새로운 소식

#### 사이버 보안의 가치는 어떻게 규정하는가? “이 정도의 돈을 쓰면, 리스크가 얼마나 줄어드는가?” 경영진의 입장에서는(매우 중요한 입장이자 관점이다) 사이버 보안의 가치가 사업적 리스크라는 개념에서 출발한다는 걸 알 수 있다. #### 리스크 감소의 정도를 측정한다면 보안 업계가 영향을 미치려고 하는 ‘손실이 발생하는 사건’이 무엇인지 규정해야 한다. #### 가치 분석 1) PCI 표준을 적용할 경우 어떤 사건을 막는 데 좋은가? 2) 위 1)번에서 언급된 사건들이 현재 상태의 조직에 얼마나 큰 위협이 되는가? 이 때 정량 위험 분석을 실시했다. 3) PCI가 요구하는 표준을 적용했을 때 2)번의 정량 분석이 어떻게 바뀌는가? 4) 3)번과 비슷한 효과를 가지고 있는 또 다른 보안 제어 장치들에는 어떤 것들이 있는가? 비용은 어떤가? 5) 4)번에 언급된 대체 장치들을 적용할 경우, 위험 수위는 어떻게 되는가? 이 때 역시 정량 위험 분석을 실시했다. 5)번의 경우 예상 외에도 PCI의 기준을 적용했을 때보다 위험 감소 측면에서 효과적이면서 비용도 낮은 방법이 몇 가지 나왔다. 이러한 작업을 하고 보니 경영진과 PCI 감사자들에게 확실하게 들이밀 수 있는 자료가 갖춰졌다.