Offcanvas

��������� ������

기고 | 위험 선호도·위험 감내도·위험 임계값 이해하기

위험 전문가로 일하면서 다양한 조직들을 만났다. 그간의 경험에서 깨달은 분명한 사실이 하나 있다. ‘위험’이 현명한 의사결정을 이끌어내는 데 활용될 수 있는 기회로 간주되는 경우가 있는가 하면, 반드시 피해야 할 발전을 가로막는 큰 장애물로 간주되는 경우도 있다는 것이다.  위험 관리에 대해 이해하면, 기술 부서를 미래로 이끌고 진보적인 속도로 발전시키는 데 이용할 수 있다.  선호도(Appetite)와 감내도(Tolerance), 임계값(Threshold)의 의미 위험을 기회삼아 효과적으로 의사결정을 내리기 위해서는 위험 선호도, 감내도, 임계값의 차이를 이해하는 것이 아주 중요하다. 이 3가지 요소 각각에 대해 기준이 필요하다. 기술 부서가 이해를 할 경우 효과적으로 의사결정을 내리고, 자원을 극대화하고, 과감히 발전을 이룰 수 있다.  위험 선호도 위험 선호도는 기업의 목표 달성을 위해 위험을 감수하려는 조직의 전반적인 태도나 의지를 의미한다. 일반적으로는 (예를 들어) 매출을 10% 증대시키거나, 고객 기반을 10% 확대시키기 위해 기업이 수용할 의지가 있는 위험의 정도를 의미한다.  위험 선호도는 2가지 중요한 이유에서 중요하다.  1. 현재 대부분 기업은 조직에서 도입해 적용하고 있는 위험 관리 체계, 기업이 직면한 위험과 관련된 생각 및 고려사항들을 규제기관에 보여줘야 한다. 2. 경영진 수준에서 조직의 위험 선호도를 명확히 규정해야 한다. 그러면 전사적으로, 그리고 실제 기술 부서 내에서 의사결정자들이 특정 상황에 감수해야 할 위험의 정도에 대해 결정을 내릴 수 있다. 기업이 수용할 의지가 있는 위험의 정도를 이해하면, CIO는 핵심 전략 이니셔티브, 새로운 기술 위험에 대한 노출, 자원이 한정되어 있을 때의 우선순위에 대해 결정을 내릴 수 있다.  위험 감내도  위험 선호도가 위험을 수용하려는 의지라면, 위험 감내도는 기업이 견딜 수 있는 최대 위험이다.  위...

리스크 관리 위험 관리 위험 선호도 위험 감내도 위험 임계값

2021.02.08

위험 전문가로 일하면서 다양한 조직들을 만났다. 그간의 경험에서 깨달은 분명한 사실이 하나 있다. ‘위험’이 현명한 의사결정을 이끌어내는 데 활용될 수 있는 기회로 간주되는 경우가 있는가 하면, 반드시 피해야 할 발전을 가로막는 큰 장애물로 간주되는 경우도 있다는 것이다.  위험 관리에 대해 이해하면, 기술 부서를 미래로 이끌고 진보적인 속도로 발전시키는 데 이용할 수 있다.  선호도(Appetite)와 감내도(Tolerance), 임계값(Threshold)의 의미 위험을 기회삼아 효과적으로 의사결정을 내리기 위해서는 위험 선호도, 감내도, 임계값의 차이를 이해하는 것이 아주 중요하다. 이 3가지 요소 각각에 대해 기준이 필요하다. 기술 부서가 이해를 할 경우 효과적으로 의사결정을 내리고, 자원을 극대화하고, 과감히 발전을 이룰 수 있다.  위험 선호도 위험 선호도는 기업의 목표 달성을 위해 위험을 감수하려는 조직의 전반적인 태도나 의지를 의미한다. 일반적으로는 (예를 들어) 매출을 10% 증대시키거나, 고객 기반을 10% 확대시키기 위해 기업이 수용할 의지가 있는 위험의 정도를 의미한다.  위험 선호도는 2가지 중요한 이유에서 중요하다.  1. 현재 대부분 기업은 조직에서 도입해 적용하고 있는 위험 관리 체계, 기업이 직면한 위험과 관련된 생각 및 고려사항들을 규제기관에 보여줘야 한다. 2. 경영진 수준에서 조직의 위험 선호도를 명확히 규정해야 한다. 그러면 전사적으로, 그리고 실제 기술 부서 내에서 의사결정자들이 특정 상황에 감수해야 할 위험의 정도에 대해 결정을 내릴 수 있다. 기업이 수용할 의지가 있는 위험의 정도를 이해하면, CIO는 핵심 전략 이니셔티브, 새로운 기술 위험에 대한 노출, 자원이 한정되어 있을 때의 우선순위에 대해 결정을 내릴 수 있다.  위험 감내도  위험 선호도가 위험을 수용하려는 의지라면, 위험 감내도는 기업이 견딜 수 있는 최대 위험이다.  위...

2021.02.08

강은성의 보안 아키텍트 | 다시 보안 GRC를 생각한다

GRC는 거버넌스(Governance), 리스크 관리(Risk management), 규제 준수(Compliance)의 영문 첫 글자를 따 만들어진 단어다. 단순하게 정리하면, 기업에서 거버넌스는 조직이 사업 목표를 향해 나아가도록 이사회와 경영진이 지휘, 통제하는 것이고, 리스크 관리는 조직의 활동이 품고 있는 다양한 리스크, 특히 사업 목표를 달성하기 위해 나아갈 때 발생할 수 있는 리스크를 관리하는 것이며, 규제 준수는 말 그대로 법규와 규제 내에서 조직의 활동이 이뤄질 수 있도록 하는 것이다.  기업 거버넌스의 개선에 관해서는 정부와 기업, 사회의 다양한 제도와 관심, 운동이 있다. 리스크 관리는 2008년 세계 금융위기 이후 금융회사를 중심으로 리스크관리위원회가 만들어지는 등 강화되고 있다. 오너 리스크와 같이 거버넌스와 리스크가 직접 연결되기도 한다. 컴플라이언스는 GRC에서 별도로 정의했지만, 기업 현장에서는 법규와 행정 규제에 관한 리스크로 관리하는 곳이 많다. <그림> GRC 개념도 위 그림은 GRC 개념을 나타낸다. 기업이 사업 목표를 향해 나아갈 때 다양한 리스크를 잘 관리해야 한다. 목적지를 향해 가는데 중간에 다리가 끊겨 있으면 가기 어려운 것과 같은 이치다. 기업의 리스크에는 재무 리스크, 평판 리스크, 신규 사업 리스크 등 다양한 리스크가 있는데, 보안 리스크는 그 중 하나다.  GRC는 인사 GRC, 재무 GRC, IT GRC, 보안 GRC와 같이 분야별로 세분화할 수 있다.  <그림> 보안 GRC 개념도 보안 GRC는 GRC 개념에 그대로 대입하여 설명할 수 있다. 즉 보안조직이 사업 목표 달성을 위해 설정된 보안 목표를 달성하기 위해 나아갈 때 발생할 수 있는 리스크를 식별하여 관리하고, 관련 규제 안에서 활동하는 것이다. 이때 리스크 관리는 전통적으로 하는 보안위협에 따른 위험 평가와 대책 수립뿐만 아니라 보안 목표를 달성하는 데 생길 수 있는 인력, 조직, ...

CIO Governance Compliance 보안 아키텍트 강은성 규제 준수 리스크 관리 CISO GRC 거버넌스 CSO 컴플라이언스 Risk management

2020.04.13

GRC는 거버넌스(Governance), 리스크 관리(Risk management), 규제 준수(Compliance)의 영문 첫 글자를 따 만들어진 단어다. 단순하게 정리하면, 기업에서 거버넌스는 조직이 사업 목표를 향해 나아가도록 이사회와 경영진이 지휘, 통제하는 것이고, 리스크 관리는 조직의 활동이 품고 있는 다양한 리스크, 특히 사업 목표를 달성하기 위해 나아갈 때 발생할 수 있는 리스크를 관리하는 것이며, 규제 준수는 말 그대로 법규와 규제 내에서 조직의 활동이 이뤄질 수 있도록 하는 것이다.  기업 거버넌스의 개선에 관해서는 정부와 기업, 사회의 다양한 제도와 관심, 운동이 있다. 리스크 관리는 2008년 세계 금융위기 이후 금융회사를 중심으로 리스크관리위원회가 만들어지는 등 강화되고 있다. 오너 리스크와 같이 거버넌스와 리스크가 직접 연결되기도 한다. 컴플라이언스는 GRC에서 별도로 정의했지만, 기업 현장에서는 법규와 행정 규제에 관한 리스크로 관리하는 곳이 많다. <그림> GRC 개념도 위 그림은 GRC 개념을 나타낸다. 기업이 사업 목표를 향해 나아갈 때 다양한 리스크를 잘 관리해야 한다. 목적지를 향해 가는데 중간에 다리가 끊겨 있으면 가기 어려운 것과 같은 이치다. 기업의 리스크에는 재무 리스크, 평판 리스크, 신규 사업 리스크 등 다양한 리스크가 있는데, 보안 리스크는 그 중 하나다.  GRC는 인사 GRC, 재무 GRC, IT GRC, 보안 GRC와 같이 분야별로 세분화할 수 있다.  <그림> 보안 GRC 개념도 보안 GRC는 GRC 개념에 그대로 대입하여 설명할 수 있다. 즉 보안조직이 사업 목표 달성을 위해 설정된 보안 목표를 달성하기 위해 나아갈 때 발생할 수 있는 리스크를 식별하여 관리하고, 관련 규제 안에서 활동하는 것이다. 이때 리스크 관리는 전통적으로 하는 보안위협에 따른 위험 평가와 대책 수립뿐만 아니라 보안 목표를 달성하는 데 생길 수 있는 인력, 조직, ...

