추천
보안을 강화하기 위한 모든 기업의 여정은 서로 고유하게 다릅니다. 목표 보안 프로필에 영향을 줄 수 있는 요인에는 운영 위험, 고유한 운영 작업 흐름, 정책, 절차, 위험 감수 등이 있습니다.
안타깝지만 100% 위험이 없는 상태가 되는 것은 불가능합니다. 목표는 귀사의 고유한 작동 환경을 기반으로 허용 가능한 위험 수준을 설정하는 것이어야 합니다.
산업 보안 강도 또는 태세를 개선하기 위한 여정이 복잡해 보일 수 있으며 그럴 만한 이유가 있습니다. 다양한 방법론, 산업 표준 및 시장에 있는 사용 가능한 기술로 인해 앞으로 나아갈 방향이 명확하지 않을 수 있습니다. 궁금할 수 밖에 없습니다. "우리는 어디에서 시작합니까?"
이 여정을 시작하는 한 가지 방법은 보안 평가를 사용하는 것입니다. 가장 간단한 형태의 보안 평가는 시스템 또는 조직의 보안 태세에 대한 구조화된 측정입니다.
적절하게 사용할 경우 평가는 현재 보안 태세를 평가하고, 현재 상태와 이상적인 목표 상태 사이의 격차를 식별하고, 목표 보안 태세를 달성하기 위한 명확한 단계를 제시하는 매우 효과적인 방법이 될 수 있습니다.
평가 유형
"보안 평가"라는 문구는 여러 가지를 의미할 수 있으므로 이니셔티브의 의도에 따라 평가 범위를 적절하게 지정하는 것이 중요합니다. 가장 일반적인 유형의 평가는 보안 프로그램에서 취하는 단계에 영향을 줄 수 있는 각각 다른 결과를 제공할 수 있습니다.
- 취약성 평가: 환경 내에 존재하는 알려진 취약성을 식별하여 실행 계획을 수립하여 취약성을 수정합니다.
- 격차 분석: 조직의 기존 보안 태세와 보안 태세의 이상적인 목표 상태 사이의 격차를 식별합니다. 격차 분석은 일반적으로 기업 또는 산업 표준을 고려하며 원하는 목표 보안 태세를 달성하는 데 필요한 단계를 명확하게 정의하기 위한 것입니다.
- 위험 평가: 조직의 보안 상태에 대한 보다 전체적인 관점을 제공합니다. 위험 평가는 취약성 평가와 격차 평가의 요소를 결합하여 조직의 위험 감수 범위와 이상적인 보안 태세에 대해 알려진 위험을 식별하고 평가합니다.
- 보안 감사: 이 평가 기반 서비스는 일반적으로 NERC-CIP 또는 기타 표준과 같은 규정 준수를 보장하기 위해 주어진 산업 표준 또는 요구 사항 기관에 대해 조직의 보안 태세 및 관행을 감사합니다.
위의 내용은 일반적인 유형의 보안 평가이지만 선택하기 전에 의도한 목표를 이해하는 것에서 시작하는 것이 중요합니다. 이는 적절한 기대가 일치하고 충족되도록 하는 데 중요하며 사이버보안 프로그램을 진행하기 위해 가장 효과적인 평가가 선택됩니다.
현실적으로 생각하기
조직에 적합한 평가 유형을 고려할 때 평가는 한 시점의 요약 정보라는 점을 기억하십시오. 이를 조직의 보안 프로그램에 대한 유일한 솔루션으로 간주해서는 안 됩니다. 그보다는 유지보수, 관리 및 기술 제어가 의도한 위험 감수 범위에 적합한지 확인하기 위한 정기 점검과 같습니다.
제한된 예산과 제한된 리소스를 처리하고 조직 전체에서 평가를 수행할 수 없는 경우 평가 범위를 조직의 일부인 기준선으로 축소하는 ‘대표 샘플’ 접근 방식을 사용할 수 있습니다.
종합적으로 적용하기
보안 평가는 현재 보안 태세를 평가하는 효과적인 도구가 될 수 있지만 목표 보안 프로필을 달성하기 위해 적절히 선택하고 범위를 지정하고 명확하고 실행 가능한 단계를 제시하는 실행 가능한 로드맵과 병용해야 합니다. 적절한 제공자가 평가와 강력한 보안 프로그램 구축을 도울 수 있습니다.
Published 2019년 4월 29일 (월)