2019.02.11

사이버 위험 관리, "비즈니스팀과 보안팀 간 격차를 줄여라"…ESG

Jon Oltsik | CSO
비즈니스 관리자는 실시간 사이버 위험 관리 측정 항목을 원하지만, 사이버보안 팀은 기술 데이터와 주기적 보고서만 제공할 수 있다. 이 격차를 줄여야 한다.
 
ⓒ Getty Images Bank
 
수년 전만 하더라도 사이버보안 전문가들은 "경영진이 '좋은' 보안을 원하지 않으며, '충분히 좋은' 보안을 원할 뿐이라고 종종 토로했다. 

이 얘기는 많은 CEO가 사이버보안과 규정 준수(regulatory compliance)를 동일화하는 것을 반영한다. CISO가 모든 PCI-DSS(Payment Card Industry Data Security Standard), HIPAA(Health Insurance Portability acnd Accountability Act, 미국 의료정보보호법) 또는 SOX(Sarbanes-Oxley Act)를 확인할 수 있으면 사이버보안 문제가 해결될 것이다. 

'충분히 좋은' 보안 관행은 사이버보안에 대한 혐오감을 나타낸다. CISO는 한동안 
비즈니스 임원들이 진정으로 사이버 위험을 인식하고 기업 자산을 적절하게 보호하는데, 사이버 위험 관리 노력에 기꺼이 참여하고 비용을 지원하기를 열망했다.
  
이제 이런 말들은 사라지고 원하는 것을 조심해야 할 때가 됐다. 2019년에 들어서면서 기업 임원들이 모두 보안에 관심을 가지면서 사이버보안 팀에게는 커다란 문제가 생겼다.
 
ESG는 최근 340명의 사이버보안, IT 및 위험 관리 전문가들을 대상으로 사이버 위험 관리에 관한 설문조사를 실시했다. 이 설문조사를 통해 응답자들에게 비즈니스 임원과 이사를 위한 가장 중요한 사이버 위험 지표를 확인하도록 요청했다. 이번 설문조사에서 도출한 비즈니스 요구 사항과 보안 기술 역량 간의 간격이 큰 4가지 순위는 다음과 같다. 

- 39%는 주요 비즈니스 및 IT 이니셔티브와 관련한 보안 현황 보고서를 원한다. 즉, 윈도우 PC, DNS 서버, 소프트웨어 취약점에 대한 세부 정보가 아니라 전체 비즈니스 프로세스와 관련한 사이버 위험을 이해하고자 한다. 사이버보안 팀은 전문적인 데이터를 비즈니스 측정 항목으로 변환하는 작업을 수행해야 한다. 

- 36%는 IT 감사와 관련한 현황 및 대응에 대해 알고 싶다고 말했다. 이는 새로운 요구 사항은 아니지만, 비즈니스 임원들은 간헐적으로 제공하는 리뷰 이상의 것을 원한다. 적시에 위험 완화 결정을 내리는데 도움이 되는 업데이트를 자주 원하는 것이다. 이런 요구를 충족시키기 위해 CISO는 지속적인 위험 관리 분석을 위해 노력해야 한다. 

- 36%는 자사의 환경 내 취약점과 관련된 보고서를 원한다고 말했다. 비즈니스 임원들은 취약한 자산에 대해 관심은 있지만, 수천 개의 시스템에서 나오는 소프트웨어 취약점을 설명하는 자세한 보고서는 원하지 않는다. 오히려 시스템 패치, 트래픽 분리, 액세스 제한과 같은 위험 완화 조치의 우선 순위를 지정할 수 있도록 미션 크리티컬한 자산이 알려진 익스플로러에 얼마나 취약한 지를 이해하길 원한다. 즉, 사이버보안 팀은 양이 아닌 질적인 취약점 보고서를 작성해야 한다. 

