여러분이 대규모 B2B 전자 상거래 프로젝트에서 보안 담당자 업무를 맡게 되었다고 가정하자. 프로젝트 관리자가 제공한 요구 사항을 검토한 다음 프로젝트를 안전하게 구현하기 위한 권장 사항을 제출하면, 몇 주 후에 여러 회의에 불려 나가 자신의 걱정이 과대 망상이며, 비용만 많이 들고 필요도 없는 것이라는 비난을 받게 될 것이다.
그렇지 않으면 프로젝트를 총괄하는 부사장이 여러분의 각 권장 사항에 대해 정당한 근거를 제출하도록 요청할 것이다.
여러분은 권장 사항이 채택되지 않으면 보안 문제가 발생할 것임을 직감적으로 알지만 이제 단순한 육감을 입증할 사실이 요구되는 상황에 처하게 된다. 어떻게 부사장이 요청한 증거 자료를 빠르고 효율적으로 제공할 수 있을까? 그러한 상황을 미연에 방지하려면 어떻게 해야 했을까? 그 대답은 위험 평가, 즉 위험 관리 프로그램의 핵심 부분에 있다.
■ 위험 관리의 목적
IT나 어떤 분야에서든 모든 비즈니스 결정은 가만히 있을 때의 위험 대 실제나 인식된 위험을 감소시키기 위한 행동의 비용에 대한 평가에서 비롯된다. 위험 관리는 파일 및 프린트 서버를 업그레이드하지 못할 경우 사용자의 업무 수행 능력에 영향을 미치는지의 여부, 최신 침입 탐지 기술의 구현을 통해 누군가 전자 메일 서버에 침투할 가능성을 감소시킬 수 있는지 여부, 그리고 방화벽이 웹 서버를 보호하는 데 필요한지 또는 단순한 라우터 ACL(Access Control List)만으로 충분한지 여부 등과 같은 질문에 대답하는 데 도움이 된다. 더욱이, 모든 문제를 즉시 해결하는 데 필요한 자원이 부족할 경우 위험 관리 과정을 통해 문제에 대한 우선 순위를 매길 수 있다.
오늘날과 같은 고도의 경쟁 사회에서 위험 관리는 장기적인 회사의 성공에 필수적이다. 모든 위험을 제거할 수 있는 것은 아니다. 자원과 시간 비용이 너무 크기 때문이다. 사실상, 대부분의 비즈니스에서는 경쟁력을 갖기 위해 일부 위험을 무릎쓸 필요가 있다. 따라서, 언제 어디에서 경험에 의한 위험을 무릎쓸 수 있는지, 그리고 제한된 자원을 어떻게 할당하여 위험을 줄이고 비즈니스 전략을 지원해야 하는지를 결정해야 한다.
위험 관리는 위험을 무릎써야 할 시기에 대해 공정한 판단을 가능하게 하며 위험이 현실이 될 경우 비상 대비 계획 수준을 제공한다. 회사 자산에 대한 위험을 이해하는 것이 위험 관리 과정의 시작점이다. 일단 비즈니스에 대한 위험을 이해하면 그러한 위험을 수용, 완화 또는 이동시킬 것인지에 대한 공정한 결정을 내릴 수 있다. 더욱이, 위험 관리는 취약성 분석 및 작업 모니터링과 같은 다른 보안 영역으로부터 데이터를 수집하여 비즈니스 위험을 총체적으로 보여준다. 이 논의의 초점은 현대 정보 보안 관행에 대한 위험 관리 및 위험 평가를 위한 기술의 응용이다.
