어떻게 기업정보 보안 프로그램을 구축할 것인가? 대부분의 CISO들은 그걸 찾아낼 필요가 없지만, 2005년 펜실베니아주의 CISO가 된 밥 메일리에게 그것은 앞에 닥친 현실이었다. 그가 2년간 일하며 절약한 돈은 2천7백만불이 넘는다. 메일리는 전반적인 전략과 제한된 예산으로 8만명의 사용자들에 대한 아키텍처를 통합해야 하는 과제에 대해 말한다.

CISO 일을 인계 받을 때의 환경이 어떠했는가?

나는 매우 사일로(silo) 같은 환경 속에 들어갔다. 안티바이러스와 패칭에서 떨어져 제자리에 놓인 프로그램이 없었다. 우리 주에 속한 47개의 기관은 보안에 대해 다른 견해를 갖고 있었다. 그것들은 4~5년 전의 정책들이어서 많은 과제가 있었다. 기관들은 자체적으로 컨텐츠 필터링을 다뤘고 그것이 제대로 시행됐다는 보장이 없었다. 그것이 매월 10억 개의 사건을 살피는 네트워크상에 있는 문제였다. 기관마다 다른 서버 구조를 지니고 있었고 공통된 데스크탑 이미지가 없었다. 따라서 우리는 신분 및 엑세스 관리 프로그램인 침투방지 네트워크와 보안평가체계를 설치했지만 모든 것을 한 번에 통합할 수는 없었다.

느리게 미리 진행되는 정부 예산 절차의 문제를 어떻게 해결했는가?

보안환경은 신속하게 변화하지만, 나의 시간 계획은 그렇지 못하다. 우리가 지금 하는 모든 것은 확고하고 민첩하게 대응할 수 있는 방안을 찾아야 한다. 이에 우리에게 중요한 소스였던 다수의 주가 참여하는 ISAC와의 관계를 발전시켰다. 그것은 단지 사건을 다루는 것이 아니라 다른 주들이 무엇을 하는 지에 대한 정보를 교환했다. 우리는 다른 기관들과 정보를 공유하면서 정보가 개별 보안 사업자들에게 내려가지 않는다는 것을 알게 됐다. 이에 따라 우리는 매우 기술적인 월례 미팅인 CISO와의 원탁회의를 갖고 이를 보완했다.

보안과 관련된 사용자들을 교육하기 위해 많은 일을 해야 할 필요성을 느꼈는가?

우리는 사용자들을 교육할 능력이 부족하다고 느꼈다. 지금 우리는 훈련을 위해 시스코, 마이크로소프트와 ISS 등에서 온 사람들을 초빙하고 10월을 보안을 일깨우는 달로 정하고 교육을 시행했다. 지금 우리에게는 온라인 기업 차원의 보안 환기 프로그램도 있고 모든 주 직원은 교육을 받아야 한다. 우리에게는 직원들과 시민들이 필요로 하는 모든 정보를 갖춘 기업 보안 포털이 있다.

<글:  데니스 피셔[dennis Fisher]>

Copyright ⓒ 2006 Information Security and TechTarget

 

[월간 정보보호21c 통권 제88호(info@boannews.com)]

             

             <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>