- 35%는 보안 지출에 대한 ROI의 자세한 정보를 원한다고 말했다. ESG의 다른 연구에 따르면, 조직의 58%는 2019년에 사이버보안 지출을 늘릴 계획이다. 분명 경영진은 사이버보안 이니셔티브에 기꺼이 비용을 지불할 것이지만, 이 비용 지불을 통해 무엇을 얻고 있는지 더 잘 이해하길 원한다. 이는 어려운 일이지만, CISO는 어떻게든 비즈니스, 인적, 기술적 용어에서 사이버보안 지출을 측정하는 방법을 알아내야 한다. 그래야 조직에서 예산을 세밀하게 조정하고 적시적소에 비용을 지출할 수 있다. 

비즈니스 임원은 다음번 데이터 유출 보고서의 주인공이 되는 것을 두려워하며, 그렇게 되지 않기 위해 이전보다 더 많은 돈을 지출한다. 이들이 돈을 지출하는 대가로 무엇을 원하는가. 불행하게도 대부분의 CISO와 위험 관리자는 이런 요구를 원격으로 충족할 수 있는 프로세스나 매트릭스를 갖고 있지 않다. 

사이버 위험 관리에 대한 이런 격차는 즉각적인 주의가 필요한 최우선 문제를 보여준다. CISO는 FAIR(Factor Analysis of Information Risk)와 같은 새로운 도구와 사이버 위험 관리 방법론을 채택해야 한다. 많은 사이버보안 관리자가 올바른 기술이나 자원을 갖고 있지 않기 때문에 유니시스 트러스트체크(Unisys TrustCheck)와 같은 사이버 위험 관리 서비스를 원할 수도 있다. 

어째든, CISO는 가능한 한 빨리 새로운 사고를 해야 한다. 비즈니스 경영진은 효과적으로 비용을 지출했는지, 또는 단순히 돈만 들이붓고 있는지 전혀 알 수 없다면 사이버보안에 비용을 지출하지 않을 것이다. CISO는 경영진과 협력해 적시적소에 자산을 비용효율적인 방법으로 보호하기 위한 비즈니스 마인드가 필요하다. editor@itworld.co.kr 


2019.02.11

사이버 위험 관리, "비즈니스팀과 보안팀 간 격차를 줄여라"…ESG

Jon Oltsik | CSO
비즈니스 관리자는 실시간 사이버 위험 관리 측정 항목을 원하지만, 사이버보안 팀은 기술 데이터와 주기적 보고서만 제공할 수 있다. 이 격차를 줄여야 한다.
 
ⓒ Getty Images Bank
 
수년 전만 하더라도 사이버보안 전문가들은 "경영진이 '좋은' 보안을 원하지 않으며, '충분히 좋은' 보안을 원할 뿐이라고 종종 토로했다. 

이 얘기는 많은 CEO가 사이버보안과 규정 준수(regulatory compliance)를 동일화하는 것을 반영한다. CISO가 모든 PCI-DSS(Payment Card Industry Data Security Standard), HIPAA(Health Insurance Portability acnd Accountability Act, 미국 의료정보보호법) 또는 SOX(Sarbanes-Oxley Act)를 확인할 수 있으면 사이버보안 문제가 해결될 것이다. 

'충분히 좋은' 보안 관행은 사이버보안에 대한 혐오감을 나타낸다. CISO는 한동안 
비즈니스 임원들이 진정으로 사이버 위험을 인식하고 기업 자산을 적절하게 보호하는데, 사이버 위험 관리 노력에 기꺼이 참여하고 비용을 지원하기를 열망했다.
  
이제 이런 말들은 사라지고 원하는 것을 조심해야 할 때가 됐다. 2019년에 들어서면서 기업 임원들이 모두 보안에 관심을 가지면서 사이버보안 팀에게는 커다란 문제가 생겼다.
 
ESG는 최근 340명의 사이버보안, IT 및 위험 관리 전문가들을 대상으로 사이버 위험 관리에 관한 설문조사를 실시했다. 이 설문조사를 통해 응답자들에게 비즈니스 임원과 이사를 위한 가장 중요한 사이버 위험 지표를 확인하도록 요청했다. 이번 설문조사에서 도출한 비즈니스 요구 사항과 보안 기술 역량 간의 간격이 큰 4가지 순위는 다음과 같다. 

