새로운 업무 방식에 적응하기: 열쇠는 사이버 보안 프로그램
우리는 매일 아침 동기화를 진행합니다. 정형화된 것은 아닙니다. 업무를 비롯하여 무엇이든 얘기할 수 있죠. 이렇게 서로 소통하면서 더 강한 팀으로 거듭나고 있어요.
그리고 하루 종일이 아니라 매일 일하게끔 스케줄을 짜는 것이 좋습니다. 벽걸이 달력, 화이트보드 등 시각적 관리 도구를 활용해서 시간, 산출물, 이벤트 등을 추적하고 관리하면 좋습니다. 그리고 잠깐 바깥바람을 쐬며 걷는 시간이 꼭 필요합니다. 아침에 일어나면 규칙적으로 스트레칭하는 것도 잊지 마세요.
@3ncr1pt3d | LinkedIn
우수한 사이버 보안 프로그램을 개발하는 것과 관련하여 3가지를 조언하고 싶은데요, 이 프로그램이 제 기능을 하게 만드는 사람들이 그 중심에 있습니다. 좋은 프로그램은 좋은 사람들이 있어야 가능합니다. 옵션은 다음과 같습니다.
늘 서로 존중하고, 새로운 아이디어와 접근법에 관심을 가져주세요. 기꺼이 경청하고, 상대방으로부터 배워야 합니다. 협업, 공조, 소통의 분위기를 조성해야 합니다.
계속 팀을 훈련하고 육성하세요. 사람에 투자해야 합니다.
다양성의 가치도 빼놓을 수 없습니다. 자신의 한계 및 지식을 넘어서면서 새로운 위협에 선제적으로 대처해야 합니다.
원격 근무는 대다수의 사람들에게 완전히 새로운 경험입니다. 예전에도 금요일을 재택 근무일로 지정하곤 했지만, 완전한 원격 근무 체제는 전혀 다른 문제입니다. 우리는 보안 실무자로서 예전보다 더 자주 지침을 제공해야 합니다.
두 번째로, 명확하고 반복 가능한 프로세스 사용을 염두에 두어야 합니다. 직원들이 원격으로 일하므로, 이 요구 사항을 확실히 규정하기가 수월합니다. 대면 소통이 여의치 않아 잘못될 가능성도 높습니다. 성공적인 원격 근무를 위해 세 번째로 기억할 것은 보안의 보편화(democratization)입니다. 직원이 안심하고 안전하게 일할 수 있도록 MFA와 같은 보안 툴을 제공해야 합니다.
@gattaca | LinkedIn
사이버 보안 프로그램이 성공을 거두려면 이사회와 경영진의 전폭적인 지지와 후원이 있어야 합니다. 이들이 모범을 보여줘야 프로그램이 제대로 자리잡을 수 있습니다. 올바른 툴과 프로세스 이용이 매우 중요하지만, 결국 성패는 직원들에 달려 있습니다.
@j_opdenakker
각 직원은 업무를 수행하면서 회사의 보안에 기여할 수 있음을 인식해야 합니다. 따라서 보안 팀은 기술적인 능력뿐만 아니라 그보다 훨씬 더 중요한 소프트 스킬, 즉 소통 및 대인 관계 관리 능력도 갖춰야 합니다.
보안 팀이 항상 반대만 하는 집단으로 비춰지면 안 됩니다. 어떤 행동이 잠재적 보안 위험이 되는 이유를 당사자에게 제대로 설명할 수 있어야 합니다. 보안이 중요한 이유를 이해하고 보안을 걸림돌로 여길 필요가 없음을 알게 된 직원은 스스로 행동을 바꿀 것입니다. 더 나아가 강력한 보안 지지자가 되어 조직 차원의 보안을 개선하는 데 기여할 수도 있습니다.
디지털 혁신을 받아들이는 것은 이제 선택이 아니라 필수입니다. 기업에서 확장 가능한 방식으로 보안을 제공하려면, 더 강력한 가시성을 확보하여 무엇을 보호해야 하는지를 파악하고 위협 조사, 추적, 제거와 같은 주요 보안 워크플로우를 자동화해야 합니다.
