By Dr.Anton Chuvakin,Chief Logging evangelist, Loglogic SC Magaine
Mar 18,2008

오늘날, 모든 형태와 규모의 조직들은 때로 규정을 준수하지 못한 경우에 의사 결정자들에게 무거운 벌금 또는 처벌로 위협하는 엄격한 산업 규정과 표준들에 직면하 고 있다.

Sarbanes-Oxley(SOX)뿐만 아니라, CIO와 CSO들은 의료 관련업을 위한 HIPAA를 이해하고 규정을 따라야 한다; 신용카드 거래를 처리하는 조직들은 PCI DSS; 그리고많은 다른 글로벌, 내셔널 그리고 산업 전반의 규정과 임무 뿐만 아니라 연방 기관을 위한 FISMA가 있다.

많은 CIO들이 은밀히 - 때로 은밀하지 않게!- 그러한 편두통을 일으키는 약어를 무시하기를 바라지만, 그것들의 존재에는 이유가 있다: 기업의 책임을 증대시키는 것뿐만 아니라 개인적이고 사적인 정보를 보호하기 위해 컴퓨터와 네트워크 보안을 보강하기 위함이다.

컴플라이언스를 무시하고 걸리는 것은 비난을 감수하는 “봉”이 되기 쉽기 때문에 참으로 CIO에게 최악의 악몽이다. 컴플라이언스 감사에 실패하는 것은 만일 데이터유출 또는 소송이 발생할 경우에 CIO의 지위와 회사가 쉽게 수백만 달러의 대가를 치를 수 있도록 한다.

접근 감사 정보를 가지는 것은 아주 많은 경우에 유용합니다, 그렇게 하지 않는 것은 변명할 여지가 없는 것이 되고 솔직히 말해 어리석은 짓입니다. 그러한 정보의 많은 용도들 중의 일부는: .

불행하게도, 조직들은 위험을 측정하고, IT 사용을 주관하고 컴플라이언스를 달성하기 위해 통합된 시스템을 채택하는데 전통적으로 느린 행보를 보여왔다. 그들은 대신 몇몇 임시방편 수단을 강제로 배치했기 때문에 단편적인 규정 대 규정 접근법을 선택하였다.

컴플라이언스 규정들이 본질상 영역에서 복잡하고, 넓고 혼란스러울 지라도, 그것들을 다루는 것은 이전의 세가지 독립적인 사일로(silos)-governance, risk, 그리고 compliance-를 IT GRC로 알려진 하나의 통합된 자동화된 기술 플랫폼으로 결합함으로써 간단해질 수 있다.

GRC: New Acronym - New Concept?

거버넌스, 리스크, 컴플라이언스는 각 기업의 부서들이 때때로 제 힘으로 직면해야 하는 위압적인 개념이다. 각 컨셉의 의미를 살펴보도록 하자.

IT 거버넌스는 누가 조직 내에서 IT 채택과 사용에 관하여 핵심 의사결정을 할 책임이 있는지, 누가 그러한 결정들에 책임을 가지는지, 그리고 어떻게 결과들이 모니터되고 측정되는지를 정의하는 IT 정책들을 설명한다. 실생활에서, IT 거버넌스 전략들을 구현하는 것은 기술 채용, 구조적 검토 그리고 프로젝트 분석을 이끌기 위해 위원회를 임명하는 것을 포함한다. 거버넌스는 프로세스,프로세스,프로세스에 관한 것으로- 이 모든 것은 여러분의 정보 기술 습득과 사용을 관리하기 위한 연속적이고 투명한 방법을 지원해야 한다.

GRC 파이의 다음 조각은 IT 리스트 관리이다. 거의 항상 CIO에게 심한 불안의 끊임없는 원천은 계속 변화하는 비즈니스 요구사항에 적응하는 것을 요구하는 것 뿐만 아니라, 어떤 기술들이 조직 내에 배치가 되는지를 모니터링하고, 파트너 솔루션과 인수한 소스 코드로부터 발생하는 모든 잠재적인 위험 요소들을 이해하도록 요구하는 위험 관리이다. 게다가, 위험 관리는 비즈니스 민첩성과 효율성을 개선하는 동시에, perimeter와 내부적인 것 둘 다의 조직의 정보 보안을 단단히 죄고 최적화함으로 써 잔존하는 끊임없이 변하는 위협의 landscape를 망라하는 것이다.

그리고 지금, 우리는 기업 책임감과 산업 표준들, 즉 SOX, HIPAA, PCI DSS, FISMA 이 모든 것이 IT 실무에 영향을 미치는 알파벳 안개인 컴플라이언스로 돌아왔다. IT 컴플라이언스는 거버넌스에 접근하는데, 그것의 핵심은 컴플라이언스 속에서 통제를 설계, 평가, 구현하는데 의지한다. 이 통제들은 궁극적으로 IT 감사 동안에 성공 또는 실패를 결정하는 다양한 산업요건과 “ best practice”로 매핑되어야 한다.

IT GRC의 바퀴를 돌려라, 그러면 여러분은 이 도메인들을 왜 결합하는지를 알게될 것이다.

거버넌스, 리스크, 컴플라이언스 사이에는 별도로 다루어질 때 비능률적이고 과잉을 만들어낼 수 있는 상당한 오버랩이 존재한다. 예를 들어, 위험을 완화하고 컴플라이언스를 성취하기 위해, IT거버넌스 프로세스는 미세히 조정되고 관련성을 가져 야 한다.

