사이버 보안 전략의 중요한 인적 요소

상호 연결 가능한 디지털 장치의 수가 증가함에 따라 사이버 보안의 복잡성이 기하급수적으로 증가했습니다. 상호 의존적인 컴퓨터 인프라는 오늘날 거의 모든 조직을 지원하기 때문에 디지털 데이터를 보호하는 것이 중요해졌습니다.

설문조사에 응한 CEO의 37%는 확장된 비즈니스와 주요 기업 파트너에게 상당한 위험이 있다고 말했습니다. 그리고 예방 조치만으로는 더 이상 충분하지 않습니다. 새로운 환경은 주의 깊은 모니터링과 창의적인 혁신을 요구합니다. 모든 이해관계자의 참여가 필요합니다.

인적 요소가 핵심입니다. 직원을 얼마나 잘 조사하고 교육하고 장비를 갖추면 사이버 보안 시스템, 고객 및 파트너와의 평판, 심지어 비즈니스 자체가 훼손될 수 있습니다.

C-suite의 89%는 직원이 정보를 책임감 있게 보호할 것이라고 생각하지만 22%는 직원이 오프사이트 데이터 정책을 모르고 있다고 말합니다. 가장 위험한 기기는 회사 휴대폰(50%), 회사 노트북(45%), USB 저장 장치(41%)입니다.

C-Suite의 2018년 조회수 보고서에서 , 에. Kearney는 기업의 85%가 작년에 보안 침해를 경험한 것으로 나타났습니다. 40%만이 이에 대응하여 사이버 보안 전략을 설계하고 구현했습니다.

직원에 초점을 맞추는 것 외에도 전체 공급망을 통합하는 것이 중요합니다. 기업 리더는 실행 가능한 사이버 보안을 보장하기 위해 4가지 주요 전술을 인용합니다.

사이버 보안의 새로운 패러다임은 참여, 설득, 교육, 전환 및 보상입니다. 최종 사용자는 종종 비협조적이고 통제를 싫어하며 행동을 바꾸지 않으려는 불공정한 고정 관념에 사로잡혀 있습니다. 동시에 그들은 사이버 보안에서 가장 약한 고리입니다. 심도 있는 기술 전문가라도 덜 훈련되고 준비된 일반 사용자만큼 취약할 수 있습니다.

실제 사례:몇 년 전 저는 남미 무선 사업자의 CISO로서 증가하는 데이터 유출 수를 줄이는 임무를 맡았습니다. 고위 경영진은 보안 정책을 강력하게 시행할 것을 권장했습니다. 그는 최종 사용자가 보안에 대해 소극적이었고 내부 통제를 개선하기 위한 캠페인에 반응하지 않았다고 말했습니다.

나는 반대 입장을 취하기로 했다. 경험을 통해 저는 실행 가능한 솔루션을 만들기 위해 이사회에 앉아 있는 사람들뿐만 아니라 정책, 기술 및 의사 결정의 영향을 받는 모든 이해 관계자를 참여시켜야 한다는 확신을 얻었습니다.

최종 사용자를 처벌하고 통제를 시행하는 데만 집중하는 대신, 우리는 직원들과 일련의 회의를 소집하여 모범 사례를 공유하고, 그들의 고충을 파악하고, 보안 도구를 적절하게 사용하는 방법에 대한 단계별 지침을 제공했습니다.

일련의 합병으로 인해 많은 보안 정책이 구식이 된 것으로 나타났습니다. 게다가 사용자들은 포스트잇에 접근 코드를 적어서 번거로운 30일 암호 만료 관행을 처리하고 있었습니다. 그로 인해 악의적인 사람들이 무단으로 액세스할 수 있었습니다.

직원들의 피드백을 바탕으로 정책을 업데이트하고 관련성 있고 명확하도록 절차와 표준을 다시 작성했습니다. 성과 기록표를 사용하여 진행 상황을 추적하고 보상 시스템을 도입했습니다. 데이터 유출이 줄어들었고 사용자와 보안 부서 간에 피드백 루프가 설정되어 프로그램의 관련성을 유지했습니다. 잠재적인 문제를 발견하기 위한 교육 루프와 함께 최종 사용자가 프로세스에 참여했습니다.

경험을 통해 처벌 대신 참여, 교육, 전환 및 보상에 의존하는 이해 관계자 및 인간 중심의 설계 프로세스가 가장 포괄적이고 지속 가능한 사이버 보안 솔루션을 생성한다는 것을 재확인했습니다.

제이. Eduardo Campos는 Embedded-Knowledge Inc.의 컨설팅 회사를 이끌고 있습니다.