직무 책임(Gob 책임)은 직원이 정기적으로 수행하는 특정 업무를 의미합니다.

직무 설명은 채용 프로세스에만 국한되지 않으며 조직 전체 기간 동안 유지되어야 합니다.

특정 직책에 대한 후보자 선별은 직무 설명에 정의된 민감도 및 분류 수준을 기반으로 합니다.

배경 조사에는 다음이 포함됩니다.

개인의 소셜 네트워크에 있는 온라인 정보를 검토함으로써 개인의 태도, 지능, 충성도, 상식, 근면, 정직, 존중, 일관성, 사회적 규범 및/또는 기업 문화 준수에 대한 전반적인 그림을 빠르게 수집할 수 있습니다.

자격을 갖춘 구직자와 인터뷰를 진행합니다.

만족스러운 직원을 채용하는 방법, 직무 책임을 자세히 설명해야 함

온보딩은 조직에 새로운 직원을 추가하는 프로세스입니다.

고용 계약에 서명

비공개 계약(NDA)

비경쟁 계약(NCD)

관리자는 직원의 고용 전반에 걸쳐 각 직원의 직무 설명, 업무, 특권 및 책임을 정기적으로 검토하거나 감사해야 합니다.

사용자 행동 분석(UBA)

사용자 및 개체 행동 분석(UEBA)

UBA/UEBA 모니터링을 통해 수집된 정보는 직원 안전 정책, 절차, 교육 및 관련 안전 감독 프로그램을 개선하는 데 사용될 수 있습니다.

오프보딩은 온보딩의 반대 프로세스로, 직원이 회사를 떠나 IAM 시스템에서 해당 신원이 제거되는 과정입니다.

완전한 사임 절차: 여기에는 사용자 계정 비활성화 및/또는 삭제, 인증서 취소, 액세스 코드 취소, 기타 특별히 부여된 권한 종료가 포함될 수 있습니다. 이전 직원의 계정을 비활성화하여 감사 목적으로 해당 직원의 신원을 몇 달 동안 보관하는 것이 일반적입니다.

해고 과정에서 보안 부서와 인사(HR) 부서 사이에 강력한 관계를 유지하여 통제력을 유지하고 위험을 최소화하는 것이 중요합니다.

사직 보안 문제

해고됨: 타이밍이 전부입니다

서비스 수준 계약(SLA)은 서비스 제공자, 공급자 또는 계약자와 고객 조직 간의 합의를 기반으로 서비스를 제공하는 조직이 적절한 서비스 수준을 유지하도록 보장하는 방법입니다.

공급업체, 컨설턴트, 계약업체에 대한 SLA 및 통제는 위험 감소 및 회피의 중요한 부분입니다.

공급업체 관리 시스템(VMS): VMS는 인력 서비스, 하드웨어, 소프트웨어 및 기타 필수 제품과 서비스의 관리 및 조달을 지원하는 소프트웨어 솔루션입니다.

아웃소싱은 일반적으로 내부에서 작업이나 운영을 수행하는 대신 공급업체, 컨설턴트, 계약자와 같은 외부 제3자를 활용하는 것을 의미하는 용어입니다. 아웃소싱은 이전 또는 할당 위험으로 알려진 위험 대응 옵션일 수 있습니다.

규정 준수는 규칙, 정책, 규정, 표준 또는 요구 사항을 준수하거나 준수하는 행위입니다.

규정 준수는 보안 통제의 행정적 또는 관리적 형태입니다.

규정 준수 집행은 정책, 교육, 모범 사례 및/또는 규정을 준수하지 않은 경우 부과되는 제재 또는 결과를 의미합니다.

규정 준수도 규제 문제입니다.

개인정보 보호에 대한 몇 가지 정의

개인 식별 정보(PII)

유럽 ​​연합의 일반 데이터 보호 규정(GDPR)(규정 [EU] 2016/679)

미국 개인정보 보호법 및 규정

위험 관리는 세부적인 프로세스입니다.

