무경계 데이터로 글로벌 공급망 보호

공급망 사이버 보안 공격은 새로운 것은 아니지만 통제할 수 있는 것은 아닙니다.

Resilience 360의 최근 연구에 따르면 2019년에 공급망 주체에 영향을 미치는 사이버 보안 사고가 거의 300건에 달했습니다. 평균적인 비즈니스가 500개 이상의 제3자와 데이터를 공유함에 따라 Ponemon Institute가 미국 기업의 약 61%가 공급망 내에서 데이터 유출을 경험했습니다.

지정학적 긴장으로 인해 이러한 공격이 광범위하게 발생했지만 COVID-19로 인해 전 세계 노동력의 상당 부분이 원격 근무로 이동하게 되면서 2020년은 완벽한 기회의 폭풍우로 바뀌었습니다. 정부에서 기업에 이르기까지 조직은 처리하고 공유하는 데이터를 보호할 책임이 있습니다. 혁신과 생산성을 유지하는 데 있어 협업이 매우 중요하므로 아이디어와 정보의 흐름을 방해하거나 시스템과 프로세스를 작동 불가능하게 만드는 일 없이 협업을 수행해야 합니다.

COVID-19가 올해 1분기에 미국을 강타하자 조직들은 직원들을 거의 밤새 원격 근무로 옮기는 방식으로 대응했습니다. 2020년 6월 기준으로 미국 근로자의 42%가 집에서 원격으로 업무를 수행하고 사무실을 이주하고 있습니다. 이동성이 높은 인력과 점점 더 복잡해지고 전 세계적으로 분산되는 공급업체 생태계로 인해 지적 재산과 기밀 정보 또는 민감한 정보에 대한 위협이 심화되고 있습니다.

프로젝트 팀은 매일 모바일 및 클라우드 플랫폼을 사용하여 데이터를 공유하고 저장하므로 권한이 없는 사용자가 액세스할 수 있습니다. 또한 도난 및 분실에 취약한 스마트폰, 이동식 하드 드라이브 및 USB 저장 장치를 통해 조직 외부로 물리적으로 운반되고 있습니다. 이러한 맥락에서 데이터는 끊임없이 기업과 국가의 경계를 넘나들고 있습니다. 더 이상 방어할 명확한 경계가 없습니다.

고의적인 해킹은 이제 흔한 일이지만 보안에 대한 가장 큰 위협 중 하나는 이동 중인 데이터의 도난, 손실 및 오용입니다. 2018년 Apricorn의 연구에 따르면 조사 대상 조직의 29%가 모바일 작업의 직접적인 결과로 데이터 유출을 겪었습니다. 2020년에 실시된 동일한 연구에 따르면 응답자의 절반 이상이 여전히 원격 근무자가 조직을 데이터 유출 위험에 노출시킬 것이라고 믿고 있습니다.

또한 Digital Guardian의 최근 연구에 따르면 COVID-19가 발생한 이후 직원들이 USB 미디어에 다운로드한 데이터 양이 123% 증가했으며, 이는 팀에서 대용량 데이터를 집으로 가져오기 위해 이동식 저장소를 사용하고 있음을 시사합니다. 이러한 장치가 암호화되지 않는 한 원격 작업자 취약점과 관련된 데이터 침해가 급증하는 것은 시간 문제일 뿐입니다.

데이터 중심의 정책 기반 보안 접근 방식은 조직의 중앙 시스템 내부 및 외부에서 이동 중이거나 저장되지 않은 정보 자체를 보호하는 동시에 안전한 통신을 가능하게 합니다. 그 해답은 사람, 프로세스 및 기술을 결합하는 다층적 접근 방식에 있습니다.

내부에서 시작합니다. 보안은 기술 솔루션에 관한 것만이 아닙니다. 보안 인식 교육 및 참여 프로그램은 파트너 및 계약업체 팀으로 확장되어야 합니다. 여기에서 귀하의 목표는 모든 직원이 데이터와 관련된 가치와 위험을 인식하도록 하고 데이터 보호에 대한 자신의 역할을 정의하고 강화하는 것입니다.

