2012.10.19

IT가 위기 관리에 실패할 수밖에 없는 4가지 이유

Richard Stiennon | Network World
대부분의 예산이 방어 시설 개선이 아닌 긴급 제어(security controls) 기록에 쓰인다는 점을 생각해 보면, 회계 감사에 할당된 예산을 볼 때마다 속이 터지지 않을 수 없다. 이런 일이 일어나는 까닭은, 비즈니스 세계의 결과물이라 할 수 있는 위기 관리(risk management)가 IT 보안 분야에서는 위력을 발휘하지 못하기 때문이다.

중소기업들과 달리, 대기업들은 대게 정식 위기 관리 프로그램을 갖추고 있다. 심지어 이사회에 ‘위기 관리 위원회’를 따로 만들어 CFO가 이를 주도하기도 한다. 이들의 목표는 위험 요소를 알아내고 적절한 통제를 통해 그것의 잠재적 영향력을 약화시키거나 보험을 통해 위험을 줄이는 것이다.

그 예로, 한 거대 항공사에서는 위기 관리 프로그램 덕분에 연료 가격 상승이 회사에 타격을 줄 수 있음을 깨닫고 오픈 마켓에서 연료 가격에 대비할 수 있었다. 또 평소에 재고를 쌓아놓지 않고 필요할 때마다 공급량을 가져오던 자동차 생산 기업은 태국에 있는 공급 회사가 홍수로 인해 문제를 겪을 때를 대비해 중요 부품들을 미리 저장해 둘 수도 있을 것이다.

그러나 이러한 위기 관리 이론을 그대로 IT분야에 적용하려 하면 문제가 생기고 만다. 모든 위기 관리 프로그램의 시발점은 모든 IT자산들을 파악하고 각 자산이 경영 활동에 가지는 중요도에 따라 그들을 평가하는 것이기 때문이다. 바로 여기서 큰 문제가 발생한다.

1. 모든 IT 자산을 파악하는 일은 비용이 많이 들어갈뿐더러 거의 불가능한 일이다.
언뜻 생각하기에 자산을 파악하는 일은 매우 단순한 문제 같지만, 사실은 극도로 복잡하며 끝없는 미로와 같은 일이다. IT 자산에는 모든 종류의 컴퓨터 기기(데스크톱, 노트북, 서버, 프린트 서버)와 애플리케이션(데이터베이스, 이메일, ERP), 모든 데이터(고객 명단, 천연 자원 정보, 제품 가격 책정 가이드), 모든 이메일, 모든 버전의 모든 문서들, 모든 개인정보 및 커뮤니케이션이 포함되기 때문이다.

거기에 소비자화 트렌드에 발맞춰 물밀 듯 쏟아지는 스마트폰, 아이패드, 전자책 단말기(e-readers)등의 기기와 그 기기들에 담긴 데이터도 포함시켜야 한다. 게다가 정보 처리량이 가상화 기기와 만나며 서버가 지속적인 유동 상태에 있는 클라우드의 역동적인 성격도 고려해야 할 것이다. 바로 이런 이유로 IT 자산을 파악하는 일이 극도로 복잡하다고 한 것이다.
그렇다면, 다른 문제점은 무엇인가?

2. IT 자산에 값을 매기는 것은 불가능하다.
위기 관리는 기본적으로 각 자산에 값어치를 매긴다는 개념에 기초해 있다. 그리고 값어치를 매기는 데는 여러 가지 알고리즘이 존재한다. 주로 여러 부서의 팀들이 모여 의논을 통해 결정하며 고위급 임원들의 의사 결정이 관여하기도 한다. 그렇지만 IT 자산에 값어치를 매기는 것은 불가능하다. 그 자산을 다른 것으로 대체하는데 들어가는 비용을 계산해야 할까? 그런 방식은 목재 저장소에서는 통할지 모르나, IT에선 아니다. 이메일 서버 하나를 교체하는 데 표면상으로 2,000달러가 들어간다고 해도, 이메일 접근이 안됨으로써 회사가 입는 잠재적 손실은 생산성 감소 측면에서 보면 수 백, 수 천 만 달러에 이를 것이다.

게다가 각 이메일의 가치는 또 어떠한가? 이메일 한 통의 가치는 어떻게 매길 수 있을까? 10센트일까? 0원일까? 회계 연도 마지막 날에 타깃을 놓친 CFO와 CEO가 주고받은 이메일의 값어치는? 값어치는 0원일지 모르나, 그 이메일이 잘못된 사람의 손에 들어가면서 야기되는 위험은 수십 억 달러의 손실을 불러올 수도 있다.

그래서 대부분 기업들은 각 자산을 달러 값어치로 평가하기 보다는 저-중-고(low-medium-high) 가치평가체계를 사용한다. IT자산 매니저들이 한 방에 모여 자신이 관리하는 서버가 아무런 가치도 없음을 인정하는 모습을 상상해보라. 만일 IT 자산이 아무런 가치가 없다면 오래 전에 대체되거나 제거됐을 것이다. 모든 IT 자산은 나름의 중요성을 지닌다. 그런데 왜 굳이 그들을 분류해야 하는가?