위험 관리의 주요 목표는 위험을 허용 가능한 수준으로 줄이는 것입니다.

IT 인프라에 대한 위험은 컴퓨터에만 국한되지 않습니다.

위험 관리의 두 가지 기본 요소

위험 인식은 조직 내에서 위험에 대한 인식을 높이기 위해 수행되는 작업입니다. 위험 인식은 조직이 보안 정책 준수의 중요성과 보안 실패의 결과를 이해하는 데 도움이 됩니다.

위험 감수

자산: 자산은 비즈니스 프로세스나 작업에 사용되는 모든 것이 될 수 있습니다. 핵심은 자산을 보호하고 비용 효율성을 높이는 것입니다.

자산 평가: 자산 평가는 조직에 대한 중요성, 주요 프로세스의 사용, 실제 비용, 시간, 관심, 생산성, R&D 등 비금전적 지출 등을 포함한 다양한 요소를 기반으로 자산에 할당된 금전적 가치입니다. ).

위협: 발생하여 조직이나 특정 자산에 불리하거나 예상치 못한 결과를 초래할 수 있는 잠재적인 사건은 위협입니다.

위협원/에이전트: 위협원 또는 위협 행위자는 의도적으로 취약점을 악용합니다.

위협 사고: 위협 사고는 취약성을 우발적이고 의도적으로 악용하는 것입니다.

위협 벡터: 위협 벡터 또는 공격 벡터는 공격 또는 공격자가 피해를 입히기 위해 대상에 액세스하는 데 사용하는 경로 또는 수단을 나타냅니다. 해커 스스로 통제할 수 없는 등 외부적인 것들은 제거할 수 없습니다.

취약성: 취약성은 자산의 약점, 보호 장치나 통제의 약점, 보호 장치나 통제/통제의 부족, 내부적이며 종종 책임(기술적 또는 관리적)을 야기합니다.

노출: 노출은 위협이 자산에 손상을 입힐 가능성을 의미합니다.

위험(Risk): 위험은 위협이 취약성을 악용하여 자산에 손상을 입힐 가능성 또는 확률과 발생할 수 있는 손상의 심각도입니다.

안전 장치: 안전 장치, 보안 제어, 보호 메커니즘 또는 제어는 취약성을 제거 또는 줄이거나 하나 이상의 특정 위협으로부터 보호하는 모든 것입니다.

공격: 공격은 의도적으로 취약성을 악용하여 자산 손상, 손실 또는 유출을 유발하려는 위협 행위자를 의미합니다.

위반: 위협 행위자가 보안 메커니즘을 우회하거나 차단할 때 위반, 침입 또는 침투가 발생합니다.

위험 분석은 모든 조직 자산의 목록으로 시작됩니다. 목록이 완료되면 각 자산의 가치를 평가해야 합니다.

연간 방호조치 비용 < 연간 생산손실 예상

가치 평가 방법

위험 관리의 기본 부분은 위협을 식별하고 조사하는 것입니다.

여기에는 조직의 식별된 자산에 대한 가능한 완전한 위협 목록을 만드는 것이 포함됩니다. 목록에는 위협 행위자와 위협 이벤트가 포함되어야 합니다.

위협 목록을 작성할 때 다양한 출처의 위협을 고려해야 합니다.

위협 사례, 개념 및 분류에 대한 상세하고 공식적인 목록

대부분의 경우 위험 평가 및 분석을 수행하는 팀이 됩니다.

위험 평가/분석은 주로 고위 경영진의 책임입니다.

고위 경영진은 작업의 범위와 목표를 정의하여 위험 분석 및 평가를 시작하고 지원할 책임이 있습니다.

위험은 자산, 위협, 위협원/위협 주체 및 위험 허용 범위를 기반으로 개인 또는 최소한 조직별로 다릅니다.

위험 평가 방법

위험 평가의 목표는 위험을 식별하고(자산-위협 조합을 기반으로) 중요도에 따라 우선순위를 지정하는 것입니다.

