사이버 탄력적 거버넌스 알아보기
학습 목표
이 유닛을 완료하면 다음을 수행할 수 있습니다.
- 임원진이 사이버 위험을 관리하는 데 유용한 OG 산업의 6가지 원칙을 나열할 수 있습니다.
- 석유 및 가스(OG) 부문에 대한 포괄적인 사이버 보안 거버넌스 모델을 구축하는 방법을 설명할 수 있습니다.
- 설계에 의한 보안, 설계 문화에 의한 탄력성을 증진하기 위해 고려해야 할 질문을 나열할 수 있습니다.
- 경영진이 조직과 광범위한 협력체계에 대한 사이버 위험을 고려해야 하는 이유를 설명할 수 있습니다.
석유 및 가스 산업의 사이버 탄력성 원리
다음 6가지 원칙은 석유 및 가스(OG) 산업에 특화되어 있으며 주요 사이버 탄력성 문제를 해결하기 위해 세계경제포럼(WEF)의 일반적인 사이버 탄력성 원칙을 보완합니다.
- OG1 사이버 탄력성 거버넌스
- OG2 설계별 탄력성
- OG3 사이버 탄력성에 대한 기업의 책임
- OG4 총체적 위험 관리 접근법
- OG5 협력체계 전반의 협업
- OG6 협력체계 전반의 사이버 탄력성 플랜
OG 산업별 활동에 대한 이러한 원칙은 사이버 보안 실무자에게 구현 지원을 제공합니다. 이러한 원칙에 대해 더 자세히 알아보겠습니다.
원칙 OG1: 사이버 탄력성 거버넌스
포괄적인 사이버 보안 거버넌스 모델을 구축하기 전에 조직이 보호하는 데이터를 결정하고 데이터 분류 및 비즈니스 프로세스 중요성과 같은 요소를 고려하는 것이 좋습니다. 이 작업이 완료되면 다음 단계는 역할과 책임, 미션, 비전을 명확히 하는 사이버 보안 거버넌스 프레임워크를 개발하는 것입니다.
OG 산업 조직의 임원진은 경영진에게 포괄적인 사이버 보안 거버넌스 모델 수립을 요구해야 합니다.
임원진은 조직에서 사이버 탄력성을 구현할 경우 다음 질문을 고려해야 합니다.
- 거버넌스 모델에서 정보 기술(IT), 운영 기술(OT) 및 물리적 보안 기능 간의 협력 관계를 어떻게 조성할까요? 이러한 관계를 지탱하는 효과적인 메커니즘은 무엇인가요?
- IT, OT 및 물리적 보안 기능 전반에 걸쳐 수립, 통합 및 준수된 사이버 탄력성에 대한 역할과 책임은 무엇인가요?
- 운영 및 안전 환경을 확보하기 위한 모범 사례에 대한 기존 인센티브는 무엇인가요?
- 사이버 탄력성 거버넌스 모델은 어떻게 검토하나요?
사이버 탄력성 거버넌스 구현
사이버 탄력성 거버넌스 구현을 위한 몇 가지 제안되는 활동은 다음과 같습니다.
- IT, OT, 물리적 보안, 건강 및 안전 환경 및 디지털 전환에 대한 사이버 탄력성을 관리하고 감독할 수 있는 역량을 갖춘 포괄적인 거버넌스 모델을 구축합니다.
- 사이버 보안 직무를 수행할 수 있는 경험과 자원이 있는 책임 임원 및 분야 전문가의 적절한 권한과 지시 권한을 보장합니다.
- 사이버 탄력성 전략 실행 및 예산에 적절한 빈도로 다른 비즈니스 부서 리더들과 긴밀한 협력을 통해 정기적으로 업데이트를 제공합니다.
- 조직 전반에 걸친 교육 및 인식 훈련을 통해 정기적으로 모범 사례를 공유함으로써 사이버 탄력성 문화를 장려합니다.
제안된 지표는 다음을 포함할 수 있습니다.
- 고위험군(예: 임원, 최고 경영진 및 IT, 엔지니어링, 인사 및 재무 담당자)에 초점을 맞춘 사이버 보안 관행에 대한 사이버 보안 인식 교육 프로그램을 성공적으로 이수한 직원 비율
- 비즈니스 부서와의 사이버 보안 협업 참여 횟수
OG2 원리: 설계에 의한 탄력성
OG 산업의 조직 임원진은 설계에 의한 보안, 설계 문화에 의한 탄력성을 촉진해야 하며, 경영진이 진행 상황을 문서화하는 동안 유사한 표준과 가치를 구현하도록 요구해야 합니다.