2012.10.19

IT가 위기 관리에 실패할 수밖에 없는 4가지 이유

Richard Stiennon | Network World
대부분의 예산이 방어 시설 개선이 아닌 긴급 제어(security controls) 기록에 쓰인다는 점을 생각해 보면, 회계 감사에 할당된 예산을 볼 때마다 속이 터지지 않을 수 없다. 이런 일이 일어나는 까닭은, 비즈니스 세계의 결과물이라 할 수 있는 위기 관리(risk management)가 IT 보안 분야에서는 위력을 발휘하지 못하기 때문이다.

중소기업들과 달리, 대기업들은 대게 정식 위기 관리 프로그램을 갖추고 있다. 심지어 이사회에 ‘위기 관리 위원회’를 따로 만들어 CFO가 이를 주도하기도 한다. 이들의 목표는 위험 요소를 알아내고 적절한 통제를 통해 그것의 잠재적 영향력을 약화시키거나 보험을 통해 위험을 줄이는 것이다.

그 예로, 한 거대 항공사에서는 위기 관리 프로그램 덕분에 연료 가격 상승이 회사에 타격을 줄 수 있음을 깨닫고 오픈 마켓에서 연료 가격에 대비할 수 있었다. 또 평소에 재고를 쌓아놓지 않고 필요할 때마다 공급량을 가져오던 자동차 생산 기업은 태국에 있는 공급 회사가 홍수로 인해 문제를 겪을 때를 대비해 중요 부품들을 미리 저장해 둘 수도 있을 것이다.

그러나 이러한 위기 관리 이론을 그대로 IT분야에 적용하려 하면 문제가 생기고 만다. 모든 위기 관리 프로그램의 시발점은 모든 IT자산들을 파악하고 각 자산이 경영 활동에 가지는 중요도에 따라 그들을 평가하는 것이기 때문이다. 바로 여기서 큰 문제가 발생한다.

1. 모든 IT 자산을 파악하는 일은 비용이 많이 들어갈뿐더러 거의 불가능한 일이다.
언뜻 생각하기에 자산을 파악하는 일은 매우 단순한 문제 같지만, 사실은 극도로 복잡하며 끝없는 미로와 같은 일이다. IT 자산에는 모든 종류의 컴퓨터 기기(데스크톱, 노트북, 서버, 프린트 서버)와 애플리케이션(데이터베이스, 이메일, ERP), 모든 데이터(고객 명단, 천연 자원 정보, 제품 가격 책정 가이드), 모든 이메일, 모든 버전의 모든 문서들, 모든 개인정보 및 커뮤니케이션이 포함되기 때문이다.

거기에 소비자화 트렌드에 발맞춰 물밀 듯 쏟아지는 스마트폰, 아이패드, 전자책 단말기(e-readers)등의 기기와 그 기기들에 담긴 데이터도 포함시켜야 한다. 게다가 정보 처리량이 가상화 기기와 만나며 서버가 지속적인 유동 상태에 있는 클라우드의 역동적인 성격도 고려해야 할 것이다. 바로 이런 이유로 IT 자산을 파악하는 일이 극도로 복잡하다고 한 것이다.
그렇다면, 다른 문제점은 무엇인가?

2. IT 자산에 값을 매기는 것은 불가능하다.
위기 관리는 기본적으로 각 자산에 값어치를 매긴다는 개념에 기초해 있다. 그리고 값어치를 매기는 데는 여러 가지 알고리즘이 존재한다. 주로 여러 부서의 팀들이 모여 의논을 통해 결정하며 고위급 임원들의 의사 결정이 관여하기도 한다. 그렇지만 IT 자산에 값어치를 매기는 것은 불가능하다. 그 자산을 다른 것으로 대체하는데 들어가는 비용을 계산해야 할까? 그런 방식은 목재 저장소에서는 통할지 모르나, IT에선 아니다. 이메일 서버 하나를 교체하는 데 표면상으로 2,000달러가 들어간다고 해도, 이메일 접근이 안됨으로써 회사가 입는 잠재적 손실은 생산성 감소 측면에서 보면 수 백, 수 천 만 달러에 이를 것이다.

게다가 각 이메일의 가치는 또 어떠한가? 이메일 한 통의 가치는 어떻게 매길 수 있을까? 10센트일까? 0원일까? 회계 연도 마지막 날에 타깃을 놓친 CFO와 CEO가 주고받은 이메일의 값어치는? 값어치는 0원일지 모르나, 그 이메일이 잘못된 사람의 손에 들어가면서 야기되는 위험은 수십 억 달러의 손실을 불러올 수도 있다.

그래서 대부분 기업들은 각 자산을 달러 값어치로 평가하기 보다는 저-중-고(low-medium-high) 가치평가체계를 사용한다. IT자산 매니저들이 한 방에 모여 자신이 관리하는 서버가 아무런 가치도 없음을 인정하는 모습을 상상해보라. 만일 IT 자산이 아무런 가치가 없다면 오래 전에 대체되거나 제거됐을 것이다. 모든 IT 자산은 나름의 중요성을 지닌다. 그런데 왜 굳이 그들을 분류해야 하는가?


X