조직의 최종 위험 평가 프로세스에 정량적 분석과 정성적 분석을 혼합하는 것을 하이브리드 평가 또는 하이브리드 분석이라고 합니다.

정성적 위험 분석 방법

정량적 위험 분석 방법

위험 완화, 완화, 감소(위험 완화): 위험 감소 또는 위험 완화는 보호 조치, 보안 통제 구현을 의미합니다.

위험 할당: 위험 할당 또는 위험 이전은 위험으로 인해 발생한 손실을 다른 법인이나 조직에 이전하는 것을 의미합니다.

위험 억제: 위험 억제는 잠재적인 보안 및 정책 위반자를 억제하는 프로세스입니다.

위험 회피: 위험 회피는 기본 옵션, 일반 옵션, 간편 옵션 또는 저렴한 옵션보다 덜 위험한 대체 옵션이나 활동을 선택하는 프로세스입니다. 예를 들어, 목적지까지 운전하는 대신 비행기를 타고 목적지까지 가는 것을 선택하는 것은 위험을 피하는 방법입니다.

위험 수용: 위험 수용 또는 위험 허용은 통제 조치의 비용이 위험으로 인한 잠재적 손실을 초과한다는 것을 보여주는 비용/이익 분석의 결과입니다.

위험 거부: 허용할 수 없지만 가능한 위험에 대한 대응은 위험을 거부하거나 무시하는 것입니다.

고유 위험(초기/시작 위험): 위험 관리 노력이 수행되기 전에 환경, 시스템 또는 제품에 존재하는 자연적, 기본 또는 기본 위험 수준입니다.

잔여 위험: 경영진이 완화하기보다는 수용하기로 선택한 위험입니다.

총 위험: 보호 조치를 실행하지 않고 조직이 직면한 총 위험을 의미합니다.

통제 격차(Control gap): 보호 조치를 시행함으로써 감소되는 위험을 의미합니다.

각 자산-위협 조합(예: 식별된 위험)에 대해 가능한 보호 조치 목록을 작성해야 합니다.

연간 보호 조치 비용(ACS)에 영향을 미치는 요소

특정 자산의 특정 위험에 대한 특정 보호 조치에 대한 비용/이익 계산 공식

정량적 리스크 분석과 관련된 다양한 공식

보안 통제, 보안 대책 및 보호 조치는 관리적, 논리적/기술적 또는 물리적일 수 있습니다. 이 세 가지 보안 메커니즘은 최대의 이점을 제공하기 위해 계층화된 개념과 심층 방어 접근 방식으로 구현되어야 합니다(그림 2.4 참조). 세 가지 접근 방식

관리 통제: 조직의 보안 정책 및 기타 규정이나 요구 사항에 따라 지정된 정책 및 절차

논리적/기술적 통제: 조치에는 액세스를 관리하고 IT 리소스 및 시스템에 대한 보안을 제공하는 하드웨어 또는 소프트웨어 메커니즘이 포함됩니다.

물리적 제어: 시설 및 실제 객체를 보호하도록 설계된 보안 메커니즘

"보안통제"라 함은 다양한 통제업무를 수행하는 것을 말한다.

예방 통제: 의도하지 않거나 승인되지 않은 활동이 발생하는 것을 사전에 막거나 방지하기 위한 예방 통제를 배포합니다.

억제 통제: 보안 정책 위반을 사전에 방지하기 위한 억제 통제를 배포합니다.

탐지 제어: 예상치 못한 활동이나 승인되지 않은 활동을 탐지하는 탐지 제어를 배포합니다.

보상 제어: 기존의 다른 제어에 대한 다양한 옵션을 제공하여 보안 정책을 강화하고 지원합니다.

교정 제어: 예상치 못한 활동이나 무단 활동 발생 시 시스템을 정상 상태로 복원하기 위해 환경을 수정하는 작은 이벤트입니다. 나중에

복원 제어(Restorative Control): 교정 제어의 확장이지만 사후에는 더욱 발전되고 복잡한 기능을 갖습니다.