기업의 보안 전략에서 직원을 중심에 두는 문화적 변화도 필요합니다. 다시 말해 직원들에게 충분한 정보를 제공하고, 피싱 사기와 같은 잠재적 위협에 대해 교육하며, 새로운 업무 방식에 적합한 기술을 제공해야 합니다.
@geerittenhouse | LinkedIn
평소대로 일할 수 없다면 100% 정상입니다. 상황이 달라졌으니까요. 우리는 저마다 다른 방식으로 대응하고 있습니다. 이 시기에 오히려 생산성을 발휘하는 운 좋은 사람이 있는가 하면, 간신히 버티고 있는 사람도 있습니다. 자신과 맞서지 말고 좋은 파트너로 삼아야 합니다. 나를 위해 필요하다면, 쉬는 시간을 갖거나 상사에게 어려움을 얘기하세요.
사용자들은 가장 약한 고리가 아니라 가장 든든한 우군입니다. 이들이 회사를 안전하게 지킬 수 있도록 도와야 합니다. 그러려면 지속적인 대화가 필요하죠.
@StephandSec | LinkedIn
지난 몇 달간 제가 되뇌는 문구들이 있습니다. “좋은 기회가 될 위기를 놓치지 말 것” “일찍 행동하고, 빠르게 움직이며, 겸손하라.”“즉시 조치하고 적응하며 극복한다.” 하지만 길고 힘든 시기에 정말 큰 힘이 되는 조언을 하나만 꼽는다면, 제 오랜 멘토가 자주 했던 말을 선택하겠습니다. “항상 사람들과 적당히 호의적인 관계를 유지해 둬야 한다. 그래야 위기가 닥쳤을 때 의지할 수 있거든.”
우리는 3가지 중대한 조치에 나섰습니다. 교직원과 학생에게 필요한 업무용 툴을 제공하고, 합당한 보안 기능을 추가하며, 직원을 대상으로 보안 위협에 관해 교육했습니다. 그런 다음 끊임없이 메시지를 전달해야 했습니다. 참여와 소통이 비결이었습니다. 각자의 집을 사이버 위협으로부터 안전하게 지킬 방법에 관한 유익하고 합당하며 간결한 조언을 세심한 태도로 전달했습니다.
쉽지는 않았습니다. 하지만 훌륭한 팀워크와 리더십이 있다면 위대한 일을 해낼 수 있습니다. 두려움 때문에 꿈을 포기하지 마세요.
@FailsafeQuery | LinkedIn
보안 침해의 상당수는 고용주가 직원에게 투자하지 않아 발생합니다. 우리 팀에 투자하지 않으면 우리 스스로를 위험에 빠뜨리는 것입니다. 보안 팀을 제대로 지원하려면 지속적인 교육과 함께 정신 건강 관리에도 관심을 기울여야 합니다.
정보 보안 팀은 번아웃을 겪기 쉽습니다. 일과 생활의 균형을 찾기가 쉽지 않으니까요. 기업, 또는 경영자의 입장에서 직원이 균형잡힌 삶을 영위할 수 있도록 리소스와 지원을 제공할 책임이 있습니다. 그리고 잊지 마세요! 보안 팀이 없었다면 제품을 내놓지도 못했을 것입니다. 그러니 잘 대해주어야 합니다. 회사 전체가 그 팀에 의존하니까요.
@ChloeMessdaghi | LinkedIn
이 새로운 업무 방식을 받아들이려면, 우리 회사에 가장 효과적인 방법을 찾아야 합니다. 원격 근무 또는 재택 근무에서 가장 중요한 것은 유연성과 포용성이며, 가장 효과적인 지원이 가능한 업무 환경을 마련해야 합니다.
보안은 사람, 프로세스, 기술로 이루어집니다. 사람이 맨 앞에 오는 이유가 있습니다.
보안/기술이 사용자를 위해 제 기능을 하도록, 즉 사용자에게 불리하게 작용하지 않게끔 수용해야 합니다. 아울러 사용자의 워크플로우에 부합하는, 일하는 삶을 증진시킬 프로세스도 마련해야 합니다.
