보안 설문지 응답의 대상, 이유 및 방법
게시 됨: 2021-08-20보안 질문을 발행하는 데 도움이 되는 다양한 솔루션 옵션이 있습니다.
보안 질문에 응답하는 경우 옵션이 더 적지만 일부 사람들이 힘들게 수동으로 반복하는 프로세스로 간주하는 작업에 도움이 되는 솔루션이 있다는 사실을 알게 되어 기쁩니다.
보안 질문은 조직에서 데이터가 전송 중, 사용 중, 저장되어 있는 타사 공급업체에서 안전하다는 것을 확인할 수 있도록 합니다. 소비자는 개인, 금융, 의료 및 기타 데이터를 항상 보호할 것을 요구합니다. 대부분의 산업 분야에는 최소 보호 표준을 충족하기 위한 규정 준수 규정이 있습니다.
규정 준수를 증명하기 위해 공급업체는 위험 평가의 일부로 보안 설문지를 작성해야 합니다.
일반적으로 보안 질문서는 스프레드시트 또는 기타 다운로드 가능한 문서 형태로 제공됩니다. 이러한 질문에 대한 응답 프로세스를 자동화하는 기술 솔루션은 질문에 응답할 때 시간을 절약하고 일관성을 보장하려는 경우 필수 불가결할 수 있습니다.
자동화를 어렵게 만들고 공급업체가 더 많은 질문에 하나씩 대답해야 하는 온라인 보안 질문 포털의 추세가 증가하고 있습니다. 온라인 포털에서 보안 질문에 응답하는 속도를 높이는 데 도움이 되는 몇 가지 기술과 기술이 있지만 자동화 전략은 비용이 많이 들고 한 가지 보안 "맛"에만 적용될 수 있는 독점적인 타사 통합에 크게 의존합니다.
점점 더 정교해짐에 따라 더 많은 보안 질문에 직면하게 될 공급업체로서 효율적이고 포괄적으로 답변해야 하는 과제를 안고 있습니다.
보안 질문이란 무엇입니까?
보안 질문은 일반적으로 공급업체가 통제할 수 없는 데이터가 안전한지 여부를 조직에서 평가해야 할 때 사용됩니다.
소비자와 고객은 조직의 통제 하에 있는 동안 안전할 것이라는 가정 하에 비즈니스 및 개인 데이터로 조직을 신뢰합니다. 조직은 조직 외부의 모든 개인 또는 단체가 조직과 동일한 최소 수준의 보안을 유지하도록 해야 합니다.
다시 말해서, 당신의 지갑이 안전한지 확인하기 위해 당신과 함께 사방에 가는 가라데에 검은 띠를 띠고 있는 경호원이 있다면, 그들의 경호원도 최소한 가라데에 검은 띠를 가지고 있지 않는 한 아무도 당신의 지갑을 빌리도록 할 수 없습니다. 그리고 지갑을 건네줄 때 경호원 두 명이 있어야 합니다. 양도 장소도 완전히 안전해야 하지만 말입니다.
보안 질문은 일반적으로 다음 세 곳 중 한 곳에서 받습니다.
- 귀하의 데이터에 액세스하는 데 필요한 모든 최소 보안 요구 사항에 대한 평가가 포함된 스프레드시트를 사용하여 자신만의 문서를 작성하십시오(예: "귀하의 경호원이 내 경호원만큼 훌륭하다는 것을 증명하려면 이 양식을 작성하십시오.").
- 직접 구매하세요. SIG(Standardized Information Gathering) 설문지와 같은 것으로 울타리를 흔들고 모든 것을 평가할 수 있습니다. 또는 네트워크 보안 평가 도구인 Nessus를 사용하여 특정 위험을 평가할 수 있습니다.*
- 공개적으로 사용할 수 있는 보안 질문을 빌리십시오. 일부 비영리 조직은 같은 생각을 가진 전문가의 구성원이 동의한 표준을 포함하는 설문지를 제공합니다. 그러한 예로 CSA(Cloud Security Alliance)에서 발행한 CAIQ(Consensus Assessment Initiative Questionnaire)가 있습니다.
보안 설문지가 아닌 것은 DDQ(실사 설문지) 입니다. 두 가지 주요 차이점이 있습니다. 첫째, DDQ는 상세하지 않고 프로세스에 더 중점을 둡니다. 조직에서 표준을 준수하고 요구 사항을 충족하는 방법을 알고 싶어할 때 DDQ를 받을 수 있습니다. 증거를 제공해야 하는 보안 질문서에 있습니다.
