직원들이 정보의 가치를 알고 있나요?

광고 조직의 매우 중요한 자산을 보호할 때 이는 종종 스스로에게 물어야 할 가장 중요한 질문 중 하나입니다 OSCP.

고객을 위해 맞춤형 정보 보안 인식 캠페인을 전개할 때, 우리의 주요 목표는 직원들이 자신이 작업하는 데이터를 존중하고 방어하는 사고방식을 만드는 것입니다. 이를 실현하려면 직원들이 해당 정보의 가치를 완전히 이해하는 것이 필수적입니다.

데이터의 가치를 파악하지 못하는 것은 정보 보안 침해의 주요 원인이 될 수 있습니다. 예를 들어, 민감한 데이터가 휴지통이나 재활용 상자에 버려지고 나중에 ‘쓰레기통 뒤지기’에 노출되는 것이 그 이유입니다. ‘쓰레기통 뒤지기’는 경쟁사의 유용한 정보를 찾기 위해 회사 쓰레기통을 뒤지는 관행을 말합니다.

데이터의 가치를 제대로 파악하지 못하면 ‘기차에 노트북을 두고 가는’ 사건이 많이 발생했는데, 근로자들이 운송을 위해 암호화되지 않은 하드 드라이브에 중요 데이터를 넣은 채 돌아다니는 경우가 있었습니다.

데이터의 가치를 파악하지 못하면 근로자들은 이미 위험한 관행이라고 들은 일을 하도록 스스로를 설득하게 됩니다. 예를 들어 안전하지 않은 건물 Wi-Fi에 연결하여 이메일을 보는 것과 같습니다. 우리 모두는 편리함 때문에 시도해 보려고 유혹을 받았습니다. 우리를 막는 것은 들어오고 나가는 이메일이 얼마나 귀중한지 아는 것입니다. 이 모든 이메일은 안전하지 않은 무선 연결에서 가로채일 수 있습니다.

가치를 전달하다

데이터의 가치는 투명한 정보 분류 테마를 통해 가장 잘 전달됩니다. 예를 들어, ‘공개’, ‘내부’ 및 ‘기밀’ 데이터의 일반적인 레이블을 사용해 보겠습니다. 가치를 전달하는 가장 효과적인 방법 중 하나는 조직 내의 모든 데이터 유형을 고려하고 이러한 제목 아래에 분류하는 것입니다. 이를 투명한 커뮤니케이션으로 전환하여 근로자가 해당 분류에 따라 어떤 정보 유형을 고려해야 하는지 정확하게 상상할 수 있도록 합니다. 또한 직원의 마음에 이를 심어줄 수 있는 매력적이고 재미있는 방법도 있습니다.

분류를 의무화하다

모든 문서의 분류를 의무화하는 것은 또한 이러한 가치에 대한 생각을 삽입하는 데 도움이 됩니다. 근로자가 생성하는 각각의 새로운 데이터 조각에 분류를 지정해야 합니다. 마찬가지로, 그들이 수신하는 모든 데이터는 분류를 위해 즉시 검사해야 합니다. 데이터 조각이 분류 없이 전달되면 분류를 위해 작성자에게 다시 보내는 관행은 결국 이러한 처리 절차가 습관이 될 수 있습니다.

기밀 정보 보호: 당근이냐 채찍이냐?

대부분의 조직에서 실수로 또는 고의로 기밀 정보를 공개하는 것은 징계적 위법 행위가 될 수 있습니다. 이를 데이터의 가치를 동시에 심어주는 캠페인의 일부로 명시하는 한, 종종 매우 효과적일 수 있습니다.

그러나 가장 효과적인 내부 커뮤니케이션 캠페인은 근로자의 목표를 조직의 목표와 일치시킴으로써 성공한다는 점을 명심하세요. 따라서 더 간단한 기술은 근로자에게 직장에서 데이터를 보호하는 것의 개인적 가치를 알리는 것입니다. 직원의 조직 성공에 대한 기여에 대한 인식을 구축하고 이러한 성과의 무결성을 보호해야 할 필요성과 같이 사용될 메시지가 여러 가지 있습니다. 정보 침해가 얼마나 파괴적인지를 함께 전달할 수도 있습니다. 예를 들어, 손실된 수익이나 정보 위원 사무소의 벌금을 통해서입니다. 데이터 침해로 인해 조직이 더 이상 이전과 같은 규모로 운영할 수 없을 정도로 경쟁 우위를 잃을 수도 있습니다. 이는 데이터 보안 개념을 직무 보안과 연관시킵니다.

매우 비밀스러운가요?

그런데, 저는 보통 완전히 다른 수준의 기밀 정보를 보유하는 것이 현명한 관행인지 아닌지 질문을 받습니다. 예를 들어, 기밀과 ‘매우 기밀’ 또는 ‘매우 기밀’입니다. 커뮤니케이션 관점에서, 이런 종류의 관행은 명확하게 계획하고 전달하지 않으면 종종 해로울 수 있다는 점에 유의할 가치가 있습니다. 예를 들어, 근로자는 일부 데이터 항목이 다른 데이터 항목보다 더 기밀인 이유에 대해 혼란스러워할 것입니다. 동시에 낮은 수준의 기밀성에 대한 인식된 중요성을 약화시킬 위험이 있습니다. 제 권장 사항은 분류가 배포 목록별(즉, 정보에 액세스할 사람)인지, 처리 절차별(즉, 데이터를 처리하는 방법)인지, 또는 두 가지가 혼합된 것인지에 대해 지속적으로 명확하게 하는 것입니다.