지시 통제: 주체가 보안 정책을 준수하도록 강요하거나 장려하기 위해 주체의 행동을 안내, 제한 또는 통제하는 데 사용됩니다.

SCA(보안 통제 평가): 기준 또는 신뢰성 기대치를 기반으로 보안 인프라의 다양한 메커니즘을 공식적으로 평가합니다.

SCA의 목표는 보안 메커니즘의 효율성을 보장하고, 조직의 위험 관리 프로세스의 품질과 완전성을 평가하고, 배포된 보안 인프라의 강점과 약점에 대한 보고서를 생성하는 것입니다.

연방 기관은 NIST SP 800-53 Rev.5 "정보 시스템 및 조직에 대한 보안 및 개인 정보 보호 제어"를 기반으로 SCA를 구현합니다.

SCA는 정부 프로세스로 정의됩니다.

보안 제어를 통해 제공되는 이점은 모니터링 및 측정이 가능해야 합니다.

위험 보고: 위험 보고서 준비 및 이해관계자에게 보고서 제시가 포함됩니다.

위험 등록부 또는 위험 로그: 조직이나 시스템 또는 단일 프로젝트 내에서 식별된 모든 위험을 나열하는 위험 목록 문서입니다.

위험 매트릭스 또는 위험 히트맵: 기본 그래프 또는 차트에서 수행되는 위험 평가의 한 형태입니다. 때로는 정성적 위험 평가라고도 합니다.

테스트 포인트: 고려해야 할 관련 당사자와 청중은 누구입니까?

테스트 포인트 : 보고서 내용, 개선방안, 개선제안 등을 고려

보안은 끊임없이 변화하고 있습니다. 따라서 구현된 모든 보안 솔루션은 시간이 지남에 따라 업데이트되어야 합니다.

RMM(위험 성숙도 모델)을 사용하여 ERM(엔터프라이즈 위험 관리) 프로그램을 평가합니다.

RMM 레벨

레거시 장비 위험

위험 프레임워크는 위험을 평가, 해결 및 모니터링하는 방법에 대한 지침 또는 접근 방식입니다.

위험 관리 프레임워크(RMF)

설계 단계의 위협 모델링, 설계에 따른 보안

사이버보안 프레임워크(CSF)

ISO/IEC 31000 "위험 관리 - 지침" 문서

기타 프레임워크

승인되지 않은 작업을 수행하도록 누군가를 설득

기밀 정보를 공개하도록 누군가를 설득하십시오.

사회 공학 공격과 일반적인 공격 서명을 인식하는 방법에 대해 직원을 교육합니다.

전화로 사람들을 위한 활동을 수행하려면 인증이 필요합니다.

전화 통화나 표준 이메일과 같은 텍스트 전용 통신을 통해 전달해서는 안 되는 제한된 정보를 정의합니다.

항상 유지보수 담당자의 자격 증명을 확인하고 승인된 사람이 실제 서비스 요청을 했는지 확인하십시오.

최소한 두 개의 독립적이고 신뢰할 수 있는 소스를 통해 정보를 확인하지 않고 이메일의 지침을 따르지 마십시오.

직접, 전화 또는 인터넷/온라인을 통해 모르는 사람 또는 귀하를 모르는 사람과 거래할 때는 주의하십시오.

소셜 엔지니어링 공격을 방어하는 가장 중요한 방법은 사용자 교육과 인식 훈련입니다.

권위: 대부분의 사람들이 권위에 복종적으로 반응할 가능성이 높기 때문에 효과적인 기술입니다. 핵심은 공격자가 유효한 내부 또는 외부 권한을 가진 사람임을 대상에게 확신시키는 것입니다.

위협: 때때로 권위 원칙의 파생물로 볼 수 있습니다. 협박은 누군가에게 명령이나 지시를 수행하도록 강요하기 위해 권위, 신뢰 또는 해를 끼치겠다는 위협을 사용합니다.

합의: 또는 사회적 증거는 개인의 타고난 성향을 활용하는 행위입니다. 사람들은 다른 사람이 하고 있는 일이나 과거에 했던 일을 모방하는 경향이 있습니다.

