The better the question. The better the answer. The better the world works. У вас есть вопрос? У нас есть ответ. Решая сложные задачи бизнеса, мы улучшаем мир. У вас є запитання? У нас є відповідь. Вирішуючи складні завдання бізнесу, ми змінюємо світ на краще. Meilleure la question, meilleure la réponse. Pour un monde meilleur. 問題越好。答案越好。商業世界越美好。 问题越好。答案越好。商业世界越美好。

사이버 공격에 대한 대응

사이버 보안

많은 기업들이 경험으로 깨달은 교훈은 사이버 공격 이슈는 더 이상 발생 가능성이 아닌 ‘발생 시기’ 에 대한 문제입니다.

EY 어드바이저리에 있어 “better working world”는 EY에서는 복잡한 이슈를 해결하고, 비즈니스를 성장, 최적화, 보호할 수 있는 효율적인 업무 성과를 도출하기 위한 기회를 활용하는 것을 의미합니다.

컨선털트와 산업 전문가로 구성된 다양성이 반영된 팀이 갖춘 글로벌 사고 방식과 협업적 문화는 고객사가 직면하는 사이버 보안 도전 과제에 대한 보다 통찰 있는 질문을 할 수 있게 합니다. 현재의 비즈니스를 보호할 수 있는 기반을 활성화하고, 본 기반을 조직에 맞게 변형하고 잠재적인 공격을 예상하는 등 보다 혁신적인 문제 해결 방법을 함께 모색합니다.

고객사와 함께 전략 수립부터 실행에 이르기까지 보다 효과적이며 지속력 있는 결과를 제공하기 위해 지원합니다.

Read more

img01

보안 위반을 해결해 미래 사이버 보안의 리스크를 방지

보안 문제를 경험한 대형 의료 시설이 문제의 원인을 분석하고, 타격을 완화하기 위한 행정적, 기술적 조치를 제언했습니다. 강력한 프로세스와 툴을 갖춘 다년 사이버 보안 운영 모델을 설계하여 보안 운영 센터를 향후 보안 위험으로부터 예방할 수 있도록 지원했습니다.

Contact us
img02

인프라 및 중요자산 보호

글로벌 생명 과학 기업이 정보 보안 운영 모델 및 거버넌스 구조를 합리화하여 24/7 체제로 운영되는 단일화된 사이버 보안 관리 프로그램을 수립하였으며, 중요한 지적 재산을 우선 순위에 따라 방어함으로써 사이버 공격으로부터 보호할 수 있도록 설계하였습니다.

Contact us
img03

사이버 보안상의 현재의 격차를 파악하여 장기적 개선을 위한 기회 창출

글로벌 자동차 기업의 기존의 보안 및 노출된 리스크를 평가하고 개선 영역을 도출하였습니다. 다년간 로드맵을 구상하여 현재의 위협과 신기술, 리스크 허용 한계, 향후 비즈니스 목표에 부합하는 사이버 보안 프로그램을 구상했습니다.

Contact us
img03

체계적인 보안 대책 수립

글로벌 장비 제조 기업의 주요 보안 체계를 수립하는 작업을 지원했습니다. 운영 모델, 사건 대응, 지적재산권 보호 수준을 높이기 위한 혁신 로드맵을 구축하여 사이버 범죄를 보다 효과적으로 파악, 대응, 방어하기 위한 대책을 우선순위화하고 이행할 수 있도록 지원했습니다.

Contact us
img04

보다 체계적인 고객 보호를 통한 비즈니스 보호

대형 케이블 및 통신 서비스 기업이 카드 결제 산업 보안에 대한 평가 및 혁신을 통해 보안 리스크 관리 및 최소화를 위한 보안 툴, 프로세스, 인력관리에 대한 기업의 시각을 바꾸는데 기여하였습니다.

Contact us
img04

보안 컴플라이언스 제고

온라인 판매에 대한 의존도가 높은 항공사에 있어 사이버 위반의 위험성을 인지하여 결제 프로세스 시스템을 개선하는 작업을 지원했습니다. 카드 결제 산업(PCI) 데이터 보안 기준(DSS) 대응 프로그램을 구축하여 비즈니스 리스크를 줄이고, PCI 컴플라이언스를 개선할 수 있도록 하였습니다.

