공급망 보호하기

학습 목표

이 유닛을 완료하면 다음을 수행할 수 있습니다.

• 공급업체의 사이버 위험 수준을 평가하는 데 있어 조직의 책임을 설명할 수 있습니다.
  
• 애플리케이션 개발 프로세스를 보호하는 데 필요한 주요 기술을 나열할 수 있습니다.
  
• 보안에 대한 제로 트러스트 접근 방식에 대해 설명할 수 있습니다.
  

이 모듈은 세계 경제 포럼과 공동으로 제작되었습니다. Trailhead에서 파트너 콘텐츠에 대해 자세히 알아보세요.

공급업체의 사이버 위험 평가하기

사이버 보안 위험 관리 모듈에서는 비즈니스 리더처럼 생각하는 방법과 내부 및 외부 파트너십을 육성하는 방법을 배웠습니다. 또한 강력한 사이버 위생 관행, 강력한 인증 구현 및 피싱 방지에 대해서도 배웠습니다. 이 모듈에서는 공급망 확보를 시작으로 WEF 가이드의 나머지 다섯 가지 원칙에 대해 학습합니다.

타사 위험 관리는 밤에 많은 최고 정보 보안 책임자(CISO)를 깨우치게 하는 문제입니다. 리더는 어떤 조건에서 어떤 데이터가 어떤 엔티티와 공유되는지에 대한 최신 인벤토리를 유지하는 것이 좋습니다. 다음은 중요한 정보가 손상되는 위험을 방지하기 위해 취할 수 있는 몇 가지 단계입니다. 

• 공급업체의 배경에 대한 실사를 실시합니다. 여기에는 타사 직원에 대해 실행되는 보안 검사에 대한 규정이 포함됩니다.
  
• 필요에 따라 타사 액세스를 제한합니다. 타사가 제 기능을 수행하는 데 필요한 정보만 공유하고 정기적으로 정보 공유 계약을 검토합니다.
  
• 공급업체와 계약하여 보안 정책을 바인딩합니다. 데이터 공유 계약은 공급업체가 따라야 할 정책과 그렇지 않은 경우 해당 결과를 명확히 명시해야 합니다.
  
• 관계의 중요성과 위험에 따라 타사와의 관계를 감사하고 검토할 수 있는 케이던스를 마련합니다.
  

SDLC(소프트웨어 개발 수명 주기) 보호하기

조직의 SDLC를 구성하는 부품은 공급망의 핵심 요소입니다. SDLC를 보호하기 위해 숙련된 보안 팀은 개발자가 프로젝트 및 제품 개발의 전체 수명 주기에 설계별 보안 관행을 포함시켜 시작부터 보안 코드를 작성할 수 있게 합니다. 이 접근 방식에 대한 자세한 내용은 Trailhead 모듈의 애플리케이션 보안 엔지니어 책임에서 확인할 수 있습니다. 개발 수명 주기를 확보하는 것 외에도 숙련된 사이버 보안 리더들은 데이터가 어디서 흘러나오든 어떻게 보호할지 고민합니다. 이는 보안에 대한 제로 트러스트 접근 방식으로 알려진 개념입니다.

보안에 대한 제로 트러스트(Zero-Trust) 접근 방식 구현하기

과거에 조직은 일반적으로 보안에 대한 경계 기반 접근 방식을 도입하여 조직의 네트워크를 신뢰할 수 있는 영역으로 취급하여 방화벽 및 바이러스 백신과 같은 주요 보안 방어를 소홀히 여겼습니다. 오늘날 사이버 보안 리더들은 조직이 자신의 '안전한' 기업 네트워크의 범위 내에서 안전하고 건전하다고 가정하지 않는 제로 트러스트 접근 방식을 채택할 필요성을 인식하고 있습니다. 제로 트러스트 접근 방식은 데이터 자산 자체를 통제합니다. 이 접근 방식에 대한 자세한 내용은 Trailhead 모듈인 네트워크 보안 플랜을 참조하세요.

요약

이번 유닛에서는 조직이 어디에 저장되어 있든 민감한 데이터를 보호하는 방법에 대해 살펴봤습니다. 이를 위해 타사 관계를 평가하고 감사하며 SDLC를 보호하고 네트워크 보안에 대한 제로 트러스트 접근 방식을 취합니다. 다음으로, 조직이 사이버 위협을 예방, 모니터링 및 대응할 수 있는 방법에 대해 살펴보겠습니다. 

리소스

• 외부 사이트: WEF: 오늘날 디지털 세계의 리더를 위한 사이버 보안 가이드
  
• 외부 사이트: 미국 상공회의소: 비즈니스 사이버 위험 평가 
  
• 외부 사이트: Forbes: 현대 비스니스가 타사 사이버 위험 관리를 중요하게 생각해야 하는 이유
  
• 외부 사이트: NIST: 타사 인적 보안 미국 표준 기술 연구소 
  
• PDF: NIST: 공급업체 선정 및 관리 모범 사례
  
• Trailhead: 사이버 탄력성 프로그램 개발