Offcanvas

GRC

강은성의 보안 아키텍트 | 다시 보안 GRC를 생각한다

GRC는 거버넌스(Governance), 리스크 관리(Risk management), 규제 준수(Compliance)의 영문 첫 글자를 따 만들어진 단어다. 단순하게 정리하면, 기업에서 거버넌스는 조직이 사업 목표를 향해 나아가도록 이사회와 경영진이 지휘, 통제하는 것이고, 리스크 관리는 조직의 활동이 품고 있는 다양한 리스크, 특히 사업 목표를 달성하기 위해 나아갈 때 발생할 수 있는 리스크를 관리하는 것이며, 규제 준수는 말 그대로 법규와 규제 내에서 조직의 활동이 이뤄질 수 있도록 하는 것이다.  기업 거버넌스의 개선에 관해서는 정부와 기업, 사회의 다양한 제도와 관심, 운동이 있다. 리스크 관리는 2008년 세계 금융위기 이후 금융회사를 중심으로 리스크관리위원회가 만들어지는 등 강화되고 있다. 오너 리스크와 같이 거버넌스와 리스크가 직접 연결되기도 한다. 컴플라이언스는 GRC에서 별도로 정의했지만, 기업 현장에서는 법규와 행정 규제에 관한 리스크로 관리하는 곳이 많다. <그림> GRC 개념도 위 그림은 GRC 개념을 나타낸다. 기업이 사업 목표를 향해 나아갈 때 다양한 리스크를 잘 관리해야 한다. 목적지를 향해 가는데 중간에 다리가 끊겨 있으면 가기 어려운 것과 같은 이치다. 기업의 리스크에는 재무 리스크, 평판 리스크, 신규 사업 리스크 등 다양한 리스크가 있는데, 보안 리스크는 그 중 하나다.  GRC는 인사 GRC, 재무 GRC, IT GRC, 보안 GRC와 같이 분야별로 세분화할 수 있다.  <그림> 보안 GRC 개념도 보안 GRC는 GRC 개념에 그대로 대입하여 설명할 수 있다. 즉 보안조직이 사업 목표 달성을 위해 설정된 보안 목표를 달성하기 위해 나아갈 때 발생할 수 있는 리스크를 식별하여 관리하고, 관련 규제 안에서 활동하는 것이다. 이때 리스크 관리는 전통적으로 하는 보안위협에 따른 위험 평가와 대책 수립뿐만 아니라 보안 목표를 달성하는 데 생길 수 있는 인력, 조직, ...

CIO Governance Compliance 보안 아키텍트 강은성 규제 준수 리스크 관리 CISO GRC 거버넌스 CSO 컴플라이언스 Risk management

2020.04.13

GRC는 거버넌스(Governance), 리스크 관리(Risk management), 규제 준수(Compliance)의 영문 첫 글자를 따 만들어진 단어다. 단순하게 정리하면, 기업에서 거버넌스는 조직이 사업 목표를 향해 나아가도록 이사회와 경영진이 지휘, 통제하는 것이고, 리스크 관리는 조직의 활동이 품고 있는 다양한 리스크, 특히 사업 목표를 달성하기 위해 나아갈 때 발생할 수 있는 리스크를 관리하는 것이며, 규제 준수는 말 그대로 법규와 규제 내에서 조직의 활동이 이뤄질 수 있도록 하는 것이다.  기업 거버넌스의 개선에 관해서는 정부와 기업, 사회의 다양한 제도와 관심, 운동이 있다. 리스크 관리는 2008년 세계 금융위기 이후 금융회사를 중심으로 리스크관리위원회가 만들어지는 등 강화되고 있다. 오너 리스크와 같이 거버넌스와 리스크가 직접 연결되기도 한다. 컴플라이언스는 GRC에서 별도로 정의했지만, 기업 현장에서는 법규와 행정 규제에 관한 리스크로 관리하는 곳이 많다. <그림> GRC 개념도 위 그림은 GRC 개념을 나타낸다. 기업이 사업 목표를 향해 나아갈 때 다양한 리스크를 잘 관리해야 한다. 목적지를 향해 가는데 중간에 다리가 끊겨 있으면 가기 어려운 것과 같은 이치다. 기업의 리스크에는 재무 리스크, 평판 리스크, 신규 사업 리스크 등 다양한 리스크가 있는데, 보안 리스크는 그 중 하나다.  GRC는 인사 GRC, 재무 GRC, IT GRC, 보안 GRC와 같이 분야별로 세분화할 수 있다.  <그림> 보안 GRC 개념도 보안 GRC는 GRC 개념에 그대로 대입하여 설명할 수 있다. 즉 보안조직이 사업 목표 달성을 위해 설정된 보안 목표를 달성하기 위해 나아갈 때 발생할 수 있는 리스크를 식별하여 관리하고, 관련 규제 안에서 활동하는 것이다. 이때 리스크 관리는 전통적으로 하는 보안위협에 따른 위험 평가와 대책 수립뿐만 아니라 보안 목표를 달성하는 데 생길 수 있는 인력, 조직, ...

2020.04.13

GRC에 대해 알고 싶은 두세 가지 것들

GRC는 거버넌스, 리스크, 컴플라이언스(Governance, Risk, Compliance)의 약자로 조직의 전반적인 통제 구조와 리스크 관리, 규제 준수 활동을 다루는 전략을 의미한다. GRC는 IT가 비즈니스 목표에 맞춰 방향성을 설정하고, 발생 가능한 리스크를 효율적으로 관리하며, 규제 요구를 충족하도록 해주는 구조적 접근법으로서 기능한다. 체계적으로 기획된 GRC 전략이 조직에게 안겨주는 가치는 다양하다. 의사 결정 개선, IT 투자 최적화, 사일로 제거, 부서 간 분산 감소 등이 GRC가 전달하는 대표적 가치들이다. GRC와 관련해 자주 제기되는 의문들과, 이에 대한 답을 소개한다. GRC는 '거버넌스, 리스크, 컴플라이언스'를 의미하는가, 아니면 '거버넌스, 리스크, 컨트롤'을 의미하는가? 에듀코즈(EDUCAUSE)의 사이버보안 및 IT GRC 프로그램 책임자 조안나 그래마는 GRC의 'C'는 본래 컴플라이언스를 의미하지만, 이것과 컨트롤과 동일시하는 일부의 시각 역시 어느 정도 일리가 있다고 말한다. IT 환경에서 GRC가 의미하는 바는 다음과 같다. - 거버넌스 : 조직의 활동(IT 운영 관리 등)이 기업의 비즈니스 목표를 온전히 지원할 수 있는 방향으로 구성되어 있는지를 확인하는 과정. - 리스크 : 조직의 활동과 관련한 리스크(혹은 기회)가 온전히 파악되고 있고, 그것이 비즈니스 목표 지원에 지장을 주는 일이 없도록 대비되어 있는지를 확인하는 과정. IT 조직의 경우라면, 전반적인 IT 리스크 관리 프로세스와 전사 리스크 관리 기능 간의 일치 수준을 보장하는 노력이 요구된다. - 컴플라이언스 : 조직의 활동이 그 시스템과 관련한 규제, 법규를 준수하며 운영되고 있는지를 확인하는 과정. IT 조직의 경우라면, IT 시스템과 그 안의 데이터들이 안전하고 적절한 방식으로 이용되고 있는지를 보장하는 노력이 요구된다. 그리고 IT 통제 시스템 및 해당 통제 시스템이 제대로 ...

