비즈니스 보안

특히 당신이 나쁜 행위자들의 좋은 표적이 될 때, 당신이 설교하는 것을 실천하지 못하면 상당한 위험이 따르는 상황이 발생합니다.

필 먼캐스터

30 11월 2023
 • 
,
5 분. 읽다

기업 사이버 보안에 있어서는 모범을 보이는 것이 중요합니다. 예, 모든 직원이 업무에서 자신의 역할을 수행하는 것이 중요합니다. 보안 중심 설계 문화. 그러나 그들의 신호는 대개 위에서부터 오는 경우가 많습니다. 이사회와 고위 경영진이 기본적인 사이버 위생을 배우는 데 시간을 투자할 수 없다면 회사의 나머지 부분은 왜 그래야 할까요?

상황을 더욱 복잡하게 만드는 것은 경영진이 민감한 정보에 액세스하고 큰 돈의 전신 송금을 승인할 수 있는 권한을 갖고 있다는 점에서 위협 행위자에게 매우 중요한 표적이 된다는 것입니다. 따라서 그들이 가르치는 내용을 실천하지 못하면 재정적으로나 평판에 심각한 피해를 입을 수 있습니다.

사실, Ivanti의 새 보고서 고위 경영진의 말과 행동 사이에 상당한 사이버 보안 "행동 격차"가 있음을 보여줍니다. 이를 폐쇄하는 것은 모든 조직의 시급한 문제여야 합니다.

행동 격차

보고서 자체는 유럽, 미국, 중국, 일본 및 호주의 6,500명 이상의 임원, 사이버 보안 전문가 및 직장인과의 인터뷰를 통해 작성된 글로벌 성격의 보고서입니다. 무엇보다도 이는 비즈니스 리더가 말하는 것과 실제로 행동하는 것 사이의 큰 괴리를 드러냅니다. 예를 들어:

• 거의 모두(96%)가 "조직의 사이버 보안 의무를 최소한 어느 정도 지지하거나 투자하고 있다"고 주장합니다.
• 78%는 조직이 다음을 제공한다고 말합니다. 의무적인 보안 교육
• 88%는 "맬웨어 및 피싱과 같은 위협을 인식하고 보고할 준비가 되어 있습니다"라고 말합니다.

여태까지는 그런대로 잘됐다. 그러나 불행하게도 그것이 전부는 아닙니다. 실제로 많은 비즈니스 리더들도 다음과 같은 일을 하고 있습니다.

• 작년에 하나 이상의 보안 조치를 우회하도록 요청한 적이 있음(49%)
• 기억하기 쉬운 비밀번호를 사용하세요(77%)
• 를 클릭하십시오 피싱 링크 (35의 %)
• 업무용 애플리케이션에 기본 비밀번호를 사용합니다(24%)

경영진의 행동은 허용 가능한 보안 관행에 훨씬 못 미치는 경우가 많습니다. 정규직과 비교해도 눈에 띈다. 직원 중 14%만이 기본 비밀번호를 사용한다고 답한 반면, 임원 중 24%가 기본 비밀번호를 사용합니다. 보고서에 따르면 후자 그룹은 승인되지 않은 사용자와 업무용 장치를 공유할 가능성이 33배 더 높습니다. 또한 경영진은 과거 IT 보안과의 상호작용을 "어색함"으로 묘사할 가능성이 XNUMX배 높았으며, 피싱 링크 클릭과 같은 오류를 보고하는 경우 "안전하다고 느끼지 않는다"고 말할 가능성이 XNUMX% 더 높았습니다.

경영진의 위협을 완화하기 위한 단계

이는 고위 리더가 일반적으로 조직에서 갖고 있는 액세스 권한 때문에 중요합니다. 이러한 열악한 보안 관행과 "임원 예외주의"(많은 사람들이 정규 직원이 거부할 수 있는 해결 방법을 요구하게 만드는)가 결합되어 매력적인 표적이 됩니다. 보고서에 따르면 작년에 임원의 47%가 알려진 피싱 공격 대상이었던 반면 일반 사무직 직원은 33%였습니다. 그리고 35% 악성 링크를 클릭했습니다 또는 돈을 보낸 직원은 8%에 불과했습니다.

보안 전문가들은 종종 보안 솔루션의 필요성에 대해 이야기합니다. 보안을 고려한 설계 또는 모범 사례와 사이버 위생에 대한 인식이 조직 전체에 스며드는 보안 중심 문화입니다. 고위 경영진이 이와 동일한 가치를 구현하지 않으면 이를 달성하는 것이 거의 불가능합니다. 그렇다면 경영진이 발생시키는 사이버 관련 위험을 완화하기 위해 조직은 무엇을 할 수 있습니까?

