새로운 비즈니스 구축: 위험을 초래할 수 있는 6가지 사이버 보안 및 디지털 신념

[힘힘]

새로운 비즈니스 구축: 위험을 초래할 수 있는 6가지 사이버 보안 및 디지털 신념

2023년 12월 20일| 해설

공유하다

인쇄

다운로드

구하다

새로운 비즈니스를 구축하기 위한 경쟁에서 의사 결정자는 위험 관리와 사이버 보안을 간과하는 경우가 많습니다. 우리는 경영진이 자주 제기하는 6가지 오해를 확인했습니다.

다운로드

기사(6페이지)

좋은 아이디어라면 그냥 하세요. 전 세계 이사회에서 기업가 리더들은 성공적인 비즈니스 구축이 말을 행동으로 옮기는 것임을 이해하고 있습니다. 누구도 다른 회의를 통해 유니콘을 만든 적이 없습니다. 비즈니스 리더들은 일을 완수하는 능력으로 유명하지만, 가치 창출 유전자에는 이면이 있습니다. 시장 진출을 서두르는 과정에서 세계에서 가장 성공적인 기업이 생존 가능성에 대한 초기 위협을 견뎌온 경우가 많다는 사실을 잊기 쉽습니다. 실제로, 우리의 경험에 따르면 전략에 탄력성을 구축하는 비즈니스 리더가 성공적인 제안을 만들 가능성이 가장 높습니다.

사이드바

저자 소개

비즈니스 구축은 CEO의 주요 안건입니다. 최근 McKinsey Global Survey에서 CEO 10명 중 8명은 경제적 변동성 증가에도 불구하고 새로운 비즈니스 구축을 상위 5대 우선순위로 꼽았습니다.1비즈니스 리더들은 2~5년 전보다 매년 50% 더 많은 새로운 비즈니스를 구축하고 있습니다. 그리고 새로운 비즈니스에서 발생하는 수익 1달러는 핵심 비즈니스 수익 1달러보다 거의 두 배에 달하는 기업 가치를 창출합니다.

공유하다

사이드바

McKinsey 논평 — Vinnie Liu, CEO, Bishop Fox

그럼에도 불구하고 새로운 사업은 눈에 보이지 않는 위험을 야기하기도 합니다. 예를 들어, 디지털 비즈니스 구축에서 일반적으로 간과되는 영역 중 하나는 사이버 보안입니다. 즉, 악의적인 행위자의 공격으로부터 정보 시스템과 네트워크를 보호하는 것입니다. 현재의 성장률로 볼 때, 사이버 범죄 비용은 2025년까지 연간 약 10조 5천억 달러에 이를 것으로 추산됩니다. 이는 2015년 수준보다 300% 증가한 수치입니다.2그럼에도 불구하고 의사결정자는 상황이 과거처럼 계속될 것이라는 믿음을 바탕으로 잠재적 위험의 가능성이나 영향을 과소평가하는 경향인 '정상성 편향'의 희생양이 되는 경우가 많습니다. 즉, "나에게는 그런 일이 일어나지 않을 것입니다."

실제로 그럴 수도 있습니다. 2017년 데이터 유출 사건의 피해자인 Equifax의 최고 전략 및 마케팅 책임자인 Julia Houston은 다음과 같이 증언했습니다. “모든 임원은 위기를 겪어야 합니다.”삼더욱이, 새로운 벤처를 시작할 때 신뢰를 구축하는 것이 중요하다는 점을 고려할 때 일찍부터 학생이 되기에 더 좋은 시기는 없습니다.

공유하다

사이드바

McKinsey 논평 — Alberto Yépez, Forgepoint Capital 공동 창립자 겸 전무 이사

새로운 비즈니스가 처음부터 위험 관리 원칙을 전략 및 계획에 통합한다면 사이버 보안은 거의 필연적으로 운영에 잠재적으로 치명적인 위협으로 식별될 것입니다. 이것이 일어나지 않으면 사업을 시작하고 새로운 고객을 유치하는 데 필요한 맹목적인 흥분과 에너지를 보여주는 경우가 많습니다. 그러나 성공을 향한 경쟁 속에서 새로운 기업(NewCos)은 미래의 급속한 확장을 위한 기반을 마련할 기회를 놓치고 있습니다.

실제로 사이버 보안을 미리 고려하고 설계에 따라 제품에 내장할 경우, 사이버 보안은 제품의 가장 큰 특징이 될 수 있으며, 시장에서 회사의 경쟁 우위를 확장할 수 있는 소비자의 마음에 신뢰와 확신을 심어줄 수 있습니다. 최근 3,000명이 넘는 소비자를 대상으로 한 조사에서453%는 해당 회사가 자신의 데이터를 신뢰할 수 있다는 평판을 얻은 후에만 회사에서 디지털 서비스를 구매하거나 사용했으며, 40%는 회사가 고객 데이터를 보호하지 않는다는 사실을 알게 된 경우 디지털 서비스 사용을 중단했습니다. 즉, 소비자의 마음 속에서 구매 결정을 내릴 때 신뢰와 보안이 중요합니다.

