조시 해밋은 왜 IT 거버넌스가 때때로 좋지 않은 평가를 받는지 잘 이해한다. 그는 “거버넌스를 생각할 때면 으레 느린 속도와 넘어야 할 수많은 장벽이 떠오른다. 그리고 이는 디지털 트랜스포메이션의 시대에 조직에게 공포로 다가온다”라고 말했다. 해밋은 이어 “혁신이 불가피한 시대다. 거버넌스로 인한 속도 저하 없이 어떻게 이를 이행할 것인지가 화두로 부상했다”라고 덧붙였했다.  이는 해밋이 알트라 페더럴 크레딧 유니언(Altra Federal Credit Union)의 CIO로서 대처해온 어려움이기도 하다. 그는 위험을 관리하는 여러 안정장치를 이용하지만 여전히 적응성과 속도를 가능하게 하는 거버넌스 모델을 구현했다.  구체적으로 해밋의 거버넌스 체계는 역할과 책임을 정의하고, 의사 결정과 설명 책임을 할당하고, IT팀이 전략적 우선 순위에 입각해 일하도록 의도된 절차를 생성한다. 또한 이는 IT가 의무적 표준과 규제적 요건을 준수하도록 보장하면서도 새로운 비즈니스 니즈에 맞춰 변할 수 있는 유연성 있는 정책들을 포함한다.  해밋은 IT 거버넌스 협회인 ISACA의 신규 경향 워킹 그룹(Emerging Trends Working Group)의 회원이기도 하다.  해밋은 자사의 IT 거버넌스에 대해 현업 임원 및 IT 리더 사이의 주간 회의를 통해 우선 순위를 필요에 따라 신속히 재설정할 수 있다고 설명했다. 아울러 애자일 접근법은 IT 직원이 스스로 결정을 내릴 권한을 주었다. 그리고 위험 평가 및 변화 관리에 관한 정책은 IT 제품 및 서비스가 규제 및 보안 요건을 준수하면서도 이용자 니즈를 충족할 수 있도록 보장한다고 그는 전했다.  해밋은 “우수한 체계가 배치되어 있다. 따라서 기민하게 움직일 수 있고 새로운 것이 출현할 때 필요에 따라 적응할 수 있고, IT가 진로를 이탈하지 않도록 하는 안전 장치도 여전히 있다”라고 덧붙였다.    갈림길에 선 IT 거버넌스  IT ...

2021.07.15

숙련된 보안 직원을 확보하는 일이 어렵다. 하지만, 이들이 왜 조직을 떠나는지를 파악해 적절한 대응 방안을 마련하면 베테랑 보안 직원이 계속 함께 할 수 있다.  우리는 모두 유능한 사이버보안 전문가를 찾기가 쉽지 않음을 알고 있다. 설상가상으로 문제를 해결하지도 않는다.   ISACA의 사이버보안 현황 2020 연구에 따르면 업계 전문가 3명 중 2명(66%)이 사이버보안 인재를 유지하기가 어렵다고 보고했다. ISACA 연구에 따르면 사이버보안 직원이 떠나는 5가지 이유는 이직, 제한된 승진 및 개발 기회, 낮은 인센티브, 높은 업무 스트레스, 경영 지원 부족으로 나타났다. 이 5가지 이유와 조직이 그에 대응하기 위해 무엇을 할 수 있는지 살펴보겠다. 이직  경쟁사 우리 직원에게 더 많은 보상을 제공할 수 있는 위치에 있다면 직원이 떠나는 것을 막기 위해 할 수 있는 일이 많지 않을 수 있다. 그러나 더 많은 돈이 항상 핵심 요소는 아니다. 돈에 관한 것이 아니라면 왜 다른 회사가 우리 회사보다 더 좋아 보이는지를 알아내는 것이 중요하다. 베테랑 보안 직원이 다른 조직에 합류하기로 결정하거나 그렇게 생각하고 있다고 확신이 든다면 해당 직원과 진정성 있는 대화를 나누고 다른 기회의 어떤 측면이 매력적인지 알아내는 것이 중요하다. 이러한 통찰력은 HR팀으로 가져와 향후 채용 공고 및 채용 프로세스에서 전문가를 더 잘 유치하고 유지하는 데 유용한 기준으로 사용할 수 있다. 제한된 승진 및 개발 기회 보안 교육 투자는 필수적이다. 보안 전문가가 직면하고 있는 현재의 위협 및 취약점과 관련한 지속적인 기술 기반 교육을 제공함으로써 팀 구성원이 더 나은 성능을 발휘할 수 있을 뿐만 아니라 조직이 전문 개발에 투자하고 많은 경우에 감사할 것이다. 결과적으로 우수 직원이 계속해서 근무할 가능성이 더 커진다. 보안 책임자들은 인재를 위한 경쟁 환경을 인식하고 너무 늦기 전에 유지하고자 하는 성과 높은 직원을 식별해야 한다. 적절한 승...

