신뢰성

CyberArk에는 최소 권한 원칙에 따라 자사 보안 시스템 구성을 변경할 권한이 있는 소수의 보안 엔지니어가 지정되어 있습니다. 당사 프로덕션 환경에서는 구성 관리 도구를 활용해 구성 및 서버 변경 사항을 관리합니다. 모든 중요한 변경 사항은 당사 변경 관리 프로세스를 준수하여 검토하고 승인합니다.

CyberArk에서는 자사 기업 네트워크 환경을 모니터링하기 위해 다양한 도구를 활용합니다. 기업 네트워크 내 장치 및 애플리케이션에서 데이터를 수집하여 SIEM에 집계함으로써 이상 징후와 위협을 탐지하고 대응합니다. SIEM은 전담 보안 운영 센터(SOC)가 연중무휴 24시간 모니터링하여 위험을 신속히 탐지하고 완화합니다.

알림을 분류, 조사, 에스컬레이션, 최종 해결하는 방식은 자사 내부 표준 운영 절차(SOP)를 따라 결정됩니다. CyberArk SOC 팀이 보안 분석 플랫폼에 대한 알림을 제공하고, 침해 지표를 모니터링합니다. 시스템 로그는 핫 백업에 30일, 콜드 백업에 365일 보관합니다.

CyberArk는 기업 내부 애플리케이션 및 서비스에 대한 모든 중대한 변경 사항이 승인 절차를 거쳐야 하는 엄격한 변경 통제 프로세스를 따릅니다. 변경 검증 완료 후 제안된 변경 사항은 변경 승인 위원회(CAB)에 제출됩니다. 이 프로세스는 모든 릴리스가 최고 수준으로 제공되고, 위험과 비즈니스에 미치는 영향을 최소한으로 제한하고자 고안된 것입니다.

CyberArk는 기업 네트워크를 위한 공식적인 비즈니스 연속성 계획(BCP)을 유지 관리하며 정기적으로 검토 및 업데이트합니다. CyberArk의 비즈니스 연속성 계획은 자연재해 및 시스템 장애를 포함한 대부분의 알려진 장애 모드 발생 시 신속하게 대응하고 회복력을 유지할 수 있도록 합니다. 매년 독립된 전문 업체가 주도하는 글로벌 규모의 모의 훈련이 이 계획에 따라 진행됩니다.

CyberArk는 경영진의 승인을 받고 정기적으로 검토, 테스트 및 업데이트되는 글로벌 재해 복구 프로그램(DRP)을 유지 관리합니다. 데이터 손실을 방지하기 위해 설계된 이 프로그램은 각 데이터 센터에서 지속적인 데이터 복제 및 백업을 수행합니다. CyberArk는 재해 복구 서비스를 활용하여 자연재해나 시스템 장애 발생 시에도 핵심 서비스의 안정적인 성능 유지와 최소한의 데이터 손실을 보장합니다.

CyberArk는 포괄적인 백업 프로그램을 운영하며, 여기에는 시스템 복구 목표에 따라 설계된 백업 조치가 적용된 기업 내부 시스템이 포함됩니다. 백업은 AES-256비트 암호화를 통해 보호됩니다.

CyberArk는 공식화되고 문서화된 인시던트 대응 계획(IRP)을 유지 관리하며 매년 IRP 훈련을 실시합니다. IRP에 인시던트 대응 프로세스 전반(인시던트 사후 평가 포함)에서 보안 인시던트가 식별, 분류, 보고, 수정 및 완화되는 방법이 개괄되어 있습니다. CyberArk 정보 보안 팀은 기업 전체 수준에서 보고된 모든 이상 징후 및 의심되는 보안 침해를 신속히 조사합니다.

CyberArk는 고객 정보의 기밀성 또는 보안에 중대한 영향을 미치는 실제 보안 침해가 발견되는 경우 이를 고객에게 알리며, 해당 침해를 신속히 차단하고 해결하기 위해 합당한 노력을 기울입니다.