솔직하게 말하세요. 중요한 마감 기한을 앞두고 있다면 업무를 완료하기 위해 고의로 회사의 보안 규칙을 우회하시겠습니까? "예"라고 대답했다면 친구가 많이 있는 것입니다. Gartner의 보안 행동 동인에 따르면 측량, 불안정하게 행동하는 직원의 93%는 고의로 그렇게 합니다.

보안 정책 우회의 결과에 대한 대중의 지식이 너무 많은데 직원들이 보안 정책을 우회하는 이유는 무엇입니까? 일반적으로 저항이 가장 적은 경로이기 때문입니다.

“대부분의 회사에서는 비밀번호뿐만 아니라 다음과 같은 방법으로 인증해야 합니다. 다단계 인증. 비밀번호만 사용하는 것보다 훨씬 더 안전하지만 직원이 해야 할 일은 또 다른 일입니다.”라고 Gartner의 부사장 분석가인 Chris Mixter는 설명합니다. "일반적으로 사이버 보안은 대규모로 제공할 수 있는 통제권을 마련하지만 직원들은 규정을 준수하는 데 많은 마찰을 경험하므로 이를 피할 수 있는 방법을 찾습니다."

마찰의 영향은 사이버 보안 문제를 공격하는 새로운 방법, 즉 인간을 혼합의 중심에 놓는 방식으로 눈에 띄게 됩니다.

인간 중심 보안을 향한 다양한 경로

인간 중심 보안은 사고 대응 계획뿐만 아니라 매일 문제가 발생할 때마다 모든 지점에서 사람들의 행동, 요구 사항 및 제한 사항을 고려합니다. 이는 가능한 많은 지점에서 마찰을 줄이고, 보안 관련 프로세스의 복잡성을 낮추고, 처벌 대신 긍정적인 강화를 하고, 직원이 필요할 때 판단 없이 도움을 주는 읽기 쉬운 정책을 의미합니다.

Gartner는 2027년까지 CISO의 절반이 채택 사이버 보안 운영 마찰을 줄이기 위한 인간 중심 보안. Gartner는 2030년까지 기업의 80%가 공식적으로 정의되고 인력을 갖춘 인간 위험 관리 프로그램을 보유하게 될 것이라고 예측했습니다. 이는 20년의 2022%에서 증가한 것입니다.

사람을 중심에 두는 것은 같은 이름의 생산성 앱을 만드는 회사인 Random Timer가 직원들에게 사용하는 접근 방식입니다. 전통적으로 보안은 인간적 요소를 충분히 고려하지 않은 채 기술 및 정책 중심으로 이루어졌습니다. 이는 최종 사용자에게 제한적이고 좌절감을 줄 수 있다고 회사 창립자 Matthew Anderson은 설명합니다.

“그래서 우리는 인간 중심적인 접근 방식을 취하려고 노력합니다. 예를 들어, 새로운 이중 인증 시스템을 구현할 때 직원들과 기존 시스템의 장점과 단점에 대해 이야기하는 데 많은 시간을 보냈습니다. 우리는 이러한 피드백을 바탕으로 편의성과 유용성에 대한 가장 큰 문제점을 해결할 솔루션을 선택했습니다.”라고 그는 말합니다.

지금까지 마찰은 안정된 직원의 가장 큰 적입니다. 그리고 이는 만연해 있습니다. 최근 Gartner 보고서에 따르면 직원 XNUMX명 중 XNUMX명 이상이 사이버 보안 제어 및 정책을 준수하기 어렵고, 자신의 역할에 비합리적이며, 업무 목표와 상충된다고 답했습니다.

기술 중심 접근 방식을 사용하면 마찰을 줄이는 데 도움이 되지만 이것이 전체 작업을 수행할 수는 없습니다. 예를 들어, 브라우저 보안을 구현하고 비밀번호 없는 접근은 사용자가 그것에 대해 생각할 필요조차 없기 때문에 좋은 단계입니다. 그러나 많은 기업은 여전히 ​​이러한 기술을 채택하지 않고 있으며, 채택하더라도 직원들이 업무 수행에 여전히 의존하고 있는 수십 년 된 기술과 항상 잘 작동하는 것은 아닙니다.

이러한 기술은 여전히 ​​나름대로 마찰을 일으키고 있습니다. 예를 들어, 보안 브라우저는 많은 나쁜 것들을 차단할 수 있지만 보안팀은 모든 것을 "허용"해야 합니다. 즉, 사용자가 새 웹사이트를 방문하려면 보안 담당자에게 문의하여 해당 웹사이트를 "허용 목록"에 등록해야 합니다.

하지만 도움이 될 수 있는 기술 기반 옵션이 있습니다. 하나는 행동 단서에 기초한 팝업 화면입니다.

“이전에 이메일을 보낸 적이 없는 사람에게 이메일을 보내는 경우 시스템을 설정하여 현대식 체크 엔진 표시등과 같은 경고를 받을 수 있습니다. 이 경고는 잠재적인 행동 변화에 대한 경고로 사용됩니다. " KPMG 사이버 보안 서비스 부문 책임자인 Matthew Miller는 이렇게 말합니다. "규정 준수 렌즈 대신 행동 렌즈의 기술을 내장한 것이며 사용자에게 훈계하는 것이 아닙니다."

