2012.10.12

기고 | CSO의 8가지 고민, 그리고 해답

Jason Clark | CSO
회사에서 힘든 하루를 보내고 퇴근한 후에도 많은 CSO와 CISO들은 직장에서 마주하는 힘든 일들을 해결할 더 쉽고 나은 방법을 찾는데 보내게 된다. 모르긴 몰라도 필자는 항상 그랬다. 올해 수많은 업계 동료들과 이야기를 나눴는데, 이들의 희망상항과 고민, 그리고 해결 방안을 공유하고자 한다.
 

필자가 지난해 가장 많이 들었던 CSO들의 8가지 희망사항들을 소개한다:

1. 복잡성이 아닌 단순성이 필요하다
우리의 IT 세상에는 너무나도 많은 일들이 벌어지고 있다. 새로운 클라우드 컴퓨팅, 모바일, 소셜 네트워킹 기술, 기타 혁신들이 우리의 인프라에 넘쳐난다. 현업에도 아주 많은 기술들이 있는데, 서로 어울리지 못하는데다 서로간에 소통도 잘 일어나지 않는게 현실이다.

불행히도 이 문제는 점점 악화되고 있다. 운영 효율과 효과를 부정하는 것은 전체 조직에 나쁜 영향을 미친다. 너무 많은 보안 솔루션들이 1,000가지 기능을 제공하지만, 대부분 사람들은 겨우 100개 가량을 활용할 뿐이다. 우리는 실제로 이야기하고, 지식을 공유하고, 서로에게 배울 수 있는 솔루션들로 효과를 높여야 한다.

2. 너무 많은 데이터와 정보에 압도되고 싶지 않다
방화벽, AV, IDS/IPS, 로드 밸런서, 라우터, 스위치, DLP, 웹 보안 게이트웨이, MDM, 이메일 게이트웨이, 액티브 디렉토리(Active Directory), 수 천 개의 애플리케이션, 수 천 개의 데이터베이스 등등. 우리는 우리가 일상적으로 볼 필요가 없는 데이터 속에 파묻혀 있다. 많은 CISO들에게 물었다: “당신이 IDS나 방화벽 로그에서 얻는 가치는 무엇인가?”

대부분의 CISO들은 너무 많은 데이터가 있기 때문에 거의 가치를 얻지 못한다고 말한다. 그리고 이 문제는 앞으로도 해결되지 않을 것이다. 심지어 SIEM(보안 정보 및 이벤트 관리)같은 아이템들도 지능적이지 않다. 그들은 구동하기 복잡하고, 단순히 데이터를 정보로 바꿀 뿐이다. 그러나 우리가 필요로 하는 게 꼭 정보만은 아니다. 어떤 행동을 취해야 할 지 이해하기 위해서는, 여전히 정보를 수집하고 분석해야 한다. 거기에다 행동 목록보다 더 많은 것들이 필요할 것이다. CSO들은 효과적인 전반적 위험 관리 전략을 제공하는 안내 지침이 필요하다.

3. 우리는 데이터를 지혜로 바꿔야 한다
CSO는 최선의 보안 결정을 내리기 위해 지혜를 활용하려면 데이터가 필요하다. 그렇게 하기 위해서, 데이터는 정보로 전환돼야 한다. 또한 정보는 인텔리전스를 제공해야 한다. 인텔리전스는 CSO가 그들의 보안 지혜를 구축하는데 도움을 줄 것이다. CSO가 더 많은 인텔리전스를 받을수록, 혜택 또한 커진다. 불행히도 필자가 위에 제시한 솔루션들 중 다수는 정보를 인텔리전스로 바꿔주지 못한다. 그저 단순 정보만 제공해, 수동적인 행동과 능동적인 행동 사이의 고민을 초래할 뿐이다.

4. 우리는 미래의 위험에 대응하는 자세가 필요하다
필자는 간편하게 구축할 수 있는 위험-기반 접근방식의 지금 당장 필요하다는 말을 하고 있다. 오늘날의 구매 결정은 오래된 경험과 과거의 환경에 근거한 배짱 구매가 대부분이다. 그리고 거버넌스, 위험 관리, 규제 준수(GRC) 솔루션들이 존재하지만, 보통 이런 솔루션들은 규칙을 기반으로 하며 지능적이지 않은데다, 지나치게 복잡하다. 게다가 데이터-중심적 견해도 취하지 않는다.

또한 많은 위험과 준수 솔루션들은 상당히 비싸기 때문에, 비용을 감당할 수 있는 회사가 많지 않다. 우리는 구축과 관리가 쉬운 GRC 솔루션이 필요하다. 더 많은 CSO들이 다른이들과 협력하고 클라우드를 도입함에 따라 GRC는 직접적 인프라 통제를 점점 줄일 것이기 때문에, 위험 관리를 도와주는 미래의 툴이 될 것이다.


