사이버보안 회복탄력을 신속하게 개선할 수 있는 증거와 통찰력 제공
기업의 유형에 맞게 적합해야 하고 현재 처해 있는 위험에 맞춰져

CMMI 연구소(CMMI Institute)가 종합 기업 사이버보안 역량 및 위기 평가 플랫폼인 ‘CMMI 사이버성숙도 플랫폼(Cybermaturity Platform)’을 발표했다.

정보시스템감사통제협회(ISACA) 사이버 솔루션 중 하나이며 클라우드를 기반으로 하는 이 플랫폼은 지난해 수백 명에 이르는 최고정보보호책임자(CISO), 최고정보책임자(CIO), 최고보안책임자(CSO)의 연구와 시험을 통해 개발되었다. 고객 위험 정보추출, 평가, 격차 분석 및 로드맵 기능을 갖추고 있으며 금융 서비스, 의료 및 제조 등 다양한 산업부분에서 사용되고 있다.

CMMI 보안성숙도 플랫폼은 다음과 같이 최근의 여러 보고서에서 언급된 업계의 관심사항과 조직적 과제를 해결해준다.

· 위기관리 전문가들의 75퍼센트가 사이버보안을 최우선순위로 고려하고 있고 16퍼센트가 스스로 사이버위험에 대처할 수 있는 준비태세를 잘 갖추고 있다고 언급한 2018년 맥킨지 보고서
· ISACA의 2017년도 ‘더 나은 기술 통제(Better Tech Governance)’ 보고서는 기업 통계를 능가하는데 이 보고서에서는 고위 경영진 전문가들과 이사회 구성원들의 87퍼센트가 최고 수준의 기업 통제 과제로 남아 있는 프로그램인 사이버보안 이니셔티브에 대한 확신이 부족하다고 강조.
· 보안 전문가 중 거의 3분의 1(31퍼센트)이 자사 이사회가 보안을 적절한 우선순위에 두고 있지 않다고 언급한 ISACA의 최근 발표된 ‘2018년 사이버보안 현황 제1부(State of Cybersecurity Part 1)’

새로운 플랫폼 영역을 창출해내는데 있어서 CMMI 사이버성숙도 아키텍처는 현재의 성숙도 수준과 기대하는 성숙도 수준을 측정하고 다음과 같은 사항들을 제공하는 우선순위 로드맵을 제시한다.

· 증거를 바탕으로 한 위험 축소
· 인적자원, 프로세스 및 기술 전반에 걸친 역량 구축
· 변화하는 위협 상황을 감안하여 위험과 역량을 매2년마다 갱신하는 적합성
· 목표에 맞춘 통찰력 있고 쉽게 이해할 수 있는 실용적인 보고서를 통해 확보되는 이사회 및 고위 경영진의 자신감 확대

CMMI 사이버성숙도 플랫폼은 유일하게 클라우드로 호스팅 되는 사이버보안 성숙도 관리 애플리케이션으로서, 기업들에게 사이버보안 실무에 관한 지식을 실시간으로 제공하기 때문에 기업들은 사이버보안 프로그램을 어떻게 개선할 수 있는지에 관해 증거에 입각한 판단을 내릴 수 있다.

CMMI 사이버성숙도 플랫폼의 평가는 독자적인 위험 프로파일을 생성하고 역량 차이에 우선순위를 두는 한편 조직의 목표를 달성하는데 필요한 성숙도를 확인해 공백을 해소할 수 있는 선택안을 권고하고 있다. 이 프로그램은 인적자원과 프로세스 및 기술의 성숙도를 정의하고 업계의 기준점을 만들어내게 된다.

CMMI 사이버성숙도 플랫폼은 이 같은 데이터들을 확보해 실용적인 보안 위험 통찰력으로 전략적 목표를 조율함으로써 이사회로 하여금 확신하고 신뢰할 수 있게 한다. 기업들은 역량과 회복탄력성 및 적합한 통제를 지속적으로 확보해나갈 수 있는 수단을 제공받게 된다. 기업의 사이버 회복탄력성을 찾는 방법에 관한 정보는 CMMI 백서 “위험을 인식하고 사이버보안 회복탄력성 및 성숙도에 이르는 경로(A Risk-Aware Path to Cybersecurity Resilience and Maturity)에서 확인할 수 있다.

CMMI 사이버성숙도 플랫폼은 NIST CSF, COBIT, ISO, 클라우드 보안 연합(Cloud Security Alliance)과 수십여 개의 선도적 업계 표준에 맞추어진 최선의 사이버 규범 기본체계를 형성하고 있다. 사이버회복 탄력성에 대한 평가 방법과 조직적 로드맵에 관한 보다 자세한 정보는 웹사이트 cmmiinstitute.com/cybermaturity에서 확인할 수 있다.