다음과 같은 상황을 상상해 보세요. 무역 박람회에 가져갈 브로셔 컬렉션을 만드는 데 도움을 주는 대행사와 협력하고 있습니다. 내일 프린터에 파일이 필요하지만 대행사에 제공한 보안 업로드 영역에 대한 링크가 작동하지 않습니다. 디자이너는 대용량 파일을 쉽게 공유할 수 있는 애플리케이션을 다운로드하라고 제안합니다. 경영진의 압박 때문에 앱을 다운로드합니다. 필수 인쇄 마감일을 지키세요.
낯익은 이야기인가요? 이러한 상황을 상상하기 어렵지 않다면 모든 기업에서 항상 일어나는 일이기 때문입니다. 대부분의 사람들이 회사 IT 부서를 피해 멀웨어를 설치하는 것을 인정하는 경우는 거의 없지만, 실제로 멀웨어를 설치하는 경우도 있습니다. 통계적으로 침해 건수 82% 인적 요소와 관련이 있습니다. 위험한 소프트웨어 다운로드, 피싱 링크 클릭 또는 단순한 인적 실수와 같은 실수는 사이버 보안 사고 및 침해에서 중요한 역할을 합니다.
까다로운 점은 직원이 범죄를 저질러도 아무 일도 일어나지 않는 경우가 많다는 것입니다. 브로셔를 공유하는 데 사용한 소프트웨어는 합법적이고, 공급업체가 자료를 인쇄하고, 새로운 위험을 초래하지 않으며, 아무 변화가 없습니다. 걱정하지 마세요.
하지만 운이 좋지 않은 직원도 있습니다. Termed 섀도 IT, 기업 IT 부서에서 지원하지 않는 하드웨어나 소프트웨어는 보안 위험을 초래할 수 있습니다.
멀웨어로 가득 찬 소프트웨어를 한 번 다운로드하거나 클라우드 보안이 취약한 SaaS 앱에 접속하는 것만으로도 중요한 시스템을 감염시킬 수 있습니다. 그러나 이러한 위험의 기회가 항상 존재함에도 불구하고 대부분의 조직은 보안 전략을 수립할 때 섀도 IT를 고려하지 않습니다.
위험을 완화하려면 직원들이 애초에 섀도 IT에 의존하는 이유를 생각해 보는 것이 중요합니다. 섀도 IT는 IT 부서에서 승인한 하드웨어나 소프트웨어가 해결하지 못하거나 특별히 잘 수행하지 못하는 공백을 메우는 경우가 대부분입니다. 또는 승인을 받는 데 시간이 너무 오래 걸려 귀찮아서 임시 솔루션에 의존하는 경우도 있습니다. 직원의 입장에서는 관료적인 절차에 얽매이거나 조달 및 예산에 대해 IT 부서와 논쟁하는 것보다 그냥 소프트웨어를 로드하고 마감일을 놓쳐서 혼나는 것을 피하는 것이 훨씬 쉽습니다.
직원들이 IT 문제에 대해 스스로 해결책을 찾아야 한다면 이는 개별 섀도 IT 앱이나 리소스보다 더 큰 문제가 있음을 나타냅니다. 그 대신 IT 부서와 조직 내 다른 팀 간의 커뮤니케이션이 원활하지 않다는 것을 나타냅니다.
IT 부서가 적이 되어서는 안 됩니다. 관리자는 병목 현상을 조사하고 IT 부서와 사용자 간의 커뮤니케이션을 장려해야 합니다. 경영진 차원에서는 섀도 IT와 관련된 위험에 대해 사용자를 교육하는 것도 우선 순위가 되어야 합니다. 사용자 입장에서는 업무 수행에 필요한 도구를 원활하게 확보하여 해결 방법을 찾아야 한다는 강박감을 느끼지 않도록 해야 합니다. 최고의 보안은 사람들이 사용하는 보안이라는 격언을 항상 기억하세요. 기술은 빠르게 변화하므로 조직은 보안 검토 프로세스를 간소화하고 새로운 기술 솔루션을 신속하게 프로비저닝할 수 있는 절차를 수립해야 합니다.
누가 어떤 정보에 액세스할 수 있는지 파악하는 것은 매우 중요하므로 조직은 거버넌스를 구축해야 합니다. 보안은 ID에서 시작되며, 최신 인증 및 비밀번호 없는 옵션을 사용하면 본인임을 증명하는 것이 번거롭지 않아야 합니다. ID 솔루션은 FIDO2 표준, 위험 기반 인증, 위험을 지속적으로 완화하는 지능형 실시간 인사이트와 같은 동급 최고의 보안 관행을 중심으로 구축되어야 합니다.
일상적인 액세스 요청을 완료하는 데 항상 IT 부서의 개입이 필요한 것은 아니며, 셀프 서비스 기능과 싱글 사인온을 통해 사용자는 중단 없이 업무를 수행할 수 있습니다. IT 측면에서도 관리자는 ID 거버넌스 및 관리 도구가 포함된 원활한 솔루션이 필요합니다.
Dropbox의 거버넌스 및 수명주기 데이터 액세스 거버넌스 아키텍처는 전사적인 가시성을 제공하여 누가 기업 데이터를 소유하고 있는지, 누가 데이터 리소스에 액세스할 수 있는지, 어떻게 액세스 권한을 얻었는지, 파일 공유 전반에 걸쳐 액세스 권한을 가져야 하는지 여부를 파악할 수 있도록 합니다. 자동화된 인증 프로세스는 간단하고 직관적이며 효과적인 실행 가능한 검토를 생성하여 비즈니스 사용자가 감사팀에 증거를 제공할 수 있도록 합니다.
모든 위협이 외부에서 발생하는 것은 아니므로 IT 팀은 사용자의 기술 요구 사항을 계속 지원하면서 액세스를 보호하고 규정 준수를 보장할 수 있는 새로운 방법을 찾아야 합니다. IT 운영을 간소화하고, 사용자를 교육하고, ID 및 액세스 거버넌스를 수용함으로써 조직은 섀도 IT의 위험을 줄일 수 있습니다.