또한 데이터 보안 모범 사례를 마련하고 시행을 관리합니다. 데이터와 상호 작용하고 데이터를 보호하는 방법에 대한 관행과 정책을 만들어 조직에 이점을 제공할 수 있습니다. 팀과 공급망에 대한 모범 사례를 설명하고 시행함으로써 책임감 있는 문화를 구축하는 데 도움이 됩니다.

수명 주기의 관점에서 데이터를 생각하십시오. 데이터 작업 및 보안을 위한 모범 사례를 만든 조직은 다음을 포괄하는 포괄적인 감사를 수행해야 합니다.

이를 통해 규정 미준수 영역을 더 쉽게 찾아내고 데이터가 보호되지 않을 수 있는 부분을 정확히 찾아내고 위험 노출을 최소화할 수 있는 기술, 정책 및 프로세스를 식별할 수 있습니다.

보안을 시행합니다. 민감한 데이터가 처리 및 사용되는 방식과 파트너 및 계약자를 포함한 모든 엔드포인트로 확장되는 방식을 제어하는 ​​정책의 문서화 및 시행을 포함하는 전략을 설정합니다. 암호화는 전략의 핵심 요소여야 합니다. 이동식 미디어 장치가 엉뚱한 사람의 손에 넘어가면 암호화된 정보는 액세스하려는 모든 사람이 이해할 수 없게 됩니다.

특히 원격 근무의 "뉴 노멀"에서 IT 부서는 기업 표준 암호화 모바일 저장 장치를 조사, 식별 및 의무화하고 화이트리스트 정책을 통해 사용을 강제하는 것이 필수적입니다. 장치는 보안 요구 사항을 준수하도록 사전 구성되어야 합니다. , 암호 강도와 같은.

그리고 우리는 공급망에 대해 이야기하고 있기 때문에 요구 사항을 제3자 계약에 작성해야 합니다. 예를 들어 사용해야 하는 도구와 기술, 업데이트 시기 등을 명시해야 합니다. 조직은 훨씬 더 적극적인 접근 방식을 취하고 이러한 요구 사항을 제안 요청(RFP) 프로세스에 설정하여 제3자가 선택되기 전에 기대치를 설정할 수 있습니다.

측정, 모니터링 및 보고합니다. IT 및 보안 팀의 경우 "측정할 수 없는 것은 관리할 수 없습니다"라는 말이 특히 적절합니다. 조직 내 및 공급망 전반에서 진행 중인 규정 준수 감사를 통해 정책 위반 사항을 신속하게 파악할 수 있으므로 교육 또는 징계 절차를 통해 문제를 해결할 수 있습니다. 모니터링은 또한 조직이 규정 준수 위치를 입증할 수 있는 상세한 감사 추적과 규정을 준수하지 않는 사용자 행동에 대한 정확한 기록을 제공합니다.

기술 및 조직적 조치를 결합하면 공급망의 위험 노출을 줄이는 동시에 재택 근무를 계속할 때 정보를 안전하게 교환하고 이동할 수 있습니다. 데이터를 적절하게 제어하는 ​​기업은 효율성, 민첩성 또는 경쟁 우위를 손상시키지 않으면서 기밀성, 국가 안보 및 기업의 평판을 보호할 수 있습니다.

우리가 일하는 방식과 장소의 극적인 변화와 함께 계속 확장되는 공급망은 조직이 제3자 보안에 지속적으로 집중해야 한다는 것을 의미합니다. 직원 인식 및 교육에 중점을 두고 감사 및 측정하는 전략적 데이터 보안 계획을 수립함으로써 물리적 경계가 없어도 공급망을 보호할 수 있습니다.

Jon Fielding은 의 전무 이사입니다. 에이프리콘 , 하드웨어 암호화 USB 데이터 저장 장치 제조업체