2020.04.13

가트너, 7가지 2019년 보안 및 리스크 관리 동향 발표

가트너가 7가지 새로운 보안 및 리스크 관리 동향을 발표했다. 가트너는 이 7가지 동향이 아직 널리 인식되지는 않았지만 보안에 중대한 영향을 미칠 수 있는 심각한 전략적 변화로 정의했다.   7가지 동향 가운데 첫번째는 리스크 관리가 비즈니스 성과에 영향을 끼친다는 것이다. 가트너 연구 담당 부사장인 피터 퍼스트브룩에 따르면, 보안 및 리스크 관리 책임자가 핵심 비즈니스 의사 결정자에게 보안 문제를 효과적으로 제시할 수 있는 능력이 중요하다. 퍼스트브룩은 비즈니스 목표와 연계된 간단하고 실용적인 리스크 측정 방안을 만들고 비즈니스 의사 결정과 관련성을 유지할 것을 제안했다. 두번재 동향은 위협 감지 및 대응에 중점을 두고 구현된 보안 운영 센터(Security Operation Center, SOC)에 중점을 둔다는 점이다. 가트너에 따르면 2022년까지 SOC의 약 50%가 통합된 사고 대응, 위협 정보 및 위협 찾아내기 기능으로 변형될 것이다. 세번째 동향은 데이터 보안 투자에 우선순위를 부여하는 데이터 보안 거버넌스 프레임워크(DSGF)를 다루는 조직과 관련이 있다.  퍼스트브룩은 "DSGF가 데이터 자산을 식별하고 분류하며 데이터 보안 정책을 정의하는 데이터 중심 청사진을 제공한다. 이는 리스크를 최소화하는 기술을 선택하는 데 사용된다"고 말했다. 이어서 "데이터 보안 문제를 해결하는 열쇠는 기술부터 도입하는 게 아니라 해결해야 할 비즈니스 리스크에서 출발하는 것이다"고 전했다.  가트너는 네번째 동향으로 기기의 터치 ID 같은 패스워드 없는 인증도 시장을 견인하고 있다고 밝혔다. "클라우드 기반 애플리케이션에 접근하기 위해 암호를 노리는 해커와 싸우려면 사용자와 기기를 연결하는 암호 없는 방법이 보안성과 유용성을 높여 줄 것이다. 또한 이 방법은 종종 해커의 공격을 막아낼 수도 있다"고 퍼스트브룩은 언급했다.  가트너가 발표한 다섯번째 동향은 보안 제...

CSO DSGF CARTA 2019년 클라우드 보안 리스크 관리 CISO 데이터 보안 가트너 거버넌스 데이터 보안 거버넌스 프레임워크

2019.03.07

가트너가 7가지 새로운 보안 및 리스크 관리 동향을 발표했다. 가트너는 이 7가지 동향이 아직 널리 인식되지는 않았지만 보안에 중대한 영향을 미칠 수 있는 심각한 전략적 변화로 정의했다.   7가지 동향 가운데 첫번째는 리스크 관리가 비즈니스 성과에 영향을 끼친다는 것이다. 가트너 연구 담당 부사장인 피터 퍼스트브룩에 따르면, 보안 및 리스크 관리 책임자가 핵심 비즈니스 의사 결정자에게 보안 문제를 효과적으로 제시할 수 있는 능력이 중요하다. 퍼스트브룩은 비즈니스 목표와 연계된 간단하고 실용적인 리스크 측정 방안을 만들고 비즈니스 의사 결정과 관련성을 유지할 것을 제안했다. 두번재 동향은 위협 감지 및 대응에 중점을 두고 구현된 보안 운영 센터(Security Operation Center, SOC)에 중점을 둔다는 점이다. 가트너에 따르면 2022년까지 SOC의 약 50%가 통합된 사고 대응, 위협 정보 및 위협 찾아내기 기능으로 변형될 것이다. 세번째 동향은 데이터 보안 투자에 우선순위를 부여하는 데이터 보안 거버넌스 프레임워크(DSGF)를 다루는 조직과 관련이 있다.  퍼스트브룩은 "DSGF가 데이터 자산을 식별하고 분류하며 데이터 보안 정책을 정의하는 데이터 중심 청사진을 제공한다. 이는 리스크를 최소화하는 기술을 선택하는 데 사용된다"고 말했다. 이어서 "데이터 보안 문제를 해결하는 열쇠는 기술부터 도입하는 게 아니라 해결해야 할 비즈니스 리스크에서 출발하는 것이다"고 전했다.  가트너는 네번째 동향으로 기기의 터치 ID 같은 패스워드 없는 인증도 시장을 견인하고 있다고 밝혔다. "클라우드 기반 애플리케이션에 접근하기 위해 암호를 노리는 해커와 싸우려면 사용자와 기기를 연결하는 암호 없는 방법이 보안성과 유용성을 높여 줄 것이다. 또한 이 방법은 종종 해커의 공격을 막아낼 수도 있다"고 퍼스트브룩은 언급했다.  가트너가 발표한 다섯번째 동향은 보안 제...

2019.03.07

'피할 수 없다면 대비하라' SW 감사에 대응 팁

감사는 시간이 오래 걸리고 비용이 들며 스트레스가 따른다. CIO가 소프트웨어 감사에 대비하는 최선의 방법을 알아보자.  전세계 IT부서는 값비싸고 시간 소모적인 소프트웨어 감사의 위협에 시달리고 있다. 감사 기간은 평균 194.15시간의 근무 시간(7.13개월의 지속 시간)이 걸리는 것으로 파악돼 IT관리자가 이를 두려워하는 것은 당연한 일이다.  소프트웨어 감사는 소프트웨어 공급 업체, 감시 조직, 공인 회계사 같은 제 3자에 의해 시작될 수 있으며 명시된 모든 규정 준수 내에서 회사가 소프트웨어를 사용하는지 여부를 검토한다. 회사가 라이선스 계약 중 하나를 준수하지 않는 것으로 판명되면, 해당 조직은 벌금을 낼 수도 있으며, 일부는 추가 보상까지 해줘야 할 수 있다.  소프트웨어 감사의 정확한 성격은 조직이 감사를 시행하는 범위에 따라 다르다. 예를 들어, 일부 감사는 특정 제품, 특정 컴퓨터 또는 특정 기간이나 위치만 대상으로 할 수 있다. 회사가 사전에 문제를 해결하고 라이선스 규제를 온전히 준수하기 위해 필요한 조처를 하는 것으로 입증되면, 본격적인 공식 감사에 대한 요구 사항을 피할 수 있는 경우도 있다. 엄격하게 잘 관리되는 소프트웨어 컴플라이언스 계획을 구현해 감사를 완전히 피할 수도 있다. 이것이 실패하더라도 감사에 대한 스트레스를 줄일 수 있는 기초를 마련할 것이다. 다음은 <CIO UK>가 소프트웨어 감사에서 살아남을 수 있는 팁과 함께 감사받을 기회를 최소화해 주는 방법이다. 1. 준비 준비는 소프트웨어 감사에 대한 전부라고 해도 과언이 아니다. 조직의 모든 관련 직원이 모든 규제 준수 문제와 관련 위험을 이해하고 있는지 확인하라. 이는 직원에게 요구될 수 있지만 외부의 조언자, 자문위원회, 조직 내외부 법부팀과 협력하면 비즈니스가 직면할 수 있는 위험에 대한 이해를 높일 수 있다. 라이선스의 감사 권한, 규제 제한, 기밀 유지 방법과 관련된 중...

라이선스 소프트웨어 감사 온보딩 변호사 법무팀 벌금 감사 리스크 관리 협상 컴플라이언스 CIO SW 감사

2018.09.07

감사는 시간이 오래 걸리고 비용이 들며 스트레스가 따른다. CIO가 소프트웨어 감사에 대비하는 최선의 방법을 알아보자.  전세계 IT부서는 값비싸고 시간 소모적인 소프트웨어 감사의 위협에 시달리고 있다. 감사 기간은 평균 194.15시간의 근무 시간(7.13개월의 지속 시간)이 걸리는 것으로 파악돼 IT관리자가 이를 두려워하는 것은 당연한 일이다.  소프트웨어 감사는 소프트웨어 공급 업체, 감시 조직, 공인 회계사 같은 제 3자에 의해 시작될 수 있으며 명시된 모든 규정 준수 내에서 회사가 소프트웨어를 사용하는지 여부를 검토한다. 회사가 라이선스 계약 중 하나를 준수하지 않는 것으로 판명되면, 해당 조직은 벌금을 낼 수도 있으며, 일부는 추가 보상까지 해줘야 할 수 있다.  소프트웨어 감사의 정확한 성격은 조직이 감사를 시행하는 범위에 따라 다르다. 예를 들어, 일부 감사는 특정 제품, 특정 컴퓨터 또는 특정 기간이나 위치만 대상으로 할 수 있다. 회사가 사전에 문제를 해결하고 라이선스 규제를 온전히 준수하기 위해 필요한 조처를 하는 것으로 입증되면, 본격적인 공식 감사에 대한 요구 사항을 피할 수 있는 경우도 있다. 엄격하게 잘 관리되는 소프트웨어 컴플라이언스 계획을 구현해 감사를 완전히 피할 수도 있다. 이것이 실패하더라도 감사에 대한 스트레스를 줄일 수 있는 기초를 마련할 것이다. 다음은 <CIO UK>가 소프트웨어 감사에서 살아남을 수 있는 팁과 함께 감사받을 기회를 최소화해 주는 방법이다. 1. 준비 준비는 소프트웨어 감사에 대한 전부라고 해도 과언이 아니다. 조직의 모든 관련 직원이 모든 규제 준수 문제와 관련 위험을 이해하고 있는지 확인하라. 이는 직원에게 요구될 수 있지만 외부의 조언자, 자문위원회, 조직 내외부 법부팀과 협력하면 비즈니스가 직면할 수 있는 위험에 대한 이해를 높일 수 있다. 라이선스의 감사 권한, 규제 제한, 기밀 유지 방법과 관련된 중...

