사이버 보안의 신흥 트렌드를 다루는 성과 지표가 포함된 전략 실적표의 예시입니다.
데이터 보안 실적표. 기사의 주요 주제:
출발점: 데이터 보안 연구
데이터 보안 및 데이터 보호에 대한 정기적인 연구는 데이터 유출의 근본 원인과 이를 방지하는 방법에 대해 좋은 아이디어를 제공합니다. 이 기사에서는 이러한 연구 결과를 KPI로 측정 가능한 포괄적인 사이버 보안 전략으로 결합하는 예를 논의할 것입니다.
다음은 참고할 보고서입니다:
- IBM의 데이터 유출 비용 보고서1는 Ponemon 연구소가 수행한 연구로 IT 보안 분야의 벤치마크 중 하나입니다.
- Verizon의 데이터 유출 조사 보고서2는 사이버 보안 위험과 이를 해결하는 방법에 대한 다른 관점을 제시합니다.
- EY 글로벌 정보 보안 설문조사3는 조직이 데이터 보안 위험을 해결하기 위해 구현하는 모범 사례를 공유합니다.
- FireEye M-TRENDS 보고서4는 데이터 보안 위협과 그 진화를 보고합니다.
용어: 사이버 보안, 데이터 보안, 데이터 보호, 데이터 프라이버시
데이터/정보 보안과 데이터 보호(데이터 프라이버시) 용어의 차이점에 대한 논의로 시작해 봅시다.
- 데이터/정보 보안은 데이터를 관리하기 위한 안전한 아키텍처를 유지하는 것과 관련이 있습니다. 정기적인 백업, 최신 보안 소프트웨어, 접근 권한, DLP 소프트웨어 구현 등을 생각해 보세요.
- 데이터 보호는 데이터의 윤리적 및 법적 사용에 관한 것입니다 – 동의를 얻고 규제 의무를 따르는 것.
이 차이는 중요합니다. 예를 들어, Facebook–Cambridge Analytica 사건에서 데이터는 안전하게 관리되었지만 (암호화되고 안전한 서버에 저장됨), 데이터 보호 규정에 따라 책임감 있게 관리되지 않았습니다.
데이터 보호 용어는 주로 유럽과 아시아에서 사용되며, 미국에서는 같은 개념을 데이터 프라이버시라고 합니다. Françoise Gilbert는 그녀의 블로그에서 차이를 잘 설명했습니다.
마지막으로, 사이버 보안 용어는 데이터 보안뿐만 아니라 다른 보안 시스템을 포함하여 더 넓은 범위의 아이디어를 포괄하도록 되어 있습니다. 실제로, 종종 데이터 보안 용어와 혼용됩니다.
왜 사이버 보안 KPI와 전략이 필요한가요?
명백한 이유들, 예를 들어 조직의 현황을 파악하고 나아갈 방향을 이해하는 것 외에도, 다음과 같은 이유를 언급하고 싶습니다:
- 새로운 보안 솔루션을 이해관계자에게 제시할 때 일부 데이터를 통해 주장을 뒷받침할 수 있어야 합니다.
- 구체화된 비즈니스 컨텍스트는 사이버 보안 이니셔티브를 인재 실적표, IT 실적표 또는 기업 거버넌스 실적표와 같은 전략의 다른 부분에 정렬하는 데 도움이 됩니다.
- “최신 IT 기술을 활용한 고도로 안전한 비즈니스 환경”과 같은 모호한 아이디어를 구체적인 성과 지표로 더 명확하게 변환합니다.
아직 발생하지 않은 것을 측정하는 방법
데이터 보안은 무형의 것이고 정량화하고 측정하기어려운 것처럼 보일 수 있습니다. 조직이 어떤 종류의 데이터 침해를 겪을지 미리 알 수 없기 때문입니다. 그러나 초반에 언급된 경험적 연구들(예: IBM Security 보고서)은 다른 관점을 제시합니다.
대부분의 데이터 침해는 다음과 같은 알려진 요인들로 인해 발생합니다:
- 자격 증명 유출 (19%)
- 피싱 (14%)
- 클라우드 구성 오류 (19%)
이것은 사이버 보안 노력이 어디에 집중되어야 하는지를 알려줍니다.
모든 데이터 침해를 예방할 수는 없지만, 데이터는 우리가 조직에 대한 영향을 최소화할 수 있음을 보여줍니다:
- 보안 자동화 구현,
- 대응 팀과 대응 계획 준비,
- 직원 교육, 그리고
- 레드 팀 테스트와 같은 접근 방식을 사용하여 비즈니스 환경 테스트.