컴플라이언스 거버넌스 GRC 리스크 ITIL COBIT

2017.07.14

GRC는 거버넌스, 리스크, 컴플라이언스(Governance, Risk, Compliance)의 약자로 조직의 전반적인 통제 구조와 리스크 관리, 규제 준수 활동을 다루는 전략을 의미한다. GRC는 IT가 비즈니스 목표에 맞춰 방향성을 설정하고, 발생 가능한 리스크를 효율적으로 관리하며, 규제 요구를 충족하도록 해주는 구조적 접근법으로서 기능한다. 체계적으로 기획된 GRC 전략이 조직에게 안겨주는 가치는 다양하다. 의사 결정 개선, IT 투자 최적화, 사일로 제거, 부서 간 분산 감소 등이 GRC가 전달하는 대표적 가치들이다. GRC와 관련해 자주 제기되는 의문들과, 이에 대한 답을 소개한다. GRC는 '거버넌스, 리스크, 컴플라이언스'를 의미하는가, 아니면 '거버넌스, 리스크, 컨트롤'을 의미하는가? 에듀코즈(EDUCAUSE)의 사이버보안 및 IT GRC 프로그램 책임자 조안나 그래마는 GRC의 'C'는 본래 컴플라이언스를 의미하지만, 이것과 컨트롤과 동일시하는 일부의 시각 역시 어느 정도 일리가 있다고 말한다. IT 환경에서 GRC가 의미하는 바는 다음과 같다. - 거버넌스 : 조직의 활동(IT 운영 관리 등)이 기업의 비즈니스 목표를 온전히 지원할 수 있는 방향으로 구성되어 있는지를 확인하는 과정. - 리스크 : 조직의 활동과 관련한 리스크(혹은 기회)가 온전히 파악되고 있고, 그것이 비즈니스 목표 지원에 지장을 주는 일이 없도록 대비되어 있는지를 확인하는 과정. IT 조직의 경우라면, 전반적인 IT 리스크 관리 프로세스와 전사 리스크 관리 기능 간의 일치 수준을 보장하는 노력이 요구된다. - 컴플라이언스 : 조직의 활동이 그 시스템과 관련한 규제, 법규를 준수하며 운영되고 있는지를 확인하는 과정. IT 조직의 경우라면, IT 시스템과 그 안의 데이터들이 안전하고 적절한 방식으로 이용되고 있는지를 보장하는 노력이 요구된다. 그리고 IT 통제 시스템 및 해당 통제 시스템이 제대로 ...

2017.07.14

인포그래픽ㅣ보안 인재 채용 기간 평균 14주 이상, 최대 4개월 소요

사이브러리가 16일 발표한 사이버 보안 직업 트렌드 설문 조사에 따르면, 사이버 보안에서 가장 핵심적인 직업은 네트워크 및 애플리케이션 보안, GRC/정보 지원, 보안 인텔리전스 관련 직업인 것으로 파악됐다. 사이브러리는 사이버 보안 온라인 교육 제공업체로, 올 10월부터 최근까지 고위급 IT전문가 435명을 대상으로 설문 조사를 실시했다. 이미지 출처 : 사이브러리 사이버 보안 인재 및 기술 부족은 오래 전부터 도마에 올랐던 주제였으나, 이번 조사에서 몇 가지 새로운 사실이 드러났다. 사이브러리의 공동 창립자인 라이언 코리는 "기업 및 공공기관은 데이터 보안을 걱정할 수밖에 없으며, 이러한 사실은 사이버 보안 역량 격차로 인한 문제가 계속되고 있음을 시사한다"고 말했다. 그는 "사이버 보안 문제로 압박을 받는 기업들의 경우, 사이버 보안 전담 인력이 심히 부족하다는 사실을 알고 있으며, 결국 이로 인해 사이버 공격에 취약해 지는 것"이라고 덧붙였다. 사이브러리의 조사 발표를 요악하자면 다음과 같다. * 응답자의 80%는 실력 있는 사이버 보안 전문가를 채용하는 과정에서 '항상' 혹은 '가끔씩' 어려움을 겪는다고 답했다. 이에 대한 주요 원인으로 1위는 실력이 출중한 사이버 보안 인력의 전반적인 부족(40%), 2위와 3위는 각각 인재를 물색하고 채용할 전담 인력 부족(18%), 지역 IT인재 양성 부족(14%)이었다. * 채용은 여전히 해결 과제로 남아 있으며, 일부 직무의 경우 채용에만 4개월 가까이 걸리는 상황이다. 코리는 "일부 특정 지역의 사이버 보안 인력과 관련해 대다수의 응답자는 인재가 있기는 하지만 찾기가 어려운 실정이라고 응답했다"고 설명했다. * 가장 인기 있는 사이버 보안 자격증은 시큐리티+, 에티컬 해킹(Ethical Hacking), 네트워크+, CISSP, A+였다. * 가장 인기 있는 보안 기술은 에티컬 해...

보안 컴퓨터 포렌식 A+ 네트워크+ 에티컬 해킹 시큐리티+ 사이브러리 CISSP 네트워크 보안 사이버 보안 애플리케이션 보안 인포그래픽 트렌드 인력 직업 고용 GRC 채용 Advanced Penetration Testing

