포괄적인 보안 인식 프로그램 전략에서 고려해야만 하는 핵심 요소 ①

최태우 / 기사승인 : 2019-07-15 09:36:07
  • -
  • +
  • 인쇄
[source=pixabay]

전세계 다수의 보안·위기관리 리더들은 전사적 인식 제고를 위한 보편적인 접근법이 보안 성능을 향상시킬 수 있을 것으로 생각하고 있다. 그러나 효과적으로 인식을 제고하기 위해서는 일반적인 단일 교육 프로그램 이상의 것이 필요하다.


효과적인 보안 인식 교육 프로그램을 제공하기 위위한 성공적인 프로그램의 토대를 형성하기 위해서는 ▲교육 대상 파악 ▲지속적이고 시의적절한 커뮤니케이션 ▲보안 전술에 대한 대화형 교육 등의 3개 핵심 요소를 파악해야 한다.


성공적인 보안 인식 프로그램은 관리자와 임원들이 학습·역량 개발에 관련된 조직문화를 정확히 이해하는 것을 기반으로 형성된다. 조직문화는 개인의 행동 변화를 유도하는 방법을 결정하는데 큰 영향을 미친다.


협업이 활발한 기업에서는 조직 곳곳의 직원들이 아이디어를 공유하고 이니셔티브에 기여하며 관리자들이 팀워크, 참여, 책임을 독려하기 때문이다. 반면 권위적인 기업에서는 이해관계자의 경험이나 의견을 고려하지 않고 참여를 지시하기도 한다.


이러한 접근법은 실질적인 위험을 초래한다. 권위주의적 모델에서 직원들은 보안 문제 교육 및 식별에 대한 의견을 드러내는 것의 여파를 과도하게 우려할 수 있다. 그리고 이는, 본질적으로 기업 내 열린 커뮤니케이션을 저해하고 있다.


어떤 기업은 너무 분열되어 있어 부서와 사업부가 서로 무엇을 필요로 하는지 모르기도 한다. 직원들과 교류하고 정보를 제공하며 지속적으로 소통하는 방법을 찾기 위해, 리더들은 먼저 조직이 내부적으로 어떻게 움직이는지를 파악해야 한다.


직원들이 업무 환경에서 안전하게 행동하는 방법을 자연히 알고 있고, 기업이 해커나 관련 보안 침입의 피해를 입지 않을 것이라 생각하는 것은 비합리적이다. 직원들은 기업을 공격으로부터 보호하고 지키는 최고의 방어선이다.


보안 및 위기관리 담당자는 보안 인식을 제고하는 것과 더 안전한 상태를 만드는 데에 인적 요소가 기여하는 중요한 역할에 초점을 둔 포괄적인 인식 프로그램을 고안해야만 한다.


대부분의 사람들이 오리엔테이션 세션에 집중하는 것처럼, 대부분의 사람들은 교육 프로그램에서 알려준 내용의 대부분을 잊어버린다. 이 이유만 놓고 봐도 조직이 보안 행동을 촉진하기 위해 교육에만 의존하는 것은 역부족임을 알 수 있다.


사람들을 한 공간이나 컴퓨터 코스, 보안 정책 관련 직원 오리엔테이션으로 불러 모으는 교육 세션은 특정 일자에 몇 명이 교육받았는지 기록할 수 있어 참가자 수를 세기 쉽다.


그럼에도 불구하고 다양한 미디어와 콘텐츠 양식을 활용하는 포괄적인 보안 커뮤니케이션 프로그램은 직원들의 보안 인식 수준을 눈에 띄게 향상시킬 수 있다.


리더들은 교육에 취약 영역 평가, 중요한 관행 및 새로운 고려사항에 대한 지속적인 커뮤니케이션을 통합하면서 행동 관리에 관여할 수 있다. 행동 관리는 일반적으로 부정적인 행동과 습관을 변화시키는 데 사용된다.


기술 보안 인식의 맥락에서 볼 때, 인식이 자동적으로 보안 행동으로 이어지는 것은 아니다. 공식 기반의 접근법은 단순해 보일 수 있다.


예를 들어, 관리자는 직원들이 새로운 보안 정책 공개 후 5일 이내에 컴퓨터 기반 교육 프로그램을 이수한다면 안심할지도 모른다. 그러나 사람들은 단순하지 않다. 주의가 산만한 사람도 있고, 바쁜 사람도 있고, 의욕이 없는 사람도 있으며, 승진을 준비하는 사람도 있을 것이다.


즉, 사람들이 배우고 배운 것을 간직하고 이를 바탕으로 행동에 나서는 방법은 다양하게 나타난다. 행동 관리는 사람들의 태도에서 나타나는 차이를 고려하고 마음의 상태나 이들이 처한 여건에 관계없이 원하는 행동을 촉진시킬 수 있도록 고안되었기 때문이다.


이와 같은 이유로 향후 교육에 적합한 옵션과 지속적으로 신선한 콘텐츠를 제공할 수 있는 능력을 갖추기 위해서는 다양한 버전과 특징을 제공할 수 있는 콘텐츠를 고려해야 한다. 또 시간을 들여 콘텐츠를 직접 검토하고, 테스트 그룹을 꾸려 콘텐츠가 필요한 부분을 충족시켜 주는지 파악해야 한다.


학습 과정 전반에서 평가를 사용해 프로그램의 목표나 결과가 달성되고 있는지 파악하고, 지식과 스킬을 바꾸기 위해 프로그램을 조정-보완여부를 결정하는 것은 매우 중요하다고 할 수 있다.



글 : 조안나 휴이즈만(Joanna Huisman) / 수석애널리스트 / 가트너



[저작권자ⓒ IT비즈뉴스. 무단전재-재배포 금지]

  • 글자크기
  • +
  • -
  • 인쇄
뉴스댓글 >

주요기사

+

많이 본 기사

마켓인사이트

+

컴퓨팅인사이트

+

스마트카

+

PHOTO NEWS