IT 위험 평가 – 방법과 이유

<노스크립트> Trustwave의 Michael Aminzade

사이버 범죄자로부터 완전한 보호를 보장하는 것은 사실상 불가능한 작업일 수 있지만 조직은 정기적인 IT 위험 평가를 수행하여 공격을 피할 수 있는 최상의 기회를 제공할 수 있습니다. 현재 위협 환경은 격동의 환경이며 위험 관리 프로세스를 평가하여 조직의 특정 과제를 해결하는 것이 우선 순위가 되어야 합니다. 가장 큰 위험이 식별되면 비즈니스의 특정 요구 사항을 해결하는 최적의 보안 수준 구현을 시작할 수 있다고 Trustwave의 글로벌 규정 준수 및 위험 서비스 담당 부사장인 Michael Aminzade는 말합니다. .

정보 보안 위험 평가 수행의 최종 결과는 가장 큰 결함이 있는 곳을 식별하고 이를 인식하고 위협을 완화하기 위해 작동할 수 있는 계획을 개발하는 것입니다. 위험 평가를 시작하기 전에 비즈니스 목표에 대한 명확한 이해가 필요합니다. 잠재적인 위협, 손상 가능성 및 손실의 영향을 초기에 설정해야 합니다. 조직의 모든 측면과 관련된 고위 경영진, IT 관리자 및 이해 관계자와 심층 인터뷰를 수행하면 보안에 허점이 있는 부분을 파악하는 데 도움이 될 수 있습니다.

고전 CIA 기밀성, 무결성 및 가용성의 트라이어드(triad)는 종종 평가를 수행하기 위한 기초로 사용되며 사이버 보안을 위한 유용한 지침 모델입니다. 트라이어드 사이의 적절한 균형은 달성하기 어려울 수 있습니다. 가용성에 초점을 맞추면 기밀성과 무결성이 손상될 수 있으며 기밀성 또는 무결성을 너무 강조하면 가용성에 영향을 미칠 수 있습니다.

철저한 평가가 이루어지면 다음 단계는 비즈니스 위험을 완화하는 데 가장 적합한 보안 제어를 결정하는 것입니다. 여기에는 기술, 정책, 프로세스 및 절차의 조합이 포함될 수 있습니다.

위험 평가 프레임워크

보안 위험 평가를 수행할 때 도움이 되도록 선택할 수 있는 여러 보안 프레임워크가 있습니다. 가장 일반적인 다섯 가지는 ISO 27000x 시리즈, OCTAVE, COBIT, NIST 800-53 및 NIST 사이버 보안 프레임워크입니다. 5가지 프레임워크 중 NIST(National Institute of Standards and Technology)가 가장 선호되는 프레임워크로 떠올랐으며 기업, 교육 기관 및 정부 기관에서 정기적으로 사용하고 있습니다.

NIST는 미국 상무부의 한 부서로 무료로 지침 문서를 제작했습니다. 사이버 보안 프레임워크(CSF)는 모든 규모와 수준의 사이버 보안 수준에 관계없이 조직이 위험 관리 모범 사례를 적용할 수 있도록 설계되었습니다.

프레임워크는 프레임워크 프로필, 프레임워크 코어 및 프레임워크 구현 계층의 세 가지 구성요소로 구성됩니다. 프레임워크는 유연하도록 설계되었으며 ISO(국제 표준화 기구) 표준과 같은 다른 사이버 보안 위험 관리 프로세스와 함께 사용할 수 있습니다. 따라서 미국 이외의 지역에서도 위험 평가와 관련이 있습니다.

NIST 800-53은 미국 연방 정보 처리 표준(FIPS) 준수를 지원하도록 설계되었으며 NIST 사이버 보안 프레임워크(CSF)의 전신입니다. 이 특별 간행물은 구현된 통제의 효율성에 대한 증거, 사용된 위험 관리 프로세스의 품질 표시 및 정보 시스템의 강점과 약점에 관한 정보에 대한 증거를 조직 공무원에게 제공합니다.

모범 사례

사이버 범죄가 상용화되면서 많은 조직이 순수한 규정 준수에서 훨씬 더 광범위한 위험 완화 및 데이터 보호 전략으로 전환하고 있습니다. 위험 평가 방법론은 항상 내부 시스템뿐만 아니라 전체 공급망을 다루었습니다. 그러나 최근에는 내부 시스템에 대한 제3자 공급업체의 액세스 위험도 평가하는 데 더 많은 초점을 맞추고 있습니다.

마찬가지로 BYOD(bring you own device) 추세로 인해 엔드포인트 보안에 초점을 맞추고 엔드포인트가 조직의 위험 프로필에 미치는 영향을 고려해야 합니다. 복잡성이 추가됨에 따라 MSSP(관리 보안 서비스 공급자)와 협력할 때의 이점을 고려해 볼 가치가 있습니다. 그들의 광범위한 지식과 경험은 조직이 계속 확장되는 네트워크를 보호하는 최선의 방법을 이해하는 데 도움이 될 수 있습니다.

위험 평가 모델을 개발할 때 고위 경영진의 지원을 받는 것이 중요하며, 고위 경영진은 조직에 내재된 위험을 이해하고 수용하거나 위험을 완화하고 위험 태세를 조직에 맞게 되돌릴 계획이 있어야 합니다. 예상 수준입니다.

이상적으로는 CISO 또는 CIO가 위험 평가 일정과 결과, 개선 계획을 감독하고 나머지 경영진에게 정기적인 업데이트를 제공해야 하지만 모든 직원은 이러한 문제에 대한 책임도 공유한다는 사실을 상기해야 합니다. 비즈니스 보안.

악성 이메일과 같은 위험을 인식하는 방법과 위험을 식별했다고 의심되는 경우 절차에 대한 교육이 제공되어야 합니다. 궁극적으로 기업은 완벽한 보안은 없다는 사실을 인식해야 하며 목표는 조직을 위한 최적의 보안 수준을 유지하는 것이어야 합니다.

위험 프레임워크를 설정하고 IT 위험 평가를 수행하면 조직에 적합한 보안 수준을 식별하는 데 도움이 됩니다. 약점이 식별되면 이를 해결하여 비즈니스를 최대한 안전하게 유지할 수 있습니다.

위험 평가를 보안 성숙도 평가와 결합하면 조직에서 보안 로드맵에 대한 투자 전략을 수립할 수 있을 뿐만 아니라 승인된 투자에 대한 비즈니스 수익을 입증할 수 있습니다.

이 블로그의 작성자는 Trustwave의 글로벌 규정 준수 및 위험 서비스 담당 부사장인 Michael Aminzade입니다.