Offcanvas

������

멀티벤더 환경에서 고성과 달성··· IT부서에 필요한 5가지

디지털 변혁을 지원할 수 있는 IT부서에게 멀티벤더 IT환경 모델은 상당한 이득이 될 수 있다. 단, 멀티벤더의 혜택을 얻는 데 필요한 노력을 기울일 준비가 돼 있는 조직이여야 한다.    디지털 기술과 하이브리드 클라우드 솔루션이 등장하고 있으며 소프트웨어 업체가 높은 수준으로 관여해야 하는 ERP 구현 모델이 발전하고 있다. 이에 따라 고성과 멀티벤더 팀을 구축해 운영할 필요성이 일반화되는 추세다. 프로그램 간부는 서로 조건이 맞지 않거나 경쟁사의 프로젝트를 목표로 하는 업체까지도 상대해야 하는 일이 늘어나고 있다.     멀티벤더 환경 관련 문제는 한 곳의 시스템 통합업체(SI)에게 사실상 전부 넘겨버리는 것으로 최소화할 수 있다. 고객의 발주 및 계약 부담을 SI에게 전부 맡기는 방식이다. 고객이 지불하게 될 비용은 직접 하는 방식을 개발할 경우 소요될 비용 대비 10~20% 높은 것이 보통이다. (이런 높은 비용을 차치하고라도) 업체에 종속된다는 점이 단점이다. 프로그램이 시작된 후에는 업체를 교체하는 것이 거의 불가능하기 때문이다. 또다른 단점은 SI와의 관계가 순탄하지 못할 경우, 방향과 방식을 기민하게 전환하지 못할 가능성이 있다.   변혁을 이끌어야 할 사람 중에는 직접 운명을 통제하려는 사람도 있다. 그 20%의 추가 비용을 긴급 상황 해결 및 기능 확충에 쓰고자 할 것이다. 그런 사람들을 위해 고성과 멀티벤더 팀을 유지하는데 필요한 5가지를 소개한다.  1. 명확한 업무 정의 첫 단추를 잘 끼우려면 업무와 책무에 대해 한 가지로 공통된 정의를 내려서 당사자 전원과 공유해야 한다. 다음과 같은 필수 정의 요소들을 활용해 각 업체가 동일한 관점을 갖게 할 수 있다.  • 기본 업무 목표 설명. 프로그램의 목적은 무엇이며 변화를 기대하는 기업 성과 지표는 무엇인가? 각 업체에게 이를 명확히 이해시키면 전반적으로 고객의 최고 이익에 부합하는 의사결정을 내릴 확률이...

협업 RAID 디지털 변혁 문제 행동 위험 하이브리드 클라우드 멀티벤더 결정 문화 PMO SI ERP CIO SAP S/4

2019.12.02

디지털 변혁을 지원할 수 있는 IT부서에게 멀티벤더 IT환경 모델은 상당한 이득이 될 수 있다. 단, 멀티벤더의 혜택을 얻는 데 필요한 노력을 기울일 준비가 돼 있는 조직이여야 한다.    디지털 기술과 하이브리드 클라우드 솔루션이 등장하고 있으며 소프트웨어 업체가 높은 수준으로 관여해야 하는 ERP 구현 모델이 발전하고 있다. 이에 따라 고성과 멀티벤더 팀을 구축해 운영할 필요성이 일반화되는 추세다. 프로그램 간부는 서로 조건이 맞지 않거나 경쟁사의 프로젝트를 목표로 하는 업체까지도 상대해야 하는 일이 늘어나고 있다.     멀티벤더 환경 관련 문제는 한 곳의 시스템 통합업체(SI)에게 사실상 전부 넘겨버리는 것으로 최소화할 수 있다. 고객의 발주 및 계약 부담을 SI에게 전부 맡기는 방식이다. 고객이 지불하게 될 비용은 직접 하는 방식을 개발할 경우 소요될 비용 대비 10~20% 높은 것이 보통이다. (이런 높은 비용을 차치하고라도) 업체에 종속된다는 점이 단점이다. 프로그램이 시작된 후에는 업체를 교체하는 것이 거의 불가능하기 때문이다. 또다른 단점은 SI와의 관계가 순탄하지 못할 경우, 방향과 방식을 기민하게 전환하지 못할 가능성이 있다.   변혁을 이끌어야 할 사람 중에는 직접 운명을 통제하려는 사람도 있다. 그 20%의 추가 비용을 긴급 상황 해결 및 기능 확충에 쓰고자 할 것이다. 그런 사람들을 위해 고성과 멀티벤더 팀을 유지하는데 필요한 5가지를 소개한다.  1. 명확한 업무 정의 첫 단추를 잘 끼우려면 업무와 책무에 대해 한 가지로 공통된 정의를 내려서 당사자 전원과 공유해야 한다. 다음과 같은 필수 정의 요소들을 활용해 각 업체가 동일한 관점을 갖게 할 수 있다.  • 기본 업무 목표 설명. 프로그램의 목적은 무엇이며 변화를 기대하는 기업 성과 지표는 무엇인가? 각 업체에게 이를 명확히 이해시키면 전반적으로 고객의 최고 이익에 부합하는 의사결정을 내릴 확률이...

2019.12.02

칼럼 | '모두가 알지만 누구도 말하지 않는' 10가지 보안 위험

전통적인 정보보호 위험관리 프로세스에는 막연함이 가득하다. 잠재적 위협(Threat)과 위협으로 생길 수 있는 위험(Risk)을 분류하며 발생 가능성을 측정한다. 만약 그것들이 완화되지 않을 경우의 손실도 추정해야 한다. 완화와 제어를 위한 비용은 잠재적 손실과 비교해 측정된다. 만약 위험과 위협이 유발하는 것보다 완화하는 데 드는 비용이 저렴하고, 실행하기 용이하다면 완화 조치가 진행된다. 사건 가능성과 잠재적 손해를 계산하는 것은 어려울 수 있다. 도대체 어떤 사람이 한 해 동안 랜섬웨어와 DDoS, 내부 공격이 얼마나 일어날지 정확하게 예측할 수 있을까? 또는 누가 사건 발생 가능성이 60%가 아닌 20%임을 증명할 수 있을까?  모두가 복잡다난한 예측 문제로 고군분투한다. 그러나 이 밖에도 위험관리에 영향을 미치는 수많은 요소가 있다. 누구나 알지만 아무도 이야기하지 않는 10가지 보안 위험 요소를 알아보자.   1. '발생할지도 모르는' 위험과 싸우기 모든 위험 평가는 일어날 수도 있는 일과 아무것도 하지 않는 것 사이의 싸움이다. 전에 발생한 적이 없는 위험이라면 더욱더 그렇다. 많은 사람이 아무것도 하지 않는 것이 비용적으로 저렴하다고 생각한다. 발생하지도 않은 일에 대비하는 사람은 돈을 낭비한다고 본다. 사람들은 "왜 돈을 쓰지? 절대 일어나지 않을 텐데!"라고 말한다.  항상 해왔던 일을 하면서 현상을 유지하는 것은 어렵지 않다. 그래서 선제적으로 위험에 대응하기가 어렵다. 큰 비용이 드는 경우는 훨씬 더 순탄치 않다. 대부분 피해가 발생할 때까지 기다렸다가 해결한다.  나는 주로 9.11 테러와 항공 여행 안전을 예로 든다. 항공 여행 전문가가 2001년 9월 11일 이전에 납치범이 커터칼로 조종석을 탈취하거나 비행기에 폭발물을 밀반입할 수 있다는 사실을 미리 알지 못했던 것을 말하려는 게 아니다. 이런 위험은 십수 년 전부터 경고돼 왔다. 하지만 9.11 테러 이전에 비행기 탑승을 위...

보안 랜섬웨어 위험관리 위험 악성코드 위협 취약점 해커 DDoS 해킹 위험평가

2019.11.28

전통적인 정보보호 위험관리 프로세스에는 막연함이 가득하다. 잠재적 위협(Threat)과 위협으로 생길 수 있는 위험(Risk)을 분류하며 발생 가능성을 측정한다. 만약 그것들이 완화되지 않을 경우의 손실도 추정해야 한다. 완화와 제어를 위한 비용은 잠재적 손실과 비교해 측정된다. 만약 위험과 위협이 유발하는 것보다 완화하는 데 드는 비용이 저렴하고, 실행하기 용이하다면 완화 조치가 진행된다. 사건 가능성과 잠재적 손해를 계산하는 것은 어려울 수 있다. 도대체 어떤 사람이 한 해 동안 랜섬웨어와 DDoS, 내부 공격이 얼마나 일어날지 정확하게 예측할 수 있을까? 또는 누가 사건 발생 가능성이 60%가 아닌 20%임을 증명할 수 있을까?  모두가 복잡다난한 예측 문제로 고군분투한다. 그러나 이 밖에도 위험관리에 영향을 미치는 수많은 요소가 있다. 누구나 알지만 아무도 이야기하지 않는 10가지 보안 위험 요소를 알아보자.   1. '발생할지도 모르는' 위험과 싸우기 모든 위험 평가는 일어날 수도 있는 일과 아무것도 하지 않는 것 사이의 싸움이다. 전에 발생한 적이 없는 위험이라면 더욱더 그렇다. 많은 사람이 아무것도 하지 않는 것이 비용적으로 저렴하다고 생각한다. 발생하지도 않은 일에 대비하는 사람은 돈을 낭비한다고 본다. 사람들은 "왜 돈을 쓰지? 절대 일어나지 않을 텐데!"라고 말한다.  항상 해왔던 일을 하면서 현상을 유지하는 것은 어렵지 않다. 그래서 선제적으로 위험에 대응하기가 어렵다. 큰 비용이 드는 경우는 훨씬 더 순탄치 않다. 대부분 피해가 발생할 때까지 기다렸다가 해결한다.  나는 주로 9.11 테러와 항공 여행 안전을 예로 든다. 항공 여행 전문가가 2001년 9월 11일 이전에 납치범이 커터칼로 조종석을 탈취하거나 비행기에 폭발물을 밀반입할 수 있다는 사실을 미리 알지 못했던 것을 말하려는 게 아니다. 이런 위험은 십수 년 전부터 경고돼 왔다. 하지만 9.11 테러 이전에 비행기 탑승을 위...

