비즈니스에서 리스크를 어떻게 결정 및 평가하나요??
20 6월 2022
NQA의 정보보안 보증 관리자인 Tim Pinell은 최근 West Midlands의 Cyber Resilience Center에 위험 분석의 중요성과 그에 따른 이점에 대한 기사를 썼습니다.
정보 보안 심사에서 가장 중요한 요소 중 하나는 조직의 정보 보안 리스크를 검토하는 것입니다. 리스크를 이해하는 조직은 취할 수 있는 조치에 대해 정보에 입각한 결정을 내릴 수 있습니다. 즉, 리스크를 처리할지, 감수할지, 또는 리스크를 보험 증권으로 이전할지 여부입니다. 직면한 리스크를 알고 있는 조직은 비즈니스 어려움을 헤쳐나갈 수 있는 강력한 위치에 있습니다.
거의 모든 중소기업은 전문 지식이 없음에도 불구하고 정보 보안 리스크 평가를 매우 진지하게 받아들입니다. 그러나 정보 보안 리스크를 명확히 설명하지 못하는 조직을 자주 봅니다. 그러나 비즈니스에 종사하는 사람들은 비즈니스 리스크 전문가이며 매일 리스크 결정을 내립니다. 그렇다면 비즈니스 리스크와 정보 보안 리스크 사이에 이해의 차이가 있는 이유는 무엇입니까?
자세히 살펴보면 원칙은 동일하며 문제는 정보 보안 리스크를 명확히 하는 데 있음이 분명해집니다.
리스크는 일어날 수 있는 일과 일어날 경우의 결과라는 두 가지 구성 요소로 구성됩니다. 수익에 영향을 미치는 실패한 비즈니스 계획과 같은 비즈니스 리스크 사례를 생각하기 쉽습니다.
다음은 제대로 설명되지 않은 정보 보안 리스크의 예이며 심사하는 동안 볼 수 있는 많은 리스크에 대한 설명의 전형입니다.
접근 관리 실패는 정보 손실을 유발한다
그것이 의사 결정에 어떻게 도움이 될 수 있습니까? 여기에는 너무 많은 것이 빠져 있습니다. 어떤 종류의 액세스 제어 실패(물리적 또는 IT)인지, 제어가 왜 실패했는지, 어떤 자산을 보호하고 있었는지. 그런 다음 결과를 고려하십시오. 정보가 가치가 없는 경우 정보 손실이 부정적인 결과가 아닐 수도 있습니다. 따라서 우리는 손실된 정보와 손실의 영향을 알아야 합니다. 영향은 수정 비용, 벌금, 고객 비즈니스 손실, 주가 하락, 고객 리베이트 등 여러 요인으로 구성될 수 있다는 점을 염두에 두어야 합니다.
이것이 더 나은 리스크에 대한 설명일 것입니다:
파일 서버에 강력한 암호가 없으면 내부자가 개인 파일을 삭제할 수 있어 최대 £10000의 ICO 벌금이 부과될 수 있습니다.
사건이 발생할 가능성에 대한 언급이 제거함으로써 개선되었습니다.
파일 서버에 강력한 암호가 없으면 내부자가 개인 파일을 삭제하여 최대 £10000의 ICO 벌금과 불특정 직원 보상을 초래할 가능성이 10% 있습니다.
가능성은 미래를 예측하려고 하므로 정확한 과학이 아닙니다. 그러나 가장 중요한 것은 예측을 하고 중간 지점을 피하려고 노력하는 것입니다. 일어날 수도 있고 일어나지 않을 수도 있습니다. 그렇게 하면 의사 결정에 도움이 되지 않기 때문입니다. 그리고 용어의 변화에 주목하십시오: 할 수 있다가 의지가 되었습니다. 이것은 가능성의 추가 때문에 필요합니다. 리스크는 특정 이벤트가 발생할 가능성과 해당 발생의 영향에 대한 설명입니다.
주의해야 할 중요한 점은 위험이 자명하다는 것입니다. 그것을 읽는 사람은 누구나 쉽게 이해할 수 있습니다. 이는 대퇴사와 기업 지식의 끊임없는 손실 동안 중요합니다. 모든 정보 보안 리스크가 유사하게 표현되면 미래에 누가 추적하는지에 관계없이 프로세스의 일관성과 반복성이 보장됩니다.
