정책 및 절차
사이버 보안은 IT 부서와 최고 경영자 모두에게 중요한 문제입니다. 하지만 보안은 IT 전문가와 최고 책임자뿐만 아니라 조직의 각 직원이 관심을 가져야 하는 문제입니다. 직원에게 보안의 중요성을 교육하는 한 가지 효과적인 방법은 각 직원의 IT 시스템 및 데이터 보호 책임을 설명하는 사이버 보안 정책입니다. 사이버 보안 정책에서는 이메일 첨부 파일의 암호화, 소셜 미디어 사용 제한과 같은 활동에 대한 동작 표준을 규정합니다.
사이버 공격과 데이터 침해는 잠재적으로 큰 비용 손실을 발생할 수 있으므로 사이버 보안 정책이 중요합니다. 동시에 직원은 조직의 보안에서 취약한 연결 고리가 되는 경우가 많습니다. 직원들은 암호를 공유하고, 악성 URL 및 첨부 파일을 클릭하고, 승인되지 않은 클라우드 애플리케이션을 사용하며, 중요한 파일을 암호화하는 데 소홀합니다.
이러한 유형의 정책은 의료, 금융, 보험 등과 같은 규제 산업에서 운영되는 공개 회사나 조직에서 특히 중요합니다. 이러한 조직은 보안 절차가 부적절할 경우 강력하게 규제될 위험이 있습니다.
연방 요구 사항의 적용을 받지 않는 소규모 회사라도 최소한의 IT 보안 표준을 준수해야 하며, 조직의 과실로 인해 사이버 공격을 받아 소비자 데이터가 유실될 경우 기소될 수 있습니다. 캘리포니아, 뉴욕과 같은 일부 주에서는 해당 주에서 비즈니스를 운영하는 조직에 대한 정보 보안 요구 사항을 제정했습니다.
사이버 보안 정책은 조직의 공공 이미지와 신뢰성에도 중요합니다. 고객, 파트너, 주주 및 잠재 직원은 조직이 중요한 데이터를 보호할 능력이 있다는 증거를 원합니다. 사이버 보안 정책이 없으면 조직에서 이러한 증거를 제공하지 못할 수도 있습니다.
사이버 보안 정책 정의
사이버 보안 절차에서는 직원, 컨설턴트, 파트너, 이사회 구성원 및 기타 최종 사용자가 온라인 애플리케이션 및 인터넷 리소스에 액세스하고, 네트워크를 통해 데이터를 전송하고, 보안 책임을 이행하는 방법에 대한 규칙을 설명합니다. 일반적으로 사이버 보안 정책의 첫 번째 부분에서는 조직의 일반적인 보안 기대 사항, 역할 및 책임을 설명합니다. 이해관계자에는 외부 컨설턴트, IT 직원, 재무 직원 등이 포함됩니다. 정책의 '역할 및 책임' 또는 '정보 책임' 섹션이 해당됩니다.
그런 다음 안티바이러스 소프트웨어 요구 사항, 클라우드 애플리케이션 사용과 같은 사이버 보안의 다양한 영역에 대한 섹션이 정책에 포함될 수 있습니다. SANS Institute는 다양한 유형의 사이버 보안 정책에 대한 예를 제공합니다. 이러한 SANS 템플릿에는 원격 액세스 정책, 무선 통신 정책, 암호 보호 정책, 이메일 정책, 디지털 서명 정책이 포함됩니다.
규제 산업의 조직은 HIPAA Journal의 HIPAA 컴플라이언스 점검 목록 또는 GDPR 컴플라이언트 정책 초안 작성에 관한 IT 거버넌스 문서와 같이 특정 법적 요구 사항을 설명하는 온라인 리소스를 참조할 수 있습니다.
대규모 조직이나 규제 산업의 조직의 경우 사이버 보안 정책이 수십 페이지에 이르는 경우가 많습니다. 하지만 소규모 조직의 경우 보안 정책이 몇 페이지에 불과하고 기본적인 안전 사례만 다루는 경우가 많습니다. 이러한 사례에는 다음이 포함될 수 있습니다.