2019.11.28

'편리하지만 위험할 수도...' 스마트시티의 그림자

스마트시티 개발이 최근 몇 년 동안 영국 전역에서 이뤄지고 있다. 도시의 모든 것이 인터넷으로 연결된다면, 편리하기만 할까? 그에 따르는 위험은 없을까?   스마트시티는 교통, 유틸리티 또는 에너지 같은 도시 서비스의 연결성과 성능을 향상하고자 다양한 유형의 전자, 정보통신기술(ICT)을 사용해 재설계된 영역이다. 특정 지역의 인프라를 혁신하고자 사물인터넷(IoT) 기기를 도입하면 종종 도시가 '똑똑해'진다는 아이디어가 확립된다. 이러한 IoT 기기를 도입하면 주변의 위치와 건물을 인터넷에 연결할 수 있다. 이론적으로 이를 통해 도시 계획 담당자는 자원을 좀더 효율적으로 사용할 수 있으며 현재 데이터를 사용하여 교통 혼잡 같은 문제에 대한 새로운 해법을 찾을 수 있다. 그러나 결과적으로 보안과 안전에 대한 주요 쟁점이 있다. 스마트 인프라는 거주자에게 생활, 교통, 연결 혜택을 제공하지만 2018년 3월 미국 애틀랜타시에서 알수 있듯이, 연결된 기술을 사용하는 스마트시티는 악의적인 사이버 공격자에게 점점 더 매력적인 공격 대상이 될 수 있다. 랜섬웨어 공격이 도시의 고객 대면 애플리케이션 중 일부를 공격하여 미국 하츠필드-잭슨(Hartsfield-Jackson) 애틀란타 국제공항에서 무료 와이파이 네트워크를 차단한 일이 있었다. 보고서에 따르면 이 공격은 13개 도시 부서 중 5개를 공격했다. 보안 문제 연결된 기술의 보안 위험은 데이터 손실이나 재무적 영향보다 더 심각할 수 있다. 전세계적으로 도시가 점점 더 스마트해짐에 따라 점점 더 많은 영역이 공격에 취약해질 것이다. 스마트시티가 사용하는 스마트 센서는 종종 스마트 주차를 관리하고 도로의 혼잡을 줄이기 위해 신호등과 거리 조명에 내장되어 있지만, 대부분 무선 센서에는 보안 기능이 내장되어 있지 않음으로 설계상 안전하지 않다. 얼스터대학교(Ulster University) 사이버보안 교수 겸 IEEE 회원인 케빈 커랜은 “많은 [센서]에는 기본 암호가 기본적으로 제공되지 않는다”라...

가트너 개인정보 딜로이트 사이버보안 도시 위험 사물인터넷 스마트시티

2019.11.08

스마트시티 개발이 최근 몇 년 동안 영국 전역에서 이뤄지고 있다. 도시의 모든 것이 인터넷으로 연결된다면, 편리하기만 할까? 그에 따르는 위험은 없을까?   스마트시티는 교통, 유틸리티 또는 에너지 같은 도시 서비스의 연결성과 성능을 향상하고자 다양한 유형의 전자, 정보통신기술(ICT)을 사용해 재설계된 영역이다. 특정 지역의 인프라를 혁신하고자 사물인터넷(IoT) 기기를 도입하면 종종 도시가 '똑똑해'진다는 아이디어가 확립된다. 이러한 IoT 기기를 도입하면 주변의 위치와 건물을 인터넷에 연결할 수 있다. 이론적으로 이를 통해 도시 계획 담당자는 자원을 좀더 효율적으로 사용할 수 있으며 현재 데이터를 사용하여 교통 혼잡 같은 문제에 대한 새로운 해법을 찾을 수 있다. 그러나 결과적으로 보안과 안전에 대한 주요 쟁점이 있다. 스마트 인프라는 거주자에게 생활, 교통, 연결 혜택을 제공하지만 2018년 3월 미국 애틀랜타시에서 알수 있듯이, 연결된 기술을 사용하는 스마트시티는 악의적인 사이버 공격자에게 점점 더 매력적인 공격 대상이 될 수 있다. 랜섬웨어 공격이 도시의 고객 대면 애플리케이션 중 일부를 공격하여 미국 하츠필드-잭슨(Hartsfield-Jackson) 애틀란타 국제공항에서 무료 와이파이 네트워크를 차단한 일이 있었다. 보고서에 따르면 이 공격은 13개 도시 부서 중 5개를 공격했다. 보안 문제 연결된 기술의 보안 위험은 데이터 손실이나 재무적 영향보다 더 심각할 수 있다. 전세계적으로 도시가 점점 더 스마트해짐에 따라 점점 더 많은 영역이 공격에 취약해질 것이다. 스마트시티가 사용하는 스마트 센서는 종종 스마트 주차를 관리하고 도로의 혼잡을 줄이기 위해 신호등과 거리 조명에 내장되어 있지만, 대부분 무선 센서에는 보안 기능이 내장되어 있지 않음으로 설계상 안전하지 않다. 얼스터대학교(Ulster University) 사이버보안 교수 겸 IEEE 회원인 케빈 커랜은 “많은 [센서]에는 기본 암호가 기본적으로 제공되지 않는다”라...

2019.11.08

2019년 주시해야 할 데이터 유출 위험 요소 13가지

어느 조직에서든 데이터 유출은 불가피한 사건이다. 문제는 이런 데이터 유출이 어떤 형태로 발생할 것인가이다. 공격자가 어떤 루트를 통해 액세스를 확보할 것이며, 어떤 정보를 훔치고 어떤 피해를 야기할 것인가? 공격자의 행동 동기는 무엇인가? 본지가 보안 업계의 전문가들을 만나 2019년 사이버 범죄의 ‘왜, 언제, 어떻게’에 대한 예측을 들어 보았다.   1. 생체 인증 방식을 대상으로 한 해킹 증가 생체 인식 기술을 이용한 신원 인증 방식이 널리 사용됨에 따라 이를 표적으로 삼는 해커들도 늘어날 전망이다. 익스페리언(Experian)의 자체 데이터 유출산업 예측(Data Breach Industry Forecast) 보고서에 따르면, 터치 ID 센서, 안면 인식 및 패스코드 등의 취약점을 노출시키는 해킹 사건이 발생할 가능성이 높다. 이 보고서는 "해커들은 생체 인증 방식을 사용하는 하드웨어 및 기기뿐 아니라 데이터 컬렉션 및 스토리지의 취약점도 공략할 것이다. 생체인증 시스템을 해킹하거나 생체 데이터를 스푸핑(spoofing)하는 식의 대규모 해킹 사건이 일어나는 것은 거의 시간 문제다. 특히 헬스케어 산업, 금융 기관 및 정부 기관이 가장 위험하다"고 전했다.   2. 차량 해킹에 따른 인명 피해 우려 네트워크에 연결된 차량을 해킹해 탈취하는 것이 얼마든지 가능하다는 사실은 이미 증명된 바 있다. 이를 통해 해커가 자동차 엔진을 끌 수 있을 뿐 아니라 잠김 방지 브레이크 시스템, 에어백 등 안전 장치를 해제해 버리는 것도 가능하다. 로그리듬 랩스(LogRhythm Labs)의 CISO 제임스 카더는 "무인 자동차가 상용화되고, 네트워크에 연결된 차량이 늘어나면서 이들을 노리는 해커들도 늘어날 것"이라고 예상했다.   3. 인터넷 전체를 대상으로 한 인질극 2019년에는 유례 없이 큰 규모의 분산 서비스 공격(디도스 공격)을 시도하는 핵티비스트 단체나 국가 집단이 생겨날 것...

데이터 유출 해킹 위험 사물인터넷 2019년

2018.12.24

어느 조직에서든 데이터 유출은 불가피한 사건이다. 문제는 이런 데이터 유출이 어떤 형태로 발생할 것인가이다. 공격자가 어떤 루트를 통해 액세스를 확보할 것이며, 어떤 정보를 훔치고 어떤 피해를 야기할 것인가? 공격자의 행동 동기는 무엇인가? 본지가 보안 업계의 전문가들을 만나 2019년 사이버 범죄의 ‘왜, 언제, 어떻게’에 대한 예측을 들어 보았다.   1. 생체 인증 방식을 대상으로 한 해킹 증가 생체 인식 기술을 이용한 신원 인증 방식이 널리 사용됨에 따라 이를 표적으로 삼는 해커들도 늘어날 전망이다. 익스페리언(Experian)의 자체 데이터 유출산업 예측(Data Breach Industry Forecast) 보고서에 따르면, 터치 ID 센서, 안면 인식 및 패스코드 등의 취약점을 노출시키는 해킹 사건이 발생할 가능성이 높다. 이 보고서는 "해커들은 생체 인증 방식을 사용하는 하드웨어 및 기기뿐 아니라 데이터 컬렉션 및 스토리지의 취약점도 공략할 것이다. 생체인증 시스템을 해킹하거나 생체 데이터를 스푸핑(spoofing)하는 식의 대규모 해킹 사건이 일어나는 것은 거의 시간 문제다. 특히 헬스케어 산업, 금융 기관 및 정부 기관이 가장 위험하다"고 전했다.   2. 차량 해킹에 따른 인명 피해 우려 네트워크에 연결된 차량을 해킹해 탈취하는 것이 얼마든지 가능하다는 사실은 이미 증명된 바 있다. 이를 통해 해커가 자동차 엔진을 끌 수 있을 뿐 아니라 잠김 방지 브레이크 시스템, 에어백 등 안전 장치를 해제해 버리는 것도 가능하다. 로그리듬 랩스(LogRhythm Labs)의 CISO 제임스 카더는 "무인 자동차가 상용화되고, 네트워크에 연결된 차량이 늘어나면서 이들을 노리는 해커들도 늘어날 것"이라고 예상했다.   3. 인터넷 전체를 대상으로 한 인질극 2019년에는 유례 없이 큰 규모의 분산 서비스 공격(디도스 공격)을 시도하는 핵티비스트 단체나 국가 집단이 생겨날 것...

