안녕하세요
사내 보안 솔루션 도입에 대한 로드맵(?)을 구상 중에
다양한 의견을 참고해 보고자 용기내어 글 올려 봅니다.
그간 외적인 회사의 성장에 집중해 온 경영 방침에 따라
규모에 비해 처참한 수준의 IT 인프라와 보안 수준을 보유하고 있습니다.
매출 600억대 제조업이며 윈도우 등 필수 제품은 정품을 구매 하였으나 백신 과 방화벽 외 아무런 보안 제품도 없습니다.
내부정보 유출차단 과 문서 보안 서버 보안 그리고 자산관리 정도를 순차적으로 적용한다 했을때
어떤식으로 순서를 정하고 로드맵을 그려야 중복투자 없이 비교적 깔끔한 그림이 나올 수 있을까요?
회사가 지방 외진곳에 있다보니
계획수립단계에서 부터 업체를 부르기도 매우 조심스럽고
마땅히 정보를 얻을 곳도 없어 어려운 점이 많네요
모쪼록 많은 조언 부탁드립니다.
13개의 답변이 있습니다.
저희 회사의 경우 시만텍 백신을 사용중이며 Symantec Ecdpoint Protection의 경우 매체 제어에 대한 기능이
포함되어 별도의 투자비용없이 매체제어을 시행하고 있으며 추후에 시만텍 DLP와 연계 예정입니다.
투자 금액이 부담이 된다면 위의 방법도 좋은 방법이라 생각되어 의견드립니다.
요즘 솔루션들이 통합으로 가면서 기능이 자꾸자꾸 많아지다보니 어쩔수 없이 중복투자(?)처럼 되는 경우도 있더라구요
백신-방화벽-자산관리-문서중앙화 순으로 진행했습니다
보안이라는 게 참 많은 제품이 있고, 목적이나 용도가 다양합니다.
또한 담당자 입장에서는 트러블이 많아서 손이 자주가는 분야죠.
일도 많은데...보안 강조하면 담당자 죽어납니다. 안할 수도 없고,
먼저, 기업에서는 제일 중요한 부분이 어느부분인지 고려해서 도입하는게 좋을 듯합니다.
특히 임원분들의 관심이 큰쪽을 아무래도 강조하는 것이 좋습니다.
생산, 운영이 중요한 곳은 생산운영 관리쪽 시스템 보안으로,
설계, 디자인이 중요하면 데이터 보안쪽으로,
재해복구도 보안입니다...ㅎㅎ
프로필보시구 연락주시면 기 경험치 자료 보내드립니다.
안녕하세요.
저도 몇자 보태서 적어봅니다.
보안 참어렵죠. 솔류션이네, 방화벽이네 백신이네 등등
저라면 우선 규정을 세울거 같아요.
우리회사에서 기본적으로 지켜야할 기본 보안 정책을 수립하고, 정말 필요한, 지켜야할정보가 무엇인지 파악이 되실거같아요.
그리고 나서 각 단계 별로 지킬거에 대한 수준을정하고 그 이후에 솔류션 도입과 보안정책 수립등에 대한 계획이 어느정도 보이실거 같네요.
도움이 되시길 빕니다.
감사합니다.
사전미팅을 통해, 정확한 요구분석이 먼저라고 판단됩니다..
번거러우셔도 ,아래의 이메일로 , 미팅 가능하신 일정을 주시면, 연락드리고 방문드리겠습니다.
검토부탁드립니다.
감사합니다.
*!!! 관리자입니다. 지식나눔없는 단순 홍보는 제한됩니다. 따라서 메일 주소는 삭제하였으니 이점 양해 바랍니다. 연락처 직접 노출은 내 프로필과 홍보게시판을 이용해 주세요 ^^*
어떤 솔루션을 도입할 지 먼저 결정하기 보다는 기존 시스템과 자산을 먼저 분석해야 할 것 같습니다.
신규로 도입 될 보안솔루션이 시스템에 미칠 영향과 이를 통해 어떤 자산을 보호해야할지가 우선 설정되야
하기 때문이죠..
