빠르게 변화하는 오늘날의 디지털 세상에서 신뢰는 그저 중요한 요소가 아니라 필수적인 요소입니다. 이 블로그에서는 Ciena의 보안 거버넌스, 위험, 규정 준수 및 고객 신뢰 글로벌 책임자인 Ashley Wyand가 Ciena 보안팀이 선제적인 보안 조치와 업계 최고 수준의 프레임워크, 투명한 커뮤니케이션을 통합하여 고객의 기대치를 뛰어넘고자 노력하는 방법에 관해 이야기합니다.
이 블로그 시리즈 첫 편에서는 Ciena의 고객과 파트너가 기대하고 있으며, 마땅히 받아야 할 보안 기반을 제공하기 위해 저희가 어떤 접근 방식을 취했는지 살펴보았습니다. 여기서 Ciena의 CISO(최고 정보 보안 책임자)인 Ryan Hammer는 보안과 규정 준수가 Ciena 운영의 근간이라는 점을 강조했습니다. Ciena에서는 고객이 최첨단 네트워킹 솔루션과 더불어 자사의 데이터와 시스템, 파트너십이 Ciena에 의해 안전하게 보호받고 있다는 확신을 얻고 있다는 점을 인지하고 있습니다.
보안에 대한 약속
신뢰는 모든 확고한 고객 관계의 기반이며, Ciena 보안 팀은 선제적이고 역동적인 보안 프로그램을 유지하는 것을 최우선 과제로 삼았습니다. Ciena의 철저한 규정 준수 접근 방식은 고객 데이터, 시스템 및 이익을 보호하면서 다양한 규제와 계약, 산업 표준을 통합하도록 고안되었습니다.
이러한 목표를 달성하기 위해 강력한 보안 통제 환경을 만들고, 유지하며, 지속적으로 개선하는 것이 임무인 전담 보안 규정 준수 준비팀을 설립했습니다. 본 팀의 임무에는 다음과 같은 활동이 포함됩니다.
- 위험 관리 기반의 정보 및 데이터 거버넌스 주도
- UCF(통합 제어 프레임워크) 관리 및 연동
- Ciena 고객 신뢰 센터 개발 및 유지
- 고객 및 파트너 CISO, 규제 기관 및 산업 기관과의 관계 강화
강력한 정보 거버넌스 = 강력한 데이터 보호
정보는 Ciena의 소중한 자산 중 하나이며, 당사는 정보를 물리적 인프라와 같은 수준으로 관리합니다. Ciena의 정보 거버넌스 프로그램은 고객 정보, 직원 기록, 지적 재산, 운영 문서를 포함한 모든 데이터를 전체 수명 주기 동안 효과적으로 관리하고 저장하고 보호하도록 설계되었습니다.
Ciena는 정보를 생성, 분류, 접근, 공유, 보존 및 안전하게 폐기하는 방법을 안내하는 명확한 정책과 프로세스를 가지고 있습니다. 이러한 거버넌스 활동은 글로벌 규제 요건, 업계 표준 관행, 그리고 고객 계약에 부합하며, 이를 통해 Ciena의 접근 방식이 전반적으로 일관성 있고 규정을 준수하며 안전하게 유지되도록 보장합니다.
Ciena의 거버넌스 관행에는 다음이 포함됩니다.
- 데이터 분류 프레임워크를 통해 민감한 정보를 제대로 분류하고 처리하도록 보장함
- 데이터 보존 일정을 적용하여 관련 법률과 규정, 계약 요구 사항을 준수함
- 엄격한 접근 제어를 통해 적절한 인원이 적절한 기간에 접근 권한을 보유하도록 함
- 안전한 스토리지 및 전송 프로토콜을 사용하여 무단 접근의 위험을 줄임
통합 제어 프레임워크: Ciena 보안의 중추
보안은 고객들의 최우선 사항입니다. 그렇기에 Ciena는 규제와 계약, 업계 표준 전반에 걸쳐 보안 기대치를 충족하고자, 나아가 그 기대치를 능가하고자 UCF(통합 제어 프레임워크)를 개발했습니다.
UCF는 Ciena 보안 준수 프로그램의 중추로서 다음과 같은 세계적 수준의 표준 및 프레임워크 준수 여부를 추적하고 관리하고 보고하는 데 도움을 줍니다.
- ISO 27001/2
- NIST-CSF(NIST 사이버 보안 프레임워크)
- CIS(인터넷 보안 센터) v8 제어
본질적으로 UCF는 '프레임워크의 프레임워크'이며, 1,200개 이상의 보안 제어를 하나의 통합된 시스템으로 묶은 SCF(보안 제어 프레임워크)를 기반으로 구축되어 있습니다. 이를 통해 여러 요구 사항을 효율적으로 관리하고, 중복 작업을 방지하며, 하나의 규정 준수 활동에서 얻은 증거를 유사한 다른 의무를 충족하는 데 활용할 수 있습니다.
