| 보안정책 VS 감사 요구사항 | 2007.12.17 | |||
보안팀을 감사요구사항으로부터 떨어뜨려놓는 것은 균형을 유지하기 힘든 일이다.
내부 감사관, 외부 감사관, 그리고 사베인스-옥슬리(SOX : Sarbanes-Oxley) 프로그램 관리부서에서 나온 직원들, 컴플라이언스, 기업 지속성과 기업 위험관리 사무실… 이 모든 감사요소들은 각각의 관리업무 지원을 위해 직원을 바라보고 있다. 나와 함께 일하는 보안 관련부서 직원들은 액세스 컨트롤과 같은 관리의 설계, 분석, 변경, 보고를 해야 한다. 나는 직원들이 너무 많은 방향으로 밀려가지 않도록 인터페이스를 운영해야 한다. 다양한 요구로 인해 직원들은 흩어지게 되고, 나는 그들을 묶어둘 수 있는 방책을 마련해야 한다. 게다가 나는 관리기능에 책임이 있는 동료들을 도와야 한다. 감사관과 나는 기본적으로 잘 관리된 정보시스템이라는 공통된 목표를 갖고 있다. 문제는 기간이다. 모든 것을 동시에 할 수 없기 때문에 작업에 있어 우선순위를 매겨야 한다. 직원들이 위협과 위험을 이해하지 못한다는 확신이 있었다면, 나는 사임하고 다른 누군가가 우리의 일에 대해 우선순위를 매기게 할 것이다. 그러나 나에게는 직원들이 그 정보 분류는 할 수 있다는 확신이 있다. 감사는 관리가 비교적 쉬운 내부감사에서 시작해 외부감사, 금융서비스 현대화 법률(GLBA : Gramm Leach Bliley Act), 주 시장 분석, 그리고 보안 및 교환 커미션, 투자 기업 보고 등 복잡한 것으로 이어진다. 작업을 수행하는 도중 가장 우리를 당황스럽게 만드는 것은 우리가 실시한 작업이 이전에 감사관에게 지적을 받은 것과 같다는 점이다. 이와 동시에 SOX의 유령이 우리를 괴롭히기 시작한다. 한때 나는 SOX가 보안의제를 앞으로 내세우도록 도움을 줄 것이라고 순진하게 믿었다. SOX는 기본적으로 재정 신뢰도를 보호하는 것이고, 이는 내 임무와 일치하는 것이었기 때문이다. 얼마 지나지 않아 나는 SOX를 실시하는 감사관이 보안정책을 위해 일하지 않으며, 오히려 내가 그들의 의제를 위해 일한다는 것을 알았다. 게다가 그들은 나와 같은 시간개념을 갖지 않았다. 사실 우리 직원은 모두 감사관의 관리업무와 관련을 맺고 있었으며, 이 과정에 보안의제는 눈에 띄지 않게 되었다. 나는 이처럼 이질적인 관리노력의 접점을 찾기 위해 애쓰고 있다. 우리가 똑같은 일을 반복적으로 하는 것을 피할 수 있다면, 우리는 시간과 노력을 절약할 수 있을 것이다. 관리업무의 접점을 찾는 것 외에도 나는 업무 우선순위를 정하는데 도움을 되는 위험을 평가하고 위험도를 활용한다. 우리가 모든 잘못된 것을 일시에 치료할 수 없기 때문에 가장 큰 위험을 먼저 다루고 나머지는 시간을 두고 해결한다. 우리의 계획은 우리 자신의 의제를 모두 희생하지 않고 보안 전략에 대해 추구하는 것을 버리지 않고 우리가 할 수 있는 만큼 그들의 관리 관련 프로젝트 속에서 우리의 동료들을 돕는 것이다. 대형 타자를 돌보기 위해 우리는 우리의 위험을 충분히 줄이고 모든 사람들을 편안하게 만들기에 충분할 만큼 열기를 식힐 수 있어야 한다.
<글: 브루스 H. 본살(BRUCE H. BONSALL)> 브루스 H. 본살은 매슬뮤타추얼 파이낸셜 그룹(MassMutual Financial Group)의 CISO이다. Copyright ⓒ 2006 Information Security and TechTarget
[월간 정보보호21c 통권 제88호(info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> |
||||
 |