가장 쉽게 PC에 다양한 에이전트가 설치돼 있다고 가정하면 여기에 또 다시 에이전트 방식의 보안솔루션이
설치 될 경우 업무효율성이 얼마나 떨어질 것인가 먼저 고려되야 하겠죠.
또한 최악의 인프라 보유 상황에서 문서보안을 위한 DRM, 문서중앙화등을 도입하였을때 과연 퍼포먼스를
제대로 발휘할 수 있는가도 문제겠죠..
그 이후 보안솔루션을 도입하는 목적 및 운영하는 기준인 보안정책의 수립과 지속적인 관리체계수립이 선행되고 그에 따른 사용자 보안규정이 확립되어야 합니다.
다소 어려운 내용이기는 하지만 상기 내용 없이 솔루션 구축만이 우선되면 실제로 제대로 운영, 관리 하지 못하는
경우가 태반입니다.
더불어 상기 내용이 기반이 되어야 장기적으로 명분을 가지고 추가적인 솔루션 도입 및 증설 등을 진행하는데 있어 임원 및 이해당사자들을 쉽게 이해시킬 수 있을 것 같습니다.
솔루션 도입의 최대의적은 대표이사 및 임원들이죠...
저희 회사와도 비슷하네요. 매출억 800억
정품프로그램 . 저흰 비싼 카티아. 올해도.2억치 추가 구매했습니다. V3
와치카드 방화벽.
이렇게 구성되어 있습니다.
설계 자료가 우보에서 제일로 중요한 자료지만, 을인관계로. 업체로 수시로 메일로 보내고
집에서도 수시로 작업을 하고 있어서..
자료 유출에 대한 보안 작업을 하면 설계실에서 너무 불편해 하지 않을까 해서
도입을 검토하지 않고 있습니다.
그것보다. 외부에서 해킹을 제일로 걱정스러워. 사설아이피로 서버를 운영중입니다.
저희 회사는 ERP PDM 에 8억정도 투자한 회사라, IT 에 인색하지는 않아서, 좋은 보안 제품이 있다면.
저희 회사또한 검토하고 싶네요.
같은 고민을 하고 있어서,
바쁘실텐데 너무 도움이 되는 답변 주셔서 진심으로 감사합니다. ^^ 고민은 조금더 깊어졌지만 머릿속은 조금씩 정리 되어가는 느낌이 드네요~
보안에 대한 우선순위.. 관리적보안 혹은 물리적인 보안을 할것인지.. 아니면 기술적인 보안위주로 갈것인지..
기술적인 보안을 실시한다면.. 문서보안이나 아니면 매체보안, 문서중앙화 등 생각을 해보셔야할것 같습니다.
보안도 너무 범위가 많다보니.. 무엇부터 해야할지 갑갑합니다... 저희도 매번 갑갑하지요^^...
기본 방화벽과 백신이 되어있다면...
우선 1차적으로 보안정책(규정 및 매뉴얼 등)과 보안교육을 실시를 하는것이 좋을것 같습니다.
그리고 물리적으로는 머 당연히 되어있겠지만 출입보안 및 CCTV 그리고 카메라무단방지스티커 등 도입이 필요할것 같구요.
기술적보안으로는 무엇에 중점을 주느냐에 따라 틀리지만.. 좀 저렴한 문서보안을 추천드립니다. 문서보안을 도입하고나서 매체보안도 진행하시고.. (저희회사는 반대로 했습니다.. 다른분들은 매체하고 문서하는것이 좋다고 하더라구요.. 제 경우는 좀 반대라서^^;;) 그리고 서버보안(DB암호화 등), 네트워크 보안을 도입하시면 될것 같습니다.
그리고 재해방지를 생각해서 서버 및 클라이언트 백업에 대해서도 한번 생각해보셔야 할것 같습니다.
처음 로드맵을 잡는것은 좀 어렵지만.. 몇번 해보시고.. 실제 실행해보시면 재미있으실겁니다..