2018.09.07

EY, 기술 혁신 추진에 10억 달러 투자

글로벌 컨설팅업체 EY가 2년 전략의 하나로 일환으로 신기술 솔루션, 고객 서비스, 혁신에 미화 10억 달러를 투자할 계획이며 관리형 서비스, 사이버보안 관리, 리스크 관리에 주력하겠다고 발표했다. EY는 글로벌 및 로컬 프랙티스에서 새롭고 파괴적인 기술을 통해 고객에게 한층 더 심화된 ‘혁신적인 서비스’ 제공을 목표로 하고 있다. EY의 기술 솔루션 어드바이저 및 구현 노력을 강조하는 새로운 자금 지원은 기존의 중대 연간 투자에 추가되는 것이다. 특히 자금은 금융 서비스, 사이버보안 관리, 리스크 관리, 관리형 서비스, 소프트웨어 서비스, 디지털 세금 및 감사 서비스 같은 분야에서 새로운 기술 기반 서비스 및 솔루션을 개발하는 데 사용될 방침이다. EY의 마크 웨인버거 회장은 "혁신적인 시대에 기업과 정부는 속도를 유지할 뿐 아니라 막대한 혼란과 기술적 변화보다 앞서 나가야 한다는 상당한 압박을 받고 있다"며 "우리는 고객이 이러한 과제를 해결하고 기술 곡선보다 앞서있을 수 있도록 도움을 주는 기회를 발견한다"고 말했다. 이어서 웨인버거 회장은 "이 투자와 기술 리더십 팀의 확장으로 EY는 기업이 성장 잠재력을 실현하기 위해 업계의 혼란을 피할 수 있도록 도울 것이다"고 강조했다. EY는 투자를 늘리면서 새로운 인물을 영입하기도 했다. 니콜라 모리니 비안지노가 글로벌 최고 고객 정보 책임자(chief client 's technology officer)로, 스티브 조지가 글로벌 CIO로 합류했다. 새롭게 개편된 글로벌 경영진에는 글로벌 정보보안 책임자(CISO)인 바바라 오닐이 있다. 웨인버거에 따르면, 이 3명의 경영진은 EY 디지털 변환 및 혁신 의제를 촉진하는 데 기여할 것이다. "이번 인사는 글로벌 인공지능(AI)과 블록체인 연구소를 포함한 혁신에 대한 기존의 투자를 보완한다"고 웨인버거는 덧붙였다. 그...

혁신 사어버보안 EY 관리형 서비스 언스트앤영 인공지능 CTO 리스크 관리 투자 CISO 컨설팅 CIO 소프트에어

2018.09.05

글로벌 컨설팅업체 EY가 2년 전략의 하나로 일환으로 신기술 솔루션, 고객 서비스, 혁신에 미화 10억 달러를 투자할 계획이며 관리형 서비스, 사이버보안 관리, 리스크 관리에 주력하겠다고 발표했다. EY는 글로벌 및 로컬 프랙티스에서 새롭고 파괴적인 기술을 통해 고객에게 한층 더 심화된 ‘혁신적인 서비스’ 제공을 목표로 하고 있다. EY의 기술 솔루션 어드바이저 및 구현 노력을 강조하는 새로운 자금 지원은 기존의 중대 연간 투자에 추가되는 것이다. 특히 자금은 금융 서비스, 사이버보안 관리, 리스크 관리, 관리형 서비스, 소프트웨어 서비스, 디지털 세금 및 감사 서비스 같은 분야에서 새로운 기술 기반 서비스 및 솔루션을 개발하는 데 사용될 방침이다. EY의 마크 웨인버거 회장은 "혁신적인 시대에 기업과 정부는 속도를 유지할 뿐 아니라 막대한 혼란과 기술적 변화보다 앞서 나가야 한다는 상당한 압박을 받고 있다"며 "우리는 고객이 이러한 과제를 해결하고 기술 곡선보다 앞서있을 수 있도록 도움을 주는 기회를 발견한다"고 말했다. 이어서 웨인버거 회장은 "이 투자와 기술 리더십 팀의 확장으로 EY는 기업이 성장 잠재력을 실현하기 위해 업계의 혼란을 피할 수 있도록 도울 것이다"고 강조했다. EY는 투자를 늘리면서 새로운 인물을 영입하기도 했다. 니콜라 모리니 비안지노가 글로벌 최고 고객 정보 책임자(chief client 's technology officer)로, 스티브 조지가 글로벌 CIO로 합류했다. 새롭게 개편된 글로벌 경영진에는 글로벌 정보보안 책임자(CISO)인 바바라 오닐이 있다. 웨인버거에 따르면, 이 3명의 경영진은 EY 디지털 변환 및 혁신 의제를 촉진하는 데 기여할 것이다. "이번 인사는 글로벌 인공지능(AI)과 블록체인 연구소를 포함한 혁신에 대한 기존의 투자를 보완한다"고 웨인버거는 덧붙였다. 그...

2018.09.05

IT 리스크를 어떻게 평가할까? 10가지 체크리스트

재난∙재해를 피할 수 없지만 복구할 수는 있다. 최악의 상황에 대비해 영향을 최소화하도록 유지하면 된다. IT시스템이 중단되더라도 문제없이 돌아가는 기업은 거의 없다. 꼼꼼한 IT 리스크 평가는 보안 시스템이 손상되지 않도록 보호하고 효과적인 대응 전략을 구현하는 중요한 방법이다. 시스템을 효과적으로 보호하기 위해 IT 리스크를 평가하는 방법을 알아보자. 1. IT 리스크 평가해야 하는 이유는 무엇인가? IT 리스크 평가의 목적은 모든 취약점과 단점을 해결하고 관리하는 것이다. 리스크 평가는 보안 팀에게 특히 중요하며 모든 관련 직원 및 이사회 구성원과 공유한 결과를 정기적으로 수행해야 한다. IT 팀이 제대로 근무하고 있는지 평가하지 않으면 보안 부서뿐 아니라 취약한 상태로 남을 수 있다. 리스크 평가를 통해 비용을 통제하고 감사가 훨씬 쉽게 이루어질 수 있다. 돈을 절약할 수 있는 영역을 찾는 것은 IT 리스크 평가에 큰 이점이다. 2. 준비 리스크 관리 절차는 관련된 적임자들과 함께 수립하기가 가장 쉽다. 리스크가 포함될 수 있는 모든 비즈니스 영역의 대표자와 위험을 억제할 방법을 알 수 있는 개인을 포함하는 자문위원회를 꾸려야 한다. 보안 리스크 평가 체크리스트와 감사 체크리스트는 위험을 검토하는 데 도움이 되는 유용한 도구며 웹 기반 도구는 이를 평가하는, 좀더 진보된 방법을 제공한다. 3. 데이터 수집 모든 리스크 평가는 현재 인프라를 점검하는 데서 출발한다. 하드웨어와 소프트웨어 모두 강점과 약점을 평가해야 한다. 보안 위험이 있는 자산은 조직을 조사한 다음 조사 결과를 IT부서에 보내 검사하고 평가해야 한다. 결과는 위해성 평가에서 예상되는 목적, 범위, 자료 흐름, 책임을 다루는 검토의 기초를 형성할 것이다. 4. 취약성 평가 각각의 가능한 위험을 식별하려면 위협 요소를 자세히 검토해야 한다. 실제 일어날 법한 시나리오를 사용하는 것은 가능한 결과를 예측하고 준비하는...

유지보수 위험 체크리스트 DR 리스크 관리 재해복구 RM 컴플라이언스 CIO 리스크 완화

2017.10.27

재난∙재해를 피할 수 없지만 복구할 수는 있다. 최악의 상황에 대비해 영향을 최소화하도록 유지하면 된다. IT시스템이 중단되더라도 문제없이 돌아가는 기업은 거의 없다. 꼼꼼한 IT 리스크 평가는 보안 시스템이 손상되지 않도록 보호하고 효과적인 대응 전략을 구현하는 중요한 방법이다. 시스템을 효과적으로 보호하기 위해 IT 리스크를 평가하는 방법을 알아보자. 1. IT 리스크 평가해야 하는 이유는 무엇인가? IT 리스크 평가의 목적은 모든 취약점과 단점을 해결하고 관리하는 것이다. 리스크 평가는 보안 팀에게 특히 중요하며 모든 관련 직원 및 이사회 구성원과 공유한 결과를 정기적으로 수행해야 한다. IT 팀이 제대로 근무하고 있는지 평가하지 않으면 보안 부서뿐 아니라 취약한 상태로 남을 수 있다. 리스크 평가를 통해 비용을 통제하고 감사가 훨씬 쉽게 이루어질 수 있다. 돈을 절약할 수 있는 영역을 찾는 것은 IT 리스크 평가에 큰 이점이다. 2. 준비 리스크 관리 절차는 관련된 적임자들과 함께 수립하기가 가장 쉽다. 리스크가 포함될 수 있는 모든 비즈니스 영역의 대표자와 위험을 억제할 방법을 알 수 있는 개인을 포함하는 자문위원회를 꾸려야 한다. 보안 리스크 평가 체크리스트와 감사 체크리스트는 위험을 검토하는 데 도움이 되는 유용한 도구며 웹 기반 도구는 이를 평가하는, 좀더 진보된 방법을 제공한다. 3. 데이터 수집 모든 리스크 평가는 현재 인프라를 점검하는 데서 출발한다. 하드웨어와 소프트웨어 모두 강점과 약점을 평가해야 한다. 보안 위험이 있는 자산은 조직을 조사한 다음 조사 결과를 IT부서에 보내 검사하고 평가해야 한다. 결과는 위해성 평가에서 예상되는 목적, 범위, 자료 흐름, 책임을 다루는 검토의 기초를 형성할 것이다. 4. 취약성 평가 각각의 가능한 위험을 식별하려면 위협 요소를 자세히 검토해야 한다. 실제 일어날 법한 시나리오를 사용하는 것은 가능한 결과를 예측하고 준비하는...

