회사의 사이버 보안 위험을 식별하는 방법

이 기사는 원래 IndustryWeek에 실렸습니다. MEP National Network ^TM 의 일부인 Ohio MEP의 남서부 지역 파트너인 TechSolve, Inc.의 Grant Program Manager인 Traci Spencer의 게스트 블로그 게시물 .

이 기사는 "제조업체를 위한 사이버 보안"에 관한 모범 사례를 요약한 5부작 시리즈의 첫 번째 기사입니다. 이러한 권장 사항은 미국 제조 부문의 표준이 된 NIST(National Institute of Standards and Technology) 사이버 보안 프레임워크를 따릅니다.

Ponemon Institute의 2018년 IBM 후원 연구에 따르면 데이터 유출의 전 세계 평균은 386만 달러입니다. 이는 도난 기록당 거의 $150로 나뉩니다. 중소 제조업체라면 이와 같은 통계가 자신에게 적용되지 않는다고 생각할 수 있습니다. 그러나 보고서에 나타난 17개 산업 중 가장 큰 영향을 받은 산업은 금융, 서비스, 대기 산업인 제조업이었습니다.

제조업체는 종종 정보 보안에 더 적은 리소스를 투입하기 때문에 사이버 범죄자에게 인기 있는 표적이 됩니다. 그리고 소규모 제조업체의 전체 운영 시스템을 황폐화하는 데 단 한 번의 사이버 공격만 있으면 됩니다. 네트워크로 연결된 기계, 공급업체, 유통업체 또는 고객까지도 모두 제조 시설의 컴퓨터/장치 한 대를 통해 해킹될 수 있습니다.

기타 위험은 다음과 같습니다.

<울>

비즈니스 운영에 중요한 정보 손실

고객 신뢰에 부정적인 영향

규제 벌금 및 그에 따른 법적 수수료

생산성 감소 또는 중지

다행히도 모든 규모의 기업에서 구현할 수 있는 사이버 보안을 위한 5단계 프레임워크를 개발한 NIST(National Institute of Standards and Technology)의 도움으로 운영을 보호하는 방법을 배울 수 있습니다. 온라인으로 제공되는 NIST 사이버 보안 프레임워크는 미국 제조 발전을 위한 전문가인 MEP National Network의 현지 담당자가 자세히 설명할 수 있습니다. 또한 제조업체에 사이버 보안 프로그램을 개발하는 데 필요한 기본 관행과 도구를 제공하는 사이버 보안에 대한 제조업체 가이드(문서 위치를 알게 되면 링크 추가)를 볼 수 있습니다.

데이터 보안을 향한 첫 걸음을 내디딜 준비가 되셨습니까? 프로세스는 위험을 식별하는 것으로 시작됩니다.

내 정보에 대한 액세스 권한 제어

컴퓨터에 액세스할 수 있는 직원 목록을 만들고 모든 비즈니스 계정, 액세스 유형(물리적 또는 암호)을 포함하고 사용하지 않을 때 모든 랩톱 및 모바일 장치를 물리적으로 보호합니다. 직원들에게 개인 정보 보호 화면을 사용하게 하거나 지나가는 사람들이 디스플레이의 정보를 볼 수 없도록 컴퓨터 화면을 배치하고 컴퓨터를 사용하지 않을 때 활성화되도록 화면 잠금을 설정하도록 합니다.

다음과 같이 승인되지 않은 사람이 컴퓨터나 시스템에 물리적으로 액세스하는 것을 허용하지 마십시오.

<울>

청소 직원 또는 유지 보수 직원

시스템 또는 장치에서 작업하는 감독되지 않은 컴퓨터 또는 네트워크 수리 담당자

직원의 질문을 받지 않고 사무실이나 작업장에 들어오는 알 수 없는 개인

범죄자가 잠금 해제된 시스템에 액세스하는 데 몇 초 밖에 걸리지 않습니다. 그들이 당신의 민감한 정보를 훔치는 것을 쉽게 만들지 마십시오.

모든 직원에 대한 배경 및 보안 검사 수행

배경 확인은 사이버 보안 위험을 식별하는 데 필수적입니다. 모든 예비 직원 또는 귀하의 컴퓨터와 회사 시스템 및 장비에 액세스할 수 있는 다른 사람에 대해 전국적인 전체 검색을 수행해야 합니다.

이러한 검사에는 다음이 포함되어야 합니다.

<울>

범죄 배경 조사

성범죄자 수표

가능한 경우 신용 확인(미국 일부 주에서는 신용 확인 사용을 제한함)

이전 고용주의 근무 날짜 확인에 대한 참조

학력 및 학위 확인

또한 신원 도용의 피해자가 자신도 모르는 사이에 신속하게 알려줄 수 있는 신원 조사를 수행하는 것을 고려할 수도 있습니다.

각 직원에 대해 개별 사용자 계정 필요

데이터 손실 또는 무단 데이터 조작이 발생하는 경우 각 사용자에 대한 개별 계정 없이는 조사하기 어려울 수 있습니다. 액세스가 필요한 각 직원 및 계약자에 대해 별도의 계정을 설정하십시오. 각 계정에 대해 강력하고 고유한 비밀번호를 사용하도록 요구합니다.

특히 일상 업무를 수행하는 데 필요하지 않은 경우 관리 액세스 권한이 있는 직원의 수를 제한합니다. 시설 방문자 또는 고객에 대해 인터넷 액세스만 가능한 게스트 계정을 고려하십시오.

사이버 보안 정책 및 절차 작성

첫 번째 사이버 보안 정책을 만드는 것은 어려운 작업처럼 보일 수 있지만 시작하는 데 도움이 될 수 있는 MEP National Network의 따르기 쉬운 팁이 많이 있습니다. 또한 사이버 법률에 정통한 법률 전문가와 상의하여 정책을 검토하여 현지 법률 및 규정을 준수하고 있는지 확인할 수도 있습니다.

새로운 사이버 보안 정책에는 다음이 포함되어야 합니다.

<울>

회사 정보 보호에 대한 직원의 기대

보호해야 하는 필수 리소스 및 직원이 해당 정보를 보호하기를 기대하는 방법

각 직원이 정책을 읽고 이해했음을 확인하는 서명된 계약서.

서명한 계약서를 각 직원의 HR 파일에 보관하십시오. 최소 1년에 한 번 정책을 검토하고 회사 기술을 변경할 때 업데이트하십시오. 그런 다음 사이버 보안 정책을 사용하여 신입 직원에게 정보 보안 책임을 교육하고 모든 비즈니스 운영에 허용되는 관행을 설정할 수 있습니다.

위험을 식별하고 리소스를 평가하는 방법을 배웠으므로 이제 위험을 보호하는 방법에 대해 생각할 때입니다. MEP National Network의 5부작 ​​'제조업체를 위한 사이버 보안' 시리즈 중 2부에서는 사이버 위협으로부터 소중한 데이터와 정보를 보호하기 위한 주요 단계를 안내합니다.