2013.04.18

기고 | 기업 리스크 허용도를 결정하는 3단계

Craig Shumard | CSO
정보 보안 책임자(CISO, Chief Information Security Officer)의 역할은 이제 어떤 정책과 프로세스, 테크놀로지를 도입할 지를 결정하는 것에 그치지 않는다. 보다 중요한 과제가 등장하고 있다. 바로 리스크 문제를 성공적으로 처리하는 것이다.

리스크 허용도(risk tolerance)를 결정하는 과정은 기업의 정치 역학은 물론, 여러 하부 기관들의 상황에 대한 고려가 필요한 작업이다.

프로세스를 결정함에 있어 고민해야 할 주요 문제들로는 리스크 허용도 방법론을 어떻게 따를지, 의사 결정 과정에 보안 리스크에 대한 고려를 어떻게 포함시킬지, 그리고 누구에게 보안 리스크 관리 역할을 맡길지 등이 있을 것이다.

기업 내 리스크 허용도를 어떻게 결정할 것인가
공식화된 문서로든 혹은 문화적 형태로든, 모든 기업들에는 나름의 리스크 허용도 모델이 갖춰져 있다. 문제는 그 적용 범위가 어느 정도인지에 있다.

우선 성숙한 전사적 리스크 관리(ERM, Enterprise Risk Management) 프로세스가 확립되어 있는 기업들을 생각해보자 ERM은 리스크 관리 권한 수준을 명확히 정의하고 누가 그 역할을 맡을 것인지를 명시하는, 공식적인 리스크 허용도 및 리스크 추정(risk assumption) 체계라 할 수 있다.

ERM 프로세스는 일반적으로 리스크와 노출의 질적 수준에 기반한 ‘관리 절차'를 명확히 한다. 그러나 ERM이 모든 상황에서 적절하게 보안 문제를 간소화하고 해결하는 것은 아니다.

이와 달리 비공식적인 리스크 허용도 모델을 적용하고 있는 기업들의 경우에는 현업 부문의 관리자들에게 보안 문제가 전달되면 그들이 해결책을 강구하는 암묵적인 체계가 운영되고 있다. 그러나 이러한 비공식적 리스크 허용도 모델은 보안 문제 처리 과정에서의 일관성 부재라는, 그리고 그로 인한 보안 문제의 적절한 해결 실패라는 문제를 야기할 수 있다.

보안 동기(security motivations) 결정
성숙한 ERM 프로세스를 갖추고 있는 기업들에서도 효율적 리스크 추정 프로세스를 확립하는 것은 어려운 문제로 여겨지는 경우가 많다. 일반적으로 받아들여지는 보안 리스크 추정 모델의 틀이 제시되고 있지 않기 때문이다.

일부 기업들에서는 규제 준수에 초점이 맞춰져 모델 개발이 이뤄지고 있고, 다른 기업들에서는 자신들의 정보 테크놀로지 활동과 관련한 프라이버시 및 보안 리스크 문제를 최우선적으로 고려하는 경향도 있다. 산업 혹은 경쟁자들의 상태를 리스크 허용도 수준 결정의 기준으로 삼는 기업들 역시 존재한다. 물론 이 세 요소 모두를 고려하는 기업들도 많다.

각 현업 부문별로 보안 활동의 동기와 중점을 두는 가치가 상이한 환경에서는 CEO, 나아가서는 이사회와의 협력을 통해 독자적인 리스크 추정 모델을 확립할 중요성이 더욱 커진다.

누가, 그리고 어떻게 리스크을 추정할 것인가?
모든 리스크 허용도 모델이 갖춰야 할 핵심 요인으로는 3가지가 있다. 시작은 기업의 리스크 추정 책임자를 임명하는 것이다.

누가 보안 리스크와 관련한 의사 결정을 담당할지를 정하는 문제는 매우 중요한 것이며 따라서 이사회 혹은 CEO 수준에서 임명이 이뤄져야 할 필요가 있다. 하지만 리스크의 관리가 점진적으로 확대될 필요가 있는 경우에는 1차적으로 CISO의 선에서 처리가 이뤄지고 이후 CEO 혹은 임원진이 참여하는 방법이 보다 적합할 것이다.

