Discover Performance

for IT Executives // 3월 2012년
구독신청하기

두려워하지 마십시오. IT 보안을 하나의 비즈니스로 간주하십시오.

CIO는 보안 팀이 본능적인 두려움에서 벗어나 '비즈니스 가치'를 의사 결정의 기준으로 삼게 해야 합니다. 이제 보안을 4단계로 실현하십시오.

일부, 출시된 소프트웨어 패치 중 보안 팀이 배포하지 않아도 되는 경우가 있습니다. 이는 보안 팀의 직관에 반하는 것일 수도 있으나, 해킹에 대한 두려움 그리고 패치로 해킹을 막을 수 있다는 맹신만으로 보안 결정을 내려서는 안되기 때문입니다. 하여, IT를 비즈니스처럼 운영하기 위해서는 IT 보안도 하나의 비즈니스로 간주해야 합니다. 사실, 대부분의 경우 최대한 신속하게 보안 취약점을 해결해야 하지만, 항상 그런 것은 아닙니다.

보안 팀을 전반적인 비즈니스 위험 관리의 측면에서 생각하도록 이끄는 것은 쉽지 않습니다.

HP의 위험 관리 담당 CTO인 Eliav Levi는 다음과 같이 말합니다. " 보안 팀은 비즈니스 부서에서 이해할 수 없는 언어를 구사합니다. 그래서 기술적 운영 정보 위주로 보고가 이루어져 대부분의 기업은 이를 비즈니스적 언어로 바꾸는 별도의 과정을 거치지 않습니다." 이와 같이, 비즈니스적 맥락이 없는 보고서를 접한 경영진은 위험, 비용 및 예산 사이에서 절충점을 찾는 데 어려움을 겪습니다. 또한, 우선 순위를 정할 방법도 없습니다. Levi는 덧붙여 설명합니다. "문제는 비즈니스 측면에서 가장 효율적인 방식으로 보안 예산을 지출할 방법에 대한 인식이 거의 없다는 것입니다."

그러나 클라우드 컴퓨팅, 소비자화 및 모바일 장치의 빠른 증가와 함께 보안 문제에 대한 경영진의 관심도 높아지고 있습니다. InformationWeek의 보고서에 따르면, 2011년에 기업의 CEO 또는 대표 중 34%가 보안 정책에 관여했으며, 이는 전년 대비 7% 증가한 것입니다.

보안 우선 순위의 변화
CIO와 CISO가 보안을 하나의 비즈니스처럼 운영하기 위해서는 인식의 변화가 필요합니다. 핵심 성과 지표와 분석을 제대로 활용하면서 "곧 해킹 공격이 일어날 것이고 그게 모두 내 책임"이라는 두려움을 극복해야 합니다. 귀사의 현황을 평가하기 위해 다음과 같이 자문해 보십시오. 귀하와 보안 책임자는 정보 보안을 비즈니스적 측면에 주력합니까 아니면 귀사는 여전히 사후 대응하는 차원에 머물러 있습니까? 보안 활동이 비즈니스에 미치는 영향을 평가할 수 있습니까?

이를테면 "최신 패치를 설치했는가?"보다는 "패치 관리가 비즈니스 성과에 어떤 영향을 미치고 있는가?"라는 질문이 더 중요합니다. 패치 관리와 같은 보안 기능이 제대로 수행된다면 예정된 가동 중단 시간을 단축할 수 있기 때문입니다. 그러나 이는 패치 설치가 성능 저하로 이어지는 경우가 많습니다. 무작정 패치를 적용하기 위해, 우선 순위 및 위험 평가 없이, 심사숙고하여 마련한 업데이트 일정을 포기한다면, 이 "수정 프로그램" 으로 인해 애플리케이션 서버가 중지되고 우선 순위가 낮고 위험도가 높은 패치를 배포하지 않아 감수해야 하는 가동 중단 시간이 보다 길어질 수도 있습니다.

Levi는 "일상적인 보안 프랙티스에 많은 도구가 쓰여, 그 대부분은 우선 순위가 부여된 데이터를 무수히 많이 생성합니다. 보안 팀은 이 각종 도구에서 제공하는 데이터를 통합하고 종합적인 관점에서 기업의 보안 상태를 조명해야 합니다." 라고 설명합니다. 

하나의 비즈니스처럼 보안을 운영하기 위한 출발점이 되는 4단계
사후 대처 방식에서 벗어나 HP 엔터프라이즈 및 클라우드 보안 전략가인 Rafal Los가 명명한 "스마트 보안"을 실현하기 위해서는 먼저 다음과 같은 단계를 거쳐야 합니다.

  1. 기업의 자산 인벤토리를 평가하고 어디에 위험이 있는지 파악하십시오. 현황을 제대로 인식한다면 이미 절반은 성공한 것입니다. 귀사에게 가장 중요한 3가지 비즈니스 크리티컬 애플리케이션을 알아낼 수 있습니까?
  2. 확실한 변경 관리 프로세스를 마련하십시오. 견고한 ITIL 기반 변경 관리 프로세스는 올바른 보안의 기초가 됩니다. 패치 관리를 ITSM 베스트 프랙티스와 연계하십시오.
  3. KPI에 비즈니스 컨텍스트를 적용하십시오. 하나의 비즈니스로 보안을 다루기 시작할 때 2가지 KPI가 특히 중요합니다. 그 중 하나는 변화의 속도입니다. 해당 기업은 안전한 상태를 유지하면서 얼마나 신속하게 대응할 수 있습니까? 다른 하나는 보안 때문에 일어날 비즈니스 중단의 정도입니다. 보안 사고로 인한 가동 중단 시간이 얼마나 되었습니까?
  4. 보안 조치의 영향을 분석하십시오. 어떤 패치를 업데이트할지 여부를 어떻게 판단합니까? 두려움이 아닌 분석과 수치를 의사 결정의 기준으로 삼으십시오. 가장 효과적인 방법은 FMEA(Failure Mode and Effects Analysis)를 이용하여 잠재적 보안 위험을 평가하는 것입니다. FMEA에 대해서는 관련 기사, “Security: Separating fear from risk”를 참조하십시오.

이러한 단계를 거친다면 보안 관련 가동 중단과 불편을 줄일 뿐 아니라 조직에서 보안의 전반적인 역할에도 변화를 가져올 수 있습니다. 이에 Rafal Los는 "경영진이 보안 문제에 관심을 갖게 됨에 따라, 보안은 더 이상 별도의 영역이 아니라 비즈니스 체제의 일부로 융합될 것입니다." 라고 예측합니다.

Rafal Los의 Following the White Rabbit 블로그에서 HP의 엔터프라이즈 보안 솔루션에 대해 자세히 알아보고 보안에 관한 의견을 나누십시오.


구독신청하기

이벤트

HP Discover 2014

수천 명의 IT 경영진, 엔지니어 및 솔루션 전문가 그룹에 참여하여 IT 추세, 전략 및 Best Practice를 살펴보십시오. (바르셀로나, 12월 2–4) 자세히


Meg Whitman: 놀라운 애플리케이션 제공

HP CEO와 소 프 트웨 어 관리 팀이 IT가 최신 기술 영 향의 핵심에 서 있을 수 있는 방 법에 대해 토 론 합니다. (온 디 맨드) 자세히


주간 Discover Performance

HP Software의 Paul Muller가 가장 떠오르는 IT 사안을 알아보는 주간 비디오 쇼를 진행합니다. 최신 에피소드를 확인하십시오. 자세히


HP 소프트웨어 관련

가장 많이 읽은 기사

Discover Performance

이전 기사