새로운 소식

### ‘마케팅 보안’이나 ‘인사부 보안’이라는 말이 없듯이 IT 보안이라는 말도 사라져야 한다. #### IT보안이 실패할 때 IT 부서가 가장 중요하게 여기는 것은 기술의 적용 가능성, 기능, 효율 등이다. 정보 보안은 기밀성, 무결성, 가용성이다. 겹치는 게 아주 없다고 할 순 없지만 어떤 부분에 있어서는 상충되기도 한다. IT가 추구하는 목표는 보안이 반드시 해결해야 하는 위험요소이며, 반대로 보안이 추구하는 목표는 IT가 넘어야 할 산일 때가 많다. #### CIO는 CISO가 아니다 안이 IT에 종속되어 있다면, 그래서 IT를 잘 아는 사람이 보안까지도 맡아야 하는 상황이라면, 보안의 중요한 부분들을 간과하게 된다. 보안을 ‘사후 조치’로 충분히 해결할 수 있다는 생각이 IT 분야엔 팽배하다는 점이다. 그런 배경을 가진 사람이 보안을 지휘하면 어떻게 되겠는가? #### IT가 하는 정보 보안 위험 관리를 담당하는 부서나 감사와 관련이 있는 하위 조직이 적어도 IT부서보다는 훨씬 보안에 잘 어울린다. 왜냐하면 현대 보안의 상당 부분은 “제어 조건의 확인과 승인”에 할애된다. 즉 실제 사업 운영의 필요로부터 어느 정도 독립되어야 할 필요가 있다는 뜻이다. #### 정보 보안에도 존중을 늘 보안은 뒤로 밀린다. CISO가 다른 C레벨들과 같은 권한을 가져야 하는 이유다.