IT 조직 이외의 부서들 측면에서의 주요한 보안 기능을 설정하기 위하여 다양한 트렌드들이 출현하고 있는 가운데, 효율적인 보안 거버넌스에 대한 필요성이 날이 갈수록 증가하고 있다.
가트너 그룹에서 발간한 프라이버시, IT 리스크 관리, 정보 보안, 비즈니스 연속성, 규제순응에 대한 연례 최종 사용자 서베이 보고서에 따르면 정보 보안 거버넌스 절차가 날이 갈수록 성숙되는 양상으로 발전하고 있다고 제시한다. 가트너 그룹은 2015년 2월과 4월 사이에 7개 국가의 2014년 회계 연도 기준 전체 연 수익이 5천만 불 이상이고 최소 100명의 근로자들을 근무하는 대기업에 964명의 응답자들을 대상으로 이와 같은 형태의 서베이를 실시하여 다음과 같은 결론을 도출하였다.
디지털 비즈니스 리스크의 영향이 가져다 줄 수 있는 부분들에 대한 우려가 날이 갈수록 증가하고 있으며, 사이버 보안 사고라는 측면에서 고도의 대중성이 증가하고 있는 가운데, IT 리스크가 더욱 광범위한 차원의 문제로 다루어지고 있다고 가트너 그룹의 관계자는 제시한다. 기업 거버넌스의 일환으로 IT 리스크를 다루고자 하는 부분들을 반영하고 있는 것이기도 한데, 정보 보안 팀의 보고 라인이 가지는 속성들은 효율적인 거버넌스라는 부분들을 중심으로 중요한 속성으로 연결되게 된다. 이번 서베이 응답자들 중 38퍼센트가 IT 조직 외부에서 정보 보안 리포트에 대한 책임을 시니어 중역들이 담당하고 있음을 공개적으로 천명한다.
IT 조직 외부에서 이와 같은 보고라인을 설정하 는 가장 주된 이유는 실행과 관찰일하는 업무 간의 분리된 양상들을 개선시키고 정보 보안 기능에 대한 기업 프로파일을 증가시키고 보안은 IT 영역에서의 문제라는 기업 구성원과 이해 관계자들의 고정된 생각들을 변모시키는 것이라고 가트너 관계자는 말한다. 기업조직들은 점차적으로 보안이 운영적 차원의 IT 이슈로만 간주되어서는 안 되고 비즈니스 리스크 문제로 간주되어야 함을 인식하고 있는 것으로 말하고 있는 것이기도 하다. 운영기술 보안이나 사물 인터넷 보안과 같은 영역에 있어서의 전통적인 IT의 영역 너머에서 발생할 수 있는 사이버 보안 차원의 이슈들에 대한 이해를 더욱 꾀할 필요가 있음을 제시하는 것이기도 하다.
보안 프로그램을 지원하는 시니어들의 수준이 이전과는 다르게 고위급으로 이동하고 있는 것으로 전해지고 있는데, 이번 서베이 조사의 응답자들 중 63퍼센트가 IT 조직 외부에 속한 리더십을 통하여 자신들의 정보 보안 프로그램에 대한 스폰서십과 지원을 획득하고 있다고 천명한다. 지난 2014년 조사 자료의 비율 54퍼센트보다 크게 증가하고 있는 것으로, CEO와 중역 수준에서의 스폰서십의 지원 비율은 2014년의 29퍼센트에서 증가한 30퍼센트에서 꾸준히 이루어지고 있는 것으로 조사되었고, 운영 위원회로부터의 스폰서십은 기존의 7퍼센트에서 12퍼센트로 증가한 것으로 나타나고 있다. 북미 지역의 응답자들 중 57퍼센트가 IT 조직 외부에서 스폰서십을 얻고 있다고 말하고 있는데, 서유럽의 63퍼센트 비율이나 아시아/태평양 지역의 67퍼센트 비율보다는 낮은 것으로 또한 나타나고 있다.
보안 프로그램에 대한 시니어 차원의 중역들의 지원방향은 근본적인 부분이라고 가트너 관계자는 말한다. 이와 같은 지원이 없다면, 보안 프로그램은 기업의 나머지 부서로부터 필수적인 지원을 얻을 기회를 가지지 못할 수가 있음을 추가적으로 제시한다. CISSC(기업 정보 보안 운영 위원회;corporate information security steering committee)의 비즈니스적 측면의 대표성을 지속적으로 고려하여야 하며, 이와 같은 기구로부터 획득할 수 있는 스폰서십의 수준들은 거버넌스 기능들이 성숙되어감에 따라서 더욱 다양한 양상으로 증가될 수 있다고 관계자들은 말한다. CISSC와 같은 효율적인 거버넌스 포럼은 CEO, 위원회, 시니어 비즈니스 유닛 관리자로부터 대표성을 가지는 권한을 부여 받아야 된다고 관계자들은 언급한다.
보안 정책에 관한 효율성이라는 부분에 있어서, 이번 조사 대상자들 중 절반 이상이 거버넌스 부서에 정책에 대한 평가와 승인 기능이 포함되어 있다고 말하고, 응답자들 중 30퍼센트 정도만이 자신들의 비즈니스에 영향을 미칠 수 있는 정책을 개발하는데 있어서 비즈니스 유닛이 포함되어야 함을 포괄적으로 제시하고 있다. 이와 같은 비율은 2014년의 16퍼센트 보다 상당 수준 개선된 것으로 여겨지지만, 비즈니스에 대한 보다 적극적인 개입이 아직까지는 여전히 부족함을 나타내고 있는 부분이기도 하다. 참여부족은 보안 팀과 업무 팀 간의 리스크에 대한 서로 다른 견해로 인하여 발생하는 경우가 대부분이고, 중복되고 관리되지 않은 통제기능과 더불어, 결과적으로 불필요한 감사절차를 가져오게 만들고, 생산성을 감소를 궁극적으로 초래하게 된다고 전문가들은 말한다.
출처 KISTI 미리안 『글로벌동향브리핑』
