규제가 증가하고 새로운 기술이 융합됨에 따라 거버넌스, 위험 및 규정 준수(GRC) 기능은 오늘날 기업의 건강, 재정 및 보안에 더욱 중요해지고 있습니다. 그러나 GRC는 제 역할을 잘 수행하기 위해 지원이 필요하며, 이를 위해서는 위에서 아래로의 지원이 필요합니다. 이는 항상 쉽게 얻을 수 있는 것은 아니었습니다.
이사회 구성원은 오늘날 GRC의 가치를 이해해야 합니다. 특히 AI 도입이 증가하는 가운데, 조직에 그 어느 때보다 빠르게 새로운 위험을 안겨주는 상황에서 더욱 그렇습니다. 다시 말해, 이사회를 참여시켜야 합니다.
규제 증가 및 새로운 기술
오늘날 조직은 준수해야 할 온갖 규정에 직면해 있습니다. 미국에서 주요 발전 사항은 증권거래위원회(SEC)의 새로운 규칙으로, 상장 기업은 4영업일 이내에 사이버보안 사고를 공개해야 하며 그렇지 않으면 벌금을 내야 합니다.
우리는 이미 SEC의 단속을 보고 있습니다. 예를 들어, 2024년 5월, NYSE의 모회사인 Intercontinental Exchange는 벌금을 물었습니다 필요한 기간 내에 사이버 침입 사실을 공개하지 못한 경우.
우리는 또한 AI 사용을 규제하려는 새롭고 떠오르는 시도를 보고 있습니다. 예를 들어 EU에서는 AI법 5월에 제정되었습니다. 작년 말 미국에서 바이든 행정부는 다음과 같은 행정 명령을 발표했습니다. 안전하고 보안성이 높고 신뢰할 수 있는 인공지능 개발 및 활용. 주문은 다음을 시작합니다. 의회 조사 서비스 “연방 기관 리더십, 산업 규제 및 국제 파트너와의 참여를 통해 책임 있는 인공지능(AI) 개발 및 배포를 안내하기 위한 정부 차원의 노력”이라고 합니다.
물론, 이것들은 단지 최근의 대규모 정부 조치일 뿐입니다. 조직의 산업과 위치는 GDPR, PCI, DORA부터 HIPAA 및 기타 수많은 것에 이르기까지 준수해야 하는 모든 종류의 명령과 규정을 결정합니다.
AI 규정은 아직 새롭지만 EU의 규칙은 다른 국가의 프레임워크 역할을 할 가능성이 높습니다. 그리고 미국에서는 개별 주 이미 새로운 법률을 개발하기 시작했습니다. 기업들이 정보 기술 분야에 AI를 도입하기 위해 서두르면서 기존 규정뿐만 아니라 파이프라인에 있는 규정도 이해하는 것이 중요합니다.
GRC의 역할과 마음과 생각을 사로잡는 것
GRC 기능은 기업이 적용되는 모든 다양한 규정 및 준수 의무를 충족하도록 돕기 위해 실사를 수행합니다. 정책 및 표준을 추진하는 것부터 위험 등록부를 감독하여 의사 결정을 알리는 것까지 GRC는 준수 요구 사항의 게이트키퍼입니다.
규정 준수는 흥미롭고 화려한 것으로 여겨지지 않습니다. 기업 리더는 종종 규정 준수를 귀찮은 일로 여깁니다. 그들은 규정 준수를 사업의 방해로 여기지만, 오늘날의 현실은 규정 준수가 사업에 매우 중요하다는 것입니다. 사실, 규정 준수는 심지어 사업의 실현 요인이 될 수도 있습니다.
그러나 이를 실현하려면 GRC가 제대로 된 업무를 수행하기 위해 이사회 수준의 지원이 필요하며, 말하기는 쉽지만 실천하기는 어렵습니다. 특히 사이버 보안 및 AI 규정과 관련하여 한 가지 과제는 모든 이사회가 기술과 보안에 정통하지 않다는 것입니다. 인식이 높아지고 있지만 2023년 9월 보고서에 따르면 S&P 500 기업의 12% 관련 사이버 자격증을 소지한 이사회 이사가 있었습니다. 적절한 장소에서 적절한 정보를 얻는 것은 또 다른 지속적인 과제입니다.