공유하다

사이드바

McKinsey 논평 — William Lin, AKA Identity CEO 겸 공동 창업자

일부 비즈니스 빌더는 위험 관리와 사이버 보안이 초기 우선순위가 되어야 한다고 확신하지 않습니다. 그러나 이러한 태도는 점점 더 일반적인 관행에 어긋나고 있습니다. 예를 들어 이사회 위원회의 95%는 사이버 및 기술 위험을 1년에 4회 이상 논의합니다.5소규모 기업의 일반적인 과제는 리더가 위험과 사이버 감독의 중요성을 이해하지만 필요한 역량을 구축하고 관리하는 방법에 대해서는 확신이 없다는 것입니다. 이 기사에서 우리는 이러한 관점을 반영하는 6가지 신념을 공유하고, 실제로 그 의미를 검토하고, 일부 미래 지향적인 기업이 이러한 과제를 어떻게 해결했는지 보여줍니다.

불필요한 위험을 초래하는 6가지 일반적인 신념

가장 인기 있는 통찰력

1. 2023년: 차트로 보는 해
2. 가장 중요한 것은? 2024년 CEO의 8가지 우선순위
3. 2023년: 이미지로 보는 해
4. CEO로서 탁월한 성과를 거두기 위한 McKinsey 가이드
5. 생성 AI의 경제적 잠재력: 차세대 생산성 개척지

비즈니스 리더와 기업가는 새로운 사업을 추진하고, 다른 사람에게 영감을 주고, 고객의 관심을 끌 수 있는 긍정적인 태도를 취하는 경우가 많습니다. 그러나 이러한 강력한 창의적 본능은 종종 전략적 사고의 지름길과 다음과 같은 6가지 일반적인 오해로 이어집니다.

1. 잘못된 믿음: 우리는 새로운 개념을 테스트하고 있기 때문에 사이버 보안이나 위험 관리와 같은 "추가"가 필요하지 않습니다. 아직 고객이 없기 때문에 데이터 개인 정보 보호에 대해 걱정할 필요가 없습니다.

   현실: 경영진이 비즈니스 개념을 중심으로 NewCo를 형성하기로 결정했다면 그 개념은 인재, 기술, 프로세스를 포함한 자원에 대한 투자를 보장할 만큼 충분히 성숙되었을 것입니다. 이는 사이버 공격에 취약한 귀중한 자산입니다.

2. 잘못된 믿음: 프로세스 및/또는 사이버 보안 조치를 수립하면 출시가 지연되고 우위를 잃게 됩니다. 그리고 다른 스타트업에서는 사이버 보안을 수행하지 않는데 왜 우리가 해야 할까요?

   현실: 위험 관리와 사이버 보안을 추가하면 시간이 소모되지만 관리할 수 없는 시간은 아닙니다. 실제로 처음에 필요한 노력은 결국 재작업을 방지할 것입니다. 반대로, 구조화된 위험에 대한 생각 없이 서둘러 출시하는 NewCos는 향후 규제 벌금, 데이터 유출 또는 소송과 같은 더 심각한 문제에 직면할 수 있습니다.

3. 잘못된 믿음: 위험 관리 및 사이버 보안에 대한 지출은 보호를 보장하지 않으므로 이러한 영역에 리소스를 할당할 가치가 없습니다.

   현실: 대기업 사이에는 사이버 지출과 사이버 성숙도에 불일치가 있는 경우가 많지만, 출시 시점에는 모든 회사에 필요한 기본 수준의 위험 관리 및 사이버 보안이 있습니다. 기본은 구현하기 어렵지 않지만 경험과 전문 지식이 필요합니다. 그리고 제품 개발 수명 주기 내에서 문제가 해결되지 않는 시간이 길어질수록 이를 제품에 통합하는 것이 더 어렵고 비용도 더 많이 듭니다.

4. 잘못된 믿음: 우리 제품 담당자가 이를 통제하고 있습니다. 그들은 우리의 제안과 나쁜 행위자가 이를 위협할 수 있는 방법을 이해합니다. 우리의 최고 기술 책임자(CTO)는 사이버 통제에 대해 알고 있다고 해서 안심하고 있습니다.

   현실: 제품 팀 리더와 팀 구성원은 최신 데이터 암호화 표준이나 보안 운영 센터 모니터링 솔루션과 관련하여 다양한 수준의 지식을 보유하고 있습니다. 사이버 보안은 전문 지식이 필요한 광범위한 분야입니다. 가장 경험이 풍부한 전문가라도 새로운 제품과 서비스를 혁신할 때 다른 사람의 의견과 상담을 구합니다.

5. 잘못된 믿음: 우리는 작고 하찮은 존재이지만 우리 부모는 거대합니다. 나는 그것이 우리의 위험 관리와 사이버 보안의 최우선이라고 확신합니다.