2018.12.24

디지털 변혁 프로젝트 성과를 측정하는 9가지는?

기술 변혁을 추진하는 기업과 기관이 직면하는 공통 과제 중 하나는 새로운 역량이 비즈니스 성과에 미치는 영향과 발전을 어떻게 평가하느냐다. 다시 말해 ‘모든 것이 향상된 것 같아!’라는 이야기보다는 데이터를 기반으로 정확히 얼마나 개선됐는지를 측정할 방법을 찾는 것이다. 센스메이킹(Sensemaking) 메커니즘은 소프트웨어 구축 성과가 향상되었는지 여부를 파악해야 하는 리더십 팀에서 매우 중요하다. 또한 변혁 프로그램에 대한 투자 역량을 높이는 촉매 역할을 한다. 아래 그림에서 왼쪽은 비즈니스에서 중요한 속도, 안정성, 예측성, 생산성, 지속 가능성, 품질, 위험, 대응성, 비용 등 9가지 특성을 나타낸다. 각각은 변혁 프로젝트 대시보드 구성에 필요한 구성 요소로 사용할 수 있는 몇 개의 지표가 있다. 이들 각각 소개하고, 실제 프로젝트에 어떻게 적용할지 알아보자. 1. 속도 고객 리드 타임 고객 주문을 받아 구축하기까지 걸리는 시간이다. 고객은 내부 및 외부 고객이며, 주문은 기능이나 사용자 스토리 같은 것들이다. 리드 타임은 고객에게 중요한 일을 처음부터 끝까지 완전하게 마치는 능력을 보여준다. 단 한 가지만 측정할 수 있다면 리드 타임을 측정해야 한다. 변화 리드 타임 코드 개발부터 생산화까지 변화 관리 프로세스가 얼마나 효과적인지 보여준다. 고성과자는 1시간 미만에 필요한 모든 것을 처리한다. 저성과자보다 440배가 빠르다. 릴리스 변경 사항에서 효과적이지 못한 프로세스(CAB 미팅을 해야 하고, 나중에 통합해야 하고, 수동 테스트를 해야 하는 등)는 트랜잭션 비용을 올리고, 배치 크기를 증가시키며, 비즈니스 대응성에 악영향을 미친다. 이는 린(Lean) 제품 개발의 기초다. 배포 빈도 소프트웨어를 생산화 단계로 배포하는 빈도다. 고성과자는 릴리스부터 중복된 배포를 없앤다. 이를 통해 매일 몇 차례 생산화 단계로 배포한다. 조사 결과에 따르면, 고성과자는 저성과자...

CIO 대응성 예측성 성과 지표 마이크로서비스 디지털 변혁 위험 지속 가능성 애자일 개발 안정성 품질 속도 비용 생산성 리드 타임

2018.06.22

기술 변혁을 추진하는 기업과 기관이 직면하는 공통 과제 중 하나는 새로운 역량이 비즈니스 성과에 미치는 영향과 발전을 어떻게 평가하느냐다. 다시 말해 ‘모든 것이 향상된 것 같아!’라는 이야기보다는 데이터를 기반으로 정확히 얼마나 개선됐는지를 측정할 방법을 찾는 것이다. 센스메이킹(Sensemaking) 메커니즘은 소프트웨어 구축 성과가 향상되었는지 여부를 파악해야 하는 리더십 팀에서 매우 중요하다. 또한 변혁 프로그램에 대한 투자 역량을 높이는 촉매 역할을 한다. 아래 그림에서 왼쪽은 비즈니스에서 중요한 속도, 안정성, 예측성, 생산성, 지속 가능성, 품질, 위험, 대응성, 비용 등 9가지 특성을 나타낸다. 각각은 변혁 프로젝트 대시보드 구성에 필요한 구성 요소로 사용할 수 있는 몇 개의 지표가 있다. 이들 각각 소개하고, 실제 프로젝트에 어떻게 적용할지 알아보자. 1. 속도 고객 리드 타임 고객 주문을 받아 구축하기까지 걸리는 시간이다. 고객은 내부 및 외부 고객이며, 주문은 기능이나 사용자 스토리 같은 것들이다. 리드 타임은 고객에게 중요한 일을 처음부터 끝까지 완전하게 마치는 능력을 보여준다. 단 한 가지만 측정할 수 있다면 리드 타임을 측정해야 한다. 변화 리드 타임 코드 개발부터 생산화까지 변화 관리 프로세스가 얼마나 효과적인지 보여준다. 고성과자는 1시간 미만에 필요한 모든 것을 처리한다. 저성과자보다 440배가 빠르다. 릴리스 변경 사항에서 효과적이지 못한 프로세스(CAB 미팅을 해야 하고, 나중에 통합해야 하고, 수동 테스트를 해야 하는 등)는 트랜잭션 비용을 올리고, 배치 크기를 증가시키며, 비즈니스 대응성에 악영향을 미친다. 이는 린(Lean) 제품 개발의 기초다. 배포 빈도 소프트웨어를 생산화 단계로 배포하는 빈도다. 고성과자는 릴리스부터 중복된 배포를 없앤다. 이를 통해 매일 몇 차례 생산화 단계로 배포한다. 조사 결과에 따르면, 고성과자는 저성과자...

2018.06.22

기고 | '클라우드 위험 완화는 이렇게' 7가지 전략

클라우드 서비스는 우리 생활의 일부로, 매년 더 많은 엔터프라이즈 기능을 담당한다. 한때는 클라우드 서비스가 단순한 스토리지나 대응 관리로 제한됐다면 이제는 ERP와 같은 핵심 기능으로 향하고 있다. 또한 클라우드가 점점 더 광범위한 필수 서비스를 제공하는 만큼 IT리더는 오늘날의 클라우드 환경에 내재된 리스크를 염두에 두고 이를 완화하기 위한 예방 조처를 해야 한다. 클라우드 컴퓨팅의 위험을 평가하고 완화하기 위해 조직에서 해야 할 일을 정리했다. 클라우드에서 리스크 성향 평가 은행 업계에서는 조직의 의사 결정을 유도하는 리스크 성향을 설정하는 것이 일반적이다. 예를 들어, 보수적인 리스크 성향이라면 불확실한 대출은 늘리면서도 수익은 감소하는 쪽으로 견인할 수 있다. 리스크 성향이 좀 더 ‘최첨단’이라면 호황기에 더 높은 수익을 제공할 것이다. 단점은 해당 은행이 다음 위기를 맞을 때 엄청난 타격을 받는다는 것이다. IT관리의 관점에서 볼 때 리스크 성향은 기업 실사, 지속적인 모니터링, 위험 감소에 대한 투자 의사에 대해 알려줄 것이다. 예를 들어 제한된 리소스를 최대한 활용하기 위해 위험 완화에 대한 계층화된 접근 방식을 설정할 수 있다. ‘티어 1(Tier 1)’ 클라우드 서비스의 실패 위험성은 직원 배치(예: 전담 관리자가 있는 경우), 정기적인 테스트 및 최상위 업체 지원 비용 투자를 통해 줄어들 수 있다. 클라우드 이용 문화 재검토 클라우드 제공 업체는 사용 용이성과 유연성을 강조한다. 회사에서 클라우드의 편의성을 경험하면 자체적으로 구축한 기존 인프라를 유지하려는 욕구가 거의 없어진다. 그러나 클라우드 서비스에 대해 무심한 태도를 지니면 직원들이 어리석은 위험을 감수하게 될 수도 있다. 에이브포인트(AvePoint)의 제품 전략 담당 부사장인 존 호지스는 "클라우드 서비스는 종종 데이터의 '임시 사용'을 장려한다. 다시...

협업 IT관리 위험 완화 KPMG 문화 감사 시스코 ERP 마이크로소프트 리스크 CIO 제로 트러스트

2018.05.24

클라우드 서비스는 우리 생활의 일부로, 매년 더 많은 엔터프라이즈 기능을 담당한다. 한때는 클라우드 서비스가 단순한 스토리지나 대응 관리로 제한됐다면 이제는 ERP와 같은 핵심 기능으로 향하고 있다. 또한 클라우드가 점점 더 광범위한 필수 서비스를 제공하는 만큼 IT리더는 오늘날의 클라우드 환경에 내재된 리스크를 염두에 두고 이를 완화하기 위한 예방 조처를 해야 한다. 클라우드 컴퓨팅의 위험을 평가하고 완화하기 위해 조직에서 해야 할 일을 정리했다. 클라우드에서 리스크 성향 평가 은행 업계에서는 조직의 의사 결정을 유도하는 리스크 성향을 설정하는 것이 일반적이다. 예를 들어, 보수적인 리스크 성향이라면 불확실한 대출은 늘리면서도 수익은 감소하는 쪽으로 견인할 수 있다. 리스크 성향이 좀 더 ‘최첨단’이라면 호황기에 더 높은 수익을 제공할 것이다. 단점은 해당 은행이 다음 위기를 맞을 때 엄청난 타격을 받는다는 것이다. IT관리의 관점에서 볼 때 리스크 성향은 기업 실사, 지속적인 모니터링, 위험 감소에 대한 투자 의사에 대해 알려줄 것이다. 예를 들어 제한된 리소스를 최대한 활용하기 위해 위험 완화에 대한 계층화된 접근 방식을 설정할 수 있다. ‘티어 1(Tier 1)’ 클라우드 서비스의 실패 위험성은 직원 배치(예: 전담 관리자가 있는 경우), 정기적인 테스트 및 최상위 업체 지원 비용 투자를 통해 줄어들 수 있다. 클라우드 이용 문화 재검토 클라우드 제공 업체는 사용 용이성과 유연성을 강조한다. 회사에서 클라우드의 편의성을 경험하면 자체적으로 구축한 기존 인프라를 유지하려는 욕구가 거의 없어진다. 그러나 클라우드 서비스에 대해 무심한 태도를 지니면 직원들이 어리석은 위험을 감수하게 될 수도 있다. 에이브포인트(AvePoint)의 제품 전략 담당 부사장인 존 호지스는 "클라우드 서비스는 종종 데이터의 '임시 사용'을 장려한다. 다시...

