2.8 위험 관리

위험 관리는 경영 목적을 달성하기 위해 조직에서 사용되는 정보 자원에 대한 취약성(Vulnerability) 과 위협을 식별하고, 정보자우너의 가치를 근거로 위험을 수용가능한 수준(즉, 잔여위험)으로 감소시키기 위해서 취해야 할 대책(보호, 통제)을 결정하는 프로세스이다.

 

효과적인 위험관리는 조직의 위험 성향에 대한 명확한 이해에서 시작된다. 이러한 이해는 모든 위험관리 노력을 추진하고, 주어진 IT 상황 하에서 기술에 대한 향후 투자, IT 자산의 보호정도, 필요한 보증수준에 영향을 미친다. 위험 관리는 IT 프로세스에 위험이 미치는 영향에 대해서 식별, 분석, 평가, 조치, 모니터링 그리고 보고하는 것을 포함한다. 위험 성향이 정의되고 위험 노출이 식별되면 위험 관리 전략이 수립되고 책임을 명확히 할 수 있다. 위험의 종류와 해당 위험이 비즈니스에 미치는 중요성에 따라 경영진과 이사회는 다음의 위험 대응 전략을 선택하게 된다.

- 회피(Avoid)- 원인 제거를 통한 위험 제거(예, 가능하다면, 위험을 발생시킬 수 있는 특정 활동이나 프로세스를 수행하지 않음)

- 경감(Mitigate)- 적절한 통제를 정의, 구현 그리고 모니터링 함으로써 위험의 영향과 발생 가능성을 줄인다.

- 공유/전가(Share/Transfer, defelct or allocate) - 파트너사와 위험을 공유하거나 보험, 계약 또는 다른 수단을 이용하여 전가한다.

- 수용(Accept) - 공식적으로 위험이 존재한다는 사실을 인정하고 모니터링만 한다.

 

그러므로, 위험은 회피, 경감, 전가 또는 수용될 수 있다. 조직은 또한 위험을 무시함으로써 위험을 거부할 수 있지만, 이는 위험할 수 있으며, 정보시스템 감사인은 이를 위험신호로 간주해야 한다.

 

2.8.1 위험 관리 프로그램의 개발

위험관리 프로그램을 개발하기 위해서는 다음의 단계를 포함해야 한다.

- 위험 관리 프로그램의 목적 설정 - 첫번째 단계는 위험 관리 프로그램을 개발하려는 조직의 목적을 결정하는 것이다. 프로그램의 목적은 보험 비용을 줄이거나 프로그램 관련 손해(injury)의 수를 줄이는 것이 될 수 있다. 위험 관리 꼐획을 시작하기 전에 위험괄니의 목적을 결정함으로써 조직은 핵심 성과지표(KPI)를 정의할 수 있고, 효과성을 판단하기 위해 성과를 평가할 수 있다. 전통적으로, 최고 경영진이 이사회와 함께 위험 관리 프로그램의 성격 및 목표를 결정한다.

 

- 위험 관리 계획에 대한 책임 할당 - 두 번째 단계는 조직의 위험관리 프로그램을 개발하고 수행할 책임을 맡을 개인 또는 팀을 지정하는 것이다. 해당 팀이 위험관리 계획에 대해서 주로 책임을 지지만, 성공적인 위험관리 프로그램을 위해서는 조직의 전 계층에서 위험 관리 통합이 요구된다. 운영진과 이사회 구성원들은 위험 관리 위원회가 위험을 식별하고 손실에 대한 적절한 통제와 조정 전략을 개발하는 것을 지원해야 한다.

 

2.8.2 위험 관리 프로세스

기업이 위험을 일관되고 저렂ㄹ히 관리하기 위해서는 조직은 IT 위험을 관리학 위한 반복적인 프로세스를 식별하고 구축해야 한다. COBIT 5는 위험 관리 프로세스(APO12 위험관리)를 제공한다. 핵심 위험 관리 실무에는 다음이 포함된다.

1. 데이터 수집

2. 위험 분석

3. 위험 프로필 관리

4. 위험 명확화

5. 위험 관리 포트폴리오

6. 위험대응

 

Step1: 자산 식별

위험 관리 프로세스의 첫 번째 단계는 위협에 취약하기 때문에 보호가 필요한 정보자원 또는 자산을 식별, 분석, 보고하는 것이다. 이러한 맥락에서 위협은 데이터의 파괴, 노출, 변조 또는 서비스의 불능과 같이 정보자원에 위해를 끼칠 잠재적 상황 또는 사건들이다. 분류의 목적은 추가 조사의 대상 우선순위를 정하고 적절한 보호수준(자산가치에 기초한 단순분류)을 식별하거나 혹은 표준 보호 모델(중요도와 민감도에 따른 분류)이 적용가능 하도록 하기 위해서이다.

 

정보와 정보기술에 관련된 전형적인 자산의 예는 다음과 같다.

- 정보와 데이터

- 하드웨어

- 소프트웨어

- 문서

- 인력

고려해야 할 보다 전통적인 비즈니스 자산으로는 건물, 재고, 현금 그리고 영업권이나 이미지, 명성과 같은 무형자산 들이 포함된다.

 

Step: 자산의 위협과 취약성 평가

위험 관리 프로세스의 두번재 단계는 정보자원과 관련된 위협과 취약성, 그리고 이들의 발생가능성을 평가하는 것이다. 일반적인 위협의 분류는 다음과 같다.

