사이버 위협이 초래하는 위험은 지금처럼 명백했던 적은 없었습니다. 유명 기업들이 피해를 입었고, 평판과 재정적 손실은 물론 브랜드 자산까지 타격을 입었습니다. 한 가지 분명한 것은 사이버 보안이 더 이상 IT 부서만의 문제가 아니라는 것입니다. 조직 전체가 해결해야 할 문제이며, 그 첫걸음은 바로 최고위층, 즉 이사회 차원에서 시작되어야 합니다.
우선, 이사회 임원들은 자신이 어떤 상황에 직면하고 있는지 이해해야 합니다. 2012년 사이버 보안 컨퍼런스에서 연방수사국(FBI)의 전임 국장인 로버트 S 뮬러가 한 발언을 살펴보면 흥미롭습니다. "기업은 두 가지 유형으로 나뉩니다. 해킹을 당한 기업과 해킹을 당할 기업입니다. 그리고 이 두 유형조차도 결국 하나의 범주로 수렴되고 있습니다. 해킹을 당했고 또 다시 해킹을 당할 기업입니다."
이사회 수준에서 사이버 위협에 대처하기
하지만 그렇다고 해서 희망이 없는 것은 아닙니다. 이사회 차원에서 사이버 보안은 지속적인 과정으로 간주되어야 하며, 위험 완화는 예방만큼이나 중요합니다. 첫 번째 단계는 위험 식별 및 관리입니다. 이를 위해 조직의 고위 경영진은 기업과 환경을 면밀히 살펴보고 사이버 위협이 야기하는 구체적인 위험을 파악해야 합니다.
더 읽기 : 사이버 보안: 이사회 수준에서 논의해야 할 문제
조직에 대한 위협 요인 중 일부는 일반적입니다. 여기에는 다음이 포함될 수 있습니다.
- Ransomware : 조직 시스템을 장악하고 사용자에게 접근 권한을 돌려주는 대가로 돈을 요구하는 악성 프로그램입니다.
- 피싱 링크: 공식적인 것처럼 보이지만 오해의 소지가 있는 링크를 통해, 모르는 직원들이 은밀하게 개인 정보를 제공하게 하는 경우.
- 패치되지 않은 소프트웨어: 해커는 패치되지 않은 소프트웨어의 보안 취약점을 노려 시스템에 침입할 수 있습니다.
- 취약한 비밀번호: 취약한 비밀번호는 악의적인 개인이 시스템을 해킹하여 데이터에 접근할 수 있는 쉬운 방법입니다.
위의 내용은 오늘날 대기업과 중소기업을 괴롭히는 위협 요인 중 일부에 불과합니다. 하지만 이사회 차원에서는 이러한 위협에 대처하기 위한 전사적 정책을 수립하여 대응 계획을 수립할 수 있습니다. 이러한 정책을 수립하기 위해 고위 임원은 먼저 핵심 정보와 취약 자산 목록을 작성할 수 있습니다.
민감한 자산 및 기타 주요 정보에 대한 세부 정보가 확보되면 다음 단계는 조직이 위협에 대처하는 데 도움이 되는 정의된 사이버 보안 정책을 수립하는 것입니다. 다시 말하지만, 정책의 정확한 내용은 조직마다 다르지만, 논의되고 정의될 수 있는 몇 가지 기본 정책은 다음과 같습니다.
1. 사용 정책: 이 정책은 직원들에게 허용되는 다양한 사용 권한을 결정할 수 있습니다. 온라인 검색, 다운로드, 첨부 파일 사용 등과 같은 주제를 다룰 수 있습니다. 이 정책을 제정하면 직원들을 모니터링하고 부당한 사용에 대해 책임을 지지 않도록 할 수 있습니다.
2. 원격 사용 정책: 이 정책은 원격 근무에 대한 회사의 입장을 명시할 수 있으며, 이는 직원들에게 유익할 수 있지만 보안 위험을 초래할 수 있습니다. 이 정책에는 직원들이 공식 업무에 개인 기기를 사용할 수 있는지 여부와 취해야 할 보안 조치가 명시되어야 합니다.
3. 직원 교육 정책: 이 정책은 사이버 보안의 다양한 측면에 대한 직원 교육 절차를 규정합니다. 이를 통해 조직 전체의 사이버 보안 위협 인식을 강화할 수 있습니다.
이사회 수준에서 내린 결정에 따라 조직은 Seqrite와 같은 보안 솔루션 구현에 대해 생각할 수 있습니다. 엔드 포인트 보안 (EPS) 위협으로부터 보호합니다. EPS는 고급 장치 제어, 애플리케이션 제어, 웹 필터링, 자산 관리 등의 기능을 통해 위에 설명된 여러 위협으로부터 추가적인 보호 계층을 제공합니다.
귀사의 IT 보안 파트너로서, 시크라이트 지능형 사이버 위협으로부터 포괄적인 엔드포인트 보안을 제공합니다. 자세한 내용은 당사 웹사이트를 방문하세요. 웹 사이트 or