   현실: 모회사 보안팀이 NewCo를 보호할 역량이 없는 경우가 많습니다. 이는 기술 스택 불일치 때문일 수 있습니다(예: 상위 항목이 아직 클라우드로 이동하지 않음). 모회사의 보안 리소스는 일반적으로 이미 부족하기 때문에 결정을 내려야 할 때 NewCo에 많은 주의를 기울일 수 없습니다.

6. 잘못된 믿음: 우리는 이미 많은 비용을 지불한 도구를 보유하고 있으므로 최소한 주요 위험은 감당할 수 있다고 확신합니다.

   현실: 도구만으로는 결코 충분하지 않습니다. 프로세스, 사람, 기술의 조합이 필요합니다. 또한 시중에서 가장 좋은 도구를 구입할 수 있지만 그 유용성이 귀하의 요구 사항을 반영합니까? 많은 NewCos는 투자 후에도 솔루션의 80% 이상을 활용할 수 있는 능력을 갖추지 못했습니다.

효과적인 NewCo 사이버 보안 및 위험 관리를 위한 전략

사이버 탄력성은 새로운 비즈니스를 고려하고 구축하는 데 매우 중요합니다. 그러나 이를 수행하는 방법과 속도는 핵심 비즈니스의 사이버와 다를 수 있습니다. 이를 염두에 두고 전략적 접근 방식과 구조화된 출시를 통해 잠재적인 위험을 피하는 데 큰 도움이 될 수 있습니다. 의사 결정자의 핵심은 위험 기반 사고를 더 넓은 비즈니스 계획에 통합한 다음 모든 기반이 포함되도록 부지런히 실행하는 것입니다. 다음은 앞으로 나아갈 길을 밝히는 데 도움이 될 수 있는 주요 원칙입니다.

• 경험상 좋은 법칙은 어떤 개념이 투자할 가치가 있다면 경영진이 위험을 고려하고 완화하는 데 시간을 투자할 가치가 있다는 것입니다. 또한 빠르게 성장하는 비즈니스에서는 조기에 참여하는 것이 중요합니다. 이는 주요 위험과 완화 조치를 식별하는 데 도움이 되는 프레임워크를 마련하는 것을 의미합니다. 이들 중 일부는 거의 모든 비즈니스에 적용되는 반면 다른 일부는 상황에 따라 다릅니다. 그러나 모든 것은 미래의 성장과 사용자 경험의 관점에서 평가되어야 합니다.
• 미래 지향적인 NewCos는 사이버 보안을 비즈니스 아키텍처의 핵심 요소로 봅니다. 이를 적용할 내부 기술이 없는 경우 외부 전문가를 고용하여 의견을 제공하고 전달을 가속화하며 제어를 조정합니다. 의사 결정자는 제품/소프트웨어와 기업 보안을 모두 해결하는 가장 효율적인 방법은 사이버 전문가가 비즈니스와 긴밀하게 협력하도록 하는 것입니다.
• 모기업의 역할은 리더십 참여, 교차 가능성, 새 회사의 우선순위에 따라 달라집니다. 이상적으로는 미묘한 협업 접근 방식이 필요합니다. 즉, 모회사와 협력하여 확립된 위험 및 보안 표준을 충족(일반적으로 초과)하지만 합리적인 경우에만 모회사 리소스를 활용하는 것을 의미합니다.
• 구현과 관련하여 핵심 원칙은 제품 아이디어 구상부터 최종 배송까지 위험 관리와 사이버 보안이 포함되도록 보장하는 것입니다. 기술 기반 기업의 경우 DevSecOps(개발, 보안 및 운영) 원칙을 채택하여 소프트웨어 개발 프로세스의 모든 단계에서 보안 테스트를 통합하는 것이 합리적입니다. 도구는 특정 운영 중점 영역에 맞춰 조정되어야 하며, 주요 투자 영역이 재산을 보호할 수 있도록 보장해야 합니다.

---

최소 실행 가능 제품 출시 단계에 도달한 기업은 보호할 가치가 있는 자산, 투자, 신뢰 구축 목표를 가지고 있습니다. 이러한 맥락에서 기업 위험 관리와 사이버 보안은 더 이상 선택 사항이 아닙니다. 자원이 제한된 환경에서도 위험 관리에 대한 투자는 운영 탄력성을 높이고 비즈니스 성장에 따라 브랜드에 대한 신뢰를 조성할 수 있는 확신을 제공할 가능성이 높습니다.

저자 소개

Justin Greis 는 McKinsey 시카고 사무소의 파트너, Ari Libarikian 은 뉴욕 사무소의 수석 파트너, Patrick Rinski 는 상파울루 사무소의 파트너, Joy Smith 는 필라델피아 사무소의 졸업생, Marc Sorel 은 맥킨지의 파트너입니다. 보스턴 사무실.