UCF의 모든 제어는 정책에 부합하여 운영되도록 하며, 정책에서 벗어난 부분이 있으면 경고해 주는 체크포인트이자 가이드레일 역할을 합니다.
규정 준수를 지원하는 기술
이처럼 복잡한 환경을 관리하기 위해 Ciena에서는 업계 최고 수준의 GRC(거버넌스, 위험 및 규정 준수) 플랫폼을 사용합니다. Ciena는 이 클라우드 플랫폼을 사용하여 모든 UCF와 더불어 다음과 같은 사항도 관리합니다.
- 보안 위험 관리
- 정책 예외 처리
- 개인 정보 보호 (Ciena 법무팀과 협력)
이러한 도구 사용과 프로세스를 통해 규정 준수 활동을 원활하게 조직, 추적 및 관리할 수 있으며, 이는 진화하는 요구 사항에 빠르게 적응하는 데 도움이 됩니다.
가장 중요한 문제에 집중하기
Ciena에는 수많은 제어 수단이 있지만, 당사는 다음 세 가지 카테고리의 권위 있는 출처를 기반으로 Ciena와 가장 관련성이 높은 문제에 집중합니다.
- 규제 요구 사항: GDPR, SOX, SEC 사이버 보안 규칙 및 통신 관련 보안법을 포함한 50개 이상의 글로벌 규정
- 계약상 의무: 계약서에 포함된 고객별 요구 사항(종종 Ciena의 규정 준수에 대한 감사 권한 포함)
- 산업 표준: ISO 27001/2, NIST-CSF, CIS v8과 같이 세계적으로 인정받는 기준
이러한 선별적인 접근 방식을 통해 Ciena는 고객과 당사의 비즈니스에 정말 중요한 제어에 집중할 수 있게 됩니다.
고객의 요구를 이해한다는 것은 고객의 요구를 경청하고 대응하며 기대 이상의 성과를 보이는 것을 의미합니다. 바로 여기서 Ciena의 보안 고객 신뢰 및 영업 지원팀이 활약합니다. 이 전담 그룹이 하는 일은 다음과 같습니다.
- 고객 문의 및 실사 요청에 대응
- 자세한 보안 설문지 및 RFP/RFI 작성
- 기업 보안 위험 평가 수행
- 기술 백서, 온라인 세미나 및 기타 교육 콘텐츠 제작
- Ciena.com에서 공개적으로 접근할 수 있는 보안 신뢰 센터 관리
2022년에 출범한 이후로 이 팀은 Ciena의 보안 태세에 대한 투명성을 높이는 데 중요한 역할을 해왔으며, 그 덕분에 고객과 파트너는 실사를 더 쉽게 수행하고 Ciena의 역량에 대해 확신을 가질 수 있게 되었습니다.
규정 준수가 단순한 요구 사항이 아닌 경쟁 우위인 이유
규정 준수를 '필요악'으로 생각하는 사람도 있지만, Ciena 보안팀에서는 이를 전략적 동력으로 여깁니다. Ciena 규정 준수 프로그램은 다음과 같은 활동을 수행합니다.
- 감사 권한을 포함한 계약상의 고객 요구 사항 추적 및 충족
- ISO 27000과 같은 핵심 산업 인증 유지
- 잠재 고객 및 파트너에게 운영상의 우수성 시연
궁극적으로, 강력한 규정 준수 프로그램은 제조 및 R&D부터 영업, 마케팅, 기업 운영에 이르기까지 Ciena의 모든 부분이 보안에 대한 고객과의 약속을 이행하고 있다는 확신을 가지고 운영할 수 있도록 지원합니다. 이는 단순히 표준을 충족하는 것을 넘어 신뢰와 투명성, 보안 우수성에 대한 표준을 설정하는 것입니다.
함께 나아가기
Ciena는 투명성과 안정성, 보안을 통해 신뢰를 구축하기 위해 노력하고 있습니다. Ciena의 철저한 규정 준수 접근 방식은 정보 거버넌스부터 규정 준수 추적에 이르기까지 운영의 모든 측면이 가장 중요한 것, 즉 고객의 비즈니스를 보호하도록 설계되었음을 보장합니다. 철저한 규정 준수는 단순히 감사를 통과하는 것에서 끝나지 않습니다. 투명성, 신뢰성, 그리고 보안 우수성을 향한 노력을 통해 신뢰를 구축하는 것을 목표로 삼습니다.
Ciena의 보안 프로그램이 여러분의 성공을 지원하는 방식에 관한 자세한 내용을 살펴보려면 Ciena.com의 보안 신뢰 센터를 방문하거나 지금 바로 보안 고객 신뢰 및 영업 지원팀에 문의하세요.
Ciena 보안 규정 준수 준비 관리자인 David Moses가 본 블로그 게시물 작성에 기여했습니다.