효율적인 IT 위험 평가를 수행하는 방법

현재 많은 기업에서 컴퓨팅 기술을 사용하여 운영을 간소화하고 있습니다. 그리고 아마도 당신도 그들 중 하나일 것입니다. 솔직히 정보 기술은 비즈니스 프로세스를 쉽고 관리하기 쉽게 만들었습니다. IT가 없으면 직장이 어떻게 될지 상상하기 어렵습니다. 그러나 얻는 이점에도 불구하고 상당한 위험을 감수해야 합니다. 따라서 비즈니스에 대한 효율적인 IT 위험 평가를 수행하는 방법을 알아야 합니다. 따라야 할 단계는 다음과 같습니다.

자산 나열

무엇보다도 IT 자산으로 분류해야 하는 비즈니스 자산이 무엇인지 알아야 합니다. 다음은 가장 일반적인 몇 가지입니다.

• 데스크탑 컴퓨터
• 노트북
• 서버 장치
• 스마트 폰
• 휴대 전화
• 프로젝터
• 프린터
• 라우터
• 스캐너
• 소프트웨어
• 전화 시스템
• 무정전 전원 공급 장치
• 배전반
• 무선 카드
• 텍스트, 오디오, 비디오 및 이미지 파일
• 라이선스 프로그램

그런 다음 이러한 각 자산에 대해 다음 관련 정보를 기록해 둡니다.

• 최고 사용자
• 지원 인력
• 비즈니스 목표를 달성하는 목적
• 기능 요구 사항
• 보안 통제
• 인터페이스
• 비즈니스에 대한 중요도

이 정보는 위험 평가를 위한 배경 및 기초 역할을 합니다. 포괄적인 목록을 작성하면 평가할 정확한 구성 요소를 알 수 있습니다.

2. 위협 분석

위협은 IT 시스템의 하드웨어 구성 요소를 물리적으로 손상시키거나 소프트웨어의 기능을 악의적으로 조정할 수 있는 모든 것으로 볼 수 있습니다. IT 시스템에 대한 가장 악명 높은 위협은 다음과 같습니다.

• 하드웨어 고장: 위협을 분석할 때 직원이 노트북 키보드에 커피를 쏟는 것과 같은 몇 가지 기본적인 위협을 무시하지 마십시오. 이러한 사고로 인해 노트북을 사용할 수 없게 될 수 있습니다. 또한 일부 장치는 조용히 작동을 멈출 수 있습니다. 아마도 회로 손상 때문일 것입니다. 특히 나이가 많은 경우에는 더욱 그렇습니다.
• 자연 재해: 홍수, 허리케인, 지진, 토네이도 및 산불과 같은 재난이 사업장 주변에서 발생하여 IT 시스템이 작동하지 않을 수 있습니다. 귀하의 지역에서 가장 널리 퍼져 있는 것들을 기록하고 준비하십시오.
• 사이버 위협: IT 위험 평가를 언급할 때마다 가장 먼저 떠오르는 것은 사이버 보안 공격일 것입니다. 사실 조심해야 할 이유가 있습니다. 사이버 위협이 급격히 증가하고 있으며 곧 줄어들 기미가 보이지 않습니다. IT 전문가가 최신 사이버 위협에 익숙하지 않은 경우 다음을 고용할 수 있습니다. 사이버 보안 회사 당신을 위해 위험 분석을 수행합니다. 그들은 다음과 같은 위협을 조사할 것입니다.
  • 스피어 피싱: 귀하가 알고 신뢰하는 회사에서 귀하가 기밀 정보를 공개하도록 하기 위해 귀하에게 이메일을 보낼 수 있습니다.
  • 바이러스: 악의적인 사람이 컴퓨터에 바이러스를 보내 파일을 손상시켜 더 이상 액세스할 수 없게 만들 수 있습니다.
  • 분산 서비스 거부: 랜섬웨어와 마찬가지로 해커는 데이터를 훔치거나 천천히 손상을 입히면서 IT 시스템을 작동하지 않게 할 수 있습니다.
  • 비밀번호 공격: 사이버 범죄자는 모든 수단을 사용하여 중요한 온라인 플랫폼에 대한 암호를 알아내고 로그인하여 정보를 훔칩니다.
  • 고급 영구 위협: 수상한 개인은 IT 시스템에 무단으로 액세스하여 오랫동안 발견되지 않을 수 있습니다. 이 기간 동안 그들은 많은 정보를 훔쳐 이기적인 이익을 위해 사용할 수 있습니다.
  • 랜섬: 해커는 중요한 컴퓨터 시스템에 대한 액세스를 차단할 수 있습니다. 지불할 때까지 그들이 원하는 금액.
  • 내부자 위협: 주변 사람들이 가장 큰 적이 될 수 있습니다. 그것에 대해 생각해 본 적이 있습니까? 직원은 일반적으로 보유하고 있는 모든 데이터에 액세스할 수 있습니다. 그들이 악당들과 협력하여 정보를 유출하기로 결정했다면 어려움을 겪지 않고 그렇게 할 수 있습니다. 

