2017.01.06

'정기적으로 구체적으로'··· 보안 교육을 위한 7가지 팁

Ryan Francis | CSO
보안 인식 교육에 대한 아이디어가 1년에 하루 날 잡아 마라톤 회의하면서 줄곧 파워포인트만 보여주는 것으로 끝낸다면, 그 회사는 분명 잘 못 하고 있는 것이다.



최악의 경우 보안 인식 교육은 직원과 IT 담당자 모두에게 지루하기만 한 시간 낭비로 전락할 수 있다. 하지만, 최선을 다해 보안 문제를 제기하고 더 나은 습관을 위한 토대를 마련할 수 있는 토론 주심의 쌍방향 보안 인식 교육이라면, 모두에게 도움이 될 것이다.

어떻게 하면 건설적인 보안 인식 교육으로 바꿀 수 있을까? 보안 업체 바클리(Barkly)는 보안 교육에 도움이 될 7가지 간단한 팁을 소개했다.

교육 세션을 구체적으로 나눠라
당신은 스티브 잡스가 아니다. 따라서 전사 차원의 기조연설로 직원들의 성취감을 드높이겠다는 꿈을 접고, 특정 사용자 그룹에 맞게 소규모 교육 세션을 제공하는 데 초점을 맞춰라. 관리도 쉬워 질 뿐 아니라 사용자에 맞는 자료로 관련성을 높일 수 있다.

교육 세션은 짧게 마쳐라
직원들은 주의해서 집중할 수 있는 시간은 짧다. 게다가 이들은 그날그날 끝내야 하는 업무량도 있다. 시간을 염두에 두고 교육 세션을 짧게 정리하라. 15~20분이 넘어가는 프레젠테이션은 피하고 너무 세세한 부분까지 들어가거나 옆길로 새지 말아야 한다. 세션이 끝나고 구체적으로 질문하는 직원들에게 일대일로 답변하면서 교육을 이어 가야 한다.

주제를 좁혀서 거기에 집중하라
보안이란, 넓고 큰 주제다. 한 번에 너무 많이 다루려 하지 말아야 한다. 그보다는 일상 업무와 가장 관련성이 높은 특정 정책이나 위협에 초점을 맞춰야 한다. 한 가지 주제나 주요 쟁점을 다루고 확실하게 전달하거나 다음 단계로 넘어가야 한다.

보안 교육은 주기적으로
1년에 딱 한 번 교육하면 직원들은 나머지 364일 동안 보안에 대해 생각하지 않을 수 있다. 그뿐만 아니라 보안이 최우선 순위가 아니거나 일상 업무의 일부가 아니라고 여길 수 있다. 정기 교육 세션을 만들면, 모든 것을 한꺼번에 다뤄야 한다는 부담도 덜 수 있고, 특정 주제에 대해 깊이 파고들며 이전 교육 내용이 잘 전달됐는지도 확인할 수 있다.

최근 사례를 예로 들라
지루한 교육 세션보다 나쁜 것은 이미 과거에 했던 적 있는 교육을 재탕하는 것이다. 이전 교육 자료를 다시 사용할 경우 통계를 업데이트하고 오래된 사례는 최근 사례로 바꿔야 한다. 최신 자료를 참고 문헌에 포함하면 교육이 시기적절하게 느껴질 수 있다.

실행할 수 있게 만들자
참고 자료로 가득 채우지 말고 직원들이 해야 할 일을 줌으로써 이들이 적극적으로 참여하도록 해야 한다. 설정을 변경하거나 의심스러운 이메일을 보고하는지, 또는 실제로 어떤 조처를 해야 하는지 등 질문을 던지면, 훨씬 더 많은 정보를 전달할 수 있다.

경영진도 참여토록 하라
교육은 일반 직원만을 위한 게 아니다. 경영진을 위한 특별 세션도 마련해야 한다. 임원은 스피어 피싱(sphear phishing), 기타 사이버 공격의 대상이 되기 때문이다. 임원들이 교육에 회의적이거나 너무 바쁘다고 생각하면, 해커가 자격 증명과 접근 권한을 탈취할 경우 그것이 얼마나 위험할 수 있는지를 상기시킨다. ciokr@idg.co.kr
 

2017.01.06

'정기적으로 구체적으로'··· 보안 교육을 위한 7가지 팁

Ryan Francis | CSO
보안 인식 교육에 대한 아이디어가 1년에 하루 날 잡아 마라톤 회의하면서 줄곧 파워포인트만 보여주는 것으로 끝낸다면, 그 회사는 분명 잘 못 하고 있는 것이다.