희소성(Scarcity): 누군가가 물건의 희소성 때문에 그 물건의 가치가 더 높다고 추정하게 만드는 데 사용되는 기술입니다. 이는 소량만 생산되거나 기회가 제한된 제품과 관련이 있을 수도 있고, 대부분의 재고가 판매된 후에도 남아 있는 소수의 제품과 관련이 있을 수도 있습니다.

친숙함: 또는 좋아하는 것은 친숙한 것에 대한 개인의 내재된 신뢰를 이용하려는 사회 공학적 원리입니다.

신뢰: 이 사회 공학 원칙에서 공격자는 피해자와 관계를 구축하려고 노력합니다.

긴급성: 종종 희소성과 관련이 있습니다. 희소성은 놓칠 위험이 더 높기 때문에 신속하게 조치를 취해야 할 필요성이 증가하기 때문입니다.

정보 획득은 시스템이나 사람으로부터 정보를 수집하거나 집계하는 활동입니다.

전치사는 다른 커뮤니케이션의 시작 부분이나 제목에 추가되는 용어, 표현 또는 문구입니다. 전치사는 스팸, 사기, 피싱과 같은 공학적 공격에 대한 구실을 더욱 구체화하거나 설정하는 데 자주 사용됩니다.

피싱은 잠재적인 대상으로부터 자격 증명이나 신원을 도용하는 데 초점을 맞춘 엔지니어링 공격의 한 형태입니다.

드라이브바이 다운로드: 사용자가 웹사이트를 방문하면 사용자도 모르게 악성코드가 설치됩니다. 드라이브 바이 다운로드는 브라우저 또는 플러그인의 취약점을 악용합니다.

피싱에 대한 방어조치

스피어 피싱(Spear Phishing)은 특정 사용자 그룹을 대상으로 메시지를 특별히 제작하는 보다 표적화된 형태의 피싱입니다.

스피어피싱으로부터 보호하세요

웨일링은 CEO 및 기타 최고 경영진 관리자, 관리자 또는 고액 순자산 고객과 같은 특정 고가치 개인(직위, 업계, 언론 보도 등 기준)을 표적으로 삼는 스피어 피싱의 변형입니다.

SMS(단문 메시지 서비스) 피싱 또는 스미싱은 표준 문자 메시지 서비스에서 또는 이를 통해 발생하는 사회 공학 공격입니다.

Vishing(예: 음성 기반 피싱) 또는 SplT(인터넷 전화 스팸)는 전화 또는 음성 통신 시스템을 통해 수행되는 피싱입니다.

방법

스팸은 원치 않는 및/또는 원치 않는 이메일 유형입니다.

숄더 서핑은 일반적으로 현실 세계나 대면에서 발생하는 일종의 사회 공학 공격입니다.

숄더 서핑은 누군가가 사용자의 키보드나 모니터를 볼 수 있을 때 발생합니다.

송장 사기는 일반적으로 허위 송장을 제공한 다음 조직이나 개인으로부터 자금을 훔치려는 시도로 결제를 강력하게 유도하는 사회 공학 공격입니다.

사기는 대상이 문제를 일으키거나 IT 보안을 저하시키는 작업을 수행하도록 설계된 사회 공학의 한 형태입니다.

명의도용은 다른 사람의 신원을 가장하는 행위입니다.

개인, 전화, 이메일 등을 통해 로그인하실 수 있습니다. 개인의 계정이나 기타 통신 수단을 통해. 명의 도용은 변장, 속임수 또는 신원 사기라고도 할 수 있습니다.

테일링은 허가받지 않은 주체가 합법적인 직원의 허가를 받아 직원이 모르는 사이에 시설에 들어갈 때 발생합니다.

꼬리 끌기와 유사한 문제는 피기백(piggybacking)입니다. 업보킹은 허가받지 않은 자가 거짓으로 피해자의 동의를 얻고, 적법한 직원의 허가를 받아 시설에 들어가는 경우를 말한다.

