2013.09.12

기고 | 보안 투자에 ROI를 측정하려면?

Brian Contos | CSO

IT에서 일어나는 일은 대부분 수치화된다. 이 서비스를 온라인으로 제공했을 때 얼마나 많은 비용을 절약할 수 있는지, 혹은 스마트폰 애플리케이션을 선보이면 얼마나 많은 신규 고객을 확보할 것인지 등등이 그렇다.

그러나 보안은 그렇게 양적인 문제가 아닌 경우가 많다. 사실 말 그대로 보안은 질적인 문제이며, 종종 ROSI(return on security investment) 대 위험의 관점에서 주관적으로 측정해야 하는 상황이 발생한다.

ROSI나 질적인 보안 측정은 물론 가치가 있다. 하지만 보안 솔루션이 효과적으로 작동하고 있는지 알고 싶은 것도 물론이다. 예산을 정당화하고, 보안 예산을 사업 우선순위와 부합시키고, 이 모든 것들을 위험 개선에 초점을 맞출 때 어떻게 ROSI와 ROI를 활용할 수 있는지 이 두 접근방식을 대비해본다.

질적 측정: ROSI
위험을 줄이면서도 금전적으로 측정 가능한 아주 구체적인 보안 투자들이 있는데, 여기에 대해서는 뒤쪽 섹션에서 알아보겠다. 그러나 조직의 보안 상태를 결정하는데 양적이면서 중요한 수많은 주관적인 측정치들 역시 존재한다.

손을 씻는 상황을 생각해보자 – 아이들이 학교에서 집에 왔을 때 바로 손을 씻는 것이 아마도 좋을 것이다. 나도 그것이 좋은 생각이라는 것을 알고, 아이들도 안다. 그럼에도 아이들은 우선 TV를 켜고 리모컨에 온갖 더러운 물질을 묻혀놓는다. 집에 와서 우선 손을 씻는 일이 의료비를 줄이고, 아파서 학교 결석하는 상황을 줄이는데 도움이 줄 수 있다는 점은 알고 있다고 하더라도, 이를 금전적인 문제와 결부시키는 것은 쉽지 않다.- 보안 문제로 돌아가서, ROSI로 볼 수 있는 몇 가지 사례는 아래와 같다:

- 향상된 악성 활동 방지 능력

- 사건 교정 위협 창에 향상된 사건 감지

- 좀 더 정확한 보안 데이터에 기반한 강화된 의사 결정

- 회계감사관들을 달래기 위한 보고서 작성 시 능률 향상

- C2 커뮤니케이션에 관련된 자산 침투 감소

이 모든 ROSI 예시들 모두 관련성이 크다. 이들은 직관적으로 이치에 맞고, 대부분 많은 보안 전문가들이 그들이 하는 일과 그 일을 하기 위해 왜 자금과 자원이 필요한지를 입증하는데 사용하는 철학과도 일치한다.

그러나 조직에 따라서, 실제 금전 가치를 이런 총알들에 할당하는 것이 극도로 어려울 수 있다. 또한 만약 조직이 CSO의 바램만큼 보안 의식이 강하지 않고, 그들이 컴퓨터 보안을 여전히 플로피 디스크 잠금 정도로만 치부한다면, 그들에게 어느 정도 유형의 금전적 측정치를 제시해야 할 필요가 있을 것이다.

양적 측정: ROI
ROSI를 설명하는 예시들은, 이른바 <(투자로부터 얻은 이득 – 투자의 비용)/투자 비용 = 투자수익률(ROI)> 같은 간결한 ROI 투자공식에 잘 들어맞지 않을 것이다.

하지만 보안이 수익 창출이나 비용 절감 측면에서 이해하는 일이 많지는 않지만, 안될 것도 없다. 점점 더 많은 조직들이 보안팀에 그들의 사업적 우선 순위에 부합하고 ROI 측정치 등을 제출하라고 요청하고 있다. 여기에 그런 작업을 어떻게 할 수 있는지에 대한 몇 가지 사례를 소개한다.




