2007 Readers┖ Choice Award (18)

보안관리자들은 반드시 포괄적인 평가로 위험을 없애야 한다

“위험이 클수록 수익도 크다”라는 말은 보안관리자에게 맞지 않는다. 그들에게 큰 위험은 큰 실패를 가져올 뿐이다. 그리고 위험 요소들이 시장에 따라 다르지만 위험관리 전략을 유지하기 위한 도전과제와 최상의 해결책들은 매우 비슷하다. 조지아 대학의 최고 정보보안 담당자인 스텐 게이트우드(Stan Gatewood)는 “위험관리는 정보보안 담당자에게 필수 요소이다. 알지 못한다면 보안을 유지할 수 없다”고 말한다.

또한 기업이 전략을 세우는 중이거나 이미 전략이 있는 지와 상관없이 보안책임자들은 위험을 문서화 하는 것이 그들의 가장 큰 도전과제라고 말한다. 시애틀항의 최고 정보보안 담당자인 어니 헤이든(Ernie Hayden)은 “위험은 기술운영에만 단독으로 한정되는 것은 아니다. 생각해봐야 할 규정준수 문제와 다른 난해한 위험요소들이 존재한다”고  말한다.

예산문제도 정보보안 담당자들에게 난해한 부분으로 종종 언급된다. 이것은 특히 정부의 보조를 받는 기관들에서 일하는 사람들을 힘들게 한다. 그런 기관들에서 일하면 재정에 한계가 있으며 직원들은 종종 더 적은 양을 가지고 더 많은 결과를 보여주길 원한다. 사람들 자체가 문제가 될 수도 있다. 게이트우드는 “만족감이 종종 요소가 된다.  많은 사람들은 ‘망가지지 않았다면 고치지 말자’라는 식으로 행동을 하며, 이런 수동적인 행동을 능동적으로 바꾸는 것은 큰 과제이다”고 지적했다.

그렇다면 자료분실의 위험을 줄일 수 있는 방법은 무엇인가? 재정이 있다면 위험을 멀리할 뿐만 아니라 투자수익률을 높일 수 있는 제품을 사용해야 한다. 재정이 부족한 이들은 위험 평가, RMS의 기초를 위한 지침서를 제공하기 위해 NIST 800-30, COSO와 ISO 27001과 같은 정책들과 기준들을 살펴보아야 한다. 위험평가가 이루어진 다음에는 최고 정보보안 책임자가 위험의 종류를 분류하고 수용할 수 있는 위험 레벨을 정해야 한다. 거기서 모든 계층에 대한 교육이 이루어져야 한다.

헤이든은 “전 분기별로 직원들이 자발적으로 참석할 수 있는 간략한 회의를 주최한다”고 말한다. 그는 “각각의 회의들은 모든 계층의 직원들을 교육시키기 위한 목적을 지니고 있고, 그렇게 함으로써 직원들이 그들이 어디에 집중해야 하는 지를 알려주어 그들이 좀 더 관여되어 있다고 느끼게 한다”고 덧붙였다. 헤이든에 따르면 똑같이 중요한 것은 모아진 정보로 그들이 무엇을 하던 간에 임원들을 존중하고 믿어야 한다는 점이다.

그들은 사업이 실패할 수 있는 당신이 모르는 무언가를 알 수도 있기 때문이다. 최종적으로 보안이슈에 뒤떨어지지 않도록 노력하고 모든 레벨에서 연구해야 한다. 헤이든은 “악한 존재들은 더욱 정교해지고 있으며, 기술적 제어는 예전만큼 효과적이지 못하다. 그렇기 때문에 우리는 모든 위험 요소들에 대해 생각해 봐야 한다”고 말한다.

GUIDANCE

자동화 정책관리에 힘을 실어줄 정책, 법, 지침의 표준화된 표현을 찾아보라. 기업의 정책 및 관리와 관련된 업무의 자동화를 철저하게 표준에 기초로 둠으로써 위험과 재정을 줄일 수 있다.

위협 비즈니스 우려 없애기

규정준수 요구가 정보보안에서 전체적인 위험관리의 책임을 주어 의무를 늘리면서, 보안 담당자가 위험과 정책 관리는 이제 위험평가, 기술정책, 기업정책 및 규정준수

관리를 포함한다는 것을 깨닫는 것이 중요하다.

Size

위험평가 / 7000만 달러, 정책관리(기술정책시장과 기업정책시장을 합친 금액) / 2억 달러 이상, 규정준수 관리 / 1억 2000만 달러 (Forrester 연구소 조사)

Maturity

위험평가 / 미숙기, 정책관리 / 성숙기, 규정준수 관리 / 빠르게 성숙기 (Forrester 연구소 조사)

Leaders

위험평가 / Skybox, 기술정책관리(SEM/신원 및 이용관리 업체 포함) / Endpoint protection product suite(Endpoint), 기업정책관리 / Archer Technologies, 규정준수 관리 / IBM Tivoli Security Compliance Manager (Forrester 연구소 조사)

Contenders

위험평가 / Deloitte와 Verisign과 같은 서비스 업체들, 기술정책관리(SEM/신원 및 이용관리 업체 포함) / Arcsight(SEM), ca eTrust(신원 및 이용관리), 기업정책관리 / 감사서비스 업체들, 규정준수 관리 / NetIQ Compliance Suite (Forrester 연구소 조사)

Innovation

자동화 정책 관리, 지도단속 기준 및 단속관련 법적 요구사항들, 기술적/비기술적 단속 모두의 효과의 평가, 모두를 해결할 수 있는 해결책이 가장 중요

Disruptions

사람들은 그들이 하는 방식대로 투자하기 때문에 시장의 수용성이 쟁점

Copyright ⓒ 2006 Information Security and TechTarget