사이버보안과 내부감사의 역할 (딜로이트)
(Cybersecurity and the role of internal audit: An urgent call to action)
□ 사이버 위험평가의 필요성과 방법
기업의 사이버 위험에 대한 평가는 아래의 세 가지 질문에서 시작합니다.
1. 사이버 위협의 주체가 누구인가?
범죄자, 경쟁자, 외부 공급업체, 불만을 품은 내부자, 특정한 목표를 지닌 해커 등 다양한 주체가 될 수 있음.
2. 사이버 공격의 목적은 무엇이며, 어떤 사업위험이 완화되어야 하는가?
돈이나 지적재산권을 노릴 수도 있고, 회사 운영을 중단시키거나 평판을 훼손하려는 의도일 수도 있으며, 보건 및 안전의 위험을 초래할 수도 있음.
3. 어떤 경로로 공격할 수 있는가?
피싱, 시스템의 취약성, 탈취한 자격증명(ID와 패스워드)을 사용하거나, 취약한 제3자의 네트워크를 통해 회사의 시스템에 접근할 수 있음.
□ 3단계 방어선
사업부문과 IT기능은 일상적인 업무 의사결정 및 운영과정에서 사이버 리스크를 관리하는데 이것이 1차 방어선을 구성합니다.
2차 방어선은 사이버 리스크를 관리·감독하고, 정보보안 운영을 모니터링하여 필요 시에 적절한 조치를 취하는 정보위험관리자들이 주된 역할을 합니다.
2차 방어선은 최고 정보보안책임자(CISO)의 지휘 하에 이루어지는 경우가 많습니다.
많은 기업에서 사이버 리스크의 3차 방어선, 즉 내부감사에 의한 정보보안관리의 독립적인 검토와 확인이 필요하다는 인식이 증가하고 있습니다.
내부감사는 조직의 정보보안체계를 평가하고 개선기회를 식별하는데 핵심적인 역할을 담당하여야 합니다.
동시에, 법적, 재무적 책임을 부담하는 이사회에서 정보보안에 대한 관심이 높아짐에 따라, 내부감사는 관련된 내부통제가 제대로 설계되고 작동하고 있는지를 감사위원회와 이사회에 보고할 의무가 있습니다.
☞첨부파일 : Cybersecurity and the role of internal audit: An urgent call to action
컨설팅 : ISMS, ISO27001 GDPR,PCI-DSS
취약점 진단 및 모의 침투
댓글 없음:
댓글 쓰기