2013.11.15

6가지 셰도우 IT 관리 팁··· 감지, 통제, 설득은 이렇게

Jennifer Lonoff Schiff | CIO
일단의 IT, 모바일, 보안 전문가가 비공식 앱과 서비스, 직장 내 개인 기기의 사용으로 인한 위험성을 어떻게 최소화할 수 있는지에 대해 조언을 제시했다.

IT 부서에서 직장 내 모든 소프트웨어와 하드웨어를 일관적으로 관리하기가 어려줘지고 있다. 직장에서 클라우드 컴퓨팅 및 BYOD 사용이 증가함에 따른 것이다. 그리고 이는 안전한 환경을 유지하기가 그만큼 어려워지고 있는 것이다.

그렇다면, CIO나 IT 부서에서 이런 셰도우 IT(IT 부서의 통제 밖에 있는 소프트웨어 및 하드웨어)를 효과적으로 관리하고, 잠재적 리스크를 줄일 수 있는 방법은 뭐가 있을까? 10여 명의 IT, 모바일, 사이버 보안 전문가들에게 그 답을 물었다. 이들 전문가가 제시한 6가지 기업 셰도우 IT 관리 비결을 살펴보자.

1. 지속적으로 네트워크를 모니터링하라
“직원들이 쓰는 게 회사에서 나눠준 하드웨어이든, 아니면 개인 기기이든(BYOD의 경우) 상관 없이 기업에서는 자사의 모든 데이터가 정확히 어디에 담겨 있는지 알고 있어야 한다. 데이터 센터에 있을 수도 있고, 클라우드에 담겨 있을 수도 있다”라고 데이터 및 정보 관리 소프트웨어 공급업체 컴볼트(CommVault)의 제품 마케팅 담당자 그렉 화이트는 말했다.

네트워크 보안 업체 트립와이어(Tripwire)의 CTO 드웨인 멜랑컨은 “셰도우 IT 정황을 빠르게 파악하기 위해서는 지속적인 네트워크 모니터링을 통해 새로운 기기나 파악되지 않은 기기가 있는 것은 아닌지 계속 확인해야 한다”라고 조언했다.

멜랑컨은 이어 “보안 목적으로 많은 기업에서 주기적으로 실시하고 있는 취약성 점검 테스트(vulnerability scanning)에 이 과정을 통합시킬 수도 있다. 이렇게 하면 네트워크 상에서 새로운 기기의 위치를 파악하고 기기의 종류에 대한 구체적 정보도 얻을 수 있다”라고 덧붙였다.

클라우드 액세스 보안 업체 스카이하이 네트웍스(Skyhigh Networks)의 CEO 라지브 굽타도 유사한 조언을 남겼다. 그는 “최근 방화벽, 프록시, SIEMS 및 MDM 제품의 로그 데이터 처리를 통해 IT 부서의 감시망 밖에서 클라우드 서비스를 사용한 적이 있는지 알아볼 수 있다. 또, 이 데이터를 통해 누가 어떤 서비스를 얼마나 자주 이용하고 있는지, 그리고 얼마만큼의 데이터를 업로드 및 다운로드 하는지 등을 알 수도 있다”라고 설명했다.

2. 리스크에 우선순위를 매겨라
굽타는 “단순히 IT 통제범위 밖에 있다고 해서 그 소프트웨어나 서비스가 나쁜 것은 아니다. 기업 목표와 포괄적 클라우드 서비스 레지스트리를 통해 가장 리스크가 높은 서비스를 선정하고 그 문제부터 해결해야 한다”라고 강조했다.

그에 따르면 기존 인프라스트럭처(방화벽, 프록시, MDM 솔루션 등)를 이용하거나 사용자를 파악해 서비스 이용 중단을 권장하는 등의 방법을 통해 이들 고위험군 서비스로부터의 접근를 방지할 수 있다.

