본문 바로가기
  • (개인)정보보호/최신ICT 정보 공유 블로그
(부제) 나는 CISO 이다/CSAP 인증심사

(CSAP) 까칠 또는 타협, 양보

by 노벰버맨 2021. 3. 29.

 

앞서 까칠한 담당자를 지양해야 한다고 이야기를 했습니다.

그렇다면 까칠이라는 것은 어떤 것을 말할까요

 

외부심사를 나간 적이 있었는데 신청기관으로부터 컴플레인이 있었는데 다른 위원님이 너무 취조하는 느낌으로 인터뷰를 한다는 것이었습니다.

"신분증을 받는 목적이 무엇인가요", "왜 안내판 등은 없나요" 등등의 질문에 심사 대응 담당자의 표정에서 매우 당황해 함을 느낄 수 있었습니다.

 

마찬가지로 정보보호 담당자가 현업 담당자에게도 유사한 형태로 대화를 하는 경우가 간혹 있습니다.

신청 부서에서 검토 요청을 하면 정보보호 부서에서는 "~그렇게 하면 안돼요.", "~법률/정책 위반입니다."라는 형태로 먼저 부정적인 답변을 하는 경우가 많습니다.

 

이런 형태의 대화가 되는 이유는 대화의 초점이 법률, 정책 준수 여부가 중심이기 때문이죠.

어떤 사안에 대해서 법률, 정책에서 요구하는 기준에 맞지 않을 경우 "안됩니다"라고 말하는 것이 명확합니다.

불필요한 논쟁도 필요없습니다. 명문화 되어 있어 정확하게 설명이 가능하고 준수하지 않았을 경우 피해가 명화하죠.

 

하지만 부정적인 이미지를 줄 경우 상대방은 방어적이되면서 소통의 어려움이 생길 수 있습니다.

부정적 의미의 대화보다는 다소 해당 서비스를 오픈 가능하도록 하기 위해서는 무엇이 필요한지를 설명해주는 상황이 좀더 부드럽게 소통이 될 것 같습니다. 이렇게 하기 위해서는 좀더 정보보호 담당자의 노력과 소통기술이 필요합니다.

 

법적요구사항 또는 내부 정책 준수여부는 매우 중요합니다.

준수하지 않았을 경우, 법적 책임 뿐만 아니라 회사의 고객들에 대한 명성에도 치명적이기 때문이죠.

하지만 조직이 존재하지 않는다면 법적요구사항도 필요가 없습니다.

조직이 만들어지고 그 활동을 수행하는데 여러 법적요구사항이 발생하게 됩니다.

또한 조직에서 정보보호 활동에는 법적요구사항 외에도 다양한 관리적, 기술적, 물리적 요구사항들이 존재하죠.

이러한 요구사항은 조직이 존재하는 목적을 기반으로 목표 달성을 위해 필요한 위험요소들을 제거하는 활동을 수행 나가야 합니다.

 

정보보호담당자가 현업에서 신규 서비스를 오픈하기 전 보안성 검토를 수행했는데 다수의 중요한 위험들이 발견되었을 경우 어떻게 처리 가능할까요.

 

예1)

식별된 모든 위험을 제거한 후 오픈한다.

 

예2)

식별된 위험 중 우선순위를 정하고 처리 순위를 정하여 단계별 위험을 대응한다.

 

예3)

위험 제거와 상관없이 오픈한다.

 

이처럼 3가지 예시가 있을 것입니다.

3번째 예는 정보보호를 위한 활동의 순위가 많이 낮아져 있기 때문에 여기에서 논의할 가치가 적은 것 같습니다.

1번, 2번 중에 정답은 없습니다.

조직 생활을 하는 직장인이라면 누구나 시간과 자원이 충분할 경우 예1이 적합하고,

그렇지 않을 경우 예2에 따라서 중요한 위험부터 조치한 후 오픈하여 점차 조치하는 방법을 찾겠죠.

 

예1과 예2에서 어떤 방안이 최선의 방안일까요.

현업 부서와 원활한 커뮤니케이션을 위해 위험 2개는 양보하고 다른 위험들은 조치를 하도록 타협을 해야 할까요.

정보보호 활동에서 타협과 양보는 없다고 생각합니다. 모든 위험은 관리되어야 하기 때문입니다.

단지 적정 허용가능한 위험을 정의하고 그에 맞춰 위험을 관리하는 활동 수행이 필요합니다.

 

그렇다면 이런 허용가능한 위험 수준과 우선순위를 어떻게 관리해야 효율적으로 관리될까요.

보통 정보보호관리체계를 수립할 때 정보보호위원회와 정보보호 실무협의회를 구성해라라는 이야기를 많이 합니다.

정보보호 위원회는 관련된 부서의 주요 임원들이 참여하여 주요 사항을 보고 받고 의사결정을 수행합니다.

활동 중에는 허용가능한 위험수준(DoA) 협의 및 위험 우선순위 결정이 있죠.

정보보호 실무협의회는 이런 허용가능한 위험수준과 우선순위 결정을 위한 여러 사항을 논의하고 보고하며 위원회 결정사항을 적용하게 됩니다.

즉 정보보호 실무협의회에서 논의된 사항 중 중요 의사결정 사항을 정보보호위원회에서 주요 임원들이 참여한 상태에서 의사결정을 하여 정보보호 활동 방향을 결정해 달라는 것입니다.

위원회에서 서비스 오픈의 중요도, 가용 예산 및 자원, 조직의 전략 등을 고려하여 중요 사안을 결정한다면

실무협의회에서 부서 또는 담당자 간의 불필요한 소모적인 논쟁이나 타협은 발생하지 않을 것이며 좀더 효과적으로 소통할 수 있을 것이라 생각됩니다.

 

단계별 위원회/협의체에서 세부사항을 논의하고 각각의 목표보다는 공통의 목표와 목적을 고려하는 활동이 효과적으로 정보보호 활동을 수행하는데 큰 도움이 된다고 생각합니다.

 

댓글