2019.07.12

그들은 만나야 한다··· ‘IT 전략’에 ‘IT 보안’을 제대로 통합하는 방법

Bob Violino | CIO
정보 보안이 IT의 필수적인 부분이 되어가면서 조직 또한 융합되는 현상이 점차 많은 기업에서 나타나고 있다. 

오늘날 많은 기업들이 IT 보안 전략과 IT 전략을 더욱 긴밀하게 통합하려 시도하고 있다. 여기에는 부서를 혼합하고 리더십 구조를 바꾸며 개발 파이프라인 초기에 보안을 포함시키는 등의 행보가 포함된다.

2019 CIO 현황 설문조사에 따르면 조직 중 약 2/3가 IT 보안 전략과 IT 전략이 긴밀히 통합되어 있다고 밝혔으며 IT 보안이 IT 로드맵 및 프로젝트의 핵심 구성요소로 나타났다. 

나아가 앞으로 이 둘을 더욱 구분하기 어려워질 것이며 조직 중 83%는 향후 3년 이내에 IT 보안 전략을 전반적인 IT 전략에 긴밀히 통합할 것으로 예상된다. 보안 컨설팅 기업 모스 아담스(Moss Adams)의 수석 사이버 보안 책임자 네이썬 웬즐러는 "IT와 보안 전략이 한데 어우러질 전망이다. 과거에 본 것과는 다른 방식일 것이다"라고 말했다.

웬즐러는 이어 "흔히 정보 보안을 IT 부서의 부분 집합으로 인식하고 방화벽과 스팸 필터 등의 보안 툴을 관리하는 곳으로 바라보곤 했었다. 그러나 이제는 점차 인포섹 팀들의 참된 모습을 고려하고 있다. 그것은 위험 관리 기능이다"라고 말했다.

현재 IT와 보안 전략이 가장 긴밀하게 정렬되어 있는 분야는 ‘위험 관리 및 완화’다. 보편적인 예가 애플리케이션 보안이다. 오늘날 보안팀들은 개발자의 시험대에서 생산까지 코드를 안전하게 이동하는 방법과 그 과정에서의 적절한 시험 및 통제에 대한 관심이 훨씬 더 크다고 웬즐러가 말했다.

그에 따르면 향후 보안 전략은 인간 오류나 실수에 의해 코드가 해킹 당할 수 있거나 무결성을 상실할 수 있는 영역을 확인하는 한편, 이런 위험을 완화하거나 없애기 위해 할 일에 대한 권고사항을 제공하는 것에 초점 맞춰질 것으로 예상된다.

웬즐러는 "그러면 IT팀이 개입하여 기존 인프라에 어떤 툴이 가장 적합한지 확인하고 기존의 개발 툴 및 프로세스와 통합하며 적절한 기술을 이행하여 이런 통제력을 제공할 것이다. 현대적인 전략이 유효한 지점이 바로 여기다. 보안팀이 IT 전문가이기를 기대할 필요가 없고, 반대의 경우도 마찬가지이다"라고 말했다. 

보안 활동을 IT 전략에 좀 더 긴밀하게 통합하는 방법을 살펴본다.
 
ⓒ Image Credit : Getty Images Bank



최고 보안 임원에게 자율권을 제공하라
IT와 보안을 더욱 긴밀하게 한다고 해서 보안 임원의 권한을 빼앗아서는 안 된다. 사실, 전략적 측면에서 볼 때 오히려 더 많은 권한을 제공해야 한다.

스토리지, 서버, 네트워킹 하드웨어를 위한 유지보수 서비스를 제공하는 PPT(Park Place Technologies)에서 IT 전략 및 IT 보안 전략은 긴밀히 통합되어 있으며 사이버 보안 책임자들이 핵심적인 역할을 담당한다고 회사의 CIO 마이클 칸터가 말했다.

그는 "우리의 정보 보안 책임자는 연례 예산 사이클을 포함하여 모든 전략적 논의에 참여한다. 그는 5개년 보안 로드맵을 수립했고 여기에는 해당 년도 중 기대하는 진행상황을 달성하기 위해 각 보안 기능에 대한 목표가 포함되어 있다"라고 전했다. 

예를 들어, PPT의 보안 책임자가 보유한 목표 중 하나는 회사가 더 낮은 비용으로 더욱 자주 스캔할 수 있도록 취약성 스캔에 대한 내부적인 역량을 높이는 것이다. 특히, 이 목표는 인프라 측면의 2019년 목표에 통합되어 있다. 그리고 이것은 해당 기술을 이용해 더욱 자주 스캔하는 것에 초점을 둔 내부적인 스캔 기술과 프로젝트의 이행으로 이어진다고 칸터가 전했다.

