IT 거버넌스는 조직이 IT를 효과적으로 사용하여 목표를 달성하고 위험을 최소화하기 위해 사용하는 프로세스, 전략 및 도구를 설명합니다.
정보 기술은 전 세계의 비즈니스 수행 방식을 혁신했습니다. 커뮤니케이션, 접근성, 자동화, 데이터 분석, 클라우드 컴퓨팅 등의 발전으로 무한한 기술 가능성이 세상이 열렸습니다. 오늘날에는 아무리 작은 규모의 조직이라도 10년 전에야 사용할 수 있었던 그 어떤 것과도 견줄 수 없는 컴퓨팅 성능을 기반으로 합니다. 그러나 모든 디지털 혁신을 거치는 동안 기억해야 할 것은 IT가 목적을 위한 수단일 뿐이라는 것입니다. 기술이 기업의 목표 달성에 도움이 되지 않는다면 방해 요소에 지나지 않습니다.
IT 거버넌스는 이러한 사실을 염두에 둡니다. Governance, Risk, and Compliance(GRC) 중 첫 번째 요소인 거버넌스는 구조(정책, 절차, 그리고 COBIT과 같은 프레임워크)를 마련한 다음 규정 준수를 테스트하고 위험에 액세스할 수 있습니다. 올바르게 적용된 IT 거버넌스는 조직이 목적에 맞게 필수 기술을 관리할 수 있도록 지원하여 모든 관련 IT 플랫폼, 도구, 전략, 이니셔티브, 활동 및 자원이 공통의 목표를 달성하기 위해 적절하게 조율되고 작동하도록 합니다.
IT 거버넌스는 GRC의 필수 부분이므로 공공 및 민간 부문 조직 모두에서 중요한 역할을 합니다. 거버넌스는 비즈니스 전략 및 목표에 맞게 IT 기능을 조정하여 재무 및/또는 기술 규정을 준수해야 하는 모든 산업에서 IT 거버넌스 프로그램을 중요하게 고려하게 만듭니다.
IT 거버넌스는 기술과 비즈니스 가치를 직접 연결하며, 몇 가지 분명한 이점을 제공합니다.
IT를 보다 광범위한 전략 및 목표와 연계함으로써 IT 거버넌스는 의사 결정권자가 IT 가치를 정확하게 평가하고 보여줄 수 있도록 정량화 가능한 메트릭을 제공합니다.
경우에 따라 비IT 직원은 특정 비즈니스 기술의 기능이나 이점을 이해하는 데 어려움을 겪습니다. 명확하고 투명한 IT 거버넌스 프레임워크는 비즈니스 목표의 범위 안에서 IT 솔루션의 정확한 목적을 명확하게 설정하여 이해 관계자가 조직의 기술 서비스에 대해 더 큰 확신을 가질 수 있도록 합니다.
적절한 IT 거버넌스가 없으면 IT가 부정확하게, 불법적으로 또는 위험하게 사용되는 것을 거의 막을 수 없습니다. IT 거버넌스는 모든 회사 정보 기술을 명확하게 파악하므로 규정 미준수 문제를 쉽게 식별하고 수정할 수 있습니다.
일관되지 못한 IT 서비스는 당연히 잘못된 데이터 식별, 비효율적인 보안 제어, 부적절한 커뮤니케이션 및 수준 이하의 자원 할당으로 이어집니다. 적절하게 구현된 IT 거버넌스는 이러한 각 문제에 대한 솔루션을 제공하여 기업이 IT 투자에 대한 수익을 개선하면서 비용을 절감하도록 지원합니다.
앞서 언급했듯이 IT 거버넌스의 기본 목표는 IT 솔루션을 비즈니스 목표와 정확하게 일치하도록 조정하는 것입니다. 구체적으로 말하면 IT 거버넌스는 다음 목표를 달성하도록 설계되었습니다.
이 목표는 몹시 복잡합니다. 결국 대다수 조직 내외부에는 수많은 유형의 이해 관계자가 있으며, 이들에게는 '가치'를 구성하는 항목에 대한 고유한 이해 관계와 개념이 있을 수 있습니다. IT 거버넌스는 상충하는 이해 관계자의 관심사를 고려하여 여러 작업을 보강하고 모든 수준에 가치가 전달되도록 합니다.
