ISACA Journal. 2021. Volume 1

 

Table of Contents

 

ISACA Journal / 2021 / Volume 1

www.isaca.org/resources/isaca-journal/issues/2021/volume-1

Volume 1, 2021

 

 

2021년 첫 번째 Journal이다. article들의 published date는 2020년 12월 31일이고, 포스팅 하는 시점에서 최신의 Journal도 아니지만, 저널을 살펴보는 작업은 가급적 2021년도 발행물부터 시작해보고 싶었다.

 

Journal의 주제는 "The New Workforce"다. 웹사이트에서는 이러한 문장을 덧붙이고 있다.

 

After the most disruptive workforce year in generations, how do we make adaptability work? Fundamentals, and fundamental change.

 

"workforce"를 국문으로 어떻게 옮기면 좋을지는 잘 떠오르지 않는다. 다만 논하고자 하는 의미는 충분히 전달되는 것 같다. 코로나바이러스감염증-19(COVID-19)의 세계적 유행으로 많은 것이 바뀌었고, IT 또한 그러했다. 아마 work-from-home을 포함하는 IT 환경의 변화를 다루지 않을까 생각하면서 저널을 집어든다.

 

웹사이트 기준으로 article을 정리하자면 다음과 같다.

목록의 경우 제목만 발췌하였고, "Online Exclusive"이나 non-english article 같은 특이사항을 함께 표기하였다. 그 아래에는 각각의 article에 대해 (지극히 개인적인) 감상을 적었고, 그와 관련하여 이번 호 journal 중 "인상적"이었던 article 경우에는 강조 표시를 적용해두었다.

 

Columns

 

Information Security Matters: Secrecy and Privacy

Related: Privacy - Beyond Compliance (White Paper)

개인정보(privacy, personal data)에 국한하지 않고 영업비밀(secrecy, trade secrets)을 함께 고민한다는 점이 반갑다. 여기에서는 각각의 속성을 나열하고 두 가지 유형의 속성들 간 공통점을 도출한다. privacy 경우 미국(AICPA)과 캐나다(CPA)의 프레임워크인 "Generally Accepted Privacy Principles(GAPP)"를 인용하는 부분은 물론이고, secrecy 경우 미국(US Patent and Trademark Office) 기준을 인용하는 점 또한 흥미롭다. 도출된 공통점에서 눈에 들어오는 정보는 별로 없는 것 같지만, 본 고의 마지막 부분에 부연하고 있는 secret의 특징은 생각해볼 만 하다. secret 경우 비정형 데이터에 숨어있을 가능성이 높다는 것이고, MS SharePoint를 예로 들고 있는데, 반대로 보자면 개인정보는 정형 데이터 형태로 보관될 확률이 크다는 것으로 이해된다. 실제로 그러한 지 정확하게는 알 수 없으나, regulation에 따라 개인정보로 식별될 수 있는 어떠한 정보는, 개인정보로서 규정되기 이전에 이미 데이터 혹은 데이터 집합으로서 존재하기 때문에 그럴 수 있지 않을까 생각된다. 모쪼록 다음 article에서 이어질 내용들을 더 살펴볼 필요는 있을 듯 하다.

 

IS Audit in Practice: Watching Out for Workforce Risk in the New Normal

Related: Risk IT Framework, 2nd Edition (Book)

"Welcome to the new normal"이라는 문장이 눈길을 끈다. 제목의 "IS Audit"을 Information "System" Audit으로 생각하고 글을 읽어 내려갔는데 Information "Security" Officer 이야기가 나오더니, Information "System" Auditiing Impact이라는 단락이 등장해서 조금은 혼란스러웠다. 본 고에서는 2020년도에 있었을 법한 일련의 예시적인 상황을 그려가며 (기존과 달라진) 주요 challenge 및 요소들, 그리고 이를 위한 key criteria를 설명하고 있다. 억지스럽지 않은 전개는 좋은데, 이어지는 내용, "The opportunity to structure plans and provide stability is as critical in 2021 as it was in 2020"라는 결론에서는 쉽게 이해할 수 있는 정보가 많지 않은 것처럼 느껴진다.

 

The Bleeding Edge: Intelligence—A Not-So-Mediocre Commodity

Related: Understanding Artificial Intelligence (White Paper)

제목만 잘 뽑은 것이 아니라, "AI Guest Writer"를 등장시킨 원고도 재미있다. 저자가 마지막에 인용한 문장을 재인용하는 것만으로도 원고의 핵심을 전하는데 크게 부족하지 않을 것 같다.

"Biases in AI are not an easy problem to solve, and developers need to respond constructively. Machine algorithms and artificial intelligence cannot do it alone, just as humans must aknowledge race are prejudice beore they can defeat it."