2013.09.12

기고 | 보안 투자에 ROI를 측정하려면?

Brian Contos | CSO

IT에서 일어나는 일은 대부분 수치화된다. 이 서비스를 온라인으로 제공했을 때 얼마나 많은 비용을 절약할 수 있는지, 혹은 스마트폰 애플리케이션을 선보이면 얼마나 많은 신규 고객을 확보할 것인지 등등이 그렇다.

그러나 보안은 그렇게 양적인 문제가 아닌 경우가 많다. 사실 말 그대로 보안은 질적인 문제이며, 종종 ROSI(return on security investment) 대 위험의 관점에서 주관적으로 측정해야 하는 상황이 발생한다.

ROSI나 질적인 보안 측정은 물론 가치가 있다. 하지만 보안 솔루션이 효과적으로 작동하고 있는지 알고 싶은 것도 물론이다. 예산을 정당화하고, 보안 예산을 사업 우선순위와 부합시키고, 이 모든 것들을 위험 개선에 초점을 맞출 때 어떻게 ROSI와 ROI를 활용할 수 있는지 이 두 접근방식을 대비해본다.

질적 측정: ROSI
위험을 줄이면서도 금전적으로 측정 가능한 아주 구체적인 보안 투자들이 있는데, 여기에 대해서는 뒤쪽 섹션에서 알아보겠다. 그러나 조직의 보안 상태를 결정하는데 양적이면서 중요한 수많은 주관적인 측정치들 역시 존재한다.

손을 씻는 상황을 생각해보자 – 아이들이 학교에서 집에 왔을 때 바로 손을 씻는 것이 아마도 좋을 것이다. 나도 그것이 좋은 생각이라는 것을 알고, 아이들도 안다. 그럼에도 아이들은 우선 TV를 켜고 리모컨에 온갖 더러운 물질을 묻혀놓는다. 집에 와서 우선 손을 씻는 일이 의료비를 줄이고, 아파서 학교 결석하는 상황을 줄이는데 도움이 줄 수 있다는 점은 알고 있다고 하더라도, 이를 금전적인 문제와 결부시키는 것은 쉽지 않다.- 보안 문제로 돌아가서, ROSI로 볼 수 있는 몇 가지 사례는 아래와 같다:

- 향상된 악성 활동 방지 능력

- 사건 교정 위협 창에 향상된 사건 감지

- 좀 더 정확한 보안 데이터에 기반한 강화된 의사 결정

- 회계감사관들을 달래기 위한 보고서 작성 시 능률 향상

- C2 커뮤니케이션에 관련된 자산 침투 감소

이 모든 ROSI 예시들 모두 관련성이 크다. 이들은 직관적으로 이치에 맞고, 대부분 많은 보안 전문가들이 그들이 하는 일과 그 일을 하기 위해 왜 자금과 자원이 필요한지를 입증하는데 사용하는 철학과도 일치한다.

그러나 조직에 따라서, 실제 금전 가치를 이런 총알들에 할당하는 것이 극도로 어려울 수 있다. 또한 만약 조직이 CSO의 바램만큼 보안 의식이 강하지 않고, 그들이 컴퓨터 보안을 여전히 플로피 디스크 잠금 정도로만 치부한다면, 그들에게 어느 정도 유형의 금전적 측정치를 제시해야 할 필요가 있을 것이다.

양적 측정: ROI
ROSI를 설명하는 예시들은, 이른바 <(투자로부터 얻은 이득 – 투자의 비용)/투자 비용 = 투자수익률(ROI)> 같은 간결한 ROI 투자공식에 잘 들어맞지 않을 것이다.

하지만 보안이 수익 창출이나 비용 절감 측면에서 이해하는 일이 많지는 않지만, 안될 것도 없다. 점점 더 많은 조직들이 보안팀에 그들의 사업적 우선 순위에 부합하고 ROI 측정치 등을 제출하라고 요청하고 있다. 여기에 그런 작업을 어떻게 할 수 있는지에 대한 몇 가지 사례를 소개한다.


X