미끼는 공격자가 직원이 접할 수 있는 위치에 USB 드라이브, 디스크 또는 지갑을 배치하는 것입니다.

방지할 수 있는 이중문

덤스터 다이빙(Dumpster Diving)은 대상 조직이나 개인에 대한 정보를 얻기 위해 쓰레기, 버려진 장비, 버려진 장소 등을 뒤지는 행위이다.

일반적인 컬렉션에는 이전 달력, 호출 시트, 손으로 쓴 회의록, 폐기 양식, 제품 상자, 사용자 설명서, 포스트잇, 인쇄된 보고서 또는 프린터 테스트 시트가 포함됩니다.

신원 도용 및 신원 사기는 일반적으로 금전적 이득을 위해 사기 또는 기만적인 방식으로 다른 사람의 개인 데이터를 불법적으로 획득하고 사용하는 모든 유형의 범죄를 의미합니다.

사기: 거짓을 사실이라고 말하는 것. 신원 사기는 피해자로부터 훔친 정보를 사용하여 다른 사람이라고 허위로 주장하는 것입니다.

사기 : 유효한 신분을 숨기는 모든 행위를 말하며, 이는 일반적으로 다른 ID를 사용하여 수행됩니다.

오타 스쿼팅(Typo squatting)은 사용자가 대상 리소스의 도메인 이름이나 1P 주소를 잘못 입력한 경우 트래픽을 캡처하고 리디렉션하는 관행입니다.

도메인 이름의 철자가 잘못되었습니다.

URL 하이재킹

영향력 캠페인은 여론을 유도, 형성 또는 변경하려는 사회 공학적 공격입니다. 해커는 개인이나 조직을 대상으로 그러한 공격을 시작할 수 있지만 대부분의 영향력 캠페인은 국가가 실제 또는 인지된 외부 적에 대해 수행하는 것으로 보입니다.

하이브리드 전쟁

소셜 미디어

안전교육 실시를 위한 전제조건은 안전의식 확립입니다. 보안 인식 구축의 목표는 사용자가 보안을 최우선으로 생각하고 이를 인식하도록 하는 것입니다.

모든 직원은 자신의 안전 책임과 의무를 완전히 인식해야 합니다. 그들은 무엇을 해야 할지, 무엇을 하지 말아야 할지를 아는 훈련을 받았습니다.

교육은 직원에게 업무를 수행하고 보안 정책을 따르도록 가르치는 것을 의미합니다. 교육은 일반적으로 조직에서 조직하며 유사한 직무를 수행하는 직원 그룹을 대상으로 합니다.

교육은 학생/사용자가 업무를 완료하기 위해 실제로 알아야 하는 것보다 훨씬 더 많은 것을 배우는 보다 상세한 작업입니다.

교육 목표의 초점을 변경합니다. 때로는 개인에게, 때로는 고객에게, 때로는 조직에 초점을 맞춥니다.

교육 주제의 순서나 초점을 변경합니다. 한 교육은 소셜 엔지니어링, 다음 교육은 모바일 보안, 다음 교육은 가정 및 여행 보안에 집중할 수 있습니다.

라이브 프리젠테이션, 사전 녹화된 비디오, 컴퓨터 소프트웨어/시뮬레이션 소프트웨어, 가상 현실(VR) 체험, 오프사이트 교육, 대화형 웹사이트, 준비된 코스웨어나 기성 서적의 할당된 읽기 등 다양한 프리젠테이션 방법을 사용하십시오.

롤플레잉을 통해 참가자들은 공격자와 방어자를 연기하며, 다양한 사람들이 공격에 대한 방어나 대응과 관련된 아이디어를 제공할 수 있습니다.

모든 교육 자료는 정기적인 내용 검토를 받는 것이 중요합니다. 리뷰는 교육 자료와 프리젠테이션이 비즈니스 목표, 조직의 사명, 보안 목표에 부합하는지 확인하는 데 도움이 됩니다.

사회복지를 탐지하고 평가하는 가장 효과적인 방법