2013.09.25

앙심 품고 퇴사한 직원으로부터 기업 정보를 보호하는 방법

John S. Webster | Network World
퇴사하는 대부분의 직원은 정직하다. 하지만 좋지 않게 회사를 떠나게 된 직원은 기업 전산망에 접속해 정보를 빼갈 수도 있다.

전직 직원으로부터 기업의 자산을 보호하는 것은 더 어려운데 오늘날과 같이 기업정보가 클라우드부터 BYOD 스마트폰까지 여러 군데 분산되어 있는 상황에서는 더욱 그러하다.

전직 직원으로부터 기업정보를 보호하기 위한 방법을 다음과 같이 제시한다.

모든 기기에 대한 권한해제
프라이스워터하우스쿠퍼스(PwC)에서 리스크 관리를 담당하고 있는 조 드비토는 퇴임자에 대한 권한해제가 바로 데이터 보호의 출발점이 돼야 한다고 주장했다.

“퇴사자의 권한해제에 대해 고심하는 기업들이 많다. 네트워크 수준에서는 권한해제가 잘 이뤄지고 있을지 모르겠지만 애플리케이션 수준에서는 그렇지 않을 수도 있다. 애플리케이션 수준의 접근에 대한 통제는 분산돼 있는 경우가 많고 애플리케이션 오너나 사업부에 속해있을 수도 있다”고 드비로는 말했다.

또한 그는 기업에 모든 애플리케이션 오너에 대한 종료고지를 제공하는 절차가 수립돼 있어야 한다고 언급했다. 드비로는 권한해제에는 다소 복잡한 부분이 있는데 특히 데이터 오너와 IT기능간 데이터 접근 관리 및 유관 통제수단이 분리돼 있을 때 더욱 그러하다고 지적했다.

“사용자 권한해제와 관련한 설계 및 운용과 관련한 통제 리스크가 있다. 기업에서는 직원들이 어느 수준까지 기업 정보에 대한 접근권한을 가지고 있는지 상세히 알고 있어야 한다. 누가 데이터에 대한 권한과 현재의 접근권한을 가지고 있는지를 확인하고 접근권한의 변경이 필요할 때 여러분이 직접 당사자들간의 커뮤니케이션을 이끌어 내야 한다. 많은 경우 리스크 관리 해결은 원활한 커뮤니케이션을 통해 이루어 지는 경우가 많기 때문이다”고 그는 밝혔다.

사무가구 전문회사인 스틸케이스에서는 필요에 맞게 수정한 마이크로닷넷 툴이 접근권한 해제의 임무를 담당하고 있다. 그리고 IT부서가 HR부서와 긴밀히 연결되어 있다.

스틸케이스의 CEO인 밥 크래스타코스(Bob Krestakos)에 따르면 넷툴은 여러 시스템에 도달하기 위해 다양한 표준 API를 사용하고 사용자 계정을 접근불가로 만들어 버리거나 아예 제거하기도 한다. 예를 들어, 이메일 계정은 일시중지 되거나 삭제될 수도 있고, 엑티브 디렉토리(Active Directory)에 대한 접근 역시 사라질 수도 있다. 셰어포인트에 대한 접근은 이 애플리케이션을 통해 제거되었다. 내부 쇼설미디어에 대한 접근과 제품개발 시스템은 이러한 방법으로 관리되었다. 닷넷툴은 SAP ID와 제품 개발에 있어서의 PTC 제품 데이터 볼트(product data vault)를 제거한다고 그는 덧붙였다.

또한 그는 애플리케이션이 자동적으로 이메일 통보를 사용자 계정 관리자에게 보내 이에 대해 추적하게 한다고 말했다.

“닷넷툴을 이용하면 대규모 IT환경에서 모든 시스템에 대한 접근을 쉽게 차단할 수 있다. 몇 단계에 해당하는 일을 자동화 시켜 진행할 수 있다”고 크레스타코스는 전했다. 또한 그는 이 모든 과정에 HR부서에 의해 추진된다고 덧붙였다.

“기업전략이나 제품개발과 같은 민감한 데이터를 보유하고 있는 부서의 직원이 퇴사할 때 이들이 퇴사하기 전에 권한해제 절차를 진행한다. 또는, 퇴사자가 속한 부서장에게 이를 통보하여 그의 동의를 받기 전까지는 계정을 살려둔다”고 크레스타코스는 말했다.