- 39%는 주요 비즈니스 및 IT 이니셔티브와 관련한 보안 현황 보고서를 원한다. 즉, 윈도우 PC, DNS 서버, 소프트웨어 취약점에 대한 세부 정보가 아니라 전체 비즈니스 프로세스와 관련한 사이버 위험을 이해하고자 한다. 사이버보안 팀은 전문적인 데이터를 비즈니스 측정 항목으로 변환하는 작업을 수행해야 한다. 

- 36%는 IT 감사와 관련한 현황 및 대응에 대해 알고 싶다고 말했다. 이는 새로운 요구 사항은 아니지만, 비즈니스 임원들은 간헐적으로 제공하는 리뷰 이상의 것을 원한다. 적시에 위험 완화 결정을 내리는데 도움이 되는 업데이트를 자주 원하는 것이다. 이런 요구를 충족시키기 위해 CISO는 지속적인 위험 관리 분석을 위해 노력해야 한다. 

- 36%는 자사의 환경 내 취약점과 관련된 보고서를 원한다고 말했다. 비즈니스 임원들은 취약한 자산에 대해 관심은 있지만, 수천 개의 시스템에서 나오는 소프트웨어 취약점을 설명하는 자세한 보고서는 원하지 않는다. 오히려 시스템 패치, 트래픽 분리, 액세스 제한과 같은 위험 완화 조치의 우선 순위를 지정할 수 있도록 미션 크리티컬한 자산이 알려진 익스플로러에 얼마나 취약한 지를 이해하길 원한다. 즉, 사이버보안 팀은 양이 아닌 질적인 취약점 보고서를 작성해야 한다. 

- 35%는 보안 지출에 대한 ROI의 자세한 정보를 원한다고 말했다. ESG의 다른 연구에 따르면, 조직의 58%는 2019년에 사이버보안 지출을 늘릴 계획이다. 분명 경영진은 사이버보안 이니셔티브에 기꺼이 비용을 지불할 것이지만, 이 비용 지불을 통해 무엇을 얻고 있는지 더 잘 이해하길 원한다. 이는 어려운 일이지만, CISO는 어떻게든 비즈니스, 인적, 기술적 용어에서 사이버보안 지출을 측정하는 방법을 알아내야 한다. 그래야 조직에서 예산을 세밀하게 조정하고 적시적소에 비용을 지출할 수 있다. 

비즈니스 임원은 다음번 데이터 유출 보고서의 주인공이 되는 것을 두려워하며, 그렇게 되지 않기 위해 이전보다 더 많은 돈을 지출한다. 이들이 돈을 지출하는 대가로 무엇을 원하는가. 불행하게도 대부분의 CISO와 위험 관리자는 이런 요구를 원격으로 충족할 수 있는 프로세스나 매트릭스를 갖고 있지 않다. 

사이버 위험 관리에 대한 이런 격차는 즉각적인 주의가 필요한 최우선 문제를 보여준다. CISO는 FAIR(Factor Analysis of Information Risk)와 같은 새로운 도구와 사이버 위험 관리 방법론을 채택해야 한다. 많은 사이버보안 관리자가 올바른 기술이나 자원을 갖고 있지 않기 때문에 유니시스 트러스트체크(Unisys TrustCheck)와 같은 사이버 위험 관리 서비스를 원할 수도 있다. 

어째든, CISO는 가능한 한 빨리 새로운 사고를 해야 한다. 비즈니스 경영진은 효과적으로 비용을 지출했는지, 또는 단순히 돈만 들이붓고 있는지 전혀 알 수 없다면 사이버보안에 비용을 지출하지 않을 것이다. CISO는 경영진과 협력해 적시적소에 자산을 비용효율적인 방법으로 보호하기 위한 비즈니스 마인드가 필요하다. editor@itworld.co.kr 


X