2015.12.17

사이브러리가 16일 발표한 사이버 보안 직업 트렌드 설문 조사에 따르면, 사이버 보안에서 가장 핵심적인 직업은 네트워크 및 애플리케이션 보안, GRC/정보 지원, 보안 인텔리전스 관련 직업인 것으로 파악됐다. 사이브러리는 사이버 보안 온라인 교육 제공업체로, 올 10월부터 최근까지 고위급 IT전문가 435명을 대상으로 설문 조사를 실시했다. 이미지 출처 : 사이브러리 사이버 보안 인재 및 기술 부족은 오래 전부터 도마에 올랐던 주제였으나, 이번 조사에서 몇 가지 새로운 사실이 드러났다. 사이브러리의 공동 창립자인 라이언 코리는 "기업 및 공공기관은 데이터 보안을 걱정할 수밖에 없으며, 이러한 사실은 사이버 보안 역량 격차로 인한 문제가 계속되고 있음을 시사한다"고 말했다. 그는 "사이버 보안 문제로 압박을 받는 기업들의 경우, 사이버 보안 전담 인력이 심히 부족하다는 사실을 알고 있으며, 결국 이로 인해 사이버 공격에 취약해 지는 것"이라고 덧붙였다. 사이브러리의 조사 발표를 요악하자면 다음과 같다. * 응답자의 80%는 실력 있는 사이버 보안 전문가를 채용하는 과정에서 '항상' 혹은 '가끔씩' 어려움을 겪는다고 답했다. 이에 대한 주요 원인으로 1위는 실력이 출중한 사이버 보안 인력의 전반적인 부족(40%), 2위와 3위는 각각 인재를 물색하고 채용할 전담 인력 부족(18%), 지역 IT인재 양성 부족(14%)이었다. * 채용은 여전히 해결 과제로 남아 있으며, 일부 직무의 경우 채용에만 4개월 가까이 걸리는 상황이다. 코리는 "일부 특정 지역의 사이버 보안 인력과 관련해 대다수의 응답자는 인재가 있기는 하지만 찾기가 어려운 실정이라고 응답했다"고 설명했다. * 가장 인기 있는 사이버 보안 자격증은 시큐리티+, 에티컬 해킹(Ethical Hacking), 네트워크+, CISSP, A+였다. * 가장 인기 있는 보안 기술은 에티컬 해...

2015.12.17

의료·유통·금융의 IT전문가들, 데이터 규제 준수 실패

인력 부족과 데이터의 빠른 증가로 의료, 유통, 금융에 종사하는 IT전문가들이 데이터 규제를 준수하지 못하는 것으로 조사됐다. 의료, 유통, 금융 업종은 상대적으로 규제가 엄격한데 이 산업에 종사하는 대부분의 IT전문가들이 규제 준수에 대해 책임지고 있다. 델이 컴플라이언스 기술 전문가 200명을 대상으로 조사한 결과 거버넌스, 리스크, 컴플라이언스(GRC) 분야에서 주목할 만한 점을 발견했다. 보안팀과 규제 준수팀이 좀더 밀접하게 일하고 더 많은 정보를 공유할 경우 기업의 보안 수준을 높일 수 있다고 믿는 조사 응답자가 무려 83%나 됐다. 새로운 데이터 소스를 규제 및 보안을 위한 환경에 추가하는 임직원들이 보안 및 규제팀에 이 새로운 데이터에 대해 공지하는데 시간이 걸린다고 말한 응답자는 50% 미만이었다. 그리고 GRC 목표를 준수하는데 우려되는 요인으로 응답자의 59%가 제한된 인력을, 49%가 데이터의 증가를 지목했다. 또한 기업들은 잠재적인 데이터 침해에 대해 이를 설정하면서 무단 접근과 민감한 데이터 변경을 방지하는 기능에 대해 걱정하는 것으로 나타났다. 무단 변경을 방지하는 기능을 걱정하는 조사 응답자는 무려 93%나 됐으며 내외부의 무단 접근에 대해 걱정하는 응답자도 61%나 됐다. 또한 기업 규제 기준을 유지하는데 필요한 모든 규제 준수 데이터를 확보하느냐는 질문에 대해 대다수가 규제 제어에 필요한 데이터 량을 관리하기 위한 일관된 프로세스를 가지지 않는다고 답했다. 더 이상 필요하지 않은 데이터 소스를 삭제한다고 밝힌 응답자는 50% 미만이었다. 데이터 유출사건이나 데이터 침해의 근본 원인을 파악하는 데 필요한 모든 데이터를 찾아서 조사한다고 말한 응답자는 11%에 불과했다. 규제 대상 데이터 소스를 추가하는 데 대해 ‘일관된 프로세스’를 정립했다고 답한 IT전문가들은 50%도 채 되지 않았다. 델에서 GRC 솔루션을 담당한 수석 제품 매니저인 팀 쉐드백은 &...

컴플라이언스 거버넌스 GRC 리스크 IT전문가 조사 준수 규제

2014.08.21

인력 부족과 데이터의 빠른 증가로 의료, 유통, 금융에 종사하는 IT전문가들이 데이터 규제를 준수하지 못하는 것으로 조사됐다. 의료, 유통, 금융 업종은 상대적으로 규제가 엄격한데 이 산업에 종사하는 대부분의 IT전문가들이 규제 준수에 대해 책임지고 있다. 델이 컴플라이언스 기술 전문가 200명을 대상으로 조사한 결과 거버넌스, 리스크, 컴플라이언스(GRC) 분야에서 주목할 만한 점을 발견했다. 보안팀과 규제 준수팀이 좀더 밀접하게 일하고 더 많은 정보를 공유할 경우 기업의 보안 수준을 높일 수 있다고 믿는 조사 응답자가 무려 83%나 됐다. 새로운 데이터 소스를 규제 및 보안을 위한 환경에 추가하는 임직원들이 보안 및 규제팀에 이 새로운 데이터에 대해 공지하는데 시간이 걸린다고 말한 응답자는 50% 미만이었다. 그리고 GRC 목표를 준수하는데 우려되는 요인으로 응답자의 59%가 제한된 인력을, 49%가 데이터의 증가를 지목했다. 또한 기업들은 잠재적인 데이터 침해에 대해 이를 설정하면서 무단 접근과 민감한 데이터 변경을 방지하는 기능에 대해 걱정하는 것으로 나타났다. 무단 변경을 방지하는 기능을 걱정하는 조사 응답자는 무려 93%나 됐으며 내외부의 무단 접근에 대해 걱정하는 응답자도 61%나 됐다. 또한 기업 규제 기준을 유지하는데 필요한 모든 규제 준수 데이터를 확보하느냐는 질문에 대해 대다수가 규제 제어에 필요한 데이터 량을 관리하기 위한 일관된 프로세스를 가지지 않는다고 답했다. 더 이상 필요하지 않은 데이터 소스를 삭제한다고 밝힌 응답자는 50% 미만이었다. 데이터 유출사건이나 데이터 침해의 근본 원인을 파악하는 데 필요한 모든 데이터를 찾아서 조사한다고 말한 응답자는 11%에 불과했다. 규제 대상 데이터 소스를 추가하는 데 대해 ‘일관된 프로세스’를 정립했다고 답한 IT전문가들은 50%도 채 되지 않았다. 델에서 GRC 솔루션을 담당한 수석 제품 매니저인 팀 쉐드백은 &...

