사이버 보안 위험을 측정하는 방법: 중소기업을 위한 가이드
Conference Board에 따르면 사이버 보안은 미국 최고 경영진의 주요 관심사입니다.
그리고 정말로, 누가 그들을 비난할 수 있습니까? 사고가 되었다 사이버 보안 그것은 더 널리 퍼져 있으며 현재 상당한 재정적 손실을 수반하고 소비자 신뢰의 손실로 이어집니다.
보안 인텔리전스에 따르면 감염보다 10000개의 레코드가 있는 데이터 유출로 고통받을 가능성이 더 큽니다. 제148회 연례 데이터 침해 비용 연구에 따르면 2018년에 삭제된 모든 기록에 대해 기업은 평균 3.86달러를 지불했습니다. 평균적으로 데이터 침해 비용은 작년에 XNUMX만 달러였습니다.
물론 더 큰 데이터 유출은 비용이 많이 듭니다. 10개 미만의 레코드와 관련된 데이터 유출로 피해를 입은 회사는 사고에 대해 평균 000만 달러를 지불했습니다. 2.2개 이상의 레코드와 관련된 사건의 경우 이 수치는 6.9배 이상인 50000만 달러입니다.
대규모 침해 또는 39.49만 개 이상의 기록과 관련된 침해로 인해 회사는 평균 50만 달러의 손실을 입었습니다. 보고서는 또한 350.44천만 명의 정보를 위협하는 침해가 발생하면 XNUMX억 XNUMX만 달러의 청구서를 받게 될 것이라고 말합니다.
이것은 단지 금전적 측면입니다. 소비자 신뢰를 잃으면 데이터 침해를 당할 때 이 비용이 추가될 수 있습니다. 보고서에 따르면 기존 고객의 2.8% 미만을 잃는 회사는 위반으로 인해 6만 달러의 손실을 입을 것이라고 합니다. XNUMX%에서는 평균적으로 XNUMX만 달러를 추가로 잃을 수 있습니다.
사이버 보안 위험을 식별해야 합니까?
네.
사이즈를 선택해야 하는 가장 큰 이유 사이버 보안 위험 보다 효과적인 IT 예산을 생성하는 데 도움이 됩니다. 엄청난 뉴스 처벌과 함께 모든 빅 데이터 침해가 현재 시행되고 있는 지금, 우리는 기업이 기술에 더 많은 비용을 지출하는 이유를 이해합니다. 모든 위험에 노출되어 있지 않을 때 그것이 돈을 절약하는 데 도움이 된다고 미친 듯이 생각할 수 있습니다.
또한 사이버 보안 데이터 유출이나 해킹 공격과 같은 부정적인 결과가 없는 것이 목표입니다. 이러한 상황은 사이버 보안에 대한 투자 수익을 확인하기 어렵게 만듭니다.
IT 투자 정당화
반면에 사이버 보안 위험을 수량화하면 보안 분야에 더 많은 투자를 유도할 수 있습니다. 정보 기술 부족한 곳으로. 알아야 할 위험 유형을 알면 소프트웨어, 하드웨어 또는 새로운 IT 직원의 비용을 정당화하는 데 도움이 됩니다.
더 나은 보안 보기
회사의 사이버 보안 위험을 수량화하면 몇 가지 사항에 대한 완전한 그림을 얻을 수 있습니다. 네트워크에 연결된 하드웨어, 소프트웨어 및 하드웨어를 알게 됩니다.
이러한 리소스가 업데이트되었는지 여부를 알 수 있습니다. 더 이상 사용되지 않는 리소스가 있는지 알 수 있습니다.
모든 것이 어디에 있는지, 어떤 유형의 파일이 어디에 저장되어 있는지, 무엇을 비활성화하거나 해제해야 하는지 알 수 있습니다.
다양한 유형의 공격 평가
사이버 보안 위험 측정을 훨씬 더 어렵게 만드는 것은 사이버 보안이 매우 복잡할 수 있다는 것입니다. 새로운 기술이 등장할 뿐만 아니라 다양한 유형의 위협이 있습니다.
예를 들어, 피싱 이메일 사기를 퇴치하는 데 도움이 되는 최신 소프트웨어, 교육 및 기술을 얻을 수 있습니다. 그러나 이러한 예방 조치가 DDoS 공격이나 공급망 공격으로부터 안전하다는 의미는 아닙니다.
사이버 보안 위험을 수량화하면 보유하고 있는 IT 리소스와 해당 리소스를 사용하여 가능한 공격 유형을 파악하는 데 도움이 될 수 있습니다. 이 지식은 가능한 모든 공격에 맞서는 데 도움이 되는 도구, 경험 및 기술을 얻는 데 도움이 됩니다.
그렇게 함으로써 사이버 보안 도구, 정책 및 리소스의 효율성을 높일 수 있습니다. 가장 중요한 시스템과 가장 민감한 정보에 가장 효과적인 전략을 지시할 수 있습니다.
