"VentureBeat"에 실린 기사 "Forrester on cybersecurity budgeting: 2025 will be the year of CISO fiscal accountability"에서는 2025년 사이버 보안 예산 편성과 관련된 Forrester의 예측과 지침을 다루고 있으며, 특히 최고정보보안책임자(CISO)의 역할과 책임에 초점을 맞추고 있습니다.

CISO의 책임 증가

2025년에는 CISO들이 새로운 규제 요구로 인해 더 높은 책임을 지게 됩니다. 예를 들어, 미국 증권거래위원회(SEC)는 이제 기업들이 중요한 사이버 보안 사건을 발생 후 4영업일 이내에 보고하도록 요구하며, 사건의 성격, 발생 시간, 그리고 기업의 재무에 미친 영향에 대한 자세한 정보를 포함해야 합니다. 이러한 투명성과 보고 의무 증가는 CISO와 다른 고위 경영진에게 개인적인 책임을 더하게 됩니다.

예산 우선순위

Forrester는 2025년 사이버 보안 예산에서 특정 영역의 우선순위를 정하는 것의 중요성을 강조합니다. API 보안이 중요한 투자 분야로 선정되었으며, 이는 API 거버넌스 구축, 지속적인 API 탐지 및 목록화, 가장 중요한 API의 보안을 포함합니다. 자동 탐지 및 테스트를 제공하는 고급 API 보안 도구를 통해 취약점을 선제적으로 찾아내는 것이 권장됩니다.

기존 도구 최적화

예산이 tighter해짐에 따라 CISO들은 기존 보안 도구를 최적화하여 복잡성과 비용을 줄이는 것이 좋습니다. 이는 도구를 통합하고 남은 도구들이 보안 취약점을 해결하는 데 최대한 활용되도록 보장하는 것을 포함합니다. 새로운 사이버 위협에 대한 방어력을 강화하는 도구에 투자하는 것도 중요합니다.

클라우드 및 멀티-클라우드 환경

조직들이 점점 복잡한 하이브리드 및 멀티-클라우드 환경에서 운영됨에 따라 CISO들은 이러한 환경에 맞는 고급 탐지 및 대응 능력에 투자해야 합니다. 이는 위협을 신속히 완화하고 조직에 미치는 잠재적 영향을 줄이는 데 도움이 됩니다.

규제 준수 및 위험 관리

CISO들은 전략적 의사 결정에 더 많이 참여하여 사이버 보안 조치를 비즈니스 목표와 일치시키고, 이사회가 사이버 보안 위험 및 전략에 대해 잘 알고 있도록 해야 합니다. 반응적 위험 관리에서 예방적 위험 관리로의 초점 전환이 필요하며, 여기에는 포스처 관리, 패치 및 취약점 관리, 레드 팀 활동이 포함됩니다.

재정적 영향

기사에서는 2025년에 위반 관련 집단 소송 비용이 규제 벌금을 50% 초과할 것으로 예상된다고 언급하고 있습니다. 이는 CISO가 회사의 집단 소송 방어 기금에 기여해야 함을 의미하며, 데이터 유출의 재정적 영향이 더욱 중요해집니다.

요약하자면, 2025년은 CISO들이 증가된 규제 요구를 대응하고, API 보안 및 기타 중요 분야에 우선순위를 두며, 기존 보안 도구를 최적화하고, 복잡한 클라우드 환경을 관리해야 하는 해가 될 것입니다. 또한 이 모든 과정을 재정적 책임을 가지고 예방적인 위험 관리 전략을 실행해야 하는 해가 될 것입니다.