조직의 네트워크 보안 책임 정의

공유 책임 모델외에도 조직 내에서 클라우드 보안에 대한 개별 책임을 정의하고 모든 사람이 요구 사항을 숙지하도록 하는 것이 중요합니다. 단순히 "보안은 모두의 책임입니다"라고 말하는 것만으로는 충분하지 않으며, 다소 진부한 표현일 수도 있습니다.

경영진 리더십 팀 은 클라우드 보안 노력을 후원해야 합니다. 오늘날의 규제 환경에서는 임원 후원이 사실상 의무화되어 있습니다. 규제 위반이 비즈니스에 미칠 수 있는 잠재적인 재정적 영향은 데이터 유출만큼이나(또는 그보다 더 심각할 수도 있습니다) 치명적일 수 있습니다. 금전적 처벌 외에도 많은 규정에는 기업 임원 및 기타 기업 수탁자에 대한 형사 처벌이 포함되어 있습니다.

경영진이 솔선수범해야 합니다. 회사 정책에 따라 모바일 디바이스의 회사 데이터를 암호화해야 하고 SaaS 애플리케이션에 액세스하려면 다중 요소 인증(MFA)이 필요한 경우, 임원에 대해 '일회성' 예외를 허용해서는 안 됩니다. 경영진은 모범을 보이는 것 외에도 보안 및 규정 준수 이니셔티브에 적절한 지원과 리소스를 확보하고 전략적 비즈니스 결정이 조직의 전반적인 보안 및 규정 준수 태세에 미치는 영향을 항상 고려해야 합니다.

보안 및 규정 준수 팀( )은 비즈니스를 안전하게 지원할 수 있는 적절한 정책을 정의하고 시행해야 합니다. 보안 및 규정 준수 팀은 비즈니스 목표와 목적을 이해하고 이에 맞춰야 하며, 생산성과 효율성에 걸림돌이 되어서는 안 됩니다.

현업 관리자 는 조직의 클라우드 보안 및 규정 준수 거버넌스가 각자의 비즈니스 영역 내에서 이해되고 준수되도록 할 책임이 있습니다. 비즈니스 요구 사항이 진화함에 따라 현업 관리자는 보안 팀과 파트너 관계를 맺고 새로운 도구 도입에 따른 위험과 수익을 평가해야 합니다. 단기적인 비즈니스 목표나 생산성 목표를 달성하기 위해 승인된 SaaS 애플리케이션만 사용해야 한다는 요구 사항과 같은 보안 정책을 우회하는 행위는 절대로 용납되어서는 안 됩니다. 대신 보안 도구는 비즈니스 요구 사항에 맞게 조정되어 원하는 사용자 행동을 유도해야 합니다.

또한 보안 및 규정 준수 팀과 협력하면 개별 비즈니스 라인이 사일로화된 클라우드 기술 및 제품으로 진공 상태에서 운영하는 대신 조직이 공급업체 또는 클라우드 제공업체와 맺고 있는 기존 관계를 활용하여 보다 경제적으로 서비스를 조달하고 필요할 때 신속하게 지원을 받을 수 있도록 보장할 수 있습니다.

DevOps 팀( )은 소프트웨어 프로젝트와 업데이트를 신속하게 제공하고 출시 시간을 단축해야 한다는 끊임없는 압박을 받고 있습니다. 이러한 요구 사항을 충족하려면 프로젝트 시작 시 보안 요구 사항을 정의하고 이해해야 하며, 이상적으로는 애플리케이션 배포 워크플로에 통합해야 합니다. 이러한 방식으로 개발 팀은 보안 취약점 및 규정 준수 위반을 해결하기 위해 자주 중단하고 재설정할 필요 없이 지속적으로 작업을 진행할 수 있습니다.

개인 최종 사용자( )는 클라우드 보안 및 규정 준수와 관련하여 기업 거버넌스를 따라야 할 책임이 있습니다. 클라우드에 내재된 위험을 이해하고 맡겨진 데이터를 마치 자신의 개인 데이터처럼 안전하게 보호해야 합니다.