보안 분야에서 경영진의 역할은 목적, 범위, 정책, 우선순위, 표준 그리고 전략을 결정하는 일과 연관된다. 명확한 범위가 정의되는 것이 필요하고, 100명의 사람들이 환경을 보호하기 위해 서로 다른 방향으로나아가기 전에 보안 프로그램에 의해서 성취되기를 기대하는 실제적인 목표들이 결정되어야 한다.
비즈니스 목적, 보안 위협, 사용자 생산성 그리고 기능에 대한 요구와 목적이 평가되어야 하고, 이 모든 논점들이 설명되고 올바르게 처리되는 것을 보증하기위한 단계들이 작성되어야 한다. 많은 기업들이 방정식에서 오직 비지니스와 생산성의 요소만을 들여다보고 정보와 컴퓨터 보안은 IT 관리자의 책임에만 머므르는 것으로 생각한다. 이러한 상황에서 경영진은 컴퓨터와 정보 보안을 심각하게 받아들이지 않을 것이고, 아마도 기업의 보안은 결국에는 개발되지 않고 지원되지 않고 성공하지 목한 채 남게 될 것이다. 보안 논점은 최고 경영진에게 제기되어야만 한다. IT관리자는 주제에 대한 상담을 할 수 있지만, 한 기업의 보안이 IT관리자의 전적인 책임이 되어서는 안된다.
보안 관리는 기업 정보자산의 올바른 식별에서 출발하여 식별된 자산에 대한 가치 부여, 개발, 문서화 그리고 보안 정책, 과정, 표준 그리고 지침의 실행에 의존하며, 이러한 과정들이 무결성(Integrity), 기밀성(Confidentiality), 그리고 가용성(availability)을 제공한다.
다양한 관리 도구들이 데이터를 분류하고 위험 분석과 평가를 수행하기 위해 사용된다. 이러한 도구는 위협과 노출 정도를 식별하고 식별된 취약성의 심각성에 등급을 매김으로써 위험을 전체적으로 완화하기 위한 효과적인 조치가 시행될 수 있ㅆ도록 한다.
경영진의 책임은 보호에 대한 책임을 지고 있고 기업이 의존하고 있는 리소스에 대한 보호를 제공하는 것이다. 이러한 리소스는 인적, 자본, 하드웨어 그리고 정보화된 양식을 포함한다. 경영진은 나열괸 리소스에 대한 위험에 대해서 스스로 관심을 가지고 필요한 보호 조치가 효과적으로 배치되도록 확인해야 한다.
필요한 리소스, 재정 지원 그리고 전략적인 대표자가 사용 가능해야 하며 보안 프로그램에 참가할 수 있도록 준비되어야 한다. 경영진은 보안 프로그램이 시작되어 지속적으로 번성하고, 환경이 변화함에 따라 발전할 수 있도록 필요한 책임과 역할을 할당해야 한다. 경영진은 또한 현대의 비즈니스 환경에 보안 프로그램을 통합하고 성취도를 감시해야 한다. 경영진의 지원은 보안 프로그램에 있어서 가장 중요한 부분의 하나이다. 단순한 끄덕임과 눈짓이 필요한 만큼의 지원을 제공하지는 않을 것이다.
"끝"
댓글 없음:
댓글 쓰기