@RoseSecOps | LinkedIn
각자에게 알맞은 루틴을 정해두면, 위기를 극복하고 임무를 수행하는 데 도움이 됩니다. 하지만 나만의 업무 공간이 없다면 힘들어집니다. 재택 근무를 시작했지만, 홈 오피스 공간을 마련하지 못한 사람도 있기 마련입니다. 우리 모두 동료들의 재택 근무 방식을 양해해 주면서 소속 팀 전체에 유익한 방향으로 이끄는 법을 배워야 합니다. 당장 서로 돕는 한편 이 분위기를 이어가야 합니다. 이 새로운 업무 방식이 점점 더 진화할 테니까요.
인식을 제고하고, 원격이든 아니든 안전한 일터를 마련하기 위해서는 기존 문화의 틀에서 움직여야 합니다. 직원들에게 이미 전달되고 있는 메시지, 이들에게 주어진 과제, 이들이 소중히 여기는 가치와 "성공"의 기준, 선호하는 학습 방식 및 일하는 방식과 연계해야 합니다.
훌륭한 사이버 보안 프로그램을 정착시키려면 직원들을 가장 잘 이해하는 사람으로서 그들과 함께하려고 노력해야 합니다. 직원들이 원하는 업무 방식, 그들이 생각하는 성공의 기준과 계속 부딪치면 안 됩니다. 직원들의 진정한 참여를 이끌어낸다면 절반 이상 해낸 것입니다.
@Jenny_Radcliffe | LinkedIn
저만의 3가지 팁을 공유하고 싶습니다.
지금은 상황상 전술적 과제에 주력하게 됐지만, CISO 본연의 임무는 보안 프로그램의 전략적 방향을 설정하는 것임을 잊지 마세요. CEO라면 사정을 봐 줄 지도 모르지만, 규제 기관은 그렇지 않을 것입니다.
이번 위기를 기회로 삼아 벤더들로부터 더 큰 지원을 받으세요.
원격 근무 직원들 때문에 보안 팀의 부담이 커졌습니다. 더 강력한 엔드포인트 모니터링 및 IAM(Identity and Access Management) 솔루션을 구현해야 했으니까요. 이번 위기를 놓치지 말고 사내 지원과 예산을 늘려서 필요한 이니셔티브를 추진하세요.
사이버 보안 프로그램을 개발, 구현, 운영하는 데는 수많은 요인이 작용하지만, 그중에서 가장 관심을 받지 못하는 구성 요소를 꼽으라면 비즈니스 연속성 계획일 것입니다. 비즈니스 연속성 계획이 없는 상태에서 문제가 생기면, 비즈니스 연속성이 아니라 재해 복구 조치에 들어가야 합니다. 회사는 훨씬 더 큰 타격을 입을 수도 있습니다.
@marktw | LinkedIn
재택 근무에서는 일과 개인 생활을 명확히 구분하는 것이 중요합니다.
제 경우에는 아침에 일과를 시작하고 저녁에 마무리할 때 출퇴근하던 시절과 최대한 비슷하게 행동한 것이 크게 도움이 되었습니다. 사무실에 출근하는 데 걸린 시간만큼 음악과 팟캐스트를 듣고 강아지와 함께 돌아다녔더니 훨씬 더 기분 좋게 하루를 시작할 수 있었습니다. 그리고 일을 다 하면 업무를 종료했습니다. 정말 효과적이었습니다.
보통 보안의 요소는 사람, 프로세스, 기술을 말합니다. 중요도 역시 이 순서대로입니다. 사람들의 문화가 프로세스에 영향을 주고, 이 프로세스는 기술을 구매하고 구현하는 결정에 영향을 줍니다. 따라서 사람을 출발점으로 삼는 게 중요합니다.
지금과 같은 시대에는 각 직원이 보안 팀의 일원이기 때문입니다. 모든 사람이 참여해야 합니다.