- 오류

- 악의적인 손상/공격

- 사기 또는 부정

- 절도

- 장비/소프트웨어 고장

 

IT위험은 정보자원 사용과 관련한 취약성을 이용할 가능성이 있는 위협(또는 취약한 상황) 때문에 발생한다. 취약성은 위해를 유발하기 위해 위험요인이 이용할 수 있는 정보자원의 특성이다. 취약성의 예는 다음과 같다.

- 사용자의 지식 부족

- 보안기능의 부족

- 사용자 의식 및 교육부족(예: 취약한 비밀번호)

- 검증되지 않은 기술

- 보호되지 않은 커뮤니케이션의 전송

 

취약성이 현실화되기 위해서는 반드시 사람 또는 환경적인 위협이 취약성을 이용하여야 한다. 일반적으로 사람의 위협활동은 다음과 같다.

- 선무당(Novices), Kiddle scripters

- 정치적 목적의 해커(Hacktivists)

- 범죄

- 테러

- 민족국가들

- 폭동 및 시민 불안

 

일반적인 환경 위협은 다음과 같다.

- 홍수

- 번개

- 폭풍우(Tonados)

- 허리케인

- 지진

 

Step:3 영향 평가

취약점을 이용한 위협의 결과를 영향(impact)이라고 부르며, 영향의 크기는 심각성(Severity)과 기간(duration) 에 따라 달라진다. 일반적으로 상행위을 하는 조직에서는 위협은 단기적으로 집접적인 경제적 손실 또는 장기적으로 결정적인 경제적 손실을 초래한다. 이러한 손실의 예는 다음과 같다.

- 직접적인 금전적 손실(연금 또는 신용)

- 법규 위반(예: 비인가 공개)

- 명성/영업권의 손상

- 직원 또는 고객을 위험에 노출

- 신뢰 훼손

- 비즈니스 기회 상실

- 경영 효율성/성과 감소

- 비즈니스 활동의 중단

 

Step 4: 위험 계산

위험 요소들이 일단 확정되면, 위험에 대한 전반적인 시각을 형성하기 위해서 서로 결합된다. 위험요소를 결합하는 일반적인 방법은 각 위협 별로 발생가능성과 영향의 크기를 계산하는 것이다. 이것은 전반적인 위험 수준을 측정하는데 사용될 수 있다.

 

위험은 위협의 발생가능성과 손실/피해의 크기에 비례한다.

Step 5: 위험 평가와 대응

일단 위험이 식별되면, 취약성을 수용할 수 있는 위험 수준까지 낮추기 위해서 현재 통제를 평가하거나 새로운 통제를 설계할 수 있다. 이러한 통제들을 대읓개 또는 보호장치라고 부른다. 이러한 통제에는 조치, 장치, 절차 도는 기법(예: 사람, 프로세스 또는 산출물) 등이 있다. 통제의 강도는 고유 또는 설계 강도와 통제 효과성의 가능성으로 측정될 수 있다. 통제의 강도를 측정하는데 ㅇㅅ어 고려되어야 할 요소에는 통제가 예방, 탐지 또는 교정통제인지, 수작업 또는 자동화된 통제인지, 그리고 공식적인지(절차서에 명시되고 운영상의 증적이 관리되는 통제인지) 아니면 임시적인지 등이 있다.

 

일단 통제가 적용되었을 때, 남아있는 위험 수준을 잔여위험(Residual risk)라고 부르며 통제가 더 필요한 영역을 파악함으로써 위험을 좀더 경감시키는데 경영진이 사용하는 개념이다. 수용가능한 목표 위험 수준은 경영진(경영진의 위험에 대한 선호)에 의해서 수립될 수 있다. 수용가능한 목표 위험 수준을 초과하는 위험은 보다 엄격한 통제를 구현하여 경감시켜야 한다. 수용가능한 목표 위험 수준보다 낮은 위험에 대해서는 과도한 통제가 구현되어 있지는 않은지, 이렇한 과동한 통제를 제거함으로써 비용을 절감할수 있지 않은지 판단하기 위해 평가되어야 한다. 잔여 위험을 최종적으로 수용할 때 다음을 고려하여야 한다.

- 조직의 정책

- 위험에 대한 성향

- 위험의 식별 및 측정

- 위험 평가 접근 방법자체의 불확실성

- 구현 비용 및 효과성

- 효익 대비 통제 비용

 

IT위험 관리가 다음의 다양한 수준에서 운영될 필요가 있다는 사실을 인지하는 것이 중요하다.

- 운영수준 - 운영수준에서는 IT 시스템과 지원 인프라의 효과성과 효율성에 악영향을 미치는 위험, 시스템 통제를 위회할 수 있는 능력, 핵심자원(예: 시스템, 데이터통신, 직원, 건물)이 손상되거나 사용할 수 없을 가능성, 관련 법규 및 규정의 위반 등이 고려되는 사항이다.

- 프로젝트 수준 - 프로젝트 수준에서의 위험관리는 프로젝트의 복잡성을 이해하고 관리하며, 프로젝트 위험관리가 적절히 이루어지지 않았을때 프로젝트 목표를 달성하지 못하게 되는 결과를 초래하는 위험에 대처하는 능력에 초점을 맞춰야 한다.

- 전략수준 - IT 역량이