
대부분의 시나리오에서 예방은 치료보다 쉽고 간단하며 사이버 보안도 다르지 않습니다.총체적 보안 프로그램은 사후 대응 조치를 뛰어넘어 취약성 관리까지 확장해야 합니다. 많은 CISO가 가장 우려하는 세 가지 문제 중 하나개발자가 이러한 움직임에 없어서는 안될 부분이라는 것은 당연합니다.일반적인 보안 버그를 정면으로 해결하려면 실습 교육이 필요합니다. 이를 통해 이러한 문제를 근원적으로 제거하고 애초에 프로덕션 환경에 진입하지 못하게 할 수 있습니다.지금은 품질이 낮고 안전하지 않은 코드를 계속 용서할 수 없는 시점에 이르렀습니다. 개발 집단의 숙련도를 높이는 것이 코드 수준의 취약점을 해결하는 가장 비용 효율적이고 강력한 해결책입니다.
CISO는 기존 예산을 유지하기 위해 고군분투하는 것이 중요하며, 특히 개발자를 위한 역할 기반 보안 업스킬링의 이점을 자세히 설명하는 것이 다루기 힘든 보안 기술 스택에 다음 “은총알”을 추가하는 것보다 더 빠른 승리입니다.
보안은 브랜드 기본 사항의 일부가 되어야 합니다.
대부분의 CISO는 마케팅에 대한 열정을 발휘하기 위해 자신의 역할을 맡지는 않았지만, 적어도 돈줄을 쥐고 있는 사람들에게 사례를 제시할 때는 이 부분을 담당할 수 있는 영역 중 하나입니다.
사이버 보안 프로그램이 고객 신뢰와 브랜드 충성도에 미치는 영향은 아무리 강조해도 지나치지 않습니다. 대규모 보안 침해로 인해 성경에 나오는 내용이 크게 유출될 수 있습니다.이와 반대로, 엄격한 보안 관행을 핵심 브랜드 가치와 연계하면 데이터 프라이버시 및 보호가 단순히 최우선이 아니라 고객이 신뢰할 수 있는 대상이라는 분명한 메시지를 전달할 수 있습니다.
현대의 CISO는 지속적인 긍정적인 고객 감정 및 신뢰와 관련된 보안 전략 및 정책의 경쟁 우위를 강조하는 데 시간을 할애하는 것이 중요합니다. 사후 보안만으로는 동일한 영향을 미치지 않으며, 사용 가능한 모든 리소스로 특권 자산을 보호하는 데 초점을 맞춘 균형 잡힌 접근 방식이 궁극적인 차별화 요소가 될 수 있습니다.
더 이상 변명의 여지가 없지만, CISO가 진정으로 혁신적인 보안 전략을 위한 적절한 자금 조달을 모색하면서 강조할 수 있는 설득력 있는 이유는 많습니다.
이 기사는 에 처음 게재되었습니다. SC 매거진.여기에 업데이트 및 신디케이트되었습니다.
CISO는 점점 더 어려운 상황에 처해 있습니다. 즉, 더 많은 자산을 보호하고, 더 많은 코드를 배포하고, 더 큰 공격 대상을 줄이고, 급격히 줄어드는 재정 자원으로 이를 처리해야 합니다.사이버 보안이 비용 센터로 간주되고 있다는 것은 피할 수 없는 사실입니다. 조직의 보안 프로그램이 위협 행위자를 가로막아 내일의 끔찍한 헤드라인이 되고 있음에도 불구하고 보안 리더는 경영진이 이해할 수 있는 언어로 해당 부서의 전반적인 비즈니스 가치를 판매하고 입증하기 위해 더 많은 노력을 기울여야 합니다.
세계적 수준의 CISO는 이러한 상황에 대응하여 고객 신뢰와 브랜드 평판을 높이고 사용 가능한 모든 도구를 활용하여 부인할 수 없는 가치를 창출하는 포괄적인 보안 프로그램을 주도하고 있습니다.보안 우수성을 유지하기 위한 시간, 자원 또는 인력이 충분하지 않다는 사고방식을 버리고 일반적인 보안 위험에 대한 전략적이고 예방적인 접근 방식으로 시작됩니다.
이사회실에서 토론을 변경하세요.
현재의 경제 상황에서 지출하는 비용, 고용 규모, 비즈니스 목표에 미치는 전략적 영향에 대한 조사를 피하는 기업과 부서는 거의 없습니다.현대 기업에 광범위한 사이버 보안 프로그램이 필요하다는 것은 당연한 일처럼 보일 수 있지만, 이는 조직에 상당한 비용을 초래하므로 투자 수익률 (ROI) 측면에서 정당화하기란 쉽지 않습니다.