2018.05.24

바클레이 부사장이 우려하는 '4가지 은행 AI 리스크'

효율과 경쟁력 강화를 위해 인공지능 기술을 활용하는 금융 서비스 기업이 증가하고 있다. 그러나 최신 기술 도입으로 인한 리스크와 공포도 함께 수반되고 있다. 금융 안정성 이사회(Financial Stability Board)가 발행한 보고서는 은행에서 인공지능 기술 사용이 금융 안정성에 리스크를 야기할 수 있다는 점을 들어 우려를 표명했다. 이 보고서는 “인공지능 및 머신러닝 방식은 해석 능력이나 감사 가능성 등이 결여되어 거시적 수준의 리스크를 야기할 수 있다. 마찬가지로, 불확실한 모델이 널리 확산될 경우 의도치 않은 결과가 발생할 수 있다”고 지적했다. 금융 안정성 이사회는 인력을 AI로 대체할 경우 “금융 쇼크를 확대, 재생산할 가능성도 있다”고 경고했다. 그렇지만 보고서가 단점만을 언급한 것은 아니다. “신용 평가, 금융 시장, 보험 계약, 그리고 고객 상호작용 등과 같이 좀더 효율적인 정보 처리로 금융 시스템의 효율성을 업그레이드할 기회가 될 것이다. “AI와 머신러닝 기술은 규제 이행을 돕고, 당국의 관리, 감독도 더욱 효과적으로 만들 수 있을 것이다.” <컴퓨터월드 UK(Computerworld UK)>는 지난주 열린 ‘딥러닝 인 파이낸스(Deep Learning in Finance)’ 회담에서 바클레이의 혁신 및 신기술 부사장 아아드 하심은 300년의 전통을 자랑하는 은행 및 금융업계에서 인공지능 기술 도입에 관한 우려와 호기심을 언급했다. 하심에 따르면, 바클레이는 현재 은행에서 사용되는 머신러닝 기술, 예측 분석, 자연어 처리, 챗봇까지 다양한 AI 기술을 연구하고 있다. 이러한 기술들은 고객 유지와 제품 추천 등을 위해, 그리고 자연어 처리 기술을 이용해 문서로 작성된 지원 양식에서 정보를 추출하기 위해 프론트 오피스와 백 오피스 모두에 적용될 수 있다. 그리고 이러한 기술의 적...

페이스북 금융 안정성 이사회 WEC 오픈뱅킹 NLP 세계경제포럼 챗봇 블랙박스 예측 분석 위험 바클레이 알고리즘 자연어 처리 인공지능 규제 금융 은행 리스크 케임브리지 애널리카

2018.03.27

효율과 경쟁력 강화를 위해 인공지능 기술을 활용하는 금융 서비스 기업이 증가하고 있다. 그러나 최신 기술 도입으로 인한 리스크와 공포도 함께 수반되고 있다. 금융 안정성 이사회(Financial Stability Board)가 발행한 보고서는 은행에서 인공지능 기술 사용이 금융 안정성에 리스크를 야기할 수 있다는 점을 들어 우려를 표명했다. 이 보고서는 “인공지능 및 머신러닝 방식은 해석 능력이나 감사 가능성 등이 결여되어 거시적 수준의 리스크를 야기할 수 있다. 마찬가지로, 불확실한 모델이 널리 확산될 경우 의도치 않은 결과가 발생할 수 있다”고 지적했다. 금융 안정성 이사회는 인력을 AI로 대체할 경우 “금융 쇼크를 확대, 재생산할 가능성도 있다”고 경고했다. 그렇지만 보고서가 단점만을 언급한 것은 아니다. “신용 평가, 금융 시장, 보험 계약, 그리고 고객 상호작용 등과 같이 좀더 효율적인 정보 처리로 금융 시스템의 효율성을 업그레이드할 기회가 될 것이다. “AI와 머신러닝 기술은 규제 이행을 돕고, 당국의 관리, 감독도 더욱 효과적으로 만들 수 있을 것이다.” <컴퓨터월드 UK(Computerworld UK)>는 지난주 열린 ‘딥러닝 인 파이낸스(Deep Learning in Finance)’ 회담에서 바클레이의 혁신 및 신기술 부사장 아아드 하심은 300년의 전통을 자랑하는 은행 및 금융업계에서 인공지능 기술 도입에 관한 우려와 호기심을 언급했다. 하심에 따르면, 바클레이는 현재 은행에서 사용되는 머신러닝 기술, 예측 분석, 자연어 처리, 챗봇까지 다양한 AI 기술을 연구하고 있다. 이러한 기술들은 고객 유지와 제품 추천 등을 위해, 그리고 자연어 처리 기술을 이용해 문서로 작성된 지원 양식에서 정보를 추출하기 위해 프론트 오피스와 백 오피스 모두에 적용될 수 있다. 그리고 이러한 기술의 적...

2018.03.27

IT 리스크를 어떻게 평가할까? 10가지 체크리스트

재난∙재해를 피할 수 없지만 복구할 수는 있다. 최악의 상황에 대비해 영향을 최소화하도록 유지하면 된다. IT시스템이 중단되더라도 문제없이 돌아가는 기업은 거의 없다. 꼼꼼한 IT 리스크 평가는 보안 시스템이 손상되지 않도록 보호하고 효과적인 대응 전략을 구현하는 중요한 방법이다. 시스템을 효과적으로 보호하기 위해 IT 리스크를 평가하는 방법을 알아보자. 1. IT 리스크 평가해야 하는 이유는 무엇인가? IT 리스크 평가의 목적은 모든 취약점과 단점을 해결하고 관리하는 것이다. 리스크 평가는 보안 팀에게 특히 중요하며 모든 관련 직원 및 이사회 구성원과 공유한 결과를 정기적으로 수행해야 한다. IT 팀이 제대로 근무하고 있는지 평가하지 않으면 보안 부서뿐 아니라 취약한 상태로 남을 수 있다. 리스크 평가를 통해 비용을 통제하고 감사가 훨씬 쉽게 이루어질 수 있다. 돈을 절약할 수 있는 영역을 찾는 것은 IT 리스크 평가에 큰 이점이다. 2. 준비 리스크 관리 절차는 관련된 적임자들과 함께 수립하기가 가장 쉽다. 리스크가 포함될 수 있는 모든 비즈니스 영역의 대표자와 위험을 억제할 방법을 알 수 있는 개인을 포함하는 자문위원회를 꾸려야 한다. 보안 리스크 평가 체크리스트와 감사 체크리스트는 위험을 검토하는 데 도움이 되는 유용한 도구며 웹 기반 도구는 이를 평가하는, 좀더 진보된 방법을 제공한다. 3. 데이터 수집 모든 리스크 평가는 현재 인프라를 점검하는 데서 출발한다. 하드웨어와 소프트웨어 모두 강점과 약점을 평가해야 한다. 보안 위험이 있는 자산은 조직을 조사한 다음 조사 결과를 IT부서에 보내 검사하고 평가해야 한다. 결과는 위해성 평가에서 예상되는 목적, 범위, 자료 흐름, 책임을 다루는 검토의 기초를 형성할 것이다. 4. 취약성 평가 각각의 가능한 위험을 식별하려면 위협 요소를 자세히 검토해야 한다. 실제 일어날 법한 시나리오를 사용하는 것은 가능한 결과를 예측하고 준비하는...

유지보수 위험 체크리스트 DR 리스크 관리 재해복구 RM 컴플라이언스 CIO 리스크 완화

2017.10.27

재난∙재해를 피할 수 없지만 복구할 수는 있다. 최악의 상황에 대비해 영향을 최소화하도록 유지하면 된다. IT시스템이 중단되더라도 문제없이 돌아가는 기업은 거의 없다. 꼼꼼한 IT 리스크 평가는 보안 시스템이 손상되지 않도록 보호하고 효과적인 대응 전략을 구현하는 중요한 방법이다. 시스템을 효과적으로 보호하기 위해 IT 리스크를 평가하는 방법을 알아보자. 1. IT 리스크 평가해야 하는 이유는 무엇인가? IT 리스크 평가의 목적은 모든 취약점과 단점을 해결하고 관리하는 것이다. 리스크 평가는 보안 팀에게 특히 중요하며 모든 관련 직원 및 이사회 구성원과 공유한 결과를 정기적으로 수행해야 한다. IT 팀이 제대로 근무하고 있는지 평가하지 않으면 보안 부서뿐 아니라 취약한 상태로 남을 수 있다. 리스크 평가를 통해 비용을 통제하고 감사가 훨씬 쉽게 이루어질 수 있다. 돈을 절약할 수 있는 영역을 찾는 것은 IT 리스크 평가에 큰 이점이다. 2. 준비 리스크 관리 절차는 관련된 적임자들과 함께 수립하기가 가장 쉽다. 리스크가 포함될 수 있는 모든 비즈니스 영역의 대표자와 위험을 억제할 방법을 알 수 있는 개인을 포함하는 자문위원회를 꾸려야 한다. 보안 리스크 평가 체크리스트와 감사 체크리스트는 위험을 검토하는 데 도움이 되는 유용한 도구며 웹 기반 도구는 이를 평가하는, 좀더 진보된 방법을 제공한다. 3. 데이터 수집 모든 리스크 평가는 현재 인프라를 점검하는 데서 출발한다. 하드웨어와 소프트웨어 모두 강점과 약점을 평가해야 한다. 보안 위험이 있는 자산은 조직을 조사한 다음 조사 결과를 IT부서에 보내 검사하고 평가해야 한다. 결과는 위해성 평가에서 예상되는 목적, 범위, 자료 흐름, 책임을 다루는 검토의 기초를 형성할 것이다. 4. 취약성 평가 각각의 가능한 위험을 식별하려면 위협 요소를 자세히 검토해야 한다. 실제 일어날 법한 시나리오를 사용하는 것은 가능한 결과를 예측하고 준비하는...