유사하게, 많은 컴플라이언스 노력들은 보안 개선을 목표로 삼고, 위험감소 노력과 중복된다. 더 나은 거버넌스는 전형적으로 컴플라이언스 게임에서 성공하도록 돕는 다.

즉, IT 거버넌스, 리스크, 컴플라이언스는 서로 의존하며 고립되어 다루어진다면 시 간이 더욱 걸릴 것이고 더 큰 비용이 들 것이다. 나아가, 조직 내의 각 부서들은 세 가지 모두에 열중해야 하기 때문에, 모든 부서들에 걸쳐 “G”, “R”, 그리고 “C”를 묶 음으로써 일관성을 확신하고 잉여를 제거하고 효율성을 왜 극대화하지 않겠는가?

유용한 GRC vs “덜한 악” 을 선택하는 것

지금까지, IT GRC가 여러분의 차후 감사를 통과하고 조직 전반에서의 통제를 개선 하도록 도우면서, 보안 위협으로부터 여러분의 비즈니스를 보호하는 실용적인 안으 로서 믿을 수 있도록 생각을 전환했기를 바란다. 성공에 이르는 실제적인 단계들은 무엇인가?

내 제안은 여러분이 스스로의 건강과 부의 프로그램을 가지듯이 GRC 노력에 접근 하라는 것이다. 얼마나 많은 고섬유질의 씨리얼을 먹는지, 몇시간이나 잠을 자는 지, 몇번이나 러닝머신위를 달리는가에 상관없이 여러분은 즉각적인 결과를 보지 못할 수도 있고 또한 무리한 노력과 부상을 조심해야 한다. 즉, 세가지 모든 기둥의 GRC로 성공을 증진할 수 있도록 보장되는 기술들의 구현으로 출발하여, 그것들로 부터 강화시켜라.

Analysis firm에 의해 정의된 것처럼, IT GRC의 일반적인 구성요소는 다음을 포함한다:

-로그 관리
-Identity 및 access management
-Configuration management
-업무 문장 분석


위의 각각을 다루기 위해 자동화된 기술 솔루션을 식별하는 것은 GRC에 적용할 수 있는 그들의 기능들을 이해하는 것을 요한다.

첫번째로, 로그 관리의 역할은 여러분의 환경 이내의 탐지, 모니터링, 그리고 궁극적으로 책임성의 첫번째 layer를 제공하는 것이다. 로그 데이터는 누가 무엇을, 언제,어디에서, 그리고 어떻게 건드렸는지를 평가하기 위해서 네트워크, 방화벽, 어플 리케이션, 데이터베이스 그리고 더 많은 것들로부터 수집될 필요가 있다. 로그데이 터는 “dead weight” 가 될 수 없다. 이것은 조직의 내외부적 활동을 평가하기 위해 반드시 분석되어야 하고 보고되어져야 한다.

아주 흥미롭게도, 로그 데이터 관리 툴은 identity와 access management 업무를 또 한 가능하도록 한다. IdM 배치를 최적화하고, 비활동적인 역할을 관리하고 악성 ID 들을 감지할 때 로그는 조직내에서 발생하는 모든 이벤트들의 끊임없는 fingerprint 를 제공한다.

로깅은 형상 변경 그리고 비인가된 현상변경을 위한 시스템 획득에 대하여 끊임없 이 감사하도록 함으로써 또한 형상 변경에서의 역할을 한다. 리뷰는 운영 또는 컴플 라이언스를 위해 모든 구성들의 스냅샷을 취득하는 반면, 로깅은 configuration 감사 를 기다리지 않고 발생하는 변경들을 탐지하고 그것들을 모니터하는 방법을 제공한 다.

마지막으로, 로깅은 확실성과 책임성의 layer를 제공함으로써 업무 분장 노력들을 보강하도록 돕는다. 나쁜 SoD 실무와 위반들의 증거는 로그들에 나타날 것이고 그 리하여 탐지되어 조사될 수 있다.

여러분이 알 수 있듯이, 로그 관리는 IT GRC의 뿌리에 있다. IT GRC를 자동화하여 실행가능하도록 로그 관리 솔루션을 선택할 때 확장성의 필요성을 잊어버리지 말 라. 로깅의 폭넓은 사용은 강력한 확장성의 요건을 선도했다; 게다가 로깅 솔루션 은 여러분의 비즈니스와 함께 성장할 수 있어야 한다.

GRC는 여러분의 IT 무기를 간결히 하여 강화시킬 것이다

IT 거버넌스, 리스크, 컴플라이언스 활동을 결합하는 것은 오늘날의 CIO들에게 이겨 내기 어려운 장애물처럼 느껴질 수도 있으나 역사적으로 접근해볼 때 GRC는 궁극 적으로 여러부의 IT 배터리를 간결화하여 강화시킬 것이다.

기억해라, 기본을 습득하기 전에 어려운 일을 할 필요는 없다. 여러분의 IT GRC 요 새를 짓도록 쉬운 단계를 밟을 것을 고려하라: 미래의 거버넌스 프로세스, 위험분석 차이, 컴플라이언스 목표를 결정하도록 도와줄 이벤트들의 캡처를 시작하기 위해 확장가능한 로그 관리 솔루션을 구현하라. 여러분 조직의 모든 지위의 개인들로부 터 입력과 피드백을 모아서 모든 사람이 지킬 수 있는 규정을 만들어라.

간략히 말해, IT GRC의 최종 목표는 여러분의 비즈니스 뿐만 아니라 모든 사람을 위한 책임성의 표준을 만드는데 중점을 두어야 한다.