2012.10.12

리스크 관리에 대해 CIO가 알아야 할 5가지

Elizabeth Heichler | CIO
리스크는 어디에나 있다. 당신이 IT에서 리스크를 최소화하려 한다면, 당신은 추가적인 리스크를 수용하는 것이다. 여기 소개된 팁을 따라 하면서 독자 여러분들이 리스크 관리에 대한 현명한 접근 방법을 배우길 바란다.

산업 스파이, 규제 준수, 갑작스런 기후 변화, 통화 스와프. 리스크는 어디에나 존재하며 리스크를 IT로만 국한시켜 최소화려 한다면, 당신은 핵심을 놓치게 될 것이다.

그보다는 귀사가 리스크에서 이익을 얻도록 하는, 현명하게 리스크를 관리하는 CIO가 되는 법을 익혀라.

1. 우선 사내 IT부서부터 점검하라
당신은 안정적이고 활용 가능하며 잘 보호되고 복구가능한 IT인프라를 제공하는 능력에 영향을 줄 수 있는 이벤트를 확실히 파악하고 계획해야 한다. 하지만 당신은 네트워크 위반이나 데이터 유출 같은 IT의 영역에 직접 침범하는 리스크에서 좀더 확대해 고려해야 하고 기업 내 기술이 자산 보호나 유출에서 어떤 역할을 할 지 넓게 봐야 한다.

"내가 본 많은 IT부서들은 정말로 IT에 대한 리스크나 데이터 유출만 관리하고 있다. 지적 자산에 대해서 뭔가 하는 사람은 아무도 없었다”라고 ISACA의 리스크 고문이자 밸류브릿지(Value Bridge)의 수석 애널리스트인 브라이언 바니어는 말했다. 그리고 IT부서원들과 리스크 우선순위에 대해 지나치리만큼 커뮤니케이션 하라. IT부서원들이 CIO보다 더 위협의 세부적인 부분에 집중할 수도 있기 때문이다.

2. 리스크 관리는 규제 준수만을 의미하는 것이 아니다
그렇다. 사베인-옥슬리, HIPAA, 기타 규제를 준수하는 것은 분명 리스크 관리의 한 부분이다. 하지만 규제 준수가 리스크 관리의 전부인 냥 생각하지는 말아야 한다. "흔히 위험 정보에 대해 이야기 할 때, 누가 비즈니스를 지원하는 핵심 IT인프라를 제공하고 있는지를 잘 알고 있고 당신을 곤경에 빠뜨리는 모든 것을 이해하고 있는 사람이 바로 CIO다"라고 딜로이트&터치LLP(Deloitte & Touche LLP) 원장 빌 코벨은 말했다. 하나의 규제 준수에만 집중하는 대신, 귀사가 선두 자리를 지킬 수 있는 인재와 기술을 제대로 갖췄는지를 자문해 보라. 하지만 당신이 규제 준수라는 사고에 갇혀 문서의 확인란만 작성하고 있다면, 비즈니스 목적을 간과하는 것이라고 바니어는 전했다.

3. 전사 리스크 관리 경험은 좋은 기회다
CIO는 리스크 관리에 대해 전사적으로 좀더 정교한 접근 방법을 주도할 수 있는 위치에 있는 사람이다. 특히 IT주도형 프로세스에 크게 의존하는 회사에서 CIO는 정보에 가장 접근할 수 있기 때문이다. "현업이 IT에 의존하며 CIO가 CIO가 비즈니스 프로세스에 대해 더 많이 이해할수록 CIO는 리스크를 제대로 관리하는 C레벨로서 진짜 대변인이 될 수 있다”라고 바니어는 말했다. “IT 중심의 리스크 프레임워크를 구축한 CIO는 쉽게 기업 전체의 리스크 관리 동력으로 이 프레임워크를 다시 바꿀 수 있다"라고 그는 덧붙였다. 이는 CIO 개인에게도 득이 되고 회사가 감지한 위험을 감수하면서 좀더 수익을 낼 수 있도록 주도할 수 있다.