2017.10.27

기고 | PaaS, 이제는 보안 걱정 없이 쓰자

대규모 클라우드 서비스가 보안 및 서비스 이용 관련 가이드라인을 제공한다 해도, 중요한 애플리케이션 개발에서 클라우드를 이용할 때 여전히 상당한 보안 위험이 따른다. 그런데 보안 문제에 초점을 맞춘 클라우드 플랫폼이 등장하고 있어 이러한 우려를 덜어줄 것으로 기대되고 있다. 이들 솔루션은 PaaS(platform as a service)의 편리함과 보안 규제 컴플라이언스라는 두 마리 토끼를 잡을 수 있을까? 보안 중심의 PaaS를 제공하는 대표적인 업체로는 대티카(Datica), 헬스케어 블록스(Healthcare Blocks), 앱터블(Aptible) 등이 있다. 모두 2013년에 생겨난 컨테이너 기반 클라우드 업체들이다. 이들은 최고의 보안 및 데브옵스 전문가로 구성된 팀을 자랑하며 서비스의 안전성과 기능성을 보장한다. 서비스 요율 자체도 높지 않은 데다가 편리한 보안 프레임워크를 제공해 고객들이 보안 문제에 노심초사하지 않고 기능에 중점을 맞춰 앱 개발을 할 수 있도록 돕는다. 예를 들어, 리소스가 제한적인 신생벤처의 경우 이러한 PaaS를 활용하여 고객에게 자사만의 고유한 가치를 보여줄 수 있을 것이다. 사내에 정보보안팀이나 개발팀을 둘 여력이 되지 않는 소형 병원에서도 이러한 서비스의 표준 기능과 IT전문가의 지원을 활용할 수 있게 된다. 대기업과 정부기관의 경우 CI(continuous integration)이나 내장 컨테이너 같은 데브옵스 툴을 이용해 비즈니스 민첩성을 확장할 수 있게 된다. 대티카, 헬스케어 블록스, 앱터블 이 3개 업체는 이미 미국 정부기관, 의료기관, 병원, 의료/금융 기술 벤처 등 다양한 기업 및 기관을 상대로 만족스러운 서비스를 제공한 바 있다. • 미국 재향군인회(U.S. Department of Veterans Affairs)는 대티카의 서비스를 이용해 더 빠르게 새로운 툴을 설치하고 환자 행동 양식에 관한 새로운 통찰을 얻는 성과를 거뒀다. • 그레이터 콜로...

CIO 고객경험 대티카 헬스케어 블록스 앱터블 미국 재향군인회 푸들 POODLE Shellshock 핀테크 셸쇼크 Go 정부 PaaS 병원 API IDS 위험 CX 데브옵스 하트블리드 Heartbleed

2017.05.17

대규모 클라우드 서비스가 보안 및 서비스 이용 관련 가이드라인을 제공한다 해도, 중요한 애플리케이션 개발에서 클라우드를 이용할 때 여전히 상당한 보안 위험이 따른다. 그런데 보안 문제에 초점을 맞춘 클라우드 플랫폼이 등장하고 있어 이러한 우려를 덜어줄 것으로 기대되고 있다. 이들 솔루션은 PaaS(platform as a service)의 편리함과 보안 규제 컴플라이언스라는 두 마리 토끼를 잡을 수 있을까? 보안 중심의 PaaS를 제공하는 대표적인 업체로는 대티카(Datica), 헬스케어 블록스(Healthcare Blocks), 앱터블(Aptible) 등이 있다. 모두 2013년에 생겨난 컨테이너 기반 클라우드 업체들이다. 이들은 최고의 보안 및 데브옵스 전문가로 구성된 팀을 자랑하며 서비스의 안전성과 기능성을 보장한다. 서비스 요율 자체도 높지 않은 데다가 편리한 보안 프레임워크를 제공해 고객들이 보안 문제에 노심초사하지 않고 기능에 중점을 맞춰 앱 개발을 할 수 있도록 돕는다. 예를 들어, 리소스가 제한적인 신생벤처의 경우 이러한 PaaS를 활용하여 고객에게 자사만의 고유한 가치를 보여줄 수 있을 것이다. 사내에 정보보안팀이나 개발팀을 둘 여력이 되지 않는 소형 병원에서도 이러한 서비스의 표준 기능과 IT전문가의 지원을 활용할 수 있게 된다. 대기업과 정부기관의 경우 CI(continuous integration)이나 내장 컨테이너 같은 데브옵스 툴을 이용해 비즈니스 민첩성을 확장할 수 있게 된다. 대티카, 헬스케어 블록스, 앱터블 이 3개 업체는 이미 미국 정부기관, 의료기관, 병원, 의료/금융 기술 벤처 등 다양한 기업 및 기관을 상대로 만족스러운 서비스를 제공한 바 있다. • 미국 재향군인회(U.S. Department of Veterans Affairs)는 대티카의 서비스를 이용해 더 빠르게 새로운 툴을 설치하고 환자 행동 양식에 관한 새로운 통찰을 얻는 성과를 거뒀다. • 그레이터 콜로...

2017.05.17

"앱 위험 구분, 암호화" 퍼블릭 클라우드 활용 팁 10선

GE, 페덱스, 뱅크오브아메리카, JP 모건 체이스, 모건 스탠리 등 글로벌 선진 기업들이 직접 클라우드를 사용하면서 배운 교훈을 공유했다.    GE, 시티그룹, 페덱스, 뱅크오브아메리카(BoA), 인튜이트(Intuit), 갭(Gap), 카이저 퍼머넌트(Kaiser Permanente), 모건 스탠리(Morgan Stanley), JP 모건 체이스(JP Morgan Chase)는 퍼블릭 클라우드를 이용하면서 어떤 교훈을 얻었을까? 이들 기업의 대표들은 지난 6개월간 ONUG(Open Networking User Group)과 함께 하이브리드 클라우드를 이용할 때 맞닥뜨리는 도전과제를 담은 백서를 발간했다. ONUG의 HCWG(Hybrid Cloud Working Group)는 클라우드 이용 경험에 바탕을 둔 값진 교훈과 함께 플랫폼 업체들이 귀담아들어야 할 사항들도 제시했다. 다음은 이 백서에서 선도 기업들이 이야기한 10가지 팁이다. 1. 앱의 위험을 '높음', '중간', '낮음'으로 구분한다 어떤 앱을 클라우드로 옮겨야 할까? 이 질문에 답하기 전에 먼저 해야 할 일이 있다. 이용 중인 앱을 분류하는 일이다. HCWG는 앱을 보안 위험에 따라 '높음', '중간+', '중간', '낮음'으로 분류할 것을 권장했다. 보안 위험이 가장 높은 앱에 가장 엄격한 보안 프로토콜을 적용해야 한다. 이미 공개된 데이터는 위험이 낮은 데이터다. 위험이 중간인 데이터는 ERP 시스템과 비즈니스 관리 애플리케이션 데이터다. 그러나 지적 재산이나 특허 관련 데이터는 제외된다. 이는 별도의 보안 프로토콜 없이 퍼블릭 클라우드로 옮길 수 있다. 위험이 '중간+'인 앱 데이터는 정부에서 통제하는 비밀이 아닌 데이터, 규제가 적용되는 데이터를 예로 들 수 있다. 위험이 높은 앱은 퍼블릭 클라우드에 적합하지 않다. 특허, 아주...

뱅크오브아메리카 ONUG 백서 브로커 모건 스탠리 GE 위험 하이브리드 클라우드 퍼블릭 클라우드 프라이빗 클라우드 페덱스 협상 조언 JP 모건 체이스

2016.11.18

GE, 페덱스, 뱅크오브아메리카, JP 모건 체이스, 모건 스탠리 등 글로벌 선진 기업들이 직접 클라우드를 사용하면서 배운 교훈을 공유했다.    GE, 시티그룹, 페덱스, 뱅크오브아메리카(BoA), 인튜이트(Intuit), 갭(Gap), 카이저 퍼머넌트(Kaiser Permanente), 모건 스탠리(Morgan Stanley), JP 모건 체이스(JP Morgan Chase)는 퍼블릭 클라우드를 이용하면서 어떤 교훈을 얻었을까? 이들 기업의 대표들은 지난 6개월간 ONUG(Open Networking User Group)과 함께 하이브리드 클라우드를 이용할 때 맞닥뜨리는 도전과제를 담은 백서를 발간했다. ONUG의 HCWG(Hybrid Cloud Working Group)는 클라우드 이용 경험에 바탕을 둔 값진 교훈과 함께 플랫폼 업체들이 귀담아들어야 할 사항들도 제시했다. 다음은 이 백서에서 선도 기업들이 이야기한 10가지 팁이다. 1. 앱의 위험을 '높음', '중간', '낮음'으로 구분한다 어떤 앱을 클라우드로 옮겨야 할까? 이 질문에 답하기 전에 먼저 해야 할 일이 있다. 이용 중인 앱을 분류하는 일이다. HCWG는 앱을 보안 위험에 따라 '높음', '중간+', '중간', '낮음'으로 분류할 것을 권장했다. 보안 위험이 가장 높은 앱에 가장 엄격한 보안 프로토콜을 적용해야 한다. 이미 공개된 데이터는 위험이 낮은 데이터다. 위험이 중간인 데이터는 ERP 시스템과 비즈니스 관리 애플리케이션 데이터다. 그러나 지적 재산이나 특허 관련 데이터는 제외된다. 이는 별도의 보안 프로토콜 없이 퍼블릭 클라우드로 옮길 수 있다. 위험이 '중간+'인 앱 데이터는 정부에서 통제하는 비밀이 아닌 데이터, 규제가 적용되는 데이터를 예로 들 수 있다. 위험이 높은 앱은 퍼블릭 클라우드에 적합하지 않다. 특허, 아주...

