모든 SCM 최고책임자가 알아야 할 필요가 있는 사이버 보안 관련 사항
What Every CSCO Needs to Know About Cybersecurity
저자: Jane Barrett (GVP, Supply Chain Research, Gartner)
출처: SCM World, 2018년 7월 20일
링크: http://www.scmworld.com/every-csco-needs-know-cybersecurity/
지난 주에 개최된 SCM 세계 지도자 포럼 (SCM World Leaders Forum)에 약 100명의 SCM최고책임자 (CSCO: Chief Supply Chain Officer)가 참가했다. 포럼의 세션 중 하나는 사이버 보안에 초점을 맞추었는데, 이는 공급망에서 너무 중요함에도 불구하고 대부분이 잘못 이해하고 있는 주제이다. 왜 이런 오해가 발생할까? 사이버 공격으로부터 회사를 보호하는 것은 전적으로 IT 부서의 책임이 아니라, 훨씬 더 넓은 영역의 문제이기 때문이다.
IBM의 최근 연구는 사이버 보안 위반이 기업에 미칠 수 있는 재정적 영향에 대해 설명했다. 이 연구에서는 5천만 건의 데이터 유출이 총 3억 5천만 달러의 비용을 발생시킬 수 있다고 명시하고 있다. 이는 잠재적으로 공급망 내에서 경영진이 일자리를 잃을 수도 있는 충분한 자금 손해와 브랜드 이미지의 손상을 의미한다.
주요 기사들은 개인 및 금융 정보의 도난에 초점을 맞추는 경향이 있지만, 그것들이 해커들과 사이버 범죄자들의 유일한 표적은 아니다. 산업 장비 및 웹 지원 장치와 같은 물리적 자산과 제품도 위험에 처해있다. 이는 오늘날의 디지털 세계 (높은 수준의 사이버 보안을 요구하는 블록 체인이나 자율 주행 차와 같이 IoT를 이용할 수 있는 디지털 비즈니스 솔루션)에서 큰 문제이다
Gartner 최고 정보관리 책임자들 (CIO: Chief Information Officer) 커뮤니티를 위해 기술 리스크 및 사이버 보안에 대한 연구를 선도하는 Gartner 부사장 겸 저명한 분석가인 Paul Proctor씨는 사이버 보안을 위협하는 싸움에서 "완벽한 보호" 같은 것은 없는 것이 분명하다고 밝혀왔다. 포럼 연설에서 Proctor씨는 많은 이사회 위원들이 여러분으로 하여금 그들이 이 사실을 이해하고 있다고 믿게 유도하지만, 실제로는 그렇지 않다고 강조했다. 그들은 여전히 사이버 보안이 기술적인 문제이며, IT에 깊이가 있는 기술자들이 가장 잘 다루는 문제라고 믿고 있다. 많은 이사회 위원들은 사이버 보안 문제가 단순히 적절한 기술 지식을 가진 사람들을 고용함으로써 해결될 수 있다고 믿으며, 그로 인해 어떠한 공격도 받지 않게 될 것이라고 표제를 단다. 좋은 생각이지만 순진한 생각이기도 하다.
핵심은 아무리 많은 돈과 자원을 그 문제에 쏟아 붓더라도, 100% 보호를 받을 수는 없다는 것이다. 아래 도표는 의식적인 선택을 하는 것과 비즈니스 운영의 필요성과 리스크 사이의 균형을 유지하는 것의 연속체를 강조하고 있다.
Proctor씨는 리스크 관리가 보안에 완벽한 보장은 없다는 사실에 대한 명백한 인식이라고 강조했다. 조직은 자신이 무엇을 할 것인지에 대해 의식적인 결정을 내려야 하지만, 더 중요한 것은 자신을 보호하기 위해 무엇을 하지 않을 것인가를 결정하는 것이다. 그 결정은 공급망과 같은 비즈니스의 비IT부분에서 리스크 이해 당사자들과 함께 고려해야 하며, 잔여 리스크는 수용해야 한다.
리스크 이해 관계자들은 선택의 여지가 있다. 이들은 더 낮은 비용으로 더 많은 리스크를 감수할 것인지, 아니면 더 높은 비용으로 더 낮은 위험을 감수할 것인지를 선택할 수 있다. 비록 완벽하게 보호되지는 않지만, 이 연속되는 trade-off의 어디에 존재하기로 선택한 것은 정당한 사업상의 결정이다. 지구상에서 가장 보호받는 조직이 될 필요는 없지만, 수익 감소에 대한 법칙이 있기 때문에 계속해서 위 그림의 스펙트럼 상에서 오른쪽으로만 밀어붙일 수는 없다. 계속해서 오른쪽으로 밀어붙이는 것은 결국 효율성에 해를 끼치고, 고객 만족도를 낮추고, 장기 브랜드 평판에 상당한 손상을 입음으로써 사업에 부정적인 영향을 미칠 것이다.
특정 산업은 전반적으로 이 스펙트럼의 한쪽 끝 또는 다른 쪽 끝을 중심으로 집결하므로 그것이 일반 산업에 대한 기준점으로는 충분하지 않다. 고장 시간 (시스템이 작동하지 않는 시간)의 비즈니스 결과를 측정할 수 있을 뿐 아니라 수행된 접근 방식을 보호할 수 있도록 준비하는 것이 이러한 접근 방식을 결정하는 데 있어 중요한 것이다. 이런 결정을 사일로 (silo)에서 하지 않는다. 정보관리 책임자가 조직에 균형이 어떤 의미를 갖는지 결정할 수 있도록 당신 조직의 SCM최고책임자와 C-레벨 동료들이 핵심적인 역할을 수행해야 한다.
비즈니스가 성장함에 따라 어느 정도의 리스크가 적절한지를 지속적으로 재평가하는 것이 매우 중요하다는 것을 기억해라. 궁극적인 목표는 비즈니스 운영에 필요한 복잡한 요구와 보호 필요성의 균형을 유지시키는 지속 가능한 프로그램을 구축하는 것이다.