[US Corporation] Cloud service, Cybersecurity, and Cloud security

Cloud service, Cybersecurity, and Cloud security

"March 3, 2016, 700 current and former Snapchat employees had their personal information stolen when hackers used a phishing scam to trick an employee into emailing them the private data."

"September 22, 2016: Yahoo announced that a hacker had stolen information from a minimum of 500 million accounts in late 2014. The thief, believed to be working on behalf of a foreign government, stole email addresses, passwords, full user names, dates of birth, telephone numbers, and, in some cases, security questions and answers."

According to a 2015 study conducted by the Ponemon Institute, the frequency of attacks against the cyber infrastructures of global governments and commercial enterprises continues to grow. These attacks can include stealing an organization's intellectual property, confiscating online bank accounts, creating and distributing computer viruses, posting confidential business information on the Internet, and disrupting a country's critical national infrastructure. Ultimately, the cybersecurity has become the key part of the internal control over the corporation.

Cybersecurity is the set of processes, best practices, and technology that protects critical infrastructure such as networks and databases from accidental or intentional damage due to attacks, unauthorized access, or natural disasters. There are several types of cybersecurity: operational security, data security, application security, network security, cloud security, and payment card industry (PCI) data security.

Especially, the cloud service is the service provided based upon cloud computing which is a model for enabling convenient, on-demand, and configurable computing resources such as servers, file storage, applications, and services and in terms of the cloud security regarding the cloud service, an organization’s scope and control over the cloud computational environment depend on the type of cloud service model.

Type of service model	Infrastructure-as-a-service (IaaS)	Platform-as-a-service (PaaS)	Software-as-a-service (SaaS)
Scope	A model of service delivery where the basic computing infrastructure of servers, software, and network equipment is provided as an on-demand service.	A model of service delivery where the computing platform is provided as an on-demand service upon which applications can be developed and deployed.	A model of service delivery where one or more applications are provided for use on demand.
Control	Security provisions beyond the basic infrastructure are carried out mainly by the cloud consumer.	Security provisions are split between the cloud provider and the cloud consumer.	Security is the cloud provider's responsibility, and the cloud consumer does not control the underlying cloud infrastructure or individual applications.

Cloud security advantages and disadvantages

Advantages	Disadvantages
Although there are date security challenges unique to cloud computing, improvements are continuously made, enabling organizations to enjoy security and privacy benefits by transitioning to a public cloud computing environment. (a) Staff specialization (b) Platform strength (c) Resource availability (d) Backup and recovery (e) Mobile endpoints (f) Data concentration	Cloud computing has several disadvantages over traditional data centers. (a) System complexity (b) Shared multitenant environment (c) Internet-facing services (d) Loss of control the organization's direct control.

AICPA Cybersecurity standards

On April 26, 2017, the AICPA introduced a market‐driven, flexible, and voluntary cybersecurity risk management reporting framework. The new framework will enable all organizations in industries worldwide to take a proactive and agile approach to cybersecurity risk management and to communicate on those activities with stakeholders.

There are Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy:

(1) Established by the Assurance Services Executive Committee (ASEC) of the AICPA,

(2) May be used when evaluating the design and operating effectiveness of relevant controls of one or more systems or type of information processed, and

(3) Organized consistent with COSO's Internal Control—Integrated Framework (COSO).

Source: Becker Professional

※ The tax, accounting, or tech business information above is for your reference, and is not legally binding.

[미국법인] 클라우드(Cloud)서비스, 사이버보안(Cybersecurity)과 클라우드(Cloud)보안

“2016년 3월 3일, 700명의 전/현직 Snapchat 직원들은 해커들의 피싱(phishing)에 걸려 개인정보를 해킹당했습니다.”

“2016년 9월 22일, 야후는 2014년 후반 적어도 500백만 계정이 해킹당했다고 발표했습니다. 해외정부를 대신하여 진행됐다고 추정되는 본 해킹은 이메일주소, 비밀번호, 유저이름, 생년월일, 전화번호, 보안질문과 답변들을 포함했습니다.”