가장 중요한 비즈니스 기능과 자산에 대해서는, 복구 지점과 복구 시간 목표를 정의할 것이며, 이는 재해 복구를 위한 실적표에서 공식화되고 사이버 보안 실적표와 정렬될 수 있습니다.
데이터 보안에 적용 가능한 비즈니스 프레임워크는 무엇입니까?
이전에, 조직이 그들의 전략을 명확히 하고 실행하는 데 도움을 주는 다양한 비즈니스 프레임워크를 논의했습니다. 사이버 보안 분야에 적용 가능한 프레임워크는 무엇입니까?
최상의 결과를 위해, 다양한 프레임워크를 결합해야 합니다:
- 우리는 외부 환경의 새로운 요소들을 감지하고 분석하기 위해 PESTEL 분석을 사용할 것입니다 (학습과 성장 관점에서의 목표 참조). 이는 데이터 보호법과 같은 법률의 변화나 코로나19 이후에 본 것과 같은 파괴적인 변화, 예를 들어 원격 근무 트렌드일 수 있습니다.
- 우리는 대응 노력에 집중하는 것에 대해 많이 이야기할 것입니다. 이 맥락에서, 다양한 우선순위 프레임워크가 도움이 될 것입니다.
- 데이터 보안 전략을 작업할 때, 오늘 필요한 행동과 가까운 미래에 필요한 행동, 그리고 먼 미래를 위한 몇 가지 이니셔티브를 고려해야 합니다. 이 맥락에서, 세 가지 수평선 프레임워크가 체계적인 논의에 도움이 될 것입니다.
- 이 모든 연결되지 않은 아이디어들을 일관된 전략으로 전환하기 위해, 우리는 균형성과표 프레임워크를 사용할 것입니다.
앞서 언급된 비즈니스 프레임워크와 초기에 언급된 연구 보고서를 사용하여 데이터 보안 전략의 예를 만들어 봅시다.
재무 관점. 데이터 보안의 재무적 영향 평가
데이터 보안을 위한 재무 KPI는 보안 이니셔티브를 이해관계자에게 제시할 때 필수적입니다. 관련 산업 벤치마크를 제공할 수 있다면 프레젠테이션이 더욱 인상적으로 보입니다.
Verizon의 보고서와 IBM의 보고서(포네몬 연구소에서 수행)는 이와 관련된 몇 가지 통찰력을 제공합니다. 때때로 데이터는 모순적입니다. 예를 들어, 데이터 유출 당 기록의 비용이 크게 다를 수 있습니다. IBM의 보고서는 $150-$175의 범위를 제공하는 반면, Verizon의 보고서(2015 데이터 유출 조사 보고서 참조)에 따르면 약 $0.58입니다. Ken Spinner는 TeachBeacon에서 이 주제에 대한 설명을 공유했습니다.
데이터 보안 실적표. 귀하의 조직에서 데이터 유출 비용을 어떻게 추정할 수 있습니까?
이는 직접 비용 및 간접 비용을 기반으로 할 수 있습니다:
- 직접 비용은 포렌식 분석 비용, 벌금, 고객에 대한 보상을 포함합니다.
- 간접 비용은 데이터 유출로 인한 기존 및 잠재 고객, 직원, 파트너의 손실을 의미합니다.
데이터 보안 실적표에서 기록 당 데이터 유출 비용에 대해 Ponemon 또는 Verizon 연구에서 일부 벤치마크를 가져와 위험에 처한 기록 수와 곱할 수 있습니다.
계산을 수행하려면 일부 기본 비즈니스 데이터를 알아야 합니다:
- LTV (고객 생애 가치)
- 데이터 유출로 인한 고객 이탈 추정치
- 고객 수
- 위험에 처한 기록 수
- 상실한 잠재 고객 수
데이터 보안 실적표. 데이터 유출의 직접적인 영향은 다음과 같이 계산할 수 있습니다:
- 데이터 유출 비용 (직접 비용) = 기록 당 데이터 유출 비용 * 위험에 처한 기록 수
간접 비용의 경우, 데이터 유출로 인한 고객 이탈률과 LTV를 사용하여 이를 수량화할 수 있습니다:
- 고객 이탈 비용 = [고객 수]*[LTV]*[데이터 유출로 인한 고객 이탈]/100
또한, 계약을 체결하지 않은 잠재적 고객 수를 추정할 수 있습니다.
- 기회 손실 비용 = [상실한 잠재 고객 수] * [LTV]
고객 관점. 보안 위험의 정량화.
