2021.05.14

IT 거버넌스에 대한 7가지 오해와 편견

John Edwards | CIO
IT 거버넌스가 적절하게 설계되고 기능하면 IT 목표와 비즈니스 목표를 일치시키는 데 효과적이다. 기업의 전반적인 비즈니스 전략을 집중, 강화, 발전시키는 데 도움을 준다. 

그런데 IT 거버넌스와 관련해 위험한 오해들이 있다. 그리고 이러한 오해의 덫에 IT 리더들이 빠지는 경우가 너무나 많다. 그 결과, 기업은 불필요한 위험과 취약한 규정 준수, 기회 상실 등 심각한 문제로 부담을 받게 된다.

IT 거버넌스 체계와 비즈니스 거버넌스 체계를 같은 궤도에서 원활하게 운영하려면 그동안 견실한 전략들을 좌절시킨 여러 오류를 피해야 한다. 특히 위험해서 당장 피하거나 버려야 할 오해 7가지를 아래와 같이 소개한다.
 
Image Credit : Getty Images Bank


외주화하면 위험도 같이 넘어간다
많은 IT 리더들은 서드파티 업체들이 양호한 사이버 보안 원칙을 준수할 것이라고 무작정 믿는다. 서드파티 위험 보증에 필요한 모범 사례, 교육, 툴 개발을 전문으로 하는 글로벌 회원 조직 셰어드 어세스먼츠(Shared Assessments)의 VP 겸 CISO 톰 가루바는 “많은 CIO들이 기본적인 IT 통제 기능을 운영하고 있는지 검증하기 위한 실사를 수행하지 않을 때가 많다”라며 “그러한 맹목적인 믿음은 발주 기업의 허를 치를 수 있다”라고 지적했다.

가루바는 벤더의 IT 건전성을 검증하고 상세한 평가를 주기적으로 실시할 것을 권고했다. 그는 “또, 벤더의 사이버 성과를 다양한 도구로 지속적으로 감시하는 것이 현명하다”라고 덧붙였다.

가루바는 전체적인 서드파티 위험 평가를 실시하지 못하는 조직은 이미 뒤쳐져 있다고 경고했다. “그러한 평가는 이제 모든 업계에 걸쳐 일반적인 운영 절차로 여겨지고 있다”라고 그는 덧붙였다.

소프트웨어가 뿌리내린 문제를 해결할 수 있다
잘 정의된 프로세스를 정착시키기 위해 워크플로우 소프트웨어를 활용할 수 있다. 그러나 소프트웨어 훈련 회사 디벨롭인텔리전스(DevelopIntelligence)의 IT 거버넌스 강사 브라이언 슈는 많은 조직들의 경우 ‘잘 정의된 프로세스’란 허위의 개념에 불과하다고 지적했다. 소프트웨어는 조직 프로세스에 지원을 제공할 수 있을 뿐이라는 것이다. “도구는 프로세스가 아니다. 조직의 당면 문제를 해결할 만병 통치약이 아니다”라고 그는 잘라 말했다.

기업은 소프트웨어로 거버넌스 지침을 찾기에 앞서 먼저 비전과 미션, 목표, 목적 등을 명확히 규정했는지 반드시 확인해야 한다. 슈는 “그런 연후에 거버넌스는 조직의 비전, 미션, 목표, 목적을 뒷받침하기 위한 운영 프로세스 창출을 둘러싼 의사결정의 방향을 이끌어 준다. 그런 다음에 조직은 조직 목표 달성에 도움이 될 프로세스를 촉진하기 위한 소프트웨어 도구를 선택하고 구성할 수 있다”라고 말했다.

거버넌스는 ‘단일 창’을 통해 달성할 수 있다
성공적인 IT 거버넌스는 계획된 목표를 달성하기 위해 위험 관리, 자원, 전략을 최적화한다. 비즈니스 및 IT 자문 회사 딜로이트(Deloitte)의 미국 사이버 위험 서비스 전략, 방어 및 대응 솔루션 리더 앤드류 모리슨은 “여러 분야에 걸쳐 IT 수행 및 실행의 중요한 양상을 수집해 보고하는 능력은 해당 IT 거버넌스 프로그램의 효과를 결정하는 바탕”이라고 말했다.

