사이버 보안은 조직 내 많은 위험 기능 중 하나이지만, 회사의 위험 프로필을 전체적으로 낮추기 위해 다양한 기능이 긴밀하게 연동되지 않을 수 있습니다. 보안 팀은 IT 및 비즈니스 이해 관계자는 물론 거버넌스, 규정 준수, 위험 관리 및 법률을 포함한 기타 위험 기능과 협력해야합니다.
그림자 IT
그림자 IT 1980 년대 애플을 사랑하는 급진주의 자들이 매킨토시 컴퓨터를 작동시킨 이후로 IT 부서를 괴롭 혔습니다. 이에 대한 대응으로 IT 부서는 직장에서 개인 기술을 금지하고 회사 소유 노트북과 결국 Blackberry 휴대폰을 발행했습니다. 그런 다음 BYOD가 발생하고 IT가 전쟁에서 패했습니다. 이에 대한 대응으로 사이버 보안 공급 업체는 모바일 장치 관리 (MDM) 및 기타 엔드 포인트 보안 관리 된 IT 에코 시스템에 대한 기업의 욕구와 선택한 장치를 사용하려는 직원의 욕구 사이의 균형을 맞추기위한 노력의 일환으로 소프트웨어를 사용합니다.
한편, IT 예산은 중앙 집중식 IT에서 부서 예산을 포함하도록 이동했습니다. 자체 예산으로 무장 한 부서 및 비즈니스 라인은 마침내 IT의 승인이나 사이버 보안 평가없이 자체 기술 구매를 정당화 할 수 있습니다. 어느 누구도 부서의 요구를 그 부서에서 일하는 사람들보다 더 잘 이해하지 못하지만, 비 기술자들은 기술 구매가 IT, IT 생태계, 회사의 위험 프로필 및 보안 팀에 어떤 영향을 미칠 수 있는지 깨닫지 못하는 경향이 있습니다. .
사이버 보안 및 IT는 부서별 구매에 대한 정보를 받아야 할뿐만 아니라 구매 전에 가져와야 잠재적 인 위험을 처음부터 관리 할 수 있습니다. 실제로 일부 IT 부서에서는 직원이 사전 심사를 거친 옵션 중에서 선택할 수있는 회사 마켓 플레이스를 설정하여 사용자의 선택 선호도와 조직의 위험 관리 요구 간의 균형을 맞 춥니 다.
마찬가지로 일부 사이버 보안 팀은 비즈니스 전반에 걸쳐 사람들이 수행하려는 작업과 수행해야 할 기술을 이해하기 위해 사람들을 참여시키기 위해 보안 팀이 비즈니스 사용자에게 무엇을 제공 할 수있는 안전한 방법을 식별 할 수 있습니다. 그들은 원한다.
비즈니스 + IT + 보안 프로세스
IT 및 보안은 기술적 인 관점에서 장비, 소프트웨어 및 장치가 안전하고 회사 직원이 기본 사항을 이해하고 있는지 확인해야합니다. 사이버 위생. 그러나 더 근본적으로 그들은 위험을 최소화하는 프로세스를 수립하기 위해 비즈니스와 협력해야합니다.
이를 위해서는 협력 적으로 정의, 준수, 수정 및 업데이트되는 프로세스가 필요합니다. 또한 직원 변경 및 감사를 견딜 수 있도록 프로세스를 문서화해야합니다. 또한 프로세스를 모니터링하여 프로세스가 어떤 식 으로든 변경되어야하는 규정 준수 및 신호를 확인해야합니다.
비즈니스, IT 및 보안 간의 프로세스를 조정하는 것이 중요한 이유 중 하나는 오늘날의 사이버 공격, 사이버 전쟁 및 사이버 테러 환경에서 절대적으로 필요하기 때문입니다. 또한 오늘날의 기업은 공급 업체, 유통 업체, 리셀러 및 고객을 포함한 제 XNUMX 자와 연결되어 있습니다. 이 "확장 된 엔터프라이즈"모델은 가장 취약한 링크만큼 안전합니다. 그 결과 제 XNUMX자가 공격으로 인해 악영향을받을 수 있습니다. 반대로, 제 XNUMX자가 공격의 시작점이 될 수 있습니다.
모든 복잡성과 잠재적 위험을 감안할 때 기업은 비즈니스, IT 및 보안이 정책 및 운영 관점에서 동기화 된 상태로 운영 될 수 있도록 위험을 정량화해야합니다. 기업은 위험 성향, 직면 한 위협, 사이버 보안 사고가 어떻게 진화하고 있는지, 사이버 보안 사고 비용이 수치에 반영 될 수 있는지에 대해 명확히해야합니다.
조직은 침투 테스트 및 사회 공학 연습과 같이 내부 팀이 놓친 취약점을 식별하는 데 도움을 줄 수있는 화이트 햇을 활용하는 것이 현명합니다.
예를 들어, 한 사이버 보안 컨설팅 회사는 직원을 속이는 것이 얼마나 쉬운 지 보여주기 위해 고객의 주차장에 엄지 드라이브를 떨어 뜨 렸습니다. 심지어 사이버 보안의 필요성을 잘 알고있는 사람도 마찬가지입니다. 개인이 자신의 컴퓨터에 엄지 드라이브를 삽입 할 가능성을 높이기 위해 컨설턴트는 "직원 급여"또는 "임원 급여"와 같은 기밀 정보를 장치에 표시했습니다.
제 XNUMX 자 리스크 관리
확장 된 기업으로 인해 타사 위험 관리 (TPRM) 솔루션이 필요했습니다. Gartner에 따르면 60 %의 조직은 1,000 개 이상의 공급 업체를 보유하고 있으며, 법률 및 규정 준수 리더의 80 %는 타사가 온 보딩 될 때까지 타사 위험을 발견하지 못했다고 말합니다..
IT 벤더 위험 관리 도구에 대한 2020 Gartner Magic Quadrant에서 Prevalent 및 ServiceNow는 Visionaries로 선정되었습니다. 리더에는 Galvanize, MetricStream, NAVEX Global, OneTrust, ProcessUnity, RSA 및 SAI Global이 포함됩니다.
일부 기업은 제 XNUMX 자 위험을 이해하고 관리하기 위해 전문 서비스 회사와 사이버 보안 컨설팅에 의존하고 있습니다. 예를 들면 EY는 XNUMX 가지 TPRM 서비스 세트를 제공합니다.. 그중 하나는 TPRM as a Service입니다.
또 다른 제 XNUMX 자 주제 인 공급망 위험은 화물선 Ever Given이 XNUMX 일 동안 진흙에 갇혀 교통 흐름을 중단 한 최근 수에즈 운하 사고 이후 다소 다르게보고 있습니다. 사건은 상업에 영향을 미칠 것으로 예상됩니다 몇 주 또는 몇 달 동안. 그러나 보안 관점에서, 테러리스트가 유사한 피해를 입힐 수 있다는 우려가 있습니다., 잠재적으로 더 큰 규모로 물리적 또는 사이버 수단을 통해 수에즈 운하 및 파나마 운하와 같은 좁은 경로를 동시에 차단합니다.
코인 스마트. 유로파 최고의 비트 코인-보르 스
출처 : https://www.cshub.com/executive-decisions/articles/risk-management-strategy-fundamentals