4. 바로 갖다 쓸 수 있는 리스크 프레임워크와 표준들이 있다
IT와 비즈니스 운영 관련 리스크를 이해하는 사람이 아무도 없더라도 좌절은 금물이다. 당신을 베스트 프랙티스로 끌어줄 여러 프레임워크와 표준들이 있기 때문이다. 대표적인 것이 기술 거버넌스 비영리 단체인 ISACA(이 그룹은 좀더 일반적인 전사 IT관리 프레임워크인 COBIT으로 유명하다)와 ISO 31000의 리스크-IT(Risk-IT)다. 하지만 이 프레임워크를 적용하는 방법에 대해서는 늘 주의해야 한다고 코벨은 경고했다. 종종 사내 전문가들은 프레임워크가 보안, 개인정보 보호, 비즈니스 연속성, 또는 규제 준수 등 무엇을 기반으로 했느냐에 따라 다르다는 점을 잘 알고 있다. 이 프레워크는 종종 기업이 실제로 운영하는 방식에 연결되기보다는 통제와 요구 같은 알맹이 없는 전술 수준으로 쓰이게 된다.

5. 나쁜 의도를 가진 무리들이 귀사를 어떻게 공격할 지 알고 있다
당신이 비즈니스 프로세스에 직접 리스크 관리를 연결하지 않아도, 당신을 노리는 누군가가 존재한다는 사실을 알고 있어야 한다. 나쁜 의도를 가잔 자들은 제품과 서비스에서 당신의 기본 운영 행동을 관찰해 취약점을 파악해 소셜 엔니지어링이나 인프라를 통해 당신을 공격할 방법을 알아내고 있다고 코벨은 말했다. 이는 내부자들도 마찬가지다. "그들은 비즈니스 프로세스에 대한 타고난 지식이나 활동을 가지고 있다. 그들은 목표를 달성하기 위해 허술한 지점을 탐색하고 내부 통제를 우회하기 시작했다"라고 코벨은 덧붙였다. "그들이 겨냥하고 있는 것은 비즈니스 쪽이다."

*Elizabeth Heichler는 CIO닷컴 기자다. ciokr@idg.co.kr



2012.10.12

리스크 관리에 대해 CIO가 알아야 할 5가지

Elizabeth Heichler | CIO
리스크는 어디에나 있다. 당신이 IT에서 리스크를 최소화하려 한다면, 당신은 추가적인 리스크를 수용하는 것이다. 여기 소개된 팁을 따라 하면서 독자 여러분들이 리스크 관리에 대한 현명한 접근 방법을 배우길 바란다.

산업 스파이, 규제 준수, 갑작스런 기후 변화, 통화 스와프. 리스크는 어디에나 존재하며 리스크를 IT로만 국한시켜 최소화려 한다면, 당신은 핵심을 놓치게 될 것이다.

그보다는 귀사가 리스크에서 이익을 얻도록 하는, 현명하게 리스크를 관리하는 CIO가 되는 법을 익혀라.

1. 우선 사내 IT부서부터 점검하라
당신은 안정적이고 활용 가능하며 잘 보호되고 복구가능한 IT인프라를 제공하는 능력에 영향을 줄 수 있는 이벤트를 확실히 파악하고 계획해야 한다. 하지만 당신은 네트워크 위반이나 데이터 유출 같은 IT의 영역에 직접 침범하는 리스크에서 좀더 확대해 고려해야 하고 기업 내 기술이 자산 보호나 유출에서 어떤 역할을 할 지 넓게 봐야 한다.

"내가 본 많은 IT부서들은 정말로 IT에 대한 리스크나 데이터 유출만 관리하고 있다. 지적 자산에 대해서 뭔가 하는 사람은 아무도 없었다”라고 ISACA의 리스크 고문이자 밸류브릿지(Value Bridge)의 수석 애널리스트인 브라이언 바니어는 말했다. 그리고 IT부서원들과 리스크 우선순위에 대해 지나치리만큼 커뮤니케이션 하라. IT부서원들이 CIO보다 더 위협의 세부적인 부분에 집중할 수도 있기 때문이다.

