ISACA 연구에 따르면 사이버보안 직원이 떠나는 5가지 이유는 이직, 제한된 승진 및 개발 기회, 낮은 인센티브, 높은 업무 스트레스, 경영 지원 부족으로 나타났다. 이 5가지 이유와 조직이 그에 대응하기 위해 무엇을 할 수 있는지 살펴보겠다.
이직 경쟁사 우리 직원에게 더 많은 보상을 제공할 수 있는 위치에 있다면 직원이 떠나는 것을 막기 위해 할 수 있는 일이 많지 않을 수 있다. 그러나 더 많은 돈이 항상 핵심 요소는 아니다. 돈에 관한 것이 아니라면 왜 다른 회사가 우리 회사보다 더 좋아 보이는지를 알아내는 것이 중요하다.
베테랑 보안 직원이 다른 조직에 합류하기로 결정하거나 그렇게 생각하고 있다고 확신이 든다면 해당 직원과 진정성 있는 대화를 나누고 다른 기회의 어떤 측면이 매력적인지 알아내는 것이 중요하다. 이러한 통찰력은 HR팀으로 가져와 향후 채용 공고 및 채용 프로세스에서 전문가를 더 잘 유치하고 유지하는 데 유용한 기준으로 사용할 수 있다.
제한된 승진 및 개발 기회 보안 교육 투자는 필수적이다. 보안 전문가가 직면하고 있는 현재의 위협 및 취약점과 관련한 지속적인 기술 기반 교육을 제공함으로써 팀 구성원이 더 나은 성능을 발휘할 수 있을 뿐만 아니라 조직이 전문 개발에 투자하고 많은 경우에 감사할 것이다. 결과적으로 우수 직원이 계속해서 근무할 가능성이 더 커진다.
보안 책임자들은 인재를 위한 경쟁 환경을 인식하고 너무 늦기 전에 유지하고자 하는 성과 높은 직원을 식별해야 한다. 적절한 승진이 즉시 가능하지 않더라도 가까운 장래에 승진 기회를 위해 손질하고 있다는 사실을 직원에게 알리면 해당 직원은 조직 외부에서 다음 경력 단계를 밟을 가능성이 줄어든다.
낮은 인센티브 중소규모의 조직은 급여 관점에서 대규모 조직과 경쟁할 수 있는 리소스가 없을 수 있지만, 이러한 조직은 적어도 급여 및 기타 직원 혜택과 관련하여 동료 간의 경쟁을 위해 노력해야 한다. 경영진이 보안의 중요성에 대해 립 서비스를 제공하는 것만으로는 충분하지 않다. 보안 프로그램에 필요한 투자를 함으로써 이를 지원해야 하며 보안 리더와 실무자에게 경쟁력 있는 급여를 제공하여 보안을 유지해야 한다.
보안 요원에게 필요한 예산으로 리더십을 발휘할 때 대안이 불가능함을 강조하는 것이 중요하다. ISACA 조사에 따르면 대다수 조직은 팀에서 사이버보안 직책을 채우지 않았으며 자격을 갖춘 후보자로 사이버보안 직책을 채우는 데 걸리는 시간이 6개월 이상이라고 답한 조직은 3곳 중 1곳이었다. 오늘날의 보안 환경에서 이렇게 장기간을 일력이 부족한 상태로 운영하는 것은 매우 문제가 된다. 결론 : 조직이 능력 있는 직원을 잃을 경우 대체 인력을 뽑기가 불가능하지는 않더라도 적시에 적절하게 충원하는 일은 매우 어려울 수 있다. 경쟁력 있는 임금의 중요성에 대해 논의할 때는 의사 결정자들에게 그 점을 분명히 해야 한다.
높은 업무 스트레스 사이버보안 분야에서 일하는 것은 본질적으로 어느 정도의 스트레스를 동반한다. 이는 빠르게 확장되는 위협 환경과 정상 업무 시간 외에도 민감한 비상사태에 대응해야 하는 직군의 현실이다.
하지만 체계적인 보안팀에는 직원들이 느끼는 스트레스를 완화할 방법이 있다. 보안 부서만이 아닌 타 부서원들도 보안 교육을 받게 하면 보안팀 혼자서 특정 유형의 위협에 대응하는 것보다 훨씬 더 도움이 된다. 실수가 있을 때 팀 구성원이 지원을 받고 있다고 느끼게 하고, 위에서 언급한 것처럼 전문가가 필요한 교육을 제공한다. 사이버범죄자들이 사용하는 새로운 전술에 대응하기 위해 기술을 발전시킬 수 있다.
경영 지원 부족 CISO는 팀을 지원하는 분위기를 설정해야 하며, 팀이 성공하는 데 필요한 자원을 제공하는 것 이상의 의미가 있다. 또한 오늘날의 환경에서 조직을 안전하게 유지하기가 어려워지는 정도를 인식하고 문제가 발생하지 않을 때 그 현실을 고위 경영진에게 전달하고자 한다.
이밖에 경영진은 인증을 추구하고 업계 회의에 참석하며 잘 수행된 업무에 대한 긍정적인 보상을 강화해 보안팀을 지원할 수 있다.