요즘 세상에서 규정 준수는 필수입니다. 신뢰를 유지하고 비즈니스 평판을 쌓는 활동은 절충할 수 없으며 사이버 보안 표준과 나눌 수 없이 연결되어 있습니다. 하지만 모든 경험을 고려해볼 때, 규정 준수는 구축하고 유지하기 쉬운 프로그램이 절대 아닙니다. 보안 리더들은 점점 다양해지는 규정, 법, 표준을 준수하는 방법을 알아야 하며 일부는 모순적으로 느껴질 수 있습니다. 이러한 복잡성으로 인해 규정 준수를 달성하고 유지하고 입증하는 과정은 부담스러울수 있습니다.
Cloudflare에서는 상당한 리소스를 투입하여 규정 준수 요구 사항을 이해하고, 올바른 보안 프로세스와 제어를 구현하며, 환경 변화를 모니터링하고, 규정 준수를 입증하는 평가를 수행하고 있습니다. 경력 초기 단계였다면 이러한 활동을 세금처럼 여겼을 겁니다. 하지만 20년 간 사이버 보안에서 일하면서, 드디어 걱정을 멈추고 규정 준수를 사랑하는 법을 배우게 되었습니다. 규정 준수는 공동체로서 성취하는 것이지 없애야 하는 것이 아니기 때문입니다.
이미지 출처
: 닥터 스트레인지러브 또는: 나는 어떻게 걱정을 떨치고 핵폭탄을 사랑하는 법을 배우게 되었는가?
오랫동안 사이버 보안 위협의 규모를 파악하지 못한 결과, 근본적으로 안전하지 않은 기술에 일상적으로 의존하는 세상이 되었습니다. 너무 오랫동안 보안과 개인정보 보호의 가치보다 속도와 비용이 중요했습니다. 이것은 정책의 실패, 관리의 실패, 역량의 실패, 무엇보다 상상력의 실패였습니다.
국방부와 국가안보국에서는 '임무'에 많이 집중했는데, 임무는 대부분 결과에 기반해 중요한 문제를 해 결하는 접근법입니다. 총력을 기울여 공격을 수행하기 위해 규정을 준수하지 않는다는 잘못된 의미를 내포하고 있습니다. 제 경험에 비추어 봤을 때 그런 일은 절대 없었습니다. 결과와 규정 준수는 평행하게 나아가며, 운영 위험을 줄이고 더 나은 생각과 창의성을 이끌어냅니다.
사이버 보안 리더는 보안을 강화하고 신뢰를 쌓고 새로운 관계를 형성하기 위한 기본 출발 지점으로서 정책과 전략을 조정할 책임이 있습니다. 이러한 접근 방식을 취하면 사용자 데이터와 지적 재산을 보호하고 금융 도용을 방지하며 경우에 따라 물리적 피해를 사전 예방해야 하는 문제를 해결할 때 임무 지향적인 솔루션을 적용할 수 있습니다.
신뢰를 쌓기는 어렵지만, 잃기는 쉽습니다. 규정을 준수하지 않으면 벌금이 부과될 수 있으며 고객과 파트너의 신뢰와 믿음을 잃을 수 있습니다.
규정 준수 요구 사항으로 인해, 운영 위험이 줄어들지는 않고 요식 행위만 늘어나는 경우가 많습니다. 이러한 이유로 의료, 금융 서비스, 국가 안보 등 규제가 엄격하고 매우 표적화된 분야에서는 사이버 보안을 실천하는 것이 모두를 위한 강력한 청사진이라고 저는 생각합니다. 이러한 분야에 속한 조직은 요식 활동 이외에도, 규정에서 요구하는 것보다 더 높은 수준을 자발적으로 준수합니다.
보안 업무는 표준을 충족하는 과정에서 시작됩니다. 규정 준수를 도구로 이용하면 업무를 나타내고, 주위를 살펴 신뢰할 수 있는 사람을 찾고, 위협을 제거하는 어려운 작업을 시작하기 좋습니다. SOC 보고서나 ISO 인증을 받으면 침해를 막을 수 있다곤 하지만 침해는 여전히 발생합니다. 왜 그랬을까요? 프레임워크와 표준을 준수하는 것은 무언가 잘못되었을 때 더 빠르게 알아차릴 수 있는 방법에 불과하기 때문입니다. 회사나 팀에서 사고와 노출을 예방할 수 있는 방법이 될 수는 없습니다. 이를 예방하려면 기술적 통제에 기반한 사이버 보안에 더 포괄적으로 접근해야 합니다.
Cloudflare는 주요 규정과 표준을 준수하고 있으며 여러 가지 중요한 인증을 획득했습니다. 규정 준수로 생길 수 있는 기회를 얻기 위해 규정 준수를 받아들이고 있습니다. 하지만, 여기에서 멈추지 않습니다. Cloudflare는 더 안전하고 더 나은 인터넷을 구축한다는 사명에 집중하고 있습니다. 비즈니스, 파트너, 고객을 안전하게 보호할 수 있는 고급 보안 기능을 구현하여 규정 준수를 넘어서고 있습니다. Cloudflare는 사용자와 고객이 안전하게 더 인터넷을 사용할 수 있도록 도와드리기 위해 구축되었습니다. 보안을 지키는 데 유용한 인증에 대해 알아보세요.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부 입니다.
Oren Falkowitz - @orenfalkowitz
Cloudflare 보안 책임자
이 글을 읽고 나면 다음을 이해할 수 있습니다.
규정 준수를 부담이 아닌 조력자로 여기는 방법
프레임워크와 표준만으로는 노출이나 사고를 절대로 없앨 수 없습니다
기본 규정 준수를 넘어선 고급 보안 기능을 구현하면 비즈니스, 파트너, 고객을 안전하게 보호할 수 있습니다