최고 경영진 및 이사회 이해관계자들은 투자 사이버 보안 이니셔티브의 예상 성과를 스프레드시트의 수치와는 차원이 다른 용어로 명확하게 이해해야 합니다.CISO는 기술 지식과 이해 수준이 서로 다르므로 CISO는 접근 가능한 메시지로 자신의 사례를 제시하기 위해 노력해야 합니다.동급 최고의 사례를 제시하기 위해 프로그램의 규모, 보호가 필요한 사항, 활성화해야 할 대상을 설명하십시오.공격이 증가하고 있습니다. 하지만 예산이 이를 따라가지 못하고 있습니다.그리고 선한 싸움에 맞서 싸우는 것은 그 장점을 정당화하기 위한 구두 캠페인에서 시작됩니다.
업종을 불문하고 모든 회사가 빠르게 기술 회사로 변모하고 있다고 오랫동안 말해왔습니다.대부분의 조직에서 디지털 우선 접근 방식이 일반적이기 때문에, 이는 당시에 제공할 수 있는 최상의 보호가 필요한 대규모 공격 대상 영역입니다.보안 리더는 여러 가지 역할을 담당하지만 (너무 늦기 전까지는) 간과되고 있는 것은 이들이 본질적으로 고객 신뢰의 수호자라는 사실입니다.이는 가치 제안으로서 아무리 강조해도 지나치지 않으며 영업 및 마케팅 목표 못지않게 중요합니다.
보안에 대한 예방적 접근 방식의 가치를 입증하십시오.
최신 사이버 보안 통계 머리를 기르는 사람이야하지만 FUD를 이용하고 겁을 주는 것은 일반적으로 더 많은 예산을 확보하는 데 있어 쓸데없는 전술입니다.기업 경영진 중 사이버 보안이 우선 순위가 아니라고 주장하는 사람은 거의 없을 것입니다. 하지만 더 나은 결과를 위해 기존 리소스를 활용하는 진취적인 전략이 제시된다면 예산 증액을 수용할 가능성이 훨씬 더 높습니다.
노이스타 국제 안전 보장 이사회의 최근 연구에 따르면 기업의 50% 에 불과합니다. 알려진 사이버 보안 문제를 해결하기에 충분한 예산이 있다고 생각합니다.그리고 글로벌 사이버 공격과 함께 38% 증가했습니다. 2021년에서 2022년 사이에 이는 일반 CISO에게 훨씬 더 어려운 여정이 될 것입니다.하지만 진정한 세계적 수준의 보안 리더는 이러한 문제를 극복하고 역경을 헤쳐나갈 수 있는 역량을 갖추고 있습니다.
대부분의 시나리오에서 예방은 치료보다 쉽고 간단하며 사이버 보안도 다르지 않습니다.총체적 보안 프로그램은 사후 대응 조치를 뛰어넘어 취약성 관리까지 확장해야 합니다. 많은 CISO가 가장 우려하는 세 가지 문제 중 하나개발자가 이러한 움직임에 없어서는 안될 부분이라는 것은 당연합니다.일반적인 보안 버그를 정면으로 해결하려면 실습 교육이 필요합니다. 이를 통해 이러한 문제를 근원적으로 제거하고 애초에 프로덕션 환경에 진입하지 못하게 할 수 있습니다.지금은 품질이 낮고 안전하지 않은 코드를 계속 용서할 수 없는 시점에 이르렀습니다. 개발 집단의 숙련도를 높이는 것이 코드 수준의 취약점을 해결하는 가장 비용 효율적이고 강력한 해결책입니다.
CISO는 기존 예산을 유지하기 위해 고군분투하는 것이 중요하며, 특히 개발자를 위한 역할 기반 보안 업스킬링의 이점을 자세히 설명하는 것이 다루기 힘든 보안 기술 스택에 다음 “은총알”을 추가하는 것보다 더 빠른 승리입니다.
보안은 브랜드 기본 사항의 일부가 되어야 합니다.
대부분의 CISO는 마케팅에 대한 열정을 발휘하기 위해 자신의 역할을 맡지는 않았지만, 적어도 돈줄을 쥐고 있는 사람들에게 사례를 제시할 때는 이 부분을 담당할 수 있는 영역 중 하나입니다.
