인터넷 보안 인식 교육

Internet Security Awareness Training

ISAT(Internet Security Awareness Training, ISAT)는 조직의 구성원이 해당 조직의 다양한 정보 자산 보호에 대해 실시하는 교육이다.ISAT는 일반 SAT(Security Awareness Training)의 서브셋이다.

일반적으로 중소기업이라도 이러한 교육을 실시하는 것이 권장되지만, 정부 규정(예: Gramm-Leach-Bliley Act, Payment Card Industry Data Security Standard, Health Insurance Portability and Accountability Act, Sarbox)을 준수해야 하는 단체들은 일반적으로 모든 전자제품에 대해 매년 정식 ISAT를 요구한다.도예의[1]종종 그러한 훈련은 온라인 강좌의 형태로 제공된다.

ISAT(Security Education, Training and Awareness, SETA)라고도 불리는 조직은 자신의 환경 내에서 정보보안 관리에 대한 의식을 훈련하고 창출한다.[2]직원들이 교육을 잘 받고 자신과 조직 데이터를 보호하기 위해 중요한 조치를 취할 수 있는 권한을 느낄 때 조직에 유익하다.[2]SETA 프로그램 대상은 조직 내 사용자 역할에 근거해야 하며, 조직이 위험 수준 증가에 노출되는 직책의 경우 전문 과정이 요구되어야 한다.[2]

직원과 계약업체는 훈련을 줄이는 데 도움이 될 수 있다는 위협을 조직에 가한다.

커버리지

교육을 위해 다루어야 할 일반적인 주제들이 있지만, 이것은 훈련이 실용적이고 조직과 관련된 중요한 주제들을 포착할 수 있기 때문에 각 조직이 필요에 따라 커버리지 전략을 수립하는 것이 필요하다.위협 지형이 매우 빈번하게 변화함에 따라, 조직은 현재의 추세와 관련성을 보장하기 위해 훈련 프로그램을 지속적으로 검토해야 한다.[3]

ISAT에서[4] 다루는 주제는 다음과 같다.

  • 암호 정책을 비롯한 개인 컴퓨터 시스템의 중요한 정보를 보호하기 위한 적절한 방법
  • 스팸, 악성 프로그램, 피싱, 소셜 엔지니어링 등 다양한 컴퓨터 보안 관련 문제.
  • 잠재적 일자리 감소, 기업에 대한 경제적 결과, 개인 기록이 유출되는 개인에 대한 피해, 민형사상 처벌 가능성 등 정보를 제대로 보호하지 못한 결과.

인터넷 시큐리티 인식(Internet Security Awareness)이 된다는 것은 조직의 컴퓨터에 저장된 데이터를 적극적으로 훔치려는 사람들이 있다는 것을 이해한다는 것을 의미한다. (이것은 종종 사용자 이름과 암호에 초점을 맞추어 범죄 요소가 궁극적으로 은행 계좌 및 기타 고부가 IT 자산에 접근할 수 있도록 한다.)그렇기 때문에 조직의 자산을 보호하고 그런 일이 일어나지 않도록 하는 것이 중요하다.[5]

일반적인 범위에는 암호 보안, 전자 메일 피싱, 사회 공학, 모바일 장치 보안, 민감한 데이터 보안 및 비즈니스 통신과 같은 주제를 포함해야 한다.이와는 대조적으로 전문지식을 필요로 하는 사람들은 대개 기술과 심층적인 훈련 과정을 이수해야 한다.[2]조직이 시장에서 사용 가능한 교육 도구 중 하나를 사용하는 것이 가장 좋다고 결정한다고 가정할 때, 조직은 교육이 위험과 이를 관리하는 데 필요한 행동, 예방 또는 탐지하기 위한 조치를 직원들에게 제공하는지 확인하는 것을 포함하여 교육이 달성할 수 있는 목표를 설정하도록 보장해야 한다.교육생이 쉽게 이해할 수 있는 언어를 사용하고 합리적인 가격을 보장하는 큐리티 사고.[6]

조직은 ISAT 교육 내용을 직원 역할 및 그 문화에 기초할 것을 권고한다. 이 정책은 모든 직원을 대상으로 해당 교육을 안내하고 참고 자료의 출처로서 다음을 제공해야 한다.[7]

  • 국립표준기술연구원(NIST) 특별출판 800-50, 정보기술 보안 인식 및 교육 프로그램 구축
  • 국제표준기구(ISO) 27002:2013, 정보 기술—보안 기술—정보 보안 제어에 대한 실무 지침
  • 국제표준기구(ISO) 27001:2013, 정보 기술 - 보안 기술 - 정보 보안 관리 시스템
  • COBIT 5 부록 F.2, 상세 지침:서비스, 인프라 및 애플리케이션 지원, 보안 인식