둘째, DDQ는 일반적으로 보안 질문에 비해 판매 프로세스에서 더 일찍 도착합니다. DDQ를 첫 번째 필터로 생각하십시오. 조직에서는 DDQ 단계에서 규정을 준수하는 방법을 모른다면 영업 프로세스의 세부 사항에 시간을 할애할 가치가 없다고 생각합니다.
그렇다고 해서 보안 설문지가 판매 프로세스의 주요 이정표로 간주되어야 한다는 의미는 아닙니다. DDQ처럼 초기에 나타날 수 있지만 판매 프로세스의 추가 단계에서 데모 단계에 나타날 수도 있고 온보딩 계획이 구체화되기 시작할 때 마감 후에 나타날 수도 있습니다. 보안 질문을 받았다고 해서 최종 성공을 나타내는 것은 아닙니다. 그러나 제시간에 정확하게 응답하지 않으면 확실히 거래가 중단될 수 있습니다.
보안 질문은 왜 필요한가요?
예전에는 소프트웨어 애플리케이션이 사내 또는 사내에서 호스팅되었으므로 데이터 소유자가 항상 데이터를 소유하고 있었습니다. 여전히 보안 설문지가 있었지만 훨씬 덜 관여했습니다.
SaaS 전환으로 데이터 및 비즈니스 크리티컬 애플리케이션은 제3자에게 신뢰할 수 있습니다. 조직이 SaaS 솔루션을 온보딩하기 전에 보안 관점에서 두 가지에 대해 확신해야 합니다. 첫째, 모든 데이터는 해당 SaaS 솔루션 공급업체와 함께 안전합니다.
둘째, 필요할 때 애플리케이션을 사용할 수 있고 합의된 가동 시간 벤치마크를 준수합니다(예: 급여를 처리하기 직전에 HR 시스템이 다운되는 것을 원하지 않음). SaaS 솔루션의 맹공격으로 인해 보안 질문이 급증했습니다.
그럼에도 불구하고 보안 설문지는 암호화 또는 저장과 같은 데이터 보안과 관련된 측면 이상을 평가합니다. 질문에는 네트워크 보안, 감사 및 규정 준수 프로세스, 그리고 몇 가지만 들자면 위치의 물리적 보안까지 포함될 수 있습니다. 사실은 두 가지 주요 이유로 설문지가 점점 더 보편화되고 길어지고 복잡해지고 있습니다.
첫째, SaaS 솔루션은 복잡성과 상호 연결성이 증가하고 있습니다. 완전히 독립형인 비즈니스 애플리케이션은 거의 없습니다. 그들은 종종 조직이 더 큰 목표를 달성할 수 있도록 서로 이야기해야 합니다.
서로 통신해야 하는 애플리케이션이 많을수록 위험 노출도가 높아져 보안 평가가 더욱 엄격해집니다.
둘째, 위협은 끊임없이 진화하고 있습니다. 100% 안전한 시스템은 없습니다. 기본적으로 아무리 안전하고 지능적인 시스템이 있더라도 어딘가에는 항상 사람의 지문이 있기 때문입니다.
88%
사람의 실수로 데이터 유출이 발생할 수 있습니다.
출처: CISO 매그
투표 시스템에서 연료 유통 네트워크, 대형 소매업체에 이르기까지 악의적인 행위자는 약점을 발견한 곳이면 어디든지 사이버 공격을 지시하기 위해 신속하게 선회할 수 있습니다.
보안 질문 검토자는 무엇을 기대합니까?
정직하고 직접적이며 완전한 응답. 그리고 그들의 시간을 존중합니다. 지침에 주의하십시오. 일부 질문에는 짧고 직접적인 답변이 필요합니다. 다른 것들은 제자리에 있는 제어 유형에 대한 자세한 설명이 필요합니다.
자동화 지원이 있더라도 적절하게 응답되었는지 확인하기 위해 모든 응답을 검토해야 합니다. 두 부분으로 된 답변이 필요한 경우 항상 답변에 대한 간략한 설명을 제공하십시오. 이것은 "아니오" 또는 "해당 없음"이라고 대답해야 할 때 특히 중요합니다.
귀하의 응답이 항상 긍정적일 필요는 없습니다. 무언가를 구현할 계획이 있다고 해서 예라고 말하지 마십시오. 이러한 계획은 수행할 수 없는 의무가 됩니다. 전달할 수 없으면 절대 긍정적으로 대답하지 마십시오. 항상 고객이 증거를 요구할 것으로 기대하십시오.
