칼럼 | 현직 CISO들이 언급한 ‘취약점 관리 모범 사례’ 10가지

한 CISO는 조직이 이를 한 단계 더 발전시켰다면서, 기업 인수 후 보안팀이 미리 준비한 프로그램을 통해 인수한 회사의 취약점 관리 프로그램을 기존 모델에 맞게 변환했으며, 진행 상황을 측정할 수 있는 지표까지 갖췄다고 설명했다.

4. 보안에 필요한 데이터 정의

명확히 하자면, 이는 처음부터 기술 목록을 작성하는 작업이 아니다. CISO들은 먼저 보유한 데이터를 평가하고 필요한 데이터와 비교 분석한다. 이 지식을 바탕으로 부족한 부분을 채울 수 있는 적절한 기술을 찾도록 팀원들에게 임무를 할당할 수 있다.

5. 취약점 관리에 통합 기능 내장

이 프로젝트 역시 기술보다는 학술 프로젝트에 가깝다. 먼저 누가 어떤 데이터를 필요로 하는지 살펴보고, 그 데이터가 어디서 오는지 조사하는 데서 시작한다. 개인이 올바른 데이터를 받으면 그것으로 무엇을 하는가? 모든 것이 순조롭게 진행된다고 가정할 때, 데이터 분석은 자동 또는 수동 작업을 트리거하는가? ‘들어가는’ 요소와 ‘나오는’ 요소를 모두 매핑한 후, CISO들은 종종 벤더 파트너를 초대해 살펴보게 한다. 목표는 무엇이어야 할까? 설계를 현실로 바꾸는 데 필요한 커넥터, API 및 데이터 형식을 확보하는 것이어야 한다.