고객 관점에서 주요 목표는 다음과 같이 수립됩니다:
- 데이터 보안 및 데이터 보호 위험 완화
데이터 보안 실적표. 이는 다음 지표로 구체화됩니다:
- 선행 지표 데이터 위험의 조기 감지 및 신속한 대응, 이는 내부 관점의 목표에서 나오는 결과입니다
- 선행 지표 데이터 보호 준비도
- 후행 지표 가중 위험 인덱스
여기서 논리는 조직이 내부 보안 시스템에 대해 작업하고 (데이터 위험의 조기 감지 및 신속한 대응으로 정량화됨) 필요한 데이터 보호 조치를 도입하여 (데이터 보호 준비도로 정량화됨) 가중 위험 인덱스로 정량화된 데이터 보안 위험을 보다 잘 완화하는 것입니다.
- 데이터 보안 전략을 구축할 때, 귀하의 팀이 성공 요인에 대한 지표(선행 지표)와 기대 결과에 대한 지표(후행 지표)의 차이점을 이해하도록 하십시오.
고객 관점에서 지표를 자세히 논의해 봅시다.
가중 위험 지수
이 지표의 목표는 조직이 직면하고 있는 현재의 위험 수준을 정량화하는 것입니다. 이를 위해 우리는 영향 수준에 따라 분류된 데이터 유출 수를 정량화할 것입니다:
- 중대한 위험 사건, 무게 70%
- 중요한 위험 사건, 무게 20%
- 중간 수준 위험 사건, 무게 7%
- 낮은 수준 위험 사건, 무게 3%
보시다시피, 비선형 가중치 척도가 적용되었습니다. 이 모델에서는 중대한 데이터 유출이 지수 메트릭에 가장 큰 영향을 미치고, 낮은 수준의 사건은 영향을 적게 미칩니다.
데이터 보안 실적표. 이 접근 방식은 덜 중요한 문제를 해결함으로써 제어 지표가 녹색 구역으로 이동하는 경우 측정 시스템을 조작하는 문제를 해결합니다. 그러나 우리는 위험 사건이 적절히 분류되었는지 확인해야 합니다.
지표 계산 및 지표의 가중치를 고려하는 것에 대해 더 알고 싶으시다면, 저희 웹사이트의 관련 기사를 참조해 주세요.
데이터 보호 또는 데이터 프라이버시 측정
앞서 설명한 바와 같이, 데이터 보호는 개인 식별 정보(PII) 및 유사한 데이터의 윤리적이고 합법적인 사용에 관한 것입니다.
이 경우 보호 조치는 해당 법률에 의해 잘 설명됩니다. 유럽에서는 GDPR이 있으며, 미국에서는 비즈니스 도메인에 따라 CCPA, HIPPA, PCI DSS, GLBA와 같은 다양한 법률이 있습니다.
데이터 보안 실적표. GDPR을 예로 들어보면, 측정의 관점에서 데이터 보호는 데이터 보호 준비 지수와 같은 지표로 추적될 수 있습니다. 이는 다음과 같은 메트릭(대부분 이진 메트릭)을 사용하여 계산됩니다:
- 데이터 보호 책임자 지정
- 명시적 동의 추적
- 데이터 유출 보고 절차
- 접근, 수정, 삭제 권리 구현
- 데이터 이동권
이러한 지표는 조직, 그 제품 및 서비스에 적용 가능한 가장 구체적인 사례로 더 세분화될 수 있습니다.
규제 준수를 보장하기 위해, 이러한 지표와 법적 요구 사항은 정기적으로 검토되어야 합니다. 이는 각각의 지표에 대한 업데이트 간격 기능을 통해 자동화할 수 있습니다. 아래의 자동화 섹션에서 더 구체적인 예를 확인하십시오.
내부 관점. 데이터 보안 위험 완화 방법
내부 관점의 목표와 성과 지표를 찾기 위해 우리는 근본 원인 분석을 수행하고 발견된 위험/비용 포인트를 살펴봐야 합니다.
결과는 특정 조직의 비즈니스 도메인과 비즈니스 시스템에 따라 달라질 것입니다. 그러나 IBM Security와 Verizon의 보고서에서 강조된 몇 가지 공통적인 경향이 있습니다. 우리는 이러한 발견을 사용하여 평가표의 내부 관점에 대한 목표와 KPI를 수립할 것입니다.
데이터 보안 평가표. 데이터 위험에 대한 조기 탐지 및 빠른 대응
데이터 유출이 발생한 경우, 탐지 및 대응 측면에서 신속한 대응은 비용을 크게 줄일 수 있습니다.