(물론 투자를 지속적으로 해주는 조건하에^^;;;)
처음으로 답변을 달아봅니다. 저는 (주)인사이드프로 에서 컨설팅 팀장을 맡고 있습니다.
우선 보안솔루션을 구축하실 때는 단순히 해당 솔루션만 구매한다고 하여서 이슈가 해결 되지는 않습니다.
우선은 발생 가능한 보안취약점 등에 대해서 충분히 사전 조사가 우선 되어야 하고, 보안솔루션 도입을 통해
업무상의 효율성이나 생산성을 심대하게 저해할 요소는 없는지도 검토가 이루어져야 합니다. 또한 네트워크
구성 등도 적합하게 구성되어 있는지 구축에 장애가 될 만한 요소가 없는지도 사전에 살펴 보는 것이 중복 투자나
반쪽 짜리 사업이 되는 것을 방지할 수 있습니다.
그리고 업체를 부르기가 조심스럽다고 하셨지만 부담스럽더라도 요청하시는 것이 좋을 듯 싶습니다. 또한 솔루션
밴더보다는 보안사업에 대해 전문성이 있는 SI업체를 만나시는 것을 추천 드립니다. 솔루션 밴더의 경우 자사
제품을 반드시 판매해야 하는 입장에서 고객에게 객관적인 얘기를 하기도 힘들고 고객이 시장 상황을 잘 모를
경우 바가지 쓰기 일쑤입니다. 전문 업체와 고민해서 잘 짜여진 RFP 구성하여서 진행하셔야 가격 거품도 뺄 수
있고 분쟁 없이 사업이 잘 마무리 될 수 있습니다.
지방 어디신지는 모르겠지만 주위에 좋은 업체가 있다면 불러서 상담을 한 번 진행하시는 것이 좋을 것 같고요.
내부 네트워크 구성이 어떤지 모르겠네요...
일단은 방화벽 도입도 검토해 보시기 바랍니다.
저희 회사도 보안의 일환으로 도입하였고 상당히 만족하고있습니다.
안녕 하세요. 오픈아이티 입니다 . 다른 고수님들이 답글을 주실것 같아 눈팅 했는데 답글이 없어 달아봅니다.
나열하신 솔루션은 서로 상호 보완 관계를 할 수 있는 제품이라 어느 것이 우선 순위로 도입할 것인가를 가이드 드리기 어렵습니다.
다만 말씀 하신 솔루션들의 구축이 쉬운 순서를 본다면 제 기준으로는 서버보안 문서보안 유출차단 순서가 될것 같습니다
보안의 뜻을 보면 안전을 유지함이라고 합니다.
방지는 어떤일이 일어나지 못하게 만듬 이라는 뜻입니다. 둘다 어렵지만 유지하는것이 일어나지 못하게 만드는 것보다는 쉽지 않겠습니까?
그리고 프로젝트의 구축의 쉽고 어려움을 따지는 또하나는 구축 범위 입니다. 위의 세가지를 본다면 보호 대상이 한곳 두곳 세곳이상의 멀티 포인트가 되는 대상들로 나열이 됩니다.
포인트가 많을수록 더 많은 시간과 비용이 들수 밖에 없습니다.
세가지 솔루션 모두 중복되는 기능이 있을 것입니다. 어느 것을 순차적으로 도입하냐를 따지기 전에 어느 부분을 제일 먼저 보호 해야하는가에 대한 정확하고 자세한 대상 선정이 우선적으로 선별한 후 그에 맞는 솔루션을 검토 하는것이 더 좋은 선택이 될것 같습니다.
왜냐하면 서버보안 한가지만 보더라도 수십가지 종류의 솔루션이 있고 기능이 다르기 때문입니다. 하나의 필수 솔루션을 도입후 2차 보안 소루션 도입후 보호 영역을 상호 보완할 수 있는 제품을 선택하여 보호 영역을 확대하시는 것이 좋을 것 같습니다.
잡설이지만 도움이 되었으면 합니다.