2013.09.25

앙심 품고 퇴사한 직원으로부터 기업 정보를 보호하는 방법

John S. Webster | Network World
퇴사하는 대부분의 직원은 정직하다. 하지만 좋지 않게 회사를 떠나게 된 직원은 기업 전산망에 접속해 정보를 빼갈 수도 있다.

전직 직원으로부터 기업의 자산을 보호하는 것은 더 어려운데 오늘날과 같이 기업정보가 클라우드부터 BYOD 스마트폰까지 여러 군데 분산되어 있는 상황에서는 더욱 그러하다.

전직 직원으로부터 기업정보를 보호하기 위한 방법을 다음과 같이 제시한다.

모든 기기에 대한 권한해제
프라이스워터하우스쿠퍼스(PwC)에서 리스크 관리를 담당하고 있는 조 드비토는 퇴임자에 대한 권한해제가 바로 데이터 보호의 출발점이 돼야 한다고 주장했다.

“퇴사자의 권한해제에 대해 고심하는 기업들이 많다. 네트워크 수준에서는 권한해제가 잘 이뤄지고 있을지 모르겠지만 애플리케이션 수준에서는 그렇지 않을 수도 있다. 애플리케이션 수준의 접근에 대한 통제는 분산돼 있는 경우가 많고 애플리케이션 오너나 사업부에 속해있을 수도 있다”고 드비로는 말했다.

또한 그는 기업에 모든 애플리케이션 오너에 대한 종료고지를 제공하는 절차가 수립돼 있어야 한다고 언급했다. 드비로는 권한해제에는 다소 복잡한 부분이 있는데 특히 데이터 오너와 IT기능간 데이터 접근 관리 및 유관 통제수단이 분리돼 있을 때 더욱 그러하다고 지적했다.

“사용자 권한해제와 관련한 설계 및 운용과 관련한 통제 리스크가 있다. 기업에서는 직원들이 어느 수준까지 기업 정보에 대한 접근권한을 가지고 있는지 상세히 알고 있어야 한다. 누가 데이터에 대한 권한과 현재의 접근권한을 가지고 있는지를 확인하고 접근권한의 변경이 필요할 때 여러분이 직접 당사자들간의 커뮤니케이션을 이끌어 내야 한다. 많은 경우 리스크 관리 해결은 원활한 커뮤니케이션을 통해 이루어 지는 경우가 많기 때문이다”고 그는 밝혔다.

사무가구 전문회사인 스틸케이스에서는 필요에 맞게 수정한 마이크로닷넷 툴이 접근권한 해제의 임무를 담당하고 있다. 그리고 IT부서가 HR부서와 긴밀히 연결되어 있다.

스틸케이스의 CEO인 밥 크래스타코스(Bob Krestakos)에 따르면 넷툴은 여러 시스템에 도달하기 위해 다양한 표준 API를 사용하고 사용자 계정을 접근불가로 만들어 버리거나 아예 제거하기도 한다. 예를 들어, 이메일 계정은 일시중지 되거나 삭제될 수도 있고, 엑티브 디렉토리(Active Directory)에 대한 접근 역시 사라질 수도 있다. 셰어포인트에 대한 접근은 이 애플리케이션을 통해 제거되었다. 내부 쇼설미디어에 대한 접근과 제품개발 시스템은 이러한 방법으로 관리되었다. 닷넷툴은 SAP ID와 제품 개발에 있어서의 PTC 제품 데이터 볼트(product data vault)를 제거한다고 그는 덧붙였다.

또한 그는 애플리케이션이 자동적으로 이메일 통보를 사용자 계정 관리자에게 보내 이에 대해 추적하게 한다고 말했다.

“닷넷툴을 이용하면 대규모 IT환경에서 모든 시스템에 대한 접근을 쉽게 차단할 수 있다. 몇 단계에 해당하는 일을 자동화 시켜 진행할 수 있다”고 크레스타코스는 전했다. 또한 그는 이 모든 과정에 HR부서에 의해 추진된다고 덧붙였다.

“기업전략이나 제품개발과 같은 민감한 데이터를 보유하고 있는 부서의 직원이 퇴사할 때 이들이 퇴사하기 전에 권한해제 절차를 진행한다. 또는, 퇴사자가 속한 부서장에게 이를 통보하여 그의 동의를 받기 전까지는 계정을 살려둔다”고 크레스타코스는 말했다.


X