[사이버보안에 있어서 다양성과 포용의 필요성]
요즘에 기업과 정부기관에서 중요한 변화가 있습니다. 그건 디지털 시대로 변화됨에 따라 클라우드로 전환을 하는 것 입니다. 그래서 사이버 보안은 많은 기업들과 산업들에 있어서 우선적이고 중요한 위치가 되어 버렸습니다.
보안을을 이야기 할때면, 결국 우리는지켜야 하는 앱과 데이터, 인프라등을 지키기 위한 보안의 툴과 기술들에 주로 집중을 합니다. 하지만, 우리는 그 보안업에 종사하는 사람들의 능력에 대해서 이야기 하는 경우는 드물곤 합니다. 우리는 사이버 보안에 있어서 직원들의 좋지 못한 행동들을 보고 그에 대해 이야기를 하고 그들을 지속적으로 훈련시키는 방법에 대해서도 고민을 해야 합니다.
그러나 핵심에는 모든 사이버 보안의 프로그램을 구성하고 노력하는 보안 팀원들이 있습니다. 그들은 보안의 전략과 프로세스를 함께 디자인 하며 협동을 하기 때문에 다시말해 이 사람들이야 말로 대단한 디지털 전환의 여정과 그 안에서의 안전함을 위해서는 중요합니다. 많은 사이버 보안엔 대한 논의에서 중요하지만 간과되는 보안팀의 다양성과 포용에 대해서 이야기 해보려 합니다.
Why You Need a Diversity and Inclusion Program in Cybersecurity
This is a time of major changes for businesses and agencies. That includes the move to the cloud and the shift to being digital-first. So, cybersecurity has moved to a front-and-center position in many companies and industries.
When talking about security, it’s easy to focus on the tools and technologies. After all, they’re what we use to keep apps, data and infrastructure secure. And when we do talk about people, it’s often about the skills. Once in a while, we focus on how employees often contribute to cyberattacks with poor cyber habits and need ongoing cybersecurity training.
But at the core of all cybersecurity programs and efforts is a team of people. They work together to design the processes and strategy. In short, people are at the heart of the larger digital transformation and the related digital safety efforts. And many cybersecurity discussions overlook the importance of creating a diverse and inclusive team.
[사이버 보안에 있어서 D&I (다양성과 포용성) 문화가 있어야 하는 이유]
우리는 D&I 주제에 대해서 IBM 부회장이자 보안 컨설팅 및 시스템 통합부서의 파트너 매니저인 Dimple Ahluwalia와 이야기를 나누어 보았습니다. 이 대화를 통해 우리는 왜 D&I 전략이 사이버 보안의 효용을 높이고 직원의 근속연수를 높이는데 중요한 기업의 요소 중 하나인지를 더 이해할 수 있었습니다. 그녀는 사이버 보안 산업 포용성과 다양성 문화를 높이기 위해 직원을 채용하는 방법에 있어서 어떤 방식으로 넓은 시각을 가질수 있는지를 공유해 주었습니다.
Why Add a Diversity and Inclusion Program in Cybersecurity
We spoke with Dimple Ahluwalia, IBM’s VP and managing partner, security consulting & systems integration, to understand more about why a Diversity & Inclusion (D&I) strategy is critical to organizations’ success both in terms of employee retention and cybersecurity effectiveness. She shares how we need to expand our view of recruiting and hiring to improve D&I in the cybersecurity industry.
