사이버 탄력성 원칙 운영하기
학습 목표
이 유닛을 완료하면 다음을 수행할 수 있습니다.
- 새로운 사이버 정책과 원칙을 채택할 수 있도록 통합 전략을 설계하는 방법을 설명할 수 있습니다.
- 사이버 탄력성의 우선순위를 정하기 위해 지원과 협력자를 확보하는 방법을 설명할 수 있습니다.
- 사이버 탄력성을 조직에 유용한 비즈니스 기회로 만들기 위한 조치를 나열할 수 있습니다.
- 사이버 탄력성 원칙을 효율적으로 채택할 수 있도록 플랜을 수립하고 팀을 구성하는 방법을 확인할 수 있습니다.
- 사이버 탄력성 원칙을 실행하고 조직 전반에 걸쳐 사이버 탄력성을 모니터링하고 확장하는 방법을 설명할 수 있습니다.
원칙 구현하기
세계경제포럼(WEF)의 석유 및 가스(OG) 산업에 대한 사이버 탄력성 원칙을 구현하고 의도된 이점을 완벽하게 구현하려면 사이버 탄력성은 사후 조치로 고려하는 것이 아니라 조직 문화와 비즈니스 규범의 모든 측면에 통합해야 합니다. 관리자는 고착된 기업의 사고 방식을 전환하기 위해 OG 조직 내에서 사이버 탄력성 모범 사례를 도입하기 위해 점진적인 접근 방식을 취할 수 있습니다. 다음은 이 접근 방식에 대한 단계입니다.
- 통합 전략을 설계합니다.
- 지원과 협력자를 확보합니다.
- 사례를 만듭니다.
- 플랜을 수립하고 팀을 구성합니다.
- 출시합니다.
- 모니터링 및 확장합니다.
Sydney는 공공 석유 및 천연 가스 회사의 최고 정보 보안 책임자(CISO)입니다. Sydney가 종사 중인 산업에 대한 사이버 탄력성 원칙을 운영하는 방식을 살펴보겠습니다.
통합 전략 설계하기
Sydney는 효과적으로 통합하고 새로운 사이버 정책과 원칙을 채택할 수 있는 전략을 정의하는 것이 얼마나 중요한지 잘 알고 있습니다. Sydney는 위험 현황, 내부 문화, 조직 모델 및 비즈니스 전략 등 조직 내 네 가지 주요 요소를 중심으로 전달 방법론을 정의하는 것으로 시작합니다. 사이버 조치의 우선 순위를 정확하게 정하기 위해 조직의 내적 성숙도와 위험 현황을 평가합니다.
또한 사이버 보안이 각 비즈니스 부서의 핵심 역량을 지원할 수 있는 방법을 파악하여 사이버 탄력성 원칙을 비즈니스 부서의 전략, 비전 및 미션에 연결시키고 통합합니다. 조직 운영 모델과 구조를 이해하고, 신속하고 성공적으로 도입하기 위해 필요한 주요 이해 관계자들을 검증합니다. 사이버 탄력성 원칙의 효과적인 채택 및 구현을 보장하기 위해 조직의 내부 문화에 적절히 통합된 전달 모델 전략을 선별합니다.
지원 및 협력자 확보하기
그런 다음, 중간 및 고위 경영진 모두로부터 내부 지원을 확보하기 위해 Sydney는 임원진의 권한을 활용하여 사이버 탄력성에 우선순위를 두면서도 각 비즈니스 부서의 사이버 위험을 설명합니다. Sydney는 특수 상황에서 사이버 탄력성 원칙의 가치를 시연함으로써 주요 이해 관계자들의 참여를 유도하고자 임원진의 권한을 지원하는 데 필요한 구체적인 기대치와 요구 사항에 대해 설명합니다. 임원들에게 사이버 탄력성의 중요성을 설명하고 입증함으로써 고위 경영진의 지지를 마련합니다.
또한 사이버 탄력성 원칙(예: 조직의 위험 책임자 및 감사팀)의 구현에 중요한 조직 전반의 여러 이해 관계자들로부터 주요 지지자를 식별합니다. 전략 플랜을 수립할 때 사업 관련성과 이점을 설명함으로써 주요 사업 책임자의 내부 참여를 유도합니다. 또한 특정 사이버 탄력성 측정에 운영 예산을 할당하여 전용 사이버 보안 자금으로 파일럿 또는 핵심 프로젝트에 대한 자원 및 자금 지원을 제공합니다.
또한 사이버 탄력성 원칙을 기존 거버넌스 프로세스에 통합하여(예: 조직의 안전 문화 및 기타 성숙한 분야를 활용) 보다 신속하고 원활하게 채택할 수 있도록 합니다.
사례 만들기
다음으로, 상급 리더십 지원과 참여를 유지하기 위해 사이버 탄력성을 조직에 주요 비즈니스 기회로 설명합니다. Sydney는 회사의 비전, 미션 및 전략적 목표에 대한 새로운 사이버 정책을 만듭니다. 조직과 사업 부문의 위험를 설명하여 실행의 복잡성과 긴급성에 대해 알립니다.
