DORA, NIS2, GDPR과 같은 규제로 인해 ID 거버넌스가 주목받고 있습니다. 하지만 여전히 많은 조직이 거버넌스를 보안의 전략적 원동력이 아닌 규정 준수 의무로 취급하고 있습니다.
감사를 통과해도 여전히 신원 기반 공격에 취약할 수 있다는 어려운 진실이 있습니다. 그 이유는 컴플라이언스는 종종 후방에 초점을 맞추는 반면 공격자는 전방에 초점을 맞추기 때문입니다.
조직을 진정으로 보호하려면 ID 거버넌스가 진화해야 합니다. 지속적이고 맥락에 맞아야 하며 무엇보다도 위험을 인식해야 합니다.
기존의 거버넌스 프로그램은 액세스 권한을 가진 사용자를 추적하고, 정기적인 검토를 수행하고, 감사자를 위한 기록을 보관하는 등 통제력을 입증하는 데 중점을 둡니다.
그러나 이러한 제어는 수동으로 이루어지고 보안 시스템과 연결되지 않으며 실시간 위험을 인식하지 못하는 경우가 많습니다. 이는 위협을 놓치는 지름길입니다.
직원이 역할을 변경하여 중요한 시스템에 액세스한 다음 그 액세스 권한을 사용하여 데이터를 유출하는 경우를 생각해 보세요. 거버넌스 프로그램이 분기별로만 액세스 검토를 수행한다면 몇 달 동안 이러한 남용을 감지하지 못할 수도 있습니다.
민첩한 위협이 존재하는 세상에서는 정적 제어만으로는 더 이상 충분하지 않습니다.
ID 보안 태세 관리(ISPM) 는 조직이 이러한 위험에 대비할 수 있도록 설계된 새로운 사이버 보안 프레임워크입니다.
- ISPM은 클라우드 앱, 인프라, 레거시 환경을 포함한 모든 시스템에서 모든 액세스를 실시간으로 파악하는 것에서 시작됩니다. 또한: 사용자 위험 프로필에 따라 액세스 검토 우선순위 지정
- 독성 조합 및 업무 분리 위반을 즉시 사전 예방적으로 신고
- 행동 신호와 컨텍스트(예: 위치, 디바이스, 접속 시간)를 사용하여 거버넌스 결정에 정보를 제공합니다.
여기에서 RSA 거버넌스 및 수명 주기 빛납니다.
RSA는 규정 준수 의무를 충족하는 데 도움이 될 뿐만 아니라 ISPM 원칙을 활용할 수 있도록 지원합니다:
- 액세스 인증 시간 최대 60% 단축
- 감사자보다 먼저 정책 위반 감지
- 분기별 검토를 기다릴 필요 없이 고위험 액세스 권한 자동 취소
디지털 운영 복원력 법(DORA) 및 NIS2와 같은 새로운 규정은 체크박스 규정 준수를 넘어서는 것입니다. 이러한 규정은 운영 연속성, 위험 완화, 선제적 사고 예방을 강조합니다.
이는 현대 거버넌스가 나아가야 할 방향과 완벽하게 일치합니다.
예를 들어, DORA에 따라 금융 기관은 보안뿐 아니라 복원력을 입증해야 합니다. 여기에는 올바른 액세스 제어가 마련되어 있는지, 거버넌스 정책이 운영 위험에 부합하는지 확인하는 것이 포함됩니다.
RSA를 사용하면 조직은 다음을 수행할 수 있습니다:
- 감사인 및 규제 기관을 위한 보고 자동화
- 하이브리드 환경 전반에서 최소 권한 액세스 적용
- 거버넌스 워크플로우를 보다 광범위한 위험 관리 목표에 맞게 조정하기
ID 거버넌스를 올바르게 수행하면 감사자를 만족시키는 데 그치지 않습니다. 안전한 비즈니스 성장을 지원하는 것입니다.
거버넌스를 보안 및 위험에 맞춰 조정함으로써 조직은 다음과 같은 이점을 얻을 수 있습니다:
- 공격 표면 최소화
- 내부 위협에 더 빠르게 대응
- 이해관계자, 규제 기관 및 고객과의 신뢰 구축
요컨대, 규정 준수는 결승선이 아니라 출발선입니다. 위험을 인식하는 ID 거버넌스는 경쟁에서 승리하는 방법입니다.
위험은 그 어느 때보다 높습니다. 신원 기반 공격이 증가하고 있으며 규제 당국도 이에 주목하고 있습니다. 이제는 거버넌스를 더 스마트하고, 더 빠르고, 오늘날의 위협 현실에 맞게 조정해야 할 때입니다.
RSA를 사용하면 규정 준수를 넘어 진정한 ID 복원력으로 나아갈 수 있습니다.
