일반적으로 PCI DSS, ISO, SOX, NIST 등 컴플라이언스 지침들은 표준 부합에 도움이 될 수 있는 적절한 기술 점검사항들을 권장하지 않고 요구되는 결과들만을 정의하고 있습니다. 하지만 목표 자산의 보안 설정을 검증하기 위해 어떤 테스트가 필요한지도 모르는 상황에서 어떻게 표준과의 컴플라이언스를 확신할 수 있겠습니까?
가령, 안전한 데이터 전송을 보장하고, 정보에 대한 접근을 제한하며, 고객과 직원 정보의 무결성을 보호하는 기술 정책과 프로세스를 실행하고 검증해야 하는데, 이러한 요구사항들에 어떻게 실제로 부합할지를 기업 스스로가 해결해야 하는 상황이라고 합시다.
예를 들어, PCI DSS 3.0 요구사항: PCI DSS 2.2.2의 경우, 필요한 서비스, 프로토콜, 데몬 등을 시스템 기능에서 요구하는 바대로 활성화 해야 합니다.
이 경우 요구사항은 명확하지만, PCI DSS 요구사항에 따라 인프라 전체에 걸쳐 안전한 서비스, 프로토콜, 데몬만 활성화되고 불필요하고 안전하지 않은 서비스들은 모두 비활성화 된다고 어떻게 확신하시겠습니까?
컴플라이언스의 간편화
컴플라이언스를 많은 시간과 수고를 요구하는 작업으로 생각하는 기업들을 위해 Positive Technologies는 필요한 표준과의 부합을 증명하는 데 필요한 도구들을 제공하면서 보안을 적극 강화하는 효과적인 접근방식을 제공합니다.
Positive Technologies는 컴플라이언스가 일상적인 보안 프로세스의 일부가 될 수 있도록 보안 컨트롤을 자동화하여 하이레벨 보안 지침을 실행 가능하고 검증 가능한 상태로 만듭니다.
기업에서 지정한 컴플라이언스 표준에 따라 시스템 전체의 각 관련 기술 파라미터들을 점검함으로써 해당 규정에 부합하거나 그러지 못한 영역들을 식별합니다. 자동 분석이 가능한 컨트롤이 많을수록 위험을 더 신속히 제거할 수 있기 때문에 감사 결과에 만족하게 됩니다. 뿐만 아니라, 컴플라이언스 검증은 일회성 이벤트가 아닌 지속적인 프로세스가 되어 다음과 같은 결과를 보장할 수 있습니다.
- 기존 인프라 내의 최소 보안 설정만 실행되고 변경되지 않습니다.
- 안전하지 않은 기본 설정이 포함된 새로운 시스템을 신속하게 식별합니다.
- 운영체제와 애플리케이션의 자동 업데이트가 보안 상태를 변경하지 않습니다.
네트워크 보안 분야의 세계적 권위를 인정 받고 있는 Positive Technologies는 SOX, ISO, PCI-DSS, 3GPP, NIST, NERC, HIPAA 등 다양한 데이터 보안 지침들과의 컴플라이언스를 돕습니다.
기업들은 글로벌 규정이나 산업 규정 이외에도 지역이나 내부 기업 표준과도 부합해야 합니다. Positive Technologies는 기업의 특정 개별 요구사항들을 충족시키기 위한 맞춤형 벤치마크와 서비스를 제공합니다.
컴플라이언스 증명에 필요한 기술 점검 사항들을 확인하고, 보안을 강화하십시오. 컴플라이언스는 일상 비즈니스 프로세스의 일부가 되어야 합니다. 변경사항들이 보안을 위협하는 경우를 확인하고, 보안사고 대응 및 복구 시간을 단축하며, 컴플라이언스 관련 비용을 절감할 수 있습니다.
이것이 바로 컴플라이언스 관리에 대한 스마트한 접근방식입니다.