IT 기술자원의 효과적 관리를 위해서는 오는 2004년까지 최고정보보안책임자와 관련간부들의 60%와 정보보안담당 실무자의 40%가 정보보안 인증을 받아야 할 것으로 예상된다. 정보보안관련 전문지식은 기업내 담당직원을 비롯한 외부 서비스, 컨설팅 및 정보보안관리 서비스 업체들에도 필요하다. 정보보안 프로그램은 기술적 솔루션뿐 아니라 처리절차와도 긴밀한 관계가 있다. 이 업무를 효과적으로 처리하기 위해서는 최고정보보안책임자(CISO:the Chief Information Security Officer)의 임명이 절실히 요구된다.
CISO는 경영진의 일원으로서 ‘기술적 내용’을 사업부서 관리자들이 이해할 수 있는 언어로 설명해 주어야 한다. 또 CISO는 보안관련 전략을 세우고 사업의 주요 내용을 확실히 파악하고 있어야 한다. CISO는 기술분야의 경력만을 가졌거나 또는 보안분야에만 전문성이 있는 사람으로는 적합하지 않다. 전직 회계감사원을 CISO에 임명할 수도 있으나 자사의 전직 임원이 가장 바람직하다.
고용의 조건으로 정보보안 전문가 자격증이 보편화돼 가고 있다. 특히 많이 통용되는 것이 흔히 ISC2로 알려진 국제정보시스템 보안인증컨소시엄(International Information Systems Security Certification Consortium)이 발급하는 ‘정보시스템보안 전문가인증(CISSP:Certified Information Systems Security Professional)이다. 인터넷이 확산됨에 따라 세계사건분석센터(GIAC:Global Incident Analysis Center)가 발급하는 인증서도 기업 정보시스템의 운영을 담당하는 실무자들의 자격요건으로 사용될 가능성이 있다.
CISO의 주요 임무는 사업을 위한 정보시스템을 운영하는 데 따른 위험성에 대해 경영진에 자문하면서 위기를 관리하는 것이다. 자문하기 위해서는 정보보안프로그램을 작성하고 관리 인프라를 구축, 기술적인 위험성을 확인하고 적절한 조치를 취해야 한다. 이밖에 CISO는 기술자문 위원으로서의 역할을 하고 물리적 보안과 정보보안 사이의 중복을 피하기 위한 연락관의 기능도 해야 한다. 그러나 정보보안의 위험성을 완화시키거나 수용하는 것은 사업 경영진의 책임이다.
CISO가 업무를 성공적으로 수행하려면 취임초부터 기업 각 부서의 직원들과 광범위하게 접촉, 그들의 의견을 취합해야 한다. 또한 그들에게 정보보안과 위험성에 대해 설명하고 교육시켜야 한다. 이와 함께 CISO는 좋은 관리자가 돼야 한다.
CISO는 높은 자질을 갖춘 관리자를 필요로 한다. 이러한 관리자는 기술에 대해 잘 알 뿐 아니라 사업부서를 주도해 갈 수 있는 능력도 있는 것이 바람직하다. 이러한 자질에서 중요한 것은 대인관계가 원만하고 감정이 세련된 ‘부드러운 조정기술’이다. 사업을 추진하는 데 있어 대인관계, 혁신 및 공동사회 인식이 높아짐에 따라 CISO와 인사담당 책임자들은 정보보호 관리자를 채용할 때 ‘부드러운 조정기술’의 기준을 높여야 한다. 기업문화가 ‘어떻게’와 ‘왜’로 집약되는 것과 마찬가지로 개인의 문화도 ‘어떻게’와 ‘왜’로 표현될 수 있다.
기술부문에서 성장한 사람들은 ‘부드러운 조정기술’에는 익숙하지가 않다. 그들은 조정기능을 강조하면 기술적 전문기능을 약화시키게 된다고 생각하고 있다. 그러나 기술에 대해 잘 안다고 해서 개인이나 조직 또는 기업의 위치를 높여주는 것이 아니다. 기업의 성장이 인력자원 및 지적자산 등과 연관돼 있기 때문에 직원들이 동료직원, 고객, 팀 구성원을 이해하는 것이 중요해지고 있다.
‘부드러운 조정기능’을 무시하거나 과소평가하는 기업은 사업의 성공과 혁신을 위한 항구적인 기반을 잃게 될 것이다. 기술지식이 중요한 것이 사실이지만 앞으로는 ‘조정기능’도 중요해질 것이다.
또한 전자상거래 시장의 경쟁이 치열해짐에 따라 정보기술(IT)담당 관리자도 종전과는 다른 차원의 대인관계와 업무의 전문성을 갖춰야 한다. 이제 IT담당 관리자들은 점점 복잡해지는 시스템의 구조, 전세계 차원의 분산시스템, 무수히 많은 사용자에 대해 유연하게 대처해야 한다. 관리의 규범도 변했다. 관리자의 위치가 매우 중요하므로 기업은 관리자들을 중심으로 팀의 구성, 기술, 업무의 효율성, 프로젝트관리 등에 관한 교육을 실시해야 한다.