정책 검토, 업무 위임, 예산 분석은 CIO가 성공적인 보안 계획을 수립할 때 수행할 수 있는 단계 중 일부일 뿐이다.
성공적인 보안 계획은 직원 정보를 보호하고 위협을 줄이며 조직의 평판을 유지할 뿐 아니라 모든 임직원에게 보안을 최우선으로 보장한다.
보안은 조직의 문화에 통합돼야 하며 보안 계획을 구현을 통해 모든 방안이 녹아 있어야 한다. <CIO UK>는 성공적인 보안 계획을 수립할 때 기업이 취해야 할 12단계를 소개한다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
1. 우선순위 지정
올바른 방식으로 보안 계획을 수립하는 것도 중요하지만, 시작하기 전에 우선순위를 정해야 한다.
취약한 링크일 수 있고 특별한 주의가 필요한 비즈니스 영역이나 관심 분야를 인식하지 못한다면 앞으로 큰 도움이 될 수는 없다.
문서를 작성하면 아마도 계획표와 우선순위의 타임라인이 계획대로 진행되는지 확인할 수 있고, 목표를 미리 정하는 데 적합하다.
또한, 직원과 동료가 자칫 잘못된 길로 빠지지 않도록 도움을 줄 수 있다.
무엇이 중요한지 파악하면 제대로 길을 따라가며 자잘한 문제를 해결하고 중요한 시간에 집중할 수 있다.
2. 비즈니스 이해
세부 보안 계획을 수립하고 비즈니스를 감사할 때 기업은 완전히 준비돼 있어야 한다.
이전의 보안 감사 및 회사 웹사이트의 정보 수집은 어떤 분야에 특별한 주의가 필요한지 평가하는 데 유용하다.
이를 통해 CIO는 비즈니스 문화를 이해하고 직원과 조직 전반의 보안 요구 사항을 충족할 수 있다.
3. 문화적 변화 지원
CIO는 직원들이 공격에 신속하게 대응할 수 있도록 보안 교육 및 인식 프로그램을 통합함으로써 문화적 변화를 이끌고 있다.
트레인라인(Trainline)의 CTO 마크 홀트는 "보안이 중요한 관심사며 이것이 우리 문화의 핵심 요소가 되기를 바란다. 이를 위해 모든 개발자는 보안 코딩 작업을 교육하고 있으며 모든 클러스터에서 맥가이버(MacGyvers)를 보유하고 있다. 즉, 보안 문제를 식별하고 제기하는 보안 교육을 추가로 제공하는 사람뿐만 아니라 보안을 위한 탁월한 기술도 중심에 두고 있다"고 설명했다.
4. 현재 예산 분석
조직이 잠재적인 비용을 효과적으로 통제할 수 있도록 보안 계획을 수립할 때 예산을 검토하는 것이 중요하다.
보안팀과의 협업을 통해 수행해야 할 작업을 강조하고 보안 비용을 개괄하여 현실적이면서도 효과적인 보안 전략을 수립할 수 있다.
이는 투자 분야와 비즈니스가 안전한 프로그램을 확보할 방법을 강조할 것이다.
5. 기존 보안 정책 검토
현재 및 성공적인 지침은 다음 보안 계획을 수립하는 데 도움이 될 수 있다.
메모를 작성하고 질문을 하고 주주 및 기업 임원과 협력하면 보안 계획을 수립하는 동시에 보안을 충족할 수 있다.
6. 정기적으로 업데이트
보안과 관련하여 CIO는 새로운 보안 제품군을 구입하기 전에 가능한 업그레이드가 있는지 확인해야 한다.
바이러스 백신, 방화벽, 악성코드 방지와 같은 기본적인 보안 툴이 필요하지만 업데이트된 소프트웨어를 사용하면 기업이 모든 기반을 다룰 수 있다.
