2015.04.22

정보 유출, 크게 보고 결정 내려야… 현업 임원 역할 중요 <부즈앨런>

Maria Korolov | CSO
부즈앨런 해밀턴의 최근 보고서에 따르면, 일반적으로 회사가 사이버보안 위기에 처했을 때 IT관리자들이 점수를 딸 것으로 예상하지만, 현업 지향적인 리더일수록 더 효과적일 수 있는 것으로 나타났다.


이미지 출처 : Thinkstock

이는 일반적으로 기업 전체에 영향을 끼치는 모든 큰 결정을 내리는 사람이 바로 현업 임원들이기 때문이라고 부즈앨런 해밀턴의 부사장 빌 스튜어트는 전했다.

"위기 상황 시 큰 의사결정은 그런 식으로 이뤄지지 않는다. 역할이 바뀐다"고 스튜어트는 말했다.

기술관리자들은 망가진 시스템을 고치고 시스템 외부의 적을 찾는 등 기술에 대해서만 생각할 것이다.

하지만 위기 관리는 법적 문제, 위기 커뮤니케이션, 다른 전략 결정을 수반하며 IT관리자는 이에 대해 준비돼 있지 않거나 처리할 시간이 없을 지도 모른다.

또 기술 솔루션들이 종종 회사 전체를 위한 최선책과 충돌하는 경우가 있다.

"그들은 시스템을 종료하고 무언가를 재구성하며 비즈니스에 영향을 미치는 다른 것을 해야 한다"라고 스튜어트는 말했다. "그리고 그들은 비즈니스 목표를 폭넓게 이해하는 상황에 있지 않을 수 있다. 비즈니스를 폭넓게 이해하는 사람이 있으면 더 나은 의사결정을 내릴 수 있다"라고 그는 덧붙였다.

사고가 발생하면 언제라도 바로 행동에 들어갈 수 있도록 회사에 위기관리 전문가로 구성된 전담 부서를 둔다는 것은 비용 면에서 볼 때 부담이 될 수 있다.

"위기의 유형과 당신이 다루는 시나리오에 따라 당신에게 필요할 수도 있는 솔루션 전체 스위트가 나뉜다”라고 그는 말했다.

이 업무의 대부분을 아웃소싱하는 게 맞지만 기업들이 계획을 수립하며 적절한 협력사를 찾아야 한다고 스튜어트는 조언했다.

"위기가 발생할 때까지 기다리면 너무 늦다. 그 전에 많이 조사해야 하고 거기에 많은 시간을 할애해야 한다. 그 다음 사람을 뽑을 때 적임자들을 확보해야 하며 이들은 회사에 대해 배워야 하고 그것은 많은 시간을 절감해 준다"라고 그는 덧붙였다.


떠오르는 사물인터넷
부즈앨런이 보고서에서 주목한 또다른 큰 변화는 사물인터넷의 부상이다.

IP 주소가 늘어나고 기술 가격이 하락하는 가운데 네트워크 기기가 언제 어디서나 즉시 연결될 것이다. 그에 비해 현재 발생하는 사이버 보안 침해 사고 건수는 적다고 볼 수 있다.

"사물인터넷은 사물의 규모를 크게 변경하려고 하고 있다. 정보 유출은 훨씬 더 클 것이다"라고 스튜어트는 말했다.

문제는 이를 대하는 일반적인 방안이 보안을 마지막에 고려하는 것이라고 그는 밝혔다.

"IT인프라 개발의 추세는 가능한 저렴하고 효율적으로 보안을 구축하는 것"이라고 그는 말했다. 이어서 그는 "그 결과 IT인프라 개발에 보안이 포함되지 않는 경우가 대부분이며 보안에는 운영 비용이 할당될 뿐이다"라고 덧붙였다.

그러나 보안 사고와 그에 따른 비용이 늘어나면서 기업 보안의 중요성이 높아졌으며 기업들이 처음부터 보안을 함께 구축해야 하는 가치를 인식하기 시작했다고 그는 언급했다.