일부 조직에서는 이를 다른 리스크와의 비교를 돕기 위해 표로 분류합니다.
그리고 기술자 관련 발언이 없습니다. 행동을 취하도록 설득해야 하는 사람은 CEO, CFO와 같은 비즈니스 관리자임을 명심하십시오. 그러면 최고 경영진이 정보 보안 리스크 선호도를 명확히 하는 데 도움이 됩니다. 위험 처리 비용을 포함하면 작업이 더 쉬워질 수 있습니다.
수학을 통해 비즈니스는 치료하는 데 500파운드가 드는 1000파운드(10% * 10000파운드)의 리스크를 감수하고 있습니다. 강력한 암호를 구현하여 다른 리스크도 함께 처리되지 않는 한, 리스크와 그 처리법을 분리하여 고려해서는 안 된다는 교훈을 얻지 않는 한, 틀림없이 할 가치가 없습니다.
많은 조직에서 리스크 평가에 높음/중간/낮음 – RAG 방법을 사용합니다. 그러나 이러한 방법에는 높음에서 낮음으로의 가능성과 영향, 그리고 더 나은 의사결정 세부사항이 손실될 수 있습니다. 특히 영향에 대해서:
리스크 완화를 위한 뉴스 및 모든 비용 요소로부터 세간의 이목을 끄는 데이터 위반을 고려합니다.
조직이 때때로 잘못 생각하는 또 다른 요소는 리스크 처리를 구현한다고 해서 항상 그 영향이 줄어든다는 의미는 아니라는 것입니다. 리스크 처리는 일반적으로 가능성을 줄입니다. 랜섬웨어 공격이 발생하기 더 어렵게 만들 수 있지만 공격이 발생하면 하드 드라이브는 여전히 암호화됩니다.
ISO 27005 및 ISO 31000과 같은 다양한 리스크 관리 기법이 있습니다. 리스크 분석에 소요되는 시간과 비즈니스 용어를 명확하게 표현하는 것은 시간을 잘 활용하는 것입니다.
2022년 6월 1일 The Cyber Resilience Centre for West Midlands에서 원문 발행
거의 모든 중소기업은 전문 지식이 없음에도 불구하고 정보 보안 리스크 평가를 매우 진지하게 받아들입니다. 그러나 정보 보안 리스크를 명확히 설명하지 못하는 조직을 자주 봅니다. 그러나 비즈니스에 종사하는 사람들은 비즈니스 리스크 전문가이며 매일 리스크 결정을 내립니다. 그렇다면 비즈니스 리스크와 정보 보안 리스크 사이에 이해의 차이가 있는 이유는 무엇입니까?
자세히 살펴보면 원칙은 동일하며 문제는 정보 보안 리스크를 명확히 하는 데 있음이 분명해집니다.
리스크는 일어날 수 있는 일과 일어날 경우의 결과라는 두 가지 구성 요소로 구성됩니다. 수익에 영향을 미치는 실패한 비즈니스 계획과 같은 비즈니스 리스크 사례를 생각하기 쉽습니다.
다음은 제대로 설명되지 않은 정보 보안 리스크의 예이며 심사하는 동안 볼 수 있는 많은 리스크에 대한 설명의 전형입니다.
접근 관리 실패는 정보 손실을 유발한다
그것이 의사 결정에 어떻게 도움이 될 수 있습니까? 여기에는 너무 많은 것이 빠져 있습니다. 어떤 종류의 액세스 제어 실패(물리적 또는 IT)인지, 제어가 왜 실패했는지, 어떤 자산을 보호하고 있었는지. 그런 다음 결과를 고려하십시오. 정보가 가치가 없는 경우 정보 손실이 부정적인 결과가 아닐 수도 있습니다. 따라서 우리는 손실된 정보와 손실의 영향을 알아야 합니다. 영향은 수정 비용, 벌금, 고객 비즈니스 손실, 주가 하락, 고객 리베이트 등 여러 요인으로 구성될 수 있다는 점을 염두에 두어야 합니다.
