만약 직원들에게 회사의 보안 정책들에 대해서 물어본다면 그들은 대개 높은 수준의 인식이 갖고 있다고 응답한다. 2,000명의 회사 직원들에게 설문한 결과, 소프트웨어 보안 회사인 클리어스위프트(Clearswift)는 거의 74% 정도 직원들이 인터넷 보안 정책들을 잘 이해하고 있다고 자신있어 한다는 것을 발견했다. 자료 보호와 IT 보안뿐만 아니라 생산성 유지에 관한 정책들을 말하는 것이었다.
하지만 클리어스위프트는 그들이 자만에 빠져있다고 판단했다. 설문한 직원들 중 3분의 1은 입사한 이래로 한 번도 IT에 관한 훈련을 받아본 적도 없고, 3분의 2 이상은 이러한 과학 기술시대에서 5년이 넘도록 회사의 트레이닝 프로그램에 참여하지도 않았다고 클리어스위프트 측은 말했다.
클리어스위프트의 COO 앤드류 와이엇은 "대부분의 직원들이 고용주와의 만남에서 빈번히 보안 정책에 대해 막연한 토론을 나눴던 것을 기억할 것”이라며 "공개적으로 논의되지 않은 채 문제가 생길 때만 언급된다면, 회사의 전통 규율에 너무 매여있어서 회사 정책을 인식할 수 없을 것이다. 정책이 제대로 실시되지 않아서 깨지고 있다는 사실조차 직원들이 인지하지 못한다면, 회사의 정책선상에서 그들이 하고 있는 것에 대한 믿음과 보안이 잘못된 인지로 쌓이게 될 것이다"라고 말했다.
앞의 연구는 기업들 사이에서 아주 빈번히 논의되지만 거의 평가되지 않았던 질문을 불러 일으킨다. 어떤 종류의 인식 훈련이 효과적일까? 균형이 잡혀있고 이익을 주는 것은 어떤 것일까? 여러 과정들과 공식 회기 및 비공식적 논의들이 이루어진다면 가장 효과적일 수 있을까? 그리고 어떻게 회사가 그 효과를 판단할 수 있을까?
건강 보험업체인 시그나(Cigna Corp.)의 CISO(최고정보보호책임자)인 크레이그 슈마드에 따르면 시그나에서는 직원의 인식 훈련이 정기적으로 이루어지고 있다. 그는 "한 번 해야 할 훈련 혹은 그 따위의 것이 아니다"라고 말했다.
어떻게 시그나가 보안과 프라이버시 정책을 다루는지 보이는 예로서 슈마드는 직원들 사이에서의 소셜 미디어 사용에 대한 최근 변화를 언급했다. 지난 2년 동안 시그나는 작업 동안 직원들 사이의 접촉을 허용하기 위해서뿐만 아니라 회사의 업무관련 사용을 위해 소셜 미디어 사이트들의 채택에 대한 책임을 지기 위해서 현존하던 정책들을 개정하고 추가해야만 했다.
그 결과 그는 "소셜 미디어에서 우리가 가지는 정책은 정당한 폭로와 대화에 대한 회사의 전체 정책 속에 포함돼 있다"라고 말했다.
그는 이어 "그래서 우리가 외부 미디어에 있는 정책들을 살펴볼 때, 이들은 처음부터 강조해왔던 문제들이었다는 것을 알게 됐다. 시그나를 대표하는 블로그에 관한 한, 소셜 미디어 이전에 우리는 그것을 명확히 했다. 현재 그것은 소셜 미디어 사이트에 대해서도 같은 정책이다. 직원들은 엄격히 개인적인 의견에 관해서 이러한 도구들을 사용할 수 있었다"라고 말했다.
다시 말해서, 시그나는 소셜 미디어 정책을 다룰 때 방향키를 바꾸지 않았다. 그들은 그럴 필요가 없었다. 그러나 슈마드는 직원들이 여전히 구체적인 것들에 관한 환기가 필요하다고 말했고, 직원들이 다양한 교육 과정들을 경험할 수 있도록 하였다. 보안 문제들의 감소가 그 효과의 증거라며 그는, 지금까지 시그나가 정책을 위협하는 소셜 미디어의 부정적 사용에 물든 직원을 해고시킬 필요가 없었다고 말했다.
보안 인식 전문가인 미카엘 산타르칸젤로는 고객들에게 조언을 제공할 때 다른 접근 방법을 취한다.
그는 “기업에서 먼저 대화의 방식을 바꾸고 말하기뿐만 아니라 경청하는 연습도 해야 한다고 생각한다. 제 경험으로는 많은 회사들이 대화라는 이름 아래에서 독백을 하는 분위기를 조성하고 있었다”라고 말했다.
더 시큐리티 카탈리스트의 산타르칸젤로는 경험과 상담을 통해서 그가 ‘휴먼 패러독스 갭’이라고 부르는 연구를 진행하고 있는데, 그것은 행동/결정과 결과들의 영향 사이의 거리를 정의하는 것이다.
사람들은 자신의 행동이 그에 대한 결과로부터 단절되게 될 때, 그들은 책임감을 가지지 않게 된다고 그는 지적했다. 효과적인 인식 프로그램은 그러한 사고를 변화시키고 행동의 변화를 고무한다. 그리고 그것은 직원들과의 올바른 대화에서부터 시작된다는 것이 그의 설명이다.
“더 많은 기술개발과 더 많은 훈련은 요점을 놓치기 쉽다. 지금 가로놓여있는 도전은 단절이다. 나라면 '보안', '위험'과 같은 것들에 대한 직원들과의 대화에 초점을 두기보다, 보안이라는 말을 두고 위험, 신뢰, 결과, 그리고 책임에 초점을 두겠다. 10명의 사람들에게 보안에 대해서 정의하라고 하면, 15개의 단어들로 답을 얻을 수 있을 것이다. 이 답들은 혼란을 주어서 일관성있고 정확한 결과를 내기 힘들다. 일반적으로 '정책'에 대한 '훈련'은 더욱 파격적이고 계발적인 경향이 있다. 이것은 정책으로부터 차이를 연결하는 것보다 더 멀리 단절된 사람들에게 잘못된 효과를 낳는다. 사람들은 이해보다 경험에 초점을 두고 '보안'의 이름 안에서 단절되기 때문이다.” editor@idg.co.kr