IT 컴플라이언스 및 vCIO 전략

이 페이지는 서로 연관된 두 가지 요구를 다룹니다. 첫째는 컴플라이언스 지원입니다. 이는 HIPAA, 즉 미국의 보건의료정보에 관한 규정인 Health Insurance Portability and Accountability Act, PCI, Payment Card Industry Data Security Standard, SOC 2(보안 및 통제 보고를 위한 일반적인 프레임워크), 그리고 사이버 보험 설문지 같은 흔한 요구사항에 대해 귀사의 준비를 돕는 것을 의미합니다. 요구사항은 업종과 주(州)에 따라 달라서, 적절한 범위는 귀사의 상황에 따라 결정됩니다.

둘째는 vCIO 전략입니다. vCIO는 가상(virtual) Chief Information Officer, 즉 가상 CIO입니다. 쉬운 말로 하면 파트타임 기술 기획 역할입니다. 단순히 매일 발생하는 문제를 해결하는 데만 그치지 않고, 제공업체가 시스템, 보안 우선순위, 예산, 벤더 선택, 향후 업그레이드에 대한 실행 계획을 세울 수 있도록 돕습니다.

대부분의 소규모 및 중견 기업에서는 이 두 서비스가 함께 필요해집니다. 컴플라이언스는 문서화하고 개선해야 할 항목 목록을 만들어 줍니다. vCIO 기획은 무엇을 먼저 할지, 무엇은 미뤄도 되는지, 그리고 향후 12~24개월 동안 어떤 비용이 들 수 있는지를 결정하는 데 도움을 줍니다.

NodeBridge IT는 이 업무를 직접 수행하지 않습니다. 우리는 일반적이고 쉬운 언어로 된 가이드를 제공하며, 독립적인 관리형 IT 제공업체들 중에서 귀사에 맞는 곳을 연결해 드립니다.

좋은 제공업체는 보통 먼저 디스커버리(현황 파악)를 시작합니다. 이는 귀사가 어떻게 운영되는지, 어떤 소프트웨어를 쓰는지, 데이터가 어디에 있는지, 인원과 기기가 몇 대인지, 그리고 어떤 규정이 적용되는지를 파악하는 것을 뜻합니다. 또한 정책, 벤더 계약, 보험 서류, 백업 보고서, 보안 설정 등을 검토할 수도 있습니다. 그리고 무엇을 확인하는지, 그 이유가 무엇인지 설명해야 합니다.

그다음에는 흔히 갭 리스트(gap list)를 만듭니다. 이는 현재 귀사가 가진 것과, 업계나 고객, 보험사 또는 내부 목표에서 기대하는 수준을 단순 비교한 것입니다. 예로는 MFA로 계정 보호를 하는 것(다중 요소 인증: 비밀번호에 더해 두 번째 단계로 로그인하는 방식), 기기 보안, 백업 운영 방식, 직원 교육, 문서화된 정책, 벤더 리스크 등이 포함될 수 있습니다.

만약 관리형 서비스를 함께 제공한다면 EDR 같은 도구와 루틴을 권장할 수 있습니다. EDR은 Endpoint Detection and Response의 약자로, 의심스러운 활동이 있는지 업무용 컴퓨터와 서버를 모니터링합니다. RMM은 Remote Monitoring and Management의 약자로, 제공업체가 시스템의 상태를 추적하고 정기 유지보수를 수행할 수 있게 해줍니다. Endpoint protection에서 endpoint는 노트북이나 데스크톱 같은 업무용 장비를 의미합니다. 또한 패치팅(patching)은 소프트웨어와 보안 업데이트를 적용하는 것을 말합니다.

기획 측면의 vCIO 스타일 서비스라면 보통 정기 리뷰 미팅, 기술 로드맵, 예산 지원, 자산 계획, 그리고 노후 하드웨어 교체 시점이나 소프트웨어 벤더 변경 시점에 대한 조언이 포함됩니다. 목표는 멋진 전략 슬라이드가 아닙니다. 실제로 귀사가 활용할 수 있는 명확한 계획이어야 합니다.

컴플라이언스 작업이 유용한 이유는 질서를 만들어 주기 때문입니다. 어떤 방식으로 일이 진행되어야 하는지 문서화하고, 취약 지점을 파악하며, 감사(audit)나 고객 설문, 또는 보험 갱신에 대비할 수 있습니다. 또한 보안이나 IT 작업 중 무엇이 가장 중요한지 추측하느라 돈을 낭비하는 일을 줄이는 데도 도움이 됩니다.

하지만 컴플라이언스는 완벽한 보안과 같은 의미가 아닙니다. 체크리스트가 있더라도 비즈니스를 해킹 불가능하게 만들지 못하며, 어떤 정직한 제공업체도 무중단, 무침해, 또는 보장된 데이터 복구를 약속할 수는 없습니다. 좋은 제공업체는 이 점을 분명히 말해야 합니다.

백업도 마찬가지입니다. 3-2-1 백업 접근법에 대해 들을 수 있습니다. 이는 중요 데이터 3개의 사본을 2종류의 서로 다른 저장소에 보관하고, 그중 1개 사본은 오프사이트(offsite)로 두는 것을 의미합니다. 강력한 방식이긴 하지만 여전히 테스트와 모니터링, 그리고 명확한 복구 절차가 필요합니다.

