Cover Story

잘 개발된 변경 관리 프로그램에 관한 다섯 가지 핵심 단계를 통해 보안의 역할을 고찰해보자.

3. 스케줄링 및 커뮤니케이션

스케줄링 변경은 간단하다. 모든 이해관계자들은 변경들이 합리적인 시간에 실행될 수 있도록 스케줄 되었는지 확인해야만 한다. 많은 조직에는 대개 작업 중인 사람이 드물고 업무가 적은 늦은 밤이나 이른 아침에 수행되는 표준 변경 윈도우가 있는데 이것은 언제든지 사용 가능해야만 한다.

바로 여기에서 효율적인 커뮤니케이션이 필수적이다. 변경을 구현하는 책임을 맡고 있는 팀은 발생하는 변경에 대해 이메일과 전화를 통해 의사소통해야만 하며 그것이 발생할 때를 명시해야만 한다. 통지 수신 대상자는 조직마다 다를 것이다. 그러나 뛰어난 경험 법칙은 “콜트리(call tree)”로 불리는 사건 대응 팀의 공지 리스트에 있는 모든 이들을 연결시킨다. 보안팀들뿐만 아니라 영향 받을 수 있는 IT 운영팀 및 다른 그룹도 임박한 변경에 관해 공지 받아야만 한다. 보안 변경의 경우 보안 담당자들은 모든 이들과 접촉해야만 한다.

성공적인 변경 스케줄링과 공지의 핵심은 체크리스트가 훌륭하게 문서화된 프로세스로 전환하는 것이다. 이러한 기능을 일부 변경 관리 툴들은 표준 구성 요소로 가지고 있으며 대부분 순서대로 기업 컨택 레포지토리에 링크된 애플리케이션 워크플로우내에서 완수된다.

Point

스케줄링 및 커뮤니케이션

보안팀의 역할

1. 언제 변경이 실행되는지 확인

2. 보안 변경에 관한 의사소통

<글·데이브 섀클포드(Dave Shackleford)>

[정보보호21c (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>