IT Story/Fogin.Wiki

사이버 탄력성(Cyber Resilience)

포긴 2022. 4. 6. 19:44

지난 토요일 논문계획발표를 마치고, 이제 진짜 본격적인 시작임에도 불구하고..
한달넘게 종종거리며 맘 졸이던 내게 해방을 주고자 이번주는 온전히 쉬자고 생각했다.
어제는 러시아 아방가르드전을 다녀오고 
오늘은 온전히 좋아하는 음악 들으며 책이나 보려고 했는데
내 논문의 주제 '사이버탄력성'에 대해 간단하게 정리해보자 싶어서 다시 앉았다.


Cyber resilience(사이버탄력성)

resilience 정의 : 극복력, 탄성, 탄력성, 회복력 등으로 번역되며, 위키에서는 '회복탄력성'이라고 소개.
회복탄력성은 크고 작은 다양한 역경과 시련과 실패에 대한 인식을 도약의 발판으로 삼아 더 높이 뛰어 오르는 마음의 근력을 의미

Cyber resilience의 정의
- 사이버 공간에서의 예측 불가능한 위협까지 대처하여 부정적 영향을 견딜 수 있는 기업의 능력
- 기존 사이버보안을 너머, 실패를 극복하고 지속적인 비즈니스를 보장하는 차세대 방어 전략

배경
- 전통적 보안은 주로 내부망 보호를 위해 기밀성, 무결성, 가용성 중심의 보안체계를 구축하는 것
- 업무환경의 변화 : 클라우드, BYOD 등 신기술, 코로나로 인한 원격 업무환경 등 다양하고 복잡해진 업무환경
- 보안 패러다임의 변화 : 업무환경의 변화로 예측 불가능한 위협이 증가하고, 이를 위해 사이버탄력성 보안체계 필요

사이버탄력성(Cyber Resilience) : 사이버 공간에서의 예측 불가능한 위협까지 대처하여 부정적 영향을 견딜 수 있는 기업의 능력

 

그러면 사이버탄력성을 어떻게 구축해야 하는가?
지금 우리가 구축하고 있는 보안 체계는 얼마나 사이버탄력성을 가지고 있는가?

사이버탄력성의 목표(CYBER RESILIENCY GOALS)
1. 예측(Anticipate) : 위협에 대한 정보기반의 준비상태 유지
2. 견디기(Withstand) : 위협에 대비한 업무 연속성
3. 회복(Recover) : 위협에 대한 업무 회복력
4. 적응(Adapt) : 예측된 변화에 맞게 업무 및 지원 기능을 수정.


사이버탄력성 구축 및 평가 모델

1. CMU의 CERT-RMM(Resilience Management Model)
- Software Engineering Institute, Carnegie Mellon University 에서 제시하는 모델
-  기업의 사이버탄력성을 적용할 4가지 Asset을 People, Information, Technology, facillities로 구분하여 운영관리
-  4가지 관점의 구축 및 평가 제시
   Engineering : 조직 자산, 비즈니스 프로세스 및 서비스의 탄력성을 확립
   Enterprise Management : 복원력 관리 프로세스를 지원
   Operations Management: 복원력의 운영 측면을 관리 
   Process Management : 운영 탄력성 관리 프로세스

* 출처 : Software Engineering Institute, Carnegie Mellon University

2. WEF’s 사이버탄력성 성숙도 평가항목
- WEF(World Economic Forum)는 경영진의 사이버 탄력성 성숙도 평가를 위해 체크리스트를 제공
   Governance : 최고 경영자 및 경영진의 사이버리스크 관리 책임 및 적극적 참여, 보안정책 등
   Programme: 규칙 및 규정 준수 주기적 점검, 보안관련 교육, 보안 영향평가 실시 등
   Network: 사이버 위험 공동 관리, 업계 베스트프렉티스 반영, 리스크 관리 위한 제3자와 관계 구축 등

출처 : https://www3.weforum.org/docs, WEF(World Economic Forum)

3. PwC의 사이버 탄력성 검토항목
- 컨설팅 기업인 PwC(PriceWaterhouseCoopers)는 PPT(People, Process, Technology)관점을 이용하여 사이버 레질리언스를 위해 검토해야 할 항목들을 제시 

* 출처 : PwC, 2015

 

4. RESILIA의 사이버탄력성 BestPractices
- 사이버탄력성 교육재단인 RESILIA는  PPT(People, Process, Technology)모델과 ITIL lifecycle을 이용하여 사이버탄력성 수행의 BestPractices를 제시

출처 : RESILIA Cyber Resilience Best Practices

 

참조
- 디지털금융 혁신과 안정을 위한 인간중심보안 김정덕, 중앙대 산업보안학과 교수
- NIST.SP.800-160v2
https://resources.sei.cmu.edu/, CMU SW공학연구소 -CERT® Resilience Management Model
https://www3.weforum.org/docs, WEF(World Economic Forum) 
- RESILIA, Cyber Resilience Best Practices 

 

반응형
저작자표시 비영리 동일조건 (새창열림)

'IT Story > Fogin.Wiki' 카테고리의 다른 글

사이버 위험(Cyber Risk)  (0) 2022.08.30
디지털 트윈(digital twin)  (0) 2022.06.21
제로 트러스트(Zero Trust)  (0) 2022.03.13
인간중심보안(PCS, People-Centric Security)  (0) 2022.03.11
인간 증강(Human Augmentation)  (0) 2022.03.08

'IT Story/Fogin.Wiki'의 다른글

  • 현재글사이버 탄력성(Cyber Resilience)

관련글

티스토리툴바