악성 이메일 모의훈련 계획 중에 있습니다.
정보유출직원 불이익을 어떻게 줄까 고민 중인데 의견 부탁드립니다.
전산 부문에서는 일정기간 인터넷 차단, PC사용금지 같은 것이 생각나는데
보통 어떻게 진행하시는지 궁금합니다.
해당 질문의 문제를 해결, 도움이 되는 선택된 답변이 있습니다.
작성된 다른 답변도 확인해 보시기 바랍니다..
악성 이메일 모의훈련 정보유출직원 처벌
21개의 답변이 있습니다.
모의 훈련을 하고 인사상 불이익을 준다는 것은 회사 내규에 명시되어 있다면 모르겠으나,
부당소지가 있습니다.
저희는 보안 규정 준수를 가장 잘한 팀에 회식비를 지원해주는 사례는 있었습니다.
모의 훈련을 가장한 처벌처럼 보이는데요.
타겟을 정하고 작전 짜는 것 같네요. ㅁ모의 훈련은 핑계일것 같고
이게 심의위원회에서 실제 의결될거라 보시나요?? 거의 망상수준이신데;;
모의 훈련의 위반자 처벌을 좀 과하지 않나 생각되네요.
우선은 위반 유형(첨부 파일 실행하는게 제일 문제겠지만...)을 분석해서 해당 유형의 사고 방지와 위반한 사용자 입장에서의 대응 조치(전원 강제 종료 등) 교육 등 사고 방지를 위한 교육 등이 우선 진행되어야 할 것 같습니다.
그래도 반복적인 위반 사항이 있을 경우 처벌이 반드시 필요하다고 판단되신다면 근태관리 측면에서 낮은 수준의 처벌이 적당하지 않나 싶습니다.
상습적인 행위로 조직을 해를 끼친다는건 안 좋은거죠!! 다만 노무사랑 상의해보세요. 그렇게 해도 문제가 없는지요.
훈련 같은 경우는 처벌은 안하지만 각 팀장님과 임원 분들깨 결과 보고는 하고 있습니다. 인사 평가에 반영은 되겠죠. 훈련만으로의 처벌은 법적으로 문제될 소지가 있습니다만.. 실제 유출건은 고의냐 아니냐와 엄한데서 감염 된것인가 아니면 업무관련 파일중 타사에 의해 감염됬느냐, 보안규정을 위반 했느냐 같은 case 로 객관적인 판단을 해야 합니다.
너무한것같습니다....
군대에서 훈련전에 연습하다가 잘못했는데 휴가 짤리지는 않잖아요.
훈련 말고 실제로 랜섬웨어 유입시킨 직원은 본인 과실여부를 IT팀에서 조사후 인사상 불이익 주기로 했습니다 (보안규정 위반으로 발생했다면 1회라도 무관용)
무서운 조직 이네요.
직원들과 상생하시길...
저도, 보안은 규정과 프로세스대로 수행되어야만 모든 임직원의 지지를 받을 수 있다고 생각합니다.
규정과 프로세스를 확대 해석하지 마시고, 그대로 적용하시면 될것 같습니다.
저의 개인적인 생각으로는, 규정과 프로세스도 법규의 한 종류이기 때문에
피해나 상해가 발생하지 않는 상황(훈련 등)에 까지 미리 처벌하기는 매우 힘들것 같습니다.
(동의와 지지도 받지 못해 반감만 높아질 확률이 높습니다)
이에, 훈련결과에 따라 모범적인 행동을 보인 임직원과 그렇지 못한 임직원에 대한 발표와
모범적인 임직원에 대한 포상을 주어 당근정책을 펼치는 것은 어떠할지요? ^^
개인적인 생각이었습니다. ^^
경고나 주의 정도면 되지 않을까 싶네요.
벌 보다는 상을 주는게 더 좋을 것 같고요~
괜히 반발심에 부정적인 인식은 생기지 않도록 하는게 좋을것 같아 보이네요.