IT 거버넌스는 기업이 IT를 비즈니스 가치와 명확히 연결하는 데 필요한 통찰력, 투명성 및 측정 가능한 데이터를 제공합니다. 기업은 이 정보를 사용하여 비즈니스 가치를 극대화하는 효과적인 전략을 수립할 수 있습니다. IT 거버넌스는 조직이 IT 활동에 대한 비전을 구체화하여 임원급 및 이사회와 소통하기 위한 공통 언어를 설정하고 미래 성장을 위한 명확한 방향을 제시하도록 돕습니다.
완벽하게 검증된 IT 프레임워크는 섀도 IT와 관련된 위험을 최소화하고, 위험 요소를 실시간으로 정확하게 파악하는 프레임워크를 구축하며, 보안 측면에서 모든 시스템이 올바르게 사용되고 최신 상태가 유지되도록 합니다. 그러나 이는 또한 데이터 도용과 관련된 위험 요소의 범위를 넘어섭니다. IT 거버넌스는 여러 이해 관계자의 다양한 이해 관계를 고려하여 이러한 이해 관계가 충돌할 때 명확한 솔루션을 제공하고 여러 부서가 서로 다른 목적으로 운영되는 위험을 완화하도록 돕습니다.
IT 자산이 모두 올바르게 기능하고 가치를 제공하는지 여부를 조직에서 어떻게 확인할 수 있을까요? 확실히 확인하는 방법은 결과를 측정하는 것입니다. 의사 결정권자는 IT 거버넌스 프레임워크에 내장된 핵심성과지표 및 메트릭을 사용하여 모든 관련 IT 자원의 성과를 정확하게 측정할 수 있습니다.
IT 거버넌스와 IT 관리는 서로 바꿔서 사용되기도 하지만 동일한 개념이 아닙니다.
IT 거버넌스는 전략 구축, 로드맵 수립, IT와 비즈니스 우선순위 연계, 위험 및 규정 준수 문제 완화를 위한 명확한 프레임워크를 제공합니다. 기본적으로 IT 거버넌스는 조직이 따라야 할 행동 계획을 결정합니다.
IT 관리는 계획이나 전략 수집에 관여하는 것이 아니라 IT 구현 및 프로세스와 관련된 일상적인 활동에 초점을 맞추고 지속적인 IT 관리가 효과적이고 합법적으로 처리되고 있는지 확인합니다. IT 관리는 전략을 실행으로 옮기고 목표를 달성하는 방향으로 비즈니스를 추진합니다.
IT 거버넌스는 공공 부문과 민간 부문, 그리고 기본적으로 모든 산업 분야에서 규모와 관계없이 모든 조직에 실질적인 이점을 제공합니다. 그렇더라도 포괄적인 IT 거버넌스 솔루션을 구축하고 구현하는 데 필요한 시간과 노력은 소규모 기업에서는 엄두도 못 낼 정도입니다. 소규모 조직은 요구 사항의 범위를 넘어서는 것에 투자하기보다 단순화된 IT 거버넌스 솔루션을 구축하는 것을 선택할 수 있습니다. 반면 완전한 IT 거버넌스 프레임워크를 배정할 자원이 있는 대규모 조직은 그렇게 하도록 권장됩니다. 마찬가지로 규제가 심한 산업 내에서 운영되는 모든 조직은 규정 준수 및 책임 위험을 완화하는 데 도움이 되는 IT 거버넌스를 고려해야 합니다.
IT 거버넌스 프로그램을 구현하는 첫 단계는 프레임워크를 선택하는 것입니다. IT 거버넌스 프레임워크는 업계 전문가가 만들며, 일반적으로 기업이 IT 거버넌스로 원활하게 전환하는 데 도움이 되는 필수 가이드와 튜토리얼을 포함합니다. 가장 많이 사용되는 IT 거버넌스 프레임워크는 다음과 같습니다.
원래 IT 감사를 위한 프레임워크로 설계된 COBIT은 특히 위험 완화 및 관리에 중점을 두고 IT 거버넌스를 완전히 포함하도록 확장되었습니다.
IT 성능 향상이 주요 관심사인 조직에는 CMMI 프레임워크가 최적의 솔루션이 될 수 있습니다. CMMI는 숫자 척도(1~5)를 사용하여 회사의 IT 성능, 수익성 및 품질을 평가합니다.
다른 일부 프레임워크와 달리 COSO는 IT 전용으로 구성되지는 않았지만, 사기 방지, 기업 위험 관리 및 기타 비즈니스 측면에 더 중점을 두려는 조직에 여전히 효과적인 IT 거버넌스 솔루션입니다.
