2011.03.11

성공적 IT GRC 도입을 위한 체크리스트

Neil Roiter | CSO

IT GRC 도입 전략을 수립한다. 그러나 분산되어 있고, 수동적인 방식의 프로세스를 중앙형 자동화 툴로 옮기는 것은 방대한 작업이다. 보아 구렁이는 입을 크게 벌려 큰 포유류 동물을 통째로 삼킬 수 있겠지만 기업에는 이런 전략이 바람직하지 않다.

처음 도입을 위해서는 가장 우선시되는 영역, 즉 가장 빠르게 ROI를 창출해낼 수 있는 영역을 선택해야 한다. 이는 소프트웨어를 사용하고, 가치를 측정하고, 관련 지식을 다른 사람들과 공유하는 방법에 대한 살아 있는 지식을 제공함으로써 성과를 도출해 줄 것이다. 확대가 힘든 통제된 중앙형의 전술보다는, 확대 가능한 모델로서 톱-다운(Top-down) 방식을 선택해야 한다.

이와 같이 첫 번째 도입은 전사적으로 IT GRC를 전개하는데 목적을 둔 더 큰 계획을 염두에 두고 시작해야 한다. 결국 최종 목표는 중앙형의 자동화된, 표준 기반의 전사적 도입이다.

RSA 아처(Archer)의 알드리히는 이와 관련, "다양한 GRC 프로세스 모두를 고려해 GRC 로드맵을 시작해야 한다"라며 "프로세스를 자동화 하기 위해 어느 곳으로부터 더 지원을 얻어야 할까? 어떻게 하면 더 많은 정보를 얻으면서 스피드를 개선할 수 있을까? 기업에 가치가 되도록 하려면 어떻게 해야 할까? 등등이 필요한 질문이다"라고 말하고 있다.

업무 관련자들을 존중한다. IT GRC는 방대한 기획이다. 도구를 효과적으로 사용해야 하는 사람들이 프로세스에 적극적으로 참여하지 않는다면, 성공을 일궈낼 수 없다. 이들은 힘든 부분과 프로세스가 성과를 거두는 방법을 안다. 또 비즈니스 위험과 잠재적인 혜택을 이해한다. 여기에 더해 정책과 관리방법, 지켜야 할 책임에 대해서도 친숙하다.

관계자들에는 다음과 같은 이들이 포함된다. IT 운영 및 보안, 엔터프라이즈 및 운영 위험, 비즈니스 영속성, 긴급 복구, IT 감사, 일반 감사, 기업 순응 담당자. 그러나 이들로만 국한되는 것은 아니다.

라무센은 "항상 피드백이 필요하다. 이들은 시스템과 교류를 한다.  따라서 그 곳에서 후원자들을 찾아야 한다"라고 설명했다.

ROI 사례를 만든다. ROI만으로도 IT GRC를 합리화 할 수 있다. 기업은 외부 감사에 드는 비용을 크게 절감할 수 있다. 라스무센에 따르면, 외부 IT 감사자 비용을 18%까지 줄인 회사도 있다. 시만텍의 아처드는 "고객 중 한 곳은 데이터베이스 설정오류에서 비롯된 3일 동안의 서비스 중단으로 인한 비용을 토대로, IT GRC 도입을 합리화했다”라고 귀뜸했다.

설문지를 토대로 정보를 수집하고, 이를 스프레드시트에 정리하고, 감사를 위한 데이터를 모으고, 이를 유지하고, 감사자의 질문에 응답하는 과정에 소비한 자원을 계산할 수 있다. 시장에 나와 있는 툴을 평가해, 절감 효과를 추산할 수도 있을 것이다. 그리고 더 많은 요건을 대상으로 GRC 툴을 도입하고, 이를 전사적으로 한층 광범위하게 전개할 수록, 절감 효과는 커지게 된다.

또 기업은 프로세스를 한층 더 자동화하고 효율화하면서, 정보 수집과 관리에 드는 시간을 줄일 수 있다. 이는 위험 경감과 해소에 더 많은 시간을 쓸 수 있다는 의미이다.

아처의 알드리히는 이와 관련, "기업 전반을 살펴, 다양한 순응 프로세스를 확인하기 시작해야 한다"라며 "어떤 툴들을 이용하고 있는지, 매뉴얼은 무엇인지, 얼마나 많은 사람들이 간여하고 있는지 등이다. 그리고 이것들을 ROI 매트릭스와 다시 연계해야 한다"라고 설명했다.