CSO / CISO


2012.10.12

기고 | CSO의 8가지 고민, 그리고 해답

Jason Clark | CSO
회사에서 힘든 하루를 보내고 퇴근한 후에도 많은 CSO와 CISO들은 직장에서 마주하는 힘든 일들을 해결할 더 쉽고 나은 방법을 찾는데 보내게 된다. 모르긴 몰라도 필자는 항상 그랬다. 올해 수많은 업계 동료들과 이야기를 나눴는데, 이들의 희망상항과 고민, 그리고 해결 방안을 공유하고자 한다.
 

필자가 지난해 가장 많이 들었던 CSO들의 8가지 희망사항들을 소개한다:

1. 복잡성이 아닌 단순성이 필요하다
우리의 IT 세상에는 너무나도 많은 일들이 벌어지고 있다. 새로운 클라우드 컴퓨팅, 모바일, 소셜 네트워킹 기술, 기타 혁신들이 우리의 인프라에 넘쳐난다. 현업에도 아주 많은 기술들이 있는데, 서로 어울리지 못하는데다 서로간에 소통도 잘 일어나지 않는게 현실이다.

불행히도 이 문제는 점점 악화되고 있다. 운영 효율과 효과를 부정하는 것은 전체 조직에 나쁜 영향을 미친다. 너무 많은 보안 솔루션들이 1,000가지 기능을 제공하지만, 대부분 사람들은 겨우 100개 가량을 활용할 뿐이다. 우리는 실제로 이야기하고, 지식을 공유하고, 서로에게 배울 수 있는 솔루션들로 효과를 높여야 한다.

2. 너무 많은 데이터와 정보에 압도되고 싶지 않다
방화벽, AV, IDS/IPS, 로드 밸런서, 라우터, 스위치, DLP, 웹 보안 게이트웨이, MDM, 이메일 게이트웨이, 액티브 디렉토리(Active Directory), 수 천 개의 애플리케이션, 수 천 개의 데이터베이스 등등. 우리는 우리가 일상적으로 볼 필요가 없는 데이터 속에 파묻혀 있다. 많은 CISO들에게 물었다: “당신이 IDS나 방화벽 로그에서 얻는 가치는 무엇인가?”

대부분의 CISO들은 너무 많은 데이터가 있기 때문에 거의 가치를 얻지 못한다고 말한다. 그리고 이 문제는 앞으로도 해결되지 않을 것이다. 심지어 SIEM(보안 정보 및 이벤트 관리)같은 아이템들도 지능적이지 않다. 그들은 구동하기 복잡하고, 단순히 데이터를 정보로 바꿀 뿐이다. 그러나 우리가 필요로 하는 게 꼭 정보만은 아니다. 어떤 행동을 취해야 할 지 이해하기 위해서는, 여전히 정보를 수집하고 분석해야 한다. 거기에다 행동 목록보다 더 많은 것들이 필요할 것이다. CSO들은 효과적인 전반적 위험 관리 전략을 제공하는 안내 지침이 필요하다.

3. 우리는 데이터를 지혜로 바꿔야 한다
CSO는 최선의 보안 결정을 내리기 위해 지혜를 활용하려면 데이터가 필요하다. 그렇게 하기 위해서, 데이터는 정보로 전환돼야 한다. 또한 정보는 인텔리전스를 제공해야 한다. 인텔리전스는 CSO가 그들의 보안 지혜를 구축하는데 도움을 줄 것이다. CSO가 더 많은 인텔리전스를 받을수록, 혜택 또한 커진다. 불행히도 필자가 위에 제시한 솔루션들 중 다수는 정보를 인텔리전스로 바꿔주지 못한다. 그저 단순 정보만 제공해, 수동적인 행동과 능동적인 행동 사이의 고민을 초래할 뿐이다.

4. 우리는 미래의 위험에 대응하는 자세가 필요하다
필자는 간편하게 구축할 수 있는 위험-기반 접근방식의 지금 당장 필요하다는 말을 하고 있다. 오늘날의 구매 결정은 오래된 경험과 과거의 환경에 근거한 배짱 구매가 대부분이다. 그리고 거버넌스, 위험 관리, 규제 준수(GRC) 솔루션들이 존재하지만, 보통 이런 솔루션들은 규칙을 기반으로 하며 지능적이지 않은데다, 지나치게 복잡하다. 게다가 데이터-중심적 견해도 취하지 않는다.

또한 많은 위험과 준수 솔루션들은 상당히 비싸기 때문에, 비용을 감당할 수 있는 회사가 많지 않다. 우리는 구축과 관리가 쉬운 GRC 솔루션이 필요하다. 더 많은 CSO들이 다른이들과 협력하고 클라우드를 도입함에 따라 GRC는 직접적 인프라 통제를 점점 줄일 것이기 때문에, 위험 관리를 도와주는 미래의 툴이 될 것이다.


CSO / CISO
X