2017.10.27

이슈 사이드라인 | C-레벨과 기업의 위기 관리

대한항공 조현아 부사장 사건이 온라인을 뜨겁게 달구고 있다. 8일 현재 실시간 검색어 1위를 조현아 부사장이, 10위를 대한항공이 차지할 정도다. 요즘처럼 인터넷과 SNS가 발달한 시대에는 C-레벨들의 언행이 빠르게 퍼져나갈 수 있다. 이는 단순한 해프닝으로 그치지 않고 기업의 리스크로 이어질 수 있다. C-레벨의 언행과 기업의 위기 및 평판관리에 다룬 <CIO Korea>의 기사들을 정리했다.  ->'그들이 오판하는 이유'··· C 레벨 임원의 3가지 고질병 ->미안하거나 민망하거나… 2014년 IT기업 사과 사례들 ->'강 건넜으면 뗏목을…' 신임 IT 임원에게 필요한 8가지 ->칼럼 | 바이럴 재앙, 어떻게 예방할 것인가? ->블로그 | 소셜 시대의 기업 평판 관리 'IT의 역할' ->"잊고 싶어라" IT업계 CEO 10인의 망언록 ->"미안하게 됐다" 10개 IT기업의 사과와 해명 ->실리콘밸리 IT업계 진상들 ciokr@idg.co.kr

CIO 조현아 부사장 조현아 C-레벨 위기 관리 평판 리스크 관리 대한항공 리스크 실시간 검색어

2014.12.08

대한항공 조현아 부사장 사건이 온라인을 뜨겁게 달구고 있다. 8일 현재 실시간 검색어 1위를 조현아 부사장이, 10위를 대한항공이 차지할 정도다. 요즘처럼 인터넷과 SNS가 발달한 시대에는 C-레벨들의 언행이 빠르게 퍼져나갈 수 있다. 이는 단순한 해프닝으로 그치지 않고 기업의 리스크로 이어질 수 있다. C-레벨의 언행과 기업의 위기 및 평판관리에 다룬 <CIO Korea>의 기사들을 정리했다.  ->'그들이 오판하는 이유'··· C 레벨 임원의 3가지 고질병 ->미안하거나 민망하거나… 2014년 IT기업 사과 사례들 ->'강 건넜으면 뗏목을…' 신임 IT 임원에게 필요한 8가지 ->칼럼 | 바이럴 재앙, 어떻게 예방할 것인가? ->블로그 | 소셜 시대의 기업 평판 관리 'IT의 역할' ->"잊고 싶어라" IT업계 CEO 10인의 망언록 ->"미안하게 됐다" 10개 IT기업의 사과와 해명 ->실리콘밸리 IT업계 진상들 ciokr@idg.co.kr

2014.12.08

"회사가 성장하면 위험 관리도 복잡해진다" EMC 전문가

보안에 관해서는 기업 규모가 문제가 된다는 전문가의 주장이 제기됐다. EMC의 트러스트 담당 수석 이사인 다비 오텐헬머는 지난주 미국 보스턴에서 열린 SOURCE 행사에서 ‘빅 데이터 규모에 맞는 보안 제공’에 대한 발표를 시작하면서 “기업 규모가 커질수록 우리가 가정한 많은 것들이 깨질 수 있다"고 언급했다. 빅 데이터 광고는 기업이 더 나은 의사 결정과 정확한 예측을 가능할 것처럼 이야기하지만, 오텐헬머는 제대로 보안되지 않은 시스템에 너무 많은 트러스트를 두고 있다고 주장했다. "우리는 과거 저질렀던 실수를 반복하고 있다"고 그는 말했다. "다른 사람이 나중에 할 거라 기대하는 빅 데이터로 보안을 집이 넣어 진행하지는 않는다"라고 그는 지적했다. 오텐헬머는 자신의 책 제목인 ‘빅 데이터 보안의 현실’에 대해 언급하며 보안 탐지와 공격 회피에 주력하며 방어에 대해 연구하고 있다고 밝혔다. "회피는 위험한 공격을 피할 수 있는 가장 좋은 방법이다"고 그는 지적했다. "실시간 속도로 데이터센터를 이전할 수 있다. 꿀단지만큼 오래된 것을 보관할 수도 있고 어떤 피해를 유발시키지 않고 무엇이 진행중인지를 관찰할 수도 있다. 빅 데이터는 그 어느 때보다 지금 더 많은 것들을 할 수 있다"라고 오텐헬머는 설명했다. --------------------------------------------------------------- 빅 데이터와 보안 인기기사 -> 사례 | '빅 데이터로 보안 역량 개선' 지온스의 성공담 -> 칼럼 | 빅 데이터가 보안의 해답이 될까? -> 빅 데이터를 정보 보안에 적용하기 “유효하긴 하지만···” -> 빅 데이터의 화룡점정은 '빅 보안' -> 테라데이타...

빅데이터 EMC 리스크 관리 위기 관리

2014.04.14

보안에 관해서는 기업 규모가 문제가 된다는 전문가의 주장이 제기됐다. EMC의 트러스트 담당 수석 이사인 다비 오텐헬머는 지난주 미국 보스턴에서 열린 SOURCE 행사에서 ‘빅 데이터 규모에 맞는 보안 제공’에 대한 발표를 시작하면서 “기업 규모가 커질수록 우리가 가정한 많은 것들이 깨질 수 있다"고 언급했다. 빅 데이터 광고는 기업이 더 나은 의사 결정과 정확한 예측을 가능할 것처럼 이야기하지만, 오텐헬머는 제대로 보안되지 않은 시스템에 너무 많은 트러스트를 두고 있다고 주장했다. "우리는 과거 저질렀던 실수를 반복하고 있다"고 그는 말했다. "다른 사람이 나중에 할 거라 기대하는 빅 데이터로 보안을 집이 넣어 진행하지는 않는다"라고 그는 지적했다. 오텐헬머는 자신의 책 제목인 ‘빅 데이터 보안의 현실’에 대해 언급하며 보안 탐지와 공격 회피에 주력하며 방어에 대해 연구하고 있다고 밝혔다. "회피는 위험한 공격을 피할 수 있는 가장 좋은 방법이다"고 그는 지적했다. "실시간 속도로 데이터센터를 이전할 수 있다. 꿀단지만큼 오래된 것을 보관할 수도 있고 어떤 피해를 유발시키지 않고 무엇이 진행중인지를 관찰할 수도 있다. 빅 데이터는 그 어느 때보다 지금 더 많은 것들을 할 수 있다"라고 오텐헬머는 설명했다. --------------------------------------------------------------- 빅 데이터와 보안 인기기사 -> 사례 | '빅 데이터로 보안 역량 개선' 지온스의 성공담 -> 칼럼 | 빅 데이터가 보안의 해답이 될까? -> 빅 데이터를 정보 보안에 적용하기 “유효하긴 하지만···” -> 빅 데이터의 화룡점정은 '빅 보안' -> 테라데이타...

2014.04.14

세계 금융 기업 3분의 1, 리스크 시스템 우려··· 딜로이트

세계 금융 기업들의 1/3 이상이 자사 리스크 관리 시스템의 데이터 품질 관리 기능에 대해 우려하는 것으로 조사됐다. 딜로이트가 격년으로 발간하는 글로벌 리스크 관리 조사 8번째 보고서에 따르면, 이 회사가 86명의 다양한 금융 서비스 기업의 최고 리스크 책임자(CRO)에게 질문한 결과 응답자의 49%가 이 문제에 대한 우려를 표한 것으로 나타났다. 이 보고서에서 자사의 리스크 관리 시스템에 대해 ‘전적으로’ 또는 ‘매우’ 만족한다고 답한 응답자는 25%에 불과했다. 보고서에 따르면, 자사의 리스크 관리 시스템이 신용 리스크 관리 측면에서 ‘전적으로’ 또는 ‘매우’ 효과적이라고 답한 CRO는 70%로 집계됐으며 68%는 이 시스템이 시장 리스크와 유동성 리스크를 훨씬 더 잘 관리할 수 있다고 답했다. 그러나 '크로스 자산 등급(cross asset class)의 리스크 측정은 효과면에서 낮은 점수를 받았으며 19%만이 자사의 시스템이 이를 잘 수행한다고 말했다. 경제 시나리오를 기반으로 한 기업 전반의 스트레스 테스트 역시 효과면에서 낮은 점수를 받았다(23%). 데이터 전략과 인프라 위험에 관해서, 금융 기업의 18%만이 데이터마트/웨어하우스를 글로벌하게 관리하는데 좀더 효과적이라고 답했으며, 자사 시스템이 데이터 유지보수, 표준, 프로세스를 돕는 방법에 완전히 만족한다고 답한 CRO들은 25%가 채 되지 않았다. 딜로이트에서 금융 리스크를 총괄하는 피터 매트루글리오는 "금융 기업 이사진들 가운데 80%는 현재 적극적으로 리스크 정책과 리스크 희망에 대한 방향을 제시하고 이를 승인하고 있다”라고 밝혔다. "이사자들은 경영진의 의사 결정, 운영 프로세스, 보고와 관련한 리스크에 대해 좀더 자세한 정보와 투명성을 요구하고 있다"라고 그는 전했다. ciokr@idg.co.kr

금융 조사 딜로이트 리스크 관리

2013.09.04

세계 금융 기업들의 1/3 이상이 자사 리스크 관리 시스템의 데이터 품질 관리 기능에 대해 우려하는 것으로 조사됐다. 딜로이트가 격년으로 발간하는 글로벌 리스크 관리 조사 8번째 보고서에 따르면, 이 회사가 86명의 다양한 금융 서비스 기업의 최고 리스크 책임자(CRO)에게 질문한 결과 응답자의 49%가 이 문제에 대한 우려를 표한 것으로 나타났다. 이 보고서에서 자사의 리스크 관리 시스템에 대해 ‘전적으로’ 또는 ‘매우’ 만족한다고 답한 응답자는 25%에 불과했다. 보고서에 따르면, 자사의 리스크 관리 시스템이 신용 리스크 관리 측면에서 ‘전적으로’ 또는 ‘매우’ 효과적이라고 답한 CRO는 70%로 집계됐으며 68%는 이 시스템이 시장 리스크와 유동성 리스크를 훨씬 더 잘 관리할 수 있다고 답했다. 그러나 '크로스 자산 등급(cross asset class)의 리스크 측정은 효과면에서 낮은 점수를 받았으며 19%만이 자사의 시스템이 이를 잘 수행한다고 말했다. 경제 시나리오를 기반으로 한 기업 전반의 스트레스 테스트 역시 효과면에서 낮은 점수를 받았다(23%). 데이터 전략과 인프라 위험에 관해서, 금융 기업의 18%만이 데이터마트/웨어하우스를 글로벌하게 관리하는데 좀더 효과적이라고 답했으며, 자사 시스템이 데이터 유지보수, 표준, 프로세스를 돕는 방법에 완전히 만족한다고 답한 CRO들은 25%가 채 되지 않았다. 딜로이트에서 금융 리스크를 총괄하는 피터 매트루글리오는 "금융 기업 이사진들 가운데 80%는 현재 적극적으로 리스크 정책과 리스크 희망에 대한 방향을 제시하고 이를 승인하고 있다”라고 밝혔다. "이사자들은 경영진의 의사 결정, 운영 프로세스, 보고와 관련한 리스크에 대해 좀더 자세한 정보와 투명성을 요구하고 있다"라고 그는 전했다. ciokr@idg.co.kr