Contact us
img04

경쟁사의 모범 사례 벤치마킹

다국적 제약 기업이 경쟁사에 기반하여 미래의 사이버 보안 전략을 수립하는 작업을 지원했습니다. 성숙도 평가를 수행 한 후, 개선이 필요한 영역을 파악하고 조직의 프로세스, 인력, 기술적 변화를 위한 혁신적인 로드맵을 구축하였습니다.

Contact us

  • EY의 사명

    EY의 사명은 고객사, 임직원, 공동체를 위한 ‘better working world’ 를 만드는 것입니다. 비즈니스 성과, 자신감, 신뢰를 높일 수 있도록 지원합니다.

  • EY의 실행 방법지원 방식

    글로벌 수준에서 협업하여 고객사를 위한 혁신적인 해답을 제공합니다. EY의 컨설턴트와 고객사간의 긴밀한 협업은 보다 효율적인 비즈니스 성과로 이어집니다.

    기업, 정부, 군 당국, 자선 단체 등 다양한 기관과 장기적으로 작업하여 사이버 위협 대처에 대한 자신감을 고양하고 모든 형태의 사이버 범죄를 예방하기 위한 감시를 유지합니다. 작업을 수행하기 위한 최적의 인재와 귀하의 이슈를 해결하기 위한 최신의 생각과 최고의 솔루션을 선정합니다.

  • EY에서 하는 일

    EY에서는 복잡한 이슈를 해결하고, 비즈니스의 성장, 최적화, 유지할 수 있는 효율적인 업무 성과를 도출하기 위한 기회를 활용합니다.

    사이버 보안은 단순한 기술적 문제가 아닌, 근본적인 비즈니스 이슈입니다. 고객사의 조직을 심층적으로 이해하고 내외부의 위협을 파악합니다. 이러한 위협이 미치는 포괄적인 영향을 이해하고, 보다 심층적인 솔루션의 필요성을 제시합니다.

    고객사의 사이버 보안을 글로벌 수준에서 활성화, 변화, 예상할 수 있도록 지원합니다. 고객사에 필요한 지식과 자원을 제공함으로써 IT 역량과 보호 수준을 제고할 수 있습니다.

    사이버 보안 평가를 수행하여, 지적 재산권, 자동화 기계건간에 고객사의 가장 중요한 자산을 파악할 수 있도록 지원합니다. 이를 통해 가장 최우선 순위로 필요한 사이버 대책인 ‘사이버 공격에 대한 견고한 방어 기반을 구축’ 하는 것을 활성화합니다.

    고객사의 사이버 보안 리스크, 취약성, 니즈에 근거하여 전사적인 전략을 수립할 수 있도록 지원합니다. 통일된 접근법과 대책을 통해 조직의 모든 구성원들이 사이버 보안 및 사이버 보안 방지에 대한 역할을 인식하도록 합니다.

    장기적으로는 잠재적인 사이버 공격을 파악해 축소하기 위한 전술을 개발하고, 가능성 있는 공격 또는 사고 시나리오에서의 예상 대응을 연습해야 합니다. 이를 위해 고객사가 탄탄한 리스크 평가 방법론 및 숙련된 사건 대응 메커니즘을 구축할 수 있도록 지원하여 조직이 필요한 정보를 습득하고 준비성을 높일 수 있도록 합니다.

    EY의 사이버 위협 정보 역량을 실행함으로써 고객사의 취약성에 대한 거시적이면서도 상세한 시각을 확립하고, 능숙하고 지속적인 해커의 공격으로부터 내부의 실수에 기인하는 사고에 이르기까지, 직원의 모바일 기기부터 조직에서 도입하는 최신 기술의 잠재적인 노출 위반 등 전체적인 사어비 공격을 이해할 수 있도록 지원합니다.

    고객사의 조직뿐만 아니라 공급 파트너 등 고객사와 연계되고 신뢰하는 이해관계자들을 보호하는 사이버 생태계를 구축하는 작업도 지원합니다.

EY의 지원 방법

EY에서는 조직 리스크의 모든 측면에 대한 통합적인 시각을 유지하고 있습니다. 특히 사이버 보안은 모바일 기술, 소셜 미디어, 클라우드 컴퓨팅 등 현재의 IT 환경에서 EY가 선도적인 입지를 유지하는 집중적인 주요 영역입니다.

