기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
사이버 보안 위험 대응
긍정적 위험과 부정적 위험에 대한 대응은 크게 다릅니다. 부정적 위험의 경우 결과에 미치는 영향을 최소화하기 위한 조치를 취하지만, 긍정적 위험의 경우 결과에 미치는 영향을 최대화하기 위한 조치를 취합니다. 다음 표에서는 긍정적 위험과 부정적 위험에 대한 잠재적 대응을 보여줍니다.
| 위험 유형 | 응답 | 정의 |
|---|---|---|
| 긍정적 위험 | 악용 | 긍정적인 효과 실현을 위해 위험이 발생할 확률이나 가능성을 최대화합니다. |
| 공유 | 위험에 대한 소유권 또는 책임의 일부를 다른 당사자에게 할당합니다. 이는 부정적 위험과 동일한 접근 방식으로 잠재적인 손실이나 이익을 통제하려고 합니다. | |
| 강화 | 기회를 극대화하기 위해 위험을 야기하는 조건을 늘립니다. | |
| 무시 | 위험 가능성을 무시하고 아무런 조치도 취하지 않습니다. 위험 확률이 매우 낮거나 잠재적인 긍정적 결과의 이점이 아주 적은 경우 일반적인 대응 방법입니다. | |
| 부정적 위험 | 완화 | 위험이 발생할 확률이나 가능성을 최소화합니다. |
| 이전 | 위험을 보험 회사에 이전하기 위해 보험 증권을 구매하는 등 위험에 대한 책임을 다른 당사자에게 전가합니다. | |
| 회피 | 위험을 야기하는 조건을 없앱니다. | |
| Accept | 위험의 존재는 인정하되 조치를 취하지 않습니다. |
부정적 위험의 경우 조직은 위험 허용 범위 및 선호도에 따라 위험을 회피, 이전, 완화 또는 수용합니다. 위험이 발생하지 않도록 노력하고, 발생할 경우 전체 임무에 미치는 영향을 최소화하려고 노력합니다.
긍정적 위험 대응을 설명하는 가장 좋은 방법은 다음과 같은 예를 사용하는 것입니다.
-
악용 - 보안 담당 임원이 최근 유능한 보안 전문가가 새로운 직장을 찾기로 결정했다는 사실을 알게 되고 이 예비 직원을 자신의 팀으로 데려오기 위해 후한 계약 보너스를 마련합니다.
-
공유 - 사업부 리더가 권한 있는 액세스 관리 제품을 사용하여 보안을 강화하고 싶지만 현재 회계연도에 도구와 서비스를 구매할 예산이 부족합니다. 리더는 다른 사업부의 리더와 협력하여 파일럿 프로젝트로 도구를 구매하여 구현한 후 나중에 두 사업부를 모두 지원하도록 설치를 확대할 것입니다.
-
강화 - 직원이 기존 비즈니스 프로세스를 자동화하여 사이버 보안 위협을 줄일 기회를 찾았지만, 이를 위해서는 시간과 장비에 대한 투자가 필요합니다. 이러한 프로세스의 긍정적인 이점을 확인한 관리자가 역량 개발을 위해 초과 근무 시간을 승인하고 프로젝트 진행에 필요한 기존 하드웨어 및 소프트웨어 리소스의 용도를 변경합니다.
-
무시 - 재무 담당 임원이 영업부에서 일하는 직원이 지루한 수동 작업을 자동화하는 새로운 애플리케이션을 개발했음을 알게 됩니다. 이 애플리케이션은 최근 영업부에서만 사용할 수 있도록 승인되었습니다. 재무 담당 임원은 자신의 부서에서도 이를 활용할 수 있도록 명시적 승인 없이 새 신청서의 사본을 얻습니다.