최악의 경우 보안 인식 교육은 직원과 IT 담당자 모두에게 지루하기만 한 시간 낭비로 전락할 수 있다. 하지만, 최선을 다해 보안 문제를 제기하고 더 나은 습관을 위한 토대를 마련할 수 있는 토론 주심의 쌍방향 보안 인식 교육이라면, 모두에게 도움이 될 것이다.

어떻게 하면 건설적인 보안 인식 교육으로 바꿀 수 있을까? 보안 업체 바클리(Barkly)는 보안 교육에 도움이 될 7가지 간단한 팁을 소개했다.

교육 세션을 구체적으로 나눠라
당신은 스티브 잡스가 아니다. 따라서 전사 차원의 기조연설로 직원들의 성취감을 드높이겠다는 꿈을 접고, 특정 사용자 그룹에 맞게 소규모 교육 세션을 제공하는 데 초점을 맞춰라. 관리도 쉬워 질 뿐 아니라 사용자에 맞는 자료로 관련성을 높일 수 있다.

교육 세션은 짧게 마쳐라
직원들은 주의해서 집중할 수 있는 시간은 짧다. 게다가 이들은 그날그날 끝내야 하는 업무량도 있다. 시간을 염두에 두고 교육 세션을 짧게 정리하라. 15~20분이 넘어가는 프레젠테이션은 피하고 너무 세세한 부분까지 들어가거나 옆길로 새지 말아야 한다. 세션이 끝나고 구체적으로 질문하는 직원들에게 일대일로 답변하면서 교육을 이어 가야 한다.

주제를 좁혀서 거기에 집중하라
보안이란, 넓고 큰 주제다. 한 번에 너무 많이 다루려 하지 말아야 한다. 그보다는 일상 업무와 가장 관련성이 높은 특정 정책이나 위협에 초점을 맞춰야 한다. 한 가지 주제나 주요 쟁점을 다루고 확실하게 전달하거나 다음 단계로 넘어가야 한다.

보안 교육은 주기적으로
1년에 딱 한 번 교육하면 직원들은 나머지 364일 동안 보안에 대해 생각하지 않을 수 있다. 그뿐만 아니라 보안이 최우선 순위가 아니거나 일상 업무의 일부가 아니라고 여길 수 있다. 정기 교육 세션을 만들면, 모든 것을 한꺼번에 다뤄야 한다는 부담도 덜 수 있고, 특정 주제에 대해 깊이 파고들며 이전 교육 내용이 잘 전달됐는지도 확인할 수 있다.

최근 사례를 예로 들라
지루한 교육 세션보다 나쁜 것은 이미 과거에 했던 적 있는 교육을 재탕하는 것이다. 이전 교육 자료를 다시 사용할 경우 통계를 업데이트하고 오래된 사례는 최근 사례로 바꿔야 한다. 최신 자료를 참고 문헌에 포함하면 교육이 시기적절하게 느껴질 수 있다.

실행할 수 있게 만들자
참고 자료로 가득 채우지 말고 직원들이 해야 할 일을 줌으로써 이들이 적극적으로 참여하도록 해야 한다. 설정을 변경하거나 의심스러운 이메일을 보고하는지, 또는 실제로 어떤 조처를 해야 하는지 등 질문을 던지면, 훨씬 더 많은 정보를 전달할 수 있다.

경영진도 참여토록 하라
교육은 일반 직원만을 위한 게 아니다. 경영진을 위한 특별 세션도 마련해야 한다. 임원은 스피어 피싱(sphear phishing), 기타 사이버 공격의 대상이 되기 때문이다. 임원들이 교육에 회의적이거나 너무 바쁘다고 생각하면, 해커가 자격 증명과 접근 권한을 탈취할 경우 그것이 얼마나 위험할 수 있는지를 상기시킨다. ciokr@idg.co.kr
 

X