| [IAM-6]보안, 투자대비 교육에는 인색 | 2008.12.26 | |
보안 담당자 및 최종사용자, 일회성 교육으로 끝내면 안돼
IAM 프로젝트의 경우, 보안 담당자는 물론이고 최종사용자에 대해서도 교육이 필요하며 이 같은 교육이 일회성으로 끝나서는 안 된다. ■ 보안 관리자 및 운영진 구현 프로젝트가 시작되기 전에 미리 보안 담당자들에게 새로운 ID 관리 툴에 대한 교육을 실시해야 한다. 그래야만 보안 담당자들이 구조 설계에 반영해야 할 개념과 기본 원리에 대해 이해할 수 있다. 프로젝트 도중에 교육을 받고 돌아온 보안 담당자가 프로젝트 진행 방향에 대한 새로운 아이디어를 제시하는 바람에 IAM 프로젝트가 방향을 잃거나 지연되는 경우가 너무나 많다. 따라서 구현 프로젝트를 개시하기 전에 미리 보안 담당자들에 대한 교육을 실시하고 이들을 사전 의사결정에 참여시키는 편이 훨씬 더 효과적이다. ■ 최종사용자 최종사용자에게도 각자의 업무에 활용될 새로운 기능에 대한 교육이 필요하다. 사용자 개개인마다 각자에게 효과적인 학습 방식이 다르다는 점을 감안하며 다음과 같이 다양한 형태의 교육 프로그램을 마련하는 것이 좋다. ▲ 자율학습 방식의 인터넷 학습 인터넷 사용에 익숙하고 스스로 진도를 조절할 수 있는 학습 방식을 선호하는 사용자들을 위한 프로그램 ▲ 강사가 진행하는 인터넷 강의 자세한 설명을 원하는 사용자들을 위한 프로그램 ▲ 강사가 진행하는 강의실 수업 및 인쇄본 교재 책으로 만들어진 정식 교재와 필요할 때마다 강사에게 질문할 수 있는 수업 방식을 선호하는 사용자들을 위한 프로그램 ■ 지속적 교육 모든 조직 구성원들에게 일정한 형태의 지속적인 교육 프로그램이 제공되어야 한다. 최종사용자를 대상으로 하는 교육의 경우, 3~6개월에 한번씩 교육 프로그램을 준비하고 이를 정기적인 사내 공지를 통해 홍보하는 방식이 현실적이다. 그러기위해서는 IAM 구현을 책임지는 보안 담당자들의 경우에는 보다 공식적인 교육 방식이 필요하다. 정확한 교육 주기를 결정하기 위해서는 보안 조직 내부의 직무 변경이 얼마나 자주 이루어지는지 조사가 필요하겠지만, 아마도 6~9개월 간격으로 교육을 실시하는 것이 현실적인 방법일 것이다. 6~9개월 정도의 시간이면 시스템을 담당하는 보안 조직 내부에서 적지 않은 변동이 발생할 수 있다. [글ㆍ조상원 한국CA 보안 시니어 컨설턴트 Sangwon.cho@ca.com] [김정완 기자(boan3@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||
 |