1. 지난 XNUMX년간의 경영진 활동에 대한 내부 감사를 수행합니다. 여기에는 인터넷 활동, 차단된 피싱 클릭과 같은 잠재적인 위험한 행동, 보안 또는 IT 관리자와의 상호 작용이 포함될 수 있습니다. 과도한 위험 감수나 잘못된 의사소통 등 주목할 만한 패턴이 있습니까? 배운 교훈은 무엇입니까?

   이 연습의 가장 중요한 목표는 경영진의 행동 격차가 얼마나 넓은지, 그리고 그것이 조직에서 어떻게 나타나는지 이해하는 것입니다. 사물에 대한 제XNUMX자의 관점을 얻으려면 외부 감사가 필요할 수도 있습니다.

2. 먼저 낮게 매달린 과일을 다루세요. 이는 해결하기 가장 쉬운 가장 일반적인 유형의 잘못된 보안 관행을 의미합니다. 이는 모든 사람에게 2단계 인증(XNUMXFA)을 의무화하기 위해 액세스 정책을 업데이트하거나 특정 임원의 범위를 벗어나는 특정 자료를 배치하는 데이터 분류 및 보호 정책을 수립하는 것을 의미할 수 있습니다. 정책을 업데이트하는 것만큼 중요한 것은 경영진의 대립을 피하기 위해 정책을 정기적으로 전달하고 해당 정책이 작성된 이유를 설명하는 것입니다.

   이 프로세스 전체에서 초점은 자동 데이터 검색, 분류 및 보호와 같이 최대한 방해가 되지 않는 제어 장치를 마련하는 것입니다. 이는 보안과 경영진의 생산성 사이에서 적절한 균형을 맞추는 데 도움이 될 것입니다.

3. 경영진이 보안 과실과 비즈니스 위험 사이의 점을 연결하도록 도와주세요. 이를 수행할 수 있는 한 가지 방법은 경영진이 열악한 사이버 위생의 영향을 이해하도록 돕기 위해 게임화 기술과 실제 시나리오를 사용하는 교육 세션을 실행하는 것입니다. 예를 들어, 피싱 링크가 어떻게 주요 경쟁사의 침해로 이어지는지 설명할 수 있습니다. 아니면 어떻게 비즈니스 이메일 침해 공격 임원을 속여 사기꾼에게 수백만 달러를 송금하게 했습니다.

   이러한 훈련은 무슨 일이 일어났는지, 운영 관점에서 배울 수 있는 교훈뿐만 아니라 인적, 재정적, 평판에 미치는 영향에도 초점을 맞춰야 합니다. 경영진은 일부 심각한 보안 사고가 어떻게 동료들에게 영향을 미쳤는지 듣고 싶어할 것입니다. 강제로 쫓겨나는 그들의 역할.

4. 고위 경영진과 상호 신뢰를 구축하기 위해 노력하십시오. 이로 인해 일부 IT 및 보안 리더는 익숙한 영역에서 벗어날 것입니다. 보고서의 설명대로 직원이 실수를 했을 때 뒤따르는 “비난이나 겸양”보다는 “정직하고 우호적인 지원”을 의미해야 합니다.

   개인을 선별하기보다는 실수로부터 배우는 데 초점을 맞춰야 합니다.. 예, 그들은 자신의 행동의 결과를 이해해야 하지만, 항상 지속적인 개선과 학습의 틀 내에서 해야 합니다.

5. 고위 리더를 위한 "흰 장갑" 사이버 보안 프로그램을 고려해보세요. 경영진은 일반 직원보다 보안과의 상호 작용이 어색하다고 말할 가능성이 더 높습니다. 사이버 위생은 더욱 악화되어 위협 행위자의 더 큰 표적이 됩니다. 이것들은 모두 상대적으로 작은 고위 지도자 집단에 특별한 관심을 쏟는 좋은 이유입니다.

   경영진과의 상호 작용, 특별히 고안된 교육 및 온/오프보딩 프로세스를 위한 특별한 연락 지점을 고려하십시오. 목표는 신뢰와 모범 사례를 구축하고 보안 사고 보고에 대한 장벽을 줄이는 것입니다.

이러한 단계 중 다수에는 문화적 변화가 필요하며, 이는 자연스럽게 시간이 걸립니다. 그러나 경영진에게 정직하고, 올바른 프로세스와 제어 장치를 마련하고, 열악한 사이버 위생의 결과를 교육함으로써 성공할 가능성이 커집니다. 보안은 팀 스포츠이지만 선장부터 시작해야 합니다.

가기 전에: 사이버 보안 프로그램에 이사회를 참여시키는 6단계