소규모 비즈니스의 경우 회사의 다른 부분에서 잠재적인 공격 가능성을 인식하면서 실제로 필요한 곳에 리소스를 할당할 수 있습니다.
다른 이유 - 사이버 보안 위험을 식별해야 하는 이유
사이버 보안 위험을 추정하는 가장 중요한 이유는 IT 예산을 보다 효율적으로 사용하면서 비즈니스와 직면한 인터넷 위험을 빠르게 파악할 수 있도록 하는 것입니다.
그러나 이를 수행해야 하는 다른 이유도 있습니다.
- 장기적으로 비용 절감. Ziguru의 공동 설립자이자 CEO인 Sid Governey는 "잠재적인 위협을 식별하면 직면한 위험을 사전에 완화하고 보안 사고를 예방할 수 있습니다."라고 설명합니다. "이는 수십만 또는 수백만 달러에 달할 수 있는 규제 벌금(데이터 유출의 다른 비용과 함께)을 피할 수 있음을 의미합니다."
- 향후 평가를 위한 템플릿을 가질 수 있습니다.. 사이버 보안 위험을 결정하는 것은 일회성 거래가 아닙니다. 최신 위협으로부터 여전히 적절하게 보호되고 있는지 확인하기 위해 정기적인 평가를 수행해야 합니다. 좋은 소식은 이 작업을 처음 수행하면 향후 평가를 위한 템플릿이 제공된다는 것입니다.
- 자의식. 스스로 자각하는 데는 아무런 문제가 없습니다. 실제로 모든 성공적인 회사는 이러한 특성을 가지고 있습니다. 사이버 보안 위험을 식별하면 강점과 약점이 어디에 있는지 파악하는 데 도움이 됩니다. 따라서 구멍을 막을 수 있도록 더 많은 투자가 필요한 위치를 알고 있습니다.
- 의사 소통을 향상. 조직의 사이버 보안 위험을 추정하는 것은 한 사람의 작업이 아닙니다. 비즈니스 규모에 관계없이 다양한 직원과 부서의 의견이 필요합니다. 따라서 이 연습은 두 직원 또는 부서 간의 의사 소통을 시작하고 촉진하는 데 도움이 됩니다.
- 규정 준수. 근무하는 산업에 따라 사이버 보안 위험을 식별하거나 인터넷 위험 평가를 수행해야 할 법적 의무가 있을 수 있습니다. 예를 들어, HIPAA(Health Insurance Portability and Accountability Act)는 병원 및 기타 해당 대상이 그렇게 하도록 요구합니다. 다른 회사는 PCI-DSS 요구 사항과 지역, 주 및 연방법을 준수해야 합니다.
- 온라인 보험 가입. 기업 XNUMX곳 중 XNUMX곳은 해킹을 당하거나 데이터 유출을 당하면 매장을 닫거나 문을 닫을 것이라고 생각한다는 사실을 알고 계셨습니까? 보험에 가입하는 것이 도움이 될 수 있습니다. "건강 및 기타 형태의 보험과 마찬가지로 온라인 보험은 사이버 보안 시스템에 장애가 발생하여 데이터 유출이 발생하더라도 재정적 어려움을 겪지 않도록 보장합니다."라고 Gavirini는 설명합니다.
사이버 보안 위험을 어떻게 측정합니까?
"지난 XNUMX년 동안 데이터 유출이 없었으므로 사이버 보안 투자가 효과가 있습니다."라고 말하는 것만으로는 충분하지 않습니다.
좋은 소식은 내부 평가 또는 제XNUMX자 감사, 침투 테스트 등을 수행하는 등 사이버 보안 위험을 추정하는 여러 가지 방법이 있다는 것입니다.
내부 평가 방법
사이버 보안 위험의 규모를 추정하는 것은 쉽지 않지만 불가능한 것은 아닙니다. 위험 평가의 기반이 되는 안정적인 보안 프레임워크를 선택하기만 하면 됩니다.
National Institute of Standards and Technology의 지침은 좋은 출발입니다.
데이터 검토 시작
회사에서 수집하고 저장하는 정보를 명확하게 볼 수 있는 데이터 검토로 항상 시작하고 싶을 것입니다. 또한 수집한 데이터를 문서화하고 보호하는 방법을 배우게 됩니다. 마지막으로 데이터를 얼마나 오래 보관하고 더 이상 유용하지 않을 때 어떻게 해야 하는지 알아야 합니다.
매개변수 정의
사이버 보안 위험 식별을 시작하기 전에 항상 달성하려는 것이 무엇인지 알아야 합니다. 예를 들어, 평가의 목적과 범위가 명확해야 합니다. 또한 평가에 영향을 미칠 수 있는 우선 순위나 제약 조건이 있는지 확인해야 합니다. 또한 프로세스에 참여해야 하는 주요 사람들을 식별해야 합니다.