2. 리스크 관리는 규제 준수만을 의미하는 것이 아니다
그렇다. 사베인-옥슬리, HIPAA, 기타 규제를 준수하는 것은 분명 리스크 관리의 한 부분이다. 하지만 규제 준수가 리스크 관리의 전부인 냥 생각하지는 말아야 한다. "흔히 위험 정보에 대해 이야기 할 때, 누가 비즈니스를 지원하는 핵심 IT인프라를 제공하고 있는지를 잘 알고 있고 당신을 곤경에 빠뜨리는 모든 것을 이해하고 있는 사람이 바로 CIO다"라고 딜로이트&터치LLP(Deloitte & Touche LLP) 원장 빌 코벨은 말했다. 하나의 규제 준수에만 집중하는 대신, 귀사가 선두 자리를 지킬 수 있는 인재와 기술을 제대로 갖췄는지를 자문해 보라. 하지만 당신이 규제 준수라는 사고에 갇혀 문서의 확인란만 작성하고 있다면, 비즈니스 목적을 간과하는 것이라고 바니어는 전했다.

3. 전사 리스크 관리 경험은 좋은 기회다
CIO는 리스크 관리에 대해 전사적으로 좀더 정교한 접근 방법을 주도할 수 있는 위치에 있는 사람이다. 특히 IT주도형 프로세스에 크게 의존하는 회사에서 CIO는 정보에 가장 접근할 수 있기 때문이다. "현업이 IT에 의존하며 CIO가 CIO가 비즈니스 프로세스에 대해 더 많이 이해할수록 CIO는 리스크를 제대로 관리하는 C레벨로서 진짜 대변인이 될 수 있다”라고 바니어는 말했다. “IT 중심의 리스크 프레임워크를 구축한 CIO는 쉽게 기업 전체의 리스크 관리 동력으로 이 프레임워크를 다시 바꿀 수 있다"라고 그는 덧붙였다. 이는 CIO 개인에게도 득이 되고 회사가 감지한 위험을 감수하면서 좀더 수익을 낼 수 있도록 주도할 수 있다.

4. 바로 갖다 쓸 수 있는 리스크 프레임워크와 표준들이 있다
IT와 비즈니스 운영 관련 리스크를 이해하는 사람이 아무도 없더라도 좌절은 금물이다. 당신을 베스트 프랙티스로 끌어줄 여러 프레임워크와 표준들이 있기 때문이다. 대표적인 것이 기술 거버넌스 비영리 단체인 ISACA(이 그룹은 좀더 일반적인 전사 IT관리 프레임워크인 COBIT으로 유명하다)와 ISO 31000의 리스크-IT(Risk-IT)다. 하지만 이 프레임워크를 적용하는 방법에 대해서는 늘 주의해야 한다고 코벨은 경고했다. 종종 사내 전문가들은 프레임워크가 보안, 개인정보 보호, 비즈니스 연속성, 또는 규제 준수 등 무엇을 기반으로 했느냐에 따라 다르다는 점을 잘 알고 있다. 이 프레워크는 종종 기업이 실제로 운영하는 방식에 연결되기보다는 통제와 요구 같은 알맹이 없는 전술 수준으로 쓰이게 된다.

5. 나쁜 의도를 가진 무리들이 귀사를 어떻게 공격할 지 알고 있다
당신이 비즈니스 프로세스에 직접 리스크 관리를 연결하지 않아도, 당신을 노리는 누군가가 존재한다는 사실을 알고 있어야 한다. 나쁜 의도를 가잔 자들은 제품과 서비스에서 당신의 기본 운영 행동을 관찰해 취약점을 파악해 소셜 엔니지어링이나 인프라를 통해 당신을 공격할 방법을 알아내고 있다고 코벨은 말했다. 이는 내부자들도 마찬가지다. "그들은 비즈니스 프로세스에 대한 타고난 지식이나 활동을 가지고 있다. 그들은 목표를 달성하기 위해 허술한 지점을 탐색하고 내부 통제를 우회하기 시작했다"라고 코벨은 덧붙였다. "그들이 겨냥하고 있는 것은 비즈니스 쪽이다."

*Elizabeth Heichler는 CIO닷컴 기자다. ciokr@idg.co.kr

X