위험은 피할 수 없다. 주변을 둘러보면 CIO가 단순히 처리해야 할 뿐만 아니라 극복해야 하는 기술적, 경제적, 경쟁적 걸림돌이 있음을 알 수 있다.
PwC의 글로벌 리스크 설문조사에 따르면, 리스크 관리자의 75%가 재정적 압박으로 인해 리스크를 평가하고 모니터링하는 데 필요한 첨단 기술에 투자가 제한되고 있다고 밝혔다. 그러나 효과적인 리스크 관리 프로그램으로 이를 해결하지 못하면 심각한 문제를 초래할 수 있다.
내외부 위협으로부터 회사를 보호하기 위해 할 수 있는 모든 일을 하고 있는가? 다음 7가지 기본 원칙은 조직이 올바른 방향으로 나아가고 있는지 파악하는 데 도움이 될 수 있다.
원칙 1. 수용 가능한 리스크 범위 파악에서 시작
기업 자문 회사 리절턴트(Resultant)의 수석 컨설턴트인 파올라 사이베네는 “CIO가 조직의 리스크 수용 범위를 이해해야 전략, 혁신, 기술 선택 등 모든 것이 원활하게 조율될 수 있다”라고 설명했다.
그러나 특정 상황에서는 수용 가능한 리스크 범위를 설정하기 어려울 수 있다. 사이베네는 많은 조직이 리스크를 직관적으로 이해하고 있지만 구조화된 방식으로 명시적으로 정의하거나 전달하지 않는다고 지적했다.
그는 “실제로 CIO는 종종 리스크 관리를 규제 준수나 사이버 보안과 혼동하지만, 리스크는 훨씬 더 광범위하다”라며, 좋은 동맹 관계가 될 수 있는 기업 리스크 책임자를 지정하라고 조언했다. 책임자는 리스크를 탐색하고, 전략적 이니셔티브를 가속화하며, 주의가 필요한 부분과 속도를 낼 부분에 대한 지침을 제공하는 데 도움을 줄 수 있다.
사이베네는 리스크 관리가 리더십에서 자주 오해되지만 가치가 높은 영역이라고 언급했다. CIO가 리스크 프레임워크를 수용하면 IT 관련 위험을 사전에 식별하고, 완화 전략을 제안하며, 책임자와 효과적으로 협력할 수 있다. 그는 “경영진의 지지를 확보할 뿐만 아니라 진행 속도를 가속화할 수 있다”라고 설명했다.
원칙 2. 애플리케이션 목록 관리
사이버보안 제조 혁신 연구소(Cybersecurity Manufacturing Innovation Institute)의 CEO 하워드 그라임스는 CIO에게 가장 중요한 리스크 관리 규칙이 조직의 전체 애플리케이션 포트폴리오에 포괄적이고 지속적인 업데이트를 제공하는 인벤토리를 유지하고, 보안 리스크가 현실화하기 전에 사전에 식별 및 완화하는 것이라고 조언했다. 이 연구소는 공공-민간 파트너십을 통해 제조 기술 개발에 중점을 둔 미국 연구 기관 네트워크다.
그라임스는 이런 기본적인 규칙이 간단해 보일 수 있지만 많은 CIO가 충족하지 못한다고 지적했다. 그는 “리스크는 종종 조직이 애플리케이션 포트폴리오 관리를 소홀히 할 때 발생하며, 특히 새로운 AI 기반 도구를 빠르게 도입할 경우 의도치 않게 기업의 지적 재산을 노출시킬 수 있다”라고 말했다.
또한 그라임스는 구조화된 애플리케이션 검토 및 합리화가 부족하면 조직이 운영 비효율성, 규제 준수 실패 및 기하급수적으로 증가하는 사이버 리스크에 노출될 수 있다고 경고했다. 그는 “CIO는 사전 예방적 접근 방식을 채택해 보안 격차가 발생하기 전에 기업 애플리케이션을 전체적으로 관리해야 한다”라고 조언했다.