현업 부문 관리자들에게는 자신들 부문의 범위 내에서 유효한 리스크 관련 의사 결정 권한이 부여되어야 할 것이다. 물론 CISO 역시 현업 부문들의 자체적 보안 활동에 기업을 대표하는 권한을 행사할 수 있다.

다음 단계는 기업과 현업 부문 사이의 책임과 역할을 분담하는 것이다. 이를 위해서는 어떤 보안 리스크가 특정 부문만의 문제인지, 아니면 기업 전반 혹은 다수의 부문에 영향을 주는 것인지를 파악해야 한다.

마지막으로 어떻게 보안 문제의 논의를 전개하고 해결할지를 문서화함으로써 모든 현업 부문들이 리스크의 관리가 누구에 의해 어떻게 이뤄져야 할 지를 이해할 수 있도록 해야 한다. 이 문서에는 리스크 유형의 범주화와 이것의 처리 과정, 그리고 이를 위한 권한 수준 등의 정보가 담겨야 한다.

결론
공식적인 보안 리스크 추정 프로세스를 마련하고 이에 대한 CEO 및 이사회의 승인을 얻는 것은 리스크 허용도 문제를 성공적으로 다루기 위한 첫 단계라 할 수 있다. 보안 리스크 문제 관리의 핵심은 적합한 인물에게 적합한 수준의 권한을 부여하는데 있음을 기억하자.

마지막으로 훌륭한 CISO란 기업 내 각 기관의 정치적 특성과 그들이 리스크 허용도를 통해 얻을 수 있는 가치를 철저히 이해하고, 각자에게 적합한 리스크 회피 수준을 설정하고 조정하는 역할을 할 수 있어야 한다는 사실 역시 기억해야 할 것이다.

* Craig Shumard 는 보안 컨설팅 기업 슈마드 앤 어쏘시에이츠의 대표다. ciokr@idg.co.kr



2013.04.18

기고 | 기업 리스크 허용도를 결정하는 3단계

Craig Shumard | CSO
정보 보안 책임자(CISO, Chief Information Security Officer)의 역할은 이제 어떤 정책과 프로세스, 테크놀로지를 도입할 지를 결정하는 것에 그치지 않는다. 보다 중요한 과제가 등장하고 있다. 바로 리스크 문제를 성공적으로 처리하는 것이다.

리스크 허용도(risk tolerance)를 결정하는 과정은 기업의 정치 역학은 물론, 여러 하부 기관들의 상황에 대한 고려가 필요한 작업이다.

프로세스를 결정함에 있어 고민해야 할 주요 문제들로는 리스크 허용도 방법론을 어떻게 따를지, 의사 결정 과정에 보안 리스크에 대한 고려를 어떻게 포함시킬지, 그리고 누구에게 보안 리스크 관리 역할을 맡길지 등이 있을 것이다.

기업 내 리스크 허용도를 어떻게 결정할 것인가
공식화된 문서로든 혹은 문화적 형태로든, 모든 기업들에는 나름의 리스크 허용도 모델이 갖춰져 있다. 문제는 그 적용 범위가 어느 정도인지에 있다.

우선 성숙한 전사적 리스크 관리(ERM, Enterprise Risk Management) 프로세스가 확립되어 있는 기업들을 생각해보자 ERM은 리스크 관리 권한 수준을 명확히 정의하고 누가 그 역할을 맡을 것인지를 명시하는, 공식적인 리스크 허용도 및 리스크 추정(risk assumption) 체계라 할 수 있다.

ERM 프로세스는 일반적으로 리스크와 노출의 질적 수준에 기반한 ‘관리 절차'를 명확히 한다. 그러나 ERM이 모든 상황에서 적절하게 보안 문제를 간소화하고 해결하는 것은 아니다.