"만약 IT인프라에 보안 기능을 처음부터 집어 넣으면 마지막 단계에 추가하는 것보다 훨씬 더 저렴하고 안전하게 개발할 수 있다"라고 그는 강조했다. ciokr@idg.co.kr



2015.04.22

정보 유출, 크게 보고 결정 내려야… 현업 임원 역할 중요 <부즈앨런>

Maria Korolov | CSO
부즈앨런 해밀턴의 최근 보고서에 따르면, 일반적으로 회사가 사이버보안 위기에 처했을 때 IT관리자들이 점수를 딸 것으로 예상하지만, 현업 지향적인 리더일수록 더 효과적일 수 있는 것으로 나타났다.


이미지 출처 : Thinkstock

이는 일반적으로 기업 전체에 영향을 끼치는 모든 큰 결정을 내리는 사람이 바로 현업 임원들이기 때문이라고 부즈앨런 해밀턴의 부사장 빌 스튜어트는 전했다.

"위기 상황 시 큰 의사결정은 그런 식으로 이뤄지지 않는다. 역할이 바뀐다"고 스튜어트는 말했다.

기술관리자들은 망가진 시스템을 고치고 시스템 외부의 적을 찾는 등 기술에 대해서만 생각할 것이다.

하지만 위기 관리는 법적 문제, 위기 커뮤니케이션, 다른 전략 결정을 수반하며 IT관리자는 이에 대해 준비돼 있지 않거나 처리할 시간이 없을 지도 모른다.

또 기술 솔루션들이 종종 회사 전체를 위한 최선책과 충돌하는 경우가 있다.

"그들은 시스템을 종료하고 무언가를 재구성하며 비즈니스에 영향을 미치는 다른 것을 해야 한다"라고 스튜어트는 말했다. "그리고 그들은 비즈니스 목표를 폭넓게 이해하는 상황에 있지 않을 수 있다. 비즈니스를 폭넓게 이해하는 사람이 있으면 더 나은 의사결정을 내릴 수 있다"라고 그는 덧붙였다.

사고가 발생하면 언제라도 바로 행동에 들어갈 수 있도록 회사에 위기관리 전문가로 구성된 전담 부서를 둔다는 것은 비용 면에서 볼 때 부담이 될 수 있다.

"위기의 유형과 당신이 다루는 시나리오에 따라 당신에게 필요할 수도 있는 솔루션 전체 스위트가 나뉜다”라고 그는 말했다.

이 업무의 대부분을 아웃소싱하는 게 맞지만 기업들이 계획을 수립하며 적절한 협력사를 찾아야 한다고 스튜어트는 조언했다.

"위기가 발생할 때까지 기다리면 너무 늦다. 그 전에 많이 조사해야 하고 거기에 많은 시간을 할애해야 한다. 그 다음 사람을 뽑을 때 적임자들을 확보해야 하며 이들은 회사에 대해 배워야 하고 그것은 많은 시간을 절감해 준다"라고 그는 덧붙였다.


떠오르는 사물인터넷
부즈앨런이 보고서에서 주목한 또다른 큰 변화는 사물인터넷의 부상이다.

IP 주소가 늘어나고 기술 가격이 하락하는 가운데 네트워크 기기가 언제 어디서나 즉시 연결될 것이다. 그에 비해 현재 발생하는 사이버 보안 침해 사고 건수는 적다고 볼 수 있다.

"사물인터넷은 사물의 규모를 크게 변경하려고 하고 있다. 정보 유출은 훨씬 더 클 것이다"라고 스튜어트는 말했다.

문제는 이를 대하는 일반적인 방안이 보안을 마지막에 고려하는 것이라고 그는 밝혔다.

"IT인프라 개발의 추세는 가능한 저렴하고 효율적으로 보안을 구축하는 것"이라고 그는 말했다. 이어서 그는 "그 결과 IT인프라 개발에 보안이 포함되지 않는 경우가 대부분이며 보안에는 운영 비용이 할당될 뿐이다"라고 덧붙였다.

그러나 보안 사고와 그에 따른 비용이 늘어나면서 기업 보안의 중요성이 높아졌으며 기업들이 처음부터 보안을 함께 구축해야 하는 가치를 인식하기 시작했다고 그는 언급했다.

"만약 IT인프라에 보안 기능을 처음부터 집어 넣으면 마지막 단계에 추가하는 것보다 훨씬 더 저렴하고 안전하게 개발할 수 있다"라고 그는 강조했다. ciokr@idg.co.kr

X