사이버 보안 전문가에게 물어볼 5가지 질문

거의 매주 우리는 사이버 공격의 희생자가 된 다른 회사 또는 조직에 대한 소식을 듣습니다. 우리는 사이버 범죄자들이 더 끈질기고 더 부지런히 정보를 보호해야 한다는 것을 알고 있습니다.

나는 우리의 개인적인 삶에서 우리 대부분이 더 조심하려고 노력한다고 생각합니다. 개인 비밀번호를 123456으로 설정하던 시대는 지났습니다(희망합니다). 그러나 우리는 사무실에 동일한 수준의 관심을 갖고 있지 않은 것 같습니다. 우리 IT 전문가가 우리의 사이버 보안을 확실히 관리하고 있기 때문에 걱정할 필요가 없습니다. 그렇죠?

사실, 우리는 직원으로서 우리가 일하는 회사를 보호하는 데 중요한 역할을 하며 비즈니스를 손상시키는 데는 한 번의 잘못된 클릭만 있으면 됩니다. 윌리스 타워스 왓슨(Willis Towers Watson)의 최근 연구에 따르면 사이버 사고 청구의 90%는 어떤 유형의 사람의 실수나 행동으로 인해 발생합니다. 다음은 회사를 더욱 안전하게 만드는 과정에서 도움이 되는 5가지 질문과 답변입니다.

1. 우리 회사가 직면한 주요 사이버 위험은 무엇입니까?

기업의 위험은 고유한 운영 환경에 따라 크게 달라지므로 평가하고 고려해야 할 사항이 많습니다.

이메일을 사용하는 직원이 많습니까? 스피어 피싱은 귀하에게 가장 큰 위험이 될 수 있습니다. 작업 현장의 IP 주소가 있는 모든 장치가 보호됩니까? 그렇지 않은 경우 악성 코드, 무단 액세스 및 사용 또는 데이터 유출이 가장 큰 위험이 될 수 있습니다.

사이버 보안 위험 평가를 수행하는 것은 조직의 정보 보안 관리 프로그램의 핵심 부분이어야 합니다. 회사의 중요하고 안전한 데이터, 정보 자산 및 시설과 관련하여 어느 정도의 위험이 수반된다는 것은 누구나 알고 있습니다. 그러나 이 사이버 보안 위험을 어떻게 수량화하고 준비합니까? IT 보안 위험 평가의 목적은 회사의 중요 자산이 직면한 보안 위험을 파악하고 이를 보호하기 위해 얼마나 많은 자금과 노력을 기울여야 하는지 파악하는 것입니다.

NIST 위험 관리 프레임워크(RMF)는 시작하기에 좋은 리소스입니다. RMF는 조직에서 제어할 수 있는 시스템과 조직의 비즈니스 프로세스로 인해 발생하는 위험 부분을 관리하기 위한 구조적이면서 유연한 접근 방식을 제공합니다.

2. 비밀번호 관리자를 사용해도 되나요?

개인 온라인 계정에 암호 관리자를 사용하는 것이 보안을 유지하는 훌륭한 방법이지만 직장에서 소프트웨어를 사용하기 전에 회사 정책을 확인하는 것을 잊지 마십시오.

암호 관리자는 암호를 저장하고 각 사이트에 고유한 암호를 생성하는 데 도움을 줄 수 있습니다. 그러나 모든 비밀번호를 한 곳에 보관하는 것은 위험합니다. 비밀번호가 어떻게 보호되고 암호화되는지 이해하는 것이 중요합니다. 여러 장치 및 브라우저에서 작동하는 다양한 상용 제품이 있으므로 귀하의 요구 사항에 가장 적합한 제품을 찾기 위해 조사하십시오.

3. 우리 회사는 주요 정보 보안 프레임워크 또는 표준을 준수하고 있으며 준수해야 합니까?

귀하의 지적 재산과 민감한 고객 및 직원 정보를 보호하면 귀하와 귀하의 고객이 안심할 수 있습니다. 또한 재정적 영향, 생산성 감소 및 신뢰 상실을 고려할 때 사이버 공격으로 인해 손실을 입을 수 있는 건전한 비즈니스 관행입니다.

국방부(DoD) 공급망에 속한 회사의 경우 이러한 보호가 절대적으로 필요합니다. 이러한 회사는 DFARS(Defense Federal Acquisition Regulation Supplement) 최소 보안 표준을 충족해야 하며 그렇지 않으면 DoD 계약을 잃을 위험이 있습니다.

다음은 위험을 이해하고 완화하는 데 도움이 되는 보안 프레임워크 또는 표준의 몇 가지 예입니다. NIST 사이버 보안 프레임워크, NIST SP 800-53 - 정보 시스템 및 조직을 위한 보안 및 개인 정보 제어, NIST MEP 사이버 보안 자체 평가 핸드북 및 지불 카드 산업 데이터 보안 표준(PCI DSS). 어떤 문서를 참조해야 하는지 혼동하기 쉽기 때문에 각 문서에 대해 조금 더 자세히 알아보세요.