2020.04.02

COBIT은 ISACA가 개발한 IT 관리 프레임워크로 기업이 정보관리 및 거버넌스와 관련된 전략을 개발하고, 조직하고, 이행하는 데 유용하다.     1996년 처음 발표된 COBIT(Control Objectives for Information and Related Technologies – 정보기술 관리 목적)은 원래 금융 감사 커뮤니티가 IT환경의 성장을 좀더 원활하게 조정하는 데 도움을 주는 일련의 IT 제어 목적으로 고안됐다. 1998년 ISACA는 버전 2를 발표하였고, 이때부터 프레임워크는 감사 업계 외부로 확대되었다. 이후 2000년대에 ISACA는 버전 3을 개발했고, 여기서는 오늘날 이 프레임워크에서 볼 수 있는 IT 관리 및 정보 거버넌스 기법들이 등장한다.  COBIT 4 버전은 2005년 발표되었고, 2007년에 COBIT 4.1이 나왔다. 이 개정판에는 정보통신기술의 거버넌스에 관한 정보가 더 많이 포함되었다. 2012년에는 COBIT 5가 발표되었고, 2013년에는 COBIT 5의 애드-온이 발표됐다. 여기서는 기업의 위험 관리 및 정보 거버넌스에 관한 정보가 보강되었다.   ISACA는 2018년 COBIT의 개정판을 발표하면서, 기존의 버전 번호를 버리고 이를 COBIT 2019로 명명하였다. ISACA에 따르면 이 COBIT 개정판은 빈번하고 유연한 업데이트로 지속해서 발전할 수 있도록 설계되었다. COBIT 2019는 좀더 유연하고, 협력적이고, 나아가 새롭고 변화하는 기술에 대응해 거버넌스 전략을 구축할 수 있도록 도입된 프레임워크다.   COBIT 2019에 담긴 내용  COBIT 2019는 새로운 동향, 기술, 보안 요구에 따라 현대의 기업에 맞게 프레임워크를 갱신했다. 이는 다른 IT 관리 프레임워크, 예컨대 ITIL, CMMI, TOGAF 등과 여전히 조화롭게 작용하기 때문에, 프로세스를 전사적으로 일원화하는 포괄적 프레임워크로서 탁월한 선택지...

2019.01.17

GDPR 시행일 5월 25일이 코앞으로 다가왔지만 아태지역에서 이에 대비한 기업은 29%에 불과한 것으로 나타났다. ISACA가 최근 공개한 'GDPR 준비 상황 조사' 보고서를 보면 현재 기업의 준비 정도와 가장 큰 애로점, 향후 계획 등을 확인할 수 있다. GDPR은 EU의 새 정보보호 규정으로 유럽내에서 활동하는 기업은 물론 유럽 시민의 정보를 활용하는 모든 기업에 적용된다. 5월 25일부터 본격 시행된다. 이번 조사는 지난 4월 ISACA 회원 중 약 6000명을 대상으로 실시했다. 조사 결과, 기업 대부분은 이 시행일까지 준비를 마치지 못하는 것으로 나타났다. 응답 기업의 절반인 51%는 올 연말까지 GDPR 대비를 마칠 수 있을 것으로 예상했고, 40%는 언제 마칠 수 있을지도 모르겠다고 답했다. 이번 조사 결과 GDPR 관련해서 기업이 가장 힘들어하는 점은 <그림 1>과 같이 5가지였다. 이어 6위는 비용(33%)이었다. 응답 기업의 약 20%가 GDPR 준수 관련 예산으로 100만 달러 이하를 책정했고, 14%는 100만 달러 이상이었다. 나머지 2/3는 어느 정도 비용이 들지 모르겠다고 답했다. ISACA에 따르면, GDPR에서 규정하는 데이터 보호는 특정 지역이나 업계의 문제가 아니다. 전 세계 규모로 적용된다. 보고서는 "디지털 경제는 전 세계적인 것으로, 국경이 없다. 업종간 융합도 활발해 온라인 유통업체가 금융과 은행 서비스를 제공하기 시작했다. 업종간의 경계가 허물어지고 있는 것이다. 이런 사례가 더 늘어날 것이다"라고 전망했다. 이에 따라 ISACA는 기업이 생태계 측면을 고려해야 한다고 조언했다. 상거래와 법적 규제, 커뮤니케이션 측면에서 전 세계 규모로 연결된 생태계로, 이는 이미 현대 문명의 일부가 됐다. 보고서는 "생태계 관점에서 데이터 보호를 고려해 이 생태계를 더 단단하게 만들기 위해 노력해야 한다. 전 세계에 걸쳐 이 생태계를 더 강건하...