2016.11.18

SCM과 빅데이터 분석이 만나면··· '효율 ↑ 위험 ↓'

빅데이터 분석이 공급망 가시성을 높이고 통찰력을 제공하는데 기여할 수 있다. 빅데이터를 활용해 공급망 기업들은 자주 변경되는 요구나 공급망 위험에 대응하는 방법을 개선하고 이 문제들과 관련한 우려를 줄일 수 있는 방법을 소개한다.   SCM 월드의 연구에 따르면, 공급망 관리자 가운데 64%가 빅데이터의 중요성과 변혁적 가치를 인정하고 이를 자사의 장기적 변화 관리 활동의 근간으로 삼으려는 계획을 구상하고 있었다. 빅데이터 분석이 자사 공급망에 전달하는 효익을 이해하고 있다고 생각하는 공급망 관리자는 무려 97%에 달했다. 그러나 이와 대조적으로, 액센츄어의 조사에 따르면 한 곳 혹은 그 이상의 공급망에 실제 분석 툴을 적용한 관리자는 17%에 불과했다. 다시 말해 시중 기업들 가운데 83%가 아직 자사 공급망 관리에 빅데이터 분석을 활용하지는 못하고 있는 상황이지만, 적어도 앞으로 수 년 내 공급망, 조달망 관리에 미치게 될 핵심적인 영향에 대한 인식이 자리잡아가는 것만은 분명한 사실이다.  빅데이터 분석 툴은 다수의 소스로부터 수집되는 막대한 규모의 정형, 비정형 데이터를 신속히 분석해주는 솔루션이다. 공급망을 관리 측면에서 보자면, 이는 공급망 전반에 대한 가시성을 높여주고 좀더 깊이 있는 통찰력을 전달해줄 것이다. 빅데이터를 활용하면 수요-공급 변동에 따른 리스크에 좀더 효과적으로 대응할 수 있으며, 현재의 이슈와 관련한 우려들을 경감시켜 줄 수 있게 될 것이다. 이는 공급망 담당자의 역할을 단순한 업무 지원자의 수준을 넘어, 믿을 수 있는 비즈니스의 자문가로 변화시키는 데에도 도움을 줄 것이다.  빅데이터 규모로 마스터 데이터 관리(MDM, Master Data Management)를 활용하면  고품질의 정확한 데이터로 통찰력을 얻게 될 것이다. 기존에는 파악할 수 없던 데이터 간의 관계와 그에 기반한 새로운 시각을 발굴하는 것이 MDM이 제공하는 가치다. 빅...

리스크 애널리틱스 분석 예측 위험 공급망 SCM 조사 액센츄어 민첩성 빅데이터 SCM 월드

2016.02.23

빅데이터 분석이 공급망 가시성을 높이고 통찰력을 제공하는데 기여할 수 있다. 빅데이터를 활용해 공급망 기업들은 자주 변경되는 요구나 공급망 위험에 대응하는 방법을 개선하고 이 문제들과 관련한 우려를 줄일 수 있는 방법을 소개한다.   SCM 월드의 연구에 따르면, 공급망 관리자 가운데 64%가 빅데이터의 중요성과 변혁적 가치를 인정하고 이를 자사의 장기적 변화 관리 활동의 근간으로 삼으려는 계획을 구상하고 있었다. 빅데이터 분석이 자사 공급망에 전달하는 효익을 이해하고 있다고 생각하는 공급망 관리자는 무려 97%에 달했다. 그러나 이와 대조적으로, 액센츄어의 조사에 따르면 한 곳 혹은 그 이상의 공급망에 실제 분석 툴을 적용한 관리자는 17%에 불과했다. 다시 말해 시중 기업들 가운데 83%가 아직 자사 공급망 관리에 빅데이터 분석을 활용하지는 못하고 있는 상황이지만, 적어도 앞으로 수 년 내 공급망, 조달망 관리에 미치게 될 핵심적인 영향에 대한 인식이 자리잡아가는 것만은 분명한 사실이다.  빅데이터 분석 툴은 다수의 소스로부터 수집되는 막대한 규모의 정형, 비정형 데이터를 신속히 분석해주는 솔루션이다. 공급망을 관리 측면에서 보자면, 이는 공급망 전반에 대한 가시성을 높여주고 좀더 깊이 있는 통찰력을 전달해줄 것이다. 빅데이터를 활용하면 수요-공급 변동에 따른 리스크에 좀더 효과적으로 대응할 수 있으며, 현재의 이슈와 관련한 우려들을 경감시켜 줄 수 있게 될 것이다. 이는 공급망 담당자의 역할을 단순한 업무 지원자의 수준을 넘어, 믿을 수 있는 비즈니스의 자문가로 변화시키는 데에도 도움을 줄 것이다.  빅데이터 규모로 마스터 데이터 관리(MDM, Master Data Management)를 활용하면  고품질의 정확한 데이터로 통찰력을 얻게 될 것이다. 기존에는 파악할 수 없던 데이터 간의 관계와 그에 기반한 새로운 시각을 발굴하는 것이 MDM이 제공하는 가치다. 빅...

2016.02.23

이사진들이 사이버보안 문제에 개입해야 하는 6가지 이유

사이버공격이 더 빈번하게 발생하고 있으며 이사회도 이 문제를 중요하게 다루기 시작했다. 대기업에 대한 체계적인 리스크를 생각한다면 사이버공격과 데이터 유출 사고는 일반적으로 목록의 상단은 없다. 예측할 수 없는 사고, 자연 재해, 비즈니스 실행 부족, 신용 불안 등의 일들은 일반적으로 이사회의 우선순위에 올라와 있다. 하지만 사이버공격은 이사회 우선순위에 근접해 있으며 확실히 이사회에서 중요성이 커지고 있다. 그렇다고 모든 이사진들이 그렇게 생각하는 것은 아니다. <CSO>의 글로벌 정보보안 현황 조사에 따르면, 대다수의 기업들은 1년에 1번이나 그 이하로 자사 CISO와 만남을 갖는 것으로 나타났다. 이 슬라이드쇼는 이러한 관행을 왜 개선해야 하는지를 보여준다. ciokr@idg.co.kr  

CSO 시지프스의 신화 시지프스 이사진 위험 안건 사이버보안 이사회 CISO 리스크 CEO 보안 문화

2015.11.27

사이버공격이 더 빈번하게 발생하고 있으며 이사회도 이 문제를 중요하게 다루기 시작했다. 대기업에 대한 체계적인 리스크를 생각한다면 사이버공격과 데이터 유출 사고는 일반적으로 목록의 상단은 없다. 예측할 수 없는 사고, 자연 재해, 비즈니스 실행 부족, 신용 불안 등의 일들은 일반적으로 이사회의 우선순위에 올라와 있다. 하지만 사이버공격은 이사회 우선순위에 근접해 있으며 확실히 이사회에서 중요성이 커지고 있다. 그렇다고 모든 이사진들이 그렇게 생각하는 것은 아니다. <CSO>의 글로벌 정보보안 현황 조사에 따르면, 대다수의 기업들은 1년에 1번이나 그 이하로 자사 CISO와 만남을 갖는 것으로 나타났다. 이 슬라이드쇼는 이러한 관행을 왜 개선해야 하는지를 보여준다. ciokr@idg.co.kr  

2015.11.27

프로젝트 난항을 예고하는 위험 신호 6가지

로버트 번즈(Robert Burns)는 "쥐와 사람에 대한 계획은 아무리 철저히 세우더라도 빗나가곤 한다(The best laid plans of mice and men often go awry)"라는 표현을 남겼다. 그의 표현은 비롯 쥐를 언급한 것이긴 하지만 IT 프로젝트 관리자들의 전쟁 같은 일상을 훌륭히 묘사하는 것이기도 하다. 성공적인 프로젝트 관리의 핵심은 시간, 자원, 품질이라는 "3가지 제약"의 균형을 유지하는 것이다. 하지만 이와 동시에 프로젝트 난항을 예고하는 붉은 깃발을 확인하고 대처하는 능력 또한 못지 않게 중요하다. 프로젝트 및 포트폴리오 관리 솔루션 기업 인노타스(Innotas)의 수석 마케팅 부사장 투샤르 파넬은 다음과 같이 말했다. "기가 막힌 계획을 세우고 만일의 모든 사태를 대비한다 하더라도 예상하지 못한 일이 항상 발생한다는 점을 기억하는 것이 가장 중요하다. 무엇인가 잘못되게 마련이다. 이런 사실을 인정하고 받아들이며 때로는 이런 것들이 자신의 통제 범위 밖이라는 사실을 이해한다면 더 유리해진다." ciokr@idg.co.kr 

PM 프로젝트 관리 경고 위험 신호

2015.11.06

로버트 번즈(Robert Burns)는 "쥐와 사람에 대한 계획은 아무리 철저히 세우더라도 빗나가곤 한다(The best laid plans of mice and men often go awry)"라는 표현을 남겼다. 그의 표현은 비롯 쥐를 언급한 것이긴 하지만 IT 프로젝트 관리자들의 전쟁 같은 일상을 훌륭히 묘사하는 것이기도 하다. 성공적인 프로젝트 관리의 핵심은 시간, 자원, 품질이라는 "3가지 제약"의 균형을 유지하는 것이다. 하지만 이와 동시에 프로젝트 난항을 예고하는 붉은 깃발을 확인하고 대처하는 능력 또한 못지 않게 중요하다. 프로젝트 및 포트폴리오 관리 솔루션 기업 인노타스(Innotas)의 수석 마케팅 부사장 투샤르 파넬은 다음과 같이 말했다. "기가 막힌 계획을 세우고 만일의 모든 사태를 대비한다 하더라도 예상하지 못한 일이 항상 발생한다는 점을 기억하는 것이 가장 중요하다. 무엇인가 잘못되게 마련이다. 이런 사실을 인정하고 받아들이며 때로는 이런 것들이 자신의 통제 범위 밖이라는 사실을 이해한다면 더 유리해진다." ciokr@idg.co.kr 

