2014년 12월 5일 금요일

CISO를 위한 두번째 메세지, 지켜야 할 바로 그 핵심 정보부터 보호하세요.

CISO를 위한 두번째 메세지, 지켜야 할 바로 그 핵심 정보부터 보호하세요.


파레토(Pareto) 법칙을 아시나요?
파레토 법칙이란 '80대 20 법칙'으로 더 유명한데요. 이탈리아의 경제학자 빌프레도 파레토가 '이탈리아 인구의 20%가 이탈리아 전체 부의 80%를 가지고 있다.'고 주장한 데에서 비롯되었다고 합니다. 그런데 이 법칙이 흥미롭게도 전혀 무관해 보이는 다양한 분야에 있어서도 적용된다는 사실입니다.
예를 들면 20%의 운전자가 전체 교통 위반의 80% 정도를 차지한다든가. 소셜 네트워크의 친구 20%가 전체 커뮤니케이션의 80%를 차지한다든가. 정말 다양한 예가 존재하는데요. 그럼, 정보보안에도 적용될까요?

미국 지적재산권 도난에 관한 위원회의 2013년 보고서에 따르면, 전체 기업 데이터 중 2% 미만의 데이터가 전체 정보 자산 가치의 70%를 차지한다고 합니다. 정확하지는 않더라고 파레토의 법칙처럼 적은 데이터가 전체 정보 자산의 대부분의 가치를 갖는다는 점에서는 어느 정도는 일치한다고 하겠습니다. 반면에 2% 미만의 기업 핵심 정보 자산을 식별하고 정의하는 것은 기업 운영에 있어서 절대절명의 과제라 하겠습니다.

물론 산업마다 핵심 정보 자산의 정의와 차지하는 가치 비율은 조금씩 차이가 있을 겁니다. 어떤 산업은 신용정보가, 또 어떤 산업은 특허 기술이, 그리고 또 다른 산업은 개인정보가 그 어떤 정보 보다도 기업을 운영하고 유지해 나가는데 있어 매우 중요합니다. 이러한 핵심 정보 자산을 그래서 "왕관의 보석(Crown Jewels)"이라고도 부릅니다.
 
이렇게 중요한 정보 자산이 식별되면 다른 정보 자산 보다도 차별화하여 좀더 심도있게 보안에 투자하고, 좀더 세밀하게 데이터 접근을 통제하며 핵심 데이터 사용에 대한 모니터링을 집중한다면, 적어도 핵심 정보 자산에 대한 보안 위협은 보다 높은 수준으로 대응할 수 있지 않을까 합니다.

또한, 잊지 말아야 할 것은 비즈니스는 매 순간 변화한다는 것입니다. 즉, 비즈니스가 변화하면 핵심 정보 자산도 충분히 변화할 수 있습니다. 항상 열린 커뮤니케이션과 현재 정확한 정보 자산 목록을 유지하고 있는지, 그리고 현재 정의된 핵심 정보 자산이 핵심 가치로써 유지되고 있는지에 대한 라이프사이클 관리에도 신경써야 하겠습니다.

잊지 마세요. 2%의 핵심 정보 자산을 지키는 것. 기업의 70% 정보 자산 가치를 지키는 일입니다. 지켜야 할 바로 그 핵심 정보부터 보호하세요.