실적표에서는 두 개의 후행 지표로 이를 수치화합니다:
- 탐지 평균 시간
- 대응 평균 시간
후행 지표는 이미 발생한 일을 수치화합니다. 조직은 이러한 지표에 어떻게 영향을 미칠 수 있을까요? 동일한 보고서는 일반적으로 더 나은 데이터 보안 대응으로 이어지는 특정 조치를 제안합니다.
데이터 보안 실적표. 실적표 템플릿에는 조기 탐지 및 빠른 대응 목표에 맞춘 두 가지 기록이 있습니다:
- 사고 대응 팀 구성. 이 기록은 성공 요인으로 표시됩니다. IBM 보안 보고서에 따르면, 이는 데이터 유출 영향 최소화의 근본 원인 중 하나입니다.
- 고위험 데이터 접근 탐지. 이 이니셔티브를 통해 팀은 특정 유형의 데이터 접근의 영향에 따라 노력을 우선순위화할 수 있습니다. 우선순위화를 위한 보다 체계적인 접근 방식을 찾고 있다면, 우선순위화 프레임워크에 관한 기사를 확인하십시오.
조기 탐지 및 빠른 대응 목표와 관련하여 두 개의 선행 지표가 더 있습니다. 두 지표 모두 앞서 언급한 데이터 보안 보고서의 발견에 기반을 두고 있습니다:
- 위험 완화 계획 개발
- IT 복잡성 감소
자세히 논의해 봅시다.
위험 완화 계획 개발하기
위험 완화 계획을 갖추는 것은 데이터 유출에 대한 빠른 대응의 성공 요인입니다.
기존의 데이터 보안 계획이 좋은 것인지 어떻게 확인할 수 있습니까?
이는 조직에서 데이터가 관리되는 방식을 반영하는 최신 위험 모델에 기반해야 합니다. 전략 실적표에서는 정기적인 데이터 보안 감사 선행 지표로 정량화되며, 이는 학습과 성장 관점에서 설명됩니다.
제안된 위험 대응 계획이 실제로 효과적인지 어떻게 알 수 있습니까?
위험 계획의 정기적인 업데이트와 함께, 개발된 계획의 실제 적용을 테스트할 수 있습니다. 이는 후행 지표인 사고 대응 테스트로 정량화됩니다.
IT 및 데이터의 복잡성 줄이기
경험적 연구에서는 데이터 유출 비용을 최소화하는 데 도움이 되는 여러 요소를 지적하고 있습니다. 이러한 요소들은 다음과 같습니다:
- IT 인프라 복잡성
- 데이터 스키마 복잡성
- 자동화
전략 지도에서는 이러한 요소들을 IT 및 데이터 복잡성 줄이기 목표 내에서 정리했습니다.
데이터 보안 실적표. 이 경우:
- 데이터와 IT의 복잡성 감소는 목표에 대한 이론적 해석입니다
- 가장 가치 있는 데이터에 대한 접근 제한은 필요한 IT 솔루션의 복잡성을 줄이는 성공 요인 중 하나입니다
- 취약성 테스트 및 준수 사항 자동화는 보안의 IT 자동화를 위한 광범위한 이니셔티브입니다
마지막으로, 복잡성 최소화가 더 나은 데이터 유출 대응의 요소 중 하나로 지목되었다면, 이를 어떻게 정량화할 수 있을까요?
답은 개별적이며 조직의 IT 환경에 따라 다릅니다. 이 실적표에는 다음과 같은 지표로 구성된 데이터 보안 복잡성 인덱스의 예가 있습니다:
- 최고 접근 수준을 가진 사용자 수. 이 지표에 대한 최적화 기능은 “선형적으로 최소화”로 설정되어 있으며, 민감한 데이터에 접근할 수 있는 사용자 수를 줄이는 것이 인덱스의 전체 성능을 향상시킬 것입니다.
- 로그인 자격 증명을 비활성화하는 데 걸리는 시간. 데이터 유출의 7%는 악의적인 내부자에 의해 발생합니다. 로그인 자격 증명을 빠르게 비활성화하는 것은 이 비율을 줄일 수 있는 IT 보안 조치 중 하나입니다. 이 경우 수용 가능한 시간 간격은 매우 짧습니다. 실적표에 이 아이디어를 반영하기 위해 이 지표의 최적화 기능은 지수적 감소로 설정되어 있습니다.