그린피스영국 IT책임자인 앤드류 헤이튼은 다음과 같이 말했다. "우리는 오래 가고 업그레이드할 수 있는 장치를 구입하려고 노력하고 있다. 이는 디지털 툴의 수명주기 및 환경 비용에 대해 외부에서 캠페인해야 하는 과제가 되고 있다."
CIO는 보안 수준을 높이기 위해 정기적인 업데이트 일정을 수립하고 보안 툴이 최신 버전인지 확인해야 한다. 이렇게 하면 취약한 암호, 회사 데이터 손실, 안전한 작업 환경을 보장할 수 있다.
7. 팀 구축
인재의 역량을 평가해 정예요원으로 팀을 구성하고 성공적인 보안 계획을 구현할 수 있다.
보안 기술, 경험 및 조직의 보안 기록에 대한 이해를 결합한 팀이 최상의 구현 결과를 제공한다.
경력 3년 차 미만 직원이 조직의 미래 보호 및 향후 보안 감사의 역할로 전략의 측면에 귀 기울이고 참여하는 것이 가치가 있을 수 있다.
8. 관련 기술력 개발
스파이스웍스(Spiceworks)에 따르면 IT전문가 중 62%는 2017년 사이버보안이 핵심 기술로 발전할 것으로 보고 있다.
존 루이스 파트너십(John Lewis Partnership), 코벤트리 시의회(Coventry City Council), 선밴딩솔루션(Sun Branding Solutions)과 같은 CIO 100 조직은 현재 팀원의 보안 기술력을 개발하고 있다.
관련 기술을 개발하는 단계를 수행하면 조직에 대한 더 나은 인식, 보안에 대한 직원의 태도, 사이버공격에 대한 대응으로 이어질 수 있다.
스태포드셰어 컨트리 위원회(Staffordshire County Council)의 CIO인 빅 팔쿠스의 핵심 목표는 끊임없이 증가하는 사이버보안 위협에 맞춰 보안 기술을 향상하는 것이다.
9. 보안 계획 수립
보안 로드맵은 달성 가능한 목표에 대한 명확한 보안 계획을 보여준다.
좋은 보안 계획은 비용, 목표가 분명하고 직원 이해를 포함하여 구현의 각 측면을 모니터링해야 한다.
이를 통해 성공적인 보안 계획을 제공할 때 팀 협업, 커뮤니케이션 기술, 직원 생산성이 향상된다.
10. 업무 위임
개별 팀원에게 업무를 할당하는 것은 보안 계획을 수립할 때 업무가 잘 완료되도록 하는 데 중요하다.
보안을 비즈니스 전략에 맞추고 정기적으로 팀 회의를 개최하며 조호 프로젝트(Zoho Projects), 비트릭스24(Bitrix 24), 갠트프로젝트(GanttProject) 같은 작업 관리자 애플리케이션을 사용하면 마감 시간을 보장하고 기대치를 충족할 수 있다.
또한 안전한 전략을 위해 노력할 때 시간을 절약하고 작업 부하의 균형을 조정하며 직원의 생산성을 높일 수 있다.
11. 미터법 시스템 개발
보고 절차는 보안 절차를 추적하고 조직이 최소한의 중단 시간으로 보호되는지 확인할 때 매우 중요하다.
하둡과 RSA와 같은 분석 도구 사용 보안 분석은 전반적인 보안 상태에 유용한 보안 성능 및 데이터를 추적하는 데 도움이 된다.
데이터 결과는 보안 프레젠테이션, 추가 프로젝트, 직원 안전을 보장하는 데 사용할 수 있다.
12. 위기관리 인식
위기관리는 모든 직원에게 익숙하지 않은 주제다.
슬라이드, 그래프, 차트를 사용해 명확하고 세부적인 접근 방법은 위험 관리 내용을 세분화하여 정보를 더욱 설득력 있게 만든다.
이를 통해 직원들은 아이디어를 공유하고 피드백을 제공하며 조직 내 보안을 강조할 수 있다.