| 보안의 주체는 보안부서가 아닌 직원 개개인 | 2009.04.21 | ||
\r\n
사실 보안영역은 보안부서의 독립적인 역할만으로 이루어질 수 없고, 타 부서의 협조와 직원들의 능동적인 참여가 있어야 가능한 분야이다. 보안사고가 일어나서 조사를 하다 보면 그 원인은 기술이나 정책이 받쳐주지 못해서라기보다는 대부분 정보소유자의 관리소홀이나 부주의에 있다는 것만 보더라도 각 업무영역의 담당자들이 보안주체로서 기능하는 것이 얼마나 중요한지 새삼 깨닫게 된다. \r\n\r\n \r\n 직원들을 보안의 적극적인 참여자로 끌어들이기 위해서는 어떻게 해야 할까? 보안부서의 역할과 보안의 중요성, 그리고 지키고 통제해야 할 영역이 무엇이고, 또 어떻게 지켜질 수 있는지 알려야 한다. 인트라넷에 Security를 홍보할 수 있는 페이지를 구축할 수도 있고, 신입직원과 신임관리자 등에 대한 보안교육 등을 통해 보안부서의 역할과 직원 및 관리자의 역할과 책임 등을 효과적으로 전달할 수도 있을 것이다. 이러한 직원들과의 접촉면을 통해서 ‘우리 회사의 경쟁력을 지켜주는 것이 보안부서가 아닌 본인들 개개인’이라는 메시지를 주어야 하고, 보안장치와 솔루션들이 본인들을 통제하기보다 우리 모두를 더 안전하고 경쟁력 있게 지켜주는 역할을 하고 있다는 것을 알릴 필요가 있다. \r\n\r\n \r\n 보안부서가 설득하고 이해시켜야 할 대상은 위로는 CEO부터 아래로는 최말단 직원과 단기 계약직원까지 여러 계층을 아우른다. 사실 보안은 회사 내 모든 영역에 크고 작게 걸쳐 있고, 모든 부서가 필요로 하고 있지 않은가. 이들로부터의 지지와 지원이 보안의 성공을 좌우한다고 할 수 있다. 재무부서로부터는 보안관련 장비의 업그레이드와 최신기술 도입, 직원교육 및 홍보에 소요되는 비용을 지원받아야 하고, 연구, 생산, 물류 또는 고객 서비스 등의 핵심 비즈니스에서는 보안기능이 제 역할을 할 수 있도록 전문가의 시각과 관점을 제공하며, 현업 부서에서 필요할 때마다 적극적으로 보안부서에 연락을 취할 수 있는 긴밀한 관계가 형성되어야 할 것이다. \r\n\r\n \r\n 그러기 위해서는 보안영역이 사내외에서 보안 서비스를 제공하고 컨설팅을 하는 조직이라는 점을 강조할 필요성도 있다. 사실 조직내부의 사건사고 및 모니터링 관련 데이터를 다루다 보면 직원들로부터 감시와 통제부서로 인식되기도 하지만 그것이 직원과 회사를 지키기 위함임을 명확히 하는 가운데 민감한 데이터 및 프라이버시 문제를 다루는데 있어 원칙적이고 조심스럽다면 인식전환을 충분히 이끌어 낼 수 있다. \r\n\r\n \r\n 보안부서가 하고 있는 업무 중에 일반직원들이 참여할 수 있는 프로그램을 제공하는 것도 좋은 방법이 될 수 있다. 예를 들면 클린 데스크 점검 등에 참여시킬 수 있다. 이는 직원들의 보안의식을 제고시킬 뿐만 아니라 우리의 업무를 좀더 친숙하게 느끼게 할 것이다. 이런 일련의 활동을 통해 임원진 및 직원들과 항상 소통할 수 있고, 신뢰받는 보안부서가 되길 바란다. 그들이 바로 보안의 열쇠이기 때문이다. |
|||
 |