또한 임원진에게 전달하고 보고할 때 협력적이고 총체적인 제안을 보장하기 위해 확인된 내부 협력자와 협력합니다. 실용적인 사례를 통해 조직의 위험과 보상을 정량화하고 자격 요건을 갖추어 비즈니스 가치를 입증함으로써 사이버 탄력성의 이점을 임원진에게 다시 강조합니다. 또한 성과 측정 포인트와 시기적절한 주요 성과 지표를 명확히 하고 정기적인 보고(월별 보고에서 반년마다로)를 정의하여 명확한 목표를 설정합니다.
Sydney는 사이버 탄력성 원칙의 관련성을 거듭 언급함으로써 임원진에게 장기적인 사이버 탄력성의 가치와 이점을 강조합니다.
플랜 및 팀 구성하기
다음으로, 사이버 탄력성 원칙의 효과적으로 채탁 및 구현하기 위해 Sydney는 향후 변화를 지원하는 메커니즘을 통해 정확한 활동, 마일스톤 및 실질적인 주요 성과 지표가 포함된 로드맵을 수립합니다. 다양한 직무의 팀을 선정하여 조직의 복잡성과 문화, 임원의 목표에 기반한 실행 로드맵을 관리합니다. Sydney는 핵심 결과물 및 측정 지점, 적절히 정의된 보고 및 메트릭 커뮤니케이션 플랜을 설정함으로써 플랜(필요한 경우)을 조정하고 검증합니다.
Sydney는 또한 내부 변화 관리, 비즈니스 프로세스 엔지니어링 및 전달 방법(예: 조직의 민첩한 방법론 및 연간 비즈니스 플랜 활용)을 고려하여 전달 모델을 정의합니다. Sydney는 팀이 원칙의 가치를 이해하고 개별 목표를 적용하고 각 역할에 맞는 사이버 보안 책임을 지도록 지시함으로써 로드맵을 뒷받침하는지 확인합니다.
출시하기
다음으로, 정의된 통합 전략에 따라 조직의 사이버 보안 문화를 조성하기 위한 주요 사이버 탄력성 및 위험 관리 원칙을 도입합니다. Sydney는 사이버 탄력성 원칙을 목표 운영 모델에 도입, 구현 및 포함시킵니다. Sydney는 파일럿, 핵심 및 기존 프로젝트를 활용하여 사이버 탄력성 프로그램을 새로운 개발로 통합합니다.
또한, 내재된 사이버 위험에 대한 포괄적인 기대치을 파악하고 인식을 제고하고자 임원을 비롯하여 많은 직원들에게 교육을 제공하기도 합니다.
모니터링 및 확장하기
마지막으로 Sydney는 즉각적인 피드백 루프를 통해 지속적인 모니터링을 가능하게 하는 동시에, 주요 성과 지표를 제공하고 조직 전반에 걸쳐 사이버 탄력성을 확장하는 데 필요한 정기적인 성과 검토를 수행합니다. 현재 진행 중 및 향후 사이버 탄력성 프로젝트의 가치와 조직의 사이버 보안 목표 달성에 대해 주요 이해 관계자들과의 지속적인 커뮤니케이션을 지원합니다. Sydney는 임원진에게 지속적으로 보고하고 피드백을 전달하며, 초기 목표를 상기시키고, 간단한 측정을 제공하는 동시에 진행 상황과 전반적인 가치를 전달합니다.
또한 주요 지표(예: 프로젝트 예산 및 용량)를 모니터링하고 이행하는 데 부정적인 영향이 미치지 않도록 사전에 식별된 장애물을 제거합니다. Sydney는 정의된 성과 지표를 모니터링하고 검토하며 필요 시 조정하여 사이버 보안을 확대할 수 있도록 지원합니다.
지식 평가
학습한 내용을 점검할 준비가 되셨나요? 이 지식 평가는 채점되지 않으며, 스스로 지식을 확인하는 간편한 방법일 뿐입니다. 시작하려면 왼쪽 열의 설명을 오른쪽에 있는 일치하는 항목 옆으로 드래그하세요. 모든 항목을 정렬한 경우 Submit(제출)을 클릭하여 결과를 확인합니다. 다시 시작하려면 Reset(초기화)을 클릭합니다.
잘하셨습니다!
요약
이 모듈에서는 OG 산업 전반에 걸쳐 사이버 위험을 평가하고 사이버 탄력성을 강화하기 위한 청사진을 살펴봤습니다. 또한 OG 산업 임원진을 위한 WEF의 사이버 탄력성 원칙을 구현하는 방법도 알아봤습니다. 잘하셨습니다!
사이버 보안 직업과 기술에 대해 자세히 알고 싶으신가요? 사이버 보안 학습 허브를 방문하여 다양한 역할을 알아보고 실제 보안 실무자들의 이야기를 들어보세요.
리소스