2015.11.06

직원 5명 중 4명 "잘못인 줄 알면서도 보안 소홀"

사이버보안의 위험을 알면서도 업무 중에 몇 가지 위험한 행동을 하는 기업 임직원이 5명 가운데 4명이나 되는 것으로 조사됐다. 위험한 행동에는 업무용 기기에서 성인 콘텐츠 보기, 수신인을 알 수 없는 이메일 열람, 공식 앱스토어 이외의 스토어에서 앱 다운르도, IT부서 승인 없이 새로운 애플리케이션 설치, 개인적인 용무로 소셜 미디어 사용, 개인 모바일 기기를 업무에 사용하기 등이 있다. 이 조사는 영국에 있는 기술 시장 조사 기업인 밴슨본이 클라우드 보안 업체인 블루코트시스템즈의 후원을 받아 전세계 1,580명을 대상으로 실시한 것으로, 앞서 나열한 위험한 행동을 전혀 하지 않는다는 응답자는 20%에 불과한 것으로 나타났다. "일반 사람이 위험을 선택하는 방법에서 다름 점을 발견하지 못했다"라고 블루코트시스템즈 CTO 휴 톰슨 말했다. "이 문제 이외에 우리가 방법을 교육 할 수 있을 것이라고는 생각하지 않는다"라고 그는 밝혔다. 아이러니하게도 최악의 행동을 저지르는 응답자들 중에는 IT업계 종사자들도 있었다. 이러한 위험한 행동의 관여하지 않는다고 답한 IT종사자 12%에 불과했다. 두번째로 이러한 위험한 행동을 많이 하는 업계는 자선단체나 비영리단체로, 이 분야 종사자 가운데 5%만이 위험한 행동을 하지 않는다고 답했다. 하지만, IT종자사들은 이러한 행동의 위험을 인식하는 수준에서는 평균 이상의 점수를 나타났다. 전반적으로 보안 인식의 가장 높은 수준은 알 수 없는 소스의 첨부 파일을 여는 것과 업무용 기기에서 성인 콘텐츠를 보는 것이 위험하다고 여기는 것이었다. 응답자의 73%는 이렇나 행동 각각에 대해 위험하거나 매우 위험하다고 평가했다. 알 수 없는 소스의 첨부 파일을 여는 게 전혀 위험하지 않다고 말한 응답자는 2%였으며 성인 콘텐츠에 대해 이같이 답한 사람은 3%였다. 하지만 20%는 이러한 첨부 파일을 열어보고 6%는 업무용 기기에서 성인 콘텐츠를 본다고 인정했다....

CSO 조사 CISO 사이버보안 인지 위험 행동 밴슨본 블루코트시스템즈

2015.05.29

사이버보안의 위험을 알면서도 업무 중에 몇 가지 위험한 행동을 하는 기업 임직원이 5명 가운데 4명이나 되는 것으로 조사됐다. 위험한 행동에는 업무용 기기에서 성인 콘텐츠 보기, 수신인을 알 수 없는 이메일 열람, 공식 앱스토어 이외의 스토어에서 앱 다운르도, IT부서 승인 없이 새로운 애플리케이션 설치, 개인적인 용무로 소셜 미디어 사용, 개인 모바일 기기를 업무에 사용하기 등이 있다. 이 조사는 영국에 있는 기술 시장 조사 기업인 밴슨본이 클라우드 보안 업체인 블루코트시스템즈의 후원을 받아 전세계 1,580명을 대상으로 실시한 것으로, 앞서 나열한 위험한 행동을 전혀 하지 않는다는 응답자는 20%에 불과한 것으로 나타났다. "일반 사람이 위험을 선택하는 방법에서 다름 점을 발견하지 못했다"라고 블루코트시스템즈 CTO 휴 톰슨 말했다. "이 문제 이외에 우리가 방법을 교육 할 수 있을 것이라고는 생각하지 않는다"라고 그는 밝혔다. 아이러니하게도 최악의 행동을 저지르는 응답자들 중에는 IT업계 종사자들도 있었다. 이러한 위험한 행동의 관여하지 않는다고 답한 IT종사자 12%에 불과했다. 두번째로 이러한 위험한 행동을 많이 하는 업계는 자선단체나 비영리단체로, 이 분야 종사자 가운데 5%만이 위험한 행동을 하지 않는다고 답했다. 하지만, IT종자사들은 이러한 행동의 위험을 인식하는 수준에서는 평균 이상의 점수를 나타났다. 전반적으로 보안 인식의 가장 높은 수준은 알 수 없는 소스의 첨부 파일을 여는 것과 업무용 기기에서 성인 콘텐츠를 보는 것이 위험하다고 여기는 것이었다. 응답자의 73%는 이렇나 행동 각각에 대해 위험하거나 매우 위험하다고 평가했다. 알 수 없는 소스의 첨부 파일을 여는 게 전혀 위험하지 않다고 말한 응답자는 2%였으며 성인 콘텐츠에 대해 이같이 답한 사람은 3%였다. 하지만 20%는 이러한 첨부 파일을 열어보고 6%는 업무용 기기에서 성인 콘텐츠를 본다고 인정했다....

2015.05.29

리스크 함수로 풀어본 '보안 투자를 늘려야 하는 이유'

보안 유출 사고와 피해 금액이 증가함에 따라 CIO는 위험을 완화시키기 위해 보안 측정을 강화하고 보안 투자도 늘려야 한다. 이미지 출처 : Thinkstock 많은 CIO들이 보안에 들어가는 돈을 아끼다 회사를 위험에 빠뜨리는 일이 발생하기도 한다. 최근 프라이스워터하우스쿠퍼스(PwC)의 설문조사에 따르면 기업들은 현재 그 어느 때보다 더 많은 IT예산을 보안에 투자하고 있다는 점을 감안한다면, 이는 앞뒤가 맞지 않는다. PwC 보고서는 대기업들은 IT예산의 11%를, 중소기업들은 15%를 보안에 투자했다고 밝혔다. 그렇지만 기업이 보안에 책정하는 전체 IT예산의 비율을 따져보면 이러한 설문 결과가 현실과 조금 다르다는 것을 알 수 있다. 왜냐하면 대부분 기업들이 IT보안에 예산을 쓰는 이유는 (규제를 따라야 하기 때문이기도 하지만) 보안 위협 리스크를 적당한 수준으로 낮추기 위해서다. 그리고 이러한 목적을 위한 투자의 액수는 전체 IT투자와는 전혀 관계가 없다. 리스크, 어떻게 진단할까 간단하게 말해, 보안 리스크란 보안 위협이 초래할 비용이나 재정적 영향, 그리고 그러한 보안 위협이 일어날 확률의 산물이라 할 수 있다. 간단한 공식으로 써 보자면, ‘리스크=비용 x 확률’이라고 할 수도 있겠다. 소니의 정보 보안 이사 제이슨 스팔트로 역시 이러한 공식을 통해 지난 2007년 “리스크를 수용하겠다는 결정은 비즈니스 관점에서 볼 때 합리적인 것이다. 하지만 100만 달러의 손실을 막기 위해 1,000만 달러의 비용을 지출할 수는 없다”라고 밝힌 바 있다. 비용이나 확률이라는 변수에서 잘못 계산했을지 모르지만, 보안을 비롯해 그 어느 분야에서도 수익이 투자 금액보다도 적을 경우 그 투자는 하지 않겠다는 스팔트로의 주장은 일견 타당해 보인다. 다시 기업들이 보안에 충분한 예산을 투자하지 않고 있다는 이야기로 돌아가 보자. 소니 해킹 사건을 통해 우리가 얻은 교훈은 대부분...

CIO 보안투자 피해 위험 정치 프라이스워터하우스쿠퍼스 완화 위협 PwC 예산 공격 소니 해커 IT투자 해킹 금전적인 손실

2015.04.03

보안 유출 사고와 피해 금액이 증가함에 따라 CIO는 위험을 완화시키기 위해 보안 측정을 강화하고 보안 투자도 늘려야 한다. 이미지 출처 : Thinkstock 많은 CIO들이 보안에 들어가는 돈을 아끼다 회사를 위험에 빠뜨리는 일이 발생하기도 한다. 최근 프라이스워터하우스쿠퍼스(PwC)의 설문조사에 따르면 기업들은 현재 그 어느 때보다 더 많은 IT예산을 보안에 투자하고 있다는 점을 감안한다면, 이는 앞뒤가 맞지 않는다. PwC 보고서는 대기업들은 IT예산의 11%를, 중소기업들은 15%를 보안에 투자했다고 밝혔다. 그렇지만 기업이 보안에 책정하는 전체 IT예산의 비율을 따져보면 이러한 설문 결과가 현실과 조금 다르다는 것을 알 수 있다. 왜냐하면 대부분 기업들이 IT보안에 예산을 쓰는 이유는 (규제를 따라야 하기 때문이기도 하지만) 보안 위협 리스크를 적당한 수준으로 낮추기 위해서다. 그리고 이러한 목적을 위한 투자의 액수는 전체 IT투자와는 전혀 관계가 없다. 리스크, 어떻게 진단할까 간단하게 말해, 보안 리스크란 보안 위협이 초래할 비용이나 재정적 영향, 그리고 그러한 보안 위협이 일어날 확률의 산물이라 할 수 있다. 간단한 공식으로 써 보자면, ‘리스크=비용 x 확률’이라고 할 수도 있겠다. 소니의 정보 보안 이사 제이슨 스팔트로 역시 이러한 공식을 통해 지난 2007년 “리스크를 수용하겠다는 결정은 비즈니스 관점에서 볼 때 합리적인 것이다. 하지만 100만 달러의 손실을 막기 위해 1,000만 달러의 비용을 지출할 수는 없다”라고 밝힌 바 있다. 비용이나 확률이라는 변수에서 잘못 계산했을지 모르지만, 보안을 비롯해 그 어느 분야에서도 수익이 투자 금액보다도 적을 경우 그 투자는 하지 않겠다는 스팔트로의 주장은 일견 타당해 보인다. 다시 기업들이 보안에 충분한 예산을 투자하지 않고 있다는 이야기로 돌아가 보자. 소니 해킹 사건을 통해 우리가 얻은 교훈은 대부분...