2013.09.04

CSO들이 말하는 진짜 보안 고민들

올 해 초, 와이즈게이트(Wisegate) 소속 CSO 및 CISO들이 모인 비즈니스 소셜 네트워킹 그룹의 웨비나가 개최됐다. 이 웨비나에서는 주로 ‘향후 주목해야 할 IT 보안 위협’에 대해 논의됐다. ‘과장 혹은 현실'이라는 부제가 붙은 이 웨비나에서는 보안, 클라우드 컴퓨팅, BYOD/BYOx, 보안 인식, 카운터 어택 해커(counter-attacking hacker) 등의 주제도 다뤄졌다. 그리고 얼마 전 와이즈게이트는 다음의 질문들을 통해 회원 CISO 및 CSO들에게 최근 주목을 끌고 있는 보안 동향들에 관한 그들의 견해와 전망을 물었다. 여기 와이즈게이트가 수집한 의견들을 소개하겠다. Q. 지난 와이즈게이트 웨비나에서 논의된 ‘가장 과장된' 2013년의 주요 IT 보안 위협들 가운데, 8월 현 시점에서 가장 현실화된 이슈, 또는 고민은 무엇인까? 앨버타 주 정부 CISO 팀 맥크레이트 : 많은 기업들에서 클라우드 컴퓨팅과 관련한 문제들이 현실화되고 있다. 클라우드 컴퓨팅은 세미나에서 우리가 논의한 다른 주제들을 실제적인 문제로 만드는 역할을 했다. 클라우드 컴퓨팅이 담보하는 경제적 가치, 혹은 그것이 현업 임원진에게 제시하는 정보의 규모가 기저의 주된 원인일 것이다. 또한 IT업계 ‘빅 플레이어'들의 클라우드 전략 확충 경향도 주목할 필요가 있다. 클라우드 오퍼링을 공개하거나 관련 계획을 발표하는 주요 업체들이 속속 나오고 있다. 이러한 경향은 현업 팀들에겐 일면 부담으로 다가오기도 할 것이다. 관련 활동의 타당성을 입증할 가치 제안이 요구되기 때문이다. 브라운 대학 CSO 데이빗 셰리: 사실 개인적으론 ‘가장 과장된' 보안 위협이라고 부르는 것들이 모두 어느 정도 타당하다고 보는 입장이지만, 그 가운데서도 특히 클라우드 컴퓨팅과 관련된 보안 및 프라이버시 문제는 더 현실적인 고민들이라고 생각한다. 클릭수 동의를 통한 통제권 상실, ...

CSO 전망 CISO 리스크 관리 동향 보안 인식

2013.08.14

올 해 초, 와이즈게이트(Wisegate) 소속 CSO 및 CISO들이 모인 비즈니스 소셜 네트워킹 그룹의 웨비나가 개최됐다. 이 웨비나에서는 주로 ‘향후 주목해야 할 IT 보안 위협’에 대해 논의됐다. ‘과장 혹은 현실'이라는 부제가 붙은 이 웨비나에서는 보안, 클라우드 컴퓨팅, BYOD/BYOx, 보안 인식, 카운터 어택 해커(counter-attacking hacker) 등의 주제도 다뤄졌다. 그리고 얼마 전 와이즈게이트는 다음의 질문들을 통해 회원 CISO 및 CSO들에게 최근 주목을 끌고 있는 보안 동향들에 관한 그들의 견해와 전망을 물었다. 여기 와이즈게이트가 수집한 의견들을 소개하겠다. Q. 지난 와이즈게이트 웨비나에서 논의된 ‘가장 과장된' 2013년의 주요 IT 보안 위협들 가운데, 8월 현 시점에서 가장 현실화된 이슈, 또는 고민은 무엇인까? 앨버타 주 정부 CISO 팀 맥크레이트 : 많은 기업들에서 클라우드 컴퓨팅과 관련한 문제들이 현실화되고 있다. 클라우드 컴퓨팅은 세미나에서 우리가 논의한 다른 주제들을 실제적인 문제로 만드는 역할을 했다. 클라우드 컴퓨팅이 담보하는 경제적 가치, 혹은 그것이 현업 임원진에게 제시하는 정보의 규모가 기저의 주된 원인일 것이다. 또한 IT업계 ‘빅 플레이어'들의 클라우드 전략 확충 경향도 주목할 필요가 있다. 클라우드 오퍼링을 공개하거나 관련 계획을 발표하는 주요 업체들이 속속 나오고 있다. 이러한 경향은 현업 팀들에겐 일면 부담으로 다가오기도 할 것이다. 관련 활동의 타당성을 입증할 가치 제안이 요구되기 때문이다. 브라운 대학 CSO 데이빗 셰리: 사실 개인적으론 ‘가장 과장된' 보안 위협이라고 부르는 것들이 모두 어느 정도 타당하다고 보는 입장이지만, 그 가운데서도 특히 클라우드 컴퓨팅과 관련된 보안 및 프라이버시 문제는 더 현실적인 고민들이라고 생각한다. 클릭수 동의를 통한 통제권 상실, ...

2013.08.14

"CRO는 CSO의 미래다"

최근 몇 년 사이 최고 보안 책임자(CSO)의 역할에 이런저런 변화가 있었다. 많은 대기업들에서는 1 명의 CSO가 물리적 보안과 정보 보안을 모두 관리하는 구조가 유행하고 있다. 이와 같은 기능 변화의 배경에는 쉴 새 없이 변화하는 오늘날의 위협 환경이 자리잡고 있다. 그리고 이제는 머지 않아 CSO라는 역할이, 정보 보안, 설비 관리 등과 관련한 기업의 리스크 전반을 관리하고 경감하는, 최고 리스크 책임자(CRO)로 진화할 것이라는(그리고 전통적으로 CRO의 역할로 다뤄졌던 금융 리스크 관리 기능은 타 부문으로 이전 될 것이라는) 예측이 곳곳에서 나오고 있다. 현재 CSO를 맡고 있는 이들이 CRO로 거듭나게 된다면, 그들에겐 기업의 리스크 프로파일을 이해하고 그에 따른 리스크 경감책을 마련해야 한다는 새로운 임무가 주어지게 될 것이다. 캐나다의 3 대 은행으로 손꼽히는 토론토 스코티아 은행의 기업 보안 서비스 사업부 부사장 겸 정보 보안 부책임자(deputy CISO) 그랙 톰슨은 이미 자신에게 운영 리스크 관리의 임무가 어느 정도 부여되고 있다고 설명했다. 톰슨은 "변화의 움직임이 일어나고 있다. 리스크 관리는 10년 전이라면 전적으로 운영 상의 문제로 분류됐을 것이다. 하지만 이런 구조에는 운영 과정에서 발견되는 취약성 관리의 어려움이 있었고, 이 문제를 적절히 처리하기 위해 역할 체계 개편의 필요성이 대두되고 있다"라고 말했다. 톰슨은 많은 리스크와 규제에 둘러싸인 금융 산업에서 CISO로 활동하며 정보 획득의 중요성과 운영 리스크 관리 전문 지식의 필요성을 절감했다고 이야기했다. 현재 그는 횡령, 해킹, 핵티비즘(hacktivism), 개인 정보 유출, 설정 리스크, 국가 주도 공격 리스크, 명성 리스크, 설비 리스크, IT 프로세스 리스크, 규제 리스크, 공급자/서비스 리스크 등 순수 금융 부문을 제외한 모든 종류의 리스크를 추적, 관리하고 있다. 그는 "지금까지 이것들을 단...

CSO CISO 리스크 관리 CRO

2013.07.25

최근 몇 년 사이 최고 보안 책임자(CSO)의 역할에 이런저런 변화가 있었다. 많은 대기업들에서는 1 명의 CSO가 물리적 보안과 정보 보안을 모두 관리하는 구조가 유행하고 있다. 이와 같은 기능 변화의 배경에는 쉴 새 없이 변화하는 오늘날의 위협 환경이 자리잡고 있다. 그리고 이제는 머지 않아 CSO라는 역할이, 정보 보안, 설비 관리 등과 관련한 기업의 리스크 전반을 관리하고 경감하는, 최고 리스크 책임자(CRO)로 진화할 것이라는(그리고 전통적으로 CRO의 역할로 다뤄졌던 금융 리스크 관리 기능은 타 부문으로 이전 될 것이라는) 예측이 곳곳에서 나오고 있다. 현재 CSO를 맡고 있는 이들이 CRO로 거듭나게 된다면, 그들에겐 기업의 리스크 프로파일을 이해하고 그에 따른 리스크 경감책을 마련해야 한다는 새로운 임무가 주어지게 될 것이다. 캐나다의 3 대 은행으로 손꼽히는 토론토 스코티아 은행의 기업 보안 서비스 사업부 부사장 겸 정보 보안 부책임자(deputy CISO) 그랙 톰슨은 이미 자신에게 운영 리스크 관리의 임무가 어느 정도 부여되고 있다고 설명했다. 톰슨은 "변화의 움직임이 일어나고 있다. 리스크 관리는 10년 전이라면 전적으로 운영 상의 문제로 분류됐을 것이다. 하지만 이런 구조에는 운영 과정에서 발견되는 취약성 관리의 어려움이 있었고, 이 문제를 적절히 처리하기 위해 역할 체계 개편의 필요성이 대두되고 있다"라고 말했다. 톰슨은 많은 리스크와 규제에 둘러싸인 금융 산업에서 CISO로 활동하며 정보 획득의 중요성과 운영 리스크 관리 전문 지식의 필요성을 절감했다고 이야기했다. 현재 그는 횡령, 해킹, 핵티비즘(hacktivism), 개인 정보 유출, 설정 리스크, 국가 주도 공격 리스크, 명성 리스크, 설비 리스크, IT 프로세스 리스크, 규제 리스크, 공급자/서비스 리스크 등 순수 금융 부문을 제외한 모든 종류의 리스크를 추적, 관리하고 있다. 그는 "지금까지 이것들을 단...