2014.08.21

규제 준수 훈련에도 게임화 기법 효과 ‘굿’

신생벤처 트루오피스(True Office)는 은행들이 게임을 통한 교육으로 수백만 파운드의 벌금을 피할 수 있다고 주장했다. 금융 솔루션 벤처 트루오피스에 따르면, 규제 준수 교육의 게임화 기법이 은행들에게 수백만 파운드의 벌금을 절감할 수 있다고 한다. 영국 런던에서 열린 금융IT 행사 피노베이트(Finovate)에서 연사로 나선 트루오피스 CEO 아담 소도윅은 은행들이 규제 때문에 상당한 벌금을 내게 되고 심지어 어떤 경우 명성에 큰 손상을 입는데도 효과적인 규제 준수 교육을 제공하지 못하고 있다고 지적했다. --------------------------------------------------------------- 게임+비즈니스 인기기사 ->“게임+경영=수익”••• P&G의 비즈니스 스피어 -> 기고 | 새로운 리더십 패러다임 '게임 역학' ->현장에 확산되는 ‘게임화 기법’ -> 기고 | 복잡한 문제 해결에 ‘게임’을 활용하라 -> 달콤한 유혹 ‘게임화 경영 기법'··· 위험 관리 체크포인트 ---------------------------------------------------------------   HSBC의 경우 지난해 12월 자사 서비스가 멕시코에서 자금세탁에 운영에 활용됐다는 이유로 12억 파운드의 벌금을 받았고 바클레이는 리보 스캔들(Libor-fixing scandal) 이후 규제 준수 요구를 충족시키지 못한 데 대한 벌금 수억 파운드를 내야 했다. 동시에 규제 요구 사항은 규모가 더 커지고 더 복잡해졌다. "사람들은 절대적으로 규제 준수 교육을 싫어한다. 사람들은 교육에 대해 기억도 못하고 그것을 심각하게 여기지도 않는다. 하지만 은행들은 이 교육에 상...

GRC 은행 벌금 규제 준수 금융 솔루션 게임화 기법

2013.02.15

신생벤처 트루오피스(True Office)는 은행들이 게임을 통한 교육으로 수백만 파운드의 벌금을 피할 수 있다고 주장했다. 금융 솔루션 벤처 트루오피스에 따르면, 규제 준수 교육의 게임화 기법이 은행들에게 수백만 파운드의 벌금을 절감할 수 있다고 한다. 영국 런던에서 열린 금융IT 행사 피노베이트(Finovate)에서 연사로 나선 트루오피스 CEO 아담 소도윅은 은행들이 규제 때문에 상당한 벌금을 내게 되고 심지어 어떤 경우 명성에 큰 손상을 입는데도 효과적인 규제 준수 교육을 제공하지 못하고 있다고 지적했다. --------------------------------------------------------------- 게임+비즈니스 인기기사 ->“게임+경영=수익”••• P&G의 비즈니스 스피어 -> 기고 | 새로운 리더십 패러다임 '게임 역학' ->현장에 확산되는 ‘게임화 기법’ -> 기고 | 복잡한 문제 해결에 ‘게임’을 활용하라 -> 달콤한 유혹 ‘게임화 경영 기법'··· 위험 관리 체크포인트 ---------------------------------------------------------------   HSBC의 경우 지난해 12월 자사 서비스가 멕시코에서 자금세탁에 운영에 활용됐다는 이유로 12억 파운드의 벌금을 받았고 바클레이는 리보 스캔들(Libor-fixing scandal) 이후 규제 준수 요구를 충족시키지 못한 데 대한 벌금 수억 파운드를 내야 했다. 동시에 규제 요구 사항은 규모가 더 커지고 더 복잡해졌다. "사람들은 절대적으로 규제 준수 교육을 싫어한다. 사람들은 교육에 대해 기억도 못하고 그것을 심각하게 여기지도 않는다. 하지만 은행들은 이 교육에 상...

2013.02.15

美 카드업계의 클라우드 문제 해결할 가이드라인 발표

클라우드 위한 새로운 데이터 보안 표준(DSS)이 클라우드 업체와 가맹점간의 책임이 명확해졌다. 미 카드업계 보안 표준 협의회(PCI SSC)가 가맹점과 클라우드 간의 불거졌던 문제를 해결할 수 있도록 신용 카드 처리용 클라우드 사용에 대한 가이드라인을 발표했다. PCI SSC가 발표한 클라우드 데이터 보안 표준(DSS)은 클라우드가 도입되기 전의 기준을 현대적인 컴퓨팅 플랫폼에 적용할 때 발생할 수 있는 혼란을 해소시켜줄 것으로 기대되고 있다. 원래 PCI DSS의 가이드라인과 표준은 홈데포 같은 가맹점이 자사의 데이터센터에서 보유할 물리적인 서버에 해당됐다. 이 가이드라인은 가맹점이 자사 서버들을 아마존과 랙스페이스처럼 하나의 컴퓨팅 환경에서 이기종 서버를 운영하는 IaaS 업체로 이전하기 시작할 때에만 특히 효과적이었다. 새로운 가이드라인은 가맹점과 클라우드 업체의 책임소재를 분명히 했다는 것이 특징이다. 예를 들어, 클라우드 업체는 자사의 시스템 안에서 고객의 데이터를 보관하고 있다는 점을 입증해야 하고 가맹점은 암호화 및 데이터에 접근하는데 필요한 로그인 권한 여부에 대해 책임을 져야 한다. 이밖에도 가맹점은 서버 구성 및 소프트웨어 패치에 대해서도 책임을 갖게 된다. 가이드라인이 없었을 때 가맹점은 클라우드 업체가 PCI 요구 사항의 많은 부분을 충족하는 것으로 간주했다. PCI 그룹 회원사로 이 가이드라인 책정에 참여한 클라우드패시지(CloudPassage)의 보안 담당 이사 크리스 브렌튼은 "클라우드로 이전하면서 사람들은 어려운 상황에서 빠져나갈 수 있는 수단을 갖는다고 생각하며 ‘클라우드 업체가 그 모든 것을 처리할 꺼야’라고만 말할 수 있다”라고 밝혔다. "분명한 것은 이 가이드라인은 신용카드 정보가 어느 정도로 안전성에 대해 항상 확인할 수 있다는 점이다”라고 그는 덧붙였다. 이 가이드라인에서는 신용카드 처리용 클라우드 사용에 대해 PCI가 정...