2018.05.18

ISACA에 따르면 클라우드 이니셔티브를 진행하는 기업 중 ROI를 계산하지 않는 비율이 32%에 달하는 것으로 조사됐다. ISACA(Information Systems Audit and Control Association)는 클라우드 ROI를 계산하는 비율이 줄어든 사실을 발견했다고 전했다. 전세계 CIO를 대상으로 설문조사를 진행한 결과, 2014년에 20%였던 해당 응답이 2017년 32%로 증가했다는 설명이다. 클라우드 ROI를 계산하지 않는 기업 대다수는 비즈니스 민첩성 향상 또는 운영 비용(OPEX)로의 전환을 위한 용도로 클라우드를 이용하고 있었다. 그러나 신뢰할 만한 계산 모델이 없기 때문이라는 응답도 1/4 이상이었다. ISACA 측은 또 클라우드 ROI를 계산하지 않은 기업 중 1/5 이상이 비용 절감과 같은 비즈니스 사례를 창출한 것으로 보고했다고 전했다. 보고서는 "이들 기업의 경우 클라우드 사용 자체보다는 비즈니스 중심의 재무 메트릭스에 초점을 맞추고 있었다"라고 말했다. ISACA는 "점점 더 많은 기업이 클라우드 ROI를 계산함에 따르는 이점에도 불구하고 사전 계산 없이 클라우드 컴퓨팅을 추진하고 있었다. 잠재적 이유 중에 하나는 기술 실무자가 클라우드 컴퓨팅에 익숙해지고 있다는 점이 있다. 상세한 투자 수익(ROI) 계산이 불필요한 것으로 간주되는 것이다. 비재무적 성과 만으로도 충분하다는 인식이 있다"라고 말했다. 물론 아직도 대다수(68%) 기업이 클라우드 투자에 대한 ROI를 계산하고 있다. 이들이 일반적으로 이용하는 기법은 정량적 요인과 정성적 요인을 모두 고려한 하이브리드 모델이었다. 일반적으로 운영 비용 영향, 자본 비용, 인력 요구 사항 변경, 비즈니스 영향(민첩성, 시장 침투, 시장 출시 시간), 전환 비용 및 직원 절감 시간 등이 감안된다. 이 밖에 ROI를 계산하는 기업의 35%는 도입 전후를 비교하는 모델을 운영하고 있었다. 도입 이전에만 모델을...

