2012.10.18

“직원들의 보안 의식을 측정하라” 한 보안 전문가의 조언

Joan Goodchild | CSO

무료 툴들이 보안 담당자들에게 인지 프로그램의 효과를 측정하는 방법을 제공하고 있다.

보 안 측정이 어렵다는 건 어제오늘 이야기가 아니다. 문제가 없는 상황이나 심각한 상황에서 모두 측정 가능한 결과를 도출해내기란 쉽지 않다. 그러나 보안 지표의 영역은 최근 크게 진화하여 보안 책임자들이 보안 프로그램과 기술에 대한 투자 결정을 뒷받침해줄 더 많은 자원을 공급하고 있다.

이제 직원 보안 프로그램(Securing the Human Program)을 통해서, SANS 연구소(SASN Institute)는 보안 임원들에게 자체적 보안 의식 프로그램의 영향을 추적하고 측정할 수 있는 능력을 주기 위해 무료 측정 툴들을 제공하고 있다.

이 프로그램의 훈련 책임자인 랜스 스피츠너에 따르면, 그 툴들은 훈련을 향상시키고, 투자 대비 수익률을 보여주고, 기업 내 인적 위험을 업계 다른 회사들과 비교하는 데 쓰일 수 있다. 모든 자원은 무료며 커뮤니티에 의해, 커뮤니티를 위해 개발됐다고 스피츠너는 말했다.

그 툴에는 다음의 항목들이 들어있다:

지표 매트릭스(Metrics Matrix) – 보안 의식 프로그램 측정을 위한 여러 옵션들을 구분하고 문서화하는 스프레드시트. 지표 매트릭스는 영향 측정(행동 변화)과 규제 준수 추적 측정치를 모두 다 포함한다.

인적 위험 측정 조사(Measuring Human Risk Survey) –가장 최근에 추가됐고 지금도 개발중인 이 25개 문항 조사는 조직내의 인적 위험을 측정하는데 도움을 준다. 각각의 문항과 그에 따른 답변에는 그것들과 연관된 다양한 수준의 위험이 있다. 직원들이 어떻게 반응하느냐에 따라 답변의 총합을 구해서 인적 위험 총계를 파악할 수 있다.

피싱 평가 계획 패키지(Phishing Assessments Planning Package) – 피싱 평가는 당신의 의식 프로그램의 영향을 측정할 수 있는 간단하면서도 효과적인 수단이다. 동시에 핵심 트레이팅 개념을 강화할 수 있는 강력한 방법이기도 하다. 이 패키지는 당신이 성공적인 피싱 평가 프로그램을 단계적으로 계획하고, 구축하며, 이행하도록 몇 가지 템플릿을 포함하여 보조한다고 스피츠너는 말했다.

다음은 CSO가 스피츠너와 측정 툴 사용에 대해 주고받은 일문일답이다.

CSO: 어떻게 이런 측정치-수집 툴을 만들게 되었나?

스피츠너:
그 툴은 보안 의식에 대한 커뮤니티의 필요 때문에 만들어졌다. 나는 그에 관련되거나 각자의 조직에서 보안 의식 프로그램을 이끄는 전문가 약 200명의 개인 이메일 목록을 가지고 있다. 사람들은 그들이 찾고 있는 것을 올리면, 우리는 그 문제 해결을 위한 자원을 여럿이 함께 개발해낸다.

우리가 해결한 첫번째 과제는, 당신의 의식 프로그램이 얼마나 성숙해있는지 파악하는 것을 돕고, 어떻게 당신이 그 위에 더하고 싶은지를 보조해주는 보안 의식 성숙 모델(Security Awareness Maturity Model) 만들기였다. 그 후, 우리는 그룹으로서 보안 의식 로드맵(Security Awareness Roadmap)을 개발하여 어떻게 각각의 성숙 단계에 도달할 수 있는지의 세부사항을 설명했다. 지표에 대한 반복된 요청과 필요가 있었다.

CSO: 보안 의식 지표를 이용하는데 어려움은 무엇인가?

스피츠너:
지표에 대해서는 언제나 몇가지 어려움이 있었듯, 보안 의식 지표도 예외가 아니다. 두가지 명심할 점이 있다.

• 궁극적으로, 지표는 당신의 보안 의식 프로그램의 효과를 측정하고 그것을 향상시키는데 쓰이는 도구다. 가끔 조직들은 그들의 지표에 너무 집착하여 프로그램 자체보다도 지표를 더 중시하여 궁극적 목표를 망각하게 된다. 그럴 경우, 소수의 가장 좋은 지표에만 집중하는 접근방식이 가장 좋다.
• 안타깝게도 좋은 지표를 얻는 것은 쉽지 않다. 좋은 지표는 측정하기 쉬워야 하고(자동화되면 좋다), 일관성 있게 측정돼야 하고(다른 사람이 측정하더라도 같은 결과가 나오도록), 그리고 당신이 행동을 취할 수 있는 것이어야 한다. 나쁜 지표의 본보기로 세계에서 가장 많이 감염된 나라 10개국을 들 수 있다.