FAIR는 운영 위험 요인과 사이버 보안을 직접적으로 해결하도록 설계된 최신 IT 거버넌스 프레임워크입니다. 이 프레임워크는 다른 것들보다 최신 버전이지만 이미 상당한 지지를 받았습니다.
가장 균형 잡힌 프레임워크인 ITIL은 IT 관리와 IT 거버넌스를 결합하여 모든 관련 IT 서비스가 비즈니스의 핵심 프로세스와 일치하도록 보장합니다.
NIST 프레임워크는 구체적으로 IT 인프라 보안 위험을 관리하고 최소화하도록 설계되었으며 사이버 공격을 예방, 식별 및 대응하기 위한 표준과 가이드라인을 포함합니다.
ISO 27001은 IT 전문가들이 국제적으로 합의한 정보 보안 표준을 수립합니다. ISO는 조직이 기존의 사이버 보안 통제를 완전한 정보보호 관리 시스템(ISMS)으로 최적화하도록 지원합니다.
기술 및 보안 운영 제어에 중점을 둔 전문 프레임워크인 CIS는 IT 인프라의 복원성을 높임으로써 위험을 줄이기 위한 위험 분석 및 위험 관리를 피합니다.
다양한 옵션 중에서 선택할 수 있지만 기업은 사용할 IT 거버넌스 프레임워크를 결정하는 데 어려움을 겪을 수 있습니다. 다행인 점은 위에서 언급한 프레임워크는 제대로 구현하기만 한다면 거의 모든 회사에 적합한 솔루션이 될 수 있다는 것입니다. 반면 특정 프레임워크는 특정 작업, 부서 또는 목표에 보다 직접적으로 초점을 맞추고 있기 때문에 조직별로 적합성이 달라질 수 있습니다. 사용 가능한 프레임워크를 선택할 때 고려해야 할 사항은 다음과 같습니다.
IT 거버넌스 프레임워크의 검색을 유도하는 비즈니스 목적은 무엇일까요? 앞서 언급했듯이 프레임워크마다 장단점이 있으므로, 회사의 요구 사항에 초점을 두고 사용 가능한 프레임워크를 조사하면 효과적으로 후보 목록의 범위를 좁혀나갈 수 있습니다.
조직 문화도 프레임워크를 결정하는 데 중요한 역할을 합니다. 조직이 운영되고 상호 작용하는 전체 방식을 개선하는 것보다 IT 거버넌스 접근 방식을 변경하는 것이 더 간단하기 때문에 기업 문화에 부합하고 이해 관계자의 공감을 끌어낼 수 있는 프레임워크를 찾는 것이 최우선 과제여야 합니다.
단일 프레임워크만으로는 회사의 요구 사항을 충족하지 못할 경우 2개 이상의 프레임워크를 결합하는 것이 해답이 될 수 있습니다. ITIL 및 COBIT과 같은 특정 프레임워크는 서로 매우 잘 보완합니다.
유형에 관계없이 현대의 모든 기업은 IT 시스템, 도구 및 자원에 크게 의존하지만 IT를 최대한 활용하고 모든 자산이 공통된 목표를 달성하기 위해 완벽하게 조율되도록 하는 것은 쉬운 일이 아닙니다. IT 관리 솔루션의 리더인 ServiceNow는 ServiceNow Governance, Risk, and Compliance(GRC)를 통해 해답을 제공합니다.
Now Platform®을 기반으로 구축된 ServiceNow GRC는 IT 자산을 통합하여 기업이 위험 요소와 복원성을 실시간으로 관리하도록 지원합니다. 그리고 사용이 간편하고 채팅, 모바일 및 온라인 포털을 통해 액세스할 수 있는 대시보드에 모든 관련 IT 데이터를 시각적으로 표시함으로써 완전한 투명성을 제공합니다. 또한 지속적인 최신 모니터링을 사용하여 규정 준수 및 벤더 상태를 추적하고 조직 전반에서 리더, 의사 결정권자 및 이해 관계자를 연결합니다. 그리고 이 모든 과정에서 고급 자동화를 사용하여 생산성을 높이고 오류를 최소화하며 전반적인 IT 가치를 높일 수 있습니다.
지금 ServiceNow GRC 데모를 시청하고 IT 거버넌스를 비즈니스에 적용해 보십시오.
ServiceNow를 통해 위험과 복원성을 실시간으로 관리하십시오.