첫 번째 원칙: 입력되는 것이 아니라 나오는 결과에 초점을 맞춰야 한다. 도구는 목적을 위한 수단일 뿐이다. 데이터 수집은 취약성 관리의 필수 요건이긴 하지만 적절한 사람에게 시기적절하고 정확하며 문맥에 맞는 보고서를 제공하는 것이 가장 중요하다. 많은 조직들이 방대한 양의 데이터를 만들어 내는 프로그램을 개발하고 있지만, 무엇보다도 이것들을 적용 가능하고 측정 가능하게 만들기 위해 노력해야 한다.
두 번째 원칙: 비즈니스 프로세스를 통합시키라. 비즈니스 프로세스를 제대로 알고, 이것을 취약성 관리 프로세스에 통합시킴으로써 기업의 위험 요소를 파악하고 가장 문제가 되는 곳에 자원을 집중시킬 수 있다.
세 번째 원칙: 계속해서 기술들을 통합시키라. 변화와 구성 기술을 계속 받아들임으로써 데이터의 신뢰성을 높이고 정확한 보고를 만들 수 있으며, 기업의 위험을 줄이고 규정 준수 목표를 달성하는 데 있어서의 전체적인 효과성을 향상시킬 수 있다.
네 번째 원칙: 계측 툴을 활용해 가시성을 높이라. 수용 가능한 호스트 대 취약성 비율과 같은 핵심 성능 지표를 결정하고 계측 툴을 사용함으로써 가장 크게 영향을 미칠 수 있는 활동에 프로그램의 초점을 맞출 수 있다.
저작권자 © 데이터넷 무단전재 및 재배포 금지