직접적입니다. 능동태를 사용하십시오. 결정이 중요합니다. 때때로 질문은 여러 번 다른 방식으로 질문됩니다. 복사 및 붙여넣기를 피하고 회피하는 것처럼 들릴 수 있습니다. 검토자의 우선 순위를 추측하는 데 시간을 낭비하지 마십시오. 의무 사항을 거의 공개하지 않습니다. 규정 준수 및 위험 팀이 가는 빗으로 모든 대응을 검토할 것이라고 가정합니다.
귀하의 목표는 가능한 한 완전한 응답을 갖는 것이어야 합니다. 응답이 더 완료될수록 후속 조치를 취할 가능성이 낮아집니다. 위험 평가가 더 빨리 완료될수록 거래가 더 빨리 종료될 수 있습니다. 보안 설문 응답이 거래를 지연시키는 것을 원하지 않습니다. 그들은 영업 프로세스의 후반부에 나타나며 여러 차례의 후속 조치 또는 설명으로 인해 프로세스가 느려져 영업 팀을 끝없이 좌절시킬 것입니다.
보안 질문의 주요 구성 요소
대부분의 경우 보안 질문서는 광범위한 보안 제어를 평가합니다. 여러 유형의 보안에 대한 질문을 예상하십시오.
보안 "맛" | 샘플 질문 |
애플리케이션 보안 | 웹 애플리케이션에 SSL 인증서가 있습니까? |
감사 및 규정 준수 | 캘리포니아 소비자 개인정보 보호법(CCPA) 준수 여부를 얼마나 자주 감사합니까? |
비즈니스 연속성 | 중단 시 애플리케이션은 어떻게 서비스를 유지합니까? |
재해 복구 | 데이터 침해가 발생한 경우 당사에 통지하는 데 얼마나 걸립니까? |
변경 제어 | 긴급 변경의 정의는 무엇입니까? |
데이터/정보 보안 | 보안 프로그램은 어떤 지침을 따르나요? |
데이터 프라이버시 | 데이터를 백업하는 프로세스는 무엇입니까? |
암호화 관리 | 제품이 암호화 또는 기타 암호화 기술을 사용합니까? |
물리적 보안 | 공유오피스에서 일하시나요? |
거버넌스 및 위험 관리 | 보안 이벤트를 기록합니까? |
인사 | 직원들에게 사이버 공격을 탐지하는 방법을 교육합니까? |
ID 및 액세스 관리 | 애플리케이션에서 싱글 사인온(SSO)을 제공합니까? |
타사 관리 | 보안 기능을 타사 제공업체에 아웃소싱합니까? |
취약점 관리 | 취약점 분석을 수행하기 위해 어떤 소프트웨어 또는 기술을 사용합니까? |
많은 질문과 내용 요구 사항은 다음 네 가지 구성 요소 중 하나에 속합니다.
1. 보안 준수 인증서
보안 준수 인증 증명은 보안 질문서에서 가장 일반적으로 요청되는 정보입니다. 보안 규정 준수 인증서의 예로는 SOC 2(Service Organization Control 2), ISO(International Organization for Standardization), NIST CSF(National Institute of Standards and Framework)의 사이버 보안 프레임워크가 있습니다.
2. 사이버 보안 정책 및 정책 문서
이것은 아마도 가장 많은 시간이 소요될 것입니다. 정보, 물리적, 응용 프로그램, 인프라 및 네트워크 보안을 포함한 많은 영역을 다룹니다. 이러한 질문은 IT 보안, 데이터 개인 정보 보호 및 비즈니스 탄력성 정책을 평가합니다. 때로는 전체 정책 문서를 제공하라는 요청을 받게 됩니다. 다른 경우에는 특정 섹션을 선택하라는 메시지가 표시됩니다.
3. 보안 절차
이 구성 요소는 조직에서 고객 정보, 데이터 및 시스템을 보호하기 위한 절차를 평가하려는 곳입니다.
질문과 요청은 다음에 중점을 둘 수 있습니다.
- 직원 보안 의식 교육 절차
- 서버 또는 데스크톱의 취약점 패치, 업그레이드 및 완화 절차
- 보안 침해 또는 기타 사고가 발생한 경우의 사고 관리 절차
- 다운타임 장기화 시 재해복구 및 비즈니스 연속성 계획
- 악성 활동 모니터링 및 추적
4. IT 위험 및 완화 제어
조직이 귀하를 공급업체로 추가하여 귀하의 위험을 감수하려면 자신이 무엇을 하고 있는지 알아야 합니다. 더 중요한 것은 그들이 위험을 완화하기 위해 이미 무엇을 하고 있는지 알고 싶어한다는 것입니다.
다음과 같은 문의가 표시됩니다.
