‘시만텍 IT 리스크 관리 보고서’는 경영진들이 IT 리스크 관리를 통해 비즈니스 리스크를 최소화 할 수 있도록 지원하는 시만텍의 보고서다. 이 연례 보고서는 2007년 2월 제 1호가 발표됐으며, 이번 제 2호 보고서는 전세계 IT 전문가와 400건 이상의 심층 인터뷰를 통해 매우 포괄적인 분석을 제시하고 있다. 특히, 이번 보고서에서는IT 리스크 관련 주요 이슈, 동향을 제시하는 것은 물론 IT 리스크에 대한 일반적인 오해를 분석하고 없애는데 초점을 맞추고 있다.
시만텍은 ‘시만텍 IT 리스크 관리 보고서’ 제 2호를 통해 IT 실무자들의 IT 리스크에 대한 이해도는 점차 높아지고 있으나, IT 리스크 관리에 대한 오해가 IT 시스템의 실패는 물론 전체 비즈니스의 연속성에까지 악영향을 끼칠 수 있다고 지적했다.
보고서가 지적한 IT 리스크에 대한 대표적인 4가지 오해는 다음과 같다;
IT 리스크 관리는 IT 보안과 동일하다
IT 리스크 관리는 주기적으로 수행하는 단기 프로젝트다.
대부분의 IT 리스크 관리 과제는 기술만으로 해결 가능하다.
IT 리스크 관리에는 시간, 지역, 비즈니스 환경에 관계 없이 동일한 원칙이 적용된다.
각 사안별 상세한 내용은 다음과 같다.
오해 1: IT 리스크 관리는 IT 보안과 같은 말이다
이번 조사 결과, IT 전문가들은 IT 리스크를 보안 리스크를 탐지, 제거하는 것과 동일시했던 전통적인 사고에서 벗어나, 이제 좀 더 광범위한 관점을 가지기 시작하고 있는 것으로 나타났다. 조사 응답자의 78%가 가용성 리스크를 가장 “중요”하거나 “심각”한 이슈로 꼽았으며, 보안은 70%, 성능은 68%, 컴플라이언스 63%로 응답했다. 대부분의 조사 응답자들이 각 리스크 카테고리에 비슷한 수준의 중요도를 부여한 것은 IT 전문가들이 보안에만 치중했던 과거의 IT 리스크 접근 방식에서 벗어나 보다 균형 잡힌 관점을 가지기 시작했다는 것을 보여준다.
‘시만텍 IT 리스크 관리 보고서’ 제 2호에 따르면 보안 및 컴플라이언스 리스크는 일단 사고가 발생할 경우 그 가시성과 영향력이 크기 때문에 관리자들의 높은 관심을 받고 있었다. 예를 들어, 63%의 응답자들은 비즈니스에 심각한 영향을 미칠 수 있는 요소로 데이터 유출 사고를 꼽았다. 그러나 이 보고서는 가용성 리스크에 대한 중요도 인식이 눈에 띄게 높아지고 있다고 지적하고, 이는 가용성 저하가 가져올 수 있는 엄청난 수준의 금전적 손해 때문인 것으로 분석했다.
오해 2: IT 리스크 관리는 특정 시기에만 수행하면 되는 단기 프로젝트다
IT 리스크 관리가 시작과 끝이 있는 하나의 프로젝트, 혹은 주기적으로 특정 시기에만 실시되는 작업이라는 인식은 IT 리스크 관리의 역동적인 성격을 이해하지 못해 생기는 오해다. 비즈니스 환경의 변화에 민첩하게 적응하기 위해서는 IT 리스크를 지속적으로 관리해야 할 대상으로 이해해야 한다. 오늘날과 같은 기업 환경에서 IT 보안, 컴플라이언스, 가용성 및 성능 사고는 급속도로 확산될 수 있다. ‘시만텍 IT 리스크 관리 보고서’ 제 2호의 응답자들은 IT 리스크 사고 발생 빈도를 다음과 같이 예상하고 있었다.
· 69%의 응답자들이 작은 규모의 IT 사고가 한 달에 한 번 발생할 것으로 예상했다.
· 63%의 응답자들이 최소 1년에 한 번 중대한 IT 오류 상황이 발생할 것으로 예상했다.
· 26%의 응답자들이 규제 미준수 사고가 최소 1년에 한 번 꼴로 발생할 것으로 예상했다.
· 25%의 응답자들이 데이터 유출 사고가 최소 1년에 한 번 발생할 것으로 예상했다.
이 보고서에 따르면 가장 효과적으로 IT 리스크 관리를 하고 있는 기업은 보다 전체적인 접근 방법을 택하고 있다. 하지만, 많은 기업들이 자산 구분 및 관리와 같은 가장 근본적인 리스크 관리 제어 시스템 도입에 실패하고 있는 것으로 드러났다. 이번 조사에 따르면, 단 40%의 응답자들이 “75% 혹은 그 이상 효과적인” 성능을 경험하고 있다고 답했다. 또한 34%의 응답자들만이 오늘날의 비즈니스 환경에서 필수적인 무선 및 모바일 기기에 대한 최신 인벤토리를 갖추고 있다고 답했다.