임원진은 조직에서 사이버 탄력성을 구현할 경우 다음 질문을 고려해야 합니다.
- 사이버 위험 및 관련 시사점은 비즈니스의 모든 측면에서 설계에 의해 평가, 포함 및 적절하게 관리되나요?
- 사이버 위험 관리의 교차 기능 및 교차 부서 소유권은 설계에 의해 탄력성을 달성하기 위해 어떻게 확립될까요?
- 조직 내 여러 부서에서 위험 관리 활동은 어떻게 조정될까요?
- 지속적인 활동과 새로운 이니셔티브를 위한 플랜에서 직간접적인 사이버 위험을 어떻게 관리할까요?
- 직원의 주요 구성원은 사이버 탄력성의 영향 및 역할에 대한 기대치를 어떻게 인식하고 있을까요?
예를 살펴보겠습니다.
석유 회사의 사이버 보안 위험 통합
Tim은 석유 회사의 임원으로, IT 기기에서 OT 제어 시스템에 연결된 에너지 자산에 이르기까지 가치 사슬의 모든 측면에서 사이버 보안을 통합하는 업무를 담당하고 있습니다. 사이버 위험의 중요성을 강조하기 위해 Tim과 다른 임원, CEO는 최고운영책임자(COO)와 최고정보책임자(CIO)가 회사에 전달한 제안서의 주요 사이버 원칙을 개발하고 승인했습니다. 임원진의 지원으로 Tim은 인력과 자금을 추가하고 사이버 보안 거버넌스 시스템을 구축하여 사이버 보안 프로그램을 강화할 수 있었습니다.
설계에 의한 탄력성 구현
설계에 의한 탄력성 구현을 위해 제안된 활동은 다음과 같습니다.
- 운영에 있어 새로운 사이버 탄력성 요구 사항을 이행하고 주인 의식을 고취할 수 있도록 모든 비즈니스 부서에 대한 사이버 탄력성 지표와 적절한 인센티브를 정의합니다.
- 사이버 위험과 탄력성을 담당하는 담당자가 정기적으로 사이버 회복력 케이던스를 실시합니다.
- 사이버 위험에 대한 태도를 비즈니스 요구 사항에 맞게 조정하기 위해 비즈니스 부서와 위험 직무가 협력합니다.
- 각 비즈니스 부서의 요구 사항과 고유한 위험에 맞는 사이버 보안 인식 프로그램을 구축합니다.
- 사이버 위험을 식별하고 관리하는 역량을 갖춘 인력을 배치합니다.
- 사이버 탄력성, 보호, 탐지 및 대응 역량이 설계에 의한 기술 및 비즈니스 활동과 통합되도록 합니다.
제안된 지표는 다음을 포함할 수 있습니다.
- 설계에 의한 사이버 탄력성 관행을 채택하고 통합하는 비즈니스 부서 프로세스의 비율.
- 사이버 탄력성 및 인식 교육(다양한 수준에 맞춘)을 받은 직원의 비율.
- 설계에 의한 사이버 탄력성을 다루는 모델 역할을 하는 등대 프로젝트의 비율. 등대라는 용어는 이러한 프로젝트가 인공 지능(AI)과 같은 첨단 기술을 적용하고자 하는 다른 사람들을 안내하고 사이버 탄력성이 있는 시스템을 설계하는 데 고급 분석을 제공하는 신호등 역할을 할 수 있다는 것을 나타냅니다.
- 시스템 장애 또는 중단으로 이어지는 중요한 사이버 사고를 탐지, 대응 및 복구하는 데 소요되는 평균 시간.
OG3 원칙: 사이버 탄력성에 대한 기업의 책임
OG 산업의 조직 임원진은 경영진이 조직과 더 넓은 협력체계에 대한 사이버 위험을 고려하고, 조직의 사이버 문화와 관행을 검토하고, 이러한 위험을 관리하는 방법을 모색하도록 권장해야 합니다.
임원진은 조직에서 사이버 탄력성을 구현할 경우 다음 질문을 고려해야 합니다.
