6. 직원의 불만에서 비롯되는 위험
어떤 위험관리자도 직원을 분노하게 만들고 싶어 하지 않는다. 만약 화나게 하길 원한다면, 인터넷과 컴퓨터 사용을 제한하는 제어를 시행하면 된다. 모든 악성 데이터 유출 원인의 70~90%가 엔드유저다(피싱 및 사회공학 기법을 통해). 조직을 보호하려면 엔드유저를 믿어서는 안 된다.
인터넷 액세스를 제한하거나 사전 승인한 프로그램만 실행하게 하는 등 엔드유저의 권한을 제한한다는 언급만 해도 직원 대다수의 적대감을 초래한다. 노동 시장은 팽팽하다. 모든 회사는 컴퓨터 및 인터넷 사용 제한을 듣고 싶어 하지 않는 유능한 직원을 구하는 데 애를 먹고 있다. 너무 많이 제재하면, 직원들은 다른 곳에서 일할 수 있다.
7. 고객의 불만족에서 비롯되는 위험
고객을 짜증 나게 만드는 정책이나 절차를 실행하려는 사람은 없다. 화난 고객은 다른 회사의 고객이 될 수 있다. 예를 들면, 신용카드 회사는 카드 사기를 막는 것보다 실수로 결제 승인이 거부되는 것을 훨씬 더 걱정한다.
카드 사기를 신경 쓰긴 하지만, 이는 장기적인 차원으로 본다. 하청업체들은 신용카드 사가 합법적인 거래를 거부하지 않도록 정확한 카드 거래를 지원하는 서비스를 판매한다. 한 해에 두 번 이상 부당하게 거절당한 고객은 다른 회사의 신용카드를 사용할 것이다.
실제로 미국에서 전자칩 카드에 PIN 번호를 이용하지 않는 이유가 고객의 저항이다. 전자칩과 PIN 번호를 모두 요구하는 것이 훨씬 안전한 옵션인데도 말이다. 상인과 소비자는 이미 PIN 번호 없이 카드를 긁는 방식에 익숙해졌다. 전자칩이 정확히 읽히도록 카드를 삽입하라는 요청은 약간의 거래 실패와 고객의 짜증을 유발했다.
8. 최첨단에서 발생하는 위험
최첨단에 있는 사람들은 종종 도태된다. 선봉에 기꺼이 서기를 원하는 사람은 드물다. 얼리어답터가 초기에 보상받는 경우도 드물다. 얼리어답터는 흔히 업계의 다른 사람들에게 그가 사용한 전략이 아닌 다른 전략을 채택해야 할 것이라는 교훈을 남기고 사라진다.
미국 국립표준기술연구소(NIST)는 2년 전 길고 복잡한 비밀번호를 자주 변경해 사용하도록 요구하는 정책이 오히려 더 많은 해킹을 야기했다고 지적했다. NIST의 새로운 디지털 ID 가이드라인(NIST Special Publication 800-63-3)에 따르면 비밀번호는 짧고 복잡하지 않으며, 비밀번호가 노출되지 않는 한 변경을 강요하지 않아야 한다. 이는 정설로 받아들여진 기존의 권장 사항과 180도 반대되는 권고다.
나는 새롭게 등장한 가이드라인을 채택한 어떤 회사도 보거나 들은 적이 없었다. 새로운 가이드라인은 좋지만 바꾼 정책으로 인해 해킹을 당했다면 NIST가 옳다고 했더라도 자신이 비난받을 것이기 때문이다. 업계 대부분이 새로운 정책으로 움직이고, 옳고 그름이 판가름날 것을 기다리는 게 훨씬 더 안전하다.