2015.06.29

CISO를 위한 보안 KPI 및 KRI 생성법··· ISF의 제안

Thor Olavsrud | CIO
특수한 경우가 아니라면, 대부분의 기업에서는 보안에 관련된 데이터가 막대하게 생성된다. 그리고 이들 대부분은 전혀 판독되지 않고 방치된다.

보안과 위험 관리 문제를 연구 분석하는 비영리 단체인 ISF(Information Security Forum)의 전무 이사 스티브 더빈은 “보안 관련 데이터에 대해 협업이 원활하게 이뤄지지 않곤 한다. 우리는 어떤 공용어를 사용해야 할까? 어떻게 보안의 관점과 비즈니스의 관점을 일치시킬 수 있을까?”라고 말했다.

ISF의 최근 연구 조사에 따르면, 많은 CISO들이 잘못된 KPI(핵심성과지표)와 KRI(핵심위험지표)를 이용하고 또 보고하고 있었다. 더빈은 대부분의 CISO들이 현업 부문과 접촉이 없기 때문에 이같이 상황이 나타난다고 지적했다.

이로 인해 CISO들은 현업의 필요를 지레짐작하게 되며, 결과적으로 요점을 놓치곤 한다는 설명이다.

더빈은 “만약 내가 당신이 무엇을 하고 있는지 모른다면 내가 당신을 어떻게 도울 수 있겠는가? 추정은 틀릴 수 있다. 비즈니스 쪽에 가서 소통하라. 예산이 문제가 된다면 현업 쪽에서 문제를 해결하기 위해 펀딩을 물색할 수 있다. 더 이상 보안 쪽의 문제가 아니라 비즈니스 문제가 되는 것이다”라고 말했다.

Credit: Thinkstock


KPI와 KRI의 4가지 단계
보안 부서가 비즈니스와 공통 집중사항을 찾는데 도움을 주기 위해 ISF는 KPI와 KRI를 개발하는 4단계의 실용적인 접근방식을 개발했다. 더빈은 이 접근방식이 정보 보안 기능이 비즈니스의 니즈에 능동적으로 대응하는데 도움이 될 것이라고 설명했다. 핵심은 제대로 된 사람과 제대로 된 대화를 하는데 있다고 그는 덧붙였다.

ISF의 접근방식은 조직 전반에 적용되도록 설계되었고, 4단계로 구성되어 있다:

1 비즈니스 맥락을 이해하고, 공동 관심사를 식별하고, KPI와 KRI의 조합을 개발에 관여함으로써 관련성 형성하기

2 KPI/KRI 조합의 생산, 조정, 해석에 관여함으로써 통찰 생성하기

3 공동 관심사에 대한 추천을 하고 다음 단계에 대한 결정을 내리는데 관여함으로써 영향력 행사하기

4 배움과 향상 계획 개발에 관여함으로써 배우고 개선하기

ISF 접근방식의 핵심은 관여라는 개념에 있다. 관여는 관계를 형성하고 이해도를 높이며 CISO와 보안 기능 전체가 비즈니스의 니즈에 더 잘 대응하게 해준다. 게다가 기회도 더욱 넓혀 CISO가 보고를 넘어서서 다른 영향력도 가질 수 있게 해준다.

관여는 제대로 된 데이터에서 시작된다
관여는 관계 형성부터 시작된다. ISF의 접근방식에서 이는 알맞은 대상을 위해 알맞은 구조로 지원 조정된 제대로 된 데이터를 얻는 것을 의미한다. 이후 그 데이터는 조직 전반에 걸쳐 일관되게 활용되어야 한다. ISF에 의하면 관계 형성에는 6단계가 필요하다:

1 비즈니스 맥락 이해하기
2 보고 대상과 협업자 파악하기
3 공동 관심사 결정하기
4 핵심 정보 보안 우선순위 파악하기
5 KPI/KRI 조합 설계하기
6 KPI/KRI 조합 테스트, 확정하기

당신의 손에 데이터가 생기면 거기에서 통찰을 생성해낼 필요가 있다. ISF는 안정적인 통찰이 KPI와 KRI의 이해에서 온다고 말한다. 통찰 생성에는 3가지 단계가 필요하다:

1 데이터 수집
2 KPI/KRI 조합의 생산과 조정
3 통찰을 끌어내기 위한 KPI/KRI 조합 해석

그 통찰이 생기면 영향을 줘서 정보가 모든 관여자들에 의해 이해 수용되는 방식으로 보고 제시될 수 있게 해야 한다. 이는 다음과 같이 결정과 행동으로 이어지게 된다:

1 결론, 제안, 추천사항에 동의하기
2 보고서와 프레젠테이션 만들기
3 프레젠테이션 준비와 보고서 배포하기
4 프레젠테이션하고 다음 단계에 대해 동의하기

최종 단계는 이전 단계에서 알게 된 모든 것들에 기반해 학습 과정을 개발하고 계획을 개선하는 것이다. ISF의 접근방식에 의하면 이는 성과와 위험에 대한 정확한 관점에 기반한 결론으로 이어져 조직에 CISO와 정보 보안 기능이 비즈니스의 우선순위와 다른 니즈에 응답할 수 있게 해준다는 확신을 준다.

더빈은 “사이버 보안이 이사회의 관심을 받고 있으며 정보 위험이 아젠다에 오르는 지금, CISO들은 보안 투자와 위험에 대한 점점 어려운 질문들에 답해야 한다. CISO가 이런 질문들에 응답할 수 있도록 대비하고 정보 보안 기능이 전략적 우선순위에 기여하면서도 정보 위험의 균형을 잡는데 도움을 주는 일이 그 어느 때보다 더 중요해지고 있다”라고 말했다. ciokr@idg.co.kr
 



2015.06.29

CISO를 위한 보안 KPI 및 KRI 생성법··· ISF의 제안

Thor Olavsrud | CIO
특수한 경우가 아니라면, 대부분의 기업에서는 보안에 관련된 데이터가 막대하게 생성된다. 그리고 이들 대부분은 전혀 판독되지 않고 방치된다.

