.gif)
구체적이지만 전문적이지 않은 용어 사용이 중요
보안 담당자의 정보는 임원진의 행동 지침서가 되어야
[보안뉴스 문가용] 슬슬 기업 임원진들 사이에서 ‘해킹에 당하는 게 보안에 투자하는 것보다 더 비싸다’는 인식이 돌기 시작했다는 조사 결과가 나왔다. 베이 다이내믹스(Bay Dynamics)가 최근 발표한 것으로, 이미 지난해 포네몬이 발표한 내용이 이제야 이해되기 시작하고 있다고 볼 수 있다. 당시 포네몬은 보고서를 통해 데이터 유출 사고로 발생하는 피해 비용이 3백 8십만 달러라고 보도한 것.
.jpg)
베이 다이내믹스에 의하면 임원진들 중 89%가 최근 “사이버 보안 문제에 적극 개입하고 있다”고 답했다. “이번 조사로 찾아낸 사실 중 가장 의미가 깊었던 건 드디어 임원진들이 유출 사고로 발생하는 피해가 매우 심각하다는 걸 이해하기 시작했다는 것입니다.” 베이 다이내믹스의 부회장인 스티븐 그로스맨(Steven Grossman)의 설명이다. “신용카드 모니터링 서비스는 한 달에 12달러지만, 유출 사고의 피해 고객이 소송을 걸면 이것보다 훨씬 더 많은 변호사 비용이 나간다는 걸 깨달은 것이죠.”
그렇다면, 보안담당자로서는 이들과의 대화가 좀 더 원활해질 수 있으리라는 기대감이 들 수밖에 없다. 베이 다이내믹스는 “사이버 보안에 대한 임원진들의 마음이 굉장히 부드러워진 때”라며 효과적인 임원진과의 대화 방법 세 가지를 다음과 같이 제안하기도 했다.
1. 명료한 언어의 사용 - 전문용어는 회피하라
임원진들이 걱정을 한다고 했지 사이버 보안 전문가가 되었다고는 하지 않았다. 보안 전문가들끼리 사용하는 말을 그대로 임원진 책상에 가져오면 안 된다. 보고서에 의하면 보안담당자들 중 81%가 약 30~40개의 데이터 스프레드시트를 사용해 임원진들에게 보고서를 올린다고 한다. 하지만 이는 결국 아무런 보고를 하지 않는 것이나 다름없다. 30~40개의 스프레드시트에 쌓일 동안 이미 맨 앞의 정보는 지나간 정보가 되었을 가능성이 높고, 임원진은 수많은 오와 열, 숫자들 속에 의미를 파악할 수가 없다. 보다 이해하기 쉬운 형태로, 보다 자주 보고서를 올리는 편이 좋다.
2. 정보는 실질적이어야 한다
임원진들은 매우 계산에 밝은 사람들이다. 이들은 숫자로 된 명확한 정보를 좋아하지 ‘조심해야 한다’, ‘피해가 매우 클 수 있다’와 같은 표현은 귀담아 듣지 않는다. 피해가 크다면 얼마나 큰지 숫자로 표현해 주어야 한다. 그렇다고 취약점에 대한 기술적인 정보까지 세밀하게 보도하는 건 금물이다. 임원진들이 뭔가 행동을 취할 수 있게끔 만들어주는 정보여야 한다. 즉 사이버 보안담당자의 보고서에 들은 내용은 임원진들의 행동지침이어야 한다는 것.
3. 사이버 보안 강화를 위한 조치를 정확히 알리라
예를 들어 취약점을 패치해야 한다고 했을 때, 기업 전체로서는 어떤 이득이 있는지, 또한 어떤 일이 발생하는지를 명확히 구분해서 알려주어야 한다. 금융기관이라고 했을 때 어떤 취약점이 있는지, 이 취약점을 방치했을 때 어떤 일이 일어날 수 있는지 알려주면서 동시에 패치에 걸리는 시간이 얼마이며, 이를 줄였을 때 비용이 얼마나 발생하는지를 같이 보고하라는 뜻이다. 임원진은 그 정보를 바탕으로 패치 시간이 너무 길다거나, 비용이 너무 높다거나 하는 걸 결정할 수 있다. 그리고 보안담당자 및 IT 책임자와의 협의를 통해 스케줄을 짤 수 있다. 또 하나 간과하지 말 것은, 실제 작업이 결정되고 진행되는 동안 일이 어떻게 진행되고 있는지 짬짬이 보고하는 것이다. 패치 시간이 갑자기 길어진다거나, 적용시 오류가 난다는 이상 상황이 발생할 수도 있기 때문이다.