보안 부문은 조직 내 적절한 위치를 가져야 하며, CEO는 아니더라도 최소한 CIO에게 보고해야 한다고 칸터는 덧붙였다. 그는 "인프라 등 다른 IT 기능 내부에서 억압받지 않고 보안의 목소리를 내기 위해서는 독립성이 필요하다"라고 말했다.

통합에 대한 고위 임원의 후원이 필요
고위직의 지원이 없어 방향을 잃은 계획들은 무수히 많다. IT와 보안의 통합 역시 같은 운명에 처할 수 있다.

글로벌 가구 설계 및 제조 기업 하워스(Haworth)의 프라이버시 책임자 조 카다몬은 "이사회, 임원진, 리더십팀의 지원을 확보하라. 인터넷상에 정보 보안 아키텍처 및 전략의 조기 통합의 이점에 대한 많은 정보가 존재한다"라고 말했다.

카다몬은 혜택을 입증하고 리더십의 승인과 지원을 획득하면 장벽을 무너뜨리는데 도움이 된다고 설명하며, 고위 임원이 보안의 가치를 이해하는 경우 IT와 보안 통합의 가치를 알아볼 가능성이 높다고 전했다.

그는 "정보 보안이 워크플로의 또 다른 장애물이 아니라 비즈니스에 어떻게 도움이 될 수 있는지 보여주라"라고 말했다.

IT와 보안이 각각 고위 임원에 대한 직접적인 접촉점을 가지고 있다면 더욱 좋다. 전기 도급기업 RE(Rosendin Electric)에서는 이런 직접적인 관계이 반드시 필요하다고 사이버 보안 및 준수성 고위 책임자 제임스 맥기브니가 말했다. 

그는 "다행히도 우리의 사이버 보안 그룹은 IT 조직 내에 속해 있고 CIO와 CEO에게 직접 보고한다. 그들은 모든 임원들과 함께 진행 중인 IT 및 보안 프로젝트를 적극 지원하고 있다"라고 말했다.




2019.07.12

그들은 만나야 한다··· ‘IT 전략’에 ‘IT 보안’을 제대로 통합하는 방법

Bob Violino | CIO
정보 보안이 IT의 필수적인 부분이 되어가면서 조직 또한 융합되는 현상이 점차 많은 기업에서 나타나고 있다. 

오늘날 많은 기업들이 IT 보안 전략과 IT 전략을 더욱 긴밀하게 통합하려 시도하고 있다. 여기에는 부서를 혼합하고 리더십 구조를 바꾸며 개발 파이프라인 초기에 보안을 포함시키는 등의 행보가 포함된다.

2019 CIO 현황 설문조사에 따르면 조직 중 약 2/3가 IT 보안 전략과 IT 전략이 긴밀히 통합되어 있다고 밝혔으며 IT 보안이 IT 로드맵 및 프로젝트의 핵심 구성요소로 나타났다. 

나아가 앞으로 이 둘을 더욱 구분하기 어려워질 것이며 조직 중 83%는 향후 3년 이내에 IT 보안 전략을 전반적인 IT 전략에 긴밀히 통합할 것으로 예상된다. 보안 컨설팅 기업 모스 아담스(Moss Adams)의 수석 사이버 보안 책임자 네이썬 웬즐러는 "IT와 보안 전략이 한데 어우러질 전망이다. 과거에 본 것과는 다른 방식일 것이다"라고 말했다.

웬즐러는 이어 "흔히 정보 보안을 IT 부서의 부분 집합으로 인식하고 방화벽과 스팸 필터 등의 보안 툴을 관리하는 곳으로 바라보곤 했었다. 그러나 이제는 점차 인포섹 팀들의 참된 모습을 고려하고 있다. 그것은 위험 관리 기능이다"라고 말했다.

현재 IT와 보안 전략이 가장 긴밀하게 정렬되어 있는 분야는 ‘위험 관리 및 완화’다. 보편적인 예가 애플리케이션 보안이다. 오늘날 보안팀들은 개발자의 시험대에서 생산까지 코드를 안전하게 이동하는 방법과 그 과정에서의 적절한 시험 및 통제에 대한 관심이 훨씬 더 크다고 웬즐러가 말했다.