GRC 신용카드 카드업계 지불카드 클라우드 책임 공방 가맹점 보안 표준

2013.02.13

클라우드 위한 새로운 데이터 보안 표준(DSS)이 클라우드 업체와 가맹점간의 책임이 명확해졌다. 미 카드업계 보안 표준 협의회(PCI SSC)가 가맹점과 클라우드 간의 불거졌던 문제를 해결할 수 있도록 신용 카드 처리용 클라우드 사용에 대한 가이드라인을 발표했다. PCI SSC가 발표한 클라우드 데이터 보안 표준(DSS)은 클라우드가 도입되기 전의 기준을 현대적인 컴퓨팅 플랫폼에 적용할 때 발생할 수 있는 혼란을 해소시켜줄 것으로 기대되고 있다. 원래 PCI DSS의 가이드라인과 표준은 홈데포 같은 가맹점이 자사의 데이터센터에서 보유할 물리적인 서버에 해당됐다. 이 가이드라인은 가맹점이 자사 서버들을 아마존과 랙스페이스처럼 하나의 컴퓨팅 환경에서 이기종 서버를 운영하는 IaaS 업체로 이전하기 시작할 때에만 특히 효과적이었다. 새로운 가이드라인은 가맹점과 클라우드 업체의 책임소재를 분명히 했다는 것이 특징이다. 예를 들어, 클라우드 업체는 자사의 시스템 안에서 고객의 데이터를 보관하고 있다는 점을 입증해야 하고 가맹점은 암호화 및 데이터에 접근하는데 필요한 로그인 권한 여부에 대해 책임을 져야 한다. 이밖에도 가맹점은 서버 구성 및 소프트웨어 패치에 대해서도 책임을 갖게 된다. 가이드라인이 없었을 때 가맹점은 클라우드 업체가 PCI 요구 사항의 많은 부분을 충족하는 것으로 간주했다. PCI 그룹 회원사로 이 가이드라인 책정에 참여한 클라우드패시지(CloudPassage)의 보안 담당 이사 크리스 브렌튼은 "클라우드로 이전하면서 사람들은 어려운 상황에서 빠져나갈 수 있는 수단을 갖는다고 생각하며 ‘클라우드 업체가 그 모든 것을 처리할 꺼야’라고만 말할 수 있다”라고 밝혔다. "분명한 것은 이 가이드라인은 신용카드 정보가 어느 정도로 안전성에 대해 항상 확인할 수 있다는 점이다”라고 그는 덧붙였다. 이 가이드라인에서는 신용카드 처리용 클라우드 사용에 대해 PCI가 정...

2013.02.13

칼럼 | GRC, 툴이 아닌 프로세스로 접근하라

필자는 두 가지 이유 때문에 GRC(governance, risk and compliance)의 개념을 좋아한다.  한 가지 이유는 완전히 개념 전술적이고 다른 하나는 완전히 개념적이다. 우선, 전술적이라는 관점으로 보면, 컴플라이언스의 복잡성이 줄어들었다. 복잡성 때문에 전반적인 규제 준수가 왜곡되는 것은 어리석은 짓이다. 6년 동안 매년 실시했던 ‘CSO 현황’ 조사에서 절반 이상의 응답자들은 자신들이 규제 준수 업무에 점점 더 많은 시간을 할애할 것이라고 말했다. 그렇다. 귀사가 준수해야 할 독특한 규제 정책들과 귀사의 사규들을 맞추고자 노력할 수는 있지만, 그 시간을 더 나은 무언가에 할애했다고 확신할 수 있을까? 틀어 박힌 접근법에서 벗어난 방법이 더 나을 수 있다. 그것이 바로 GRC의 임무다. 자, 그럼 두번째 개념적이라는 관점으로 보자. 보안은 공명심을 요구한다. GRC를 좀더 크게 바라보고 접근해야 한다. GRC는 소프트웨어가 아니라 프로세스다. 컴플라이언스는 거버넌스와 리스크보다 더 성숙했지만, 더 나은 거버넌스를 통해 리스크를 측정하고 완화하려는 시도는 이러한 노력들의 더 큰 가치가 궁극적으로 어디에 있는지를 말해준다. GRC는 필자가 침착하게 팬이자 치어리더 역할을 맡는 엔터프라이즈 리스크 관리 초기 단계에서 정보를 알려주고 긴밀하게 작용할 수 있다. GRC는 이제까지 기술이 뒷받침해주는 프로세스로 적절하게 묘사됐다. 이 특별 보고서(원래는 GRC에 대한 CSO의 디지털 스포트라이트로 발간)에서 앞서 말한 GRC의 두 가지 요소를 볼 수 있다. 최근 GRC 관련 기사들에는 공통 주제가 있다. 바로 ‘프로세스를 잊지 말라’는 것이다. 프로세스는 기본이다. 똑똑한 조직이라는 튼튼한 기초 위에 GRC 툴이 구축될 때 비로소 GRC가 제대로 운영된다. 이는 IT세계에서 오랫동안 주류로 자리잡았던 ERP에서도 똑같이 했던 말이다. GRC 툴이 제공할 수 있는 이점들을 얻...

컴플라이언스 프로세스 거버넌스 GRC 리스크 ERP

2012.08.23

필자는 두 가지 이유 때문에 GRC(governance, risk and compliance)의 개념을 좋아한다.  한 가지 이유는 완전히 개념 전술적이고 다른 하나는 완전히 개념적이다. 우선, 전술적이라는 관점으로 보면, 컴플라이언스의 복잡성이 줄어들었다. 복잡성 때문에 전반적인 규제 준수가 왜곡되는 것은 어리석은 짓이다. 6년 동안 매년 실시했던 ‘CSO 현황’ 조사에서 절반 이상의 응답자들은 자신들이 규제 준수 업무에 점점 더 많은 시간을 할애할 것이라고 말했다. 그렇다. 귀사가 준수해야 할 독특한 규제 정책들과 귀사의 사규들을 맞추고자 노력할 수는 있지만, 그 시간을 더 나은 무언가에 할애했다고 확신할 수 있을까? 틀어 박힌 접근법에서 벗어난 방법이 더 나을 수 있다. 그것이 바로 GRC의 임무다. 자, 그럼 두번째 개념적이라는 관점으로 보자. 보안은 공명심을 요구한다. GRC를 좀더 크게 바라보고 접근해야 한다. GRC는 소프트웨어가 아니라 프로세스다. 컴플라이언스는 거버넌스와 리스크보다 더 성숙했지만, 더 나은 거버넌스를 통해 리스크를 측정하고 완화하려는 시도는 이러한 노력들의 더 큰 가치가 궁극적으로 어디에 있는지를 말해준다. GRC는 필자가 침착하게 팬이자 치어리더 역할을 맡는 엔터프라이즈 리스크 관리 초기 단계에서 정보를 알려주고 긴밀하게 작용할 수 있다. GRC는 이제까지 기술이 뒷받침해주는 프로세스로 적절하게 묘사됐다. 이 특별 보고서(원래는 GRC에 대한 CSO의 디지털 스포트라이트로 발간)에서 앞서 말한 GRC의 두 가지 요소를 볼 수 있다. 최근 GRC 관련 기사들에는 공통 주제가 있다. 바로 ‘프로세스를 잊지 말라’는 것이다. 프로세스는 기본이다. 똑똑한 조직이라는 튼튼한 기초 위에 GRC 툴이 구축될 때 비로소 GRC가 제대로 운영된다. 이는 IT세계에서 오랫동안 주류로 자리잡았던 ERP에서도 똑같이 했던 말이다. GRC 툴이 제공할 수 있는 이점들을 얻...