사용자 이해

사용자를 이해하는 것도 중요하다고 Anderson은 덧붙입니다. 이는 인터뷰, 관찰, 설문조사를 통해 사용자와 직접 대화하는 것을 의미합니다. 해당 피드백을 통해 최소 실행 가능 제품의 프로토타입을 제작하고 출시하여 더 많은 피드백을 수집하여 사용자 경험을 개선할 수 있습니다. 그는 직원을 옹호할 유용성 전문가를 두라고 제안하기도 했습니다.

Miller는 사용자의 행동과 동기를 이해하는 것이 중요하다고 동의합니다. 그는 클라우드가 여전히 새로운 개념이었던 오래 전 은행에서 일할 때 매년 여름마다 수천 명의 인턴이 그곳에서 일상적으로 일했다는 예를 들었습니다. 그들 중 다수는 데이터, 데이터 분석 및 워드 클라우드를 사용하는 프로젝트를 받았기 때문에 회사는 회사 데이터를 보호하기 위해 결과를 공개적으로 업로드할 수 있는 많은 사이트를 차단했습니다.

그의 팀은 인턴 중 한 명이 클라우드에 파일을 업로드했다는 사실을 발견했습니다. “이런 일을 왜, 어떻게 했는지, 별 문제가 없느냐고 묻자, 차단된 사이트에 이어 차단된 사이트를 접한 끝에 드디어 차단되지 않은 사이트를 찾았으니 그게 틀림없다고 판단했다”고 말했다. 데이터를 업로드할 수 있도록 승인된 사이트입니다.”라고 Miller는 설명합니다.

일부 회사는 사용자 경험을 극도로 이해하지만 결과를 낳습니다. 예를 들어, 스페인 최대 은행인 산탄데르(Santander)는 사이버 보안 직원에게 일반적으로 개발자와 고객을 응대하는 직원의 영역인 사용자 경험의 원칙을 가르쳤습니다. 이제 직원이 '할 수 없습니다'라고 말하거나 정책을 위반하면 사이버 보안 담당자가 사용자 경험에 관해 질문할 수 있습니다. 왜 어떤 일을 했는지 묻는 대신, 그 일을 얼마나 자주 해야 하는지, 어려운 일인지, 작업이 작업 흐름에 필수적인지 물어볼 수도 있습니다. 해당 정보를 사용하여 사이버 보안 팀은 프로세스를 변경하거나 필수적이지 않은 경우 워크플로에서 프로세스를 제거할 수 있습니다.

물론, 항상 훈련 하지만 훈련에 대해 다르게 생각하는 것이 핵심입니다. 인간 중심 사고방식. 이는 개별 역할에 맞게 교육을 맞춤화하는 것을 의미합니다.

Miller는 "다양한 유형의 직원이 기술, 고객 및 데이터와 다양한 방식으로 상호 작용하므로 사람들이 필요한 기술을 개발하도록 돕고 위험을 관리할 행동을 확립하는 데 매우 구체적이어야 합니다"라고 말했습니다.

'예' 문화 구축

직원들이 더욱 안전하게 행동하기를 기대한다면 절대 “아니오”라고 말하지 않는 것이 중요합니다. 그렇게 하면 그들은 단순히 시스템을 우회할 수 있는 방법을 찾을 것이라고 Mixter는 말합니다.

예를 들어 Johnson & Johnson은 부정적인 허용 가능한 사용 정책에서 금지된 모든 활동을 긍정적인 셀프 서비스 평가로 전환했습니다. 직원의 답변을 바탕으로 자동화된 시스템은 직원에게 안전한 해결 방법을 안내합니다. 시스템에서 직원이 새로운 일을 하고 있다고 판단하면 그에 대한 응답으로 교육 비디오를 보낼 수도 있습니다. 답변을 통해 직원이 독점 데이터를 부정확하게 사용할 계획인 것으로 밝혀지면 해당 직원에게 이메일을 보낼 수 있습니다. 합성 데이터 실제 데이터 세트를 기반으로 하지만 실제 독점 데이터는 포함하지 않는 저장소입니다.

실제로 피드백을 요청하는 회사가 더 나은 성과를 내는 경우가 많다고 Mixter는 덧붙입니다. 캘리포니아에 본사를 둔 기술 회사인 SRI는 정책에 의견 상자를 넣습니다. 이는 사이버 도메인 외부의 사람들이 사이버 정책을 읽을 수 없다는 통찰로 결실을 맺었고, 회사는 이것이 긍정적인 변화를 가져왔다고 말했습니다.

결국 사람을 중심으로 하는 전형적인 사람/프로세스/기술 삼각관계로 귀결됩니다.

“기술은 기반을 제공하지만 프로세스와 철학은 성공을 주도합니다.”라고 Anderson은 말합니다. “기본적으로 새로운 기술 도구뿐만 아니라 사용자 중심의 디자인을 수용하는 문화가 필요합니다.”

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/cybersecurity-operations/human-centric-security-model-meets-people-where-they-are