2017년 21월, 로스앤젤레스에 본사를 둔 의류 소매업체 포에버2015은 잠재적인 데이터 유출 사고가 일부 고객에게 영향을 미쳤을 가능성이 있다고 발표했습니다. 조사 결과, XNUMX년에 구현된 "암호화 및 토큰화 솔루션"이 일부 PoS 기기에서 작동하지 않았을 가능성이 있음을 발견했습니다.
기술 발전에 대한 의존도가 높아짐에 따라 기업들은 사이버 위협에 취약해지고 있습니다. 이러한 위협은 금융 및 IT 기업뿐만 아니라 다른 산업 분야로까지 확대되고 있습니다. 예를 들어, 소매업은 소비자 정보의 풍부한 원천이자 비교적 쉬운 공격 대상으로 인식되어 사이버 위협의 표적이 되고 있습니다. 제조업은 인더스트리 4.0 디지털 제조를 평가하고 센서 기술을 비롯한 스마트 제품을 수용하는 측면에서 다양한 사이버 위협에 노출되어 있습니다. 인더스트리 4.0은 제조 및 산업 분야의 XNUMX차 산업 혁명으로, 자동화, 클라우드, 데이터 교환, 자율 산업 기술 등이 점차 더 많이 활용되고 있습니다. 따라서 견고한 사이버 보안 프로그램을 구축하고 최신 상태로 유지하며 효과적으로 작동하는 것이 매우 중요합니다.
사이버보안 프로그램 감사가 중요한 이유는 무엇입니까?
대부분의 산업 분야 기업은 체계적인 사이버 보안 프로그램을 운영하고 있습니다. 하지만 이러한 프로그램의 미흡한 점은 보안 프로세스를 검토하고 감사하며, 적절한 주기로 실행되도록 보장하는 능력입니다. 예를 들어, 구현된 보안 프로세스에 월별 취약점 점검 일정이 있지만 제품 업데이트가 한 달에 두 번만 발표된다면, 취약점이 완전히 드러나지 않거나 완전히 드러나지 않을 수 있습니다. 이러한 침해는 장기간 감지되지 않을 수 있으며, 보안 침해가 발생한 후에야 허점을 발견하는 경우도 있습니다. 사이버 위협은 빠르게 확산되고 있으므로, 사이버 보안 조치가 효과적이고 지속적으로 최신 상태를 유지하는 것이 중요합니다.
자세히보기 : 사이버 보안에서 내부 감사의 역할
감사 일정
전형적인 "3선 방어" 모델, 사이버 보안의 책임 최상위 레벨에서 시작합니다 CIO/CISO 및 감사팀과 협력하여 사이버 보안 통제 프레임워크를 확정하고 보안 정책 및 절차를 시행합니다. 3~5년 동안 지속될 수 있는 이 프레임워크는 프로세스의 효과를 보장하기 위해 6~12개월마다 검토되어야 합니다.
사이버 보안 절차에서 모니터링과 감시가 지속적으로 이루어지지 않을 때 종종 함정이 발생합니다. 새로운 위협과 취약점은 매일같이 등장합니다. 이러한 위험을 완화하기 위해 많은 조직에서는 CISO가 이끄는 사이버 보안 위원회를 구성합니다. 위원회는 모든 이해관계자와 정기적으로 회의를 열어 위협과 취약점을 평가합니다. 이러한 위협과 취약점은 타사 데이터 스토리지가 추가되거나, 중요 직원이 퇴사/입사하거나, 새로운 하드웨어, 소프트웨어 또는 서버가 추가될 때마다 추가될 수 있습니다.
두 번째 방어선 사이버 보안 관련 위험 및 노출을 평가하는 업무를 담당합니다. 1차 및 3차 방어선과 긴밀히 협력하여 정책을 수립하고 사이버 보안에 대한 효과적인 인식을 제고합니다. 분기/반기 감사 및 경영 검토를 통해 위험 보고 및 통제가 적절하고 최신 상태를 유지하도록 보장합니다. 또한 공급업체와의 관계를 평가하고, 회사의 민감 데이터에 대한 공급업체의 접근을 지속적으로 모니터링하여 공급업체를 관리해야 합니다. 매년 공급업체를 감사하고 주요 보안 지표에 대한 월별/분기별 보고서를 제출하면 사이버 보안 수준을 더욱 높일 수 있습니다.
내부 감사 기능은 다음과 같이 작동합니다. 세 번째 방어선 조직의 모든 측면에서 사이버 보안 위험 완화에 대한 감사를 담당합니다. 일반적으로 분기별/반기별/연간 사용자 접근 검토, 네트워크 설계, 공급업체 관리, 모니터링, 그리고 조직의 인터페이스를 사용하는 직원, IT 직원 및 공급업체를 대상으로 실시하는 사이버 보안 인식 교육이 포함됩니다. 이를 통해 사고 및 침해 대비 태세를 더욱 강화할 수 있습니다. 6개월마다 각 팀과 함께 테이블탑 훈련을 실시하면 정해진 프로세스의 효과를 평가하는 데 도움이 됩니다. 감사는 진입 기준, 정기적인 업데이트 및 종료 회의, 그리고 각 단계에 대한 정확한 기대치를 명확하게 정의하는 계획된 활동이어야 합니다.
Seqrite를 통한 효과적인 감사 및 규정 준수 보장
Seqrite는 모든 사이버 위협으로부터 고객을 보호하기 위해 다양한 선제적, 능동적, 사후 대응적 서비스를 제공합니다. Seqrite는 조직이 시스템에 대한 시의적절하고 효율적인 감사를 수행하여 IT 자산을 선제적으로 보호하고 모든 규제 요건을 준수할 수 있도록 지원합니다. Seqrite는 기술, 규정 준수 및 레드팀 감사를 전문으로 하며 전 세계 기업에 완벽한 보안 관리 및 컨설팅 서비스를 제공합니다.
Seqrite에서 제공하는 기술 감사의 상위 27001개 분야는 인프라 보안, 애플리케이션 보안, 산업 제어 시스템 보안입니다. 규정 준수 감사에는 ISOXNUMX, PCI DSS, HIPAA 등이 포함되며, 레드팀 감사에는 준비성 평가, 레드팀 평가, 워게임이 포함됩니다.
취약점을 해결하기 위한 시정 조치는 필수적이지만, 시정 조치 및 예방 조치가 최신 상태로 유지되고 효과적으로 운영되어 공격이나 침해를 완화하는 것이 더욱 중요합니다. 특히 Seqrite와 같은 전문 기관이 실시하는 정기적인 감사를 통해 사이버 보안 프로그램을 항상 최상의 상태로 유지할 수 있습니다.
귀사의 IT 보안 파트너로서, 시크라이트 지능형 사이버 위협으로부터 포괄적인 엔드포인트 보안을 제공합니다. 자세한 내용은 당사 웹사이트를 방문하세요. 웹 사이트 or