2018.02.13

IT 경력 개발 방법을 찾고 있나? IT자격증은 가치 있는 기술을 빠르게 습득하고 경력을 쌓을 영역에서 더 깊은 관심과 노하우를 보여주는 입증된 방법이다. IT 분야에서는 경력이 최고다. 그러나 IT자격증은 경력을 향상하는 데 중요한 도구다. IT자격증은 사회 초년생 IT종사자가 IT업계에서 더 많은 이력서 경험을 얻을 기회를 제공한다. IT종사자에게 자격증은 변화하는 IT환경에 맞게 계속해서 성장하고 기술력을 적용하는 데 도움이 된다. 로버트하프테크놀로지(Robert Half Technologies)는 2017년 급여 가이드(Salary Guide)에서 여러 기술 분야에서 가치 있는 IT자격증을 조사해 정리했다. 여기서 소개하는 13개의 IT자격증은 이직, 연봉 인상, 승진 기회를 높이거나 직종 변화에서 지식과 관심을 보여줄 수 있는 중요한 지표가 될 것이다. 팁 : 고서티파이(GoCertify)의 IT자격증 도구 상자의 서티피케이션 어드바이저(Certification Advisor)를 통해 전문 분야, 기술 수준, 경력 목표 등을 연결하여 권장 자격증 목록을 작성할 수 있다. 마이크로소프트 자격증 마이크로소프트는 서버, 데스크톱, 애플리케이션, 데이터베이스, 개발자 기술 관련 중요한 자격증을 보유하고 있다. 동료와 함께 시작해 마스터까지 올라가는 다양한 수준의 자격증을 얻을 수 있다. 마이크로소프트는 모빌리티, 클라우드, 업무 생산성, 데이터, 애플리케이션 개발, 비즈니스 애플리케이션 개발 전용 프로그램을 통해 기술 전문 분야별로 자격증을 갖췄다. 1. 마이크로소프트 오피스 스페셜리스트(MOS) MOS 자격증을 받은 IT전문가는 워드, 엑셀, 아웃룩, 파워포인트, 액세스, 셰어포인트, 원노트, 익스체인지를 비롯한 마이크로소프트 오피스 제품군에 능숙하다. MOS 자격증은 사무실 관리자, 임원, 기타 관리직에게 인기가 있지만, 로버트하프테크놀로지의 수석 임원인 존 리드는 클라우드 컴퓨팅이나 기술 지...

2017.06.15

회사 보안 팀이 복잡한 위협에 대응할 수 있다고 확신하는 기업이 46%에 불과한 것으로 조사됐다. 또 41%는 간단한 문제에 대응할 수 있다고 확신했으며 13%는 전혀 확신하지 못하는 것으로 파악됐다. 이미지 출처 : Shutterstock 기업들이 복잡한 보안 위협에 대응하지 못할 것으로 생각하는 이유는 이 분야 전문 인력들을 채용하기 어렵기 때문으로 나타났다. 응답자 16%는 정보보안 업무 지원자의 절반 정도가 자격을 갖췄다고 말했으며 53%는 자격을 갖춘 후보자들을 물색하는데 3~6개월 정도 걸릴 수 있다고 답했다. 기업의 35%는 뽑고자 하는 인력을 찾지 못할 것 같다고 말했다. 보안 업체 화이트옵스(White Ops)의 COO 겸 사장이자 ISACA의 사이버보안 태스크포스 의장이기도 한 에디 슈워츠는 "이력서를 쉽게 받아볼 수 있지만, 그들 대부분을 거절하게 될 것이다"라고 전했다. "당신이 고용주라면에 매우 어려운 입장일 것이다"라고 그는 말했다. 그렇다면, 가장 큰 기술격차를 보이는 분야는 무엇일까? 응답자의 무려 72%가 비즈니스를 이해하는 능력을 꼽았다. "사이버보안 업무는 기술과 교육으로 따라잡을 수 있는 영역이 아니다"고 슈워츠는 말했다. 이밖에 응답자 46%는 기술적인 역량을, 42%는 커뮤니티 기술력을 언급했다. 이는 하루아침에 해결할 수 있는 문제가 아니라고 그는 말했다. 수 있다. 더 많은 여성을 전문 분야로 모을 수 있고 이들에게 사이버보안 보안 과정을 제공하도록 대학 프로그램과 공조하면서 아웃소싱과 자동화는 도움을 줄 수 있을 것이다. "우리는 대학 수준에서 제대로 된 교육을 받은 사람들을 확보해야 한다. 이런 인력들은 오늘날 세계 어디에도 충분하지 않다"고 그는 말했다. 이어서 슈워츠는 "인력 문제를 해결하려면 몇 년은 걸릴 것”이라고 밝혔다. 인력 문제 이외에 또다른 나쁜 결과는...