이와 달리 비공식적인 리스크 허용도 모델을 적용하고 있는 기업들의 경우에는 현업 부문의 관리자들에게 보안 문제가 전달되면 그들이 해결책을 강구하는 암묵적인 체계가 운영되고 있다. 그러나 이러한 비공식적 리스크 허용도 모델은 보안 문제 처리 과정에서의 일관성 부재라는, 그리고 그로 인한 보안 문제의 적절한 해결 실패라는 문제를 야기할 수 있다.

보안 동기(security motivations) 결정
성숙한 ERM 프로세스를 갖추고 있는 기업들에서도 효율적 리스크 추정 프로세스를 확립하는 것은 어려운 문제로 여겨지는 경우가 많다. 일반적으로 받아들여지는 보안 리스크 추정 모델의 틀이 제시되고 있지 않기 때문이다.

일부 기업들에서는 규제 준수에 초점이 맞춰져 모델 개발이 이뤄지고 있고, 다른 기업들에서는 자신들의 정보 테크놀로지 활동과 관련한 프라이버시 및 보안 리스크 문제를 최우선적으로 고려하는 경향도 있다. 산업 혹은 경쟁자들의 상태를 리스크 허용도 수준 결정의 기준으로 삼는 기업들 역시 존재한다. 물론 이 세 요소 모두를 고려하는 기업들도 많다.

각 현업 부문별로 보안 활동의 동기와 중점을 두는 가치가 상이한 환경에서는 CEO, 나아가서는 이사회와의 협력을 통해 독자적인 리스크 추정 모델을 확립할 중요성이 더욱 커진다.

누가, 그리고 어떻게 리스크을 추정할 것인가?
모든 리스크 허용도 모델이 갖춰야 할 핵심 요인으로는 3가지가 있다. 시작은 기업의 리스크 추정 책임자를 임명하는 것이다.

누가 보안 리스크와 관련한 의사 결정을 담당할지를 정하는 문제는 매우 중요한 것이며 따라서 이사회 혹은 CEO 수준에서 임명이 이뤄져야 할 필요가 있다. 하지만 리스크의 관리가 점진적으로 확대될 필요가 있는 경우에는 1차적으로 CISO의 선에서 처리가 이뤄지고 이후 CEO 혹은 임원진이 참여하는 방법이 보다 적합할 것이다.

현업 부문 관리자들에게는 자신들 부문의 범위 내에서 유효한 리스크 관련 의사 결정 권한이 부여되어야 할 것이다. 물론 CISO 역시 현업 부문들의 자체적 보안 활동에 기업을 대표하는 권한을 행사할 수 있다.

다음 단계는 기업과 현업 부문 사이의 책임과 역할을 분담하는 것이다. 이를 위해서는 어떤 보안 리스크가 특정 부문만의 문제인지, 아니면 기업 전반 혹은 다수의 부문에 영향을 주는 것인지를 파악해야 한다.

마지막으로 어떻게 보안 문제의 논의를 전개하고 해결할지를 문서화함으로써 모든 현업 부문들이 리스크의 관리가 누구에 의해 어떻게 이뤄져야 할 지를 이해할 수 있도록 해야 한다. 이 문서에는 리스크 유형의 범주화와 이것의 처리 과정, 그리고 이를 위한 권한 수준 등의 정보가 담겨야 한다.

결론
공식적인 보안 리스크 추정 프로세스를 마련하고 이에 대한 CEO 및 이사회의 승인을 얻는 것은 리스크 허용도 문제를 성공적으로 다루기 위한 첫 단계라 할 수 있다. 보안 리스크 문제 관리의 핵심은 적합한 인물에게 적합한 수준의 권한을 부여하는데 있음을 기억하자.

마지막으로 훌륭한 CISO란 기업 내 각 기관의 정치적 특성과 그들이 리스크 허용도를 통해 얻을 수 있는 가치를 철저히 이해하고, 각자에게 적합한 리스크 회피 수준을 설정하고 조정하는 역할을 할 수 있어야 한다는 사실 역시 기억해야 할 것이다.

* Craig Shumard 는 보안 컨설팅 기업 슈마드 앤 어쏘시에이츠의 대표다. ciokr@idg.co.kr

X