사이버 프로그램 관리

EY의 사이버 프로그램 관리(CPM) 프레임워크는 고객사의 전반적인 리스크 관리 구조와 현재의 IT 보안의 적합성에 대한 유의미한 분석을 기반으로 합니다.

EY의 지원 방법

기업들은 리스크 증가뿐만 아니라 보안 위반 정보 보안 위반 사고의 가능성에 직면하고 있습니다.

조직은 비즈니스 구조, 문화, 리스크에 대해 집중함으로써 기업의 생존과 성공에 필수적인 데이터를 보다 안전하게 보호할 수 있을 것입니다. 이를 위해서는 조직의 정보 보안에 대한 이해 방식이 근본적으로 달라져야 합니다.

위협 정보와 비즈니스 리스크에 대한 정보를 중심으로 하는 보안 프로그램은 끊임없이 변화하는 리스크 환경에서의 대응력을 높이는데 도움이 될 것입니다. 그러나 정보 자산을 안전하고 효과적으로 보호하고, 비즈니스 성과를 최적화하기 위한 위한 조직내 적절한 역량과 자원을 갖춘 기업은 매우 드뭅니다.

모든 산업에서 활동하는 기업들은 정보 보안 프로그램 및 구조에 대한 객관적인 평가를 통해 도움을 얻을 수 있습니다. EY의 사이버 프로그램 관리(CPM) 프레임워크는 정보 보안이 조직의 전반적인 리스크 관리 구조에 적합하게 변화하는 방법에 대한 유의미한 분석에 근거합니다.

CPM 평가로 다음과 같은 효과를 거둘 수 있습니다.

  • 조직의 리스크 익스포저를노출도 이해
  • 현재 사이버 보안 프로그램의 성숙도를 평가하고 개선이 필요한 영역을 파악
  • 프로젝트 투자 및 조직 변화 이니셔티브를 위한 우선 순위 로드맵을 구축
  • 정보를 수집해 타 조직 대비 벤치마크를 정립
  • Validating that your security investments have improved your security posture

For more details, download the full report.

보안 운영 센터

EY의 보안 운영 센터(SOC) 서비스 관리는 보안 운영이 차세대 사이버 위협에 부응할 수 있도록 재정의합니다. 높은 수준의 위협 파악하고, 및 대응 역량방안을 제공합니다.

사이버 보안의 근본적인 요소는 정보 보안 부서를 뒷받침하는 프로세스와 기술로, 중앙집중화, 구조화, 조율될 경우에 가장 효과적입니다. 보안 운영 센터(SOC)는 이러한 것을 뒷받침해줄 수 있는 가치 있는 시작점이 될 수 있습니다.

원활하게 운영되는 SOC는 사이버 위협을 효과적으로 파악하는 일을 핵심적으로 수행하여, 보안 공격자에 대한 비즈니스를 확보하고 실현하는데 도움이 될 수 있습니다. 정보 보안 부서의 신속한 대응, 효과적인 협업과 지식 공유를 가능하게 할 수 있습니다.

그러나 디지털 세계의 폭발적인 성장과 정교성 및과 규모 측면에서의 위협이 점점 증가하면서 조직들의 지적 재산권, 운영, 브랜드 및 주주 가치, 고객 데이터 보호의 필요성은 지속적으로 증가하고 있습니다.

현재 사이버 보안, 위협 정보, 데이터 과학, 사이버 데이터 분석 관련 지침을 전문가 역량과 합치시켜 전체가 단순한한 부분의 합 이상인 선진적인 SOC 생태계가 부상하고 있습니다.

SOC 성공의 핵심 요소에 대한 자세한 내용은 전체 보고서를 다운로드하여 확인하시기 바랍니다.

사이버 위협 관리

사이버 위협 정보(CTiI) 프로세스에 대한 이해 및 우선 순위화가 중요합니다. 이를 조직의 보안 운영에 통합하여 가치를 높입니다.

오늘날의 사이버 보안 환경에서 모든 공격이나 보안 위반을 예방하는 것은 어렵습니다.

