2017년 21월, 로스앤젤레스에 본사를 둔 의류 소매업체 포에버2015은 잠재적인 데이터 유출 사고가 일부 고객에게 영향을 미쳤을 가능성이 있다고 발표했습니다. 조사 결과, XNUMX년에 구현된 "암호화 및 토큰화 솔루션"이 일부 PoS 기기에서 작동하지 않았을 가능성이 있음을 발견했습니다.
기술 발전에 대한 의존도가 높아짐에 따라 기업들은 사이버 위협에 취약해지고 있습니다. 이러한 위협은 금융 및 IT 기업뿐만 아니라 다른 산업 분야로까지 확대되고 있습니다. 예를 들어, 소매업은 소비자 정보의 풍부한 원천이자 비교적 쉬운 공격 대상으로 인식되어 사이버 위협의 표적이 되고 있습니다. 제조업은 인더스트리 4.0 디지털 제조를 평가하고 센서 기술을 비롯한 스마트 제품을 수용하는 측면에서 다양한 사이버 위협에 노출되어 있습니다. 인더스트리 4.0은 제조 및 산업 분야의 XNUMX차 산업 혁명으로, 자동화, 클라우드, 데이터 교환, 자율 산업 기술 등이 점차 더 많이 활용되고 있습니다. 따라서 견고한 사이버 보안 프로그램을 구축하고 최신 상태로 유지하며 효과적으로 작동하는 것이 매우 중요합니다.
사이버보안 프로그램 감사가 중요한 이유는 무엇입니까?
대부분의 산업 분야 기업은 체계적인 사이버 보안 프로그램을 운영하고 있습니다. 하지만 이러한 프로그램의 미흡한 점은 보안 프로세스를 검토하고 감사하며, 적절한 주기로 실행되도록 보장하는 능력입니다. 예를 들어, 구현된 보안 프로세스에 월별 취약점 점검 일정이 있지만 제품 업데이트가 한 달에 두 번만 발표된다면, 취약점이 완전히 드러나지 않거나 완전히 드러나지 않을 수 있습니다. 이러한 침해는 장기간 감지되지 않을 수 있으며, 보안 침해가 발생한 후에야 허점을 발견하는 경우도 있습니다. 사이버 위협은 빠르게 확산되고 있으므로, 사이버 보안 조치가 효과적이고 지속적으로 최신 상태를 유지하는 것이 중요합니다.
자세히보기 : 사이버 보안에서 내부 감사의 역할
감사 일정
전형적인 "3선 방어" 모델, 사이버 보안의 책임 최상위 레벨에서 시작합니다 CIO/CISO 및 감사팀과 협력하여 사이버 보안 통제 프레임워크를 확정하고 보안 정책 및 절차를 시행합니다. 3~5년 동안 지속될 수 있는 이 프레임워크는 프로세스의 효과를 보장하기 위해 6~12개월마다 검토되어야 합니다.
사이버 보안 절차에서 모니터링과 감시가 지속적으로 이루어지지 않을 때 종종 함정이 발생합니다. 새로운 위협과 취약점은 매일같이 등장합니다. 이러한 위험을 완화하기 위해 많은 조직에서는 CISO가 이끄는 사이버 보안 위원회를 구성합니다. 위원회는 모든 이해관계자와 정기적으로 회의를 열어 위협과 취약점을 평가합니다. 이러한 위협과 취약점은 타사 데이터 스토리지가 추가되거나, 중요 직원이 퇴사/입사하거나, 새로운 하드웨어, 소프트웨어 또는 서버가 추가될 때마다 추가될 수 있습니다.
두 번째 방어선 사이버 보안 관련 위험 및 노출을 평가하는 업무를 담당합니다. 1차 및 3차 방어선과 긴밀히 협력하여 정책을 수립하고 사이버 보안에 대한 효과적인 인식을 제고합니다. 분기/반기 감사 및 경영 검토를 통해 위험 보고 및 통제가 적절하고 최신 상태를 유지하도록 보장합니다. 또한 공급업체와의 관계를 평가하고, 회사의 민감 데이터에 대한 공급업체의 접근을 지속적으로 모니터링하여 공급업체를 관리해야 합니다. 매년 공급업체를 감사하고 주요 보안 지표에 대한 월별/분기별 보고서를 제출하면 사이버 보안 수준을 더욱 높일 수 있습니다.
내부 감사 기능은 다음과 같이 작동합니다. 세 번째 방어선 조직의 모든 측면에서 사이버 보안 위험 완화에 대한 감사를 담당합니다. 일반적으로 분기별/반기별/연간 사용자 접근 검토, 네트워크 설계, 공급업체 관리, 모니터링, 그리고 조직의 인터페이스를 사용하는 직원, IT 직원 및 공급업체를 대상으로 실시하는 사이버 보안 인식 교육이 포함됩니다. 이를 통해 사고 및 침해 대비 태세를 더욱 강화할 수 있습니다. 6개월마다 각 팀과 함께 테이블탑 훈련을 실시하면 정해진 프로세스의 효과를 평가하는 데 도움이 됩니다. 감사는 진입 기준, 정기적인 업데이트 및 종료 회의, 그리고 각 단계에 대한 정확한 기대치를 명확하게 정의하는 계획된 활동이어야 합니다.
효과적인 감사 및 규정 준수를 보장합니다. Seqrite
Seqrite 이 회사는 고객을 모든 사이버 위협으로부터 보호하기 위해 다양한 사전 예방적, 능동적 및 사후 대응적 서비스를 제공합니다. Seqrite 조직이 시스템에 대한 시의적절하고 효율적인 감사를 수행하여 IT 자산을 사전에 보호하고 모든 규제 요건을 준수할 수 있도록 지원합니다. Seqrite 당사는 기술, 규정 준수 및 레드팀 감사 전문 기업으로, 전 세계 기업에 종합적인 보안 관리 및 컨설팅 서비스를 제공합니다.
인프라 보안, 애플리케이션 보안 및 산업 제어 시스템 보안은 당사에서 제공하는 기술 감사의 세 가지 주요 영역입니다. Seqrite규정 준수 감사에는 ISO27001, PCI DSS, HIPAA 등이 포함되며, 레드팀 감사에는 준비성 평가, 레드팀 평가 및 워게임이 포함됩니다.
취약점을 해결하기 위한 시정 통제를 마련하는 것도 중요하지만, 공격이나 침해를 완화하기 위해서는 시정 및 예방 통제가 최신 상태로 유지되고 효과적으로 작동하는지 확인하는 것이 더욱 중요합니다. 특히 전문가가 수행하는 정기적인 감사는 이러한 노력을 뒷받침합니다. Seqrite이를 통해 귀사의 사이버 보안 프로그램이 항상 최상의 상태를 유지하도록 보장할 수 있습니다.
귀사의 IT 보안 파트너로서, Seqrite 지능형 사이버 위협으로부터 포괄적인 엔드포인트 보안을 제공합니다. 자세한 내용은 당사 웹사이트를 방문하세요. 웹 사이트 or