글 : 스티브 주리어(Steve Zurier)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
보안 담당자의 정보는 임원진의 행동 지침서가 되어야
[보안뉴스 문가용] 슬슬 기업 임원진들 사이에서 ‘해킹에 당하는 게 보안에 투자하는 것보다 더 비싸다’는 인식이 돌기 시작했다는 조사 결과가 나왔다. 베이 다이내믹스(Bay Dynamics)가 최근 발표한 것으로, 이미 지난해 포네몬이 발표한 내용이 이제야 이해되기 시작하고 있다고 볼 수 있다. 당시 포네몬은 보고서를 통해 데이터 유출 사고로 발생하는 피해 비용이 3백 8십만 달러라고 보도한 것.
베이 다이내믹스에 의하면 임원진들 중 89%가 최근 “사이버 보안 문제에 적극 개입하고 있다”고 답했다. “이번 조사로 찾아낸 사실 중 가장 의미가 깊었던 건 드디어 임원진들이 유출 사고로 발생하는 피해가 매우 심각하다는 걸 이해하기 시작했다는 것입니다.” 베이 다이내믹스의 부회장인 스티븐 그로스맨(Steven Grossman)의 설명이다. “신용카드 모니터링 서비스는 한 달에 12달러지만, 유출 사고의 피해 고객이 소송을 걸면 이것보다 훨씬 더 많은 변호사 비용이 나간다는 걸 깨달은 것이죠.”
그렇다면, 보안담당자로서는 이들과의 대화가 좀 더 원활해질 수 있으리라는 기대감이 들 수밖에 없다. 베이 다이내믹스는 “사이버 보안에 대한 임원진들의 마음이 굉장히 부드러워진 때”라며 효과적인 임원진과의 대화 방법 세 가지를 다음과 같이 제안하기도 했다.
1. 명료한 언어의 사용 - 전문용어는 회피하라
임원진들이 걱정을 한다고 했지 사이버 보안 전문가가 되었다고는 하지 않았다. 보안 전문가들끼리 사용하는 말을 그대로 임원진 책상에 가져오면 안 된다. 보고서에 의하면 보안담당자들 중 81%가 약 30~40개의 데이터 스프레드시트를 사용해 임원진들에게 보고서를 올린다고 한다. 하지만 이는 결국 아무런 보고를 하지 않는 것이나 다름없다. 30~40개의 스프레드시트에 쌓일 동안 이미 맨 앞의 정보는 지나간 정보가 되었을 가능성이 높고, 임원진은 수많은 오와 열, 숫자들 속에 의미를 파악할 수가 없다. 보다 이해하기 쉬운 형태로, 보다 자주 보고서를 올리는 편이 좋다.
2. 정보는 실질적이어야 한다
임원진들은 매우 계산에 밝은 사람들이다. 이들은 숫자로 된 명확한 정보를 좋아하지 ‘조심해야 한다’, ‘피해가 매우 클 수 있다’와 같은 표현은 귀담아 듣지 않는다. 피해가 크다면 얼마나 큰지 숫자로 표현해 주어야 한다. 그렇다고 취약점에 대한 기술적인 정보까지 세밀하게 보도하는 건 금물이다. 임원진들이 뭔가 행동을 취할 수 있게끔 만들어주는 정보여야 한다. 즉 사이버 보안담당자의 보고서에 들은 내용은 임원진들의 행동지침이어야 한다는 것.
3. 사이버 보안 강화를 위한 조치를 정확히 알리라
예를 들어 취약점을 패치해야 한다고 했을 때, 기업 전체로서는 어떤 이득이 있는지, 또한 어떤 일이 발생하는지를 명확히 구분해서 알려주어야 한다. 금융기관이라고 했을 때 어떤 취약점이 있는지, 이 취약점을 방치했을 때 어떤 일이 일어날 수 있는지 알려주면서 동시에 패치에 걸리는 시간이 얼마이며, 이를 줄였을 때 비용이 얼마나 발생하는지를 같이 보고하라는 뜻이다. 임원진은 그 정보를 바탕으로 패치 시간이 너무 길다거나, 비용이 너무 높다거나 하는 걸 결정할 수 있다. 그리고 보안담당자 및 IT 책임자와의 협의를 통해 스케줄을 짤 수 있다. 또 하나 간과하지 말 것은, 실제 작업이 결정되고 진행되는 동안 일이 어떻게 진행되고 있는지 짬짬이 보고하는 것이다. 패치 시간이 갑자기 길어진다거나, 적용시 오류가 난다는 이상 상황이 발생할 수도 있기 때문이다.
글 : 스티브 주리어(Steve Zurier)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png){kind=spacer}
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