- 경영진은 조직이 협력체계에 도입하는 사이버 관련 위험, 잠재적 영향 및 그에 따른 평판 위험을 어떻게 보고 있을까요?
- 비즈니스의 모든 측면에서 사이버 위험의 일차적 및 연쇄적 효과는 어떻게 평가되고 관리되며, 잠재적인 연쇄적 영향과 이에 따른 평판에 대한 위험은 어떻게 평가되나요?
- 조직은 협력체계에 도입된 잠재적인 사이버 위험, 취약성 및 사고를 관련 당사자에게 어떻게 전달할 계획인가요?
예를 살펴보겠습니다.
에너지 및 석유화학 회사, 사이버 보안에서 사이버 회복력으로의 전환
많은 조직에는 다양한 위험 수준과 위험 수용 범위를 가진 여러 문화가 있으며, 이는 회사 전반에 걸쳐 사이버 보안 정책 및 모범 사례를 구현하는 데 좋지 않은 영향을 미칠 수 있습니다. 위험 수용 범위란 목표를 달성하기 위해 위험이 해결된 후 위험을 수용할 수 있는 조직 또는 이해 관계자의 준비 상태를 의미합니다. 법적 및 규제 요건은 이러한 위험 수용 범위를 고려하여 조직 또는 이해 관계자가 규제 기관이 지정한 경계 내에 있어야 합니다.
에너지 및 석유화학 회사에서 사이버 공격의 잠재적 영향을 줄이기 위한 목표로, Alison 최고정보보안책임자(CISO)는 회사 전반에 걸쳐 사이버 회복력을 총체적으로 구현하기 위해 이해관계자의 기대에 부응하여 비즈니스 부서 내 위험 수준과 요구 사항의 균형을 맞춰야 한다는 필요성을 인식했습니다. 임원진은 회사가 사이버 탄력성 개발에 전념할 수 있도록 교육, 인식 및 리소스에 대한 지원을 제공했습니다. 임원진은 Alison에게 적절한 자원과 지원을 제공함으로써 새로운 사이버 정책과 관행의 구현에 협력자를 확보할 수 있는 수단을 제공했습니다.
사이버 탄력성에 대한 기업의 책임 이행
사이버 탄력성에 대한 기업의 책임 이행을 위해 제안된 활동은 다음과 같습니다.
- 해당 프로세스의 경우 사이버 탄력성 통합을 담당하는 업무를 위임 받은 다른 비즈니스 부서 담당자와 개인이 협력합니다.
- 조직에 공격이나 유출이 발생한 경우 공급망 파트너와 전체 협력체계에 대한 내부 사이버 위험을 해결하기 위한 조치를 취합니다.
- 기존의 비즈니스 연속성 플랜을 오프라인 복구 조치, 대역 외 통신 방법 및 독립적인 복구 사이트로 증강하여 사이버 보안 관련 이벤트를 처리하고 설계별 탄력성을 개선합니다.
- 협력체계 전반에 걸쳐 협력과 탄력성 플랜을 수립하고 활동을 계획합니다.
제안된 지표는 다음을 포함할 수 있습니다.
- 상태별 공급업체/비즈니스 파트너와 관련된 중대하거나 높은 수준의 사이버 위험의 수(수락, 지양, 완화, 이전)
- 협력체계 내에서 탐지/공유된 사이버 사고 횟수 및 분기별로 보고된 취약점을 개선하기 위한 조치 수
- 조직의 사이버 위험 수용 범위를 적절하게 반영할 수 있도록 예산 책정 및 자원 배분 검토 빈도를 높였습니다.
- 비즈니스 연속성 및 재해 복구 플랜에 포함된 사이버 사고 시나리오 수
요약
이번 유닛에서는 6가지 원칙 중 3가지를 알아봄으로써 OG 산업 조직에 대한 포괄적인 사이버 보안 거버넌스 모델을 구축하는 방법을 살펴봤습니다. 설계에 의한 보안, 설계 문화에 의한 탄력성, 조직과 광범위한 협력체계에 대한 사이버 위험을 고려하는 것의 중요성에 대해 알아봤습니다.
다음은 OG 산업에서 사이버 탄력성을 위한 총체적 위험 관리 접근법을 구현하는 방법과 협업을 촉진하기 위해 산업군 내 조직이 취할 수 있는 조치에 대해 자세히 알아보겠습니다.
리소스