Offcanvas

������������

호주∙뉴질랜드 CSO의 보안 우선순위는? 운영기술∙IAM

지난해 ICT에 180억 달러 이상을 투자한 호주와 뉴질랜드의 58개 기업 및 기관을 대상으로 조사한 보고서인 CISO 렌즈 벤치마크 2019(CISO Lens Benchmark 2019)에 따르면, 평균 보안 투자 금액은 정규 직원당 평균 2,412호주달러로 집계됐다. 기술기업의 경우 이 직원당 보안 투자가 4,252호주달러며, 금융기업은 3,248호주달러였다.  호주와 뉴질랜드의 CISO포럼인 CISO 렌즈의 전무 제임스 터너는 자본 지출(32%)과 운영 비용(68%) 사이, 그리고 '프로젝트'(40%)와 '평상시와 같은 비즈니스'(60%) 사이의 보안 지출 내역을 구분했다. 터너는 “특히 매우 기술적인 CIO가 운영하는 많은 조직은 툴을 구입하지만 실제로는 시간이 지남에 따라 유지관리가 필요하다는 사실을 잊는다. 즉, 직원은 교육을 받아야 하고 직원이 툴에서 가치를 추출할 시간을 주어야 한다. 그리고 직원이 이직하면 다른 직원을 훈련해야 한다”라고 설명했다.  조사에 응한 2명의 CSO를 제외한 나머지 모든 CSO는 앞으로 12개월 동안 보안에 총 11억 호주달러를 투자한다고 밝혔다. 금액 기준 상위 8명이 전체의 51%를 차지했다. 또한 내년에는 65%가 예산을 늘릴 것으로 예상했으며 평균 증가율은 18%얐다. 보안 예산은 전체 IT예산에서 평균 6.3%를 차지했다.   응답자들이 3가지 우선순위를 선택했기 때문에 응답 %의 총합은 100%가 넘는다. 노랑색 부분은 1순위로 가장 많이 지목된 항목이다. 최우선 과제. 응답자들은 3가지 우선순위를 선택한 결과 IAM(Identity and Access Management) 및 사물인터넷을 포함한 운영기술(OT)이 꼽혔다. OT는 최우선순위 답변이 가장 많았으며 IAM은 두번째로 많았다. 또한 IAM은 두번째 우선순위에서도 가장 높은 응답률을 보였다. CSO 입지. 벤치마크는 주요 발견 중 하나로 회사 계층의 CSO 입지를 파악했다. CSO의 43%가 CEO에게 직접 보고...

CIO CISO 렌즈 벤치마크 2019 보안투자 아마존웹서비스 시스코시스템즈 운영기술 OT ICT 브로드컴 IAM 시만텍 CISO AWS 마이크로소프트 CSO 보안예산

2020.03.13

지난해 ICT에 180억 달러 이상을 투자한 호주와 뉴질랜드의 58개 기업 및 기관을 대상으로 조사한 보고서인 CISO 렌즈 벤치마크 2019(CISO Lens Benchmark 2019)에 따르면, 평균 보안 투자 금액은 정규 직원당 평균 2,412호주달러로 집계됐다. 기술기업의 경우 이 직원당 보안 투자가 4,252호주달러며, 금융기업은 3,248호주달러였다.  호주와 뉴질랜드의 CISO포럼인 CISO 렌즈의 전무 제임스 터너는 자본 지출(32%)과 운영 비용(68%) 사이, 그리고 '프로젝트'(40%)와 '평상시와 같은 비즈니스'(60%) 사이의 보안 지출 내역을 구분했다. 터너는 “특히 매우 기술적인 CIO가 운영하는 많은 조직은 툴을 구입하지만 실제로는 시간이 지남에 따라 유지관리가 필요하다는 사실을 잊는다. 즉, 직원은 교육을 받아야 하고 직원이 툴에서 가치를 추출할 시간을 주어야 한다. 그리고 직원이 이직하면 다른 직원을 훈련해야 한다”라고 설명했다.  조사에 응한 2명의 CSO를 제외한 나머지 모든 CSO는 앞으로 12개월 동안 보안에 총 11억 호주달러를 투자한다고 밝혔다. 금액 기준 상위 8명이 전체의 51%를 차지했다. 또한 내년에는 65%가 예산을 늘릴 것으로 예상했으며 평균 증가율은 18%얐다. 보안 예산은 전체 IT예산에서 평균 6.3%를 차지했다.   응답자들이 3가지 우선순위를 선택했기 때문에 응답 %의 총합은 100%가 넘는다. 노랑색 부분은 1순위로 가장 많이 지목된 항목이다. 최우선 과제. 응답자들은 3가지 우선순위를 선택한 결과 IAM(Identity and Access Management) 및 사물인터넷을 포함한 운영기술(OT)이 꼽혔다. OT는 최우선순위 답변이 가장 많았으며 IAM은 두번째로 많았다. 또한 IAM은 두번째 우선순위에서도 가장 높은 응답률을 보였다. CSO 입지. 벤치마크는 주요 발견 중 하나로 회사 계층의 CSO 입지를 파악했다. CSO의 43%가 CEO에게 직접 보고...