데이터 보안 실적표. - DLP 소프트웨어에 의해 제어되는 민감한 데이터의 %. 데이터 손실 방지 솔루션은 IT 보안을 자동화하는 방법 중 하나입니다. 조직이 새로운 데이터를 다루는 한, 민감한 데이터가 DLP(데이터 손실 방지) 도구에 의해 접근 가능하도록 데이터 모델을 정기적으로 검토하는 것이 중요합니다.
- 데이터 암호화 및 백업 자동화. 이전 지표와 유사하게, 최신 데이터 모델을 가지고 민감한 데이터가 적절하게 관리되고 있는지 확인하는 것이 중요합니다.
- 최신 보안 소프트웨어의 %. 이 메트릭은 단순해 보일 수 있지만, 연구들은 다른 이야기를 말해줍니다. 데이터 유출의 16%의 근본 원인은 타사 소프트웨어의 취약점입니다. 소프트웨어 공급업체는 정기적으로 취약점을 패치하는 업데이트를 출시합니다. 최신 업데이트가 설치되어 있는 것은 보안 위험을 최소화하는 성공 요인 중 하나입니다.
- 자동화 범위, % 지표는 현재 수준의 자동화와 가능한 자동화 수준을 비교합니다. 높은 자동화는 인적 요소의 영향을 줄이고 이해관계자에게 복잡성을 줄여줍니다.
데이터 보안 실적표. 이것들은 데이터 보안의 경우 복잡성을 정량화 할 수 있는 몇 가지 메트릭의 예일 뿐입니다. 복잡성에 대한 보다 확고한 접근 방식은 이해관계자의 심도 있는 분석, 나쁜 복잡성의 포인트 찾기 및 복잡성 감소 전략 개발을 포함해야 합니다. 이전 기사에서는 복잡성 메트릭과 이를 실무에 적용하는 방법에 대해 논의했습니다.
학습 및 성장 관점
이 관점에서 우리는 두 가지 큰 목표를 가지고 있습니다:
- 정기적인 데이터 보안 감사 목표는 데이터 보안을 위한 적절한 인프라에 집중하도록 돕습니다.
- 직원의 데이터 보안 교육 목표는 데이터 침해를 방지하거나 영향을 최소화하기 위해 팀에게 최신 지식과 기술을 제공하는 데 중점을 둡니다.
데이터 보안 실적표. 이 목표들이 전략 맵에서 어떻게 형성되는지 살펴보겠습니다.
정기적인 데이터 보안 감사
우리는 목표에 맞춰 사이버 보안 위험 분석 이라는 이론적 해석을 가지고 있습니다. 일반적인 사이버 보안 위험은 무엇입니까? 이론적 해석 설명에는 몇 가지 예가 있습니다:
- 사이버 공격
- 랜섬웨어
- 악성 소프트웨어
- 내부 위협
- 분실/도난된 자격 증명
- 무단 접근
- 데이터 손실
- 데이터 손상
데이터 보안 실적표. 목표에 맞춰 원격 근무가 데이터 보안에 영향을 미친다 는 가설이 있습니다. 많은 조직에서 원격 근무는 Covid-19에 대응하기 위한 위기 대책 전략의 일부였습니다.
두 개의 선행 지표가 있습니다:
- 정기적인 위험 분석 – 새로운 위험에 대한 일반적인 분석
- 민감한 데이터의 위험을 정기적으로 평가 – 민감한 데이터의 맥락에서 보다 구체적인 분석
두 지표 모두 분기별로 업데이트되도록 설정되어 있습니다.
데이터 보안 실적표. 현재의 위험 상황을 분석하고 그것으로부터 학습하는 보안 팀의 노력을 수량화하는 데 도움이 되는 몇 가지 지표가 있습니다:
- 취약점 스캐닝 – 일반적으로 IT 팀이 수행하는 자동 스캐닝
- 침투 테스트 (펜 테스트) – 사이버 공격 시뮬레이션
- 레드 팀 테스트 – 더 많은 참여자를 포함한 대규모 보안 테스트
각각의 KPI는 다른 업데이트 간격에 맞게 설정되어 있습니다:
- 자동 취약점 스캐닝은 주간 또는 월간으로 수행될 수 있습니다.
- 위험 모델에 따라 펜 테스트는 분기별로 수행될 수 있습니다.
- 마지막으로, 가장 많은 자원이 필요한 레드 팀 테스트에 대한 지표는 반기별 또는 연간 업데이트 간격으로 설정되어 있습니다.
위험 분석 및 테스트 절차는 보안 시스템의 취약점을 발견하도록 설계되었습니다. 이러한 시뮬레이션과 테스트의 결과가 효과적으로 구현되었는지 어떻게 알 수 있습니까? 이 질문에 대한 답을 찾기 위해 다음을 추적할 수 있습니다:
- 반복되는 데이터 유출 수 지표.