3. BYOD 및 앱/클라우드 서비스 관련 가이드라인을 세워라
“다양한 비즈니스 부문의 니즈를 충족하기 위해 기존의 소프트웨어 외에도 IT 부서의 승인을 받은 안전한 소프트웨어/애플리케이션 목록을 작성해 다른 부서들과 공유하는 것도 한 방법이다”라고 IT 모니터링 및 관리 솔루션 공급업체 제노스(Zenoss)의 CMO 크리스 스미스는 조언했다.

그는 “이런 노력을 통해 각 비즈니스 부처에서 구매 결정을 내릴 때 기기의 호환성 문제나 보안 관련 문제에 대해 안심할 수 있게 된다. 더불어 IT 부서에서는 비즈니스 부서들에서 적극적으로 사용하는 새로운 애플리케이션을 빠르게 승인 및 불허할 수 있는 프로세스를 확립하는 것이 좋다”라고 설명했다.

미국, 캐나다 및 CPG BT 글로벌 서비스(BT Globla Services)의 최고 아키텍트(chief architect) 제이슨 쿡도 가이드라인의 중요성을 강조했다.

그는 “BT에서는 BYOD 전략의 구체적 사항을 전 직원들과 공유해 어떤 측면에서 지원을 제공할 수 있고 어떤 분야가 비즈니스 리스크가 큰 지 등을 투명하게 밝히자고 제안했다”라며, 이를 통해 직원들도 어떤 것이 승인을 받았고 승인되지 않은 앱 및 기기 사용의 리스크를 줄일 수 있는 방법은 무엇인지, 보안 리스크는 어느 정도인지 등을 확실히 알 수 있다고 덧붙였다.

4. 대안을 제시하라
화이트는 “오늘날 직원들은 자신의 데이터를 어디에서건, 어떤 기기를 통해서건 검색, 열람, 이용하고 싶어한다. 이런 상황에서 만일 기업이 기업 데이터에 대한 원격 접속을 지원할 안전한 솔루션을 제시하지 못한다면, 직원들은 독자적인 대안을 모색할 것이다. 직원들을 유혹하는 소비자 상품은 효율적 정보 관리를 가능케 하긴 하지만, 기업의 보안 전략에는 위협이 될 수 있다”고 말했다.




2013.11.15

6가지 셰도우 IT 관리 팁··· 감지, 통제, 설득은 이렇게

Jennifer Lonoff Schiff | CIO
일단의 IT, 모바일, 보안 전문가가 비공식 앱과 서비스, 직장 내 개인 기기의 사용으로 인한 위험성을 어떻게 최소화할 수 있는지에 대해 조언을 제시했다.

IT 부서에서 직장 내 모든 소프트웨어와 하드웨어를 일관적으로 관리하기가 어려줘지고 있다. 직장에서 클라우드 컴퓨팅 및 BYOD 사용이 증가함에 따른 것이다. 그리고 이는 안전한 환경을 유지하기가 그만큼 어려워지고 있는 것이다.

그렇다면, CIO나 IT 부서에서 이런 셰도우 IT(IT 부서의 통제 밖에 있는 소프트웨어 및 하드웨어)를 효과적으로 관리하고, 잠재적 리스크를 줄일 수 있는 방법은 뭐가 있을까? 10여 명의 IT, 모바일, 사이버 보안 전문가들에게 그 답을 물었다. 이들 전문가가 제시한 6가지 기업 셰도우 IT 관리 비결을 살펴보자.

1. 지속적으로 네트워크를 모니터링하라
“직원들이 쓰는 게 회사에서 나눠준 하드웨어이든, 아니면 개인 기기이든(BYOD의 경우) 상관 없이 기업에서는 자사의 모든 데이터가 정확히 어디에 담겨 있는지 알고 있어야 한다. 데이터 센터에 있을 수도 있고, 클라우드에 담겨 있을 수도 있다”라고 데이터 및 정보 관리 소프트웨어 공급업체 컴볼트(CommVault)의 제품 마케팅 담당자 그렉 화이트는 말했다.

네트워크 보안 업체 트립와이어(Tripwire)의 CTO 드웨인 멜랑컨은 “셰도우 IT 정황을 빠르게 파악하기 위해서는 지속적인 네트워크 모니터링을 통해 새로운 기기나 파악되지 않은 기기가 있는 것은 아닌지 계속 확인해야 한다”라고 조언했다.

