위험관리에 있어 보안담당자가 간과해서는 안될 5가지

기업의 임원들은 사이버보안이 기업의 최우선순위에 해당하며, 전략적인 위험관리를 해야 된다고 내다보고 있으나, 실질적인 보안에 대한 관심과 투자는 저조하다고 볼 수 있습니다.

- 기업 응답자 중 22%만이 사이버 보안이 최고의 관심사라고 답변(2019 Global Cyber Risk Perception Survey, Marsh & Microsoft)

 

보안전문가들은 기업의 보안인식 뿐만 아니라, 현장에서 적용되고 있는 보안위험 관리에 있어 문제점이 있다고 보고 있으며, 다음과 같이 대표적인 5가지 사항을 언급 했습니다.

 

1. 보안운영과 사업전략간의 엇박자 (A lack of security and business alignment)

 - 보안위험이 사업에 미치는 영향보다는, 보안 솔루션 증설과 취약점 갯수 감소에 관심

 - 보안위협과 보안수용의 오류, 보안과 비즈니스 전략간의 간격은 위험관리를 더욱 어렵게 만듦

 

2. 제한된 가시성(Limited visibility)

 - 많은 임원은 보안위험 관리를 기업의 일부라고 간주하고 있으며, 전체적인 가시성을 제공하지 못함

 - 기업은 외주 공급물자, 클라우드 어플리케이션 등을 포함한 모든 IT자산을 파악하고 있지 않음

 

3. 보안프레임워크 구축에 우선 (Putting frameworks first)

 - 보안 컴플라언스 요구사항에 따른 다양한 보안프레임워크로 인해 보안운영 및 기능의 복잡도 증가

 - 기업에 적합한 보안전략 수립 및 적용보다는 보안프레임워크 준수를 우선시함

 

4. 모든 보안위협을 동일하게 취급 (Giving equal weight to every threat)

 - 증가하는 보안위협, 공격방법 및 경로, 취약점 등 모든 위험요소를 다루려 함

 - 보안 취약점의 위험성을 고려한 우선순위적 분석과 대응 미흡

 

5. 시간적 인자에 대한 고려 미흡 (Failing to consider time elements)

 - 빠르게 진화하고 있는 보안위협 대비 보안정책과 위험관리의 적절한 대응관리 미흡

 - 자동화, 머신러닝, AI 등을 적용한 실시간 보안측정과 이를 적용한 보다 빠른 위험관리 절차 필요 

 

※ 원문: 5 risk management mistakes CISOs still make By Mary K. Pratt