그라임스는 현재 효율성을 높이는 동시에 기업 IP에 리스크를 초래하는 AI 기반 도구가 빠르게 채택되고 있다는 점이 주요 우려 사항이라고 언급했다. 그는 “조직은 IP를 보호하고 민감한 데이터가 공개 AI 엔진에 입력되는 것을 방지하는 메커니즘을 구축해야 한다. 많은 경우 기업은 인터넷에 연결되지 않은 폐쇄형 AI 모델을 선택해야 하며, 이를 통해 중요 데이터가 기업 내에서 안전하게 유지되도록 해야 한다”라고 조언했다.
이어 그는 “CIO는 기업 내 모든 애플리케이션, 리소스 및 자산을 합리화해 중복되거나 불필요한 도구를 제거하고, 보안 격차를 사전에 해결하며, 직원이 IT 생태계에 무단으로 애플리케이션을 도입하지 않도록 해야 한다”라고 덧붙였다.
또한 애플리케이션의 용도를 원래 목적 이상으로 확장하는 것도 신중하게 평가해야 한다고 그는 조언했다. 예상치 못한 보안 위험을 초래할 수 있기 때문이다. 그라임스는 “애플리케이션을 자주 그리고 적극적으로 합리화하지 않으면 ‘앱의 팽창’이 비효율성, 사이버 위험을 증가시키고 IT 지원 팀에 불필요한 부담을 초래할 수 있다”라고 말했다.
원칙 3. 사전 예방적 접근
위험 관리 컨설팅 회사 파운더 쉴드(Founder Shield)의 기술 실무 책임자인 조나단 셀비는 CIO가 사이버 보안에 사전 예방적 접근 방식을 취해야 한다고 권장했다. 그는 직원 교육, 시스템 업데이트, 사고 대응 계획을 포함한 포괄적인 보안 조치를 구현해 보안 우선 문화를 조성할 것을 제안했다.
셀비는 사이버 보안이 이제 복합적인 전쟁이 됐다면서, “더 이상 정면으로 오는 공격만 예상할 여유가 없다”라고 말했다. 계획의 각 계층이 중요한 역할을 하기 때문에 리더가 강력한 리스크 관리의 다양한 측면을 이해해야 한다는 것이다. 그는 “단순히 무거운 짐을 지는 사이버 책임 정책이나 방어막을 구성하는 최고 수준의 직원 교육만이 아니라 모든 영역이 중요하다”라고 조언했다.
셀비는 위험을 최소화하는 가장 좋은 방법이 상향식으로 위에서부터 시작하는 것이라고 말했다. 그러면서 “사이버 책임 보험 범위를 줄이거나 대응 계획에 소홀해질 필요가 없다. 사이버 보안은 전 직원이 참여해야 하는 노력이어야 한다. 전 팀원이 회사의 디지털 자산을 보호하는 데 중요한 역할을 한다”라고 설명했다.
원칙 4. 전사적으로 리스크 관리 공식화
사이버 보안 서비스 회사인 가이드포인트 시큐리티(GuidePoint Security)의 선임 리스크 보안 컨설턴트인 윌 클로츠는 “CIO와 IT 팀이 이미 매일 리스크 관리를 수행하고 있는 만큼 이 프로세스를 공식화하고 비즈니스의 나머지 부분과 통합하지 않을 이유가 없다. 리스크 관리를 일상적인 관리, 결정 및 운영의 일부로 만드는 것이 가장 좋다”라고 제안했다.
클로츠는 전체 직원이 이해할 수 있는 용어로 리스크를 표현함으로써 적절한 프로젝트 우선순위 지정과 기술적으로 덜 숙련된 이해관계자와의 논의를 더 의미 있게 할 수 있으며, 조직 전체에 신뢰를 구축하는 데도 유용하다고 언급했다.
원칙 5. 현실을 직시
SaaS 보안 서비스 제공업체 앱옴니(AppOmni)의 CTO이자 공동 설립자인 브라이언 소비는 많은 조직이 실제 리스크나 리스크가 실현되는 방식을 다루지 않는 비현실적인 관리 전략을 가지고 있다고 지적했다.