그에 따르면 향후 보안 전략은 인간 오류나 실수에 의해 코드가 해킹 당할 수 있거나 무결성을 상실할 수 있는 영역을 확인하는 한편, 이런 위험을 완화하거나 없애기 위해 할 일에 대한 권고사항을 제공하는 것에 초점 맞춰질 것으로 예상된다.

웬즐러는 "그러면 IT팀이 개입하여 기존 인프라에 어떤 툴이 가장 적합한지 확인하고 기존의 개발 툴 및 프로세스와 통합하며 적절한 기술을 이행하여 이런 통제력을 제공할 것이다. 현대적인 전략이 유효한 지점이 바로 여기다. 보안팀이 IT 전문가이기를 기대할 필요가 없고, 반대의 경우도 마찬가지이다"라고 말했다. 

보안 활동을 IT 전략에 좀 더 긴밀하게 통합하는 방법을 살펴본다.
 
ⓒ Image Credit : Getty Images Bank



최고 보안 임원에게 자율권을 제공하라
IT와 보안을 더욱 긴밀하게 한다고 해서 보안 임원의 권한을 빼앗아서는 안 된다. 사실, 전략적 측면에서 볼 때 오히려 더 많은 권한을 제공해야 한다.

스토리지, 서버, 네트워킹 하드웨어를 위한 유지보수 서비스를 제공하는 PPT(Park Place Technologies)에서 IT 전략 및 IT 보안 전략은 긴밀히 통합되어 있으며 사이버 보안 책임자들이 핵심적인 역할을 담당한다고 회사의 CIO 마이클 칸터가 말했다.

그는 "우리의 정보 보안 책임자는 연례 예산 사이클을 포함하여 모든 전략적 논의에 참여한다. 그는 5개년 보안 로드맵을 수립했고 여기에는 해당 년도 중 기대하는 진행상황을 달성하기 위해 각 보안 기능에 대한 목표가 포함되어 있다"라고 전했다. 

예를 들어, PPT의 보안 책임자가 보유한 목표 중 하나는 회사가 더 낮은 비용으로 더욱 자주 스캔할 수 있도록 취약성 스캔에 대한 내부적인 역량을 높이는 것이다. 특히, 이 목표는 인프라 측면의 2019년 목표에 통합되어 있다. 그리고 이것은 해당 기술을 이용해 더욱 자주 스캔하는 것에 초점을 둔 내부적인 스캔 기술과 프로젝트의 이행으로 이어진다고 칸터가 전했다.

보안 부문은 조직 내 적절한 위치를 가져야 하며, CEO는 아니더라도 최소한 CIO에게 보고해야 한다고 칸터는 덧붙였다. 그는 "인프라 등 다른 IT 기능 내부에서 억압받지 않고 보안의 목소리를 내기 위해서는 독립성이 필요하다"라고 말했다.

통합에 대한 고위 임원의 후원이 필요
고위직의 지원이 없어 방향을 잃은 계획들은 무수히 많다. IT와 보안의 통합 역시 같은 운명에 처할 수 있다.

글로벌 가구 설계 및 제조 기업 하워스(Haworth)의 프라이버시 책임자 조 카다몬은 "이사회, 임원진, 리더십팀의 지원을 확보하라. 인터넷상에 정보 보안 아키텍처 및 전략의 조기 통합의 이점에 대한 많은 정보가 존재한다"라고 말했다.

카다몬은 혜택을 입증하고 리더십의 승인과 지원을 획득하면 장벽을 무너뜨리는데 도움이 된다고 설명하며, 고위 임원이 보안의 가치를 이해하는 경우 IT와 보안 통합의 가치를 알아볼 가능성이 높다고 전했다.

그는 "정보 보안이 워크플로의 또 다른 장애물이 아니라 비즈니스에 어떻게 도움이 될 수 있는지 보여주라"라고 말했다.

IT와 보안이 각각 고위 임원에 대한 직접적인 접촉점을 가지고 있다면 더욱 좋다. 전기 도급기업 RE(Rosendin Electric)에서는 이런 직접적인 관계이 반드시 필요하다고 사이버 보안 및 준수성 고위 책임자 제임스 맥기브니가 말했다. 

그는 "다행히도 우리의 사이버 보안 그룹은 IT 조직 내에 속해 있고 CIO와 CEO에게 직접 보고한다. 그들은 모든 임원들과 함께 진행 중인 IT 및 보안 프로젝트를 적극 지원하고 있다"라고 말했다.


X