SEC 사이버 규정이 기업 위험 관리에 미치는 영향

만약 당신이 ~에서 일한다면 사이버 보안, 규제 변화에 관심을 갖고 있거나 해당 업계에 종사하는 사람이라면 최근 규제 동향을 면밀히 주시해 왔을 가능성이 높습니다. SEC의 사이버 보안 사고 공개 규칙 그리고 EU의 사이버 복원력법(CRA), 그동안 여러 조직들은 전략을 재평가하고 재구성해 왔습니다. 이제 인공지능이 빠르게 발전함에 따라 책임감 있는 사용과 더욱 엄격한 규제 감독이 필요한 시점입니다. 

안전한 개발 및 사용은 일체 포함 아직 규제 대상이 아니지만, 작년에 주목할 만한 사이버 보안 규제 중 하나는 SEC(미국 증권거래위원회)의 사이버 보안 위험 관리 및 사고 공개에 관한 새로운 규칙입니다. 이제 상장 기업은 다음과 같은 사항을 준수해야 합니다.

• 중대한 사이버 사고를 SEC에 즉시 공개하십시오. 4영업일.
• 이사회에서 사이버 보안 위험을 감독하는 방식에 대한 자세한 정보를 제공하십시오. 

이러한 변화의 영향을 더 잘 이해하기 위해 우리는 다음과 협력했습니다. 사피오 리서치 미국과 영국의 대기업 사이버 보안 의사 결정권자 500명을 대상으로 설문 조사를 실시했습니다. 전체 보고서는 여기에서 다운로드할 수 있습니다. 2024년 규제와 현실: 연준의 사건 공개 통제 시도는 효과적인가?

사이버 보안 규정을 소홀히 할 경우 발생하는 비용 

Swimlane의 최고 정보 보안 책임자(CISO)로서 저는 규제 변화가 우리 업계를 어떻게 재편하고 있는지, 그리고 이를 소홀히 할 경우 어떤 일이 발생하는지를 직접 목격했습니다. 예를 들어, 랜섬웨어 공격과 같은 주목할 만한 사건들이 있습니다. 체인지 헬스케어, 이는 대중의 신뢰를 지속적으로 떨어뜨려 왔습니다.

Change Healthcare 랜섬웨어 공격은 조직이 위험 관리를 소홀히 할 경우 심각한 결과를 초래할 수 있음을 보여주는 올해 발생한 여러 사건 중 하나입니다. 여기에는 다음이 포함됩니다. 

• 평판 손상 
• 재정적 손실
• 사업 중단 시간 
• 민감한 데이터 손실

저 숫자를 다시 한번 보세요… $1.6B 이는 Change Healthcare에 미치는 총 재정적 영향일 수 있습니다. 최근 제 블로그 글에서, '중요성'의 미스터리: CISO를 위한 SEC 규정 준수 가이드, 저는 중요성의 정의, 위험성, 그리고 이를 제대로 이해하지 못할 경우 발생할 수 있는 재정적 영향에 대해 강조했습니다. 재정적 영향에는 법률 비용, 규제 기관의 벌금, 복구 비용, 고객 통지 비용 등이 포함됩니다. SEC의 사이버 보안 규정에서 또 다른 주요 문제는 "중요성"의 정의가 불명확하다는 점입니다. 명확한 지침이 없기 때문에 조직은 "중요한" 사이버 보안 사고가 무엇인지 스스로 적극적으로 정의해야 합니다. 

이러한 점을 고려할 때, 최근 강화된 규제 당국의 감시는 신뢰를 회복하고 기업들이 사이버 보안을 우선시하도록 하는 데 매우 중요하다고 할 수 있습니다. 

규제 대응을 위한 3가지 선제적 사이버 보안 팁

최근 규제 요건을 충족하려면 수많은 "해야 할 일"들이 있습니다. 보안 운영 전술적인 측면도 있지만, 단순히 규정을 준수하는 것과 진정한 의미의 선제적 위험 관리 전략을 구축하는 것을 구분하는 것이 중요합니다. 최소한의 조치만 취하고 만족하는 것은 바람직하지 않습니다. “"충분히 좋은" 보안 그것은 당신의 조직을 보호하지 못할 것입니다. 제 말만 믿지 마시고, 그로 인해 피해를 입은 수많은 기업들을 살펴보세요. 2024년 데이터 유출 및 사이버 공격 홀로.