2012.08.23

조사 | 리스크 관리, “훈련보다는 문화가 중요”

딜로이트는 기업들이 현 시점의 리스크를 관리하기 위해서는 규제 대응 훈련만으로는 부족하다는 조사 보고서를 내놓았다.   경영진과 이사회에게 리스크 관리는 앞으로도 큰 이슈가 될 전망이다. 시민운동단체들이 리스크 감독에 대해 이사회의 역할을 촉구한 가운데, 2009년 말 미국 증권거래위원회(SEC)도 이 사안에 대해서 관심을 표명했다. 게다가 최근 몇 년 동안의 경제 침체로 재무, 규제, 평판, 신용, IT를 포함해 기업과 관련한 리스크의 범위가 확대되고 있다. 딜로이트의 새로운 연구에 따르면, 많은 기업들이 리스크 관리를 규제 대응 훈련 이상으로 간주하나 아직 기업 문화로 여기지 않는 것으로 나타났다. 딜로이트가 발간한 ‘리스크 인텔리전트 프록시 디스클로저 2011: 리스크-감독 훈련이 향상됐나?’라는 보고서는 기업의 대부분에 해당하는 90%는 이사회 전체가 리스크에 책임이 있다는 사실을 발견했다. 이 연구 조사의 설문에 응한 89%의 기업들은 리스크 감시가 감사 위원회의 책임이라기 보다는 이사회 위원회의 권한으로 넘어갔다고 말했다. “기업들의 리스크 관리에 대한 생각이 발전하고 있다”라고 이 연구에 참여한 모린 어리티는 말했다. 어리티는 딜로이트LLP의 거버넌스 전문가이자 기업 담당 이사다. 어리티와 그녀의 동료들은 기업들이 리스크 관리를 사내 문화로 정착시켰는지 알기 위해 이 조사를 2010년에 시작했다. 딜로이트는 이사회 임원부터 현업 직원들까지 기업의 모든 사람들이 리스크를 식별하고 평가하며 관리하는 역할을 잘 수행하는지 조사하고자 했다. “리스크 관리는 임원진부터 전체 직원들에 이르는 기업 전체에 스며들어가는 과정이 돼야 한다”라고 어리티는 강조했다. 리스크 관리 문화가 내재와 됐는지를 결정하기 위해 딜로이트는 리스크 거버넌스와 이사회 단에서 감시 훈련을 하지는 여부를 점검했다. S&P 200의 위임장 공시 규정에서 밝힌 의사 결정의 위임장...

CIO 리스크 관리 딜로이트 CFO 재무 GRC 거버넌스 CSO 컴플라이언스 이사회

2011.11.03

딜로이트는 기업들이 현 시점의 리스크를 관리하기 위해서는 규제 대응 훈련만으로는 부족하다는 조사 보고서를 내놓았다.   경영진과 이사회에게 리스크 관리는 앞으로도 큰 이슈가 될 전망이다. 시민운동단체들이 리스크 감독에 대해 이사회의 역할을 촉구한 가운데, 2009년 말 미국 증권거래위원회(SEC)도 이 사안에 대해서 관심을 표명했다. 게다가 최근 몇 년 동안의 경제 침체로 재무, 규제, 평판, 신용, IT를 포함해 기업과 관련한 리스크의 범위가 확대되고 있다. 딜로이트의 새로운 연구에 따르면, 많은 기업들이 리스크 관리를 규제 대응 훈련 이상으로 간주하나 아직 기업 문화로 여기지 않는 것으로 나타났다. 딜로이트가 발간한 ‘리스크 인텔리전트 프록시 디스클로저 2011: 리스크-감독 훈련이 향상됐나?’라는 보고서는 기업의 대부분에 해당하는 90%는 이사회 전체가 리스크에 책임이 있다는 사실을 발견했다. 이 연구 조사의 설문에 응한 89%의 기업들은 리스크 감시가 감사 위원회의 책임이라기 보다는 이사회 위원회의 권한으로 넘어갔다고 말했다. “기업들의 리스크 관리에 대한 생각이 발전하고 있다”라고 이 연구에 참여한 모린 어리티는 말했다. 어리티는 딜로이트LLP의 거버넌스 전문가이자 기업 담당 이사다. 어리티와 그녀의 동료들은 기업들이 리스크 관리를 사내 문화로 정착시켰는지 알기 위해 이 조사를 2010년에 시작했다. 딜로이트는 이사회 임원부터 현업 직원들까지 기업의 모든 사람들이 리스크를 식별하고 평가하며 관리하는 역할을 잘 수행하는지 조사하고자 했다. “리스크 관리는 임원진부터 전체 직원들에 이르는 기업 전체에 스며들어가는 과정이 돼야 한다”라고 어리티는 강조했다. 리스크 관리 문화가 내재와 됐는지를 결정하기 위해 딜로이트는 리스크 거버넌스와 이사회 단에서 감시 훈련을 하지는 여부를 점검했다. S&P 200의 위임장 공시 규정에서 밝힌 의사 결정의 위임장...

2011.11.03

인터뷰 | 프로비던스 COO 마크 버틀러

“전사적인 관점으로 리스크를 관리해야 한다” 가톨릭 재단이 운영하는 프로비던스 헬스 앤 서비스(Providence Health and Services)에서 COO이자 부사장인 마이크 버틀러를 만나, 엔터프라이즈 리스크 관리(ERM)가 왜 필요한 지에 그의 견해를 들어봤다.   CSO : ERM에 대해 기업 차원으로 접근했을 때 얻는 가장 큰 가치에 대해 설명해 달라. 마이크 버틀러 : 이 구조는 우리가 모든 것을 명확하게 또는 전사적으로 민감한 리스크를 바로 위에서 들여다 보듯 볼 수 있게 해준다. 우리가 접하는 많은 사건들은 독립적으로 발생할 수 있지만, 이들은 서로 서로 영향을 끼치기도 하고, 받기도 한다. 리스크를 각각 관리할 경우, 상호간에 끼치는 영향이 어떠한 지, 각각에 든 비용이 중복될 수도 있는데 이를 모른 채 기업이 비용을 쏟아 부을 수도 있다. 우리는 리스크들을 각각 취급하지 않고 전사적인 관점으로 접근해 관리하기 때문에 상호간에 많은 다른 형태의 리스크가 끼치는 영향까지도 파악할 수 있다. CSO : 일반적으로 CFO가 기업의 운영, 설비 및 주식을 보호하는 것과 같은 일을 담당하면서 리스크 관리에 대해 책임을 진다. 기업 투자의 재무 리스크(미국 퇴직연금 401(k)와 같은)를 겪으면서 재무 리스크에 제대로 대응하지 못했을 때, 대외 신뢰도까지 타격을 받는다는 것을 경험했다. 이 때문에 CFO가 리스크 관리 포트폴리오를 추가해 보안 형태의 리스크까지 관리하는 경우도 있는데 이런 것과 비교해 ERM이 더 나은 방법이라고 생각하는가? 버틀러 : 보안 리스크는 재무적인 영향과는 다소 거리가 있다. 그러나 지역 공동체의 신뢰를 얻고 기업이 자부심을 가질 수 있는 데 대한 대외 신뢰도를 다루는 리스크는 다르다. 리스크를 완화시킬 많은 통제 수단들은 자연스럽게 기술에 초점을 맞기 때문에 CIO들이 담당하는 경우가 많다. 그러나 리스크 그 자체는 기업 리스크 관리 포트폴...