------- Q&A --------
[ Q: 특히 사이버보안팀에서 다양성이라는 요소가 중요할까요? ]
A: 사이버 보안은 문제를 해결하는것에서 시작합니다. 사람들은 자신들의 관점을 기초로 상황을 다르게 분석합니다. 예를 들면, 만약 우리가 SNS를 다루려 한다면, 다양한 경험과 시각을 통해 상황을 분석하는 능력이 필요하며, 혹시라도 우리가 놓칠 수 있는 것도 파악해야 합니다. 다양한 배경을 가진 사람들이 정보도 다르게 분석하고, 다르게 이 상황을 커뮤니케이션 할 지도 모릅니다. 만약 팀에서 커뮤니케이션을 잘 할 수 있는 사람이 있다면, 직원과 팀의 리더와 같은 매니저 분에게 문제상황을 쉽게 소통할 것입니다. 이러한 것은 조직내의 보안의 어려움을 더 분명하게 이해하는 데 도움을 줄 것이며, 현재 보안의 상황을 대선시키는 방향으로 더 나은 결과를 도출해 낼 수 있게 합니다.
우리가 쉽게 이야기 하면, 자폐아, ADHD와 같은 다른 능력을 가진 사람들은 어려운 상황을 더 특별하게 해결해 나갈 수 있습니다. 몇 몇은 겉보기에는 관련성 없어 보이는 데이터침입 위험과 같은 데이터 안에서 위험신호의 패턴을 찾아내는 능력의 재능을 갖고 있기도 합니다. 반면에 또 다른 섬세한 사람들은 손쉽게 앱을 테스트를 하면서 그 안에서 자신들의 능력을 발휘합니다. 이렇게 각자 고유의 재능을 갖고 있는 보안 팀원들과 함께 하는 것이 더 나은 통찰력과 상관관계를 분석하는 것을 도움을 주고, 자동화된 시스템이 더 잘 돌아갈 수 있도록 할 수 있습니다.
우리는 사람들의 강점에 대해서 생각해볼 필요가 있습니다. 사이버 공간은 단순히 기술이 아니며 이 안에는 기술, 사람, 프로세스가 모두 녹아져 있습니다. 연속적인 상황을 통해서 사람들이 생각을 할 수 있는 능력을 제공하는 프로세스 또한 중요합니다. 기술적인 것은 중요하고 의미가 있을 수 있지만 시간과 노력을 들여 이러한 기술을 가질 수 있게 잘 교육시켜야 합니다. 우리는 우리스스로 기술력 있는 사람을 채용하는 것에만 생각에 제한을 두어서는 되지 않습니다.
Q: Why is it important to add diversity to cybersecurity teams?
A: Cybersecurity starts with solving problems. People analyze situations differently, based on their own perspectives. For example, if we are trying to tackle social engineering, we need diversity of experience and thought to view the situation through different lenses and explore what we may be missing. Different people may also interpret information and communicate things differently. Having a strong communicator on the team can help translate technical info into terms that both employees and business leaders alike can easily understand. This can provide a clearer understanding of an organization’s security challenges and help drive desired outcomes, including improving cybersecurity posture.
We also need neurodiversity simply because different minds think differently. Some people are gifted with the ability to see patterns in seemingly unrelated data that could potentially show signs of data breaches. Others are more detail-oriented, which could come in handy when looking at test cases for applications. Having security team members with unique skills may provide additional insights and correlations that validate findings and could help further tune automated systems.
We need to go back to taking a good look at people’s strengths. Cyber is not just about technology. It involves people, processes and technology. The people aspect is huge. Process, which is making sure people are involved who have the ability to think through situations sequentially or how things will be influenced, is crucial. While technical skills are important and helpful, they can be taught with time and effort. We shouldn’t limit ourselves to only hiring those with top training on the technology side.
[ Q. 하나의 산업분야로써 사이버보안의 다양성과 포용성을 개선시키기 위해 첫번째로 무엇을 해야 할까요? ]
A: 우리는 잠재성 있는 보안 전문가의 범위에 들어갈 수 있는 채용후보자의 범위를 넓혀서 생각 할 필요가 있습니다. 사이버 보안은 4년재 학위를 가지고 있지 않은 사람을 채용하였을 때 이점이 있을 수 있는 산업분야 중에 하나로, 우리는 이러한 점을 최대한 이용할 필요가 있습니다. 저는 학과 내에 사이버보안의 커리큘럼을 추가하고, 학생들이 현장에서 참여할 수 있는 기회를 찾을 수 있도록 돕고, 실제로 인턴을 할 수 있도록 도움을 주는 기존의 방법을 계속 해야 한다고 생각합니다. 하지만 더 나아가서, 지원자들이 어떤 가능성을 갖고 있는지 스스로 확신하고 그들의 기술이 회사에 어떻게 잘 녹여질 수 있는지에 대한 사로운 평가 지표도 필요하다고 생각합니다.
