Today
2020.05.25
로그인 |  회원가입
| 공지/이벤트 | 전체기사
> 뉴스 > 해외자료 > DRJ
     
많은 기업들, 이런 실수로 위기 맞는다
가장 많이 저지르는 실수와 현명한 위험 관리 계획
2012년 11월 21일 (수) 16:29:17 편집국 marketing@di-focus.com

DRJ 뉴스
경영진은 어떤 위험이 진짜 위험인지, 기업이 위험에 노출됐을 때 기업에 어떤 영향이 미치는지 알지 못하는 경우가 많다. 보안 위험 관리는 이런 추측을 없애고, 기업들이 더 현명한 결정을 하도록 만드는데 목표를 두고 있다. 
<위기관리경영 - 편집부
>

   
 
많은 기업들이 실수를 범하는 분야

많은 기업들이 실수를 범하는 분야

 

많은 기업들이 실수를 범하는 분야많은 기업들이 실수를 범하는 분야를 파악하기 위해 몇몇 전문가에게 보안 위험관리에서 어떤 실수를 저지르는지 자주 질문한다. 보안전문가 제이콥스는 “많은 기업들을 관찰한 바에 따르면, 이들이 보유한 내부 보안 위험 관리 프레임워크에 기대하느니 차라리 동전을 던져 의사결정을 내리는 것이 나을 때가 있다. 동전을 던지면 최소한 50%의 확률은 있기 때문”이라고 말했다. 다음은 보안전문가가 기업에서 가장 많이 저지르는 실수와 현명한 위험 관리 계획이지만 잘못된 생각에 토대를 두고 있는 것들을 소개한 내용이다. 우선 많은 보안 전문가들은 기업의 보안 관리 위험 원칙을 재창조하라 한다.

위험 모델에서의 불확실성 규명 방법 등 위험 분석 작업에 적용할 수 있는 방법들을 기업들은 선택한다. 하지만 대부분의 기업들은 이를 정확히 수행하는 방법을 모른다. 그리고 결과적으로 동일한 모델과 동일한 단점을 재창출하게 된다. 보안전문가는 “가장 많이 쓰는 모델은 중요한 것으로 보이는 위험 요소를 고르고, 여기에 점수를 부여한 후, 기본적인 계산을 하거나 매트릭스에 대입하는 것이다. 그러나 그 결과는 바람직하지 않다”고 설명했다. 아이러니하게도, 경험 많은 경영자들이 이런 기본적인 방법으로 도출한 결과를 신뢰하지 않는 경우가 있는데, 덕분에 이런 독자적인 프레임워크에 의존하는 기업들이 위기에서 벗어나곤 한다.

 

보안 위험 관리 프로그램 구축하지 못하는 경우

   
이와 함께 보안 위험 관리가 감사 부서의 기능을 그대로 복제하는 바람에 제대로 된 보안 위험 관리 프로그램을 구축하지 못하는 경우가 많다고 지적했다. 보안 전문가들은 “두 부서간에 유사성이 있긴 하지만, 역할은 크게 다르다”고 강조한다. 감사 부서는 보안 관리 내역을 분석해 어디가 잘못됐는지 파악하는 활동에 중점을 둔다. 그러나 위험 관리 부서는 IT 위험의 발생 빈도와 영향을 예측하는데 중점을 둔다.

또한 감사 부서는 기업이 관리 방법을 이해하도록 지원하는 기능을 수행한다. 반면 위험 관리 부서는 보안 관리 및 관련 프로세스에 대한 투자에서 최선의 결과를 도출하는 방법을 판단하는 기능을 수행한다. 위험 관리 프로그램이 결국 실패로 끝나는 대부분의 기업들을 관찰하면, 어떤 부분을 관리해야 하는지 어떤 부분이 말이 안 되는지 컨설팅을 제공하기보다는 정책을 집행하는 데만 초점을 맞추는 곳이 많다.
 
보안 전문가 지적 IT 보안 위험과 취약성
감사 부서는 위험 그 자체를 신경 쓰지 않는다. 또 위험과 자산, 관리, 영향의 전체적인 그림을 바탕으로 위험에 대한 포괄적인 개념을 알리는 기능도 중시하지 않는다. 그러나 보안 위험 관리 부서는 이런 기능들을 중시해야만 한다. 이와 함께 많은 보안 전문가는 IT 보안 위험과 취약성을 단순한 숫자로 줄이는데 불안감을 느낀다. 보안전문가는 ‘아마 관련 통계가 없다’, ‘가치를 부여할만한 수치를 계산할 이벤트 관련 데이터가 충분하지 않다’는 말을 자주한다. 보안 전문가들은 “정보를 바탕으로 의사결정을 내릴 수 있도록 정밀한 수치를 제시하기만 하면 된다. 예를 들어 60~90%의 확률이 있음을 보여주는 것만으로도 충분히 자신의 주장을 뒷받침할 수 있다”고 말한다.

또한 보안전문가들은 많은 기업이 자사가 직면한 위험을 평가할 때 리스트와 순위를 중시하고 있다고 지적한다. 다름 아닌 위험 등록부(Risk register) 때문이다. 위험 등록부를 만들면서 수반되는 문제는 사람들이 언제 이를 중단해야 할지 모른다는 것이다. 예를 들어, 계속해서 위험을 등록하기만 한다. 심지어는 정말 발생 확률이 낮은 위험까지 일일이 등록한다. 상상할 수 있는 모든 동기의 사이버 공격, 심한 경우 데이터센터 지붕에 제트 엔진이 추락할 확률까지 기록을 하는 것이다.보안전문가들은 “이들은 위험 등록부를 비법같이 유지를 한다. 그러나 정말 발생 확률이 낮은 사건들이고, 이를 줄이기 위해서는 많은 비용을 투자해야 하는 위험들”이라고 말한다. 또한 “이런 위험 등록부보다는 현실적이 위험을 더 잘 반영하는 위험 노출 등록부를 만들어, 기업이 가장 확률이 높은 위험부터 먼저 경감할 수 있도록 해야 한다”고 강조한다.

글/ George V. Hulme

 


편집국의 다른기사 보기  
ⓒ 위기관리경영(http://www.bcperm.com) 무단전재 및 재배포금지 | 저작권문의   

     
전체기사의견(0)  
      자동등록방지용 코드를 입력하세요!   
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
가장 많이 본 기사
이천 물류창고 화재분석과 대응방안
초미세먼지관리사 교육 실시
코로나19 극복을 위한 긴급재난지...
행안부, 2020년도 재난안전사업...
코로나19 막는 든든한 방패 K-...
새만금개발청, 여름철 풍수해 대비...
5G 이용, 고층 구조물 관리하는...
문화재청, 문화재 현장에‘AI 영...
표준화 추진 - 스마트팜 기자재(...
온라인 세계경제포럼, 한국 상생형...

개인정보취급방침 청소년보호정책 회사소개 정기구독 광고문의 이용약관 이메일무단수집 거부
주소: (우) 07402 서울 영등포구 가마산로46가길 9, 2층 ㆍ TEL) 02-735-0963 ㆍ FAX) 02-722-7073
인터넷신문 등록번호:서울아00353 ㆍ등록연월일:2007년 4월 16일ㆍ 발행인:한채옥ㆍ 편집인:한채옥
청소년보호책임자:여인표
Copyright 2007 Daily 위기관리경영 All Rights Reserved. mail to admin@di-focus.com