소비는 기업의 현재 리스크 관리 프로그램을 실제 사고로 테스트할 것을 권장했다. 그는 “뉴스에서는 매월, 심지어 매주 보안 침해 사건이 보도된다”라며, 각 사건에서 침해나 공격 상황을 가져와 회사에 적용해 볼 필요가 있다고 설명했다.
소비는 기업이 완화해야 한다고 생각하는 리스크 및 위협 유형과 실제 상황이 심각하게 불일치한다고 봤다. 그는 “현실에 맞춰 리스크 관리 프로그램을 평가해야 하며, 가장 쉬운 방법은 단순히 조직의 프로그램을 실제 사고와 비교해 결과를 확인하는 것”이라고 말했다.
그는 보안 교육과 통제 기술을 통해 리스크를 완화하고 있는 다른 기업의 접근 방식을 살펴보고 실제 침해 사례와 비교해 봐야 한다고 덧붙였다.
원칙 6. 회복 탄력성에 집중
사이버 보안 및 위험 관리 회사인 CIOSO 글로벌(CIOSO Global)의 설립 파트너이자 카니발(Carnival)의 전 CIO인 그렉 설리번은 기업의 초점이 회복 탄력성과 어떤 중단 상황에서도 빠르게 복구할 수 있는 시스템을 구축하는 데 있어야 한다고 설명했다. 그는 “회복력 있는 시스템은 비즈니스 우선순위와 일치하면서 여러 위협 벡터를 동시에 해결한다. 또한 이 접근 방식은 RTO(복구 시간 목표)와 RPO(복구 지점 목표) 메트릭으로 측정 가능한 프레임워크를 구축하도록 돕는다”라고 말했다.
설리번은 CIO가 종종 회복력과 복구 역량을 소홀히 하면서 방어 및 예방 조치에 과하게 투자하는 실수를 한다고 지적했다. 그는 “그러면 불균형과 잘못된 보안 감각을 형성할 수 있다. 모든 이해관계자가 복구 과정에 참여하고, 충분히 숙지하고 반복 훈련된 복구 절차를 따르는 것이 무엇보다 중요하다”라고 조언했다.
그는 모든 기업에 업데이트된 재해 복구 및 비즈니스 연속성 계획이 필요하다고 설명했다. 그는 “이런 계획은 시스템 복원과 미션 크리티컬한 비즈니스 기능을 유지하기 위한 운영 전략에 초점을 맞추면서 회복력을 구축하는 데 도움이 된다. 중요한 것은 이 계획을 정기적으로 테스트하고 개선해야 한다는 점”이라고 말했다.
원칙 7. IT 리스크 관리를 비즈니스 목표에 맞추기
글로벌 사이버 보안 회사인 쿼럼 사이버(Quorum Cyber)의 CISO인 존 브루스는 IT가 결코 고립되어서는 안 되며, 관련 기술 위협으로부터 기업을 보호하면서 비즈니스 목표를 직접적으로 지원해야 한다고 말했다.
브루스는 IT와 비즈니스의 강력한 연계가 단순한 기술 역량을 넘어 비즈니스 가치를 제공할 수 있다고 설명했다. 그는 “IT와 비즈니스 목표가 일치되면 조직은 더 현명한 리스크 관리 결정을 내리고, 자원을 더 효과적으로 할당하며, 경영진의 지지를 얻을 수 있다. 이 접근 방식은 기술을 비용 발생 부서에서 비즈니스 조력자로 변화시킨다”라고 말했다.
브루스는 경영진의 후원을 받는 공식적인 리스크 거버넌스 구조를 수립할 필요가 있다고 언급했다. 그는 “기술 리스크를 비즈니스 영향과 연결 짓는 리스크 관리 목록을 개발하고, 경영진이 이해할 수 있는 비즈니스 중심 지표를 사용해야 한다. 그래야 CIO는 비즈니스 이해관계자와 함께 정기적인 리스크 검토를 수행하기 위한 교차 기능 리스크 위원회를 설립할 수 있다”라고 조언했다.
[email protected]
Read More from This Article: ‘기본부터 점검하라’··· 효과적인 리스크 관리를 위한 원칙 7가지
Source: News