위험요소에서 사람과 인원수 공정 및 기술이 미치는 영향

인원, 공정 및 기술

조직의 IT 관행에는 사람, 프로세스 및 기술의 세 가지 구성 요소가 있습니다. 이 모든 것들이 보안에 영향을 미친다. 크리스 잭슨은 자신의 저서 네트워크 보안 감사[잭슨, 2010]에서 침입에서부터 고객 기록 상실에 이르기까지 모든 보안 사건은 대개 사람, 프로세스, 기술에 기인할 수 있는 결핍으로 거슬러 올라갈 수 있다.고 말했다.

 

사람

사람들은 최종 사용자, 시스템 관리자, 데이터 소유자 및 조직 관리자를 포함할 수 있다. 각 개인은 다양한 수준의 기술, 태도 및 의제를 가지고 있으며, 이는 보안이 그들에게 어떤 영향을 미치는지, 그리고 보안 통제의 효과에 어떤 영향을 미치는지에 영향을 미친다. 보안 정책, 절차 및 통제의 존재와 상관없이 사람들이 따라 가지 않으면 효과가 없을 것입니다. 사람들이 보안 정책을 따르지 않으면 보안 인식 훈련이나 불응에 대한 처벌의 필요성과 같은 교정 노력이 필요할 수 있습니다. 조직 구조와 보안 정책은 종종 조직의 내부 및 외부에 있는 사람들에 의해 주도됩니다.

 

프로세스

프로세스는 보안 관련 서비스를 포함한 IT 서비스가 어떻게 제공되는지를 정의합니다. 보안 상황에서 프로세스에는 가치있는 자산을 보호하기 위해 시행되는 절차와 표준이 포함됩니다. 효과적이려면 프로세스를 최신, 일관성 있게 정의하고 보안을 위한 모범 사례를 따라야 합니다. 프로세스는 작업을 수행하는 데 수반되는 역할 및 책임, 제어, 도구 및 특정 단계를 정의합니다.

 

기술

기술은 비즈니스를 자동화하거나 지원하는 시설, 장비, 컴퓨터 하드웨어 및 소프트웨어를 포함합니다. 기술은 사람들이 반복적인 일을 더 빨리 그리고 그것이 없는 수동으로 수행되는 것보다 더 적은 오류로 더 빨리 성취할 수 있게 해준다. 사실, 올바른 도구 없이는 비밀번호 강화와 같은 일부 작업은 불가능할 것이다. 위험은 잘못된 기술을 사용하면 사람들이 실수를 더 빨리 할 수 있다는 것이다.

 

이 세 영역은 완전한 IT 솔루션을 형성하는 철 삼각형으로 생각할 수 있습니다. 세 영역 중 어느 것이라도 무시되면 전체 IT 전달 및 보안 노력이 어려움을 겪습니다.

 

보안 통제를 평가할 때 감사관은 공격자의 관점에서 시스템을 보고 사람, 프로세스 또는 기술이 어떻게 악용되어 귀중한 자산에 대한 무단 접근을 얻을 수 있는지 예상해야 합니다. 조직의 경영진은 그들이 안전하다고 생각했던 보안 메커니즘이 그렇지 않다는 사실에 종종 놀란다. 특정 보안 방어가 효과가 있는지 확실히 알 수 있는 유일한 방법은 공격자 관점에서 시스템을 테스트하는 것이다. 이것은 종종 윤리적 해킹이나 침투(펜) 테스트로 알려져 있다.

 

감사와 시험의 관계가 가장 직접적인 곳이 바로 여기에 있다. 감사는 시험해야 할 결핍과 중요한 영역을 식별한다. 보안 테스트는 보안 제어가 실제로 제자리에 있고 효과적으로 작동한다는 것이 입증되거나 입증되는 수단이다.

 

예제 시나리오

국가의 세무 기관은 보안 감사의 대상입니다. 감사 결과 중 하나는 범죄자가 사기성 세금 신고서를 제출하고 사기 납세자로 인한 세금 환급을 받는 것이 가능하다는 것입니다. 이 감사 결과는 보안 테스트로 확인되며 위험은 중요로 평가된다.

 

세무당국은 그러한 사기위험의 가능성을 인정하지만, 다음 해까지는 그 위험에 대해 행동하지 않기로 결정한다.규정된 모든 보안 절차를 따랐던 사기 납세자들은 세금제출 절차의 결함을 알고 있던 세무기관에 청구할 수 있다.이 경우, 세무청은 사기에 대해 믿을 만할 것이다.