사이버 공격은 기업의 브랜드와 평판평판명성을 훼손시킬뿐만 아니라 경쟁 우위 상실, 법률/규제 컴플라이언스 위반유출, 상당한 재무적 손실을 야기할 수 있습니다.

2014년 글로벌 정보 보안 서베이설문조사에 참여한 응답자의 67%가 정보 보안 리스크 환경에서 위협이 증가하고 있다고 대답했습니다. 이제는 조직의 타협 방법과 생존에 미치는 영향을 재평가해야 합니다.

사이버 위협 정보(CTI)는 조직이 맥락 및 전후 상황적 리스크에 대한 분석에 기반하여 가치 있는 통찰을 수집할 수 있게 하는 선진적인 프로세스로, 조직이 처한 위협 환경, 환경, 시장에 따라 맞춤화될 수 있습니다.

이러한 정보는 정보 위반이 발생하기 전에 이를 예상하고, 확인된 위반 사례에 신속하고 효과적이며 결단력 있게 대응할 수 있는 조직의 역량에 상당한 영향을 줄 수 있으며, 공격 이전과 이후에 방어 메커니즘을 적극적으로 실행할 수 있습니다.

CTI를 보안 운영의 다양한 측면에 통합시킴으로써 정보 위협 구도를 매핑하고 과거 데이터를 현 상황에 맞게 활용할 수 있습니다. CTI 프로그램이 성숙해짐에 따라 예측 능력이 진화하여 경영진이 직관보다는 과거 사전례에 기반하여 의사 결정을 할 수 있도록 지원합니다.

CTI와 CTI를 활용하여 비즈니스의 지속성과 조직의 성공을 보장하는 방법에 대한 구체적인 내용은 전체 보고서를 다운로드하여 확인하시기 바랍니다.

인증 및 접근 권한 관리

인증 및 접근 권한 관리(IAM)은 모든 정보 보안 프로그램을 구성하는 근본적인 요소로, 사용자들의 상호 작용이 가장 많은 보안 영역이기도 합니다.

인증 및 접근 권한 관리는 기업 리소스자원에 대한 접근을 관리하는 지침입니다.

과거에는 IAM이 접근 권한 관리 및 접근 권한 관련 컴플리언스 니즈를 뒷받침하는 역량을 육성하는데 주력했습니다. 솔루션은 대개 기술 공급에 주력하고 채택도 효과적이지 못했습니다.

또한 높은 비용을 초래하고 가치 창출도 제한적이었습니다. 기업들은 대개 컴플라이언스 관련 수요에 대응하는데 어려움을 겪었으며, 강구된 솔루션은 매우 제한적인 애플리케이션과 시스템을 관리하는데 활용되었습니다.

리스크와 비용을 줄이고, 운영 효율성을 개선할 수 있도록 설계된 중앙집중화되고 표준, 자동화된 인증 관리 서비스는 요원해보였습니다. 많은 조직들은 이제 컴플라이언스 요건을 이해하거나 준수하는 상황입니다. .

컴플라이언스는 여전히 IAM 이니셔티브를 이끄는 중요 동인이면서도 자격 관리 및 합리적인 접근 권한 통제 역량에 주력하는 리스크 기반의 프로그램으로 진화하고 있습니다.

IAM 생명 주기 단계

인증 및 접근 권한 허가에 대한 관리를 다단계로 나눌 수 있음

IAM 생명 주기 도표는 사용자들이 비즈니스 팀에 합류하고, 업무 수행에 필요한 툴과 자산에 대한 접근 권한을 확보하는데 거치는 단계를 보여줍니다. 또한 조직내 직원의 이동에 따라 역할이 분리 혹은 변경되면 접근 권한이 취소, 변경하여 적절한 접근 권한을 유지할 수 있는 단계를 포함합니다.

중요 IAM 역량

IAM 혁신 계획 수립시, 아래의 권고된 역량이 포함되록 확인합니다.