훈련은 조직에 특정한 현재의 위협과 그것이 사용자 행동의 결과로 실현되는 경우에 미치는 영향에 초점을 맞추어야 한다.실제 사례와 시나리오 처리 방법을 포함하면 사용자는 적절한 조치를 취할 수 있다.특정 조직의 고객이 악의적인 의도를 가진 사람들로부터 직면하는 위협에 대해 주기적으로 훈련하는 것은 좋은 관행이다.[8]

SAT에 대한 커버리지 전략은 조직의 정책에 의해 추진되어야 한다.교육의 깊이와 글로벌 수준 또는 사업부 수준 또는 두 가지 모두의 조합에서 실시해야 할 위치를 진정으로 결정하는 데 도움이 될 수 있다.정책은 또한 조직 내의 책임 있는 당사자가 교육을 운영할 수 있도록 한다.[2]

중요도

직원은 조직의 침해 여부에 있어 핵심이다. 중요한 정보를 보호하고 기업 환경에서 관찰된 비정상적인 활동을 보고하기 위해 취할 새로운 위협과 행동에 대한 인식 형성 및 교육 정책이 있어야 한다.[9]

연구 결과에 따르면 SAT는 특히 피싱에 관한 한, 훈련생들이 이러한 공격 모드를 식별하고 적절한 조치를 취할 수 있는 자기 확신을 줌으로써 조직 내에서 사이버 공격을 줄이는 데 도움을 주었다.[10]

피싱 공격이 증가하고 있으며, 이러한 공격이 어떻게 작동하는지를 이해하는 것이 점점 중요해지고 있으며, 이러한 공격과 SAT를 예방하기 위해 필요한 조치가 조직에 대한 피싱 공격이 성공하는 데 상당한 영향을 끼치고 있는 것으로 나타났다.[11]

컴플라이언스 요구 사항

다양한 규정과 법률은 금융 서비스를 위한 GLBA(Gramm-Leach-Bliley Act, GLBA), 연방 기관을 위한 2014년 연방 정보 보안 현대화법, 유럽연합의 GDPR(General Data Protection Regulations, General Data Protection Regulation, GDPR) 등 특정 산업의 조직에 SAT를 의무화한다.[12]

연방 정보 보안 현대화법

연방기관의 직원과 계약자는 매년 보안 의식 교육을 받아야 하며, 프로그램은 보안 위험을 줄일 수 있는 지식을 제공하는 직무 관련 정보 보안 위험을 해결해야 한다.[13]

의료보험의 휴대성 및 책임에 관한 법률

건강보험 휴대성 책임성 법률에는 보안 규칙,[14] 개인정보 보호 규칙은[14] 보안 인식 교육 프로그램을 만들고 그에 따라 직원 교육을 받도록 규정하고 있다.

결제 카드 산업 데이터 보안 표준

지불 산업의 요구 사항으로 DSS를 개발한 아메리칸 익스프레스, 디스커버리, JCB 인터내셔널, 마스터카드, 비자(Visa)[7]가 구성한 지불 산업의 이해 관계자를 위한 관리 위원회인 지불 카드 산업 보안 표준 위원회.요구사항 12.6은 회원 기관이 공식적인 보안 인식 프로그램을 도입할 것을 요구한다.프로그램을 설정할 때 조직이 준수해야 할 지침이 출판되어 있다.[7]

미국 주 교육 규정

일부 주에서는 다른 주에서는 그렇지 않고 단순히 자발적인 훈련을 권고한다.직원 교육을 필요로 하는 주 중에는 다음과 같은 주들이 있다.

  • 콜로라도(Colorado Information Security Act, Colorado 개정 법령 24-37.5-401 et seq.)[15]
  • 코네티컷 (13 FAM 301.1-1 사이버 보안 인식 교육(PS800))[16]
  • 플로리다 (플로리다 법령 282장)[17]
  • 조지아(이전 명령 GA E.O.182 발행 후 90일 이내 의무 교육)[18]
  • 일리노이 주(쿡 카운티)[19]
  • 인디애나 (IN H 1240)[20]
  • 루이지애나 주(루이지애나 주 행정국, 기술 서비스 사무국 52: LA H 633)[21]
  • 메릴랜드(20-07 IT 보안 정책)[22]
  • 몬태나 주(주 행정각부 직원을 위한 필수 사이버 교육)[23]
  • 네브라스카[24]
  • Nevada(기관별 주 직원 요구 사항 - 주 보안 표준 123 – IT 보안)[25]
  • 뉴햄프셔 주
  • 뉴저지 (NJ A 1654)[26]
  • 노스캐롤라이나
  • 오하이오(IT-15 - 보안 인식 및 교육)[27]
  • 펜실베이니아[28]
  • 텍사스[29]
  • 유타[30]
  • 버몬트 주
  • 버지니아[31]
  • 웨스트 버지니아 (WV 코드 섹션 5A-6-4a)