IT 보고를 명확하고 간결한 비즈니스 용어로, 그리고 의사결정권자가 쉽게 소비할 수 있는 양식으로 시각화하고자 하는 기대가 존재한다. 애석하게도 이러한 기대는 하나의 도구나 솔루션으로 기업 전체에 걸쳐 필요한 가시성과 복잡한 평가 기능을 모두 제공할 수 있다는 과장 광고로 이어졌다.

현실은 서로 다른 기술과 프로세스, 정책, 사람들로부터 취합한 실시간 데이터를 뒷받침할 완성도가 부재하다는 점이다.

모리슨은 “그 뿐만 아니라, 오늘날 IT 시스템은 복잡하고 IT 내부의 변화 속도는 빨라졌기 때문에 빠르게 변화하는 입력 내용에 연결성을 유지하는 일이 헛고생이 되어버릴 가능성이 있다”라고 주장했다. 

그는 이어 “IT 거버넌스의 여러 부분(예: 위험, 보안, 규정 준수, 통제, 운영 비용)에 대한 통합적인 뷰를 제공하는 훌륭한 도구가 많이 있지만 대부분의 조직들은 진정한 ‘단일 창’을 달성하려고 애쓰기 보다는 목적에 맞게 개발된 여러 솔루션의 활용을 최적화하는 편이 더욱 효과적일 것”이라고 조언했다.

지표가 컴플라이언스를 보장한다
지표는 맥락에 맞게 제시되지 않는 한 거의 무의미하다. 사이버보안 규정준수 자문 회사 알레그로 솔루션즈(Allegro Solutions) 창립주 겸 CEO 카렌 월쉬는 “지도부는 보안을 이해하고 프로그램 성숙도를 입증하기 위해 지표가 필요하지만 지표만으로는 컴플라이언스가 입증되지 않는다”라고 말했다.

맥락은 사람, 프로세스, 기술 등 지표를 둘러싼 거의 모든 것에서부터 나온다. 월쉬는 “결국 거버넌스란 비즈니스와 IT 스택을 아는 것이고 어떻게 하나가 다른 것의 채택을 추진하는지 이해하는 것”이라며, “비즈니스 목표가 IT 구매를 추진하게 되고 이는 다시 궁극적으로 목표의 차기 발전을 추진하게 된다”라고 말했다.




2021.05.14

IT 거버넌스에 대한 7가지 오해와 편견

John Edwards | CIO
IT 거버넌스가 적절하게 설계되고 기능하면 IT 목표와 비즈니스 목표를 일치시키는 데 효과적이다. 기업의 전반적인 비즈니스 전략을 집중, 강화, 발전시키는 데 도움을 준다. 

그런데 IT 거버넌스와 관련해 위험한 오해들이 있다. 그리고 이러한 오해의 덫에 IT 리더들이 빠지는 경우가 너무나 많다. 그 결과, 기업은 불필요한 위험과 취약한 규정 준수, 기회 상실 등 심각한 문제로 부담을 받게 된다.

IT 거버넌스 체계와 비즈니스 거버넌스 체계를 같은 궤도에서 원활하게 운영하려면 그동안 견실한 전략들을 좌절시킨 여러 오류를 피해야 한다. 특히 위험해서 당장 피하거나 버려야 할 오해 7가지를 아래와 같이 소개한다.
 
Image Credit : Getty Images Bank


외주화하면 위험도 같이 넘어간다
많은 IT 리더들은 서드파티 업체들이 양호한 사이버 보안 원칙을 준수할 것이라고 무작정 믿는다. 서드파티 위험 보증에 필요한 모범 사례, 교육, 툴 개발을 전문으로 하는 글로벌 회원 조직 셰어드 어세스먼츠(Shared Assessments)의 VP 겸 CISO 톰 가루바는 “많은 CIO들이 기본적인 IT 통제 기능을 운영하고 있는지 검증하기 위한 실사를 수행하지 않을 때가 많다”라며 “그러한 맹목적인 믿음은 발주 기업의 허를 치를 수 있다”라고 지적했다.

가루바는 벤더의 IT 건전성을 검증하고 상세한 평가를 주기적으로 실시할 것을 권고했다. 그는 “또, 벤더의 사이버 성과를 다양한 도구로 지속적으로 감시하는 것이 현명하다”라고 덧붙였다.

가루바는 전체적인 서드파티 위험 평가를 실시하지 못하는 조직은 이미 뒤쳐져 있다고 경고했다. “그러한 평가는 이제 모든 업계에 걸쳐 일반적인 운영 절차로 여겨지고 있다”라고 그는 덧붙였다.