멜랑컨은 이어 “보안 목적으로 많은 기업에서 주기적으로 실시하고 있는 취약성 점검 테스트(vulnerability scanning)에 이 과정을 통합시킬 수도 있다. 이렇게 하면 네트워크 상에서 새로운 기기의 위치를 파악하고 기기의 종류에 대한 구체적 정보도 얻을 수 있다”라고 덧붙였다.

클라우드 액세스 보안 업체 스카이하이 네트웍스(Skyhigh Networks)의 CEO 라지브 굽타도 유사한 조언을 남겼다. 그는 “최근 방화벽, 프록시, SIEMS 및 MDM 제품의 로그 데이터 처리를 통해 IT 부서의 감시망 밖에서 클라우드 서비스를 사용한 적이 있는지 알아볼 수 있다. 또, 이 데이터를 통해 누가 어떤 서비스를 얼마나 자주 이용하고 있는지, 그리고 얼마만큼의 데이터를 업로드 및 다운로드 하는지 등을 알 수도 있다”라고 설명했다.

2. 리스크에 우선순위를 매겨라
굽타는 “단순히 IT 통제범위 밖에 있다고 해서 그 소프트웨어나 서비스가 나쁜 것은 아니다. 기업 목표와 포괄적 클라우드 서비스 레지스트리를 통해 가장 리스크가 높은 서비스를 선정하고 그 문제부터 해결해야 한다”라고 강조했다.

그에 따르면 기존 인프라스트럭처(방화벽, 프록시, MDM 솔루션 등)를 이용하거나 사용자를 파악해 서비스 이용 중단을 권장하는 등의 방법을 통해 이들 고위험군 서비스로부터의 접근를 방지할 수 있다.

3. BYOD 및 앱/클라우드 서비스 관련 가이드라인을 세워라
“다양한 비즈니스 부문의 니즈를 충족하기 위해 기존의 소프트웨어 외에도 IT 부서의 승인을 받은 안전한 소프트웨어/애플리케이션 목록을 작성해 다른 부서들과 공유하는 것도 한 방법이다”라고 IT 모니터링 및 관리 솔루션 공급업체 제노스(Zenoss)의 CMO 크리스 스미스는 조언했다.

그는 “이런 노력을 통해 각 비즈니스 부처에서 구매 결정을 내릴 때 기기의 호환성 문제나 보안 관련 문제에 대해 안심할 수 있게 된다. 더불어 IT 부서에서는 비즈니스 부서들에서 적극적으로 사용하는 새로운 애플리케이션을 빠르게 승인 및 불허할 수 있는 프로세스를 확립하는 것이 좋다”라고 설명했다.

미국, 캐나다 및 CPG BT 글로벌 서비스(BT Globla Services)의 최고 아키텍트(chief architect) 제이슨 쿡도 가이드라인의 중요성을 강조했다.

그는 “BT에서는 BYOD 전략의 구체적 사항을 전 직원들과 공유해 어떤 측면에서 지원을 제공할 수 있고 어떤 분야가 비즈니스 리스크가 큰 지 등을 투명하게 밝히자고 제안했다”라며, 이를 통해 직원들도 어떤 것이 승인을 받았고 승인되지 않은 앱 및 기기 사용의 리스크를 줄일 수 있는 방법은 무엇인지, 보안 리스크는 어느 정도인지 등을 확실히 알 수 있다고 덧붙였다.

4. 대안을 제시하라
화이트는 “오늘날 직원들은 자신의 데이터를 어디에서건, 어떤 기기를 통해서건 검색, 열람, 이용하고 싶어한다. 이런 상황에서 만일 기업이 기업 데이터에 대한 원격 접속을 지원할 안전한 솔루션을 제시하지 못한다면, 직원들은 독자적인 대안을 모색할 것이다. 직원들을 유혹하는 소비자 상품은 효율적 정보 관리를 가능케 하긴 하지만, 기업의 보안 전략에는 위협이 될 수 있다”고 말했다.


X