위협의 출처 파악
잠재적인 사이버 보안 허점이 어디에서 올 것인지 알아야 합니다. 직원, 내부자, 해커 및 기타 개인이 될 수 있습니다. 외국 법인 또는 기타 제XNUMX자가 될 수 있습니다. 아니면 경쟁자가 당신을 감시하고 있을지도 모릅니다. 또한 시스템이나 웹 사이트의 일반 사용자와 같이 적대적이지 않은 위협이 있습니다.
위협 이벤트 파악
NIST와 같은 다양한 프레임워크는 위협 이벤트가 무엇인지, 어떻게 실행되고, 어떻게 중지하는지에 대한 보다 포괄적인 설명을 제공합니다. 예를 들어, NIST는 무단 액세스, 내부 위협, 데이터 유출, 데이터 손실 및 운영 중단과 같은 가장 일반적인 위협을 나열합니다. 또한 시스템에 어떤 취약점이 있고 어떻게 악용되는지 알아야 합니다.
이러한 이벤트가 발생할 가능성을 확인합니다.
위협을 식별하고 기타 정보를 수집한 후에는 특정 공격의 가능성을 결정할 수 있어야 합니다.
잠재적 영향 이해
또 다른 알아야 할 사항은 공격의 잠재적 영향입니다.
이 모든 정보는 사이버 보안 위험을 식별하는 데 도움이 됩니다. 따라서 사이버 보안 위험은 이벤트가 발생할 가능성과 발생 시 발생할 수 있는 잠재적 손실의 조합입니다.
누가 사이버 보안 위험을 수량화해야 합니까?
이 연습과 관련하여 모든 사람이 참여해야 하지만 궁극적으로 실제로 작업을 완료할 팀이나 개인에게 달려 있습니다. 담당 팀이나 개인은 네트워크와 디지털 인프라가 작동하는 방식을 철저히 이해해야 합니다.
그는 한 부서에서 다른 부서로 정보가 흐르는 방식과 평가에 유용할 수 있는 비즈니스 측면의 다른 정보에 대한 예리한 이해가 있어야 합니다.
그러나 직원이 없으면 언제든지 아웃소싱할 수 있습니다. 인터넷 위험 평가를 제공할 수 있는 회사와 개인이 있습니다. 즉, 권장 사항을 요청해야 합니다. 같은 목적으로 컨설턴트나 기업을 임명한 동료나 타 기업에서 확인할 수 있습니다.
일부 잠재 고객을 이미 파악했다면 항상 잠재적인 회사나 컨설턴트를 면밀히 조사해야 합니다. 온라인 리뷰를 확인하거나 이전 고객의 피드백을 받으세요. 그들이 얼마나 정확하게 작동하는지, 전문성, 직업 윤리 및 효율성에 대한 아이디어를 얻을 수 있습니다. 요컨대, 그들 중 누가 정말 훌륭한 일을 하고 있고, 누가 보고서를 완성하고 힘들게 번 수익에서 빼내려고 하는지 알게 될 것입니다.
마지막으로 견적을 요청합니다. 이것은 당신이 가격과 비용을 없애는 데 도움이 될 것입니다. 또한 그들이 할 일의 범위를 아는 데 도움이 될 것입니다.
문제 및 제한 사항
이러한 옵션에는 한계와 단점이 있습니다. 리소스 집약적입니다. IT 팀을 전담하거나 회사를 고용하여 사용 가능한 현금 흐름으로 사이버 보안을 감사하지 못할 수도 있습니다.
또한 이러한 옵션은 특정 기간에만 유효합니다. 바이러스 백신은 테스트를 실행하는 동안 감염된 이메일을 차단할 수 있지만 이것이 미래에 모든 것을 가로챌 수 있다는 보장은 아닙니다.
침투 테스트, 내부 감사 및 제XNUMX자 또한 매우 주관적입니다. 고용주가 이해할 수 없는 기술적 지표를 생성하는 경우가 많습니다.
전반적으로 대부분의 소규모 기업이 보는 시나리오는 다음과 같습니다. 바로 오늘 결정을 내려야 하지만 지난 분기에 수행된 테스트에 의존할 수는 없습니다. 한 번 더 감사를 해야 하는데 마지막 감사는 한 달 넘게 걸렸고 솔직히 너무 비쌌다. 따라서 자체 사이버 보안 위험을 식별하기 위해 이러한 프로세스를 수행하기로 선택한 대부분의 소규모 기업에게는 적어도 하나의 도전 과제입니다.
사이버 보안 위험 식별: 쉽지는 않지만 필요합니다.
가치 있는 모든 일에는 많은 노력이 필요합니다. 좋은 소식은 사이버 보안 위험을 식별하는 프로세스가 그 중 하나라는 것입니다. 시간이 지나면 쉬워지지만 처음 하면 많은 노력이 필요합니다.
그만한 가치가 있는 이점이 있습니다. IT 및 지불 위험을 완벽하게 파악하는 데 도움이 되며 장기적으로 비용을 절약하는 데도 도움이 됩니다. 기다릴 필요도 없습니다. 사이버 보안 위험 식별에서 얻은 통찰력을 사용하여 IT 보안 예산을 보다 효율적으로 할당할 수 있습니다.