<울>

프레임워크는 보안 및 개인 정보 보호 제어 카탈로그인 NIST SP 800-53에 비해 더 높은 수준(더 간결함)입니다. 프레임워크는 기술적 배경이 없는 경영진과 의사 결정권자에게 더 쉽게 관리할 수 있습니다. 또한 보안 기능을 평가하고 우선 순위를 지정하는 방법에 초점을 맞추고 NIST SP 800-53과 같은 기존 문서를 참조합니다. 이 문서는 보안을 구현할 기술 직원이 가장 잘 사용하고 선택 및 구현할 컨트롤에 대한 자세한 정보를 이해할 수 있습니다.

NIST MEP 사이버 보안 자체 평가 핸드북은 귀사가 DFARS 사이버 보안 요구 사항에 대한 NIST SP 800-171 보안 요구 사항을 준수하는 데 도움이 됩니다. 이 핸드북은 NIST SP 800-171 rev 1, "Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations"의 보안 요구 사항에 대해 소규모 제조업체의 정보 시스템을 평가하는 단계별 가이드를 제공합니다.

<울>

PCI DSS(Payment Card Industry Data Security Standard)는 신용, 직불 및 현금 카드 거래의 보안을 최적화하기 위해 널리 인정되는 일련의 정책 및 절차입니다. PCI DSS는 Visa, MasterCard, Discover 및 American Express가 2004년에 만들었습니다. 카드 소지자 데이터를 저장, 처리 또는 전송하는 모든 회사는 결제 보안을 유지해야 합니다. 카드 소유자 데이터의 침해 또는 도난은 전체 지불 카드 생태계에 영향을 미칩니다. 회사에 미치는 영향의 몇 가지 예는 고객 신뢰 상실, 매출 감소, 사기 손실, 법적 비용, 벌금 및 지불 카드 승인 기능 종료입니다. PCI DSS 규정 준수를 유지하는 것은 카드 결제를 처리하고 카드 소유자 데이터 도용을 목표로 하는 공격에 대비한 사이버 방어를 유지하는 회사의 장기적인 성공에 매우 중요합니다. 대부분의 소규모 회사는 자체 검증 도구를 사용하여 카드 소지자 데이터 보안 수준을 평가할 수 있습니다.

4. 이중 인증이란 무엇이며 어떻게 활성화합니까? 비밀번호가 충분하지 않은 이유는 무엇입니까?

2단계 인증(2FA)은 자신이 누구인지 확인하는 데 사용되는 추가 보안 계층입니다. 문제는 사용자 이름과 비밀번호만으로도 쉽게 추측할 수 있고 사람들이 여러 사이트에서 동일한 비밀번호를 사용한다는 점입니다. 공개된 사건에 따르면 1분마다 5,518개의 기록이 유출되는 것으로 나타났습니다.

2FA는 다른 사람들이 귀하의 계정에 쉽게 액세스하는 것을 방지합니다. 2FA가 활성화되면 로그인 페이지에 사용자 이름과 비밀번호를 입력합니다. 그런 다음 즉시 액세스 권한을 얻는 대신 다른 정보를 제공해야 합니다. 이 두 번째 요소는 다음 중 하나일 수 있습니다.

<울>

알고 있는 것 – 개인 식별 번호(PIN), 암호 또는 비밀 질문에 대한 답변.

가지고 있는 것 – 신용 카드, 키 카드, 스마트폰, 하드웨어 또는 소프트웨어 토큰 또는 사이트의 알림

당신이 무엇인가 – 지문, 홍채 스캔 또는 음성 지문의 생체 인식 패턴.

사이트나 앱에 2FA가 있는지 여부가 확실하지 않은 경우 TwoFactorAuth.org를 방문하여 알아보세요.

모든 계정에 대해 2FA를 켜십시오. Telesign의 2FA 활성화에 대한 단계별 지침을 참조하십시오:https://www.turnon2FA.com.

5. 내 업무에 유용할 것으로 판단되는 애플리케이션을 구매하기 위한 승인 절차가 있습니까?

대부분의 회사에는 소프트웨어 구매 방법에 대한 정책이 있습니다(박스형/온라인 또는 클라우드에서 외부 호스팅). 즉시 사용할 수 있는 응용 프로그램과 해당 응용 프로그램이 처리 및/또는 저장될 데이터가 사용하기에 충분히 안전한지 확인하기 위해 추가 조사가 필요한 응용 프로그램을 아는 것이 중요합니다. 무엇이 필요한지 파악하고 사이버 보안 전문가와 협력하여 정보가 적절하게 보호될 수 있도록 필요한 프로세스를 진행하십시오.

사이버 보안 위험을 더 잘 이해하려면 MEP National Network ^TM 를 사용할 수 있습니다. 사이버 보안 자체 평가 도구. 질문이 있거나 사이버 보안 전문가와 상담하고 싶다면 지역 MEP National Network Center에 문의하십시오.