사건의 발생: 실제 시나리오 (part 2 of 3)
사업을 하다 보면 사고가 발생하기 마련인데, 일부는 무고한 오류로 인해 발생하고 다른 일부는 악의적인 의도로 인해 발생합니다. NQA 지역 심사원인 Michael Harper가 IT에 초점을 맞춘 정보 보안 관점에서 안내해 드리겠습니다.
***
🔐 NQA는 한정 기간 내 모든 영국 기업들에게 ISO 27001:2022 전환을 무료로 제공합니다.
☎️ NQA와 함께 빠르고 심플한 전환을 시작하세요. 여기를 클릭하세요.
공지사항
이 시리즈(및 다음 시나리오)는 사고 및 사고 대응에 대한 간략하고 단순화된 설명입니다. 완료해야 할 모든 항목을 포괄적으로 나열하려는 의도는 아닙니다. 사건과 조직은 모두 다르기 때문에 접근 방식은 리스크 기반이어야 하며 조직에 적합해야 합니다.
NQA가 제공하는 3부작 블로그 시리즈인 '사고 발생'에 다시 오신 것을 환영합니다.
이 시리즈는 정보 보안에 중점을 두고 있지만 원칙은 모든 상황에 적용됩니다. 예상대로 작동하지 않는 공작기계, 폐기물 배출, 작업 중 사고… 이러한 사고는 언제 어디서나 발생할 수 있습니다.
시리즈 2부에서는 다음 내용을 다룹니다:
-
사건이 보고되면 어떻게 되나요?
-
조직이 취약할 수 있는 위치를 비교하고 확인할 수 있는 실제 시나리오입니다.
이 블로그를 읽은 후에, 파트3: 목표 설정 및 개선으로 넘어가세요.
블로그 파트1을 다시 보면서 사건, 이벤트 및 취약점이 무엇이었는지 상기시켜보세요.
때론 무고한 실수, 때론 고의적으로
불행하게도 일부 사건은 고의적인 악의적 행위로 인해 발생합니다.
사고가 우발적이었는지 여부에 관계없이 신고 내용을 조사할 책임자를 지정해야 합니다.
조직 내 ISM(정보 보안 관리자)이 역할을 하는 경우도 있습니다. 조직의 규모와 규모에 따라 전담 다분야 사고 대응 팀을 구성하는 것이 모범 사례일 수 있습니다.
사건의 심각도에 따라 다음이 필요할 수 있습니다.
-
정보보호 관리체계가 개선되었습니다.
-
법 집행 기관의 개입(예: 회사 노트북이 사무실에서 도난당한 경우)*.
-
재해 복구 또는 비즈니스 연속성 계획을 실행하는 조직입니다.
*범죄현장에서는 증거보존이 매우 중요합니다. 증거물이 제대로 수집되고 보관되어야만 기소가 가능하므로, 누구도 이를 훼손하지 않도록 주의하시기 바랍니다.
사건은 일종의 깨우치는 신호이거나 또는 조직의 평판에 지속적 데미지를 입힐 수 있습니다.
실제 사건 시나리오
매우 그럴듯한 사건 시나리오를 파헤쳐봅시다*.
*본 기사에 등장하는 사례, 업체명, 사건 등은 허구입니다. 실제 기업, 제품 또는 서비스와 동일시하려는 의도가 없으며 추론해서도 안 됩니다.
상황
Henry는 자동차 부품 제조업체인 Speed29에서 영업부 직원으로 일하고 있습니다. 그는 경쟁회사로부터 채용 제의를 받고 이를 받아들이기로 결심합니다.
통지 기간 동안 Henry는 Speed29 고객의 연락처 및 계약 세부 정보를 수집합니다. 그는 이 정보를 자신의 업무 이메일로 보내고, 새로운 역할에 익숙해지면 고객을 훔칠 계획을 세웁니다.
그러나 Speed29의 지원 분석가는 Henry의 계정에서 이상한 행동이 일어나는 것을 포착합니다. 그녀는 이를 정보 보안 사고로 보고합니다.
보고서
-
사건번호: ID010
-
보고일자: 05/06/2023
-
보고자: Lisa
-
사건 분류: 잠재적 사건
-
세부사항: Henry의 계정에서 의심스러운 행동 파악.
-
사건 담당: 정보보안 관리자
-
조사: 05/06/2023 – 헨리의 노트북을 압수했습니다. 발송된 이메일과 서버 접속 로그를 살펴보았습니다. 헨리가 평소에는 상대하지 않았던 고객의 세부 정보에 접근하려고 시도했다는 사실이 확인되었습니다. 회사 외부로 전송되지 않았지만 연락처 및 계약서 스프레드시트를 찾았습니다. 23/06/06 – Henry는 중대한 위법 행위 및 계약 위반을 이유로 징계 청문회를 받고 해고되었습니다. 계정은 일시 중지되었습니다.
-
근본 원인: Henry는 신규 직장으로 가져가기 위한 기밀 정보를 찾고 있었습니다.
-
근본 원인 제거를 위한 조치: 계정이 정지되었고 직원이 해고되었습니다. 향후 유출을 방지하려면 데이터 손실 방지 도구를 고려하세요.
-
상태: 종결
-
종결일자: 07/06/2023
추후 조치
-
조치 #1: 사고가 다시 발생할 가능성이 위험 등록부에 추가됩니다. 사고가 충분히 높은 것으로 식별됩니다(따라서 재발 가능성이 있음).
-
조치 #2: 처리 계획에 데이터 손실 방지 도구가 도입되었습니다.
-
조치 #3: 데이터 손실 방지 도구가 관리 시스템 목표에 추가되었습니다.
추가 고려 사항
데이터 손실 방지 도구와 함께 Speedy29는 다음을 고려하는 것이 중요합니다.
-
헨리는 정원 가꾸기 휴가를 받아야 했나요?
-
Henry의 활동 로그는 우리에게 무엇을 더 알려줄 수 있습니까(즉, 비정상적이거나 예상치 못한 활동이 있었습니까)?
-
Henry가 통지서를 제출하기 전에 누군가가 로그를 살펴봤어야 했나요?
-
온보딩 관행과 직원 심사를 검토해야 합니까?
-
다양한 역량을 개발하기 위해 역할을 순환하는 것이 가치가 있습니까?
-
액세스 및 액세스 수준을 얼마나 자주 검토해야 합니까?
1분만 생각해보세요...
...Henry와 같은 사람이 데이터 보안을 위반하고 조직의 기밀 정보를 다른 조직으로 가져가는 것이 얼마나 쉬운가요?
다음을 평가하세요:
-
누군가가 어떻게 달성할지.
-
이를 잡을 사람이 있나요?
-
이러한 일 발생을 방지하기 위한 조치.
사고를 조기에 처리하면 경영시스템이 크게 개선될 수 있습니다.
NQA의 최종 생각
사고 관리는 모든 정보 보안 관리 시스템의 핵심 부분입니다. 이는 위험과 개선 영역을 강조하는 동시에 조직의 보안을 유지하는 데 도움이 됩니다.
모든 사건은 배우고 개선할 수 있는 기회입니다. 사고 후 검토는 이를 수행하는 유용한 방법이며, 이에 대해서는 곧 다른 NQA 블로그 게시물에서 다루겠습니다.
목표 계획 및 효과성 측정을 어떻게 할지 시리즈 파트3에서 찾아보세요.
ISO 27001(정보 경영)으로 비즈니스 속도를 높이세요
메일링 리스트에 가입하여 ISO 27001에 대한 최신 정보와 업계 업데이트, 전문가 콘텐츠 등을 받아보세요. 👇