공동체의 구성원으로써 사이버 보안에 대해서 기존의 고정관념에서 벗어나 새로운 채용 방식이 필요하다는 것을 이야기 하는 것인데, 우리는 다른 환경에서 자란 새로운 능력을 가진 사람을 찾을 필요가 있습니다. 예를 들면, 저는 최근에 최소한의 학사학위를 갖고 있지 않는 사람은 채용을 하지 않는 고객사를 만나 본 적이 있으며, 반면에 군대에서 오랫동안 위협헌팅과 관련된 경험을 해본 군인과 일을 해 보았습니다. 그 군인의 경우, 군대를 벗어났을때 그에게 서비스 업으로 웨이터가 최선의 이후의 직업 커리어라고 조언을 한 사람도 있었다고 합니다. 다행히도 그분은 그러한 충고를 무시하고 IT 회사에 지원하였고, 결국에 위헙헌팅 팀에서 일을 하였습니다.
우리가 기존의 전통적인 분야에서 부터 더 재능을 발견하고 발전시키는 방법을 찾을 필요 합니다. 그래서 우리는 오늘날에 행해지고 있는 기본적인 역할에서 벗어나 생각하고 미래의 중요한 역할에 열린 마음으로 임할 필요가 있습니다.
Q: What is the first step that cybersecurity as an industry should take to improve overall D&I?
A: We need to start by expanding the application pool to a much broader range of potential cybersecurity professionals. Cybersecurity is one industry that benefits from being able to recruit individuals who don’t have a four-year college degree — and we need to capitalize on that. I believe we need to continue with traditional activities, such as adding cybersecurity curriculums in schools, helping students find and engage in practical opportunities and providing apprenticeships. But we need to go even further, especially in terms of assessments that help people determine what opportunities are available and how their skills translate.
We, as a community, need to get out of the mindset that new hires for cybersecurity should fit neatly into one box or another. We need to start thinking outside of the box and looking for raw, untapped talent in a variety of places. For example, I recently met with a client who is not allowed to hire anyone who doesn’t have at least a bachelor’s degree. This very specific requirement and closed-minded thinking could be costing the organization tremendous talent. I also worked with a professional who gained unique skills related to threat hunting while serving multiple tours in the military. When he left the military, he was advised by transitioning services that he should work in hospitality as a waiter. Luckily, he ignored that advice and applied to an IT company that took a chance on him. He eventually served on their internal threat team.
We need to find a way to identify and nurture talent from unconventional fields. We need to look beyond the roles we need to fill today and be more open-minded to fill the roles of the future.
[ Q. D&I 문화를 발전시키려는 노력을 하는데 어떤 조언이 있을까요? ]
A: D&I라는 것은 조직이 작동되는 방식에 있어서 새롭게 도전하는 것에서 부터 시작합니다. 많은 리더들은 D&I 문화가 발전되기를 원하지만 어떻게 해 나가야 하는지도 모르고 심지어 어떠한 조금의 영향력 조차도 끼치지 못합니다. 우리가 사이버 보안산업에 있어서 경력을 갖기 원하는 관심있는 사람들을 만나려고 많은 노력을 해야 할 필요가 있으며, 가능한 사람들이 이점을 받아갈 수 있도록 도와야 합니다.
