미래 지향적 정보 보안 프로세스를 구축하기 위한 다섯 가지 방법

DDoS에서 IP 절도까지 사이버 공격으로 조직이 피해를 입고 있습니다.  이러한 공격이 수익률에 미치게 될 영향을 인지하게 되면서 점점 더 많은 기업이 기꺼이 사이버 위험 관리에 동참하고 있습니다. Global State of Information Security® Survey 2014에 따르면 선두 조직에서는 “보안 기능을 단순한 IT 문제가 아니라 필수적인 비즈니스 요소로 간주하여 개선”한다고 합니다. 지난해 인시던트로 인한 평균 손실은 18%에 달했는데, 손실을 줄이는 데 드는 시간에 비해 막대한 책임을 져야 하는 상황이 더 빠르게 늘고 있는 실정입니다. 조직이 혁신하고 번창하려면 더 능동적인 사이버 위험 관리가 필요합니다.

기업이 보안 방정식에 대한 해답을 찾으려면 보안 팀에 어떤 전략이 필요할까요? 무엇보다 공식화되고 일관된 보안 프로세스를 구축하여 핵심 비즈니스 프로세스에 통합해야 합니다. 보안 팀은 비즈니스 조직과 긴밀하게 협의하여 목표를 수립하고 위험에 대한 교육을 실시하며 해결 방법을 전달해야 합니다. 그러려면 비즈니스를 수행할 때 정보가 사용되는 방식을 이해하고 핵심 비즈니스 프로세스를 완벽하게 보호하는 최적의 방법을 찾아야 합니다.

SBIC는 지금까지 기업이 사이버 위험을 적극적으로 관리해야 한다는 주장을 옹호해 왔습니다. 최신 보고서에서는 보안 프로세스의 최적화에 대해 중점적으로 다루며 체크리스트 준수 및 경계 기반 보안 시대의 임시 방편적 프로세스로는 현재의 사이버 위험을 관리할 수 없다는 사실을 지적합니다.  Future-Proofing Processes라는 제목의 이 보고서는 구식의 보안 프로세스가 야기하는 다음과 같은 심각한 결과를 조명합니다.

  • 위험 관리에 기술적 용어를 사용하여 비즈니스 리더에게 조언을 제공하기가 어려움
  • 복잡한 수동식 위험 추적 방법은 비즈니스 사용자가 쉽게 사용할 수 없음
  • 단편적인 시점 제어 평가는 더 이상 충분하지 않음
  • 타사 보안 평가 및 감독 시스템은 빠른 수정이 필요함
  • 위협 데이터를 취합 및 분석하여 의미 있는 데이터를 도출하는 방향으로 발전이 이루어져야 함

이 다섯 가지 권장 사항은 기존 프로세스 업데이트, 새로운 핵심 프로세스 설계 및 기술 업그레이드를 통해 정보 보안 프로그램의 발전을 주도하는 방법에 대한 지침을 제공합니다. 여기에는 다음이 포함됩니다.

  1. 기술 자산에 맞췄던 초점을 핵심 비즈니스 프로세스로 이동 – 프로세스를 문서화하는 작업을 시작하고 가장 중요한 비즈니스 프로세스를 완벽하게 보호하는 방법을 고민하십시오.
  2. 사이버 보안 위험에 대한 비즈니스 예측 도입 – 인시던트의 발생 가능성 및 영향을 예측하는 시나리오를 개발하고 금전적 손실 예측을 통해 위험을 수량화하는 기술을 연마하십시오.
  3. 비즈니스 중심 위험 평가 프로세스 설정 – 위험 추적에 자동화된 툴을 사용하여 기업이 책임감을 가질 수 있도록 하십시오.
  4. 증거 기반 제어 보장을 위한 방침 마련 – 내부 및 타사를 통한 평가 시 관련 데이터를 수집하여 제어의 효용성을 지속적으로 테스트하십시오.
  5. 정보 기반 데이터 수집 방법 개발 – 데이터 분석에서 답을 얻을 수 있는 질문 유형을 검토한 다음 데이터 활용 사례를 작성하십시오.

정보 보안 팀에 대한 요구와 기대치가 증폭되는 현재와 같은 상황에서 긍정적인 변화를 이끌어 내려면 새로운 시각으로 핵심 프로세스를 바라볼 필요가 있습니다. 최근에 발표한 이 지침은 조직에서 주목할 가치가 있는 프로세스를 찾고 해당 프로세스로 초점을 이동하는 데 도움이 될 수 있습니다.

 “모든 것이 가능한 비즈니스, 기술, 위협 환경에서 바로 지금 정보 보안이 집중 조명을 받고 있는 이유는 조직의 성공이 정보 보안의 발전에 달려 있기 때문입니다. 정보 보안 전문가에게 있어 지금은 기존의 보안 방식을 완전히 혁신할 수 있는 둘도 없는 기회의 시기입니다.”

Roland Cloutier, Automatic Data Processing, Inc 부사장 겸 CSO(Chief Security Officer)

 

Leave a Reply

Your email address will not be published. Required fields are marked *

No Comments