소프트웨어가 뿌리내린 문제를 해결할 수 있다
잘 정의된 프로세스를 정착시키기 위해 워크플로우 소프트웨어를 활용할 수 있다. 그러나 소프트웨어 훈련 회사 디벨롭인텔리전스(DevelopIntelligence)의 IT 거버넌스 강사 브라이언 슈는 많은 조직들의 경우 ‘잘 정의된 프로세스’란 허위의 개념에 불과하다고 지적했다. 소프트웨어는 조직 프로세스에 지원을 제공할 수 있을 뿐이라는 것이다. “도구는 프로세스가 아니다. 조직의 당면 문제를 해결할 만병 통치약이 아니다”라고 그는 잘라 말했다.

기업은 소프트웨어로 거버넌스 지침을 찾기에 앞서 먼저 비전과 미션, 목표, 목적 등을 명확히 규정했는지 반드시 확인해야 한다. 슈는 “그런 연후에 거버넌스는 조직의 비전, 미션, 목표, 목적을 뒷받침하기 위한 운영 프로세스 창출을 둘러싼 의사결정의 방향을 이끌어 준다. 그런 다음에 조직은 조직 목표 달성에 도움이 될 프로세스를 촉진하기 위한 소프트웨어 도구를 선택하고 구성할 수 있다”라고 말했다.

거버넌스는 ‘단일 창’을 통해 달성할 수 있다
성공적인 IT 거버넌스는 계획된 목표를 달성하기 위해 위험 관리, 자원, 전략을 최적화한다. 비즈니스 및 IT 자문 회사 딜로이트(Deloitte)의 미국 사이버 위험 서비스 전략, 방어 및 대응 솔루션 리더 앤드류 모리슨은 “여러 분야에 걸쳐 IT 수행 및 실행의 중요한 양상을 수집해 보고하는 능력은 해당 IT 거버넌스 프로그램의 효과를 결정하는 바탕”이라고 말했다.

IT 보고를 명확하고 간결한 비즈니스 용어로, 그리고 의사결정권자가 쉽게 소비할 수 있는 양식으로 시각화하고자 하는 기대가 존재한다. 애석하게도 이러한 기대는 하나의 도구나 솔루션으로 기업 전체에 걸쳐 필요한 가시성과 복잡한 평가 기능을 모두 제공할 수 있다는 과장 광고로 이어졌다.

현실은 서로 다른 기술과 프로세스, 정책, 사람들로부터 취합한 실시간 데이터를 뒷받침할 완성도가 부재하다는 점이다.

모리슨은 “그 뿐만 아니라, 오늘날 IT 시스템은 복잡하고 IT 내부의 변화 속도는 빨라졌기 때문에 빠르게 변화하는 입력 내용에 연결성을 유지하는 일이 헛고생이 되어버릴 가능성이 있다”라고 주장했다. 

그는 이어 “IT 거버넌스의 여러 부분(예: 위험, 보안, 규정 준수, 통제, 운영 비용)에 대한 통합적인 뷰를 제공하는 훌륭한 도구가 많이 있지만 대부분의 조직들은 진정한 ‘단일 창’을 달성하려고 애쓰기 보다는 목적에 맞게 개발된 여러 솔루션의 활용을 최적화하는 편이 더욱 효과적일 것”이라고 조언했다.

지표가 컴플라이언스를 보장한다
지표는 맥락에 맞게 제시되지 않는 한 거의 무의미하다. 사이버보안 규정준수 자문 회사 알레그로 솔루션즈(Allegro Solutions) 창립주 겸 CEO 카렌 월쉬는 “지도부는 보안을 이해하고 프로그램 성숙도를 입증하기 위해 지표가 필요하지만 지표만으로는 컴플라이언스가 입증되지 않는다”라고 말했다.

맥락은 사람, 프로세스, 기술 등 지표를 둘러싼 거의 모든 것에서부터 나온다. 월쉬는 “결국 거버넌스란 비즈니스와 IT 스택을 아는 것이고 어떻게 하나가 다른 것의 채택을 추진하는지 이해하는 것”이라며, “비즈니스 목표가 IT 구매를 추진하게 되고 이는 다시 궁극적으로 목표의 차기 발전을 추진하게 된다”라고 말했다.


X