사이버 보안 프로그램이 고객 신뢰와 브랜드 충성도에 미치는 영향은 아무리 강조해도 지나치지 않습니다. 대규모 보안 침해로 인해 성경에 나오는 내용이 크게 유출될 수 있습니다.이와 반대로, 엄격한 보안 관행을 핵심 브랜드 가치와 연계하면 데이터 프라이버시 및 보호가 단순히 최우선이 아니라 고객이 신뢰할 수 있는 대상이라는 분명한 메시지를 전달할 수 있습니다.
현대의 CISO는 지속적인 긍정적인 고객 감정 및 신뢰와 관련된 보안 전략 및 정책의 경쟁 우위를 강조하는 데 시간을 할애하는 것이 중요합니다. 사후 보안만으로는 동일한 영향을 미치지 않으며, 사용 가능한 모든 리소스로 특권 자산을 보호하는 데 초점을 맞춘 균형 잡힌 접근 방식이 궁극적인 차별화 요소가 될 수 있습니다.
더 이상 변명의 여지가 없지만, CISO가 진정으로 혁신적인 보안 전략을 위한 적절한 자금 조달을 모색하면서 강조할 수 있는 설득력 있는 이유는 많습니다.
点击下方链接下载此资源的PDF文件。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并帮助组织建立将网络安全置于首位的文化。无论您是应用安全管理员、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能协助您的组织降低与不安全代码相关的风险。
查看报告预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
이 기사는 에 처음 게재되었습니다. SC 매거진.여기에 업데이트 및 신디케이트되었습니다.
CISO는 점점 더 어려운 상황에 처해 있습니다. 즉, 더 많은 자산을 보호하고, 더 많은 코드를 배포하고, 더 큰 공격 대상을 줄이고, 급격히 줄어드는 재정 자원으로 이를 처리해야 합니다.사이버 보안이 비용 센터로 간주되고 있다는 것은 피할 수 없는 사실입니다. 조직의 보안 프로그램이 위협 행위자를 가로막아 내일의 끔찍한 헤드라인이 되고 있음에도 불구하고 보안 리더는 경영진이 이해할 수 있는 언어로 해당 부서의 전반적인 비즈니스 가치를 판매하고 입증하기 위해 더 많은 노력을 기울여야 합니다.
세계적 수준의 CISO는 이러한 상황에 대응하여 고객 신뢰와 브랜드 평판을 높이고 사용 가능한 모든 도구를 활용하여 부인할 수 없는 가치를 창출하는 포괄적인 보안 프로그램을 주도하고 있습니다.보안 우수성을 유지하기 위한 시간, 자원 또는 인력이 충분하지 않다는 사고방식을 버리고 일반적인 보안 위험에 대한 전략적이고 예방적인 접근 방식으로 시작됩니다.
이사회실에서 토론을 변경하세요.
현재의 경제 상황에서 지출하는 비용, 고용 규모, 비즈니스 목표에 미치는 전략적 영향에 대한 조사를 피하는 기업과 부서는 거의 없습니다.현대 기업에 광범위한 사이버 보안 프로그램이 필요하다는 것은 당연한 일처럼 보일 수 있지만, 이는 조직에 상당한 비용을 초래하므로 투자 수익률 (ROI) 측면에서 정당화하기란 쉽지 않습니다.
최고 경영진 및 이사회 이해관계자들은 투자 사이버 보안 이니셔티브의 예상 성과를 스프레드시트의 수치와는 차원이 다른 용어로 명확하게 이해해야 합니다.CISO는 기술 지식과 이해 수준이 서로 다르므로 CISO는 접근 가능한 메시지로 자신의 사례를 제시하기 위해 노력해야 합니다.동급 최고의 사례를 제시하기 위해 프로그램의 규모, 보호가 필요한 사항, 활성화해야 할 대상을 설명하십시오.공격이 증가하고 있습니다. 하지만 예산이 이를 따라가지 못하고 있습니다.그리고 선한 싸움에 맞서 싸우는 것은 그 장점을 정당화하기 위한 구두 캠페인에서 시작됩니다.
업종을 불문하고 모든 회사가 빠르게 기술 회사로 변모하고 있다고 오랫동안 말해왔습니다.대부분의 조직에서 디지털 우선 접근 방식이 일반적이기 때문에, 이는 당시에 제공할 수 있는 최상의 보호가 필요한 대규모 공격 대상 영역입니다.보안 리더는 여러 가지 역할을 담당하지만 (너무 늦기 전까지는) 간과되고 있는 것은 이들이 본질적으로 고객 신뢰의 수호자라는 사실입니다.이는 가치 제안으로서 아무리 강조해도 지나치지 않으며 영업 및 마케팅 목표 못지않게 중요합니다.