보안과 위험 관리 문제를 연구 분석하는 비영리 단체인 ISF(Information Security Forum)의 전무 이사 스티브 더빈은 “보안 관련 데이터에 대해 협업이 원활하게 이뤄지지 않곤 한다. 우리는 어떤 공용어를 사용해야 할까? 어떻게 보안의 관점과 비즈니스의 관점을 일치시킬 수 있을까?”라고 말했다.

ISF의 최근 연구 조사에 따르면, 많은 CISO들이 잘못된 KPI(핵심성과지표)와 KRI(핵심위험지표)를 이용하고 또 보고하고 있었다. 더빈은 대부분의 CISO들이 현업 부문과 접촉이 없기 때문에 이같이 상황이 나타난다고 지적했다.

이로 인해 CISO들은 현업의 필요를 지레짐작하게 되며, 결과적으로 요점을 놓치곤 한다는 설명이다.

더빈은 “만약 내가 당신이 무엇을 하고 있는지 모른다면 내가 당신을 어떻게 도울 수 있겠는가? 추정은 틀릴 수 있다. 비즈니스 쪽에 가서 소통하라. 예산이 문제가 된다면 현업 쪽에서 문제를 해결하기 위해 펀딩을 물색할 수 있다. 더 이상 보안 쪽의 문제가 아니라 비즈니스 문제가 되는 것이다”라고 말했다.

Credit: Thinkstock


KPI와 KRI의 4가지 단계
보안 부서가 비즈니스와 공통 집중사항을 찾는데 도움을 주기 위해 ISF는 KPI와 KRI를 개발하는 4단계의 실용적인 접근방식을 개발했다. 더빈은 이 접근방식이 정보 보안 기능이 비즈니스의 니즈에 능동적으로 대응하는데 도움이 될 것이라고 설명했다. 핵심은 제대로 된 사람과 제대로 된 대화를 하는데 있다고 그는 덧붙였다.

ISF의 접근방식은 조직 전반에 적용되도록 설계되었고, 4단계로 구성되어 있다:

1 비즈니스 맥락을 이해하고, 공동 관심사를 식별하고, KPI와 KRI의 조합을 개발에 관여함으로써 관련성 형성하기

2 KPI/KRI 조합의 생산, 조정, 해석에 관여함으로써 통찰 생성하기

3 공동 관심사에 대한 추천을 하고 다음 단계에 대한 결정을 내리는데 관여함으로써 영향력 행사하기

4 배움과 향상 계획 개발에 관여함으로써 배우고 개선하기

ISF 접근방식의 핵심은 관여라는 개념에 있다. 관여는 관계를 형성하고 이해도를 높이며 CISO와 보안 기능 전체가 비즈니스의 니즈에 더 잘 대응하게 해준다. 게다가 기회도 더욱 넓혀 CISO가 보고를 넘어서서 다른 영향력도 가질 수 있게 해준다.

관여는 제대로 된 데이터에서 시작된다
관여는 관계 형성부터 시작된다. ISF의 접근방식에서 이는 알맞은 대상을 위해 알맞은 구조로 지원 조정된 제대로 된 데이터를 얻는 것을 의미한다. 이후 그 데이터는 조직 전반에 걸쳐 일관되게 활용되어야 한다. ISF에 의하면 관계 형성에는 6단계가 필요하다:

1 비즈니스 맥락 이해하기
2 보고 대상과 협업자 파악하기
3 공동 관심사 결정하기
4 핵심 정보 보안 우선순위 파악하기
5 KPI/KRI 조합 설계하기
6 KPI/KRI 조합 테스트, 확정하기

당신의 손에 데이터가 생기면 거기에서 통찰을 생성해낼 필요가 있다. ISF는 안정적인 통찰이 KPI와 KRI의 이해에서 온다고 말한다. 통찰 생성에는 3가지 단계가 필요하다:

1 데이터 수집
2 KPI/KRI 조합의 생산과 조정
3 통찰을 끌어내기 위한 KPI/KRI 조합 해석

그 통찰이 생기면 영향을 줘서 정보가 모든 관여자들에 의해 이해 수용되는 방식으로 보고 제시될 수 있게 해야 한다. 이는 다음과 같이 결정과 행동으로 이어지게 된다:

1 결론, 제안, 추천사항에 동의하기
2 보고서와 프레젠테이션 만들기
3 프레젠테이션 준비와 보고서 배포하기
4 프레젠테이션하고 다음 단계에 대해 동의하기

최종 단계는 이전 단계에서 알게 된 모든 것들에 기반해 학습 과정을 개발하고 계획을 개선하는 것이다. ISF의 접근방식에 의하면 이는 성과와 위험에 대한 정확한 관점에 기반한 결론으로 이어져 조직에 CISO와 정보 보안 기능이 비즈니스의 우선순위와 다른 니즈에 응답할 수 있게 해준다는 확신을 준다.

더빈은 “사이버 보안이 이사회의 관심을 받고 있으며 정보 위험이 아젠다에 오르는 지금, CISO들은 보안 투자와 위험에 대한 점점 어려운 질문들에 답해야 한다. CISO가 이런 질문들에 응답할 수 있도록 대비하고 정보 보안 기능이 전략적 우선순위에 기여하면서도 정보 위험의 균형을 잡는데 도움을 주는 일이 그 어느 때보다 더 중요해지고 있다”라고 말했다. ciokr@idg.co.kr
 

X