기업과 조직의 행동양식

CISO

기업과 조직의 행동양식에 대한 전반적인 개념 이해

1. 효과적인 보안에 대한 장애물은 최고 경영진의 지원 부족, 보안 정책 부족, 보안 교육 부족, 예산 부족, 책임 할당 실패이다.

2. 퇴직 시 바로 취해야 할 사항은 논리적 측면에서 ID/PW를 Disable 시켜야 하며, 물리적 측면에서는 에스코트해야 한다.

3. 직무순환은 부정을 탐지하기 위해 사용되며 부정을 예방하기 위한 최선의 방법은 보안정책을 강화하는 것이다.

4. 직원의 해고 통보 시 가장 먼저 해야 할 일은 모든 접근을 차단하는 것이다.

 

조직 구조의 진화

1. 정보보안 조직의 이름 변천사

데이터 보안 부서 -> 시스템 보안 부서 -> 보안관리 부서 -> 정보보안 부서의 순으로 진화되어 왔다.

 

2. 오늘날 정보보안의 조직구조

대부분의 기업과 조직에서 정보보안 관련 사항을 최고정보책임자(CIO)에게 보고하고 있는 실정이다. 이는 정보보안(보호)을 IT 문제로만 인식하고 있음을 시사하는 것이다.

 

향후 방향 : 정보보호 부서를 위험관리 부서로 인식하고 IT 부서와는 별도의 부서로 신설하고, 정보보호 부서는 최고정보보호이사(CISO)에게 보고함으로써 정보보안의 특화된 기능을 전개되어야 한다.

 

정보보안 관점에서 조직과 직원 관리의 모범사례/규준

1. 직무순환(Job Rotation)

직무순환은 한 직원이 오랫동안 같은 직무를 수행함으로 인해 발생할 수 있는 부정의 가능성을 예방하고, 전임 직원의 부정이나 실수를 후임 직원이 발견할 수 있도록 하는 예방과 탐지목적의 인적 통제를 말한다.

직원의 공모 위험을 감소시키는 효과가 있으나 소규모 조직에서는 직무의 전문성 때문에 직무순환이 어려울 수 있으므로 보완통제로서 관리 감독을 강화하도록 해야 한다.

인적자원의 가용성(Knowledge Redundancy)의 효과가 있으며 부정 적발 가능성을 높여 정보의 오용에 대한 위험을 감소시킬 수 있다.

직무순환의 장점 : 동료의 평가(Peer Review)와 공모, 사기 감소와 직무순환을 통한 교차훈련으로 업무가 특정 한 사람에게만 의존적이 되는 것을 방지할 수 있다.

 

2. 직무분리(Segregation of Duties)

직무분리는 양립할 수 없는 업무를 분리하는 것이다. IT 부서 직원, 데이터 입력 직원, 데이터 검증 직원은 분리해야 한다.

 

- 직무분리 이유 : 한 사람이 특정 프로세스의 모든 단계를 수행할 권한이나 시스템 보안 전반에 대한 절대적인 권한을 가지지 않기 위함이다. 이는 직원의 탐지되는 않는 부정을 저지를 수 없게 하고(Split Knowledge), 에러와 사기를 줄일 수 있기 때문이다.

- 인원 부족으로 직무분리가 어려운 소규모 조직의 경우 : 부서장의 감독과 제삼자가 감사 추적(Audit trail)을 검토를 통해 위험을 감소시킨다.

 

3. 최소 권한 / 알 필요성(Least Privilege / Need to Know)

사용자에게 직무에 필요한 최소한의 권한만을 부여해야 한다.

 

4. 강제휴가(Mandatory Vacations)

직무순환과 유사한 효과를 가진다. 1~2주 정도의 기간으로 직원을 강제 휴가 보내어 해당 직원의 업무에 대해 감사 또는 검증을 수행하는 것으로서 직원의 직무 수행 결과를 검토하여 부정을 발견하기 위한 탐지 통제이다.

 

5. 직무 민감도(Job Position Sensitivity)

1) 직무별 보안 수준을 분류하여 적절하게 관리하여야 한다.

2) 과도한 민감도의 분류는 리소스 낭비와 비용을 증가시키는 부작용이 있다.

3) 과소한 민감도의 분류는 위험을 증가시킬 가능성이 있다.

 

6. 공모를 방지하는 통제

1) 직무순환

2) 직무분리

3) 제한적인 책임