- 위험 관리 계획 제출
- 데이터 및 정보 시스템에 직접적인 영향을 미칠 수 있는 위험 목록 식별
- 위험 평가 방법론 설명
- 위험을 완화하기 위한 보안 제어 목록 나열
- 위험 관리를 담당하는 직원/역할 나열
당신은 이미 이 질문들에 대한 많은 답을 가지고 있을 것입니다. 문제는 위치가 어디에 있습니까? 이것이 보안 질문에 더 빨리 응답하는 열쇠입니다.
보안 질문에 더 빨리 응답하기 위한 5가지 팁
SaaS(및 IaaS(Infrastructure as a Service) 및 PaaS(Platform as a Service))의 확산으로 인해 더 많은 보안 설문지가 제공됨에 따라 매년 여러 설문지에 원활하게 응답하려면 정확성, 효율성 및 반복성이 필수적입니다. 이 다섯 가지 팁이 도움이 될 것입니다.
AI 및 기계 학습을 구현하여 응답 자동화
자동화 솔루션은 이미 존재합니다. 아이러니하게도 그것들도 SaaS입니다. 자체적으로 구축하든 공급업체를 찾든 중요한 것은 솔루션에 단순히 복사 및 붙여넣기 이상의 작업을 수행할 수 있는 AI/ML 기능이 있다는 것입니다. 답을 찾는 것보다 더 중요한 것이 있습니다. 가장 좋은 답을 빨리 찾을 수 있어야 합니다.
답변 검색 및 업데이트를 간소화하는 콘텐츠 관리 솔루션 개발
보안 질문에 대한 대부분의 답변은 이미 알고 있을 것입니다. 일반적으로 문제는 이러한 답변이 있는 문서가 고립되어 있고, 중복되고, 구식이며, 제한된 액세스만 허용하고 검색할 수 없다는 것입니다. 콘텐츠를 중앙 집중화하면 이 문제가 해결됩니다.
정확성을 향상시키면서 처리 시간을 줄이기 위한 모범 사례를 따르십시오.
내부 및 외부 협업 메커니즘이 여기에서 개선을 주도할 것입니다. AI/ML 지원 자동화 외에도 주제 전문가가 답변하고 검토할 수 있도록 과제를 지정하는 작업도 자동화할 수 있습니다. 불완전하거나 부정확한 응답으로 인해 발생할 수 있는 실망스러운 후속 질문을 피하려면 팀을 단계적으로 연결하는 것이 중요합니다.
타사 온라인 포털과 직접 상호 작용하는 기술을 지원하는 SaaS 솔루션 식별
AI/ML 자동화는 스프레드시트, 문서 또는 PDF와 같은 다운로드 가능한 양식에서 가장 잘 작동합니다. 온라인 포털은 더 번거로우며 이 글을 쓰는 현재로서는 보안 설문지 발급자와 응답자 솔루션 제공업체 간의 백엔드 파트너십을 통해서만 자동화할 수 있습니다.
도움이 될 수 있는 한 가지 기술은 콘텐츠 라이브러리에 연결되는 브라우저 확장 포털입니다. 답변에 액세스하기 위해 애플리케이션 간에 전환할 필요가 없기 때문에 온라인 포털을 통해 더 빠르게 작업할 수 있습니다.
클라이언트의 마감일 전에 보안 설문지를 작성하십시오.
이것은 능숙함과 선의를 나타냅니다. 또한 고객의 소중한 시간을 존중하면서 보안을 중요하게 생각한다는 점에서 고객에게 더 큰 마음의 평화를 줍니다.
보안 질문이 수익에 방해가 되지 않도록 하십시오.
어떤 형태로든 보안 질문에 응답하는 것은 가까운 장래에 공급업체 온보딩 프로세스의 일부가 될 것입니다. 현재 환경에 따라 보안 설문지의 규모와 정교함이 계속해서 증가할 것으로 예상할 수 있습니다.
사이버 보안 지출은 1조 달러를 초과할 것으로 예상되며 타사 공급업체가 데이터 침해의 63%를 차지합니다. 조직은 데이터가 안전하고 애플리케이션을 사용할 수 있다는 더 많은 확신을 원할 것입니다.
보안 질문을 접수에서 제출까지 처리하는 비즈니스 프로세스를 구현하고, 가능한 많은 응답 프로세스를 자동화하고, 주제 전문가가 계속 작업을 수행할 수 있도록 협업을 개선함으로써 질문에 응답하는 속도를 높이고 단순화할 수 있습니다. 귀하의 목표는 보안 질문이 판매 프로세스의 병목 현상이 되지 않도록 하는 것입니다.