내부자 위협은 많은 기업이 전환한 재택 근무 시스템을 고려할 때 훨씬 더 만연해 있습니다. 방금 고용한 원격 근무자의 성실성을 모를 수도 있습니다. 사실 일부 사이버 범죄자들은 ​​광고된 직업에 대한 후보자로 가장합니다. 회사 포털에 액세스하면 원하는 것을 훔치는 데 즐거운 시간을 보냅니다.

취약점 식별

취약점은 강조 표시된 위협이 발생하기 쉽게 만드는 IT 시스템 내의 허점입니다. 예를 들어 불을 봅시다. 목재 골조와 외장재로 사무실을 운영하면 화재의 위험이 높아집니다.

홍수의 경우 사무실을 지하실에 두는 것은 취약합니다. 그리고 사이버 위협의 경우 최신 바이러스 백신 소프트웨어 없이 작동하는 것이 약점입니다. 이러한 허점을 식별한 후에는 비즈니스 시스템을 개선하는 최선의 방법을 찾아 IT 위협의 희생양이 되지 않도록 할 수 있습니다.

영향 평가

자산, 위협 및 취약성 목록을 가지고 있는 것만으로는 충분하지 않습니다. 위험 평가에는 비즈니스에 대한 위협의 영향 평가도 포함됩니다. 

예를 들어 사무실이 물에 잠기고 모든 IT 장치가 물에 잠겼다고 가정합니다. 그러한 사건 이후에 겪게 될 재정적 손실을 예상해야 합니다. 그 외에도 정상적인 운영을 재개하는 데 필요한 금액을 계산해야 합니다.

그리고 영향이 반드시 재정적인 것은 아니라는 점에 유의하십시오. 해커가 귀하를 가장하고 귀하의 신원을 사용하여 잘못된 비즈니스 커뮤니케이션을 하는 경우 무결성을 잃을 수 있습니다. 당신의 고객은 당신에 대한 신뢰를 잃고 경쟁자에게서 위안을 찾을 수 있습니다.

또한 영향을 낮음, 중간 또는 높음으로 분류합니다. 이렇게 하면 위험을 피하기 위해 어느 정도의 노력을 기울여야 하는지 알 수 있습니다.

보안 제어 제안

IT 위험 평가는 가능한 솔루션을 추천하지 않고는 절대 완료할 수 없습니다. 위협과 취약성을 분석하고 잠재적 영향을 평가한 후 위험을 완화하는 데 도움이 되도록 취하려는 일련의 조치를 명시하십시오. 일부 조치에는 다음이 포함될 수 있습니다.

• 소수의 신뢰할 수 있는 직원에게만 주요 데이터베이스에 대한 액세스 제한
• 정교한 구독 인터넷 보안 프로그램
• 귀하의 IT 자산을 보호하기 위해 사이버 보안 회사를 고용하십시오.
• 도난방지 사업장으로 이전
• 원격 작업자가 액세스할 수 있는 회사 정보 제한
• 사내 서버 대신 클라우드 스토리지 솔루션 사용
• 클라우드에서 대부분의 프로그램 호스팅
• 사무실 내화

결론적으로

기업에 대한 IT 위험 평가를 수행해야 합니다. 사소한 보안 위반으로도 운영이 중단될 수 있습니다. 아시다시피 사이버 보안 공격은 가장 널리 퍼진 IT 위험 중 일부입니다. 따라서 악의적인 외부인이나 내부자의 손상이나 도난으로부터 IT 자산을 보호하기 위해 사이버 보안 회사를 고용할 수 있습니다.