보안에 대한 예방적 접근 방식의 가치를 입증하십시오.
최신 사이버 보안 통계 머리를 기르는 사람이야하지만 FUD를 이용하고 겁을 주는 것은 일반적으로 더 많은 예산을 확보하는 데 있어 쓸데없는 전술입니다.기업 경영진 중 사이버 보안이 우선 순위가 아니라고 주장하는 사람은 거의 없을 것입니다. 하지만 더 나은 결과를 위해 기존 리소스를 활용하는 진취적인 전략이 제시된다면 예산 증액을 수용할 가능성이 훨씬 더 높습니다.
노이스타 국제 안전 보장 이사회의 최근 연구에 따르면 기업의 50% 에 불과합니다. 알려진 사이버 보안 문제를 해결하기에 충분한 예산이 있다고 생각합니다.그리고 글로벌 사이버 공격과 함께 38% 증가했습니다. 2021년에서 2022년 사이에 이는 일반 CISO에게 훨씬 더 어려운 여정이 될 것입니다.하지만 진정한 세계적 수준의 보안 리더는 이러한 문제를 극복하고 역경을 헤쳐나갈 수 있는 역량을 갖추고 있습니다.
대부분의 시나리오에서 예방은 치료보다 쉽고 간단하며 사이버 보안도 다르지 않습니다.총체적 보안 프로그램은 사후 대응 조치를 뛰어넘어 취약성 관리까지 확장해야 합니다. 많은 CISO가 가장 우려하는 세 가지 문제 중 하나개발자가 이러한 움직임에 없어서는 안될 부분이라는 것은 당연합니다.일반적인 보안 버그를 정면으로 해결하려면 실습 교육이 필요합니다. 이를 통해 이러한 문제를 근원적으로 제거하고 애초에 프로덕션 환경에 진입하지 못하게 할 수 있습니다.지금은 품질이 낮고 안전하지 않은 코드를 계속 용서할 수 없는 시점에 이르렀습니다. 개발 집단의 숙련도를 높이는 것이 코드 수준의 취약점을 해결하는 가장 비용 효율적이고 강력한 해결책입니다.
CISO는 기존 예산을 유지하기 위해 고군분투하는 것이 중요하며, 특히 개발자를 위한 역할 기반 보안 업스킬링의 이점을 자세히 설명하는 것이 다루기 힘든 보안 기술 스택에 다음 “은총알”을 추가하는 것보다 더 빠른 승리입니다.
보안은 브랜드 기본 사항의 일부가 되어야 합니다.
대부분의 CISO는 마케팅에 대한 열정을 발휘하기 위해 자신의 역할을 맡지는 않았지만, 적어도 돈줄을 쥐고 있는 사람들에게 사례를 제시할 때는 이 부분을 담당할 수 있는 영역 중 하나입니다.
사이버 보안 프로그램이 고객 신뢰와 브랜드 충성도에 미치는 영향은 아무리 강조해도 지나치지 않습니다. 대규모 보안 침해로 인해 성경에 나오는 내용이 크게 유출될 수 있습니다.이와 반대로, 엄격한 보안 관행을 핵심 브랜드 가치와 연계하면 데이터 프라이버시 및 보호가 단순히 최우선이 아니라 고객이 신뢰할 수 있는 대상이라는 분명한 메시지를 전달할 수 있습니다.
현대의 CISO는 지속적인 긍정적인 고객 감정 및 신뢰와 관련된 보안 전략 및 정책의 경쟁 우위를 강조하는 데 시간을 할애하는 것이 중요합니다. 사후 보안만으로는 동일한 영향을 미치지 않으며, 사용 가능한 모든 리소스로 특권 자산을 보호하는 데 초점을 맞춘 균형 잡힌 접근 방식이 궁극적인 차별화 요소가 될 수 있습니다.
더 이상 변명의 여지가 없지만, CISO가 진정으로 혁신적인 보안 전략을 위한 적절한 자금 조달을 모색하면서 강조할 수 있는 설득력 있는 이유는 많습니다.
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并帮助组织建立将网络安全置于首位的文化。无论您是应用安全管理员、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能协助您的组织降低与不安全代码相关的风险。
预约演示下载
%20(1).avif)
.avif)
