MATURITY MODEL SNAPSHOT

IT & SECURITY RISK MANAGEMENT

MATURITY MODEL SNAPSHOT

2

날마다 새로운 보안 위협이 출현하는 것이 오늘날 모든 조직이 직면한 현실입니다. 이에 대응하는 가장 효과적인 방법은 무엇일까요? 물론 모든 새로운 위협에 새로운 방어 계층을 추가할 수도 있습니다. 하지만 이 방식은 일정 기간 동안만 지속할 수 있습니다. 특히 계층마다 보호해야 할 새로운 유형의 보안 데이터가 있는 경우에는 지속하기가 더 어렵습니다.

이외에도 새로운 당면 과제가 많습니다. 기존 장벽이 사라지고 외부 관계자가 더 큰 역할을 수행함에 따라 어디서 위험이 발생하는지 파악하기가 어렵습니다. 또한 늘 즉각적인 위협을 차단하는 데 급급하다 보면 보안의 전략적 가치를 간과하기 쉽습니다.

더 많은 방어 계층을 추가하면 문제의 복잡성만 가중됩니다. 조직의 IT 보안 프로세스를 성숙시키는 방안을 사전에 모색하는 것이 한층 더 효과적입니다. 이렇게 할 때 보안의 비용을 절감하고 효과를 높이면서 성장을 지원하는 전략적 요소로 보안을 자리매김할 수 있습니다.

역량: IT 보안 프로세스 성숙을 위해 필요한 사항오늘날과 같은 현실에서 IT 및 보안 위험을 효과적으로 관리하려면 체계적인 협업을 통해 다음을 수행해야 합니다.

• 비즈니스 및 규정 준수 우선 순위에 맞춰 보안 정책 구현

• 변화 대응 능력이 뛰어난 프로세스를 통해 보안 위협보다 한발 앞서 나가며 공격 방어

• 즉각적인 전술적 요구 사항을 뛰어넘는 보안 전략 수립

• 규정 준수 제어 수단의 효과 확인

RSA Archer의 IT Security Risk Management 솔루션은 다음과 같은 주요 기능을 제공합니다.

IT 보안 팀이 비즈니스 및 IT 자산과 그 관계를 파악하도록 지원하여 보안을 위한 비즈니스 컨텍스트 설정

견고한 IT 및 보안 프로세스와 제어 수단을 구현하는 데 사용할 정책 및 표준의 토대 구축

제어 규정 준수, 보안 위협 및 취약성을 관리하는 방법을 통해 보안 및 제어의 결함 해결

일상적인 이벤트와 심각한 인시던트 모두를 위한 솔루션을 통해 공격을 탐지하고 공격에 대응

단계별 진행: 성숙도 향상 과정RSA Archer Maturity Model을 활용하면 조직이 기본적인 위험 관리에서 기회와 위험 간의 균형을 맞춘 최적화된 프로세스로 성숙해 나갈 수 있습니다. 이 과정은 다음과 같은 5단계로 이루어집니다.

MATURITY MODEL SNAPSHOT

3

사일로 단계: 기본적인 활동 수행 이 단계에서 조직은 IT 보안 위험 관리에 대한 기존 방식을 발전시키기 위해 준비합니다.

• IT 자산이 비즈니스를 지원하는 방식에 대한 지식이 거의 없는 상태입니다.

• 시스템의 취약성을 검사하고, 네트워크 데이터를 실시간으로 수집하고, 인시던트 분석을 문서화하지만 명확한 비즈니스 컨텍스트가 없습니다.

전환 단계: 안정화 및 강화 사일로 단계에서 관리 단계로 전환하면서 보안 팀에서 자산 정보를 체계화하고 데이터 소스를 통합합니다.

• 비즈니스 요구 사항과 보안을 연계하는 프로세스가 개발됩니다.

• 비즈니스 관련 규제 요건에 대한 카탈로그가 작성되고 요건을 충족하기 위한 제어 수단이 마련됩니다.

• 중요 인프라스트럭처를 넘어 로그/이벤트/패킷 분석을 수행할 수 있는 보안 기능과 유연성이 지원됩니다.

관리 단계: 안정된 상태 조직은 분석, 효과적인 프로세스 및 효율적인 메트릭을 통해 보안에 대한 가시성을 확보합니다.

• 비즈니스 요구 사항 및 기술 요구 사항 모두가 보안 운영의 지침으로 작용합니다.

• 비즈니스 및 IT 컨텍스트를 모두 사용하여 보안 문제를 보고합니다.

• 취약성 검사 데이터에 비즈니스 컨텍스트를 포함하여 비즈니스 영향에 따라 인시던트의 우선 순위를 지정하고 에스컬레이션할 수 있습니다.

혁신 단계: 제어 공고화 더 나은 우선 순위 지정 모델을 통해 조직은 비즈니스 요구 사항 간에 균형을 맞추고 오버헤드를 줄입니다.

• 비즈니스 영향 분석 프로세스를 활용하여 자산의 중요도를 결정합니다.