교육 기법

다음은 운영 환경에 따라 일부 기술을 혼합할 수 있지만 몇 가지 일반적인 교육 기법이다.[3]

  • 대화형 비디오 교육 – 이 기술을 통해 사용자는 양방향 대화형 오디오 및 비디오 교육을 받을 수 있다.
  • 기반 교육 – 이 방법은 직원이나 사용자가 독립적으로 교육을 받을 수 있도록 하며 일반적으로 학습이 수행되었는지 여부를 판단할 수 있는 테스트 구성요소를 가지고 있다.그렇지 않을 경우 사용자는 코스를 다시 수강하고 테스트하여 자료를 완전히 이해할 수 있는지 확인할 수 있다.
  • 이 아닌 컴퓨터 기반 교육 – 일부 조직은 인터넷을 사용하지 않거나 인터넷에 연결되지 않은 위치가 있는 것을 선호하므로, 이 기법은 사용자를 위한 컴퓨터에 교육 프로그램을 로드하는 효과적인 방법을 제공한다.
  • 현장 강사 주도 교육 – 보안 인식 교육에 매우 인기 있는 기술이지만 대규모 조직에서는 효율적이지 못하다.일부 조직에서는 직원과 함께 하는 초기 탑승 교육에 이 방법을 사용하기도 하는데, 대부분 직원이 탑승하기 위해 현장에 있어야 하기 때문이다.

교육은 조직 정보 시스템에 접근하는 직원 또는 기타 제3자에 대해 적어도 일 년에 한 번은 탑승 중에 실시되어야 한다. 매체는 대면 교육을 통해 또는 온라인 교육을 통해 실시해야 하며, 일반적으로 공격 증상을 인식하고 다음과 같은 몇 가지 보안 메커니즘을 사용하여 중요한 데이터를 보호하는 데 초점을 맞춘다.암호, 암호화 및 보안 세션.[32]

ISAT는 또한 인터넷상의 보안을 유지하기 위해 다양한 현재의 위협, 신흥 보안 위협, 공격 벡터, 정보 보안과 관련된 조직 정책, 기본 원칙이나 규범에 대해 참가자의 기억을 가르치고 새로 고친다.[32]

조직은 사용자에게 보안 인식 교육을 전달하기 위해 미디어 교육에 관한 경우 여러 가지 옵션을 고려하지만, 학습 이론, 미디어 풍부성 이론, 인지 부하 이론을 이용한 연구에 따르면 조직이 고부가 미디어에 많이 투자할 필요가 없다는 것이 사용자 행동 개선으로 이어지지 않기 때문이다.내용이 가장 중요하다.[33]

SAT 서비스는 종종 다음과 같은 회사 직원과 관련된 추가 도구 및 서비스와 결합된다.

  • 다크 웹 모니터링 서비스 – 회사의 전자 메일 주소 또는 데이터 침해와 관련된 도메인을 탐지하여 직원의 전자 메일 주소에 연결된 데이터가 관리자에게 통보.
  • 정책 컴플라이언스 – 사이버 보안 거버넌스 정책을 통해 사용자 안내사용자에게 정책을 전송하여 컴플라이언스를 확인하고 추적 및 보고하십시오.
  • 위험 평가 – 회사 또는 고객의 위협 및 취약점 평가 및 식별[34]