2013.07.25

보스턴 마라톤 폭탄 피해자 입원 병원 CIO가 전하는 '개인정보 보호'

보스턴 마라톤 폭격 피해자와 용의자가 치료받고 있는 병원의 CIO 존 할람카 박사가 IT 및 보안 관리 측면의 교훈을 전했다. "일반적으로 IT는 공급보다 수요가 더 많다"라고 할람카는 말을 시작했다. "최근 우리는 기술이 어떻게 재난을 지원하는지 몸소 배웠다. 우리 앞에 놓인 모든 일을 생각하면, 앞으로 우리의 계획은 이 때의 경험을 내재화 해야 한다"라고 그는 전했다. 로스앤젤레스 발 보스턴 행 비행기에서 소셜 미디어를 통해 이 비극적인 뉴스를 처음 접한 할람카는 자신의 IT조직의 다른 구성원들이 결승점에서 응급 상황에 대처했다고 밝혔다. 베스 이스라엘 데코네스 메디컬센터(BIDMC)는 IT부서원들은 의료 텐트와 결승선에서 자원 봉사자로 나섰고 폭격 피해자들이 안정을 취할 수 있도록 했다. “IT직원 피해를 입은 사람은 없지만, 우리가 미래의 리스크 계획에 대해 생각할 때면 데이터베이스 운영팀 대부분이 마라톤 대회에서 자원봉사로 나설 만큼 착하다는 점을 고려해야 할 것 같다”라고 할람카는 말했다. 할람카는 보스턴 마라톤 사고 때문에 IT팀은 해당 애플리케이션, 네트워크 및 데이터센터 접근 전략을 재고하게 될 것이라고 전했다. 정말로 필요한 사람들의 접근을 제한하면서 BIDMC이 애플리케이션과 네트워크의 보안을 강화하는 반면, 재택 근무를 방해하는 상황 때문에 특정 시간 대에 더 많은 접근을 허용하라고 요구할 수 있다고 할람카는 밝혔다. 재해 복구 계획도 사람들이 오랜 기간 동안 데이터센터에 접근하거나 여기를 떠날 수 없는 상황을 감안해 재고해야 한다. 고위험 환자가 상주해 있는 병원에서 피해자와 용의자가 있는 경우 개인정보 보호는 매우 중요하며, BIMDC는 개인정보 보호를 보장하기 위해 커뮤니케이션툴과 분석 측정툴을 도입했다. 다른 무엇보다도 BIMDC는 데이터가 정책과 소셜 미디어 규제-환자의 신분이나 상태에 대한 트윗 금지 등-를 명시해 모든 직원들이 볼 수 있도록 인...

CIO 개인정보 보호 리스크 관리 보스턴 마라톤 폭격 IT 교훈

2013.04.29

보스턴 마라톤 폭격 피해자와 용의자가 치료받고 있는 병원의 CIO 존 할람카 박사가 IT 및 보안 관리 측면의 교훈을 전했다. "일반적으로 IT는 공급보다 수요가 더 많다"라고 할람카는 말을 시작했다. "최근 우리는 기술이 어떻게 재난을 지원하는지 몸소 배웠다. 우리 앞에 놓인 모든 일을 생각하면, 앞으로 우리의 계획은 이 때의 경험을 내재화 해야 한다"라고 그는 전했다. 로스앤젤레스 발 보스턴 행 비행기에서 소셜 미디어를 통해 이 비극적인 뉴스를 처음 접한 할람카는 자신의 IT조직의 다른 구성원들이 결승점에서 응급 상황에 대처했다고 밝혔다. 베스 이스라엘 데코네스 메디컬센터(BIDMC)는 IT부서원들은 의료 텐트와 결승선에서 자원 봉사자로 나섰고 폭격 피해자들이 안정을 취할 수 있도록 했다. “IT직원 피해를 입은 사람은 없지만, 우리가 미래의 리스크 계획에 대해 생각할 때면 데이터베이스 운영팀 대부분이 마라톤 대회에서 자원봉사로 나설 만큼 착하다는 점을 고려해야 할 것 같다”라고 할람카는 말했다. 할람카는 보스턴 마라톤 사고 때문에 IT팀은 해당 애플리케이션, 네트워크 및 데이터센터 접근 전략을 재고하게 될 것이라고 전했다. 정말로 필요한 사람들의 접근을 제한하면서 BIDMC이 애플리케이션과 네트워크의 보안을 강화하는 반면, 재택 근무를 방해하는 상황 때문에 특정 시간 대에 더 많은 접근을 허용하라고 요구할 수 있다고 할람카는 밝혔다. 재해 복구 계획도 사람들이 오랜 기간 동안 데이터센터에 접근하거나 여기를 떠날 수 없는 상황을 감안해 재고해야 한다. 고위험 환자가 상주해 있는 병원에서 피해자와 용의자가 있는 경우 개인정보 보호는 매우 중요하며, BIMDC는 개인정보 보호를 보장하기 위해 커뮤니케이션툴과 분석 측정툴을 도입했다. 다른 무엇보다도 BIMDC는 데이터가 정책과 소셜 미디어 규제-환자의 신분이나 상태에 대한 트윗 금지 등-를 명시해 모든 직원들이 볼 수 있도록 인...

2013.04.29

기고 | '자격증 너머 현실에선···' 훌륭한 PM의 8가지 자질

유능한 PM은 프로젝트에는 집중하는 게 아니라 회사 전체의 목표를 이해하고 프로젝트가 목표를 수행하는데 어떤 역할을 할 지를 이해하는 사람이다. 프로젝트를 하다 보면 실패하는 경우가 많다. 심하면 재앙 수준의 실패가 되기도 하고, 부분적인 성공만 거두고 끝나기도 한다. 따라서 프로젝트의 성공을 위해서는 적임자를 PM으로 채용하는 것이 매우 중요하다. 그렇지만 그런 PM들을 어떻게 찾을 것이며, 또 어떤 자질을 갖춘 사람이어야 하는가? 그렇다면, CIO 이사회(CIO Executive Board)에서 내 놓은 연구 결과를 통해 어떤 PM이 훌륭한 PM인지 살펴 보도록 하자. 기술과 경험을 고루 갖춘 인재 많은 기업들에서 PM 지원자에게 요구하는 첫 번째 조건은 프로젝트 매니저 자격증이다. 그러나 CIO 이사회의 연구 보고서에 따르면 이런 자격증을 가지고 있다는 것 만으로는 훌륭한 프로젝트 관리자를 판별해 낼 수 없다. 또한, 기술적으로 뛰어난 프로젝트 관리자라고 해서 언제나 프로젝트를 성공적으로 이끄는 것도 아니었다. 대개 기술과 비즈니스 분야 모두에서 골고루 경험을 갖춘 PM이 더욱 효과적으로 일하는 것으로 나타났다. 마찬가지로, 다양한 분야의 테크놀로지에 전문성을 가진 PM이 한 가지 분야의 전문성만 지닌 PM 보다 더 효율적으로 일하는 것으로 드러났다. 이런 결과를 놓고 봤을 때 기업들에서는 단순히 자격증에만 연연할 것이 아니라 비즈니스와 기술적 측면에서 경험을 고루 갖춘 인재를 뽑는 것이 현명해 보인다. 일할 회사에 대한 정보를 아는 PM 유능한 PM은 ‘어떻게’ 뿐 아니라 ‘왜’에 대해서도 고민한다. 이들은 자신이 진행하는 프로젝트의 목표를 알고 있으며 더 나아가 이러한 목표가 조직의 전반적 목표에 어떻게 부합하는지도 알고 있다. 즉, 프로젝트가 진행되는 전체적인 문맥을 이해하고 있는 것이다. 자신이 맡은 프로젝트의 성공...

PM 커뮤니케이션 리더십 책임 역량 리스크 관리 프로젝트 매니저

2013.04.26

유능한 PM은 프로젝트에는 집중하는 게 아니라 회사 전체의 목표를 이해하고 프로젝트가 목표를 수행하는데 어떤 역할을 할 지를 이해하는 사람이다. 프로젝트를 하다 보면 실패하는 경우가 많다. 심하면 재앙 수준의 실패가 되기도 하고, 부분적인 성공만 거두고 끝나기도 한다. 따라서 프로젝트의 성공을 위해서는 적임자를 PM으로 채용하는 것이 매우 중요하다. 그렇지만 그런 PM들을 어떻게 찾을 것이며, 또 어떤 자질을 갖춘 사람이어야 하는가? 그렇다면, CIO 이사회(CIO Executive Board)에서 내 놓은 연구 결과를 통해 어떤 PM이 훌륭한 PM인지 살펴 보도록 하자. 기술과 경험을 고루 갖춘 인재 많은 기업들에서 PM 지원자에게 요구하는 첫 번째 조건은 프로젝트 매니저 자격증이다. 그러나 CIO 이사회의 연구 보고서에 따르면 이런 자격증을 가지고 있다는 것 만으로는 훌륭한 프로젝트 관리자를 판별해 낼 수 없다. 또한, 기술적으로 뛰어난 프로젝트 관리자라고 해서 언제나 프로젝트를 성공적으로 이끄는 것도 아니었다. 대개 기술과 비즈니스 분야 모두에서 골고루 경험을 갖춘 PM이 더욱 효과적으로 일하는 것으로 나타났다. 마찬가지로, 다양한 분야의 테크놀로지에 전문성을 가진 PM이 한 가지 분야의 전문성만 지닌 PM 보다 더 효율적으로 일하는 것으로 드러났다. 이런 결과를 놓고 봤을 때 기업들에서는 단순히 자격증에만 연연할 것이 아니라 비즈니스와 기술적 측면에서 경험을 고루 갖춘 인재를 뽑는 것이 현명해 보인다. 일할 회사에 대한 정보를 아는 PM 유능한 PM은 ‘어떻게’ 뿐 아니라 ‘왜’에 대해서도 고민한다. 이들은 자신이 진행하는 프로젝트의 목표를 알고 있으며 더 나아가 이러한 목표가 조직의 전반적 목표에 어떻게 부합하는지도 알고 있다. 즉, 프로젝트가 진행되는 전체적인 문맥을 이해하고 있는 것이다. 자신이 맡은 프로젝트의 성공...