2015.04.24

보안, 개인정보 유출 같은 문제 때문에 빅 데이터 분석 기술 사용을 회피하는 기업들은 또 다른 유형의 위험을 낳을 가능성이 있다는 정보시스템감사통제협회(ISACA)의 보고서가 발표됐다. 이 보고서의 저자이자 ISACA의 신흥 비즈니스 및 기술 위원회 회원인 노먼 마크는 "빅 데이터를 구현할 때 개인정보 보호 법률 보장과 같은 고유의 위험 요소들이 있다. 하지만 경쟁사가 기술을 도입하는 것에 비해 뒤쳐져 있다면 이는 큰 위험이 될 수 있다”라고 지적했다. ‘빅 데이터 분석으로 가치 창출(Generating Value from Big Data Analytics)’이라는 제목의 이 보고서는 정보 기술 전문가들에게 빅 데이터를 전체적으로 보고 이를 도입하지 않았을 때의 비용을 생각해 보라고 당부했다. 비즈니스 사례를 이해하는 것은 기술과 규제 준수의 위험을 이해하는 것만큼이나 중요하다고 이 보고서는 주장했다. 기업은 경쟁사들이 빅 데이터를 도입하는 동안 이를 등한시 했을 때 어떠한 영향을 받을지, 그리고 투자에 대한 기대 수익이 어느 정도인지를 이해해야 한다. 이 보고서는 빅 데이터 프로젝트에서 이익을 실현할 수 있는 역량을 방해하는 3가지 문제로 기술 격차, 사일로처럼 된 내부 조직, 섀도우 IT를 꼽았다. 대부분의 기업은 현재 사내에 전문 분석 인력을 보유하지 않고 있으며 단기간에 이들 전문가 집단을 꾸리는 것은 어려울 것으로 예상됐다. 두번째 문제인 사일로 조직은 특히 경쟁이 치열하거나 반목이 심하거나 외부 자극에 대한 저항이 큰 기업들에게 주로 나타난다. 이러한 기업은 정보 공유에 소극적이고 자신들이 받은 정보를 잘 활용하려 하지 않는다. IT부서를 거치지 않고 현업 부서가 바로 추진해 IT부서가 이를 잘 모르는 ‘섀도우 IT’가 부상함에 따라 중앙 집중화된 빅 데이터 계획에서 빠진 숨은 데이터가 대규모로 발생할 수 있다. ISACA의 회원이자 CA테크놀로...

2014.01.23

클라우드 서비스가 저렴한 비용과 신속한 ROI를 약속해 준다. 하지만, 이러한 장점들이 클라우드 서비스 관련 투자를 쉽게 간과하게 만든다. 정보시스템감사통제협회(ISACA)의 백서에 따르면, 클라우드 컴퓨팅의 ROI를 알아내기 위해 기업들은 좀더 깊게 파고들어야 한다. 클라우드의 잠재적인 ROI에 대한 IT서비스의 총 비용을 계산하는 것은 항상 IT직원들에게 도전이다. ISACA는 클라우드 컴퓨팅의 진실에 대해 좀더 알아야 한다고 밝혔다. 클라우드 컴퓨팅 혜택에 대한 철저한 분석은 중단기와 중장기 관점 뿐 아니라 해지 비용으로도 바라봐야 한다고 ISACA는 덧붙였다. ISACA에 따르면, 클라우드 기반 서비스로 신속하게 전환할 때 기업이 예상하지 못한 숨은 비용에는 규제 변화 때문에 자체 서비스로 바꿀 때 드는 비용을 비롯해 시스템의 초기 이전과 관련한 예기치 못한 비용, 특정 업체나 기존 서비스 모델로 고착되는 데 따른 교체의 어려움 등이 포함된다. 새로운 규제나 경제 문제로 클라우드가 비현실적이 됐을 때를 고려해 내부 서비스로 이전하는 데 필요한 비용을 계산하려면, 기업들은 여기에 몇 가지 요인들을 포함시켜야 한다. 그 요인들에는 업무를 하는 데 필요한 IT인력 채용과 데이터를 검증하고 추츨하는 데 드는 비용들이 포함된다. 클라우드 기반 애플리케이션과 서비스로 마이그레이션하는 데 드는 비용도 고려해야 한다. 기업들은 애플리케이션을 가상화 환경에서 운영하도록 재구축해야 하고 SaaS 업체의 형식에 맞게 데이터 형식을 변환해야 한다. 기업은 활용 가능한, 서로 다른 클라우드 모델이 생길 자신들의 업무를 처리해야 한다. 예를 들어, 기업들은 프라이빗, 커뮤니티 또는 하이브리드 클라우드가 퍼블릭 클라우드에 필요한 보안 조치의 일부를 제거할 지를, 그리고 SaaS 이상의 PaaS나 IaaS를 선택할 지를 고려해야 한다. SaaS는 ISACA가 요구하는 특정 벤더 종속 리스크 중 일부를 완화하기 위해 좀더 비용 효율적으로 만들어줄 있을...

2012.08.06