귀사의 정보 보안 정책 개정에 관심을 갖는 사람은 누구입니까?
정보 보안 정책과 AUP에 대한 승인을 얻는 것은 CISO에게 충분히 문제가 될 수 있습니다. 그러나 시간이 부족하고 정보가 과다한 직원으로 구성된 전체 조직에서 이러한 수정 사항을 즉시 실행에 옮기는 것이 진짜 골치 아픈 일입니다.
모바일 기기를 예로 들어보겠습니다. 요즘 제가 접하는 대부분의 조직은 모바일 기기 혁명을 온전히 받아들이고 있습니다. 전통적으로 하나의 모바일 폰 플랫폼만 지원하던 조직은 이제 여러 플랫폼을 지원하고 태블릿에 대한 전면적인 금지 조치를 취했던 조직은 이제 민첩성 이점을 활용하고 있습니다. Symantec의 2012년 모바일 현황 보고서는 이러한 증가하는 추세에 대해 흥미로운 내용을 담고 있습니다.
우리는 모바일 기기가 데스크톱과 노트북만큼이나 많이 사용되는 지경에 이르렀습니다. Morgan Stanley의 Mobile Internet Report에 포함된 것과 같은 연구에 따르면 모바일 폰과 태블릿이 사람들이 인터넷에 연결하는 주요 수단이 되는 데 오래 걸리지 않을 것이라고 합니다. 그렇다면 정보 보안과 관련하여 여전히 컴퓨터에 중점을 두는 이유는 무엇일까요?
대부분 사람들은 컴퓨터를 통해 발생할 수 있는 보안 침해의 거의 대부분이 휴대폰이나 태블릿을 통해 발생할 수 있다는 것을 알고 있을 것입니다. 대부분 사람들은 직원의 개인적인 온라인 활동이 조직에 재앙을 초래한 사례, 특히 보안되지 않은 개인 기기에서 민감한 정보에 액세스하거나 저장한 결과로 인한 사례에 대한 이야기를 한두 번 들어봤을 것입니다. 그러나 뉴스 헤드라인과 설문 조사에서는 여전히 조직이 보안에 중점을 두고 컴퓨터와 네트워크에 두고 있습니다. 게다가 많은 조직이 여전히 직장에서 개인 기기를 사용하는 것과 관련된 적절한 직원 정책이 없다는 점에 대한 우려가 큽니다.
그럼에도 불구하고 모바일 보안의 해야 할 일과 하지 말아야 할 일을 길게 나열하는 것은 가장 효과적인 해결책이 아닙니다. 사실, 직원 정보 보안 인식 캠페인의 중추는 하드웨어에 국한되어서는 안 됩니다.
다양한 기기를 사용할 때 고려해야 할 조치가 확실히 있지만, 인식 캠페인은 무엇보다도 정보에 초점을 맞춰야 합니다. 직원이 정보를 보호해야 한다는 필요성을 받아들이면 자연스럽게 다양한 기기의 약점을 찾는 경향이 커집니다.
이 모든 것을 염두에 두고 정보 보안 정책과 AUP는 지속적으로 진화하는 문서입니다. 불행히도, 효과적인 직원 정보 보안 사고방식을 구축하는 데 많은 시간과 리소스를 투자한 조직은 때때로 정책 개정에 따라 사고방식을 발전시키지 못할 수 있습니다. 저는 모바일 기기를 예로 들었는데, 많은 조직이 현재 모바일 기기가 초래하는 극심한 위험을 해결하기 위해 거대한 정책 변경을 구현하고 있기 때문입니다.
요점은 이렇습니다. 정책의 모든 진화는 직원의 사고방식의 진화와 함께 진행되어야 합니다. 이 둘은 본질적으로 연결되어 있습니다. 따라서 정보 보안과 관련된 지침의 고유한 범주에 맞춰 동일한 인지 캠페인 브랜딩을 사용하여 새로운 메시지는 이미 배운 내용을 부드럽게 수정하는 매력적이고 재미있고 기억에 남는 방식으로 전달되어야 합니다.
실제로, 우리는 직원들을 혼란스럽게 하거나 방향의 변화를 감지하여 짜증나게 하지 않는 방식으로 이전에 전달된 내용을 ‘덮어씁니다’.