 

Features

 

Deepfake: The Lay of the Land

([Online Exclusive] 웹에서 표시는 되어 있지 않지만 인쇄본에는 포함되어 있지 않은 원고가 몇 개 있는 것 같다)

deepfake에 관하여 creation process, societal implications, detection (methods), countermeasures and safeguards in development (preventive measures 포함) 등에 대해 구체적이고 실용적인 정보들이 잘 정리되어 있다. 유익하다.

 

Nudging Our Way to Successful Information Security Awareness [Online Exclusive]

Related: COBIT Focus Area: Information Security

"Nudge Theory"를 적용한 정보보호 인식제고 방안에 대해 설명하고 있다. ISACA 내외부의 다양한 resource를 탄탄하게 인용하고 있으며, 10년 전 article부터 최신의 연구까지 동원하여, Security Awareness 뿐만 아니라 Nudge Theory 자체에 대한 설명도 아까지 않고 있다. nudge를 적용한 정보보호 인식제고 포스터 사례까지 포함하고 있어 여러모로 뛰어난 article이라고 느꼈다.

 

Identifying the Practices of Digital Transformation [Online Exclusive]

"Digital Transformation"이라는 keyword가 널리 유행하고 있지만 구체적인 논의가 없다는 역설이 article에서도 소개되고 있다. 본 고는 이를 위해 방대한 문헌 분석을 시도했고 나름의 결과를 도출한 것으로 보인다. Conclusion의 문장을 옮긴다.

"Given the lack of a scientifically based framework to guide digital transformation, the goal of this study was to identify the practices relevant to that initiative. With that goal in mind, a systematic literature review was conducted to answer the following research question: What are the reference practices for digital transformation?"

 

What Type of Management Is Required to Stop Serious Cyberattacks?

[Online Exclusive]

Related: State of Cybersecurity 2020

거버넌스에 관한 글로 이해된다. article이 다루고 있는 분량도 그렇지만 그 내용이 조금은 버겁게 느껴진다. 최근 Equifax와 Facebook 사례, 1926년 LA Plumbing 사례가 언급되고 있음에도 불구하고 현실이 본 고를 따를 수 있을지 확신하기 어렵다. 두 문장 정도를 발췌해 보았다. 

"For more than two decades, the management of IT risk, including privacy and information security, has been handled the same way: It has been managed as a technical issue, not a management issue."

"The implementation by organizations of well-established management principles for information security and privacy results in fewer cyberattacks and better enterprise risk management. The focus here is on management’s rigorous clarification, assignment, and evaluation of roles and responsibilities for information security and privacy."

참, cyberrisk insurance coverage에서 "force majeure" 범위를 검토할 필요가 있다는 내용은 흥미로웠다.

 

Effective Reporting to the BoD on Critical Assets, Cyberthreats and Key Controls: The Qualitative and Quantitative Model [Online Exclusive]

"Shifting the Terms from Cybersecurity to Cyberresilience"라는 접근부터 매력적이었다. BoD(Board of Directors) 보고 및 의사소통을 위한 model을 매우 체계적으로 제시하고 있고, 정성적인 report 형태까지 보여주고 있다. 통찰력이 굉장하다는 생각이 들었다. (참고로 The Qualitative and Quantitative Model이라는 제목은 Journal 개요 페이지에서는 보이지 않고 본문 페이지에서만 보인다) 

 

Technology-Based Trust With Blockchain [Online Exclusive]

Related: Blockchain Preparation Audit Program

블록체인을 소개하는 글로 보인다. 몇 개의 문장을 메모해두면 다음과 같다.

"The PricewaterhouseCoopers (PwC) 2017 Global FinTech Executive Summary, Redrawing the Lines: FinTech’s Growing Influence on Financial Services stated that “blockchain is moving out of the lab.”"
"The terms “distributed ledger technology” and “blockchain” are frequently used interchangeably;3 however, it is important to highlight that although every blockchain is a DLT, not every DLT is a blockchain."
"Consequently, in order for an emergent technology to be labeled as “trusted technology,” such technology needs to be widely tested and implemented in real-life environments. In fact, this is the case for technology-based trust with blockchain."

 

Security and Risk Assessment of IT Defense Strategies Considering the Cyber Kill Chain [Online Exclusive]

Cyber Kill Chain에 대한 개요 및 단계별 설명으로 시작하여, 통제 범주(categories) 및 유형(types)을 분류하고, Cyber Kill Chain 단계별 통제 유형을 matrix 상에 mapping하여 정리하고 있다. 다만 article 끝에서 defensive approach에 관하여 몇 가지를 덧붙이고 있는데, "Any one mitigation step can break the attack chain"이라는 말이 맞는지 잘 모르겠다. kill chain이라는 용어가 의미하는 바로는 틀리지 않겠지만, one mitigation step만으로 공격을 방어할 수 있는지 단언하기는 어렵지 않을까 하는 걸 보면, 내가 그 내용을 충분히 이해하지 못한 것 같다.