참고 항목

참조

  1. ^ "Information Security Awareness Training (ISAT)". University of Virginia. Retrieved 4 November 2019.
  2. ^ a b c d e Caballero, Albert (2017-01-01). "Security Education, Training, and Awareness". Computer and Information Security Handbook: 497–505. doi:10.1016/B978-0-12-803843-7.00033-8. ISBN 9780128038437.
  3. ^ a b Wilson, M; Hash, J (2003). "Building an Information Technology Security Awareness and Training Program". Gaithersburg, MD: 34. doi:10.6028/nist.sp.800-50. {{cite journal}}:Cite 저널은 필요로 한다. journal=(도움말)
  4. ^ "Content ISAT International Students Admissions Test ACER". isat.acer.org. Retrieved 2021-03-13.
  5. ^ Sharf, Elad (July 2016). "Information exchanges: regulatory changes to the cyber-security industry after Brexit: Making security awareness training work". In Computer Fraud & Security. 7: 9–12. doi:10.1016/S1361-3723(16)30052-5.
  6. ^ Cooper, Michael H. (2009). "Information security training". Proceedings of the ACM SIGUCCS Fall Conference on User Services Conference - SIGUCCS '09. New York, New York, USA: ACM Press: 217. doi:10.1145/1629501.1629541. ISBN 978-1-60558-477-5. S2CID 7117477.
  7. ^ a b c "Official PCI Security Standards Council Site - Verify PCI Compliance, Download Data Security and Credit Card Security Standards". www.pcisecuritystandards.org. Retrieved 2021-07-05.
  8. ^ Liska, Allan (2015), "Building a network security intelligence model", Building an Intelligence-Led Security Program, Elsevier, pp. 124–125, doi:10.1016/b978-0-12-802145-3.00003-x, ISBN 978-0-12-802145-3, retrieved 2021-07-21
  9. ^ 결제 카드 산업.보안 표준 위원회.(2014).보안 인식 프로그램 구현을 위한 모범 사례.[1]
  10. ^ Tschakert, Kai Florian; Ngamsuriyaroj, Sudsanguan (2019). "Effectiveness of and user preferences for security awareness training methodologies". Heliyon. 5 (6): e02010. doi:10.1016/j.heliyon.2019.e02010. ISSN 2405-8440. PMC 6606995. PMID 31338464.
  11. ^ Carella, Anthony; Kotsoev, Murat; Truta, Traian Marius (2017). "Impact of security awareness training on phishing click-through rates". 2017 IEEE International Conference on Big Data (Big Data). IEEE: 4458–4466. doi:10.1109/bigdata.2017.8258485. ISBN 978-1-5386-2715-0. S2CID 35766007.
  12. ^ Haney, Julie; Lutters, Wayne (2020). "Security Awareness Training for the Workforce: Moving Beyond "Check-the-Box" Compliance". Computer. 53 (10): 91–95. doi:10.1109/MC.2020.3001959. ISSN 0018-9162. PMC 8201414. PMID 34131349.
  13. ^ "Federal Information Security Modernization Act CISA". www.cisa.gov. Retrieved 2021-07-27.
  14. ^ a b "The Security Rule". hhs.gov. United States Office for Civil Rights. 2009-09-10. Retrieved 2021-07-05.
  15. ^ "For State Employees - Colorado Governor's Office of Information Technology". www.oit.state.co.us. Retrieved 2021-07-27.
  16. ^ "13 FAM 301.1 Mandatory Security Training for All Department Employees". fam.state.gov. Retrieved 2021-07-27.
  17. ^ "Statutes & Constitution :View Statutes : Online Sunshine". www.leg.state.fl.us. Retrieved 2021-07-27.
  18. ^ "Bill Resource". custom.statenet.com. Retrieved 2021-07-27.
  19. ^ "Cybersecurity Training for Cook County, Illinois, Employees". GovTech. 2013-11-07. Retrieved 2021-07-27.
  20. ^ "Bill Resource". custom.statenet.com. Retrieved 2021-07-27.
  21. ^ "Bill Resource". custom.statenet.com. Retrieved 2021-07-27.
  22. ^ "20-07 IT Security Policy". doit.maryland.gov. Retrieved 2021-07-27.
  23. ^ "Security Training Resources". sitsd.mt.gov. Retrieved 2021-07-27.
  24. ^ "NVeLearn". nvelearn.nv.gov. Retrieved 2021-07-27.
  25. ^ "State Security Policies Standards & Procedures". it.nv.gov. Retrieved 2021-07-27.
  26. ^ "Bill Resource". custom.statenet.com. Retrieved 2021-07-27.
  27. ^ "State of Ohio Information Security and Privacy > Government > State Government > Security > Training and Awareness". infosec.ohio.gov. Retrieved 2021-07-27.
  28. ^ "Cybersecurity for Commonwealth Agencies and Employees". Office of Administration. Retrieved 2021-07-27.
  29. ^ "Certified Cybersecurity Training Programs, 154". dir.texas.gov. Retrieved 2021-07-27.
  30. ^ "2021 Security Awareness Training Division of Technology Services". dts.utah.gov. Retrieved 2021-07-27.
  31. ^ "Bill Resource". custom.statenet.com. Retrieved 2021-07-27.
  32. ^ a b Lincke, Susan (2016). SECURITY PLANNING : an applied approach. Springer International. pp. 176–177. ISBN 978-3-319-36560-2. OCLC 1005117710.
  33. ^ Jenkins, Jeffrey L.; Durcikova, Alexandra; Burns, Mary B. (2012). "Forget the Fluff: Examining How Media Richness Influences the Impact of Information Security Training on Secure Behavior". 2012 45th Hawaii International Conference on System Sciences. Maui, HI, USA: IEEE: 3288–3296. doi:10.1109/HICSS.2012.285. ISBN 978-1-4577-1925-7. S2CID 206705398.
  34. ^ Mezquita, Ty (2022-01-18). "The Hidden Benefits of Awareness Training for MSPs". CyberHoot. Retrieved 2022-01-27.