경험 기반 솔직한 접근
보안 리스크 평가를 수행할 때는 자산 식별부터 시작합니다. 어떤 자산을 보호할 것인지가 명확해야 이후 단계가 방향을 잃지 않습니다. 인턴 시절 내부 시스템 리스크 평가 작업을 보조하며, 정보 자산 목록표를 작성하는 것이 평가의 기반임을 배웠습니다. 두 번째로는 각 자산에 대한 위협과 취약점을 매핑합니다. 위협은 외부 공격자가 될 수 있고, 취약점은 패치가 안 된 소프트웨어일 수 있습니다.
두 가지가 맞물릴 때 실제 리스크가 됩니다. 세 번째로는 리스크의 발생 가능성과 영향도를 기준으로 우선순위를 매깁니다. 모든 리스크를 동시에 처리할 수 없기 때문에, 가장 큰 피해를 낳을 수 있는 것부터 통제 방안을 적용하는 것이 효율적입니다. 마지막으로 통제 조치 후 잔여 리스크를 재평가하는 것도 평가의 일부입니다.