이것이 더 나은 리스크에 대한 설명일 것입니다:
파일 서버에 강력한 암호가 없으면 내부자가 개인 파일을 삭제할 수 있어 최대 £10000의 ICO 벌금이 부과될 수 있습니다.
사건이 발생할 가능성에 대한 언급이 제거함으로써 개선되었습니다.
파일 서버에 강력한 암호가 없으면 내부자가 개인 파일을 삭제하여 최대 £10000의 ICO 벌금과 불특정 직원 보상을 초래할 가능성이 10% 있습니다.
가능성은 미래를 예측하려고 하므로 정확한 과학이 아닙니다. 그러나 가장 중요한 것은 예측을 하고 중간 지점을 피하려고 노력하는 것입니다. 일어날 수도 있고 일어나지 않을 수도 있습니다. 그렇게 하면 의사 결정에 도움이 되지 않기 때문입니다. 그리고 용어의 변화에 주목하십시오: 할 수 있다가 의지가 되었습니다. 이것은 가능성의 추가 때문에 필요합니다. 리스크는 특정 이벤트가 발생할 가능성과 해당 발생의 영향에 대한 설명입니다.
주의해야 할 중요한 점은 위험이 자명하다는 것입니다. 그것을 읽는 사람은 누구나 쉽게 이해할 수 있습니다. 이는 대퇴사와 기업 지식의 끊임없는 손실 동안 중요합니다. 모든 정보 보안 리스크가 유사하게 표현되면 미래에 누가 추적하는지에 관계없이 프로세스의 일관성과 반복성이 보장됩니다.
일부 조직에서는 이를 다른 리스크와의 비교를 돕기 위해 표로 분류합니다.
설명 | 가능성 | 영향 |
파일 서버에 강력한 암호가 없으면 내부자가 개인 파일을 삭제하게 됩니다. | 10% | 벌금: ICO - £10000 보상: £TBD |
그리고 기술자 관련 발언이 없습니다. 행동을 취하도록 설득해야 하는 사람은 CEO, CFO와 같은 비즈니스 관리자임을 명심하십시오. 그러면 최고 경영진이 정보 보안 리스크 선호도를 명확히 하는 데 도움이 됩니다. 위험 처리 비용을 포함하면 작업이 더 쉬워질 수 있습니다.
설명 | 가능성 | 영향 | 조치 |
A파일 서버에 강력한 암호가 없으면 내부자가 개인 파일을 삭제하게 됩니다. | 10% | 벌금: ICO - £10000 보상: £TBD |
강력한 패스워드로 변경: £500 |
수학을 통해 비즈니스는 치료하는 데 500파운드가 드는 1000파운드(10% * 10000파운드)의 리스크를 감수하고 있습니다. 강력한 암호를 구현하여 다른 리스크도 함께 처리되지 않는 한, 리스크와 그 처리법을 분리하여 고려해서는 안 된다는 교훈을 얻지 않는 한, 틀림없이 할 가치가 없습니다.
많은 조직에서 리스크 평가에 높음/중간/낮음 – RAG 방법을 사용합니다. 그러나 이러한 방법에는 높음에서 낮음으로의 가능성과 영향, 그리고 더 나은 의사결정 세부사항이 손실될 수 있습니다. 특히 영향에 대해서:
리스크 완화를 위한 뉴스 및 모든 비용 요소로부터 세간의 이목을 끄는 데이터 위반을 고려합니다.
조직이 때때로 잘못 생각하는 또 다른 요소는 리스크 처리를 구현한다고 해서 항상 그 영향이 줄어든다는 의미는 아니라는 것입니다. 리스크 처리는 일반적으로 가능성을 줄입니다. 랜섬웨어 공격이 발생하기 더 어렵게 만들 수 있지만 공격이 발생하면 하드 드라이브는 여전히 암호화됩니다.
ISO 27005 및 ISO 31000과 같은 다양한 리스크 관리 기법이 있습니다. 리스크 분석에 소요되는 시간과 비즈니스 용어를 명확하게 표현하는 것은 시간을 잘 활용하는 것입니다.
2022년 6월 1일 The Cyber Resilience Centre for West Midlands에서 원문 발행