GRC 리스크 리스크 관리 재무 리스크 ERM 엔터프라이즈 리스크 관리 COO

2011.06.09

“전사적인 관점으로 리스크를 관리해야 한다” 가톨릭 재단이 운영하는 프로비던스 헬스 앤 서비스(Providence Health and Services)에서 COO이자 부사장인 마이크 버틀러를 만나, 엔터프라이즈 리스크 관리(ERM)가 왜 필요한 지에 그의 견해를 들어봤다.   CSO : ERM에 대해 기업 차원으로 접근했을 때 얻는 가장 큰 가치에 대해 설명해 달라. 마이크 버틀러 : 이 구조는 우리가 모든 것을 명확하게 또는 전사적으로 민감한 리스크를 바로 위에서 들여다 보듯 볼 수 있게 해준다. 우리가 접하는 많은 사건들은 독립적으로 발생할 수 있지만, 이들은 서로 서로 영향을 끼치기도 하고, 받기도 한다. 리스크를 각각 관리할 경우, 상호간에 끼치는 영향이 어떠한 지, 각각에 든 비용이 중복될 수도 있는데 이를 모른 채 기업이 비용을 쏟아 부을 수도 있다. 우리는 리스크들을 각각 취급하지 않고 전사적인 관점으로 접근해 관리하기 때문에 상호간에 많은 다른 형태의 리스크가 끼치는 영향까지도 파악할 수 있다. CSO : 일반적으로 CFO가 기업의 운영, 설비 및 주식을 보호하는 것과 같은 일을 담당하면서 리스크 관리에 대해 책임을 진다. 기업 투자의 재무 리스크(미국 퇴직연금 401(k)와 같은)를 겪으면서 재무 리스크에 제대로 대응하지 못했을 때, 대외 신뢰도까지 타격을 받는다는 것을 경험했다. 이 때문에 CFO가 리스크 관리 포트폴리오를 추가해 보안 형태의 리스크까지 관리하는 경우도 있는데 이런 것과 비교해 ERM이 더 나은 방법이라고 생각하는가? 버틀러 : 보안 리스크는 재무적인 영향과는 다소 거리가 있다. 그러나 지역 공동체의 신뢰를 얻고 기업이 자부심을 가질 수 있는 데 대한 대외 신뢰도를 다루는 리스크는 다르다. 리스크를 완화시킬 많은 통제 수단들은 자연스럽게 기술에 초점을 맞기 때문에 CIO들이 담당하는 경우가 많다. 그러나 리스크 그 자체는 기업 리스크 관리 포트폴...

2011.06.09

성공적 IT GRC 도입을 위한 체크리스트

IT GRC 도입 전략을 수립한다. 그러나 분산되어 있고, 수동적인 방식의 프로세스를 중앙형 자동화 툴로 옮기는 것은 방대한 작업이다. 보아 구렁이는 입을 크게 벌려 큰 포유류 동물을 통째로 삼킬 수 있겠지만 기업에는 이런 전략이 바람직하지 않다. 처음 도입을 위해서는 가장 우선시되는 영역, 즉 가장 빠르게 ROI를 창출해낼 수 있는 영역을 선택해야 한다. 이는 소프트웨어를 사용하고, 가치를 측정하고, 관련 지식을 다른 사람들과 공유하는 방법에 대한 살아 있는 지식을 제공함으로써 성과를 도출해 줄 것이다. 확대가 힘든 통제된 중앙형의 전술보다는, 확대 가능한 모델로서 톱-다운(Top-down) 방식을 선택해야 한다. 이와 같이 첫 번째 도입은 전사적으로 IT GRC를 전개하는데 목적을 둔 더 큰 계획을 염두에 두고 시작해야 한다. 결국 최종 목표는 중앙형의 자동화된, 표준 기반의 전사적 도입이다. RSA 아처(Archer)의 알드리히는 이와 관련, "다양한 GRC 프로세스 모두를 고려해 GRC 로드맵을 시작해야 한다"라며 "프로세스를 자동화 하기 위해 어느 곳으로부터 더 지원을 얻어야 할까? 어떻게 하면 더 많은 정보를 얻으면서 스피드를 개선할 수 있을까? 기업에 가치가 되도록 하려면 어떻게 해야 할까? 등등이 필요한 질문이다"라고 말하고 있다. 업무 관련자들을 존중한다. IT GRC는 방대한 기획이다. 도구를 효과적으로 사용해야 하는 사람들이 프로세스에 적극적으로 참여하지 않는다면, 성공을 일궈낼 수 없다. 이들은 힘든 부분과 프로세스가 성과를 거두는 방법을 안다. 또 비즈니스 위험과 잠재적인 혜택을 이해한다. 여기에 더해 정책과 관리방법, 지켜야 할 책임에 대해서도 친숙하다. 관계자들에는 다음과 같은 이들이 포함된다. IT 운영 및 보안, 엔터프라이즈 및 운영 위험, 비즈니스 영속성, 긴급 복구, IT 감사, 일반 감사, 기업 순응 담당자. 그러나 이들로만 국한되는 것은 아니다...

