Skip to main content
QUICK REVIEW

[논문 리뷰] Cyber Crossroads: A Global Research Collaborative on Cyber Risk Governance

Gregory Falco, Paul Cornish|arXiv (Cornell University)|2021. 01. 01.
Information and Cyber Security참고 문헌 5인용 수 1
한 줄 요약

이 논문은 의료 분야의 표준 치료법을 영감으로 삼아, 보편적으로 적용 가능한 비영리 사이버 표준 치료법—사이버 리스크 관리에 대한 거버넌스 프레임워크—을 제안한다. 56개의 글로벌 기관, 규제 기관, 보험사 및 전문가들의 통찰을 종합하여, 기술적 체크리스트를 뛰어넘고 산업 및 조직 규모를 초월해 일관되고 정당화 가능한 사이버 리스크 감시를 지원하는 실천 가능하고 이사회 수준의 거버넌스 프레임워크를 구축하였다.

ABSTRACT

Spending on cybersecurity products and services is expected to top 123 billion U.S. dollars for 2020, more than double the 55 billion U.S. dollars spent in 2011.1 In that same period, cyber breaches quadrupled. Organizations globally face increasing liabilities, while boards of directors grapple with a seemingly Sisyphean challenge. Cyber Crossroads was born out of these alarming trends and a realization that the world cannot go on funneling finite resources into an indefinite, intractable problem. Cyber Crossroads brings together expertise from across the world, spanning aspects of the cyber problem (including technology, legal, risk, and economic) with the goal of creating a Cyber Standard of Care built through a global, not-for-profit research collaborative with no commercial interests. A Cyber Standard of Care should be applicable across industries and regardless of the organization size. It should be practical and implementable, with no requirement to purchase any product/service. Cyber Standard of Care should be woven into the existing governance fabric of the organization and it should not be yet another technical checklist, but a process/governance framework that can stand over time. To achieve this, we engaged with cyber risk experts and practitioners with a variety of relevant expertise, secured the advice/guidance of regulators and legal experts across jurisdictions, and interviewed leaders from 56 organizations globally to understand their challenges and identify best practices.

연구 동기 및 목표

  • 사이버 공격과 사이버보안 지출이 비례 없이 증가함에 따라 사이버 리스크 거버넌스 격차를 해소하기 위해.
  • 모든 산업 및 조직 규모에 적용 가능한 보편적이고 비기술적, 비영리적 사이버 리스크 관리 거버넌스 프레임워크를 수립하기 위해.
  • 이사회 수준의 이사 및 임원들이 사이버 리스크 감시의 신뢰할 수 있는 의무를 이행할 수 있도록 명확한 정당화 가능한 기준을 제공하기 위해.
  • 합리적인 사이버 리스크 관리 행동 기준을 마련하여 법적 책임과 명성 손상 위험을 줄이기 위해.
  • 사이버보안 전문가, 법률 전문가, 보험사, 기업 리더들이 협력하여 지속 가능하고 근거 기반의 프레임워크를 개발하기 위해.

제안 방법

  • 56개 글로벌 기관의 고위 임원들을 대상으로 사이버 리스크 거버넌스의 과제, 격차 및 최선의 실천 사례를 파악하기 위한 인터뷰 수행.
  • 다양한 법적 체계에서 규제 기관, 법률 전문가, 사이버 리스크 전문가들과 협력하여 법적 및 규제적 일치성 확보.
  • 의료 표준 치료법에서 영감을 얻어 책임성, 일관성, 정당화 가능성에 중점을 두었다.
  • 주요 기존 프레임워크(NIST CSF, ISO/IEC 27001, COBIT 2019, CIS Controls)의 통찰을 종합하여 공통된 거버넌스 원칙 도출.
  • 신규 기술 체크리스트를 도입하는 대신 기존 조직 구조와 통합되는 거버넌스 중심 프레임워크 설계.
  • 주요 리스크 및 보험 기업들의 후원을 확보했음에도 불구하고, 후원자의 영향을 배제함으로써 연구의 객관성 유지.

실험 결과

연구 질문

  • RQ1어떤 기준이 산업 및 조직 규모를 초월해 일관되고 정당화 가능한 글로벌 사이버 리스크 거버넌스 표준 치료법이 될 수 있는가?
  • RQ2어떻게 사이버 리스크 거버넌스를 기술적 준수 수준을 뛰어나 이사회 수준의 이사 의무로 격상시킬 수 있는가?
  • RQ3전문가, 보험사, 규제 기관, 기업 리더 간의 다각도 협업이 신뢰할 수 있고 비영리적인 표준 개발에 어떤 역할을 할 수 있는가?
  • RQ4어떻게 거버넌스 프레임워크가 사이버 사고 이후 법적 책임과 명성 손상 위험을 줄일 수 있는가?
  • RQ5기존 사이버보안 프레임워크를 어떻게 통합하여 통합적이고 실천 가능하며 지속 가능한 거버넌스 모델로 융합할 수 있는가?

주요 결과

  • 현재 사이버 리스크 관리 관행이 증가하는 사이버 위협과 빠르게 뒤처지고 있기 때문에 사이버 표준 치료법이 급히 필요하다.
  • 2020년 기준 1230억 달러의 투자에도 불구하고 2011년 이래 사이버 유출 사고가 4배로 증가했으며, 이는 체계적인 거버넌스 격차를 보여준다.
  • NIST CSF, ISO/IEC 27001, COBIT 2019, CIS Controls와 같은 기존 프레임워크는 유용하지만 이사회 수준의 책임을 위한 독립적인 거버넌스 도구로는 부족하다.
  • 공식적인 표준 치료법이 없어, 조율되지 않은 감시 부족으로 인해 최선의 실천을 따르더라도 조직이 법적 소송에 노출될 수 있다.
  • 제안된 사이버 표준 치료법은 기술적 체크리스트가 아니라 조직 구조와 통합되며 장기적인 정당화 가능한 의사결정을 지원하는 거버넌스 프레임워크이다.
  • 이 프레임워크는 제품을 구매하지 않아도 실천 가능하며 조직 규모나 산업 부문에 관계없이 적용 가능하도록 설계되었다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.