같은 유형의 데이터 유출이 반복적으로 발생한다면, 보안 팀이 제안한 위험 완화 계획이 예상만큼 효과적이지 않다는 신호입니다.
직원들에게 데이터 보안 교육 실시
인적 요소는 데이터 보안 시스템의 가장 큰 위험 중 하나로 남아 있습니다. IBM 보안 보고서에 따르면, 약 36%의 악의적인 데이터 침해가 인간의 행동(피싱, 사회 공학, 자격 증명 손상)과 관련이 있습니다.
데이터 보안 전략을 어떻게 설계하여 이러한 위험을 효과적으로 완화할 수 있을까요?
해결책 중 하나는 특정 작업을 자동화하고 인간 운영자의 역할을 줄이는 것입니다. 이는 내부 관점에서 논의한 복잡성 감소 목표와 많이 공명합니다.
데이터 보안 실적표. 자동화가 불가능하거나 수익성이 없는 다른 경우에는 교육이 해답입니다. 데이터 보안의 맥락에서 교육 노력을 어떻게 집중시킬 수 있을까요? 우리는 선행 지표와 후행 지표 쌍을 사용할 수 있습니다!
- 선행 지표: 데이터 보안 교육 관여율은 데이터 보안 인식 교육의 범위를 추적하는 데 사용될 수 있으며, 참가자들은 예를 들어 피싱 관행과 이를 피하는 방법에 대해 배울 수 있습니다.
- 이 경우 최고의 후행 지표는 인식 교육의 실질적인 영향을 중심으로 해야 합니다. 만약 피싱 관행 이해가 교육 주제 중 하나였다면, 피싱 테스트를 실시하여 직원들이 실제로 교육의 성과를 사용하는지를 확인하십시오. 이는 피싱 테스트 성공률 지표로 실적표에 정량화할 수 있습니다.
지금 데이터 보안에 대한 직원 교육이 우선순위라면, 보안 팀은 이 기사에서 논의된 Kirkpatrick의 레벨 모델을 사용하여 교육 평가 실적표를 설계할 수 있습니다.
데이터 보안 실적표 자동화
귀하의 조직에서 데이터 보안 전략을 설명하고 구현하며 실행하는 데 도움을 주는 전략 실적표의 예를 논의했습니다.
이 실적표는 BSC Designer Online에서 무료 템플릿 중 하나로 제공되며, 무료 플랜 계정으로 가입하여 필요에 따라 맞춤화할 수 있습니다.
전략의 총 비용 알아보기
데이터 보안을 위한 전략 실적표를 마련해야 하는 이유 중 하나는 이해관계자에게 새로운 이니셔티브를 제시하기가 쉬워지기 때문이라고 언급했습니다.
제안된 전략의 비용은 논의될 첫 번째 질문 중 하나입니다. 전략을 실행하는 비용은 모든 비즈니스 목표와 그에 따른 이니셔티브의 비용 합계로 추정할 수 있습니다.
데이터 보안 실적표. BSC Designer를 자동화 도구로 사용하면 이니셔티브에 예산을 할당하고 그 사용을 제어할 수 있습니다. 소프트웨어는 전략 실행을 위한 총 예상 비용을 제시하는 전략 비용 보고서를 생성할 수 있습니다.
대시보드에서 중요한 데이터 시각화하기
이해관계자의 또 다른 일반적인 요청은 올바른 결정을 내리기 위한 데이터를 갖는 것입니다 (이전에 데이터 기반 결정에 대해 이야기했습니다). 그 자체로 전략 맵은 많은 데이터를 포함하고 있습니다. 또 다른 접근 방식은 가장 중요한 지표와 그 데이터를 표시하도록 구성할 수 있는 BI 대시보드를 구축하는 것입니다.
이 기사에 대한 전략 템플릿에는 두 개의 대시보드가 있습니다 (전환할 수 있습니다).
데이터 보안 실적표. 위험 지수 대시보드는 현재 위험 상황을 정량화하기 위해 사용된 위험 지수 지표에만 집중합니다. 대시보드의 다이어그램을 통해 다음을 볼 수 있습니다:
- 현재 위험이 게이지 차트에 시각화됨
- 위험 지수가 시간 경과에 따라 어떻게 변화했는지
- 무게 차트에서 각 지표가 위험 지수에 기여한 정도
데이터 보안 실적표. 또 다른 대시보드는 데이터 보안 복잡성 지수입니다. 우리가 논의한 바와 같이, 보안 시스템의 복잡성이 커질수록 데이터 유출 위험이 높아지는 요인이 됩니다. 이 대시보드는 선택된 지표에 의해 정량화된 복잡성의 현재 상태를 시각화합니다.