M&A 촉진에 IT GRC를 이용한다. 새로 인수한 기업들에는 자신들만의 정책과, IT 관리 방안, 변경 관리 프로세스, IT 및 보안 시스템, 애플리케이션 등이 존재한다. 그리고 기업은 IT GRC 툴을 효과적으로 이용해, 이들 신규 부문의 현재 정책과 프로세스, 관행이 모기업과 배치되는지를 판단하기 위해 분석을 수행할 수 있다. 이렇게 함으로써 바꿔야 할 부분, 특히 위험이 높은 부분을 판단하고 이해하게 되는 것이다.

기존 인프라와의 통합 방법을 모색한다. IT GRC 툴은 현재 기업이 보유하고 있는 IT 및 보안 시스템과 애플리케이션을 기반으로 한 데이터를 흡수할 수 있어야 한다. 이런 통합은 프로세스 자동화에 있어 아주 중요한 부분이다. 핵심 영역은 변경 관리 메카니즘(티케팅 시스템, 설정 관리 등), 자산 관리, 취약성 관리 등이다.

정보 수집 자동화를 통해 가치를 창출하는 도구들로는 데이터 손실 방지 도구, 침입 감지 및 예방 시스템, 보안 정보 및 사건 관리 시스템 등이 포함된다. 자산 관리, 변경 관리 워크플로, 취약성 검사와 같은 업무를 처리할 시스템을 보유하고 있지 않다면, 일부 벤더들이 이러한 도구들을 제공하고 있다는 점을 고려한다.

기업의 성숙도를 평가한다. 이미 뿌리를 내린 GRC 프로그램을 보유한 기업일수록 IT GRC 툴에서 더 많은 혜택을 창출할 확률이 높다. 잘 정립된 IT 정책을 마련해두고 있고, 코빗(Cobit)과 ISO 같은 표준을 적용하고 있으며, 변경관리 프로세스를 성공적으로 적용하고 있는 기업들이라면 자동화를 통해, 다음 단계로 도약할 준비가 되어 있다고 볼 수 있다.

이런 부분에서 덜 성숙한 기업들은 제한된 범위에서 이들 도구들을 적용하는 편이 나을 것이다. 아마도 GRC 프로그램 도입을 통해, 원하는 부분에 가치를 실현할 수 있도록 하기 위해, 컨설턴트나 전문 서비스 기업에 의존해야 한다. ciokr@idg.co.kr


CSO / GRC / ROI / M&A


2011.03.11

성공적 IT GRC 도입을 위한 체크리스트

Neil Roiter | CSO

IT GRC 도입 전략을 수립한다. 그러나 분산되어 있고, 수동적인 방식의 프로세스를 중앙형 자동화 툴로 옮기는 것은 방대한 작업이다. 보아 구렁이는 입을 크게 벌려 큰 포유류 동물을 통째로 삼킬 수 있겠지만 기업에는 이런 전략이 바람직하지 않다.

처음 도입을 위해서는 가장 우선시되는 영역, 즉 가장 빠르게 ROI를 창출해낼 수 있는 영역을 선택해야 한다. 이는 소프트웨어를 사용하고, 가치를 측정하고, 관련 지식을 다른 사람들과 공유하는 방법에 대한 살아 있는 지식을 제공함으로써 성과를 도출해 줄 것이다. 확대가 힘든 통제된 중앙형의 전술보다는, 확대 가능한 모델로서 톱-다운(Top-down) 방식을 선택해야 한다.

이와 같이 첫 번째 도입은 전사적으로 IT GRC를 전개하는데 목적을 둔 더 큰 계획을 염두에 두고 시작해야 한다. 결국 최종 목표는 중앙형의 자동화된, 표준 기반의 전사적 도입이다.

RSA 아처(Archer)의 알드리히는 이와 관련, "다양한 GRC 프로세스 모두를 고려해 GRC 로드맵을 시작해야 한다"라며 "프로세스를 자동화 하기 위해 어느 곳으로부터 더 지원을 얻어야 할까? 어떻게 하면 더 많은 정보를 얻으면서 스피드를 개선할 수 있을까? 기업에 가치가 되도록 하려면 어떻게 해야 할까? 등등이 필요한 질문이다"라고 말하고 있다.

업무 관련자들을 존중한다. IT GRC는 방대한 기획이다. 도구를 효과적으로 사용해야 하는 사람들이 프로세스에 적극적으로 참여하지 않는다면, 성공을 일궈낼 수 없다. 이들은 힘든 부분과 프로세스가 성과를 거두는 방법을 안다. 또 비즈니스 위험과 잠재적인 혜택을 이해한다. 여기에 더해 정책과 관리방법, 지켜야 할 책임에 대해서도 친숙하다.

