보안 문화 조성

10월은 국가 사이버 보안 인식의 달입니다.

그것은 또한 (무엇보다도) 유방암 인식의 달, 치과 위생의 달, 전국 왕따 예방의 달 및 제가 개인적으로 가장 좋아하는 전국 피자의 달입니다. 게다가 할로윈이다! 하지만 저는 여담입니다... 우리는 사이버 보안에 대해 이야기하기 위해 왔습니다.

모든 제조업체는 모든 직원을 대상으로 사이버 보안 인식 교육을 적어도 실시해야 합니다. 일년에 한번. 많은 사람들이 '사이버 보안'과 '교육'이라는 단어만 들어도 겁이 나서 10월이 적기인 것 같다. 교육은 최소한 IT 보안, 정보 보안 및 물리적 보안과 같은 관련 회사 정책을 다루어야 합니다.

수년에 걸쳐 우리 중 많은 사람들이 이러한 유형의 훈련을 받고 그것을 두려워하는 법을 배웠습니다. 누군가가 작년에 했던 것과 똑같은 사이버 보안 연설을 한 다음 당신이 거기에 있었다는 서명을 할 종이를 나눠주는 훈련. 진짜 꿀잠. 이러한 종류의 교육은 최소한의 기준을 충족하는 한 제 역할을 하지만 실제로 직원 행동을 형성하는 데는 거의 영향을 미치지 않습니다.

사이버 보안 인식 및 교육 노력의 진정한 목적은 보안 문화를 조성하는 것이어야 합니다. 즉, 직원은 우수한 사이버 보안 관행을 좋은 비즈니스로 간주하고 "여기서 비즈니스를 수행하는 방법"의 일부로 인식해야 합니다. 직원은 올바른 사이버 보안 결정을 내리고 무엇이 올바른 결정을 내리는지 이해할 수 있어야 합니다. 인식 및 교육은 다음에 중점을 두어야 합니다.

<울>

위험한 행동 중지: 직원들이 어떤 결정이 나쁜 결과로 이어질 수 있는지 알도록 돕습니다. 예를 들어 출처를 알 수 없는 이메일 첨부 파일을 여는 것입니다.

덜 위험한 행동 장려: 직원들이 보안을 강화하는 프로세스 구현에 대해 이해하고 관심을 갖도록 돕습니다. 예를 들어 강력한 암호를 만드는 방법.

직원을 파수꾼으로 전환: 직원이 사이버 보안 이벤트를 인식하고 대응할 수 있도록 지원합니다. 예를 들어 게스트가 승인되지 않은 USB 드라이브를 컴퓨터에 연결하는 경우 수행할 작업입니다.

이상적으로, 훈련은 지속적인 노력이어야 합니다. 비즈니스의 일상 업무에 사이버 보안 교육을 포함하는 방법에 대한 몇 가지 아이디어는 다음과 같습니다.

<울>

사이버 보안을 회사의 중요한 목표로 정기적으로 강조합니다.

모든 회의에 하나의 사이버 보안 팁, 트릭 또는 알림을 통합합니다.

적절한 보안 관행에 대한 알림을 직장 주변에 게시합니다.

직원들이 더 나은 보안 결정을 내리기 쉽게 할 수 있는 가능한 프로세스 개선 사항에 대해 논의하기 위해 정기적인 회의를 갖습니다.

훌륭한 직원 사이버 보안 교육이 무엇인지에 대한 많은 연구가 있었습니다. 일반적으로 "RAINSTORMS"라는 약어로 요약할 수 있습니다. 예, 지금 막 만들어 냈습니다.

<울>

R eal:실제 사례 연구나 현실적인 시나리오를 사용하면 수업을 집으로 가져오는 데 도움이 됩니다.

A 실행 가능:직원이 즉시 수행할 수 있는 것을 포함합니다. 여기에는 비밀번호 변경, IT 자산 목록 작성 또는 사고를 보고해야 하는 개인 또는 조직의 연락처 정보가 전화기에 있는지 확인하는 것이 포함될 수 있습니다. 때로는 장기 숙제도 적절하지만 즉각적인 목표를 갖는 것이 항상 도움이 됩니다.

나 양방향:역할극, 소그룹 토론 또는 실습은 교육을 보다 양방향으로 만드는 몇 가지 좋은 방법입니다. 이상적으로는 모든 사람이 동일한 책임을 갖고 있으며 모든 사람이 같은 생각을 하고 있다는 것을 모든 사람이 알 수 있도록 모든 수준의 경영진이 참여하는 양방향 대화를 포함해야 합니다.