2020.03.13

리스크 함수로 풀어본 '보안 투자를 늘려야 하는 이유'

보안 유출 사고와 피해 금액이 증가함에 따라 CIO는 위험을 완화시키기 위해 보안 측정을 강화하고 보안 투자도 늘려야 한다. 이미지 출처 : Thinkstock 많은 CIO들이 보안에 들어가는 돈을 아끼다 회사를 위험에 빠뜨리는 일이 발생하기도 한다. 최근 프라이스워터하우스쿠퍼스(PwC)의 설문조사에 따르면 기업들은 현재 그 어느 때보다 더 많은 IT예산을 보안에 투자하고 있다는 점을 감안한다면, 이는 앞뒤가 맞지 않는다. PwC 보고서는 대기업들은 IT예산의 11%를, 중소기업들은 15%를 보안에 투자했다고 밝혔다. 그렇지만 기업이 보안에 책정하는 전체 IT예산의 비율을 따져보면 이러한 설문 결과가 현실과 조금 다르다는 것을 알 수 있다. 왜냐하면 대부분 기업들이 IT보안에 예산을 쓰는 이유는 (규제를 따라야 하기 때문이기도 하지만) 보안 위협 리스크를 적당한 수준으로 낮추기 위해서다. 그리고 이러한 목적을 위한 투자의 액수는 전체 IT투자와는 전혀 관계가 없다. 리스크, 어떻게 진단할까 간단하게 말해, 보안 리스크란 보안 위협이 초래할 비용이나 재정적 영향, 그리고 그러한 보안 위협이 일어날 확률의 산물이라 할 수 있다. 간단한 공식으로 써 보자면, ‘리스크=비용 x 확률’이라고 할 수도 있겠다. 소니의 정보 보안 이사 제이슨 스팔트로 역시 이러한 공식을 통해 지난 2007년 “리스크를 수용하겠다는 결정은 비즈니스 관점에서 볼 때 합리적인 것이다. 하지만 100만 달러의 손실을 막기 위해 1,000만 달러의 비용을 지출할 수는 없다”라고 밝힌 바 있다. 비용이나 확률이라는 변수에서 잘못 계산했을지 모르지만, 보안을 비롯해 그 어느 분야에서도 수익이 투자 금액보다도 적을 경우 그 투자는 하지 않겠다는 스팔트로의 주장은 일견 타당해 보인다. 다시 기업들이 보안에 충분한 예산을 투자하지 않고 있다는 이야기로 돌아가 보자. 소니 해킹 사건을 통해 우리가 얻은 교훈은 대부분...

CIO 보안투자 피해 위험 정치 프라이스워터하우스쿠퍼스 완화 위협 PwC 예산 공격 소니 해커 IT투자 해킹 금전적인 손실

2015.04.03

보안 유출 사고와 피해 금액이 증가함에 따라 CIO는 위험을 완화시키기 위해 보안 측정을 강화하고 보안 투자도 늘려야 한다. 이미지 출처 : Thinkstock 많은 CIO들이 보안에 들어가는 돈을 아끼다 회사를 위험에 빠뜨리는 일이 발생하기도 한다. 최근 프라이스워터하우스쿠퍼스(PwC)의 설문조사에 따르면 기업들은 현재 그 어느 때보다 더 많은 IT예산을 보안에 투자하고 있다는 점을 감안한다면, 이는 앞뒤가 맞지 않는다. PwC 보고서는 대기업들은 IT예산의 11%를, 중소기업들은 15%를 보안에 투자했다고 밝혔다. 그렇지만 기업이 보안에 책정하는 전체 IT예산의 비율을 따져보면 이러한 설문 결과가 현실과 조금 다르다는 것을 알 수 있다. 왜냐하면 대부분 기업들이 IT보안에 예산을 쓰는 이유는 (규제를 따라야 하기 때문이기도 하지만) 보안 위협 리스크를 적당한 수준으로 낮추기 위해서다. 그리고 이러한 목적을 위한 투자의 액수는 전체 IT투자와는 전혀 관계가 없다. 리스크, 어떻게 진단할까 간단하게 말해, 보안 리스크란 보안 위협이 초래할 비용이나 재정적 영향, 그리고 그러한 보안 위협이 일어날 확률의 산물이라 할 수 있다. 간단한 공식으로 써 보자면, ‘리스크=비용 x 확률’이라고 할 수도 있겠다. 소니의 정보 보안 이사 제이슨 스팔트로 역시 이러한 공식을 통해 지난 2007년 “리스크를 수용하겠다는 결정은 비즈니스 관점에서 볼 때 합리적인 것이다. 하지만 100만 달러의 손실을 막기 위해 1,000만 달러의 비용을 지출할 수는 없다”라고 밝힌 바 있다. 비용이나 확률이라는 변수에서 잘못 계산했을지 모르지만, 보안을 비롯해 그 어느 분야에서도 수익이 투자 금액보다도 적을 경우 그 투자는 하지 않겠다는 스팔트로의 주장은 일견 타당해 보인다. 다시 기업들이 보안에 충분한 예산을 투자하지 않고 있다는 이야기로 돌아가 보자. 소니 해킹 사건을 통해 우리가 얻은 교훈은 대부분...

2015.04.03

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.31