Ponemon 협회에서 진행된 2015년 연구에 따르면 정부와 기업의 사이버 인프라에 대한 사이버 공격 빈도는 계속 늘어나고 있다고 합니다. 사이버 공격은 조직/기관의 지식재산 또는 온라인은행계좌를 훔친다거나 컴퓨터 바이러스를 생성/유포한다거나 기업기밀정보를 외부에 공개한다거나 국가 주요 인프라 작동을 방해하는 행위 등이 이에 해당합니다. 결과적으로 사이버보안은 조직/기관/기업의 내부통제의 중요한 한 부분이 되었습니다.

사이버보안은 사이버공격, 미인증접속 또는 자연재해에 따른 우발적 또는 의도적 손실로 부터 네트워크와 데이타와 같은 중요한 인프라를 보호하는 프로세스, 최적방안, 기술 등의 집합체라 볼 수 있습니다. 사이버보안은 Operational security, Data security, Application security, Network security, Cloud security, Payment card industry (PCI) data security 등 여러가지 종류가 있습니다.

특히 클라우드서비스는 편리하게 즉각적으로 서버, 파일저장, 어플리케이션, 서비스 등의 배열가능한 컴퓨터 자원을 이용할 수 있도록 클라우드컴퓨팅 인프라에서 제공되는 서비스인데 이런 클라우드서비스와 관련된 클라우드보안에 대해서 조직의 클라우드 컴퓨팅 환경에 대한 범위와 통제는 클라우드서비스 모델유형에 따라 달라질 것입니다.

서비스모델 유형	Infrastructure-as-a-service (IaaS)	Platform-as-a-service (PaaS)	Software-as-a-service (SaaS)
범위	서버, 소프트웨어, 네트워크 도구 등의 기초 컴퓨팅 인프라가On-demand 방식으로 제공되는 서비스모델	어플리케이션 개발 및 구동될 수 있는 컴퓨팅 플랫폼이 On-demand 방식으로 제공되는 서비스모델	한개 또는 다수의 어플리케이션이 On-demand 방식으로 제공되는 서비스모델
통제	기초 인프라를 벗어난 보안규정은 클라우드 소비자에 의해서 주로 수행됩니다.	보안규정은 클라우드 제공자와 클라우드 소비자가 나눠서 수행합니다.	보안은 클라우드 제공자의 책임이며 클라우드 소비자는 기초 클라우드 인프라 또는 개별 어플리케이션에 대한 통제권이 없습니다.

클라우드보안 장점과 단점

장점	단점
클라우드 컴퓨팅에 존재하는 고유 데이타 보안 위협에도 불구하고 조직은 퍼블릭 클라우드 컴퓨팅 환경으로 이전을 통해서 보안과 프라이버시 혜택을 누리는 동안 클라우드보안 서비스는 계속 발전해 왔습니다. (a) 직원 전문화 (b) 플랫폼 강화 (c) 자원 유용성 (d) 백업과 복구 (e) 모바일 엔드포인트 (f) 데이터 집중화	클라우드 컴퓨팅은 전통적인 데이타 센터에 비해 여러가지 단점을 가지고 있습니다. (a) 시스템 복잡성 (b) 다수고객의 임차공유환경 (c) 인터넷기반 서비스 (d) 통제권 상실

AICPA 사이버보안 기준 (Cybersecurity Standards)

2017년 4월 26일, AICPA는 시장주도적이고 유연적이며 자발적인 사이버보안 위험 관리 보고 체계를 소개했습니다. 이 새로운 체계는 세계 산업의 모든 조직들이 사이버 위험 관리에 선제적이고 민접하게 접근할 수 있고 이해관계자와 이런 활동에 대해서 의사소통이 가능하도록 할 것입니다.

보안, 유용성, 처리무결성, 비밀유지와 프라이버시에 대한 Trust Services 기준은 

(1) AICPA의 the Assurance Services Executive Committee (ASEC)에 의해서 수립됩니다.

(2) 한개 또는 다수 시스템 또는 처리된 정보 유형에 대한 적절한 통제 디자인과 운영 효과성을 평가할 때 사용될 수 있습니다. 또한

(3) COSO's Internal Control—Integrated Framework (COSO)과 일관성 있게 구성됩니다.

출처: Becker Professional

※ 위의 세무, 회계, 또는 테크비즈니스 정보는 참고사항이며 법적인 효력이 없습니다.