2012.10.18

“직원들의 보안 의식을 측정하라” 한 보안 전문가의 조언

Joan Goodchild | CSO

무료 툴들이 보안 담당자들에게 인지 프로그램의 효과를 측정하는 방법을 제공하고 있다.

보 안 측정이 어렵다는 건 어제오늘 이야기가 아니다. 문제가 없는 상황이나 심각한 상황에서 모두 측정 가능한 결과를 도출해내기란 쉽지 않다. 그러나 보안 지표의 영역은 최근 크게 진화하여 보안 책임자들이 보안 프로그램과 기술에 대한 투자 결정을 뒷받침해줄 더 많은 자원을 공급하고 있다.

이제 직원 보안 프로그램(Securing the Human Program)을 통해서, SANS 연구소(SASN Institute)는 보안 임원들에게 자체적 보안 의식 프로그램의 영향을 추적하고 측정할 수 있는 능력을 주기 위해 무료 측정 툴들을 제공하고 있다.

이 프로그램의 훈련 책임자인 랜스 스피츠너에 따르면, 그 툴들은 훈련을 향상시키고, 투자 대비 수익률을 보여주고, 기업 내 인적 위험을 업계 다른 회사들과 비교하는 데 쓰일 수 있다. 모든 자원은 무료며 커뮤니티에 의해, 커뮤니티를 위해 개발됐다고 스피츠너는 말했다.

그 툴에는 다음의 항목들이 들어있다:

지표 매트릭스(Metrics Matrix) – 보안 의식 프로그램 측정을 위한 여러 옵션들을 구분하고 문서화하는 스프레드시트. 지표 매트릭스는 영향 측정(행동 변화)과 규제 준수 추적 측정치를 모두 다 포함한다.

인적 위험 측정 조사(Measuring Human Risk Survey) –가장 최근에 추가됐고 지금도 개발중인 이 25개 문항 조사는 조직내의 인적 위험을 측정하는데 도움을 준다. 각각의 문항과 그에 따른 답변에는 그것들과 연관된 다양한 수준의 위험이 있다. 직원들이 어떻게 반응하느냐에 따라 답변의 총합을 구해서 인적 위험 총계를 파악할 수 있다.

피싱 평가 계획 패키지(Phishing Assessments Planning Package) – 피싱 평가는 당신의 의식 프로그램의 영향을 측정할 수 있는 간단하면서도 효과적인 수단이다. 동시에 핵심 트레이팅 개념을 강화할 수 있는 강력한 방법이기도 하다. 이 패키지는 당신이 성공적인 피싱 평가 프로그램을 단계적으로 계획하고, 구축하며, 이행하도록 몇 가지 템플릿을 포함하여 보조한다고 스피츠너는 말했다.

다음은 CSO가 스피츠너와 측정 툴 사용에 대해 주고받은 일문일답이다.

CSO: 어떻게 이런 측정치-수집 툴을 만들게 되었나?

스피츠너:
그 툴은 보안 의식에 대한 커뮤니티의 필요 때문에 만들어졌다. 나는 그에 관련되거나 각자의 조직에서 보안 의식 프로그램을 이끄는 전문가 약 200명의 개인 이메일 목록을 가지고 있다. 사람들은 그들이 찾고 있는 것을 올리면, 우리는 그 문제 해결을 위한 자원을 여럿이 함께 개발해낸다.

우리가 해결한 첫번째 과제는, 당신의 의식 프로그램이 얼마나 성숙해있는지 파악하는 것을 돕고, 어떻게 당신이 그 위에 더하고 싶은지를 보조해주는 보안 의식 성숙 모델(Security Awareness Maturity Model) 만들기였다. 그 후, 우리는 그룹으로서 보안 의식 로드맵(Security Awareness Roadmap)을 개발하여 어떻게 각각의 성숙 단계에 도달할 수 있는지의 세부사항을 설명했다. 지표에 대한 반복된 요청과 필요가 있었다.

CSO: 보안 의식 지표를 이용하는데 어려움은 무엇인가?

스피츠너:
지표에 대해서는 언제나 몇가지 어려움이 있었듯, 보안 의식 지표도 예외가 아니다. 두가지 명심할 점이 있다.

• 궁극적으로, 지표는 당신의 보안 의식 프로그램의 효과를 측정하고 그것을 향상시키는데 쓰이는 도구다. 가끔 조직들은 그들의 지표에 너무 집착하여 프로그램 자체보다도 지표를 더 중시하여 궁극적 목표를 망각하게 된다. 그럴 경우, 소수의 가장 좋은 지표에만 집중하는 접근방식이 가장 좋다.
• 안타깝게도 좋은 지표를 얻는 것은 쉽지 않다. 좋은 지표는 측정하기 쉬워야 하고(자동화되면 좋다), 일관성 있게 측정돼야 하고(다른 사람이 측정하더라도 같은 결과가 나오도록), 그리고 당신이 행동을 취할 수 있는 것이어야 한다. 나쁜 지표의 본보기로 세계에서 가장 많이 감염된 나라 10개국을 들 수 있다.


X