모의 훈련하는 목적이 현재 보안 수준에서 무엇이 부족한지 파악하고
직원들 보안 교육을 하기 위한 목적이 더 크지 않나요?
모의 훈련으로 정보 유출이 실제로 일어난 것도 아닌데요
danis78 | 3년 이상 전
처벌만으로 직원들이 따라와 준다고 생각하는 것은
봉건주의 사상과 비슷하다고 봅니다.
답글 감사합니다.
모의훈련에 처벌은 좀 과하다는 의견이 많으십니다.
실제 악성이메일로 인한 랜섬웨어 감염으로 많은 피해가 있었습니다...
질문을 좀 보완하면
1.분기 1회 모의훈련 실시
2.현재 5회차 진행 : 500명 대상
3.3회이상 유출직원 10명
이때 3회이상 유출직원 10명에 대해 처벌을 하려는 것이 목적입니다. (현재 처벌규정 없음)
여러 의견을 종합해 처벌을 아래와 같이 하려고 합니다.
1.누적 1차 적발 : 추가 보안교육
2.누적 2차 적발 : 상급자포함 "경고" 메일 발송
3.누적 3차 적발 : 인사상벌 규정 중 견책(시말서 작성)
4.누적 4차 이상 : 인사상벌 규정 중 감봉
추가의견 있으시면 자유롭게 답글 바랍니다.
한그루 | 3년 이상 전
3차, 4차는 좀 과하신것 같습니다. ㅜㅜ
다시 작성합니다.
모의 훈련으로 정보유출 직원에 대해선 교육으로 대처하는게 맞을듯 합니다.
관련 서비스를 운영 중인데 처벌 여부는 회사 내부 규정이시니 임직원분들이 납득할만한 수준이시면 되지 않을까 싶습니다.
다만, 일반적으로 적용되는 사례는 1차로 경고 및 보안 교육 이수를 지시하고, 2~N차 훈련에도 반복적으로 걸리는 경우 추가적인 제재가 적용되는게 많은 경우인 것 같습니다.
모의훈련 솔루션 중에 사용자가 이메일을 받고 링크나 첨부파일 등을 열어보는 등 위험행위를 하기까지 걸리는 시간을 체크하는데 이 부분에서 사용자가 얼마나 부주의한지 체크해볼 수 있어서 특정 제재를 하시는데 근거로 삼으셔도 좋을 것 같습니다.
모의훈련을 하면서 처벌까지는 좀 심하다 싶다는 생각이 듭니다.
"훈련" 에서 못했다고 처벌은 좀 과하지 않나요???
실제 상황이라면 회사 보안 규정에 따라 조치를 취하시면 될 것 같아요.
하지만, 모의훈련 위반대상에에 대해 처벌은 좀 지나친 감이 있네요.
만약 저라면 모의훈련 위반대상자의 경우 "별도 보안교육 0시간 수료"를 할 것 같습니다.
회사의 규정대로, 절차적으로 필요한 조치를 단행하면 되는것이고 그 부분에 대해서는 쉽게 이야기 할 문제가 아니라는게 개인적 의견입니다.
경중에 따라 사유서, 시말서 정도의 서류제출을 하도록 하는 정도 최대 인사조치(견책, 감봉)로 봐야할것으로 봐야 할것이구요.
실상황도 아니고 모의훈련에서 벌칙을 고려한다는건 좀 무섭습니다.
아니 PC/인터넷을 막으면 그 직원 일은 어케해요??
못한사람 처벌보다는 잘한사람 상을 줘야죠
우리가 사법기관은 아니잖아요 ;;;;;
JUNGGOO LEE | 3년 이상 전
만약 랜섬웨어에 감염되어 회사에 막대한 피해를 주었다든지...
불이익이 없다면 무신경하지 않을까요?
체크리스트 | 3년 이상 전
실제로 피해를 발생시켰다면야 불이익을 주는게 맞지만 "훈련"이시라면서요 ;;