Offcanvas

CIO / How To / 리더십|조직관리 / 보안 / 인문학|교양

위키리크스 시대··· CXO에게 필요한 데이터 보안 시각

2012.08.09 Dan Geer, Craig Shumard   |  CSO


일부 직원이나 관계자의 작업에는 특별 승인이 필요할 수 있다. IT 업무를 유지 하다 보면 예상 못한 개입이 필요한 경우가 있기 때문이다. 그리고 정보 취약성을 발견하고 파악하도록 승인된 특정 내부 관계자나 내부 조사 팀에 이런 특별 승인을 부여할 수 있다.

다른 말로 설명하면, 상시 내부 위협이 될만한 사람이 있을 수 있다는 의미이다. 역할 자체가 아주 특별한 권한과 역량을 필요로 하기 때문이다. 반드시 부정적이라고만 볼 수는 없지만, 이런 위협이 존재한다는 것이 현실이다. 문제는 어떤 방법으로 지정된 전문가인 내부인의 적법한 역량, 승인, 접근 제어에 귀속되지 않는 수단으로 이를 관리할 수 있는가 하는 것이다.

답은 있다. 운영 환경을 바꾸는 것이다.

보안 시스템에 있어서 가장 중요하면서 가장 값진 설계 목표 가운데 하나는 'No silent failure'이다. 내부 공격에서 비롯된 'Silent Failure'나 'Invisible Failure'를 방지할 수 있도록 운영 환경을 개선하기 위해서는 최소한 엔지니어링 문제를 정확히 규정해야 한다.

이런 엔지니어링 문제에 대한 가장 저렴하면서도 효과적인 솔루션은 데이터가 이동할 때 이를 확인할 수 있는 운영 환경을 설치하는 것이다. 정지중인 데이터가 움직일 때는 운영 환경이 관여된다. 따라서 운영환경을 통해 이를 발견하는 방식이다. 실시간으로 데이터 이벤트를 감지, 수령, 반응하는 메카니즘이 필요하다.

최대한의 효과를 갖기 위해서는, 데이터 상태를 감지해 행동하는 메카니즘이 적응 가능한 메카니즘이어야 한다. 예를 들어, 시스템 운영자는 개입은 필요 없지만 감시는 필요한 데이터 이벤트를 구별하기를 원할 수 있다.

또 데이터 이벤트뿐만 아니라 특정 시간, 지리적 위치 등 외부 요소에 따라 행동하기 원할 수 있으며, 기상 악화와 같이 전체 환경이 악화되었을 때는 다른 규칙을 적용하기 원할 수도 있다.

이 밖에도 많은 수요가 있을 수 있다.

그렇다면, CIO들은 어떤 방법으로 이를 성취할 수 있을까? CIO들이 이런 종류의 프로그램을 성공적으로 개발하기 위해서는 누구와 협력을 해야 할까?

CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.