관계자들에는 다음과 같은 이들이 포함된다. IT 운영 및 보안, 엔터프라이즈 및 운영 위험, 비즈니스 영속성, 긴급 복구, IT 감사, 일반 감사, 기업 순응 담당자. 그러나 이들로만 국한되는 것은 아니다.

라무센은 "항상 피드백이 필요하다. 이들은 시스템과 교류를 한다.  따라서 그 곳에서 후원자들을 찾아야 한다"라고 설명했다.

ROI 사례를 만든다. ROI만으로도 IT GRC를 합리화 할 수 있다. 기업은 외부 감사에 드는 비용을 크게 절감할 수 있다. 라스무센에 따르면, 외부 IT 감사자 비용을 18%까지 줄인 회사도 있다. 시만텍의 아처드는 "고객 중 한 곳은 데이터베이스 설정오류에서 비롯된 3일 동안의 서비스 중단으로 인한 비용을 토대로, IT GRC 도입을 합리화했다”라고 귀뜸했다.

설문지를 토대로 정보를 수집하고, 이를 스프레드시트에 정리하고, 감사를 위한 데이터를 모으고, 이를 유지하고, 감사자의 질문에 응답하는 과정에 소비한 자원을 계산할 수 있다. 시장에 나와 있는 툴을 평가해, 절감 효과를 추산할 수도 있을 것이다. 그리고 더 많은 요건을 대상으로 GRC 툴을 도입하고, 이를 전사적으로 한층 광범위하게 전개할 수록, 절감 효과는 커지게 된다.

또 기업은 프로세스를 한층 더 자동화하고 효율화하면서, 정보 수집과 관리에 드는 시간을 줄일 수 있다. 이는 위험 경감과 해소에 더 많은 시간을 쓸 수 있다는 의미이다.

아처의 알드리히는 이와 관련, "기업 전반을 살펴, 다양한 순응 프로세스를 확인하기 시작해야 한다"라며 "어떤 툴들을 이용하고 있는지, 매뉴얼은 무엇인지, 얼마나 많은 사람들이 간여하고 있는지 등이다. 그리고 이것들을 ROI 매트릭스와 다시 연계해야 한다"라고 설명했다.

M&A 촉진에 IT GRC를 이용한다. 새로 인수한 기업들에는 자신들만의 정책과, IT 관리 방안, 변경 관리 프로세스, IT 및 보안 시스템, 애플리케이션 등이 존재한다. 그리고 기업은 IT GRC 툴을 효과적으로 이용해, 이들 신규 부문의 현재 정책과 프로세스, 관행이 모기업과 배치되는지를 판단하기 위해 분석을 수행할 수 있다. 이렇게 함으로써 바꿔야 할 부분, 특히 위험이 높은 부분을 판단하고 이해하게 되는 것이다.

기존 인프라와의 통합 방법을 모색한다. IT GRC 툴은 현재 기업이 보유하고 있는 IT 및 보안 시스템과 애플리케이션을 기반으로 한 데이터를 흡수할 수 있어야 한다. 이런 통합은 프로세스 자동화에 있어 아주 중요한 부분이다. 핵심 영역은 변경 관리 메카니즘(티케팅 시스템, 설정 관리 등), 자산 관리, 취약성 관리 등이다.

정보 수집 자동화를 통해 가치를 창출하는 도구들로는 데이터 손실 방지 도구, 침입 감지 및 예방 시스템, 보안 정보 및 사건 관리 시스템 등이 포함된다. 자산 관리, 변경 관리 워크플로, 취약성 검사와 같은 업무를 처리할 시스템을 보유하고 있지 않다면, 일부 벤더들이 이러한 도구들을 제공하고 있다는 점을 고려한다.

기업의 성숙도를 평가한다. 이미 뿌리를 내린 GRC 프로그램을 보유한 기업일수록 IT GRC 툴에서 더 많은 혜택을 창출할 확률이 높다. 잘 정립된 IT 정책을 마련해두고 있고, 코빗(Cobit)과 ISO 같은 표준을 적용하고 있으며, 변경관리 프로세스를 성공적으로 적용하고 있는 기업들이라면 자동화를 통해, 다음 단계로 도약할 준비가 되어 있다고 볼 수 있다.

이런 부분에서 덜 성숙한 기업들은 제한된 범위에서 이들 도구들을 적용하는 편이 나을 것이다. 아마도 GRC 프로그램 도입을 통해, 원하는 부분에 가치를 실현할 수 있도록 하기 위해, 컨설턴트나 전문 서비스 기업에 의존해야 한다. ciokr@idg.co.kr


CSO / GRC / ROI / M&A
X