 

A Window of Opportunity: Ending the Cyberworkforce Shortage Once and For All [Language: 日本語]

Related: State of Cybersecurity 2020

제목과 함께 "It is time to shift the mindset from a workforce shortage to a development shortage—a problem with an achievable, sustainable solution."이라고 주장하는 저자의 메시지가 비교적 구체적으로 정리되어 있다. article 중간에 등장하는 "Example of Unreasonable Experience Requirements"나, "searching for purple unicorn"이라는 것도 그렇고, 전체적으로 퍽 재미있게 읽었다. 여기저기 시사점 가득하지만, 우선 "Cybertalent"에 대해서 스스로 돌아볼만 하다.

 

Adaptation of Information Security in the Agile World

Scaled Agile Framework(SAFe)의 10 SAFe Lean-Agile Principles를 바탕으로 도출한 10대 Security Approach를 설명하고 있다. 이 또한 "10대 원칙" 수준인지는 잘 모르겠다. 다만 서두에 언급된 "Teams often state that functionality and business value are more critical than security compliance"라는 문장은, 아마도 쉽게 사그라들 수 있는 문제가 아닐 것 같다.

 

Tips for Strengthening Organizations From Within, the Tom Hanks Way

Related: State of Cybersecurity 2020

조금은 괴상(?)한 제목을 위해 Conclusion부터 인용하자면 다음과 같다.

"The cybersecurity workforce shortage is a global challenge, but leveraging ongoing cybersecurity programs, initiatives and efforts can strengthen an organization from within, attract internal non-security-focused talent and even get the entire workforce to act as frontline soldiers against security threats."

article을 잘 이해하기 위해서 톰 행크스가 출연한 영화를 더 살펴봐야 할 지는, 잘 모르겠다. "라이언 일병 구하기" 한 편으로는 충분하지 않더라는 것만 적어둔다.

 

Security Discipline and Hygiene Mean Healthy, Naturally

Related: Conducting and IT Security Risk Assessment (White Paper)

이해를 돕기 위함이라며 OSI(Open Systems Interconnection Reference Model) 7 layers를 언급했다가, "For any organization to be successful in establishing security, it should have an information security policy (ISP) to ensure the foundation of security and the appropriate use of resources."라는 문장 이후 "popular ISP frameworks"로 PCI DSS, ISO/IEC 27001, CIS, NIST 등을 언급하고 있다. 틀린 말은 아닌 것 같지만 난해하게 느껴진다. 제목 이후의 비유들이 적절했는지 잘 모르겠다.

 

Case Study: Transforming Princeton’s Security Culture Through Awareness

Ivy League의 Princeton University에서 2016년도부터 진행된 user awareness program에 대한 글이다. 포스팅을 준비하는 현재 시점에서는 ISACA 웹페이지 초기 화면의 배너 중 하나로도 자리잡고 있는 걸 보면, 협회 차원에서도 나름대로 비중 있는 사례로 여기는 것 같다. 말 그대로 "case study"로서 필요한 정보들은 적잖게 포함되어 있는 것으로 생각되고, 2020년 말 publish 된 이후 업데이트는 아직 없는 것으로 같다, 추가로 기재할 내용은 마땅치 않다고 본다. "Next Steps"에 "Today's challenge is to mature the program"라고 밝혀둔 만큼, 후속 사례에도 관심을 가져볼 만 하다.

 

More

 

Book Review: Corporate Governance—A Pragmatic Guide for Auditors, Directors, Investors, and Accountants

Date Published: 16 February 2021

ISACA 웹사이트에서 구매할 수 있는 책은 아닌 것 같다(할인이라도 있을 줄 알았다). Conclusion만 옮겨둔다.

The book delivers on the premise of being a pragmatic guide. For any new auditors, accountants, directors and investors, it provides a thorough examination of the corporate governance framework and its actors. For experienced practitioners, it provides a refresh and update on the corporate governance framework.

 

Help Source Q&A

다음 두 질문에 관한 답변(정보)을 추가로 제공하고 있다.

"What is “zero trust” in information security? Is it a new concept or just old wine in a new bottle?"
"What is the “right to forget” in privacy compliance? Will it override the regulator-specified compliance requirements for data retention, particularly for my organization that operates in the banking industry sector?"

 

Reskilling Internal Audit [Language: 日本語]

Related: An ITAF Approach to IT Audit Advisory Services (White Paper)

IIA가 ISACA와 멀지 않다는 것은 개념적으로 이해하고 있지만, (본 article이 일부나마 IIA와 ISACA 양 쪽의 지식을 모두 인용하고 있는 것과는 별개로) Internal Audit에 관한 주제를 ISACA Journal에서 다룰 특별한 이유가 있는지는 잘 모르겠다. (앞에서 몇 개의 article이 그러했던 것처럼) 틀린 말은 없지만, 그래서 그런지 새롭거나 특별한 정보가 포함된 것 같지는 않다.

 

 

 

생각보다 적잖은 시간이 걸렸다. 의미 있는 작업으로 나아갈 수 있도록 "study"가 거듭되어야 할 것 같다.