사이버 보험용 양식 작성에 제공업체가 도움을 준다면, 그들이 그 질문들을 이해하도록 돕는 정도인지, 아니면 그 답변 뒤에 있는 기술적 통제(controls)까지 실제로 점검하는지 확인해 보세요. 이 차이는 중요합니다.

가격은 전반적으로 큰 차이가 있습니다. 실제 숫자는 인원 수, 기기 수, 위치(지점) 수, 업종별 요구사항, 이미 존재하는 문서의 양, 그리고 얼마나 직접적인(Hands-on) 작업이 필요한지에 따라 달라집니다. 아래 범위는 견적(quote)이 아니지만, 기대치를 세우는 데는 도움이 될 수 있습니다.

주로 컴플라이언스 검토가 필요하고, 기본 정책 지원과 짧은 개선 계획이 필요한 소규모 비즈니스라면 프로젝트가 약 $2,000~$7,500부터 시작되는 경우를 볼 수 있습니다. 환경이 더 복잡하거나 여러 사무실이 있거나 규제 대상 데이터를 다루거나, 광범위한 문서화가 필요하다면 프로젝트 작업은 $7,500~$25,000 이상으로 이어질 수 있습니다.

지속적인 vCIO 지원의 경우, 일부 제공업체는 이를 월 단위 관리형 IT 서비스에 번들로 포함합니다. MSP는 managed services provider의 약자로, 관리형 서비스 형태로 업무용 IT를 지속적으로 원격 지원하고 유지보수하는 회사를 의미합니다. 다른 경우에는 vCIO 기획이 별도의 월간 서비스로 제공될 수 있으며, 보통 미팅 빈도, 비즈니스 규모, 범위에 따라 월 수백 달러대에서 수천 달러대까지 다양하게 책정될 수 있습니다.

또한 보안 도구, 백업 시스템, 이메일 보호, 직원 교육, 정책 플랫폼, 감사 준비, 또는 개선(remediation) 작업에 대해 별도 비용을 지불할 수도 있습니다. 반복되는 IT 비용을 더 폭넓게 보고 싶다면 관리형 IT 서비스 비용이 얼마나 드는지에 대한 가이드를 참고하세요.

제공업체에 귀사의 컴플라이언스 필요를 쉬운 말로 설명해 달라고 요청하세요. 어떤 요구사항이 적용되는지, 무엇이 선택 사항인지, 일반적으로 어떤 증거(evidence)가 필요한지, 그리고 처음 90일은 어떻게 진행될지 설명할 수 있어야 합니다. 답변이 막연하다면 계속해서 더 구체적으로 질문하세요.

그들이 제공하는 것이 조언만인지, 일회성 프로젝트인지, 또는 지속적인 관리형 지원인지도 확인해야 합니다. 만약 SLA를 언급한다면, SLA는 service level agreement(서비스 수준 계약)으로, 어떤 응답 시간, 커버리지 시간, 책임이 포함되는지 적어둔 문서입니다. 그 내용을 꼼꼼히 읽어보세요.

또한 문서를 누가 소유하는지, 얼마나 자주 업데이트되는지, 백업 테스트는 어떻게 진행되는지, 직원이 교체되는 동안은 어떤 일이 일어나는지, 그리고 연례 리뷰(annual reviews), 보험 갱신, 고객 보안 설문지 같은 상황에서 어떻게 도움을 주는지 물어보세요. 규제 산업이라면 기대치가 바뀌는 상황에서 어떤 방식으로 최신 상태를 유지하는지도 확인하되, 법률 해석은 여전히 변호사나 컴플라이언스 전문가의 도움이 필요할 수 있다는 점도 이해해야 합니다.

가장 중요한 것은 범위를 문서로 받는 것입니다. 여기에 산출물(deliverables), 일정(타임라인), 미팅 일정, 가정(assumptions), 제외 항목(exclusions), 도구 비용(tool costs), 갱신 조건(renewal terms), 그리고 발견된 갭을 수정하는 책임이 누구에게 있는지가 포함되어야 합니다. 명확한 문서가 나중에 혼란을 줄입니다.

컴플라이언스, 보험 양식, 또는 장기 IT 계획을 정리하려는 중이라면, 먼저 전문가가 될 필요는 없습니다. 해야 할 일을 명확하게 설명해 줄 수 있고, 서비스 수준을 귀사에 맞게 연결해 줄 수 있는 제공업체가 필요할 뿐입니다.

NodeBridge IT는 무료 매칭 서비스입니다. 우리는 MSP, IT 회사, 또는 보안 업체가 아니며, 귀사의 시스템이나 계정에 접근하지 않습니다. 독립적인 관리형 IT 제공업체와 귀사를 매칭해 드리기 위해 기본적인 비즈니스 정보와 연락처 정보만 수집합니다.

아직 옵션을 비교 중이라면 더 폭넓은 서비스 개요도 살펴볼 수 있습니다. 목표는 간단합니다. 무엇을 구매하는지, 비용이 어느 정도일 수 있는지, 계약에 서명하기 전에 어떤 질문을 해야 하는지 이해할 수 있도록 도와드리는 것입니다.