N ew:교육에서는 특히 정책에 대해 이야기할 때 약간의 반복이 적절하지만 오래되어서는 안 됩니다. 다양한 교육 형식(예:강의, 역할극, 동영상)이 도움이 될 수 있습니다.

S mall:한입 크기의 정보 덩어리는 직원들에게 강요되는 전체 컴퓨터 공학 학위 가치의 정보보다 훨씬 소화하기 쉽습니다. 일반적으로 한 번에 하나의 주제를 사용하는 것이 좋습니다.

ㅇ estable:사이버 보안 교육에는 측정 가능하고 테스트 가능한 목표가 있어야 합니다. 일반 상식이라면 퀴즈를 낼 수도 있다. 피싱 공격을 완화하는 것이 목표라면 이벤트 몇 주 전과 몇 주 후에 가짜 피싱 이메일을 보낼 수 있습니다. 이는 교육이 얼마나 효과적인지 보여주는 데 도움이 됩니다.

오 wned:직원들은 교육 과정에서 주인의식을 느끼고 사이버 보안이 자신의 책임이라는 생각을 버려야 합니다. 올바른 사이버 보안 결정을 내릴 수 있는 권한이 있다고 느껴야 합니다.

R elevant:대부분의 회사에는 다양한 유형의 사용자가 있습니다. 각 유형의 사용자에 맞게 교육을 조정하면 더 현실감 있게 됩니다. 이는 작업 현장 직원과 사무실 직원을 위한 교육이 다르다는 것을 의미할 수 있습니다.

남 emorable:두문자어, 간결한 니모닉 또는 개인적으로 가장 좋아하는 유머를 사용하십시오. 인간은 재미있는 말장난, 나쁜 뮤직 비디오, 고양이의 우스꽝스러운 밈 등 재미있는 것들을 지루한 강의보다 훨씬 더 잘 기억합니다. 틀에 얽매이지 않고 재미있게 즐겨보세요.

S impl:무엇보다 훈련이 단순해야 합니다. 테크노바블이 가득한 지나치게 테크니컬한 수업은 사람들을 잠들게 하는 데만 좋습니다.

NICE(National Initiative for Cybersecurity Education)에는 직원 교육에 도움이 되는 무료 및 저렴한 리소스 목록이 있습니다. 또한 온라인에서 사용할 수 있는 추가 리소스가 많이 있습니다. 인터넷 검색을 하면 다양한 옵션이 제공됩니다. 위의 RAINSTORMS 템플릿을 사용하여 이러한 옵션을 평가하십시오.

10월 한 달 동안 NIST MEP는 NCSA(National Cybersecurity Alliance)에서 제공하는 주제와 개요를 느슨하게 따르는 일련의 블로그를 게시할 예정입니다. 올해의 주제는 "Do Your Part. #BeCyberSmart.” 개인적으로 저는 해시태그 자체를 홍보하는 것을 좋아하지 않지만 이번 달에 사이버 보안에 대해 트윗이나 블로그에 올리면 #BeCyberSmart 해시태그를 사용하는 것을 고려해 보세요. 얼마나 발전하는지 볼 수 있을 것입니다.

NCSA가 제시한 개요는 다음과 같습니다.

<울>

10월 5일 주(1주차):연결하면 보호

10월 12일 주간(2주차):집과 직장에서 기기 보호

10월 19일 주간(3주차):의료 분야의 인터넷 연결 장치 보안

10월 26일 주간(4주차):연결된 기기의 미래

어디서부터 시작해야 할지 모르겠다고요? 지역 MEP 센터에 연락하여 효과적인 사이버 보안 교육 프로그램을 구현하는 방법에 대해 자세히 알아볼 수 있습니다. NIST MEP 웹사이트에서 제조업체를 위한 사이버 보안 리소스에 액세스할 수도 있습니다.

이 블로그는 NCSAM(National Cybersecurity Awareness Month)에 게시된 시리즈의 일부입니다. 이 시리즈의 다른 블로그에는 If You Connect It, Protect It by Zane Patalive, Suspious Minds:Non-Technical Signs You Have You have Hacked by Pat Toth, Securing Internet-Connected Medical Devices(Jennifer Kurtz) 및 Future of Connected Devices(연결 장치의 미래)가 있습니다. Erik Fogleman 및 Jeff Orszak.