[컴퓨터월드] IT 기능의 가시성 밖에서 서비스형 소프트웨어(SaaS, Software as a Service)를 조달하고 사용하는 것은 종종 허용 가능한 수준의 리스크를 동반한다. 거버넌스는 리스크 수용 결정 및 통제 요구 사항이 정책에 어떻게 포함되고 실제로 적용되는지를 다룬다. SaaS 사용 거버넌스는 기업 목표 설정, 제어 작업 할당, 결과 추적 및 상황 보고를 보장한다.

분석

SaaS 거버넌스 접근법

SaaS 애플리케이션은 일회성 프로젝트가 아니다. SaaS 사용을 위해서는 지속적인 관리가 필요하다. SaaS 거버넌스는 완전한 수명 주기 접근 방식을 요구한다. 안타깝게도 대부분의 조직은 SaaS를 사용하면서 지속적인 관리보다는 사용 자체에 집중한다.

대부분의 조직은 관리 및 기능 강화라는 장기적인 문제를 무시한 채 기능 전반에 걸친 즉각적인 요구 사항을 분석하는 데 집중한다. 리스크 수용 프로세스를 수행하더라도, 이는 결국 요구 사항에 대한 불완전한 분석에 기반을 두고 있다. 일단 프로비저닝(Provisioning)이 완료되면, 대부분의 SaaS 애플리케이션은 큰 관심을 끌지 않고도 자체적으로 운영된다. 중요도가 낮은 다수의 SaaS 애플리케이션은 추가 감시가 거의 필요 없지만, 중요하거나 민감한 데이터 혹은 통제된 데이터를 포함하는 애플리케이션은 수명 주기의 나머지 단계에서 중요도에 비례하여 명시적으로 정의된 수준의 제어를 받아야 한다.

경영진은 이러한 종류의 새로운 기능에 적절한 리소스가 있고 SaaS 선택 및 사용 규칙을 시행할 권한이 있는지 확인해야 한다. 규모가 있는 사업부에는 SaaS의 성공적인 사용을 보장하기 위해 SaaS를 전적 또는 부분적으로 담당하는 자체 애플리케이션 전문가들이 점점 더 많아지고 있다.

SaaS 거버넌스 정책 생성, SaaS 사용 프로세스 정의, 리스크 소유자 식별

규칙을 설정하고 시행의 근거를 제공하기 위한 그 어떠한 형태의 서면 지시 없이 효과적인 거버넌스가 불가능하다. 경영진들은 최소한 IT 리더들과 협력해 세 가지 기본적인 SaaS 제어 정책을 수립해야 한다. 정의된 프로세스를 통한 SaaS 사용 승인, SaaS 리스크 소유자 식별, 클라우드 애플리케이션 인벤토리 유지가 바로 그 것이다.

정의된 프로세스를 통해 SaaS 사용을 승인한다고 해서 IT 부서에 SaaS 사용에 관한 모든 요청을 기각하라는 의미는 아니다. 대신 경영진은 IT 부서 직원들을 참여시켜 새로운 SaaS 기능을 획득하기 위해 협력할 수 있는 방안에 대한 유연하고 실용적인 프로세스를 만들어야 한다.

또한 경영진은 정의된 승인 및 책임 수락 프로세스에 대한 SaaS 사용이 IT 부서에 공식적으로 등록되도록 보장해야 한다. 수십 개 이상의 SaaS를 사용 중인 경우, 일반적으로 이를 정식으로 추적해야 한다. 추적되는 정보에는 최소한 다음 사항이 포함되어야 한다.

● SaaS의 이름 및 유형
● 소유자(SaaS가 사용되는 경우 기타 역할) - 사용자 관리, 지원, 공급업체 연락처 등
● 데이터 민감도 또는 중요성 - 기밀성, 무결성, 가용성/임무 중요도 및 규정 준수
● 계약 세부 사항
● 위험 평가 및 의사결정 프로세스를 보여주는 문서
● SaaS와 통합된 기타 서비스 또는 애플리케이션 목록

제어 요구사항을 분석하라

SaaS 거버넌스 수명 주기의 모든 단계는 특정한 특징, 기능 또는 서비스 수준을 보여준다. 정의된 SaaS 요구사항의 수집 프로세스가 없다면 제어 메커니즘, 상호 운용성 및 모니터링에 대한 요구사항을 완전히 지정하지 못할 수 있다. 따라서 경영진은 모든 SaaS 구매에 대한 전체 요구사항 분석의 필요성을 줄이기 위해 IT 부서에 적절한 사용에 대한 지침과 함께 사전 승인된 SaaS 제품 목록을 준비하도록 요청해야 한다.

많은 경우, 추가 제어 툴을 사용하더라도 활동 또는 데이터 관리 가능성에 대한 모든 요구사항을 충족하는 SaaS를 찾는 것은 현실적으로 불가능하다. 이것이 추가 제어 툴을 사용할 수 없다는 것을 의미하는 것은 아니다. 그러나 사용 사례가 민감한 경우, 경영진은 이를 잔여 리스크(흔히 ‘리스크 소유권’으로 지칭)로 인정하고 수용해야 한다. SaaS 사용에 대한 부서의 의사결정이 자유로워짐에 따라, 경영진은 IT 부서가 사용하는 서비스 방식과 서비스에 저장되는 데이터를 모니터링 해야 한다.