이사회의 관심을 끌다
한 가지 핵심 요소는 이사회와 상호 작용하는 CISO와 그들의 동료들을 지원하여 GRC 기능과 이사회 간의 격차를 메우고 후자가 전자의 중요성과 가치를 이해하도록 돕는 것입니다. 교육이 핵심입니다. 이사회는 예를 들어 공개가 필요한 침해가 있을 때 자신의 역할과 이사에게 기대되는 바를 이해해야 합니다.
기업들은 컴플라이언스 지표를 수집하고 보고하는 방식에서 점점 더 발전하고 있으며, 이는 큰 진전입니다. 하지만 우선순위를 정해야 할 정보가 많이 있습니다. 정보는 압도적이지 않으면서도 간단하고, 관련성이 있고, 포괄적인 방식으로 제시되어야 합니다.
이사회는 조직이 집중해야 할 위험과 사고가 발생할 경우 비즈니스에 미치는 실제 영향을 이해하기 위해 질문을 해야 합니다. 이는 전체적인 관점으로 위험을 이해하는 데 필요한 정보를 접근 가능한 방식으로 제공하는 것으로 귀결됩니다. GRC 리더는 이러한 위험 정량화를 제공하는 데 도움이 될 수 있습니다.
GRC를 이사회에 적용하기 위한 5가지 모범 사례
이러한 모범 사례를 활용하여 이사회 구성원이 GRC 팀과 가장 효과적으로 협력할 수 있도록 지원하세요.
- 구조와 신뢰성을 보여주기 위해 사용되는 위험 프레임워크(예: NIST CSF 2.0 또는 ISO27001)에 대해 이사회 구성원에게 알립니다. 관련 규정 준수 요구 사항과 그 의미를 비즈니스에 의미 있는 방식으로 전달합니다.
- 이사회 구성원들에게 조직에서 AI를 사용하는 방식에 대해 교육합니다. 여기에는 기업 전체에서 AI를 어떻게 사용하는지, 어디에서 사용하는지, AI 사용이 규정 준수 요구 사항과 모니터링에 미치는 영향이 포함됩니다.
- 외부 전문가와 협력하여 회사의 위험 프로필에 대한 독립적인 평가를 실시하고 권장 사항을 제공합니다.
- 위험 평가와 지속적인 모니터링을 통해 사용되는 표준에 따른 준비 태세를 지원하여 대응 역량을 강화합니다.
GRC, 보안 및 AI
성공적인 사이버 GRC 기능은 모든 조직 계층에서 일관된 데이터와 지표를 제공하여 운영 직원부터 이사회까지 모든 사람이 동일한 정보로 작업하도록 보장합니다. 즉, GRC는 동일한 정보에서 전략적 감독과 운영 관리를 모두 지원할 수 있습니다. 이 접근 방식은 새로운 규정과 위협에 대한 투명성과 적응성을 제공합니다.
GRC는 항상 중요했지만 이제 AI가 규제 그림에 들어왔습니다. 위협 환경, 운영 모델, 제품 및 서비스를 변화시키고 있습니다. 이사회는 사이버 보안과 AI, 특히 회사가 AI를 사용하는 방법에 대한 구체적인 사항에 대해 더 현명해져야 합니다. 위에서 논의한 모범 사례를 사용하여 GRC 리더는 조직의 보안 및 규정 준수 자세에 지속적인 긍정적 영향을 미칠 수 있는 방식으로 이러한 주제에 대한 이사회의 지식을 구축할 기회를 얻습니다.
게시물 GRC에 이사회 참여 – 특히 AI 도입 증가에 따라 처음 등장 유나이트.AI.