  • 룰 마이닝 툴을 활용하는 업무 역할 또는 애플리케이션 접근 매트릭스
  • 자동화된 작업흐림 기반의 접근 권한 요청 및 승인 프로세스. 작업 역할 또는 애플리케이션 접근 매트릭스 및 업무 분리 확인을 활용.
  • 자격 조건 관련 웨어하우스 솔루션
  • Proxy 솔루션, 중앙 인증 (애플리케이션, 호스트, 데이터 베이스층)
  • 리스크 기반의 인증 솔루션
  • DLP, 보안 정보, 사건 관리와 통합하기 위해 데이터 분석 및 행동 분석 서비스를 파악
  • HR, 애플리케이션 담당자, 정보 보안, IAM 이해관계자를 포함하는 데이터 및 접근 관리 프로세스 거버넌스 프로그램
  • 연합 솔루션
  • 논리적로직 보안과 물리적 보안을 연합하는 새로운 솔루션
  • 미래의 확장성 요건을 염두에 둔 솔루션 설계

데이터 보호 및 개인 정보

EY의 데이터 보호 및 개인 정보 서비스는 조직 차원에서 내부 사용자들의 활동에 기인하는 데이터 위반을 파악하고 예방하는 프로세스 및 툴을 배치할 수 있도록 지원합니다.

데이터 손실 예방 리스크 평가는 조직의 민감 데이터의 이탈, 보호되지 않는 네트워크 공유/데이터 저장소에 저장된 민감 데이터 등 고객 환경 내에서의 데이터 손실에 대한 구체적이며 실제적인 사례를 제공합니다.

개인 정보 혁신 서비스는 조직이 비즈니스에 영향을 주는 글로벌 규제를 준수하면서 개인 정보에 대한 원활한 흐름을 가능하게 하도록 지원합니다. 제공되는 서비스는 개인 신상 정보 도난, 브랜드 및 평판 평판훼손, 소송, 규제 행동, 글로벌 컴플라이언스, 직접 재무 손실, 시장 가치 상실, 소비자 및 비즈니스 파트너 신뢰도의 손실 등 개인 정보 보호 관련 도전 과제를 해결하는데 도움이 될 것입니다.

오퍼링의 예 서비스 오퍼링

  • 데이터 손실 예방 평가
  • 데이터 보호 프로그램 평가
  • 개인 정보 보호 평가 및 혁신

비즈니스 회복성

기업들은 EY의 접근 방법을 활용하여 조직의 보호 및 개선에 있어 필수적인 4가지 영역에서의 회복성을 진단합니다.

비즈니스 회복성 서비스는 비즈니스 차질을 경험한 중요 비즈니스 부서의 지속성 (직원, 프로세스, 기술의 회복 포함)을 위해 최적화된 방식으로 리스크 기반의 적극적인 접근법을 제공하는 리스크 기반의 비지니스 연속성 관리(BCM)과 재난 회복 접근법으로 구성됩니다.

오퍼링의 예 서비스 오퍼링

  • 비즈니스 회복성 프로그램 평가
  • 비즈니스 영향 분석
  • 비즈니스 지속성 계획, 재난 회복 계획, 위기 관리 계획 수립

EY

글로벌 사고 방식과 협업적 문화를 갖춘 다양한 컨선털트와 산업 전문가로 구성된 다양성이 반영된 팀입니다.

사이버 보안에 대응하기 위한 내부적 역량과 자원을 보유하는 것은 매우 드문 일입니다. 따라서 EY에서는 고객사의 장기적인 사이버 보안 역량을 제고하기 위해 조직 내 인력을 교육, 개발, 배치합니다.

고객사의 이슈를 이해하기 위해 노력하고, 고객사의 비즈니스 발전을 위해 보다 통찰 있는 질문을 합니다.

질문 예시:

  • 미래의 사이버 보안 운영 모델을 설계하기 위해 아이디어나 리소스 자원 측면에서 어떠한 도움이 필요하십니까?
  • 지적재산권 보호와 관련하여 어떠한 지원이 필요하십니까?
  • 인터넷과 관련있는 기술 중 새롭게 나타나서 조직에 위협이 될만한 새로운 인터넷 연계된 기술은 무엇입니까?
  • 고객사가 기밀로 신제품 개발을 진행하였으나 경쟁사가 먼저 출시한 상황을 경험하였습니까?
  • 개도국개발 도상국에서 스마트 미터링을 어떻게 도입하고 보안성을 유지하고 있습니까?

Contact us

Latest thinking