오늘날 사이버 보안 인력 부족에 대한 대화는 활동을 일으키고 있지만 결과는 제한적입니다. 일주일이 지날 때마다 위기를 한탄하는 기사, 연구, 소셜 미디어 스레드가 잇따라 등장하지 않는 경우는 거의 없습니다. 초급 직책 공고에는 시장 가격 이하의 보상에 대한 달성 불가능한 유니콘 수준의 요구 사항이 적혀 있고, 지원자들은 대학을 졸업한 첫 해에 무엇을 할지에 대한 비현실적인 기대를 가지고 있으며, 전반적인 기술 인력 시장과 함께 직장을 옮길 때의 번아웃 현상이 계속됩니다. 한편 대학, 엑셀러레이터, 멘토십 프로그램은 이 시장 기회에 뛰어들어 그 어느 때보다 더 많은 "특수 목적" 인재를 시장에 유입하고 있으며, 종종 "흥미롭고 수익성 있는" 경력에서 그들의 기술에 대한 수요가 급증할 것이라는 약속을 내걸고 있습니다. 인재 시장은 수년간 관심과 투자를 받아왔기 때문에 조정 신호를 보내야 하지만 대부분의 경우 그렇지 않습니다.
이는 보안에 있어서 실존적 문제입니다. 왜냐하면 기술은 보안 프로그램에 대한 새롭고 효율적인 솔루션을 제공하는 데 중요한 역할을 하지만, 보안 프로그램이 이러한 기술을 평가하고, 투자하고, 운영화하는 능력은 적절한 위치에 있는 우수한 인력의 가용성에 달려 있기 때문입니다. 기술 및 보안 공급업체는 시장을 앞서나가며 매년 더 큰 발전을 이루었고, 이는 인재를 유지하고 기술 확산에 발맞추기 위해 노력하는 고객으로부터 더 많은 투자를 요구합니다. 보안 공급업체가 자사 제품과 함께 관리형 서비스를 제공하고, 양쪽 모두에게 이익이 되는 방식으로 고객에게 즉시 비용 효율적으로 서비스를 제공하는 추세가 지속되면서 이러한 경향은 완화되고 있습니다. 그러나 기업은 여전히 이러한 투자를 합리화하고 환경이 변화함에 따라 적용 범위를 지속적으로 재평가해야 하는 과제에 직면해 있으며, 전적으로 관리형 서비스로 구성된 프로그램을 관리하는 소규모 보안 팀에 불과하더라도 전문성이 필요합니다.
"절대 잠들지 않는 건강에 해로운 스트레스를 받는 보안 책임자"라는 기괴한 농담이 여전히 통하지만, 고급 위협 행위자나 할리우드 스토리라인이 잠을 방해하는 경우는 드뭅니다. 팀이 괜찮은지, 팀이 필요한 것을 가지고 있는지, 적합한 사람이 적합한 역할에 있는지, 어떤 새로운 역할이나 사람이 필요한지, 동료 조직에서 팀의 신뢰성은 어떠한지, 임원 동료에서 리더의 신뢰성은 어떠한지 등과 같은 인간적인 질문입니다. 이는 보안 리더십에만 국한되지 않는 리더십 비용입니다. 이는 시장의 이야기에 어긋나고, 제가 보안 리더들이 기술 서적이나 보안 서적보다 비즈니스 및 관리 서적을 서로 추천하는 것을 더 자주 본다고 말하면 사람들은 놀랍니다. 네, 마지막으로 과장된 침해나 동료들이 기술 문제를 해결하는 방법에 대한 논의가 있지만, 성공적인 새로운 프로세스, 팀 구조 또는 커뮤니케이션 방법을 공유하는 것에 대한 흥분은 동등하거나 더 큽니다.
우리에게는 보안 기술과 리더십이 부족한 것이지, 보안 분야의 인재가 부족한 것은 아닙니다. 이는 모든 기업에서 회복성을 높이기 위해 반드시 확인해야 하는 광범위한 보안 인재 시장 조정을 늦추는 것이며, 1% 보안 프로그램의 기존 사일로에만 국한되지 않습니다. 예를 들어:
지난 5년 동안 우리는 규제 강화, 오픈 소스와 클라우드, BYOD(Bring Your Own Device)와 같은 기술 트렌드에 대한 기업 지출 급증, 랜섬웨어 사업의 호황, 기업 데이터 관리자의 심각한 데이터 오용 및 안전하지 못한 관행 등으로 인해 기업 내 보안 리더의 임원 역할이 강화되는 모습을 지켜봐 왔습니다. 이는 유명 기업 및 금융 스캔들에 대한 대응으로 Sarbanes-Oxley(SOX)법이 제정된 이후 기업이 재무 책임자와 함께 진행한 과정을 연상시키며, 이를 통해 임원진과 이사회에서 고유한 관점이 강화되었습니다. 보안 분야에서 제정된 조치는 아직 SOX의 엄격성을 달성하지 못했습니다. 향후 2년은 보안 및 개인정보 보호 규정의 지속적인 글로벌 확대와 이사회의 관심에 힘입어 보안 리더의 진전이 지속되는지, 아니면 거시경제적 환경으로 인해 기업이 기술 및 보안 투자를 재평가함에 따라 진전이 둔화되거나 후퇴하는지에 대해 알려줄 것입니다.
역사를 반복한다면 기업의 보안 및 안전 투자는 일반적으로 시장 상황과 상관관계가 있지만 그 영향은 일반적으로 상관관계가 없기 때문에 감속 또는 역전이 일어날 가능성이 높습니다. 이러한 비대칭성의 한 예는 방어자의 예산이 회사의 최고 수익이나 최저 수익에 따라 줄어든다는 것입니다. 이는 합리적일 수 있지만(수탁 책임), 공격자의 자금과 인센티브는 그렇지 않습니다. 문제는 보안 리더의 역할 정의, 기업 책임 및 개인 책임이 공개적으로 조사되는 동안 이런 일이 발생한다는 것입니다. 이러한 질문에 대한 바람직하지 않은 답변으로 인해 감속이나 퇴보가 심화되고, 보안 리더십 부족이 심화되어 더 넓은 보안 인재 풀에 파장이 생기면 보안 리더 중 일부는 회사나 역할에서 물러날 것이라고 예상하는 것이 합리적입니다. 보안 리더와 회사는 역풍이 가장 거세질 때가 아닌 지금 이러한 과제에 대해 논의하여 보안 리더십의 역할과 조직이 어떻게 발전할 수 있는지, 그리고 그것이 프로그램과 직원의 지속 가능성에 어떤 의미를 갖는지 이해해야 합니다.