매입을 위한 매니지먼트가 반드시 필요한가?

이미 당신 기업에 있을 지도 모르는 효율적인 시간 테스트 프레임워크를 고려하라.

만약 당신의 정보 보안 노력을 지원하는데 사용할 수 있을 뿐 아니라 관리자들에게 충분히 이해를 구할 수 있는 입증된 프레임워크를 가지고 있다면 얼마나 멋질까?

이제 이러한 고민에 빠진 정보보안전문가들의 걱정을 덜 수 있게 됐다. 바로 정보보안전문가들의 고민을 해결해줄 프레임워크로 구성된 시스템이 나와서다. IT 인프라스트럭처 라이브러리(ITIL) 시스템이 그것이다. ITIL 시스템은 IT서비스 관리의 최고 관행과 지침을 모은 것으로 전세계적으로 많은 조직들에 의해 성공적으로 채택되고 있는 실정이다.

“더 이상 지루하고 이론적인 방법은 싫어. 나는 그런데 낭비할 시간이 없어. 나는 진짜 문제를 다룰 수 있는 것이 필요해”라고 생각하고 있다면 ITIL은 당신의 관리 시스템에 제격인 셈이다. 현재 세계의 많은 관리자들은 ITIL이 조직의 IT서비스 수요와 일치하고, IT서비스의 품질을 향상시키고, IT서비스 배달과 지원에 드는 비용을 줄여줄 수 있다고 보고ITIL을 실행하고 있다.

어떻게 ITIL이 정보보안전문가들을 도울 수 있는가? 여기 그 방법 중 일부가 있다.

ㆍ비즈니스 프로세스 소유자와 정보보안 스탭은 정보 보안 서비스에 관해 협상을 한다. 이것은 서비스가 비즈니스 수요와 일치하게 한다.

ㆍITIL은 정보 보안의 토대를 제공한다. ITIL은 정보 보안을 명백히 향상시킬 수 있는 많은 최고의 관행(예, 변화 관리, 구성 관리, 사고 관리)의 채택을 요구한다.

ㆍITIL은 회계감사와 모니터링할 수 있는 문서화된 IT 프로세스와 표준을 설정한다. 이것은 조직이 정보 보안 프로그램의 효율성을 이해하도록 돕고 규제 요구조건과 일치하도록 돕는다.

ㆍITIL이 요구하는 보고에 의해 관리자들은 조직의 정보 보안 프로세스의 효율성에 관해 잘 알 수 있고, 이것은 그들이 조직의 위험에 대해 정보에 근거한 판단을 내릴 수 있게 한다.

ㆍITIL의 지속적인 리뷰에 대한 요구는 정보 보안에 대해 요구조건, 환경, 위협 변화로서 그 효율성에 대한 측정이 계속되도록 할 것이다.

정보보안전문가들은 장애물로만 여기고 비용만 많이 잡아먹는 존재로 여겨지는 인식이 ITIL을 만나면서 바꿔놓을 수 있게 된 것이다. ITIL은 정보보안전문가가 기업의 핵심 주자로 여겨지고 조직의 목적으로 여겨지도록 바꿀 수 있게 한다.

그렇다면 당신은 어떻게 ITIL에서 이점을 취할 수 있는가? 그것에 대해 배울 시간을 가져야 한다. ITIL에 대한 많은 정보가 이용 가능하도록 준비가 되어 있으니 그것을 습득할 시간을 가져야 한다는 것. 만약 ITIL이 이미 당신의 조직에 있다면, 그 방법론을 당신의 보안 프로세스와 컨트롤 속으로 통합시켜야 한다. 혹은 ITIL이 당신의 조직에 실행되고 있는 중이라면 그것에 관련되어 제대로 활용할 수 있는 노력을 기울여야 할 것이다.

만약 당신의 조직이 아직 ITIL을 채택하지 않고 있다면, 그것을 관리자들에게 추천해야 한다. 정보보안전문가와 관리자들에게 인정받을 수 있는 입증된 프레임워크를 만날 기회가 주어지는 경우도 별로 없을 뿐 아니라 그 기회는 정보 보안을 향상시킬 것이니 이 절호의 기회를 놓치지 않길 바란다.

<글: 스티븐 윌(Steven Weil) CISSP, CISA, CBCP, Seitel Leeds & Associates 수석 보안 컨설턴트>

 

[보안뉴스(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>