직원 사이버 보안 교육에 반드시 포함되어야 할 세 가지 필수 사항

모든 기업 환경은 고유하기 때문에 직원 사이버 보안 교육에 "획일적인 접근 방식"을 적용하는 것은 일반적으로 바람직하지 않습니다. 예를 들어, 직원들이 업무에 개인 기기를 활용하도록 장려하는 회사는 BYOD(Bring Your Own Device) 관련 모범 사례 교육에 집중해야 하는 반면, 의료 기관은 HIPAA(미국 의료정보 보호법) 준수 교육에 주력해야 할 수 있습니다.

하지만 몇 가지 정보 보안 원칙은 모든 조직의 직원들이 반드시 알아야 할 중요한 사항입니다.

1. 비밀번호 생성 시 권장 사항: 8자 이상의 문자와 영숫자 조합을 사용하는 강력한 비밀번호를 만드는 것은 직원들에게 다소 불편할 수 있지만, 정보 보안을 위해서는 필수적입니다. 직원들에게 생일이나 가족 구성원의 이름처럼 쉽게 추측할 수 있는 정보와는 무관한, 암호화된 비밀번호를 만들도록 권장하십시오. 비밀번호를 잊어버리거나 찾는 데 시간을 낭비하고 싶어 적어두는 직원에게는 사무실 내 안전한 보관 장소를 제공하는 것도 좋은 방법입니다.

2. 피싱 식별: 피싱 공격, 즉 허위 정보를 이용해 개인 정보를 요구하는 이메일은 가장 오래된 수법 중 하나입니다. 안타깝게도 여전히 가장 흔하고 성공적인 수법이기도 합니다. 보안 컨설팅 회사인 CynergisTek의 연구에 따르면 2014년 전 세계 기업들은 피싱 공격으로 14억 450만 달러의 손실을 입었습니다. 또한 피싱 공격 피해자 중 74%가 링크를 클릭했는데, 이 링크는 개인 정보 유출을 유도하거나 악성 소프트웨어를 실행하는 경우가 많았습니다. 따라서 피싱 교육의 최우선 과제는 알 수 없는 발신자가 보낸 링크는 매우 신중하게 확인한 후에만 열어야 한다는 점을 강조하는 것입니다. 예를 들어, 직원들은 링크에 마우스를 올려놓고 실제 URL이 메시지에 입력된 주소와 일치하는지 확인하는 교육을 받아야 합니다.

3. 소프트웨어 정책에 대한 지식: 만약 당신이 회사에서 중요한 역할을 맡고 있다면 보안 전략, 가장 듣기 싫은 소식은 직원이 재미있는 새 게임이나 프로그램을 다운로드했다는 것입니다. 악성 소프트웨어 감염으로 이어지는 경우가 너무나 많기 때문입니다. 직원들이 소프트웨어 다운로드에 대한 회사 정책을 확실히 이해하도록 해야 합니다. 필요하다면 관련 시험을 치르게 하고 통과하도록 하는 것도 좋은 방법입니다.

직원 교육은 정보 보안 계획의 핵심 요소이지만, CIO 또는 CISO로서 다른 보호 계층도 필요하다는 것을 잘 알고 계실 것입니다. 직원 교육을 통해 어떻게 보안을 강화할 수 있는지 알아보세요. 보안 자동화 및 오케스트레이션 플랫폼 방어력을 강화할 수 있습니다.