성능 데이터 분석
대부분의 조직은 KPI 형태로 성능 데이터를 수집하는 작업을 정기적으로 수행합니다. 어떤 자동화 도구를 사용하든지 간에 많은 데이터가 존재합니다.
문제는 항상 이 데이터를 어떻게 사용하여 실행 가능한 정보로 변환할 것인가입니다. 팀이 전략 맵이나 대시보드를 논의할 때 몇 가지 통찰력이 발생하며, 다른 통찰력은 자동화할 수 있습니다.
이런 의미에서 BSC Designer의 분석 기능은 많은 도움을 줍니다. 다음은 몇 가지 예입니다:
- 우리가 논의한 대부분의 지표는 정기적으로 업데이트되어야 합니다. 업데이트 시간 분석을 통해 곧 업데이트가 필요한 지표나 제때 업데이트되지 않은 지표를 찾을 수 있습니다. 이는 알림 기능으로 자동화할 수도 있습니다.
- 실적표의 각 지표는 지표의 중요성을 반영하는 무게를 가지고 있습니다. 절대적인 무게 분석을 통해 가장 높은 무게를 가진 지표를 찾을 수 있습니다. 예를 들어, 우리의 예시에서 평균 탐지 시간 지표는 가장 높은 무게 중 하나를 가지고 있습니다. 만약 팀이 여러 이니셔티브에서 작업을 고려하고 있으며 그중 하나가 데이터 침해를 더 빠르게 탐지할 것을 약속한다면, 그 이니셔티브에 우선순위를 두십시오.
- 때때로 흥미로운 발견은 단순히 성능 데이터가 어떻게 변화했는지를 살펴봄으로써 찾을 수 있습니다. 급격한 증가나 감소는 분석해야 할 새로운 요인의 신호입니다. 왜 중간 수준의 위험 이벤트 지표가 30% 감소했는가 – 이는 내부 시스템 업데이트의 결과인가, 아니면 보고 문제인가?
데이터 보안 실적표. 이론적 해석, 성공 요인, 및 기대 결과 매핑하기
무료 전략적 계획 수립 과정에서는 목표의 비즈니스 맥락을 이해하는 것의 중요성을 논의했습니다. 잘 설명된 목표를 가지는 것만으로는 충분하지 않으며, 그 목표의 이론적 해석, 성공 요인 및 조직에 가치 있는 기대 결과를 이해하는 것이 중요합니다.
데이터 보안 실적표. 평가표 템플릿에서 IT 및 데이터의 복잡성 감소 목표를 살펴보십시오:
- 데이터 및 IT의 복잡성 감소라는 이론적 해석 기록이 있으며, 이 목표가 중요한 이유를 설명합니다: “소프트웨어 시스템 및 데이터 인프라의 높은 복잡성은 데이터 유출의 위험 요소입니다.”
- 복잡성 감소의 성공 요인도 있습니다 – 가장 가치 있는 데이터에 대한 접근 제한. 이것은 목표의 맥락에서 완벽한 의미를 가집니다 – 민감한 데이터에 대한 접근을 줄이면 데이터 스키마의 복잡성을 줄이고 결과적으로 데이터 유출의 위험을 줄입니다.
어떤 경우에는, 무언가를 달성하기 위한 고정된 계획이 없으며, 대신에 우리는 교육된 가설을 다루고 있습니다. BSC Designer 사용자들은 그들의 목표에 가설을 추가할 수 있습니다. 우리의 예에서, 원격 근무가 데이터 보안에 영향을 미친다는 가설이 정기적인 데이터 보안 감사와 정렬되어 있었습니다.
기대 결과를 아는 것도 중요합니다. 예를 들어, 직원들에게 데이터 보안 교육을 할 때, 책임감 있는 데이터 관리라는 기대 결과가 있습니다. 이것이 실제로 무엇을 의미할까요? 어떻게 이를 정량화할 수 있을까요? 이러한 질문들은 흥미로운 논의의 문을 엽니다.
예산, 책임자 및 상태와 함께 발의를 생성하기
전략 계획과 실행 사이의 격차를 메우기 위해 목표에 대한 이니셔티브를 사용하십시오. IT 및 데이터의 복잡성 감소와 정렬된 취약성 테스트 및 컴플라이언스 자동화 이니셔티브를 예로 들어보겠습니다.
