정보보호 거버넌스와 BMIS

정보보호 거버넌스와 BMIS                                 Business Model for Information Security, 즉 정보보호를 위한 비즈니스 모델이다.

입력날짜 : 2011-09-14 09:31

시스템적 사고방식의 접근하고 다뤄야 시스템적 사고방식-System Thinking 시스템적 사고, 혹은 시스템적 사고방식이란, 어떤 하나의 대상을 이해하기 위해서는 그 대상을 부분들의 합(合)으로서가 아닌 전체로 볼 줄 아는 시야를 말한다. 대상이나 사물을 전체의 입장에서 파악하고 그 대상/사물의 구성요소간의 상호관련성을 잘 분석하여 전체로서 최적화를 해나가는 방식이라 할 수 있다. 그림1 시스템적 사고방식 대상/사물을 보는 관점이, 부분적인 것에서 종합적인 시각으로, 문제의 영역을 좁은 관점이 아닌 넓은 시야로, 단기적인 시야에서 장기적인 전망으로, 문제의 정적인 파악에서 역동적인 분석으로 가야 한다. 즉 정지된 장면을 보기보다는 시간과 환경에 따른 변화의 유형과 흐름을 보기 위한 사고체계라고 할 수 있다. 이렇게 하기 위해서는 문제를 파악할 때 충분한 데이터를 갖고 검토하고 분석하고 종합적인 계획을 수립하여 균형적인 개선을 추진하여야 한다. 전체를 보는 훈련이 평소에 잘 되어 있어야 한다. BMIS는 시스템적 사고 방식으로 접근하고 다루어야 한다. 정보보호 거버넌스의 프레임워크 - BMIS 정보보호 거버넌스를 구체화하는 방법론과 ‘How to’를 제시하고 있는 것은 BMIS이다. Business Model for Information Security, 즉 정보보호를 위한 비즈니스 모델이다. 지난 시간에 MBIS를 이루는 4가지의 요소(Elements)와 6가지의 동적 접속자(Dynamic Interconnections)를 알아보았다. 이 4x6의 체계는 단순히 4개의 동그라미와 6개의 막대기가 합쳐진 것으로 보아서는 안 된다. BMIS를 하나의 시스템으로 보고 그 안에서의 4x6의 시너지를 보아야 한다. 상호작용하고 역동적인 것을 느낄 수 있어야 한다. BMIS에서의 4x6은 4+6=10이거나 4x6=24가 아닌 그 이상의 숫자가 나옴으로써 BMIS의 의미가 있다. 전체 = 부분들의 합이 아니다. 전체 = 부분들의 합 이상이다. 그림2 BMIS의 시스템적 사고 방식 BMIS가 시스템적 사고방식일 수 밖에 없는 이유? 정보보호 거버넌스를 왜 하는가? 단순히 정보보호 부서나 혹은 연관된 IT의 부서의 예산을 위해? 부서의 존재가치를 위해서? 당연히 아니다. 정보보호 거버넌스를 하려는 이유는 아주 단순하다. 바로 비즈니스 때문이다. 공공기관과 기업의 전략과 목적을 달성하기 위해서는 정보가 곧 자산이다. 정보자산을 적절하게 보호하기 위한 이사회와 고위 경영진이 책임지는 모든 계획과 실행, 조직의 합이 “정보보호 거버넌스”의 정의이다. 정보보호 거버넌스의 구현을 위한 대표적인 프레임워크인 BMIS는, 그러므로 공공기관과 기업을 둘러싼 환경에 민감하여야 한다. 어제의 충성고객이 오늘의 안티 고객이 될 수 있고 기업의 운영에 치명적인 법규가 조직을 위협하고 있다. 행정부처에 대한 규정과 시행령이 자고 나면 새로 생겨나고 있다. 그러므로 상호작용과 역동적인 BMIS가 꼭 필요하다. 예상치 못한 정보보호 사고가 빈번히 일어나고 있다. 이는 비단 한 가지의 이유와 원인만은 아닌 경우가 대부분이다. 또한 정보보호는 업무와의 관계, 의존성, 보안사고 대응의 결과, 보유한 기술, 프로세스, 인적자원 등의 복잡한 네트워크로 구성된 것의 결과로서 나타난다. 이러한 문제들을 해결하고 관리하기 위해서는 시스템적 사고방식으로 접근하여야 한다. 상호작용하는 여러 가지 요소들을 연구하고 이를 조직시스템에 연결시키고 이해하기 위해서는 BMIS일 수 밖에 없는 이유이다. 그림3 변화와 BMIS의 필요 공공기관과 기업을 둘러 싼 불확실성, 혹은 위험을 관리하려면 정적이고 멈추어 있는 것은 필요치 않다. BMIS는 시스템적 사고 모델로서 상호작용과 유연성을 강조한다. BMIS는 유연하다. 그리고 역동적이다. 불확실한 이 시대를 살아가는 처세술(處世術)과도 일맥상통한다. 항상 열린 마음이 필요하다. 이 칼럼을 통해서 정보보호를 도구나 기술로만 보는 차원에서 기업(공공기관)의 중요한 전략으로 끌어올리는 기회가 되기를 바란다. [글 _ 조희준 IT거버넌스/컨설팅/감리법인 ㈜씨에이에스 컨설팅 이사(josephc@chol.com)]