2013.04.26

칼럼 | 나는 리스크가 좋다

독자 여러분들이 믿기 어려울 거라 생각하지만, 사실 체스 게임을 하는 많은 사람들은 지루해 한다. 그리고 상대방 역시 체스 게임에 지루해 하기는 마찬가지다. 이는 양쪽 다 리스크 없는 체스를 두려 하기 때문이다. 체스 경기자들은 말들을 위험하지 않은 곳으로 갖다 놓으려고만 하고 어떠한 경우라도 오류를 파하며 소극적으로 움직임으로써 이기려고만 든다. 이들은 무언가를 걸고 내기하는 것도 아니고 새로운 아이디어를 시도하지도 않는다. 그렇다고 다른 사람이 관심을 갖거나, 기발하거나, 따라 할 만한 가치가 있는 게임을 하는 것도 아니다. 사실 이들은 이기기 위한 게임을 하는 게 아니라 지지 않는 게임을 할 뿐이다. 화요일 밤 클럽에서 3~4시간 동안 게임하기 위해 앉아 있으며 상대방의 유일한 목적이 체스판에서 내 말들을 잡는 것이라는 걸 알아채는 것은 영혼을 갉아먹는 일이다. 이런 일은 화요일 밤을 보내는 방법이 아니라고 필자는 생각한다. 위험을 무릅쓰지 않는 체스는 지루하다. 체스에서와 마찬가지로 직장 경력에서도 필자는 위험을 즐겼다. 필자는 창의적인 일을 좋아하고 이기고 싶어한다. 필자는 나 자신의 판단에 도박을 걸기를 좋아한다. 그리고 설령 기대와 다른 결과를 얻을 경우, 필자는 이 새로운 데이터를 가지고 분석을 다시 생각한다. 필자가 전에도 같은 결정을 내렸다면, 두 번 실패하는 셈이다. 물론, 체스 게임의 결과는 중요하지 않다. 당신이 뭔가에 완전히 실패할 수도 있다. 잘못된 것들을 바로 잡고 다음 주에 처음부터 다시 시도하면 된다. 어처구니 없는 실수들을 찾아내면 된다. 그런 것들은 중요하지 않다. 기업에서 이러한 접근 방법을 채택한 결과는 훨씬 더 효과적이다. 특히 보안 위험에 대해 무신경해 진다는 것은 말도 안되는 일이다. 그렇다고 귀사가 위험을 감수하지 말라는 뜻도 아니다. 리스크가 전혀 없는 사업은 그저 지루할 뿐이다. 그런 회사는 거의 정체돼 있다. 이것이 바로 보안 담당 임원들이 리스크에 훌륭하게 대응해야 하는...

CSO 리스크 리스크 관리 체스

2012.12.11

독자 여러분들이 믿기 어려울 거라 생각하지만, 사실 체스 게임을 하는 많은 사람들은 지루해 한다. 그리고 상대방 역시 체스 게임에 지루해 하기는 마찬가지다. 이는 양쪽 다 리스크 없는 체스를 두려 하기 때문이다. 체스 경기자들은 말들을 위험하지 않은 곳으로 갖다 놓으려고만 하고 어떠한 경우라도 오류를 파하며 소극적으로 움직임으로써 이기려고만 든다. 이들은 무언가를 걸고 내기하는 것도 아니고 새로운 아이디어를 시도하지도 않는다. 그렇다고 다른 사람이 관심을 갖거나, 기발하거나, 따라 할 만한 가치가 있는 게임을 하는 것도 아니다. 사실 이들은 이기기 위한 게임을 하는 게 아니라 지지 않는 게임을 할 뿐이다. 화요일 밤 클럽에서 3~4시간 동안 게임하기 위해 앉아 있으며 상대방의 유일한 목적이 체스판에서 내 말들을 잡는 것이라는 걸 알아채는 것은 영혼을 갉아먹는 일이다. 이런 일은 화요일 밤을 보내는 방법이 아니라고 필자는 생각한다. 위험을 무릅쓰지 않는 체스는 지루하다. 체스에서와 마찬가지로 직장 경력에서도 필자는 위험을 즐겼다. 필자는 창의적인 일을 좋아하고 이기고 싶어한다. 필자는 나 자신의 판단에 도박을 걸기를 좋아한다. 그리고 설령 기대와 다른 결과를 얻을 경우, 필자는 이 새로운 데이터를 가지고 분석을 다시 생각한다. 필자가 전에도 같은 결정을 내렸다면, 두 번 실패하는 셈이다. 물론, 체스 게임의 결과는 중요하지 않다. 당신이 뭔가에 완전히 실패할 수도 있다. 잘못된 것들을 바로 잡고 다음 주에 처음부터 다시 시도하면 된다. 어처구니 없는 실수들을 찾아내면 된다. 그런 것들은 중요하지 않다. 기업에서 이러한 접근 방법을 채택한 결과는 훨씬 더 효과적이다. 특히 보안 위험에 대해 무신경해 진다는 것은 말도 안되는 일이다. 그렇다고 귀사가 위험을 감수하지 말라는 뜻도 아니다. 리스크가 전혀 없는 사업은 그저 지루할 뿐이다. 그런 회사는 거의 정체돼 있다. 이것이 바로 보안 담당 임원들이 리스크에 훌륭하게 대응해야 하는...

2012.12.11

CFO에게 보안 문제가 기업 리스크라고 어떻게 설득할까?

정보보호는 누릴 수 있는 이득보다 들어가는 수고와 비용이 더 많은 천덕꾸러기 취급을 받곤 한다. 큰 사고가 터져 엄청난 손실을 보기 전까지는 말이다. 어떻게 하면 정보보호를 기업 리스크 관리의 일부로 만들 수 있을까? 한 남자가 박수를 치고 있는 다른 남자에게 다가가 묻는다. "왜 박수를 치고 계시죠?" 두 번째 남자가 답하길, "악어를 쫓아버리려고요"라고 한다. 첫 번째 남자는 혼란스러워져서 "여기 악어가 어디 있다고 그러세요?"하고 되묻는다. 그러자 두 번째 남자 왈, "그렇죠? 박수 치는 게 효과가 있다니까요!" 경영진에게 IT 보안 제품 구매를 설득 시켜야 하는 CIO들은 흔히 위와 같은 상황에 처한 듯한 기분을 느낀다. "'정보 보안에 이러이러한 정도의 돈을 쓰겠습니다'라고 보고하는 CIO에게 '그걸로 충분합니까? 더 필요하지 않습니까?'라고 묻는 경우는 거의 없다"고 전자 외환 플랫폼 FX올(FXall)의 CIO 스티브 루비나우는 말했다. "대신, '이렇다 할 보안 문제도 없었는데, 보안에 돈을 너무 많이 쓰는 것 아니냐'는 말을 듣게 마련이다." ROI패러독스. IT 보안의 가장 분명한 패러독스는 아마 "보안에서 ROI가 쉽게 나오는 경우가 없다는 것이다”라고 루비나우는 말했다. 게다가 보안을 통해 시스템이 100% 안전해진다는 보장도 없다고 그는 덧붙였다. 또 요즘은 고객 정보 보다는 지적 재산을 타깃으로 하는 경우가 많아지며 보안 위협의 감지 역시 어려워지고 있기도 하다. 당장 보안 문제에 직면해 있는 것이 아닌 상황에서, 루비나우가 제안하는 방법은 같은 산업에 속한 다른 기업들에게 닥친 위기를 예시로 드는 것이다. 그는 "물론 어느 업체에게도 보안 문제가 생겨선 안 될 것이다. 그렇지만 그런 경우가 생길 경우 '좋아, 보안 ...

CIO 리스크 ROI 리스크 관리 CSIO

2012.12.04

정보보호는 누릴 수 있는 이득보다 들어가는 수고와 비용이 더 많은 천덕꾸러기 취급을 받곤 한다. 큰 사고가 터져 엄청난 손실을 보기 전까지는 말이다. 어떻게 하면 정보보호를 기업 리스크 관리의 일부로 만들 수 있을까? 한 남자가 박수를 치고 있는 다른 남자에게 다가가 묻는다. "왜 박수를 치고 계시죠?" 두 번째 남자가 답하길, "악어를 쫓아버리려고요"라고 한다. 첫 번째 남자는 혼란스러워져서 "여기 악어가 어디 있다고 그러세요?"하고 되묻는다. 그러자 두 번째 남자 왈, "그렇죠? 박수 치는 게 효과가 있다니까요!" 경영진에게 IT 보안 제품 구매를 설득 시켜야 하는 CIO들은 흔히 위와 같은 상황에 처한 듯한 기분을 느낀다. "'정보 보안에 이러이러한 정도의 돈을 쓰겠습니다'라고 보고하는 CIO에게 '그걸로 충분합니까? 더 필요하지 않습니까?'라고 묻는 경우는 거의 없다"고 전자 외환 플랫폼 FX올(FXall)의 CIO 스티브 루비나우는 말했다. "대신, '이렇다 할 보안 문제도 없었는데, 보안에 돈을 너무 많이 쓰는 것 아니냐'는 말을 듣게 마련이다." ROI패러독스. IT 보안의 가장 분명한 패러독스는 아마 "보안에서 ROI가 쉽게 나오는 경우가 없다는 것이다”라고 루비나우는 말했다. 게다가 보안을 통해 시스템이 100% 안전해진다는 보장도 없다고 그는 덧붙였다. 또 요즘은 고객 정보 보다는 지적 재산을 타깃으로 하는 경우가 많아지며 보안 위협의 감지 역시 어려워지고 있기도 하다. 당장 보안 문제에 직면해 있는 것이 아닌 상황에서, 루비나우가 제안하는 방법은 같은 산업에 속한 다른 기업들에게 닥친 위기를 예시로 드는 것이다. 그는 "물론 어느 업체에게도 보안 문제가 생겨선 안 될 것이다. 그렇지만 그런 경우가 생길 경우 '좋아, 보안 ...