오해 3: 대부분의 IT 리스크 관리 과제는 기술만으로 해결 가능하다
리스크를 감소시키는데 있어 기술이 매우 핵심적인 역할을 하는 것은 사실이지만, 기술이 인력과 프로세스를 뒷받침해야만 IT 리스크 관리 프로그램이 효과를 거둘 수 있다. 실제 이번 보고서 조사 결과에 따르면 IT 사고의 53%가 프로세스 문제로 인해 발생하는 것으로 나타났다. 하지만 이와는 반대로 응답자들의 프로세스 관리에 대한 중요성 인식은 제 1호 보고서에 비해 오히려 더 낮아진 것으로 드러나 우려를 안겨주고 있다. 예를 들어, 교육 및 인식 프로그램의 효과에 대해 “75% 이상 효과적”이라고 응답한 비율은 제 1호 보고서에서 50%였으나, 금번 보고서에서는 43%로 감소했다.
제 1호 보고서와 비슷하게, 이번 신규 보고서에서도 자산 및 인벤토리 분류 제어의 중요도를 낮게 평가하는 경향은 지속됐다. 또한 데이터 생명 주기 관리를 “75% 이상 효과적”이라고 평가한 응답자는 제 2호 보고서에서 43%를 기록, 제 1호 보고서에 비해 17% 감소했다. 이러한 제어 툴이 취약하다는 것은 곧 모든 자산이 똑같이 관리되며, 시스템, 프로세스 및 대상의 가치 수준에 맞는 보호가 이뤄지지 않게 되는 것을 의미한다. 이는 결국에는 비용 및 서비스 비효율성을 초래한다.
‘시만텍 IT 리스크 관리 보고서’ 제 2호에서는 안전한 애플리케이션 개발이 IT 리스크 관리에 “75% 이상 효과적”이라고 답변한 응답자가 제1호 보고서에 비해서 10% 증가했다. 또한 이 보고서는 문제 관리 프로그램에 대한 관심도 높아질 것으로 예상하고 있다.
오해 4: IT 리스크 관리에는 시간, 지역, 비즈니스 환경에 관계 없이 동일한 원칙이 적용된다
‘시만텍 IT 리스크 관리 보고서’ 제 2호는 IT 리스크 관리가 고정불변의 법칙이 아니라 끊임없이 진화하는 과정임을 분명히 했다. 이는 IT 리스크 관리가 기업과 직원이 변화하는 비즈니스 및 기술 환경에 적응해가면서 쌓여가는 경험에 크게 의존하고 있기 때문이다. 이에 따라 최근에는 IT 리스크 관리가 운영 리스크 관리, 생산 프로세스 규칙, 비즈니스 및 IT 거버넌스 등 다양한 변수를 포함하고 있다는 공감대가 IT 전문가들 사이에서 확대되고 있다. 하지만 실무자들은 아직까지 IT 리스크 관리를 어느 산업이나 지역에서도 적용이 가능한 고정된 원칙이나 관계로 보는 경우도 있다.
산업별 IT 리스크 관리의 차이점
‘시만텍 IT 리스크 관리 보고서’ 제 2호는 특정 산업의 IT 리스크 관리 현황도 함께 조명했다. 조사에 따르면, 의료 산업군의 응답자들이 다른 산업군에 비해 가장 많은 IT 사고를 예상하고 있는 것으로 나타났다. 해당 산업 특유의 복잡성이나 다루는 정보의 기밀성, 그리고 강력한 컴플라이언스 요구 사항을 고려했을 때, 이는 매우 우려되는 상황이다. 통신 산업은 기업 전체에 IT 리스크 관리 제어 시스템을 도입하는 비율이 가장 높았으며, 은행 및 금융 서비스 산업이 근소한 차로 그 뒤를 이었다. 통신 및 금융 산업의 이러한 성공적인 IT 리스크 관리 시스템 적용은 이 두 산업군에서 확대되고 있는 거버넌스 및 컴플라이언스 요구와 개인 정보 보호에 대한 우려가 원인인 것으로 보인다.
시만텍 정보 기술 및 서비스 그룹 사장인 데이비드 톰슨 (David Thompson)은 “’시만텍 IT 리스크 관리 보고서’ 제 2호는 실행 가능한 조언과 베스트 프랙티스를 통해 IT 전문가들과 기업 경영진들에게 무엇이 효과적인 IT 리스크 관리 방법인지에 대한 그 무엇과도 비교할 수 없는 통찰력을 제시한다”면서 “IT 리스크 관리 방법에 대한 이해는 기업들이 안심하고 리스크에 대응하고 IT 를 통해 비즈니스 경쟁력을 확보할 수 있는 힘이 된다”고 말했다.