• 위협과 자산 정보 모두가 보안 이벤트의 중요도를 결정합니다.

• 우선 순위 지정 및 분류에 자산의 중요도를 자동으로 고려합니다.

• 표준화된 위험 진단을 통해 우선 순위 지정을 개선합니다.

규정 준수 위주

위험 관리를 위한 기본적인 활동이 이루어지지만 고립되고 조각화되어 있습니다.

프로세스를 안정화하고 범위를 확대하기 위해 효과 향상에 중점을 둔 활동이 진행됩

니다.

운영 프로세스가 안정 상태에 접어들고 효과적이고 반복 가능하며 지속 가능해집니다.

위험 관리와 비즈니스 간의 연결을 향상시키기 위한 혁신 이니셔티브가 실행됩니다.

비즈니스 컨텍스트와 위험 우선 순위를 사용하여 프로세스가 최적화되고 균형 잡혀

있습니다.

위험 중심

사일로 전환 관리 혁신 강점

기회 중심

완성도

위험 관리를 위한 기본적인 활동이 이루어지지만 고립되고 조각화되어 있습니다.

사일로

프로세스를 안정화하고 범위를 확대하기 위해 효과 향상에 중점을 둔 활동이 진행됩

니다.

전환

운영 프로세스가 안정 상태에 접어들고 효과적이고 반복 가능하며 지속 가능해집니다.

관리

위험 관리와 비즈니스 간의 연결을 향상시키기 위한 혁신 이니셔티브가 실행됩니다.

혁신

4

MATURITY MODEL SNAPSHOT

고급 단계: 본격적 활용 비즈니스 개념에서 보안이 구현되어 공통의 분류 체계, 접근 방식 및 의사 결정 프로세스를 사용해 새로운 비즈니스 요구 사항에 대응합니다.

• 비즈니스 컨텍스트가 보안 프로세스 및 기술에 완벽하게 반영됩니다.

• 보안 팀에서 통합된 비즈니스 특성 및 영향과 함께 문제를 보고합니다.

• 시스템 및 프로세스의 비즈니스 프로파일을 기반으로 위험을 진단합니다.

• 주요 취약성 메트릭이 IT 및 비즈니스 이해 관계자에게 자동으로 보고됩니다.

• 데이터 침해 비상 통신이 IT 이외의 조직까지 확장됩니다.

조직은 이제 위험 관리의 경쟁 우위를 확보하여 시장에 먼저 진입하고, 치밀한 효율성을 갖고 새로운 제품을 출시하며, 평판과 수익에 영향을 주는 주요 문제를 방지할 수 있습니다.

IT 보안 위험 관리를 위한 RSA Archer Maturity Model에 대한 자세한 내용은 rsa.com/ko-kr/resources를 참조하시기 바랍니다.

RSA ARCHER MATURITY MODEL SERIES 정보RSA Archer의 비전은 통합되고 체계적인 GRC(Governance, Risk and Compliance) 프로그램을 통한 위험 인텔리전스를 활용하여 규정 준수를 혁신하고 위험을 관리하는 동시에 성장 기회를 포착할 수 있도록 지원하는 것입니다. RSA Archer Maturity Model 시리즈에는 조직이 GRC 혁신을 위해 해결해야 하는 위험 관리 부문이 간략하게 정리되어 있습니다.

RSA 소개 RSA는 보안 인시던트와 비즈니스 컨텍스트의 상관 관계를 파악하는 독보적인 Business-Driven Security™ 솔루션을 제공하여 조직이 위험을 관리하고 가장 중요한 자산을 보호할 수 있도록 지원합니다. RSA 솔루션을 기반으로 지능형 공격을 효과적으로 탐지 및 대응하고, 사용자 ID와 액세스 권한을 관리하고, 비즈니스 위험 요소, 부정 행위 및 사이버 범죄를 최소화할 수 있습니다. RSA는 전 세계 수백만 명의 사용자를 보호하고 있으며, Fortune지 선정 500대 기업의 90% 이상이 오늘날과 같이 불확실하고 위험도가 높은 환경에서 성공을 거둘 수 있도록 돕고 있습니다. 자세한 내용은 rsa.com/ko-kr을 참조하시기 바랍니다.

비즈니스 컨텍스트와 위험 우선 순위를 사용하여 프로세스가 최적화되고 균형 잡혀

있습니다.

강점

©2020 RSA Security LLC or its affiliates. All rights reserved. RSA 및 RSA 로고는 미국 및 기타 국가에서 RSA Security LLC 또는 해당 계열사의 등록 상표 또는 상표입니다. 기타 모든 상표는 해당 소유주의 상표일 수 있습니다. RSA는 본 문서의 정보가 정확한 것으로 간주합니다. 이 정보는 예고 없이 변경될 수 있습니다. 09/20, Maturity Model Snapshot H16148-1 W386667

http://www.rsa.com/ko-kr/resourceshttp://rsa.com/ko-kr