2015.04.03

기업에 닥친 보안 위험 6가지와 이를 극복하는 방법

IT전문가와 보안 전문가들이 보안 유출의 주요 요인과 이를 줄이기 위한 방안에 대해 논의했다. 이미지 출처 : Thinkstock 2014년에도 보안 침해 사고가 뉴스의 헤드라인을 장식했다. 보안 유출 사고와 디도스 공격이 몇 년째 뉴스 헤드라인을 장식하고 보안 전문가들이 "기업과 개인은 중요한 비밀 데이터를 보호하기 위해 더 노력을 기울여야 한다"고 경고했는데도, 다양한 보안 위협을 적절히 방어하지 못하거나 이를 위한 준비가 돼 있지 않은 기업들이 많다. 트러스트웨이브(Trustwave)가 476명의 IT종사자를 대상으로 보안 취약점을 조사한 후, 최근 발표한 '2014년 보안 현황 보고서(2014 State of Risk Report)'에 따르면, 요주의의 데이터를 통제하고 추적하는 시스템을 전혀 갖추고 있지 않거나, 부분적으로만 갖추고 있는 기업이 절반 이상을 차지했다. 기업이 각자와 고객의 중요한 비밀 데이터를 보안 위협으로부터 더 잘 보호하려면 어떻게 해야 할까? CIO닷컴은 수십 명의 보안전문가와 IT전문가들에게 그 방법을 물어봤다. 다음은 전문가들이 말한 보안 침해 사고의 주요 원인이 되거나 정보 유출처가 될 수 있는 6가지와 이런 사고를 방지하거나 극복할 수 있는 방법들이다. 위험 1: 불만을 가진 직원 그린 하우스 데이터(Green House Data)의 코트니 톰슨은 "데이터와 시스템이 직면하는 가장 큰 위협 중 하나는 내부 공격이다. 네트워크와 데이터센터, 관리자 계정에 정통하며, 여기에 접근할 수 있는 IT부서 직원을 중심으로 악의를 가진 직원은 아주 중대한 위험을 초래할 수 있다"고 말했다. 이와 관련, 최근 소니에서 발생한 보안 침해 사고의 범인이 알려진 것과는 달리 북한이 아니라 내부 소행이라는 소문도 있다. 해결책: 사이버아크(CyberArk)의 애덤 보스니안 부사장은 "관리자 계정 등 특별한 권한이 주어진 계정이 악용당하는 위험을 경감...

CSO 종료 계정 관리 써드파티 위험 BYOD CISO IT관리자 계약 극복 방안

2015.02.02

IT전문가와 보안 전문가들이 보안 유출의 주요 요인과 이를 줄이기 위한 방안에 대해 논의했다. 이미지 출처 : Thinkstock 2014년에도 보안 침해 사고가 뉴스의 헤드라인을 장식했다. 보안 유출 사고와 디도스 공격이 몇 년째 뉴스 헤드라인을 장식하고 보안 전문가들이 "기업과 개인은 중요한 비밀 데이터를 보호하기 위해 더 노력을 기울여야 한다"고 경고했는데도, 다양한 보안 위협을 적절히 방어하지 못하거나 이를 위한 준비가 돼 있지 않은 기업들이 많다. 트러스트웨이브(Trustwave)가 476명의 IT종사자를 대상으로 보안 취약점을 조사한 후, 최근 발표한 '2014년 보안 현황 보고서(2014 State of Risk Report)'에 따르면, 요주의의 데이터를 통제하고 추적하는 시스템을 전혀 갖추고 있지 않거나, 부분적으로만 갖추고 있는 기업이 절반 이상을 차지했다. 기업이 각자와 고객의 중요한 비밀 데이터를 보안 위협으로부터 더 잘 보호하려면 어떻게 해야 할까? CIO닷컴은 수십 명의 보안전문가와 IT전문가들에게 그 방법을 물어봤다. 다음은 전문가들이 말한 보안 침해 사고의 주요 원인이 되거나 정보 유출처가 될 수 있는 6가지와 이런 사고를 방지하거나 극복할 수 있는 방법들이다. 위험 1: 불만을 가진 직원 그린 하우스 데이터(Green House Data)의 코트니 톰슨은 "데이터와 시스템이 직면하는 가장 큰 위협 중 하나는 내부 공격이다. 네트워크와 데이터센터, 관리자 계정에 정통하며, 여기에 접근할 수 있는 IT부서 직원을 중심으로 악의를 가진 직원은 아주 중대한 위험을 초래할 수 있다"고 말했다. 이와 관련, 최근 소니에서 발생한 보안 침해 사고의 범인이 알려진 것과는 달리 북한이 아니라 내부 소행이라는 소문도 있다. 해결책: 사이버아크(CyberArk)의 애덤 보스니안 부사장은 "관리자 계정 등 특별한 권한이 주어진 계정이 악용당하는 위험을 경감...

2015.02.02

'현업-IT 상생'을 위한 기술 위험 접근법

흔한 불평 상황이 있다. 현업 부문의 관리자가 어떤 클라우드 기반 제품이나 서비스에 대해 알게 됐다. 그리고 이를 써보고자 한다. 그러나 IT 부문이 이 ‘멋진 제품/서비스’에 대해 위험을 초래한다고 판결해버렸다. 좌절한 현업 관리자는 기업의 발전을 IT 부문이 가로막고 있다고 여기저기 불평한다. IT에 대해 ‘꿈이 사망하는 곳’이라고 평하기도 한다. 그러나 CIO나 IT의 완고한 태도만 문제 원인인 경우는 그리 많지 않다. 진짜 원인은 현실적이고 균형 잡힌 위험 평가 및 의사 결정 시스템이 없기 때문인 경우가 대부분이다. 가트너 애널리스트 제이 하이저는 현업에서 새로운 SaaS 제품을 쓰고 하는 경우 IT는 이 제품이 안전하게 사용할 수 있는 것인지를 판단해달라는 요청을 받는 경우 벌어지는 우스꽝스러운 상황에 대해 설명했다. 그는 “IT는 만일의 사고 상황에 대비하기 위해 계약 조항을 변경하려 든다. 그러나 이러한 제품은 수만 명의 고객사를 거느린 기업이 일괄적으로 공급하는 제품이다. 협상의 여지가 거의 없다”라고 말했다. 즉 보안을 보장할 수 있는 방법이 없어진다. 이에 따라 IT 부문은 승인을 거부하는 행동을 취하게 된다. 그리고 IT 부문은 다시 ‘꿈을 죽이는 곳’으로 인식된다. 이러한 상황을 바꾸기 위해서는 현업이 IT와 공조하는 방안에 대해 진지하게 재고할 필요가 있다. 쉽지 않은 일이다. 그러나 다음과 같은 가이드라인들이 있다. 1. CIO 홀로 곤경에 빠지지 않도록 하라 CIO들과 기술 위험을 주제로 이야기를 나누다 보면 한 회사의 이름이 튀어나오기 십상이다. 바로 타깃(Target)이다. 타깃은 12월과 1월에 1억 1,000만 개의 신용카드와 관련된 데이터 침해 사고가 알려지면서 큰 곤경에 빠졌던 소매업체다. 사태가 진정되고, 소송이 제기되면서 누구나 예상을 할 수 있는 상황이 발생했다. 베스 제이콥스...

클라우드 보안 리스크 정책 셰도우 IT 위험

2014.05.21

흔한 불평 상황이 있다. 현업 부문의 관리자가 어떤 클라우드 기반 제품이나 서비스에 대해 알게 됐다. 그리고 이를 써보고자 한다. 그러나 IT 부문이 이 ‘멋진 제품/서비스’에 대해 위험을 초래한다고 판결해버렸다. 좌절한 현업 관리자는 기업의 발전을 IT 부문이 가로막고 있다고 여기저기 불평한다. IT에 대해 ‘꿈이 사망하는 곳’이라고 평하기도 한다. 그러나 CIO나 IT의 완고한 태도만 문제 원인인 경우는 그리 많지 않다. 진짜 원인은 현실적이고 균형 잡힌 위험 평가 및 의사 결정 시스템이 없기 때문인 경우가 대부분이다. 가트너 애널리스트 제이 하이저는 현업에서 새로운 SaaS 제품을 쓰고 하는 경우 IT는 이 제품이 안전하게 사용할 수 있는 것인지를 판단해달라는 요청을 받는 경우 벌어지는 우스꽝스러운 상황에 대해 설명했다. 그는 “IT는 만일의 사고 상황에 대비하기 위해 계약 조항을 변경하려 든다. 그러나 이러한 제품은 수만 명의 고객사를 거느린 기업이 일괄적으로 공급하는 제품이다. 협상의 여지가 거의 없다”라고 말했다. 즉 보안을 보장할 수 있는 방법이 없어진다. 이에 따라 IT 부문은 승인을 거부하는 행동을 취하게 된다. 그리고 IT 부문은 다시 ‘꿈을 죽이는 곳’으로 인식된다. 이러한 상황을 바꾸기 위해서는 현업이 IT와 공조하는 방안에 대해 진지하게 재고할 필요가 있다. 쉽지 않은 일이다. 그러나 다음과 같은 가이드라인들이 있다. 1. CIO 홀로 곤경에 빠지지 않도록 하라 CIO들과 기술 위험을 주제로 이야기를 나누다 보면 한 회사의 이름이 튀어나오기 십상이다. 바로 타깃(Target)이다. 타깃은 12월과 1월에 1억 1,000만 개의 신용카드와 관련된 데이터 침해 사고가 알려지면서 큰 곤경에 빠졌던 소매업체다. 사태가 진정되고, 소송이 제기되면서 누구나 예상을 할 수 있는 상황이 발생했다. 베스 제이콥스...

2014.05.21

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.13