위험 관리 전략을 통해 선제적으로 대응할 수 있는 세 가지 방법을 소개합니다.

1. 전사적 사이버 보안 전문성 도입 

단순히 형식적인 절차만 거치는 접근 방식은 번번이 실패합니다. 리더로서 우리는 최고 경영진부터 직원까지 사이버 보안에 전념해야 합니다. 이러한 전념은 위험을 완화하고 사이버 공격을 예방하는 데 필수적입니다.

이는 이사회 차원의 사이버 보안 전문 지식에서 시작됩니다. 최근 보고서에서 강조한 내용은 다음과 같습니다.

• 81% 이사회가 있는 모든 회사는 최소 한 명 이상의 사이버 보안 전문가를 이사로 두어야 한다고 말했다.
• 하지만, 단 55% 응답자들은 이사회 구성원 중 한 명이 사이버 보안 전문가라고 답했습니다.

적절한 사이버 보안 도구와 교육에 투자하면 전반적인 프로세스가 크게 향상됩니다. 이러한 선제적 접근 방식을 통해 신입 직원부터 최고 경영진까지 모든 구성원이 사이버 보안의 중요성을 이해하고 적절한 도구를 활용하여 사고에 효과적으로 대응할 수 있게 됩니다. 이를 통해 방어력을 강화하고 위험 관리를 개선하며 프로세스를 간소화할 수 있습니다. 사고 대응, 그리고 더 탄력적인 조직을 만듭니다.

거버넌스와 규정 준수가 곧 위험 감소나 사이버 보안 향상을 의미하는 것은 아니라는 점을 명심하십시오. 하지만 보안 태세, 복원력, 기술적 통제, 그리고 제로 트러스트는 이러한 목표를 달성하는 데 도움이 됩니다. 무엇보다 기본 사항을 먼저 숙지해야 합니다. 

2. 사이버 공격 공개에 대한 초점 전환

조직은 사이버 공격을 규제 기관과 대중에게 공개할 때 초점을 바꿔야 합니다. 사이버 공격의 기술적 측면을 넘어 더 광범위한 재정적, 운영적, 평판적 위험을 평가하여 정확한 보고가 이루어지도록 해야 합니다. 본 보고서는 다음과 같이 명시합니다.

• 응답자 중 25%만이 3~4영업일 이내에 보안 사고를 보고했습니다.
• 그리고 43%는 지난 한 해 동안 보고 시간이 더 길어지는 문제를 겪었습니다.

이는 많은 조직이 신속하고 효율적인 프로세스를 유지하는 데 어려움을 겪고 있음을 보여줍니다. 하지만 스윔레인 터빈과 같은 보안 자동화 플랫폼을 활용하면 이러한 문제를 해결하는 데 도움이 될 수 있습니다.

3. 사고 대응 자동화

플레이북을 활용하여 자동화하세요 사고 대응 이러한 간소화된 접근 방식은 의사 결정을 신속하게 내릴 수 있도록 지원하여 조직이 사이버 보안 사고에 빠르게 대응하고 위험을 즉시 완화할 수 있도록 합니다. Swimlane에서는 자체 프로세스를 활용합니다. 보안 자동화 구축 플랫폼 사고 대응 플레이북. 이러한 조치 덕분에 프로세스가 간소화되어 정보에 기반한 의사 결정을 내리고 중요한 사건 대응 세부 정보를 경영진에게 더욱 명확하게 보고할 수 있습니다. 

인간의 전문성과 AI 기반 자동화의 균형 유지

인간의 전문성과 AI 기반 자동화 도구 간의 균형을 우선시하면 운영 부담을 줄일 수 있습니다. 위협 탐지 및 로그 분석과 같은 일상적인 작업을 자동화하여 보안 전문가가 중요한 판단에 기반한 의사 결정을 내릴 수 있도록 해야 합니다. 이는 효율성과 효과성을 높여 궁극적으로 의사 결정권자가 규정 준수에 대한 확신을 갖도록 합니다. 

귀사가 새로운 규정과 사이버 보안 문제에 적응해 나가는 과정에서 이러한 통찰력이 회복력과 선제적 위험 관리 방향으로 나아가는 데 도움이 되기를 바랍니다. 또한, 모든 보안 책임자 여러분과 소통할 수 있기를 기대합니다. 링크드인 보다 적극적인 대화를 위해.