@TriciaKicksSaaS | LinkedIn
이렇게 일하는 방식이 새롭게 느껴질 수도 있지만, 사실 재택 근무의 규모만 달라진 것입니다. 많은 회사에서 예전부터 직원들이 다양한 장소에서 또는 이동하면서 일하는 재택 근무를 허용했으니까요.
지금은 모든 직원이 재택 근무를 하기 때문에 그 경계가 훨씬 더 확장된 것뿐입니다. 클라이언트 시스템이 회사 네트워크에 연결되어 있지 않더라도 패치를 적용할 방법을 찾아야 합니다.
위험이 더 늘어나거나 줄어든 게 아님을 명심하세요. 달라졌을 뿐입니다.
@quentynblog | LinkedIn
기초 상식과 오래 전부터 검증된 조언을 따르라고 말씀드리고 싶습니다. 너무 많이 생각하고, 감정을 쏟아부어 상황을 복잡하게 하지 마세요. 오히려 이번 사태를 계기로 적어도 10년 전에 했어야 할 일을 드디어 시작하게 된 셈입니다.
내부자 위협, 액세스 제어, 변경 관리 및 설정 관리, 자산 재고 관리, 보안 원격 액세스와 관련하여 이미 효과를 거두고 있는 보안 통제와 모범 사례를 적용하세요.
@blackCyberDude | LinkedIn
복리후생 차원에서 탄력 근무제를 도입해야 한다는 주장은 종종 제기되었지만, 틀을 완전히 깨야 한다는 두려움 때문에 선뜻 나서지 못한 곳도 있었습니다. 하지만 이번 팬데믹으로 전 세계 많은 지역에서 어떤 형태로든 봉쇄 조치가 시행됐고, 우리는 진화할 수밖에 없었죠.
학생, 자녀, 배우자 등이 모두 개인용 무선 네트워크에서 원격으로 일하거나 공부하기 시작하면서 보안 위협 환경이 확장되었고, 여기서 중대한 보안 문제가 생겼습니다. 이러한 시스템에 대해 완전한 세그멘테이션이 이루어지지 않아 어떤 시스템의 위험이 다른 시스템으로 확산되고 결국 조직 전체가 위험해질 수도 있습니다.
목표, 결과, 감독의 삼박자가 제대로 이루어진다면, 직원의 역량에 따라, 원격 근무 모델이 일반적인 온프레미스 사무실 환경을 능가하지는 않더라도, 그에 못지않은 효과적인 시스템으로 자리잡을 수 있습니다.
@MatthewPascucci | LinkedIn
재택 근무 체제에서는 온갖 BYOD 문제가 발생하기 마련입니다. 당연히 BYOD/사용 제한 정책을 검토하고, 원격 디바이스 관리에 새롭게 초점을 맞춰야 합니다.
공격자들은 코로나19를 이용하여 피싱 공격을 시작했지만, 덕분에 이번 위기를 피싱에 대한 경각심을 높이고 지속적인 교육을 준비할 기회로 삼을 수 있습니다. 또한 새로운 보안 구현에 대한 사용자 교육이 기업의 디지털 혁신 커리큘럼에서 얼마나 중요한 비중을 차지하는지도 강조하고 싶습니다.
@vkeong | LinkedIn
모든 기업에게 최소한 보안 프레임워크를 구현하라고 조언하고 싶습니다. 기술 외적인, (관리 및 물리적 차원의) 보안 통제를 테스트하고 구현하는 것보다 첨단 시스템을 갖추는 데 집중하는 경우가 많습니다. 여러 계층의 다양한 제어 유형으로 중요 자산을 보호하지 않는다면 아무리 좋은 기술 솔루션이 있더라도 무용지물입니다.
그 다음 단계는 비즈니스 영향 분석을 진행하여 IT 및 재해 복구 이외의 영역까지 포괄하는 비즈니스 연속성 계획을 마련하는 것입니다. 제가 만나본 기업 중 상당수는 연례 기술 테스트, 또는 기타 필수 기술 테스트에 집중하는 편입니다. 하지만 위험 요소와 그 영향을 면밀하게 검토함으로써 널리 확산되는 사태에서 획기적인 해결책을 마련할 수도 있습니다.
@Ghostmath1 | LinkedIn