SaaS 공급업체를 선택하기 위해 리스크 평가의 우선순위를 지정하라

조직은 일반적으로 다양한 제어 문제를 나타내는 외부 프로비저닝 서비스를 사용한다. 여러 퍼블릭 클라우드 사용 사례는 다양한 형태와 리스크 노출 수준을 나타낸다.

리스크 평가 및 공급업체의 결정은 SaaS 제어 프로세스의 맥락에서 SaaS 애플리케이션을 사용하여 기능 및 위험 제어 요구사항을 충족할 것으로 예상되는 능력과 조직의 SaaS 거버넌스 기술 능력을 바탕으로 해야 한다. 사용 중인 SaaS 애플리케이션의 수 외에도 SaaS 환경의 다양성으로 인해 SaaS 승인에 대한 획일적인 접근 방식은 클라우드 요구사항에 맞게 확장될 수 없음을 뜻한다. SaaS 사용 요청을 최적화할 수 있는 접근 방식은 다음과 같다.

● 작업 수준이 데이터 또는 사용 사례 중요도에 비례하는 다양한 수준의 리스크 평가에 대한 엄격성. 이러한 리스크 기반의 실용적인 접근 방식은 부서별로 SaaS를 신속하게 배포할 수 있는 유연성을 감소시키지 않으면서 전략적으로 중요한 사용 사례를 잘 분석할 수 있도록 한다. 이는 불필요한 수준의 검토에 시간을 낭비하지 않으면서 중요도가 낮은 SaaS 애플리케이션을 쉽게 사용할 수 있도록 한다. 해당 접근 방식은 정책에 명확하게 명시되어 있으며, 경영진의 지원을 받는 경우에만 성공할 수 있다.
● 데이터 유형, 사용자 수, 외부 액세스 필요성 등을 기반으로 초기 리스크 점수를 제공하는 셀프 서비스 설문지. 리스크 점수가 낮으면 자동으로 승인될 수 있다. 리스크 점수가 더 높을 경우 보안 설계자의 평가 및/또는 거버넌스 팀의 승인이 필요하다.
● 특정 용도 또는 추가적인 평가가 필요 없는 데이터 형식에 대해 사전 승인된 SaaS 목록.

무료 SaaS를 주의하라

무료로 제공되는 서비스는 민감한 데이터를 저장하기에 적절한 장소가 아니다. 무료 서비스는 마케팅 또는 연구를 위해 고객 데이터를 볼 수 있는 권한을 가질 수 있으며, 일부 경우에는 사용자 데이터의 소유권을 주장할 수도 있다. 클라우드 액세스 보안 브로커(CASB) 툴은 무료 SaaS 및 소셜 네트워킹을 포함하여 모든 형태의 외부 프로비저닝 애플리케이션의 사용을 모니터링하고 제어할 수 있도록 지원한다.

SaaS를 시작하라

SaaS를 사용하기로 결정하면, 서비스 시작 시간과 난이도가 천차만별인 경우가 있다. 소수의 사람들이 사용하는 비교적 간단한 애플리케이션은 며칠 또는 몇 분 안에 생산적으로 사용할 수 있다. 그러나 전체 조직에서 사용하고자 하는 보다 전략적으로 중요한 애플리케이션은 기존의 사내 대안책으로 실행하는 프로그램과 거의 같은 수준의 시간이 소요될 수 있다. 구현 단계에서 주요 거버넌스 작업은 다음과 같다.

● 구매
● 구현
● 사용자 프로비저닝
● 데이터 마이그레이션
● 비상 대응 매뉴얼 계획

지속적으로 관리하라

경영진은 IT 부서에서 예상하는 모든 활동과 일어날 수 있는 비상 사태에 대해 지속적인 관리와 지원을 제공해야 한다. 여기에는 일상적인 정기 작업과 실패 또는 계획되지 않은 이벤트가 발생할 때의 대응 작업이 포함된다.

계획 또는 계획되지 않은 수명 만료 문제를 관리하라

SaaS 제어 활동의 마지막 단계는 공급업체가 더 이상 데이터를 유지할 의무가 없게 되기 전에 서비스를 종료하고 안전하게 프로비저닝을 해제하는 것이다. 종료 전략은 일반적으로 사내 포트폴리오의 모든 애플리케이션을 위해 유지되지 않는다. 그러나 SaaS 공급업체가 변경이나 셧다운에 대한 급작스러운 통보를 하거나, 더 최악의 경우 사전 경고 없이 운영을 중단하면 고객은 아무런 조치를 취할 수 없게 된다. 경영진은 종료 계획 실행이 실제로 필요해지기 전에 어느 정도의 대응책을 마련해야 한다. 일부 중요한 활동에는 데이터 마이그레이션 및 재배포, 데이터 파괴 및/또는 보관이 포함된다.