위험 평가

기업의 자산, 위협, 취약성 및 위험에 대해 이해합니다. 이 정보를 통한 보안의 최적화

다음 단계:

개요

McAfee Foundstone 위험 평가는 기존 위험에 대한 독립적 감사를 제공하고, 위험 관리 전략을 소개하고, 위험 환경을 완화하는 프로세스와 시스템을 기술합니다. 정기적으로 일정이 계획된 위험 평가는 GLBA, HIPAA, SB 1386 및 PCI DSS를 포함한 연방 및 주 규정 컴플라이언스의 핵심 부분입니다. 또한 위험 평가는 효과적인 보안 프로그램의 핵심 구성요소입니다.

위험 평가는 기업 내에서 위험 관리 전략을 수립하기 위한 기반이 됩니다. Foundstone의 방법론은 기업 운영을 지원하는 자산을 파악하고, 취약성 및 해당 자산에 대한 잠재적 위협을 찾아냅니다.

주요 장점

Foundstone 위혐 평가는 다음을 통해 기업을 지원합니다.

  • 주요 운영 자산 파악
  • 잠재적 위협으로부터 가장 중요한 정보 자산 보호
  • 보안 투자 최적화
  • 보안 ROI 극대화
  • 보안 전략의 구성 안내

방법론

Foundstone 위험 평가는 기업 운영의 핵심이 되는 자산을 파악하고 기업에서 해당 자산이 가지는 가치를 설정합니다. 이러한 자산에 영향을 미칠 수 있는 위협을 파악하고 취약성을 조사하여 영향의 가능성을 판단합니다. Foundstone은 자체 평가나 설문에 의존하는 것이 아니라 인터뷰, 문서 검토 및 기술적 분석을 사용하여 위험을 파악하여 기업의 위험 프로파일을 평가하는 균형 잡힌 접근법을 취합니다.

자산, 취약성 및 위협 파악
이 단계에서 Foundstone은 기업의 관리자 및 기술 직원을 대상으로 인터뷰를 실시하고 네트워크 토폴로지를 포함하여 정보 보안 및 자산과 관련된 문서를 검토합니다. Foundstone 위험 평가는 데이터 센터 시스템, 직원 컴퓨터, 네트워크 통신 장치와 채널, 직원의 가정용 컴퓨터와 같은 원격 작업 영역, 고객 데이터, 직원 데이터 및 지적 자산을 포함하는 주요 운영 자산을 파악합니다. 개인 데이터를 처리, 저장, 관리 및 전송하는 시스템에 특히 중점을 둡니다. Foundstone은 관리자, 고객 및 직원을 포함한 모든 유형의 시스템 사용자가 정보 기술 자산을 이용하는 방식을 조사한 다음, 실패 시 운영에 미치는 가치에 따라 각 자산의 등급을 지정합니다.

또한 기술 직원을 대상으로 인터뷰를 실시하여 잠재적 취약성을 파악하며, 서 검토 및 기술적 분석(취약성 평가와 결합된 경우)도 사용하여 잠재적으로 취약한 영역을 파악합니다. 취약성은 심각도를 기반으로 분류하며, 이로써 자산의 노출이 파악됩니다. 위험 평가의 목적상 취약성 평가는 높은 수준의 검토입니다. 이 평가를 통해 파악된 취약성은 Foundstone이 수행하는 보다 상세한 기술 평가를 받게 될 수 있습니다.

Foundstone은 위협 모델링을 사용하여 가능한 이벤트를 반영하는 시나리오를 구축합니다. 각 자산은 물리적 파괴나 손상으로 인한 직접 비용, 고객 신뢰 상실, 규정 요구사항 충족 실패 및 최악의 시나리오 등 영향을 받았을 경우의 잠재적 비용과 함게 분석합니다. 그 결과 위협이 자산에 영향을 미칠 가능성과 동기가 있는지 여부를 나타내는 측정치인 보급률에 기반하여 위협의 등급을 지정합니다.

포괄적 분석
Foundstone은 자산, 취약성 및 위협을 분류한 후 분석을 시작합니다. 위험은 중요 자산, 신뢰할 수 있는 위협 및 기존 취약성이 있을 때 존재합니다. Foundstone은 잠재적 손실에 금전적 가치를 할당하려고 시도하는 대신 정성적 위험 평가에 중점을 둡니다.

보안 로드맵 계획 수립
Foundstone은 최대 보안투자에 대해 최대의 위험 감소로 이어지는 전략에 중점을 둡니다. Foundstone의 네 가지 위험 관리 전략인 완화, 이전, 회피 및 수용을 상세히 기술하는 보안 로드맵을 작성합니다. 전략은 위험 감소의 양과 관련 비용을 기준으로 우선순위가 지정됩니다. 그 결과는 기업의 리소스 제약과 위험 목표를 기반으로 하여 시스템 문제와 해결책을 상세히 기술하는 보안 로드맵 실행 계획에서 문서화됩니다.

계약 종료 시 포괄적 위험 평가 기술 보고서, 핵심 요약, 다음 단계 권장사항 및 반나절 일정의 결과 워크숍과 프레젠테이션을 제공합니다.