데이터 보안 실적표. - 귀하의 팀은 이 이니셔티브에 대해 정확히 어떻게 작업할 것입니까? 설명 필드를 사용하여 상세한 행동 계획을 추가하십시오.
- 다른 위험 완화 계획과 어떻게 정렬됩니까? 관련 자원에 연결하기 위해 문서 섹션을 사용하십시오. 우리의 예에서는 IT 실적표 예제에 연결했습니다.
- 이 이니셔티브에 대한 책임자는 누구입니까? 책임자를 할당하여 관련된 일이 발생할 때 알림을 받도록 하십시오.
- 이니셔티브의 현재 상태는 무엇입니까? 이니셔티브에 대한 팀의 진행 상황에 따라 상태를 업데이트하십시오.
- 이 이니셔티브의 맥락에서 진행 상황을 어떻게 추적할 수 있습니까? 우리의 예에서는 데이터 보안 복잡성 지수를 형성하는 자동화 범위, % 지표와 연결했습니다.
교육 세션: 'BSC Designer에 의한 균형성과표 소개'은 저희의 지속적인 학습 프로그램의 일환으로 제공되며, BSC Designer 구독에 포함되어 있습니다.
교육 세션은 매주 Zoom을 통해 제공되며, 실용적인 통찰력과 개인 맞춤형 지침을 제공합니다. 완료 후 참가자는 수료 인증서를 받습니다. 모든 사용 가능한 교육 세션을 여기에서 탐색하십시오.
결론
이 기사에서는 데이터 보안 전략의 예를 논의합니다. 여기 우리가 논의한 가장 중요한 아이디어가 있습니다:
- 데이터 유출의 알려진 위험 요인과 보안 사고의 영향을 최소화하는 입증된 방법이 있습니다.
- 이해관계자가 데이터 유출의 직접 및 간접 비용을 이해할 수 있도록 도와주세요.
- 전략을 문제를 조기에 감지하고 신속하게 대응하는 것에 집중하세요.
- 데이터 유출의 영향을 줄이기 위한 위험 완화 계획과 대응 팀을 구성하세요.
- IT 시스템과 데이터 구조의 나쁜 복잡성을 줄이세요.
- 위험 모델을 정기적으로 업데이트하고, 보안 환경을 테스트하세요.
- 인적 요소는 위험 요소 중 하나입니다 – 팀을 교육하고, 단순히 공식 시험 점수만이 아니라 행동의 변화를 주시하세요.
다음 단계는 무엇입니까? 좋은 사이버 전략은 조직의 필요에 맞게 맞춤 제작됩니다. 이 기사에서 논의된 보안 전략 템플릿을 출발점으로 사용하여 자체 데이터 보안 전략을 구축하기 시작하세요. 댓글에 도전 과제와 발견한 내용을 자유롭게 공유하세요.
사이버 보안 분야에서의 애플리케이션 예
비즈니스 전문가들이 BSC Designer 플랫폼을 사용하여 사이버 보안 전략과 관련된 문제를 해결하고 자동화하는 방법을 알아보십시오.
데이터 보안 및 보호 실적표 템플릿 사용하기
BSC Designer는 조직이 복잡한 전략을 구현할 수 있도록 도와줍니다:
- 플랫폼에서 무료 플랜에 가입하세요.
데이터 보안 및 보호 실적표 템플릿을 시작점으로 사용하세요. New > New 실적표 > More Templates에서 찾을 수 있습니다.- 우리의 전략 구현 시스템을 따라 이해관계자와 전략적 목표를 포괄적인 전략으로 정렬하세요.
오늘 시작하여 BSC Designer가 귀하의 전략 구현을 어떻게 간소화할 수 있는지 확인해보세요!
- 데이터 유출 비용 보고서. 2020, IBM Security ↩
- 2020 데이터 유출 조사 보고서, 2020, Verizon ↩
- 글로벌 정보 보안 설문조사, 2020, EY ↩
- M-TRENDS 보고서, 2020, FireEye ↩
Alexis는 BSC Designer의 CEO이자 선임 전략 컨설턴트로, 전략 계획 분야에서 20년 이상의 경험을 가지고 있습니다. Alexis는 회사가 그들의 전략을 실질적으로 구현하는 데 도움을 주는 “5단계 전략 실행 시스템”을 개발했습니다. 그는 업계 콘퍼런스의 정기 연사이며, “10단계 KPI 시스템” 책을 포함하여 전략 및 성과 관리에 관한 100편 이상의 기사를 발표했습니다. 그의 작업은 자주 학술 연구에서 인용됩니다.