Loading

Blog

Recent ActivityRecent Activity

사이버보안 평가: 목표 보안 태세를 갖추는 방법

보안을 강화하는 방법은 회사마다 다르며, 목표하는 보안 태세를 갖추는데 영향을 줄 수 있는 요소로는 운영 리스크, 고유한 운영 워크 플로우, 정책, 절차, 위험 허용 수준 등이 있습니다.

 안타깝게도 리스크에서 완벽하게 벗어날 수 있는 방법은 없습니다. 고유한 운영 환경에 따라 허용 가능한 수준의 위험을 수립하는 것에 목표를 두어야 합니다.

산업 보안 역량 또는 보안 태세를 강화하기 위한 여정은 복잡해 보일 수 있으며, 그렇게 보이는 것도 당연합니다. 방법론, 산업 표준, 사용 가능한 기술의 종류가 너무도 다양해 어디에서부터 시작해야 할지 혼란스러울 수 있습니다. 아마 여러분은 "어디에서부터 시작해야 할까?"라고 고민할 수 있을 것입니다. 

 이를 위해 시작할 수 있는 한 가지 방법은 보안 평가를 수행하는 것입니다. 가장 단순하게 말하자면 보안 평가는 시스템이나 조직의 보안 상태에 대한 체계적인 측정이라 할 수 있습니다.

 적절하게 사용할 경우 평가는 현재 보안 상태를 평가하고, 현재 상태와 이상적인 상태 사이의 차이를 확인하고, 목표하는 보안 태세를 갖추기 위해 명확한 계획을 세울 수 있게 해주는 매우 효과적인 방법이 될 수 있습니다.

평가 유형

"보안 평가"라는 말은 여러 가지를 의미할 수 있으므로 계획하고자 하는 바에 따라 평가 범위를 적절히 정하는 것이 중요합니다. 다음과 같은 가장 일반적인 유형의 평가를 통해 여러분의 보안 프로그램에 계획에 영향을 미칠 수 있는 서로 다른 형태의 결과를 얻을 수 있을 것입니다.

  1. 취약성 평가: 취약성 해결을 위한 실행 계획을 세우기 위해 현재 존재하는 알려진 취약점을 식별합니다.
  2. 갭 평가: 조직에서의 현재 보안 상태와 이상적인 보안 태세 간의 차이를 식별합니다. 갭 분석은 일반적으로 기업 또는 산업 표준을 고려하며, 원하는 목표 보안 태세를 달성하는 데 필요한 단계를 명확하게 정의하기 위해 사용합니다.
  3. 위험 평가: 조직의 보안에 대한 전반적인 상태를 제공합니다. 위험 평가에서는 취약성 평가와 갭 평가의 요소를 결합하여 조직의 위험 허용 수준에 기반한 알려진 위험과 이상적인 보안 상태에 대해 식별하고 평가합니다.
  4. 보안 감사: 이 평가 기반 서비스는 특정 산업 표준 또는 요구 사항에 대한 조직의 보안 상태 및 관행을 감사하여 NERC-CIP 또는 기타 표준 등을 준수하도록 지원합니다.

위에서 설명한 내용은 일반적인 유형의 보안 평가이지만, 방법을 선택하기 전에 해당 방법의 목적을 먼저 이해하는 것이 중요합니다. 적절한 기대치를 설정하고 이에 부합할 수 있도록 하는 것이 가장 중요하며, 이를 기반으로 선택한 가장 효과적인 평가 방법으로 사이버 보안 프로그램을 진행합니다. 

현실적인 접근방식

조직에 적합한 평가 유형을 고려할 때 평가는 한 시점에서의 일부분임에 유의하십시오. 이를 조직의 보안 프로그램에 대한 유일한 해결책으로 생각해서는 안됩니다. 오히려 평가는 유지보수, 관리 및 기술 통제가 설정한 위험 허용 범위 내에 있는지 정기적으로 점검하는 일과 같다고 할 수 있습니다.

 예산과 리소스가 제한적이어서 조직 전체에 대한 평가를 수행할 수 없는 경우에는 "대표 샘플" 접근 방식을 사용할 수 있습니다. 평가의 범위를 조직의 일부로 축소하여 이를 통해 기준선을 파악합니다.

통합적인 접근방식

보안 평가는 현재의 보안 상태를 평가하는 효과적인 툴일 수 있지만, 목표 보안 태세를 갖추기 위해서는 적절한 범위로 원하는 평가 방식을 선택하여 명확하고 실행 가능한 단계로 구성된 로드맵과 함께 실행해야 합니다. 평가를 통해 강력한 보안 프로그램을 구축할 수 있도록 지원해주는 서비스 제공자를 선택하십시오


Dave Mayer
Dave Mayer
Product Manager, Rockwell Automation
Dave Mayer
Subscribe

Subscribe to Rockwell Automation and receive the latest news, thought leadership and information directly to your inbox.

Recommended For You