우리는 더욱이 인재의 부족인 상황을 조금이나마 해결하고자 한다면, 우리가 스스로 어떻게 노력을 해야 할지, 스스로에게 물어봐야 할 겁니다 .저는 우리가 이러한 보안 업무에 교육을 전혀 받지 않은 사람들을 채용하자고 제안하는 것은 아닙니다. 다만 많은 보안의 업무는 4년제, 2년제 학위에서 배웠던 현장 경험을 필요로 한다는 것을 강조하는 것 입니다. 특히 IBM은 SkillsBuild 과 Digital Badging 프로그램을 이용하여 화이트, 블루칼러가 아닌 "뉴 칼러" 슬로건으로 올바른 길을 나가 가고 있습니다.
우리가 본인이 속한 기업을 위해서 최선을 다하고 있는 것 처럼, 우리가 속한 산업에서도 우리의 역할이 있습니다. 기업들이 서로 함께 일할 수 있는 기회를 보고, 각 회사가 같이 협력할 수 있는 플랫폼 환경을 보면서 산업에서의 역할을 볼 수도 있습니다. 우리는 회사에 속한 일원 뿐만 아니라 산업 전체에서 D&I 문화를 개선시킬 수 있는 방법을 찾아 보아야 합니다.
예를 들면, , IBM SkillsBuild 는 단지 미래의 직원을 훈련시키기 위해서 만들어진 프로그램이 아니며, 전반적인 IT 인력의 능력이 향상될 수 있도록 돕기 위한 프로그램 입니다. 사람들이 교육을 받지 않아서, 전혀 가능성이 없다고 생각했던 IT 분야와 사이버보안 분야에 있어서 그들의 커리어를 쌓아 나갈 수 있도록 돕고 있는 프로그램 입니다. 또한 이러한 것은 재한된 인력자원 내에서의 경쟁이 아닙니다. 새로운 생각을 만들어 내기 위해서 서로 협력하고 자원의 풀을 확장하고 좀더 다르게 생각할수 있게 돕는 역할을 합니다. 저는 우리의 적들이 더 창의적으로 생각하여 일찍부터 능력에 집중르하여 지원자들의 전통적인 학력을 벗어난 인재들을 보고 있다고 생각합니다.
회사가 D&I 문화를 어떻게 정착시켜 나가는 지에 대해서 배우고 싶으시다면, 여성 임원의 “Security + Diversity and Inclusion: How it Can Supercharge Your Transformation” 세션영상을 보시기 바랍니다.
Q: What tips can you give for improving D&I efforts?
A: D&I starts with challenging the way the organization functions. Many leaders want to pursue D&I but don’t know how to go about it, let alone influence a change. We need the cybersecurity industry to push the effort to meet the interest of people who want to pursue a career within the industry. We need to help people take advantage of the resources that are available.
We need to ask ourselves how we can push the envelope, even more, to see if we can reduce the skills shortage. I’m not suggesting we hire people without the education that’s needed for their position, but many cybersecurity roles need the practical experience that’s often learned on the job more than they need a four-year — or even a two-year — degree. I think IBM is on the right track with its ‘New Collar’ approach backed up by SkillsBuild and Digital Badging.
While we all have the responsibility to serve our own organizations, we can do more as an industry — by looking at existing opportunities for companies to come together or platforms to help companies collaborate. We need to look at how to improve D&I throughout the industry, not just within our company.
For example, IBM SkillsBuild wasn’t created just to train future IBM employees, but to help improve the IT workforce overall. After individuals use SkillsBuild, they often go on to careers in cybersecurity and other IT fields that likely wouldn’t be possible for them without the education and enablement they receive through the program.
This is about more than not competing for the same resources — it’s about collaborating to create new thinking, expanding the talent pool and really coming at things a little bit differently. I think our adversaries are far more creative in how they look at talent early on and look at more propensity rather than applicants’ formal education.
To learn more about how your organization can improve D&I, watch the session “Security + Diversity and Inclusion: How it Can Supercharge Your Transformation” from the Executive Women’s forum.
출처: < https://securityintelligence.com/articles/why-you-need-diversity-inclusion-program-cybersecurity/>