CSO GRC ROI M&A

2011.03.11

IT GRC 도입 전략을 수립한다. 그러나 분산되어 있고, 수동적인 방식의 프로세스를 중앙형 자동화 툴로 옮기는 것은 방대한 작업이다. 보아 구렁이는 입을 크게 벌려 큰 포유류 동물을 통째로 삼킬 수 있겠지만 기업에는 이런 전략이 바람직하지 않다. 처음 도입을 위해서는 가장 우선시되는 영역, 즉 가장 빠르게 ROI를 창출해낼 수 있는 영역을 선택해야 한다. 이는 소프트웨어를 사용하고, 가치를 측정하고, 관련 지식을 다른 사람들과 공유하는 방법에 대한 살아 있는 지식을 제공함으로써 성과를 도출해 줄 것이다. 확대가 힘든 통제된 중앙형의 전술보다는, 확대 가능한 모델로서 톱-다운(Top-down) 방식을 선택해야 한다. 이와 같이 첫 번째 도입은 전사적으로 IT GRC를 전개하는데 목적을 둔 더 큰 계획을 염두에 두고 시작해야 한다. 결국 최종 목표는 중앙형의 자동화된, 표준 기반의 전사적 도입이다. RSA 아처(Archer)의 알드리히는 이와 관련, "다양한 GRC 프로세스 모두를 고려해 GRC 로드맵을 시작해야 한다"라며 "프로세스를 자동화 하기 위해 어느 곳으로부터 더 지원을 얻어야 할까? 어떻게 하면 더 많은 정보를 얻으면서 스피드를 개선할 수 있을까? 기업에 가치가 되도록 하려면 어떻게 해야 할까? 등등이 필요한 질문이다"라고 말하고 있다. 업무 관련자들을 존중한다. IT GRC는 방대한 기획이다. 도구를 효과적으로 사용해야 하는 사람들이 프로세스에 적극적으로 참여하지 않는다면, 성공을 일궈낼 수 없다. 이들은 힘든 부분과 프로세스가 성과를 거두는 방법을 안다. 또 비즈니스 위험과 잠재적인 혜택을 이해한다. 여기에 더해 정책과 관리방법, 지켜야 할 책임에 대해서도 친숙하다. 관계자들에는 다음과 같은 이들이 포함된다. IT 운영 및 보안, 엔터프라이즈 및 운영 위험, 비즈니스 영속성, 긴급 복구, IT 감사, 일반 감사, 기업 순응 담당자. 그러나 이들로만 국한되는 것은 아니다...

2011.03.11

IT GRC 툴, IT만이 아닌 기업 내외부 환경을 통제하라

기업들은 IT GRC 솔루션이 성숙기에 접어 들어가면서 수수께끼 같은 질문에 직면하게 된다. 이 때 기업이 강력한 리스크 대응 태세를 유지하도록 지원할 통제시스템과 정책을 효과적으로 만들고 관리하느냐가 관건이 된다. 또 관리해야 하는 환경이 광범위하게 분산되어 있고, 여러 규제 요건과 감사 요건을 준수해야 한다는 점, 그리고 환경 변화 필요에 적응해야 한다는 점에서 어려움이 더해진다. 다행히 GRC 툴은 이를 지원하도록 만들어져 있다. 가트너 보안 및 위험 관리 부문의 폴 프록터 부사장은 "대부분 기업 조직의 성숙도에 관련한 것들"이라며 "한층 공식적이고 자동화된 추적 제어에 대해 준비가 됐는지를 살펴야만 한다"고 말한다. 이들 제품은 빠르게 증가하는 새로운 규제들에 대해 매뉴얼대로 대응할 필요없이 GRC 이니셔티브를 자동화하도록 해준다. 구체적으로 IT GRC 툴은 다음과 같은 것들을 구현해 준다: * 정책을 만들어 배포하고, 규제요건과 내부 대응 요건에 맞춰 이들을 관리하고 도식화한다. * 제대로 제어가 되고 있는지 평가하고, 그렇지 않다면 이를 바로 잡는다. * 더 쉽게 리스크를 측정하고 이를 경감시켜 준다. GRC 시장은 크게 엔터프라이즈와 IT 제품으로 나눠진다. 물론 중복되고, 구별이 어려운 부분도 있다. 이번 기사는 IT 운영과 기업이 직면하게 되는 문제들, IT GRC 툴이 이를 해소하기 위해 도움을 주는 방법에 초점을 맞추고 있다. 애널리스트들에 따르면 시장을 선도하고 있는 IT GRC 관련 기업으로는 애질리언스(Agiliance), 모듈로(Modulo), RSA 아처(Archer), RSAM, 시만텍 등을 들 수 있다. 그러나 이들이 제공하고 있는 툴에는 많은 차이점이 있다. 따라서 충분한 시간을 들여 기업이 필요로 하는 바를 파악하고, 이들 다양한 툴의 핵심역량에 이를 매치해봐야 한다. GRC의 난관 특히 대기업들이 기업 ...

컴플라이언스 CSO 거버넌스 GRC 리스크

2011.03.09

기업들은 IT GRC 솔루션이 성숙기에 접어 들어가면서 수수께끼 같은 질문에 직면하게 된다. 이 때 기업이 강력한 리스크 대응 태세를 유지하도록 지원할 통제시스템과 정책을 효과적으로 만들고 관리하느냐가 관건이 된다. 또 관리해야 하는 환경이 광범위하게 분산되어 있고, 여러 규제 요건과 감사 요건을 준수해야 한다는 점, 그리고 환경 변화 필요에 적응해야 한다는 점에서 어려움이 더해진다. 다행히 GRC 툴은 이를 지원하도록 만들어져 있다. 가트너 보안 및 위험 관리 부문의 폴 프록터 부사장은 "대부분 기업 조직의 성숙도에 관련한 것들"이라며 "한층 공식적이고 자동화된 추적 제어에 대해 준비가 됐는지를 살펴야만 한다"고 말한다. 이들 제품은 빠르게 증가하는 새로운 규제들에 대해 매뉴얼대로 대응할 필요없이 GRC 이니셔티브를 자동화하도록 해준다. 구체적으로 IT GRC 툴은 다음과 같은 것들을 구현해 준다: * 정책을 만들어 배포하고, 규제요건과 내부 대응 요건에 맞춰 이들을 관리하고 도식화한다. * 제대로 제어가 되고 있는지 평가하고, 그렇지 않다면 이를 바로 잡는다. * 더 쉽게 리스크를 측정하고 이를 경감시켜 준다. GRC 시장은 크게 엔터프라이즈와 IT 제품으로 나눠진다. 물론 중복되고, 구별이 어려운 부분도 있다. 이번 기사는 IT 운영과 기업이 직면하게 되는 문제들, IT GRC 툴이 이를 해소하기 위해 도움을 주는 방법에 초점을 맞추고 있다. 애널리스트들에 따르면 시장을 선도하고 있는 IT GRC 관련 기업으로는 애질리언스(Agiliance), 모듈로(Modulo), RSA 아처(Archer), RSAM, 시만텍 등을 들 수 있다. 그러나 이들이 제공하고 있는 툴에는 많은 차이점이 있다. 따라서 충분한 시간을 들여 기업이 필요로 하는 바를 파악하고, 이들 다양한 툴의 핵심역량에 이를 매치해봐야 한다. GRC의 난관 특히 대기업들이 기업 ...

2011.03.09

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.31