2012.12.04

IT가 위기 관리에 실패할 수밖에 없는 4가지 이유

대부분의 예산이 방어 시설 개선이 아닌 긴급 제어(security controls) 기록에 쓰인다는 점을 생각해 보면, 회계 감사에 할당된 예산을 볼 때마다 속이 터지지 않을 수 없다. 이런 일이 일어나는 까닭은, 비즈니스 세계의 결과물이라 할 수 있는 위기 관리(risk management)가 IT 보안 분야에서는 위력을 발휘하지 못하기 때문이다. 중소기업들과 달리, 대기업들은 대게 정식 위기 관리 프로그램을 갖추고 있다. 심지어 이사회에 ‘위기 관리 위원회’를 따로 만들어 CFO가 이를 주도하기도 한다. 이들의 목표는 위험 요소를 알아내고 적절한 통제를 통해 그것의 잠재적 영향력을 약화시키거나 보험을 통해 위험을 줄이는 것이다. 그 예로, 한 거대 항공사에서는 위기 관리 프로그램 덕분에 연료 가격 상승이 회사에 타격을 줄 수 있음을 깨닫고 오픈 마켓에서 연료 가격에 대비할 수 있었다. 또 평소에 재고를 쌓아놓지 않고 필요할 때마다 공급량을 가져오던 자동차 생산 기업은 태국에 있는 공급 회사가 홍수로 인해 문제를 겪을 때를 대비해 중요 부품들을 미리 저장해 둘 수도 있을 것이다. 그러나 이러한 위기 관리 이론을 그대로 IT분야에 적용하려 하면 문제가 생기고 만다. 모든 위기 관리 프로그램의 시발점은 모든 IT자산들을 파악하고 각 자산이 경영 활동에 가지는 중요도에 따라 그들을 평가하는 것이기 때문이다. 바로 여기서 큰 문제가 발생한다. 1. 모든 IT 자산을 파악하는 일은 비용이 많이 들어갈뿐더러 거의 불가능한 일이다. 언뜻 생각하기에 자산을 파악하는 일은 매우 단순한 문제 같지만, 사실은 극도로 복잡하며 끝없는 미로와 같은 일이다. IT 자산에는 모든 종류의 컴퓨터 기기(데스크톱, 노트북, 서버, 프린트 서버)와 애플리케이션(데이터베이스, 이메일, ERP), 모든 데이터(고객 명단, 천연 자원 정보, 제품 가격 책정 가이드), 모든 이메일, 모든 버전의 모든 문서들, 모든 개인정보 및 커뮤니케이션이 포함되기 때문...

CFO 해킹 RM 해커 실패 리스크 관리 위기 관리

2012.10.19

대부분의 예산이 방어 시설 개선이 아닌 긴급 제어(security controls) 기록에 쓰인다는 점을 생각해 보면, 회계 감사에 할당된 예산을 볼 때마다 속이 터지지 않을 수 없다. 이런 일이 일어나는 까닭은, 비즈니스 세계의 결과물이라 할 수 있는 위기 관리(risk management)가 IT 보안 분야에서는 위력을 발휘하지 못하기 때문이다. 중소기업들과 달리, 대기업들은 대게 정식 위기 관리 프로그램을 갖추고 있다. 심지어 이사회에 ‘위기 관리 위원회’를 따로 만들어 CFO가 이를 주도하기도 한다. 이들의 목표는 위험 요소를 알아내고 적절한 통제를 통해 그것의 잠재적 영향력을 약화시키거나 보험을 통해 위험을 줄이는 것이다. 그 예로, 한 거대 항공사에서는 위기 관리 프로그램 덕분에 연료 가격 상승이 회사에 타격을 줄 수 있음을 깨닫고 오픈 마켓에서 연료 가격에 대비할 수 있었다. 또 평소에 재고를 쌓아놓지 않고 필요할 때마다 공급량을 가져오던 자동차 생산 기업은 태국에 있는 공급 회사가 홍수로 인해 문제를 겪을 때를 대비해 중요 부품들을 미리 저장해 둘 수도 있을 것이다. 그러나 이러한 위기 관리 이론을 그대로 IT분야에 적용하려 하면 문제가 생기고 만다. 모든 위기 관리 프로그램의 시발점은 모든 IT자산들을 파악하고 각 자산이 경영 활동에 가지는 중요도에 따라 그들을 평가하는 것이기 때문이다. 바로 여기서 큰 문제가 발생한다. 1. 모든 IT 자산을 파악하는 일은 비용이 많이 들어갈뿐더러 거의 불가능한 일이다. 언뜻 생각하기에 자산을 파악하는 일은 매우 단순한 문제 같지만, 사실은 극도로 복잡하며 끝없는 미로와 같은 일이다. IT 자산에는 모든 종류의 컴퓨터 기기(데스크톱, 노트북, 서버, 프린트 서버)와 애플리케이션(데이터베이스, 이메일, ERP), 모든 데이터(고객 명단, 천연 자원 정보, 제품 가격 책정 가이드), 모든 이메일, 모든 버전의 모든 문서들, 모든 개인정보 및 커뮤니케이션이 포함되기 때문...

2012.10.19

리스크 관리에 대해 CIO가 알아야 할 5가지

리스크는 어디에나 있다. 당신이 IT에서 리스크를 최소화하려 한다면, 당신은 추가적인 리스크를 수용하는 것이다. 여기 소개된 팁을 따라 하면서 독자 여러분들이 리스크 관리에 대한 현명한 접근 방법을 배우길 바란다. 산업 스파이, 규제 준수, 갑작스런 기후 변화, 통화 스와프. 리스크는 어디에나 존재하며 리스크를 IT로만 국한시켜 최소화려 한다면, 당신은 핵심을 놓치게 될 것이다. 그보다는 귀사가 리스크에서 이익을 얻도록 하는, 현명하게 리스크를 관리하는 CIO가 되는 법을 익혀라. 1. 우선 사내 IT부서부터 점검하라 당신은 안정적이고 활용 가능하며 잘 보호되고 복구가능한 IT인프라를 제공하는 능력에 영향을 줄 수 있는 이벤트를 확실히 파악하고 계획해야 한다. 하지만 당신은 네트워크 위반이나 데이터 유출 같은 IT의 영역에 직접 침범하는 리스크에서 좀더 확대해 고려해야 하고 기업 내 기술이 자산 보호나 유출에서 어떤 역할을 할 지 넓게 봐야 한다. "내가 본 많은 IT부서들은 정말로 IT에 대한 리스크나 데이터 유출만 관리하고 있다. 지적 자산에 대해서 뭔가 하는 사람은 아무도 없었다”라고 ISACA의 리스크 고문이자 밸류브릿지(Value Bridge)의 수석 애널리스트인 브라이언 바니어는 말했다. 그리고 IT부서원들과 리스크 우선순위에 대해 지나치리만큼 커뮤니케이션 하라. IT부서원들이 CIO보다 더 위협의 세부적인 부분에 집중할 수도 있기 때문이다. 2. 리스크 관리는 규제 준수만을 의미하는 것이 아니다 그렇다. 사베인-옥슬리, HIPAA, 기타 규제를 준수하는 것은 분명 리스크 관리의 한 부분이다. 하지만 규제 준수가 리스크 관리의 전부인 냥 생각하지는 말아야 한다. "흔히 위험 정보에 대해 이야기 할 때, 누가 비즈니스를 지원하는 핵심 IT인프라를 제공하고 있는지를 잘 알고 있고 당신을 곤경에 빠뜨리는 모든 것을 이해하고 있는 사람이 바로 CIO다"라고 딜로이트&터치LLP(De...

RM 리스크 관리 위기 관리 리스크 완화

2012.10.12

리스크는 어디에나 있다. 당신이 IT에서 리스크를 최소화하려 한다면, 당신은 추가적인 리스크를 수용하는 것이다. 여기 소개된 팁을 따라 하면서 독자 여러분들이 리스크 관리에 대한 현명한 접근 방법을 배우길 바란다. 산업 스파이, 규제 준수, 갑작스런 기후 변화, 통화 스와프. 리스크는 어디에나 존재하며 리스크를 IT로만 국한시켜 최소화려 한다면, 당신은 핵심을 놓치게 될 것이다. 그보다는 귀사가 리스크에서 이익을 얻도록 하는, 현명하게 리스크를 관리하는 CIO가 되는 법을 익혀라. 1. 우선 사내 IT부서부터 점검하라 당신은 안정적이고 활용 가능하며 잘 보호되고 복구가능한 IT인프라를 제공하는 능력에 영향을 줄 수 있는 이벤트를 확실히 파악하고 계획해야 한다. 하지만 당신은 네트워크 위반이나 데이터 유출 같은 IT의 영역에 직접 침범하는 리스크에서 좀더 확대해 고려해야 하고 기업 내 기술이 자산 보호나 유출에서 어떤 역할을 할 지 넓게 봐야 한다. "내가 본 많은 IT부서들은 정말로 IT에 대한 리스크나 데이터 유출만 관리하고 있다. 지적 자산에 대해서 뭔가 하는 사람은 아무도 없었다”라고 ISACA의 리스크 고문이자 밸류브릿지(Value Bridge)의 수석 애널리스트인 브라이언 바니어는 말했다. 그리고 IT부서원들과 리스크 우선순위에 대해 지나치리만큼 커뮤니케이션 하라. IT부서원들이 CIO보다 더 위협의 세부적인 부분에 집중할 수도 있기 때문이다. 2. 리스크 관리는 규제 준수만을 의미하는 것이 아니다 그렇다. 사베인-옥슬리, HIPAA, 기타 규제를 준수하는 것은 분명 리스크 관리의 한 부분이다. 하지만 규제 준수가 리스크 관리의 전부인 냥 생각하지는 말아야 한다. "흔히 위험 정보에 대해 이야기 할 때, 누가 비즈니스를 지원하는 핵심 IT인프라를 제공하고 있는지를 잘 알고 있고 당신을 곤경에 빠뜨리는 모든 것을 이해하고 있는 사람이 바로 CIO다"라고 딜로이트&터치LLP(De...

2012.10.12

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.6