- 이메일 암호화 사용 규칙
- 작업 애플리케이션에 원격으로 액세스하는 단계
- 암호 만들기 및 보호 지침
- 소셜 미디어 사용 규칙
정책의 길이에 상관없이 조직에 가장 중요한 영역의 우선순위를 지정해야 합니다. 여기에는 가장 중요하거나 규제되는 데이터에 대한 보안 또는 이전 데이터 침해의 원인을 해결하기 위한 보안이 포함될 수 있습니다. 위험 분석에서는 정책에서 우선순위를 지정할 영역을 강조할 수 있습니다.
또한 정책은 간단하고 읽기 쉬워야 합니다. 특히 정보를 자주 업데이트해야 하는 경우 참조 문서에 기술 정보를 포함합니다. 예를 들어 정책에서는 '직원은 모든 PII(개인 식별 정보)를 암호화해야 한다'고 지정할 수 있습니다. 하지만 사용할 특정 암호화 소프트웨어 또는 데이터를 암호화하는 단계를 정책에서 설명할 필요는 없습니다.
사이버 보안 정책 작성 대상
모든 정보 보안 정책은 주로 IT 부서(종종 CIO 또는 CISO)에서 담당합니다. 하지만 일반적으로 다양한 이해관계자가 각자의 전문 지식과 조직 내 역할에 따라 정책에 기여합니다. 정책 만들기에 참여할 가능성이 있는 주요 이해관계자와 역할은 아래와 같습니다.
- 최고 비즈니스 책임자는 보안에 대한 주요 비즈니스 요구 사항과 사이버 보안 정책을 지원하는 데 사용 가능한 리소스를 정의합니다. 리소스가 부족하여 이행될 수 없는 정책을 작성하는 것은 인력 시간 낭비입니다.
- 법무 부서에서는 정책이 법적 요구 사항을 충족하고 정부 규정을 준수하는지 확인합니다.
- 인사(HR) 부서에서는 직원 정책을 설명하고 적용할 책임이 있습니다. HR 담당자는 직원이 정책을 읽었는지 확인하고 위반하는 사람을 징계합니다.
- 조달 부서에서는 클라우드 서비스 공급업체를 조사하고, 클라우드 서비스 계약을 관리하고, 기타 관련 서비스 공급자를 조사할 책임이 있습니다. 조달 담당자는 클라우드 공급자의 보안이 조직의 사이버 보안 정책을 충족하는지 확인하고 다른 아웃소싱된 관련 서비스의 효율성을 확인할 수 있습니다.
- 공개 회사 및 협회의 이사는 책임의 일부로 정책을 검토하고 승인합니다. 또한 조직의 요구 사항에 따라 정책 작성에 일정 부분 관여할 수 있습니다.
정책 개발에 참여하도록 직원을 초대할 때 정책의 성공에 가장 중요한 사람을 고려해야 합니다. 예를 들어 정책을 적용하거나 정책을 이행하는 데 도움이 되는 리소스를 제공할 부서 책임자 또는 비즈니스 임원이 이상적인 참가자입니다.
사이버 보안 절차 업데이트 및 감사
기술은 지속적으로 변화하고 있습니다. 사이버 보안 절차를 정기적으로 업데이트합니다(원칙적으로 연 1회). 연간 검토 및 업데이트 프로세스를 설정하고 주요 관계자를 참여시킵니다.
정보 보안 정책을 검토할 때 정책의 지침을 조직의 실제 사례와 비교합니다. 정책 감사 또는 검토를 통해 현재 작업 프로세스에 더 이상 부합하지 않는 규칙을 파악할 수 있습니다. 감사는 사이버 보안 정책을 더 효율적으로 적용해야 하는 부분을 식별하는 데에도 도움이 될 수 있습니다.
IT 보안 컨설팅 및 교육 회사인 InfoSec Institute는 다음 세 가지 정책 감사 목표를 제안합니다.
- 조직의 사이버 보안 정책을 실제 사례와 비교
- 조직의 내부 위협에 대한 노출 확인
- 외부 보안 위협의 위험 평가
업데이트된 사이버 보안 정책은 모든 조직의 주요 보안 리소스입니다. 업데이트된 사이버 보안 정책이 없다면 최종 사용자가 실수를 하고 데이터 침해가 발생할 수 있습니다. 접근 방식이 잘못된 경우 벌금, 법률 비용, 화해, 공공 신뢰 상실, 브랜드 평판 훼손 등으로 인해 조직에 상당한 비용 손실이 발생할 수 있습니다. 정책을 만들고 유지 관리하면 이러한 부정적인 결과를 예방할 수 있습니다.